Dienstag, 19. März 2024

Archiv

Die Europäische DSGVO
Mehr Selbstbestimmung oder mehr Verunsicherung?

Wenn ab 25. Mai die Europäische Datenschutzgrundverordnung gilt, sollen vor allem Facebook, Google und Amazon zittern. Doch wie das europäische Datenschutzrecht in der Praxis wirkt, ist noch offen.

Von Falk Steiner | 24.05.2018
    Ein mit "PRIVAT" gekennzeichneter Ordner auf dem Bildschirm eines Computers.
    Die Grundverordnung bringt einige gravierende Neuerungen. Das Recht auf Mitnahme der eigenen personenbezogenen Daten zum Beispiel. (Karl-Josef Hildenbrand/dpa)
    In Kraft ist sie bereits seit zwei Jahren - aber wenn am Freitag, 25.Mai die Übergangsfrist ausläuft, dann gilt nur noch sie: die Europäische Datenschutzgrundverordnung. Sie ist die wohl größte Reform der Digitalpolitik, die in den vergangenen fünfzehn Jahren angegangen wurde. Sie erhebt globalen Geltungsanspruch: Immer dann, wenn Unternehmen ihre Dienste in der Europäischen Union anbieten, müssen sie die Bürger- und Verbraucherrechte der 500 Millionen EU-Bürger beachten.
    Ihr Vorgänger, die alte europäische Datenschutzrichtlinie, stammte aus dem Jahr 1995 - dem Beginn des Internetzeitalters. Erst zwei Jahre später ging Google mit seinem ersten Produkt, der Suchmaschine, an den Start. Damals nutzten gerade einmal sechs Millionen Bundesbürger das Internet. Als im Jahr 2004 in den USA Facebook gegründet wurde, zählte man in Deutschland mehr als 37 Millionen Internetnutzer. Heute sind 62 Millionen der 82 Millionen Deutschen drin.
    Datenverarbeitung ist allgegenwärtig
    "Wir sehen und wir erleben es, dass in den vergangenen Jahren sich vieles in einer Grauzone bewegt hat, und Bürgerinnen und Bürger, Nutzer, Unternehmen ja schon oft auch nicht mehr wissen, was eigentlich mit ihren Daten geschieht", fasst die Bundesdatenschutzbeauftragte Andrea Voßhoff die derzeitige Lage zusammen.
    Von der Pizzabestellung bis zur Sprachnachricht bei WhatsApp: andauernd werden Daten verarbeitet, viele davon sind personenbezogen oder personenbeziehbar. Von der Mitgliederkartei des Sportvereins über die Kundendatenbanken eines Handwerkers bis hin zur Bonuskarte im Supermarkt: Datenverarbeitung ist allgegenwärtig. Und damit ist auch die Zahl derjenigen groß, die von der neuen europäischen Datenschutzgrundverordnung aufgeschreckt wurden.
    Jan Philipp Albrecht
    "Es ist zu bezweifeln, dass ab dem 25. Mai die Welt untergeht " - Der Europaabgeordnete Jan Philipp Albrecht (Grüne)
    Der Grünen-Europaabgeordnete Jan Philipp Albrecht verhandelte sie stellvertretend für das Europäische Parlament.
    "Wer sich an den bisherigen Datenschutz gehalten hat, der wird auch mit der Datenschutzgrundverordnung keine großen Probleme haben. Das Problem lag ja eher daran, dass sich viele bislang nicht an das Gesetz gehalten haben."
    Schon bislang galt: wer Daten über einen anderen speichern, verarbeiten oder weitergeben will, muss das auch dürfen.
    Gesetze, die zur Speicherung verpflichten
    Wenn ein Käufer beispielsweise für eine Bestellung im Online-Versandhandel seine Adresse angeben muss, darf diese für diesen einen Zweck gespeichert werden. In anderen Fällen, wenn die Notwendigkeit nicht so eindeutig ist, muss der Betroffene um eine Einwilligung gebeten werden. Oder aber: Es gibt Gesetze, die zur Speicherung verpflichten - zum Beispiel das Steuer- oder Sozialrecht. Welche Daten über den Einzelnen gespeichert sind, muss jeder auf Anfrage mitteilen.
    Diese Grundprinzipien sind schon lange Teil des Datenschutzrechts.
