28

Die Datenschutz-Grundverordnung startet mit reichlich Absurditäten und milliardenschweren Anzeigen gegen Facebook & Google

Reichlich Aufsehen und Ärger gibt es derzeit um die Datenschutz-Grundverordnung (DSGVO), welche mit dem 25. Mai in Deutschland nach zweijähriger Karenzzeit gilt. Es gab zwar vorab schon einige Meldungen über Sinn und Widersinn der DSGVO, aber erst jetzt mit der echten Inkraftsetzung kocht das ganze medial hoch und reiben sich viele Betroffene verwundert die Augen darüber, welchen gesetzlichen Regelungen man nun alles entsprechen soll. Dabei haben sich (allerdings nicht untypisch für große Gesetzeswerke) auch reihenweise vermeidbare Fehler und praxisferne Regelungen eingefunden, wurde das ganze handwerklich nicht wirklich gut seitens der Bundesrepublik Deutschland gelöst – mit der Betonung auf den jeweiligen Nationalstaat, denn die zugrundeliegende EU-Verordnung konnte durch jene individuell in nationales Recht übertragen werden. In Österreich beispielsweise gibt es entsprechende Ausnahmen für Privatleute, Handwerker und Freiberufler, welche dort nicht den großen Datenschutz-Aufwand betreiben müssen, welchen die DSGVO in Deutschland dem Normalbürger auferlegt. Aber natürlich ist auch im geschäftlichen Alltag noch reichlich Klärbedarf vorhanden, bei Heise sammelt man bereits für ein diesbezügliches Absurditätenkabinett.

Seitens der Netzpolitik thematisiert man hingegen die inzwischen vermehrt auftauchende Generalerlaubnis zur Datenverarbeitung – womit die DSGVO in der Praxis dazu führt, das insbesondere die großen Unternehmen in noch breiterem Umfang Daten erhalten als vorher und jene dann auch (legal) benutzen dürfen. Hierin liegt einer der Hauptkritikpunkte der (umfangreichen) DSGVO-Gegenthesen, welche von CRonline aufgestellt wurden: Die Differenzierung von kleinem Bäcker zu Facebook & Google wurde weder gemacht noch bedacht. Dabei ist jener Unterschied folgenschwer: Nur das Großunternehmen ist überhaupt zumeist in der Lage, aus Daten einen Personenbezug zu gewinnen sowie entsprechende Datenbanken anzulegen – und nur das Großunternehmen ist in der Lage, sich derart unabdingbar zu machen, so das "Einwilligungen" zur Datenverarbeitung keineswegs mehr wirklich freiwillig erfolgen können. Die handwerklichen Fehler, die bereits länger im bundesdeutschen Datenschutzrecht existieren (beispielsweise der Personenbezug einer IP-Adresse, welcher nur absolut gilt – auch für Personen, die real niemals aus einer IP-Adresse eine Person ermitteln könnten) potenzieren sich mittels der DSGVO leider.

Damit kommt man mit der DSGVO nunmehr zu einer Rechtslage, in welcher eigentlich so gut wie alles (ohne vorherige Erlaubnis) verboten ist (Stichwort Austausch von Visitenkarten), die großen Firmen sich augenscheinlich aber dennoch an ihrem weiterhin wachsenden Datenschatz gütlich tun können. All dies spricht eigentlich gegen die DSGVO – wenn da nicht der Datenschutz-Aktivist Max Schrems wäre, welcher laut der FutureZone bereits DSGVO-Beschwerden gegen Facebook & Google eingereicht hat. Interessant ist hierbei der potentielle Wertumfang entsprechender Bußgelder: 3,9 Mrd. Euro müsste Facebook maximal blechen, bei Google wären es dann 3,7 Mrd. Euro – bei diesen Unternehmen gehen 4% vom Jahresumsatz eben schon in den Milliarden-Bereich hinein. Für beide Unternehmen ist dies zwar theoretisch aus der Portokasse bezahlbar, aber das dürften Facebook & Google natürlich trotzdem (aus Prinzip) zu verhindern versuchen. Der hauptsächliche Ansatzpunkt liegt hierbei in der Klausel "Friss oder stirb" bei der Einwilligung durch den Nutzer – man kann diese Dienste nur nutzen, wenn man deren Datenschutzerklärung kommentarlos & vollständig abnickt.

