DSGVO

Starkes Gesetz, holprige Durchsetzung

Seit zwei Jahren gilt die Datenschutzgrundverordnung. Seither ist das Gesetz zum globalen Vorbild geworden. Doch gegenüber Google, Facebook und Co. offenbaren sich Schwachstellen.

Vestager, Jourova und Reynders
Digitalzaren: Die EU-Kommissionsvizepräsidentinnen Margrethe Vestager und Věra Jourová (Mitte), Justizkommissar Didier Reynders Alle Rechte vorbehalten European Union, 2020

Zwei Jahre nach ihrer Einführung zeigt sich die EU-Kommission zufrieden mit der Datenschutzgrundverordnung. Das Gesetz sei ein „perfektes Beispiel“ dafür, wie die Europäische Union die Rechte ihre Bürger:innen stärke und Unternehmen erlaube, die „digitale Revolution zu meistern“, sagte EU-Kommissionsvizepräsidentin Věra Jourová. Die Grundverordnung sei eine „Erfolgsgeschichte“. Das Lob begleitet einen heute vorgestellten Kommissionbericht, der umfassend Bilanz über die europäischen Datenschutzregeln zieht.

Das bahnbrechende EU-Gesetz ist seit 25. Mai 2018 wirksam. In den vergangenen zwei Jahren stellten hunderttausende Firmen und Organisationen ihren Umgang mit persönlichen Daten um, Behörden in europäischen Staaten teilten Strafen in Millionenhöhe wegen Verstößen aus. Die Datenschutzgrundverordnung (DSGVO) gilt weit über Europas Grenzen hinaus als Erfolg – seit ihrer Einführung schufen Länder von Chile und Südkorea über Brasilien, Japan, Kenia und Indien ähnliche Gesetze, wie die Kommission betont.

Ein Herzstück der DSGVO ist ihr europaweiter Sanktionsmechanismus. Wer den Datenschutz auf systematische Art missachtet, muss mit Strafen von bis zu vier Prozent des globalen Umsatzes rechnen. Das soll selbst Großkonzerne abschrecken. Doch während die Behörden in Europa zweifellos viel getan haben, um den Datenschutz in einer Vielzahl an Orten Geltung zu verschaffen, hakt es ausgerechnet bei der Durchsetzung gegenüber den großen US-Technologiekonzernen Google und Facebook.

Behörden wachsen nicht mit den Aufgaben

Die Achillesferse der EU-Datenschutzregeln sind die nationalen Behörden, die sie durchsetzen müssen. Zwar betont die Kommission, dass die Datenschutzbehörden der EU insgesamt zwischen 2016 und 2019 ihr Budget verdoppeln und ihren Personalstand um 42 Prozent aufstocken konnten.

Das Bild ist allerdings nicht ganz vollständig. Denn in einigen Ländern sind die Behörden immer noch chronisch mit zu wenig Ressourcen ausgestattet. Das berichtet der Europäische Datenschutzausschuss, ein Gremium aller nationalen Behörden, in seinem Jahresbericht. Während viele Behörden rasch wachsen, um ihren neuen Aufgaben gerecht zu werden, stagnierte die Personaldecke in den nationalen Behörden in Italien, Tschechien, Estland, Kroatien und Griechenland. In drei weiteren Ländern – Belgien, Litauen und Lettland – ist die Zahl sogar geschrumpft, sagte ein Sprecher zu netzpolitik.org.

Besonders auffällig ist die hapernde Durchsetzung der Datenschutzregeln im Fall Irlands. Das kleine Land ist der EU-Sitz von Digitalkonzernen wie Google, Facebook und Apple. Nach Irland locken die Firmen niedrige und teils sogar maßgeschneiderte Unternehmenssteuern sowie ein englischsprachiges Arbeitsumfeld, aber auch das offene Ohr für ihre politischen Anliegen und die schleppenden Prozeduren der dortigen Datenschutzbehörde.

Irisches Nadelöhr

Derzeit arbeitet die irische Datenschutzbehörde an rund einem Dutzend großer Verfahren allein gegen den Facebook-Konzern. Grenzüberschreitende Beschwerden gegen Konzerne müssen nach der DSGVO im EU-Sitzland untersucht werden. Erst wenn dort eine Entscheidung vorliegt, kann darüber von allen Datenschutzbehörden gemeinsam im Europäischen Datenschutzausschuss entschieden werden. Befinden soll die irische Behörde etwa über die Frage, ob Facebook-Nutzer:innen durch die bloße Nutzung des Dienstes zur Zustimmung der weitreichenden Verarbeitung ihrer Daten zu Werbezwecken gezwungen werden können.

