"Werden Google zur Rechenschaft ziehen"

FUTUREZONE: Herr Hustinx, welche Themen brennen Ihnen unter den Nägeln?

Für mich zentral sind es fünf Bereiche, wobei jeder einzelne viele wichtige Themen enthält. Meine erste Priorität besteht darin, dass wird die bestehenden Regeln besser durchsetzen, und das sowohl auf europäischer wie nationaler Ebene. Die zweite ist, dass wir unseren Rechtsrahmen überprüfen, aktualisieren und modernisieren müssen, damit er in einer sich verändernden Welt effektiver greift.

Der dritte Bereich ist die digitale Agenda, also E-Commerce, E-Health, wobei E-Privacy eine zentrale Rolle spielt. E-Privacy ist viertens eng mit dem Stockholm-Programm verknüpft. Dabei geht es darum, die Zusammenarbeit von Justiz und Polizei zu verstärken und den Informationsaustausch zu erhöhen, und das zusammen mit einem besseren Datenschutz in diesem Bereich. Schließlich geht es fünftens um internationale, speziell transatlantische Fragen.

Fangen wir mit den transatlantischen Themen an. Glauben Sie, dass das Safe-Harbor-Abkommen, das Europäern bei US-Unternehmen einen angemessenen Datenschutz ermöglichen soll, ausreicht, um die gegenwärtigen Datenschutzprobleme mit US-Unternehmen wie Google und Facebook in den Griff zu bekommen?

Das Safe-Harbor-Abkommen war ein guter Start, aber es reicht nicht aus. Als es vor zehn Jahren unterzeichnet wurde, war es eine sehr kreative Lösung, um die sehr verschiedenen Ansätze in der Europäischen Union und den USA zu überbrücken. Es ist erfolgreich, da bislang etwa 3.000 US-Unternehmen die Prinzipien des Safe Harbors anerkannt haben.

Futurezone: Die Unternehmen verpflichten sich, einen angemessenen Datenschutzstandard zu gewährleisten. Nach US-Gesetz müssen sie dieser Selbstverpflichtung nachkommen, ansonsten können sie von US-Gerichten zu Geldbußen verurteilt werden. Von europäischen Gerichten werden sie nicht belangt. Es scheint der berüchtigten Galexia-Studie zufolge aber so zu sein, dass europäische Bürger ihre Rechte nicht durchsetzen können und dass die bestehenden Sanktionsmöglichkeiten nicht effektiv sind. Wie kann das verbessert werden?

Die Galexia-Studie ist ein Beweis dafür, dass noch viel mehr Verbesserungen notwendig sind, um die Lücke zwischen der EU und den USA zu schließen. Die USA entwickeln sich sehr schnell. Es gibt starke Anzeichen dafür, dass dort der Datenschutz im privaten Bereich verbessert werden soll. Aber es gibt noch keine entsprechenden Gesetze.

Was bedeutet das für die EU?

Mit der Modernisierung unseres Rechtsrahmens werden wir Facebook und Google ansprechen. Wir werden die Mechanismen verstärken, um Google und Facebook zur Rechenschaft ziehen zu können. Die Verantwortlichkeit muss verstärkt werden. Dabei müssen wir schon im Vorfeld pro-aktiv dafür sorgen, dass die Dinge richtig laufen. Ich bin zuversichtlich, dass wir schon in etwa zwei oder drei Jahren große Verbesserungen erleben werden.

Die EU verhandelt mit den USA ein neues Datenschutzabkommen für den Transfer von Passagier- und Bankdaten aus. Es scheint jedoch so zu sein, dass der Antrittsbesuch von Justizkommissarin Viviane Reding in Washington nicht unbedingt erfolgreich war.

Es gibt kein Treffen, an dem bereits alles gesagt wäre. Die Verhandlungen werden in den nächsten ein, zwei Jahren laufen - vor dem schwierigen Hintergrund von SWIFT, dem Abkommen zur Weitergaben von Bankdaten, und dem Abkommen für die Weitergabe der Flugpassagierdaten. Reding hat bei ihrem Besuch starke Signale gesetzt und wir haben den Eindruck, dass die Leute in Washington besser zuhören als früher. Ich selbst werde in zwei Monaten nach Washington reisen, um die Verhandlungen und weitere Entwicklungen in den USA zu unterstützen.

Wie stehen denn die Chancen, dass die Europäer ihre Datenschutzstandards in den USA, in Australien und Kanada durchsetzen können?

Australien und Kanada spielen in einer anderen Liga, da es dort bereits Datenschutzbeauftragte gibt - und einen entsprechenden Rechtsrahmen. Die USA wollen nun so etwas bei sich einrichten. Aber wir wollen auch mit einem Datenschutzabkommen für den Transfer von Daten in Drittstaaten international einen europäischen Standard setzen. Immer mehr Drittstaaten wie jetzt etwa Korea und Indien wollen Flugpassagierdaten auswerten. Das scheint nun eine Art Mode zu sein.

Es ist daher wichtig, sich das Ziel des Ganzen vor Augen zu führen: Warum brauchen wir die Daten? Müssen wir, um das Ziel zu erreichen, die Daten von allen sammeln oder nur von denen, die wir im Fokus haben? Wenn über das Ziel entschieden ist, kann man über das Ausmaß und zeitliche Beschränkungen entscheiden.

Wie kann man denn verhindern, dass beispielsweise Flugpassagierdaten zur Risikoabschätzung oder für Profiling-Zwecke verwendet werden, was ja das Sammeln in großem Maßstab erfordern würde?

