Adzine Top-Stories per Newsletter
DATA & TARGETING

Zwei Jahre Datenschutzgrundverordnung – Ernüchterung macht sich breit

Oetjen, Jan, 26. May 2020
Bild: Roseanna Smith – Unsplash

Als ich im Februar 2016, in einer öffentlichen Anhörung im Bundestag, zur EU- Datenschutzgrundverordnung befragt wurde, begrüßte ich das Vorhaben als „zentralen Pfeiler des digitalen Binnenmarkts“. In europaweit einheitlichen Datenschutzstandards lag die Riesenchance, den Vorsprung der US-Konzerne im Datenzeitalter auszugleichen. Endlich – mit Inkrafttreten der DSGVO am 25. Mai 2018 – müssten sie sich den strengeren europäischen Datenschutzstandards unterwerfen. Weltweit sahen Experten in der DSGVO ein richtungsweisendes Projekt mit Vorbildfunktion. Nach zwei Jahren DSGVO macht sich Ernüchterung breit. Wir sind weit entfernt von der angestrebten europäischen Vereinheitlichung. Dies liegt vor allem an handwerklichen Umsetzungsfehlern: Nationale Uneinheitlichkeit, Gleichbehandlung aller Daten und Missachtung der Machtverhältnisse über die digitale Infrastruktur.

National ist bisher weder Geschwindigkeit noch Inhalt identisch. So ist das Gesetzgebungsverfahren in vielen europäischen Ländern noch gar nicht abgeschlossen. Zudem sind viele Regelungen in den Mitgliedsstaaten unterschiedlich oder noch gar nicht umgesetzt. Parallel herrschen immer noch Diskussionen um Zuständigkeiten, die ungeachtet der digitalen Machtverteilung getroffen wurden. Durch die Firmensitze in Irland fallen alle US-Riesen nicht mehr unter nationale Überwachung, und es bleibt ein Hoffen auf einen Durchgriff der irischen Datenschutzbehörde. Selbst erste Teilerfolge, die in Deutschland errungen wurden, sind durch den Zuständigkeitswechsel wieder obsolet. Somit konzentriert sich alle Energie der nationalen Behörden auf die lokale Industrie, während die US-Firmen, die über 50 Prozent des digitalen europäischen Geschäfts ausmachen, von einer kleinen Behörde in Irland überwacht werden. Am Anspruch der DSGVO gemessen, wirken die geahndeten Fälle dann auch eher wie Tickets für „Falsch parken“ – denn für die wirklich großen Daten-Player sind die einzelnen Länder ja nicht mehr zuständig.

Einen weiteren handwerklichen Fehler der DSGVO müssen die Internet-Nutzer tagtäglich mit ihren Milliarden Klicks auf Cookie-Laschen – oder in der analogen Welt durch Aufklärungsbögen – ausbaden. Seit Inkrafttreten der DSGVO sind Cookie-Hinweise, vom einfachen Cookie-Banner bis hin zu ganzen Cookie-Walls inflationär geworden, denn für weniger kritische Daten wie z.B. Cookies gelten die gleichen Anforderungen wie für das Verarbeiten von Daten zu Gesichtserkennung, Finanzstatus oder Gesundheit. Das ist nicht nur nervig, sondern auch sehr gefährlich, denn durch die Einwilligungsflut wird kein Nutzer wirklich in der Lage sein, kritische und unkritische Freigaben zu unterscheiden und es entsteht die sog. „Klick-Müdigkeit“. Hinzu kommt, dass durch das Agieren der Browser als Gate-Keeper die Hälfte der mühsam erzielten Cookie-Einwilligungen ohnehin wertlos ist.

Die Infrastruktur für die Arbeit mit Einwilligungen fehlt

Wer mit Einwilligungen arbeiten muss, braucht also eine verlässliche Infrastruktur, um diese überhaupt verwalten und nutzen zu können. US-Unternehmen haben auch dieses Problem für sich gut gelöst, denn sie verfügen über – entweder im sozialen Netzwerk, im Shop, per E-Mail oder Betriebssystem – eingeloggte Nutzer, die man auch vorbei an allen Browsern identifizieren kann.

Dies zeigt ein weiteres großes Problemfeld in der Umsetzung auf, nämlich das Fehlen einer wirklich neutralen digitalen Infrastruktur, die Nutzern und Unternehmen überhaupt den Rahmen zum freien Agieren im Sinne der DSGVO schafft. Sämtliche kritische digitale Infrastruktur, wie Betriebssysteme, anhängende App Stores oder Browser, sind in Händen der US-Riesen, die diesen strategischen Hügel zur Durchsetzung ihrer Interessen auszuspielen wissen. Ein Android-Handy fragt bei Erstinstallation nach der Gmail-Adresse, der Kunde findet anschließend zahlreiche Vorinstallationen und Voreinstellungen wie zum Beispiel die sehr lukrative Suche. Apple setzt nun noch eins drauf und wirft ab Juli alle Apps mit Single Sign On (die also die Verwendung eines Drittkontos zur Anmeldung erlauben) aus dem App-Store – wenn sie nicht auch die Apple ID verbauen, an der dann natürlich die digitale Identifikation und zahlreiche Zusatzservices wie Zahlsysteme et cetera hängen. So geht Digitalpolitik – nur leider gänzlich ohne europäische Gesetzgeber.

Wenn Europa diesen Trend umdrehen will, muss es endlich für eine einheitliche Umsetzung sorgen, die Überwachung des Datenschutzes mit Ressourcen so verteilen, dass nicht eine nationale Behörde über die Hälfte des digitalen Marktes verantwortet, und vor allem auch eine neutrale Infrastruktur schaffen, mit der Nutzer und Unternehmen die Idee der Datensouveränität auch umsetzen können. Für Letzteres braucht Europa jetzt dringend einen gemeinsamen Vorstoß, sonst bleiben nicht nur die Ziele der DSGVO, sondern auch die der europäischen Digitalisierung nur geträumt.

Oetjen, Jan Über den Autor/die Autorin:

Jan Oetjen ist Geschäftsführer von WEB.DE und GMX sowie Stiftungsratmitglied der European NetID Foundation.