Datenschützer werfen Bundesregierung Desinteresse beim Start der DS-GVO vor
In einem für die Bundestagsfraktion der Grünen erstellten Gutachten (PDF) gehen der frühere Bundesdatenschutzbeauftragte Peter Schaar und der frühere Berliner Landesdatenschutzbeauftragte Alexander Dix hart mit der Bundesregierung und den Landesregierungen ins Gericht. Sie hätten sich »nur sehr begrenzt um eine Klärung offener Rechtsfragen und um die Vermittlung von Kenntnissen über den neuen europäischen Rechtsrahmen zum Datenschutz bemüht«, schreiben sie. Dabei sei das gerade in Deutschland wichtig gewesen, weil die Rechtsunsicherheit hierzulande durch Spezialregelungen besonders ausgeprägt gewesen sei. Stattdessen sei es bei den Gesetzgebungsaktivitäten als auch in der Öffentlichkeitsarbeit darum gegangen, »die Position der datenverarbeitenden öffentlichen Stellen und der Unternehmen zu stärken«. Als Beispiel führen die beiden Datenschützer die für Digitales zuständige Staatsministerin Dorothee Bär an, die für eine »smarte Datenkultur« plädiert und beklagt hatte, in Deutschland existiere ein »ein Datenschutz wie im 18. Jahrhundert«. Es sei der Eindruck erzeugt worden, Datenschutz bedrohe den Wohlstand, verhindere sinnvolle IT-Projekte und erschwere das Leben von Vereinen und kleinen Unternehmen.
Die beiden ehemaligen Datenschutzbeauftragten Peter Schaar und Alexander Dix werfen der Bundesregierung vor, sie habe gegen die DS-GVO gearbeitet, statt sich um die Klärung offener Rechtsfragen und die Wissensvermittlung zu kümmern. Die Umsetzung und Anwendung der Verordnung sei unambitioniert erfolgt.
Unbegründete Behauptungen und zweifelhafte Rechtsauslegungen haben dem Gutachten zufolge dazu geführt, dass die DS-GVO als innovationsbremse und Bürokratiemonster wahrgenommen wurde. So sei zum Beispiel der Eindruck erweckt worden, für jede Datenverarbeitung sei die Einwilligung der Betroffenen erforderlich. Dabei erfolge die Verarbeitung personenbezogener Daten durch Unternehmen zumeist im Zusammenhang von Vertragsverhältnissen und zu deren Erfüllung sei die Verarbeitung natürlich rechtmäßig – auch ohne zusätzliche Einwilligungserklärung.
Zudem habe das Nebeneinander von ePrivacy-Richtlinie und DS-GVO im Zusammenspiel mit der »lang anhaltenden Arbeitsverweigerung der Bundesregierung« zu erheblicher Unsicherheit geführt. Im Telemediengesetz seien die Vorgaben zur Verwendung von Cookies und ähnlichen Tracking-Methoden nicht nachvollzogen worden – das Tracking zu Werbezwecken sei »entgegen der klaren europarechtlichen Vorgabe« auch ohne Einwilligung weiterhin erlaubt. Die einzige Lösung sei eine Neufassung des TMG, doch die Bundesregierung lasse »keinerlei Absicht erkennen, hier tätig zu werden.«
Auch die heraufbeschworene Abmahnwelle im Zusammenhang mit der DS-GVO ist laut den Schaar und Dix ausgeblieben. Dagegen habe sich der Eindruck aufgedrängt, dass in den Medien eine Kampagne gegen Datenschutz gefahren wurde – beispielhaft nennen die beiden Experten hier die Schlagzeilen rund um Probleme mit Namen auf Klingelschildern, der Nutzung von Visitenkarten oder die Anrede von Kunden mit Namen. In all diesen Fällen habe sich durch die DS-GVO die Rechtslage nicht geändert, heißt es in dem Gutachten. Auch die Behauptung, mit der DS-GVO würde für Unternehmen und Vereine die unverhältnismäßige Verpflichtung eingeführt, einen Datenschutzbeauftragten zu bestellen, sei irreführen – die habe es auch vorher schon gegeben.
Die Zwischenbilanz zur Umsetzung und Anwendung der DS-GVO in Deutschland fällt in dem Gutachten »überwiegend negativ« aus. Bund und Länder hätten die Öffnungsklauseln »teilweise überstrapaziert« und teilweise »Bestimmungen unter Verstoß gegen das unionsrechtliche Wiederholungsverbot schlicht in das deutsche Recht übernommen«. Zum Teil seien die Gesetzgebungsaufträge schlicht nicht erfüllt worden.
»Das Hauptanliegen des Bundesgesetzgebers war und ist es offenbar, den rechtlichen Status quo in Sachen Datenschutz in Deutschland auch nach dem Inkrafttreten der Grundverordnung soweit wie möglich unverändert zu lassen. Diesem unambitionierten Beispiel sind die Landesgesetzgeber weitgehend gefolgt«, schreiben Schaar und Dix, die allerdings auch Kritik an der DS-GVO selbst üben. Dort seien beispielsweise die automatisierte Entscheidungsfindung und das Profiling nur unzureichend regelt. Sie fordern etwa eine »Pflicht zur Aufklärung über die involvierte Logik bei Systemen der künstlichen Intelligenz und des maschinellen Lernens« und dass »derartige Systeme nicht eingesetzt werden dürfen, wenn der Verantwortliche die involvierte Logik selbst nicht versteht und sie deshalb der betroffenen Person nicht erklären kann«. Zudem mache auch der zunehmende Einsatz von Sensorik etwa im Internet der Dinge und die wachsende Bedeutung von Big-Data-Anwendungen eine Überarbeitung der DS-GVO notwendig, weil sie die garantierten Grundsätze des Datenschutzes auszuhöhlen drohten.