5 Jahre Datenschutzgrundverordnung: Die fünf größten Schwächen der DSGVO

Die Datenschutzgrundverordnung hat Geburtstag! Seit dem 25. Mai 2018 regelt die DSGVO in der gesamten EU, unter welchen Bedingungen persönliche Daten elektronisch verarbeitet werden dürfen. Das Gesetz gilt als Meilenstein der europäischen Digitalpolitik und als internationaler „Goldstandard“ für den Datenschutz, an dem sich viele Länder orientieren. Lange vor den USA hat sich Europa angeschickt, den digitalen Wilden Westen strenger zu regulieren – eine historische Leistung.

Doch die DSGVO ist alles andere als unumstritten. Zwar war die Panikmache vor horrenden Bußgeldern für kleine Websites und einem Todesstoß für unabhängige Blogs unbegründet. Dennoch klagen viele bis heute über den hohen bürokratischen Aufwand, den die Verordnung verursacht. Auch die Verfechter:innen des Datenschutzes zeigen sich bisweilen enttäuscht von der DSGVO, nach den großen Versprechen hatten sie sich mehr erhofft.

Wir nehmen die DSGVO deshalb zu ihrem Geburtstag genauer unter die Lupe. Was funktioniert? Und was nicht? Das analysieren wir in zwei Artikeln: Die fünf größten Flops der DSGVO in diesem Artikel, die Top 5 in einem anderen.

1. Ein unerwartetes Problem: Die Trägheit der Aufsichtsbehörden

Jede Verordnung ist nur so gut wie ihre Durchsetzung – und diese ist bei der DSGVO schlichtweg mangelhaft. Zu diesem Schluss kommen der österreichische Jurist Schrems und die NGO None of Your Business (noyb) nach mehr als 800 strategischen Datenschutzbeschwerden in den zurückliegenden fünf Jahren. Die Datenschutzbehörden agierten zu langsam, zu zaghaft und nicht konsequent genug. Das gelte gerade auch für die deutschen Behörden. „Obwohl Deutschland als Land des Datenschutzes gilt, ist eine entsprechende Behördentätigkeit bei der Durchsetzung oftmals nicht zu erkennen“, konstatiert noyb. Die deutsche Aufsicht hätte weder durch besonders hohe Strafen noch durch konsequente Rechtsdurchsetzung in der Breite von sich reden gemacht.

Statt auf die abschreckende Wirkung von Strafen zu setzen, zögen die hiesigen Behörden informelle Lösungen mit Unternehmen vor. Die Firmen erhielten dann Beratung, Strafen gingen sie so aus dem Weg. Wegen des Föderalismus gebe es bundesweit bis heute – ungeachtet der angestrebten europaweiten Harmonisierung des Datenschutzes – noch immer etliche Interpretationen und Durchsetzungsansätze. Unternehmen würden diese Unterschiede nutzen, um Behörden gegeneinander auszuspielen, so noyb. Sonderzuständigkeiten für Medien oder Kirchen täten ihr Übriges.

Auch die Intransparenz deutscher Behörden kritisiert noyb. Diese veröffentlichen ihre Entscheidungen nicht oder nur in Teilen. Unternehmen und Nutzer:innen hätten keinen Zugang zur Entscheidungspraxis und bezögen Informationen in der Regel aus den Medien. Tatsächlich veröffentlichen die Datenschutzbehörden nicht einmal regelmäßig statistische Kennzahlen zur Durchsetzung der DSGVO. Wie viele Beschwerden gehen bei ihnen ein? Wie viele Sanktionen erlassen sie? Wie viele Datenpannen werden bei ihnen gemeldet? Eine Bitte von netzpolitik.org, solche Basisinformation gesammelt durch die Datenschutzkonferenz proaktiv zu veröffentlichen, lehnten die Aufsichtsbehörden ab.

