»Früher im Bereich der Verschwörungstheorien angesiedelt«

»Früher im Bereich der Verschwörungstheorien angesiedelt« Foto: Lukas Beck

Datenschutzaktivist Max Schrems ist Vorstand von NOYB – European Center for Digital Rights. Er spricht über Erfahrungen mit der DSGVO und erklärt, warum diese auch wichtig für die heimische Wirtschaft ist.

(+) plus: Die DSGVO wird von vielen positiv für den europäischen Wirtschaftsraum gesehen. Dennoch stellt sich für Unternehmen die Frage, ob dadurch nicht datenbasierende Geschäftsmodelle von Haus aus verhindert werden.

Max Schrems: Das sehe ich nicht so. Nehmen wir als Beispiel Onlinewerbung. Sie kann auch ohne die Nutzung personenbezogener Daten betrieben werden. Es gibt heute 20 bis 30 verschiedene Arten von Online-Targeting und nur ein gewisser Teil braucht tiefe Nutzerprofile. Da stellt sich schon die Frage, wie sehr das notwendig ist – wenn auf der anderen Seite in die Grundrechte der Konsumenten oder Bürger eingegriffen wird.

(+) plus: Warum ist Datenschutz besonders aus Konsumentensicht wichtig?

Schrems: In dieser Diskussion mag der Bereich Werbung noch relativ harmlos erscheinen, wir sehen zunehmend aber auch Anfragen und Probleme beim Kredit-Scoring – wenn jemand keinen Handyvertrag bekommt, wenn etwas falsch in einer Datenbank eingetragen ist. Ein weiteres schönes Beispiel ist auch »Personalised Pricing«, bei dem Menschen verschiedene Preise für ein und dieselbe Sache vorgesetzt bekommen – je nach dem, ob dahinter vielleicht meine Termininformationen mit meinen Anfragen bei der Fluggesellschaft verknüpft werden; je dringender, desto teurer das Ticket. Das wird zwar noch nicht gemacht, steht aber auf der Liste der Möglichkeiten für Umsatzsteigerungen ganz oben. Jene Unternehmen, die über mehr Informationen als andere am Markt verfügen, können praktisch ihre eigenen Regeln bestimmen.

Aber Direktmarketing wird auch weiterhin bei einem legitimen Interesse möglich sein. Ein Beispiel sind Verlage, die ihre Abonnenten anrufen, um eine Aboverlängerung zu bewerben. Das heißt gleichzeitig nicht, dass ein Unternehmen wie Google die letzten zehn Jahre Web-History seiner Nutzer sammeln darf. Das Koppelungsverbot ist ebenfalls etwas, das bislang brutal ignoriert wird. Es ist klar gesetzlich geregelt, dass ein Dienste­betreiber die Zustimmung der Nutzung der Anwenderdaten nicht erzwingen darf – nach dem Motto: Wenn du den AGBs nicht zustimmst, wirst du von meinem Dienst ausgeschlossen. Es muss eine Freiwilligkeit ohne Nachteile gegeben sein.

Und noch einmal betont: Hier geht es vor allem um die Großen, die dadurch Vorteile gegenüber vielen kleineren Unternehmen bekommen. Und ich habe den Eindruck, dass die Strafandrohung von vier Prozent des Umsatzes bei Verletzungen für die ganz gro­ßen Player offenbar nicht hoch genug sind. Sie kalkulieren mehrjährige Rechtsstreite ein und agieren einfach etwas zum europäischen Rechtsrahmen versetzt weiter.

(+) plus: Verstehen Sie die Aufregung, die rund um den 25. Mai in der Wirtschaft geherrscht hat?

Schrems: Bei vielen der Regelungen, die ja nicht ganz neu sind, stellt sich schon die Frage, wo diese Panik herrührt. Aber es gibt natürlich auch eine Beratungsindustrie, die gut davon lebt. In einigen Punkten wäre das österreichische Recht sogar strenger als die DSGVO gewesen – zumindest am Papier. Es ist ja stets an der Durchsetzung gescheitert. Andere Punkte der DSGVO wiederum schießen übers Ziel hinaus. Aber Unternehmer, die sorgsam mit personenbezogenen Daten umgehen und Datenschutz ernst nehmen, haben keinerlei Probleme mit der DSGVO. Ist die Verarbeitung von Daten für die Vertragserfüllung notwendig, braucht es auch keine Zustimmungserklärung.

(+) plus: Viele der Unternehmen waren also unterversorgt, was das Wissen um die DSGVO betrifft?