Andere Fälle, die in Irland untersucht werden, betreffen die Facebook-Tochterfirmen WhatsApp und Instagram. Fast immer geht es darum, wie weit der Konzern bei der kommerziellen Ausbeutung von Nutzer:innendaten gehen kann. Fallen die Entscheidungen gegen Facebook aus, kratzt das am Image und der Profitabilität des Konzerns.

Doch die irische Behörde lässt sich erstmal Zeit. Im Mai kündigte sie an, einer der großen Facebookfälle stehe „in der Entscheidungsphase“. Zwei weitere Verfahren wegen Instagram und WhatsApp seien ebenfalls kurz vor Abschluss. Passiert ist seither nichts. Der Ankündigung nach wartet die Behörde in Irland eine für Juli erwartete Entscheidung des Europäischen Gerichtshofs über Facebooks Datentransfers in die USA ab, bevor sie ihren nächsten Schritt setzen will.

Der Datenschützer Max Schrems, der einige der Beschwerden gegen Facebook in Irland vorgebracht hat, ist empört über das langsame Vorgehen der Behörde. Zuletzt warf er ihr sogar die heimliche Zusammenarbeit mit Facebook vor, was die Behörde allerdings bestreitet.

Andere Behörden in Europa zeigen indes einen gewissen Unmut darüber, dass die irische Behörde kaum Einblick in seine bisherigen Verfahren gewährt. Auch schlug Behördenchefin Helen Dixon Unterstützungsangebote aus Deutschland aus. Die irische Regierung lehnt indes eine Bitte der Behörde um zusätzliche sechs Millionen Euro ab, um Personal aufzustocken, berichtete Politico.

Das entschieden langsame und eigenbrötlerische Verhalten Irlands trägt dazu bei, dass bislang keine einzige gemeinsame Entscheidung der EU-Datenschutzbehörden nach dem sogenannten Kohärenzverfahren getroffen wurde. Der Bericht der EU-Kommission beklagt außerdem, dass Möglichkeiten zu gemeinsamen Ermittlungen nicht genutzt wurden. Zeitweise bedeute ein gemeinsames Vorgehen der EU-Behörden das Agieren nach dem „kleinsten gemeinsamen Nenner“.

Zeit für Entscheidungen

Die EU-Kommission erkennt an, dass die irische Behörde jetzt liefern muss, um wegweisende Entscheidungen über die Durchsetzung der DSGVO im europäischem Rahmen zu erreichen. In ihrem Bericht betont die Kommission: „Angesichts der Tatsache, dass die größten multinationalen Big-Tech-Unternehmen in Irland und Luxemburg ansässig sind, fungieren die Datenschutzbehörden dieser Länder in vielen wichtigen grenzüberschreitenden Fällen als federführende Behörden und benötigen möglicherweise größere Ressourcen, als ihre Bevölkerung sonst vermuten ließe.“

Verklausuliert im Kommissionssprech lässt sich das übersetzen mit: Wir wissen, dass diese beiden Länder ein Nadelöhr darstellen. Die Kommission in ihrem Bericht fordert ohne konkreten Verweis auf Irland, dass die Zusammenarbeit zwischen den Datenschutzbehörden gestärkt und die Verfahren zur gemeinsamen Entscheidungsfindung verbessert werden müssen.

Es müsse geprüft werden, ob nationale Behörden ausreichende Mittel im Verhältnis zur Größe der von ihr geprüften Firmen hätten, sagte Justizkommissar Didier Reynders bei einer virtuellen Pressekonferenz. Seine Kollegin Jourová fügte hingegen im Bezug auf die irischen Verfahren hinzu, es gebe keinen Grund zur Besorgnis und der Prozess müsste abgewartet werden.

Die Antworten machen deutlich, wie zögerlich die Kommission noch dabei ist, nationale Behörden und die Regierungen zu kritisieren, die über ihre Ressourcen entscheiden. Die Kommission verpasst damit, einen wichtigen Schluss aus den vergangenen zwei Jahren zu ziehen: Denn wenn es nicht gelingt, Irland und seine Datenschutzbehörde zu einer ordentlichen und zeitgerechten Durchsetzung der DSGVO gegenüber den größten Firmen der Welt zu bewegen, dann scheitert in gewissem Maße der Datenschutz in ganz Europa mit.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

6 Ergänzungen
  1. Drei oder vier Prozent Strafe vom Jahresumsatz klingt gut, aber rechtskräftig verhängte Strafen werden effektiv ungefähr in der Höhe von den Unternehmen bezahlt, wie diese auch Steuern zahlen. Lasst euch doch mal die Überweisungen für die verhängten Strafen vorlegen. Und was an Strafe bezahlt wurde ist dann nochmal von der Steuer abzugsfähig.

