Eine neue Datenschutz-Ära beginnt

Und was daraus wird, ist völlig offen. Kann die EU, deren Parlament sich Facebook-Chef Mark Zuckerberg gegenüber gerade ungeschickt anstellte, mit der bislang beispiellosen DSGVO etwas Sinnvolles anstellen?

Wer irgendwann mal E-Mail-Newsletter bestellte, wird derzeit mit "Einwilligungserklärungen", "Bitten um Ihre Bestätigung" und "Bleiben Sie uns treu!"-Aufforderungen überschüttet. Das ist das sichtbarste Zeichen dafür, dass eine neue Ära beginnt. An diesem Freitag tritt die neue Datenschutzgrundverordnung DSGVO endgültig in Kraft.

Während "die Wirtschaft", wie der generische Singular für kleinste bis größte Unternehmen lautet, sich ob des Termins im Mai und der für jeden Internetauftritt notwendigen Schritte schon länger aufgeregt zeigte (und zu hören bekam, dass das Gesetz ja schon seit 2016 gilt und noch länger bekannten Bestimmungen jetzt erst in Kraft treten), scheinen schreibende Internetnutzer als allerletzte der drohenden Gefahren gewahr geworden zu sein.

Selbst Sascha Lobo, immer noch eine der prominentesten Leitfiguren, äußerte in seiner "SPON"-Kolumne die Befürchtung, dass "Abmahnanwälte ... Verstöße massenhaft kostenpflichtig abmahnen" werden:

"Deshalb werden große Mengen digitaler Nebenbei-Projekte aus Furcht abgeschaltet werden: Archive, halbprivate Fachforen, historisch interessante Websites. Die halbprivate Seite wird riskanter als die Nutzung einer Plattform, das ist keine gute Nachricht für das freie Web. Es stärkt die großen Plattformen."

Diese Furcht gibt es, gesteht netzpolitik.org zu, das zu den zusehends wenigen DSGVO-Befürwortern zählt. Sie werde aber durch Medienberichte über nun mögliche Strafzahlungen geschürt:

"Praktisch kein Bericht über die DSGVO kommt ohne den einleitenden Hinweis auf die vier-Prozent-Grenze oder die 20-Millionen-Marke aus. Bevor überhaupt eine inhaltliche Aufarbeitung mit den jeweiligen Themen stattfindet, muss so jeder Leserin zwangsläufig das Herz in die Hose rutschen. Die DSGVO ist damit auf dem besten Weg, den in der Öffentlichkeit bisher vorhandenen Rückhalt nicht nur zu verspielen, sondern in wutschnaubendes Unverständnis, über so viel bürokratische Überforderung zu verwandeln."

Überfordert und untergejubelt

Von "bürokratischem Irrsinn" schrieb gar Enno Park, der auf auf t3n.de ein großes Wir derer, die noch das freie Internet jenseits der kommerziellen Netzwerke nutzen, formulierte:

"'Wir', das sind Blogger, Arztpraxen, Fotografen, Onlinehändler, Influencer, Buchhaltungsbüros, Journalisten, Youtuber, kleine und große Vereine, Open-Source-Entwickler, Webdesigner, Coaches, Aktivisten, Berater oder Seelsorger"

Und dieses Wir werde nun "zu den großen Plattformen, die sich unter dem Deckmantel der 'Einwilligung' dann allerlei erlauben können", getrieben. Auch diese Befürchtung besitzt leider Plausibiltät. Von deb sog. sozialen Medien wird sich kaum jemand abmelden. Wenn Facebook Einverständniserklärungen einfordert, kann es im gewohnt "unübersichtlichen Dialog" seinen Nutzern sogar noch "die automatische Gesichtserkennung unterjubeln" (netzpolitik.org).

Und das waren noch längst nicht alle Befürchtungen. Auch die großen, professionellen Portale, die mit allenfalls mäßigem Erfolg um Werbefinanzierung ringen (da defensiv geschätzt mindestens 80 Prozent der europäischen Onlinewerbe-Ausgaben an Google und Facebook gehen ...), würden leiden, weil die Quasimonopolisten "von den neuen Gesetzen kaum betroffen" seien und die Presseverlage in weitere Wettbewerbsnachteile gerieten, prognostizierte etwa der Zeitschriftenverlegerverbands-Präsident. Und die Annahme, die demnächst mehr als je zuvor beanspruchten Datenschützer würden sich als heillos überfordert erweisen (einspruch.faz.net), lässt sich nicht gleich von der Hand weisen.

Deinedatendeinerechte.de

Wo bleibt das Positive? Aktuell unter ferner liefen. Immerhin erwartet die deutsche Wirtschaft, die ja pragmatisch ist, inzwischen gut zur Hälfte "einen Wettbewerbsvorteil für europäische Unternehmen" (faz.net). Und die Vorzüge der in der DSGVO neu formulierten Prinzipien "Privacy by Design" und "Privacy by Default", denen zufolge Datenschutzmaßnahmen bei der Entwicklung neuer Angebote wie in den Voreinstellungen für Nutzer künftig eine größere Rolle spielen müssen, leuchten auf Anhieb ein (auch wenn die Auswirkungen auf Facebook wiederum unklar sind, wie evangelisch.de-Redaktionsleiter Hanno Terbuyken hier schrieb). Weitere Vorzüge fächert das bundesregierungsgeförderte "Informationsportal für Verbraucher*innen zum neuen EU-Datenschutzrecht" mit dem nicht sehr eingängigen Namen deinedatendeinerechte.de auf. Ob es hilft, wenn zuständige Amtsträger wie die EU-Kommissarin Vera Jourova auf "gesunden Menschenverstand" (zeit.de) setzen oder die wenig bekannte deutsche Bundesdatenschutzbeauftragte Andrea Voßhoff erklärt, dass "die Politik" noch weiter diskutieren müsse – entscheiden Sie selbst.

