"Der Vorwurf liegt ja hauptsächlich darin, dass wir zum Thema Datenschutz-Grundverordnung überhaupt nicht informiert haben, das heißt weder die Bundesregierung, noch in anderen Bereichen wurde die Bevölkerung, wurde die Wirtschaft informiert, was dazu geführt hat, dass jetzt diese ganzen Panikmacher, Schwarzmaler etc. ihr Werk verrichten können."

Manfred Kloiber: Das sagt Thomas Spaeing, Vorstandvorsitzender des Berufsverbandes der Datenschutzbeauftragten Deutschlands, mit einem nachdenklichen Schuss Selbstkritik. Auf der Herbsttagung der Datenschützer wurde kritisch gefragt: Was bringt eigentlich die neue Datenschutz-Grundverordnung? Wie wird sie in Deutschland umgesetzt? Und: Warum gibt es so viele Vorbehalte gegen sie? Diese Fragen gebe ich an Peter Welchering weiter, der hat die Herbstkonferenz nämlich besucht. Peter, woher kommt der schlechte Ruf der DSGVO?

Peter Welchering: Zum einen liegt es wirklich daran, dass einfach zu schlecht informiert wurde. Die zweijährige Übergangsfrist, in der die DSGVO schon galt, hat ja in Deutschland eigentlich so gut wie keiner mitgekriegt. Und dann kam der 25. Mai 2018. Und plötzlich hatte alle Welt Angst vor der Datenschutzgrundverordnung. Wie das so ist mit Ängsten, die sorgen dann für die dollsten Geschichten, nicht nur Übertreibungen, sondern totale Falschmeldungen dabei: Dass Kindergartenkinder nicht mehr für Erinnerungsbücher fotografiert werden dürfen, dass Namen nicht mehr auf Klingelschildern stehen dürfen, dass Patienten im Wartezimmer des Arztes nicht mehr namentlich aufgerufen werden dürfen – alles Quatsch und teilweise von interessierter Seite lanciert. Denn es gibt starke Kräfte in Deutschland, die wollen die Datenschutzgrundverordnung zurückdrehen.

Kloiber: Darüber haben die Datenschützer von Mittwoch bis Freitag sehr intensiv debattiert. Diese Debatte fassen wir kurz zusammen.

"Es ist tatsächlich das Problem, dass wir eine sehr gute europäische Vorlage haben, die Datenschutz-Grundverordnung mit hohen Standards, und dass es inzwischen eine Gegenbewegung gerade auch in Deutschland gibt. Sowohl auf gesetzgeberischer Ebene als auch bei tatsächlich vielen politischen Parteien, die der Auffassung sind, dass die Anforderungen der Grundverordnung schlicht und ergreifend zu hoch sind. Gerade für kleine Vereine, für Handwerker, für Organisationen, die nicht gewerblich unterwegs sind, aber im Prinzip die gleichen Anforderungen erfüllen müssen wie die großen Datenverarbeiter. Da bemüht sich sowohl der Bundesgesetzgeber als auch politische Parteien etwas Erleichterung für den einzelnen Verantwortlichen zu schaffen. Das ist aber ein Bemühen, das in unserer heutigen Zeit nach hinten losgehen muss, weil es europäisches Recht ist und der nationale Gesetzgeber diesen Spielraum gar nicht mehr hat."

So warnte Dr. Stefan Brink, der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg auf der Herbsttagung der Datenschützer. Tatsächlich enthält die Datenschutz-Grundverordnung einige sogenannte Öffnungsklauseln, die mit nationalem Recht ausgestaltet werden können. Das soll unter anderem mit dem Datenschutz-Anpassungsgesetz passieren. Aber in der Diskussion um dieses Gesetz wird auch deutlich, dass einige Kräfte damit die Datenschutz-Grundverordnung erheblich unterbieten, teilweise abschaffen wollen. Saskia Esken, die digitalpolitische Sprecherin der SPD-Bundestagsfraktion sieht das so:

"Es wird tatsächlich von manchen missverstanden, sozusagen als Chance, die Evaluierung und Veränderungen der Datenschutz-Grundverordnung womöglich sogar vorzuziehen, die aber damit gar nicht ansteht. Dieses Datenschutz-Anpassungsgesetz ist eigentlich ein rein technisches Vorhaben, in vielen Gesetzestexten hier und da technische Begriffsanpassungen und rechtliche Anpassungen vorzunehmen. Es darf nicht darum gehen, insbesondere das war ein wichtiger Vorschlag, die Schwelle für die Pflicht der Beauftragung eines betrieblichen Datenschutzbeauftragten beispielsweise einzuheben. Und ich halte es eher für richtig, in den Unternehmen, am liebsten auch in Vereinen, jemanden zu benennen, der sich mit dem Thema beschäftigt. Das ist auch sinnvoll und dann kann man es auch richtig machen."

Dabei liefert die Grundverordnung in vielen Bereichen endlich eine effektive Rechtsgrundlage, um Datenmissbrauch entgegenzuwirken. Etwa bei der Kontrolle von Entscheidungssoftware, die Kredite gewährt oder verweigert. Oder bei Programmen, die passende Bewerberinnen und Bewerber für einen Job aussuchen. Datenschützer Thomas Spaeing:
"Die Datenschutz-Grundverordnung hat ein wunderbares Instrument geliefert. Was wir für neue Methoden anwenden müssen, das ist die Datenschutz-Folgenabschätzung. Die ist keine pure Bürokratie, sondern ist eigentlich ein Tool für‘s ‚Risk Management‘. Analysieren, was macht diese neue Verarbeitung. Wir dürfen nicht vergessen, hier geht es um Bürgerrechte, hier geht es um verfassungsmäßig geschützte Rechte. Und hier haben wir Tools und Möglichkeiten, neue Verfahren, zum Beispiel Künstliche Intelligenz Systeme vorher zu prüfen. Was bedroht möglicherweise hier die Rechte und Freiheiten der Betroffenen, der Bürger, der Menschen überall, auch die der Politiker - wird ja oft vergessen. Und deswegen sind diese Instrumente so wichtig und durchaus eine gute Antwort für diese neuen Themen."
Allerdings findet eine tatsächliche Prüfung von Algorithmen auf absehbare Zeit nicht statt. Die Aufsichtsbehörden schaffen das einfach nicht. Der baden-württembergische Landesbeauftragte Stefan Brink erklärt das so.
"Bei den modernen und jetzt anstehenden Themen Künstliche Intelligenz zum Beispiel oder Algorithmen-Prüfung müssen wir aber eingestehen, dass wir dazu weder personell noch von unseren technischen Fähigkeiten ohne weiteres in der Lage sind. Da brauchten wir einen zweiten Anlauf und eine weitere Stärkung. Ich bin mir aber nicht sicher, ob da die Parlamente im Moment bereit sind, uns noch mal so intensiv zu unterstützen wie im Vorfeld der Datenschutz-Grundverordnung."