Ein Jahr DSGVO: Zwölf Monate, zwölf Meinungen

Seit einem Jahr gilt die Datenschutzgrundverordnung. Wir haben Expertinnen und Experten aus der digitalen Zivilgesellschaft gefragt, wie sie die ersten 365 Tage bewerten und wie es mit dem europäischen Datenschutz weitergehen muss. Klar ist für alle: Da geht noch viel mehr.

Gemeinfrei-ähnlich freigegeben durch unsplash.com Christian Wiediger (Bearbeitung: netzpolitik.org)

Seit einem Jahr gilt die Europäische Datenschutzgrundverordnung und wir können zwei Dinge feststellen. Erstens ist das von einigen prognostizierte DSGVO-Armageddon ausgeblieben. Trotz des Kommunikationsdebakels um ihren Start, trotz des Medienhypes um bizarre Auswüchse, und trotz tatsächlich geschlossener Blogs.

Allerdings ist zweitens bisher auch die große Datenschutzwende ausgeblieben. Zwar sind die Bürgereingaben bei den Aufsichtsbehörden stark gestiegen und Nichtregierungsorganisationen haben erste Verfahren gegen Datenkonzerne und -händler angestoßen. Zu grundlegenden Veränderungen an deren Geschäftsmodellen hat das bisher aber nicht geführt. Tatsächlich sind Verstöße gegen die DSGVO an der Tagesordnung – sei es bei Facebook oder bei der Sparkasse. Und auch im Netz haben Menschen weiterhin oft keine Wahl, als sich dem Tracking zu beugen oder selbst Gegenmaßnahmen zu ergreifen.

Wie zufrieden kann die EU also mit ihrer Verordnung sein? Spätestens in einem Jahr soll eine offizielle Evaluierung vorliegen. Wirtschaft, Aufsichtsbehörden und Wissenschaft haben kein Problem, dabei Gehör zu finden. Weniger im Fokus stehen hingegen die Perspektiven von Nutzer:innen und Bürger:innen. Wir haben deshalb zwölf nationale und internationele Vertreter:innen der digitalen Zivilgesellschaft gefragt, worauf es jetzt nach dem ersten Jahr DSGVO ankommt. Hier sind ihre Antworten:

Von links nach rechts: Katharina Nocun, Wolfie Christl, Thilo Weichert und Beata Hubrig.
Von links nach rechts: Katharina Nocun, Wolfie Christl, Thilo Weichert, Beata Hubrig. Alle Rechte vorbehalten Diverse

Katharina Nocun (Aktivistin): „Selbst die DSGVO wird den großen Datenschutzproblemen nicht gerecht.“

Ein Jahr nach dem angeblichen Weltuntergang leben wir alle noch und stellen überrascht fest: So viel hat sich in den meisten Bereichen gar nicht geändert. Ein Großteil der Vorgaben der DSGVO entsprechen dem Bundesdatenschutzgesetz. Höhere Strafen und strengere Vorgaben für informierte Einwilligungen sind zwar ein echter Schritt nach Vorne. Doch selbst die DSGVO wird den großen Datenschutzprobleme unserer Zeit eigentlich nicht gerecht. Hier bräuchte es flankierend starke Regeln für die ePrivacy.

Spätestens seit Cambridge Analytica muss zudem klar sein: Wir brauchen Rote Linien dafür, wie weit personalisierte Werbung gehen darf. Und in welchen Bereichen sie grundsätzlich tabu sein sollte. Denn die Grenze zwischen personalisierter Werbung und psychologischem Profiling ist längst fließend. Nach einem Jahr DSGVO können wir festhalten: Es lohnt sich, beim Datenschutz mutiger zu sein und mehr zu einzufordern.

Katharina Nocun ist Publizistin und eine der bekanntesten Datenschutzaktivistinnen des Landes. Unter anderem verantworte sie bei Campact die Asyl-für-Snowden-Kampagne und war Beschwerdeführerin vor dem Bundesverfassungsgericht gegen die Bestandsdatenauskunft.

