5 Jahre DatenschutzgrundverordnungDie fünf größten Stärken der DSGVO

Die Datenschutzgrundverordnung gilt als Meilenstein der europäischen Digitalpolitik. Doch auch nach fünf Jahren läuft längst nicht alles rund. Wir haben die fünf größten Tops und Flops der DSGVO analysiert. Hier: Ihre größten Stärken.

Eine weiße Hand vor dem Hintergrund der EU-Flagge, die einen Daumen nach oben zeigt
Die Top 5 der DSGVO CC-BY-SA 4.0 EU-Hintergrund: Irinawave / Daumen: George Hodan, Public Domain

Die Datenschutzgrundverordnung hat Geburtstag! Seit dem 25. Mai 2018 regelt die DSGVO in der gesamten EU, unter welchen Bedingungen persönliche Daten elektronisch verarbeitet werden dürfen. Das Gesetz gilt als Meilenstein der europäischen Digitalpolitik und als internationaler „Goldstandard“ für den Datenschutz, an dem sich viele Länder orientieren. Lange vor den USA hat sich Europa angeschickt, den digitalen Wilden Westen strenger zu regulieren – eine historische Leistung.

Doch die DSGVO ist alles andere als unumstritten. Zwar war die Panikmache vor horrenden Bußgeldern für kleine Websites und einem Todesstoß für unabhängige Blogs unbegründet. Dennoch klagen viele bis heute über den hohen bürokratischen Aufwand, den die Verordnung verursacht. Auch die Verfechter:innen des Datenschutzes zeigen sich bisweilen enttäuscht von der DSGVO, nach den großen Versprechen hatten sie sich mehr erhofft.

Wir nehmen die DSGVO deshalb zu ihrem Geburtstag genauer unter die Lupe. Was funktioniert? Und was nicht? Das analysieren wir in zwei Artikeln: Die Top 5 in diesem Artikel, die fünf größten Flops in einem weiteren.

1. Ein eingelöstes Versprechen: Höhere Bußgelder

Es war das große Versprechen der DSGVO: Für all jene, die den Datenschutz wiederholt und absichtlich oder grob fahrlässig verletzen, sollte es teuer werden. Und tatsächlich haben Europas Datenschutzbehörden in den vergangenen fünf Jahren Bußgelder in Höhe von rund 2,8 Milliarden Euro verteilt. Gerade am Montag ist die Ankündigung eines Rekordbußgeldes hinzugekommen: 1,2 Milliarden Euro soll Meta für die illegale Verarbeitung von EU-Daten in den USA zahlen. Die bis dahin höchste Bußgeldsumme lag bei 750 Millionen Euro gegen Amazon in Luxemburg.

Die meisten Strafen fallen allerdings deutlich geringer aus, wie ein Blick auf die Liste der Bußgelder zeigt. So muss Vodafone in Spanien regelmäßig fünfstellige Strafen für unerwünschte Marketing-Maßnahmen zahlen; ein rumänischer Arzt 1.000 Euro, weil er die Daten eines Patienten aus seinem Blog veröffentlichte, und ein hessischer Restaurantbetreiber bekam 170 Euro auferlegt, weil er Daten aus der Corona-Kontaktverfolgung nutzte, um einen säumigen Gast aufzuspüren.

Die Grundrechtsorganisation Access Now kommt zu dem Schluss, dass die Sanktionsmöglichkeiten eine wirksame Abschreckung gegen systematische Verstöße gegen die DSGVO darstellen. Allerdings sei der Fokus auf die Bußgelder zu klein. Denn ausgerechnet die größten Fälle gegen Technologie-Konzerne erfolgten grenzüberschreitend, ihre Aufklärung schreite aber oft nur schleppend voran (mehr dazu unter Flops).

Viel zu selten nutzen die Aufsichtsbehörden bislang die Möglichkeit, nicht nur Bußgelder zu verhängen, sondern auch bestimmte Datenverarbeitungen zu untersagen. Immerhin könnten die Strafbescheide von Behörden bald um eine flankierende Maßnahme erweitert werden: Der Europäische Gerichtshof machte im Mai den Weg frei für Entschädigungen für Nutzer:innen, die durch Datenschutzverstöße geschädigt wurden.

2. Ein wirksames Werkzeug: Das Recht auf Datenauskunft

Wer meine Daten speichert, muss mir diese auf Anfrage herausgeben und sie löschen, wenn ich darum bitte. Dieses einfache Prinzip hat die EU in Artikel 15 der Datenschutzgrundverordnung verankert. Facebook, Twitter und andere große Plattformen stellen daher inzwischen die eigenen Daten auf Knopfdruck bereit. Durch solche Eigendatenauskünfte wird deutlich, wie viele private Informationen manche Konzerne über ihre Nutzer:innen speichern. Dieses Wissen ist oft die Grundlage für Datenschutzbeschwerden von Nichtregierungsorganisationen.

