Mein Geduldsfaden riss, als Angela Merkel am Donnerstag ankündigte, noch einmal über die Datenschutzgrundverordnung (DSGVO) und ihre Umsetzung beraten zu wollen. Also demnächst nochmal alles revidieren? Nachdem wir monatelang versucht haben, die EU-Verordnung und ihre komplexen Wechselwirkungen mit anderen Gesetzen zu verstehen? Wir haben Mustertexte und Generatoren für Datenschutzerklärungen ausprobiert und viel Zeit damit verbracht, uns in die Dokumentationspflichten reinzufuchsen, in denen wir haarklein aufschreiben müssen, welches Datenhäppchen wir zu welchem Zweck auf welcher gesetzlichen Grundlage speichern. Und zwar auch, wenn wir die Daten gar nicht elektronisch speichern sondern im Aktenschrank. Falls wir Websites betreiben, haben wir Auftragsdatenverarbeitungsverträge mit unseren Webhostern abgeschlossen, obwohl die streng genommen gar keine Daten für uns verarbeiten, sondern wir das mit unserer Software auf den gemieteten Servern selber tun. Wenn wir Unternehmer sind, haben wir Datenschutzbeauftragte berufen oder angestellt, die das alles für uns auspuzzeln.

Lasen wir selbst in der DSGVO nach, waren wir erleichtert und hörten erstmal auf zu lesen, weil wir mit weniger als 250 Mitarbeitern nicht unter die Verordnung fallen. Oder vielleicht doch, weil wir mit besonders „risikobehafteten“ Daten hantieren, wobei schwer festzustellen ist, welche Daten überhaupt darunter fallen. Sind wir keine Unternehmer,  können wir uns oft nicht darauf ausruhen, dass wir Privatleute sind, weil irgendein Aspekt unseres Online-Lebens uns als gewerbliches Handeln ausgelegt werden könnte. Wir haben uns in zahllose Artikel, Blogposts und Webforen eingelesen und jedes-fucking-Mal haben wir den Cookie-Hinweis weggeklickt. Wenn wir dabei ohne Tracking-Blocker unterwegs gewesen sind, haben wir den Werbenetzwerken mehr Information über uns selbst preisgegeben, als die meisten von uns jemals schützen könnten. Wir haben heiße Debatten in den sozialen Medien geführt und dabei alles und sein Gegenteil über die DSGVO gelesen, und zwar durchaus auch von gestandenen Juristen und Datenschutzexperten.

„Wir“, das sind Blogger, Arztpraxen, Fotografen, Onlinehändler, Influencer, Buchhaltungsbüros, Journalisten, Youtuber, kleine und große Vereine, Open-Source-Entwickler, Webdesigner, Coaches, Aktivisten, Berater oder Seelsorger – also genau diejenigen, die ganz offenbar immer wieder durch Datenmissbrauch auffallen und dringend mal strenger reguliert werden müssten.

Klar, die DSGVO reguliert auch die „Großen“. Aber wie viel ist eine Datenschutzreform wert, die Facebook gleich mal verwendet, um seinen Nutzern die automatische Gesichtserkennung unterzujubeln? Wie Sascha Lobo in seiner Spiegel-Online-Kolumne schreibt, ist „Hier klicken, sonst können Sie Google nicht weiterverwenden“ schon fast eine Drohung, während „Hier klicken, sonst dürfen Sie die alternative Suchmaschine Findevogel nicht mehr nutzen“ ein Witz ist. Die DSGVO überzieht zahllose Menschen mit einem bürokratischen Irrsinn und treibt diejenigen, die das vermeiden wollen, zu den großen Plattformen, die sich unter dem Deckmantel der „Einwilligung“ dann allerlei erlauben können. Alternative Anbieter wie Diaspora oder Mastodon, die graswurzelartig von den Nutzern selbst betrieben werden, stehen vor kaum lösbaren Problemen: Wie etwa soll das in der DSGVO verankerte „Recht auf Vergessen“ auf derart verteilten Plattformen eigentlich umgesetzt werden? Einige sehen keine andere Wahl, als Nutzer aus der EU einfach auszusperren.

