Zum diesjährigen Europäischen Datenschutztag werden allerlei Forderungen laut, was der Datenschutz künftig leisten soll. Dabei hakt und ruckelt es bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO) – nicht nur bei Ämtern und Unternehmen, sondern vor allem in den Aufsichtsbehörden. Sie müssen auf nationaler wie europäischer Ebene endlich zu einem eigenen Selbstverständnis finden, um handlungsfähig zu werden.
Der Europäische Datenschutztag 2021 steht ganz im Zeichen „3 Jahre DSGVO“. Dazu erhebt sich ein wahres Wunschkonzert, was der Datenschutz alles noch leisten könnte. Der Bundesdatenschutzbeauftragte Ulrich Kelber etwa sieht in der DSGVO eine „historische Chance“ endlich nun auch den Schutz von Persönlichkeitsrechten zu entwickeln. Robert Reinermann von „Deutschland Sicher im Netz“ hofft darauf, dass der Datenschutz nach der erneut vor dem Europäischen Gerichtshof gescheiterten EU-US-Datentransfer-Vereinbarung nun endlich auch in den Betrieben ankommt. Nach jahrzehntelangem Stillstand könnte die Bundesregierung auch ein Arbeitnehmerdatenschutzgesetz entwerfen, was Arbeitgeber bislang immer verhindern konnten. Nutzerinnen und Nutzer hoffen darauf, dass endlich das große Versprechen der DSGVO eingelöst wird, die großen US-Tech-Firmen an die Kandare zu nehmen.
Bei all diesen Hoffnungen könnte man meinen, die DSGVO gäbe es noch immer nicht. Aber doch, es gibt sie – sie muss lediglich konkretisiert und in der Praxis umgesetzt werden. Das ist nicht nur eine Aufgabe von Unternehmen, sondern vor allem eine der Datenschutzaufsichtsbehörden. Doch diese zögern immer noch, die DSGVO mit Leben zu füllen und in der Praxis durchzusetzen. Die irische Aufsichtsbehörde schiebt seit drei Jahren zahlreiche Entscheidungen in Sachen Facebook und Google vor sich her. Luxemburg macht es ähnlich bei Amazon. Und Microsoft mit seinem Always-On-Produkt Microsoft 365 feiert gerade einen Siegeszug in Behörden und Schulen.
Schlimmer noch: Erzielt eine Datenschutzbehörde einen kleinen Verhandlungserfolg, ziehen alle anderen nicht nach. So erreichte die baden-württembergische Aufsicht bei Microsoft die Zusage, Kunden weitgehenden Rechtsschutz zu gewähren, falls eine US-Behörde auf die Daten europäischer Kunden zugreift. Im Falle eines Zugriffs, stellt der Konzern sogar eine finanzielle Entschädigung in Aussicht. Statt darin einen Teilerfolg zu erkennen und weitere Verhandlungen zu planen, kritisierten die anderen deutschen Datenschutzbehörden hinter vorgehaltener Hand erst einmal das eigenständige Vorgehen der Baden-Württemberger. Ähnlich läuft es auch auf europäischer Ebene: So erreichte etwa die Hamburgische Datenschutzbehörde, dass der Datentransfer von WhatsApp zu Facebook gestoppt wurde, aber die irische Behörde zog aus unerfindlichen Gründen nicht nach, weshalb der Streit noch immer nicht entschieden ist.
Das größte Datenschutz-Problem sind im Moment die Aufsichtsbehörden, die zu keiner gemeinsamen Methode, zu keinem gemeinsamen Kurs finden. Sie scheinen darauf zu warten, was die Politik ihnen vorgibt. Gleichzeitig bremsen sie einzelne Verhandlungs- und Sanktionserfolge aus. Dabei haben sie nahezu alles, was sie brauchen: Sie verfügen über ein knackiges Sanktionsinstrumentarium und sie sind von der Politik weisungsunabhängig. Im Grunde müssen sie jetzt nur noch zu einem neuen, eigenen Selbstverständnis finden – auf nationaler wie auf europäischer Ebene.