Warum sich Datenschutzaktivist MAX SCHREMS über Milliardenstrafen gegen Techkonzerne nur bedingt freut, was fünf Jahre DSGVO bewirkt haben, und was er mit seinen 35 Jahren noch erreichen möchte.
Sie waren hauptverantwortlich dafür, dass große US-Tech-Konzerne wie Meta, Spotify und andere zu riesigen Geldstrafen verdonnert wurden. Über welchen Erfolg haben Sie sich am meisten gefreut?
Erfolg ist leider relativ. Von mehr als 800 Fällen werden 95 Prozent von den Behörden einfach nicht bearbeitet. Unsere Hauptarbeit besteht also darin, diesen Behörden dauernd auf die Füße zu steigen. Selbst dort, wo wir erfolgreich sind, wie zuletzt bei Meta, gehen die Unternehmen alle in Berufung. Das kann dann noch Jahre dauern. Deshalb hält sich die Freude auch über gewonnene Verfahren in Grenzen.
Stimmt es, dass bislang nur neun Prozent Ihrer Fälle gewonnen wurden?
Ja, weil der Großteil nicht bearbeitet wurde. Aber dafür haben wir auch keine Fälle verloren. Viele Fälle enden mit Einstellungen. Aber, wie gesagt, der Großteil wird nicht bearbeitet wie etwa in Irland, wo 3.000 bis 4.000 Fälle anhängig sind, aber pro Jahr nur sechs bis sieben davon entschieden werden.
Sieht man Ihre Erfolge dann wenigstens darin, dass die Konzerne ihre Geschäftsmodelle adaptieren?
Die großen Unternehmen sicher nicht. Die Heldengeschichte ist ein bisschen schwierig (lacht). Die meisten Unternehmen sehen, es gibt trotz DSGVO ohnehin keine Konsequenz, also warum sollen sie etwas ändern? Alle wissen von der Nicht- Durchsetzungskultur im Datenschutz. Die gibt es sonst in keinem anderen Rechtsbereich. Und manchen Unternehmen tun die - am Umsatz gemessenen Strafen - ohnehin nicht weh.
Das gilt für ganz Europa?
Grundsätzlich ja. Besonders schlimm ist es aber in Irland. Aber auch in Österreich haben wir kaum Strafverfahren.
Warum funktioniert die Durchsetzung nicht?
Es ist eine Kulturfrage, an fehlenden Mitteln liegt es nicht. Jedenfalls gibt es keine Korrelation zwischen Mitteln und Durchsetzung. Das Budget der deutschen Datenschutzbehörde liegt bei 100 Millionen Euro, aber der Output ist sehr bescheiden. Anders verhält es sich in Österreich, wo die Datenschutzbehörde sicher mehr Personal vertragen würde.
Was muss passieren, um die Kultur zu ändern?
Gute Frage. Ein Problem dabei ist sicher, dass die Behörden oft von den Gerichten gedeckt werden, damit die diese Fälle nicht weiter bearbeiten müssen. Außerdem sind die Beschwerden alle kostenfrei, das bedeutet, das Beschwerdevolumen ist sehr hoch. In Österreich werden jährlich 1.600 Beschwerden eingebracht -das muss man erst einmal abarbeiten. Übrigens gibt es auch Anwälte, die Vorträge darüber halten, wie Unternehmen Verfahren so in die Länge ziehen können, dass nichts dabei rauskommt. Und manche spammen die Behörden und Gerichte mit überlangen Eingaben regelrecht zu.
Das klingt nicht so, als hätten Sie einen Grund, fünf Jahre DSGVO zu feiern?
Aus unserer Sicht nicht, wobei das Gesetz selbst gar nicht so schlecht ist. Vermutlich dauert es halt, bis sich die Standards durchsetzen. In unserem Job muss man eben geduldig sein.
Funktioniert die Durchsetzung vielleicht auch deshalb nicht, weil sich die Leute gar nicht so daran stören, dass mit ihren Daten Missbrauch betrieben wird?
Als Normalbürger muss ich mich auch nicht um alle Details des Gesetzes kümmern. Dafür habe ich ja eine Behörde, die sich auskennen sollte. Dazu kommt: Normalbürger merken oft nicht, wenn und wo etwas Illegales mit ihren Daten passiert. Das ist halt anders als im Umweltschutz, wo man tote Fische herzeigen kann.
Wenn das so ein Kampf gegen Windmühlen ist, was treibt Sie dann noch an?
Grundrechte zu erkämpfen, braucht Zeit. Und wir sehen schon, dass unser Druck Bewegung in das Thema bringt. Aber es ist schon frustrierend, dass gut dotierte staatliche Stellen ihre Arbeit nicht machen. Gleichzeitig müssen wir um jeden Euro Spendengeld betteln, um den Betrieb aufrecht zu erhalten.
