Datenschutz: "Ich will, dass in Zukunft Goliath gegen Goliath kämpft"

Frau Reding, Sie sind nicht auf Facebook, Herr Schaar, Sie schon. Wie kommt’s?

Schaar: Ich will nicht wie der Blinde von der Farbe reden. Aber ich bin vorsichtig. Sie werden über mich nicht viel Persönliches lesen.

Na ja, wir wissen aus Facebook, dass Sie ein Fan von St. Pauli sind.

Reding: Da haben Sie’s, Herr Schaar. Ich bin nicht auf Facebook, weil ich meine Privatsphäre schützen will. Aber ich habe drei Jungs zu Hause, von denen lerne ich täglich alles, was ich über neue Technologien wissen muss. Dafür twittere ich. Da habe ich die Kontrolle.

Frau Reding, Sie wollen den Datenschutz in Europa mit einer neuer Verordnung verbessern. Während dessen schaffen die sozialen Netzwerke Tatsachen. Facebook bildet das Leben seiner User auf einer „Timeline“ ab, Google führt die Daten seiner verschiedenen Dienste zusammen und bildet Profile der Bürger. Sind Sie zu langsam?

Reding: Nein, wir haben ja schon ein Datenschutzgesetz und zwar seit 1995. Und das greift schon heute in vielen Fällen. Die Reform, die ich Ende Januar auf den Tisch gelegt habe, ist also nicht vom Himmel gefallen, sondern ist eine Verstärkung der Gesetzgebung, die wir schon haben.

Werden Sie gegen Google vorgehen?

Reding: Dafür ist nicht die EU-Kommission zuständig, sondern die nationalen Datenschutzbehörden.

Schaar: Wir haben auf europäischer Ebene vereinbart, dass sich die französische Datenschutzbehörde, die CNIL, federführend um das Problem kümmert. Die CNIL ist in einer ersten Analyse zu dem Schluss gekommen, dass die neuen Datenschutzvorschriften von Google gegen das europäische Datenschutzrecht verstoßen. Wir müssen aber noch letzte Fragen klären. Das eigentlich Problem kommt danach: Anschließend muss nämlich jede nationale Datenschutzbehörde in ihrem Land gegen Google vorgehen. Die Regelungen und die Sanktionen weichen aber von einander ab. Daher begrüße ich es ausdrücklich, dass die EU-Kommission ein gemeinsames Recht für alle schaffen will. Die Unternehmen können sich nämlich dann nicht mehr den Mitgliedstaat aussuchen, in dem die Sanktionen am schwächsten sind.

Reding: Da kommt die Europäische Kommission ins Spiel. Die Datenschutzbehörden können derzeit nur auf Basis ihrer nationalen Datenschutzgesetze entscheiden. In Deutschland oder Frankreich haben wir etwa eine solide Basis, in anderen Ländern nicht. Deshalb habe ich auf Basis der stärksten Gesetze einen Entwurf für eine europäische Verordnung vorgelegt. Ein Kontinent, ein Recht.

Und eine Datenschutzbehörde?

Reding: Eine nationale Datenschutzbehörde, die jeweils für ein Unternehmen zuständig ist, das ja. Aber ansonsten bleibt es bei den Datenschutzbeauftragten vor Ort. Nur bekommen die ein Gesetz, das Zähne hat.

Schaar:  Die deutschen Datenschutzbehörden könnten heute maximal eine Strafe von 300 000 Euro verhängen.

Das zahlt Google aus der Portokasse.

Reding: Darüber lacht ein weltweit agierendes, großes Unternehmen! Wenn meine Reform umgesetzt ist, wäre gegen Google eine Sanktion von 560 Millionen Euro möglich – zwei Prozent des weltweiten Jahresumsatzes. Das hätte Biss. Heute sind die Datenschutzbeauftragten wie David, der gegen Goliath kämpft. Ich will, dass in Zukunft Goliath gegen Goliath kämpft.

Schaar: Und noch etwas ist wichtig: Künftig soll auch für US-Unternehmen europäisches Recht gelten, wenn sich die Dienste an Europäer richten. Wie wichtig das ist, sehen wir gerade wieder. Google hat bisher keine Zugeständnisse gemacht, wohl auch deshalb, weil das europäische Recht bisher so gut wie gar nicht durchsetzbar ist.

Werden Sie Ihre Reform durchsetzen, Frau Reding? Der deutsche Datenschutzminister, Innenminister Hans-Peter Friedrich, setzt mehr auf Selbstverpflichtungen der Unternehmen als auf strengere Gesetze.

Reding: Deutschland sollte der treibende Motor sein. Ihr habt bislang den stärksten Datenschutz in Europa, und das Bundesdatenschutzgesetz hat mich bei meiner Arbeit inspiriert. Wenn Deutschland nicht mithilft, dieses Niveau europaweit einzuführen, dann verstehe ich die Welt nicht mehr. Und die Interessenlage Deutschlands auch nicht.

Schaar: Bei der Einführung der ersten europäischen Datenschutzrichtlinie 1995 hat Deutschland am Steuer gesessen. Jetzt wird gebremst. Aus der Bundesregierung und dem Bundesrat höre ich, man wolle das europäische Datenschutzpaket aufhalten, weil die EU hier keine Kompetenzen besitze. Das ist eine ganz falsche Botschaft und würde die deutschen Möglichkeiten, Einfluss auf die europäische Verordnung zu nehmen, drastisch reduzieren. Deutschland kann es sich nicht leisten, in eine Kleingärtnermentalität zu verfallen. Und Selbstverpflichtungen bringen gar nichts, jedenfalls ohne klaren gesetzlichen Rahmen.

