28. Juni 2023, 12:18 Uhr | Lesezeit: 8 Minuten
Vor wenigen Wochen hat die Datenschutzgrundverordnung – kurz: DSGVO – ihren fünften Geburtstag gefeiert. Ein Grund zum Feiern? Die einen sagen so, die anderen so. Eines hat die DSGVO definitiv geschafft: Das Thema Datenschutz ist bei uns allen stärker denn je angekommen. Aber: Hat die DSGVO ihre großen Versprechen erfüllt, beispielsweise Datenkraken wie Facebook oder Google in die Schranken zu weisen? Wir blicken genauer hin, was bislang gut läuft und was sich noch ändern muss.
„Die DSGVO schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“, fasst Rechtsanwalt und Datenschutz-Experte Christof Kolyvas aus Bochum den Ansatz der Verordnung zusammen. Was juristisch dröge daher kommt, bedeutet in die Alltagssprache übersetzt: Die DSGVO möchte Menschen und deren Rechte schützen, nicht Daten. Tut sie das?
Übersicht
Lesen Sie auch: Dieser Browser speichert Screenshots von jeder besuchten Website
Nervige Cookie-Banner keine DSGVO-Geburt
Auf jeden Fall. Einiges ist besser geworden in Sachen Schutz persönlicher Daten und grundsätzlich in Sachen IT-Sicherheit. Auch wenn die DSGVO uns als „Nebenprodukt“ eine unendliche Klickorgie in Form von Cookie-Bannern beschert hat. Dabei haben die Cookie-Banner nicht direkt etwas mit der Einführung der DSGVO zu tun. Sie sind das Ergebnis eines Versäumnisses. Denn parallel zur DSGVO sollte auch die sogenannte E-Privacy-Richtlinie oder „Cookie-Richtline“ reformiert werden. Diese Reform fällt in die Zuständigkeit jedes einzelnen EU-Mitgliedstaates. Deutschland konnte sich bislang noch zu keiner einheitlichen Lösung durchringen. Warum? Die Auflösung folgt später.
Was unterscheidet die E-Privacy-Richtlinie von der DSGVO? Die Richtlinie ist im Grunde das digitale Versprechen von Unternehmen, mit persönlichen Daten vertraulich umzugehen. Die DSGVO hingegen beschäftigt sich mit der Datenverarbeitung an sich. Nicht erlaubt ist beispielsweise die Weitergabe an Staaten außerhalb der EU.
Und wieso sind die nervigen Cookie-Banner auch unter DSGVO-Gesichtspunkten „problematisch“? Oft erteilen Internet-Nutzer für etwas ihre Einwilligung, wofür sie bei genauerer Betrachtung niemals zustimmen würden. Allerdings haben die Unternehmen den Prozess der Einwilligung zum Teil bewusst zu ihren Gunsten gestaltet.
Eine Ablehnung ist häufig unübersichtlich, kompliziert oder immer noch gar nicht vorgesehen. Deswegen sind die Cookie-Banner nicht nur Störer, sondern führen durch ihre Gestaltung auch zu einem kompletten Kontrollverlust über die Verarbeitung personenbezogener Daten. Das ist nicht im Sinne der DSGVO.
Lesen Sie auch: Was sind Cookies im Internet und wofür werden sie verwendet?
Bußgelder zeigen Wirkung
Der österreichische Jurist und Datenschutzaktivist Max Schrems kämpft seit Jahren gegen Facebook. Er hat schon vor einigen Jahren eine Auskunft darüber verlangt, welche persönlichen Daten Facebook über ihn auf der eigenen Plattform gespeichert hat. Die DSGVO ist auch geprägt durch seinen jahrelangen Kampf gegen die Firma von Mark Zuckerberg. Inzwischen verfügen Facebook, Twitter und Co. über eine unkomplizierte Funktion, um die vom Unternehmen gespeicherten persönlichen Daten abzufragen. Auf Wunsch müssen die Unternehmen sogar „sämtliche“ Daten löschen.
