Drei Jahre Datenschutz-Grundverordnung in Deutschland

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit zieht nach drei Jahren praktischer Arbeit mit der Datenschutz-Grundverordnung Bilanz.

Fotolia_204144852_S.jpg

DSGVO Symbolbild

Heute vor fünf Jahren ist die Datenschutz-Grundverordnung in Kraft getreten und gilt bereits seit drei Jahren in Deutschland. Sie ist mit vielen Erwartungen und Befürchtungen empfangen worden. Vieles davon war übertrieben, für vieles hat sich eine praktikable Praxis eingerichtet, einiges harrt noch der Umsetzung. Nach den ersten drei Jahren praktischer Erfahrungen mit ihr, lässt sich aber eine realistische Zwischenbilanz ziehen. 

Der größte Erfolg der Datenschutz-Grundverordnung ist, dass sie die Werte zum Ausdruck bringt, auf die sich die Mitgliedstaaten der Europäischen Union für ihren Weg in die digitale Gesellschaft geeinigt haben. Ihre Grundsätze, um die Grundrechte auf Datenschutz und Selbstbestimmung auszugestalten, sind unabdingbare Bedingungen für eine lebenswerte Gesellschaft. Sie fordern zum Beispiel eine ausreichende Transparenz der Datenverarbeitung für die betroffenen Personen, die Bindung der Datenverarbeitung auf die Zwecke einer legitimen Datenerhebung, die Minimierung des Personenbezugs der Daten auf das zur Zweckerreichung Notwendige und die Gewährleistung von Datenschutz durch die technisch-organisatorische Gestaltung der Verarbeitungssysteme. Die Verordnung zeigt damit einen dritten Weg der weltweiten Digitalisierung auf – zwischen der Kontrolle des Alltagslebens in China und der Datenausbeutung des kalifornischen Digitalkapitalismus. Diesen Weg wollen viele Staaten der Welt mitgehen und geben sich Datenschutzgesetze, die an der Datenschutz-Grundverordnung orientiert sind. 

Für den zunehmenden Umgang mit personenbezogenen Daten bietet die Datenschutz-Grundverordnung erstmals einheitliche unmittelbar verbindliche Regelungen für den Datenschutz in der gesamten Europäischen Union. Sie hat damit die Diskussion über Notwendigkeit und Inhalt des Datenschutzes gefördert und den Respekt vor den Grundrechten der betroffenen Personen gestärkt. Insbesondere mit ihren am Wettbewerbsrecht orientierten Sanktionsdrohungen, aber auch mit ihrer Etablierung unabhängiger, starker Aufsichtsbehörden hat sie viel Aufmerksamkeit für den Datenschutz bewirkt.

Trotz dieser Stärkung des Datenschutzes waren die Befürchtungen vor einer unangemessenen Datenschutzbürokratie übertrieben. Die Praxis hat gezeigt, dass die Umstellung auf die neue Datenschutzordnung am Ende gar nicht so aufwendig war, wie ihre Gegner vorausgesagt hatten. Die Datenschutz-Grundverordnung führt weit überwiegend die Regelungen der vorherigen Datenschutz-Richtlinie fort. Wer sich vor der Geltung der Datenschutz-Grundverordnung bereits an die Datenschutzregeln gehalten hatte, musste nur wenig in seiner praktischen Arbeit umstellen. Gesetzgeberische Innovationen der Verordnung wie der Erlass von Verhaltensregeln oder die Zertifizierung von Verarbeitungsvorgängen sind in der Praxis noch kaum angenommen worden. Sie könnten zu weiteren Erleichterungen führen.

Drei Jahre Datenschutzpraxis lassen aber auch Schwachstellen der Datenschutz-Grundverordnung immer deutlicher werden. Sie hat zum einen nicht zu einer einheitlichen Datenschutzpraxis in der Europäischen Union geführt: Die Abstraktheit vieler Regelungen lässt Raum für unterschiedliche Interpretationen und die vielen Öffnungsklauseln eröffnen Spielräume für divergierende Gesetze in den Mitgliedstaaten. Hinsichtlich der Abstimmung der unabhängigen Aufsichtsbehörden hat sie komplizierte Verfahren vorgesehen, die eine einheitliche Zielsetzung und einen Kulturwandel voraussetzen, der (noch) fehlt. Zum anderen hat sie die notwendige Modernisierung des Datenschutzes angesichts der Herausforderungen von modernsten Informationstechniken wie Big Data, Internet der Dinge oder Künstlicher Intelligenz verfehlt: Sie enthält überwiegend abstrakte, technik- und risikoneutrale Regelungen, die in der Praxis nur schwer und hochumstritten zu konkretisieren sind. Beispiele hierfür sind etwa die notwendige Abwägung bei datengetriebenen Geschäftsmodellen zwischen berechtigten Interessen des Verantwortlichen und schutzwürdigen Interessen der betroffenen Person, ohne dass die Verordnung hierfür geeignete Kriterien vorgibt. Ein anderes Beispiel sind die unzähligen Streitverfahren über den Umfang des Auskunftsanspruchs. Die mangelnde Bestimmtheit vieler Regelungen der Verordnung bindet täglich Millionen von Arbeitsstunden und behindert Innovationen und Investitionen.

In Lücken, die das Recht lässt, dringt immer gesellschaftliche Macht ein. Solche Lücken werden vor allem von globalen Konzernen und anderen mächtigen Datenverarbeitern genutzt, um ihre Interessen – oft zu Lasten der betroffenen Personen – durchzusetzen. Defizite in der Gesetzgebung nachträglich auszugleichen, verursacht sehr viel Arbeit für die Aufsichtsbehörden. Fortschritte in der Datenschutzpraxis zeigen sich vor allem dort, wo der Europäische Datenschutzausschuss, die Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder oder einzelne Aufsichtsbehörden für Rechtsklarheit gesorgt haben – aber immer unter dem Risiko, dass diejenigen, die damit nicht einverstanden sind, die Gerichte anrufen. Dies hätte oft durch wenige risikoorientierte Festlegungen des Unionsgesetzgebers vermieden werden können.

Die europäische und die deutsche Gesetzgebung sollte für künftige Digitalisierungsprojekte aus den Erfahrungen mit der Datenschutz-Grundverordnung lernen. Diese Botschaft scheint zumindest bei der Europäischen Kommission angekommen zu sein. In ihrem Entwurf für eine Verordnung zur Regulierung künstlicher Intelligenz hat sie die strikte Technik- und Risikoneutralität in der Regulierung aufgegeben und regelt bereichs- und anwendungsspezifisch, wie Risiken für Grundrechte durch Künstliche Intelligenz abgewehrt werden können.


Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit 

Kontakt für Pressevertreter
Pressesprecherin: Fr. Maria Christina Rost
Presse- und Öffentlichkeitsarbeit:
Telefon: +49 611 1408 119
Fax: +40 611 1408 900

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden

SERVICE