Debatte Auswirkung der DSGVO: Jetzt noch mehr wegklicken

Die Datenschutzgrundverordnung ist eine gigantische Vernichtung von Lebenszeit. Sie befördert bürokratische Rituale ohne besondere Wirkung.

Auf einem Smartphone kleben viele Sticker-Augen

Die DSGVO gestattet es jeden, von Firmen Auskunft über die gespeicherten Daten zu verlangen – und deren Löschung Foto: Imago/Photocase

Das Wort „Datenschutzgrundverordnung“ hat eine ähnliche Wirkung wie das Fingerschnipsen eines Hypnotiseurs. Sobald es fällt, beschäftigen sich die meisten Menschen reflexartig mit irgend etwas völlig anderem. 2009 hat sich keiner dafür interessiert, als die Verhandlungen in den EU-Gremien begannen. Und auch nicht, als die DSGVO vor zwei Jahren in Kraft trat, aber wegen einer Schonfrist noch keine Wirkung entfaltete. Erst in den Tagen vor dem 25. Mai brach Hektik aus.

Vor allem Blogger und Selbstständige fingen an, ihre Webseiten irgendwie datenschutzkonform zurechtzuzimmern. Viele brüten nun über der Frage, was für personenbezogene Daten sie eigentlich so erheben und speichern. Die müssen nämlich bis ins letzte Detail in einem „Verzeichnis von Verarbeitungstätigkeiten“ aufgeschrieben werden: Jedes erfasste Einzeldatum will darin verewigt sein mit genauer Angabe, zu welchem Zweck es gespeichert wird, auf welcher gesetzlichen Grundlage und auch welche Kollegen für diese Daten zuständig sind. Dazu gehört ein Löschkonzept und natürlich muss man in der Lage sein, Auskunft zu erteilen, wenn Kunden oder Geschäftspartner erfragen, welche Daten eigentlich über sie im Unternehmen vorliegen.

Dabei ist die Datenschutzgrundverordnung so weit gefasst, dass sie alle möglichen Vorgänge betrifft, die bisher ganz alltäglich und selbstverständlich abliefen. So rätseln Fotografen gemeinsam mit Juristen darüber, ob das Kunsturhebergesetz noch gilt. Das gestattete ihnen bisher, in der Öffentlichkeit zu fotografieren, ohne alle Leute um Einverständnis zu fragen, die zufällig in der Gegend herumstehen. Sogar eine Visitenkarte kann ein Fall für den Datenschutz werden, wenn ihr Inhalt nach Entgegennahme in ein Adressbuch übertragen wird. Klingt absurd, hat aber ein Sprecher der Berliner Landesdatenschutzbeauftragten bestätigt.

Ein Grund, warum viele sich erst kurz vor Schluss mit der Umsetzung der DSGVO beschäftigen, war das Gefühl, dass es nur um große Unternehmen gehe. Das ist nicht so. Schon ein Blog, das über einen rein privaten und familiären Charakter hinausgeht und sich an die Öffentlichkeit wendet, ist davon betroffen. Die DSGVO gilt für Webforen von Vereinen und Privatleuten, in denen sich Menschen über Kochrezepte oder Motorradteile austauschen, genauso wie für Weinhändler, die eine Kundenkartei pflegen. Letztere auch, wenn sie gar keine Webseite haben, denn die ­DSGVO ist „technikneutral“ und betrifft nicht nur den Computer und die Cloud, sondern auch den Aktenschrank. Und auch Angestellte sind davon betroffen, die von ihren Vorgesetzten zur Erstellung von allerlei Dokumenten verdonnert wurden. Als hätten sie nichts Besseres zu tun.

Die bürokratischen Pflichten

Dabei hat die DSGVO durchaus ihren Sinn. Sie vereinheitlicht endlich das bisher zersplitterte Datenschutzrecht in der EU. Sie gibt den Behörden Mittel an die Hand, Datenschutzverstöße von Face­book oder Google zu ahnden und mit empfindlichen Geldbußen zu belegen. Sie versaut Datenhändlern vielleicht das Geschäftsmodell. Sie gestattet es jederfrau und jedermann, von Unternehmen Auskunft über die gespeicherten Daten zu verlangen – und deren Löschung.

Aber die bürokratischen Pflichten, die Millionen von Menschen jetzt haben, tragen kaum etwas zu diesen positiven Effekten bei. Niemandem ist geholfen, wenn mein Klempner ein Verzeichnis von Verarbeitungstätigkeiten pflegt. Niemandem hilft es weiter, wenn neben einer Newsletter-Anmeldung jetzt eine Datenschutzbelehrung nebst Einwilligungserklärung steht, die beide von irgendwelchen Webseiten abgeschrieben wurden. Die Zahl an Cookie-Warnungen, die vor dem Lesen einer Webseite weggeklickt werden müssen, sind noch mal dramatisch angestiegen, ohne dass klar wäre, wem sie nützen sollen. All diese Tätigkeiten erinnern an ein bürokratisches Ritual ohne besondere Wirkung. Die DSGVO ist eine einzige gigantische Vernichtung von Lebenszeit.