Wolfie Christl (Aktivist): „Der kommerzielle Massendatenmissbrauch geht weiter.“

Die DSGVO ist ein Kompromiss nach jahrelangen Lobby-Kriegen. Es war immer klar, dass sie weder den Überwachungskapitalismus abschaffen noch die extreme Macht der Plattformen brechen wird. Aber sie geht nicht mehr weg, und sie ist ein Fortschritt, weil sie zum ersten Mal Regeln eingeführt hat, die potenziell auch wirklich durchgesetzt werden können. Das war lange überfällig, denn Einzelne haben heute keinerlei Chance mehr, die permanente Datenauswertung zu verstehen oder ihr gar zu entkommen. Der Start war schlecht, wegen unzureichender nationaler Anpassungsgesetze und weil viel zu wenig Mittel für Information, praktische Auslegung und Hilfestellung für kleinere Datenverarbeiter zur Verfügung gestellt wurden.

Nach einem Jahr herrscht nach wie vor Verunsicherung auf der Alltagsebene. Leider ist es bisher auch nur ungenügend gelungen, das Wild-West des kommerziellen Massendatenmissbrauchs in den Griff zu bekommen. Websites und Apps übertragen nach wie vor Daten an unzählige Drittparteien. Ich habe Verständnis dafür, dass heikle Fälle mit weitreichenden Folgen für zukünftige Auslegung Zeit benötigen. Aber es braucht nun dringend Präzedenzfälle mit massiven Sanktionen, von Online-Marketing bis zu den großen Plattformen. Dafür benötigen die Aufsichtsbehörden viel mehr Mittel, und sie müssen endlich Risiken eingehen.

Wolfie Christl ist Privacy-Forscher und Aktivist. Er hat sich der Aufklärung über die Strukturen des Überwachungskapitalismus verschrieben und prägt mit seinen Studien auch die internationale Debatte.

Thilo Weichert (Netzwerk Datenschutzexpertise): „Die Aufsichtsbehörden müssen sich endlich die großen Internetkonzerne vorknöpfen.“

Die Hausaufgaben, die die DSGVO uns stellt, sind weder in Europa noch in Deutschland abgearbeitet: In Europa fehlen noch die ePrivacy-Verordnung sowie viele spezifische Datenschutzregelungen, bei denen sich die Nationalstaaten überfordert zeigen, etwa zur Verarbeitung von Gesundheitsdaten oder zur Forschungsprivilegierung. Die Aufsichtsbehörden müssen sich endlich die großen Internetkonzerne vorknöpfen.

In Deutschland müssen diese Aufsichtsbehörden erst einmal angemessen ausgestattet werden, wozu mindestens eine Verdoppelung des Personals gehört. Damit ließe sich endlich auch eine sinnvolle Zertifizierung realisieren. Gesetzgeberisch liegt vieles im Argen, etwa die teils verfassungs- und europarechtswidrige Füllung der Öffnungsklauseln oder das Fehlen eines Beschäftigtendatenschutzgesetzes.

Thilo Weichert war bis 2014 Datenschutzbeauftragter vom Schleswig-Holstein. Seitdem bringt er sich im Rahmen des Netzwerks Datenschutzexpertise mit Gutachten und konkreten Vorschlägen in die Debatte ein.

Beata Hubrig (Anwältin): „Wir brauchen Öffentlichkeit für die unangenehmen Folgen von Datenschutzverstößen.“

Nachdem das Probejahr vorbei ist, sollten wir ein neues Kapitel aufschlagen und den abstrakten Regelungen mehr Leben einhauchen. Dabei denke ich besonders an das allgemein Überwachungsverbot und die strenge Zweckbindung bei der Datenverarbeitung. Wir sollten vermehrt Geschichten an die Öffentlichkeit bringen, aus denen die unangenehmen Folgen für Bürger erkennbar sind, wenn gegen diese Regelungen verstoßen werden.