Welche Sichtweise wird sich bewahrheiten? Seriös vorherzusagen ist das nicht, nicht nur, weil sich mehrere Arten von Lobbyschlacht verwoben haben, sondern auch, weil die DSGVO-Einführung in ihrer Dimension beispiellos ist. Für die mehr als eine halbe Milliarde Einwohner der EU, für die bislang mehr unterschiedliche Datenschutzgesetze galten als die EU Mitgliedsstaaten hat, gilt künftig ein einheitliches. Die Frage, wie gut das funktionieren kann, führt schnell zu der, wie funktional die EU in ihrem aktuellen Zustand  überhaupt ist, worüber sich lange diskutieren ließe (was in deutschen Medien mit ihrem Fokus auf Berlin zu selten geschieht...).

Von der praktischen Umsetzung wird viel abhängen – davon, wie vermeintliche Verstöße kleiner Internetauftritte geahndet werden, und vor allem davon, die EU ihr Recht gegen große, vor allem US-amerikanische Betreiber durchsetzen kann. Auch da gibt es aktuell nicht sehr viel Anlass für Optimismus, nicht bloß, weil sich das EU-Parlament just am Dienstag von Mark Zuckerberg mehr oder weniger übertölpeln ließ, sondern auch wegen der vorsehenen Abläufe, die sich vorerst nur scheinbar von den bisherigen unterscheiden: Zwar hat nun jeder deutsche Nutzer

"das Recht ..., zu seiner Landesdatenschutzbehörde zu gehen und dort eine Beschwerde gegen Facebook einzulegen ('One-Stop-Shop'-Prinzip). Das Verfahren übernimmt dann allerdings federführend die Behörde an der Hauptniederlassung von Facebook. Bei Fragen wie Marketing und Werbung, welche die Facebook Deutschland GmbH betreffen, ist das der Hamburgische Datenschutzbeauftragte. Bei allen anderen Themen liegt die Hauptzuständigkeit bei der irischen Datenschutzbehörde, weil der EU-Sitz Facebooks in Dublin liegt" (noch mal netzpolitik.org).

Berechtigter Hauch von Pathos

Diese irischen Datenschützer sind weiterhin vor allem darum besorgt, Facebook als wichtigem Standortfaktor wenig Ärger zu bereiten. Das bewiesen sie ausgerechnet in dieser Woche beim Durchwinken des Nutzerdaten-Austauschs zwischen Facebook und Whatsapp (golem.de) auch gegen scharfe Kritik etwa des Hamburger Datenschützers Johannes Caspar. Dieses skandalöse Gebaren zeigt zumindest, dass Praktiken, gegen die sich die DSGVO richtet, längst schon dynamisch im Gange sind und sich um Gesetze einzelner europäischer Staaten nicht scheren. Das neue Recht dürfte zumindest dazu beitragen, sie sichtbarer zu machen.

Wenn Regeln durchgesetzt werden, an die auch Irland sich halten muss, dann vermutlich in langwierigen Gerichtsverfahren. Womöglich werden auf schwer durchschaubaren Ebenen der EU wie dem "Europäischen Datenschutzausschuss" sinnvolle Entschlüsse fallen; zumindest dürfte ihnen mehr Aufmerksamkeit zuteil werden. Womöglich wird einmal eine europäische Datenschutz-Institution geschaffen, die den größten Binnenmarkt der Welt datenkapitalistischen Konzernen gegenüber auf Augenhöhe vertreteten kann – wahrscheinlich erst, wenn das größte EU-Mitglied eine andere Regierungschefin hat als die aktuelle, die sich über Datenschutz besonders selten konkret äußert (und wenn, dann von "Datensparsamkeit" abrät). Für so etwas schafft die DSGVO zumindest Voraussetzungen. Dass sich die ausführenden Organe der EU und ihrer Mitgliedsstaaten bald doch lieber mit einfacheren Gegnern abgeben, ist ebenfalls denkbar.

Am späten Mittwochabend zeigte die ARD noch einmal den Dokumentarfilm "Im Rausch der Daten" (der nun bis Mai 2019 in der Mediathek abrufbar bleibt). Der schildert zäh, aber mit einem berechtigten Hauch von Pathos, wie zäh seit 2012 im EU-Parlament um die DSGVO gerungen wurde, bis sich eine Mehrheit dafür fand. Mit dieser Zähigkeit – die der Film auch formal spiegelt – ging es weiter zum morgigen Gültigwerden des sechs Jahre alten Gesetzes, und wird es in Zukunft weitergehen. Der Versuch verdient insofern Respekt, dass sich niemand vom aktuellen Neigen der Waagschale hin zu negativen bis dystopischen Interpretationen zu sehr beeinflussen lassen sollte. Wohin sie sich neigt, wenn das Gesetz angewandt wird, wird spannend.