Dies widerspricht jedoch zwei DSGVO-Grundsätzen: Zum einen dem der "informierten Einwilligung", bei welcher einer rechtgültigen Einwilligung umfangreiche Aufklärungspflichten seitens des Unternehmens vorausgehen – was im Rahmen von Abnick-Buttons sicherlich nicht möglich ist. Und zum anderen dem Kopplungsverbot, mittels welchem es untersagt ist, zwingend notwendige Datenerhebungen sowie zusätzliche Datenerhebungen miteinander zu einer singulären Zustimmung zu verbinden. Das generelle Gegenargument hierzu ist allerdings, das sich Facebook, Google & Co. eventuell auf ein seitens der DSGVO vorgesehenes "berechtigtes Interesse" berufen könnten. Wie weit dieses geht, werden am Ende wohl wirklich nur die Gerichte entscheiden können – aber es ist nicht gerade wahrscheinlich, das eine vollumfängliche Datenspeicherung und -ausnutzung wie gerade bei Facebook wirklich damit begründet werden kann. Sofern doch, wäre die DSGVO dann wirklich wertlos bzw. aufgrund der zu sehenden Kollateralschäden bei Normalbürgern sogar regelrecht ein schildbürgerhafter Fehlschlag.

Nachtrag vom 29. Mai 2018

Zum Fall der Datenschutz-Grundverordnung wäre noch hinzuzufügen, das die genannten "milliardenschweren Anzeigen gegen Facebook & Google" sicherlich derzeit nur zur Prüfung bei den Datenschützern liegen und das die Milliarden-Bußgelder das Maximum dessen darstellen, was jene verhängen könnten – mit eben der Betonung auf "könnte". Die Datenschützer könnten es genauso auch nur bei einer Ermahnung belassen, dies ist deren freie Entscheidung. Jener Entscheidung liegen allerdings Handlungsrichtlinien zugrunde, nach welchen es Google und gerade Facebook schwer haben dürften, ohne Strafe davonzukommen: Bei Jan Albrecht nennt man hierzu "Wiederholungstäter, die mit Vorsatz und Gewinnerzielungsabsicht besonders viele Daten rechtswidrig verarbeiten" – was ja nun bei Facebook durchaus gegeben wäre, sofern man deren Praxis erst einmal als datenschutzwidrig ansieht. Insbesondere das die Datenverarbeitung und -weitergabe bei Facebook das eigentliche Geschäftsmodell darstellt, macht das Unternehmen eigentlich prädestiniert für die Maximalstrafe (samt Forderung an die Politik, den Wertrahmen der Maximalstrafe nochmals zu erhöhen).

In der Praxis könnte es aber in der Tat so ausgehen, das sich am Ende die Datenschützer breitschlagen lassen und damit zufrieden sind, wenn Facebook & Co. ihr Datenschutz-Verhalten ändern. Schließlich dürften Facebook und andere Schwergewichte so lange die Gerichte bemühen, bis dieser Minimalkompromiß als eher sinnvoller Ausweg erscheint, als denn wirklich auf Strafzahlungen zu bestehen. Selbst dann wäre natürlich etwas gewonnen – und hier liegt der eigentliche Prüfstein für die DSGVO: Der Kollateralschaden bei Normalbürgern und Kleinunternehmungen ist bereits angerichtet, wäre aber wohl zu verkraften, sofern die großen Unternehmen tatsächlich zu einer wirklich substantiellen Verhaltensänderung beim Datenschutz gezwungen werden können. Leider ist jetzt schon abzusehen, das die Antwort auf diese Frage viele Jahre in der Ferne liegt: Die Kleinen werden umgehend gehangen, die Großen klagen sich durch alle Instanzen und gewinnen damit wenigstens Jahre an Zeit – Zeit, welche man sicherlich auch dafür nutzen wird, mittels der eigenen Lobbyisten-Macht die Politik entsprechend zu "bearbeiten".