    Aber die Grundverordnung bringt auch einige gravierende Neuerungen. Das Recht auf Mitnahme der eigenen personenbezogenen Daten zum Beispiel. Gedacht ist es für Nutzer, die Anbietern wie Facebook den Rücken kehren wollen: Sie dürfen ihre Daten einfordern und sie anschließend beim Anbieter löschen lassen.
    Doch die neue Verordnung verunsichert auch viele. Besuch bei einem, der die Auswirkungen kennen muss. Markus Pfeifer ist Datenschutzbeauftragter beim Zentralverband des Deutschen Handwerks. Er sagt, tatsächlich neu und praxisrelevant seien die neuen Informationspflichten. Ein Betrieb muss bei Auftragsbestätigung auf dem Angebot schriftlich darüber informieren, wie die Daten seines Kunden genutzt werden.
    "Das bedeutet zum Beispiel, dass man die Kontaktdaten des Kunden verarbeitet, um den Auftrag zu erfüllen. Das bedeutet, dass man verschiedene Betroffenenrechte wie zum Beispiel Löschungsansprüche, Korrekturansprüche transparent macht und auch ein Beschwerderecht bei der Aufsichtsbehörde darstellt."
    Für alle Betriebe, die sich an das bislang geltende Datenschutzrecht gehalten hätten, sei der Aufwand überschaubar, sagt Markus Pfeifer.
    "Die Verunsicherung, das spüren wir, ist sehr groß. Das liegt zum einen daran, dass in vielen medialen Berichterstattungen aber auch von Beratern, Rechtsanwälten häufig Punkte wie die erweiterten Bußgeldvorschriften oder aber auch der bürokratische Aufwand in den Vordergrund gestellt wird. Der aber für Handwerksbetriebe runtergebrochen auf die wirklich praxisrelevanten Punkte doch nur einen Bruchteil ausmacht."
    Bußgeld nur bei Vorsatz oder grober Fahrlässigkeit
    Dass Handwerker nun massenhaft Kontrollen fürchten müssen, hält der Jurist für unwahrscheinlich. Die Behörden dürften vor allem auf konkrete Beschwerden hin tätig werden. Und auch die möglichen hohen Geldbußen fürchtet der Datenschutzexperte des Zentralverbands des Deutschen Handwerks nicht.
    "Die Aufsichtsbehörden haben ganz klar zum Ausdruck gebracht, dass sie ihre Sanktionspraxis nicht ändern werden. Und das bedeutet, dass Betriebe nur dann ein Bußgeld zu befürchten haben, wenn sie wirklich vorsätzlich oder grob fahrlässig gegen das Datenschutzrecht verstoßen."
    Pfeifer plädiert im Zusammenhang mit der neuen Europäischen Datenschutzgrundverordnung dann auch für mehr Gelassenheit.
    "Es gibt keinen Anlass für Panik und auch keinen Anlass, sich Sorgen zu machen. Das ist alles machbar und mit der entsprechenden Hilfe, gerade aus den Handwerksorganisationen, zugeschnitten für Handwerksbetriebe, ist das alles möglich."
    Noch allerdings ist die Verunsicherung bei vielen groß. Sportvereine beispielsweise müssen über ihre Datenverarbeitungen deutlicher informieren, ab und an brauchen sie künftig die Einwilligung ihrer Mitglieder. Bonuskartenbetreiber - etwa Supermärkte - müssen die gespeicherten Daten herausgeben, wenn der Kunde das wünscht - und ihm erklären, wie das Berechnungssystem funktioniert.
    Auch einige Fragen sind derzeit noch nicht geklärt: Dürfen Handwerker zum Beispiel geschäftlich noch Dienste wie WhatsApp nutzen? Private Webseitenbetreiber schalten ihre Seiten ab - aus Angst, die Anforderungen nicht zu erfüllen. Unternehmen beklagen, die Regeln seien zu kompliziert. Und die Mittelstandsvereinigung der Unionsparteien forderte vor wenigen Tagen gar eine vorläufige Aussetzung der Datenschutzgrundverordnung. Was unrealistisch ist, denn es handelt sich um unmittelbar geltendes Europarecht, beschlossen von Kommission, Parlament und den Mitgliedstaaten.