Dabei liegen mir zwei Bereiche besonders am Herzen: 1. Wie werden wir wirtschaftlich manipuliert, nachdem unsere personenbezogenen Daten von Privatunternehmen ausgewertet wurden? 2. Wann werden die Akten der unzähligen Überwachungen des Verfassungsschutzes der Bundesrepublik zugänglich gemacht? Muss ein Staat, der sich Rechtsstaat nennt, erst untergehen, damit eine „Gauck-Behörde“ eingerichtet wird?

Beate Hubrig ist Rechtsanwältin mit den Schwerpunkten Urheberrecht und Datenschutz. Neben ihrer beruflichen Tätigkeit klärt sie in Vorträgen über die DSGVO auf und entwickelte gemeinsam mit dem Chaos Computer Club einen Generator zur Beantwortung unberechtigter Urhberrechtsabmahnungen.

Von links nach rechts: Ailidh Callander, Kirsten Fiedler, Estelle Masse und Katarzyna Szymielewicz.
Von links nach rechts: Ailidh Callander, Kirsten Fiedler, Estelle Masse, Katarzyna Szymielewicz. Alle Rechte vorbehalten Diverse

Ailidh Callander (Privacy International): „Die DSGVO ist das Fundament, nicht die Decke.“

Was wir jetzt brauchen, ist zum einen die proaktive Umsetzung der DSGVO durch Unternehmen. Sie müssen beispielsweise die Anforderungen von „Datenschutz by design“ und „by default“ umsetzen. Gleichzeitig sehen wir, wie viele Unternehmen an vorderster Front dagegen kämpfen, dass die Reformen zum Schutz unserer Daten im digitalen Zeitalter abgeschlossen werden. Ein klares Beispiel ist die ePrivacy-Verordnung. Doch auch die Regierungen müssen sich beweisen. Von der vollständigen Umsetzung der DSGVO und der Strafverfolgungsrichtlinie bis hin zur Schließung von Schlupflöchern, etwa Ausnahmen für politische Parteien. Entscheidend ist, dass sie der Zivilgesellschaft die Möglichkeit geben, Sammelklagen einzureichen. Ohne diese ist eine wirksame Umsetzung der DSGVO kaum möglich.

Auch wenn Untersuchungen und Verfahren eine Weile brauchen, ist es nach einem Jahr an der Zeit, dass die Aufsichtsbehörden ihre ausgebauten Befugnisse nutzen und Maßnahmen zur Durchsetzung ergreifen. Erste Schritte haben wir bereits erlebt, gerichtliche Klärungen werden folgen. Mit Datenschutzgesetzen und Reformen auf der Agenda vieler Länder außerhalb der EU gibt es Anstrengungen, das Datenschutzrecht auch weltweit zu stärken. Diese Gesetze müssen so stark wie möglich sein. Für alles weitere sollten wir die DSGVO nicht als die Decke, sondern als das Fundament verstehen. [Unsere Übersetzung]

Ailidh Callander ist Legal Officer bei Privacy International und dort für den Bereich Datenschutzregulierung zuständig. Die Nichtregierungsorganisation mit Sitz in London hat nach dem 25. Mai 2018 mehrere Verfahren gegen Datenhändler und Werbefirmen angestoßen.

Kirsten Fiedler (European Digital Rights): „Wir sind noch weit davon entfernt, die Datensammlung zu durchblicken.“

Mit der DSGVO haben wir 2016 Regeln bekommen, die die Rechte von Nutzer:innen stärken und auf alle Arten von Technologien angewendet werden können, sobald unsere Daten verarbeitet werden und solange wir als Nutzer:innen in der EU ansässig sind. Leider sind wir aber noch weit davon entfernt, das Ausmaß der Datensammlung und -auswertung zu durchblicken. Intransparente Geschäftspraktiken führen weiterhin dazu, dass das Verhalten von Nutzer:innen ständig beobachtet wird und in umfassenden Profilen unglaubliche Mengen sensibler Daten zusammengeführt werden.

