3 Jahre DSGVO - eine Bilanz aus Sicht des Verbraucherschutzes

veröffentlicht am 01.07.2021

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Zum dritten Jahrestag fällt die erste Zwischenbilanz unter Datenschutzexpertinnen und –experten nicht durchwegs positiv aus. 

Wozu die DSGVO?

Die Grundidee der DSGVO ist einfach: europaweit einheitliche Datenschutzregeln sollen die Souveränität der Bürger im digitalen Zeitalter sicherstellen. Mit der DSGVO haben Nutzer/innen einfache Instrumente in die Hand bekommen, ihr Grundrecht durchzusetzen. Jede/r hat nun das Recht, zu erfahren, welche Informationen über sie/ihn gespeichert sind. Außerdem können Nutzer/innen von Unternehmen verlangen, ihre Daten zu löschen.

Und damit das Positive gleich vorweg: Datenschutzrecht hat einen höheren Stellenwert eingenommen! Die DSGVO hat das Bewusstsein für Privatsphäre im Netz geschärft, sowohl auf Verbraucher- wie auch auf Unternehmerseite.

Rechtdurchsetzung bleibt schwierig

Dennoch hinkt die Rechtsdurchsetzung hinterher. Erklärtes Ziel der DSGVO war nicht nur die Stärkung der Rechte von Konsumentinnen und Konsumenten, sondern auch die Verbesserung ihrer Durchsetzung in der Praxis. Zu diesem Zweck wurden in der DSGVO die Befugnisse der Datenschutzbehörden erheblich erweitert sowie Geldbußen auf bis zu 20 Millionen Euro (oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens) angehoben. Dass im Bereich der Geldstrafen das volle Potential bei weitem nicht ausgeschöpft wird, lässt die Website GDPR Enforcement Tracker erkennen, die, aufgeteilt nach Mitgliedstaaten die Geldbußen, die seit Inkrafttreten der DSGVO von den nationalen Datenschutzbehörden ausgesprochen wurden, auflistet. Frankreichs Vorgehen gegen Google im Jahr 2019 mit einer Strafe von 50 Millionen Euro bleibt die bislang höchste DSGVO-Geldbuße einer Datenschutzbehörde. Die Strafen der österreichischen Datenschutzbehörde blieben in den letzten drei Jahren hingegen eher niedrig: die höchste Strafe liegt bei EUR 50.000,-. Eine Geldbußenentscheidung über 18 Millionen Euro wurde wegen eines Formalfehlers vom Bundesverwaltungsgericht aufgehoben und das Strafverfahren eingestellt. 

Datenschutzbehörden arbeiten unterschiedlich

Auch die österreichische Datenschutzorganisation noyb zeichnet ein heterogenes Bild zur Arbeit der europäischen Datenschutzbehörden: Während nach Ansicht von noyb einige Datenschutzbehörden gute Arbeit leisten, würden andere den Betroffenen das Recht verweigern, ihre Beschwerde zu bearbeiten oder sie zu unterstützen bzw. ihre Rechte durchzusetzen. Vor allem im grenzüberschreitenden Bereich sei die Durchsetzung schwierig und die Verfahren bei den Datenschutzbehörden dauerten Jahre. Letztlich wären die Nutzer/innen die Leidtragenden der mangelhaften, aber dringend notwendigen Zusammenarbeit zwischen den Datenschutzbehörden, so noyb in seiner Aussendung. 

Fehlende Klagsbefugnis von Verbraucherverbänden

Aus verbraucherschutzrechtlicher Sicht ist das Fehlen der Klagsbefugnis von Verbraucherverbänden ein großes Defizit. Die DSGVO räumt den Mitgliedstaaten als Option ein, eine Verbandsklage vorzusehen und es damit Verbraucherschutzverbänden, wie dem Verein für Konsumenteninformation (VKI) und der Bundesarbeitskammer zu ermöglichen, losgelöst vom Einzelfall, bei Verstößen gegen datenschutzrechtliche Bestimmungen vorzugehen. Der österreichische Gesetzgeber hatte bedauerlicherweise von dieser Option bei der Umsetzung der DSGVO in österreichisches Recht keinen Gebrauch gemacht. Derzeit geht der VKI regelmäßig gegen Einwilligungserklärungen und Datenschutzinformationen, sofern diese in allgemeinen Geschäftsbedingungen (AGB) integriert sind oder auf diese dort verwiesen wird, vor. Ob diese Vorgehensweise zulässig ist, prüft derzeit der Europäische Gerichtshof (EuGH). In einem Verfahren gegen einen Autovermieter unterbrach der Oberste Gerichtshof das Verfahren und legte dem EuGH die Frage zur Vorabentscheidung vor, ob Verbraucherverbände wegen Verstöße gegen die DSGVO in AGB unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen im Wege einer Klage vor den Zivilgerichten vorgehen kann. Das Verfahren läuft noch.

Fazit?

Grundsätzlich wurde mit der DSGVO ein tauglicher Rechtsrahmen geschaffen, der die Stellung von Verbraucher/innen bei der Verarbeitung personenbezogener Daten an vielen Stellen verbessert hat. Dennoch gibt es in der Praxis große Auslegungsunterschiede darüber, bspw. wie und in welchen Umfang Betroffene informiert werden und wie die Informationen technisch präsentiert werden müssen. Das führt im Konsumentenalltag dazu, dass sich Verbraucher/innen mit komplizierten und überlangen Datenschutzerklärungen oder mit unübersichtlichen, dem Prinzip der Freiwilligkeit widersprechenden technischen Datenschutzeinstellungen (Stichwort: Cookie-Zustimmungserklärungen) herumschlagen müssen. Um Antworten auf strittige Fragen zu bekommen, wird es also entscheidend sein, wie die in der DSGVO vorgesehenen Instrumente der Rechtsdurchsetzung genutzt werden.