Blicke hinter die Kulissen europäischer Politikarbeit. DSGVO – fünf Buchstaben eines jahrelangen Projektes.

Datenschutzgrundverordnung – der Robin Hood für die User oder der Totengräber der Digitalwirtschaft?

ACTA – vier Buchstaben. Wer erinnert sich noch daran? Sechs Jahre ist es her, als spontan organisierte weltweite Demonstrationen das multilaterale Handelsabkommen kippten. In dem Entwurf stand, dass das Urheberrecht im Web schärfer werden sollte. Oder so ähnlich. Denn was genau drinstand, wussten die meisten nicht. Zu komplex, zu viel zu lesen, aber irgendwie unheimlich.

Immer in den letzten Jahren, wenn das Web reguliert werden sollte, gab es dieselben Phänomene zu beobachten.Alarmistisch die eine Seite der Aktivisten und Netzpolitiker: „Nichts wird im Web mehr so sein wie früher, alles verboten, alles zensiert, nicht mal mehr Memes sind erlaubt“.

Auf der anderen Seite ist die Rede vom „rechtsfreien Raum, der dringend stärker kontrolliert werden muss, Schutz von Rechteinhabern, freier Handel” und so weiter und so fort.

Es verwunderte daher nicht, dass die Debatte um die neue Datenschutzgrundverordnung, die seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union bildet, ähnlich hysterisch geführt wurde.

Zum einen, weil die User sich wehren und mit Adblockern auf die Werbeflut reagieren, zum anderen, weil in der Web-, IT- und E-Commerce-Wirtschaft Milliarden erwirtschaftet werden. Dabei geht es doch eigentlich nur um den Schutz personenbezogener Daten und stärkere Auskunfts- und Löschrechte.

Nachdem der Rauch im Sommer ein wenig verflogen war, schaute ich mir die Dokumentation „Democracy – Im Rausch der Daten“ an, in dessen Mittelpunkt der grüne EU-Parlamentarier Jan Philipp Albrecht für den europäischen Datenschutz kämpft, die Kommissarin für das Ressort Justiz, Grundrechte und Bürgerschaft, Viviane Reding, steht dabei fast mütterlich an seiner Seite.

Man bekommt ein Gefühl dafür, wie die europäische Kommission und das Europäische Parlament arbeiten und wie solche Verordnungen entstehen. Auf einmal entdecke ich Ralf Bendrath, den ich vor Jahren in Bremen auf dem Webmontag kennenlernte. Bendrath war quasi hinter Albrecht das (der?, oder vielleicht lieber ein anderer Begriff) Mastermind der DSGVO und führte viele Gespräche mit Verbänden, Lobbyisten, der Wirtschaft und Verbraucherinitiativen. Seit Sommer 2009 arbeitete er für den Abgeordneten Jan Philipp Albrecht im Europäischen Parlament, zu Themen der Internetfreiheit und der digitalen Bürgerrechte.

Für NEW-D habe ich mit ihm darüber gesprochen, wie gut oder schlecht der Versuch, mit „alter Bürokratie“ einen dynamischen Markt zu regulieren, sein kann und ob nicht auch die Wirtschaft von der DSGVO profitieren kann.

Herr Bendrath, nach dem Spiel ist vor dem Spiel sagte Sepp Herberger einst, wie ist das bei Ihnen? Trauen Sie sich noch aus dem Haus?

Aber klar. Und auch ins Internet, wo man bereits sieht, dass wir auf vielen Webseiten mehr Kontrolle bekommen haben und nicht automatisch die Tracking-Cookies der Werbeindustrie eingeschaltet sind, die jede unserer Bewegungen überwachen und monetarisieren. Manchmal werde ich sogar angesprochen, und die Leute bedanken sich für die Arbeit an der Datenschutzreform, gerade diesen Sommer auf einer Hochzeitsfeier.

Warum war aus Ihrer Sicht ein Regelwerk wie die DSGVO notwendig? 

