DatenschutzgrundverordnungDie EU öffnet die Büchse der Pandora

Die EU-Kommission will mehr Erleichterungen für Unternehmen beim Datenschutz. Die kleine Anpassung der DSGVO könnte der Vorbote einer größeren Deregulierungskampagne sein. Das darf nicht passieren – wenn die Verordnung schon aufgebohrt wird, muss sie verbessert werden. Ein Kommentar.

- - in Datenschutz - 5 Ergänzungen
Eine Hand hält einen Schlüssel, im Hintergrund eine halb geöffnet Holzschatulle
Die EU öffnet zum ersten Mal die Datenschutzgrundverordnung – Alle Rechte vorbehalten IMAGO / Westend61

Es ist ein simpler Satz, hinter dem sich eine kleine Revolution versteckt: „Die Kommission schlägt Vereinfachungsmaßnahmen vor, um EU-Unternehmen weitere 400 Millionen Euro pro Jahr zu ersparen.“ Mit diesen Worten kündigte die EU-Kommission am Mittwoch neues Paket zum sogenannten Bürokratieabbau an. Es soll Unternehmen das Leben leichter machen. Dazu gehört ein Abbau von Dokumentationspflichten beim Datenschutz für kleine und mittelgroße Unternehmen.

Es ist das erste Mal, dass die materiellen Regeln der Datenschutzgrundverordnung inhaltlich verändert werden sollen. Das galt lange Zeit als undenkbar, zu lebhaft waren die Erinnerungen an das, was als größte Lobby-Schlacht der EU in die Geschichtsbücher eingegangen ist. Vor ziemlich genau neun Jahren, am 25. Mai 2016, ist die DSGVO in Kraft getreten, davor lagen viele Jahre heftigen Ringens zwischen den EU-Institutionen, Parteien, der Zivilgesellschaft und Lobby-Gruppen.

Ausnahmen werden ausgeweitet

Es ist deshalb wenig verwunderlich, dass die EU-Kommission jetzt nicht die gesamte Grundverordnung zur Debatte stellt, sondern erstmal nur kleinere Veränderungen ankündigt. Oder in anderen Worten: Die Büchse der Pandora erstmal einen kleinen Spalt öffnet…

Laut der Ankündigung sollen künftig nur noch Unternehmen mit mehr als 750 Beschäftigten Datenverarbeitungsverzeichnisse führen müssen. Das sind interne Übersichten darüber, welche Daten eine Organisation verarbeitet, wofür sie genutzt werden, wer Zugriff darauf hat und wie die Daten geschützt werden. Schon bisher gab es hier eine Ausnahme, die allerdings nur für kleine Unternehmen mit bis zu 250 Mitarbeitenden gilt.

Dass die Ausweitung problematisch ist, liegt auf der Hand. Die Dokumentationspflichten sind nicht eingeführt worden, um Unternehmen zu gängeln, sondern um dafür zu sorgen, dass sie ihre Verantwortung ernst nehmen. Wer ein gut gepflegtes Verarbeitungsverzeichnis führt, hat in der Regel weniger Probleme mit dem Datenschutz, berichtet Rechtsanwältin Elisabeth Niekrenz aus der Praxis. Wie sollen sich in Zukunft Unternehmen mit bis zu 750 Mitarbeitenden um den Datenschutz kümmern, wenn sie keinen Überblick haben, welche Daten sie überhaupt verarbeiten? Die vermeintliche Erleichterung wird schnell zum Eigentor, weil Strafen für Verstöße natürlich trotzdem anfallen.

Sinnvoller ist da schon die zweite vorgeschlagene Änderung. Bislang galt die Befreiung von der Dokumentationspflicht nicht für Unternehmen, die „regelmäßig“ Daten verarbeiten, mit denen ein „Risiko“ einhergeht. Doch bei jedem Unternehmen fallen regelmäßig Daten über das Personal an, durch deren Verarbeitung naturgemäß ein Risiko entsteht. Das heißt: Die Ausnahme für kleine Unternehmen griff fast nie. In Zukunft sind kleine und mittlere Unternehmen nur dann zur Dokumentation verpflichtet, wenn sie Daten mit „hohem Risiko“ verarbeiten.