Sehen Sie noch gesetzlichen Reformbedarf?
Nur punktuell. Die EU arbeitet aktuell an einem europäischen Verfahrensrecht, das hilfreich sein könnte. Außerdem gibt es ab Sommer die Möglichkeit einer europäischen Sammelklage, die für uns auch interessant sein könnte.
Lässt sich die Macht der großen Techkonzerne mithilfe des Steuerrechts brechen?
In Europa bekommen Unternehmen vor allem in Irland und Luxemburg Steuerbenefits. Natürlich wären hier einheitliche Standards wünschenswert, es sieht aber nicht so aus, als hätte die EU ein großes Interesse daran.
Wie haben österreichische Unternehmen auf die DSGVO reagiert?
Es gibt in Österreich Unternehmen mit hoher Compliance-Kultur wie Banken oder im Telekom-Bereich, dann gibt es die, die die DSGVO komplett ignorieren, weil sie zu klein sind, und dann gibt es eine Reihe von Unternehmen, die unter der DSGVO gar nicht mehr arbeiten dürften, wie etwa manche Kreditauskunfteien. Eines unserer größten Verfahren in Österreich richtet sich deshalb auch gegen eine Kreditauskunftei, die auf absurde Weise zu ihren Daten kommt.
Was erwarten Sie aus datenschutzrechtlicher Sicht vom verstärkten Einsatz von KI?
Die DSGVO deckt die KI aktuell nicht ab. Kann sein, dass uns das Thema in Zukunft stärker beschäftigen wird, aktuell aber noch nicht.
Hat es eigentlich jemals Versuche von Unternehmen gegeben, Sie abzuwerben?
Nein, die Unternehmen wissen schon, wen sie abwerben können und wen nicht. Was aber schon passiert ist, dass wir aus der Anwaltei auch untergriffig attackiert werden. Ich habe eine dicke Haut, aber manche Angriffe gehen echt zu weit, etwa wenn man uns Nazi- Methoden unterstellt.
Ihr Budget beträgt ja rund eine Million Euro und Sie beschäftigen bei NOYB 20 Leute -wie geht sich das aus?
Es geht sich aus. Meine Arbeit für den Verein ist ja ehrenamtlich, ich bekomme nichts bezahlt. Der Großteil unserer Finanzierung erfolgt über Mitglieder. Auch über Stiftungen kommen Finanzierungen rein. Die Geldbußen, die wir erstreiten, landen aber nicht bei uns, sondern gehen an den jeweiligen Staat. Das wird oft falsch verstanden.
Wovon leben Sie dann?
Ich brauche nicht viel Geld. Ich habe kein Auto und keine Kinder. Aber ich halte gelegentlich gegen Entgelt Vorträge und besitze zwei Wohnungen, die ich vermiete.
Machen Sie die Klagen alle selbst, oder arbeiten Sie mit Anwälten zusammen?
Wir arbeiten oft mit Anwälten zusammen, das ist aber von Land zu Land unterschiedlich. Oft ist es schwierig, Anwälte zu finden, die das nötige juristische und technische Know-how dafür haben. In Österreich gehen wir zum Bundesverwaltungsgericht selbst. Da zahlt man nur 30 Euro Einreichgebühr. In Irland sind es dagegen 100.000 Euro pro Eingabe. Dort arbeiten die Anwälte aber auf Erfolgsbasis. Ein großes Problem für uns ist jedenfalls, dass man in den meisten Ländern in Verwaltungsverfahren, selbst wenn man gewinnt, die Kosten nicht zurückbekommt.
Gibt es für Sie ein bestimmtes Ziel, wo Sie im Datenschutz noch hinwollen?
Persönlich möchte ich den Verein so weit bringen, dass er selbstständig läuft, was schwierig genug ist, weil man sehr schwer geeignete Leute findet. Und insgesamt ist das schon ein Job für gute Nerven.
Aber könnten Sie in einem Unternehmen nicht vielleicht sogar mehr für den Datenschutz bewirken?
Das glaube ich nicht. Bei uns bewerben sich viele Datenschutzrechtsexperten aus Unternehmen, weil sie dort gerade nichts weiterbringen.
ZUR PERSON
Max Schrems ist ein Jurist aus Salzburg, der sich dem Datenschutz verschrieben hat. Er wurde der Öffentlichkeit wegen Klagen gegen US-Tech-Konzerne wie Facebook, Apple oder Spotify bekannt. 2015 brachte er das sogenannte Safe-Harbor-Abkommen vor dem EuGH zu Fall. 2017 gründete er den Verein NOYB (None Of Your Business), der auch gegen Datenschutzverletzungen vorgeht.
Das Interview ist der trend. PREMIUM Ausgabe vom 23.6.2023 entnommen.