Um unsere Rechte als Nutzer in Zeiten des globalen Internet wieder besser zu schützen, und um den Unternehmen einen einheitlichen digitalen Binnenmarkt in der Europäischen Union zu bieten. Die Grundprinzipien des Datenschutzes sind bewährt und getestet. Aber bisher gab es einen Flickenteppich von 28 nationalen Datenschutzgesetzen in Europa und keine einheitliche Rechtsdurchsetzung.

Max Schrems, der seit Jahren von Wien aus gegen Facebook kämpft, musste bisher in Irland Beschwerde einlegen, weil dort Facebook sein europäisches Hauptquartier hat. Die dortige Datenschutzbehörde war notorisch unter-engagiert, um es mal vorsichtig zu formulieren, und selbst wenn sie aktiver gewesen wäre, hätte sie nur Bußgelder verhängen können, die Facebook aus der Portokasse zahlen kann. Jetzt kann Max sich in Wien beschweren, und die nationalen Datenschutzbehörden müssen sich dann untereinander abstimmen. Wenn das nicht gelingt, wird eine Einigung auf europäischer Ebene erzwungen durch den neuen Europäischen Datenschutzausschuss.

Und die Bußgelder gehen jetzt in schweren Fällen bis zu vier Prozent des Jahresweltumsatzes, das wären bei Facebook 1,7 Milliarden US-Dollar. Zusätzlich haben wir das Marktortprinzip eingeführt, so dass nun auch Unternehmen, die nicht in Europa niedergelassen sind, aber hier Dienste via Internet anbieten, sich an die gleichen Regeln halten müssen wie alle anderen. Das hat schon jetzt dazu geführt, dass weltweit die DSGVO der Goldstandard geworden ist und bis nach Japan, Lateinamerika und sogar Kalifornien ausstrahlt.

Es ging also nicht darum, den Datenschutz komplett neu zu erfinden, sondern ihm zu einer effektiveren und einheitlicheren Anwendung zu verhelfen. Inhaltlich haben wir aber an wichtigen Stellen mehr Klarheit rein gebracht, zum Beispiel, dass eine Einwilligung zur Datenverarbeitung nicht dadurch erfolgen kann, dass ich einfach eine Webseite weiter nutze. Mit Blick auf den „Do Not Track“-Standard des W3C haben wir jetzt auch eine Klarstellung im Gesetz, dass ich einen Widerspruch auch automatisiert ausüben kann, z.B. durch Signale, die mein Browser sendet.

Sie sind mit vielen sehr unterschiedlichen Akteuren in Kontakt gekommen. Ohne Namen zu nennen, wer hat sie am meisten überrascht und wer am meisten enttäuscht?

Überrascht haben mich die Lobbyisten, die die Bußgelder bzw. deren Bemessungsgrundlage senken wollten. Das war wie eine Ansage: „Wir haben vor, das Gesetz eh zu brechen“, was natürlich nicht so gut ankommt beim Gesetzgeber. Enttäuscht hat mich, dass viele deutsche oder europäische Industrieverbände inzwischen fast nur noch die Position ihrer zahlungskräftigsten Mitglieder aus dem Silikon Valley wiedergeben und gar nicht mehr die Chance sehen, die so eine Reform für die genuin europäische Wirtschaft bedeuten kann. Ob Datenschutz, Netzneutralität, Urheberrecht oder andere Fragen der Digitalregulierung: Wir sind doch mitten in dem Prozess, unseren europäischen Weg zu finden, der sich klar abgrenzen muss vom unkontrollierten Überwachungskapitalismus der USA, aber auch vom gamifizierten 1984, das wir mit Social Credit und ähnlichen Entwicklungen in China beobachten. Hier wäre eine konstruktive Beteiligung der europäischen Digitalwirtschaft hilfreicher gewesen als immer wieder nur zu sagen „wir wollen weniger Regeln“.

Die Dokumentation stellt die Entwicklung der Verordnung wie einen Krimi dar. Wie fühlte sich das in der Praxis an?  

