Karte der EU, umrandet von 12 gelben Sternen, in der Mitte die Buchstaben DSGVO
Bildrechte: picture alliance / Zoonar | DesignIt

Die Datenschutzgrundverordnung ist seit fünf Jahren in Kraft

Per Mail sharen
Artikel mit Audio-InhaltenAudiobeitrag

Fünf Jahre Datenschutzgrundverordnung: Was hat sie gebracht?

2018 ist die Datenschutzgrundverordnung der EU in Kraft getreten. Zeit für eine Zwischenbilanz: Was hat sie den Bürgern gebracht? Wie gut wird sie umgesetzt? Und wie geht es mit dem Datenschutz weiter?

Über dieses Thema berichtet: Thema des Tages am .

Die Datenschutzgrundverordnung (DSGVO) ist das erste gemeinsame europäische Gesetz, das den Umgang von Unternehmen und Behörden mit Daten einheitlich regelt. Es wurde von der EU nach jahrelangen Verhandlungen, oft recht kontroversen Debatten, im Jahr 2016 veröffentlicht. Zwei Jahre später, am 25. Mai 2018 trat es in Kraft.

Nach fünf Jahren DSGVO ist es Zeit für eine Zwischenbilanz. Was hat sie bisher gebracht und wo hat sie die Erwartungen vielleicht nicht erfüllt?

Warum wurde die DSGVO überhaupt eingeführt?

Die DSGVO wurde eingeführt, weil ab 2010 immer klarer wurde, dass vor allem US-amerikanische Unternehmen massiv Daten abgegriffen haben, ohne dass Userinnen und User etwas dagegen machen könnten. Besonders tat sich dabei Facebook hervor, auch wenn der Social-Media-Gigant nicht das einzige Unternehmen war, das sich wenig um einen sauberen Umgang mit Daten geschert hat.

Außerdem wurde immer mehr deutlich, dass Einkaufsportale wie Amazon das Nutzungsverhalten ihrer Kundinnen und Kunden genauestens analysieren, nicht nur das Surfverhalten, sondern auch durch Stimmen, Augenbewegungen und Tastaturanschlag. Aus diesen Nutzungsdaten ziehen die Portale Schlüsse. Etwa, ob jemand bereit ist, viel Geld für ein Produkt zu zahlen oder wenig. Oder ob jemand in einer psychischen Situation ist, in der er sich mit einem kleinen Geschenk selbst Trost verschaffen will. Wer so viel über seine Nutzenden weiß, kann sie vergleichsweise leicht manipulieren.

Beschleunigt wurden die Arbeiten an der EU-Datenschutzgrundverordnung durch die Enthüllungen von Edward Snowden, einem ehemaligen Mitarbeiter des US-Geheimdienstes NSA. Snowden erklärte, wie systematisch Menschen aus aller Welt von der NSA ausspioniert werden, über Telefongespräche aber auch über Internetdaten. Diese Enthüllungen machten auch in Europa vielen Politiker plötzlich klar, dass ein Gesetz nötig ist, das klar regelt, wie ein sauberer Umgang mit Daten aussehen muss.

Welche Datenschutz-Grundsätze müssen Unternehmen beachten?

Zentraler Artikel der DSGVO ist Artikel 5, der die Grundsätze für die Verarbeitung personenbezogener Daten festlegt. So muss der Umgang mit Daten rechtmäßig sein. Firmen dürfen also nur Daten verarbeiten, wenn sie die Betroffenen darüber informiert haben. Auf Websites tun sie das häufig in Form von Cookie-Bannern.

Außerdem gibt es eine Zweckbindung, das heißt Unternehmen, aber auch der Staat dürfen Daten nur für den Zweck verwenden, für den sie sie gespeichert haben. So dürfen Name, Adresse und Kontoverbindung für eine Rechnung abgespeichert werden, sie dürfen aber nicht dazu verwendet werden, um jemandem Werbung zuzuschicken, oder die Daten weiterzuverkaufen.

Wichtig ist auch die Speicherbegrenzung: Personenbezogene Daten dürfen nicht in alle Ewigkeit gespeichert werden, sondern nur so lange, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Und dann gibt es auch noch die Datenminimierung: Es sollen nur so viele personenbezogene Daten erhoben werden, wie für die Erfüllung eines Zwecks nötig ist.

Welche Rechte haben Bürgerinnen und Bürger durch die DSGVO?