2. Ein unerwünschtes Nadelöhr: Das Irland-Problem

Eine große Hürde ist auch die grenzüberschreitende Zusammenarbeit der Behörden. Die DSGVO sieht vor, dass Verfahren mit Betroffenen in mehreren EU-Staaten federführend von jenem Staat geführt wird, in dem ein Unternehmen seinen Sitz hat. Facebook, Microsoft, Google oder TikTok haben daher Irland als Standort ausgewählt– wegen der niedrigen Steuern, aber auch, weil die irische Datenschutzbehörde die DSGVO äußerst milde auslegt.

Laut einem Bericht des Irish Council for Civil Liberties enden mehr als 80 Prozent der EU-Verfahren in Irland mit einer „einvernehmlichen Lösung“. Gleichzeitig greift die irische Behörde ungern zu Anordnungen, um umstrittene Datenschutzpraktiken zu ändern. Aus diesem Grund überstimmte der Europäische Datenschutzausschuss die irische Behörde in 75 Prozent ihrer grenzüberschreitenden Entscheidungen, um so schärfere Maßnahmen und höhere Strafen durchzusetzen.

Probleme gibt es allerdings auch in anderen EU-Staaten. Beispielsweise setzte Ungarn während der Corona-Pandemie die DSGVO teilweise aus; die dortige Datenschutzbehörde stellte der Staatstrojaner-Überwachung von Journalist:innen und Oppositionellen einen Freifahrtschein aus.

Wegen der erheblichen Probleme bei der einheitlichen Durchsetzung der DSGVO plant die EU-Kommission einen Vorschlag für neue Verfahrensregeln, die „reibungslose“ Verfahren jenseits von Staatsgrenzen ermöglichen sollen. Die Nichtregierungsorganisation None Of Your Business hat dafür einen eigenen Verordnungsvorschlag geschrieben.

3. Ein schwerwiegender Konstruktionsfehler: Immer Ärger mit der Einwilligung

Laut DSGVO können Menschen mit ihrer Einwilligung jede denkbare Nutzung ihrer Daten erlauben. Sie können diese aber auch verweigern. In der Praxis wird bislang meist nur der erste Teil realisiert: Einwilligen müssen wir überall, das Ablehnen ist oft erschwert bis unmöglich. Wenn die Einwilligung immer so freiwillig und informiert erfolgen würde, wie es die DSGVO vorschreibt, dann würden viele Menschen diese nicht erteilen. Deshalb werden viele Unternehmen kreativ, um an den vermeintlichen Blankoscheck zur Datenverarbeitung zu gelangen. Ihnen und dem Konstrukt der Einwilligung haben wir das wohl größte Nervthema der DSGVO zu verdanken: Endlose Cookie-Banner.

Zahlreiche Recherchen – nicht nur von netzpolitik.org – haben gezeigt: Unternehmen tricksen und schummeln, um an die begehrte Einwilligung zu kommen. Websites schalten Cookie-Banner, die uns an der Nase herumführen, Sparkassen drängen Kund:innen mit falschen Warnungen zur Einwilligung und auch Handy-Shops jubeln Einwilligungen unter. Aber selbst ohne manipulative Dark Patterns sind Menschen in der vernetzten Gesellschaft strukturell überfordert, all ihre Datenspuren im Blick zu behalten und individuell zu managen.

Die Hoffnung unter anderem auf sogenannte Datentreuhänder, die die Interessen von uns Datensubjekten kollektiv durchsetzen, hat sich bislang nicht erfüllt. Eine andere Möglichkeit bestünde darin, sich von dem individualistischen Ansatz der DSGVO zu verabschieden und stattdessen als Gesellschaft klare Gesetze zu formulieren, unter welchen Bedingungen unsere Daten genutzt werden dürfen. Profilbildung für Scoring und Werbung könnten wir so verbieten, die Nutzung von Daten für Krebsforschung oder städtische Mobilitätsplanung hingegen erlauben.

