Die Datenschutz-Grundverordnung (DSGVO) sorgt wenige Wochen nach ihrer Einführung für Ärger und Verwirrung. Datenschutz-Experte Winfried Veil erläutert im DHZ-Interview, wo er Konstruktionsfehler sieht und warum es besser wäre, nur missbräuchliche Datenverwendung zu sanktionieren.
Daniela Lorenz
DHZ: Herr Veil, die Meinungen zur EU-Datenschutz-Grundverordnung gehen auseinander. Viele Menschen empfinden sie als Schikane.
Winfried Veil: Den Begriff "Schikane" würde ich nicht verwenden. Das würde ja bedeuten, dass KMU in böswilliger Absicht belastet würden. Man muss den meisten Machern der DSGVO schon zugestehen, dass sie aus Überzeugung das Gute wollten. Das macht es im Ergebnis natürlich nicht besser. Die DSGVO folgt dem "one size fits all"-Ansatz. Das heißt, grundsätzlich werden alle Datenverarbeiter gleich behandelt. Es gibt für KMU nur eine halbe Ausnahme von einer der vielen Pflichten. Und natürlich ist es für KMU ein verhältnismäßig größerer Aufwand, wenn sie dieselben bürokratischen Informations-, Nachweis-, Dokumentations- und Rechenschaftspflichten erfüllen müssen wie die großen Unternehmen, die Heerscharen von Anwälten und Beratern einsetzen.
DHZ: Man hat den Eindruck, dass die DSGVO die Wirtschaft, aber auch Vereine und staatliche Stellen eher unvorbereitet trifft. Haben die üblichen Frühwarnsysteme versagt?
Veil: Naja, die Regelungen sind vor zwei Jahren in Kraft getreten. Es gab also eine Umsetzungsfrist. In der Fachöffentlichkeit wurde diese auch intensiv genutzt. Praxishilfen und Leitfäden von Beratern und Verbänden, Stellungnahmen der Aufsichtsbehörden, Gesetzeskommentare von Juristen – das alles liegt in fast unüberschaubarer Menge vor. Aber offenbar gab es zu wenig Transmissionsriemen, um all das in der Fläche zu verbreiten. Man muss allerdings auch sagen, dass selbst die Aufsichtsbehörden mit manchen ihrer Aufgaben im Verzug sind. Aber das hilft den Vereinen und Unternehmen natürlich nicht.
Winfried Veil ist Referent im Bundesministerium des Innern, für Bau und Heimat. Der Jurist war auf Seiten der Bundesregierung an den Verhandlungen zur DSGVO beteiligt und ist Mitherausgeber und Autor eines Kommentars zur DSGVO. Die Antworten geben ausschließlich die persönliche Meinung des Autors wieder.
DHZ: Ist die DSGVO gut gedacht, aber schlecht gemacht?
Veil: Nein, ich sehe die Grundkonzeption des Datenschutzrechts als verfehlt an. Sie geht davon aus, dass es kein belangloses Datum gibt, dass deshalb umfangreiche Risikovorsorge erforderlich ist und dass jeder Datenverarbeiter schon präventiv jede Menge Pflichten zu erfüllen hat. Die DSGVO ist die Perfektionierung dieser verfehlten Grundkonzeption. Wer das Grundkonzept gut findet, kann nicht behaupten, die DSGVO sei "nur schlecht gemacht". Das gegenteilige Konzept sieht vor, sich auf die Datenverwendung zu konzentrieren und vor allem missbräuchliche Datenverwendungen zu sanktionieren. Doch dieses Konzept ist in Deutschland seit langem nicht mehrheitsfähig. Vielleicht ändert sich das, wenn die Folgen der Überregulierung durch die DSGVO offenbar werden.
DHZ: Was hätte der Gesetzgeber besser machen müssen?
