Für die Süddeutsche wurden einige Experten, neben mir, zu einer Einschätzung zur DSGVO gebeten, einen Monat nachdem die Grundverordnung wirksam wurde. Hier kann man den Artikel lesen. Und hier meine leicht angepasste Antwort:
Warum es wichtig ist: Die EU hat einen regulatorischen Eigenweg bezüglich des Internets eingeschlagen, dessen massive Auswirkungen immer sichtbarer werden. Es ist kein Ende in Sicht. Die gesellschaftlichen und wirtschaftlichen Auswirkungen für Europa werden entsprechend umfangreich sein.
Es gab und gibt einige Berichte, was eingestellt wird, weil der Aufwand durch die DSGVO zu hoch wäre. Hier eine Auswahl, die ich auf die Schnelle gefunden habe:
- | Medizin und Medien Verlag: Erste Abmahnungen treffen Ärzte
- DSGVO und Whois: Gericht erklärt von ICANN geforderte Daten für verzichtbar | heise online
- "Traurige Nachricht für alle Freunde der #Museen in #SachsenAnhalt auf #Facebook und #Twitter: Nach Konsultationen mit dem Landesbeauftragten für #Datenschutz hat der Vorstand des Museumsverbands entschieden, alle #SocialMedia-Auftritte ab morgen (vorerst) abzuschalten #DSGVO #LSA pic.twitter.com/vLc58lp5Th"
- "Dieser Schritt ist für uns nicht leicht, aber aufgrund der Datenschutz Grundverordnung (DSGVO) ziehen wir uns vorerst von Facebook zurück. Bitte vergesst das Museum Weißenfels Schloss Neu-Augustusburg nicht!... facebook.com/20722169606038…"
- AOPA will Flightradar24 massiv einschränken lassen - Aerobuzz.de : Aerobuzz.de
- Umstrittenes Gesetz: Datenschutz stellt viele Vereine vor Probleme | General-Anzeiger Bonn
- Die DSGVO-Todesliste
- Statt Links der Woche: Tote Links der Woche – Enno Park
Es gibt noch sehr viel mehr. Auf Twitter berichteten Webdesignagenturen davon, dass ihre Kunden (Architekturbüros, Arztpraxen etc.) darum baten, die Websites wieder offline zu nehmen. Mit ein bisschen Aufwand sollten diese Tweets zu finden sein.
Dazu kommen zusätzlich erste US-Publisher, die ihre Angebote mittels IP-Sperren aus Europa heraushalten, wie es zum Beispiel Tronc mit der LA Times macht. Das wird eine übliche Praktik werden besonders für Startups und kleinere Mittelständler aus dem EU-Ausland: Die DSGVO zwingt diese Unternehmen, die EU anders zu behandeln. Datenschützer hoffen darauf, dass die Unternehmen dann einfach weltweit DSGVO-konform agieren werden. Viel wahrscheinlicher, weil technisch trivial umsetzbar und deshalb sehr viel günstiger: Die EU erstmal aussperren und sich mit den lästigen Richtlinien irgendwann später beschäftigen. (Oder eben die EU ganz abschreiben.) Denkbar auch, dass in Europa viele Anbieter nur abgespeckte Basisvarianten betreiben werden. (Ein bereits existierendes, relativ großes Beispiel: Die Facebook-interne Usersuche existiert seit Jahren in den USA, hat es in ihrer modernen Version aber bis heute nicht hierher geschafft.)
Die logische Folge: Die Großen, also die Unternehmen mit bestehender Rechtsabteilung, haben einen entscheidenden Vorteil.
Für Europa sind die Kosten einer Onlinepräsenz enorm nach oben gegangen. Man nehme die vor der Abstimmung im EU-Parlament stehenden EU-LSR, Upload-Filter und die Linksteuer hinzu, und Sie sehen die systematische Zerstörung der Grundpfeiler des Internets.
Das mag nicht das Ziel sein, aber es ist das Ergebnis. Die Macher, wie Jan Albrecht bei der DSGVO, drücken sich bis jetzt erfolgreich vor ihrer Verantwortung. (Man kann das auch schön an den Statements von Albrecht im SZ-Artikel sehen. Die juristischen Laien etwa sind seiner Meinung nach selbst schuld, wenn sie auf die DSGVO überreagieren.)
Die drei Letztgenannten (EU-LSR, Uploadfilter & Linksteuer) haben mit der DSGVO gemeinsam, dass die Macher sich anscheinend keinen Deut um den Teil des Internets scheren, der sich aus der Zivilgesellschaft zusammensetzt: Nonprofits, Vereine, Museen, Hobbyprojekte von Foren bis Blogs. Darauf wird nicht nur keine Rücksicht genommen, es wird erst gar nicht mitgedacht, was damit passieren könnte.
Das Schlimmste daran ist, dass all das nur die spitzeste Spitze des Eisbergs ist. Nicht jede/r posaunt in die Welt, jetzt die Website, das Blog, das Forum, das man nebenbei oder halbberuflich betreibt, zu schließen. Die Dunkelziffer muss enorm hoch sein. Wir werden auch nie erfahren, was jetzt künftig wegen der DSGVO nicht gemacht wird. Opportunitätskosten sind in diesen Fällen zu großen Teil unsichtbar. (Was eine öffentliche Debatte enorm erschwert. Man kann als Beweis für das eigene Argument nur bedingt auf Dinge verweisen, die nicht existieren, auch wenn das der Hauptgrund ist, gegen Überregularien wie die DSGVO zu sein. Das Argument bleibt zwangsläufig zu weiten Teilen theoretisch.)
