Fährt man mit 70 km/h durch die 30-Zone und wird erwischt, dann ist der Führerschein weg und teuer wird es obendrein. Lässt man im Elektronikmarkt ein Smartphone mitgehen und wird erwischt, gibt’s Ärger mit dem Gesetz und in den Elektronikmarkt wird man wohl auch nicht mehr reingelassen. Wirft man mit Steinen Fenster von Wohnhäusern kaputt und wird erwischt, darf man der Polizei erklären, warum man nichts Besseres zu tun hat und muss die kaputten Fenster bezahlen. Das ist logisch. Ob der Delinquent das nun einsieht oder nicht, wer das Gesetz bricht, muss mit Konsequenzen rechnen.
Wenn er erwischt wird. Und genau das scheint die Krux zu sein, wenn man sich anschaut, in welchem Umfang derzeit DSGVO-Verstöße mit Strafen belegt werden. Knuddels war im November der erste prominente Fall in Deutschland, der ein DSGVO-Bußgeld zahlen musste. Google muss in Frankreich 50 Millionen Euro wegen Verstoß gegen die Grundverordnung bezahlen. Netflix, Apple und Spotify könnten bald folgen, weil Datenschutz für sie in Europa offenbar nur eine Randerscheinung ist, die man nicht besonders teuer bezahlen muss. Und auch kleine Unternehmen – die, denen eine Strafe wirklich wehtut – verweisen, NACHDEM sie eine Strafe bekommen haben, lieber auf gesundes Halbwissen und säumige Partnerfirmen in Spanien, als einzusehen, dass sie das Gesetz gebrochen haben.
Viele von uns haben früher (oder tun es immer noch, das vermag ich nicht zu beurteilen) Musik über Filesharing-Plattformen heruntergeladen, Filme auf ominösen Seiten in schlechter Qualität gestreamt oder Videospiele raubkopiert. Man wusste, dass das nicht legal ist, aber man hatte immer das Vertrauen: Ich werde schon nicht erwischt werden. Schließlich läuft das ja alles anonym im Netz ab. Genau dieses falsche Grundvertrauen scheint aktuell in der Online-Welt zu herrschen.
Das Problem aber, liebe Internet-Firmen: Unzureichender Datenschutz und Schindluder mit Nutzerdaten sind kein Kavaliersdelikt, sie ziehen Strafen nach sich. Und das ist auch gut so. Bei allem Hickhack um die DSGVO hat sie im Kern die richtige Grundidee und ich persönlich finde es ganz hervorragend, dass ich – theoretisch – die Möglichkeit habe, abzufragen, was wer über mich weiß. Theoretisch deshalb, weil es die Multimilliarden-Konzerne einerseits offenbar nicht als wichtig erachten, mit meinen Daten so umzugehen, wie es die Datenschutzgrundverordnung vorschreibt. Und weil sie mir andererseits, wenn ich tatsächlich nachfrage, einen kryptischen Datenwust präsentieren, den der Laie entweder gar nicht öffnen kann oder der keinerlei Auskunft darüber gibt, in welchem Zusammenhang und wo die Daten gespeichert sind. Oder an wen sie weitergegeben wurden.
Fehler können passieren und nicht jeder Unternehmenschef ist studierter Volljurist, der die Datenschutzgrundverordnung im Schlaf herunterbeten kann. Verlangt ja auch keiner. Als Nutzer kann ich aber verlangen, dass dafür Sorge getragen wird, dass rechtskonform mit Daten umgegangen wird. Die DSGVO hat sich nicht spontan in der Welt materialisiert, sie war lange angekündigt und man hatte Jahre Zeit, sein Unternehmen darauf vorzubereiten. Monate, nachdem die Verordnung endgültig rechtsverbindlich ist, darf man sich nicht darüber aufregen, wenn Nutzer und Gerichte genauer hinschauen. Wenn ich bei Rot über die Ampel fahre, darf ich mich auch nicht wundern, wenn die Polizei mich fragt, ob ich eigentlich blind bin.