Die EU Datenschutz-Grundverordnung (EU-DSGVO) gilt seit dem 25. Mai 2018. Die Grundprinzipien hierin galten dabei bereits mit dem Bundesdatenschutzgesetz. Doch wurde durch eine EU-weite Verordnung und der Anhebung der möglichen Strafen bei Missachtung sowie der Thematisierung in den Medien viel mehr Wahrnehmung und Bewusstsein für Datenschutz geschaffen.
So ist die Sensibilisierung der Gesellschaft und Wirtschaft auf den Aspekt des Datenschutzes zu feiern. Aus sozialliberaler Sicht ist die EU-DSGVO grundsätzlich zu begrüßen.
Vereinheitlichung der Kriterien und Strafen
Die Strafen halten sich hierbei vor allem in Deutschland zumeist in einem niedrigen Rahmen. Mit in der Regel drei- bis fünfstelligen Geldstrafen richten sich die deutschen Aufsichtsbehörden selten nach der abschreckenden „bis zu 4%“-Regel. Lediglich seit Juli 2020 wurden in Deutschland vereinzelt aufgrund von systematischen Datenschutzverstößen mit vielen Betroffenen Millionenbeträge gefordert. Die EU-weite Höchststrafe bislang wurde in Frankreich gegen Google verhängt.[1]
Das Ziel einer EU-Verordnung ist es, eine EU-weite Regelung zum Zwecke einer einheitlichen Handhabung zu schaffen. Schließlich sind unsere Wirtschaften mittlerweile derart ineinandergreifend, dass wir von einer gemeinsamen europäischen Wirtschaft reden müssen. So ist es auch wichtig, dass die Kriterien und Strafen hier EU-weit möglichst einheitlich gelten und nicht standortabhängig rigoros variieren.
Daher ist eine Verordnung so konkret wie nur möglich zu formulieren. Dass die Verordnung bzgl. des Strafmaßes in der Wirtschaft zur Verunsicherung führte ist als eine berechtigte Kritik anzuerkennen. Die Strafen sind somit nach oben und nach unten zu beschränken. Ideal wäre hier auch eine Formel zur Berechnung eines konkreten Rahmens in Abhängigkeit zur finanziellen Kraft. Das Ziel muss hierbei sein, eine abschreckende Wirkung zu erzielen, ohne aber die Wirtschaftlichkeit eines Unternehmens dadurch signifikant zu gefährden.
Eine soziale und liberale Politik muss schließlich den sozialen Aspekt allen Teilnehmern der Gesellschaft und Wirtschaft gegenüber erbringen. Geldstrafen müssen daher klar abschreckend, dennoch nicht vernichtend wirken. Somit sind diese im Verhältnis zu den Umständen der Person oder des Unternehmens angepasst zu sein. Dies soll dabei die abschreckende Wirkung einer Strafe sicherstellen, andererseits aber auch Sicherheit bieten. Dies geht dabei auch mit der Forderung der Liberalen Demokraten unter dem Punkt “Geldstrafen“ im Programm Justiz und Vollstreckung einher.
Berechtigtes Interesse
Es ist auch anzumerken, dass ein sogenanntes „berechtigtes Interesse“ dazu genutzt wird, um Aktivitätenverfolgung und interessenbasierte Werbung zu führen auch wenn der/die Betroffene dies allgemein nicht wünscht. In dem Fall sollen die Rechte und Interessen des Datenverarbeiters und der betroffenen Personen abgewogen werden. Oftmals werden den Betroffenen hierbei kein Opt-Out angeboten oder ein manuelles Opt-Out pro Kategorie oder Verarbeiter notwendig.
Das Konzept des berechtigten Interesses ist grundsätzlich nachvollziehbar. Wenn ein Unternehmen einen langfristigen Vertrag mit einer Person eingeht, möchte dieses z.B. oft auch die Bonität der Person kennen. Dies führt zu einer zusätzlichen Sicherheit für den Anbieter. Auch hat dieser grundsätzlich ein berechtigtes Interesse darin, Werbungen zu schalten. Das berechtigte Interesse ist jedoch klar einzuschränken. So kann es nicht sein, dass ein Datenverarbeiter mit dem berechtigten Interesse eine seitenübergreifenden Aktivitätenverfolgung oder personalisierte Werbung begründet.
Das berechtigte Interesse hat sich auf den angebotenen Dienst direkt und anderweitig unpersonalisierte Verarbeitung (z.B. zu Werbezwecken) zu begrenzen. Dieses darf dabei die im Kapitel 3 der Verordnung genannten Rechte nicht untergraben.