Seit der DSGVO dürfen Algorithmen allerdings nicht mehr allein darüber entscheiden, ob wir zum Beispiel keinen Kredit, keinen Job oder ein bestimmtes Produkt nicht angezeigt bekommen. Außerdem können wir seit der DSGVO nun verlangen, die Logik, die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidung zu erfahren. Die Mitglieder von European Digital Rights kämpfen daher in den Europas Mitgliedstaaten mit Beschwerden bei den Aufsichtsbehörden gegen Geschäftsmodelle an, die weiterhin auf verstecktem Tracking und voraussagendem Profiling basieren. Leider fehlen den Behörden derzeit jedoch die ausreichende Finanzierung und spezialisiertes Personal, um die Regelungen effizient zu überwachen und durchzusetzen – das muss sich ändern!

Kirsten Fiedler war lange Zeit Geschäftsführerin von European Digital Rights. Die NGO mit Sitz in Brüssel ist ein Zusammenschluss digitaler Bürgerrechtsorganisationen aus ganz Europa.

Estelle Masse (Access Now): „Die Umsetzung in einigen Staaten ist ein Problem.“

Im ersten Jahr der Umsetzung der Datenschutzgrundverordnung ist die Bilanz durchwachsen. Wir haben die ersten positiven Auswirkungen der DSGVO gesehen: Menschen, die in der EU leben, haben von ihren Rechten Gebrauch gemacht, eine große Zahl von Beschwerden bei den Behörden eingereicht und die Datenschutzbehörden haben langsam begonnen, das Gesetz umzusetzen, indem erste Geldbußen verhängt wurden. Aber wir haben auch große Probleme bei der Umsetzung gesehen.

Mehrere Mitgliedstaaten haben die im Rahmen der DSGVO verfügbaren Flexibilitäten und Ausnahmen sehr breit ausgelegt, die nun zu einer Zersplitterung des Schutzniveaus für die betroffenen Personen in der gesamten EU führen könnten. Im schlimmsten Fall haben einige wenige Mitgliedstaaten nationale Maßnahmen ergriffen, die im Widerspruch zu Geist, Ziel und Text der DSGVO stehen. Die DSGVO wird nur so stark sein wie ihr schwächstes Glied. Um zu vermeiden, dass die Vorteile des Gesetzes für die Nutzer:innen beeinträchtigt werden, muss sich die EU-Kommission nun frühzeitig aller Umsetzungsprobleme annehmen.

Für die meisten war 2018 das Jahr des Erwachens des Datenschutzes in Europa. Damit die DSGVO ihr Potenzial voll ausschöpfen kann, muss 2019 das Jahr der Umsetzung sein. Ein Großteil dieser Verantwortung liegt bei den Datenschutzbehörden, die schnell und koordiniert handeln müssen. Das bedeutet, dass die Mitgliedstaaten für diese Behörden angemessene Mittel und Personalausstattung bereitstellen müssen, damit sie ihre Aufgaben effektiv erfüllen können. [Unsere Übersetzung]

Estelle Masse ist Senior Policy Analyst and Global Data Protection Lead bei Access Now. Die NGO setzt sich weltweit für Menschenrechte und ein offenes und freies Internet ein.

Katarzyna Szymielewicz (Panoptykon Foundation): „Datenschutzbehörden, Zivilgesellschaft und Wissenschaft müssen zusammenarbeiten.“

Die DSGVO lässt keinen Zweifel daran, dass wir als Einzelpersonen das Recht haben, personenbezogene Daten zu kontrollieren, die durch Algorithmen und statistische Analysen erzeugt wurden. Wir können auch eine Erklärung der Logik hinter der Verwendung von Algorithmen verlangen, wenn sie zu Entscheidungen mit erheblichen Auswirkungen führen. Das sind solide Prinzipien und gute Ausgangspunkte für strategische Rechtsverfahren. Wir müssen jedoch ehrlich zugeben, dass wir ein Jahr nach Inkrafttreten der DSGVO noch lange nicht in der Lage sind, diese Black Boxes zu öffnen.

