Wer sich in der EU mit dem Thema Datenschutz auseinandersetzt, kommt um Max Schrems nicht herum. Zwei Abkommen zwischen der EU und den USA hat der österreichische Jurist und Aktivist bereits zu Fall gebracht. Regelmäßig zieht er vor Gericht, um sich mit Facebook und Konsorten anzulegen – oft mit Erfolg. Zum dritten Jahrestag der Datenschutzgrundverordnung (DSGVO) hat der STANDARD mit ihm gesprochen.

STANDARD: Wie lautet Ihre Bilanz nach drei Jahren EU-Datenschutz?

Max Schrems: Was sich sagen lässt, ist, dass die Aufmerksamkeit beim Thema größer geworden ist. Vorher hat es niemanden interessiert. Es gab niemanden, der dafür zuständig ist. Das Problem an der DSGVO ist prinzipiell aber, dass sie qualitativ keine gute Verordnung ist. Das hat ganz viel mit Lobbying zu tun, aber auch mit Brüssel an sich – einfach weil man sich oft nicht einigen konnte und daher keine echte Lösung reingeschrieben hat.

STANDARD: Was stimmt an ihr nicht?

Schrems: Sie ist in vielen Aspekten sehr wässrig formuliert, sodass man gar nicht so genau weiß, was sie bedeuten sollen. Wenn du ein Unternehmen wie Facebook bist, ist Unklarheit gut. Kleine und mittelständische Unternehmen wollen hingegen einfach ihre Ruhe haben und sich an die Regeln halten. Daher finde ich die Kritik aus der Wirtschaft nachvollziehbar. Auch ist die Durchsetzung mangelhaft, und man hätte zwischen kleinen und großen Firmen unterscheiden müssen.

STANDARD: Können Sie die Unklarheiten anhand eines Beispiels erläutern?

Schrems: Es gibt viele, aber das wohl banalste sehen wir beim Auskunftsrecht, das viele nutzen. Damit können User erfahren, wer ihre Daten wie verwendet. Da steht zum Beispiel drinnen, dass man die Empfänger der Datenverarbeitung oder die Gruppe von Empfängern kundtun muss. Es ist aber ein großer Unterschied, ob ich sage, "meine Partner bekommen deine Daten", oder auflisten muss, welche Unternehmen das konkret sind. Die logische Regelung wäre, zu sagen, wenn man die Empfänger kennt, muss man sie auflisten. Der Oberste Gerichtshof hat das bei uns schon vor zehn Jahren so entschieden. In Österreich wären einige dieser Bestimmungen wohl verfassungswidrig, weil sie so unbestimmt formuliert sind.

STANDARD: Heißt das, die DSGVO ist fehlgeschagen?

Schrems: Nein. Ich denke, sie ist die am wenigsten dumme Datenschutzregelung, die wir bisher weltweit haben. Inhaltlich ist es ja kein Stumpfsinn. Aber man hätte es qualitativ besser machen können. Die Lücken müssten geschlossen werden. Das werden der EuGH und der Europäische Datenschutzausschuss vermutlich noch machen, aber eigentlich hätte das schon der Gesetzgeber tun sollen, anstatt jahrelangen Streitereien den Weg zu ebnen.

STANDARD: Ist diese mangelnde Qualität ein netzpolitisches Problem?

Schrems: Ich denke, es ist ein allgemeines EU-Problem, bei der Netzpolitik ist es aber sichtbarer. Man traut sich gerade in dem Bereich oft nicht, zu entscheiden. Häufig kennt man sich nicht aus, und noch dazu gibt es verschiedene Meinungen. Dazu kommt, dass vieles so neu ist, dass die Gesetze nicht endgültig sind, sondern später erst geprüft wird, ob sie überhaupt funktionieren. Ansonsten ist das große Problem – wie immer – die Durchsetzung.

STANDARD: Inwiefern?

Schrems: Eigentlich eindeutige Regeln werden zu einem großen Teil nicht ordentlich von den zuständigen Datenschutzbehörden (DSB) durchgesetzt. In Österreich ist die DSB zum Beispiel enorm unterfinanziert. In anderen Staaten will die Politik das Gesetz einfach nicht umsetzen. Manche Länder machen es hingegen gut, in Frankreich und Spanien gibt es zum Beispiel regelmäßig Entscheidungen. Was aber nach wie vor fehlt, sind hohe Strafen für große Unternehmen. Wenn das im nächsten Jahr nicht geschieht, wird niemand mehr die DSGVO ernst nehmen.

STANDARD: In Sachen "nicht wollen" deuten Sie wohl auf Irland, Luxemburg und die Niederlande. Sie haben in der Vergangenheit vor allem die irische Datenschutzbehörde scharf kritisiert.

Schrems: Im Kern ist das Problem, dass die irische DSB Beschwerden nicht bearbeitet. Wir haben uns das im vergangenen Jahr angeschaut, faktisch wurde keine Entscheidung getroffen. Weil etwa im Gesetz nicht steht, dass sie "entscheiden" muss, sondern dass sie Fälle "bearbeiten" muss, war sie der Ansicht, dass das Thema erledigt ist, wenn sie eine Beschwerde in den Papierkorb wirft.

STANDARD: Da kommen wir zurück zu der nachlässigen Qualität der Verordnung.

Schrems: Man sieht, wie jedes Wort, das nicht präzise formuliert ist in einem Gesetz, von irgendjemandem 20-fach umgedreht werden kann, um zu argumentieren, warum etwas nun doch nicht so ist, wie es offensichtlich gemeint war. Das andere ist ein Konstruktionsproblem: Normalerweise gibt es in der staatlichen Verwaltung einen verantwortlichen Minister, den man konfrontieren kann. Da die DSB aber unabhängig ist, kann die Exekutive wen hinsetzen, von dem sie weiß, dass er oder sie die nächsten Jahre unabhängig gar nichts tun wird – und dann behaupten, sie könne nix dagegen machen.

STANDARD: Ist das Konzept einer nationalen Prüfbehörde zur Regulierung großer Unternehmen dann überhaupt noch sinnvoll?

Schrems: Im Prinzip ist die EU nur ein Legislativsystem. Sie hat fast keine Gerichte und kaum exekutive Macht. Das heißt, die Mitgliedsstaaten müssen EU-Recht selbst umsetzen. Wenn man die Kommission fragt, warum sie manche Verstöße nicht ahndet, würde sie sagen, sie könnte in 500 Jahren nicht alle verfolgen. Das ist ein verfassungsrechtliches Problem der EU und der Art, wie sie konstruiert ist.

STANDARD: Wie ließe sich das ändern?

Schrems: Die Frage, wann vorgegangen wird, ist sehr politisch. Die Durchsetzung von EU-Recht müsste an eine entpolitisierte Stelle weitergegeben werden, etwa einen Generalanwalt. Aber dafür müssten die Mitgliedsstaaten erst einmal ein Kontrollgremium für sich selbst wollen – daran scheitert es. Es heißt immer, die EU könne sich nicht durchsetzen, aber die Realität ist ja, dass die Mitgliedsstaaten absichtlich ihre Löcher einbauen. Auf lange Sicht ist die Lösung aber, die Kontrolle auf europäische Ebene zu verschieben. (Muzayen Al-Youssef, 20.5.2021)