3 Jahre DS-GVO-Anwendung - Gedanken zum Geburtstag

Der Buhmann

In manchen Kreisen ist es über die Jahre eine Art Volkssport geworden, der DS-GVO oder auch allgemein „dem Datenschutz“ etliche Unzulänglichkeiten anzulasten, die sich im Tagesgeschäft von Wirtschaft und Verwaltung zeigen. Wer in der Praxis eine Sache erst einmal zu verhindern sucht, greift gerne zur Allzweckwaffe „geht nicht - wegen Datenschutz“. Ob dieses „Totschlag“-Argument vorgeschützt ist oder Substanz hat, geht oft unter - besonders, wenn nicht zuerst Fachleute gefragt werden, sondern Fachfremde. Da augenscheinlich viele in Politik und Medien für eine abgekürzte Form der Ursachenforschung empfänglich sind, folgt dann die Empörung auf dem Fuße, und der Weg zur sachlich falschen BILD-Schlagzeile ist kurz („Datenschutz-Wahnsinn verhindert Impfeinladungen“).

Manchmal sind es gar keine rechtlichen Fehlannahmen, sondern schlicht falsche Vorstellungen zu praktischen Gegebenheiten und überzogene Erwartungshaltungen, die ungerechte Schuldzuweisungen an das Datenschutzrecht erleichtern. So wäre eine invasivere Form der digitalen Kontaktverfolgung als mit der bestehenden Corona-Warn-App theoretisch denkbar gewesen. Doch hatten die Betriebssystem-Anbieter für Mobiltelefone bereits früh einer Tracking-App mit Lokalisierungsfunktion und zentraler Datenausleitung an Gesundheitsämter eine Absage erteilt. Zwar lässt sich die umfassende faktische Macht von Google und Apple wettbewerbs- und standortpolitisch kritisieren. Doch galt es, sie zunächst einmal hinzunehmen, wenn es auf schnelle Lösungen ankommt. Die Regierungen von Frankreich und Großbritannien zeigten sich diesbezüglich im Frühjahr 2020 weniger einsichtig; sie wollten die Marktbeherrscher zwingen - und hatten prompt keinen Erfolg beim Durchsetzen von Tracing-Apps mit zentraler Struktur.

Einheitsgröße und Risiko

„One size fits all“ kann entweder heißen „passt allen“ oder „passt niemandem so richtig“. Ist die DS-GVO also für große digitale Netzwerke und „Daten-Platzhirsche“ zu weit und für die berühmte „Bäckerin an der Ecke“ zu eng? Wie so oft kommt es wohl darauf an. Es kommt darauf an, ob die DS-GVO von denen, die sie erklären, und denen, die sie durchsetzen, als starres Raster angesehen wird, mit welchem stoisch durchreguliert werden muss - oder ob das Recht situations- und verarbeitungsadäquat angewandt wird. In einem anzustrebenden Modell „intelligenter Regulierung von Datenverarbeitung“ sollte besonders der Risikoadäquanz viel Aufmerksamkeit geschenkt werden. Wenn in der Praxis der mittelständischen Wirtschaft das Gefühl aufkommt, dass jeder kleine Zulieferbetrieb von Getriebekrümmern vom EU-Datenschutzrecht mit der gleichen Strenge behandelt wird wie Clearview oder Cambridge Analytica, dann gibt es zwei Wege des Umgangs damit: Entweder diese kritische Wahrnehmung wird ignoriert. Dann kann aber nicht viel Verständnis für den Datenschutz erwartet werden. Oder - besser - es werden Ängste genommen und Unsicherheiten aktiv angegangen, und es wird pragmatisch erklärt, dass ein Handwerksbetrieb zur Erreichung von Datenschutz-Compliance deutlich weniger bewerkstelligen muss als ein Anbieter von KI-Lösungen. Und es sollte stärker herausgestellt werden, dass der zuweilen in Vergessenheit geratene „risikobasierte Ansatz“ tatsächlich lebt. Und wenn er schon nicht an vielen Stellen aus den Buchstaben des Gesetzes springt, so sollte er doch spätestens in der Durchsetzungpraxis sehr präsent sein. Denn die Wahrnehmung von einer Datenregulierung, die das tatsächliche und konkrete Risiko manchmal außer Acht lässt, ist nicht nur in Kleinbetrieben auszumachen, sondern auch im Privaten. Statt Wohlwollen ernten die Bemühungen des Datenschutzes dort mitunter Unverständnis - nach dem Motto „kümmert Euch doch lieber um eine wirkungsvolle Einhegung der Datenmacht von Facebook“.