Privacy by Design
Aus Sicht vieler Unternehmen sei die EU-DSGVO eine Innovationsbremse. Der Bundesdatenschutzbeauftragte Ulrich Kelber merkt hierzu berechtigtermaßen an, dass viele Projekte oft nur scheitern, „weil sie ohne Privacy by Design geplant werden und später versucht wird, den Datenschutz hinterher noch aufzupfropfen“.[2] Die Wirtschaftsteilnehmer haben somit spätestens mit der EU-DSGVO den Datenschutzaspekt als eine Konstante in der Wirtschaft anzuerkennen und sich diesem anzupassen. Schließlich gehört es auch zu einem der zentralen Elemente der Marktwirtschaft, dass sich die Wirtschaftsteilnehmer an die geltenden Umstände und Bedürfnisse anzupassen haben.
Die im EU-DSGVO geltenden Prinzipien sind dabei bei genauer Betrachtung selbsterklärend. Schließlich hat ein jedes Individuum das Recht auf Selbstbestimmung über die eigene Person und folglich auch über die Daten der eigenen Person. Zur Speicherung und Verarbeitung dieser Daten ist daher eine explizite Einwilligung anzufordern. Lediglich zur Bereitstellung explizit angeforderter Dienste erforderliche Speicherung und Verarbeitung benötigt hierbei keine zusätzliche explizite Einwilligung, da dies mit Inanspruchnahme des Dienstes implizit erteilt wird.
Dieses Grundprinzip garantiert dabei, dass der Verbraucher entscheiden kann, welche Daten er wem preisgibt und prüfen kann, was dieser Datenverarbeiter mit seinen Daten veranstaltet. Ein Anbieter eines Dienstes oder Produktes muss dabei keine umständlichen Einwilligungen einholen, sofern tatsächlich auch nur die zur Bereitstellung notwendigen Daten gespeichert und verarbeitet werden. Erst wenn mehr Daten oder zusätzliche Datenverarbeiter als notwendig ins Spiel kommen, sind explizite Zustimmungen erforderlich.
Genau hier ist auch der Haken. Der Verbraucher ist oft berechtigtermaßen genervt, bei jedem Besuch einer Webseite ein sogenanntes „Cookie Consent“ mit dutzenden Anbietern oder Kategorien auswählen und bestätigen zu müssen. Dies ist laut EU-DSGVO jedoch nicht wirklich erforderlich, sollte der Anbieter dieses Dienstes lediglich die zur Bereitstellung des Dienstes notwendige Daten verarbeiten. Vor allem zur seitenübergreifenden Aktivitätenverfolgung und interessenbasierten Werbung jedoch verarbeiten viele Betreiber Daten, selbst sofern dies zur Bereitstellung des Dienstes nicht notwendig ist.
Nutzerfreundlicher Datenschutz
Die EU-DSGVO bot den Wirtschaftsteilnehmern somit einen nutzerfreundlichen Weg an. Doch diese entschieden sich für den nicht unbedingt nutzerfreundlichen Weg des ständigen „Cookie Consents“.
Wie es der Bundesdatenschutzbeauftragte anmerkte, ist hier zu betonen, dass viele der Probleme bei einer anderen Vorgehensweise vermeidbar wären. Eine Schuld trifft hier der EU-DSGVO jedenfalls nicht, auch wenn die bedienerunfreundliche Handhabung den Anschein erwecken mag.
So fordern die Liberalen Demokraten unter „Nutzerfreundlicher Datenschutz“ im Programmpunkt Digitales auch die Etablierung eines internationalen Standards zum Setzen der individuellen Präferenzen durch HTTP Header im Browser. Dazu bilden die DNT und Global Privacy Control Header eine gute Grundlage. Diese müssten lediglich durch Webseitenbetreiber entsprechend respektiert werden, sollten sie sich nicht nur mit den tatsächlich notwendigen Daten und Verarbeitung begnügen.
Aus sozialliberaler Sicht müssen wir somit nicht nur die Souveränität über die eigenen Daten verteidigen, sondern auch einen nutzerfreundlichen Datenschutz. Internationale offene Standards zur nutzerfreundlichen Umsetzung der Verordnung gelten daher als zu unterstützen.
Fußnoten
[1] DSGVO-Verstöße: Zahl der Bußgeldbescheide 2020 um 60 Prozent gestiegen, t3n.de am 15.02.2021
[2] DSGVO: Bundesdatenschutzbeauftragter kontert Kritik, speicherguide.de am 01.10.2020