Datenschutz „Die DSGVO hat das Zeug zum Exportschlager“

Wie sieht es nach einem Jahr DSGVO aus? Quelle: imago images

Die Datenschutzgrundverordnung (DSGVO) jährt sich am 25. Mai zum ersten Mal. Was passiert ist und in welchen Punkten noch einiges zu tun ist, erklären ein Informatik-Professor und eine Jura-Professorin.

  • Teilen per:
  • Teilen per:

WirtschaftsWoche: Herr Strufe, was hat sich durch die DSGVO bisher verändert?
Thorsten Strufe, Informatik-Professor: Aus Sicht der Informatik hat sich eigentlich gar nicht so viel grundlegend verändert. Vor der DSGVO hat bereits das Bundesdatenschutzgesetz festgelegt, wie Daten und Systeme gesichert werden müssen. Bei der DSGVO kommen einige neue Ideen hinzu, die technisch aber keine sehr großen Umstellungen verursachen. Die DSGVO hat die Menschen aber wachgerüttelt. Sie machen sich wegen der Androhung hoher Strafen jetzt mehr Gedanken über den Schutz von Daten. Das hätten sie eigentlich schon vorher tun müssen.

Die Strafen können bis zu vier Prozent des Jahresumsatzes betragen. Wie weit sind die Behörden bei der Überprüfung?
Strufe: Bisher sehen wir kaum Gerichtsverfahren und große Strafen. Das liegt sicher auch daran, dass die Vorbereitung der Prozesse dauert und diese dann auch erst einmal angestrengt werden müssen. In Frankreich werden momentan die ersten Strafen ausgesprochen. Hier sehen wir, dass den großen Firmen vors Schienenbein getreten wird, sicher auch um eine Signalwirkung zu erzeugen. Unter anderem dafür, dass nicht alle Maßnahmen von Unternehmen für den Datenschutz umsonst waren.

Vor einem Jahr herrschte große Unsicherheit darüber, welche Maßnahmen denn jetzt tatsächlich notwendig sind. Ist das mittlerweile geklärt?
Anne Lauber-Rönsberg, Jura-Professorin: Wir sind ein Stück weitergekommen, aber sehr viel mehr Rechtssicherheit hat das Jahr noch nicht gebracht. In vielen Bereichen gibt es noch keine Rechtsprechung, die die einzuhaltenden Standards klärt. Auch die nationalen Gesetzgeber haben sehr spät reagiert. Die DSGVO ist schon im Jahr 2016 in Kraft getreten. Seitdem wussten wir also, was im Mai 2018 auf uns zukommen würde, wenn sie offiziell zur Anwendung kommt. Für die Unternehmen ist problematisch, dass die nationalen Anpassungsgesetze erst kurz vor Mai 2018 verabschiedet wurden. Immerhin wurden die wesentlichen gesetzlichen Grundlagen in Deutschland – im Gegensatz zu einigen anderen EU-Mitgliedstaaten – damit noch fristgerecht geschaffen.

Entstehen dadurch all die DSGVO-Gerüchte?
Strufe: Ja, verschiedene Parteien nutzen den Mangel an Beschlüssen, um Realitäten zu erschaffen. Sie versuchen, die Realität dahin zu verschieben, dass dieses oder jenes de-facto Standard, oder unvermeidlich sei – und damit erlaubt sein müsse. Viele dieser Behauptungen sind aus technischer Sicht leider immer noch unsinnig, Daten können viel besser geschützt und ihre Erhebung vollkommen ohne funktionelle Verluste in viel größerem Maße vermieden werden, als man häufig hört.

Zum Beispiel?
Strufe: In der DSGVO ist häufig vom überwiegenden Interesse die Rede. Eine ganze Reihe von Industrien, die in der Vergangenheit rücksichtslos mit Daten umgegangen sind, sagen jetzt: wenn wir die DSGVO umsetzen, gehen wir pleite und deshalb machen wir so weiter wie bisher, weil unser Interesse am Firmenerhalt überwiegt. Das ist natürlich etwas fragwürdig. Wir sollten da sinnvoll aufklären und dann die Gerichtsentscheide abwarten.

