Reden wir über Datenschutz!

Wann haben Sie zuletzt Menschen getroffen, die sagten: „Ja, Datenschutz wirkt“? Aktuelle Umfragen zeigen, dass diese Aussage selten sein dürfte. Das ist bedenklich, angesichts des gewaltigen Schrittes zur Rechtsvereinheitlichung und zur Stärkung des Datenschutzes, den die EU-Datenschutzgrundverordnung darstellt. Doch die bisweilen geringe Begeisterung der Öffentlichkeit in Sachen DSGVO hat Gründe. Die Regeln zum Datenschutz waren noch nie einfach. Sie müssen erklärt werden. Das trifft natürlich auch auf das neue Recht zu. Aber es wird zu wenig erklärt. Öffentliche Aufklärungskampagnen fehlen. Wenn aber Verbraucherinnen und Verbraucher nicht erfahren, was ihnen die neuen Regeln konkret bringen (können) und wenn kleine Unternehmen und Vereine nicht wissen, was sie konkret tun müssen, um rechtskonform zu handeln, dann hat der Datenschutz ein doppeltes Problem: Das Bild der Bürger und der Wirtschaft von diesem wichtigen Recht verdunkelt sich, falls sich der Eindruck von Wirkungslosigkeit und Unklarheit verfestigt.

Das Ziel des Schutzes von informationeller Selbstbestimmung und Privatsphäre gerät dann aus dem Blick. Es bedarf deshalb deutlich mehr Kommunikation. Den Unternehmen muss klar gesagt werden, wie sie im Einzelnen datenschutzgerecht handeln können. Die Regulierer sollten dabei mit einer Stimme sprechen. Und den Bürgern muss aufgezeigt werden, wie sie ihre Rechte nutzen können und was der Datenschutz leisten kann – und was eben nicht. Solche Kommunikation kostet natürlich Geld, das die öffentliche Hand aufwenden muss. 

Die Länder sind in der Pflicht, ihre Datenschutzbehörden so auszustatten, dass sie nicht nur sanktionieren können, sondern auch im Stande sind, Bürger und Unternehmen zum neuen Datenschutzrecht zu beraten. Wenn die Behörden wichtiger Flächenländer wie Bayern, Niedersachsen und Baden-Württemberg nun ankündigen, die Datenschutzberatung wegen Unterausstattung einzustellen, dann ist das ein Warnsignal. Sanktionsmaßnahmen aus Brüssel könnten anstehen, wenn die Länder weiterhin fast kein Geld für Datenschutz ausgeben wollen. Gesetze müssen erklärt und durchgesetzt werden, sonst sinkt die Akzeptanz des Rechts. 

Ebenfalls der Bund ist in der Pflicht. Selbst wenn die DSGVO nicht „sein“ Gesetz ist, so sollte ihm doch sehr daran gelegen sein, dass Rechtsunsicherheiten mit Informationsmaßnahmen entgegengewirkt wird. Auch die vom Bund gegründete Stiftung Datenschutz stünde hierfür bereit – so sich denn der Haushaltsgesetzgeber zu einer Förderung durchringen kann, wie sie im Koalitionsvertrag zugesagt ist.

Im kommenden Jahr steht die Überprüfung des noch jungen europäischen Datenschutzrechts an. In der Evaluationsphase und bei etwaigen Modifikationen der DSGVO wird es darauf ankommen, ausgewogene Lösungen zu finden. Kleinunternehmen und ehrenamtliche Einrichtungen mit geringem Risikopotential müssen von Bürokratie entlastet werden, ohne dass dabei die Ziele des Datenschutzes gefährdet werden. Zugleich müssen Internationale Akteure mit hohem Risikopotential entschieden angegangen werden. Es darf nicht der Eindruck entstehen, die Kleinen bekommen Bürokratie und die Großen kommen davon. 

Eine gute und eng abgestimmte Zusammenarbeit der Aufsichtsbehörden in Europa ist für ein schlagkräftiges Datenschutzrecht unverzichtbar. Ansonsten werden sich internationale Unternehmen mit kritischen Geschäftsmodellen vermehrt in solchen EU-Mitgliedstaaten ansiedeln, die eine laxe Aufsichtspraxis erwarten lassen. Der Gedanke einer wirksamen europäischen Rechtsvereinheitlichung würde unterlaufen. Deutschland sollte bei all dem eine starke Rolle spielen, immerhin haben wir einen Ruf als Datenschutznation zu verlieren. Dass sich die Bundesländer seit einem Jahr nicht auf einen gemeinsamen Vertreter im maßgeblichen Europäischen Datenschutzausschuss einigen können, ist ein sehr schlechtes Zeichen. 

Die weitere Verbesserung des Datenschutzrechts kann nur auf europäischer Ebene erreicht werden. Aufgaben gibt es einige. So muss das Instrument der sogenannten „informierten Einwilligung“ weiterentwickelt werden. Die jetzige Regelung versagt oft. Von Nutzerinnen und Nutzern kann schlicht nicht erwartet werden, dass sie vor der Installation einer App auf dem Smartphone seitenlange komplexe Datenschutzerklärungen lesen und danach aufgeklärt und bewusst entscheiden mögen. Es sind hier neue Wege der Informationsvermittlung zu suchen, z.B. die Visualisierung mit einfach erfassbaren Piktogrammen. Auch innovative technische Lösungen wie Privacy-Assistenten müssen erforscht werden. Und was die von der DSGVO neu eröffnete Möglichkeit zur Mitnahme der eigenen Daten von einem Anbieter zu einem anderen betrifft, so fehlen noch dringend Regelungen zur Interoperabilität. Denn bislang können die Verbraucher mit ihren mitgenommenen Daten beim neuen Anbieter oft gar nichts anfangen, weil die Systeme nicht kompatibel sind.

Der Datenschutz darf sich nicht zu einer reinen Fachdiskussion zwischen Rechtsabteilungen und Aufsichtsbehörden entwickeln, bei der es vor allem um Compliance-Pflichten und formalistische Details geht. Die Nutzerinnen und Nutzer und der effektive Schutz ihrer Rechte sollten stärker im Mittelpunkt stehen. Es bedarf klarer Antworten, was guter Datenschutz den Menschen an konkretem Schutz bringt und was der effiziente Weg zu diesem Schutz ist. Bestenfalls hört man dann bald wieder öfter in den Umfragen: „Ja, Datenschutz belastet nicht, er wirkt!“