Die EU-Datenschutz-Grundverordnung (DSGVO) ist bekanntlich seit dem 25.05.2018 verbindlich anzuwenden. Seitdem bildet die DSGVO den gemeinsamen Datenschutzrahmen des Europäischen Wirtschaftsraums. Es stellt sich nunmehr die Frage, was sich in diesen anderthalb Jahren geändert oder verbessert hat. In diesem Artikel soll dargestellt werden, welche Versprechen die DSGVO einlösen konnte und welche nicht.
Der Inhalt im Überblick
Der beste Datenschutz der Welt – bald auch in den USA?
Die DSGVO wurde schon zum Zeitpunkt ihres Inkrafttretens als das „beste Datenschutzrecht“ der Welt bezeichnet. Formell dürfte das weiterhin zutreffend sein. Die DSGVO bietet auf Grund ihrer umfassenden Regelungen einen hohen Standard. Zudem erstreckt sich ihr Anwendungsbereich auf einen Großteil des europäischen Kontinents und darüber hinaus. Die DSGVO hat, das lässt sich nach 18 Monaten in der Praxis feststellen, den Datenschutz sowie die Privatsphäre für den Einzelnen deutlich stärker in den Fokus der breiten Öffentlichkeit gerückt.
Unternehmen sahen sich nunmehr gezwungen, ihre datenschutzrechtlichen Bemühungen zu verstärken, was oft mit nicht unerheblichen Kosten verbunden war. Dies hatte auch Auswirkungen auf Unternehmen außerhalb des EU- bzw. des EWR-Gebietes, vor allem in den USA. Die US-amerikanische Wirtschaft ist mit dem europäischen Binnenmarkt auf eine vielfache Weise verbunden. Die DSGVO hat sogar den Bundesstaat Kalifornien inspiriert, ein eigenes Datenschutzgesetz zu verabschieden, welches sich eng an den Vorgaben der DSGVO orientiert. Das Gesetz wird im kommenden Jahr in Kraft treten. Generell setzt in den USA derzeit offenbar ein Umdenken zu den Themen Datenschutz und Privatsphäre ein.
Rechte aus der DSGVO und deren Umsetzung
Zunächst einmal räumt die DSGVO jedem einzelnen Betroffenen umfangreiche Rechte ein. Die bekanntesten sind dabei sicherlich das Recht auf Auskunft darüber, welche Daten über uns gespeichert sind, sowie das Recht auf Löschung. Des Weiteren hat die DSGVO insgesamt eine Möglichkeit geboten, eine Art „digitalen Frühjahrsputz“ zu machen. Das Bewusstsein für die Notwendigkeit von datenschutzrechtlichen Vorschriften wurde sicherlich erheblich geschärft.
Zwischen der Information der Betroffenen, dass und welche Daten von ihnen erfasst worden sind, und der Verhinderung, dass die Daten überhaupt erfasst werden, besteht allerdings ein deutlicher Unterschied. Insofern kann man feststellen, dass ein formell umfassender Regelungskatalog stark an Effektivität nachlässt, wenn die gut gemeinten Vorschriften nicht konsequent umgesetzt oder möglicherweise bewusst umgangen werden. Selbstverständlich sind auch an das „konsequente Umsetzen“ sinnvolle Maßstäbe anzusetzen. Wenn der Betroffene, beispielsweise beim telefonischen Vereinbaren eines Arzttermins, mit „überobligatorischen“ Informationen überhäuft wird, ist zumindest fraglich, ob dies der Akzeptanz von Datenschutz zuträglich ist.
Daten im Überfluss
Die DSGVO konnte bislang nicht verhindern, dass vor allem eine „unbewusste“ Datenweitergabe weiterhin stattfindet. Das Joint Committee on human rights (JCHR) des britischen Parlaments hatte kürzlich angemerkt, dass es für die Betroffenen im Allgemeinen, aber auch für Experten
„schwierig, wenn nicht gar unmöglich sei herauszufinden, an wen ihre Daten weitergegeben wurden, sie nicht weiterzugeben oder unrichtige Informationen über sich selbst zu entfernen“.
Ein gutes Beispiel hierfür ist der Umgang mit Cookies und anderen Web-Trackern, wie er seit Jahren praktiziert worden ist. Zumindest galt dies bis zur kürzlich ergangenen und viel beachteten Entscheidung des EuGHs vom 01.10.2019. Man wurde als Betroffener von nahezu jedem Website-Betreiber dazu gedrängt, Cookies & Co. uneingeschränkt zuzulassen, indem uns gerade das „Nichtzulassen“ mit allen erdenklichen Mitteln erschwert worden ist.
Cookies und andere Web-Tracker
Webseitenbetreiber wissen, dass normalerweise niemand die Zeit oder die Neigung hat, die Einstellungen zum Schutz der Privatsphäre für jede Webseite einzeln vorzunehmen. Die meisten von uns entscheiden sich für Komfort statt für Datenschutz. Und so klick(t)en wir auf „Ich stimme zu“ für Cookies und andere Web-Tracker, die uns folgen. Auf diese Weise wird ein ständig wachsendes digitales Selbst erschaffen, das überwacht, verwendet, gekauft und verkauft wird. Ob das oben erwähnte Urteil dies wesentlich verändern wird, bleibt abzuwarten. Möglicherweise wird der deutsche Gesetzgeber hier kurzfristig aktiv werden.