  2. Die DSGVO ist keinesfalls zum „globalen Vorbild“ geworden. Ganz im Gegenteil: Ihre Überbürokratisierung ist dermaßen offensichtlich, dass das Vorbild künftig eher der pragmatische kalifornische CCPA ist. Die DSGVO denkt Datenschutz eher von der Aufsichtsbehörde her, der CCPA vom Konsumenten her. Ob es jetzt real mehr gelebten Datenschutz als zu BDSG-Zeiten gibt, ist keinesfalls gewiss. Und ob ein solches eventuelles Datenschutzplus den gigantischen Mehraufwand wert ist, erst recht nicht.

    Leider beschützt die DSGVO den Bürger auch überhaupt nicht vor dem Überwachungswahn der EU-Staaten. Gerade hier wäre mehr Datenschutz aber dringend nötig.

  3. Die DSGVO ist ein Zahnloser Tiger.
    Es hat sich – zumindest in D – nichts gegenüber der früheren Regelungen aus der Landes- und Bundesgesetzgebung geändert.

    Mehr noch:
    Die LDA/LDI sind personell unterbesetzt und sehen sich anscheinend einer steigenden Anzahl an Beschwerden und einer sich immer mehr sperrenden Klientel ausgesetzt.
    „Wenn der sagt der hat von Ihnen keine Daten, dann ist das so.“
    Fall geschlossen. Rechtlicher Hinweis: Sie können klagen.

    Und das mehrfach. Aus unterschiedlichen Bundesländern.

  4. Meanwhile, back in Germany…

    1.) Der Artikel hat einen starken Fokus auf die offenkundigen Missstände in der irischen Aufsichtsbehörde. Aber das wird der Problematik in meinen Augen nicht gerecht, gerade in der deutschen Situation. Um eingangs eine Lanze für Irland zu brechen: Wenn ich mich dem versammelten Anwaltsteam von Facebook oder Google gegenübersehen würde, würde ich auch sehr schnell sehr vorsichtig werden. Die können ja im Zweifel auch beliebig Verstärkung aus Großkanzleien zukaufen.

    2.) Ich behaupte: Auch eine deutsche Aufsichtsbehörde würde schlagartig sehr vorsichtig und zaghaft werden, wenn sie sich mit GAFAM wirklich anlegen müsste – und nicht nur in ein paar wohlklingenden Statements und wenig hilfreichen Papieren der Datenschutzkonferenz. Gerade für die deutsche Datenschutzaufsicht mit der sehr aufmerksamen und kritischen Öffentlichkeit ist es sehr verlockend, den Blick auf Irland zu richten. Denn, Hand aufs Herz: Wo war die entschiedene Reaktion der bayrischen Aufsicht bei der Datenpanne von Buchbinder? Die deutsche Datenschutzaufsicht ist in ihrer Vielfalt wesentlich ineffizienter und vor allem weniger unabhängig als sie sich gibt:

    3.) Ineffiziente Datenschutzaufsicht in Deutschland:
    a) Die Datenschutzkonferenz mit den ihr zugeordneten Arbeitskreisen haben bereits kein Regelwerk, um verbindlich Streitfragen zu klären. Darum immer wieder diese Arbeitspapiere, die für die Datenschutzpraxis die eigentlich spannenden Fragen aussparen – denn da konnte man sich im Zweifel selbst nicht einigen. Die Strategie der Datenschutzbehörden ist, auf Geschlossenheit zu setzen. Ich halte das für falsch. Geschlossenheit und Einstimmigkeit in einem so brisanten Rechtsgebiet wie dem Datenschutz führt dazu, dass nichts passiert. In normal arbeitenden Behörden wird Recht mit Verwaltungsakten durchgesetzt. Dann wird dagegen geklagt. Die Urteile werden kommentiert, es werden Rechtsmittel eingelegt. Irgendwann entscheiden Bundesgerichte und ggf. der Europäische Gerichtshof. Zur Zeit verbleibt viel zu viel im Ungefähren. Das dauert natürlich, aber man hätte auch viel früher anfangen können. Auch die Datenschutzbehörden hatten zwei Jahre Vorbereitungszeit auf die DSGVO.

