Kein Privacy-Paradies: Stärken und Schwächen der Datenschutzreform

Zwei Jahre sind seit der Einführung der europäischen Datenschutz-­Grundverordnung DSGVO ver­gangen. Was hat die große Datenschutzreform den Bürgern gebracht?

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 21 Beiträge
Von
  • Joerg Heidrich

Niemand, der sich für Ereignisse in der Welt von IT und digitaler Kommunikation interessiert, konnte die Einführung der DSGVO übersehen oder ignorieren. Seitdem ist der Schutz sensibler Informationen nicht nur in Fachkreisen ein großes Thema. So gut wie jedes Unternehmen hat sich mit Datenschutzanforderungen auseinandersetzen müssen. Prozesse wurden geprüft, Datenschutzbeauftragte benannt, Daten gelöscht, Vorgänge dokumentiert.

Die Sensibilität für den Umgang mit personenbezogenen Daten hat sich nach dem Mai 2018 allerorten erhöht. Dabei haben nicht zuletzt die horrenden Bußgelder eine Rolle gespielt, welche die DSGVO von Anfang an androhte und die inzwischen auch verhängt werden – wenn auch nicht allzu oft.

Datenschutz ist jedoch kein Selbstzweck. Er soll das Recht der Bürger auf informationelle Selbstbestimmung wahren. Nicht nur erlaubt, sondern auch sehr wichtig ist daher die Frage, was das neue Recht für Verbraucher, Netznutzer und Verwaltete gebracht hat.

Ein großer Fortschritt betrifft – zumindest theoretisch – den Bereich des tatsächlichen Umgangs mit Daten, also die Erfassung, Speicherung und Löschung. Gleiches gilt für Auskunftsvorschriften.

So dürfte jedes Unternehmen mit einem großen Anteil an Privatkunden inzwischen ein Verfahren zur Erteilung von Auskünften über die gespeicherten Daten entwickelt haben. Artikel 15 der DSGVO verpflichtet Unternehmen auf den ersten Blick zu umfangreichen Angaben über Inhalt und Herkunft, Weitergabe, Löschfristen und Zwecke der personenbezogenen Daten, die sie verarbeiten. Bei den von c’t durchgeführten Tests haben auch nahezu alle Unternehmen innerhalb der gesetzlichen Frist von einem Monat Auskunft erteilt, wenn auch nicht immer ausreichend. Bei näherem Hinsehen erlauben die Vorschriften der DSGVO den Unternehmen allerdings, sich bei wirklich kritischen Punkten vergleichsweise einfach aus der Affäre zu ziehen.

Nach dem Wortlaut der Vorschrift reicht es nämlich, Auskunft zu geben über „Empfänger oder Kategorien von Empfängern“ der gespeicherten Daten. Der Auskunftspflichtige braucht also nicht etwa detailliert alle Firmen zu nennen, an die er Informationen weitergibt. Er kann vielmehr etwa auf die Übermittlung an „ein Marketingunternehmen“, „einen E-Mail-Dienstleister“ oder „einen Cloud-Anbieter“ verweisen. Das ist hilfreich für die Unternehmen – erfüllt aber den eigentlichen Zweck für die Betroffenen kaum.

Als besonders problematisch zeigt sich die zentrale Rechtsgrundlage zur Erhebung von Daten in der DSGVO: die Einwilligung der Betroffenen. Wer es mit uneingeschränkter Selbstbestimmung ernst meint, dem könnte eine simple freiwillige Zustimmung des Betroffenen zur Datenverarbeitung als Basis dafür genügen, dass dessen Daten genutzt werden dürfen. Auf ähnliche Weise gilt ja auch die Zustimmung zu allgemeinen Geschäftsbedingungen (AGB) durch bloßes Ankreuzen eines Ja-Feldes schon seit Jahrzehnten normalerweise als wirksam – auch wenn man davon ausgehen kann, dass nur eine Handvoll Mutiger oder Verzweifelter die sperrigen AGB-Texte tatsächlich durchgelesen hat.

