Die europäische Datenschutzgrundverordnung (DSGVO) ist in Bezug auf die Datensouveränität ein richtungsweisendes Werk, hat aber auch nach fünf Jahren unverändert ein Umsetzungs- und Imageproblem. So sind viele Bürgerinnen und Bürger durch die Cookie-Abfrageflut genervt. Wenn man sich den kollektiven Aufwand im Vergleich zum Schutzwert der Daten anschaut, sieht man ein klares Auseinanderklaffen: Der größte Aufwand besteht im Ausfüllen, Unterschreiben und Abklicken von Trivialdaten.
Für weniger kritische Daten wie Cookies gelten die gleichen Anforderungen wie für das Verarbeiten von Daten zu Gesichtserkennung, Finanzstatus oder Gesundheit. Das ist nicht nur nervig, sondern auch kontraproduktiv, denn durch die Einwilligungsflut ist kein Verbraucher wirklich in der Lage, kritische und unkritische Freigaben zu unterscheiden. Die so entstehende „Unterschrifts- und Klick-Müdigkeit“ schafft das Gegenteil der angestrebten digitalen Souveränität. Eine Entbürokratisierung ist hier dringend notwendig. Man sollte darüber nachdenken, risikobasiert unterschiedliche Datenklassen und Standards zu schaffen. Für risikoärmere Daten wie Name und Adresse, die überall verarbeitet werden müssen, wäre eine Ablehnung im Einzelfall für alle Beteiligten deutlich einfacher als der permanente Zwang zur aktiven Zustimmung. Hochsensible personenbezogene Daten, wie beispielsweise Gesundheitsdaten, müssten hingegen stärker reguliert werden.
Persönliches Informations-Management kann eine Lösung sein
Mit Aufnahme der Personal Information Management Systems, kurz Pims, legt das deutsche Recht den Grundstein dafür, dass der Datenschutz und die Souveränität gestärkt werden. Mit Pims bekommen Nutzerinnen und Nutzer die Möglichkeit, ihre Einwilligungen zentral und verbindlich für alle Endgeräte und Dienste zu verwalten. Browser und Webseiten würden diese Informationen automatisiert und datenschutzkonform auslesen, so dass die lästigen Cookie-Banner endlich entfallen könnten. Jetzt kommt es darauf an, dass die technischen Anforderungen an diese Dienste vom Gesetzgeber so definiert werden, dass sich unabhängige europäische Pims-Anbieter etablieren können. Wenn dies gelingt, könnte aus Deutschland heraus eine Blaupause für eine EU-Regelung entstehen. Das wäre auch ein starkes europäisches Zeichen an die US-Konzerne, die aktuell durch Browser oder Betriebssysteme ihre eigene Gesetzgebung diktieren.
Ziel der DSGVO und des neu in der EU entstehenden Datenrechtes ist nicht nur der Verbraucherschutz, sondern auch, das wirtschaftliche Potenzial personenbezogener Daten zu heben. Auf dieser Basis kann im Binnenmarkt mit Daten gearbeitet, geforscht und gewirtschaftet werden. Europa droht aber wieder zu lange zu brauchen, um sich den Entwicklungen auf den internationalen Märkten anzupassen.
Irische Behörde wird DSGVO nicht gerecht
So läuft es jetzt auch in der neuen Phase der KI nach altbewährtem Muster: Die US-Großkonzerne schaffen erst und schauen dann. Europa hingegen schaut lange zu, diskutiert – und schafft erst dann, wenn alles bereits gelaufen ist, die Marktanteile verteilt und die Wettbewerber enteilt sind. Bestenfalls sichert sich die EU dann noch durch ein paar Strafzahlungen der US-Konzerne einen kleinen einmaligen Beitrag zum europäischen Haushalt, hat aber eine weitere Zukunftstechnologie verpasst.
So darf auch die gerade erst verhängte Rekordstrafe gegen den Facebook-Mutterkonzern Meta nicht darüber hinwegtäuschen, dass das Unternehmen fünf Jahre lang wissentlich gegen die DSGVO verstoßen und dies uneingeschränkt monetarisiert hat. Das Verfahren wurde hingegen erst im August 2020 initiiert und zog sich durch Auseinandersetzungen Irlands mit der EU in die Länge. So wollte die irische Behörde Facebook mit einer geringeren Strafe belegen, wurde aber von den europäischen Datenschutzbeauftragten überstimmt.
Dieser aktuelle Fall veranschaulicht die absurde Situation: US-Firmen, die mit der größten Datenverarbeitung über 80 Prozent des digitalen europäischen Geschäfts erwirtschaften, werden von einer kleinen Behörde in Dublin überwacht, die den Ansprüchen der DSGVO weder von der Kapazität noch von der Überwachung her gerecht wird.
Im Februar hat die EU-Kommission endlich reagiert: Eine Gesetzesinitiative soll die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden in grenzüberschreitenden Fällen verbessern. Es ist zweifelhaft, ob dies ausreicht, um das Datenparadies Irland zu schließen und endlich eine einheitliche Anwendung der DSGVO für Europa zu schaffen. Die EU braucht jetzt mehr denn je ein einheitliches und verlässliches Vorgehen der Datenschutzaufsicht und muss Anreize für die Datenweitergabe in einem europäischen Datenökosystem schaffen.
Jan Oetjen ist CEO von 1&1 Mail & Media Applications SE (GMX, WEB.DE, United Internet Media, mail.com). Im Februar 2016 war er Experte in einer öffentlichen Anhörung im Bundestag zur damals entstehenden EU-Datenschutzgrundverordnung.
