Was hat die DSGVO den Nutzern gebracht?

Vor 5 Jahren wurden in Europa neue Datenschutzregeln eingeführt. Dadurch stieg einerseits das Bewusstsein bei Firmen, die hohe Strafen fürchteten, andererseits bei Nutzer*innen, denen klarer wurde, was mit ihren persönlichen Daten im Internet passiert, weil ständig darüber berichtet wurde.

Als die neuen Regeln in Kraft getreten sind, haben sich von kleinen Website-Betreiber*innen bis zu großen Unternehmen zuerst alle vor den Änderungen gefürchtet. Es wurde gejammert, dass alles so kompliziert sei und von einer „Datenschutz-Hysterie“ gesprochen. Einige kleinere Betriebe haben ihre Newsletter aufgegeben, andere haben hohe Beträge dafür gezahlt, dass ihre Website korrekt angepasst wird. Viele heimische Unternehmen haben die Verordnung ernst genommen, und ihr entsprochen.

➤ Mehr lesen: "Neue Datenschutzregeln sorgen für eine unglaubliche Hysterie"

Auskunftsrechte

Für Internet-Nutzer*innen hat das unter anderem bedeutet, dass es seither auf jeder Website eine eigene Seite gibt, auf der sie nachsehen können, wie ihre Daten vom Betreiber verarbeitet werden. Wer möchte, kann von Unternehmen außerdem ein Dokument anfordern, das Auskunft darüber gibt, was für Daten über seine Person gespeichert werden. Diese Möglichkeit gab es zwar schon vorher, wurde aber weit weniger ernst genommen und war weit weniger Menschen und Firmen klar, als nach dem Inkrafttreten der DSGVO.

Datenskandal bei der Post

Ein solches „Auskunftsbegehren“ sowie eine Recherche von „addendum“ deckten 2019 auch auf, dass die österreichische Post für 2,2 Millionen Österreicher*innen eine Bewertung der Affinität zu bestimmten politischen Parteien gespeichert und an Werbetreibende verkauft hatte - und zwar ohne Zustimmung der Betroffenen. Die Post wurde daraufhin zu einer Geldstrafe von 18 Millionen Euro verurteilt, die allerdings wegen eines „Formfehlers“ wieder aufgehoben wurde.

Millionen musste die Post jedoch trotzdem zahlen, und zwar an die betroffenen Nutzer*innen, die sich bei Cobin Claims, einer Plattform für Sammelaktionen, gemeldet hatten. Bis zu 1.350 Euro Schadenersatz konnten für rund 2.000 Betroffenen in einem Vergleich ausverhandelt werden. Das sind 2,7 Millionen Euro. Die Post hat außerdem den Verkauf der Daten über politische Einstellungen eingestellt.

➤ Mehr lesen: Österreichische Post verkauft Daten über politische Vorlieben

Aufgrund einer Einzelklage gegen die Post wegen derselben Angelegenheit, also der vermeintlichen Zugehörigkeit zu einer bestimmten Partei, gab es unlängst auch ein EuGH-Urteil. Dieses schafft nun generell für alle Nutzer*innen Klarheit darüber, dass Nutzer*innen prinzipiell ein Recht auf Schadenersatz haben, wenn ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden. So manch ein Jurist wollte das nämlich bezweifeln.

Angst vor Reputationsschäden statt Strafen

Da derartige Geldstrafen wie die der Post aber bisher relativ selten sind, fürchten Unternehmen heute in erster Linie Reputationsschäden durch Verstöße gegen die DSGVO, und weniger die Strafen. Viele Verfahren enden in Österreich laut der Datenschutzorganisation noyb, die vom Aktivisten Max Schrems gegründet wurde, zudem ohne Feststellung einer Rechtsverletzung. Die nationale Auslegung des Datenschutzgesetzes erlaubt den Firmen außerdem, Rechtsverletzungen bis zum Ende des Verfahrens zu beseitigen und so eine formlose Verfahrenseinstellung zu erzielen. Doch wie eine Karte von noyb zeigt, gibt es in jedem EU-Land andere Probleme bei der Umsetzung der DSGVO.

Unbeliebte Cookie-Banner

Das, was hingegen viele Internet-Nutzer*innen regelmäßig auf die Palme bringt, ist die Einführung von irritierenden Cookie-Bannern auf Websites. Jeder, der eine Website im Netz besucht, muss zuerst einen dieser lästigen Banner an- oder wegklicken, um den Inhalt auf der Seite sehen und lesen zu können. Das empfinden viele als nervig.

Das Beispiel zeigt aber auch, dass es über manche Punkte der DSGVO juristischen Klärungsbedarf gibt. Viele Firmen haben sich die Praxis angewöhnt, die Ablehnung der gesammelten Cookies zu erschweren, oder die Vorauswahl für Nutzer*innen automatisch zu treffen. Noyb hat insgesamt 700 Beschwerden wegen Cookie-Banner in ganz Europa eingereicht. Es hat Jahre gedauert, bis Datenschutzbehörden dazu erste Entscheidungen getroffen haben und der Europäische Datenschutzausschuss (EDSA) sich zu Empfehlungen für faire Cookie-Banner geäußert hat.

Rechtsdurchsetzung

Datenschutzverfahren dauern oft extrem lange und müssen häufig vor dem Gericht eingeklagt werden. Diese Erfahrung musste ich auch selbst machen, als ich wegen der verweigerten Rechtsauskunft von der US-Plattform Clubhouse bei der Datenschutzbehörde eine Beschwerde eingereicht hatte. Es hatte insgesamt 1,5 Jahre gedauert, bis ich meine Daten bekam. Der Fall landete beim Bundesverwaltungsgericht.

➤ Mehr lesen: Ich habe 1,5 Jahre mit Clubhouse um meine Daten gekämpft

„Die Realität hat gezeigt, dass die EU nicht in der Lage war, eine Durchsetzungskultur zu schaffen. Die aggressiveren Unternehmen haben schnell erkannt, dass die Konsequenzen größtenteils nur auf dem Papier existieren und haben ihre Geschäftsmodelle fortgesetzt“, sagt Schrems. Dazu zählen auch die Tech-Giganten aus den USA.

Meta mit Rekordstrafe belegt

Gegen Meta wurde diese Woche demonstrativ vor dem Jahrestag der DSGVO eine Rekordstrafe von 1,2 Milliarden Euro verhängt, weil die Daten der Nutzer*innen in den USA nicht angemessen geschützt werden können. Doch wie es mit den Daten der europäischen Nutzer*innen, die in die USA übertragen werden, weitergeht, ist noch immer unklar. Das kann aber auch nicht die DSGVO regeln, sondern muss sowohl in der EU, als auch in den USA politisch an oberster Stelle entschieden werden.  

➤ Mehr lesen: 1,2 Milliarden Rekordstrafe für Facebook

Fazit

Die DSGVO hat vor allem mehr Bewusstsein für Nutzer*innen, die ihre Daten im Netz preisgeben und für Firmen, die diese Daten verarbeiten, geschaffen. Es mangelt aber mancherorts an der Durchsetzbarkeit. Verfahren, die mehrere Jahre dauern, sind für Nutzer*innen abschreckend. Zahlreiche Firmen fanden in dem Gesetzestext zudem Schlupflöcher, die sich zum Negativen für Internet-Nutzer*innen ausgewirkt haben.