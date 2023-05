In wenigen Tagen, am 25. Mai 2023, ist die Datenschutz-Grundverordnung (DSGVO) seit genau fünf Jahren in Kraft. Das Normenwerk mit 99 Artikeln und 173 erläuternden Erwägungsgründen polarisiert bis heute: Für die einen ist es ein Ausbund an Bürokratie, die aufgrund der enthaltenen Einwilligungsklausel im nervtötenden Abklicken von Cookie-Bannern gipfelt. Andere sehen in der Verordnung, deren Beschluss von einem heftigen Lobby-Streit begleitet war, einen weltweiten Goldstandard beim Absichern der Privatsphäre der Bürger.

Anwaltskampagnen statt Abmahnwellen

Webseitenbetreiber denken angesichts der fünf Buchstaben an die viele Zeit, die sie aufwenden mussten, um eine mehr oder weniger konforme Datenschutzerklärung mit dem Aufzählen etwa von Auskunftsrechten zu fabrizieren, von denen vermutlich bei kleineren Online-Projekten nie jemand Gebrauch machen wird. Lang ist das Kabinett der Kuriositäten, das mit der DSGVO in Verbindung gebracht wird. Etwa gecancelte Livestreams oder die unvermeidlichen Hinweise auf Veranstaltungen, dass dort fotografiert wird. Reißerische Berichte, dass Klingelschilder mit Namen nicht mehr erlaubt und persönliche Daten von Visitenkarten nicht ohne Weiteres verwendet werden dürften, wiesen die Aufsichtsbehörden rasch als Unfug zurück.

Die anfangs vielfach befürchteten Abmahnwellen sind größtenteils ausgeblieben. Ausnahme sind vor allem die Anwaltskampagnen aufgrund des unbedarften Einsatzes von Google-Fonts auf Webseiten, durch die personenbezogene Daten von Besuchern in die USA übertragen werden können. Doch mittlerweile ermittelt etwa die österreichische Wirtschafts- und Korruptionsstaatsanwaltschaft gegen Rädelsführer. Auch in Deutschland wurden im Dezember Durchsuchungs- und Arrestbeschlüsse gegen einen Berliner Anwalt und einen Mandanten vollstreckt. Ein selbsterkorener Bürgerrechtsverein pickte sich zudem eine Zeit lang Unternehmen raus, die ein Kontaktformular ohne SSL-Verschlüsselung auf ihrem Online-Auftritt hatten.

Künstliche Intelligenz im Visier der Datenschützer

"Die gezielte Panikmache nach dem Beschluss der Datenschutz-Grundverordnung hat sich gelegt", erklärt die EU-Abgeordnete Birgit Sippel, die am Dienstag auf einem Panel bei einer Veranstaltung zum 5. Jahrestag von Datenschutzbeauftragten in Brüssel sitzen wird, gegenüber heise online. "Viele Firmen haben ihre Regeln angepasst." Einige versuchten aber weiterhin, die DSGVO zu umgehen.

Zumindest in mehreren Mitgliedstaaten seien die unabhängigen Datenschutzbehörden besser ausgestattet worden, um Kontroll- und Unterstützungsfunktion angemessen ausüben können, sagt Sippel. Diese Entwicklung müsse angesichts zunehmender Digitalisierung und der Verbreitung von Systemen für Künstliche Intelligenz (KI) unbedingt weiter gehen. Doch problematisch wird es laut der Koordinatorin der Sozialdemokraten im Ausschuss für bürgerliche Freiheiten, Inneres und Justiz des EU-Parlaments, wenn in verschiedenen Gesetzen unterschiedliche Kontrollbehörden benannt werden. So hat die Legislative etwa mit dem Digital Services Act (DSA) neue Aufsichtsgremien eingeführt.

Interesse am Schutz der Bürger in der EU schwindet

"Ebenso wichtig ist, dass Datenschutz und damit der Schutz von Grundrechten nicht zunehmend wirtschaftlichen Interessen geopfert werden darf", betont Sippel. Die SPD-Politikerin denkt dabei etwa an einen Wandel von einer "Rechte-basierten Herangehensweise" zu einer Gesetzgebung, die nur noch auf einzelne Risiken abstellt. Besorgniserregend sei auch die Manipulation von Nutzern durch Designtricks wie "Dark Patterns", um ihnen ihre vielfach nötige freiwillige und informierte Einwilligung abzunehmen.

Leider schwindet laut Sippel das Interesse am Schutz der Bürger beim EU-Ministerrat und der Kommission in Brüssel stetig. Das zeige sich auch darin, dass die EU-Staaten von den digitalen Dossiers ausgerechnet die geplante E-Privacy-Verordnung zum Schutz der Vertraulichkeit der elektronischen Kommunikation blockierten. Sie arbeite unermüdlich daran, die Regeln doch noch Wirklichkeit werden zu lassen, ließ die Verhandlungsführerin im März wissen. Das Gleiche könne sie über die schwedische Ratspräsidentschaft nicht sagen. Auch die Kommission müsse hier ihre Rolle als Hüterin der Verträge stärker ausfüllen. Die Leistung, dass die EU Datenschutz mit der DSGVO in vielen Ländern neu auf die Agenda gesetzt habe, sollte sie selbstbewusst verteidigen.

Die DSGVO – ein Papiertiger?

Auch Sippels Kollege von der Piratenpartei, Patrick Breyer, erinnert daran, dass die E-Privacy-Vorschriften etwa mit Ansätzen gegen Nutzer-Tracking ursprünglich bereits im Mai 2018 parallel zur DSGVO in Kraft treten sollten. Sie würden das Basisgesetz in Bereichen wie der Smartphone-Nutzung und Online-Diensten ergänzen. Die Verzögerungstaktik der Regierungen und das Tauziehen mit der Wirtschaft etwa aufgrund deren Werbeinteressen hinter den Kulissen sei hier unverantwortlich: Der "gläserne Kunde" und der "Überwachungskapitalismus" im Netz gehörten als Irrweg der Geschichte abgeschafft.

Sinnvoll findet Breyer an der DSGVO vor allem die Pflicht, Systeme von Anfang an datenschutzfreundlich anhand der Prinzipien Privacy by Design und by Default zu entwickeln. Denn nur, wenn von vornherein möglichst wenig Daten erhoben, gespeichert und geteilt werden, sei die Privatsphäre sicher. Dieser Schutz dürfe aber nicht nur auf dem Papier bestehen, sondern müsse auch durchgesetzt werden. Die Piraten mahnten daher schon seit Jahren eine bessere Ausstattung der Datenschutzbeauftragten an, gerade auch in Deutschland. Hier fehle es der Bundesdatenschutzbehörde bis heute auch an Durchsetzungsbefugnissen gegenüber Telekommunikationsanbietern, weswegen er Beschwerde bei der Kommission eingereicht habe.