Auf der re:publica 2018 sprach der Hamburgische Datenschutzbeauftragte Johannes Caspar auf einem Panel sinngemäß davon, dass jetzt die Stunde der Aufsichtsbehörden gekommen sei. Die Stunde werde eingeläutet durch die Anwendung der DSGVO am Ende des Monats. Da sei ihm unbenommen zuzustimmen. Aber welche Veränderung wird durch die Anwendung der DSGVO im Geflecht zwischen Organisation, Person und Aufsichtsbehörde theoretisch möglich?

Der Ausgangspunkt ist folgender: Die strukturelle Überlegenheit der Organisation über die Person, diese Machtasymmetrie ruft Widerspruch hervor. Organisationen können Risiken auf Personen abwälzen und so die Heteronomie, den Druck, auf die Person verstärken. Durch die DSGVO hindurch wird diese Asymmetrie theoretisch zugunsten der Person behoben. Gleichzeitig aber können Gegenreaktionen auf Seiten der Organisation erfolgen. Die Person ändert sich in der Wahrnehmung der Organisation und wird vom Objekt zum Angreifer. Zugleich wird auch die Datenschutzaufsicht zum Angreifer umgedeutet. Datenschutz wird zur Complianceaufgabe um die Risiken der Organisation durch die Angriffe von Person und Aufsichtsbehörde zu minimieren. Das wirft zumindest zwei Fragen auf. Welche Auswirkungen hat es auf die Person wenn sie von der Organisation als Angreifer gedacht wird? Was mögen die Gegenbewegungen der Aufsichtsbehörden und der Person sein?