    Angst vor windigen Anwälten
    "Die Datenschutzgrundverordnung fällt jetzt nicht vom Himmel, ich verstehe jetzt nicht die ganz große Aufregung - jetzt ist plötzlich Mai 2018 und keiner hat gemerkt, dass es jetzt schon so weit ist?", sagt die CSU-Politikerin und Digitalstaatsministerin im Kanzleramt, Dorothee Bär.
    "Die meisten hatten jetzt auch schon Gelegenheit, sich zwei Jahre darauf vorbereiten. Und ich sag das auch ganz offen, ich sag das auch den Verbänden, dass sie die Verpflichtung seit mindestens einem Jahr, aber wahrscheinlich schon seit zwei Jahren gehabt hätten, auch ihre Unternehmen da besser darauf vorzubereiten. Weil ich schon merke, dass da einfach ein großes Informationsdefizit herrscht."
    Die Bundesbeauftragte für Datenschutz, Andrea Voßhoff, gestikuliert.
    "Missbrauch wird es immer geben - egal, wie gut ein Gesetz ist." - Die Bundesbeauftragte für Datenschutz, Andrea Voßhoff (Hannibal Hanschke, dpa picture-alliance)
    Von Falschinformationen, die in Umlauf seien, sprach die Bundesdatenschutzbeauftragte noch in diesen Tagen. Andrea Voßhoff glaubt aber nicht, dass eine längere Übergangszeit besser gewesen wäre.
    Auch sie weiß, ein neues Recht eröffnet auch immer Interpretationsspielräume. Ein Szenario, das in den vergangenen Wochen immer wieder an die Wand gemalt wurde, lautet: Findige oder windige Anwälte könnten Unternehmen, die die Datenschutzgrundverordnung nicht korrekt beachten, abmahnen - und zwar im Auftrag der Konkurrenz. Es wird befürchtet, dass die Abgemahnten aus Angst vor einem Verfahren einfach zahlen würden.
    Der Europaabgeordnete Jan Albrecht glaubt jedoch nicht daran, dass es nun zu massenhaften Abmahnungen kommen wird. Es sei so, "dass das auch unter dem jetzigen Recht eigentlich schon denkbar ist, solche Abmahnkonstellationen. Dennoch findet das jetzt nicht unbedingt statt. Es ist also zu bezweifeln, dass jetzt ab dem 25. Mai gleich die Welt untergeht und alle eine Abmahnung bekommen. Aber der Gesetzgeber sollte sich zügig darauf einstellen, dass man, wenn das Phänomen auftritt, zügig reagiert, und die Möglichkeiten deutlich einschränkt, mit solchen Abmahnungen Leute zum Zahlen zu bewegen."
    Probleme mit der "Abmahnindustrie"
    Vorsorglich aber will die Bundesjustiz- und Verbraucherschutzministerin Katarina Barley, SPD, dieses zweifelhafte Geschäftsmodell bald erschweren.
    "Grundsätzlich haben wir ein Problem mit dieser sogenannten Abmahnindustrie. Und das betrifft nicht nur die Datenschutzgrundverordnung, und das ist auch ein prioritäres Vorhaben von mir, generell gegen dieses Abmahnunwesen vorzugehen. Und ich werde da auch zeitnah die ersten Schritte zu ergreifen."
    Tätig werden muss die Bundesregierung noch an einigen Stellen: Das europäische Datenschutzrecht gilt ab 25. Mai auch für Behörden. Zwar sind mit der Anpassung des Bundesdatenschutzgesetzes und mit dem Datenschutzanpassungsumsetzungsgesetz bereits zwei wichtige Pakete verabschiedet. Aber viele neue Regelungen sind nicht rechtzeitig fertig geworden. Ein sogenanntes Omnibusgesetz, das dies nachholen soll, liegt noch im für das Datenschutzrecht zuständigen Bundesinnenministerium.
    "Das Omnibusgesetz dient der Anpassung des Bereichsspezifischen Rechts des Bundes, zum Beispiel Sozialgesetzbücher, BSI-Gesetz, um dieses Recht an das Neue, allgemeine Datenschutzrecht anzupassen. Und das ist in Arbeit."
