Die Datenschutz-Grundverordnung der EU regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen grundsätzlich neu. Vor einem Jahr war es dann soweit: Die DSGVO trat nach einer zweijährigen Übergangsfrist endgültig in Kraft. Im Schwerpunkt Ein Jahr DSGVO: eine Bilanz ziehen wir ein erstes Fazit über die Auswirkungen und stellen die Änderungen auf den Prüfstand.

Die Datenschutz-Grundverordnung dient einem verbesserten Grundrechtschutz der Bürgerinnen und Bürger. Die DSGVO soll den Datenschutz in allen EU-Mitgliedstaaten auf hohem und gleichem Niveau gewährleisten und damit den freien Datenverkehr in der EU erleichtern (Harmonisierung). Schließlich soll sie einen Beitrag zu einer gesellschaftlich und rechtlich akzeptablen Technikgestaltung leisten.

Natürlich ist ein Jahr für die valide Bewertung der Auswirkungen eines zugegebenermaßen komplexen Regelungswerks eine verdammt kurze Zeit, aber vieles spricht dafür, dass die Richtung stimmt. Die DSGVO hat ihre Ziele zwar bisher nicht vollständig verwirklicht, aber sie hat den Datenschutz weltweit vorangebracht. Sie regelt in allen EU-Mitgliedstaaten als direkt anwendbares Recht den Umgang mit personenbezogenen Daten von mehr als 500 Millionen Menschen.

Dass die DSGVO über Europa hinaus Wirkung entfaltet, zeigt sich etwa daran, dass sie inzwischen zu einer Blaupause für entsprechende Gesetze in mehreren US-Bundesstaaten, in Japan und in anderen Ländern geworden ist. Wenn inzwischen sogar die Chefs großer internationaler Internetkonzerne öffentlich für eine "GDPR like regulation" plädieren, belegt dies die Ausstrahlungskraft des europäischen Datenschutzmodells, wobei abzuwarten bleibt, ob es sich dabei um mehr als bloße Lippenbekenntnisse handelt.

Ein Kommentar von Peter Schaar Peter Schaar war von 2003 bis 2013 der Bundesbeauftragte für Datenschutz und Informationsfreiheit. Inzwischen ist er unter anderem Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz. mehr anzeigen

Grundrecht

Datenschutz ist ein Grundrecht, verbürgt durch Art. 8 der Europäischen Grundrechtecharta. Personenbezogene Daten sind keine beliebig verwertbare Handelsware, kein "neues Gold", das ohne Rücksicht auf die Betroffenen geschürft, angehäuft, ausgebeutet und verkauft werden darf.

Die vom Bundesverfassungsgericht schon 1983 in seinem Volkszählungsurteil formulierten Gefahren für die Menschenwürde und die freie Entfaltung der Persönlichkeit sind heute ganz real: Die lückenlose Registrierung unseres Verhaltens und immer aussagekräftigere Persönlichkeitsprofile bestimmen zunehmend unseren Alltag. Verbindliche Regeln sind für einen gesellschaftlich akzeptablen Umgang mit der Informationstechnologie deshalb unverzichtbar.

Was es bedeutet, eine datengetriebene Informationsgesellschaft ohne Rücksicht den auf den Daten- und Persönlichkeitsschutz voranzutreiben, können wir gerade in China beobachten: Umfassende Überwachung, Social Scoring, an der Parteilinie ausgerichtete Beeinflussungs- und Bestrafungssysteme bis hin zur Einweisung in so genannte "Umerziehungslager" gehen dort Hand in Hand.

Allein deshalb war es richtig und wichtig, dass sich die Europäische Union mit der DSGVO ein in allen Mitgliedstaaten verbindliches Regelwerk gegeben hat.