    Wenn Rene sagt, die DSGVO sei zahnlos – dann stimmt das IMHO nicht. Die Datenschutzbehörden trauen sich nicht, zu beißen.

    b) Die Ängstlichkeit der Aufsichtsbehörden hat mE gute Gründe – denn es gibt zwar profunde Kenntnisse im Datenschutzrecht, aber weitaus weniger Kenntnisse in effektiver Rechtsdurchsetzung. Man kam die letzten Jahrzehnte – wieder IMHO – oftmals sehr gut mit Beratung und Öffentlichkeitsarbeit durch. Und sind wir ehrlich: Wer sich wirklich mit Großkonzernen anlegen will, geht generell selten in den öffentlichen Dienst. Eine Ausnahme ist ggf. das Bundeskartellamt, aber ansonsten beobachten wir doch allerorten sehr konfliktscheue Kuschelverwaltungen. Ad-Hoc-Fazit: Wenn die Aufsichtsbehörden in Deutschland so aktiv wären wie sie gerne wären, könnten sie die Suppe, die sie sich damit einbrocken, ggf. nicht auslöffeln. Nach meiner Erfahrung würde das Problem auch nicht mit einer besseren finanziellen und personellen Ausstattung gelöst werden: Ich sehe Fragen der inneren Organisation, Arbeitsweise und vor allem der Führung als prioritär an. Das schlägt sich in der Benennung der Datenschutzbeauftragten gerne mal nieder: Profunde rechtswissenschaftliche Kenntnisse im Datenschutz bedeuten keinesfalls, dass die Eignung zur Leitung einer schlagkräftigen Aufsichtsbehörde besteht.

    Anm.: Man könnte ja ggf. mal mit Hilfe der Informationsfreiheit herausfinden, wie gut die einzelnen Datenschutzaufsichten ihr Controlling betreiben. „You can’t manage what you can’t measure“ enthält leider viel Wahrheit. Und die Frage ist ja auch, wieviel Geld verantwortungsvolle Parlamente den Datenschutzbehörden zuweisen sollten, wenn sie – möglicherweise – bereits mit dem bestehenden Budget nicht vernünftig haushalten.

    c) Last but not least: Die größte Katastrophe in der deutschen Datenschutzaufsicht ist m. E. der Föderalismus. Wenn ich kurz vor Berlin niedergelassen bin und sich ein Berliner Mensch beschwert, sind gleich zwei Datenschutzbehörden involviert, und das bei nicht funktionierenden Kohärenzverfahren. Selbst wenn man wollte, man käme nicht voran…

    4.) Abhängige Datenschutzaufsicht in Deutschland
    Die Datenschutzbehörden in Deutschland sind auf dem Papier unabhängig, aber es ist sehr klar, dass sie vom Haushaltsgesetzgeber bzw. der jeweiligen Parlamentsmehrheit langfristig abhängig sind.

    Verwaltungshistorisch haben die meisten Landesdatenschutzbeauftragten nur die Landesverwaltung beaufsichtigt, und das eher beratend. Das prägt eine Verwaltungskultur und das Mindset von Beamt:innenkarrieren, die gerne über Jahrzehnte gehen. Polemisierend ließe sich die These aufstellen: Die Datenschutzaufsicht war lange eine ungeliebte Pflichtübung. Dank jahrzehntelanger struktureller Unterfinanzierung und demonstrativ vor sich hergetragener Unabhängigkeit war es eine für beide Seiten bequeme Lösung, der Datenschutzaufsicht eine gewisse inhaltliche Narrenfreiheit zuzugestehen. Datenschutz musste eh nur beachten, wer das auch tun wollte. Mit der DSGVO ist das jetzt anders, das Risiko ist einfach zu hoch. Früher konnten Datenschutzbeauftragte nach der Devise besetzt werden, dass sie eine effektive Datenschutzaufsicht entweder nicht können oder nicht wollen. Jetzt wird das zum Problem. Die deutschen Aufsichtsbehörden hätten gute Gründe, bei der EU-Kommission Beschwerden wegen unzureichender Ausstattung (Art. 52 Abs. 4 DSGVO) einzureichen. Passiert aber nicht. Meine Meinung: Aus Gründen.

