Herr Schrems, wir sprechen am Rande einer Konferenz des deutschen Telekommunikationsausrüsters Lancom Systems. Obwohl sich hier eine Community trifft, für die die Datenschutzgrundverordnung einen Wettbewerbsvorteil darstellt, hat man Sie nach Ihrer Keynote regelrecht gegrillt. „Der blöde Datenschutz behindert unseren Fortschritt“, lautete die Kritik sinngemäß. Wie fühlt man sich, wenn man wie Sie Privatsphäre als europäischen Menschenrechtsstandard etabliert hat – und dann so begrüßt wird?
Max Schrems: Das perlt an mir ab. Ich fühle da nicht viel. Ich finde es eher inhaltlich interessant, dass Deutschland die Datenschutzgrundverordnung (DSGVO) zu Tode diskutiert. Wir sehen irgendwelche absurden und kruden Theorien herumeiern.
Wie gehen Sie damit um?
Ich verstehe es nicht, weil jeder Satz der DSGVO inzwischen hin und her gewendet worden ist. Wir könnten es jetzt einfach mal so anwenden, wie es da steht.
Warum klappt das in Deutschland nicht?
Mein Eindruck ist, dass es hier eine ganze Reihe von Beratungsunternehmen und Kanzleien gibt, die ihr Geld damit verdienen, die ganze Angelegenheit komplizierter zu machen. Obwohl vieles in der DSGVO überhaupt nicht kompliziert ist.
Ist der Lobbyismus der Big-5-Konzerne wie Microsoft oder Google zu mächtig?
Ja, nur gibt es hier Big2000. Beratungsbedarf existiert nicht – er wird generiert. Und bei der DSGVO ist tatsächlich viel fabriziert worden.
Datenschutz-Favelas in Europa
Konkret: Hat der Datenschutzbeauftragte in Rheinland-Pfalz recht, wenn er ein Microsoftprodukt an Schulen nicht weiter zulässt?
Ja, und eigentlich müsste es schon in ganz Europa unterbunden sein. Rechtlich gesehen ist das vollkommen klar.
Warum setzen die vielen deutschen Landesdatenschutzbeauftragten die Regeln dann nicht durch?
Das ist eine sehr gute Frage. Der Europäische Gerichtshof (EuGH) hat im zweiten Privatsphäre-Urteil sogar explizit gefordert, dass Recht endlich durchzusetzen. Wir haben in Europa sehr viele Datenschutzbehörden. Man kann die sicherlich nicht alle in einen Topf schmeißen, aber generell lässt sich sagen: Das Recht auf Privatsphäre ist das einzige Grundrecht, das durchgehend nicht ernst genommen wird. Niemand muss sich erklären, wenn er sagt, ich möchte ein Grundrecht auf Meinungsfreiheit. Das wird fraglos akzeptiert.
Warum ist es beim Datenschutz anders?
Wir haben einfach sehr lange sehr viel akzeptiert. Das ist wie bei einer Favela. Bis an den Rand der Favela gilt das Recht – aber ab dann hat sich der Staat zurückgezogen. Er setzt seine Regeln nicht mehr durch. Und so ist es im Datenschutz. Hier ist in vielen Ländern Europas der Staat einfach nicht präsent.
Soll das heißen, dass Europa datenschutzrechtlich eine Favela ist?
Sicher nicht ganz Europa. Aber man hat doch einige Favela-Gegenden. Und es ist schwer für den Staat, solche verlorenen Areale wieder zurückzuholen. Die Akzeptanz des Rechts und die Tatsache, dass bei Nichteinhaltung Konsequenzen folgen, ist dort vollkommen verschwunden. Wenn das aber mal weg ist, ist es wahnsinnig kompliziert, das Recht wieder zu etablieren.
Sind die Datenschützer zu lasch?
Es gibt Leute in Datenschutzbehörden, die haben in ihrem ganzen Leben noch keinen Bußgeldbescheid geschrieben. Das ist vielleicht nicht in Deutschland der Fall, aber in anderen Staaten. Das bedeutet, es fehlt oft das Know-how, wie man ein Verfahren führt – und Privatsphäre durchsetzt.
Deutschlands Datenschutzbehörden scheinen zu klein und zu zersplittert. Manche geben ganz offen zu, dass sie selbst weder Kontrollen noch Verfahren durchführen.
