GeburtstagswünscheDie DSGVO nicht ändern, sondern durchsetzen!

Die Datenschutzgrundverordnung feiert heute ihren 3. Geburtstag. Die EU muss nun dringend die strukturellen und praktischen Probleme angehen, die die Anwendung dieses Vorzeigegesetzes blockieren. Ein Gastbeitrag von Access Now.

Happy Birthday, DSGVO
– Gemeinfrei-ähnlich freigegeben durch unsplash.com Annie Spratt/Bearbeitung netzpolitik.org

Estelle Massé ist Senior Policy Analyst und Global Data Protection Lead bei Access Now. Sie arbeitet zu den Bereichen Datenschutz, Privatsphäre, Überwachung und Telekommunikationspolitik und leitet die Arbeit der Organisation zum Datenschutz in der EU und weltweit.

Vor drei Jahren trat die Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union in Kraft. Doch die Hoffnungen und Erwartungen, die durch dieses Vorzeigegesetz geweckt wurden, verwandeln sich nun in Frustration über ihre zögerliche Durchsetzung. Die weitreichenden Verbesserungen, die den Menschen versprochen wurden, sind noch nicht eingetreten: Viele Beschwerden bleiben unbearbeitet, Datenschutzverletzungen machen regelmäßig Schlagzeilen und die meisten Big-Tech-Konzerne wehren sich gegen Änderungen an ihrem Datensammel-Geschäftsmodell.

Die DSGVO wird oft als eine der größten Errungenschaften der Europäischen Union der letzten Jahre beschrieben. Sie wird als gesetzgeberischer Erfolg angesehen und ist zu einem globalen Modell für die Gesetzgebung zum Schutz personenbezogener Daten geworden. All dies bedeutet jedoch sehr wenig, wenn das Gesetz keine greifbaren Verbesserungen für das Leben der Menschen bringt, indem es ihre Rechte auf Privatsphäre und Datenschutz wirksam schützt. Heute haben wir zwar ein robustes Gesetz, aber die Umsetzung bleibt hinter dem zurück, was uns versprochen wurde.

Rund 280 Millionen Euro an Bußgeldern verhängt

Die Datenschutzbehörden sind für die Anwendung der DSGVO verantwortlich. Von Mai 2018 bis März 2021 haben sie gemeinsam 596 Bußgelder in Höhe von insgesamt 278.549.188 Euro verhängt. Das ist eine ganze Menge. Doch wenn wir uns die nationalen Zahlen genauer ansehen, sehen wir eine große Diskrepanz zwischen den Ländern. Die spanische Behörde war mit 223 Bußgeldern am aktivsten, während einige Behörden, etwa die in Luxemburg und Slowenien, noch kein einziges Bußgeld nach der DSGVO verhängt haben.

Was diese Zahlen nicht zeigen, sind die Schwierigkeiten, die Datenschutzbehörden haben, ihre Bußgelder durch Anfechtungen und Einsprüche durchzusetzen, sowie die Hindernisse, die sie bei der Zusammenarbeit untereinander haben. Im Zentrum dieses Problems steht der „One-Stop-Shop-Mechanismus“, der die Koordination zwischen den Behörden erleichtern und sicherstellen sollte, dass die Rechte der Bürger in der gesamten EU auf harmonisierte Weise geschützt werden. Trotz des positiven Ziels erweist sich der One-Stop-Shop als mühselig und verlangsamt die Lösung von Fällen, während sich die Datenschutzverstöße weiter häufen.

Haupthindernisse für die Rechtsdurchsetzung

In dem Bericht „Drei Jahre unter der DSGVO“ hat Access Now dieses Thema untersucht und festgestellt, dass die Behörden mit mehreren Haupthindernissen bei der Durchsetzung des Gesetzes konfrontiert sind. Erstens haben die Behörden keine geeigneten Werkzeuge zur Kommunikation untereinander, was zu verpassten Fristen und Problemen bei der Koordination führt. Zweitens bedeutet das Fehlen klarer Fristen für die einzelnen Schritte bei der Lösung von Beschwerden, dass viele Fälle auch mehr als drei Jahre nach ihrer Einreichung noch nicht gelöst sind. Drittens führen Unterschiede in den nationalen Verfahren zu Unstimmigkeiten zwischen den Behörden, die zusammenarbeiten sollten. Manche Fälle werden am Ende zweimal analysiert und andere Fälle werden von einer Behörde für ungültig erklärt, von einer anderen aber nicht. Die Behörden sind sich auch manchmal uneinig darüber, wer einen Fall leiten sollte.

