Drei Jahre DSGVO – eine Bilanz

Datenschutzregeln europäisch zu vereinheitlichen war und ist die richtige Entscheidung. Nach drei Jahren muss man aber bilanzieren: Die DSGVO hat ihr wichtigstes Ziel, die europaweite Harmonisierung von Rechtsrahmen und -praxis des Datenschutzes, verfehlt.

Es gibt zu viele Klauseln, die nationale Sonderwege ermöglichen. Die Abstimmung unter 27 Aufsichtsbehörden auf EU-Ebene zu einer einheitlichen Auslegung und Durchsetzung der Regeln funktioniert in der Praxis nur schleppend.

Und allein in Deutschland sind 18 Aufsichtsbehörden mit einer häufig unterschiedlichen Auslegung der DSGVO mit der Umsetzung befasst. Diese regionale Kirchturmpolitik im Datenschutz muss beendet, die Datenschutzaufsicht muss neu geordnet werden.

Viele Unternehmen sind selbst nach drei Jahren DSGVO unsicher in der Anwendung. Umfangreiche Prüfungen und langwierige Debatten zu vermeintlichen oder tatsächlichen Datenschutzproblemen binden Ressourcen, die anderswo gebraucht würden.

Aus Sorge vor teilweise existenzbedrohenden Bußgeldern wird im Zweifelsfall auf Innovationen verzichtet oder sie verzögern wichtige Digitalisierungsvorhaben.

Das hat Auswirkungen, die weit über das einzelne Unternehmen hinausgehen und auch Bestrebungen nach mehr Digitaler Souveränität behindern.

Insbesondere in der Corona-Pandemie konnte in der öffentlichen Verwaltung, in Schulen, im Gesundheitswesen und in Unternehmen beobachtet werden, wie der Datenschutz den sinnvollen Einsatz von Technologien gehemmt oder ganz verhindert hat.

Hinzu kommt, dass die Unternehmen feststellen mussten, dass der hohe Umsetzungsaufwand bei der Einführung der DSGVO nicht einmalig war, sondern bei der Einführung jeder digitalen Lösung erneut entsteht.

Die Corona-Pandemie hat gezeigt, dass die DSGVO in der Praxis zu oft versagt und an den eigentlichen Herausforderungen vorbeigeht. Aus primär theoretischer Perspektive am Grünen Tisch entworfen, wird immer deutlicher, dass die DSGVO an vielen Stellen praxisuntauglich ist.

Der Datenschutzrahmen bedarf daher dringend der Überarbeitung.

Unabhängig davon müssen wir zu einer einheitlichen Auslegung der DSGVO in Europa kommen. Grundsätzlich hat jede Entscheidung in Spanien oder Frankreich auch Bedeutung für den Mittelständler in Deutschland – nur kann er diese nicht im Blick behalten und schon gar nicht beeinflussen.

Und er kann sich nicht darauf verlassen, dass die an seinem Hauptsitz zuständige Aufsicht ähnlich entscheiden würde.

Zum anderen müssen viel stärker als bisher Umsetzungshilfen geliefert werden. Es reicht nicht, Verbote und Strafen auszusprechen, sondern es muss auch gezeigt werden, wie die Vorgaben rechtskonform so umgesetzt werden können, dass auch deutsche Unternehmen und Organisationen die Möglichkeiten datengetriebener Plattformen umfassend nutzen und ihre Kunden international betreuen können.

Die Politik ist gefordert, die Aufsichtsbehörden hier stärker in die Pflicht zu nehmen und die Datenschutzaufsicht in Deutschland neu zu ordnen.