In dieser Woche diskutierten hochrangige Vertreterinnen aus Politik, Wirtschaft, Verbraucherschutz und Datenschutz in Berlin über die seit dem 25. Mai 2018 geltende Europäische Datenschutzgrundverordnung (DSGVO) und deren für Mai 2020 geplante erste Evaluierung. Mit dabei war der Dlf-IT-Experte Jan Rähm.
Manfred Kloiber: Jan, wird denn die DSGVO unter Expertinnen bislang als Erfolgsmodell gehandelt?
Jan Rähm: Also, wenn man den Anwesenden auf dem Podium zuhörte, dann war das Ganze ein ziemlich großer Erfolg. Und das ist insofern bemerkenswert, als dass sich Vertreter wirklich aller betroffenen Interessen in Berlin zur Veranstaltung zusammenfanden. Positiv bewertet wird unter anderem, dass die befürchtete Abmahnwelle zum Inkrafttreten der Datenschutzgrundverordnung ausblieben war.
Ebenfalls positiv, wenn nicht sogar ein bisschen stolz, wird berichtet, dass die DSGVO weltweit ein Vorbild für ähnliche Regulierung geworden ist – von Kalifornien über Mexiko bis nach Japan und Korea.
Es gibt natürlich auch Kritik: so die, dass damals Angst geschürt wurde. Unter anderem auch mit Fake News und man jetzt zur anstehenden Evaluierung und möglichen Änderungen der Datenschutzgrundverordnung genau die gleichen Ängste wieder geschürt werden. Und dafür soll es auch schon erste Anzeichen geben.
Kloiber: Hören wir einmal, wie die verschiedenen deutschen Akteure ihrerseits die DSGVO einschätzen und wo sie Änderungs- oder Verbesserungsbedarf sehen. Und los geht es mit dem ehemaligen Bundesdatenschutzbeauftragten Peter Schaar, der zur Veranstaltung eingeladen hatte und etwas überrascht war.
"Dank auch, dass Sie alle hierher gefunden haben. Ich hab ja immer auf eine große No-show-Rate gehofft. Wir haben wirklich unendlich viele Anmeldungen, obwohl wir nur ganz wenig geworben haben."
Mit so viel Interesse hatte der ehemalige Bundesdatenschutzbeauftragte nicht gerechnet. Peter Schaar steht in einem rappelvoll bestuhlten Saal der Europäischen Akademie Berlin. Datenschutz ist sexy. Oder zumindest, sehr interessant. Die Menschen sind gekommen wegen der Europäischen Datenschutzgrundverordnung, kurz DSGVO, denn, so Schaar:
Mit so viel Interesse hatte der ehemalige Bundesdatenschutzbeauftragte nicht gerechnet. Peter Schaar steht in einem rappelvoll bestuhlten Saal der Europäischen Akademie Berlin. Datenschutz ist sexy. Oder zumindest, sehr interessant. Die Menschen sind gekommen wegen der Europäischen Datenschutzgrundverordnung, kurz DSGVO, denn, so Schaar:
"Es gibt eine Regelung in der Datenschutzgrundverordnung, eine Evaluationsregelung."
"Wir glauben, dass wir auch nochmal etwas zur Entbürokratisierung tun könnten"
Gemäß Artikel 97 muss die DSGVO bis Ende Mai 2020 überprüft werden. In Brüssel allerdings scheint man noch ziemlich weit entfernt davon sein, irgendetwas an der Verordnung bewerten zu wollen. Das berichtet der Europa-Abgeordnete Moritz Körner:
"Ich kann Ihnen sagen, so richtig Diskussion in Brüssel ist darüber noch nicht. Denn die Kommission wird diese Evaluation erst vorlegen, dann wird dort noch einmal stärker diskutiert."
Fern von Brüssel hingegen wird schon kräftig bewertet. Was ist gut, was sollte sich ändern. Bei einigen Aspekten sind sich alle geladenen Interessenvertreter überraschend einig. Zum Beispiel beim Thema Bürokratie. Der aktuelle Bundesdatenschutzbeauftragte Ulrich Kelber heißt zwar Dokumentation gut, aber:
"Wir glauben, dass wir in der Tat auch nochmal etwas zur Entbürokratisierung tun könnten, vor allem bei den Dokumentations- und Informationspflichten. Ich halte das Gejammer über die Bürokratie für unberechtigt. Sie brauchen auch Dokumentation, um überhaupt kontrollieren zu können. Oft genug erleben Unternehmen, auch wenn sie mal dokumentieren, was sie eigentlich für Datenschätze haben, mit denen sie arbeiten können."