Die Standard-Antwort auf Rants wie diesen ist übrigens „Panikmache“. Dieses Wort ist fast schon zum Kampfbegriff mutiert gegen all diejenigen, die verärgert und überfordert sind und sich darüber auf den sozialen Medien ein wenig Luft verschaffen. Die Arroganz einiger Verfechter der DSGVO macht es nicht gerade besser: „Jammert nicht, immerhin hattet ihr zwei Jahre Zeit, euch mit der DSGVO auseinanderzusetzen“, sagen sie und übersehen dabei völlig, dass die allermeisten für Erika Mustermann halbwegs verständlichen Texte, Zusammenfassungen und Leitfäden überhaupt erst im Frühjahr 2018 zur Verfügung standen. Das ganze erinnert an das Vorgehen der Vogonen in der Satire „Per Anhalter durch die Galaxis“, die die Erde für eine Hyperraumumgehungsstraße in die Luft jagen wollen. Dass die Menschheit wenig amüsiert reagiert, können die Vogonen überhaupt nicht verstehen, schließlich hätten die Pläne ja lange genug auf Alpha Centauri zur Einsicht ausgelegen, das ja auch nur 4,3 Lichtjahre entfernt sei.

Panikmache betreiben nicht diejenigen, die angesichts der DSGVO ihr Blog schließen. Sie haben schlicht keine Zeit, sich mit den Details der DSGVO auseinanderzusetzen, weil sie wegen Berufstätigkeit, Kindererziehung und sozialem Engagement besseres zu tun haben. Deren Blogs verschwinden einfach. Panikmache betreiben eher die üblichen Spammer.

Und natürlich auch ein paar Juristen, die versuchen, aus der DSGVO ein Geschäft zu machen.

Wie schwierig es ist, sich korrekt an die DSGVO zu halten, zeigt das Beispiel Fotografie. Nicht nur dass es sich um ein Kuddelmuddel aus privater, halbprivater und gewerblicher Tätigkeit handelt und auch Privatleute zu gewerblichen Fotografen mutieren, wenn sie gegen einen kleinen Obolus ihre Kamera zu einer Feier mitbringen. Wer Menschen fotografiert, muss sie dafür um Erlaubnis bitten. Schließlich ist so ein Foto ja schon eine Datenerhebung nach DSGVO, selbst wenn es nicht veröffentlicht oder ausgestellt wird. Hier kennt das „Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie“ (KUG) allerlei Ausnahmen, um Kunst- und Meinungsfreiheit zu schützen. Bisher widersprachen die dem Bundesdatenschutzgesetz. Juristen nehmen in so einem Fall eine Rechtsgüterabwägung vor. Was wiegt schwerer: Das Interesse der Künstler oder der Fotografierten? Bisher überwog bei dieser Abwägung das KUG. Doch dann tauchte die Meinung auf, dass das ab dem 25. Mai nicht mehr so sei und auf Fotografen einige Schwiergkeiten zukämen.

Seitdem wird viel darüber gestritten und wieder war von „Panikmache“ die Rede. Die Fachpolitiker, die maßgeblich an der DSGVO mitgearbeitet hatten, sagten, für Fotografen würde sich nichts ändern und das Bundesinnenministerium schloss sich dieser Rechtsauffassung an. Das Problem ist nur: Niemand weiß, ob sie auch stimmt. Die Konferenz der Datenschutzbeauftragen jedenfalls hat den Gesetzgeber aufgefordert, gesetzliche Anpassungen an die DSGVO „konkret und spezifisch“ zu regeln. Das scheint beim KUG bisher nicht passiert zu sein. Fun-fact am Rande: Eigentlich regelt das KUG die Veröffentlichung und Zurschaustellung von Kunstwerken, also auch Fotos mit Menschen drauf, während die DSGVO die Datenerhebung, also das Fotografieren selbst, regelt. Nach dieser Logik wäre die Veröffentlichung solcher Fotos weiterhin erlaubt, aber das Fotografieren ohne Einwilligung verboten, weil Datenerhebung. Eine Komplexität, die Nicht-Juristen keine Chance auf Durchblick lässt. 

