Drei Jahre DSGVO - Happy Birthday?

Am 25. Mai 2018 kam die EU-Datenschutz-Grundverordnung (DSGVO) nach zweijähriger Übergangsfrist zur Anwendung. Nachdem corona-bedingt die große Feier des Jahrestags leider ausfallen muss, lassen wir die Sektflaschen im Keller und werfen stattdessen zusammen mit Armin Laschet einen Blick in die Zukunft des Datenschutzes. Der Kanzlerkandidat der Union will diesen gerne „praxisnäher umsetzen“. Dies erklärte er bei der Tagung des Verbands kommunaler Unternehmen am 09.03.2021. Aber wie genau der Datenschutz reformiert werden müsse, führte er nicht weiter aus. Dennoch erfüllt mich seine Forderung mit Sorge.
Zur Frage woher diese Sorge rührt, sollten wir uns zunächst mit dem Begriff des Datenschutzes befassen.

Datenschutz dient keinem Selbstzweck

Das Wort „Datenschutz“ suggeriert, dass es hier um den Schutz von Daten geht. Dabei geht es eigentlich um den Schutz von uns, den Bürgerinnen und Bürgern. Es geht um die Wahrung unserer Grundrechte. Dies wird auch mit Blick in Artikel 1 DSGVO deutlich, in dem es heißt: „Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

Das Recht auf informationelle Selbstbestimmung, also das Recht grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu entscheiden, leitet sich in Deutschland aus dem allgemeinen Persönlichkeitsrecht, Artikel 2 GG, in Verbindung mit Artikel 1 GG ab. Der Datenschutz schützt unsere Privatsphäre und die freie Entfaltung der Persönlichkeit.
Das sollten wir uns in Diskussionen um ihn stets gewahr machen.

Was heißt „praxistauglich“?

Armin Laschet will nun also einen „praxistauglichen Datenschutz“. Grundsätzlich klingt das sehr vernünftig. Schließlich meldete der Branchenverband der deutschen Informations- und Telekommunikationsbranche Bitkom noch letzten September, dass die DSGVO laut einer Befragung von Bitkom Research in 78 Prozent der Unternehmen nach wie vor noch nicht vollständig umgesetzt sei.

Die Aussagen des Branchenverbands und die Ergebnisse der Befragung sollte man durchaus mit gewisser Vorsicht genießen. Schließlich kann den Unternehmen zugunsten der eigenen (und etablierten) Geschäftspraktiken durchaus ein Interesse an einem schwächeren und mit geringerem Aufwand verbundenen Datenschutz unterstellt werden. Dennoch zeigt die Befragung, dass nach wie vor Optimierungsbedarf besteht. Doch wo genau liegen die Probleme? Aus Sicht der Unternehmen gibt es drei besonders große Herausforderungen: Die Rechtsunsicherheit, zu viele Änderungen sowie die mangelnde Unterstützung durch die Aufsichtsbehörden.

Gerade die Aufsichtsbehörden könnten die Unternehmen bei der Umsetzung der DSGVO unterstützen. Jedoch mangelt es laut Bundesdatenschutzbeauftragten Ulrich Kelber an Personal. Beim Netzpolitischen Abend des Vereins Digitale Gesellschaft erklärte Kelber, dass die Bundesländer die Landesdatenschutzbehörden mit mehr Leuten ausstatten müssten, „damit die vor allem auch die Beratung und Information der Öffentlichkeit vorantreiben können und nicht nur mit Pflichtkontrollen und Beschwerdebearbeitung versehen sind.“

Es läuft also noch nicht alles rund und es besteht Überarbeitungsbedarf Status-Quo des Datenschutzes. Bis hierhin würde ich mit Laschet auch noch mitgehen. Und doch bereitet mir seine Forderung nach einem praxistauglicheren Datenschutz Unwohlsein. Um das nachzuvollziehen, sollten wir einen Blick auf die Arbeit der CDU-Abgeordneten während der Verhandlungen um die DSGVO werfen.

Die Website LobbyPlag.eu – ein Gemeinschaftsprojekt von OpenDataCity sowie der Initiative europe-v-facebook.org – hat dokumentiert, welche Änderungsanträge von den Abgeordneten während des Entstehungsprozesses der DSGVO eingebracht wurden und bewertet, ob sich diese stärkend, neutral oder schwächend auf den Datenschutz ausgewirkt hätten.

Das Ergebnis: Unter den deutschen Mitgliedern des Europäischen Parlaments haben die Vertreter der CDU am meisten Änderungsanträge eingebracht, welche die DSGVO abgeschwächt hätten.