Es ist auch völlig egal, ob es nun eine Überreaktion ist und das alles juristisch nicht so wild sei.
Denn erstens: Niemand weiß, was denn jetzt wirklich juristisch Fakt ist -selbst die Gesetzesmacher gehen davon aus, dass das erst vor Gericht über Jahre ermittelt werden muss-. Das mag für mittelgroße Unternehmen und deren Anwälte ok sein. Aber wer will juristische Ungewissheit bei einem Nebenbeiprojekt akzeptieren oder beinem 'nice-to-have' wie einer Website zur eigenen Arztpraxis, wenn es der automatisch generierte Eintrag auf Google Maps auch tut? (Sie erkennen an dieser Stelle vielleicht eine gewisse durch die DSGVO verursachte Dynamik..)
Zweitens: Jede Reaktion auf ein Gesetz fällt immer auf die Macher des Gesetzes zurück, die juristische Definition ist zweitrangig. Gesetze haben reale Auswirkungen abseits der expliziten juristischen Auslegungen, die mitgedacht werden müssen. Wer Gesetze schreibt, die auch auf juristische Laien zutreffen, kann nicht Befürchtungen dieser mit juristischen Spitzfindigkeiten von sich weisen. Wenn auf ein Gesetz überreagiert wird (und again: Wir wissen noch nicht, ob die Abschaltungen wirklich Überreaktionen sind.), dann ist das eine Folge von Kommunikationsversäumnissen seitens der Politik. Und, eventuell, ist auch die grundsätzliche Ausrichtung des Gesetzes dann falsch. (Wir legen andere Bilanzpflichen an börsennotierte Unternehmen als an kleine Solo-Selbständige zB. an. Die DSGVO hat diese Abstufung in meinen Augen nicht ausreichend vorgenommen. (Was auch am ideologischen Hintergrund liegt: Die Daten müssen halt geschützt werden, überall, Kosten be damned.))
Es ist zum Beispiel eine Frechheit, dass die deutschen Politiker in Brüssel, die an der DSGVO beteiligt waren, die Befürchtungen von Abmahnungen im Vorfeld kategorisch von sich gewiesen haben (siehe Jan Philipp Albrechts Blogeintrag zB). Nur um dann, als quasi sofort nach Inkrafttreten die ersten Abmahnungen bekannt wurden, zum talking point überzugehen, dass der deutsche gesetzliche Rahmen für Abmahnungen dringend reformiert werden muss. Dass man in Deutschland mit Abmahnungen Geschäft machen kann, ist seit über 10 Jahren aus dem Urheberrechtsbereich bekannt. In diesen bekannten Fakt wurde die DSGVO hineingesetzt.
So viel dazu. Zur Frage, ob Facebook und Google die großen Gewinner sein werden: Natürlich werden sie das sein. Sie sind Marktführer mit großer Marktmacht. So wie Google immer eine kostenfreie LSR-Lizenz erhalten wird, weil die Presseverlage nicht auf den Traffic verzichten können, so werden Facebook und Google auch alle notwendigen Einwilligungen von den Nutzern erhalten, weil ihre Services für die meisten eben unverzichtbar sind. Neues oder kleines befindet sich oft nicht in dieser beneidenswerten Position.
Datenschützer hoffen in diesem Zusammenhang auf das Kopplungsverbot. Da das situationsabhängig ist und also im Zweifel vor Gericht geklärt werden muss, glaube ich nicht, dass das viel helfen wird, außer Anwälten Arbeit und ihren publicitylüsternen Aktivistenklienten die gewünschte Aufmerksamkeit zu bringen. Meine Prognose: Das Kopplungsverbot wird Trageting maximal einschränken, aber es wird nicht dazu führen, dass werbefinanzierte Angebote plötzlich keine Werbung (mit damit verbundenen Targeting) mehr anbieten dürfen.
Es wäre gut gewesen, wenn die Datenschützer hinter der DSGVO im Vorfeld mit Ökonomen gesprochen hätten. Nichts von alldem kommt überraschend. Die zu Tage tretende ideologische Verbohrtheit ist vielleicht das Deprimierendste an der DSGVO, wenn wir in die Zukunft schauen. Denn das Fazit lautet leider: Im Zweifel werden Datenschutzaktivisten das Internet zu Gunsten ihres "Datenschutzes" kaputt machen. Jahrelang haben sie gegen Internetsperren und ein über alle Maßen restriktives Urheberrecht angekämpft (und mit Recht), und jetzt richtet ihr eigener größter gesetzlicher Erfolg unermesslichen Schaden im Netz an. Auf netzpolitik.org zum Beispiel wird man aber zu diesen negativen Folgen niemals etwas lesen. Man sollte deshalb besorgt auf die nächsten Datenschutzangriffe auf das Internet schauen.