Aus Sicht der Stiftung Datenschutz 02/22: Machtregulierung per DSGVO

In den Privacy News der vergangenen Ausgabe fand sich ein bemerkenswertes Interview. Von Professor Ari Ezra Waldman sind dort Aussagen zu lesen, aus denen Energie sprüht. Energisch geht er ins Gericht mit den von ihm ausgemachten grundlegenden Strategien amerikanischer Technologiekonzerne. Aber auch das Datenschutzrecht in seiner heutigen Form wird in seinen Grundfesten angegangen. Es macht große Freude, dieses Gespräch zu lesen. Denn es ist für alle Seiten etwas dabei: Für diejenigen, die die Digitalkonzerne auf dem Kieker haben ebenso wie für diejenigen, die die DSGVO kritisieren – entweder, weil diese sich in bürokratischer Regulierung zur Dauerbeschäftigung von Rechtsabteilungen erschöpfe oder aber, weil das Gesetz die Konzernmacht viel zu wenig einschränke oder schließlich, weil die starke Verordnung zu schwach durchgesetzt werde. Alle Seiten werden herausgefordert. Die Möglichkeit zur Unterstreichung einiger Thesen möchte ich nutzen.

Der prozessorientierte Ansatz der DSGVO

Viele professionelle Datenschützerinnen und Datenschützer schätzen die EU-Datenschutzgrundverordnung für deren strukturellen Ansatz, für deren Anknüpfung an jeglichen Um- gang mit personenbezogenen Daten in Verarbeitungsvorgängen. Dieser Ansatz zeigt einen starken Kontrast zwischen einerseits dem maximal weiten Schutzbereich des Gesetzes, nämlich sämtlicher Grundrechte und Grundfreiheiten und andererseits dem minimal kleinen sachlichen Anknüpfungspunkt, nämlich dem einzelnen Datenverarbeitungsvorgang. Diese Anknüpfung an Verarbeitungsprozesse und sogar Teile davon erlaubt zwar eine lückenlose Regulierung aller denkbaren Tätigkeiten, aus denen sich – potenziell oder tatsächlich – Risiken für Personen ergeben, auf die sich die Daten beziehen. Diese extrem weite Konstruktion kann jedoch dazu führen, dass bei allem minutiösen Complance-Streben das große Ganze aus dem Blick gerät: Ein effektiver Schutz der strukturell schwachen einzelnen Person gegen die strukturell starke Organisation.

Lesen Sie hier den Beitrag mit allen Fußnoten im pdf.

Es ist unter der DSGVO ohne Weiteres eine kommerzielle Organisation mit datenbasiertem Geschäftsmodell denkbar, die aufgrund extremer Marktmacht und eminentem Netzwerkeffekt eine überkritische Masse an personenbezogenen Daten aggregiert und ausbeutet und die dies zugleich unter Einhaltung der DSGVO tut. Sie erfüllt erschöpfend umfangreiche Informationspflichten, kann sich auf rechtmäßige Einwilligungen stützen, hat ordentliche Datenschutzfolgenabschätzungen durchgeführt, umfassende Verfahrensverzeichnisse angelegt und weitere vermeintlich „strenge“ Bedingungen des geltenden Rechts erfüllt. Unbegrenzte Ressourcen ermöglichen es dieser hier erdachten Wirtschaftseinheit, jede trotzdem noch verbleibende Datenschutzrechtsfrage vom europäischen Höchstgericht klären zu lassen. Auch wenn es viele nicht wahrhaben wollen: Unfassich weit sind die Spitzen der globalen Digitalwirtschaft nicht enffernt von diesem Theoriekonstrukt.

Die von Strukturalisten und Detailliebhaberinnen begrüßte Prozessorientierung der DSGVO mag somit tatsächlich Gefahren bergen. Falls dies so ist, würde der Datenschutz als Machtregulierung versagen und müsste beim Kartellrecht um Hilfe bitten.

Die Gleichbehandlung und das Ziel

Die DSGVO behandelt in vielen ihrer Regelungen alle datenschutzrechtlich Verantwortlichen gleich, ob Kleinunternehmen oder Weltkonzern. Es könnte daher bösartig gefragt werden, wie dem Ideal des Gleichheitssatzes genügt wird, wenn ungleiche Akteure gleich behandelt werden. Zwar ließe sich einwenden, dass es ja stets nur um das Setzen von Bedingungen für konkrete Verarbeitungsvorgänge gehe und dass das Recht für die dahinterstehenden Akteure erst einmal blind sein dürfe. Doch spätestens „on the ground“, in der gelebten Datenschutzdurchsetzung, können das öffentliche Echo und das allgemeine Ansehen des Datenschutzes leiden, wenn unterschiedlich potente Organisationen gefühlt gleichmacherisch angegangen werden. Wenn der Kiosk-Betreiber, der seine Überwachungskamera 50 cm zu weit auf den Gehsteig richtet, leichter einer Datenschutzsanktion ausgesetzt wird als ein digitaler Platzhirsch, der die Person auf dem Gehsteig im Netz komplett durchleuchtet, dann mag ein Akzeptanzproblem des Rechts drohen. Deswegen ist es gut und richtig, wenn die berühmten „Zähne“ der DSGVO auch einmal sichtbar werden, wie in dem „Rekord-Bußgeld“ aus dem vergangenen Jahr gegen WhatsApp wegen Intransparenz hinsichtlich der Datenweitergabe an Facebook.