Ohne die EVP geht nichts

Die digitale Zivilgesellschaft reagiert auf den Vorschlag mit geballter Ablehnung. Das liegt nicht nur an den konkreten Vorschlägen, sondern vor allem daran, dass die Datenschutzgrundverordnung jetzt überhaupt aufgemacht werden soll. Die Mini-Reform könnte sich als Vorbote einer großen Deregulierungskampagne erweisen, warnten in dieser Woche mehr als hundert europäische NGOs. Ihre Sorge: Ist die Büchse der Pandora erst einmal geöffnet, bleibt kein Stein auf dem anderen. Im Herbst will die EU ein großes Omnibus-Paket zur „Vereinfachung“ ihrer Digitalgesetzgebung vorlegen, das auch die DSGVO umfassen könnte.

Ein Blick auf die politischen Mehrheitsverhältnisse in der EU zeigt, dass die Sorgen berechtigt sind. Seit dem Rechtsruck bei der letzten Europa-Wahl hat die konservative EVP-Fraktion im Parlament die Oberhand. Sie lässt wenig Zweifel daran, dass sie wirtschaftlichen Interessen alles andere unterordnet.

Schon in der letzten Legislaturperiode war die EVP die stärkste Kraft, doch wenn sich die Kräfte in der Mitte und links davon zusammentaten, konnten sie Gesetze auch gegen den Willen der Konservativen durchbringen. Das ist jetzt vorbei. Wenn die demokratischen Parteien nicht spuren, könnte die EVP gemeinsame Sache mit den ebenfalls erstarkten EU-Feinden und Rechtsradikalen machen. Dass das für die Konservativen kein theoretisches Szenario, sondern eine echte Option ist, ist ein Skandal für sich. Es ändert jedoch nichts daran, dass ohne die EVP im Parlament nichts geht.

Eine große Reform der DSGVO unter diesen Vorzeichen – das kann nur zu Lasten von Grundrechten gehen. Denn seit ihrer Einführung steht die Verordnung unter Beschuss aus der Wirtschaft, inzwischen ist sie zum Sündenbock für alles geworden, was bei der Digitalisierung schiefläuft. Mit Venture-Kapital vollgepumpte US-Konzerne sind erfolgreicher als die heimische Wirtschaft? Der Datenschutz ist schuld! Der Staat scheitert an der Verwaltungsdigitalisierung? Der Datenschutz ist schuld! Die Milch im Kühlschrank ist sauer geworden? Der Datenschutz ist schuld!

Wo wirklich was zu tun wäre

Dabei geraten nicht nur die Erfolge der DSGVO aus dem Blick, sondern auch der tatsächliche Reformbedarf für einen wirksamen Grundrechtsschutz. Wir berichten auf netzpolitik.org immer wieder über Probleme, die tatsächlich gefixt werden müssten, damit die DSGVO für Bürger:innen als echter Gewinn wahrgenommen wird. An erster Stelle: die informierte Einwilligung.

Immer wieder zeigen unsere Recherchen, wie Unternehmen Menschen über den Tisch ziehen, um an den vermeintlichen Blankoscheck fürs Datensammeln zu gelangen. Egal ob Websites und Apps, die Menschen mit manipulativem Design von Consent-Bannern auf „alles akzeptieren“ lenken oder Bank-Filialen und Handyshops, die Kreuzchen für ihre Kund:innen setzen, ohne sie zu fragen. Auch die unkontrollierten Datensammlungen der Werbeindustrie, die uns in hunderttausende Kategorien steckt und unsere genauen Bewegungsdaten vertickt, werden durch das Feigenblatt der „informierten Einwilligung“ gerechtfertigt.

Hier und an anderen Problemen müsste eine Reform ansetzen, die diesen Namen verdient hat. Die Verordnung aufzubohren und zu verändern ist nur dann zu rechtfertigen, wenn der Datenschutz für die Menschen wirklich verbessert wird. Alles andere darf man getrost als das bezeichnen, was es ist: Geschenke an die Wirtschaft.

Weitere Artikel
A blurry mess of lights.
Demokratie

Open Internet StackThe EU Commission’s vague plans for open source

An internal paper gives some clues about the EU Commission’s plans for open source policy in the future. An existing funding programme will continue under a new name and re-focus on commercial value. The document calls on the Commission to support open source in public administrations – and think about a new legal form. Many questions remain open.

