Statement zum 4. Jahrestag der DSGVO
DSGVO hat die Kultur des Rechtsbruchs nicht verändert. Als die Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft trat, wurde sie als Wendepunkt empfunden. Die Meinungen diesbezüglich reichten von Begeisterung, dass es die EU mit dem Datenschutz nun ernst meint und dass das Internet kurz vor dem Zusammenbruch steht. Die vergangenen vier Jahre haben vor allem gezeigt, dass ein Gesetz allein keine Geschäftsmodelle ändert, die auf dem Missbrauch personenbezogener Daten und einer Kultur innerhalb der Datenschutzbranche beruhen, die das Vertuschen des Rechtsbruchs in den Mittelpunkt stellt. Nach einem ersten Schockmoment hat ein großer Teil der Industrie gelernt, mit der DSGVO zu leben, ohne die Praktiken tatsächlich zu ändern: durch das Ignorieren die Rechte der Nutzer*innen.
Offener Spott und Feindseligkeit. Das Grundrecht auf Datenschutz wird nicht respektiert und als Ergebnis eines langen demokratischen Prozesses wahrgenommen, sondern als verrückt oder "unmöglich einzuhalten" verspottet. Behörden und gemeinnützige Organisationen, die das geltende Recht durchsetzen wollen, werden offen angefeindet und beschuldigt, „Innovation abzuwürgen". Kaum ein anderer Rechtsbereich wird in diesem Ausmaß politisiert - zumindest habe ich noch nie gehört, dass Bau- oder Steuervorschriften offen mit dem Argument ignoriert wurden, ihre Einhaltung würde "das Geschäftsmodell" eines Unternehmens unterminieren. In der Datenschutzcommunity werden solche Narrative jedoch als legitimes Argument akzeptiert.
Dynamik der DSGVO. Die DSGVO hat es (noch) nicht geschafft, aus einem bereits vorher bestehenden Zustand herauszukommen: eine Abwärtsspirale von immer mehr Rechtsbruch und fehlender Durchsetzung. So wie Teile von Städten zu kriminellen "No-Go"-Zonen werden und von der Polizei aufgegeben werden, scheint es, dass viele Datenschutzbehörden teilweise die Oberhand online verloren haben. Unternehmen erkennen, dass ihre Konkurrenten sich nicht an die Vorschriften halten und dass es sich nicht auszahlt, rechtsschaffen zu arbeiten. Je weiter sich die Nichteinhaltung der Vorschriften ausbreitet, desto schwieriger wird es für Behörden, mit begrenzten Ressourcen die Kontrolle zurückzugewinnen.
Mangelnde Durchsetzung durch die Datenschutzbehörden. Das Fehlen einer wirklichen Durchsetzung und die mangelnde abschreckende Wirkung auf Unternehmen gießt immer mehr Öl ins Feuer. Von den rund 50 europaweiten Fällen, die noyb in den letzten vier Jahren eingereicht hat, wurde bisher noch kein einziger entschieden. Ohne eine angemessene Durchsetzung wird es zunehmend schwieriger, die Situation wieder in den Griff zu bekommen. Während einige Behörden Angst haben kritisiert zu werden, wenn sie die Gesetze tatsächlich durchsetzen, scheinen andere Behörden die Situation erkannt zu haben und ihr Bestes zu tun, um in die Gänge zu kommen. Nichtsdestotrotz drängt die Zeit: Es scheint, dass wir uns einer Situation nähern, in der die DSGVO völlig ignoriert wird - genau wie die vorherige EU-Datenschutzrichtlinie von 1995.
Banale Probleme. In der Praxis leiden die Behörden (und die Nutzer:innen) oft unter sehr profanen Problemen, die durch unterschiedliche nationale Verfahren, begrenzte Ressourcen oder einem Mangel an geschultem Personal entstehen. Auch sehen wir immer mehr Gerichte, die Entscheidungen schnell wieder aufheben. Diese Themen werden öffentlich wenig diskutiert, sind aber der Grund dafür, dass sich noyb inzwischen mehr mit Prozessrecht als mit der DSGVO selbst befassen muss.
noyb: Erst ignorieren sie dich, dann bekämpfen sie dich, dann gewinnst du. In diesem Zusammenhang hat sich auch die Rolle von noyb interessant verändert: Viele Akteure in der Branche sehen es geradezu als Anmaßung, dass die Nutzer die Einhaltung der DSGVO verlangen und es auch tatsächlich wagen, ihre Rechte vor Behörden und Gerichen geltend machen. Während die Gerichte in der Regel das natürliche Habitat von Anwält:innen ist, erleben wir, dass diese sich zunehmend über unsere Arbeit empören. Ich persönlich sehe dies als ein Zeichen für unseren Erfolg als kleine Organisation, die noch vor ein oder zwei Jahren Großteiles ignoriert wurde.
Was liegt nun vor uns? Bei vielen Grundrechten hat es Jahrhunderte gedauert, sie zu etablieren, zu verteidigen und durchzusetzen. Sie sind ständig unter Beschuss und müssen jeden Tag aufs Neue verteidigt werden. Es sollte uns nicht überraschen, dass dies auch für den Datenschutz gilt. Die Behörden werden lernen müssen, dass niemand den „Bad Cop“ mag - aber dass auch diese Rolle gesellschaftlich von größter Bedeutung ist. Unternehmen werden lernen müssen, dass Rechtsbruch Konsequenzen hat. Industrieanwälte werden lernen müssen, dass ihre Ansichten vor Datenschutzbehörden und Gerichten hinterfragt werden. Die Gesellschaft wir lernen müssen, dass es nicht ausreicht, ein Gesetz zu erlassen, sondern dass wir es auch durchsetzen müssen.
Wir freuen uns darauf, auch in den kommenden Jahren daran zu arbeiten.