Schrems: Die meisten hatten ein halbes Jahr vor Inkrafttreten des Gesetzes – also eineinhalb Jahre nach seinem Beschluss – ihren Anwalt zum ersten Mal dazu befragt. Nun ist Datenschutzgesetzgebung generell sehr komplex und der DSGVO-Gesetzestext meiner Meinung nach nicht besonders klar formuliert. Es ist ein juristisches Spezialgebiet. Das hatte zur Folge, dass wir in den vergangenen Monaten so viele Zustimmungserklärungen gesehen hatten. Man geht lieber auf Nummer sicher.

(+) plus: Wie gut funktioniert eigentlich die Zusammenarbeit der Datenschutzbehörden in den unterschiedlichen EU-Ländern?

Schrems: Wir haben gerade einen internationalen Fall eines Unternehmens mit europäischen Hauptsitz in Irland, bei dem in dem Kooperationssystem im Sinne der
DSGVO die irische Datenschutzbehörde zuständig ist.

Unsere Erfahrung bislang ist, dass dort Anträge einmal abliegen – innerhalb von bald sechs Monaten haben wir gerade einmal eine Bestätigung erhalten, dass es angekommen ist. Wir wollen mit NOYB prinzipiell prüfen, wie gut die Kooperationsmechanismen auf Behördenebene funktionieren. Viele der Dinge, die in Brüssel auf dem Papier überlegt worden sind, müssen nun in der Praxis bestehen.

(+) plus: Welche weiteren Schritte haben Sie mit NOYB vor?

Schrems: Wir betreiben Aufbauarbeit für »Strategic Ligitation« für Datenschutzverletzungen auf europäischer Ebene. Dazu gehören die Recherche zu Gesetzestexten, die Analyse von Verfahrensrechten in den Mitgliedstaaten und auch die Kontaktaufnahme zu anderen NGOs. Nach den Beschwerden von NOYB gegen Facebook, WhatsApp, Instagram und Google stehen in Kürze weitere Projekte zur Durchsetzung an, über die ich aber noch nicht sprechen kann.

Wir bringen uns dort ein, wo möglichst effektiv etwas durchgesetzt werden kann. Gerade im Verfahrensrecht tickt jedes Land etwas anders – in manchen Ländern wie in Irland können Verhandlungen empfindlich länger dauern und sind deshalb auch  wesentlich teurer. Aufgrund des Kostenrisikos haben einzelne Konsumenten oder Bürger eigentlich keine Chance. Deshalb ist es schon sinnvoll, dass es Verbraucherschutz-Organisationen oder NGOs auf europäischer Ebene gibt.

(+) plus: Sind europäische IT-Unternehmen und Dienstleister ebenfalls im Fokus?

Schrems: Wir machen keinen Unterschied, was die Herkunft betrifft. Ich sehe aber schon einen gewissen Unterschied in der Unternehmenskultur. Die krassen Datenschutzverletzungen werden oft von Firmen begangen, die nicht aus Europa kommen. Aber es gibt auch europäische Firmen mit einer sehr amerikanischen Zugangsweise. Da ist der Unterschied dann nicht mehr so groß.

(+) plus: Hat der deutschsprachige Raum eine besondere Beziehung zu Datenschutz? Was ist Ihr Eindruck?

Schrems: Als ich vor sieben Jahren begonnen hatte, mich intensiv mit Datenschutz zu beschäftigen, war dieses Thema bei vielen noch im Bereich der Verschwörungstheorien angesiedelt. Das hat sich zum Glück massiv geändert. Datenschutz als Thema ist im Mainstream angekommen. Einen Anteil daran haben auch Verbraucherschutzverbände wie der Verein für Konsumenteninformation in Österreich oder der deutsche Verbraucherschutzverband. In der OGH-Judikatur zu Datenschutzthemen findet man zum größten Teil Klagen durch den VKI wieder. Außerhalb des deutschsprachigen Raums gibt es nur wenige Staaten, in denen die Privatsphäre der Menschen schon vor der EU-Datenschutzgrundverordnung ein Riesenthema war, Norwegen zum Beispiel.


Die NGO

Im November 2017 gründete Max Schrems die Datenschutz-NGO NOYB – Europäisches Zentrum für Digitale Rechte. NOYB  steht dabei für »none of your business«. Die Initiative geht gegen Datenschutzverletzungen von Unternehmen auf europäischer Ebene vor und bemüht sich um die Zusammenarbeit mit Organisationen in allen EU-Ländern. 

Last modified onMontag, 26 November 2018 14:11
back to top