Andrea Jelinek, Leiterin der österreichischen Datenschutzbehörde und Vorsitzende des Europäischen Datenschutzausschusses zieht nach knapp zwei Jahren Datenschutz-Grundverordnung Bilanz: "Die DSGVO hat sich grundsätzlich bewährt. Die Awareness für Datenschutz wurde massiv gesteigert." Durch diese Bewusstseinssteigerung kam es zu einer starken Erhöhung der an die Behörde gemeldeten Datenschutzverletzungen, berichtet Jelinek. Die aktuellen Zahlen meldet die Behörde voraussichtlich Ende März im Datenschutzbericht 2019.

Max Schrems: "Lächerlich langes Warten auf Entscheidungen"

Datenschutz-Aktivist Max Schrems, der gegen Facebook prozessiert und mit der NGO NOYB – Europäisches Zentrum für digitale Rechte Beschwerden über Konzerne wie Amazon, Apple, Netflix und YouTube vor den entsprechenden Gerichten in Österreich und in der EU einbringt, sieht auch Probleme. Aus Sicht der Betroffenen hält er die mangelnde Durchsetzung für eine der größten Schwierigkeiten. Geht es um Beschwerden gegen Konzerne wie Facebook, sind oft Gerichte in Irland oder Luxemburg zuständig: "Und dort sehen wir praktisch keine Maßnahmen, ganz anders als in den anderen Mitgliedsstaaten."

Echte Lücken sieht Schrems bei der Kooperation zwischen den europäischen Datenschutzbehörden. Einige Behörden seien extrem langsam oder würden Fälle, die von Kollegen kommen, fast gar nicht bearbeiten. Bisher gibt es noch zu keinem einzigen großen grenzüberschreitenden Fall eine Entscheidung. Schrems: "Gerade bei digitalen Themen ist es lächerlich, wenn Leute jahrelang auf eine Entscheidung warten müssen. Hier gibt es ein extremes Defizit."

Mangelnde Ressourcen bei den Datenschutz-Behörden

Andrea Jelinek weist darauf hin, dass bereits mehr als einhundert grenzüberschreitende Fälle entschieden wurden, wenn auch keine großen: "Vom Grundsatz her funktioniert das." Dennoch seien die unterschiedlichen Verfahrensrechte eine Herausforderung, was aber nicht nur für den Datenschutz gelte. Was Lücken der DSGVO betrifft, findet sie, dass noch viel zu wenig Zeit vergangen sei und "noch lange nicht alle Mechanismen in Angriff genommen werden konnten – das ist noch nicht ausjudiziert".

Jelinek sagt, dass es aufgrund der Vielzahl der Beschwerden bei Österreichs Datenschutzbehörde "länger dauert", bis alles bearbeitet werde: "Wir haben Tausende Verfahren und trachten danach, diese ordnungsgemäß zu bearbeiten." Dass die Behörde mehr Personal braucht, wüssten die Entscheidungsträger. Jelinek verweist aufs Regierungsprogramm, wo von der "Ausstattung der Datenschutzbehörde mit ausreichenden Ressourcen" zu lesen ist.

Doch was sind "ausreichende Ressourcen" angesichts der rasanten technologischen Entwicklungen vor allem im Bereich von Artificial Intelligence, der zunehmenden Verbreitung von Überwachungskameras und Drohnen, der massiven Nutzung sozialer Medien, von Streamingdiensten und Onlineshops?

Der Datenschutzbeauftragte der Europäischen Union, Wojciech Wiewiórowski, diskutierte im Februar mit mehr als fünfzig Experten in einem Workshop der unabhängigen Datenschutzbehörde der EU (EDSB) über die Chancen und Herausforderungen von künstlicher Intelligenz und Gesichtserkennung und zieht ein Fazit: "Künstliche Intelligenz sollte das Leben von Individuen und der Gesellschaft verbessern, aber eine solche Entwicklung sollte niemals auf Kosten unserer Werte und Grundrechte gehen." Wiewiórowskis Aussage lässt erahnen, wie schwierig es werden könnte, technologische Entwicklungen mit Grundrechten wie dem Schutz der eigenen Daten unter einen Hut zu bringen.