Aufwertung

Die DSGVO hat das Thema Datenschutz aufgewertet. Das kürzlich veröffentlichte Eurobarometer hat ergeben, dass mehr als zwei Drittel der EU-Bürgerinnen und -Bürger wissen, dass es Europäische Datenschutzvorschriften gibt. Die meisten Europäerinnen und Europäer wissen auch, dass die Einhaltung der Datenschutzvorschriften von unabhängigen Datenschutzbehörden kontrolliert wird. Kein Verantwortlicher in Wirtschaft und Staat kann sich heute noch darauf berufen, von datenschutzrechtlichen Pflichten nichts gehört zu haben.

Die Anzahl der Beschwerden bei den Datenschutzbehörden hat sich verdoppelt bis verdreifacht. Im ersten Jahr der Geltung der DSGVO haben sich mehr als 144.000 Bürgerinnen und Bürger mit Beschwerden und Anfragen an die Datenschutzbehörden der Mitgliedstaaten gewendet und mehr als 89.000 Datenschutzverstöße wurden gemeldet.

Zur erhöhten Aufmerksamkeit beigetragen hat eine lebhafte öffentliche Diskussion über bestimmte Regelungsinhalte. Natürlich ist dabei auch Kritik geäußert worden, die bisweilen sogar skurrile Züge angenommen hatte (Abbau von Klingelschildern, Fotoverbote im Kindergarten, Informationspflicht bei der Entgegennahme von Visitenkarten; siehe hierzu das Gutachten von Alexander Dix und mir vom 16. Mai 2019).

Unsicherheiten

Viele der heute diskutierten rechtlichen Unsicherheiten sind aber der Tatsache geschuldet, dass die Regierungen der EU-Mitgliedstaaten, allen voran die deutsche Bundesregierung, eine Vielzahl von "Öffnungsklauseln" in die DSGVO hineinverhandelt haben. Der so verbliebene nationale Regelungsspielraum wird in den Mitgliedstaaten unterschiedlich genutzt und führt zu erheblichen Unsicherheiten.

Manche Rechtsunsicherheit ist darauf zurückzuführen, dass die Vorgaben des EU-Rechts nicht in nationales Recht umgesetzt wurden. Besonders ärgerlich ist es, dass der deutsche Gesetzgeber keinerlei Ambitionen erkennen lässt, die Datenverarbeitung öffentlicher Stellen auf das europarechtlich gebotene Niveau anzuheben. Vielmehr werden bestehende staatliche Befugnisse zur Datenverarbeitung konserviert oder sogar ausgebaut. Das zeigt sich etwa bei den Entwürfen der Bundesregierung zum Melderecht und zur IT-Sicherheit. Auch die Arbeitsverweigerung des Bundesgesetzgebers beim Beschäftigtendatenschutz und beim Ausgleich zwischen der Meinungs- und Informationsfreiheit einerseits und dem Datenschutz andererseits führt zu erheblicher Verunsicherung.

Nächste Schritte

Den Datenschutzbehörden wurden durch die DSGVO zahlreiche neue Aufgaben zugewiesen. Verglichen damit ist ihre Personalausstattung vielfach immer noch völlig unzureichend. Angesichts der zentralen Bedeutung des Europäischen Datenschutzausschusses halte ich auch das andauernde Versäumnis des Bundesrats für skandalös, einen Ländervertreter zu benennen.

Für besonders ärgerlich halte ich die aktuell erhobenen Forderungen zur Lockerung oder sogar Aufhebung der Bestellpflicht betrieblicher Datenschutzbeauftragter. Die Aufregung über diese seit Jahrzehnten in Deutschland bestehende Verpflichtung ist in erster Linie damit zu erklären, dass manche Datenschutzregeln zu wenig bekannt waren und vielfach nicht befolgt wurden. Diese Verpflichtung jetzt zurückzunehmen, wäre ein völlig falsches Signal.

Alles in allem lässt sich heute bilanzieren, dass die Europäische Union – anders als in anderen Politikbereichen – mit der DSGVO ihre Handlungsfähigkeit demonstriert hat. Es ist zu hoffen, dass diesem wichtigen Schritt weitere folgen, insbesondere im Hinblick auf die seit Jahren diskutierte ePrivacy-Verordnung. (jk)