3 Jahre DSGVO - ein Zwischenfazit
Vor drei Jahren, am 25. Mai 2018, trat die Datenschutzgrundverordnung (DSGVO) in Kraft. Die Grundidee der DSGVO ist, allen Nutzer:innen einen einfachen und praktischen Weg zu geben um ihre Grundrecht durchzusetzen. Bei noyb arbeiten wir daran, die DSGVO tagtäglich aus dieser Nutzerperspektive durchzusetzen.
Nach drei Jahren DSGVO fällt unser Zwischenfazit durchwachsen aus: Die DSGVO hat zweifelsohne das Thema Datenschutz stärker in den gesellschaftlichen Fokus gerückt und den Nutzer:innen gezeigt, dass sie auch in der digitalen Sphäre Rechte haben. Unternehmen wurden dazu gebracht, ihre Praktiken (oft zum ersten Mal) zu überprüfen.
Datenschutz als Papiertiger?
Rechte zu haben und Recht zu bekommen sind jedoch zwei völlig unterschiedliche Dinge: Genau wie unter den vorherigen Regelungen in der Datenschutzrichtlinie von 1995 (der Richtlinie 95/46) hat es die EU geschafft, ein fortschrittliches Gesetz zu erlassen, vor allem im internationalen Vergleich. Die Mitgliedsstaaten versagen aber weitgehend bei der Durchsetzung des europäischen Rechts. Dies führt zu "Datenschutz auf dem Papier", aber nicht auf den Smartphones oder Computern der Menschen.
Als Organisation, die sich auf die Durchsetzung von Datenschutzrechten spezialisiert hat, arbeiten unsere 10 Jurist:innen täglich mit der DSGVO. Wir sind regelmäßig mit Verfahren konfrontiert, deren Entscheidung Jahre dauert, besonders wenn Nutzer:innen ihre Rechte über nationale Grenzen hinweg durchsetzen wollen. Während einige Datenschutzbehörden gute Arbeit leisten, verweigern andere den Betroffenen überhaupt das Recht, ihre Beschwerde zu bearbeiten, geschweige denn das Recht der Nutzer:innen durchzusetzen. Da Unternehmen oft ihren Sitz in dem Mitgliedstaat anmelden, der für sie am günstigsten ist ("forum shopping"), leiden die Nutzer:innen in der gesamten EU unter der mangelhaften aber dringend notwendigen Zusammenarbeit zwischen den Datenschutzbehörden. Diese Länder bilden sprichwörtlich dann das schwächste Glied in der Kette.
In einigen Mitgliedsstaaten sind die Gerichte ebenso wenig gewillt, die Rechte der Betroffenen durchzusetzen. Es scheint auch oft in den Gerichten wenig Wissen über die DSGVO zu geben, wodurch Entscheidungen längst überwunden geglaubte juristische Debatten neu entfachen - zum Beispiel das Recht auf finanzielle Kompensationen für emotionale Schäden. Ebenso wenden Gerichte nationales Verfahrensrecht oft in einer Weise an, die die Durchsetzung der DSGVO nahezu unmöglich macht.
Diese Situation führt nicht nur zu groben Verstößen gegen die Rechte der Bürger:innen, sondern auch zu unlauterem Wettbewerb: einige Akteure auf dem europäischen Markt sehen nicht die Notwendigkeit, die Vorschriften einzuhalten, während sich andere vor empfindlichen Geldstrafen fürchten.
Kleinunternehmer
Nach drei Jahren wird deutlich, dass der "one size fits all"-Ansatz der DSGVO ungeeignet ist. Große Unternehmen drängten im Vorfeld auf ein einheitliches Regelwerk für alle Marktteilnehmer unabhängig ihrer Größe, damit auch sie nur mittlere Anforderungen erfüllen müssen. Besonders politische Parteien, die öffentlich für Unternehmensinteressen eintreten, folgten dieser Idee. Diese „mittleren Anforderungen“ überfordern aber viele kleine Unternehmen, die Daten in keinem nennenswerten Umfang verarbeiten, wären sie bei den großen IT-Konzernen nicht weit genug gehen.
Im Gegensatz zu anderen Vorschriften, die eine Abstufung nach Unternehmensgröße vorsehen, hat die DSGVO Großteils die gleichen Vorgaben für ein kleines Unternehmen und für Tech-Giganten wie Google oder Facebook. Dies führt zu hohen Belastungen für die große Mehrheit der Unternehmen, während die relevanten Akteure nicht ausreichend reguliert werden. Es scheint oft, also ob große datenverarbeitende Konzerne und vielleicht auch noch die Beratungsbranche profitieren. Dennoch hat kaum jemand Interesse daran, die DSGVO neu zu verhandeln. Zu schwer wiegt die (berechtigte) Sorge, dass große Konzerne und Lobbyisten jede solche Gelegenheit nutzen wird, um das Gesetz weiter auszuhöhlen.
Zusammenfassung
Europa kann sich damit rühmen, die fortschrittlichste Datenschutzgesetzgebung der Welt verabschiedet zu haben. Kleine Fehler im Gesetz und die mangelnde Durchsetzung führen jedoch zu berechtigter Frustration bei Nutzer:innen und kleinen Unternehmen. Es liegt an den Datenschutzbehörden und Gerichten, diese Probleme innerhalb des bestehenden Rechtsrahmens zu überwinden, um die DSGVO zu einem echten Erfolg zu machen. Wir freuen uns, mit unserer Arbeit bei noyb solche Änderungen täglich anzustoßen.