Datenschutz-Grundverordnung: DSGVO ist in Kraft – und nun?

Vor zehn Monaten trat die Datenschutz-Grundverordnung in Kraft. Doch VerbraucherInnen fühlen sich wenig informiert.

Für Verbraucher bedeutet die DSGVO: mehr Macht über ihre Daten Foto: imago-images/Westend61

BERLIN taz | „Ich hatte Angst vor dem 25. Mai“, erzählt Sigrund Leisner, hauptamtliche Geschäftsführerin des Wuppertalers Sportverein Vohwinkeler STV. Als am 25. Mai 2018 europaweit die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, blickt sie wie der Rest Deutschlands vor allem mit Fragezeichen auf die neue Regelung. Rechtzeitig habe sie sich auf die neue Verordnung vorbereitet, zusammen mit einem Ehrenamtlichen des Vereins eine Ausbildung zur Datenschutzbeauftragten absolviert. Doch so richtig gewusst, was mit Inkrafttreten der DSGVO auf sie zukommen würde, habe sie nicht.

Vor allem die Verunsicherung unter den Vereinsmitgliedern durch die „in der Presse hochgekochte Diskussion“ machte Leisner Sorgen. „Die rennen mir die Türen ein und wollen wissen, was wir mit ihren Daten machen“, so beschreibt sie rückblickend ihre Befürchtungen.

Dazu wären die Mitglieder auch befugt gewesen: Mit der Datenschutz-Grundverordnung regelt die EU den Umgang mit personenbezogenen Daten wie Namen, Adressen, E-Mail-Adresse und Ausweisnummer. Sie verpflichtet Unternehmen und Vereine dazu, sorgsamer mit den Informationen ihrer KundInnen umzugehen, sie umfassender zu informieren und Einwilligungen für die Datenspeicherung einzuholen. Daten, die für den ursprünglichen Speicherzweck nicht mehr benötigt werden, müssen gelöscht werden.

Für die Verbraucherinnen und Verbraucher bedeutet dies mehr Macht über ihre Daten: So können sie auf Grundlage der DSGVO die Löschung ihrer privaten Informationen in Auftrag geben oder ihre Daten einem anderen Anbieter übertragen. Verstöße können die NutzerInnen bei den Datenschutzbehörden melden.

Die genaue Dimension der Datenschutz-Grundverordnung ist aber auch heute, zehn Monate später, vielen Menschen nicht klar. Auf der einen Seite hinken Unternehmen noch immer bei der Umsetzung hinterher. Auf der anderen Seite prägen Schlagzeilen wie „Wegen Datenschutz: Kita schwärzt Kindergesichter in Fotoalben“ das öffentliche Bild in der Bundesrepublik negativ. Vor allem aber zeigen sie, wie groß die Verunsicherung in Deutschland in Bezug auf die DSGVO und ihre vermeintlichen Folgen weiterhin ist.

Wissenslücken

Aber weder die EU noch die Bundesregierung sehen sich selber in der Pflicht, über die Verordnung aufzuklären. Von Anfang an sparten sie mit öffentlich zugänglichen Informationen über die Verordnung. Aus dem ursprünglichen Ziel, Interesse und Sensibilität für den Datenschutz zu schaffen, wurde deshalb nichts.

Im Gegenteil: Sigrund Leisner vom Sportverein aus Wuppertal ist sich sicher, dass den wenigsten Privatpersonen wirklich klar ist, was sich rechtlich für sie geändert hat. Ihre Befürchtungen vor Inkrafttreten der Verordnung erfüllten sich nicht. Bis heute, so erzählt Leisner, hat keines der Mitgliedern des Vohwinkler STVs nachgefragt, was der Sportverein mit den Daten macht. Einverständniserklärungen werden unterschrieben, ohne dass sie sich jemand durchliest.

Ähnlich ahnungslos ist die Wirtschaft. Laut der aktuell veröffentlichten Studie DSGVO-Index haben 18 Prozent der befragten Unternehmen noch immer nicht mit der Durchführung der Verordnung begonnen, weitere 43 Prozent schätzen unternehmensinterne Prozesse als nicht DSGVO-konform ein. Insbesondere kleinere und mittlere Unternehmen haben Nachholbedarf: Ein Drittel gibt an, noch mindestens sechs Monate zur vollständigen Anpassung an die DSGVO zu benötigen.

Der Grund dafür sei jedoch nicht die fehlende Bereitschaft der Wirtschaft, meint der Rechtsanwalt Sebastian Günnewig, der in seiner Kanzlei Unternehmen zum Datenschutzrecht berät. Vor allem Falschinformationen sowie Wissenslücken hätten dazu geführt, dass oft zu spät gehandelt wurde.

Der große Ansturm

Erst einen Monat vor Inkrafttreten der Verordnung sei der große Ansturm auf seine Telefone ausgebrochen: „Die zunehmende mediale Berichterstattung damals hat dazu geführt, dass viele Unternehmen Angst vor horrenden Bußgeldern hatten“, berichtet Günnewig. Vielen seiner Klient*innen sei der zeitliche und finanzielle Aufwand der DSGVO-Umsetzung nicht bewusst gewesen, die teilweise Monate dauert und sich nicht wie oft angenommen auf die „schnelle Aktualisierung der Datenschutzerklärung“ beschränkt.

