Am 25. Mai jährt es sich zum fünften Mal, dass die EU mit der Datenschutzgrundverordnung (DSGVO) den Stellenwert der Privatsphäre in ein neues Licht gerückt hat: Ein einheitlicher Rechtsrahmen für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen soll seither für mehr Transparenz sorgen – und dadurch auch für eine Datenhoheit der Verbraucherinnen und Verbraucher.
Eine besonders wichtige Rolle bei der Überwachung und Umsetzung der DSGVO spielt Andrea Jelinek. Die gebürtige Wienerin ist nicht nur Leiterin der österreichischen Datenschutzbehörde. Sie war seit Inkrafttreten der Verordnung im Jahr 2018 auch Vorsitzende des Europäischen Datenschutzausschusses. Im Interview mit dem STANDARD zieht sie Bilanz über die bisherige Arbeit der europäischen Datenschutzbehörden und spricht über kommende Veränderungen. Wie sie auch verrät, gibt sie diese Woche das "Staffelholz" an eine Nachfolge weiter und wird sich heuer noch in den Ruhestand verabschieden.
STANDARD: Es ist erst fünf Jahre her, wirkt aber so, als wäre sie immer schon da gewesen. Wie überraschend kam die DSGVO?
Jelinek: Anlaufphase und Vorbereitungszeit erstreckten sich seit 2012 wirklich über viele Jahre, und die Controller, also die datenschutzrechtlich Verantwortlichen, vor allem die großen, haben das natürlich genau beobachtet. Es kann mir also niemand erklären, dass das überraschend gekommen ist und dass Controller weder Zeit noch Geld für eine Implementierung hatten.
Mit dem 25. Mai 2018 kam dann sozusagen eine Zeitenwende, denn alle Datenschutzbehörden Europas wurden damit ausgestattet, nicht nur Rechtsauskünfte zu beantworten, sondern Verfahren zu führen und zu strafen. Sowohl national als auch international gab es die große Angst, die Datenschutzbehörden würden zu Strafmaschinen werden und eine Strafe nach der anderen ausstellen. Das geht aber gar nicht, weil wir ja ordnungsgemäß untersuchen müssen und wir bei grenzüberschreitenden Verfahren zusammenarbeiten. Diese Art der Zusammenarbeit bedingt natürlich nicht nur Untersuchungen, sondern auch administrativen Aufwand, das ist überhaupt keine Frage.
STANDARD: Bei einem Jahrestag oder Jubiläum neigt man dazu, Bilanz zu ziehen. Wie würden Sie fünf Jahre DSGVO bilanzieren? Sind Sie zufrieden mit den Resultaten bislang?
Jelinek: Ich glaube, dass die Erwartungshaltung der Menschen übertroffen wurde. Datenschutz war früher ein Randthema. Durch die Datenschutzgrundverordnung und auch durch viele Ereignisse – man denke nur an Cambridge Analytica – wurde die Awareness in der Bevölkerung erhöht. Nicht nur in Europa, sondern auch in den Vereinigten Staaten. Das ist ganz interessant. Vor zehn Jahren hat das niemanden interessiert in den USA . Das hat sich mittlerweile auch geändert. Nicht nur, weil die Firmen sich an die Datenschutzgrundverordnung halten müssen, wenn sie in Europa Geschäfte machen wollen, sondern auch, weil die eigenen Staatsbürger viel aufmerksamer geworden sind. Was passiert mit meinen Daten? Was tun sie mit meinen Daten? Das war früher auf der anderen Seite des Atlantiks kein Thema, wurde aber mit 2018 ein Thema und rückt immer stärker in den Fokus.
Die Datenschutzgrundverordnung hatte und hat also weltweit großen Einfluss. Das ist für Europa wichtig und auch natürlich für anderen Märkte, um mit Japan, Südkorea oder Lateinamerika Beispiele zu nennen. Es gibt ganz viele Entwicklungen, die maßgeblich von der Datenschutzgrundverordnung beeinflusst wurden und werden, weil das sozusagen das erste Regelwerk war, das Konsequenzen zeitigt. Unternehmen weltweit haben sich jetzt schon nolens volens darauf eingestellt. Und jedem Großkonzern ist es lieber, er stellt sich weltweit auf eine Norm ein als auf hunderte.