Beim Datenschutz kommt aber in der Theorie die Anforderung eines „informierten Verbrauchers“ hinzu. Ihm muss im Rahmen des Einwilligungsvorgangs erklärt werden, wer was mit seinen Daten vorhat. Nur so kann er entscheiden, wem er seine Daten gibt. Tatsächlich dürfte das kaum jemand lesen und die Zustimmung erfolgt in den allermeisten Fällen weitgehend automatisiert – beispielsweise bei Cookie-Bannern.

Hinzu kommt, dass die Einwilligung natürlich nicht immer freiwillig ist. Man denke etwa daran, dass im Rahmen eines Beschäftigungsverhältnisses kaum Chancen bestehen, den Vorgaben des Arbeitgebers nicht zuzustimmen. Aber schon wenn bei einer Website Funktionseinschränkungen drohen, wird ein Nutzer im Zweifelsfall lieber unbesehen alles erlauben.

Die Schöpfer der DSGVO gehen von einer eher paternalistischen Sicht auf den Datenschutz aus: Sie möchten den Nutzer gewissermaßen vor sich selbst schützen und schränken daher die Wirkung seiner Einwilligung vielfach ein – wie praxistauglich das Ergebnis ist, steht auf einem anderen Blatt.

Überhaupt sind Cookie-Banner ein gutes Beispiel dafür, wie sich eine gut gemeinte DSGVO-Regelung zu einer regelrechten Plage entwickeln kann: Natürlich ist es sinnvoll, Nutzer vor ungewolltem Profiling zu schützen. Ob hierfür aber die rechtlich ohnehin oft wurmstichigen Banner auf Webseiten das beste Mittel sind, ist zweifelhaft. Es hätte näher gelegen, den eigentlichen Verarbeitern dieser Daten in der Werbeindustrie Grenzen zu setzen.

Möchte man vonseiten der europäischen Politik dem Verbraucher etwas Gutes tun, so endet dies viel zu oft in der Einführung von immer wieder neuen Informationspflichten. Die DSGVO kennt umfangreiche Anlässe für lange Texte, etwa bei der Erhebung von Daten, deren Verarbeitung oder auch deren Löschung. Und wer würde es nicht lieben, ausufernde Rechtstexte im Detail zu lesen?

Ein gutes Beispiel für den Informationspflichten-Overkill sind die für jede Website obligatorischen Datenschutzerklärungen. Als Beispiel nehme man die Datenschutzhinweise von Heise Medien: Sie umfassen rund 85.000 Zeichen. Das entspricht ganzen 17 c’t-Druckseiten – ohne Bilder. Die Fülle von Informationen, die die Verantwortlichen bereitstellen müssen, ist nicht immer vorteilhaft für die Nutzer.

Eines der größten und immer noch weitgehend ungelösten Probleme der DSGVO ist das Verhältnis zwischen den strikten Vorgaben des Datenschutzes in Europa und der eher laxen Regulierung im größten Teil der USA. Eine Kernidee der europäischen Verordnungsschöpfer lag darin, dass amerikanische Unternehmen und deren Töchter, die sich auf dieser Seite des Atlantik engagieren wollen, der Regulierung der DSGVO unterliegen sollen. Diese Erwartungen haben sich in der Praxis aber als ärgerliche Fehleinschätzung erwiesen.

Die Schuld daran ist weniger in rechtlichen Gründen als vielmehr in politischer Vorteilsnahme zu suchen. Im Zentrum der Kritik stehen dabei die irische Regierung und ihre Datenschutzbehörde. Diese ist verantwortlich für die Regulierung nahezu aller Töchter der wichtigen amerikanischen IT-Unternehmen: Diese haben dort ihren Europa-Sitz. Irland steht vor allem für niedrige Steuersätze – und zugleich für große Zurückhaltung beim Durchsetzen datenschutzrechtlicher Vorgaben. Das hat zur Folge, dass die dort vertretenen Tech-Giganten ihre Produkte nahezu ohne Datenschutzregulierung auch auf dem europäischen Markt anbieten können.

