2 Jahre DSGVO – Übersicht über Probleme und Kritikpunkte
Zur Erinnerung: Die DSGVO trat am 25. Mai 2016 in Kraft und wird seit dem 25. Mai 2018 verbindlich angewendet. Sie ersetzte die alte Datenschutzrichtlinie von 1995 mit dem Ziel, den Datenschutz in der EU weiter zu vereinheitlichen. Nach zwei Jahren der Anwendung der DSGVO, am 25. Mai 2020, muss die Europäische Kommission den bisherigen Stand der Umsetzung auswerten und eine Evaluierung vorlegen. Unter anderem hat sie dazu eine öffentliche Konsultation gestartet. Viele Einrichtungen, Behörden und Organisationen sind derzeit dabei, die DSGVO zu bewerten und zu prüfen, wie gut das funktioniert, was vor vier Jahren beschlossen wurde.
Hier findet sich nun eine Übersicht über Probleme und Kritikpunkte, die wir für besonders relevant halten. Ein Anspruch auf Vollständigkeit kann aus verschiedenen Gründen nicht erhoben werden, erstens weil ein umfassender Blick hinter die Kulissen sämtlich möglicher Datenverarbeitung nicht möglich ist.
Zweitens, und das ist schon gleich der erste Kritikpunkt an der DSGVO, fehlen in vielen Fällen noch endgültige Entscheidungen oder Gerichtsurteile, die bestehende Streitpunkte eindeutig beilegen würden.
Festzustellen ist jedoch: Die Aufregung, die im Mai 2018 um die DSGVO herrschte, ist damals rasch abgeklungen und einer weitgehenden Akzeptanz des neuen Regelwerks gewichen.
Was gab es an positiven Entwicklungen? Was ist aus den Befürchtungen von 2018 geworden?
In der Zeit kurz vor dem 25. Mai 2018 kursierten eine Vielzahl an Befürchtungen über Probleme, die mit dem Beginn der Anwendung der DSGVO eintreten würden. Davon hat sich praktisch nichts erfüllt. Weder hat der Datenschutz den Journalismus unmöglich gemacht, noch Forschung oder Handel zum Erliegen gebracht. Es sind auch noch keine Millionenstrafen für Kleingärtnervereine bekannt geworden.
Ob die europäische Internetwirtschaft durch die DSGVO im internationalen Vergleich einen Schaden erlitten hat, lässt sich in dieser Verallgemeinerung nicht sagen. Es spricht allerdings nicht viel dafür. Vielmehr versuchen große wie kleine europäische Firmen, Modelle zu entwickeln, mit denen sie datenschutzgerechte Dienste und Produkte in der EU auf den Markt bringen.
Dies zeigt sich sehr gut bei Cloud-Diensten, bei denen sich europäische Anbieter zunehmend gegenüber den dominierenden US-amerikanischen Firmen positionieren. Diese wiederum versuchen sich ebenfalls an die Bedürfnisse der europäischen Kundschaft anzupassen. Die – zwar letztlich – gescheiterte Kooperation von Microsoft und Telekom, um gemeinsam eine DSGVO-konforme Cloud anzubieten, zeigt, dass die Botschaft der DSGVO auch jenseits des Atlantiks angekommen ist. Das Label „DSGVO-konform“ ist zu einem gängigen Qualitätsmerkmal geworden.
Die, man kann es nicht anders sagen, Hysterie, die zwischenzeitlich nach dem Inkrafttreten der DSGVO im Mai 2018 herrschte, brachte einige Blüten hervor. Klingelschilder an Mehrparteienhäusern wurden abmontiert, in Bäckereien sorgte man sich, ob man die Stammkundschaft noch mit Namen ansprechen dürfe und Handwerker nahmen ihre Seiten aus dem Netz, anstatt einfach nur google analytics abzuschalten, das sie – vermutlich – ohnehin nicht nutzten.
Dass praktisch alle, die eine Webseite haben, auch eine Datenschutzerklärung brauchen und Unternehmer und Selbständige sowieso, hat sich mittlerweile nachhaltig herumgesprochen. An einen geeigneten Muster-Text kommt jeder genauso einfach heran wie an einen Text für allgemeine Geschäftsbedingungen oder einen Mietvertrag.
Ausgeblieben ist ebenfalls die befürchtete Abmahnwelle. Sie fand einfach nicht statt. Versuche Einzelner, so schnelles Geld zu erwirtschaften, wurden abgewiesen.