Der Wettbewerbsvorteil

Frei nach dem Motto „Eine Wunschvorstellung ist Realität geworden“ konstatieren viele Datenschützende, dass guter Datenschutz ein Wettbewerbsvorteil sei. Natürlich soll er das werden, unbedingt. Doch ist die Praxis vom Ideal oft noch entfernt. Das liegt teils an Bewusstsein und Wertschätzung, teils an schierer Datenmacht und teils am Instrumentarium. Mit Letzterem begonnen: Es gibt auch fünf Jahre nach Inkrafttreten der DS-GVO und drei Jahre nach dem Beginn ihrer Anwendung noch keine formellen Datenschutzzertifikate. Das ist enttäuschend. Denn eine der Ideen hinter Art. 42 DS-GVO ist es, dass eine belastbare Zertifizierung von DS-GVO-Konformität nicht nur als Beleg von Datenschutz-Compliance fungiere. Die Zertifikate sollen darüber hinaus auch den damit Ausgezeichneten einen gewissen Vorsprung im jeweiligen Markt verschaffen. Jene belegen zwar nicht, dass ein Produkt in Sachen Datenschutz „besser“ sei als ein nicht-zertifiziertes Konkurrenzprodukt. Aber selbstredend wird erwartet, dass Produkte mit DS-GVO-zertifizierten Verarbeitungsvorgängen bevorzugt ausgewählt werden und damit einen Vorteil im Wettbewerb erlangen können.

Damit eine Anbieterwahl in dieser Weise vorgenommen wird, muss wiederum eine andere Bedingung erfüllt sein: Das Datenschutzbewusstsein. Im B2B-Bereich bedeutet dies zunächst, dass die Bedeutung von Datenschutz-Compliance nicht geringgeschätzt wird und ein Unternehmen bereits aus eigenem Antrieb möglichst rechtskonform agieren will. Weiterhin muss es eine Erwartungshaltung auch bei seinen Handelspartnern feststellen: Denn fragt niemand seine Zulieferer nach der DS-GVO-Konformität von deren Prozessen (die Anforderungen im Auftragsverarbeitungsverhältnis einmal außen vor gelassen), dann mag dieser Punkt dort vermutlich weniger Priorität haben. Und im B2C-Verhältnis gilt erst recht: Wenn die Kundschaft verstärkte oder gar überobligatorische Datenschutzbemühungen nicht nachfragt und in die Auswahl einbezieht, dann werden solche Bemühungen eben nicht getätigt.

Wenn die Bundesregierung in ihrer im Februar 2021 vorgelegten Datenstrategie nun den Ausbau von „Datenkompetenz“ als eines der Hauptziele ausgibt, so sind letztlich alle zuvor genannten Ebenen erfasst: Es braucht Datenumgangskompetenz und Datensensibilisierung sowohl in der Wirtschaft als auch in der Bevölkerung. Auf der Verbraucherseite reicht es aber nicht aus, dass Datenschutzbewusstsein vorhanden ist und datenschutzfreundliche Angebote bestehen. Beides tritt dann zurück, wenn Marktmacht und Netzwerkeffekte eminent sind. So reicht es nicht, dass Wissen um den Umgang mit Metadaten bei WhatsApp vorhanden ist und dass mit Signal ein deutlich besser beleumundetes Messenger-Angebot bereitsteht. Wenn alle persönlichen Kommunikationspartner*innen beim Marktführer sind, dann ändert sich wenig. Es bleibt freilich das Kartellrecht.

Umso interessanter ist, wie einige der größten Akteure den Datenschutz in jüngerer Zeit verstärkt in ihr Schaufenster stellen. So hat Google mit seiner „Privacy Sandbox“-Initiative angekündigt, die bei Datenschützenden und bei der Verbraucherschaft gleichermaßen unbeliebten Drittanbieter-Cookies zurückzudrängen - natürlich nicht etwa „zur Festigung der eigenen Datenmacht“, sondern „zur Stärkung der Privatsphäre“. Wie weit die Änderungen auch die Datenschutzkonformität fördern, ist derweil noch unklar. Seine neue Personalisierungstechnik namens „Federated Learning of Cohorts“ testet Google jedenfalls erst einmal außerhalb des räumlichen Anwendungsbereichs der DS-GVO.

Die Durchsetzung

Kein einheitliches Recht ohne einheitliche Interpretation und Durchsetzung. So klar und doch so schwer. Während auf dem Papier, abgesehen von wenigen Öffnungs- und Ergänzungsklauseln, eine Vollharmonisierung der Datenschutzregeln in der gesamten Europäischen Union erreicht ist, wird die Praxis dem konsequenten Harmonisierungsanspruch teils noch nicht gerecht. So drängt sich bei der Regulierung der großen Akteure der Eindruck auf: „Die einen könnten, aber wollen nicht [Data Protection Commission Ireland] - und die anderen wollen, aber dürfen nicht [Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit]“. Alle Diskrepanzen komplett zu verhindern, wäre dem Verordnungsgeber wohl kaum möglich gewesen. Der mitgliedstaatlichen Datenschutzexekutive war vom EuGH schließlich bereits 2010 ihre „völlige Unabhängigkeit“ attestiert worden. Doch mit den Mechanismen von One-Stop-Shop und Kohärenzverfahren werden Instrumente bereitgestellt, um die innereuropäische Rechtsanwendung konsistenter zu machen - warten wir auf die beherzte(re) Nutzung dieser Mechanismen.

