Demokratische Regierungen auf der ganzen Welt haben entschieden, dass diese Datenschutzregime bestehen bleiben. Gesellschaften müssen nun sicherstellen, dass diese Gesetze zu sinnvollen Verbesserungen vor Ort führen.
Filippo Lancieri ist Postdoc am ETH Zürich Center for Law and Economics.
Das Aufkommen der Datenschutzgesetze ist eine der tiefgreifendsten Gesetzesänderungen des Jahrhunderts: Die Europäische Datenschutz-Grundverordnung (DSGVO) von 2016 wurde als der Beginn einer neuen Ära der digitalen Privatsphäre gefeiert. Dies führte dazu, dass Unternehmen und europäische Länder erhebliche Ressourcen in die Entwicklung von Programmen zur Einhaltung gesetzlicher Vorschriften investierten. Es beeinflusste auch viele andere weltweit verabschiedete Online-Datenschutzgesetze – einschließlich in gewissem Maße den bahnbrechenden California Consumer Privacy Act von 2018 (CCPA).
Trotz ihrer nominellen Gültigkeit und weit verbreiteten Annahme weisen die verfügbaren Daten jedoch darauf hin, dass diese Gesetze an einer Durchsetzungslücke leiden – eine große Diskrepanz zwischen den angegebenen Schutzmaßnahmen in den Büchern und der Realität, wie Unternehmen vor Ort darauf reagieren. Datenschutzanwälte sind zunehmend frustriert über die mangelnde Einhaltung und laxe Durchsetzung der Unternehmen: Viele der stärksten Befürworter der DSGVO haben davor gewarnt, dass sie zu einem „Fantasiegesetz“ werden könnte, etwas, zu dem Unternehmen Lippenbekenntnisse ablegten, sich aber nicht daran hielten; Frustration mit dem kalifornischen CCPA ist ebenso weit verbreitet.
Diese Bedenken sind berechtigt. In einem demnächst erscheinenden wissenschaftlichen Artikel (auf dem dieser Beitrag basiert) habe ich die verfügbaren Studien umfassend untersucht, die die Auswirkungen der DSGVO und des CCPA in der Praxis messen. Beeindruckend ist, dass keine der fünfundzwanzig unabhängigen empirischen Studien eine sinnvolle Rechtskonformität gefunden hat. Eine wissenschaftliche Umfrage aus dem Jahr 2019 ergab beispielsweise, dass 92 % der am häufigsten aufgerufenen Websites in Europa Benutzer verfolgten, bevor sie eine Benachrichtigung veröffentlichten, und 85 % die Verfolgung auch nach dem Abmelden der Benutzer beibehalten oder verstärkt haben, beides eindeutige Verstöße gegen die DSGVO. Obwohl es für den CCPA weniger umfassende Analysen gibt (er trat erst im Januar 2020 in Kraft), führte das Gesetz zu keiner Änderung der Datenerhebungs- und Verarbeitungspraxis von Facebook (eine rote Fahne für sich). Eine Umfrage auf den Websites der 600 größten US-Unternehmen ergab, dass selbst unter den reichsten und anspruchsvollsten amerikanischen Unternehmen die Mehrheit keine CCPA-Portale für Benutzer anbot, um auf ihre Informationen zuzugreifen. Eine kürzlich durchgeführte Umfrage ergab, dass nur 0,001% der kalifornischen Verbraucher von den durch das Gesetz gewährten Rechten Gebrauch machten.
Dies wirft die Frage auf: Worauf ist diese Lücke zurückzuführen und was kann getan werden, um die Leistungsfähigkeit dieser Gesetze zu verbessern? Meine Analyse zeigt, dass die DSGVO und der CCPA schwerwiegende Mängel in der Gestaltung ihrer Durchsetzungsmechanismen aufweisen. Insbesondere ignorieren Durchsetzungssysteme, wie Informationsasymmetrien und Marktmacht die Rolle von Märkten, unerlaubten Handlungen und Befehls- und Kontrollvorschriften als wirksame Mittel zur Gewährleistung der Rechtskonformität untergraben. Bürger/Verbraucher und Regulierungsbehörden können Verstöße, die sie nicht identifizieren können, nicht verfolgen; Und selbst wenn sie dies tun, stehen sie einem harten Kampf gegen einige der fortschrittlichsten und ressourcenstärksten Unternehmen der Welt gegenüber.
Diese Mängel in der Ausgestaltung der Datenschutzgesetze sind nicht unüberwindbar. Um effektiv zu sein, sollten Regulierungssysteme für den Online-Datenschutz auf mindestens drei Grundprinzipien aufgebaut sein.
Erstens muss das System die Überwachungs- und Durchsetzungsressourcen vervielfachen. Anspruchsvolle zivilgesellschaftliche Vermittler wie Datenschutz-NGOs, unabhängige Think-Tanks, investigative Journalismus und Sammelkläger spielen eine überragende Rolle beim Schutz der Verbraucher in undurchsichtigen und komplexen Märkten. Diese Organisationen haben die Anreize und die Fähigkeit, die Komplexität der Datenerhebung zu verstehen und Verstöße anzuzeigen.