Ein beliebtes Gerücht ist auch, dass kleine Vereine durch die DSGVO in Existenznöte kommen. Wie sehen Sie das?
Strufe: Die Aufsichtsbehörden haben kein Interesse daran, Vereine oder kleine Firmen über die Maßen zu bestrafen. Kommt es zu einer Untersuchung, haben kleine Firmen oder Vereine in der Regel Zeit, Auflagen umzusetzen und dann noch einmal geprüft zu werden. Bei größeren Firmen kann man aber schon davon ausgehen, dass sie ausreichend Ressourcen haben um die Verordnung korrekt umzusetzen und es wissen müssten. Diese könnten also von Anfang an auch bestraft werden.

Wenn eine Firma sanktioniert wird, liegt die Strafe dann immer bei vier Prozent?
Lauber-Rönsberg: Ein Bußgeld darf maximal vier Prozent des weltweiten Jahresumsatzes betragen. Die genaue Höhe hängt aber immer von der Schwere des Verstoßes ab: war er vorsätzlich oder fahrlässig? Gab es frühere Verstöße? Wie gut arbeitet das Unternehmen mit den Behörden zusammen? All diese Fragen müssen geklärt werden. Wie schon nach der früheren Rechtslage gilt weiterhin, dass Geldbußen nicht unverhältnismäßig sein dürfen.

Wie hoch waren die Strafen vor der DSGVO?
Lauber-Rönsberg: Geldbußen durften nach dem alten Bundesdatenschutzgesetz maximal 300.000 Euro betragen. Durch die Vier-Prozent-Grenze der DSGVO können bei großen Unternehmen jetzt erheblich größere Summen bis hin zu Millionenbeträgen anfallen.

„Die DSGVO hat das Bewusstsein für den Datenschutz geschärft“

Wo können Unternehmen sich über Standards informieren, wenn es noch keinen Gerichtsentscheid gab?
Lauber-Rönsberg: Die Datenschutzaufsichtsbehörden haben in den vergangenen Monaten einige Beschlüsse erlassen und Handlungsanweisungen sowie Kurzpapiere herausgegeben, aber in strittigen Fragen können nur die Gerichte verbindlich entscheiden. Zum Teil enthält die DSGVO interpretationsbedürftige Vorgaben, die durch die Rechtsprechung geklärt werden müssen.

Kennen Sie ein Beispiel für so einen Fall?
Lauber-Rönsberg: Der Artikel sechs der DSGVO regelt die Frage, wann eine Datenverarbeitung rechtmäßig ist. Das ist der Fall, wenn der Betroffene eingewilligt hat oder die Datenverarbeitung für die Erfüllung eines Vertrages erforderlich ist. Das ist soweit unstrittig. Doch es gibt auch einen sehr vagen Erlaubnistatbestand, der besagt, dass die Datenverarbeitung dann rechtmäßig ist, wenn nicht die Interessen des Einzelnen die Interessen des Unternehmen überwiegen.

Was ist ein typischer Anwendungsfall?
Lauber-Rönsberg: Unternehmen versuchen beispielsweise, Kunden durch Online-Marketingmaßnahmen anzusprechen. Bisher ist nicht geklärt, inwieweit die Datenverarbeitung zu diesem Zwecke legal ist, unter welchen Voraussetzungen zum Beispiel ein Tracking oder die Verwendung von Nutzungsprofilen zulässig ist. Es bleibt spannend, welches Interesse der Europäische Gerichtshof als gewichtiger ansieht: das der Bürger oder das der Unternehmen.

Angenommen, es wäre alles entschieden: sind die technischen Systeme reif für die DSGVO?
Strufe: Es gibt in der Tat Anforderungen in der DSGVO, von denen wir noch nicht wissen, wie wir es technisch umsetzen können. Es muss noch einiges entwickelt werden. Ein Beispiel: Die DSGVO sieht eine Rechenschaftspflicht vor, bei der technisch nicht vollkommen klar ist, wie sie mit heutigen Systemen zu erreichen wäre.

