Facebook-Kläger Max Schrems: Bessere Handhabe gegen Internet-Konzerne fix

Was sind die wichtigsten Änderungen des neuen Datenschutzrechts (DSGVO) für österreichische Konsumenten?

Schrems: Die Durchsetzbarkeit des Rechts. Dass die Behörden auch wirklich etwas tun müssen. Aus bisherigen Beschwerden ist meist nichts geworden. Es war die wirtschaftlichere Lösung für Unternehmen, sich nicht an den Datenschutz zu halten. Jetzt kann der Beschwerdeführer die Behörde zwingen, etwas zu tun. Wir werden sehen, wie schnell scharf geschossen wird. Ich rechne in Österreich mit einem Mittelweg. Und dass wir jetzt ein europäisches System haben.

Wie sieht das konkret aus?

Konsumenten können ihre Rechte aus der DSGVO bei der lokalen Datenschutzbehörde in Wien durchsetzen. Die muss sich im Fall Facebook mit der irischen Zentrale koordinieren. Ich kann als Konsument meine Ansprüche auch zivilrechtlich durchsetzen und etwa beim Landesgericht Linz Apple Irland klagen. Die müssen dann nach Linz kommen und nicht ich nach Irland. Das macht es erst realistisch, dass überhaupt Klagen eingebracht werden.

In den USA nimmt man in jüngster Zeit den europäischen Datenschutz sehr ernst, auch wenn Facebook jetzt seine nichteuropäischen Nutzer aus dem EU-Datenschutz rausnimmt. Wird er zum globalen Standard?

Ja, Europa setzt gerade globale Standards. Schon, weil es allein technisch relativ schwierig ist für Konzerne, das auseinanderzudividieren. Der Punkt ist, dass es für die meisten Unternehmen teurer ist, verschiedene Datenschutzlösungen umzusetzen, als eine einheitliche Lösung zu wählen. Bisher mussten europäische Unternehmen mit anderen konkurrieren, die sich nicht um den Datenschutz gekümmert haben. Jetzt wird der Hebel gegen Apple und Google größer, der Abstand verringert sich.

Das erleichtert also den Europäern, ihre Rechte gegen die Apples und Googles dieser Welt durchzusetzen?

Ja. Die spannende Frage ist die der Durchsetzung, und die ist bis zu einem gewissen Grad eine Kulturfrage, weil wir im Datenschutz bisher eine Laissez-Faire-Haltung gehabt haben. Salopp gesagt: Für jedes Mal falsch parken hast du eine höhere Wahrscheinlichkeit gehabt, bestraft zu werden, als wenn du illegal Daten verhökert hast.

Wie scharf wird geschossen?

Natürlich werden die Mitgliedsstaaten verschieden darauf reagieren. Es gibt welche, die ihre Datenschutzbehörde wie Irland von 20 auf 150 Mitarbeiter massiv aufgestockt haben. Es gibt jetzt die Möglichkeit, bei Datenmissbrauch Schadenersatz einzuklagen.

Wie relevant ist der Schadenersatzanspruch in der Praxis?

Man kann also versuchen, Geld zu bekommen, wenn zum Beispiel Daten verloren gegangen sind und sie statt am Firmenserver bei russischen Hackern liegen (data breach) oder illegal verkauft wurden wie bei der Cambridge-Anlaytica-Geschichte. Die Höhe des Schadenersatzes ist noch relativ unklar, aber es werden wahrscheinlich ein paar Tausend Euro sein. Die Schwierigkeit hier wird wieder die Durchsetzbarkeit sein, wir werden wohl Sammelklagen brauchen. Ein einzelner Bürger wird nicht anfangen, wegen 1000 Euro Facebook zu klagen – weil das ist eine Lebensaufgabe. Da kommen Summen zusammen, mit denen man auch Anwälte zahlen kann und die viel höher sein können als die 20 Millionen Euro Höchststrafe laut DSGVO. Das geht bei der Diskussion unter.

Was werden Sie mit Ihrem Datenschutzverein "noyb" am 25. Mai, am Tag des Inkrafttretens des neuen europäischen Datenschutz-Gesetzes, tun?

Es wird auch nach Cambridge Analytica noch genug Fälle von Datenmissbrauch geben. Um Mitternacht werden wir die erste Klage einbringen, um neun Uhr eine Pressekonferenz dazu geben. Wir haben eine Shortlist von möglichen Klagen. Am interessantesten scheinen mir die zwangsweise Zustimmung zu Geschäftsbedingungen, damit ich einen Dienst nutzen kann, und die Kreditauskunfteien. Das ist finanzielle Vorratsdatenspeicherung! Von acht Millionen Österreichern werden die Daten gespeichert, wobei viele davon noch nie etwas nicht bezahlt haben!