Die Datenschutzgrundverordnung, kurz DSGVO, wird vier Jahre alt. Ist sie ein ürokratisches Monster oder gar ein Datenschutzvorbild? (Urheber/Quelle/Verbreiter: Lino Mirgeler/dpa)

Vor vier Jahren wollte die Europäische Union durch die neue Datenschutz-Grundverordnung (DSGVO) ein unübersehbares Zeichen setzen.

Mit der Marktmacht von knapp 450 Millionen Verbrauchern in Europa sollten umfassende Rechte der Bürger auf Auskunft, Löschung und Berichtigung der Daten nun wirksam durchgesetzt werden – und das auch bei großen Internetkonzernen aus den USA.

Bei vielen Menschen in Deutschland sind allerdings die Vorzüge der DSGVO im Alltag bislang nicht vollständig angekommen. Bei einer repräsentativen Umfrage des Meinungsforschungsinstituts YouGov im Auftrag der Onlinedienste GMX und Web.de, die am Dienstag in Berlin veröffentlicht wurde, sahen nur neun Prozent der Befragten einen deutlich besseren Schutz durch die DSGVO, 38 Prozent konnten dagegen keine Verbesserung feststellen. Knapp ein Drittel (31 Prozent) verspürte immerhin einen teilweise besseren Schutz als zuvor.

Kernthemen prägen kaum die Diskussion

Zum Bedauern der EU-Kommission und der Datenschützer sind es nicht Kernthemen wie das «Recht auf Vergessen» oder die verbesserten Regeln zum Umzug der persönlichen Daten von einem Diensteanbieter zu anderen, die die Diskussion um die DSGVO prägen. Aufreger-Thema Nummer eins ist die Allgegenwart von Cookie-Abfragen, die seit dem Inkrafttreten der DSGVO permanent im Netz aufpoppen. 53 Prozent der Menschen in Deutschland fühlen sich der Umfrage zufolge von den Einwilligungs-Bannern genervt. 14 Prozent sagen: «Die Einwilligungsbanner sind mir egal, ich klicke einfach irgendwas an.» Nur zwölf Prozent sind der Meinung, dass die Cookie-Banner ihnen ein «Gefühl der Selbstbestimmung über ihre Daten» geben.

Cookies sind kleine Datensätze, die auf dem Onlinegerät des Verbrauchers gespeichert werden und Webserver und Browser helfen, miteinander zu kommunizieren. Ein Browser kann sich somit beispielsweise ein Login merken – oder die Inhalte eines virtuellen Warenkorbs. Vor allem machen Cookies aber personalisierte Werbung möglich. Umstritten sind vor allem sogenannte Third-Party-Cookies, die Nutzer über mehrere Angebote hinweg verfolgen und dabei zu Werbezwecken Profile anlegen. Nachdem die DSGVO die Verwendung von Cookies stark eingeschränkt hat, verabschiedet sich die Branche nun Schritt für Schritt nicht nur in Europa von diesem Trackingverfahren.

Aufsicht und Umsicht sind nötig

Für den Bundesdatenschutzbeauftragten Ulrich Kelber ist DSGVO nicht nur vor diesem Hintergrund «nach vier Jahren weiterhin der weltweite Maßstab in Sachen Datenschutz». Die Bürgerinnen und Bürger seien aber nicht automatisch besser geschützt, nur weil es ein Gesetz gebe: «Dafür braucht es Datenschutzaufsichtsbehörden, Gerichtsurteile und einen verantwortungsvollen Umgang mit Daten durch Staaten und Unternehmen. Da hat sich in den letzten Jahren eine Menge getan.»

An der DSGVO kommen nun selbst große US-Konzerne nicht mehr vorbei, auch weil die Datenschutzbehörden bei schwerwiegenden Verstößen Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen können. Am härtesten wurde bislang der Onlineriese Amazon getroffen. Das Großherzogtum Luxemburg verdonnerte den US-Konzern im Juli 2021 zu einem Rekordbußgeld in Höhe von 746 Millionen Euro, nachdem sich zuvor eine europäische Bürgerrechtsorganisation über die Verarbeitung persönlicher Daten beschwert hatte.

An zweiter Stelle der DSGVO-Bußgeldliste steht WhatsApp: Der Messenger-Betreiber aus Kalifornien wurde von den irischen Datenschützern mit einem Bußgeld von 225 Millionen Euro belegt, weil er seinen Informationspflichten in Europa nicht ausreichend nachgekommen war. Zuvor hatte die französische Datenschutzbehörde Google ein Bußgeld von 90 Millionen Euro aufgebrummt, weil es keine ausreichende Rechtsgrundlage für seine Datenverarbeitung gab.

Zu große Zurückhaltung?

Die Datenschutzbeauftragten in Deutschland sind nach einer Übersicht des Portals «GDPR Enforcement Tracker» dagegen vergleichsweise zurückhaltend. Bei 63 öffentlich bekanntgewordenen Bescheiden wurden insgesamt Bußgelder in Höhe von 52,1 Millionen Euro verhängt. Am härtesten traf es den Energiekonzern Vattenfall, der nach Ansicht des Hamburgischen Datenschutzbeauftragten seine Kundinnen und Kunden nicht ausreichend über den Datenabgleich informiert hatte. Betroffen waren insgesamt rund 500.000 Personen, so dass im vergangenen September ein Bußgeld von exakt 901.388,84 Euro fällig wurde.

Der Bundesdatenschutzbeauftragte Kelber sieht in der DSGVO aber nicht nur ein Druckmittel. So entdeckten immer mehr Firmen Datenschutz als Verkaufsargument. Das gelte auch für andere Länder außerhalb der EU, die sich mit eigenen Gesetzen an der DSGVO orientierten. «Mir ist besonders wichtig, dass die Bürgerinnen und Bürger sich überhaupt bewusst werden, dass ihre Daten schützenswert sind.»

Digitalwirtschaft fordert «Update»

Die Vertreter der Digitalwirtschaft sehen die DSGVO durchweg kritisch: «Die deutsche Lesart der Datenschutz-Grundverordnung braucht vier Jahre nach Geltungsbeginn der Verordnung ein Update», forderte der Präsident des Branchenverbandes Bitom, Achim Berg. Den Anspruch, die europäische Datenschutzgesetzgebung und -Datenschutzpraxis zu vereinheitlichen, habe die Verordnung bislang allenfalls in Teilen erreicht.

Berg verwies auf eine Bitkom-Studie. Zwar gäben 37 Prozent der Unternehmen an, dass die DSGVO ein internationaler Wettbewerbsvorteil sei: «Aber 40 Prozent sehen in ihr keinen Vorteil – und 18 Prozent sogar einen Nachteil. Zwei Drittel (64 Prozent) berichten, dass der Datenschutz ganz konkret die Umsetzung datengetriebener Geschäftsmodelle in ihrem Unternehmen hemmt.» Produkte oder Geschäftsmodelle, die aus der besonders strengen deutschen Interpretation der Verordnung einen internationalen Wettbewerbsvorteil gezogen hätten, seien weiterhin nicht bekannt.

Datenschutz müsse sich an realen Gefahren orientieren, nicht an theoretischen Risiken, betonte Berg. «Wenn zum Beispiel Lehrerinnen und Lehrern der Einsatz von funktionierenden und bewährten Videokonferenzsystemen an Schulen allein deshalb verboten wird, weil die Anbieter in den USA sitzen, dann jagen wir einem Phantom hinterher. Keine US-Behörde wird sich für den Mathematikunterricht einer Berliner Grundschule interessieren.»

Von Christoph Dernbach, dpa