Vor allem ist es auf Mitarbeiterebene erst einmal viel Arbeit. Sich durch 3999 Änderungsanträge durchzukämpfen und Kompromisstext zu entwerfen, hat mich einige Wochen meines Lebens gekostet, in denen auch meine Frau mich wenig gesehen hat. Bei den Verhandlungen selber war es oft das eher alltägliche Ringen um die vielen kleinen Kompromisse. Aber natürlich gab es auch die großen Momente, wenn an einem zentralen Konfliktpunkt eine Einigung erreicht wurde, oder eine wichtige Abstimmung gut ausgegangen ist.

Und dann der Moment, als die ersten Snowden-Enthüllungen über PRISM herauskamen, und wir wussten, dass das jetzt ein Wendepunkt sein wird. Da sowohl Jan als auch ich vom Fach kommen – er hat einen Master in Rechtsinformatik mit Schwerpunkt Datenschutz, ich habe jahrelang als Politikwissenschaftler zu Datenschutzregulierung geforscht – haben wir aber die ganze Zeit unsere historische Verantwortung gespürt. Als wir 2015 mit den Schlussverhandlungen mit dem Ministerrat begannen, der ja deutlich weniger Datenschutz wollte als das Parlament, sagte Jan einmal nur halb im Scherz: „Wenn wir den europäischen Datenschutz jetzt gegen die Wand fahren, müssen wir nach Argentinien flüchten.“

Viele wirtschaftsnahe Verbände kritisieren die Umsetzung als extrem aufwändig und bürokratisch. Was sagen Sie denen?

Viele von denen haben offenbar das schon lange geltende Datenschutzrecht einfach ignoriert. Auflagen wir die Informierung der Betroffenen oder das Verfahrensverzeichnis gab es ja schon lange, da hat sich nur marginal etwas geändert. Wer also bisher schon das BDSG beachtet hat, musste sich eigentlich kaum umstellen. Der neue risikobasierte Ansatz sagt darüber hinaus ja ausdrücklich, dass sich der Aufwand der Umsetzung am Risiko bemessen muss, das von der Datenverarbeitung ausgeht.

Ich habe selbst erlebt, dass die Umsetzung der DSGVO in einigen Unternehmen dazu führte, eine Art „Datenerhebungsinventur“ zu machen und sich dadurch das Bewusstsein geändert hat. Man denkt vielleicht wieder mehr darüber nach, was man eigentlich braucht und was nicht. Ist das nicht das wichtigere Ergebnis als mehr Klicks in Consent-Verfahren, dessen Inhalte eh keiner liest? Und wäre das nicht einfacher zu haben gewesen? 

Die drohenden hohen Bußgelder haben vielfach zu einem Datenschutz-Frühjahrsputz geführt, das ist in der Tat ein sehr erfreuliches Ergebnis. Das kann aber nicht gegen die Einwilligung diskutiert werden, weil die ein zentraler Baustein des Grundrechts auf Datenschutz ist, auch in der EU-Grundrechtecharta, die den europäischen Gesetzgeber bindet. Darüber hinaus haben wir ja das Koppelungsverbot nun explizit im Gesetz, ich darf also als Kunde nicht zu einer Einwilligung gezwungen werden. Ich muss also auch auf „ablehnen“ klicken können, ohne lange Datenschutzerklärungen zu lesen.

Blicken wir zum Schluss in die Zukunft. Obwohl die DSGVO auf Cookies nicht speziell eingeht, beobachte ich auch hier einen positiven Effekt. Onlinemedien wie tagesspiegel.de hatten vor einiger Zeit über 80 Tracker (Cookies) auf ihrer Webseite und sind jetzt bei 20. Was ist Ihre Haltung zur E-Privacy-Richtlinie, die im nächsten Jahr kommen soll?

Hier ist die Lage ähnlich wie im allgemeinen Datenschutz vor der DSGVO: Eigentlich sind Tracking-Cookies ohne Einwilligung nach der geltenden e-Privacy Richtlinie schon seit 2009 verboten, aber kaum jemand hält sich dran. Die neue e-Privacy-Verordnung soll die Bußgelder auch hier an die DSGVO anpassen, was ein wichtiger Schritt ist. Darüber hinaus soll sie die Vertraulichkeit der Kommunikation auch auf Over-The-Top-Dienste wie Skype oder WhatsApp ausdehnen. Das Europäische Parlament hat in seiner vor einem Jahr angenommenen Fassung zusätzlich noch starken Schutz vor dem Ausspähen unserer Endgeräte hineingeschrieben und verpflichtende Ende-zu-Ende Kommunikation. Wir warten hier leider mal wieder auf die Mitgliedstaaten, um endlich den finalen Gesetzestext auszuhandeln.