Großen Raum nehmen in der DSGVO die Rechte der Bürgerinnen und Bürger ein. Unternehmen, die personenbezogene Daten erheben, müssen die Betroffenen darüber informieren. Jede Person hat das Recht zu erfahren, welche personenbezogene Daten über sie gespeichert sind (Auskunftsrecht). Unter gewissen Umständen haben Bürger das Recht auf Löschung ihrer personenbezogenen Daten. Um dieses "Recht auf Vergessenwerden" ging es diese Woche in einem Verfahren vor dem Bundesgerichtshof: Ein Paar aus der Finanzdienstleistungsbranche wollte Google zwingen, unliebsame Artikel zu löschen. Der BGH lehnte die Klage aber weitgehend ab.

Und dann gibt es noch das Recht, seine Daten bei einem Anbieterwechsel mitzunehmen, etwa wenn man seine Bank wechselt. Der Bundesdatenschutzbeauftragte Ulrich Kelber sieht in diesem Recht auf Datenübertragbarkeit einen konkreten Nutzen für Bürger.

Wie gut wird die DSGVO durchgesetzt?

Vereinfacht gesagt: In Europa besser als im Rest der Welt. Gerade viele deutsche Firmen versuchen, die Regeln einzuhalten. Dagegen gibt bei vielen großen Konzernen, vor allem aus den USA, noch immer kein wirkliches Einsehen. Speziell Facebook steht als großer Datensammler in der Kritik, ohne dabei über eine ausreichende Rechtsgrundlage zu verfügen. Deswegen wird der Konzern immer wieder verklagt. Erst am Montag verhängt die irische Datenschutzbehörde die bislang höchste Strafe wegen eines Verstoßes gegen die DSGVO: Meta muss wegen unerlaubter Datentransfers von Europa in die USA eine Strafe von 1,2 Milliarden Euro zahlen. Das hört sich zwar viel an, entspricht aber bei einem Jahresumsatz von rund 116 Milliarden, den Meta 2022 erzielt hat, nur einem Prozent des Umsatzes. Möglich sind laut DSGVO bis zu vier Prozent des weltweiten Jahresumsatzes, dieses Maß wird in der Praxis aber bei weitem nicht ausgeschöpft.

Außerdem hatte sich die irische Datenschutzbehörde DPC jahrelang geweigert, in dieser Sache gegen Facebook vorzugehen. Letztlich verpflichtete der Europäische Datenschutzausschuss die DPC, eine Strafe gegen das soziale Netzwerk zu verhängen. Noch ist unklar, ob Meta diese Strafe zahlen wird, denn der Konzern hat Einspruch angekündigt, das Verfahren könnte sich lange ziehen.

Ein weiteres Problem ist die hohe Arbeitsbelastung der nationalen Aufsichtsbehörden, bei denen sich die Datenschutz-Beschwerden gegen Unternehmen stapeln. Für die Ahndung eines DSGVO-Verstoßes ist nämlich die Datenschutzbehörde des EU-Staates zuständig, in dem das Unternehmen, gegen das eine Beschwerde eingereicht wurde, seinen Sitz hat. Im Falle von Facebook ist das zum Beispiel Irland beziehungsweise die DPC.

Welche Kritik gibt es an der DSGVO und wie soll sie reformiert werden?

Kritisiert wird zum einen, dass es zu lange dauert, bis Verstöße geahndet werden. Dazu soll die Zusammenarbeit zwischen den nationalen Datenschutzbehörden verbessert werden. So soll etwa eine Frist eingeführt werden, in der eine Beschwerde an die zuständige Datenschutzbehörde weitergeleitet wird, zum Beispiel von Deutschland nach Irland, wo Facebook, Microsoft, Google, Apple oder Amazon ihren Europasitz haben.

Ein häufig genannter Kritikpunkt ist die zu große Bürokratie, die gerade für kleine und mittlere Unternehmen sehr aufwändig ist. Bundesdatenschutzbeauftragte Ulrich Kelber spricht sich für eine Entbürokratisierung aus, zum Beispiel indem die Dokumentations- und Informationspflichten vereinfacht werden.

Aus Nutzersicht sind vor allem die allgegenwärtigen Cookie-Banner sehr lästig, die eine Folge der DSGVO sind. Damit sichern sich Website-Betreiber ab, um Nutzungsdaten von Website-Besuchern speichern und sie auch sonst im Netz tracken dürfen. Mit diesen Daten wollen sie personalisierte Werbung anzeigen. Hier überlegt die EU-Kommission, dass Nutzer ihre Tracking-Präferenzen generell im Browser hinterlegen können. Das wird aber nicht Bestandteil der DSGVO sein, sondern im Rahmen der ePrivacy-Verordnung der EU geregelt werden. Die ePrivacy-Verordnung sollte ursprünglich gleichzeitig mit der DSGVO eingeführt werden, um ihre konkrete Ausgestaltung wird allerdings schon seit Jahren gerungen.

Das ist die Europäische Perspektive bei BR24.

"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!