Die Überforderung der Branche zusätzlich vorangetrieben hat das Fehlen von Weiterbildungen oder simplen Umsetzungsleitfäden. Die Anforderungen der Datenschutz-Grundverordnung sind für Laien oftmals nicht verständlich, entsprechende Informationsangebote für Unternehmen nicht umfangreich genug. Im Netz existieren deshalb zahlreiche Blogs und Facebook-Gruppen, in denen sich Unternehmer*innen, aber auch Arbeitnehmer*innen über die DSGVO austauschen und bei individuellen Problemen beraten. Große Unsicherheit über die genaue Bedeutung der Datenschutz-Regelungen herrscht dort weiterhin.

Bis zuletzt sieht sich die deutsche Bundesregierung nicht in der Pflicht, Aufklärungskampagnen über die Verordnung zu starten. Lediglich auf der Website des Innenministeriums werden einige häufig gestellte Fragen beantwortet. Zudem führen die Wirtschafts- und Innenministerien mit VertreterInnen der Wirtschaft und der Aufsichtsbehörden Gespräche zur Umsetzung der Verordnung. Claudia Dörr-Voß, Staatssekretärin im Wirtschaftsministerium, lobt den Dialog: „Der Austausch zwischen Wirtschaft und Aufsichtsbehörden in dem bewährten Gesprächsformat des gemeinsamen Round Table hat zu einem tieferen Verständnis von diesem wichtigen Thema beigetragen.“ Konkrete Konzepte für die weitere Förderung der DSGVO-Umsetzung legen die Ministerien jedoch weiterhin nicht vor.

Wer verantwortlich für die Kommunikation der Datenschutz-Grundverordnung war und ist, darüber ist sich die Politik nämlich weiterhin uneinig. Konstantin von Notz kritisiert: „Statt dem großen Beratungsbedarf gerecht zu werden und die Datenschutzbehörden bei dieser Mammutaufgabe bestmöglich zu unterstützen, hat die Bundesregierung in den ersten Wochen nach Inkrafttreten der neuen Regelungen zusätzliche Ängste geschürt.“ Der stellvertretende Fraktionsführer von Bündnis 90/Die Grünen hält der Großen Koalition vor, „trotz der jahrelangen Übergangsfrist“ die Öffentlichkeit weder ausreichend informiert, noch bei der Umsetzung unterstützt zu haben.

„Pseudoskandale“

Laut dem digitalpolitischen Sprecher der Unionsfraktion, Tankred Schipans­ki, lag die Hauptverantwortung jedoch nie bei der Bundesregierung. Auf Anfrage der taz erklärt er, dass es „in erster Linie Aufgabe der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern“ sei, die „Öffentlichkeit für Risiken, Vorschriften und Rechte im Zusammenhang mit der DSGVO zu sensibilisieren“. Auch die von der Bundesregierung finanzierte Stiftung Datenschutz stelle umfassende Informationen für Unternehmen und Verbraucher*innen bereit.

Deren Vorsitzender, Frederick Richter, widerspricht: Weder die Stiftung noch die Datenschutzaufsichtsbehörden verfügen über genügend Mittel, um die Öffentlichkeit angemessen zu informieren und zu beraten. Die Verantwortung der Aufklärung sei von der Politik an diese Stellen abgetreten worden, aber „wer Gesetze macht, muss sie auch erklären“, so Richter gegenüber der taz. Als im letzten Jahr der 25. Mai näher rückte, sei wegen der ungenügenden Aufklärung die große Panik in der Bundesrepublik ausgebrochen, mit Falschinformationen etwa über Apotheker*innen, die kein Namensschild mehr tragen dürften. „Alles Blödsinn“, so Richter, „aber wenn niemand da ist, um aufzuklären und zu vermitteln, glauben die Leute das.“

Die aufgeregte Berichterstattung habe die Öffentlichkeit weiter gespalten und zum Unmut und Misstrauen gegenüber der DSGVO beigetragen, sind sich Expert*innen einig. Ein Sprecher des Bundesdatenschutzbeauftragten Ulrich Kelber meint, dass vor allem „Pseudoskandale und Fehlinformationen“ in den Medien dazu geführt hätten, dass „das Image der DSGVO zu Unrecht gelitten hat“. Dabei sei die Verordnung insbesondere aus Sicht der Verbraucherinnen und Verbraucher eines der „wichtigsten Gesetze der letzten Jahre“.

Dennoch: Die Unsicherheit der Verbraucher*innen im Hinblick auf die Datenregelungen belegen auch Studien. So beurteilt jede*r Dritte in Deutschland die Datenschutz-Grundverordnung alles in allem negativ, jede*r Vierte hingegen positiv. Immerhin 27 Prozent zeigen sich währenddessen komplett unschlüssig: Sie geben der DSGVO weder eine positive noch eine negative Bewertung. Der Sprecher des Datenschutzbeauftragten Kelber ist sich dennoch sicher, dass die Erkenntnis, den eigenen Datenschutz zukünftig auch gegen „vermeintlich unantastbar wirkende Unternehmen“ durchzusetzen zu können, auf lange Sicht „die Wahrnehmung der DSGVO entsprechend verändern“ werde.

Eine erste Entwicklung in diese Richtung könnte die zunehmende Ahndung von Datenschutzverstößen sein. In mittlerweile 41 Fällen wurden deutschlandweit Bußgelder verhängt, zahlreiche weitere Verfahren laufen. Prominente Fälle wie ein jüngst in Frankreich gegen Google verhängte Bußgeld von 50 Millionen Euro könnten zusätzlich dafür sorgen, dass sich das Bewusstsein der Öffentlichkeit in Hinblick auf die Datenschutz-Grundverordnung nach und nach ändert.