Ebenfalls nicht den Müttern und Vätern der DS-GVO anzulasten ist die oft nicht sehr ausgeprägte Einheitlichkeit der Rechtsinterpretation auf nationaler, konkret: auf deutscher Ebene. Dass für die Aufsicht über den allergrößten Teil der Wirtschaft nicht der Bund, sondern die Länder zuständig sind, ist nicht in Stein gemeißelt. Als Vorteile der herkömmlichen Zuständigkeitsverteilung werden die Bürgernähe und die „Vielfalt des Diskurses“ (!) angeführt. Über die Notwendigkeit von Letzterem ließe sich angesichts einer lebendigen Wissenschaft trefflich streiten; Ersteres ist zwingend notwendig. Natürlich brauchen die von der DS-GVO zu schützenden Bürger*innen eine direkt ansprechbare und leicht erreichbare Datenschutzaufsicht. Ob aber die Möglichkeit zum persönlichen Vorsprechen in der Behörde als der typische Fall anzusehen ist oder ob es vielmehr für die Datensubjekte gar keinen Unterschied macht, ob sie sich telefonisch oder per E-Mail an eine Behörde in der Landeshauptstadt oder in der Bundeshauptstadt wenden, sei dahingestellt. Jedenfalls wird und darf eine einheitliche Interpretation einer einheitlich geltenden europäischen Verordnung erwartet werden. Diese Einheitlichkeit muss nicht über eine Zentralisierung oder Zusammenlegung von Aufsichtsbehörden erreicht werden. Da sich in der jüngeren Vergangenheit aber zeigte, dass sich eine einheitliche Sicht von alleine nicht einstellt, sollte Deutschland mehr für die Vereinheitlichung tun - gerne bereits im Rahmen der derzeit laufenden Evaluierung des BDSG. Die Vorschläge für ein deutsches Kohärenzverfahren und für verbindliche (!) Mehrheitsbeschlüsse der DSK innerhalb klarer Fristen liegen auf dem Tisch.

Vorbild und Zukunft

Nachgeahmt wird nur, was gut ist. Einem schlechten Beispiel folgt niemand. Ausgehend von diesen Erfahrungssätzen muss man die DS-GVO auf einem guten Weg wähnen. So hat Brasilien im Sommer 2018 das Lei Geral de Proteç~ao de Dados (LGPD) verabschiedet, das im Herbst 2020 in Kraft trat und welches den brasilianischen Datenschutzstandard ausdrücklich an das europäische Rechtsniveau angleichen soll. Und auch im Mutterland der Datengiganten wurde bereits im Jahr des Anwendungsstarts der DS-GVO der California Consumer Privacy Act (CCPA) auf den Weg gebracht. Der CCPA fällt zwar teilweise hinter seinem erklärten Vorbild der DS-GVO zurück, doch setzt er ein klares Zeichen - und wird ab diesem Frühjahr auch durch eine echte Datenschutzaufsichtsbehörde bewehrt, die California Privacy Protection Agency (CPPA). Im Oktober 2020 veröffentlichte dann sogar China den Entwurf eines Personal Information Protection Law (PIPL), den manche - womöglich etwas voreilig - als „Chinese GDPR“ bezeichnen.

So schlecht, wie manche meinen, kann er also nicht sein, der Datenschutzrechtsstandard „made in EU“. Selbst in den Fällen, in denen Staaten sich nicht aus inhaltlicher Begeisterung am europäischen Recht orientieren sollten, sondern allein unter dem formalen Gesichtspunkt der Vereinheitlichung, ist das Resultat dennoch klar zu begrüßen: Der Weg zu mehr globaler Einheitlichkeit in der Regulierung ebenfalls globaler Datenströme wird kürzer.

Wann die DS-GVO geändert werden wird, wissen wir nicht. Grundstürzendes ist nicht zu erwarten, wenngleich Konkretisierungspotenzial bei einzelnen ihrer Maßgaben sicherlich besteht. Allein mit Blick auf die „informierte“ Einwilligung gäbe es viel zu tun. Die Stiftung Datenschutz richtet dem noch jungen EU-Datenschutzrecht und dem neuen BDSG nun erst einmal eine kleine Feier zum dritten Geburtstag am 25. Mai aus - Sie sind herzlich eingeladen: www.sds-links.de/3JahreDSGVO.