Im Tagesspiegel Background schreibt Frederick Richter aus dem Vorstand der Stiftung Datenschutz, es brauche „Wege aus der Überlastung“ der Datenschutzaufsichtsbehörden, die mit der „stetig steigenden Flut an Beschwerden“ nicht fertig würden. Dabei stützt er sich auf Narrative, die das Grundrecht auf Datenschutz angreifen wollen und aus Richtung der Stiftung Datenschutz verwundern.
Motiviert scheint der Artikel unter anderem durch den Tätigkeitsbericht des BayLDA für 2025. Dieser spricht von einem „sprunghafte[n] […] Anstieg“ von Beschwerden, die aus der Sicht des Präsidenten des BayLDA, Michael Will, ambivalent zu bewerten sind. Den Anstieg führt Will unter anderem darauf zurück, dass LLM-Chatbots die Aufsichtsbehörden als Handlungsoption zur Rechtsdurchsetzung empfehlen. Trotz ihrer Quelle ist diese Empfehlung natürlich völlig korrekt, auch wenn es eine durchaus gruselige Demonstration der Macht von Chatbot-Unternehmen ist, wenn eine solche generierte Empfehlung zu so einem dramatischen Anstieg an Beschwerden führen kann. Will und Richter beklagen jedoch nicht diesen Umstand, sondern erklären, viele der Beschwerden hätten gar kein „wirkliches“ Interesse am Datenschutz. Dieses Narrativ findet sich häufig, wenn es darum geht zu begründen, warum das Datenschutzrecht eingeschränkt werden soll: Bürger_innen würden das Datenschutzrecht nur missbrauchen, um ihr eigentliches, „datenschutzfremdes“ Interesse durchzusetzen. Will nennt hier als Beispiele Versicherungs-, Sorgerechts- und Kündigungsschutzstreitigkeiten, die eigentlich im Vordergrund stünden.
Doch diese Erzählung lenkt das Augenmerk in die falsche Richtung und verkennt den Kern des Datenschutzes. Denn dieser ist unter anderem deshalb ein Grundrecht, weil er für das Funktionieren einer liberalen, demokratischen Gesellschaft essentiell ist. Die Informationen kontrollieren zu können, die andere über eine_n verarbeiten, ist oft notwendig, um Machtungleichgewichte in Streitigkeiten auszugleichen. Zum Beispiel am Arbeitsplatz liegt die Kontrolle über die Daten, auf deren Grundlage eine Kündigungsentscheidung getroffen werden könnte, völlig bei der Arbeitgeber_in. Ohne die Möglichkeiten des Datenschutzes könnte diese ihre Position einfach ausnutzen und die Herausgabe von relevanten Informationen verweigern. Deswegen ist das Datenschutzrecht gegenüber Unternehmen ebenso attraktiv und notwendig wie Transparenzrechte gegenüber dem Staat. Es geht darum, das Informationsungleichgewicht auszugleichen, um handlungsfähig zu werden. Dass es zu vielen Beschwerden kommt, hat auch viel damit zu tun, dass es Unternehmen oft egal ist, sich an geltendes Recht zu halten, und sie stattdessen lieber Rechtskonstruktionen erfinden, um ihre Machtposition zu wahren. Die Behörden sollten hier eigentlich besonders aufpassen.
Leider zeigt die Erfahrung aus acht Jahren Anwendung der DSGVO ohnehin ein ganz anderes Bild als der Artikel vermittelt. Eine Beschwerde ist in der Praxis alles andere als ein schnelles und niederschwelliges Verfahren, um die eigenen Rechte zu verteidigen. Verfahren ziehen sich nicht ausnahmsweise, sondern in aller Regel, über etliche Jahre hin und in der Zwischenzeit herrscht vonseiten der Behörde nicht selten Funkstille, welche den Betroffenen den nachvollziehbaren Eindruck aufdrängt, die Beschwerde sei vergessen worden oder aufgrund eines „Büroversehens“ untergegangen1. Wo sogar Untätigkeitsklagen gegen die Aufsichtsbehörden selbst nötig sind, kann wohl kaum von einer komfortableren Rechtsdurchsetzung gesprochen werden. Und dieses Phänomen ist keineswegs dem Beschwerdeanstieg der letzten Jahre geschuldet, sondern lässt sich seit Anwendbarkeit der DSGVO beobachten und das eben auch bei Beschwerden, die wohl dem vorgebrachten Reinheitsanspruch genügen sollten.
