Fünfjähriges Jubiläum: Gäbe es keine DSGVO, müsste man sie jetzt erfinden

Sowohl Firmen als auch Bürgerrechtsaktivisten sind nicht zufrieden mit der Datenschutz-Grundverordnung und ihrer Umsetzung. Dass das große europäische Gesetzeswerk aber zur rechten Zeit kam, zeigen die USA.

Es gibt keine Geburtstagstorte, dafür ein Hammer-Bußgeld: 1,2 Milliarden Euro soll Meta zahlen, weil der Facebook-Konzern die Daten europäischer Nutzerinnen und Nutzer ohne hinreichende Informationen und Vorkehrungen in die USA transferiert hatte – und damit in die Griffweite der dortigen Geheimdienste. Fünf Jahre nach dem faktischen Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat jenes System damit seine Handlungsfähigkeit gezeigt. Zumindest scheint es so.

Doch wie immer, wenn es um das europäische Datenschutzrecht geht, ist die Sache viel, viel komplizierter. Das Bußgeld kam etwa erst zustande, nachdem die örtlich zuständige Aufsichtsbehörde von Kollegen aus anderen EU-Staaten überstimmt wurde. Irland, das sich als präferierter Standort für die Europazentralen des Silicon Valley etabliert hat, würde offenbar gern auf die 1,2 Milliarden Euro für den eigenen Staatshaushalt verzichten, wenn das im Gegenzug seine lukrative Zukunft als IT-Standort sichert. Deshalb macht die irische Datenschutzbehörde auch klar, dass sie absolut nicht hinter der Entscheidung steht, die sie nun treffen musste.

Gleichzeitig wettern Datenschutzaktivisten wie Max Schrems und seine Organisation noyb über Ämterverstrickungen und Untätigkeiten. Auch Deutschland sei entgegen seiner Eigenwahrnehmung kein Datenschutz-Musterland, heißt es: Obwohl die 17 verschiedenen zuständigen Aufsichtsbehörden im Jahr 2020 über 1150 Mitarbeitende beschäftigten, zögen sich die Prüfungen in die Länge. Außerdem stellten die Aufseher Ermittlungen auch gern »informell« ein. Kritisiert werden außerdem intransparente Entscheidungen, die man allenfalls über die Presse verfolgen könne.

Das größte Kompliment, das der DSGVO in diesen Tagen gemacht wird, kommt wohl aus Brüssel. Obwohl gerade zum dritten Mal ein Datentransfer-Abkommen mit den USA verhandelt werden muss und ein Scheitern eine milliardenteure Schlappe für die amerikanische und europäische Wirtschaft bedeuten könnte, möchte praktisch niemand die DSGVO abschaffen oder gar wesentlich reformieren. Lediglich bei den bürokratischen Prozessen soll nachgebessert werden.

Bremsklötze sind nötig

Denn die Wahrheit ist: So gern Datenschutz als Bremsklotz, als teure und bürokratische Einrichtung wahrgenommen wird, so notwendig war und ist die DSGVO. Dies illustriert etwa das absurd anmutende TikTok-Verbot in Montana: Ein Bundesstaat, der nur wenige Einwohner mehr hat als das Saarland, führt die eigene »nationale Sicherheit« an, um die chinesische App zu verbieten und verschließt die Augen vor dem Datenverkehr Millionen anderer Apps. Vorher hat schon Utah kurzerhand die Nutzung sozialer Medien für alle Minderjährigen an die Erlaubnis ihrer Eltern gekoppelt. Wie solche Regeln konsequent durchgesetzt werden sollen, wissen nicht einmal die Politiker, die sie beschließen.

Dass Gerichte diese Vorstöße stoppen werden, ist wahrscheinlich, aber keinesfalls sicher. Unterdessen scheitert Washington an einer landesweiten Regelung, weil der politische Prozess durch Kulturkämpfe verstopft ist. Das ist nicht zuletzt wegen der sozialen Medien so, deren Betreiberfirmen wie kaum eine andere Branche vom weitgehend ungezügelten Datenverkehr profitieren.

Die DSGVO ist nicht perfekt, ihre Umsetzung ebenso wenig. Das Jubiläum heißt zum Beispiel, dass die ePrivacy-Verordnung, die eigentlich die ungeliebten Cookie-Banner regulieren sollte, ebenso fünf Jahre überfällig ist. Doch die DSGVO hat zum richtigen Zeitpunkt die richtigen Fragen gestellt, die nun nach und nach auch von den obersten Gerichten beantwortet werden. Gerade rechtzeitig – denn mit künstlicher Intelligenz (KI) steht schon das nächste Großthema vor der Tür.

Unsere aktuellen Netzwelt-Lesetipps für SPIEGEL.de

• »Wenn die KI schon am Markt ist, ist es zu spät«  (zehn Leseminuten)
  Sandra Wachter forscht an der Universität Oxford zur Ethik von KI und Big Data. Im Interview warnt sie vor Diskriminierung und Datenmissbrauch durch die Technologie – und fordert mehr staatliche Regulierung.

• »Acht Spieletipps für >Zelda<-Fans«  (acht Leseminuten)
  Nicht jeder hat eine Nintendo Switch und kann den neuesten Teil der Kultreihe »The Legend Of Zelda« spielen. Doch es gibt eine große Auswahl von Alternativen, die zwar nicht ganz ans Original heranreichen, aber dennoch Spaß machen.

• »So lassen Sie Ihre Adresse sperren« (zwölf Leseminuten)
  Wer sich wie vorgeschrieben beim Einwohnermeldeamt anmeldet, bekommt mitunter unerwünschte Post – zum Beispiel von der Bundeswehr oder Parteien. Der Widerspruch ist einfach, wird aber bisher kaum genutzt.

Fremdlinks: Drei Tipps aus anderen Medien

• »I want more – Milliardenraub im Netz« (Video, 45 Minuten) 
  Fake-Anlageportale sind immer  wieder Thema  unserer Berichterstattung. »ARD Story« ist einem Fall nachgegangen und zeigt, mit wie wenig Unrechtsbewusstsein die Täter agieren – vom einfachen Callcenter-Mitarbeiter bis zum jetsettenden Chef.

• »The QR-Code Menu Is Being Shown the Door«  (Englisch, sechs Leseminuten) 
  Mit dem Smartphone schnell berührungsfrei eingescannt: Die Coronapandemie hat dem QR-Code zu einem unerwarteten Aufschwung verholfen. Doch einige Restaurants schaffen ihre darüber aufrufbaren digitalen Speisekarten nun wieder ab.

• Computerhacker mit 16: Der dramatische Fall des Jonathan James (Audio, 15 Minuten) 
  Das »WDR ZeitZeichen« erinnert an den Hacker Jonathan James, der schon als Jugendlicher die Rechner der Nasa infiltrierte und schließlich die Kontrolle über sein Leben verlor.

Ich wünsche Ihnen eine gute restliche Woche mit frühsommerlichem Wetter,

Torsten Kleinz