Die DSGVO ist als europäischer Standard für Datenschutz nun seit dem 25. Mai 2018 in Kraft. Vor allem in der Durchsetzung der DSGVO durch deutsche Behörden gibt es aber noch einiges zu bemängeln.
Erfahren Sie hier, welche fünf Mängel es im deutschen Datenschutz nach fünf Jahren DSGVO immer noch gibt.
1. Umgang mit Beschwerden auf Grundlage der DSGVO
Auch wenn man bei dem Stichwort „untätige Datenschutzbehörden“ gerne an Irland denkt, ist Deutschland in diesem Bereich auch kein Musterbeispiel. Das Tracking auf Websites und in Apps haben die Behörden bei weitem noch nicht im Griff.
Verfolgt man diesen Missstand weiter zurück, erkennt man aber auch schnell, dass es in Deutschland meist schon daran mangelt, eingereichte Beschwerden überhaupt zu bearbeiten. In Nordrhein-Westfahlen fällt dies besonders auf: Von den Beschwerden, die die Datenschutzorganisation noyb (none of your business) von dem Österreicher Max Schrems in den letzten Jahren eingereicht hat, ist von den 29 Stück in NRW tatsächlich nur eine abgeschlossen worden. Teilweise gab es nicht einmal eine Antwort der Behörden. Beschwerdegegenstand sind oft große Websites.
Die Behörden geben selbst zu, dass sie nur stichprobenartig vorgehen können. Grund seien vor allem mangelnde Kapazitäten. Datenschützer, die mehrere Beschwerden bei einer Behörde einreichen erhalten dabei nicht selten den Hinweis darauf, dass eine Grenze erreicht sei und weitere Beschwerden desselben Beschwerdestellers nicht mehr bearbeitet werden würden. Ob es sich dabei um „Kleinigkeiten“ oder um große Verstöße handelt, wird von der zuständigen Behörde dann auch nicht mehr beachtet.
2. Bußgelder nach DSGVO
Sieht man sich die tatsächlich verfolgten Beschwerden an, wird auch schnell klar, dass die Bußgelder verhältnismäßig niedrig ausfallen.
Die Datenschutzorganisation noyb (none of your business) bemängelt hierbei zudem, dass die Gründe der Entscheidung nicht erkennbar seien. Im Gegensatz zu vielen anderen Mitgliedsstaaten würden deutsche Datenschutzbehörden ihre Entscheidungen nämlich nicht veröffentlichen. So können verhängte Busgelder auch keine abschreckende oder generalpräventive Wirkung entfalten.
3. Immer noch viele Verstöße beim Tracking
In den fünf Jahren DSGVO waren vor allem Medienportale ein großes Problem, da sie an vielen Stellen davon leben, verhaltensbasierte Werbung zu nutzen.
Auch wenn es hier durch die intensive Betreuung durch die deutschen Datenschutzbehörden schon einige Fortschritte gibt, sind immer noch viele Missstände beim Tracking zu verzeichnen. Analysetracking, irreführende Cookie-Banner und Datenübertragungen in unsichere Drittländer findet man immer noch zu häufig.
Im Hinblick auf eingeholte Einwilligungen besteht hier aber auch noch einiges an Rechtsunsicherheit, die zuletzt durch das TTDSG etwas entschärft wurde.
4. Keine Standardisierung und Automatisierung bei der Durchsetzung der DSGVO
Eine große Frage ist, wie die Datenschutzbehörden nun ihren Weg aus der Überlastung heraus finden. Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen sieht hierbei keinen Spielraum beim Thema Bußgelder, da die Rechtslage nicht präzise genug sei. „Aber man könnte schon stärker von sich aus nach Standard-Trackingverstößen suchen, aber dies gehe eben nur im Rahmen freier Arbeitskapazitäten.“
Bundesländer wie Baden-Württemberg setzen dabei schon auf eigene Prüfwerkzeuge, um automatisiert viele Verstöße schnell und standardisiert zu bearbeiten. Ein solches Vorgehen kann die Durchsetzung beschleunigen, beseitigt aber nicht das Problem, dass der Einsatz von unerlaubtem Analysetracking nur ein paar Klicks erfordert, während die Behörden zur Durchsetzung der Entfernung über seitenweise Schriftsätze und Stellungnahmen meist Jahre brauchen.
Klare Vorgaben und Vorlagen, wie ein Verfahren möglichst schnell und effektiv abgewickelt werden kann, fehlen den Behörden hier immer noch.
5. Beratung statt Bestrafung
Die meisten Bundesländer sind zudem bemüht, die Beschwerden mit den Unternehmen zunächst im Guten zu lösen. Es finden Beratungsgespräche und Vorträge statt und es wird Infomaterial ausgegeben, statt Strafen zu verhängen.
Die Datenschutzorganisation noyb (none of your business) kritisiert hierbei, dass Unternehmen lernen würden, dass sie immer eine zweite Chance bekämen. Abschreckungseffekte würde man hier vergeblich suchen.
Dieses Vorgehen geht zum Teil soweit, dass einzelnen Bundesländern vorgeworfen wird, dass sie über die Handhabung des Datenschutzes die Qualität als Wirtschaftsstandort steigern wollen würden.
Fazit
Auch nach fünf Jahren DSGVO gibt es in Deutschland noch eine ansehnliche Liste an Mängeln bei der Um- und Durchsetzung. Die Etablierung eines standardisierten Datenschutzes bleibt damit ein laufender Prozess.
Max Schrems zog als persönliches Resümee der letzten fünf Jahre, dass das Gesetz funktioniere, die Anwendung aber nicht.