Reblog via Matthias Eberl
Am 25. Mai 2018 trat in Europa die Datenschutz-Grundverordnung (DSGVO) in Kraft. Ein Meilenstein für Millionen von Menschen in Europa und ein Schreckensgespenst für viele kleine und große Unternehmen, die sich vorher kaum Gedanken darüber machen mussten, welche privaten Daten sie speichern und weitergeben. Fünf Jahre später sind die Regeln für viele Menschen und Betriebe zum normalen Alltag geworden. Doch dort, wo Daten unternehmerische Vorteile gegenüber der Konkurrenz bringen, wird weiter getrickst und betrogen. Beispielsweise in der verhaltensbasierten Werbung oder dem Analysetracking in Apps und auf Webseiten. Nach fünf Jahren stellt sich daher die Frage, wie gut die DSGVO von den Behörden durchgesetzt wurde.
1. Kaum Bußgelder in Deutschland
Wenn es in den letzten Jahren um untätige Datenschutzbehörden ging, wurde gerne auf Irland gezeigt, wo große Unternehmen wie Google, Facebook oder Microsoft ihren Sitz haben. Diese wurden von der irischen Behörde immer mit Samthandschuhen angefasst. Deutsche Behörden haben den Kollegen in Irland daher „Regulierungs-Dumping“ zur Anlockung großer Konzerne vorgeworfen.
Doch auch die deutschen Behörden sind beim Datenschutz nicht gut vorwärtsgekommen. Das Tracking auf Websites und Apps, mit dem wir fast alle täglich zu tun haben – das haben die deutschen Behörden nicht unter Kontrolle. Nicht einmal die eingereichten Beschwerden konnten in den letzten Jahren zufriedenstellend bearbeitet werden.
Ein paar offizielle Zahlen
Die Zahlen, die eine solche Regulierungslücke belegen, liegen nicht sonderlich klar auf dem Tisch: Es gibt in Deutschland keine zentrale Behörde und daher auch keine Statistik zur Regulierungsarbeit. In den Tätigkeitsberichten der Länder findet man bereits verdächtig niedrige Bußgeldzahlen: Bayern meldete für das letzte Berichtsjahr 6009 Beschwerden und einen Schuldenberg an offenen Beschwerden von 3500. Im gleichen Zeitraum wurden nur 11 Bußgelder verhängt. Nordrhein-Westfalen kommt auf 6.849 Beschwerden und 57 Bußgelder. Und Hamburg kam im letzten Bericht auf 2162 Beschwerden und 15 Geldbußen. Zum Vergleich: Spanien kam 2022 auf ein Verhältnis von 14.937 Beschwerden und 385 Bußgeldern.
2. Andere Quellen zeigen: Die meisten Beschwerden bleiben liegen
Die unabhängigen Zahlen zeigen das Regulierungsversagen: Von 801 Beschwerden von noyb in der EU sind nur 113 in irgendeiner Form abgeschlossen
Deutliche Überforderung zeigen die Zahlen, die aus anderen Quellen vorliegen. In ganz Deutschland hat ein pensionierter Programmierer versucht, unter anderem mit dem Beschwerdetool Tracktor.it gegen die Datenschutzverstöße auf von ihm besuchte Seiten vorzugehen, insbesondere gegen heimliche Erstellung von personenbezogenen Verhaltensprofilen für Werbung und Marketing. In seinem Heimatland Nordrhein-Westfalen, einem Bundesland mit vielen Onlineunternehmen und Verlagen, war die Erfolgsquote besonders schlecht: Von 73 Beschwerden sind bisher nur 15 Prozent erfolgreich abgeschlossen, obwohl sie teilweise bereits 2020 eingereicht wurden.
