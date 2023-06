Zum fünften Geburtstag der Datenschutzgrundverordnung (DSGVO) ist schon viel geschrieben und gesagt worden, unter anderem hier bei heise online. Auch am c't-Datenschutz-Podcast Auslegungssache, in dem Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich seit nunmehr 87 Folgen die praktischen Auswirkungen der Verordnung erläutern, ist das Jubiläum nicht spurlos vorübergegangen. Zeit für ein Resümee, eine kleine Zwischenbilanz.

Zum Auftakt der Privacy-Ring-Tagung in Hannover, veranstaltet von der Universität Hannover und der Stiftung Datenschutz, fand der Podcast diesmal live vor Publikum statt. Zwei Gäste bereicherten die Runde mit ihrer Expertise zur Entwicklung der DSGVO: Rechtsanwältin Dr. Astrid Auer-Reinsdorff berät seit 2002 Unternehmen im IT- und Datenschutzrecht und ist in diesen Bereichen vielfältig tätig. Frederick Richter ist seit 2013 Vorstand der damals von der Bundesregierung neu gegründeten Stiftung Datenschutz, die laut Satzung als "unabhängige Informations- und Diskussionsplattform" fungiert.

Viel Verunsicherung

Die Auslegungssache diskutierte vor Publikum an der Uni Hannover, v.l.n.r.: Holger Bleich, Frederick Richter, Astrid Auer-Reinsdorff und Joerg Heidrich

Nachdem sich die muntere Runde zunächst mit dem "Bußgeld der Woche" – diesmal die 1,2-Milliarden-Strafe für Facebook – beschäftigte, ging es um die Befürchtungen, die 2018 mit der Datenschutzgrundverordnung einhergingen. Massenabmahnungen seien zwar ausgeblieben, aber der "one size fits all"-Ansatz habe für viel Verunsicherung gesorgt. "Leidtragende waren Schulen und Vereine, aber auch viele kleine Unternehmen", betonte Auer-Reinsdorff. Heidrich zeigte sich verärgert darüber, dass die Aufsichtsbehörden zum Start der Datenschutzgrundverordnung "kaum Hilfestellungen oder Handreichungen" zur Verfügung gestellt und damit zur Verunsicherung beigetragen hätten. Und wenn es Handreichungen gegeben habe, dann hätten diese eher Verbote als Anleitungen für rechtmäßiges Handeln enthalten.

Einig war sich die Runde aber auch darin, dass die DSGVO dem Datenschutz schnell zu mehr Aufmerksamkeit verholfen hat: "Es gab hier schon ein Datenschutzgesetz, das der DSGVO ähnlich war, aber keine ernsthaften Sanktionen. Vieles war auch vorher schon verboten, es hat nur niemanden interessiert", stellte Auer-Reinsdorff fest. Die gestiegene "Awareness" habe in den letzten fünf Jahren in vielen Bereichen grundsätzlich zu einem höheren Datenschutzniveau geführt, waren sich die Gesprächspartner einig. Dies könne als positiver Effekt der DSGVO verbucht werden.

Zu wenig Konsens

Konsens herrschte auch darüber, dass es zu wenig Konsens unter den Aufsichtsbehörden gebe. Frederick Richter hält dies zumindest auf internationaler Ebene für unvermeidlich: "Die verschiedenen Behörden in den Mitgliedsstaaten agieren nach unterschiedlichem Verwaltungsrecht und haben jeweils eine andere Aufsichtskultur, von einer einheitlichen Aufsicht kann also keine Rede sein." Aber auch innerhalb Deutschlands koche jede Behörde "ihr eigenes Süppchen" - manche legten Wert auf proaktive Beratung, andere auf die abschreckende Wirkung von Bußgeldern. Richter: "Hohe Bußgelder helfen aber in der Breite nicht; abschreckend wäre es, wenn es sehr viele kleine Bußgelder gäbe", aber dafür fehle die Kapazität.