Herr Bendrath, da hier viele „Werbende“ mitlesen, ein Tipp von Ihnen. Digitale Werbung wird dann relevanter, je mehr Informationen ich über den User vor dem Gerät habe und damit auch weniger nervig, wenn man es nicht übertreibt. Wenn diese Möglichkeiten nicht mehr nutzbar sind, stärkt man nicht Schleichwerbung oder gar nicht mehr gekennzeichnete Werbung – wie schon heute bei Influencern spürbar.  Oder anders gesagt: Wie wirbt man im Netz 2020 wenn man Sie erreichen möchte?

Ich finde personalisierte Werbung eher creepy, vor allem wenn sie online- und offline-Daten kombiniert. Da kaufe ich im Sommer nach Jahren mal wieder Gazpacho im Supermarkt, und plötzlich zeigt mir Facebook Werbung für Gazpacho an. Sorry, das geht die einfach nichts an. Außerdem frage ich mich da nach dem Sinn, wenn ich die Gazpacho eh schon gekauft hatte. Viele Werbekunden, bis zu  Riesen wie Procter&Gamble, sagen ja eh seit einer Weile, dass der Online-Werbemarkt fundamental kaputt ist. Von einem Euro Werbeausgaben bleiben mittlerweile bis zu 90 Cent bei den Data-Brokern und der Adtech-Industrie hängen, und die Webseiten und Veröffentlichungen, auf denen die Werbung geschaltet wird, kriegen nur noch ein Zehntel. Ich bevorzuge Kontext-basierte Werbung, die ohne Überwachung auskommt. Und das ist übrigens auch die geltende Rechtslage.

Nachdem die DSGVO „fertig“ ist – welchen Themen widmen Sie sich nun?

Wir haben im Moment eine intensive Diskussion darüber, wie wir die kommende Europawahl vor einem unbotmäßigen Einfluss auch durch das Internet schützen können. Das geht zurück auf die Enthüllungen zu Facebook und Cambridge Analytica im Frühjahr, aber auch die Arbeit des Sonderermittlers Mueller in Washington zu russischen Hacker-Angriffen auf die Clinton-Kampagne. Das Europäische Parlament fordert jetzt ein Verbot von politischer Werbung, sofern sie auf personalisierten Profilen basiert, aber die Abgrenzung ist da nicht einfach. Desinformations-Kampagnen (früher „Fake News“ genannt) sind noch schwieriger zu bekämpfen, weil wir auf jeden Fall vermeiden müssen, dass Facebook zu einer Art „Wahrheitsministerium“ wird.

Daneben diskutieren wir einen Vorschlag der Kommission zu „e-Evidence“, der den grenzüberschreitenden Zugriff der Strafverfolger auf elektronische Beweismittel erlauben würde. Das wirft grundsätzliche Fragen auf zur Territorialität exekutiver Gewalt und zur gegenseitigen Anerkennung der Rechtsstaatlichkeit innerhalb der EU – siehe die aktuellen Probleme in Polen und Ungarn.

Parallel diskutieren wir auch noch die nötigen Regeln für künstliche Intelligenz, die Verknüpfung aller EU-Grenzdatenbanken oder die Potenziale von Distributed-Ledger-Systemen in Umgebungen geringen institutionellen Vertrauens, etwa bei der Zusammenarbeit mit Zollbehörden in Entwicklungsländern. Im neuen mehrjährigen Finanzrahmen der EU bis 2027 versuchen wir gerade, öffentliche Gelder für das Code-Auditing von Freier Software zu mobilisieren

Herr Bendrath, ganz herzlichen Dank für das Gespräch!

Bildnachweise: Privat, Indifilm/David Bernet, aus: Democracy – im Rausch der
Daten