2018 war das große Jahr der Datenschutz-Grundverordnung, jedenfalls in puncto Aufmerksamkeit. Datenschutzaktivisten und die Datenschutzbranche feierten den 25. Mai, an dem die Übergangsfrist ablief und die die Regeln der DS-GVO wirksam wurden, als wäre es ein zweites Weihnachten gewesen. Wie beim echten Weihnachtsfest war das Völlegefühl danach so groß wie die Vorfreude im Advent und es hält bis heute an – die Datenschutzaufsicht ist unter der Last der neuen Verordnung weitgehend zusammengebrochen. Derweil verbreiten sich hin und wieder groteske Geschichten über entfernte Klingelschilder oder aus Fotos radierte Kindergesichter, an denen die DS-GVO schuld sei.

Zweifelhaft ist jedoch wie vor, ob die DS-GVO den große Wurf darstellt, als den sie große Teile der Datenschutzszene  vor ihrer Überlastung durch eben jene DS-GVO feierten. Positiv ist gewiss die europäische Harmonisierung, die den Adressaten innerhalb Europas den Umgang mit dem Datenschutz erleichtert. Weit weniger deutlich lassen sich inhaltliche Fortschritte gegenüber dem traditionellen Datenschutz aus den 1970er und 1980er Jahren erkennen.

Trotz einiger Modernisierungen bleibt die DS-GVO in vielen Punkten orthodox,das heißt auf Oberflächenphänomene und Vorsorge fokussiert. Der traditionelle Datenschutz ist erhebungszentriert: Gespeicherte Daten gelten pauschal als gefährlich, wenn nicht gar als Grundrechtseingriff, weshalb man die Datenerhebung als die zur Speicherung und Verarbeitung unvermeidliche Voraussetzung regulieren müsse. Risiken bemessen sich aus dieser Perspektive nicht danach, was eine Organisation mit Daten tut oder welche Folgen daraus realistisch resultieren könnten, sondern alleine danach, welche Daten sie erhebt.

Ein anschauliches Beispiel für die Defizite dieser Perspektive liefert heute die Mitteldeutsche Zeitung auf der Grundlage eines YouTube-Videos. Das Skandälchen: Die Polizei betrieb ein Geschwindigkeitsmessgeräte an der Autobahn 38 und blitzte Autofahrer, obwohl dort gar kein Tempolimit galt. Wie die MZ in ihrer Recherche herausfand, handelte es sich schlicht um einen Test des Messgeräts, an dem man einen Fehler vermutete – eine gute Sache, die den betroffenen Fahrern keinen Schaden zufügt.

Objektiv bestand nie ein Grund zur Aufregung. Selbst wenn es sich nicht um einen Test gehandelt hätte, bliebe das Schadenspotenzial gering, denn ein Foto vom Straßenrand führt hierzulande nicht zu willkürlichen, unbeschränkten Eingriffen in die Leben der Fotografierten, sondern lediglich zu einem rechtsstaatlichen Verfahren. Abgesehen davon, dass so etwas lästig sein kann und Fehler auch in der Justiz zuweilen vorkommen – ein allgemeines Lebensrisiko – haben die Betroffenen nicht mehr zu fürchten als ihre gerechte Strafe. Mangels Tempolimit im vorliegenden Fall droht ihnen also gar nichts und bei einer gerechtfertigten Anzeige eine moderate Buße. Davon abgesehen bestand hier nicht einmal die Absicht, dem Test überhaupt irgendwelche gegen die Betroffenen gerichteten Maßnahmen folgen zu lassen.

Eine tendenziell gesetzestreue Beamtenschaft, die Garantie eines rechtsstaatlichen Verfahrens sowie nach Schwere der Tat abgestufte Strafvorschriften sind hier die zentralen Mechanismen des Risikomanagements. In einer einseitig auf die Erhebung fokussierten Perspektive, die gespeicherten Daten unschätzbare Gefahren unterstellt, geraten genau diese Mechanismen aus dem Blickfeld. Aus dieser Perspektive ist äquivalent, was auf den ersten Blick ähnlich aussieht, und gleichermaßen gefährlich, was dieselben Daten erfasst.

Diese Ignoranz gegenüber systemischen Sichten zeigt sich vielerorts im Datenschutz. Bestes Beispiel ist die Online-Werbung. Im Fokus des Datenschutzes stehen die damit verbundenen Trackingmechanismen, mit denen die Werbewirtschaft im Internet ihre – am Ende immer noch geringen – Erfolgsraten und die daraus resultierenden Einnahmen optimiert. Aus der Erhebungsperspektive scheint das alles ganz schlimm, denn „Datenkraken beobachten jeden Klick im Internet“ und bilden Profile sogar über Gerätegrenzen hinweg.

Aus der systemischen Sicht hingegen geht es die ganze Zeit nur um Werbung. Werbung ist per se übergriffig, auch als Plakat am Straßenrand, weil sie uns anheischt, den Interessen anderer gerecht zu werden. Werbung nervt, weil sie mit anderer Werbung sowie mit relevanten Informationen um unsere Aufmerksamkeit kämpft. Werbung ist jedoch auch nützlich und geduldet, wo sie uns Dienste und Inhalte im Netz finanziert. Alles in allem ist Werbung vor allem eins: ziemlich harmlos, denn sonst hätte sie uns längst alle umgebracht.

Diese Harmlosigkeit kann der erhebungszentrierte Datenschutz nicht erfassen, ausdrücken und seinen Maßnahmen zugrunde legen. Im Gegenteil, dort wird ungeniert mit frei erfundenem „Überwachungsdruck“ argumentiert, welcher sogar die Anscheinsüberwachung durch Kameraattrappen zum Problem mache. So kommt es, dass niemand mehr nachvollziehen kann, wovor ihn der Datenschutz eigentlich schütze.