Das erklärte Ziel der DSGVO, dem Datenschutz mehr Aufmerksamkeit zu verschaffen, wurde somit erreicht. In den vergangenen zwei Jahren gab es praktisch keinen Zeitpunkt, zu dem nicht irgendeine Debatte mit Datenschutz-Bezug geführt wurde. Erinnert sei hier nur an die Gesichtserkennung am Bahnhof Berlin-Südkreuz, die Autokennzeichenerfassung in Brandenburg, den (prä-DSGVO) Cambridge Analytica Skandal oder auch die Diskussion um die elektronische Gesundheitsakte. Verstärkt zeigt es sich aktuell während der COVID-19 Pandemie. In der Diskussion um eine Tracing-App geht es vorwiegend um Datenschutzfragen, so dass man sich letztlich für einen dezentralen Ansatz entschieden hat, der auf dem neuen Konzept von privacy by design basiert.
Die erhöhte Aufmerksamkeit für den Datenschutz liegt sicher auch an zwei weiteren Faktoren: den Meldungen von Datenlecks und den Bußgeldern. Regelmäßig werden größere Datenlecks bekannt und gemeldet. In Deutschland waren zum Beispiel Arztpraxen mit bestimmten Routern betroffen: knuddels.de und Buchbinder. In anderen EU-Staaten machten vor allem Lecks bei Marriot, British Airways und Uber Schlagzeilen. Das ist aber nur die Spitze des Eisbergs.
Bei den Datenschutzbehörden haben sich die Meldungen solcher Vorfälle seit Mai 2018 massiv erhöht. Das liegt daran, dass Probleme seither ernsthaft gemeldet werden. Damit kommt die frühere Dunkelziffer ans Licht, es ergibt sich nun ein quantifizierbares Bild, wie unsicher unsere Daten zumeist aufgehoben sind. Die Datenschutzbehörden haben in der EU über 90.000 Meldungen erhalten. Universitäten, Verwaltungen und Unternehmen waren immer wieder betroffen.
Befürchtungen, dass die Aufsichtsbehörden mit Bußgeldbescheiden um sich werfen würden, waren, auch angesichts der Personalschwäche, ohnehin überzogen. Nach anfänglicher Zurückhaltung, so dass im Jahr 2018 kaum Bußgelder verhängt wurden, ging es dann 2019 los. Neben den schon erwähnten knuddels.de bekamen in Deutschland unter anderem die Deutsche Wohnen (14,5 Millionen. Euro) und 1&1 (9,5 Millionen Euro) hohe Bußgeldbescheide zugestellt. Ebenfalls die 10-Millionengrenze durchbrochen haben die Strafen für Marriot (110,4 Millionen. Euro) und British Airways (204,6 Millionen Euro, beide in UK) sowie die Österreichische Post (18 Millionen Euro). Google hat diverse Bußgelder eingefahren, die sich bis heute auf insgesamt über 50 Millionen Euro belaufen.
Was ist noch offen? Fehlende Entscheidungen
Ein vor zwei Jahren häufig von Wirtschaft und Datenschützern zugleich geäußerter Vorwurf an die DSGVO war, dass an einigen Stellen Unklarheiten und Widersprüchlichkeiten bestünden und mithin die Anwendung bestimmter Artikel nicht rechtssicher möglich wäre. Darunter befinden sich auch die Regeln, was die freiwillige Zustimmung nach Art 7(4) DSGVO genau bedeutet. Der Lösungsweg für die offenen Fragen ist aber klar vorgezeichnet: Beschwerde bei einer zuständigen Aufsichtsbehörde, die dann eine Entscheidung trifft, die dann europaweit gilt. Alles Weitere würden Gerichte bis hinauf zum EuGH entscheiden müssen – in erwartbar langwierigen Rechtsstreitigkeiten.
Noch am 25. Mai 2018 reichte zum Beispiel Max Schrems eine Beschwerde rund um Artikel 7 gegen Facebook bei der irischen Aufsichtsbehörde ein. Die müsste wegen der europaweiten Relevanz des Falls eigentlich dem europäischen Datenschutzausschuss eine Entscheidung vorschlagen und die anderen Aufsichtsbehörden beteiligen. Das ist jedoch bis heute nicht geschehen, die Entscheidung steht noch aus. Weder Max Schrems noch Facebook können ein endgültiges Urteil bekommen. Darf Facebook die Nutzung seines Dienstes an die Zustimmung zu seiner Datenverarbeitung knüpfen oder müsste das Unternehmen eine datenschutzfreundliche Lightversion anbieten, die ohne zusätzliche Zustimmung der User auskommt? Die Antwort auf diese Frage ist weiterhin offen.
