Gemeinsam gegen die „Großen“

Europas Behörden sollen künftig gemeinsam entscheiden, wenn Facebook und Co. den Datenschutz verletzen. Doch die neue EU-Verordnung habe Lücken und ermögliche zu viele Ausnahmen, kritisiert die Vizedirektorin des Europäischen Verbraucherverbandes, Ursula Pachl.

Seit dem 25. Mai gelten europaweit neue, strengere Regeln für den Datenschutz. Demnach brauchen Firmen das Einverständnis der Kunden, um Daten weiter sammeln zu dürfen, zudem müssen sie erklären, wofür sie die Kundeninformationen verwenden. Die Umsetzung der neuen Richtlinie hätte hierzulande besser vonstatten gehen können, sagt Pachl, dennoch sei die gesetzliche Harmonisierung ein Schritt in die richtige Richtung: Sie ermögliche einen europaweiten Schulterschluss im Fall von Datenschutzverletzungen.

science.ORF.at: Das Inkrafttreten der DSGVO vor rund zwei Wochen führte bei vielen zu einer Flut an E-Mails. Wie viele haben Sie bekommen?

Ursula Pachl: Viele, mit den unterschiedlichsten Versuchen, mein Einverständnis zu bekommen, damit man mir weiterhin Informationen, Angebote usw. schicken darf. Es ist erstaunlich, welche Wellen dieses Gesetz geschlagen hat. Das passiert bei Gesetzesänderungen eher selten.

Wie haben Sie als Expertin für Konsumentenschutz auf diese E-Mails und Newsletter reagiert?

Ursula Pachl:Ich habe sie in einen Ordner gegeben, um sie später anzusehen. Ich muss gestehen, viele von diesen Newslettern sind bis heute in diesem Ordner. Bei manchen wusste ich nicht einmal noch, was ich mit der jeweiligen Firma zu tun hatte. Man sieht daran sehr gut, wie oft man in Verzeichnissen steht, von denen man nichts mehr weiß.

Man wusste schon länger, dass die DSGVO kommen wird. Hätte man diese Flut nicht vermeiden können?

Ursula Pachl: Ja, die Wirtschaft hatte zwei Jahre Zeit, sich auf die Gesetzesänderung vorzubereiten. Für manche Verbraucher war diese Informationsflut bestimmt zu viel des Guten, was letztlich dazu führte, dass sich viele nicht die Zeit nehmen konnten, sich in Ruhe mit dem Inhalt der jeweiligen Datenschutzbestimmungen auseinanderzusetzen.

Sie haben einmal gesagt, Sie verstehen sich als Lobbyistin für Verbraucherinteressen - wie wissen Sie, was Konsumenten wollen?

Ursula Pachl: Wir bekommen von unseren nationalen Mitgliedsorganisationen in den jeweiligen Mitgliedstaaten die Berichte über Beschwerden und Anliegen der Verbraucher. In Österreich sind das der Verein für Konsumenteninformation und die Arbeiterkammer. Daraus formulieren wir dann unsere offizielle Position, die wir in den Europäischen Entscheidungsprozess einbringen.

Antonio García Martínez, der Facebooks Ad-Targeting-System mit aufgebaut hat, behauptete, dass die Mehrheit der Menschen gar kein Interesse an Privatsphäre hätte. Sehen Sie das auch so?

Ursula Pachl: Es wird zwar oft gesagt, aber ich glaube das nicht. Ich denke, die meisten haben noch nicht wirklich verstanden, was es überhaupt bedeutet, dass unsere Daten ständig gesammelt und daraus ökonomisch verwertbare Informationen generiert werden. Egal ob beim Online-Banking, beim Einkaufen oder bloß beim Surfen im Netz: Wir hinterlassen eine lange Datenspur, die uns selbst zur Ware macht. Denn entweder werden die Daten dafür verwendet, um besser Werbung zu schalten oder sie werden an sogenannte Data-Broker verkauft, die sie dann wiederum an andere verkaufen. Hier sind wir noch nicht so weit, die ganze Dimension dieser ständigen kommerziellen Beobachtung zu verstehen. Ich denke, viele werden sich erst jetzt darüber bewusst, wohin ihre Daten fließen und wofür sie gesammelt werden. Auch Fälle wie der „Cambridge Analytica“-Skandal machen den Ernst der Lage deutlich.

