Die Datenschutz-Grundverordnung ist ein Meilenstein des Datenschutzes, muss aber gelebt und weiterentwickelt werden. Ein Vortrag auf unserer Konferenz präsentiert konstruktive Vorschläge für die Zivilgesellschaft. Wir sollten Anfragen stellen, Präzedenzfälle schaffen und Beschwerden einreichen.

Frederike Kaltheuner leitet das Programm „Data Exploitation“ bei Privacy International. Ailidh Callander ist als Juristin bei Privacy International für rechtliche Fragen rund ums Thema Datenschutz verantwortlich. Auf unserer Konferenz „Das ist Netzpolitik“ haben sie einen Vortrag gehalten, wie die unsichtbare Datenindustrie zur Verantwortung gezogen werden kann – auch mithilfe der Datenschutz-Grundverordnung.

Das Problem sind nicht einzelne böswillige Personen, die große Plattformen wie Facebook oder Twitter missbrauchen, wie es jüngst die Chefs der Unternehmen im US-Senats erklärten. Dieses Narrativ greift viel zu kurz, finden Frederike Kaltheuner und Ailidh Callander. Das Problem liegt nicht im individuellen Missbrauch, sondern in der Funktionsweise der Datenindustrie als Ganzes:

So funktionieren Daten heute – es gibt tausende Unternehmen, von denen man noch nie gehört hat, die Daten auf eine Weise verwenden, die die meisten Leute extrem unangenehm fänden.

Die Datenschützerinnen analysieren konstruktiv, wo uns die Datenschutz-Grundverordnung schon weiterbringt, welche Punkte noch kritikwürdig sind und was die Zivilgesellschaft jetzt tun kann.

Was kann die DSGVO?

Rechtlich gesehen hat die DSGVO in wesentlichen Punkten zu Verbesserungen geführt. Beispielsweise gibt es nun eine gesetzliche Grundlage, um auch Unternehmen zur Verantwortung ziehen zu können, die außerhalb der EU liegen. Firmen müssen jetzt transparent darlegen, welche Daten für welche Zwecke genutzt werden. Und es gibt Beschränkungen, auf welcher Basis überhaupt Daten gespeichert und verwertet werden dürfen.

Trotzdem bleibt noch viel zu tun, insbesondere weil die Verordnung in wesentlichen Punkten unklar bleibt.

Wir müssen sicherstellen, dass die Verordnung nicht so von mächtigen Unternehmen genutzt und interpretiert wird, dass diese ihre Machtposition noch weiter ausbauen können. Die Verordnung muss so gelesen werden, dass das Machtungleichgewicht angegangen werden kann. Dabei spielen wir alle eine Rolle!

Was jetzt passieren sollte

Damit die Potentiale der DSGVO bestmöglich ausgeschöpft werden, muss die Zivilgesellschaft weiter aktiv bleiben. Im Vortrag werden dazu mehrere Handlungsoptionen aufgezeigt:

Rechte nutzen und testen: Die Möglichkeiten, die die DSGVO bietet, sollten wir nutzen. Zum Beispiel indem wir gezielt Anfragen zur Herausgabe und Löschung von Informationen an Unternehmen stellen. Je mehr Leute das tun, desto bessere Infrastrukturen wird es in den Unternehmen geben, um mit den Anfragen umzugehen.

Die Möglichkeiten, die die DSGVO bietet, sollten wir nutzen. Zum Beispiel indem wir gezielt Anfragen zur Herausgabe und Löschung von Informationen an Unternehmen stellen. Je mehr Leute das tun, desto bessere Infrastrukturen wird es in den Unternehmen geben, um mit den Anfragen umzugehen. Präzedenzfälle schaffen: Gerade weil die Verordnung in wesentlichen Punkten so uneindeutig ist, müssen wir Präzedenzfälle schaffen. Wir müssen Regelungen einfordern und selbst entwerfen, damit diese Grauzonen klarer werden, und zwar in unserem Sinne.

Gerade weil die Verordnung in wesentlichen Punkten so uneindeutig ist, müssen wir Präzedenzfälle schaffen. Wir müssen Regelungen einfordern und selbst entwerfen, damit diese Grauzonen klarer werden, und zwar in unserem Sinne. Beschwerden einzureichen, heißt nicht Abmahnwelle: Wir müssen Beschwerden bei Datenschutzbehörden einreichen, beispielsweise dann, wenn standardmäßig ein Häkchen bei der Einverständniserklärung zur Nutzung von Daten gesetzt ist.

Video-Aufzeichnung des Vortrags:

Hier gibt es den Vortrag außerdem als Audio-Datei (mp3): https://cdn.media.ccc.de/contributors/netzpolitik/14np/mp3/14np-11-eng-Time_to_hold_the_invisible_data_industry_to_account_mp3.mp3

Alle Aufzeichnungen unserer Konferenz.