In einem für die Bun­des­tags­frak­ti­on der Grü­nen erstell­ten Gut­ach­ten (PDF) gehen der frü­he­re Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar und der frü­he­re Ber­li­ner Lan­des­da­ten­schutz­be­auf­trag­te Alex­an­der Dix hart mit der Bun­des­re­gie­rung und den Lan­des­re­gie­run­gen ins Gericht. Sie hät­ten sich »nur sehr begrenzt um eine Klä­rung offe­ner Rechts­fra­gen und um die Ver­mitt­lung von Kennt­nis­sen über den neu­en euro­päi­schen Rechts­rah­men zum Daten­schutz bemüht«, schrei­ben sie. Dabei sei das gera­de in Deutsch­land wich­tig gewe­sen, weil die Rechts­un­si­cher­heit hier­zu­lan­de durch Spe­zi­al­re­ge­lun­gen beson­ders aus­ge­prägt gewe­sen sei. Statt­des­sen sei es bei den Gesetz­ge­bungs­ak­ti­vi­tä­ten als auch in der Öffent­lich­keits­ar­beit dar­um gegan­gen, »die Posi­ti­on der daten­ver­ar­bei­ten­den öffent­li­chen Stel­len und der Unter­neh­men zu stär­ken«. Als Bei­spiel füh­ren die bei­den Daten­schüt­zer die für Digi­ta­les zustän­di­ge Staats­mi­ni­ste­rin Doro­thee Bär an, die für eine »smar­te Daten­kul­tur« plä­diert und beklagt hat­te, in Deutsch­land exi­stie­re ein »ein Daten­schutz wie im 18. Jahr­hun­dert«. Es sei der Ein­druck erzeugt wor­den, Daten­schutz bedro­he den Wohl­stand, ver­hin­de­re sinn­vol­le IT-Pro­jek­te und erschwe­re das Leben von Ver­ei­nen und klei­nen Unter­neh­men.

Die bei­den ehe­ma­li­gen Daten­schutz­be­auf­trag­ten Peter Schaar und Alex­an­der Dix wer­fen der Bun­des­re­gie­rung vor, sie habe gegen die DS-GVO gear­bei­tet, statt sich um die Klä­rung offe­ner Rechts­fra­gen und die Wis­sens­ver­mitt­lung zu küm­mern. Die Umset­zung und Anwen­dung der Ver­ord­nung sei unam­bi­tio­niert erfolgt.

Unbe­grün­de­te Behaup­tun­gen und zwei­fel­haf­te Rechts­aus­le­gun­gen haben dem Gut­ach­ten zufol­ge dazu geführt, dass die DS-GVO als inno­va­ti­ons­brem­se und Büro­kra­tie­mon­ster wahr­ge­nom­men wur­de. So sei zum Bei­spiel der Ein­druck erweckt wor­den, für jede Daten­ver­ar­bei­tung sei die Ein­wil­li­gung der Betrof­fe­nen erfor­der­lich. Dabei erfol­ge die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Unter­neh­men zumeist im Zusam­men­hang von Ver­trags­ver­hält­nis­sen und zu deren Erfül­lung sei die Ver­ar­bei­tung natür­lich recht­mä­ßig – auch ohne zusätz­li­che Ein­wil­li­gungs­er­klä­rung.

Zudem habe das Neben­ein­an­der von ePri­va­cy-Richt­li­nie und DS-GVO im Zusam­men­spiel mit der »lang anhal­ten­den Arbeits­ver­wei­ge­rung der Bun­des­re­gie­rung« zu erheb­li­cher Unsi­cher­heit geführt. Im Tele­me­di­en­ge­setz sei­en die Vor­ga­ben zur Ver­wen­dung von Coo­kies und ähn­li­chen Tracking-Metho­den nicht nach­voll­zo­gen wor­den – das Tracking zu Wer­be­zwecken sei »ent­ge­gen der kla­ren euro­pa­recht­li­chen Vor­ga­be« auch ohne Ein­wil­li­gung wei­ter­hin erlaubt. Die ein­zi­ge Lösung sei eine Neu­fas­sung des TMG, doch die Bun­des­re­gie­rung las­se »kei­ner­lei Absicht erken­nen, hier tätig zu wer­den.«

Auch die her­auf­be­schwo­re­ne Abmahn­wel­le im Zusam­men­hang mit der DS-GVO ist laut den Schaar und Dix aus­ge­blie­ben. Dage­gen habe sich der Ein­druck auf­ge­drängt, dass in den Medi­en eine Kam­pa­gne gegen Daten­schutz gefah­ren wur­de – bei­spiel­haft nen­nen die bei­den Exper­ten hier die Schlag­zei­len rund um Pro­ble­me mit Namen auf Klin­gel­schil­dern, der Nut­zung von Visi­ten­kar­ten oder die Anre­de von Kun­den mit Namen. In all die­sen Fäl­len habe sich durch die DS-GVO die Rechts­la­ge nicht geän­dert, heißt es in dem Gut­ach­ten. Auch die Behaup­tung, mit der DS-GVO wür­de für Unter­neh­men und Ver­ei­ne die unver­hält­nis­mä­ßi­ge Ver­pflich­tung ein­ge­führt, einen Daten­schutz­be­auf­trag­ten zu bestel­len, sei irre­füh­ren – die habe es auch vor­her schon gege­ben.

Die Zwi­schen­bi­lanz zur Umset­zung und Anwen­dung der DS-GVO in Deutsch­land fällt in dem Gut­ach­ten »über­wie­gend nega­tiv« aus. Bund und Län­der hät­ten die Öff­nungs­klau­seln »teil­wei­se über­stra­pa­ziert« und teil­wei­se »Bestim­mun­gen unter Ver­stoß gegen das uni­ons­recht­li­che Wie­der­ho­lungs­ver­bot schlicht in das deut­sche Recht über­nom­men«. Zum Teil sei­en die Gesetz­ge­bungs­auf­trä­ge schlicht nicht erfüllt wor­den.

»Das Haupt­an­lie­gen des Bun­des­ge­setz­ge­bers war und ist es offen­bar, den recht­li­chen Sta­tus quo in Sachen Daten­schutz in Deutsch­land auch nach dem Inkraft­tre­ten der Grund­ver­ord­nung soweit wie mög­lich unver­än­dert zu las­sen. Die­sem unam­bi­tio­nier­ten Bei­spiel sind die Lan­des­ge­setz­ge­ber weit­ge­hend gefolgt«, schrei­ben Schaar und Dix, die aller­dings auch Kri­tik an der DS-GVO selbst üben. Dort sei­en bei­spiels­wei­se die auto­ma­ti­sier­te Ent­schei­dungs­fin­dung und das Pro­filing nur unzu­rei­chend regelt. Sie for­dern etwa eine »Pflicht zur Auf­klä­rung über die invol­vier­te Logik bei Syste­men der künst­li­chen Intel­li­genz und des maschi­nel­len Ler­nens« und dass »der­ar­ti­ge Syste­me nicht ein­ge­setzt wer­den dür­fen, wenn der Ver­ant­wort­li­che die invol­vier­te Logik selbst nicht ver­steht und sie des­halb der betrof­fe­nen Per­son nicht erklä­ren kann«. Zudem mache auch der zuneh­men­de Ein­satz von Sen­so­rik etwa im Inter­net der Din­ge und die wach­sen­de Bedeu­tung von Big-Data-Anwen­dun­gen eine Über­ar­bei­tung der DS-GVO not­wen­dig, weil sie die garan­tier­ten Grund­sät­ze des Daten­schut­zes aus­zu­höh­len droh­ten.