„Durch die Verhängung von Bußgeldern, die Rechtsprechung des Europäischen Gerichtshofes zur DSGVO und der nationalen Gerichte wird die Wirksamkeit der einheitlichen EU-Verordnung sichtbar“, betont Datenschutz-Experte Christof Kolyvas. In der Tat: Erst kürzlich hat die für Facebook zuständige Datenschutzaufsicht in Irland ein Rekord-Bußgeld in Höhe von 1,2 Milliarden Euro ausgesprochen. Facebook löst damit Amazon als „Rekordhalter“ ab. Der bisherige Bußgeld-Spitzenreiter hat es auf eine Strafsumme von 746 Millionen Euro gebracht.
DSGVO auch ein Behördenproblem
Die Behörde in Irland scheint einen guten Job zu machen. Stimmt allerdings nur bedingt. Denn die großen Konzerne wie Facebook, Microsoft, Google oder TikTok haben Irland nicht wegen der üppigen grünen Wiesen als europäischen Firmensitz ausgewählt. Neben den niedrigen Steuersätzen lockt die Insel nämlich mit einer äußerst laschen Auslegung der DSGVO. Zudem ist die irische Datenschutzaufsicht chronisch unterbesetzt. Die Behörde könnte daher noch viel effektiver zu Werke gehen. Die schlagzeilenträchtigen Bußgelder erfüllen somit eher den Zweck von Nebelkerzen.
Für Deutschland gilt ein ähnliches behördliches Problem, allerdings in umgekehrter Richtung. Deutschland gönnt sich zwar mit Ulrich Kelber einen Bundesdatenschutzbeauftragten. Der hat allerdings genug damit zu tun, die Kommunikation mit 17 Länderbehörden halbwegs erträglich und zielführend zu gestalten. Denn das Thema Datenschutz ist in Deutschland föderalistisch geregelt. Demnach verfügt jedes einzelne Bundesland über eine eigene Datenschutzbehörde, Bayern gönnt sich sogar zwei. Das macht eine einheitliche deutsche Linie in Sachen DSGVO zumindest schwierig.
Dennoch sieht Datenschutz-Experte Christof Kolyvas Deutschland in Sachen Datenschutz auf einem guten Weg. „Für kleinere und mittlere Unternehmen bedeutet die DSGVO-Umsetzung anfänglich einen erhöhten Aufwand. Allerdings sparen Unternehmen, die den Datenschutz frühzeitig berücksichtigen, spätere Kosten durch Fehlentscheidungen oder rechtliche Auseinandersetzungen.“
Der Bochumer Rechtsanwalt wünscht sich für die Zukunft Erleichterungen vor allem für kleinere und Solo-Selbstständige. Hier herrsche auch nach fünf Jahren immer noch eine große Unwissenheit und Unsicherheit in Sachen DSGVO.
Lesen Sie auch: Erschreckend! Diese privaten Daten gibt Ihr Auto weiter
Positive und negative Folgen der DSGVO
Den Menschen brachte die DSGVO nicht nur Positives wie etwa die Möglichkeit, gespeicherte Daten auf Wunsch einzusehen, zu ändern, löschen zu lassen oder deren Verbreitung zu widersprechen. Dadurch, dass sich Unternehmen für die Verwendung der Daten absichern müssen, ist auch der Verwaltungsaufwand gestiegen. Denn immer, wenn ein Unternehmen personenbezogene Daten verarbeiten möchte, benötigt es eine Rechtsgrundlage als Erlaubnisvorbehalt. Dieses holen sie sich in Form von speziellen Formularen ein – online wie auch analog. Viele kennen diese vielleicht aus Arztpraxen. Neue Patienten müssen seit der Einführung der DSGVO im Mai 2018 einen Zettel ausfüllen, mit dem sie der Verarbeitung ihrer Daten zustimmen. Das ist notwendig, um Diagnosen unter den Ärzten und Kliniken austauschen zu können. Bei diesen Formularen sollten Nutzer aber darauf achten, welche Art und welchen Umfang der Datennutzung und -verarbeitung sie zustimmen. Bei Formulierungen wie „berechtigtes Interesse“ sollten man vorsichtig sein und lieber einen Experten zuziehen.
Das „berechtige Interesse“ findet sich übrigens auch häufig bei Cookie-Abfragen. Hierbei bleibt immer die Frage, was man unter einem berechtigten Interesse überhaupt verstehen kann. Nutzer sollten sichergehen, ob das berechtigte Interesse des Verantwortlichen wirklich überwiegt.
DSGVO auf dem Weg zu einem weltweiten Standard?
