Vor einem Jahr trat die Datenschutz-Grundverordnung der EU in Kraft. Der Schrecken vieler Seitenbetreiber und Blogger im Netz hat sich als zahnloser Tiger erwiesen.
Ein großer Wurf sollte es werden, ein europaweiter Riesenschritt in eine Zukunft, die nicht nur Datenschutz und Informationsgesellschaft, sondern auch individuelle Freiheitsrechte und die Bedürfnisse von Internetanbietern nach Information vereint. "Datenschutz-Grundverordnung", kurz, aber kaum eleganter "DS-GVO", nennt sich das europäische Regelwerk, das vor einem Jahr in Kraft trat und vor allem für kleine Blogger, Betreiber von Hobbyseiten und Facebook-Gruppen-Administratoren zu einem Alptraum wurde.
Monatelang sorgte das neue Regelwerk für Verunsicherung. Was muss? Was soll? Was droht, wenn nicht? Für Laien kaum interpretierbar, wurden die elf Kapitel der DS-GVO mit ihren 99 Artikeln zum Angsttraum von Leuten, die bis dahin nur spielerisch im Netz unterwegs waren, sich nun aber plötzlich von horrenden Bußgeldern bedroht sahen. Anbieter von Webcam-Seiten wie der vom Elbbalkon am Elberadwanderweg schlossen ihr Angebot. Newsletteranbieter mussten ihre Empfänger neu und oft mehrfach um Zustimmung für weitere Aussendungen bitten. Der Museumsverband Sachsen-Anhalt zog sich aus den sozialen Netzwerken Twitter und Facebook zurück. Schwestern in Arztpraxen wagten nicht mehr, Patienten mit Namen aufzurufen. Wer auf Nummer sicher gehen wollte, zahlte an spezialisierte DS-GVO-Experten, damit die die eigene Seite rechtskonform umgestalteten.
Zumindest in Deutschland ist ein Jahr danach weitgehend Frieden eingekehrt. Vieles hat sich eingeschliffen, so etwa der Umstand, dass Tausende oder sogar Zehntausende - nicht einmal die Zahl ist den Behörden bekannt - nach DS-GVO rechtswidrige Überwachungskameras überall im Land stillschweigend weiterfilmen dürfen. Anderes wurde repariert, so zum Beispiel die nicht rechtskonformen Internetseiten von Landtags-, Bundestags- und EU-Abgeordneten aus Sachsen-Anhalt, die bei einem ersten MZ-Test kurz nach Inkrafttreten der neuen Richtlinie reihenweise durch Regelwidrigkeiten aufgefallen waren.
Heute sind es Kleinigkeiten, die immer noch auffallen: Kaum ein Abgeordneter teilt seinen Besuchern "zum Zeitpunkt der Erhebung von Daten", wie es in der DS-GVO heißt, mit, welche er speichert. Auch die von der DS-GVO vorgeschriebene Möglichkeit, eine Seite zu besuchen, ohne dass Daten gesammelt werden, bietet kaum jemand an. Immerhin sind mittlerweile alle getesteten Seiten wie gefordert verschlüsselt, so dass Besucher nicht von Dritten belauscht werden können. Auch Landesbehörden und einige Städte wie Magdeburg, Dessau und Naumburg haben hier reagiert. Andere nicht. halle.de, merseburg.de, weissenfels.de und zeitz.de verzichten auf diese von der DS-GVO geforderte "geeignete technische Maßnahme zur Sicherung der personenbezogenen Daten".
Das Risiko, deswegen ein Bußgeld zahlen zu müssen, ist allerdings überschaubar. Seit dem Inkrafttreten der DS-GVO sind bei der Behörde des Datenschutzbeauftragten im Bundesland Sachsen-Anhalt zwar 1 686 diesbezügliche Anfragen eingegangen. 1 161 davon dienten jedoch reinen Informationszwecken, nur bei 47 handelte es sich um Eingaben und bei 478 um Beschwerden. In Sachsen-Anhalt, das deutschlandweit pro Kopf gerechnet mit knapp 185 000 Domains die wenigsten Webadressen registriert hat, war damit ungefähr eine von 400 hier beheimateten Internetseiten Gegenstand einer Prüfung nach DS-GVO. Nur ganze 0,005 Prozent aller Domains bekamen es mit einem förmlichen Verfahren zu tun. "Bisher wurden aus sechs beendeten Verfahren Bußgelder in Höhe von 11 700 Euro erhoben", rechnet Nancy Kühnel von der Behörde des Landesbeauftragten vor. Weitere vier Bußgeldverfahren würden entweder noch geführt oder seien beendet worden, "ohne dass es zur Vereinnahmung eines Bußgeldes kam".
Die DS-GVO, der Schrecken vieler Seitenbetreiber und Blogger, hat sich als zahnloser Tiger erwiesen. Und als Beschäftigungsprogramm für Datenschützer. Eine Einschätzung oder statistische Angaben zum Umsetzungsstand der DS-GVO im Land könnten "wegen der dauerhaft deutlich erhöhten Arbeitsbelastung nach Inkrafttreten leider nicht erfolgen", heißt es im Haus von Datenschützer Harald von Bose.
Das gilt für Europa umso mehr, denn so sehr die DS-GVO Deutschland in Unruhe versetzt hat, so gelassen sehen die EU-Nachbarn den Umgang mit dem neuen Regelwerk. Angefangen beim Europäischen Parlament, dessen Mitglieder die DS-GVO im Mai 2016 beschlossen hatten, ignorieren auch die Parlamente von Spanien, Portugal, Frankreich und Polen ganz oder teilweise zentrale Vorgaben der Richtlinie, die seit dem 25. Mai vergangenen Jahres eigentlich unmittelbar in allen EU-Mitgliedstaaten gilt