Stefan Römermann: Gut 20 Jahre alt sind die bisherigen EU-Regeln zum Datenschutz. Im Internet-Zeitalter ist das eigentlich eine schier unendliche Zeit. Schließlich hinterlassen wir inzwischen mehr Datenspuren im Netz und Unternehmen und Behörden sammeln auch immer eifriger Daten. Die EU hat sich jetzt auf ein neues EU-Datenschutzrecht geeinigt.
Wie diese Einigung konkret zu bewerten ist und was es für Verbraucher bedeutet, darüber habe ich vor der Sendung mit dem ehemaligen Bundesdatenschutzbeauftragten Peter Schaar gesprochen. Ihn habe ich gefragt, ob die Einigung beim Datenschutz ähnlich bedeutsam ist wie beim Klimagipfel am vergangenen Wochenende, wo ja oft von einem historischen Abkommen die Rede war.

Peter Schaar: Es ist vielleicht nicht ganz so bedeutsam wie diese Einigung beim Klima, aber es ist auf jeden Fall ein Durchbruch in einem der wichtigsten Themenbereiche der Informationsgesellschaft. Datenschutz ist ja das zentrale Grundrecht der Informationsgesellschaft und das wird da deutlich gestärkt, dadurch insbesondere, dass Europa mit einer Stimme und mit einem Recht dann mit dem Rest der Welt kommuniziert. Bisher hatten wir einfach sehr unterschiedliche Regeln in den verschiedenen Mitgliedsstaaten und das hat nicht unbedingt dazu beigetragen, die Prinzipien und Vorgaben, die das europäische Recht ja auch heute schon enthält, durchzusetzen.

Römermann: Jetzt haben wir einheitliche Regeln beim Datenschutz. Das klingt eigentlich erst mal gut. Andererseits stellt sich dann gleich im zweiten Schritt natürlich die Frage: Verschlechtert sich da vielleicht doch für den deutschen Verbraucher an manchen Stellen das Recht, weil das deutsche Datenschutzrecht war doch relativ streng, hatte ich immer gedacht?

Schaar: Theoretisch haben wir immer ein sehr strenges Datenschutzrecht gehabt. Wenn es dann darum ging, das wirklich durchzusetzen, dann wurde das immer schwieriger. Denken Sie zum Beispiel an Facebook. Wir haben ein tolles Telemediengesetz mit sehr strengen Datenschutzbestimmungen. Da ist zum Beispiel vorgegeben, dass man einen Dienst auch unter Pseudonym nutzen können soll. Das war nicht durchsetzbar gegenüber Facebook, weil Facebook sagte, für uns gilt nur das irische Datenschutzrecht, weil unsere Europazentrale in Dublin ist.

Römermann: Was wird da jetzt zukünftig sein?

Schaar: In Zukunft ist es so, dass wir ein einheitliches Datenschutzrecht haben. Das ist dann sicherlich ein Stückchen niedriger, sage ich mal, vom Level als manches, was wir in Deutschland haben, aber höher als vieles, was wir in anderen Mitgliedsstaaten haben. - Zweiter Aspekt: Auch Unternehmen, die gar nicht in Europa ihre Hauptniederlassung haben - denken Sie an Google -, müssen sich zukünftig an europäisches Datenschutzrecht halten. Sonst drohen empfindliche Geldbußen bis zu vier Prozent des Weltjahresumsatzes. Das kann man nicht mehr mit der Portokasse einfach begleichen.

Römermann: Sie haben gerade gesagt, vielleicht verschlechtert sich doch an einigen Stellen was. Dann machen wir das konkret. Wo verschlechtert sich denn was für deutsche Verbraucher?

Schaar: Nun, wir haben im Bundesdatenschutzgesetz eine Reihe von Regeln, die sehr genau bestimmen, was zum Beispiel beim Scoring zulässig ist und was nicht zulässig ist. Scoring ist diese Methode der Kreditwürdigkeitsbewertung durch Banken und andere Kreditinstitutionen. Diese konkreten Regelungen fallen erst mal weg. Da ist erst mal ein Vakuum. Das muss dann gefüllt werden durch die Auslegung durch die Gerichte und durch die Datenschutzbehörden.

Römermann: An diesem Kompromiss zum Datenschutzrecht wurde ja wirklich jahrelang gearbeitet und teilweise erbittert gestritten. Was sind denn jetzt die bittersten Pillen, die Datenschützer dort schlucken müssen, wo Sie sagen, "Autsch, das tut auch schon ein bisschen weh?"

Schaar: Ich denke, dass insbesondere bei diesen sogenannten Spezialgesetzen - ich habe ja schon das Telemediengesetz erwähnt - Abstriche zu befürchten sind. Gerade da hatten wir ja relativ strenge Regeln, die dann so bei uns nicht mehr gelten werden in Zukunft in Europa. Aber wie gesagt: Deren Durchsetzbarkeit war ohnehin sehr begrenzt. Und auch in einzelnen anderen Bereichen gibt es Abstriche bei bestimmten Regeln, wo eine besondere Zweckbindung von Daten vorgesehen war, wo diese besondere Zweckbindung einer etwas allgemeineren Formulierung in der europäischen Datenschutzrichtlinie weichen wird, so dass es dann leichter möglich sein wird, diese Daten auch für andere Zwecke, als sie bisher erhoben worden sind, dann zu verwenden.

Römermann: Recht besonders ist jetzt bei der Einigung, dass ich mich als Bürger an meine örtlichen Datenschutzbehörden wenden kann, auch wenn es um Unternehmen geht, die gar nicht hier sitzen bei uns. Wie muss ich mir das vorstellen und werden Ihre Kollegen da begeistert sein, weil die deutschen Datenschutzbehörden sind doch eigentlich auch hoffnungslos unterbesetzt?

Schaar: Ich finde, es ist erst mal vom Ansatz her völlig richtig, dass ich nicht, wenn ich mich gegen einen Datenschutzverstoß in Estland wehre, dann mich in estnischer Sprache an die estnische Datenschutzbeauftragte wenden muss, sondern mich auch an eine deutsche Datenschutzbehörde wenden kann, die dann mit dieser estnischen Datenschutzbehörde kommuniziert. Das ist ein echter Fortschritt und für die Unternehmen, denke ich, ist es auch ein gutes Ergebnis, dass die jetzt einen Ansprechpartner haben, mit dem sie die Datenschutzverhandlungen führen sollen, dass dieser Ansprechpartner sich aber koordinieren muss, diese nationale Datenschutzbehörde, mit den anderen Datenschützern. Da kommt viel Arbeit auf die Datenschutzbehörden zu, ohne Zweifel, und gegebenenfalls müssen da auch zusätzliche Ressourcen hineingesteckt werden. Aber ich denke, das wäre eine gute Investition.

Römermann: Zu wenig Geld für den Datenschutz - Einschätzungen waren das zum neuen EU-Datenschutzrecht von Peter Schaar, dem ehemaligen Bundesdatenschutzbeauftragten. Das Gespräch haben wir vor der Sendung aufgezeichnet.