    Anm.: Art. 52 Abs. 6 DSGVO ordnet an, dass die Mitgliedsstaaten sicherstellen, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt und über eigene, öffentlich zugängliche Haushaltspläne verfügt. Da könnte man eigentlich mal nachhaken ob da nicht noch mehr möglich ist?

    5.) Falsche Freunde, oder: Die Medien sind schuld
    Mittlerweile dürfte klar sein, dass ich das Problem nicht bei der DSGVO

    (@ Tim: Sie stellt den Menschen in den Mittelpunkt und ist mE nur deshalb bürokratisch interpretiert, weil ihre Hohepriester vor allem Bürokraten sind)

    sehe, sondern bei den Aufsichtsbehörden. Mittlerweile sehe ich da auch die Rolle der bürgerrechtsfreundlichen Medien kritisch: Sie sind mE oft zu unkritisch gegenüber den Aufsichtsbehörden. Das macht Sinn, weil die Freunde des Datenschutzes doch eher dünn gesät sind. Ich denke allerdings, dass wir auch in Deutschland die Datenschutzaufsicht viel kritischer sehen müssen. An ihren Taten sollt ihr sie erkennen…

  5. In diesem Zusammenhang nachfolgend Zahlen der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, die ich in diesem Jahr erfragt habe:

    „Anzahl der Mitarbeiter in Vollzeitstellen:
    2016: 49,61
    2019: 66,13“
    > somit + 33,3%

    „Zur Verfügung stehende finanzielle Mittel:
    2016: 4.761.900 Euro
    2019: 6.400.700 Euro“
    > somit + 34,4%

    „Anzahl der bearbeiteten Anfragen und Beschwerden:
    2016: ca. 4.400
    2019: ca. 12.500“
    > somit + 184,1%

    Jeder Bürger in Nordrhein-Westfalen und jeder, der sich vielleicht mal über ein Unternehmen mit Sitz in Nordrhein-Westfalen beschweren will, sollte Ministerpräsident Armin Laschet fragen, wie es zu dieser ungleichen Entwicklung kommen konnte.

  6. Meine Erfahrungen mit der DSGVO:

    Die neue europäische Datenschutz-Grundverordnung (DSGVO) trägt dem informationellen Selbstbestimmungsrecht nicht ausreichend Rechnung

    Gerade auch im Nachgang zu 9/11 in New York suchten Regierungen, insbesondere in den USA, mit Blick auf deren Datensammel-, Auswertungs- und Überwachungsfähigkeiten den „Schulterschluß“ mit den Internet-Giganten. Viele unserer Politiker übertragen den Überwachungswahn aus der Internet-Wirtschaft leichtfertig in die staatliche Sphäre. Darüber hinaus schwadronieren sie von Datenreichtum – anstelle von Datensparsamkeit – und lassen sich einreden, dass Daten als das neue Öl Staat und Gesellschaft unermesslichen Reichtum verheißen. Vergleichbar mit den seinerzeitigen südamerikanischen Stammeshäuptlingen erkennen sie aber nicht, dass dieser Reichtum vor allem bei den Internet-Giganten akkumuliert wird. Gewissermaßen als Dank umschiffen diese durch eine ausgeklügelte Steuervermeidungs-Politik nennenswerte Steuerzahlungspflichten in den meisten Staaten ihrer Nutzer.

    Diese Politiker versteigen sich zu der Behauptung, es schade der Innovationskraft Europas, wenn Menschen mehr Kontrolle über ihre persönlichen Daten bekämen! Damit wird der Datenschutz weiterhin kommerziellen Interessen von Konzernen und staatlichen Interessen von Regierungen und Behörden untergeordnet, so wie es die Internet-Giganten ihnen vorsagen. Wenn es hoch kommt, läßt man sich von dem Versprechen einer – nach bisheriger Erfahrung nutzlosen – Selbstregulierung der Internet-Giganten abspeisen.

    Den Gipfel schießt ein Bundesminister ab, der allen Ernstes anlässlich der Entwicklung von Tracking-Apps in der CORONA-Krise erklärte: “Wer Eingriffe in Persönlichkeitsrechte kritisiert, diffamiert diese neuen Entwicklungen.” Mit anderen Worten: Wer Grundrechte einfordert, diffamiert. Eigentlich ein No Go für einen Bundesminister. Oder richtiger, ein Go, sprich Rücktritt!