Lesen Sie diesen Artikel: The EU Commission’s vague plans for open source
Eine unklare Menge an Lichtern
Demokratie

Open Internet StackDie vagen Open-Source-Pläne der EU-Kommission

Ein internes Papier gibt Hinweise auf die EU-Politik für Open Source in den kommenden Jahren. Ein schon etabliertes Förderprogramm soll unter einem neuen Namen weiterlaufen, mit Fokus auf Kommerzialisierung. Die Kommission soll sich auch für mehr Open Source in der Verwaltung einsetzen – und über eine eigene Rechtsform nachdenken. Viele Fragen bleiben offen.

Lesen Sie diesen Artikel: Die vagen Open-Source-Pläne der EU-Kommission

5 Ergänzungen

  2. „Bürokratie ist ein Containerbegriff, der sich mit allem füllen lässt, was die Betroffenen gerade so bewegt.“ (Canik, P.) Anders gesagt: Es ist ein vager, amorpher Gegenstand der öffentlichen Debatte, der immer dann ausgepackt wird, wenn es gerade politisch passt.

    Jede Vorschrift schützt jemanden
    Zitat: https://rsw.beck.de/aktuell/daily/meldung/detail/buerokratieabbau-politik-koalitionsvertrag-entbuerokratisierung-schutz

    In der Tat könnte die Problematik beim Bürokratieabbau genau darin liegen, dass unter jedem Stein, den man umdreht, ein Bauer oder eine Teilzeitbeschäftigte hervorkriecht und ruft: „Diese Regelung ist wichtig!“ Denn irgendwoher kam sie ja einst. Damit bleibt aber die Frage, wie man mit diesem Dilemma umgeht: Alle wollen weniger Bürokratie, aber nicht dort, wo die Regelungen eigene Interessen schützen. Und das müssen keine Partikularinteressen sein. Beim nächsten Lebensmittelskandal erinnern sich vermutlich wenige Bürgerinnen und Bürger noch an ihre einstige Sympathie für hygienevorschriftsgeplagte Metzgereien. Das begründet Cancik mit dem Präventionsparadox: Eine effektiv schützende Regelung wird mit der Zeit nur noch als Belastung wahrgenommen, weil das Bewusstsein für die Gefahr verschwindet. Oder wie der Soziologe Armin Nassehi sagt: „Man sieht die Schäden nicht, die ausgeblieben sind“.

    Antworten

  3. Das wäre nicht nur irgendwie doof. Klein und datenbezogen menschenfreundlich, Internetangebot… egal. Aber mal die EU betrachtet, mit dem Rutsch in Richtung Datenzugriff schon seitens der Behörden, entfernt man die Alleinstellungsmerkmale Europas: nachhaltige Demokratie in Sicht.

    Dann halt nicht. Elitenproblem?

    Antworten

  4. Danke für den Artikel Ingo! Es wäre super, die DSGVO zu verbessern. Vor allem der Begriff „Forschung“ muss raus, er verhindert am Ende alle Qualifikationsmechanismen für Personen („Forschender“ kann jeder sein, der auf YouTube vorführt wie man DNA aus einer Erdbeere extrahiert) und entsprechende Daten. Außerdem werden ständig neue Terminologien erfunden, um die DSGVO zu umgehen. Z.B. „Personalbasisdaten“ oder „Gesundheitsdaten“. Es verhält sich wie mit der Hydra: es wächst ständig ein neuer Kopf raus sobald man einen alten abgeschlagen hat. Des Weiteren fände ich es sinnvoll die Bestimmung von Daten in den Vordergrund zu rücken. Denn nur so kann ich als „Datenspender“ informiert einwilligen. Sobald es sich um unbestimmtes Datensammeln oder Datennutzung durch Betreiber oder Dritte handelt MUSS der Private (zwingend, dh strafrechtlich überprüfbar) HINREICHEND informiert werden. Hier sollte nicht die Bringschuld gelten!

    Antworten

    1. Naja und Umwidmung der Bestimmung, Unternehmensverkauf, TOS, etc., d.h. auch die Verarbeitenden Entitäten müssen einschränkbar sein.

      „Für Gesundheit“ …. für alle?

      Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.