Warum nicht?

Schaar: Vor einem Jahr hat die Wirtschaft dem Bundesinnenminister einen Geodatenkodex – Stichwort Google Street View – auf freiwilliger Basis vorgelegt. Nichts von dem alledem ist bis heute umgesetzt.

Reding: Gutes Zureden reicht nicht, um die Interessen der Bürger gegen reiche, einflussreiche Unternehmen durchzusetzen.

Wie ist die Reaktion aus anderen Ländern?

Reding: Ich habe noch keine offene Ablehnung gehört. Es wird diskutiert.

Wann soll die Verordnung in Kraft treten?

Reding: Auf europäischer Ebene werden wir für die Diskussionen und Entscheidungen noch bis Ende 2013 brauchen. Dann ist eine Übergangsfrist von zwei Jahren nötig, damit alle Länder etwa starke und unabhängige Datenschutzbehörden aufbauen können. Ich denke, die neue Verordnung kann 2015 in Kraft treten.

"Ob einem Unternehmen Datenschutzregeln gefallen, kann nicht ausschlaggebend sein"

Bundesinnenminister Friedrich hat kritisiert, dass Kompetenzen in andere Mitgliedstaaten verlagert werden. Fürchten Sie, Herr Schaar, um Ihre Zuständigkeit?

Schaar: Nein. Es ist doch heute in Europa schon so, dass die Datenschutzbehörde des Landes zuständig ist, in dem ein Unternehmen seinen Sitz hat. Für Facebook ist das etwa Irland, weil der europäische Hauptsitz von Facebook in Dublin ist. In einem Punkt aber geht mir die Verordnung nicht weit genug. Sie verliert kein Wort darüber, was mit den Daten passiert, die in einer Internet-Cloud gespeichert sind. Was ist etwa, wenn eine US-Behörde von Microsoft oder Google Zugriff auf Daten verlangt, die europäischen Nutzern oder Unternehmen gehören?. Der Cloud-Anbieter muss einer solchen Verfügung nachkommen, ohne dass wir als europäische Behörden überhaupt davon erfahren. Da brauchen wir mehr Schutz für die Bürgerinnen und Bürger.

Ist die geplante Verordnung technisch schon heute überholt? Sind Sie der Hase, der hinterherläuft, während der Igel schon da ist?

Schaar: Wir sind zukünftig die Igel, hoffe ich jedenfalls.

Reding: Die Verordnung ist zukunftsoffen und gut für die nächsten Jahrzehnte. Sie regelt keine Details, sondern legt die großen Prinzipien fest, die dann auch für die Technologien von morgen gelten können. Es geht darum, Vertrauen aufzubauen. 81 Prozent der deutschen Bürger sind besorgt darüber, wie Unternehmen mit ihren Daten umgehen. Wenn das so weitergeht, werden die Bürger streiken und ihre Daten nicht mehr herausgeben. Dann wird es auch eine ganze Reihe von nützlichen Dienstleistungen nicht mehr geben. Und das wollen wir nicht. Die Bürger sollen eine Anlaufstelle bekommen, die ihre Rechte durchsetzt. Und die soll nicht in Brüssel sein, sondern vor Ort in den Ländern.

Und wer schützt die Bürger, wenn ein Unternehmen keinen Sitz in der EU hat?

Reding: Jedes große Unternehmen muss einen Vertreter oder eine Niederlassung in Europa haben, wenn es hier Geschäfte machen will. Wo die ist, ist nicht mehr so wichtig, weil wir dann ja überall die gleichen Standards haben.

Schaar: Hier gibt es noch eine Lücke. Wir müssen noch festlegen, wie genau die Zuständigkeit sein soll, wenn es weder ein Rechenzentrum gibt noch einen Hauptsitz des Unternehmens.

Herr Schaar, haben Sie keine Angst um die 16 Länderbeauftragten in Deutschland? Werden die mit der Richtlinie arbeitslos, weil es auch in Deutschland einen Zentralisierungsschub geben wird?

Schaar: Die Datenschutzbehörden in Europa und in den deutschen Bundesländern werden sicherlich enger zusammenarbeiten. Und das begrüße ich ausdrücklich. Arbeitslos werden die Landesdatenschutzbeauftragten also sicherlich nicht.

Haben sich Google und Facebook schon bei Ihnen in Brüssel gemeldet, Frau Reding?

Reding: Von europäischen Unternehmen habe ich viel Zuspruch bekommen. Die haben heute das Problem, dass sie nicht mit denselben Waffen kämpfen, weil sie sich an Gesetze halten müssen, die für ihre US-Konkurrenten nicht gelten. Was die amerikanischen Unternehmen angeht, muss man unterscheiden zwischen Firmen, die soziale Netzwerke anbieten und Industrieunternehmen. Die Industrie fordert schon lange eine einheitliche Regelung für den europäischen Binnenmarkt, die 27 teils widersprüchlichen Regelungen, die wir jetzt haben, kosten sie viel Geld, Nerven und Zeit. Die sozialen Netzwerke mögen weniger begeistert sein davon. Aber ob einem Unternehmen unsere EU-Datenschutzregeln nun gefallen oder nicht, kann nicht ausschlaggebend sein. Wer den Binnenmarkt, unsere Goldgrube mit 500 Millionen Verbrauchern, nutzen will, der muss sich an die europäischen Spielregeln halten.