    Doch halt! Ein paar datenschutzaffine Politiker in Europa haben die Ausarbeitung einer – mittlerweile verabschiedeten – europaweiten neuen Datenschutz-Grundverordnung (DSGVO) vorangetrieben. Daran wurdengroße Hoffnungen geknüpft.

    Sollte die vielgepriesene und vielgefürchtete neue europäische DSGVO nicht gewissermaßen als Europas Bollwerk gegen die skizzierten, die informationellen Bürgerrechte missachtenden Methoden der Internet-Giganten dienen?

    Drohen doch bei Verstößen eindrucksvolle Sanktionen – Bußgelder von bis zu 4% des Weltjahresumsatzes!

    Haben doch die Nutzer umfangreiche Rechte, so zum BeispielAuskunftsrecht, Korrekturrecht, Löschrecht!

    Müssen die Nutzer doch einer Verarbeitung bzw. Speicherung bzw. Weitergabe ihrer personenbezogenen Daten zustimmen!

    Soweit die Theorie.

    Die bisherige Praxis zeigt jedoch:

    – Anstelle einer Zustimmung lassen sich die Internet-Giganten nicht nur die Nutzung, sondern auch die unbegrenzte, unkontrollierte, ungeschützte Weitergabe der Nutzerdaten an Dritte absegnen – im Rahmen umfangreicher, wenig transparenter, alternativloser Nutzungsbedingungen

    – An Dritte weiter gegebene Daten landen datenschutzrechtlich im Nirwana.

    – Anstelle den Nutzern eine selektive Zustimmung zur Verarbeitung, Speicherung bzw. Weitergabe seiner Daten anzubieten, werden ihnen umfangreiche, wenig transparente Nutzungs- bzw. Geschäftsbedingungen vorgelegt. Diese können meistens entweder nur in Gänze angenommen oder abgelehnt werden. Eine Ablehnung ist damit gleichbedeutend mit einer Verweigerung der Dienste-Nutzung.

    – Art.6 Abs.1 der DSGVO bindet die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten an bestimmte Bedingungen, nach denen eine Abwägung der berechtigten Interessen des Verantwortlichen mit den Interessen oder Grundrechten oder Grundfreiheiten des Betroffenen abzuwägen sind. Insbesondere die dortigen Unterpunkte b-f öffnen Unternehmen, Behörden und sonstigen Organisationen Tür und Tor, um eine explizite Genehmigung des jeweils Betroffenen zu umgehen.

    Die Kaperung der DSGVO durch die Internet-Giganten

    Dieses Alles-oder-nichts-Prinzip haben die Dienste-Anbieter mittlerweile weiter perfektioniert. Unerwartet und geradezu frappierend ist, wie die Internet-Giganten die DSGVO scheinbar gekapert haben: beinhalten doch – im Rahmen der europaweiten Einführung der DSGVO – mittlerweile die Datenschutzordnungen praktisch aller Unternehmen und Organisationen eine Internet-Nutzungsordnung, die im Wortlaut die Klauseln der von den diversen Internet-Giganten bereitgestellten Formulierungen enthält. Dies kann übrigens jeder Nutzer leicht selbst nachprüfen. Er muss sich dazu nur der Mühe unterziehen, solche Nutzungsordnungen einmal aufmerksam zu lessen (vergleiche zum Beispiel https://www.lebkuchen-schmidt.com/de/legal/datenschutz/).

    Beispiel Google – Auszug aus einer Internet-Nutzungsordnung gemäß DSGVO:

    „… Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP- Adresse) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.

    Der in Zusammenhang mit der Nutzung von Google Analytics stattfindenden Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen werden. Bitte wenden Sie sich dazu direkt an Google…“

    Beispiel FaceBook – Auszug aus einer Internet-Nutzungsordnung gemäß DSGVO:

    „… Wenn der Kunde eine Web-Site der verantwortlichen Stelle aufruft, die ein FaceBook Social Plugin enthält, baut der Browser des Kunden eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an den Browser des Kunden übermittelt und von diesem in die Web-Site eingebunden.