STANDARD: Die DSGVO, eine Rechtssicherheit?
Jelinek: Genau. In Europa ist Datenschutz zudem ein Grundrecht. Und Grundrechte sind besonders schützenswerte Güter. Ich denke also, dass die Datenschutzgrundverordnung ein Erfolgsmodell war und ist und natürlich auch jetzt Basis und Fundament der gesamten digitalen Strategie Europas ist. Zwei Dinge sind dabei besonders wichtig: Einerseits ist die Datenschutzgrundverordnung technologieneutral, das heißt, sie steht keiner technologischen Entwicklung im Weg, beispielsweise auch künstlicher Intelligenz nicht. Und andererseits hat sich gerade in den Jahren der Pandemie erwiesen, dass Datenschutz und Schutz der Gesundheit und des Lebens von Menschen durchaus in Einklang zu bringen sind und dass das eine nicht ohne das andere geht. Die Menschen sind bereit, zu kooperieren, wenn sie wissen, dass es in einem gesicherten Rahmen stattfindet – und die Datenschutzgrundverordnung bietet diesen gesicherten Rahmen.
STANDARD: Mit der DSGVO schwingt in der öffentlichen Wahrnehmung aber auch oft der Eindruck mit, dass Entscheidungen schleppend vorangehen – wie erklären Sie sich das?
Jelinek: Die Frage ist, was eine sogenannte schleppende Entscheidung ist. Im europäischen Wettbewerbsrecht hat es zehn Jahre gedauert, bis die ersten wegweisenden Entscheidungen getroffen wurden. Das war aber auch noch in einer Zeit, wo nicht alles schon gestern passiert sein musste. Zwischen 2018 und 2023 haben wir bis jetzt 711 Entscheidungen in grenzüberschreitenden Fällen getroffen. Neun davon wurden im Streitbeilegungsmechanismus getroffen. Das heißt, weniger als ein Prozent sind jene Entscheidungen, die unter Streit stehen und die dann geschlichtet werden müssen. Mehr als 2.500 grenzüberschreitende Verfahren wurden geführt, 1.700 sind gerade anhängig.
Es ist nicht nur eine Frage der Quantität und Qualität, sondern auch eine Frage, wie viel Personal jeweils zur Verfügung steht. Es steckt ein enormer Aufwand hinter der Bearbeitung, und es dauert natürlich länger, wenn sie grenzüberschreitend passiert. Und man darf eines nicht vergessen: Die Art der Untersuchung wird auch gesteuert durch das jeweilige nationale Verfahrensrecht. Es gibt Länder, die haben kein nationales Verwaltungsverfahrensrecht, die haben die Verfahrensbestimmungen im jeweiligen Datenschutzgesetz. Verschiedene Behörden waren bis 2018 auch gar keine Untersuchungsbehörden, die mussten das erst aufbauen.
Zudem haben die grenzüberschreitenden Fälle in den letzten zwei Jahren unheimlich an Geschwindigkeit zugenommen, auch an Intensität. In diesem Zeitraum wurden eben diese neun Streitbeilegungsverfahren getroffen. Man kann immer sagen, dass man noch schneller sein könnte. Aber schnell heißt nicht unbedingt immer gut. Man muss ja auch schauen, dass Entscheidungen Bestand haben sollen – besonders jene, die Sie ansprechen, die auch medial aufschlagen und international Aufsehen erregen. Das heißt, das muss inhaltlich passen, alle Rechte des Beschwerdeführers und des Beschwerdegegners müssen gewahrt sein.
STANDARD: Welche Möglichkeiten zur Beschleunigung gäbe es?
