Eine einheitliche Datenschutzregulierung für ein starkes Europa, erstklassiger Schutz von Grund- und Bürgerrechten, Gewährleistung eines freien Datenflusses bei gleichzeitiger Verwirklichung des digitalen Binnenmarktes: Zur Umsetzung dieser zentralen Ziele ging die EU mit der Datenschutzgrundverordnung (DSGVO) 2018 an den Start und wollte Vorreiter im digitalen Zeitalter sein.
Doch was wurde daraus? Zwei Jahre nach der Einführung haben Rat, EU-Kommission, Wirtschaftsverbände und Datenschützer Stellung bezogen und das Urteil ist eindeutig: Die Verordnung sollte mehr können als das bisher Erreichte.Um positiv zu beginnen: Eine digitalisierte Gesellschaft kann nur Erfolge erzielen und wirtschaftlich wachsen, wenn jeder Einzelne sich frei entfalten, seine Kreativität ausleben und so auch zu Fortschritt beitragen kann. Ohne Datenschutz wäre die Freiheit und Entfaltungsmöglichkeit des Einzelnen gefährdet. Eine einheitliche europäische Regulierung ist also unerlässlich.
Die DSGVO hat ganz sicher ein stärkeres Bewusstsein für diese Thematik geschaffen. Egal ob Verbraucher oder Unternehmer – Datenschutz ist in aller Munde, und das ist gut so. Auch global hat die Verordnung teilweise Vorbildwirkung entfalten können. Beispielsweise hat der US-amerikanische Bundesstaat Kalifornien erst kürzlich sein Datenschutzrecht überarbeitet und zog dabei die DSGVO zu Rate. Doch an dieser Stelle ist größtenteils schon das Ende allen Lobs erreicht.
Eine einheitliche Regulierung in ganz Europa ist bisher Wunschvorstellung geblieben. Nationale gesetzliche Gestaltungsmöglichkeiten haben dazu geführt, dass wir auch zwei Jahre nach Inkrafttreten der Verordnung mit einem gesetzlichen Flickenteppich in der EU konfrontiert sind. In drei Mitgliedsstaaten steht die Umsetzung der Verordnung trotz Deadline 2018 noch aus. Die Kommission verteidigt ihr Werk und rühmt sich, dass in den vergangenen Jahren ein erhöhtes Interesse an Informationen zum Datenschutz verzeichnet wurde.
Unsicherheit bei Kleinunternehmen und Vereinen
Könnte dieses erhöhte Interesse nicht aber auch Ausdruck der Verunsicherung sein? Deutschland betonte im Rat, dass Verbraucher verunsichert wirkten, während Unternehmen sich beklagten, mit der Umsetzung überfordert zu sein. Die Verordnung greife, wie der BDI evaluiert, tief in etablierte Prozesse ein. Insbesondere kleine und mittelständische Unternehmen (KMU) sowie gemeinnützige Vereine hätten seit Einführung der DSGVO große Probleme, den neuen Voraussetzungen gerecht zu werden. Die speziell für KMUs entwickelten Sonderregelungen greifen offenbar nicht.
Die allgemeine Unsicherheit führt gleichzeitig zu einer Überanwendung der Verordnung: So wurden aus Angst etwas falsch zu machen bereits Klingelschilder abgehängt oder Fotos von Kindern im Kindergarten geschwärzt. Viele Bürger haben das Gefühl, dass sie im Alltag gegängelt werden, während Großunternehmen wie Facebook weiterhin unreguliert Daten sammeln können. Es mangelt offensichtlich an klaren und verständlichen Formulierungen sowie an europäischen Guidelines, die bei konkreten Themen die Anwendung erleichtern.
EU-Kommission keinen Überblick bei Geldbußen
Die EU-Kommission lobt sich derweil weiter, dass die Datenschutzbehörden gestärkt wurden und diese bereits „Geldbußen in Höhe von einigen Tausend bis zu mehreren Millionen Euro, je nach Schwere der Verletzungen der Datenschutzvorschriften“ verhängt hätten. Aus der Beantwortung meiner parlamentarischen Anfrage ging jedoch hervor, dass die EU-Kommission in Wirklichkeit ahnungslos über die Höhe der vergebenen Geldbußen in Europa ist.
Während jeder noch so kleine Verein in Deutschland sich aus Angst vor eklatanten Geldbußen täglich mit der DSGVO und deren Folgen auseinandersetzen muss, hat die EU-Kommission keine Ahnung von den echten finanziellen Konsequenzen der von ihr propagierten neuen Strafhöhen und Strafregeln. Solange die Kommission hier nicht Wissenslücken beseitigt, erscheint eine effektive Evaluierung der Verordnung in diesem Jahr kaum realistisch.
„Privacy by design“ noch kein Standard
Auch beim technischen Schutz hat sich bisher wenig getan. Auf meine Anfrage hin, warum neu auf den Markt kommende Laptopkameras in Europa mittlerweile nicht im Sinne des „privacy by design“-Standards manuell ausgeschaltet werden können, verwies die EU-Kommission lediglich auf die Zuständigkeit nationaler Datenschutzbehörden. Diese sind jedoch bereits heillos überfordert. Sie werden von verunsicherten Unternehmen und Verbrauchern mit Anfragen überhäuft, die sie mangels Personal und Finanzen nicht oder nur sehr langsam bearbeiten können. Gesetzliche Klarheit über den Verordnungstext sollten entsprechend die Gerichte liefern, die aufgrund langer Verfahrensdauern jedoch bis heute kaum relevante Entscheidungen fällen konnten. Das alles führt dazu, dass die DSGVO ihr verbraucherschützendes Potenzial nicht wie erhofft entfalten kann.
Die DSGVO war ohne Frage ein gut gemeinter Schritt in die richtige Richtung. Auch ist eine Evaluation nach gerade mal zwei Jahren vielleicht verfrüht. Dennoch zeichnet sich ab, dass die Verordnung dringend eines Realitätsupdates bedarf. Europa braucht ein einheitliches und transparentes Gesetz. Nationale Datenschutzbehörden müssen mehr Ressourcen erhalten, deren Zusammenarbeit muss gestärkt und somit auch die Rechtsdurchsetzung effektiver werden. KMUs und gemeinnützige Vereine dürfen nicht zu Verlierern werden, während Großkonzerne unbehelligt bleiben. „Privacy by design“ muss Standard und nicht Ausnahme sein. Es braucht leicht verständliche Guidelines, die Verbraucher und Unternehmer gezielt unterstützen. Datenschutz muss unbürokratischer, effizienter und ergebnisorientierter sein, um nicht nur angestaute Aktenberge, sondern endlich auch nationale Grenzen abzubauen.
Moritz Körner ist innenpolitischer Sprecher der FDP im Europäischen Parlament und Mitglied im Präsidium der Partei. Heute Abend spricht er auf einer Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin zum Thema.