Die Europäische Datenschutzgrundverordnung (DSGVO) ist fünf Jahre alt. Doch auch nach so langer Zeit polarisiert sie noch immer: Die einen sehen in ihr den weltweit führenden Datenschutzstandard, die anderen ein Hindernis für den digitalen Fortschritt.
Am 25. Mai wird die Europäische Datenschutzgrundverordnung fünf Jahre alt. Und auch 5 Jahre nach ihrem Inkrafttreten polarisiert die DSGVO: Für ihre Befürworter ist sie der weltweit führende Standard für den Datenschutz, für ihre Gegner ein Hindernis für Wachstum und Wohlstand in der digitalen Welt. Zum Geburtstag hat ihr die irische Datenschutzbehörde ein Geschenk gemacht und eine Strafe von 1,2 Milliarden gegen den Softwarekonzern Meta (Facebook) verhängt. Dies zeigt, dass die Datenschutzgrundverordnung nicht – wie anfangs befürchtet – ein zahnloser Tiger ist, sondern ein durchaus taugliches Instrument zur Durchsetzung europäischer Datenschutzprinzipien.
Panikmache und allgemeine Verunsicherung ist einer Datenschutzroutine gewichen
Bei der Einführung der DSGVO herrschte längere Zeit allgemeine Verunsicherung: Wie muss eine rechtskonforme Datenschutzerklärung auf der Firmen-, Vereins- oder privaten Website aussehen? Müssen Personen, die auf der Website abgebildet sind, schriftlich einwilligen? Verbietet die DSGVO, dass Mitarbeiter mit vollem Namen genannt werden? Wie können die Datenschutzanforderungen in die betrieblichen Abläufe integriert werden? Wer kontrolliert die Umsetzung? Gezielte Panikmache, insbesondere im Hinblick auf drohende Bußgelder und das Ende des digitalen Fortschritts, heizte die Stimmung zusätzlich an.
5 Jahre später lässt sich feststellen, dass die anfängliche Verunsicherung allen Unkenrufen zum Trotz einer allgemeinen Routine gewichen ist: Die überwiegende Mehrheit der Unternehmen hat ihre Webseiten, Regelungen und internen Abläufe an die DSGVO angepasst und das Thema „Datenschutz“ ist in den Köpfen der Geschäftsleitungen, der Mitarbeiterinnen und Mitarbeiter, aber auch vieler Privatpersonen fest verankert. Die prophezeiten Bußgeldorgien für Privatpersonen und kleine Unternehmen sind ausgeblieben und die digitale Welt entwickelt sich schneller denn je.
1,2 Milliarden EUR Rekordstrafe zum Geburtstag
Das Geburtstagsgeschenk ist auf den ersten Blick sehr üppig ausgefallen: Die irische Datenschutzbehörde DPC (Data Protection Commission) hat am Montag, den 22. 05.2023, eine Geldstrafe in Höhe von 1,2 Milliarden EUR gegen den Facebook-Mutterkonzern Meta verhängt. Dies ist die mit Abstand höchste Geldstrafe, die jemals von einer europäischen Datenschutzbehörde verhängt wurde. Nach Einschätzung der DPC sind die Schutzmaßnahmen gegen den Zugriff auf die persönlichen Daten der europäischen Facebook-Kunden nicht ausreichend, um die Anforderungen des Europäischen Gerichtshofs (EuGH) zu erfüllen. Die DPC hatte es jedoch jahrelang versäumt, in dieser Sache gegen Facebook vorzugehen. Erst nach einer Entscheidung des Europäischen Datenschutzausschusses (EDSA) sah sich die DPC nun gezwungen, eine Geldstrafe gegen Facebook zu verhängen, die sogar noch recht moderat ausfiel: Die Höchststrafe hätte bei über 4 Milliarden EUR liegen können.
DSGVO: Taugliches Instrument mit Optimierungsbedarf
Das von der DPC gegen Meta verhängte Bußgeld zeigt, dass die DSGVO ein durchaus taugliches Instrument zur Durchsetzung europäischer Datenschutzprinzipien ist. Es erhöht den ohnehin bestehenden Druck, den transatlantischen Datenverkehr zwischen der EU und den USA endlich datenschutzkonform zu regeln und unterstreicht, dass die EU in dieser Auseinandersetzung ein gleichwertiger Partner ist. Gleichzeitig zeigt das Bußgeldverfahren aber auch, dass bei der Durchsetzung der Datenschutzgrundverordnung Nachholbedarf besteht. Statt von sich aus tätig zu werden, musste die irische DPC erst in einem langwierigen Verfahren von der EDSA dazu angewiesen werden. Es ist zu hoffen, dass die angekündigte Reform der DSGVO den „Flaschenhals“ DPC beseitigt und tatsächlich zu einer Harmonisierung und Beschleunigung der Verwaltungsverfahren beiträgt .
Altlasten und neue Herausforderungen
Es darf nicht vergessen werden, dass die DSGVO bis heute unvollständig ist. Ursprünglich sollte sie zusammen mit der ePrivacy-Verordnung (ePV) veröffentlicht werden, die 2017 von der EU-Kommission vorgeschlagen wurde. Mit der Verordnung sollten die bestehenden Vorschriften zum Schutz der Privatsphäre im Bereich der elektronischen Kommunikation an die Vorgaben der DSGVO angepasst werden. Die EU-Kommission beabsichtigte, die ePV zusammen mit der am 25.05.2018 in Kraft tretenden DSGVO einzuführen. Daraus ist bis heute nichts geworden. Die EU-Mitgliedstaaten konnten sich erst 2021 auf einen Entwurf einigen, der seitdem im Trilog zwischen den EU-Institutionen feststeckt. Die ePV verhindert z.B., dass Betreiber sozialer Medien die Daten ihrer Nutzer gegen deren Willen für Werbung auswerten. Sie schreibt auch ein Recht auf verschlüsselte Kommunikation fest und sieht einfache Browsereinstellungen als Schutz vor Werbeüberwachung vor. Ob die ePV jemals umgesetzt wird, ist derzeit nicht absehbar.
Gegenwärtig steht die DSGVO vor zahlreichen neuen Herausforderungen, denen sie sich stellen und die sie gebührend berücksichtigen muss, um ihren Platz in einem neuen Rechtsrahmen zu finden – dem so genannten Digital Rulebook (einschließlich des Digital Markets Act, des Digital Services Act und des künftigen AI Act) und der EU-Datenstrategie (Data Governance Act, Data Act und des künftigen Europäischen Raums für Gesundheitsdaten EHDS).