4. Eine trickreiche Täuschung: Fehlende Standards und „Privacy-Washing“

Eines der Versprechen der DSGVO lautet, Datenschutz für Unternehmen verpflichtend zu machen. Die Hoffnung: Wenn die Bußgelder so hoch ausfallen, dass sie ein Unternehmen in die roten Zahlen bringen können, dann würde der Datenschutz quasi zur Chefsache. Und tatsächlich steht der Datenschutz nach fünf Jahren DSGVO auf der Agenda vieler Firmen. Fraglich sei jedoch, ob damit der gewünschte Effekt erzielt werde, sagt Benjamin Wolf vom Verein Digitale Gesellschaft.

Bisweilen sei eher das Gegenteil zu beobachten. „Da ist ein Compliance-Industrie entstanden, die gutes Geld damit macht, Unternehmen zu beraten, wie sie sich rechtlich möglichst gut absichern können“, so Wolf. An der tatsächlichen Datennutzung ändere sich dabei oft gar nichts. Statt die Rechte von Betroffenen zu stärken, würden die Unternehmen vor allem Checklisten abarbeiten und an den Formulierungen ihrer Datenschutzbestimmungen zu feilen, um selbst auf der sicheren Seite zu sein.

„Das geht so weit, dass heute selbst die schlimmsten Datenschleudern mit ihrer DSGVO-Compliance werben“, kritisiert Wolf. „Privacy-Washing“ nennt der Datenschützer das, in Anlehnung „Greenwashing“ aus dem Umweltbereich. Das sei auch möglich, weil die EU die in der DSGVO angelegte Möglichkeit zum Setzen von Standards bislang kaum nutze.

5. Eine große Leerstelle: Künstliche Intelligenz und das Verbot automatisierter Entscheidungen

Als die Datenschutzgrundverordnung Mitte der 2010er-Jahre geschmiedet wurde, hatte der Begriff „Big Data“ Konjunktur; heute werden ähnliche Debatten unter dem Stichwort Künstliche Intelligenz (KI) geführt. Damals geht wie heute geht Diskriminierung, Manipulation und den Schutz vor allwissen Maschinen, die über unsere Lebenschancen entscheiden.

Einen wirksamen Schutz gegen die Macht der Algorithmen bietet die DSGVO trotzdem nicht. Dabei hatten deren Schöpfer:innen die Thematik auf dem Schirm. Die DSGVO enthält ein Anrecht darauf, als Person nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden. Das zielt zum Beispiel auf das sogenannte Profiling ab, bei dem auf Basis von Datenspuren Profile erstellt und Score-Werte errechnet werden, die dann etwa darüber entscheiden, ob eine Person einen Kredit erhält.

Nur funktioniert die Automatisierungsbremse nicht. Schon vor zwei Jahren kritisierte die Digitale Gesellschaft, dass die Regeln zu schwammig formuliert seien. Und auch die Datenschutzbehörden stopfen die Schlupflöcher bisher nicht; die Leitlinien des Europäischen Datenschutzausschuss stammen aus dem Jahr 2018 und sind veraltet.

Abhilfe könnte der AI Act schaffen, über den derzeit die EU-Institutionen verhandeln, eine Verordnung zur Regulierung Künstlicher Intelligenz. Das neue Gesetz soll Transparenz schaffen und vor Diskriminierung durch automatisierte Systeme schützen, allerdings weisen bisherige Vorschläge große Lücken auf.

Das Fazit

Ihr großes Versprechen, den Überwachungskapitalismus zu bändigen, hat die DSGVO bislang nicht eingelöst. Das liegt zum einen an Konstruktionsfehlern der Verordnung, zum anderen aber auch an der durchwachsenen Performance der Aufsichtsbehörde. Und natürlich spielt auch das Verhalten einer Industrie eine Rolle, die mit jedem erdenklichen Mittel gegen echten Datenschutz vorgeht. Doch es gibt einen Hoffnungsschimmer: Für viele Probleme liegen entsprechende Lösungen auf dem Tisch. Falls die EU den Kampf noch nicht aufgegeben hat, muss sie nur zugreifen.