    Durch die Einbindung der Plugins erhält Facebook die Information, dass der Kunde die entsprechende Site des Internet-Auftritts der verantwortlichen Stelle aufgerufen hat. Ist der Kunde bei Facebook eingeloggt, kann Facebook den Besuch des Kunden seinem Facebook- Konto zuordnen. Wenn der Kunde mit den Plugins interagiert, zum Beispiel den „Gefällt mir“ Button betätigt oder einen Kommentar abgibt, wird die entsprechende Information von dem Browser des Kunden direkt an Facebook übermittelt und dort gespeichert…“

    Manche Unternehmen wie zum Beispiel der SPRINGER-Verlag gehen noch einen Schritt weiter: SPRINGER regelt in der Datenschutzordnung für sein Produkt WELT-online nicht nur die Nutzung dieses Produkts, sondern lässt sich gleichzeitig seine neuen – bei den WELT-online-Lesern meist unbekannten – Aktivitäten als Datensammler, Datenvermitler und Datenverkäufer “absegnen” (vergleichehttps://www.welt.de/services/article157550705/Datenschutzerklaerung-WELT-DIGITAL.html).

    Was also tun?

    Wo ist das Konzept unserer Regierung bzw. der EU zur Lösung dieser Probleme? Solange die Regierungen untätig bleiben, ist zivilgesellschaftliches Engagement im Sinne von Lobbygruppen gegen die Auswüchse des Datenkapitalismus ein Weg. Hervorhebens- und unterstützungswert ist hier die Gruppe „My Privacy Is None of Your Business“ (https://noyb.eu).

    Gerade auch im Nachgang zu 9/11 in New York suchten Regierungen, insbesondere in den USA, mit Blick auf deren Datensammel-, Auswertungs- und Überwachungsfähigkeiten den „Schulterschluß“ mit den Internet-Giganten. Viele unserer Politiker übertragen den Überwachungswahn aus der Internet-Wirtschaft leichtfertig in die staatliche Sphäre. Darüber hinaus schwadronieren sie von Datenreichtum – anstelle von Datensparsamkeit – und lassen sich einreden, dass Daten als das neue Öl Staat und Gesellschaft unermesslichen Reichtum verheißen. Vergleichbar mit den seinerzeitigen südamerikanischen Stammeshäuptlingen erkennen sie aber nicht, dass dieser Reichtum vor allem bei den Internet-Giganten akkumuliert wird. Gewissermaßen als Dank umschiffen diese durch eine ausgeklügelte Steuervermeidungs-Politik nennenswerte Steuerzahlungspflichten in den meisten Staaten ihrer Nutzer.

    Diese Politiker versteigen sich zu der Behauptung, es schade der Innovationskraft Europas, wenn Menschen mehr Kontrolle über ihre persönlichen Daten bekämen! Damit wird der Datenschutz weiterhin kommerziellen Interessen von Konzernen und staatlichen Interessen von Regierungen und Behörden untergeordnet, so wie es die Internet-Giganten ihnen vorsagen. Wenn es hoch kommt, läßt man sich von dem Versprechen einer – nach bisheriger Erfahrung nutzlosen – Selbstregulierung der Internet-Giganten abspeisen.

    Den Gipfel schießt ein Bundesminister ab, der allen Ernstes anlässlich der Entwicklung von Tracking-Apps in der CORONA-Krise erklärte: “Wer Eingriffe in Persönlichkeitsrechte kritisiert, diffamiert diese neuen Entwicklungen.” Mit anderen Worten: Wer Grundrechte einfordert, diffamiert. Eigentlich ein No Go für einen Bundesminister. Oder richtiger, ein Go, sprich Rücktritt!

    Doch halt! Ein paar datenschutzaffine Politiker in Europa haben die Ausarbeitung einer – mittlerweile verabschiedeten – europaweiten neuen Datenschutz-Grundverordnung (DSGVO) vorangetrieben. Daran wurdengroße Hoffnungen geknüpft.

    Sollte die vielgepriesene und vielgefürchtete neue europäische DSGVO nicht gewissermaßen als Europas Bollwerk gegen die skizzierten, die informationellen Bürgerrechte missachtenden Methoden der Internet-Giganten dienen?

    Drohen doch bei Verstößen eindrucksvolle Sanktionen – Bußgelder von bis zu 4% des Weltjahresumsatzes!

    Haben doch die Nutzer umfangreiche Rechte, so zum BeispielAuskunftsrecht, Korrekturrecht, Löschrecht!

    Müssen die Nutzer doch einer Verarbeitung bzw. Speicherung bzw. Weitergabe ihrer personenbezogenen Daten zustimmen!

    Soweit die Theorie.