Es gibt noch einige ähnlich gelagerte Fälle. Bei diesen handelt es sich um grundlegende Fragen, die zudem sehr viele Menschen betreffen und deren Klärung für die Wirksamkeit der DSGVO als Ganzes wichtig ist. Solange diese Fragen nicht zumindest einmal rechtskräftig entschieden sind, kann man nicht endgültig sagen, wie sich bestimmte Vorgaben der DSGVO genau auswirken.
Beispiel: One-Stop-Shop
Soweit es um Unternehmen geht, die europaweit (oder global) agieren, ist der sogenannte One-Stop-Shop ein Teil des Problems. Die Regel besagt generell, dass für ein Unternehmen die Aufsichtsbehörde an dessen Hauptsitz zuständig ist. Facebook, so wie viele andere US-Unternehmen, hat seinen europäischen Hauptsitz in Irland, so dass die irische Datenschutzbehörde zuständig ist. Kritikerinnen und Kritiker werfen der irischen Behörde vor, Verfahren aus Angst vor politisch unerwünschten Entscheidungen zu verschleppen. Die irische Behörde verweist – glaubwürdig- auf mangelnde Ressourcen und die finanziellen Gefahren eines Rechtsstreits mit Facebook.
Fakt ist: Es gibt eine lange Liste offener Verfahren bei der irischen Behörde, ebenso wie eine lange Liste von Unternehmen, für die sie zuständig ist. Bekannt ist, dass es durch die EU hinweg so einige Führungsspitzen von Aufsichtsbehörden gibt, die gerne einen härteren Kurs gegen Facebook fahren würden. Angesichts der Untätigkeit in Dublin suchen sie nach Wegen, um auf eigene Faust gegen Facebook und Co. vorzugehen. Davon zeugen Bußgelder, die etwa die CNIL aus Frankreich oder der Datenschutzbeauftragte von Hamburg verhängt haben.
Umgekehrt beschweren sich Verbände von US-Unternehmen, dass das Prinzip des One-Stop-Shops nicht konsequent genug umgesetzt wird. Sie wünschen sich einen besseren Schutz vor den genannten Aufsichtsbehörden. Klar ist, dass der One-Stop-Shop ein Geschenk an die Unternehmen ist und der Bearbeitungs-„Rückstau“ in Irland auch zu erwarten war.
Beispiel: Europäischer Datenschutzausschuss
Nach den Vorgaben der DSGVO sollte die irische Datenschutzbehörde die Schrems-Beschwerde und andere Fälle längst in das sogenannte Kohärenz-Verfahren des Datenschutzausschusses gegeben haben, so dass die übrigen Aufsichtsbehörden an einer gemeinsamen Entscheidung mitarbeiten können. Tatsächlich ist dieses Verfahren noch in keinem Fall genutzt worden. Hinzu kommt, dass ein großer Teil der möglichen Fälle für dieses Verfahren im Augenblick eben in Irland liegt. Damit ist der Weg zu einem gesamt-europäischen Enforcement von Datenschutz effektiv ausgehebelt. Verfahrenstechnisch haben die anderen Behörden im Ausschuss keine Möglichkeit. Sie müssen auf eine Vorlage warten – und die kommt eben nicht. Die Folge: Bisher musste keiner der big player im Datenbusiness mit einer Strafe für Datenverarbeitungen, bei der praktisch alle EU-Bürgerinnen und -Bürger betroffen sind, rechnen. Die lokalen Datenschutzbehörden können hier nicht agieren oder sie riskieren eine teure Schlappe vor Gericht.
Beispiel: Aufsichtsbehörden
Dass die Durchsetzung von Datenschutzrecht das A und O sein müsse, wurde vor zwei Jahren mantra-artig wiederholt. Mit gestärkten Kompetenzen für die Aufsichtsbehörden und der Einführung von direkten Strafen wurde die Hoffnung verbunden, dass man das seit Jahrzehnten bestehende Defizit in der Durchsetzung von Datenschutzrecht überwinden könne. Die entscheidende Rolle sollten die Aufsichtsbehörden spielen, die immerhin unangekündigte Kontrollen durchführen, Transfers unterbinden und Bußgelder verhängen können.
Die DSGVO verpflichtet dazu, die Aufsichtsbehörden angemessen auszustatten. Allerdings ist diese Klausel nicht einklagbar. Praktisch alle Aufsichtsbehörden in der EU – davon 17 in Deutschland und 26 im Rest der EU – haben nicht die finanziellen Mittel, um genügend Personal für ihre Aufgaben einzustellen. Insbesondere IT-Expert*innen fehlen. Und so ist Irland auch kein Ausreißer „nach unten“, es sticht mit seiner schwachen Ausstattung nicht besonders heraus.