Doch auch hierzu gilt es, zwei Punkte zu bedenken: Zum einen entspricht das vom Europäischen Datenschutzausschuss massiv heraufge setzte Bußgeld gegen den Meta-Konzern nicht etwa 4 Prozent oder 2 Prozent des Jahresumsatzes, sondern nur verschmerzbare 0,08 Prozent. Und zum anderen erwarte ich schlicht nicht, dass Hunderte von Millionen Nutzender im Geltungsbereich der DSGVO ihre Nutzungspraxis ändern, wenn in den Datenschutzinformationen von WhatsApp zukünftig transparent steht, welche Daten an Facebook weitergegeben werden. Um real etwas zu ändern, braucht es mehr als Transparenz.

Was ist das Ziel? Ich stimme Waldman zu, wenn er die Unschärfe in der Zielstellung des Datenschutzrechts als Einfallstor für ein Hintertreiben von realem Datenschutz sieht. Wenn der Menschen- und Grundrechtsschutz zum immer abstrakteren Ziel wird und sich die Datenschützenden in der Praxis nurmehr am Inhalt von Verfahrensverzeichnissen und Auftragsverarbeitungsverträgen abarbeiten, dann kann der Blick aufs große Ganze verloren gehen. Tatsächlich ist mit der DSGVO eine professionelle Datenschutzelite entstanden, wie Waldman beobachtet, die mit den Kämpfen um Löschfristen in Backups, um Formulierungen in Ergänzungen von Standarddatenschutzklauseln oder um Reichweiten von Auskunftsansprüchen gut verdient. Das ist auch überhaupt nicht vorzuwerfen, denn ein komplexes Recht muss professionell umgesetzt werden. Doch wenn gelebter Datenschutz zu einer reinen Compliance-Aufgabe wird, welche die mächtigen Akteure routiniert erfüllen und dann abhaken, dann bleibt weiterhin die Frage zu beantworten, was diese Compliance-Übungen der Gesellschaft und den Individuen konkret bringen. 

Die verkannte Zustimmungsmacht

Eine überwachte Gesellschaft ist nicht frei. Ein überwachtes Individuum ist nicht frei. Und was macht ein datenmächtiger Akteur, der ein Individuum aus kommerziellen Beweggründen heraus dennoch überwachen möchte? Er setzt voll auf die Einwilligung. Er schüttet das Individuum mit Informationen zur geplanten Datenverarbeitung zu, damit die Einwilligung auch ja „informiert“ ist (Compliance!). Er bietet parallel eine Bezahlvariante an, damit die Einwilligung auch ja „freiwillig“ ist (Kopplungsverbot!). Und dann bekommt er die Einwilligung des Individuums zur kommerziellen Überwachung desselben. Die Machtverlagerung, die Waldman hierin zu Recht sieht, steht dem nicht kodifizierten Ziel, das viele dem Datenschutz geben, entgegen, nämlich dem Ausgleich von Machtasymmetrien. Zwar flackert dieses Ziel in den DSGVO-Erwägungsgründen zur Einwilligungsregulierung kurz auf, doch ist dies zu wenig. In vollem Bewusstsein der Heiligkeit einer deutschen Rechtsfigur der informationellen Selbstbestimmung sage ich: Wenn wir Datenmacht wirklich begrenzen wollen, müssen wir das Consent-Regime teilweise neu denken.

It’s the enforcement, stupid

Zwar ist es ein abgegraster Gemeinplatz, darauf hinzuweisen, dass ein jedes Gesetz nur so effektiv ist wie seine Durchsetzung. Doch auch hier legt Waldman den Finger in eine Wunde, für die kaum Heilung in Aussicht steht. Ein Recht, das jeden einzelnen Vorgang der Verarbeitung personenbezogener Daten – nicht nur der Staatsverwaltung, sondern auch der Gesamtwirtschaft und aller nicht privat handelnder Privatpersonen – unter komplexe Bedingungen stellt, ein solches Recht müsste womöglich einen Anspruch auf flächendeckende Durchsetzung aufgeben.

