„Datenschutz? – Ich habe doch nichts zu verbergen!“ Dieses Argument hört man selbst in Zeiten von großen Datenkraken wie Facebook, Google oder Amazon immer noch häufig. Dass diese Behauptung nicht zutreffend ist, zeigt die moderne Datentechnik, die es ermöglicht, Datensammlungen anzulegen, die vom Otto-Normalbürger nicht durchschaut werden können. Menschen ändern ihr Verhalten, wenn sie wissen, dass sie überwacht werden. Dies beeinträchtigt die individuelle Handlungsfreiheit und dadurch auch das Gemeinwohl, da ein freiheitlich demokratisches Gemeinwesen der selbstbestimmten Mitwirkung des Bürgers bedarf. Datenschutz ist auf europäischer Ebene ein Grundrecht. Keinen Wert auf ein Recht zu legen, weil man es gerade nicht braucht und auch in Zukunft nicht zu brauchen gedenkt, bezeichnet Edward Snowden als antisozial:
„Zu argumentieren, dass Sie keine Privatsphäre brauchen, weil Sie nichts zu verbergen haben, ist so, als würden Sie sagen, dass Sie keine Meinungsfreiheit brauchen, weil Sie nichts zu sagen haben.“ (Edward Snowden)
Eine interessante Frage die sich in diesem Zusammenhang stellt ist, ob sich seit Anwendungsbeginn der DSGVO im letzten Jahr diese Ansichten verändert haben.
Für die meisten sei 2018 das Jahr des Erwachens des Datenschutzes in Europa gewesen, so Estelle Masse, Senior Policy Analyst and Global Data Protection Lead bei Acces Now. Grundlegend ist die DSGVO ein wichtiger Schritt nach vorne zu einer europaweiten Harmonisierung der Datenschutzbestimmungen und die wesentliche Verstärkung der Sanktionsbefugnisse der Aufsichtsbehörde. Denn das Bewusstsein für den Datenschutz ist immens gestiegen. Viele Unternehmen haben ihren Datenbestand „aufgeräumt“ und sich erstmals einen Überblick über ihre datenschutzrechtlich relevanten Prozesse verschafft. Aber auch die Verbraucher nehmen vermehrt ihre Rechte wahr und gehen mit mehr Bewusstsein an ihre persönlichen Daten heran. Doch kamen hierbei immer wieder sogenannte „DSGVO-Mythen“ auf, die jedoch mit rechtssicheren Fakten schnell klargestellt werden können:
Auf einmal war die DSGVO da, es gab keine Übergangsfrist: In Kraft getreten ist die DSGVO bereits am 24. Mai 2016. Anwendung findet sie seit dem 25. Mai 2018. Insgesamt konnten sich Unternehmen also zwei Jahre lang auf die DSGVO vorbereiten.
Die DSGVO gilt nur für elektronische Datenverarbeitung: Art. 2 Abs. 1 DSGVO sagt: Die Verordnung gilt […] sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, in einem Dateisystem gespeichert sind oder gespeichert werden.
„Ich muss Kunden am Telefon die Datenschutzerklärung vorlesen“: In der Regel reicht der Verweis auf die Website.
Für jede Datenverarbeitung ist nun eine Einwilligung erforderlich: Neben der schriftlichen Einwilligung sieht die DSGVO fünf weitere Erlaubnisgründe vor (siehe Art. 6 Abs. 1 DSGVO).
„Die DSGVO macht alles neu und komplizierter“:
Datenschutzerklärungen, Rechtsgrundlagen für eine Datenverarbeitung, Verzeichnis der Verarbeitungstätigkeiten (früher Verfahrensverzeichnisse), die Einholung von Einwilligungen, und der Abschluss von Auftragsverarbeitungen waren auch schon nach altem Datenschutzrecht (BDSG-alt) erforderlich. Es kam nur wenig Neues hinzu: Datenschutz-Folgeabschätzung bei risikoreicher Datenverarbeitung, Privacy by Design und by Default, Meldepflicht eines Datenschutzbeauftragten auch für öffentliche Stellen, Recht auf Datenübertragbarkeit, Erhöhung der Transparenzanforderungen.
Im Gegensatz zu anderen EU-Ländern hat Deutschland den klaren Vorteil, dass die DSGVO dem BDSG-alt stark ähnelt, sodass sich die Neuerungen in Folge der DSGVO in Grenzen halten. Stärker im Mittelpunkt stehen nunmehr allerdings die Nachweis- und Rechenschaftspflichten. Den Verantwortlichen trifft die Nachweispflicht darüber, dass er alle Vorgaben zum Datenschutz eingehalten hat. Nach alter Gesetzeslage musste die Aufsichtsbehörde bei Verdacht beweisen, dass ein Verstoß gegen Datenschutzvorschriften vorliegt. Zudem hat insbesondere die wesentliche Verschärfung der Sanktionen (nunmehr geregelt in Art. 83 Abs. 4 und Abs. 5 DSGVO) dazu geführt, dass dem Datenschutzrecht mehr Aufmerksamkeit entgegengebracht wird. Nachdem nun knapp 1,5 Jahre DSGVO vorbei sind, darf man auf die weiteren Entwicklungen gespannt sein.
Trotz bestehender Unsicherheiten und Schwachstellen ist die DSGVO und die damit verwirklichte europaweite Harmonisierung der Datenschutzbestimmungen auf jeden Fall der richtige Weg, um nicht zum „gläsernen Menschen“ zu werden und das Recht jedes Einzelnen auf informationelle Selbstbestimmung zu wahren. In Zeiten von Facebook, Google und Co. mag sich nicht jeder immer bewusst sein, wie kostbar seine personenbezogenen Daten wirklich sind. Die Aussage „Datenschutz? – Ich habe doch nichts zu verbergen!“ sollte in Zeiten vom Wahlkampf-Cambridge Analytica-Skandal oder mit Blick auf das im nächsten Jahr in China eingeführte Sozialkredit-System überdacht werden.