Zu vergleichbaren Ergebnissen kommt die Datenschutzorganisation noyb (none of your business) von dem Österreicher Max Schrems. Seine Organisation hat in den letzten Jahren in ganz Europa 800 strategische Beschwerden gegen meist große Unternehmen eingereicht. Vor allem gegen irreführende Cookie-Banner und Datentransfer in unsichere Drittstaaten. Die Bilanz: Nur 14 Prozent der Verfahren wurden von den Behörden abgeschlossen. Besonders negativ fällt erneut Nordrhein-Westfalen auf. Dort wurde von den 29 noyb-Beschwerden nur eine abgeschlossen (das Medienhaus Aachen mit der Aachener Zeitung änderte seine Cookie-Abfrage zur Zufriedenheit der Behörde). Teilweise gibt es Fälle, die seit 2020 ohne weitere Nachricht in der Behörde herumliegen. Dabei handelt es sich auch um große Seiten wie Dumont, Handelsblatt oder Chefkoch. Durch die Anschreiben der Behörden kam es zwar auf den Websites zu freiwilligen Verbesserungen, aber selten zu einer vollständigen Umsetzung der Datenschutzregeln und einem Abschluss des Verfahrens. Das Kochportal verstößt seit Jahren gegen den Datenschutz und erstellt immer noch ohne Einwilligung personenbeziehbare Profile für verhaltensbasierte Werbung. Warum schaffte die Behörde es nicht, den Datenschutz vollständig durchzusetzen?
Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen, sieht Versäumnisse, aber auch falsche Erwartungen: Ähnlich wie die Polizei im Straßenverkehr könne die Datenschutzaufsicht nicht 100 Prozent flächendeckend kontrollieren, sondern nur in Stichproben:
Wir greifen aufgrund von Beschwerden, und wie darüber hinaus unsere Kapazitäten sind, ein. Und wie die Kapazitäten sind, bestimmt die Politik. Wir haben für dieses Jahr neue Stellen erhalten, die Einstellungsverfahren laufen. Aber wir sind schon manchmal langsamer, als wir uns wünschen, auch was Bußgelder betrifft.
3. Bußgelder: Zu wenig, zu niedrig, zu leise
Die meisten Bußgelder in NRW liegen im Bereich um 5000 €, sagt Gayk. Das höchste Bußgeld betrug 10.000 € im Bereich Beschäftigtendatenschutz. Doch wenn ein Fall dann mal abgeschlossen wird, erfährt man oft keine Details, bemängeln die Datenschützer von noyb. Während andere Mitgliedsstaaten ihre Entscheidungen konsequent veröffentlichen, lese man über deutsche Bußgelder nur in Einzelfällen in der Presse. „Unternehmen und Nutzende haben damit keinen Zugang zur Entscheidungspraxis. Eine abschreckende bzw. generalpräventive Wirkung von Entscheidungen ist damit nicht gegeben“. Die finanziellen Mittel der deutschen Datenschutzbehörden seien mit 114 Millionen Euro im europäischen Vergleich sehr hoch. Es mangele nicht an Personal, sondern eher an Effizienz und Abschreckung.
4. Manche Behörden lehnen bereits Beschwerden ab
Gerade im Bereich Analyse- und Werbetracking ist so in Deutschland eine Regulierungslücke entstanden. Während sich viele Unternehmen freiwillig an die Regeln halten, versucht eine beachtliche Menge von Onlineshops und Medienseiten, mit ihren bewussten Datenschutzverstößen so lange wie möglich durchzukommen. Wie schlimm die Lage ist, zeigt die Antwort des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) an den engagierten Programmierer aus Nordrhein-Westfalen. Dem regelmäßigen Beschwerdeführer schrieb die Behörde:
Wir wissen, dass bei vielen Websites eine mitunter große Anzahl an datenschutzrechtlichen Mängeln festzustellen ist. Würde es ein Bürger oder eine Bürgerin darauf anlegen, könnte sie jeden Tag ohne Schwierigkeiten einen hohen zweistelligen Bereich an Websites mit derartigen Mängeln an das BayLDA melden.
Die Schlussfolgerung der Behörde: Sie beschließt, die Beschwerden des betroffenen Bürgers nicht mehr zu bearbeiten, sondern nur zur Kenntnis nehmen. Eine Kapitulation vor dem Versprechen der DSGVO. Nach nur 44 Beschwerden von einer Person im Verlauf mehrerer Jahre ist die Behörde bereits überlastet. Auf unsere Presseanfrage hat die Behörde nicht reagiert.
Auch in Nordrhein-Westfalen wurde dem privaten Datenschutzaktivisten für zu viele Beschwerden die Bearbeitung verweigert: 73 Beschwerden über mehrere Jahre seien exzessiv.
