Am 25. Mai 2018 trat der gemeinsame Datenschutzrahmen für die Europäische Union in Kraft. Mit der Datenschutzgrundverordnung (DSGVO) wurden die Regeln für die Verarbeitung personenbezogener Daten EU-weit vereinheitlicht. Bis zum Vollzug der Verordnung war es allerdings ein langer Weg:

Erstmals wurde die DSGVO am 25. Januar 2012 von der EU-Kommission vorgestellt. Nach der Präsentation folgten zahlreiche Debatten und Anpassungen, bei denen manche EU-Abgeordnete massives Lobbying von Seiten der US-Regierung und amerikanischen Tech-Unternehmen kritisierten. Bis zum 15. Dezember 2015 wurde ein finaler Verordnungstext erarbeitet, der nahezu einstimmig angenommen wurde.

Mit dem Inkrafttreten 2018 änderte sich schlagartig einiges. Nur wenige Stunden nach der Gesetzesänderung hat der österreichische Rechtsanwalt Max Schrems eine Beschwerde gegen Facebook, Google, Whatsapp und Instagram bei den zuständigen Aufsichtsbehörden eingereicht. Er bemängelte insbesondere die Datenschutzbestimmungen, zu deren Zustimmung die Nutzenden damals noch verpflichtet waren.

Bis zum darauffolgenden Datenschutztag am 29. Januar 2019 wurden den Behörden fast 60'000 Datenschutzverletzungen gemeldet. Gleichzeitig wurden im selben Zeitraum aber nur 91 Verstösse mit Geldbussen bestraft. Die saftigste aller Bussen musste Google bezahlen. Die französische Datenschutzbehörde (CNIL) verurteilte den Konzern zur Zahlung von 50 Millionen Euro, weil er persönliche Kundendaten verarbeitete, ohne dass dafür eine Einwilligung vorlag.

Ein Jahr nach der Einführung der Verordnung wurden europaweit bereits 150'000 Fälle gemeldet. Die zuständige EU-Kommission wertete dies als Erfolg. Das Thema Datenschutz habe durch die DSGVO an Aufmerksamkeit gewonnen, hiess es damals.

Weitere 4 Jahre später scheint etwas Ernüchterung eingekehrt zu sein. Zwar werden die Bussen gegen die Tech-Konzerne immer grösser – letzte Woche verurteilte die irische Datenschutzbehörde DPC Meta zur Zahlung von 1,2 Milliarden Euro. Aber es ist noch immer so, dass viele Behörden die Beschwerden von Bürgerinnen und Bürgern gar nicht erst richtig bearbeiten.

Gegenüber 'Golem' bemängelte der Datenschutzaktivist Max Schrems, dass das Versprechen der EU, wonach jeder Bürger den Schutz seiner Daten über seine zuständige Behörde durchsetzen könne, weit von der Realität entfernt sei. Ulrich Kelber, der deutsche Datenschutzbeauftragte, widerspricht dieser Aussage: Jede der Tausenden Beschwerden ende mit einem Bescheid.

Schrems entgegnet darauf, dass man die Behörden nur mit einem Gerichts- oder internen Verwaltungsverfahren dazu zwingen könne, sich der Beschwerde vollständig anzunehmen. Diese Verfahren seien aber sehr langwierig und teuer. So habe seine eigene Datenschutzorganisation bei europaweit 800 Beschwerden nicht einmal in 15% aller Fälle eine Entscheidung herbeiführen können.

Der Anwalt befürchtet, dass die EU-Kommission die Rechte der Beschwerdeführer bei einer weiteren Revision der Verordnung sogar noch weiter schwächen könnte. Dazu zieht er einen Vergleich mit dem Falschparkieren oder bei den Steuern. Dort sei es üblich, dass geltendes Recht jeweils durchgesetzt wird.

Die EU ihrerseits sieht ebenfalls Handlungsbedarf, allerdings in anderen Bereichen. Noch in diesem Jahr will die Europäische Kommission einen Verbesserungsvorschlag für die DSGVO präsentieren. Dieser soll aber nicht etwa das Beschwerdeverfahren, sondern die Kooperation zwischen nationalen Aufsichtsbehörden vereinfachen. So sollen sich die Stellen bei der Bewältigung von grösseren Fällen besser vernetzen können.

Die europäische Verordnung gilt auch für Schweizer Unternehmen, die in der EU tätig sind. Hierzulande tritt erst am 1. September 2023 ein neues Datenschutzgesetz (DSG) mit der dazugehörigen Datenschutzverordnung (DSV) in Kraft – hören Sie hier die aktuelle Podcast-Folge zum Thema. Dabei bleibt abzuwarten, ob sich der Schweiz die gleichen Hürden in den Weg stellen oder ob man aus den Fehlern der EU etwas lernen konnte.