Werden Systeme, die von nun an entwickelt werden, sicher sein?
Strufe: Ingenieure, zu denen ich auch zähle, bauen gerne neue Sachen ohne ausreichend über die Konsequenzen nachzudenken. Viele Kunden freuen sich darüber, etwas noch bunteres oder schnelleres zu besitzen. Ich  vermute, dass wir schon aus diesem Grund auch in Zukunft immer mal wieder unsichere Systeme sehen werden.

Ist es denn nun eigentlich – wie häufig behauptet – aus Datenschutzsicht kritisch, Namen aufs Klingelschild zu schreiben?
Lauber-Rönsberg: Ich halte das für eine unnötig aufgebauschte Diskussion. Klingelschilder sind in der Regel von der Zustimmung der Betroffenen gedeckt. Und wenn jemand seinen Namen nicht auf dem Schild haben möchte, dann wird der Vermieter nur Initialen aufs Schild schreiben – so war es schon vor der DSGVO.

Ein anderes Thema war, dass Fotos nicht ohne Zustimmung der Betroffenen aufgenommen und verbreitet werden dürfen. Wieso ist das so kritisch?
Lauber-Rönsberg: Wenn auf einer privaten Feier Fotos gemacht werden, die nicht im Internet gepostet werden, ist das Recht am eigenen Bild relevant, da das Datenschutzrecht für ausschließlich persönliche oder familiäre Tätigkeiten nicht gilt. Wenn aber beispielsweise Lehrer in einer Schule Fotos machen , die über eine pädagogisch erforderliche Dokumentation hinausgehen, dann müssen alle Eltern und gegebenenfalls auch die Kinder zugestimmt haben. Das war auch schon vor der DSGVO so – allerdings sind die Anforderungen an die Informationen gestiegen, die den Betroffenen im Vorfeld zur Verfügung gestellt werden müssen, und möglicherweise auch das Bedürfnis des Einzelnen nach Privatsphäre.

Was ist so schlimm an einem Foto?
Strufe: Kaum jemand kann heute abschätzen, welche Risiken durch eine Datenverarbeitung entstehen. Wenn jemand aus der Schule beispielsweise das Klassenfoto bei Facebook hochlädt, erkennt Facebook die Gesichter und kann diese den jeweiligen Profilen zuordnen. Nur als Beispiel, wenn dann jemand in einem sehr reichen, oder vielleicht eher armen Stadtteil zur Schule gegangen ist, können dadurch Rückschlüsse auf die Person gezogen werden. Es gibt diverse Beispiele, in denen auf Fotos von Personen zum Beispiel Krankheiten erkannt werden können. Mithilfe künstlicher Intelligenz können schon aus scheinbar unverfänglichen Datenschnipseln Informationen zum Bildungsgrad, der politischen Haltung oder sogar sexuellen Orientierung gewonnen werden. Im einfachsten Fall können sie einem im Berufsleben später zum Verhängnis werden.

Hat die DSGVO die EU also vorangebracht?
Strufe: Wir hätten uns manches anders gewünscht und wir beklagen die Rechtsunsicherheit. Aber die DSGVO hat das Bewusstsein für den Datenschutz geschärft. Bisher kommen viele noch völlig straffrei oder mit einem blauen Auge davon, weil es zu wenig Personal gibt, um sie richtig zu überprüfen. Aber grundsätzlich denke ich, ist sie ein guter Schritt in die richtige Richtung.

Kann Europa trotz all der Schwächen der DSGVO ein Vorbild für andere Länder sein?
Lauber-Rönsberg: In den USA gibt es Tendenzen, vergleichbare gesetzliche Regelungen einzuführen. In Kalifornien wurde ein Bundesstaatsgesetz verabschiedet, das 2020 in Kraft treten soll und zum Teil den Standards der DSGVO entspricht. Unter dem Druck verschiedener Datenschutzskandale fordert nun auch Mark Zuckerberg eine international abgestimmte Regulierung nach dem Vorbild der DSGVO. Das wäre politisch und gesellschaftlich ein großer Erfolg.
Strufe: So gesehen hat die DSGVO sogar das Zeug zum Exportschlager zu werden!

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%