Wenn Armin Laschet also davon spricht, den Datenschutz praxisnäher zu gestalten, mag das erstmal gut klingen. Nichtsdestotrotz sollten wir ihm meiner Ansicht nach kein blindes Vertrauen schenken, sondern ihm stattdessen genau auf die Finger schauen. Es wäre nicht das erste Mal, dass die Union die Abschwächung des Datenschutz billigend in Kauf nimmt oder gar aktiv vorantreibt. So beispielsweise auch im Rahmen der NRW Polizeigesetz-Novelle 2018 geschehen. Mit dieser Reform wurde unter anderem die Möglichkeit der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) geschaffen und die Möglichkeiten der polizeilichen Video-Überwachung ausgeweitet. Des Weiteren wurde das Instrument der „Strategischen Fahndung“ geschaffen, welches der Polizei gestattet unter bestimmten Voraussetzungen innerhalb eines festgelegten Gebiets Personenkontrollen und Identitätsfeststellungen durchzuführen sowie Einsicht in Fahrzeuge zu nehmen. Gerade diese Punkte wurden und im 24. und 25. Tätigkeitsbericht der Landesdatenschutzbeauftragen NRW scharf kritisiert. Der für das Gesetz verantwortliche, regierende Ministerpräsident in Nordrhein-Westfalen: Armin Laschet.

Mit diesem Wissen im Hinterkopf habe ich jedenfalls meine Zweifel, ob Reformen hin zu einem „praxistauglichen Datenschutz“, wie Laschet ihn will, nicht mit einer Aufweichung und Aushöhlung des Datenschutzes einhergehen würden. In dieser Hinsicht hat die Union mein Vertrauen verspielt.

Für einen besseren Datenschutz

Mit der DSGVO wurde ein großer Schritt für den Datenschutz getan. Und dennoch erkenne auch ich an, dass noch lange nicht alles rund läuft. Daher bleibt die Frage: Wie können wir zu einem besseren Datenschutz kommen? Wie können wir dafür sorgen, dass der Datenschutz auf Seiten der Unternehmen besser handhabbar wird, ohne dass dabei die Rechte von uns Betroffenen abgeschwächt werden?

Als einen Anfang hätte ich hierzu drei Vorschläge:

1. Die Unternehmen sollten in der Umsetzung des Datenschutzes nicht nur überwacht, sondern auch unterstützt werden. Hierfür braucht es mehr Personal in den Aufsichtsbehörden, die entsprechend verstärkt beratend agieren können. Davon würden nicht nur die Unternehmen, sondern auch wir Bürger*innen profitieren.
2. Die Information der Betroffenen darüber, welche Daten wie und zu welchen Zwecken erhoben und verarbeitet werden, sollte einfacher und verständlicher werden. Kein normaler Nutzer wird sich auf TikTok oder anderen Online-Diensten die mehrere tausend Wörter lange Datenschutzerklärung in Juristendeutsch durchlesen. Vielleicht wäre hier eine „Datenschutz-Ampel“, analog zur Nährwert-Ampel oder dem Nutri-Score eine Idee, die man diskutieren könnte.
3. Der pauschalen Datensammlung aus einem „berechtigten Interesse“ sollte ein Ende gesetzt werden. Durch geltend Machen eines derartigen berechtigten Interesses (bspw. für Direktwerbung) können Datenhändler aber auch viele Betreiber von Websites die Daten von Betroffenen ohne deren Information und Einwilligung sammeln und verwerten. Mit der kommenden E-Privacy-Verordnung der EU scheint diese Verbesserung aber schon auf dem Weg zu sein.

Das Ausloten des richtigen Maßes des Datenschutzes und die Frage nach der richtigen Umsetzung sind mit der Einführung der DSGVO nicht abgeschlossen. Dabei handelt es sich auch in Zukunft um ein fortlaufendes Projekt. Wir wären gut beraten, Aussagen von Politiker*innen zum Datenschutz stets und gerade jetzt in Zeiten des Wahlkampfs kritisch zu hinterfragen, so sinnvoll und einleuchtend sie im ersten Moment auch klingen mögen. Nicht alles, was als eine Verbesserung angekündigt wird, muss auch aus der Perspektive von uns Bürger*innen tatsächlich eine solche sein.

Es ist zu hoffen, dass wir in einigen Jahren mit einem gewissen Stolz auf den 25.05.2018 zurückblicken und in der DSGVO den Beginn einer größeren Entwicklung sehen – hin zu mehr Datenschutz und informationeller Selbstbestimmung. Dann bestünde in meinen Augen tatsächlich Grund zum Feiern.