    Sagt Harald Neymanns, Sprecher des Bundesinnenministeriums. Dieses Gesamtpaket würde "Änderungsbefehle zu circa 150 Bundesgesetzen umfassen. Hat, derzeitiger Arbeitsstand, ein Volumen von etwa 450 Seiten. Plan ist, dass Ende Mai, Anfang Juni noch einmal ein Entwurf an die Ressorts gehen wird und dann im Herbst, wenn alles gut geht, die Beratung im Bundestag und Bundesrat anstehen kann."
    Öffentlichen Stellen droht - anders als beispielsweise Unternehmen - kein Bußgeld. Aber eine Datenverarbeitung verbieten oder eine Löschung von Daten anordnen, das können die Aufsichtsbehörden auch dort. Die Bundesdatenschutzbeauftragte Andrea Voßhoff glaubt sowieso nicht, dass sich alle sofort an die neuen Vorschriften halten werden.
    "Missbrauch wird es immer geben - egal, wie gut ein Gesetz ist. Und dann zeigt sich, ob die Instrumente, die das Gesetz für Missbrauch vorhält, auch greifen. Und da wird die Datenschutzgrundverordnung einige Instrumente bereithalten, um solchen Missbrauchsfällen in Zukunft auch stärker begegnen zu können als es bisher der Fall war."
    Die Zeit der Ausreden ist vorbei
    Genau das war eine der Schwachstellen der alten EU-Datenschutz-Richtlinie: Bei Verstößen konnten Strafen verhängt werden. Aber ob und wie, war den Aufsichtsbehörden der einzelnen Mitgliedsländern überlassen, erklärt der Grünen-Politiker Jan Albrecht. Das sei sehr uneinheitlich gewesen, "und manchmal eben davon getrieben, dass das Land, in dem die Behörde saß, Arbeitsplätze schützen wollte oder einen Standortfaktor bewahren wollte. So wie zum Beispiel in Irland. Und damit alle anderen Verbraucher in Europa im Regen stehen lassen konnte. Und das geht in Zukunft nicht mehr. Die Datenschutzbehörden können sich gegenseitig zwingen, tätig zu werden und auch Sanktionen zu verhängen."
    Das Firmenlogo von Google ist an einem Bürogebäude in Dublin zu sehen.
    "Die Datenschutzbehörden können sich gegenseitig zwingen, Sanktionen zu verhängen." - Googles Europasitz in der irischen Hauptstadt Dublin (picture-alliance / dpa / Jessica Binsch)
    Irland war so ein Fall. Das dortige Steuerrecht und auch die Datenschutzaufsicht wurden immer wieder als Grund dafür genannt, warum Apple, Google, Facebook und Co. ausgerechnet in Irland ihre europäischen Zentralen errichtet haben. Die neue Europäische Datenschutzgrundverordnung lässt den Mitgliedstaaten nun kaum mehr Spielraum. Die maximale Strafhöhe bei Verstößen beträgt künftig 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens - je nachdem, was höher ist.
    Im Fall von Facebook hätten das im Jahr 2017 immerhin 1,4 Milliarden Euro sein können. Die maximale Sanktionshöhe lag in Deutschland bislang bei 300.000 Euro.
    Und auch beim Personal ist das neue Datenschutzrecht deutlich klarer: Die Datenschutzbeauftragten müssen unabhängig sein und für ihre Arbeit ausreichend ausgestattet sein. Für den Europaabgeordneten Albrecht ist das eine der wichtigsten Änderungen.
    "Dass in Irland lange Zeit mit einem kleinen Büro über einem Supermarkt irgendwo in den Vororten Dublins mit irgendwie acht Mitarbeitern eine Aufsichtsbehörde dafür zuständig war, den weltweiten Datenverarbeitungsverkehr bei Google und Facebook außerhalb von USA und Kanada zu kontrollieren, das ist ein offenes Geheimnis."
    Dass das mit acht Mitarbeitern nicht zu bewältigen ist, dürfte selbst dem Laien klar sein. Aber was heißt "ausreichend" ausgestattet? In Hessen beispielsweise sind knapp 50 Mitarbeiter für die Datenschutzaufsicht tätig. Zum Vergleich: Im selben Bundesland arbeiten rund 150 Lebensmittelkontrolleure und 11.000 Mitarbeiter zählt die Finanzverwaltung. Und die 50 Datenschutzmitarbeiter sind für 285.000 Unternehmen in Hessen zuständig. 16 Mal wurde im Jahr 2017 ein Bußgeld verhängt.