Die Erörterung von Verfahrensabläufen mag langweilig erscheinen. Die Frage stellt sich: Warum nicht gleich das Gesetz reformieren, wenn es so schwierig durchzusetzen ist? Die Schöpfer*innen der DSGVO waren darauf bedacht, ein Modell zu schaffen, das langlebig ist und den Bedürfnissen der Mehrheit der Menschen entspricht. Die Umsetzung erweist sich als schwieriger als erwartet, darin sind sich Datenschutzexperten in ganz Europa einig. Würde eine Reform in diesem frühen Stadium etwas an der Realität ändern, dass wir mehr als 40 Datenschutzbehörden in der EU haben, die Schwierigkeiten haben, miteinander zu arbeiten? Würde sie nationale Verfahrensregeln ändern? Würde sie den notwendigen politischen Willen unter den EU-Staaten wecken, den Datenschutzbehörden angemessene Ressourcen für ihre Arbeit zur Verfügung zu stellen? Wir sind uns da nicht so sicher.

Diese Schritte wären notwendig, um die Versprechen der DSGVO einzulösen, nicht aber eine komplette Überarbeitung des Gesetzes. Wir brauchen einige langweilig schlichte strukturelle und prozedurale Klarstellungen und viel mehr politischen Willen, um das Gesetz in seiner jetzigen Form durchsetzen zu können.

4 Ergänzungen

  1. Die DSGVO ist sicher kein „Vorzeigegesetz“, sondern eher ein abschreckendes Beispiel für lebensfremden Dokumentationswahn (genau das war ja der Hauptunterschied zum BDSG). Sie orientiert sich auch nicht an den Bedürfnissen der Menschen, da den allermeisten Menschen Datenschutz relativ egal ist und sie bereitwillig ihre Daten gegen kostenlose Dienste tauschen. Sie ist auch kein Vorbild für andere Datenschutzgesetze in der Welt (das ist eher der kalifornische CCPA). Und last but not least schützt sie uns leider in keiner(!) Weise gegen staatliche Datenschnüffelei. Hier liegt aber das mit Abstand größte Bedrohungspotenzial.

    Sind die personenbezogenen Daten der Europäer heute real besser geschützt als vor 5 Jahren? Das weiß kein Bescheid, es ist auch nie untersucht worden. Ist im Zuge der DSGVO-Umsetzung viel Papier bedruckt worden? Ja, ganz sicher. Die DSGVO ist heute im Wesentlichen ein Mythos.

    1. „56% der Deutschen bezweifeln, dass ihre persönlichen Informationen innerhalb und außerhalb des Internets ausreichend geschützt sind. Fast genau so viele (55%) haben das Gefühl, keine Kontrolle über ihre Daten im Internet zu haben. Gleichzeitig sind sich so gut wie alle Deutschen (93%) einig, dass der Schutz persönlicher Daten wichtig ist. 64% finden sogar, dass man diesem Thema gar nicht genug Bedeutung zuschreiben kann. Dagegen finden 29%, dass dem Datenschutz mittlerweile eine zu hohe Wichtigkeit beigemessen wird.“
      https://www.sinus-institut.de/veroeffentlichungen/meldungen/detail/news/studie-zu-datenschutz-mehrheit-der-deutschen-zweifelt-an-datensicherheit/news-a/show/news-c/NewsItem/

      Kann man jetzt nicht so direkt sagen, dass den allermeisten Menschen Datenschutz relativ egal ist. Man kann ihnen höchstens Inkonsequenz vorwerfen, wenn sie trotzdem datensammelnde Dienste nutzen. Aber ich schätze, dass viele Menschen gar nicht gut genug informiert sind, um die richtigen Konsequenzen zu ziehen.

      1. Die Leuten sagen auch zu 90 %, dass sie gern höhere Milchpreise zahlen würden. Tun sie dann aber an der Kasse nicht.

        An ihren Taten sollt ihr sie messen! Was Leute in Umfragen z.B. aus Gründen der sozialen Erwünschtheit angeben, sagt meist sehr wenig über ihre tatsächliche Einstellung aus.

  2. Gibt es auch Erkenntnisse darüber, ob nach „verhängten“ Bußgeldern auch ein Zahlungseingang in „verhängter“ Höhe tatsächlich erfolgte?

    Gibt er Rabattierungen auf die „verhängte“ Buße?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.