Jelinek: Wir haben festgestellt, dass es jeweils nationale Normen gibt, die die Datenschutzgrundverordnung daran hindern, "zur vollen Blüte" zu gelangen. Alle Leiterinnen und Leiter der Datenschutzbehörden des EWR haben im April des Vorjahres bei einem Sondertreffen in Wien unter anderem auch eine Wishlist erstellt, die wir der Kommission übermittelt haben. Darin steht, welche Maßnahmen wir uns für eine Optimierung der Rechtsdurchsetzung wünschen würden. Die Kommission hat diese Wishlist dankenswerterweise in ihr Arbeitsprogramm für 2023 aufgenommen. Und so wie es ausschaut, wird es einen Entwurf einer Verordnung geben, der im Sommer 2023 vorgelegt wird.
STANDARD: Sie meinen die Gesetzesinitiative für die Verbesserung der Kooperation nationaler Aufsichtsbehörden, die heuer im Februar angekündigt worden ist?
Jelinek: Genau. Das ist aber kein Aufmachen der Datenschutzgrundverordnung. Die Datenschutzgrundverordnung bleibt, wie sie ist. Das ist ein komplementärer Rechtsakt. Den haben wir selber auch noch nicht gesehen. Ich bin aber guter Hoffnung, dass das eine sinnvolle Ergänzung des jetzigen Regelwerks ist und auch dazu dient, die Rechtsdurchsetzung noch besser zu gestalten.
STANDARD: Sind Ihnen dazu schon mehr Details bekannt? Die offizielle Webseite der EU-Kommission gibt sich in diesem Zusammenhang noch sehr wortkarg.
Jelinek: Nur, dass sich die unterschiedlichen Datenschutzbehörden noch besser vernetzen und Verfahren noch besser grenzüberschreitend führen können, ohne in die nationalen Verfahrensrechte einzugreifen.
STANDARD: Glauben Sie, dass die DSGVO gegen die Datensammelwut großer Tech-Konzerne wirklich wirksam ist?
Jelinek: Ich glaube, wir haben schon eine ganze Menge erreicht. Manche mussten ihr Geschäftsmodell umstellen oder werden ihr Geschäftsmodell umstellen müssen. Es gibt auch durchaus große Konzerne, die sehen, dass im Sammeln der Daten nicht das Heil liegt. Natürlich haben sie das Geschäftsmodell auf Werbung aufgebaut.
Viele sagen, dass Daten das neue Öl seien. Ich sehe das anders. Öl ist eine unwiederbringliche Ressource, meine Daten kann ich aber löschen lassen. Dieser Vergleich hinkt meiner Meinung nach auch deshalb, weil meine personenbezogenen Daten mir gehören und ich darüber bestimmen kann, wenn ich dazu in der Lage bin. Und dazu gehört auch die Information. Die Unternehmen müssen informieren.
Natürlich nehmen große Unternehmen Strafen nicht hin, sondern bekämpfen jede Entscheidung. Jede. Jede dieser großen Entscheidungen: Die Entscheidung der irischen Behörde, die Entscheidung des europäischen Datenschutzboards. Es wird alles bekämpft. Und sobald der Europäische Gerichtshof dann letztendlich – und das wird natürlich noch dauern – Recht gesprochen haben wird, erst dann ist die Sache endgültig klar. Aber im Prinzip wissen die Konzerne ja, was sie tun müssen. Wenn es das Unternehmen XY mit 25 Mitarbeiterinnen und Mitarbeitern weiß, dann wird es ja wohl ein Unternehmen auch wissen, das Milliardenumsätze und hunderttausende Mitarbeiterinnen und Mitarbeiter hat. Und es ist zumutbar, dass sie es wissen.
STANDARD: Italien hat ChatGPT wegen datenschutzrechtlicher Bedenken vorübergehend gesperrt und erst unter Auflagen wieder freigegeben. Warum war ChatGPT eigentlich nicht in ganz Europa gesperrt?