    Datenschutz funktioniert nur mit ausreichend Personal
    Für die in Bonn ansässige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sieht der Haushaltsentwurf 2018 insgesamt 145 Planstellen vor. Ihre Hauptaufgabe ist der Datenschutz bei allen Bundesbehörden - von A wie Arbeitsagentur bis Z wie Zoll. Darunter so heikle Stellen wie der Verfassungsschutz, der Bundesnachrichtendienst, das Bundeskriminalamt und eben der Zoll - zusammengenommen haben allein diese Sicherheitsbehörden gut 90.000 Mitarbeiter, bei steigender Tendenz. Einige der Datenverarbeitungen dort gehören zu den problematischsten, die es gibt - zum Beispiel die Zentraldatenbanken des Bundeskriminalamtes oder die Analysedatenbanken des BND. Hier hat das Bundesverfassungsgericht deutliche Anforderungen an die Prüftätigkeit der Datenschutzaufsicht formuliert: Wenn diese nicht möglich seien, dürften besonders heikle Maßnahmen gar nicht erst stattfinden. Darauf weist die Bundesdatenschutzbeauftragte Voßhoff immer wieder hin.
    "Für mich ist das Urteil des Bundesverfassungsgerichts maßgeblich, das eben für die Sicherheitsbehörden eine effektive Datenschutzaufsicht fordert. Und in dem Zusammenhang sage ich: Für eine effektive Datenschutzaufsicht werde ich in meinem Hause auch noch mehr Personal benötigen."
    Für das Polizei- und Justizwesen gibt es dabei besondere Datenverarbeitungsvorschriften. Da die EU hier keine unmittelbare Regelungskompetenz hat, wurde keine Verordnung, sondern eine Richtlinie verabschiedet. Parallel zur Datenschutzgrundverordnung läuft auch die Übergangsfrist für diese Richtlinie aus - dann müssen die nationalen Gesetze der Mitgliedstaaten der EU-Richtlinie für die Verarbeitung personenbezogener Daten für Polizei und Justiz entsprechen. Und wenn Daten aus diesen Behörden herausgegeben werden, drohen auch hier empfindliche Strafen.
    Die Mitarbeiter der Bundesbeauftragten sind darüber hinaus für die Post- und Telekommunikationsunternehmen zuständig. Hier fehlt noch ein wichtiger juristischer Baustein: Die sogenannte ePrivacy-Verordnung, die das Recht auf Vertraulichkeit der Kommunikation regeln soll. Ergänzend zur Datenschutzgrundverordnung sollte auch hier eine EU-einheitliche Verordnung eine alte Richtlinie ablösen. Das betrifft zum Beispiel den Einsatz von Cookies; gemeint sind kleine Dateien, die beim Surfen im Netz zwar nützliche Helfer sein können, die aber auch zum Ausspähen des Nutzers verwendet werden könnten. EU-Parlament und Kommission haben ihre Position zur ePrivacy-Verordnung längst formuliert und warten nun auf die Mitgliedstaaten. Doch auch die Bundesregierung ist nach Jahren der Diskussion noch immer nicht soweit.
    "Ich werbe damit, aus Anlass auch des Facebook-Skandals, gerade jetzt auch die ePrivacy-Verordnung stärker zu forcieren, auf den Weg zu bringen, klare begrenzende Regelungen beim Tracking vorzunehmen, also auch dort jetzt zu sehen, dass die ePrivacy-Verordnung einen guten Abschluss findet und der Datenschutz dabei großgeschrieben wird, um sozusagen das zweite Paket zu schnüren und damit auf europäischer Ebene, wie ich finde, ein gelungenes Paket in Sachen Grundrechtsschutz in der digitalen Welt zu haben."
    Datenschutzrecht ≠ Datenschutzgrundverordnung
    Durch die Verspätung der ePrivacy-Verordnung entsteht große Unsicherheit: Zwar gelten die ePrivacy-Richtlinie und die nationalen Umsetzungsgesetze weiter. Aber sie basieren auf dem bisherigen Datenschutzrecht - und das ist zwar ähnlich, aber eben nicht identisch mit der Datenschutzgrundverordnung.
    Bei all dem geht es darum, den Bürgern in der digitalen Welt die Selbstbestimmung zu ermöglichen. Sind Digitalisierung und Datenschutz aber wirklich vereinbar?