„Müsste“, wenn es denn keine Regulierungsstruktur gibt, die eine flächendeckende Durchsetzung sicherstellen kann. Und auch wenn die deutsche Datenschutzaufsicht fünfmal so viele Beschäftigte hat wie die französische (nämlich ca. 1.000 im Gegensatz zu ca. 200), so lässt sich auch hierzulande die Diskrepanz zwischen Anspruch und Durchsetzungspotential nicht kleinreden. So hat denn der sächsische Landesbeauftragte 2019 zugestanden, dass seine Beschäftigten allein drei Jahrzehnte zu tun hätten, wollten sie die DSGVO-Compliance der Unternehmen in seinem Bundesland auch nur jeweils ein einziges Mal begutachten.

Wieso ist das so? Wieso stellen die für die datenschutzrechtliche Beaufsichtigung der Wirtschaft zuständigen Bundesländer ihren eigenen Behörden weitere Ressourcen nur in homöopathischen Dosen zur Verfügung – umfassender sachlicher Anwendungsbereich und Weltgeltungsanspruch (Verzeihung: „Marktortprinzip“) der DSGVO hin oder her? Weil der Datenschutz kein Wahlkampfthema ist. Vielleicht war er das kurzzeitig für manche im Jahr 1983 (Volkszählungsdiskussion) oder für wenige 2013 (NSA-Enthüllungen); aber niemals für eine kritische Masse, erst recht nicht für alle. Und was macht man bei geringer Nachfrage? Richtig, man steigert jedenfalls nicht das Angebot. Solange nicht breite Schichten der Bevölkerung eine auskömmliche Ausstattung von Datenschutzaufsichtsbehörden zu deren europarechtskonformer Ertüchtigung und zum eigenen Schutz von ihren Landesregierungen fordern, solange wird sich an der teils eklatanten Unterausstattung auch nichts ändern.

Wo ist das gesellschaftliche Momentum?

Was könnten „soziale Basisbewegungen mit starken Forderungen für den Datenschutz“ sein, wie sie Waldman für nötig hält? Sollten es etwa Leute sein, die sich belastbares Fachwissen aneignen und als Autodidakten digitaler Selbstverteidigung eine „Datensouveränität der Nutzenden“ verteidigen? Eine solche Bewegung ist in der Breite nicht sichtbar. Eher das Gegenteil lässt sich beobachten. Zwar bleiben Empfehlungen zu einer „post privacy“-Attitüde sicher provokative Einzelstimmen. Doch greift ein sublimer Fatalismus um sich, wenn es um Selbstdatenschutz geht. In Wahrnehmung eigener – gefühlter oder tatsächlicher – Ohnmacht im Angesicht der Großkonzerne des Digitalzeitalters strecken Individuen oft die Waffen. Wer hat noch nicht – wider bessere Kenntnis und eigene Interessen – auf „Alle Cookies akzeptieren“ geklickt, wenn die Gegenoption schwer auffindbar war? Auch ich tue dies manchmal, sei es aus Zeitmangel oder im Zustand genervter Zermürbung bei der zwanzigsten verschachtelten Anfrage des Tages. Es passiert in bewusster Verdrängung der Erkenntnis, dass ich es mit dem nachlässigen Absegnen der „Third Party Cookies“ einer Vielzahl von mir völlig unbekannten Unternehmen erleichtere, mich im Netz gegen meinen Willen zu verfolgen. Kann ich mich mit solchem Verhalten noch als Teil einer „Basisbewegung für den Datenschutz“ betrachten? Muss ich mich für solch Verhalten schämen? Könnte ich mit individueller Anstrengung systemische Fehler beheben – wenn nur alle mitmachten?

Auch wenn sich Waldman in vielen Einschätzungen auf die Situation in den USA bezieht: Eine breite soziale Bewegung, die lautstark und wirkmächtig von der Politik effektiven und echten Datenschutz fordert, kann ich mir auch für Deutschland nicht vorstellen, gilt es auch vielen in der Welt als das „Datenschutzland“ schlechthin. Ja, wir reden sehr viel über Datenschutz und wir haben viele Behörden (und sogar eine kleine Bundesstiftung). Aber viele Menschen haben noch nicht das Gefühl von Treffsicherheit des Datenschutzes. Vielleicht haben sie auch Zweifel in Sachen Ressourcenallokation, wenn sie hören, dass zwar ein Bürger sanktioniert wird, der seiner Stadtverwaltung Verkehrsverstöße per E-Mail statt per Brief mitteilt, dass aber die Datenmacht von Weltkonzernen, die die eigene Person kleinmacht, vor allem durch ehrenamtliche Aktivisten wie Max Schrems angegangen wird.