Abgesehen von der E-Mail-Flut wird man nun auch auf jeder Webseite, diversen Sozialen Medien sowie Apps um eine Einverständniserklärung hinsichtlich der Datenschutzbestimmungen gebeten. Ein OK, das man in vielen Fällen geben muss, sofern man weiterhin die angebotenen Dienste nutzen will. Ist dieser Zwang denn rechtens oder im Sinne der EU-Verordnung?

Ursula Pachl: Das ist in der Verordnung nicht ganz klar gelöst. Die Frage ist, ob Firmen oder Organisationen gezwungen werden können, ihren Dienst auch dann noch anzubieten, wenn ein Verbraucher sagt, ich gebe meine personenbezogenen Daten nicht mehr oder nur mehr eingeschränkt her, möchte aber trotzdem auf der Webseite weiterlesen, Nachrichten schreiben etc. Wir sind der Meinung, dass das dem Geist der Verordnung entspräche und die einschlägigen Regeln dementsprechend zu lesen sind. Noch gibt es aber keine Entscheidung dazu.

Dann stellt sich derzeit aber die Frage, was sich wirklich für den Konsumenten geändert hat? Man weiß zwar über die Praktiken der Firmen Bescheid, richtige Kontrolle über seine Daten hat man aber zum Teil noch immer nicht.

Ursula Pachl: Nun, dem Nutzer stehen schon wesentlich mehr klar formulierte Rechte zu als zuvor. Möchte man etwa kein WhatsApp mehr haben, muss es möglich sein, seine ganzen Inhalte mitzunehmen. Man kann auch verlangen, dass alle Daten gelöscht werden. Diese Rechte sind nun viel stärker und klarer formuliert. Wenn man das weiß und seine Rechte entsprechend in Anspruch nimmt, kann man sicher davon profitieren.

In Bezug auf Österreich wurde allerdings immer wieder Kritik laut. Wie gut sind die Verbraucher hier tatsächlich geschützt? Immerhin wurden zahlreiche Ausnahmen formuliert. Zudem soll im Falle einer Datenschutzrechtsverletzung vorrangig abgemahnt werden und dann erst bestraft.

Ursula Pachl: Eine der Schwachstellen dieser Verordnung ist es sicher, dass den Mitgliedstaaten viele Ausnahmen ermöglicht werden. Das sehen wir sehr kritisch. So konnten die Mitgliedstaaten etwa entscheiden, ob sie Verbraucherorganisationen das Recht geben, auch ohne konkretes Mandat im kollektiven Interesse der Verbraucher Beschwerden einzubringen bzw. vor Gericht zu gehen. Also, wenn sie selbst einen Rechtsverstoß beobachten. Das haben leider fast alle Länder abgelehnt - auch Österreich. Hier hat die Verordnung sicher eine Lücke, die problematisch ist.

Zudem wäre es tatsächlich problematisch, wenn Unternehmen und Organisationen bei einem Verstoß immer zuerst abgemahnt werden würden und keine Sanktion fürchten müssten. Man muss sich nur vorstellen, dass es eine Verletzung wie im Falle von Cambridge Analytica gibt. Hier bloß abzumahnen, kann nicht sein. Datenschutzbehörden müssen die Möglichkeit haben, im konkreten Fall zu entscheiden, ob eine Geldstrafe angemessen erscheint oder eine Abmahnung das richtigere Mittel ist.

Wie sehen Sie Ihre Aufgabe nun im Hinblick auf die neue Verordnung? Hat sich für den Verbraucherschutz etwas geändert?

Ursula Pachl: Wir überlegen uns, was wir tun können, damit die DSGVO ein Erfolg wird. Wir planen etwa gerade eine App, wo sich die Verbraucher schnell über ihre Rechte informieren können, wo sie eine Anleitung finden, wie man eine Beschwerde an eine Datenschutzbehörde schreiben kann. Wir diskutieren aber auch, wie man als Verbraucherverband diese Rechte durchsetzen kann.

Es gibt nämlich nun zum ersten Mal ein konkretes Verfahren, wonach die nationalen Datenschutzbehörden zusammenarbeiten müssen, wenn eine Datenschutzverletzung ein europäisches Ausmaß annimmt. Man muss hier nicht lange überlegen, um zu sehen, dass die Datenschutzpraktiken von Facebook, Google und Co. diese Voraussetzung erfüllen. Ein solches Werkzeug ist wichtig, damit hier Europa künftig auch eine einheitliche Antwort gegeben wird, wenn die sogenannten „Großen“ die Daten ihrer Nutzer rechtswidrig verwenden.

Ruth Hutsteiner, Ö1-Wissenschaft