Auch wenn die Umsetzung anfänglich für viel Wirbel gesorgt hat, dient die DSGVO inzwischen auch in anderen Regionen der Welt als Vorbild. Eine der größten Befürchtungen von Kritikern hat sich nicht bewahrheitet: US-Unternehmen haben Europa wegen der DSGVO nicht den Rücken gekehrt.
Demnach könnte sich die Verordnung zum Vorbild für andere Länder außerhalb der EU entwickeln. Das wäre im Übrigen auch im Sinne der global tätigen Unternehmen. Denn die haben kein Interesse an unzähligen „Standards“, weil unterschiedliche Regelungen höhere Kosten für deren Einhaltung verursachen.
Als ein europäisches Mammutprojekt in Sachen Datenschutz gestartet, hat die DSGVO in den vergangenen fünf Jahren viele Dinge in die richtige Richtung bewegt. Selbstverständlich kann so ein Gesetz nicht auf Anhieb jedes noch so kleine und dennoch wichtige Detail abdecken. Außerdem bedeuten fünf Jahre im Bereich der sich schnell wandelnden IT einen sehr langen Zeitraum. Bestimmte Entwicklungen sind damals noch gar nicht alarmierend gewesen.
DSGVO als sich stetig wandelnde Strategie begreifen
„Die DSGVO muss als ein Teil der Datenstrategie der EU angesehen werden. Um sie in eine zukünftige Datenstrategie der EU einzubeziehen, werden regelmäßige Anpassungen erforderlich sein“, macht Datenschutz-Experte Christof Kolyvas deutlich. Der Bochumer Rechtsanwalt verzeichnet seit der tatsächlichen Umsetzung der DSGVO im Jahr 2018 eine vermehrte Anzahl von Anfragen durch Unternehmen. In der bisherigen Praxis hat sich gezeigt: Die DSGVO hat den europäischen Datenschutz verbessert und einheitlicher gestaltet.
Es gibt allerdings immer noch eine Menge Graubereiche. Diese nutzen einige Unternehmen aus, um die Regelungen der DSGVO nach den eigenen Bedürfnissen auszulegen und anzupassen. Stichwort: „Privacy-Washing“. Der Begriff geht in eine ähnliche Richtung wie das in der Wirtschaft bekannte „Greenwashing“.
Beim „Privacy Washing“ handeln Unternehmen zwar laut den Bestimmungen DSGVO-konform. Doch dank der Graubereiche und juristischer Spitzfindigkeiten nutzen sie persönliche Daten immer noch zunächst für eigene, wirtschaftliche Zwecke. Der Schutz der Menschen steht erst an zweiter Stelle.
Anwalt erklärt WhatsApp ändert Datenschutzrichtlinien! Was Nutzer wissen müssen
Trotz DSGVO WhatsApp gibt Daten ab sofort an Facebook weiter
Dreist! Diese Daten greift WhatsApp von Ihrem Handy ab
KI macht DSGVO-Anpassungen erforderlich
In diesem Zusammenhang spielt auch das Thema Künstliche Intelligenz (KI) inzwischen eine dominante Rolle. Denn die DSGVO ist auch angetreten, um das sogenannte Profiling und die Macht von Algorithmen in den sozialen Medien einzudämmen. Hier sehen Datenschutz-Experten dringenden Nachholbedarf. Denn KI hat die gesamte Situation weiter verschlechtert. KI macht es Facebook oder Google noch einfacher, bestimmte „Bewegungsprofile“ von Menschen nur aufgrund von winzigen Datenspuren zu erstellen.
Deswegen mehren sich die Stimmen, die DSGVO vor allem in Sachen KI-Einsatz nachzuschärfen. Die bisherigen Leitlinien für die Erstellung von Datenprofilen stammen aus dem Jahr 2018 und bilden daher die aktuellen Entwicklungen im Bereich KI nicht mehr ab. Der EU ist das Problem seit Längerem ein Dorn im Auge. Daher laufen seit Mai 2022 im Rahmen des sogenannten Artificial Intelligence Act Bestrebungen, die KI-Auswüchse deutlich einzugrenzen. Die neue KI-Richtline soll dann parallel zur DSGVO gelten. Vielleicht gelingt es damit tatsächlich, die DSGVO als „Goldstandard“ in Sachen Datenschutz zu etablieren.