DSGVO-Umsetzung der IT-Giganten ist der „Lackmustest für das europäische Datenschutzrecht“

Am 25. Mai 2018 trat die Datenschutzgrundverordnung in Kraft, flankiert von teilweise großer Verunsicherung. In der Folge häuften sich Beschwerden, die Frage nach der Abmahnfähigkeit ist immer noch nicht endgültig geklärt. Im Interview erklärt Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) über die Umsetzung, über Anpassungen am Regelwerk und über die Ausgestaltung auf Seiten der großen IT-Giganten wie Facebook und Google. In der kommenden Ausgabe Q3 des Onlinehändler Magazins werfen wir einen ausführlichen Blick auf das erste Jahr mit der DSGVO.

OnlinehändlerNews: Herr Kelber, wird die DSGVO im ersten Jahr nach ihrem Inkrafttreten zufriedenstellend umgesetzt?

BfDI Ulrich Kelber: Unter dem Strich kann man auf jeden Fall positiv festhalten, dass die DSGVO dazu geführt hat, dass sich weitaus mehr Unternehmen und Menschen mit dem Thema Datenschutz beschäftigt haben als vorher. Auch die große Mehrzahl der meiner Aufsicht unterstehenden Stellen hat die Umsetzung gut gemeistert. Insgesamt gibt es aber sicherlich immer noch viele, die hier noch nicht so weit sind, wie sie eigentlich sein sollten.

IT-Giganten entscheidend

Ist vor allem bei großen Anbietern wie Facebook, Google und Amazon – nicht eben die Speerspitzen des Datenschutzes – aufgrund des Gesetzes ein Umdenken erkennbar?

Das ist eine gute Frage. Sicher kann man sagen, dass sie sich mit der DSGVO auseinandersetzen. Manchmal habe ich aber den Eindruck, dass man eher versucht, Wege zu finden, wie man die dortigen Vorgaben am elegantesten umgehen kann, statt sich damit zu beschäftigen, sein Produkt datenschutzkonform zu gestalten. Deshalb wird auch gerade die praktische Umsetzung und Anwendung der DSGVO bei und gegenüber diesen IT-Giganten der Lackmustest für unser neues europäisches Datenschutzrecht.

Sie selbst sagten im Januar, man müsse „genau hinschauen, an welchen Stellen die DSGVO entschlackt werden kann, ohne dabei den Datenschutz zu schwächen.“ Wo sehen Sie Nachholbedarf? Welche Probleme oder Unwägbarkeiten gibt es, die vorher eventuell nicht abzusehen waren?

Gerade für viele kleinere Unternehmen und Vereine stellen die durch die DSGVO erweiterten Dokumentations- und Informationspflichten einen bürokratischen Mehraufwand dar. Hier sehe ich durchaus die Möglichkeit, Erleichterungen für die Betroffenen einzuführen. Auf der anderen Seite müssen wir das Recht aber an einigen Stellen weiter schärfen. Die Bereiche des Scorings und Profilings sind beispielsweise nicht klar genug geregelt, obwohl aufgrund der immer weiter gehenden Digitalisierung gerade hier ein sehr hohes Risiko für unser Grundrecht auf Datenschutz liegt.

Kürzlich wurden vom Europäischen Datenschutzausschuss Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen verabschiedet. Was sollen diese bezwecken und warum sind diese Leitlinien notwendig?

Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, Legitimationen für Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in die vertraglichen Nutzungsbedingungen aufzunehmen, um die strengen Anforderungen der DSGVO an eine eigentlich erforderliche Einwilligung zu umgehen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürgerinnen und Bürger.

Rechtssicherheit steigern, bürokratische Hürden abbauen

Wie viele Beschwerden sind seit dem 25. Mai 2018 bei den deutschen Aufsichtsbehörden eingegangen, wie viele Datenschutzverletzungen gemeldet? Vor allem aber: Wie oft wurde dann auch reagiert, wie oft wurden Strafen ausgesprochen, wurde wirksam dagegen vorgegangen?

Eine gesamtdeutsche Statistik liegt mir hierzu nicht vor. Allerdings sind die Zahlen massiv gestiegen. Allein beim BfDI gab es im Zeitraum vom 25. Mai bis Ende 2018 mit über 9.500 allgemeinen Anfragen und Beschwerden mehr als doppelt so viele wie im gesamten Jahr 2017. Im selben Zeitraum wurden zudem etwa 7.300 Datenschutzverstöße von öffentlichen Stellen des Bundes, Post- und Telekommunikationsunternehmen gemeldet. Selbstverständlich werden die Meldungen und Beschwerden grundsätzlich auch alle bearbeitet und, soweit erforderlich, Maßnahmen eingeleitet um Datenschutzverstöße abzustellen.

Können Sie die Kritik an der Verordnung, die ja gern mal als kompliziert und ungenau bezeichnet wurde, nachvollziehen? Haben sich die Gegenstimmen mit der „Gewöhnung“ an die DSGVO beruhigt?

In der Regel bringt jedes neue Gesetz anfangs Rechtsunsicherheiten mit sich. Daher ist es auch eine maßgebliche Aufgabe der Aufsichtsbehörden, hier durch Leitlinien und Beratung Rechtssicherheit zu schaffen. Die Startschwierigkeiten der DSGVO wurden zudem noch dadurch forciert, dass gezielt mit Misinformationskampagnen Panikmache betrieben wurde. Letztendlich hat sich im Nachhinein fast alles als heiße Luft entpuppt. Wenn wir nun noch die bereits erwähnten bürokratischen Hürden abbauen können, die für viele der eigentliche Aufhänger für ihre globale Kritik an der DSGVO ist, glaube ich, die Akzeptanz für die DSGVO im speziellen und den Datenschutz allgemein noch weiter steigern zu können.

Vielen Dank für das Gespräch.