Dabei ist es keineswegs so, dass die Behörden nur Kleinigkeiten liegen lassen: Aus der Berichterstattung und von Privatpersonen ist ersichtlich, dass viele große Unternehmen seit mehreren Jahren ihre Datenschutzverstöße fortsetzen, obwohl sie seit Jahren den Behörden bekannt sind. Seit mindestens zwei Jahren weiß die Behörde in Hessen, dass die Deutsche Bahn oder die Lufthansa Analysetracking einsetzt – die Verfahren sind nicht abgeschlossen. Eine der ältesten Beschwerden, über die ich berichtet habe, stammt von 2018, es ging um Facebook-Tracking bei „Zeit Online“. Der private Beschwerdeführer hat bis heute nichts mehr von der Behörde gehört, das Verfahren wurde nie abgeschlossen. Zwar hat man diese Einbettung irgendwann entfernt, aber bis heute findet sich ein unerlaubtes Analysetool von Adobe bei dem Verlagshaus. Von der Hamburger Behörde kam dazu keine Antwort auf unsere Presseanfrage.
5. Trotzdem viele Verbesserungen
Medienportale sind und waren ein besonderes Problem in den fünf Jahren der DSGVO. Bei ihnen war die wirtschaftliche Abhängigkeit von der verhaltensbasierten Werbung sehr hoch. Hier gab es durchaus Erfolge mit der intensiven Betreuung: In unzähligen Schwerpunktprüfungen und Verhandlungen hinter verschlossenen Türen machte man Fortschritte. Das ungefragte Erstellen von Interessensprofilen für verhaltensbasierte Werbung ist jetzt hinter mehr oder weniger gesetzeskonforme Cookie-Banner gewandert. Ohne Vorwarnung läuft man also in keinen Facebook-Tracker mehr. Aber es bleiben zahlreiche andere Verstöße: Analysetracking, irreführende Cookie-Banner und Datenübertragungen in unsichere Drittländer, die nach einer schwer durchblickenden Rechtslage vermutlich selbst mit Einwilligung nicht erlaubt sind.
Auf solche Rechtsunsicherheiten weist auch Bettina Gayk hin. Zwar hat ein weiteres Gesetz im Bereich Cookies endlich Klarheit geschaffen (das Telekommunikation-Telemedien-Datenschutz-Gesetz TTDSG, zu dem wir eine große Artikelserie gemacht haben). Aber auch nach dessen Verabschiedung gäbe es noch Graubereiche, die gezielt genutzt werden:
Oft werden Einwilligungen eingeholt, die Verbraucher’innen gar nicht abgeben wollten.
6. Standardisierung und Automatisierung könnten helfen
Wie kommen die Behörden nun aus der Überlastung? Bei den Bußgeldern sieht die Datenschutzbeauftragte Gayk wenig Spielraum. Der Datenschutz sei eben nicht so präzise geregelt wie der Verkehr. Während auf der Straße klare Bußgelder für exakte Geschwindigkeitsübertretungen definiert sind, seien Datenschutzverstöße oft nicht so eindeutig, dass man schwere Sanktionen verhängen könne. „Aber man könnte schon stärker von sich aus nach Standard-Trackingverstößen suchen, aber dies gehe eben nur im Rahmen freier Arbeitskapazitäten.“ Auch in Baden-Württemberg entwickelt die Datenschutzbehörde eigene Prüfwerkzeuge, um die technische Analyse von Websites und Apps zu automatisieren und so massenhafte Verstöße schnell und standardisiert zu bearbeiten.
Solche Automatisierungen sind wichtig. Die nicht vorhandene Skalierung in den Behörden ist beim Tracking das große Problem der DSGVO: Während ein Onlineshop mit ein paar Klicks ein unerlaubtes Analysetracking in der Website implementiert hat, benötigen die Behörden mit ihrer Einzelfallmethode offenbar Jahre, um die Entfernung eines solchen Tools durchzusetzen. Da wird für jeden Fall eine technische Prüfung der Webseite und eine Bitte zur Stellungnahme eingefordert. Und dann kommen von den Unternehmen seitenweise Stellungnahmen, Gutachten oder schrittweise kleine Änderungen, auf die jeweils wieder einzeln reagiert werden muss. So vergehen oft Jahre, ohne dass eine Maßnahme beschlossen ist. In einem Fall, der uns aus Brandenburg bekannt ist, wird im April 2021 Beschwerde eingereicht. Sieben Behördenantworten und zwei Jahre später wird festgestellt, dass der Seitenbetreiber der Behörde leider nicht geantwortet hat. Man werde nun „in die nächste Instanz des Vorgangs gehen“.
