Datenschutz-Grundverordnung - Papiertiger oder brüllender Löwe?

«Das Jahr war Datenschutz-intensiv», sagt Rechtsanwalt Kaj Seidl-Nussbaumer lachend. Er ist spezialisiert auf IT-Recht und Digitalisierung und hat viele hiesige Unternehmen bei der Umsetzung der DSGVO beraten. Die Verordnung gilt nicht nur für Unternehmen innerhalb der EU, sondern auch für alle, die Personendaten von EU-Bürgerinnen und -Bürgern verarbeiten – also auch in der Schweiz und im Silicon Valley.

Die grössten Umwälzungen waren weniger sichtbar für Konsumentinnen und Konsumenten: Die Verordnung hat aber Unternehmen global dazu gezwungen, sich möglicherweise zum ersten Mal mit den Daten ihrer Kundschaft auseinander zu setzen.

Es hat ein Umdenken bei den Unternehmen gegeben, der Umgang mit Personendaten ist viel bewusster geworden.

Den Aufwand, DSGVO-konform zu werden, hätten viele Unternehmen unterschätzt, so Seidl-Nussbaumer. Sie hätten teilweise ihre Abläufe komplett umkrempeln und untersuchen müssen, wie sie mit Zulieferern oder mit anderen, ausgelagerten Diensten zusammenarbeiten. Ein Datenschutz-intensives Jahr, weltweit.

Greifbar und transparent

Die Umstellung zeigte sich auf Konsumseite vor allem in einer nervigen E-Mail-Flut («Bitte akzeptieren Sie die neue Datenschutzerklärung!») und seit Mai 2018 verdecken Cookie-Banner praktisch jede Webseite, bis wir sie wegklicken. Weniger greifbar sind die direkten, positiveren Folgen der DSGVO.

Datenbearbeitungen der Unternehmen sind viel transparenter geworden, wir haben viel mehr Möglichkeiten, uns zu informieren, was im Hintergrund geschieht.

So muss Twitter beispielsweise angeben, was das Unternehmen mit unseren Daten anstellt; wir wiederum können alle unsere Tweets herunterladen oder das Konto löschen. Noch hapert es, die Daten nahtlos von der einen Plattform auf eine andere mitzunehmen, wie von der DSGVO gefordert – es gibt beispielsweise noch kein standardisiertes Austauschformat.

Wo bleiben die Strafen?

Bevor die DSGVO letztes Jahr in Kraft getreten ist, war von Abmahnwellen und hohen Bussgeldern die Rede, bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des gebüssten Unternehmens. Diese sind bislang ausgeblieben. In einem ersten Fazit beziffert der Europäische Datenschutzausschuss die Bussgelder auf knapp 56 Millionen Euro – wobei 50 Millionen von der französischen Datenschutzbehörde gegen Google erhoben wurde und Google deswegen in Berufung ging.

Die Zurückhaltung erklärt sich dadurch, dass die Datenschutzbehörden und alle anderen Beteiligten erst langsam in Fahrt kommen. Bis Strafen rechtskräftig sind, kann es dauern. Andererseits zeige schon nur die Aussicht auf eine Strafe oft Wirkung, erklärt Seidl-Nussbaumer: «Die Gefahr, dass eine Strafe ausgestellt wird, hat eine viel stärkere Wirkung als die Strafe, die tatsächlich erfolgt.» Möchte ein Unternehmen also eine Massnahme umsetzen, entscheidet am Schluss immer, was mehr kostet: Unterlassen oder einführen. Im DSGVO-Fall ist unterlassen definitiv teurer.

Papiertiger oder Löwe?

Trotzdem bleibt das Gefühl, dass wir als Konsumentinnen nicht viel tun können, wenn sich Internet-Konzerne nicht um den Datenschutz scheren – Alternativen zu ihnen gibt es kaum. Auch hier hat die DSGVO positives bewirkt: Sie hat einen Rahmen geschaffen, um gegen solche Verstösse überhaupt vorzugehen.

Der Jurist und Datenschutz-Aktivist Max Schrems ist Mitbegründer der Nichtregierungs-Organisation «NOYB». Kaum ist die DSGVO in Kraft getreten, hat NOYB mehrere Klagen gegen Google, Facebook, Whatsapp und Instagram erhoben. Erhält NOYB in ihren Klagen Recht, so wirkt sich das positiv auf uns Privatpersonen aus.

Ob die neue DSGVO nur ein zahnloser Papiertiger oder ein brüllender Löwe ist, muss sich noch zeigen. Im Moment ist sie irgendwo dazwischen, schätzt Jurist Seidl-Nussbaumer ein. Viele Unternehmen müssten noch ihren Pflichten nachkommen, viele Abläufe müssen sich erst noch einspielen.