Ein Jahr DSGVO: Vorbild trotz Mängeln

Am Samstag wird sie ein Jahr alt, die Datenschutz-Grundverordnung. Vor einem Jahr war der Aufschrei groß. Und nun? Eine Bilanz.

Schloss und Schlüssel liegen auf einer Tastatur

Bei den Punkten künstliche Intelligenz und Big Data gibt es Lücken in der DGSVO Foto: dpa

Die Pros

Mehr Schutz

Welche Kundendaten werden erhoben, wo ist was gespeichert und wer kann darauf zugreifen? „Viele Unternehmen haben einen großen Datenschutz-Frühjahrsputz gemacht“, sagt Ralf Bendrath. Er arbeitet für die Grünen im Europaparlament und war damals maßgeblich an der Entstehung der Datenschutz-Grundverordnung beteiligt. Er sagt: Viele Unternehmen hätten ihren Datenfundus nun genau unter die Lupe genommen. Und dabei nicht nur eine Bestandsaufnahme gemacht darüber, über welche persönlichen Daten sie eigentlich verfügen und wer darauf Zugriff hat beispielsweise. Sondern auch, ob das ein oder andere nicht verzichtbar ist.

Auch Marit Hansen, Datenschutzbeauftragte von Schleswig-Holstein, sagt: „Wir haben jetzt ein erheblich höheres Niveau an Datenschutz.“ Das sei vor allem bei kleineren und mittleren Unternehmen zu merken. Viele von ihnen hätten sich nun so aufgestellt, dass sie schon früh erkennen würden, wenn etwas schiefläuft.

Teurer für die Großen

50 Millionen Euro Strafe für Google – was die französische Datenschutzbehörde in diesem Januar entschied, ist Rekord. Nie zuvor gab es in Europa eine derart hohe Strafe wegen Datenschutzverletzungen. „Das wäre früher auch nicht möglich gewesen“, sagt Florian Glatzner vom Verbraucherzentrale Bundesverband. Dass es zu dieser Entscheidung kam, gegen die Google sofort Widerspruch einlegte, liegt nicht nur daran, dass die Datenschutz-Grundverordnung ordentliche Strafrahmen vorsieht – in diesem Fall wären sogar eine Strafe im Milliardenbereich möglich gewesen. Sondern auch, dass Verbände Klagerechte bekommen haben. So basiert die Entscheidung der französischen Datenschützer auf Beschwerden der Vereine noyb – kurz für none of your business –, gegründet von dem Face­book-Widersacher Max Schrems und der französischen NGO La Quadrature du Net.

Die Strafe gegen Google ist zwar die bislang höchste, aber nicht die einzige richtig hohe: So verhängten beispielsweise Portugals Datenschützer eine Geldbuße von 400.000 Euro gegen ein Krankenhaus, in dem auch nichtmedizinisches Personal auf Patientendaten zugreifen konnte. Auch wenn es bei echten Verstößen also durchaus teuer werden kann – die befürchtete Abmahnwelle für Blogger:innen und kleine Vereine ist ausgeblieben.

Zum Vorbild geworden

„Ich bin ein großer Fan der DSGVO.“ Na, wer hat das gesagt? Nein, kein:e Datenschützer:in, Tim Cook war es. Chef von Apple und damit an der Spitze eines der nach Börsennotierung wertvollsten Unternehmen der Welt. Und Facebook-Chef Mark Zuckerberg forderte im März weltweit einheitliche Regeln nach dem Vorbild der Datenschutz-Grundverordnung. Beide Unternehmen haben natürlich ihre ganz eigenen Interessen in diesem Zusammenhang, und ob und wenn ja wie gut Facebook in zwei oder fünf Jahren tatsächlich die Privatsphäre schützen wird, das weiß vermutlich nicht einmal Zuckerberg selber. Doch was dahintersteht, sind zwei gute Nachrichten. Erstens: Datenschutz wird jetzt ernst genommen. Er ist kein Steckenpferd mehr für Leute, die zu viel Zeit und unternehmerisch keine Ahnung haben. Sondern etwas, das Märkte beeinflusst.