Johannes Caspar, dem Datenschutzbeauftragten Hamburgs, platzte angesichts dieser ungleichen Regulierung in einem Interview mit der Wochenzeitung Politico Europe kürzlich regelrecht der Kragen. Er kündigte an, dass sein Amt darüber nachdenke, künftig schonender mit heimischen Anbietern wie dem Business-Netzwerk Xing umzugehen, solange LinkedIn, der US-Mitbewerber im Besitz von Microsoft, in laufenden Fällen von der irischen Behörde keine Sanktionen auferlegt bekommen habe.

Die öffentliche Diskussion hat vor allem die von der DSGVO vorgesehenen Bußgelder in den Mittelpunkt gerückt. Forderungen von über 14 Millionen gegen ein Immobilienunternehmen und über 9 Millionen gegen einen Telekommunikationskonzern haben für Schlagzeilen gesorgt. Die DSGVO enthält jedoch zudem eine Sanktion, die bislang noch nicht so bekannt ist, die aber gerade für Durchschnittsbürger an Bedeutung gewinnen wird: den Schadenersatzanspruch bei Datenschutzverstößen. Für Unternehmen kann es sehr teuer und regelrecht existenzbedrohend werden, wenn Betroffene solche Ansprüche stellen.

Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz. Das regelt Art. 82 der Verordnung. Die Voraussetzungen für eine Schadenersatzforderung sind denkbar einfach: Vorliegen müssen lediglich ein Verstoß gegen die DSGVO, ein materieller oder immaterieller Schaden des Betroffenen sowie ein Verschulden des Verantwortlichen oder des Auftragsverarbeiters.

In Erwägungsgrund 75 der DSGVO nennt die Europäische Union Beispiele für einen derartigen Schaden. Es kann um Fälle wie eine durch die Verarbeitung von Daten entstehende Diskriminierung gehen, einen Identitätsdiebstahl oder -betrug, einen finanziellen Verlust, eine Rufschädigung oder andere erhebliche wirtschaftliche beziehungsweise gesellschaftliche Nachteile. Welche Auswirkungen ein solcher Schaden in der Praxis haben muss, beschäftigt derzeit die Gerichte. So hat das Oberlandesgericht (OLG) Dresden Mitte 2019 entschieden, dass ein Bagatellverstoß keinen immateriellen Schadenersatz nach Art. 82 rechtfertige. Geklagt hatte ein Nutzer, der sich im Rahmen eines Social-Media-Angebots rassistisch geäußert hatte. Die Plattform hatte daraufhin das Posting sowie den Account des Klägers kurzfristig gesperrt. Einen Anlass für eine Geldentschädigung sah das OLG in dieser Sachlage allerdings nicht.

Anders entschied das Arbeitsgericht (ArbG) Düsseldorf in einem Fall aus dem Frühjahr 2020. Es sprach einem Arbeitnehmer einen DSGVO-Schadensersatzanspruch in Höhe von 5000 Euro zu. Der Mann hatte gegen seinen ehemaligen Arbeitgeber geklagt, da dieser ihm keine vollständige Datenauskunft nach Art. 15 DSGVO erteilt hatte. Sollte die Rechtsprechung sich beim Zusprechen von Schadenersatz für Datenschutzverstöße auf einer eher großzügigen Linie einpendeln, würde das ein hohes Risiko für Unternehmen bedeuten. Zwar liegen die Summen bislang meistens im unteren vierstelligen Bereich. Sobald jedoch etwa ein Datenleck Tausende von Nutzern in Mitleidenschaft zieht, stehen plötzlich große Summen im Raum. Hinzu kommt, dass bereits jetzt wendige Legal-Tech-Unternehmen bereitstehen, um solche Forderungen für Betroffene geltend zu machen.

Die genannten Probleme markieren nur einige der vielen Bereiche, die Potenzial für eine Verbesserung der DSGVO bieten. Allerdings konnte sich die europäische Politik im Rahmen der ersten Evaluation im Mai 2020 auf kaum mehr als Eigenlob verständigen. Die nächste Chance, den Datenschutz für Bürger zu verbessern, gibt es turnusgemäß erst 2024.

Dieser Artikel stammt aus c't 18/2020. (psz)