Wann haben Sie zuletzt jemanden „Ja, Datenschutz wirkt“ sagen hören? Aktuelle Umfragen zeigen, dass diese Aussage selten sein dürfte. Das ist bedenklich, angesichts des gewaltigen Schrittes zur Rechtsvereinheitlichung und zur Stärkung des Datenschutzes, den die Datenschutzgrundverordnung (DSGVO) darstellt. Doch die bisweilen geringe Begeisterung der Öffentlichkeit in Sachen DSGVO hat Gründe. Die Regeln zum Datenschutz waren noch nie einfach, das gilt auch für die neue EU-Verordnung. Da wiegt es umso schwerer, dass sie zu wenig erklärt wird. Öffentliche Aufklärungskampagnen fehlen gänzlich.
Aufklärung gibt es nicht zum Nulltarif
Wenn aber Verbraucherinnen und Verbraucher nicht erfahren, was ihnen die neuen Regeln konkret bringen und wenn kleine Unternehmen und Vereine nicht wissen, was sie konkret tun müssen, um rechtskonform zu handeln, dann hat der Datenschutz ein doppeltes Problem: Das Bild der Bürger und der Wirtschaft von diesem wichtigen Recht verdunkelt sich, falls sich der Eindruck von Wirkungslosigkeit und Unklarheit verfestigt. Das Ziel des Schutzes von informationeller Selbstbestimmung und Privatsphäre gerät dann aus dem Blick. Es bedarf deshalb deutlich mehr Kommunikation. Den Unternehmen muss klar gesagt werden, wie sie im Einzelnen datenschutzgerecht handeln können. Die Regulierer sollten dabei mit einer Stimme sprechen. Und den Bürgern muss aufgezeigt werden, wie sie ihre Rechte nutzen können und was der Datenschutz leisten kann – und was eben nicht. Solche Kommunikation kostet natürlich Geld, das die öffentliche Hand aufwenden muss.
Die Länder sind in der Pflicht, ihre Datenschutzbehörden so auszustatten, dass sie nicht nur sanktionieren können, sondern auch im Stande sind, Bürger und Unternehmen zum neuen Datenschutzrecht zu beraten. Wenn die Behörden wichtiger Flächenländer wie Bayern, Niedersachsen und Baden-Württemberg nun ankündigen, die Datenschutzberatung wegen Unterausstattung einzustellen, dann ist das ein Warnsignal. Sanktionsmaßnahmen aus Brüssel könnten anstehen.
Ebenfalls der Bund ist in der Pflicht. Selbst wenn die DSGVO nicht „sein“ Gesetz ist, so sollte ihm doch sehr daran gelegen sein, dass Rechtsunsicherheiten mit Informationsmaßnahmen entgegengewirkt wird. Auch die vom Bund gegründete Stiftung Datenschutz stünde hierfür bereit – so sich denn der Haushaltsgesetzgeber zu einer Förderung durchringen kann, wie im Koalitionsvertrag zugesagt.
Evaluierung der DSGVO als Chance
Im kommenden Jahr steht die Überprüfung des noch jungen europäischen Datenschutzrechts an. In der Evaluationsphase und bei etwaigen Modifikationen der DSGVO wird es darauf ankommen, ausgewogene Lösungen zu finden. Kleinunternehmen und ehrenamtliche Einrichtungen mit geringem Risikopotential müssen von Bürokratie entlastet werden, ohne dass dabei die Ziele des Datenschutzes gefährdet werden. Zugleich müssen internationale Akteure mit hohem Risikopotential entschieden angegangen werden. Es darf nicht der Eindruck entstehen, dass die Kleinen Bürokratie bekommen und die Großen davonkommen.
Eine gute und eng abgestimmte Zusammenarbeit der Aufsichtsbehörden in Europa ist für ein schlagkräftiges Datenschutzrecht unverzichtbar. Ansonsten werden sich internationale Unternehmen mit kritischen Geschäftsmodellen vermehrt in solchen EU-Mitgliedstaaten ansiedeln, die eine laxe Aufsichtspraxis erwarten lassen. Der Gedanke einer wirksamen europäischen Rechtsvereinheitlichung würde unterlaufen. Deutschland sollte bei all dem eine starke Rolle spielen, immerhin haben wir einen Ruf als Datenschutznation zu verlieren. Dass sich die Bundesländer seit einem Jahr nicht auf einen gemeinsamen Vertreter im maßgeblichen Europäischen Datenschutzausschuss einigen können, ist ein sehr schlechtes Zeichen.
Wo liegt das Verbesserungspotenzial?
Die weitere Verbesserung des Datenschutzrechts kann nur auf europäischer Ebene erreicht werden. Aufgaben gibt es einige. So muss das Instrument der sogenannten „informierten Einwilligung“ weiterentwickelt werden. Die jetzige Regelung versagt oft. Von Nutzerinnen und Nutzern kann schlicht nicht erwartet werden, dass sie vor der Installation einer App auf dem Smartphone seitenlange komplexe Datenschutzerklärungen lesen und danach aufgeklärt und bewusst entscheiden mögen. Es sind hier neue Wege der Informationsvermittlung zu suchen, zum Beispiel die Visualisierung mit einfach erfassbaren Piktogrammen. Auch innovative technische Lösungen wie Privacy-Assistenten müssen erforscht werden. Und was die von der DSGVO neu eröffnete Möglichkeit zur Mitnahme der eigenen Daten von einem Anbieter zu einem anderen betrifft, so fehlen noch dringend Regelungen zur Interoperabilität. Denn bislang können die Verbraucher mit ihren mitgenommenen Daten beim neuen Anbieter oft gar nichts anfangen, weil die Systeme nicht kompatibel sind.
Der Datenschutz darf sich nicht zu einer reinen Fachdiskussion zwischen Rechtsabteilungen und Aufsichtsbehörden entwickeln, bei der es vor allem um Compliance-Pflichten und formalistische Details geht. Die Nutzerinnen und Nutzer und der effektive Schutz ihrer Rechte sollten stärker im Mittelpunkt stehen. Es bedarf klarer Antworten, was guter Datenschutz den Menschen an konkretem Schutz bringt und was der effiziente Weg zu diesem Schutz ist. Bestenfalls hört man dann bald wieder öfter in den Umfragen: „Ja, Datenschutz belastet nicht, er wirkt!“
Frederick Richter LL.M. ist Vorstand der Stiftung Datenschutz in Leipzig. Die Stiftung lädt am Freitag, 24. Mai, zum Datentag in Berlin – dasThema „1 Jahr DSGVO“.