Mit der Panoptykon Foundation haben wir erste Beschwerden eingereicht, die solche Werbemodelle, die auf konstantem, verstecktem Tracking und voraussagendem Profiling basieren, infrage stellen. Bei unseren Untersuchungen dieser komplexen Daten-Ökosysteme mussten wir feststellen, dass es Barrieren gibt, die nur starke Behörden überwinden können. Ohne Zugriff auf Server, Datenbanken und Code können wir zwar raten, aber keine zuverlässigen Beweise vorlegen. Hier müssen Datenschutzbehörden, Zivilgesellschaft und Wissenschaft über konkrete Fälle hinaus zusammenarbeiten. [Unsere Übersetzung]

Katarzyna Szymielewicz ist Mitgründern der polnischen digitalen Bürgerrechtsorganisation Panoptykon Foundation. Nach dem 25. Mai 2018 brachte die NGO Verfahren gegen die Online-Werbesysteme des International Advertising Bureau und Google ins Rollen.

Von links nach rechts: Benjamin Bergemann, Peter Schaar, Kerstin Demuth und Klaus Müller.
Von links nach rechts: Benjamin Bergemann, Peter Schaar, Kerstin Demuth, Klaus Müller Alle Rechte vorbehalten Diverse

Benjamin Bergemann (Digitale Gesellschaft): „Den Wächtern des Datenschutzes fehlen die Ressourcen“

Die DSGVO ist das Beste, was wir haben, um die Macht der großen Datenverarbeiter und die daraus resultierenden Risiken für unsere Grundrechte, Rechtsstaatlichkeit und das demokratische Gemeinwesen in den Griff zu bekommen. Leider wird die Anwendung der DSGVO diesem Anspruch noch nicht gerecht. Viel zu oft ging es im Jahr 1 der DSGVO um Lappalien, die mit den wichtigen Fragen der Datenmacht wenig zu tun haben. Dieser falsche Fokus resultiert nicht nur aus einem Missverständnis über das Ziel des Datenschutzes oder gezielter Öffentlichkeitsarbeit derjenigen, die an einer Schwächung des Datenschutzes interessiert sind. Er ist vor allem ein Ressourcenproblem.

Den Wächtern des Datenschutzes fehlen die Mittel, um sich mit den wirklich relevanten Problemen wie exzessiver, zweckentfremdeter und nicht überprüfbarer Datenverarbeitung zu beschäftigen. Die Bundes- und Landesregierungen, Stiftungen und Spender müssen Geld in die Hand nehmen, damit Datenschutzaufsichtsbehörden, Verbraucherschutzverbände und NGOs die Großen an den Maßstäben der DSGVO messen können.

Benjamin Bergemann ist ehrenamtlicher Vorstand des Vereins Digitale Gesellschaft. Die Berliner NGO setzt sich für Grund- und Bürgerrechte in der digitalen Gesellschaft ein.

Peter Schaar (Europäische Akademie für Informationsfreiheit und Datenschutz): „Der Trend zu immer mehr staatlicher Überwachung ist ungebrochen“

Dass mit der DSGVO der Datenschutz in den EU-Ländern vereinheitlicht wurde, bewerte ich uneingeschränkt positiv. Leider haben aber mehrere EU-Länder – allen voran Deutschland und Österreich – die von ihnen durchgesetzten DSGVO-Öffnungsklauseln überwiegend nicht im Sinne eines besseren Datenschutzes genutzt. Die Gesetzgebung folgte stattdessen primär dem Ziel, mehr Datenverarbeitung zu ermöglichen, Betroffenenrechte einzuschränken und – das gilt insb. für Österreich – eine effektive Datenschutzaufsicht zu erschweren.

