Seit 26. Mai 2018 ticken die datenschutzrechtlichen Uhren in der EU anders. Die Pflichten der Datenschutz-Grundverordnung (DSGVO) beanspruchen seit diesem Tag Wirkung. Weil Kommunikation in der digitalisierten Welt datenbasiert und datengetrieben ist, betreffen die Regeln für Datenschutz und Datensicherheit jeden - den Staat, den Bürger und die Wirtschaft.

Rolf Schwartmann
Eine Kolumne
Diese Kolumne stellt die Sicht des Autors dar. Hier finden Sie Informationen dazu, wie wir mit Meinungen in Texten umgehen.

Mehr zum Thema Digitales

Es ist nicht nur leicht, auf den Datenschutz zu schimpfen, sondern es ist oft auch nachvollziehbar. Aber wie berechtigt ist der Ärger? Was hat die DSGVO in drei Jahren bewegt und wo sollte man über Anpassungen nachdenken? Dazu fünf Thesen.

Die DSGVO ist kein bürokratisches Monster

Die DSGVO ist per se kein bürokratisches Monster. Sie ist komplex, so wie ein Rechtsrahmen der privaten und öffentlichen Datenverarbeitung es sein muss. Dazu normiert sie Zulässigkeitsfragen der Datenverarbeitung, setzt auf Transparenz und Organisation und regelt Betroffenenrechte.

Sie fordert die Dokumentation der Datenschutzorganisation und erhöht insofern die Anforderungen an die Nachweisbarkeit. Dabei schreibt sie die EG-DS-RiLi und für Deutschland das alte BDSG fort.

Die Aufsicht beweist Augenmass bei KMU

Auch kleine und mittlere Unternehmen (KMU) und Vereine müssen die Anforderungen der DSGVO erfüllen. Das ist in der Sache begründet, denn der Schutz von Daten darf grundsätzlich nicht nach dem Verarbeitungskontext fragen, muss aber risikoorientiert sein. Persönliche und familiäre Kommunikation ist aussen vor, Medien sind privilegiert.

Für KMU und Vereine ist das Recht in das Bewusstsein gerückt und es finden sich mittlerweile zahlreiche Arbeitshilfen und Muster zur Datenschutzpraxis. Sie machen das Recht umsetzbar. Nur wer sich verweigert, bekommt Ärger mit den Aufsichtsbehörden.

Es wurden nicht flächendeckend hohe Bussgelder verhängt

Die befürchteten hohen Bussgelder durch Datenschutzaufsichtsbehörden sind jedenfalls flächendeckend nicht verhängt worden. Die Behörden haben grundsätzlich Mass gehalten. Evidente Datenschutzverstösse wurden abschreckend sanktioniert. Spektakuläre Ausreisser kamen vor, wurden aber durch die Gerichte drastisch reduziert.

Problematisch können künftig Schadenersatzansprüche werden, die Privatpersonen gegenüber Verantwortlichen geltend machen und die provoziert werden. Hier muss die Rechtsprechung eingreifen, und dem Schadenersatz den von der DSGVO nicht gewollten Strafcharakter nehmen. Anderenfalls öffnet die DSGVO einer neuen "Klageindustrie" Tür und Tor.

Einheitliche Auslegung tut Not

Es bedarf einer Verstärkung der einheitlichen Auslegung des europäischen Datenschutzrechts durch einheitliche Arbeitshilfen und Best Practices der Aufsichtsbehörden auf der Ebene des nationalen Rechts und des EU-Rechts. Dieses institutionelle Defizit ist in der DSGVO angelegt und es ist der föderalen und supranationalen Struktur der Aufsicht geschuldet.

Für die Auslegungshoheit über das Datenschutzrecht durch die Datenschutzaufsicht im Alltag hat sich die DSGVO entschieden, um der EU-Kommission nicht durch sogenannte delegierte Rechtsakten das Feld zu überlassen. Nun muss die Aufsicht es schaffen, im europäischen Verwaltungsverbund unabhängiger Aufsichtsbehörden Anwendungssicherheit zu erzeugen.

Die DSGVO wirkt gegenüber GAFA nicht

Ein grosses und fatales Defizit der DSGVO zeigt sich bei der Wirkungslosigkeit der DSGVO gegenüber der wild wuchernden Macht der Datengiganten (GAFA: Google, Apple, Facebook, Amazon). Die am Umsatz orientierten Bussgelder wirken gegenüber Facebook & Co. kaum, weil die Umsätze dort im Verhältnis zum Gewinn gering sind. Während 4 Prozent des Umsatzes den Gewinn eines Mittelständlers abschöpfen, haben sie bei Facebook eher die Grössenordnung von Steuern, wenn sie überhaupt verhangen werden.

Apple übt über den App-Store und sein Betriebssystem technischen und wirtschaftlichen Zwang aus, den die auf inhaltliche Kommunikation abzielende DSGVO gar nicht adressiert. Dasselbe gilt für Browser und Betriebssystem von Google.

Hier müssen DMA und DSA als übergeordnete und die für den Online-Datenschutz zuständige ePrivacy-Verordnung, die aktuell geschaffen werden, retten, was zu retten ist. In Deutschland stellen Einwilligungsverwaltungssysteme im Telekommunikation Telemedien Datenschutzgesetz einen wichtigen Schritt für mehr Souveränität der Nutzer über ihre Daten dar, die auf technischer Ebene wirken.

Mehr Digitalthemen finden Sie hier

JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.