Von den Ressourcen und der Personenanzahl her hat Deutschland absurd viele Datenschutzbehörden. Daran liegt es nicht. Ich denke, dass Datenschutz in Deutschland einfach extrem politisch ist. Die Personen, die dort auf den Sesseln sitzen, sind ja eher politische als Fachpersonen. Eine Behörde soll aber einfach nur das Recht umsetzen. Man will ja auch keinen politischen Richter oder eine politische Staatsanwaltschaft. Datenschutzbehörden haben aber oft eine politische Denke. Ich finde nur, dass Grundrechte sich dafür nicht eignen. Denn es ist weder fair für ein Unternehmen, dass es hunderte Untersuchungen gibt, die politisch motiviert und nicht begründet sind. Noch kann es sein, dass wir Regeln einfach nicht umsetzen, weil man es politisch für nicht opportun hält. Da fehlt mir der rechtspositivistische Zugang: „Da steht’s, so ist es – und fertig.“
Was eine Schule an sicheren Tools braucht, findet sich auch in Europa
In einigen Ländern haben Datenschützer Microsoftprodukte bereits infrage gestellt. Was raten Sie einem Schulleiter, der sagt: „Ja, aber Microsoft flutscht halt. Was soll ich nur machen?“
Zunächst ist das ein schrittweiser Prozess. Man kann ja zum Beispiel auch nicht auf einen Schlag dekarbonisieren. Und dann stellt sich die Frage, wie sehr kann man so etwas gemeinsam mit anderen Schulen machen oder sich da wenigstens informieren? Den Großteil dessen, was eine normale Schule braucht, wird man irgendwo in Europa bekommen. Ich verstehe natürlich die Nöte an den Schulen. Allein einen IT-Leiter zu finden, der das alles draufhat, ist nicht so einfach. Wir haben hier ein Personalproblem.
Warum sind eigentlich Schülerdaten besonders schützenswert?
Ich weiß gar nicht, ob sie besonders schützenswert sind. Ein Kind besitzt in meinen Augen kein höheres Grundrecht etwa auf Meinungsfreiheit als ein Erwachsener. Interessanter ist für mich, dass wir an Schulen eine ganze Generation prägen. Die gesellschaftliche Verantwortung des Datenschutzes besteht dort darin, Schüler für ihr Grundrecht auf Privatsphäre zu sensibilisieren.
Joe Biden und Ursula von der Leyen haben sich kürzlich auf ein neues Datenschutzabkommen verständigt, das im Detail noch auszuarbeiten ist. Verändert diese Abmachung aktuell schon irgendetwas?
Nein, denn Recht wird bei uns nicht bei Pressekonferenzen erlassen, sondern im offiziellen Journal der Europäischen Union veröffentlicht. Und da findet sich noch gar nichts dazu.
Kennen Sie schon Bausteine der Vereinbarung?
Es soll eine Executive Order des US-Präsidenten geben, die so etwas wie eine interne Dienstanweisung wäre. Da soll drinstehen, dass Datenverarbeitung künftig nur noch verhältnismäßig – das ist der entscheidende Begriff – passiert. Allerdings wollen sie dann scheinbar genauso weitermachen wie bisher.
„Ich bin nicht scharf auf Schrems III“
Soll das heißen, dass man ein paar Girlanden an das alte „Privacy Shield„-Abkommen hängen will?
Ja. Bisher sehe ich leider nur mehr Fragezeichen als Antworten.
Die beiden wichtigsten Privatsphäre-Urteile des Europäischen Gerichtshofs Schrems I und II tragen ihren Namen. Wie wichtig ist Ihnen, dass ein Schrems III verkündet wird?
Ich bin da überhaupt nicht scharf drauf. Wenn die jetzt mit einer supertollen Lösung aufkreuzen, welche die US-Überwachung einschränkt, dann lass ich die Sektkorken knallen und freue mich. So wie das im Moment ausschaut, passiert das aber nicht.
Was heißt das dann?
Dann haben wir ein Rechtsstaatsproblem. Weil dann die Europäische Kommission den EuGH einfach ignoriert. Es nagt an unserer rechtsstaatlichen Ordnung, wenn höchstrichterliche Urteile einfach nicht beachtet werden.
Wie lange wird es bis Schrems 3 dauern?
Wir gehen davon aus, dass wir den Fall in ein paar Monaten wieder dem EuGH vorlegen können. Dann liegt er dort eineinhalb Jahre. Aber das Gericht kann bereits während dieser Wartezeit das Abkommen zwischen Biden und von der Leyen für unanwendbar erklären. Und das muss der EuGH eigentlich allein schon deswegen machen, um seine eigene Legalität aufrechtzuerhalten.
Max Schrems verklagte 2011 Facebook auf die Herausgabe seiner Daten – und löste so eine Entwicklung aus, die zur Verabschiedung der DSGVO und dem Privatsphäre-Urteil des Europäischen Gerichtshofs führte. Er gründete 2017 „none of your business“ (noyb), das „Europäische Zentrum für Digitale Rechte“ .