Zusätzlich bindet die Abstimmung zwischen den vielen Datenschutzbehörden in Deutschland Geld und Ressourcen, denn Datenschutz ist Ländersache.
7. Teufelskreis der Verschleppung
„Vor der DSGVO waren wir eine Petitionsinstanz“, erklärt Bettina Gayk. „Mit der DSGVO müssen wir lernen, nun förmliche und rechtssichere Verwaltungsverfahren zu führen, die auch vor Gericht standhalten“. Und diese Genauigkeit ist auch nötig, denn sowohl die Rechtsabteilungen der Unternehmen als auch die deutschen Gerichte seien besonders kreativ beim Abweisen von DSGVO-Rechten, stellt auch noyb fest.
Dabei ist den Behörden wohl die Effektivität verloren gegangen.Es fehlt an klaren Vorgaben und Vorlagen, wie ein Verfahren möglichst schnell und effektiv abgeschlossen werden kann. Die NGO noyb warnt, dass hier ein Teufelskreis entstehe: Die Unternehmen setzen auf die geringe Schlagfertigkeit der Behörde, ignorieren immer mehr Regeln, dadurch entstehen mehr Beschwerden und so dauern die Verfahren noch länger.
8. Standortmarketing statt Abschreckung?
In einigen Bundesländern liegt das wohl auch an einer betont gutmütigen Behandlung der Unternehmen mit intensiver Beratung anstatt Bußgeld: „Wir sind nicht darauf aus, den Datenschutz mit dem Mittel des Bußgeldes umzusetzen, sondern in erster Linie mit Beratung, etwa über Gespräche, Vorträge oder Infomaterial“, sagte der ehemalige Datenschutzbeauftragte aus Baden-Württemberg, Stefan Brink, vor einigen Jahren dem Spiegel.
Auch Bettina Gayk betont, dass man es immer erst im Guten mit den Unternehmen lösen will: „Wenn wir durch Beratung nicht zum Ziel kommen, gehen wir im Normalfall so vor, dass wir nur eine Warnung aussprechen. Wird dann nicht eingelenkt, ergreifen wir härtere Maßnahmen“. So lernen Unternehmen, dass sie immer eine zweite Chance bekommen, kritisiert noyb. Dass dadurch die Abschreckungstaktik leidet, räumt auch Gayk ein.
Der ehemalige Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, warf dem Bayerischen Landesamt in einem Podcast des Heise-Magazins sogar vor, dass bei der Untätigkeit der letzten Jahre „offensichtlich politische Ansagen zugunsten des Wirtschaftsstandort eine Rolle gespielt haben“. Das irische Prinzip, dass man Unternehmen nicht durch besonders strenge Maßnahmen vergrämen will, scheint also auch in Deutschland die Datenschutzdurchsetzung zu bremsen. Einige wollen eben nicht die eigenen Unternehmen bestrafen, während in den Nachbarländern oder bei Google und Facebook die Zügel lose sind.
Nach fünf Jahren DSGVO müsse man feststellen, dass das Gesetz funktioniert, aber die Anwendung nicht, resümiert Max Schrems. Manche Unternehmen, erzählt der Aktivist, haben vor seiner öffentlichkeitswirksamen Organisation bereits mehr Angst als vor den Behörden.
Transparenzhinweis: Mike Kuketz, der Betreiber des Weblogs, ist Mitarbeiter der Datenschutzbehörde in Baden-Württemberg. An diesem Artikel war er daher redaktionell nicht beteiligt.
Bildquellen:
Cake: LAFS from www.flaticon.com is licensed by CC 3.0 BY
Mitmachen: Hilf mit die Spendenziele zu erreichen!