    Die bisherige Praxis zeigt jedoch:

    – Anstelle einer Zustimmung lassen sich die Internet-Giganten nicht nur die Nutzung, sondern auch die unbegrenzte, unkontrollierte, ungeschützte Weitergabe der Nutzerdaten an Dritte absegnen – im Rahmen umfangreicher, wenig transparenter, alternativloser Nutzungsbedingungen

    – An Dritte weiter gegebene Daten landen datenschutzrechtlich im Nirwana.

    – Anstelle den Nutzern eine selektive Zustimmung zur Verarbeitung, Speicherung bzw. Weitergabe seiner Daten anzubieten, werden ihnen umfangreiche, wenig transparente Nutzungs- bzw. Geschäftsbedingungen vorgelegt. Diese können meistens entweder nur in Gänze angenommen oder abgelehnt werden. Eine Ablehnung ist damit gleichbedeutend mit einer Verweigerung der Dienste-Nutzung.

    – Art.6 Abs.1 der DSGVO bindet die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten an bestimmte Bedingungen, nach denen eine Abwägung der berechtigten Interessen des Verantwortlichen mit den Interessen oder Grundrechten oder Grundfreiheiten des Betroffenen abzuwägen sind. Insbesondere die dortigen Unterpunkte b-f öffnen Unternehmen, Behörden und sonstigen Organisationen Tür und Tor, um eine explizite Genehmigung des jeweils Betroffenen zu umgehen.

    Die Kaperung der DSGVO durch die Internet-Giganten

    Dieses Alles-oder-nichts-Prinzip haben die Dienste-Anbieter mittlerweile weiter perfektioniert. Unerwartet und geradezu frappierend ist, wie die Internet-Giganten die DSGVO scheinbar gekapert haben: beinhalten doch – im Rahmen der europaweiten Einführung der DSGVO – mittlerweile die Datenschutzordnungen praktisch aller Unternehmen und Organisationen eine Internet-Nutzungsordnung, die im Wortlaut die Klauseln der von den diversen Internet-Giganten bereitgestellten Formulierungen enthält. Dies kann übrigens jeder Nutzer leicht selbst nachprüfen. Er muss sich dazu nur der Mühe unterziehen, solche Nutzungsordnungen einmal aufmerksam zu lessen (vergleiche zum Beispiel https://www.lebkuchen-schmidt.com/de/legal/datenschutz/).

    Beispiel Google – Auszug aus einer Internet-Nutzungsordnung gemäß DSGVO:

    „… Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP- Adresse) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.

    Der in Zusammenhang mit der Nutzung von Google Analytics stattfindenden Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen werden. Bitte wenden Sie sich dazu direkt an Google…“

    Beispiel FaceBook – Auszug aus einer Internet-Nutzungsordnung gemäß DSGVO:

    „… Wenn der Kunde eine Web-Site der verantwortlichen Stelle aufruft, die ein FaceBook Social Plugin enthält, baut der Browser des Kunden eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an den Browser des Kunden übermittelt und von diesem in die Web-Site eingebunden.

    Durch die Einbindung der Plugins erhält Facebook die Information, dass der Kunde die entsprechende Site des Internet-Auftritts der verantwortlichen Stelle aufgerufen hat. Ist der Kunde bei Facebook eingeloggt, kann Facebook den Besuch des Kunden seinem Facebook- Konto zuordnen. Wenn der Kunde mit den Plugins interagiert, zum Beispiel den „Gefällt mir“ Button betätigt oder einen Kommentar abgibt, wird die entsprechende Information von dem Browser des Kunden direkt an Facebook übermittelt und dort gespeichert…“

    Manche Unternehmen wie zum Beispiel der SPRINGER-Verlag gehen noch einen Schritt weiter: SPRINGER regelt in der Datenschutzordnung für sein Produkt WELT-online nicht nur die Nutzung dieses Produkts, sondern lässt sich gleichzeitig seine neuen – bei den WELT-online-Lesern meist unbekannten – Aktivitäten als Datensammler, Datenvermitler und Datenverkäufer “absegnen” (vergleichehttps://www.welt.de/services/article157550705/Datenschutzerklaerung-WELT-DIGITAL.html).

    Was also tun?

    Wo ist das Konzept unserer Regierung bzw. der EU zur Lösung dieser Probleme? Solange die Regierungen untätig bleiben, ist zivilgesellschaftliches Engagement im Sinne von Lobbygruppen gegen die Auswüchse des Datenkapitalismus ein Weg. Hervorhebens- und unterstützungswert ist hier die Gruppe „My Privacy Is None of Your Business“ (https://noyb.eu).

Ergänzung an Tim Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.