Andreas Wagnitz von der Handwerkskammer München erinnert sich noch gut an jene Zeit vor drei Jahren, als die Telefone Hunderte Male am Tag klingelten. "Sie haben uns überrannt", sagt er über den Tag, an dem die Datenschutz-Grundverordnung (DSGVO) in Kraft trat und der sich an diesem Dienstag zum dritten Mal jährt. Immer wieder mussten er und seine Kollegen die gleichen, leicht panischen Fragen beantworten: Was soll diese DSGVO überhaupt? Und was droht mir bei Verstößen gegen sie? Auf Info-Veranstaltungen drängten sich Vertreter von bis zu 4000 Betrieben. Ein solches Interesse an Veranstaltungen der Handwerkskammer hatte Wagnitz noch nicht erlebt.
Nach den ersten sechs Monaten ebbte die Verunsicherung der Münchner Handwerker langsam ab. Sie arrangierten sich - wenn auch mürrisch, wie Wagnitz betont - mit der Verordnung, die erstmals den Datenschutz innerhalb der EU vereinheitlichte. Die DSGVO soll die Souveränität der Bürger im digitalen Zeitalter sicherstellen, nachdem Unternehmen fast zwei Jahrzehnte lang weitestgehend ungestört im Surfverhalten ihrer Nutzer herumschnüffeln konnten. Jeder hat nun das Recht, zu erfahren, was über ihn gespeichert wird. Außerdem können Nutzer von Unternehmen verlangen, ihre Daten zu löschen.
Die DSGVO hat das Bewusstsein für Privatsphäre im Netz geschärft. Selbst Kritiker wie der österreichische Datenschützer Max Schrems erkennen an: "Nutzern ist erstmals in der Breite bewusst geworden, dass sie Rechte haben." Datensicherheit ist mittlerweile sogar ein Verkaufsargument. So verschreibt sich zum Beispiel Apple werbewirksam dem Datenschutz und lässt iPhone-Besitzer selbst entscheiden, ob sie persönliche Informationen mit Apps teilen möchten.
Firmen müssen Kunden darüber aufklären, wofür sie Daten erheben
Das sind die öffentlichkeitswirksamen Meilensteine. Der Alltag sieht aber oft anders aus. Vor allem für kleine und mittlere Betriebe stelle die DSGVO nach wie vor einen bürokratischen Mehraufwand dar, der kaum zu bewältigen sei, sagt Wagnitz. Denn Firmen müssen ihre Kunden umfassend darüber aufklären, wofür sie personenbezogene Daten erheben, wie sie diese verarbeiten und aufbewahren. Das sollte in erster Linie Internetkonzerne zu mehr Transparenz vor den Bürgern zwingen, führt aber auch zu unverhältnismäßig hohen und praxisfernen Auflagen für kleine Betriebe. Laut einer Studie des Digitalverbands Bitkom hatte bis Herbst 2020 nur jedes fünfte Unternehmen die DSGVO inklusive ihrer Prüfprozesse vollständig umgesetzt.
Die Verordnung differenziert nicht nach Größe der Unternehmen. Ein Tischler und ein Dax-Konzern müssen die gleichen Auflagen erfüllen. "Radfahrer brauchen jetzt einen Pkw-Führerschein, mit dem sie auch gleich Flugzeuge fliegen können", umschreibt Schrems die Probleme der Kleinen. Das sei von der Industrie so gewollt gewesen, damit die Regeln für sie weicher sind. Schrems geht seit nunmehr zehn Jahren juristisch gegen die Datensammler des Silicon Valley vor. Sein jüngster Erfolg: Im Juli 2020 zerschlug der Europäische Gerichtshof das Privacy Shield. Die Abmachung hatte es US-Unternehmen erlaubt, Daten von EU-Bürgern in die USA zu transferieren und dort zu speichern. Doch weil die US-Geheimdienste so leicht an diese Daten herankommen, machten die Richter den Deal nichtig.
Die Tücken des Einheitsgesetzes DSGVO erkennen mittlerweile auch ihre Architekten. Die Europäische Kommission stellte im Sommer 2020 fest: Eine Entlastung kleiner und mittlerer Unternehmen solle zumindest geprüft werden. Handfest überarbeitet werden sollen die Regeln aber vorerst nicht. Die Kommission sieht keinen Bedarf, die DSGVO "durch konkrete Änderungen anzupassen".
"Aktuell gibt es ein Vollzugsdefizit."
Dabei könnte so eine Entlastung der Betriebe auch die Schlagkraft der Behörden erhöhen, die die DSGVO vollstrecken müssen. "Aktuell gibt es ein Vollzugsdefizit", berichtet der Rechtsanwalt Nils Christian Haag. Davon profitierten ausgerechnet die kleinen Betriebe. Ihre Verstöße werden so gut wie nie sanktioniert, weil sich die personell unterbesetzten und finanziell klammen Behörden auf die großen konzentrieren müssen. Der Münchner Handwerkskammer wurde zum Beispiel in drei Jahren kein einziger Bußgeldfall gemeldet.
Der Hamburger Datenschutzbeauftragte Johannes Caspar bestätigt, dass seine Behörde zu wenig Geld für die Überwachung der neuen Regeln hat: "Es hat sich über Jahre ein finanzielles und personelles Defizit aufgebaut, das dazu führte, dass nun immer mehr Beschwerden von Bürgern in der Warteschleife hängen." Außerdem bemängelt er den EU-weiten Flickenteppich: "Beim grenzüberschreitenden Vollzug sind wir wenig erfolgreich." In der EU arbeiten 30 Behörden, die alle ihre eigene Sichtweise und Praxis haben.
Die föderale Struktur führt dazu, dass selbst die banalsten Verfahren Jahre dauern, nur weil ein Unternehmen in einem anderen EU-Staat sitzt. Caspar fordert deshalb eine grundlegende Reform des aufsichtsbehördlichen Vollzugs. Sehr bald wird diese wohl nicht kommen. Die nächste Evaluierung der DSGVO durch die Europäische Kommission ist für 2024 angesetzt. Es beginnen also noch einmal drei zähe DSGVO-Jahre.