Gleichzeitig ist weithin bekannt, wie akut eine konsequente Durchsetzung des Datenschutzrechts eigentlich nötig wäre. Um nur einige Beispiele für die umfassend dokumentierten allgegenwärtigen Rechtsverstöße aus den Schwerpunkten unserer Arbeit zu nennen: Eine Analyse von noybs Auskunftsanfragen zeigte, dass nicht einmal 17 % davon nach geltendem Recht ausreichend beantwortet wurden. Studien zu Tracking im Web zeigten, dass zwischen 49 % und 75 % der Webseiten Tracking durchführen, bevor die Nutzer_innen mit einem Einwilligungsdialog interagieren oder sogar nachdem sie diesen ausdrücklich abgelehnt haben. Etwa 90 % der Einwilligungsdialoge in Webseiten und Apps verwendeten mindestens ein Dark Pattern, das in Orientierungshilfen von Datenschutzaufsichtsbehörden ausdrücklich als Verstoß gegen die Bedingungen für eine gültige Einwilligung nach der DSGVO beschrieben wird. Und in einer Umfrage von mehr als 1.000 Datenschutzexpert_innen rechneten mehr als 74 % der Befragten aus eigener Erfahrung damit, dass eine Vor-Ort-Kontrolle in einem durchschnittlichen Unternehmen „relevante Verstöße“ finden würde. Dabei wäre eine Durchsetzung durch die Aufsichtsbehörden durchaus effektiv. Mehr als zwei Drittel der Befragten gaben an, dass Geldbußen gegen das eigene Unternehmen zu mehr Compliance führen würden, während mehr als 61 % dies sogar bei Bußgeldern gegen andere Organisationen erwarten.
Hier von einem überbordenden Anspruch an die Datenschutzaufsicht sprechen, die übereifrig „jeglichem kleinen Missstand nachgehen“ soll, und daher „mehr Spielraum hinsichtlich des Ob und des Wie einer Bearbeitung“ fordern, kann nur, wer nie selbst ein Beschwerdeverfahren aus Betroffenensicht erlebt hat. Fakt ist, dass viele Organisationen die DSGVO nur als eine freundliche Empfehlung behandeln, die auch getrost ignoriert werden kann. Es ist der Auftrag der Aufsichtsbehörden, an dieser Haltung etwas zu ändern. Und dieser ist ihnen in Art. 57 DSGVO gesetzlich vorgeschrieben und nicht etwa idealistischer Traum oder unhilfreiche Erwartungshaltung. Dass die Aufsichtsbehörden mit dieser Aufgabe überfordert sind, ist auch nicht die Schuld derer, die ihr Beschwerderecht gebrauchen, sondern die von Gesetzgeber_innen, welche die Behörden nicht mit ausreichend Mitteln, Personal, Handlungsmacht und Rückgrat ausgestattet haben, um ihrem Auftrag nachzukommen.
Dies als gegeben hinzunehmen und angesichts dessen die Beschwerderechte noch zurückzuschneiden, wäre eine gefährliche Kapitulation, die betroffene Personen in einem massiven Machtungleichgewicht alleine ließe. Anders als Richter behauptet, war es auch sehr wohl beim Schreiben der DSGVO abzusehen, dass die Behörden mit vielen Beschwerden zu tun bekommen würden. Denn auch damals hatten etwa Plattformen mit zweifelhaften Datenschutzvorstellungen bereits Millionen von Nutzer_innen in Europa. Die mangelnde Ausstattung der Behörden kann deshalb auch als Absicht gedeutet werden. Hier sogenannte „KI“ als Heilsbringer für die Unterausstattung der Behörden vorzuschlagen, und noch dazu pauschal ohne jegliche Erklärung, wie dies aussehen soll, wirkt vor diesem Hintergrund und den allgemein bekannten erheblichen Bedenken gegen solche Systeme – nicht zuletzt (oder vorrangig) aus Datenschutzsicht – geradezu polemisch. Wir prophezeien eher einen noch deutlich höheren (und völlig gerechtfertigten) Anstieg der Beschwerden gegen „KI“-Systeme.
Schön wäre es wegen alldem, wenn die enttäuschten aktiven Nutzer_innen der DSGVO sich zusammenschließen und ihrer Enttäuschung gemeinschaftlich Ausdruck verleihen würden, anstatt sie als ein individuelles Phänomen und Problem zu verstehen.
Diese Entschuldigung wurde uns tatsächlich in einem Verfahren gegeben, nachdem es über ein halbes Jahr lang nicht einmal eine Eingangsbestätigung zu unserer Beschwerde gegen die Weitergabe von sensiblen Trackingdaten durch eine Dating-App gab. ↩︎
am
veröffentlicht unter: Creative Commons Namensnennung 4.0 International Lizenz Wege aus der Überlastung
Titelfoto angepasst nach: „brown wooden cross on green grass field under white clouds during daytime“ von Antonio Feregrino (Unsplash-Lizenz)