Privatsphäre auf Europäisch
DSGVO seit fünf Jahren wirksam: Folgen und Baustellen
Seit fünf Jahren liefert die europäische Datenschutzgrundverordnung den EU-Mitgliedsstaaten eine gemeinsame Rechtsgrundlage dafür, personenbezogene Daten zu erheben, zu speichern und zu verarbeiten. Eine Erfolgsgeschichte – einerseits. Andererseits zeigen sich Schwächen der Verordnung, die Datenschützern und Unternehmen zu schaffen machen.
Hoffnungen wie Befürchtungen waren groß, als die Datenschutzgrundverordnung (DSGVO) nach zweijähriger Übergangsfrist am 25. Mai 2018 ihre volle Wirkung entfaltete. Gegner verbanden mit diesem Datum vor allem datenschutzrechtliche Bremseffekte: Die würden dazu führen, dass Europa in zukunftsträchtigen Technikfeldern auf Dauer hoffnungslos ins Hintertreffen geriete und außereuropäische Unternehmen zugleich den europäischen Markt verließen. Befürworter hingegen hofften auf einen Wettbewerbsvorteil für europäische Unternehmen innerhalb des kontinentalen Markts. Zugleich sahen sie wirksame Hürden für massenhafte Datenspeicherung und geheimdienstliche Onlinedurchsuchung. Anders als Richtlinien, welche die Mitgliedsstaaten zunächst in eigene Gesetze umsetzen müssen, versprach die direkt geltende Verordnung auf einem für die Zukunft extrem wichtigen Feld tatsächlich Einheitlichkeit in Europa zu schaffen.
In der Öffentlichkeit rankten sich viele Mythen um die DSGVO. Das Spektrum umfasste etwa die Voraussage, es würde Massenabmahnungen geben. Die folgten tatsächlich, allerdings scheiterten solche Aktionen als Geschäftsmodell für einschlägig ambitionierte Kanzleien letztlich. Ein weiterer Mythos betraf die Annahme, dass die Verordnung das Recht am eigenen Bild plötzlich massiv verändern würde. Zwar folgt die DSGVO der Grundidee, dass alles verboten sein soll, was nicht aus hinreichenden Gründen erlaubt ist. Sie kennt aber jede Menge Gründe, die dazu führen, dass die Verarbeitung personenbezogener Daten eben doch statthaft ist – etwa, weil ein Gesetz das vorsieht. Oder weil es ein berechtigtes Interesse daran aufseiten des Datenverarbeiters gibt. Was das jeweils genau heißt? Darüber grübeln seit Jahren Anwaltskanzleien, Datenschutzaufsichtsbehörden und Gerichte.