Veil: Ich sehe viele Konstruktionsfehler. Der Bäcker um die Ecke ist nicht Google. Es müsste eine viel stärkere Differenzierung zwischen unterschiedlich riskanten Datenverarbeitungen geben. Der Bäcker um die Ecke ist auch nicht das Finanzamt. Es müsste stärker zwischen privaten und staatlichen Datenverarbeitern differenziert werden. Auch schlimm: jeder Datenverarbeiter muss gegenüber den Datenschutzaufsichtsbehörden seine Unschuld nachweisen. Normalerweise gilt der Einzelne im Rechtsstaat bis zum Beweis des Gegenteils als unschuldig. Und diesen Beweis muss der Staat erbringen. Ich meine auch, dass alltägliche, nicht-kommerzielle oder gefahrlose Datenverarbeitungen nicht dem strengen Datenschutzregime unterfallen dürften.
DHZ: Wie zeitgemäß sind die Vorstellungen von Datenschutz, die in der DSGVO zum Tragen kommen?
Veil: Die Grundkonzeption der DSGVO stammt aus den 70er und 80er Jahren des vorigen Jahrhunderts. Damals ging es um einzelne Daten, die von einem einzelnen Datenverarbeiter in einer zentralen Datenverarbeitungsanlage verarbeitet wurden. Die DSGVO geht immer noch von denselben Prämissen aus und behandelt Daten im Grunde wie einzelne Gegenstände. Big Data, das Internet der Dinge, Blockchain, Cloud Computing, Profiling, Algorithmen – all dies wird von der DSGVO nicht adressiert. Selbst alltägliche Fragen des digitalen Lebens sind umstritten, z.B. Facebook-Fanpages, der Like-Button, die Nutzung von Whatsapp. Natürlich sind die Datenschutzexperten gut darin, Krückenlösungen im geltenden Datenschutzrecht zu finden. Als zukunftstauglich kann man dies aber kaum bezeichnen.
DHZ: Wie wird sich das auf die Wettbewerbsfähigkeit der deutschen beziehungsweise europäischen Wirtschaft auswirken?
Veil: Dies ist extrem schwer vorherzusagen. Viele Faktoren spielen dabei eine Rolle. Klar ist, dass die DSGVO erheblichen Erfüllungsaufwand verursacht. Diese Bürokratiekosten müssten an sich allen EU-Unternehmen gleichermaßen entstehen. Ob in Deutschland genauer hingeguckt wird als in anderen Mitgliedstaaten, ist Spekulation. Datengetriebene Innovationen und wissenschaftliche Forschung werden durch die Regeln der DSGVO natürlich behindert. Ihre Entwicklung wird noch mehr als heute in anderen Teilen der Welt stattfinden. Die Apologeten der DSGVO sagen, der vermeintlich hohe Datenschutz werde zu einem Wettbewerbsvorteil für Europa. Ich hege da Zweifel. Bequemlichkeit und Usability siegen meistens. Google und Facebook bekommen jede Einwilligung, das unbekannte Start-up aus Niedertupfingen nicht. Kollateralschaden der DSGVO könnte daher am Ende sogar eine Stärkung der großen US-Firmen sein.
DHZ: Nachdem die DSGVO in Kraft ist: Haben Sie einen Rat für kleine und mittlere Handwerksbetriebe?
Veil: Ich möchte jetzt nicht in der Haut eines Unternehmers stecken. Das geltende Recht ist einzuhalten. Hundertprozentige Compliance dürfte aber nicht zu erreichen sein. Außerdem sind viele, viele Rechtsfragen noch offen. Man sollte sich einen vertrauenswürdigen Berater suchen und die verschiedenen Hilfestellungen der Verbände zu Rate ziehen. Wenn man Zeit und Geld hat, könnte man die Gelegenheit ergreifen und seine gesamte IT auf Vordermann bringen. Wenn nicht, sollte man wenigstens die Mindestanforderungen der DSGVO in Angriff nehmen.