Wie groß oder klein das Risiko für Fotografen am Ende wirklich ist, wird wahrscheinlich erst in etlichen Jahren vor Gericht entschieden, voraussichtlich auf Kosten von Künstlern, die glaubten, nach bestem Wissen und Gewissen legal zu handeln. Bevor ich so ein Risiko eingehe, lass ich es lieber bleiben. Datenschutz frisst Kultur, gerade bei den kleinen, unabhängigen Kulturtreibenden, die kein Verlagshaus mit Justiziar im Rücken haben und im Falle eines Prozesses Angst vor dem finanziellen Ruin haben müssen. Gesetze, bei denen von vornherein die Bevölkerung auch nach kostenpflichtiger Beratung durch einen Anwalt nicht sicher wissen kann, wie sie sich daran halten soll, sind gesetzgeberischer Pfusch und nichts anderes.

Sicher, Gesetze und ihre Wechselwirkungen sind sehr komplex. Das erste Buch des BGB mit seinen 240 Paragraphen befolgen wir intuitiv im Alltag, weil wir es von Kindheit an gelernt haben. In der deutschen Fassung ist die DSGVO 88 Seiten lang. Hinzu kommen: das reformierte Bundesdatenschutzgesetz, die teilweise reformierten Landesdatenschutzgesetze, die bisher kaum berücksichtigte E-Privacy-Verordnung der EU sowie alle Gesetze und Verordnungen, die damit kollidieren, einschließlich der Rechtsgüterabwägung zwischen ihnen. Und vielleicht oben drauf noch das, was Angela Merkel jetzt noch schnell mit Horst Seehofer beraten will. Wobei allerdings klar ist, dass Deutschland an der DSGVO einseitig wenig ändern können dürfte.

Das gestiftete Chaos ist auch deswegen ärgerlich, weil die Datenschutzgrundverordnung tatsächlich ein paar wirklich gute Ideen enthält. Es ist gut, dass Unternehmen verpflichtet werden, in einfachen Texten zu erklären, wie sie Daten verarbeiten. Es ist gut, dass Plattformen die Daten ihrer Nutzer maschinenlesbar herausgeben müssen, damit Nutzer sie anderweitig weiterverwenden können. Es ist gut, dass eine Auskunftspflicht besteht. Es ist gut, dass das Datenschutzrecht in der EU vereinheitlicht wird. Und selbstverständlich ist Datenschutz an sich wichtig, besonders da, wo Menschen Macht über uns haben, wie etwa unsere Arbeitgeber.

Denn letztlich soll Datenschutz ja Menschen schützen. Daran muss sich die DSGVO messen lassen. Ein Beispiel: Der Wohnungsmarkt ist dermaßen angespannt, dass potenzielle Mieter heute „Mietbewerber“ heißen und einen Datenstriptease hinlegen müssen. Das war zwar vorher schon illegal, aber wer sich weigert, bekommt die Wohnung halt nicht. Hilft die DSGVO da irgendwie weiter? Das wäre ganz konkreter Datenschutz im Alltag.

Geradezu pervers wird das heutige Datenschutzrecht aber, wenn man auf seine Entstehungsgeschichte blickt. 1983 definierte das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung als ein Grundrecht mit Verfassungsrang, das sich direkt aus der Menschenwürde ableitet. Hintergrund waren die Proteste gegen die damalige Volkszählung im Kontext der Notstandsgesetze von 1968 mit ihren Berufsverboten und der Rasterfahndung in den 1970er Jahren. Datenschutz als Grundrecht im Sinne der Erfinder war nicht nur, aber vor allem ein Abwehrrecht gegen den Staat, wie übrigens fast alles, was im Grundgesetz steht.

Seitdem hat der Staat sich jedoch zahllose Ausnahmen im Datenschutz gegönnt und ein Überwachungsgesetz nach dem anderen eingeführt. Neben immer neuen Anläufen zur Vorratsdatenspeicherung sind das bayerische Polizeiaufgabengesetz und die experimentelle Kameraüberwachung am Berliner Bahnhof Südkreuz die traurigen Höhepunkte. Und das alles, während einige Kommunen gerne selber in den Datenhandel einsteigen möchten. Angesichts dessen, was die Verfassungsrichter einst bezwecken wollten, ist das heutige Datenschutzrecht mit seiner für zahllose Menschen überbordenden Bürokratie eine traurige Karikatur.