Beispiel: Fehlende Harmonisierung
Die Frage, inwieweit die DSGVO eine sogenannte Vollharmonisierung des Datenschutzes in der EU schafft, ist schon auf dem Papier kompliziert zu erkennen. Zwar handelt es sich um eine EU-Verordnung, die normalerweise solch einen Effekt hat. Allerdings finden sich unzählige Verweise auf nationale Gesetze, die alles weitere regeln sollen. Hinzu kommen einige sogenannte Öffnungsklauseln, die den einzelnen Mitgliedstaaten noch einmal weiten Spielraum in einigen Bereichen (z. B. Medienrecht, Beschäftigtendatenschutz) zugestehen. Diese Spielräume sind auch weitgehend genutzt worden. Daraus folgt eine Rechtslage, die noch immer Flickenteppich-Elemente enthält. Das wird auch von verschiedensten Seiten kritisiert. Europaweit agierende Unternehmen sähen die nationalen Unterschiede gern auf ein Minimum reduziert. Auch von Datenschutzbeauftragten wird die fehlende Harmonisierung kritisiert.
Volle Harmonisierung bedeutet einerseits weniger Bürokratie für alle Beteiligten, Verbraucherinnen und Verbraucher inklusive. Andererseits kann man davon ausgehen, dass so manche dieser nationalen Eigenheiten nicht unbedingt schlecht sind. Ein weiteres Problem sind unterschiedliche Auslegungen der DSGVO, die in verschiedenen Staaten und Bundesländern herrschen. Kurz: viele wollen mehr Harmonisierung. Es gibt jedoch noch keinen Konsens, in welchen Bereichen das geschehen soll.
Beispiel: Profiling
Dazu liegen aktuell nur wenige Informationen zu konkreten, bestehenden Problemen vor. In Zukunft wird der Datenschutz beim Profiling an Bedeutung gewinnen. Zum Datenschutz bei Künstlicher Intelligenz und Big Data sowie bei der anstehenden EU-Verordnung zu digitalen Dienstleistungen gibt es derzeit schon eine lebhafte politische Auseinandersetzung. Aus unserer Sicht ist klar, dass die relativ eingeschränkten Vorgaben der DSGVO zu Profiling und automatisierter Entscheidungsfindung nicht ausreichen, um auf alle gesellschaftlichen Herausforderungen in diesem Bereich eine Antwort zu geben.
Beispiel: Fehlende Umsetzung
Es gibt noch einen weiteren Punkt, warum die Wirksamkeit der DSGVO nicht sinnvoll beurteilt werden kann. Es geht hier um Standardvertragsklauseln, Binding Corporate Rules und Zertifizierungen. In allen drei Fällen geht es um Instrumente, auf deren Grundlage Daten verarbeitet und insbesondere auch in Drittstaaten übertragen werden dürfen. Je nachdem sind die Europäische Kommission oder Datenschutzbehörden befugt, solche Klauseln, BCCs oder Zertifizierungsanforderungen zu formulieren oder zu beschließen. In keinem der Fälle ist dies bisher geschehen. Ebenso könnte die Kommission Piktogramme einführen, die in typischer Verbraucherschutz-Manier die Datenschutzqualität von Produkten anzeigen.
Beispiel: data protection by design und by default
Die Prinzipien von Datenschutz durch Technikgestaltung und von privatsphärenfreundlichen Voreinstellungen wurden mit der DSGVO neu eingeführt. Der Grundgedanke: Dienste und Produkte sollen so designt werden, dass sie von sich aus datensparsam funktionieren. Zudem sollen, wenn Userinnen und User die Wahl haben, immer die Optionen mit dem besten Datenschutz voreingestellt sein. Der Effekt von privacy by default ist mittlerweile durchaus zu sehen. Es wird immer öfter die Regel, dass man ein „Ja“ zu Werbung anklicken kann, es aber nicht bereits gesetzt ist. Das ist eine deutlich sichtbare Verbesserung. Dennoch ist die Nutzung von sogenannten Dark Patterns, also manipulativen Designs, mit der Userinnen und User zu bestimmten Einstellungen gedrängt werden, allgegenwärtig. Positiv ist lediglich, dass das Thema zunehmend größere Aufmerksamkeit erfährt und sich Aufsichtsbehörden dagegen in Stellung bringen.
Ob die Vorgaben zu Datenschutz durch Technikgestaltung bisher einen nennenswerten Einfluss auf Produktentwicklung genommen haben, lässt sich kaum sagen.