DSGVO als Chance und Risiko zugleich
Gerade diese „unkontrollierte“ Weitergabe von personenbezogenen Daten sollte die DSGVO eigentlich verhindern. Auch beim Thema Gesichtserkennung bietet sie Chancen und Risiken zugleich. Die Erhebung biometrischer Daten, die mit einer Gesichtserkennungstechnologie erfolgt, ist wie auch jede andere Form der Datenerhebung erst einmal grundsätzlich verboten. Es gibt jedoch Ausnahmen, wenn die Erhebung von biometrischen Daten im öffentlichen Interesse liegt, wie z. B. im Rahmen von Verbrechensbekämpfung. Auch hier ist die Politik gefordert, das Interesse an einer effektiven Gefahrenabwehr mit Augenmaß gegenüber den Freiheitsrechten betroffener Bürger abzuwägen. Keinesfalls darf die Ausnahme der Zulässigkeit der Datenerhebung zur Regel mutieren.
Insbesondere der Bereich der Gesichtserkennung ist immer wieder Gegenstand der öffentlichen Debatte. Hier scheint, auch weltweit, derzeit sehr viel möglich zu sein.
Als Fazit lässt sich daher festhalten, dass es vor allem an der Politik ist, für einen besseren Schutz unserer personenbezogenen Daten zu sorgen. Es ist eine vorrangige Aufgabe des Staates, für den Schutz der Grundrechte zu sorgen. Der Bürger ist vor einem übermäßigen mittelbaren Eingriff zu schützen. Grundrechte stellen insoweit Abwehrrechte gegen den Staat dar. Darüber hinaus liegt es aber auch in den Händen jedes Einzelnen, seine eigene Privatsphäre bestmöglich zu schützen. Die DSGVO stellt für sich genommen kein Allheilmittel dar. Es kommt vielmehr darauf an, die sehr guten Ansätze so mit Leben zu füllen, dass ein effektiver Grundrechtsschutz möglich ist. Wenn sich dieses Bewusstsein in Zukunft durchsetzen kann, dürfte schon viel gewonnen sein.
Ja, DSGVO ist grundsätzlich sehr gut. Es gibt drei Themen, die man sich nochmal anschauen müsste:
1. 80-Seiten lange Datenschutzerklärungen, die 80% der Betroffenen nicht lesen und weitere 15% nicht verstehen, weil sie juristisches Kauderwelsch enthalten.
2. Einwilligungen, die abgepresst werden – nach dem Motto: „Das müssen Sie noch unterschreiben wegen Datenschutz“. Um nicht als Quertreiber zu gelten, der dann schlechteren Service bekommt, unterschreibt dann auch der, der es eigentlich verstanden hat und nicht möchte.
3. Auftragsverarbeitungsverträge, die zwischen den Unternehmensjuristen ausgehandelt werden – aber an der Realität vorbei gehen. Da man TOMs nicht versteht, werden einfach Dinge über Vertraulichkeit, Integrität und Verfügbarkeit woanders abgeschrieben, was zu abenteuerlichen Stilblüten führt.
Die DSGVO ist der größte Schwachsinn den sich die Superbürokraten der EU ausgedacht haben. Beim Arzt seitenweiße Müll unterschreiben damit man dran kommt oder Cookie Banner wegklicken schützt meine Daten sehr. Und GEZ oder Schufa bekommen meine Daten trotzdem ! So ein Schwachsinn, die EU schafft sich ab!
Das kann ja nur von jemanden kommen, dessen Grundrechtsverständnis höchst eingeschränkt ist. Dass die Einwilligung oftmals überstrapaziert wird, liegt vor allem daran, dass sich die Verantwortlichen zu wenig Gedanken über die Rechtsgrundlagen machen. Wir brauchen also nicht weniger, sondern mehr Datenschutz mit Verstand. Ihr Kommentar wird so richtig spannend, wo Sie es schaffen, den Link zur GEZ zu schlagen. Wer sich über die Finanzierung einer unabhängigen Presse beschwert, zeigt deutlich, wessen Geistes Kind er ist. Da kann aber auch der Datenschutz nichts für. Meine Meinung.
Btw: interessanter Blogbeitrag!
Unabhängig von der Art und Weise der Meinungsäußerung, zeigt der Beitrag von Frank doch deutlich auf, wo noch Handlungsbedarfe bestehen. Wir als Datenschützer haben es in einigen Fällen noch nicht geschafft oder gar versäumt, die positiven Ansätze der DSGVO verständlich an die Betroffenen zu transportieren, ausreichende Transparenz zu schaffen.
Solange wir aber noch wie hier über die Inhalte reden und diskutieren, habe ich die Hoffnung, dass sich das Thema Datenschutz positiv etablieren kann.
Ich möchte mich bei Intersoft und den vielen Autoren aus Anlass dieses sehr gelungenen Beitrages für die sehr seriösen, informativen und aufklärenden Beiträge bedanken. Ihr schafft es immer wieder ohne viel Polemik den Nagel auf den Punkt zu treffen. Macht weiter so. Die ewig gestrigen werden eines Tages verstehen, dass es wichtig ist, für seine Grundrechte zu kämpfen.
Vielen Dank, das freut uns.
Ich bin dankbar für Franks Kommentar. Ich sehe es genauso. Die DSGVO ist unendlich nerviger Schrott. Die Leute, die das verbockt haben, können von mir aus zur Hölle fahren.
Wenn hier mal wieder die DSGVO-Fans meinen, es liege ja nicht an der DSGVO selbst, sondern nur an der fehlerhaften Umsetzung bzw. am mangelnden Verständnis, dann kann ich nur mit dem Kopf schütteln. Genau das liegt doch an der DSGVO selbst: Sie ist wahnsinnig schwer zu durchblicken und droht gleichzeitig ständig mit Bußgeldern. Da ist doch ganz logisch, dass sich jeder absichert, so gut es geht.