Auch der Trend zu immer mehr staatlicher Überwachung ist ungebrochen. Gleichzeitig fehlen in zentralen Bereichen klare gesetzliche Vorgaben, die den Anforderungen des europäischen Rechts entsprechen, etwa beim Schutz von Beschäftigtendaten, für Internetdienste und für den Ausgleich des Datenschutzes mit der Presse- und Meinungsfreiheit. Die Hauptverantwortung für die damit verbundenen Rechtsunsicherheiten liegt nicht bei der Europäischen Union, sondern in Berlin, Wien und in den anderen Hauptstädten der EU-Mitgliedstaaten.

Peter Schaar ist Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz. Bis 2015 war Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Gemeinsam mit Alexander Dix hat er jüngst eine Bilanz zur Umsetzung der DSGVO veröffentlicht.

Kerstin Demuth (Digitalcourage): „Wir müssen unsere Rechte auch in Anspruch nehmen.“

Die Datenschutzgrundverordnung ist ein großer Erfolg: Einheitlicher Datenschutz in Europa und Sanktionen, die auch für Großkonzernen aus dem Silicon Valley schmerzhaft werden können. Jetzt ist es wichtig, dieses Recht auch durchzusetzen: Die Datenschutzbehörden müssen so ausgestattet sein, dass die DSGVO maximal wirkt. Entscheidend wird auch sein, dass wir selber unsere Rechte in Anspruch nehmen, zum Beispiel auf Auskunft, Löschung oder Änderung unserer Daten.

Als nächstes brauchen wir eine ePrivacy-Verordnung, die ihrem Namen gerecht wird. Die Reform wird derzeit vom EU-Rat verschleppt. Jetzt soll sie sogar als Vehikel für eine Vorratsdatenspeicherung dienen. Das wäre fatal. Die ePrivacy-Verordnung ist die beste Chance, um in der Zukunft Privatsphäre in der Kommunikation und im Internet rechtlich sicherzustellen.

Kerstin Demuth ist Campaignerin und Redakteurin bei Digitalcourage. Der Verein mit Sitz in Bielefeld setzt sich für Grundrechte und Datenschutz ein.

Klaus Müller (Verbraucherzentrale Bundesverband): „Das Datenschutzniveau in Europa muss noch besser werden.“

Die Datenschutzgrundverordnung ist ein wichtiger Schritt nach vorne und ein Gewinn für alle Verbraucherinnen und Verbraucher in der EU. Der bisher oft vernachlässigte Datenschutz wird nun als wichtiges Thema anerkannt. Obwohl die Verordnung Verbraucherrechte entscheidend gestärkt hat, werden aber bereits jetzt Schwachstellen sichtbar. Die Ausstattung der Aufsichtsbehörden weist Lücken auf. Die Regelungen zu automatisierten Entscheidungen und der Profilbildung sind nicht im Sinne der Verbraucher. Hier muss im Rahmen der Evaluation 2020 nachgebessert werden.

Das Datenschutzniveau in Europa muss aber noch besser werden. Ein Baustein dazu ist die e-Privacy-Verordnung. Telekommunikationsdiensten sollte es nur mit Einwilligung oder unter strengen Voraussetzungen erlaubt werden, Kommunikationsdaten, wie beispielsweise Chatinhalte oder Standortdaten, zu verarbeiten. Auch darf es kein Tracking von Verbrauchern ohne deren vorherige Einwilligung geben. Die Mitgliedstaaten im EU-Rat können sich jedoch seit Jahren nicht auf eine gemeinsame Position einigen. Die Bundesregierung muss sich daher stärker als bisher für eine verbraucherfreundliche e-Privacy-Verordnung einsetzen.

Klaus Müller ist Vorstand des Verbrauchzentrale Bundesverbandes und Mitglied der Datenethikkommission der Bundesregierung. Der vzbv ist die politische Dachorganisation der Verbraucherzentralen.

10 Ergänzungen
  1. Also so ganz würde ich dem nicht zustimmen.
    Die DSGVO hat vor allem eines gebracht: Die ständige Angst, gegen Datenschutz zu verstoßen.
    Natürlich lassen sich die Projekte und Innovationen, die deswegen verworfen wurden, schlechter zählen als die nicht geahndeten Verstöße.