Die zweite gute Nachricht: Andere nehmen sich ein Beispiel an der Datenschutz-Grundverordnung. Zu sehen ist das zum Beispiel bei Kaliforniens Consumer Privacy Act, der im kommenden Jahr in Kraft treten soll. Starker Datenschutz wird damit immer mehr zu etwas, das positiv besetzt ist. Möglicherweise aus der Not heraus, weil auch große IT-Konzerne aus den USA erkannt haben, dass sie an der hiesigen Gesetzgebung nicht ganz vorbeikommen – und dass Privatsphäre ja auch Verkaufsargument sein kann. Und das ist fast schon eine dritte gute Nachricht.

Die Contras

Keine Waffengleichheit

Zum Beispiel Microsoft. Der Konzern beschäftigt weltweit mehr als 140.000 Mitarbeiter:innen. Eine deutsche Datenschutzaufsichtsbehörde kann da nicht annähernd mithalten. „Die Aufsichtsbehörden haben aktuell gar nicht die Ressourcen, um Microsoft-Produkte zu prüfen“, sagt Benjamin Bergemann vom Verein Digitale Gesellschaft. Die Folge: Sie beschränken sich auf einfach festzustellende Verstöße. Zum Beispiel, wenn Datenschutzbedingungen nicht transparent genug formuliert sind. „Das strukturelle Problem der massenhaften Datenverarbeitung wird nicht angegangen“, sagt Bergemann. Dabei gäbe die Verordnung das her. So schreibt beispielsweise Artikel 5 den Grundsatz der Datensparsamkeit vor. Wer Daten sammelt und verarbeitet, muss sich auf das „notwendige Maß“ beschränken.

Auch Ralf Bendrath, der als Mitarbeiter des damaligen EU-Abgeordneten und Berichterstatters Jan Philipp Albrecht maßgeblich an den Verhandlungen zu der Datenschutzgrundverordnung beteiligt war, sagt: „Das richtig harte Durchgreifen gegen Google, Facebook und Co, also die Großen mit Gewinnerzielungsabsicht, das müssen die Behörden noch umsetzen.“ Die Schleswig-Holsteinische Datenschutzbeauftragte Marit Hansen fordert Möglichkeiten, mehr Tempo zu machen. Denn derzeit könnten von einem Bußgeldbescheid bis zu einem Urteil in letzter Instanz locker zehn Jahre vergehen. „Wir brauchen einen Fast Track, einen schnelleren Weg, damit wir zu einer rascheren gerichtlichen Entscheidung kommen.“

Zu wenig Science Fiction

Eine Versicherung, die Algorithmen über die Beitragshöhe entscheiden lässt. Eine künstliche Intelligenz, die bestimmt, wer an einem Flughafen wie intensiv kontrolliert wird. Dutzende vernetzte Alltagsgeräte von Heizung bis Garagentor, die reihenweise persönliche Daten sammeln, aus denen die Unternehmen Profile erstellen. Das sind einige der großen Themen der Zukunft – und gleichzeitig Themen, bei denen die Datenschutz-Grundverordnung eher still ist.

So kommt ein Gutachten von Peter Schaar und Ale­xander Dix, beides ehemalige Datenschutzbeauftragte, der eine für den Bund, der andere für Berlin, zu dem Schluss: Bei den Punkten künstliche Intelligenz, Big Data, Profiling und automatische Entscheidungsfindung gibt es Lücken. Zum Beispiel haben Verbraucher:innen das Recht, eine menschliche Intervention zu verlangen, wenn ein Algorithmus Entscheidungen über sie fällt. Das gilt aber nicht, wenn eine Entscheidung algorithmengestützt fällt, also der Computer ein Ergebnis ausspuckt, das ein Mensch dann nur noch abnickt.

„Wir dürfen nicht zulassen, dass intransparente Algorithmen und automatisierte Entscheidungsprozesse über Kreditvergabe und andere wichtige Fragen in unser aller Alltagsleben entscheiden und Menschen in eine Art digitales Kastenwesen einsortiert werden“, sagt Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen. Auch die beiden Autoren fordern: Hier muss der EU-Gesetzgeber in den kommenden Jahren nachbessern. Sonst ist die Technik wieder ganz schnell weiter als die Rechte der Nutzer:innen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.