Eine Ausweitung dieser anspruchsvollen privaten Vermittler erfordert die Verfügbarkeit angemessener und unabhängiger Finanzmittel. Dies ist derzeit nicht der Fall. Die meisten Datenschutz-NGOs und andere ähnliche Organisationen werden durch Zuschüsse und Spenden unterstützt, eine unzuverlässige und unzureichende Finanzierungsquelle. Eine wirksame Regulierung des Online-Datenschutzes erfordert eine konsistente, unabhängige Finanzierungsquelle für diese Vermittler, die es ihnen ermöglicht, Zeit und Ressourcen in die Einstellung von technischem Personal zu investieren, komplexe und potenziell unfruchtbare Ermittlungen einzuleiten und sie besser gerüstet, um der Versuchung zu widerstehen, von großen Kooptiert zu werden Firmenspenden
Zweitens stützen sich Kartell- und Unternehmensbetrugsrichtlinien seit langem auf Kronzeugen- und Whistleblower-Programme, um Insider zu ermutigen, Fehlverhalten aufzudecken. Datenschutzgesetze sollten aus ihrem Beispiel lernen und ein solides Hinweisgeberprogramm entwickeln.
Drittens müssen öffentliche Durchsetzungssysteme sicherstellen, dass die Regulierungsbehörden gegenüber der Zivilgesellschaft rechenschaftspflichtig sind. Eine Kombination aus Regierungsinteressen, der Marktmacht großer digitaler Plattformen und der für viele Datenmärkte charakteristischen Komplexität/Undurchsichtigkeit erhöht die Risiken, dass Regulierungsbehörden eher Industrie- als Verbraucherinteressen fördern. Kartellvorschriften können ein Beispiel dafür sein, wie ein Regulierungsrahmen gestaltet werden kann, der die Transparenz erhöht, ohne die Durchsetzungskapazität zu beeinträchtigen.
Das brasilianische Kartellgesetz sieht vor, dass Bußgelder einem öffentlichen Fonds zugewiesen werden, der die diffusen Interessen der Bürger schützen soll – im Jahr 2019 sammelte der Fonds rund 120 Millionen US-Dollar ein. Dieser Fonds wird von einem Rat verwaltet, der sich aus sieben Berufsbeamten und drei Vertretern der Zivilgesellschaft zusammensetzt, die für ein verlängerbares Mandat von zwei Jahren ernannt werden. Der Fonds veröffentlicht jährlich öffentliche Aufforderungen zur Einreichung von Bewerbungen, über die Universitäten, NGOs und sogar andere Einrichtungen Ressourcen zur Unterstützung ihrer Aktivitäten anfordern können. Der California Privacy Rights Act von 2020 führt einen ähnlichen Mechanismus im Bundesstaat ein, aber der für Zuschüsse vorgesehene Betrag (3 % des Fonds) ist wahrscheinlich zu gering, um einen nennenswerten Unterschied zu machen.
Eine Alternative kann ein direktes Finanzierungssystem sein, das eine Erweiterung der bereits gängigen US-Praxis darstellen könnte, die Schiedssprüche in Sammelklagen an Datenschutz-NGOs zu richten. Ein Problem bei diesen Vergleichen im Datenschutz ist die gelegentliche Vergabe von Auszeichnungen an Organisationen, die nicht direkt mit dem Online-Datenschutz verbunden sind. Um dies zu beheben, könnte das Gesetz dazu anregen, dass die Auszeichnungen in den öffentlichen Fonds geleitet werden, was dann sicherstellen würde, dass cy presse Ressourcen werden breiter und gerechter verteilt.
Ein solider Whistleblower-Schutz ist ebenfalls erforderlich. Wie die aktuellen Diskussionen um Facebook-Transparenz zeigen, sind Whistleblower (insbesondere Mitarbeiter) der Schlüssel zur Aufdeckung von Unternehmensbetrug. Kartellbehörden verlassen sich seit langem auf Kronzeugenprogramme – durch die Unternehmen Kartelle im Gegenzug für eine mildere Strafverfolgung anprangern – als Schlüsselmechanismus, um ansonsten geheime und illegale Privatgeschäfte ans Licht zu bringen. Wissenschaftliche Studien haben gezeigt, dass finanzielle Anreize, die mit der Aufdeckung des Betrugs verbunden sind, auch die Wahrscheinlichkeit, dass Mitarbeiter Fehlverhalten aufdecken, signifikant erhöhen und falsche Denunziationen verringern.
Derzeit verfügt Kalifornien weder über ein spezielles Datenschutz-Whistleblowing-Programm noch über wichtige EU-Gerichtsbarkeiten wie Irland oder Luxemburg. Diese allgemeinen Bestimmungen bleiben auch hinter vielen hierin enthaltenen Empfehlungen zurück. Beispielsweise fördert die EU-Richtlinie zu diesem Thema keine finanziellen Belohnungen, die für ein effektives Programm entscheidend sind.
Demokratische Regierungen auf der ganzen Welt haben entschieden, dass diese Datenschutzregime bestehen bleiben. Gesellschaften müssen nun sicherstellen, dass diese Gesetze zu sinnvollen Verbesserungen vor Ort führen.