    So wurde zum Beispiel die bundesweite Zusanmenführung von Halteverboten von Hunden geplant, allerdings wegen der DSGVO nicht durchgeführt.
    Wenn also jemand seinen Hund in München quält, dafür ein bayernweites Halteverbot erhält, darf er seelenruhig in Berlin immer noch einen Hund halten.

    Und das ist nur ein Beispiel.
    Ja, das Katastrophenszenario war völlig übertrieben.
    Nichtsdestotrotz ist eine Prophezeiung eingetreten: Den großen Konzernen ist es egal und die Kleinen trifft es massiv.

    1. Danke für den Kommentar. Meine 2 Cents:

      Nicht jeder Irrsinn, der mit „DSGVO“ begründet wird, liegt auch tatsächlich an der DSGVO. Siehe Klingelschildgate. Ich bin mir sicher: Eine Zusammenführung von Hundehalteverbotsdateien ließe sich auch unter der DSGVO realisieren. Dass eine so weitreichende Änderung wie die Einführung der Datenschutzgrundverordnung anfangs nicht ohne Rechtsunsicherheiten einhergeht, finde ich normal. Aber klar: Viel mehr Aufklärung und Unterstützung wären nötig gewesen. Siehe: https://netzpolitik.org/2018/datenschutzgrundverunsicherung-danke-merkel/

      Und ja: Wenn die Datenhändler und -konzerne die nächsten ein bis zwei Jahr einfach so weitermachen können, hat die DSGVO ihr Ziel verfehlt. Ich gebe die Hoffnung da aber nicht auf. Wie viele hier auch kommentiert haben: Solche Verfahren brauchen Zeit. Aber irgendwann muss es dann zu Entscheidungen kommen.

      1. Den dauernden Verweis auf die „Kleinen“, die angeblich entlastet werden müssen finde ich so irreführend. Kleine und Große müssen sich nur dann an dieselben Regeln halten, sofern bei ihnen ein vergleichbares Risiko besteht. Und das ist auch richtig so. Vergleichbar sind also allenfalls die Pflichten bei der Ermittlung dieses Risikos.

        Man denke einmal an den fiktiven Fall der Entlastung eines sehr kleinen Vereins zur Betreuung HIV-Kranker. Da kann doch niemand nur wegen „ist ja klein“ einen laxeren Umgang mit dem Datenschutz ernsthaft auch nur in Erwägung ziehen. Die Risikoprognose ist hier eine andere als beim Kleingartenverein. Abgrenzend zu Facebook und Co sind aber wiederum auch die IT-Strukturen übersichtlich.
        Es entsteht so in Abwägung ein der Größe und dem Risiko angemessener Standard. Wenn man sich Gedanken macht! Das machen zuviele noch nicht. Wäre schön wenn die DSGVO das ändert. Hat mich im Übrigen auch schon an der Debatte zum vermeindlichen Blogsterben gestört. Wer diese grundsätzlichen Kleinigkeiten (und mehr ist es bei einem Blog nun wirklich nicht!) nicht in den Griff bekommt… Naja… der ist eben vielleicht auch verzichtbar?

  2. Es gibt in der Tat noch viel zu viele Verstöße. Ich bewerbe mich gerade auf verschiedene Arbeitsstellen. Nur etwa jede zweite Unternehmung erfüllte ihre Informationspflichten nach Artikel 13 DSGVO.

    P.S. Eine Bildunterschrift ist falsch. Da steht ‚Kerstin Dietrich‘ unter Kerstin Demuths Foto.

