Was hat sie nur an Spott und Häme auszuhalten gehabt, die europäische Datenschutzgrundverordnung, kurz DSGVO, die am 25. Mai 2018 in Kraft getreten ist.
„Die europäische „Großtat“ ist zur europäischen Lachnummer geworden“, schrieb Stefan Weber kürzlich auf Telepolis. „Ein Murks namens DSGVO“, schrieb die Austrian Business Travel Association (abta), „DSGVO sorgt für Chaos“, vermeldete das Magazin Focus.
Es fehlte also nicht an lautstarken Kritikern; was bislang fehlte waren besonnenere Einschätzungen. Die hat nun der Economist in seiner aktuellen Titelstory unter der Headline „The power of privacy“ geliefert. „Die starke Position europäischer Regulatoren in Sachen Wettbewerb und Privatheit sind dabei, sich gegenseitig zu verstärken“, schreibt das Blatt, und resümiert: „Das sollte amerikanische Tech-Giganten Sorgen machen.“
Die Schreiber zählen drei Gebiete, auf denen die DSGVO bereits Wirkung zeigt. Es geht um nichts Weniger als das Brot- und Butter-Geschäft von Internet-Riesen wie Google oder Facebook, nämlich die Echtzeit-Versteigerung von Online-Werbeplätze. Solche Online-Auktionen verstoßen nämlich nach Ansicht der britischen Datenschutzorganisation Privacy International gegen das neue Gesetz. Die schreibt nämlich in Art. 6 Abs. 1 f vor, dass personenbezogene Daten nut bei einem „legitimen Interesse“ des Datenverarbeiters genutzt werden dürfen. Der Wunsch eines Unternehmens wie Google oder andere, Werbeplätze zu verkaufen, sei kein legitimes Interesse, die das hemmungslose Sammeln von Personendaten rechtfertige.
In Eingaben an britische, französische und irische Regulationsbehörden verweist Privacy International auf das Beispiel von Banken, die ein durchaus legitimes Verlangen danach haben, Betrugsfälle aufzudecken oder zu vermeiden, wofür sie die im Geschäftsverlauf gesammelten Daten ihrer Kunden auswerten dürfen. Der Paragraf sei aber nicht dehnbar genug, um ein ganzes Geschäftsmodell abzudecken.
Ein anderer wünschenswerte Effekt der DSGVO könnte das Verhindern von „erzwungener Zustimmung“ sein, wie sie beispielsweise Facebook bei Einführung des neuen Gesetzes praktiziert hat. Nutzer mussten einer neuen, angeblich DSGVO-konformen Version der Allgemeinen Geschäftsbedingungen zustimmen – sonst würden ihr Konten nicht nur bei Facebook selbst, sondern auch bei den Tochterunternehmen wie WhatsApp und Instagram gesperrt. Das vom Wiener Max Schrems gegründete europäische Zentrum für digitale Rechte noyb („none of your business“) hat in Deutschland, Belgien und Frankreich Beschwerde gegen Facebook und Google eingelegt. Im Januar verdonnerte die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) Google daraufhin zu einer Geldstrafe von €50 mio., weil beim Einrichten eines Google-Accounts auf einem Android-Smartphone eine gültige Zustimmung des Nutzers fehle, ihm personalisierte Anzeigen auszuspielen. Google hat natürlich sofort Beschwerde gegen das Urteil eingelegt. Am Ende wird wohl das EuGH entscheiden müssen.
Wohl am schwerwiegendsten aber ist eine Beschwerde, die von den Briten Michael Veale und Jim Killock und dem Iren Johnny Ryan im Herbst 2018 eingereicht haben. Es geht dabei um Echtzeit-Werbeauktionen, englisch „real-time bidding“, wie sie Google und andere seit Jahren verwenden. Jeder Nutzer wird dabei mit so genannten „Tags“ oder „Etiketten“ versehen, um Werbeanzeigen möglichst individuell ausspielen zu können. Die auch vom internationaler Wirtschaftsverband der Onlinewerbungsbranche (IAB) verwendeten Markierungen sind eine Art Platzhalter, um die Auslieferung der Werbeformen wie beispielsweise Banner für die jeweilige Werbefläche steuert. Es gibt über 2.000 solcher Etiketten, und sie decken auch die intimsten Bereiche ab. „Dabei ist dem Suchmaschinenkonzern nichts heilig: politische Präferenzen, Spiritualität, Drogenkonsum, Geschlechtskrankheiten, Krebs oder psychische Probleme – für alle Lebensumstände gibt es ein Etikett“, schreibt Christiane Schulzki-Haddout auf Golem.
In ihrer Eingabe fordern die drei Datenschutz-Aktivisten die Behörden auf, die Protokolle des von Google Doubleclick betriebenen Systems Authorized Buyers sowie des verwandte IAB-Systems OpenRTB (Open Real-time Bidding) genau unter die Lupe zu nehmen um von Amtswegen festzustellen zu lassen, ob damit Schindluder in Bezug auf persönliche Informationen getrieben wird.
Ryan, der für den Browser-Hersteller Brave arbeitet, setzt sich dafür ein, dass Google & Co. gezwungen werden sollen, vor allem zum Intimbereich zählende persönliche Informationen zu löschen. Das Dumme ist nur: Für Google steht viel Geld auf dem Spiel. Und niemand weiß, ob das Geschäftsmodell überhaupt überlebensfähig wäre, wenn die Nutzer tatsächlich, wie von Ryan und seinen Mit-Beschwerdeführern gefordert, ihre ausdrückliche Zustimmung für die Verwendung ihrer Daten geben müssten.
Höchste Zeit, also, die „Lachnummer“ DSGVO ernst zu nehmen.