    Bundeskanzlerin Angela Merkel sieht die neuen Regelungen zum Datenschutz als wichtig, aber nicht in Stein gemeißelt an.
    "Natürlich brauchen wir die Datensouveränität bei den einzelnen Menschen. Sie wissen ja, was los ist, wenn dann plötzlich Daten missbraucht wurden. Also wir brauchen schon die Souveränität des einzelnen Menschen über seine Daten. Jetzt müssen wir nur aufpassen, dass wir das nicht so umsetzen, dass jeder sagt: Um Gottes Willen, das kann man ja gar nicht praktizieren. Aber auf der anderen Seite brauchen wir für alle neuen technologischen Entwicklungen Daten."
    Bundeskanzlerin Angela Merkel und Japans Premier Shinzo Abe sitzen an einem Tisch, vor ihnen ein Tabletcomputer zur Steuerung eines grünen Roboterarms.
    "Für alle neuen technologischen Entwicklungen brauchen wir Daten." - Bundeskanzlerin Merkel und Japans Premier Abe in Hannover auf der Cebit (dpa/Jens Meyer)
    Doch was ist, wenn sich einige Teile der Europäischen Datenschutzgrundverordnung als praxisuntauglich erweisen? Wenn das Datenschutzrecht in seiner neuen Form zwar schärfer ist, aber nicht mehr der technischen Realität entspricht? Zum Beispiel, wenn es um Big Data geht, das Auswerten enormer Datenmengen mit dem Ziel, daraus dann Schlüsse zu ziehen.
    "Ohne große Datenmengen entwickelt sich Künstliche Intelligenz so, wie sich eine Kuh entwickelt, wenn sie kein Futter kriegt. Und erwiesenermaßen ist noch kein Glücksfall bekannt, dass die Kuh sich besonders gut entwickelt hat."
    Diese sprichwörtliche Kuh vom Eis zu holen, das könnte jedoch dauern. An der ab jetzt gültigen Datenschutzgrundverordnung wurde seit 2009 gearbeitet.
    Digitalstaatsministerin Bär: Kein Grund, in Hysterie zu verfallen
    "Dass man für den ersten großen Wurf, der ja tatsächlich ganz Europa erstmalig umfasst hat, auch so lange gebraucht hat, das war sicherlich noch einmal ein Ausnahmefall. Und alles, was jetzt gemacht wird, darf natürlich keine zehn Jahre mehr dauern, sondern muss schneller sein, muss auch agiler sein." Sagt Dorothee Bär, die Digitalstaatsministerin. Und verweist darauf, dass die EU-Kommission in zwei Jahren einen ersten Bericht zur neuen Datenschutzgrundverordnung vorlegen muss. Dann ließen sich eventuelle Probleme überarbeiten.
    "Aber ich warne jetzt trotzdem davor, jetzt erst mal in Hysterie zu verfallen. Was aber nicht heißt, dass man nicht parallel auch am neuen Datenrecht beispielsweise weiterarbeiten muss."
    Jan Albrecht sieht hier kein Problem. Der 36-jährige Europapolitiker wird im Herbst den Grünen-Parteivorsitzenden Robert Habeck in Schleswig-Holstein als Umwelt- und Digitalminister beerben. Für das Europäische Parlament hat Albrecht die Datenschutzgrundverordnung ausgehandelt. Er sagt, dass sie "extra technikneutral formuliert wurde. Das heißt also, die kann mit ihren Prinzipien auch auf neue Innovationen angewendet werden. Trotzdem glaube ich, es gibt Bereiche, die auch um dieses Gesetz herum entstehen müssen. Etwa zu der Frage, wie müssen eigentlich neue Technologien - also Künstliche Intelligenz- oder Maschinenlernen-Dienste - programmiert sein? Dürfen die überhaupt Daten verarbeiten in bestimmten Kontexten?"
    Ist die Datenschutzgrundverordnung wirklich die richtige Antwort auf die Digitalisierung? Ist es im digitalen Zeitalter wirklich noch möglich, Kontrolle über die individuellen Daten zu behalten? Sind staatliche Aufsichtsbehörden dafür gewappnet? Die Europäische Datenschutzgrundverordnung wird sich, nach jahrelangem theoretischen Streit, nun in der Praxis beweisen müssen.