Bislang 160.921 Verstöße gegen die DSGVO, nur wenige Strafen

Dass Behörden und Gerichte alle Hände voll zu tun haben, liegt auch daran, dass zu viele Unternehmen die geltenden Regelungen missachten. Laut Max Schrems fallen gewisse Branchen wie Datenhändler, Online-Tracking-Unternehmen und die großen IT-Unternehmen oder Kreditauskunfteien "besonders negativ auf". Einige würden die DSGVO schlichtweg ignorieren, weil sie sonst zusperren müssten: "Hier hat man oft das Gefühl, wie mit Drogendealern zu arbeiten: Sie müssen weiter Gesetze brechen, weil sie sonst kein Einkommen hätten."

Schrems findet allerdings, dass nicht für alle Unternehmen dieselben Regeln gelten sollten: "Ein Kleinbetrieb und Google sollten verschieden ‚hart‘ geregelt werden. Hier hat leider die Wirtschafslobby für ein einheitliches Gesetz lobbyiert – und das müssen jetzt vor allem Kleinunternehmen auslöffeln." Es sollte aus seiner Sicht verschiedene Klassen von Unternehmen geben. Dass jetzt vieles "verwässert und unklar" ist, sei schlecht für Nutzer und Unternehmen, die sich an ein klares Gesetz halten wollen: "Hier müsste man Fachjuristen das Gesetz sanieren lassen." Auch, dass Interessenverbände keine Klage einreichen dürfen, kritisiert Schrems.

DSGVO als Chance für Unternehmen

Vincenz Leichtfried, zertifizierter Daten- und IT-Sicherheitsexperte und geprüfter Datenschutzexperte, bestätigt, dass eine hundertprozentige Umsetzbarkeit der DSGVO "aufgrund des Umfangs und des teilweise rechtlichen Graubereichs" sehr schwierig für Unternehmen sei. Erläuterungen zur DSGVO beziehen sich oft verallgemeinernd auf Branchen und Berufsgruppen wie zum Beispiel auf IT-Konzerne oder Steuerberater. Atypische Datenanwendungen von innovativen Start-ups, der Industrie, aber auch von KMU in Nischen seien in das juristische Korsett teilweise schwer einzuordnen. Deshalb empfiehlt Leichtfried Organisationen, auch die Abwägungen zu dokumentieren, die zu einer Entscheidung geführt haben. Er betont, die DSGVO sei "nichts Böses", sondern Unternehmen sollten sie zum Anlass nehmen, etwas Gutes zu tun und am besten gleich mehrere Themen anzugehen und sich etwa auch mit dem Schutz von Know-how im Unternehmen und gegen Cyberangriffe zu befassen.

Der Jurist Max Schrems im Büro von Noyb in Wien. Mit der DSGVO habe Europa einen Standard im Datenschutz gesetzt, der auch international ausstrahle, meint er. - © APAweb / Reuters / Heinz-Peter Bader
Der Jurist Max Schrems im Büro von Noyb in Wien. Mit der DSGVO habe Europa einen Standard im Datenschutz gesetzt, der auch international ausstrahle, meint er. - © APAweb / Reuters / Heinz-Peter Bader

Datenschützer Max Schrems fasst zusammen, dass der Datenschutz "schön langsam vom Neugeborenen zum Kind wird". Die DSGVO hält Schrems für die "am wenigsten blöde Regelung, die es derzeit global gibt". Europa habe damit einen Standard gesetzt, der auch global stark ausstrahle. Die Menschen würden verstehen, dass es eine Regelung brauche, und die meisten Unternehmen würden das auch akzeptieren. In vielen Unternehmen habe die DSGVO erstmals dazu geführt, sich intensiver mit Datenschutz zu beschäftigen, was in der Praxis viele Verbesserungen gebracht habe. Im Vergleich zu anderen Grundrechten sei es aber "noch immer ein langer Weg, bis das Ding erwachsen ist".

***

Ein Beitrag zum Schwerpunktthema "Digitale Bürgerrechte" aus der "Digitalen Republik", ein Verlagsprodukt aus der Content Production der "Wiener Zeitung".