Den Betroffenen ist auch unklar, wie sie die ­DSGVO nun genau einhalten sollen. So beschwichtigt der „Vater“ der Datenschutzreform, der grüne EU-Abgeordnete Jan Philipp Albrecht, dass niemand Angst vor hohen Bußgeldern haben müsse, während gleichzeitig der Thüringer Datenschutzbeauftragte verkündet, ab Montag würden Bußgelder fällig und er freue sich schon darauf. Immerhin wurde in der Verordnung explizit das Prinzip von Verhältnismäßigkeit festgeschrieben. Wer belegen kann, nach bestem Wissen und Gewissen das Datenschutzrecht einzuhalten, dürfte außer einer Ermahnung nichts zu befürchten haben. Menschen, die mit Behörden schon andere Erfahrungen gemacht haben, trauen dem nicht so ganz.

Viele Webseitenbetreiber haben ohnehin keine Angst vor Ermahnungen durch Datenschutzbehörden, sondern vor Abmahnungen. Und die ist nicht ganz unberechtigt: Schließlich dürfen Betroffene und Verbraucherschutzvereine sich künftig nicht nur bei einer Aufsichtsbehörde beschweren, sondern direkt vor Gericht klagen. Und ein Verbraucherschutzverein ist von windigen Anwälten, die ein Geschäft daraus machen wollen, schnell gegründet. Wie hoch das Risiko tatsächlich ist, ist derzeit noch völlig unklar. Die ersten wettbewerbsrechtlichen Abmahnungen wurden jedenfalls bereits am 25. Mai verschickt.

Verhältnismäßigkeit auch für die Großen

Aber selbst Juristen debattieren weiterhin über die Details der neuen Verordnung. Die Rechtsunsicherheit dürfte erst in mehreren Jahren durch Gerichtsurteile einigermaßen behoben sein, wie die Bundesdatenschutzbeauftragte Andrea Voßhoff selbst anmerkte. Die 99 Artikel der DSGVO kommen mit einem Apparat von 173 sogenannten Erwägungsgründen, die versuchen zu erklären, wie das Gesetz gemeint ist. Hinzu kommt das reformierte Bundesdatenschutzgesetz, 16 unterschiedliche Landesdatenschutzgesetze und in ein bis zwei Jahren wohl noch die E-Privacy-Verordnung. Dabei ist auch das Wechselspiel mit anderen Gesetzen zu beachten, zwischen denen abgewogen werden muss, wenn sie der DSGVO widersprechen. Um etwas mehr Klarheit zu schaffen, arbeiten die Ministerien an einem Omnibusgesetz, das die Änderungen vieler anderer Gesetze zusammenfasst. Das ist allerdings auch zwei Jahre nach Inkrafttreten der DSGVO noch nicht fertig.

Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im praktischen Wochenendabo. Und bei Facebook und Twitter.

Zugleich ist aber alles andere als sicher, ob die DSGVO das erklärte Ziel überhaupt erreichen kann: Facebook & Co. in die Schranken zu weisen. Einerseits hat der österreichische Datenschutzaktivist Max Schrems innerhalb kürzester Zeit mehrere Beschwerden gegen große IT-Konzerne eingereicht. Andererseits gilt das Prinzip der Verhältnismäßigkeit auch für die Großen. Wenn ein Handwerker oder Blogger ohne Bußgeld davonkommt, weil er belegen kann, dass er zumindest versucht hat, sich datenschutzkonform zu verhalten, kann Facebook das mit einem Heer an Juristen und Experten erst recht.

Vor allem aber dürfte die Verunsicherung dazu führen, dass sich das Internet noch stärker auf den großen Plattformen konzentriert. Start-ups, die sich keinen juristischen Apparat leisten können, werden es schwerer haben, möglichen Investoren hinreichend zu belegen, dass ihr Geschäftsmodell keine Risiken birgt. Und Blogger, denen Aufwand und Unsicherheit zu hoch sind, veröffentlichen Gedanken und Kochrezepte künftig eben auf Facebook. Überhaupt Facebook: Dass der Konzern die Einführung der DSGVO zum Anlass genommen hat, die Gesichtserkennung auch in Europa freizuschalten und künftig die Daten aus WhatsApp mit Facebook abgleicht, wirkt fast schon wie eine Kriegserklärung. Schwer zu glauben, dass Mark Zuckerberg und seine Berater nicht wissen, was sie da tun.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

ist Publizist in Berlin und hat auf ennopark.de Webseiten gesammelt, die nach Betreiberangaben wegen der DSGVO geschlossen wurden.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.