Datenschutzgrundverordnung: Es fehlen die Mittel

Ein Bericht der EU-Kommission lobt die Datenschutz­grund­verordnung, die seit zwei Jahren in Kraft ist. Doch es gibt auch kritische Stimmen: In einigen Ländern reichen die Mittel der Behörden nicht aus und die Verfahren dauern zu lang.

Didier Reynders mag EU-Kommissar sein, und als früherer belgischer Außenminister die ganze Welt bereist haben. Letztlich aber ist er auch nur jemand, der keine Lust hat auf zu viele Pop-Up-Fenster, wenn er im Internet surft: "Die Tendenz ist auch bei Kommissaren, einfach auf 'Ja' zu klicken, um Zugang zu der gesuchten Information zu bekommen", sagt Reynders am Mittwoch, als er in Brüssel einen Bericht über die Datenschutzgrundverordnung (DSGVO) vorstellt und über die Frage, ob sie sich in den zwei Jahren seit ihrem Inkrafttreten bewährt hat.

Insgesamt sei die Verordnung zwar ein großer Erfolg, sagt Reynders, zwei Drittel der EU-Bürger wüssten von ihrer Existenz. "Wie aber können wir ihnen helfen, den Zugriff auf ihre Daten noch besser zu organisieren?", fragt der Kommissar, und hat auch eine Idee: "Vielleicht mit einer neuartigen Anwendung, bei der man die erteilten Erlaubnisse für alle Anbieter zentral verwalten kann." Die EU-Kommission wolle darum Innovationen in diesem Bereich fördern.

Als die DSGVO 2018 in Kraft trat, waren vor allem Unternehmen nicht so begeistert von den neuen Regeln, wie Reynders und seine Kollegin Vĕra Jourová an diesem Mittwoch einräumten. Sie fürchteten überbordende Bürokratie und eine Bremse für Innovation. "Ich habe gute Nachrichten", sagte Jourová: Das Befürchtete sei nicht eingetreten. Statt dessen bringe die DSGVO Nutzer- und Geschäftsinteressen ins Gleichgewicht. Sie sei ein Vorbild für die ganze Welt.

Also alles wunderbar beim Datenschutz in Europa? Nicht ganz. Der Europäische Datenschutzausschuss wiederholte am Mittwoch per Twitter eine Kritik, die er bereits zuvor geäußert hatte: Die nationalen Datenschutzbehörden könnten nur so gut sein, wie die finanziellen und personellen Mittel, mit denen sie ausgestattet werden. "In den meisten Mitgliedstaaten sagen die Behörden, dass sie nicht über ausreichende Mittel verfügen", schrieb der Ausschuss bereits im Februar.

In ihrem Bericht stellt die EU-Kommission fest, dass sich die Ausstattung der meisten Behörden zwischen 2016 und 2019 deutlich verbessert habe, vor allem in Irland und Luxemburg, wo viele große Tech-Firmen ihren Sitz haben. Zur Wahrheit gehört aber auch, dass die irische Datenschutzbehörde bislang keinen ihrer großen Fälle gegen Facebook abgeschlossen hat. Jourová wollte Irland deswegen allerdings nicht kritisieren: "Gründliche Ermittlungen brauchen Zeit", sagte sie. Die nationalen Behörden seien unabhängig, die Kommission könne nichts tun, um deren Verfahren zu beschleunigen. "Wir müssen sie ihre Arbeit gut machen lassen und auf die Ergebnisse warten." Kritiker sagen, die lange Verfahrensdauer in diesen Ländern sei einer der Gründe, warum diese Standorte bei Tech-Firmen überhaupt so beliebt sind. Insofern hätte Irland gar kein Interesse daran, die Verfahren zu beschleunigen.

Die Datenschutzbehörden könnten auch dadurch schlagkräftiger werden, dass sie in der EU zusammenarbeiten. Die DSGVO erlaubt solche Kooperationen. Die aber fänden noch zu selten statt, heißt es in dem Bericht: Bislang bedeute internationale Zusammenarbeit oft, dass man sich auf "den kleinsten gemeinsamen Nenner" einige.