Jelinek: Gute Frage. OpenAI hat keine Repräsentanz in Europa, weshalb es keine federführende Aufsichtsbehörde dafür in Europa gibt. Das heißt, es könnte sein, dass sich OpenAI 30 Verfahren stellen muss. Die italienischen Kollegen haben da eine Vorreiterrolle eingenommen. Das Datenschutzboard hat kurz darauf jedenfalls eine Taskforce für ChatGPT eingerichtet und der zuständigen Arbeitsgruppe ein Mandat gegeben, an Generative AI weiterzuarbeiten. Wir kooperieren und werden über unsere weiteren Vorgangsweisen kommunizieren.
Ich glaube, es ist ganz wichtig, Artificial Intelligence nicht zu verteufeln, sondern sie zu nutzen. Es ist aber auch sehr wichtig, wachsam zu sein und zu bleiben. Eine Kennzeichnung von AI wird unerlässlich sein. Dass man nichts machen kann, stimmt nicht: Datenschutzgrundverordnung ist, wenn personenbezogene Daten betroffen sind, auch hier anwendbar, weil sie eben technologieneutral ist. Da war der Gesetzgeber wirklich klug, das offen zu gestalten und nicht festzumachen an vergangene State-of-the-Art Technologien aus dem Jahr 2012.
STANDARD: Glauben Sie, dass Verbraucherinnen und Verbraucher in der EU zum jetzigen Zeitpunkt vor KI-Tools wie ChatGPT ausreichend geschützt sind?
Jelinek: Diese Frage ist natürlich durchaus berechtigt, Schutz ist ganz wichtig. Auf der anderen Seite mahne ich auch immer wieder, und zwar nicht erst seit ChatGPT, ein gewisses Maß an Eigenverantwortung ein. Es ist wichtig, sich nicht vor Artificial Intelligence zu fürchten. Es ist wichtig, hinzuschauen und sie zu nutzen. Aber wenn man sich gar nicht auskennt, dann sollte man sich mit jemandem beraten, der sich besser auskennt, der einem entweder den Weg weist oder an jemanden verweist, der technologiefirm ist. Im Zweifel können das die eigenen Kinder oder für Ältere die Enkelkinder sein.
STANDARD: Gibt es in näherer Zukunft weitere große Herausforderungen für die DSGVO?
Jelinek: Dazu traue ich mich keine Prognose abzugeben. Hätten Sie mich das 2019 gefragt, hätte ich gesagt, dass ich mir das nicht vorstellen könne. Rückblickend, nach den Jahren der Pandemie, würde ich so eine Aussage natürlich nicht mehr treffen. Die ganze Welt ist von einem Tag auf den anderen auf digitale Treffen umgestiegen.
STANDARD: Wie sehen Ihre persönlichen Zukunftspläne aus?
Jelinek: Ich war die letzten fünf Jahre Vorsitzende des europäischen Datenschutzausschusses und habe als primus inter pares mitgewirkt, den Ausschuss in Europa und weltweit zu etablieren. Mein Mandat endet am 25. Mai, und es wird einen neuen Vorsitz geben, der von den Leiterinnen und Leitern der EWR-Datenschutzbehörden gewählt wird. Ich glaube, das Haus ist gut aufgestellt, und ich freue mich schon, den Kollegen oder die Kollegin dann auch unterstützen zu können. Das ist das eine.
Und national betrachtet werde ich in den Ruhestand treten. Ich habe mich dazu entschlossen, mich nicht noch einmal für das Amt zu bewerben. An und für sich läuft meine Amtsperiode bis Ende Dezember, aber ich werde mich mit Mitte August verabschieden: Denn wer möchte in Österreich zum Jahresende hin in Pension gehen, wenn alles grau in grau ist? (lacht) Nein, das mache ich nicht. Meine Position ist schon ausgeschrieben, und ich bin überzeugt davon, dass mein Nachfolger oder meine Nachfolgerin das hervorragend machen wird. (Benjamin Brandtner, 22.5.2023)