  3. Ich stimme Lena dabei voll und ganz zu, dass man nunmehr seit einem Jahr in ständiger Angst davor lebt, gegen die DSGVO zu verstoßen.
    Ein befreundeter Betriebsrat hat mich auf diesen DSGVO-Test (https://www.ifb.de/betriebsrat/schwerpunkt-der-br-arbeit/datenschutz) aufmerksam gemacht und ich muss sagen ich habe leider kläglich versagt. Die Frage dabei ist, woran das liegt: Beispielsweise auf die Frage „Was ist kein Grundsatz der DSGVO?“ hätte ich geantwortet „Zweckbindung“, die richtige Antwort ist aber „Flexibilität“. Wer hätte das gedacht? ;)
    Meiner Meinung nach ist das ganze Thema einfach etwas undurchsichtig. Gleichzeitig habe ich neulich aber auch gelesen, dass in den 12 Monaten seit der Einführung erst in 75 Fälle Bußgelder ausgesprochen wurden (in DE). Schonfrist? Oder wissen die Zuständigen selber nicht, wann nun genau ein Verstoß vorliegt?
    Ich bin auf jeden Fall gespannt, was die Zukunft bring.

    1. Danke für den Link und den Hinweis auf die 75 Bußgelder!
      Bei mir kamen wohl andere Fragen. „Was ist kein Grundsatz der DSGVO?“ war nicht darunter. Hatte alle richtig und bin lt. ifb „ein echter Datenschutzexperte!“. Naja, ich weiss eine ganze Menge, aber ein ‚Experte‘ bin ich sicherlich nicht.

      „Schonfrist?“

      Die Schonfrist (Übergangsfrist) ist seit einem Jahr vorüber. Die DSGVO ist inzwischen seit über drei Jahren gültig. Warum es so wenige Bußgelder gibt? Wo kein Kläger, da kein Richter. Ich nehme an es werden nur relativ wenige Vergehen angezeigt. Außerdem müssen Vergehen bewiesen werden. Wenn die Beweislage dünn ist oder das Vergehen geringfügig, wird vermutlich kein Verfahren eröffnet.

    2. Nach Art. 58 Dsgvo verfügen die Aufsichtsbehörden über eine ganze Reihe an Befugnissen.
      Die Dsgvo kennt keinen Automatismus wie beim Falschparken: Verstoß führt sofort zu Bußgeld. Es ist das letzte Mittel im Kampf gegen Verstöße. Davor gibt es ein mehrfach gestuftes Verfahren mit milderen Möglichkeiten der Einwirkung. Mal abgesehen davon, dass selbst bei Verhängung eines Bußgelds natürlich umfangreiche Ermittlungen notwendig sind. Das können die Behörden bei der jetzigen Ausstattung kaum leisten. Und für nachhaltige datenschutzkonforme Strukturen steht eben auch häufig die Beratung im Vordergrund.

  4. Drei (!) Jahre nach Einführung und ein Jahr nach wirksam werden steht selbst die Bundesregierung vor einem anscheinend unlösbaren Scherbenhaufen.
    Bis heute wird eine hohe zweistellige Zahl an Gesetzen noch nicht der DS-GVO gerecht. Siehe dazu auch BT-Drucksache 19/4674 ff.
    Wie sollen dann Behörden und Träger öffentlicher Belange vernünftig die Umsetzung und Validierung durchführen?

    Meine Highlights sind aber die Rundfunkanstalten, die sich vehement weigern zu erklären wie Sie an Kontodaten eines seit 25 Jahren Toten kommen und dort Rundfunkbeiträge einziehen, oder die Telekom, die erst nach Intervention des Bundesbeauftragten nach 4 Monaten anfängt scheibchenweise rudimäntäre Angaben zu machen, oder die Sparkasse, die trotz des Wissens um die Rüge der Berliner Datenschutzbeauftragten mit einer unverschämten Selbstverständlichkeit p.b.Daten an Dritte weitergibt und dies sogar versucht durch irreführende Behauptungen zu begründen.

    Meine Zusammenfassung lautet daher:
    Es hat sich rund um die DS-GVO teils ein Konglomerat an Juristen gefunden, die sicher die Rechte der Verbraucher:innen, Nutzer:innen und sonstigen Berechtigten untergraben und auch mit fragwürdigen Aktionen eine Verhinderungsmaschinerie aufgebaut haben.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.