Fern von Brüssel hingegen wird schon kräftig bewertet. Was ist gut, was sollte sich ändern. Bei einigen Aspekten sind sich alle geladenen Interessenvertreter überraschend einig. Zum Beispiel beim Thema Bürokratie. Der aktuelle Bundesdatenschutzbeauftragte Ulrich Kelber heißt zwar Dokumentation gut, aber:
"Wir glauben, dass wir in der Tat auch nochmal etwas zur Entbürokratisierung tun könnten, vor allem bei den Dokumentations- und Informationspflichten. Ich halte das Gejammer über die Bürokratie für unberechtigt. Sie brauchen auch Dokumentation, um überhaupt kontrollieren zu können. Oft genug erleben Unternehmen, auch wenn sie mal dokumentieren, was sie eigentlich für Datenschätze haben, mit denen sie arbeiten können."
Zusammenarbeit müsste verbessert werden
Ebenso einig ist man sich, dass die Datenschützer aller EU-Länder besser zusammenarbeiten müssten und auch entsprechend ausgestattet sein sollten – personell wie finanziell. Da gebe es massive Unterschiede. Und auch der Wortlaut der DSGVO werde in den Ländern der EU recht individuell ausgelegt, berichtet Rebekka Weiß vom Branchenverband Bitkom, zusätzlich zu ganz praktischen Problemen.
"Es kamen mir zum Teil tatsächlich rein praktische, sage ich mal, Fehler zu Ohren, dass sich die Aufsichtsbehörden vor Ort nicht verstehen, einfach aufgrund der Sprachproblem. Dafür soll es KI-Lösung geben, habe ich gehört. Vielleicht ist KI ein Weg, oder man muss Dolmetscher beschäftigen. Ich weiß es nicht, aber auf jeden Fall müssen wir doch zu einer Situation kommen, wo sich die 28 vernünftig miteinander unterhalten können und zu einer einheitlichen Auslegung kommen."
"Es kamen mir zum Teil tatsächlich rein praktische, sage ich mal, Fehler zu Ohren, dass sich die Aufsichtsbehörden vor Ort nicht verstehen, einfach aufgrund der Sprachproblem. Dafür soll es KI-Lösung geben, habe ich gehört. Vielleicht ist KI ein Weg, oder man muss Dolmetscher beschäftigen. Ich weiß es nicht, aber auf jeden Fall müssen wir doch zu einer Situation kommen, wo sich die 28 vernünftig miteinander unterhalten können und zu einer einheitlichen Auslegung kommen."
DSGVO ist ein Flickenteppich
Von einem Flickenteppich spricht gar der EU-Parlamentarier Körner. Der Vorstand des Verbraucherzentrale Bundesverbandes Klaus Müller – und nicht nur er - bemängelt, dass die DSGVO noch nicht die wirklich Verantwortlichen in die Pflicht nehme.
"Die Regelung zur Privacy by Design nehmen lediglich die für die Datenverarbeitung verantwortlichen Unternehmen in die Pflicht. Die Hersteller von Geräten und Software sind bekanntlich von der Regelung nicht erfasst. Das ist ein Problem für Unternehmen, die es richtig machen wollen, aber keine Datenschutz konforme Produkte auf dem Markt finden. Das Problem betrifft aber auch Verbraucher."
Ähnliches gelte für große Dienste wie Facebook und Twitter. Müller kritisiert auch, dass die Evaluierung der Verordnung zu früh käme. Noch seien viele Gerichtsverfahren anhängig. Bis sie höchstrichterlich entschieden seien, werde noch viel Zeit vergehen.
Kloiber: Noch zu früh? Die europäische Datenschutzgrundverordnung soll also überprüft werden. Jan, gibt es denn bereits Stellungnahmen der Interessenvertreterinnen?
Ähnliches gelte für große Dienste wie Facebook und Twitter. Müller kritisiert auch, dass die Evaluierung der Verordnung zu früh käme. Noch seien viele Gerichtsverfahren anhängig. Bis sie höchstrichterlich entschieden seien, werde noch viel Zeit vergehen.
Kloiber: Noch zu früh? Die europäische Datenschutzgrundverordnung soll also überprüft werden. Jan, gibt es denn bereits Stellungnahmen der Interessenvertreterinnen?
Rähm: Ja die gibt es allerdings, das berichtet Peter Schaar, sie seien hauptsächlich von deutschen Akteuren. Europäisch ist da noch nicht viel Bewegung drin, wie wir auch vom MdEP im Beitrag gehört haben. Aber bis zum 25. Mai 2020 muss dann die Evaluation vorliegen.
