Das befürchtete Chaos blieb aus

Cornelia Ernst und Lorenz Krämer über die Datenschutzgrundverordnung

Vor vier Monaten, am 25. Mai, trat die Datenschutzgrundverordnung (DSGVO) in Kraft. Die damalige Aufregung hat sich gelegt. Die vielerorts befürchtete Abmahnwelle ist ausgeblieben. Weder haben wir von mittelständischen Betrieben gehört, die trotz gesunden Geschäfts plötzlich wegen der DSGVO aufgeben mussten, noch sind unsere Lieblingsseiten aus dem Netz verschwunden. Auch wenn die große Panik sich als unbegründet heraus stellte, so lief doch nicht alles reibungslos ab.

Gerade kleine und mittelgroße Vereine sowie Unternehmen hatten berechtigt Sorgen, fehlen ihnen doch oft die Ressourcen, um an zuverlässigen Rat und Unterstützung zu kommen. Für sie sah es so aus, als würde ihnen ein weiterer bürokratischer Aufwand auferlegt. Hätte man nicht einfach Vereine, kleine und mittlere Unternehmen, non-profits und viele andere einfach von der Anwendung ausnehmen können?

Geradezu skurril wurde es, als kurz vor den Sommerferien bekannt wurde, dass in manchen Schulen die Zeugnisse plötzlich wieder von Hand geschrieben werden mussten. Das Befremden der betroffenen Lehrer*innen lässt sich allzu gut nachempfinden. Im Jahr 2018, wo Computer allgegenwärtig sind, können sie plötzlich nicht mehr für die Zeugnisse der Kinder benutzt werden? Zudem geht es hier um staatliche Einrichtungen, die auf den Einsatz von moderner Technologie verzichten, weil sie von der neuen Rechtslage überrumpelt wurden. Wie kommt so etwas zustande?

Wer sich mit diesen Beispielen auseinander setzt, bemerkt schnell, dass es hier etwas gibt, das die Engländer den „Elefanten im Raum“ nennen. Damit meinen sie etwas Großes, Augenfälliges, das aber niemand benennen mag. In unserem Fall besteht der „Elefant“ darin, dass es in der Bundesrepublik seit mittlerweile 40 Jahren ein Datenschutzgesetz gibt, dessen System sowohl der europäischen Regelung von 1995 als auch der DSGVO Pate stand. Ebenso lange schon überwachen Aufsichtsbehörden die Umsetzung. Allerdings haben sie zumeist zu wenig Personal. So verwundert es nicht, dass in vielen Vereinen und Unternehmen die exakte Umsetzung des Datenschutzes nicht an erster, sondern eher an letzter Stelle stand. Mit einigem Recht lässt sich vermuten, dass Verstöße gegen den Datenschutz alltäglicher sind als Schwarzarbeit. In vielen Vereinen und Betrieben hat man diesen Zusammenhang inzwischen bemerkt und sich daran gemacht, auch an dieser Stelle gesetzeskonform zu arbeiten. Und auch wenn die Datenschutzbehörden jeder/m Datenverarbeiter*in zuerst beratend zur Seite stehen müssen, bevor sie überhaupt Strafen verhängen können, berichten sie quer durch die EU davon, dass die Zahl der eingegangenen Beschwerden deutlich angestiegen ist.

Davon, dass der Datenschutz auch in den Landesbehörden nicht allzu hoch auf der Tagesordnung gestanden hat, zeugt die Episode um die Zeugnisse. Allerdings liegen die Probleme noch etwas tiefer. Von vereinzelten Ausnahmen einmal abgesehen, hat man sich in der Fläche offenbar bisher nicht weiter darum gekümmert, wie die Verwaltung in der Schule rechtskonform gestaltet werden kann. Den Mangel an Computern im Lehrer*innenzimmer hat man 20 Jahre lang ignoriert, anstatt schon unter dem vorigen Rechtsrahmen Klarheit zu schaffen, wie und unter welchen Bedingungen die Daten von Schülerinnen und Schülern auf den privaten Rechnern ihrer Lehrer*innen verarbeitet werden dürfen.

Ein wesentlicher Teil der Probleme liegt damit nicht daran, dass die neuen Regelungen so kompliziert oder aufwendig wären, sondern daran, dass wir uns daran gewöhnt hatten, den Datenschutz zu ignorieren. Paradox mutet es dagegen an, dass sich ein komplett gegensätzliches Bild ergibt, wenn man sich die großen Player im Datengeschäft ansieht. Zwar hatte man sich auch bei Facebook daran gewöhnt, dass Verstöße gegen den Datenschutz keine allzu schlimmen Konsequenzen nach sich ziehen, aber man betonte zugleich aber immer, sich sehr gut auf die DSGVO vorbereitet zu haben, und sie auch einzuhalten. Ob Facebook die Regeln der DSGVO einhält, werden die Aufsichtsbehörden und Gerichte entscheiden. Klagen gegen die pünktlich zum 25. Mai aktualisierten Geschäftsbedingungen wurden noch am selben Tag eingereicht, und man kann davon ausgehen, dass die Fälle durch alle Instanzen gehen werden. Ob man bei Facebook also tatsächlich vorhat, so wie die überwiegende Mehrheit der Unternehmen die neuen Regeln ehrlich nach Gesetz umzusetzen, anstatt im Sinne des Profits das Recht zu beugen, wird sich zeigen.