Kommentar: Die DSGVO ist gegen Tech-Konzerne wie Facebook nur ein stumpfes Schwert
Mit der DSGVO kann die EU Datenschutzverstöße von Tech-Konzernen ahnden.
Foto: dpaDie EU-Kommission kommt regelrecht ins Schwärmen, wenn sie über die seit zwei Jahren europaweit geltende Datenschutz-Grundverordnung spricht. „Die DSGVO ist eine Erfolgsgeschichte geworden“, sagte Vizekommissionschefin Vera Jourova am Mittwoch bei der Vorstellung der ersten Bilanz der Brüsseler Behörde.
Da darf dann auch der Hinweis im Evaluierungsbericht nicht fehlen, dass die EU mit den neuen Datenschutzregeln eine weltweite Führungsrolle eingenommen und einen neuen Standard bei der Regulierung der digitalen Wirtschaft gesetzt habe.
Dass die DSGVO bereits im Ausland Nachahmer gefunden hat, ist unbestritten: In Kalifornien beispielsweise ist zum Jahreswechsel ein Datenschutzgesetz in Kraft getreten, das sich an der strengen europäischen Gesetzgebung orientiert.
Darüber, wie sich Vorschriften in Europa bewährt haben, sagt das gleichwohl nichts aus. Im Gegenteil: Bei genauem Hinsehen wird nämlich schnell deutlich: Der Mittelstand und kleine Unternehmen kämpfen nach wie vor mit der Umsetzung. Und auch nicht alle staatlichen Aufsichtsbehörden sind in der Lage, die DSGVO konsequent anzuwenden, auch wenn vereinzelt schon Bußgelder verhängt wurden.
Das ist vor allem dann hochproblematisch, wenn bei kleinen Firmen der Eindruck entsteht, dass ihnen strenger auf die Finger geschaut wird als großen, internationalen IT-Konzernen. Das ist tatsächlich ein großes Manko.
Eigentlich hat Europa mit der DSGVO ein machtvolles Instrument, um Datenschutzverstöße von Facebook, Twitter oder Google zu ahnden. Die Regeln sehen bei Verstößen Geldbußen von bis zu vier Prozent des Jahresumsatzes eines Unternehmens vor. Doch schon im Fall Facebook wird deutlich: Bei der Durchsetzung des europäischen Datenschutzrechts hapert es gewaltig.
Brüssel hat Problematik erkannt
Bei den zuständigen irischen Datenschützern laufen seit Mai 2018 elf Untersuchungen gegen den Konzern. Keiner dieser Fälle ist bisher abgeschlossen. Daran wird deutlich, woran die DSGVO krankt: Bei großen, grenzüberschreitenden Datenschutzvorfällen erweist sich das Regelwerk als stumpfes Schwert.
Immerhin muss man der EU-Kommission zugutehalten, dass sie die Problematik erkannt hat. Zurecht weist sie darauf hin, dass Länder wie Irland oder Luxemburg als europäische Sitze von vielen US-Technologie-Riesen mehr Ressourcen brauchten, um die Einhaltung der europäischen Datenschutzregeln sicherzustellen.
Ob allein mehr Personal reicht, um die Verfahren zu beschleunigen? Vielleicht sollten die Verantwortlichen weiterdenken: Kürzlich regten mehrere Datenschützer die Schaffung einer zentralen unabhängigen Behörde auf EU-Ebene für besondere grenzüberschreitende Fälle an. Warum eigentlich nicht?