Das Problem ist die unterschiedliche Auslegung innerhalb Europas
Kloiber: Sie haben die Statements und die anschließende Diskussion verfolgt: Wo liegen die größten Kritikpunkte?
Rähm: Ziemlich klar da, und da waren sich dann auch alle Sprecher einig, in den sehr unterschiedlichen Auslegungen innerhalb Europas innerhalb der Datenschutzgrundverordnung. Entsprechend gab es sehr laut zu vernehmen den Ruf nach europaweiter Harmonisierung war deutlich zu vernehmen und spiegelt sich auch in den bisherigen schriftlichen Stellungnahmen wieder. Das betrifft zum Beispiel Öffnungsklauseln. Daher, die Möglichkeit der Gesetzgeber von EU und den Mitgliedstaaten, die DSGVO durch eigene Gesetzgebung zu konkretisieren, zu ergänzen oder zu modifizieren. Da scheint es doch einiges an Wildwuchs zu geben.
Ein zweites großes Problem: die finanzielle und personelle Ausstattung derer, die die Einhaltung der DSGVO überwachen und steuern sollen. So gebe es beispielsweise auch in Deutschland Bundesländer, aber auch ganze europäische Staaten, deren Datenschutzaufsicht gerade einmal mit einer Handvoll Mitarbeiter auskommen muss, und die hätten zudem auch noch Beratung zu erbringen. Die sind völlig überarbeitet.
Andererseits, so klang es von Wirtschaftsseite an, würde die Ressourcen aber auch fehl allokiert. Als Beispiel wurde genannt die Klingelschildposse in Österreich: Da habe es hier in Deutschland 13 zum Teil sich widersprechende Stellungnahmen der Datenschützer gegeben. Und das Ganze ist wohl kein Einzelfall in der EU. Daher war auch der Ruf deutlich nach engerer Zusammenarbeit und Abstimmung, und zweitens der derzeitige deutsche Bundesdatenschutzbeauftrage Ulrich Kelber schlug gar eine zentral agierende und mit inter-europäischen Befugnissen ausgestattete EU-Datenschutzbehörde vor.
Kloiber: Wir hatten anfangs die befürchtete aber ausgebliebene Abmahnwelle angesprochen. Hat die DSGVO denn Rechtssicherheit gebracht?
Rähm: Hier gab es einen Dissens. Politik und Datenschützer zeigten sich überwiegend zufrieden, dagegen Verbraucherschutz und Wirtschaft hatten Kritik. Ein Beispiel: Die Bitkom-Vertreterin erklärte, jedes sechste innovative Daten-getriebene Projekt würde wohl liegengelassen wegen Rechtunsicherheiten, weil die Unternehmen sich nicht sicher seien könnten, nicht eventuell doch gegen die DSGVO zu verstoßen oder weil sie Angst vor möglichen Sanktionen hätten. Und die Projekte, die liegelassen würden, die würde man auch gar nicht sehen.
Es mangelt an der Durchsetzung von Gesetzen
Kloiber: Ist denn jetzt zu erwarten, dass die DSGVO grundlegend verändert wird?
Rähm: Nein auf keinen Fall. Auf dem Podium wie auch in der Diskussion wurde unter anderem deutlich: Es mangelt nicht an Gesetzen, sondern an der Durchsetzung und Anwendung der Gesetze. Außerdem ist die Verordnung in einem sehr langwierigen Verfahren und mit sehr vielen Kompromissen zustande gekommen und wird jetzt ganz sicher das ganze Paket nicht noch einmal komplett aufgemacht, sondern erwartet werden vorerst eher kleinere Anpassungen und Korrekturen, es wird also ein bisschen nachgeschärft.
Rähm: Nein auf keinen Fall. Auf dem Podium wie auch in der Diskussion wurde unter anderem deutlich: Es mangelt nicht an Gesetzen, sondern an der Durchsetzung und Anwendung der Gesetze. Außerdem ist die Verordnung in einem sehr langwierigen Verfahren und mit sehr vielen Kompromissen zustande gekommen und wird jetzt ganz sicher das ganze Paket nicht noch einmal komplett aufgemacht, sondern erwartet werden vorerst eher kleinere Anpassungen und Korrekturen, es wird also ein bisschen nachgeschärft.
Man muss ja auch sehen, dass die Verordnung noch gar nicht lange genug in Kraft ist, nach gar nicht lange genug in Kraft ist, um zu sehen, wie sie sich auswirkt. Das betonte auch der Verbraucherschützer: Viele Gerichtsverfahren liefen noch. Was sich aber alle Interessenvertreter wünschen, da wiederhole ich den Anfang unseres Gesprächs, dass die DSGVO präzisiert und vor allem harmonisiert wird