Sein Potenzial hat das Recht aber auch nach fünf Jahren DSGVO noch nicht voll entfaltet. Oft versuchen Unternehmen, Anfragende mit oberflächlichen Auskünften abzuspeisen. Erst Anfang Mai entschied der Europäische Gerichtshof nach einer Klage der Nichtregierungsorganisation None of Your Business (noyb) von Max Schrems, dass Betroffene auf Anfrage eine „originalgetreue und verständliche Reproduktion“ all ihrer Daten erhalten müssen. Das betrifft nicht nur Rohdaten aus Datenbanken, sondern auch den Kontext, in dem die Daten gespeichert und verarbeitet werden.

3. Die Macht der Vielen: Stark dank der Zivilgesellschaft

Damit die Datenschutzbehörden tätig werden, braucht es in den meisten Fällen Beschwerden über Datenschutzverstöße. Nur selten nehmen sich die Behörden Themenbereich proaktiv vor und führen Kontrollen durch. Das bedeutet auch: Wer seine Datenschutzverstöße verschleiert, hat gute Chancen, damit durchzukommen. Denn Bürger:innen können sich schlecht über Dinge beschweren, von denen sie nichts wissen. Nur die wenigsten Nutzer:innen haben Zeit, systematisch Auskunftsanfragen zu stellen.

Deshalb ist es gut, dass es Verbraucherschutz- und Bürgerrechtsorganisationen gibt. Danke der DSGVO können sie im Auftrag von Bürger:innen tätig zu werden, Beschwerden einreichen und Verfahren führen. Einige der wichtigsten Aufsichtsentscheidungen haben wir Crowd-Recherchen und Kampagnen von NGOs wie None of Your Business, dem Irish Civil Liberties Council sowie Privacy International zu verdanken. Durch die Rechtsprechung des EuGH wurde zudem die Möglichkeit für Sammelklagen wegen Datenschutzproblemen geschaffen.

4. Eine wichtiger Nebeneffekt: Mehr IT-Sicherheit

In kaum einem anderen Punkt ist die DSGVO so konkret und scharf wie bei der IT-Sicherheit. Datenverarbeiter müssen sowohl technische als auch organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugten Zugriffen zu schützen. Dabei müssen sie sich – laut Artikel 32 – am Stand der Technik orientieren, also etwa Verschlüsselung nutzen. Außerdem müssen Unternehmen Datenpannen unverzüglich den Datenschutzbehörden melden und Betroffene darüber informieren.

Aufgrund der strengen Regelungen ist auch die Anzahl der verhängten Bußgelder relativ hoch, bei denen es um Probleme der IT-Sicherheit geht. Die DSGVO trägt damit mehr zur IT-Sicherheit bei als so manches IT-Sicherheitsgesetz.

5. Ein unvollendetes Werk: Gute Ideen, deren Potenzial noch nicht ausgeschöpft ist

Nicht nur auf Seiten der Nutzer:innen setzt die DSGVO auf Eigenverantwortung, sondern auch bei den Datenverarbeitern. Ihr risikobasierter Ansatz sieht vor, dass sich Unternehmen selbst Gedanken über Datenschutzrisiken machen müssen – und wie sie diese minimieren können.

Ein wichtiges Instrument hierfür ist die Datenschutzfolgenabschätzung, die Unternehmen anfertigen müssen, wenn sie ein potenziell größeres Risiko für die Grundrechte erkennen. Darüber hinaus schreibt die Verordnung Datenschutz „by design“ und „by default“ vor, also quasi ab Werk. Durch strenge Kontrolle dieser Vorgabe können Regulierungsbehörden Druck auf Technologieunternehmen ausüben, wie jüngst im Fall von ChatGPT, als die italienische Datenschutzbehörde den Dienst vorübergehend sperrte.

Allerdings ist die Idee besser als die Praxis. Datenschutzfolgeabschätzungen müssen weder veröffentlicht noch bei den Aufsichtsbehörden hinterlegt werden. Darum werden sie oft erst dann erstellt, wenn es Probleme gibt oder die Behörden sie einfordern. Auch fehlt es an klaren Standards, was „Privacy by Design and Default“ bedeutet. Außerdem sind diejengien, die Privacy by Design umsetzen müssten, von der DSGVO selbst gar nicht umfasst: Haftbar sind nur Datenverarbeiter, nicht jedoch die Hersteller von Hard- und Software.

Das Fazit

Die Datenschutzgrundverdnung hat in den ersten fünf Jahren viel verändert und einiges bewirkt. Ihr großes Versprechen, den Überwachungskapitalismus zu bändigen, hat die DSGVO jedoch bis heute nicht eingelöst. Warum das so ist, zeigt die Liste mit den größten Flops.

1 Ergänzungen

  1. Man sollte sich besser von dem Gedanken verabschieden, dass da wirklich etwas gelöscht wird. Die Schufa löscht nichts, Meta löscht nichts, Vodafone löscht nichts. Niemand löscht da irgendwas, denn es kann niemand kontrollieren. Das wird den meisten leider erst klar werden, wenn sich die Gesetze mal wieder dahingehend ändern, das diese Daten legal sind und auf „magische Weise“ wieder überall auftauchen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.