Wenn das Profiling in einer exzessiven Vorratsdatenspeicherung endet, ist das nicht annehmbar. Für uns ist das ein sehr kritisches Thema. Ich weiß noch nicht, wie sich das verhindern ließe. Aber es ist enorm wichtig, dass wir uns darüber im Klaren sind, warum wir die Daten brauchen. Wir brauchen sie nicht, weil das auf der ganzen Welt gerade eine Modeerscheinung ist. Denn die Sache berührt grundlegende Freiheitsrechte wie etwa die Bewegungsfreiheit.

Futurezone: Was halten Sie davon, dass die deutschen Datenschützer nun gegen die Verwendung des Webseiten-Statistikwerkkzeugs " Google Analytics" vorgehen wollen? Google behauptet ja, dass Google Analytics mit europäischem Recht in Einklang stünde. Stimmt das?

Dazu habe ich noch keine Position. Letztlich geht es hier darum, ob es sich hier um personenbezogene oder um nicht-personenbezogene Daten handelt, die von den Besuchern der Websites erhoben werden. Das soll überprüft werden.

Es geht hier ja auch um die Frage, ob IP-Adressen personenbeziehbare Daten sind.

Das ist irgendwie eine klassische Fragestellung. Meine Antwort darauf ist: Es kommt darauf an. IP-Adressen können auf Personen und Organisationen bezogen werden, sie können für eine ganz individuelle Ansprache genutzt werden. Aber das muss nicht unbedingt so sein.

Was kann in Sachen verhaltensbasierte Werbung getan werden? Wenn Werbung also basierend auf dem Verhalten der Nutzer gezielt auf ihre mutmaßlichen Interessen zugeschnitten wird.

Wenn Individuen, deren Name, Adresse und Geburtsdatum ich nicht kenne, entsprechend ihren Interessen bewertet werden, haben wir es nach EU-Recht mit Personendaten zu tun. Für diese Position wächst in den USA das Verständnis. Die zuständige Wettbewerbsbehörde FTC spricht von Informationen, die auf Einzelne eine direkte Wirkung zeigt.

Die verhaltensbasierte Werbung hat eine geheime Dimension, die über den gesunden Menschenverstand hinausgeht und Menschen, die sich damit nicht professionell befassen, nur schwer zu vermitteln ist. Letztlich gibt es zwei Botschaften. Die eine lautet: Ich werde manipuliert. Die andere lautet: Wenn ich nur noch die Informationen sehe, die mich interessieren, kann das für mich angenehm sein. Wir müssen sicherstellen, dass es angenehm bleibt, relevante Informationen zu erhalten. Die einzige Sicherheitsmaßnahme, über die wir zurzeit verfügen, ist die Cookie-Regelung.

Das Parlament möchte ja nun darüber hinaus die Bürger schützen, etwa über Warnhinweise. Wie finden Sie das?

Die ePrivacy-Richtlinie sieht vor, dass der Nutzer informiert wird, bevor seine Daten genutzt werden, und in einem zweiten Schritt aktiv eine Einwilligung erteilt. Diese Einwilligung ist kein Opt-Out. Die Richtlinie muss jetzt in den Mitgliedstaaten umgesetzt werden, aber die Industrie versucht immer noch dagegen vorzugehen.

Das ist meiner Meinung nach eine Reaktion, die der heutigen Zeit nicht mehr angemessen ist. Internet-Kommissarin Neelie Kroes versucht nun einen Verhaltenskodex mit der Industrie zu vereinbaren und damit der Selbstregulierung eine Chance zu geben. Aber dieser Kodex muss in Einklang mit der verabschiedeten Richtlinienänderung stehen.

Im März letzten Jahres haben Sie eindringlich vor ACTA gewarnt und die Kommission kritisiert, dass sie Sie nicht ausführlich über die Inhalte des Abkommens informiert hatte. Was halten Sie nun von den Verhandlungsergebnissen?

Das ACTA-Abkommen liegt auf dem Tisch. Meine kritischen Anmerkungen hatten das Ziel, die Kommission in die Öffentlichkeit zu zwingen. Was wir damals wussten, war ziemlich beunruhigend. Diese Sorgen wurden nun berücksichtigt.

Wo sehen Sie jetzt noch Probleme?

In vielen Teilen des Abkommens wird davon ausgegangen, dass das Internet überwacht wird. Wir sollen sehr wachsam sein, dass das Internet am Ende nicht noch in einem größeren Ausmaß überwacht wird. Ich bin mir des möglichen Missbrauchs von Urheber- und Markenrechten durchaus bewusst. Doch diesen Missbrauch zu verhindern, erfordert keine strukturelle Überwachung, wie ACTA sie implizit verlangt. Da ACTA diese Überwachung jedoch nicht zwingend verlangt, können wir auf rechtliche Vorkehrungen drängen, die eine Überwachung in einem akzeptablen Rahmen ermöglicht.

Die europäische IT-Sicherheitsbehörde ENISA soll künftig Statistiken über Gefährdungen der IT-Sicherheit erstellen. Wie sorgen Sie dafür, dass die Erstellung dieser Statistiken nicht in die Privatsphäre von Bürgern eingreift?

Wir werden mit ähnlichen Fragen zu tun haben wie auch bei Google Analytics und ähnlichen Werkzeugen. ENISA als Behörde muss sich an die Regeln halten. Wir werden kontrollieren, ob dies der Fall ist. Bislang wissen wir jedoch nichts darüber, dass sie bereits an der Erstellung dieser Statistiken arbeitet.

Herr Hustinx, vielen Dank für das Gespräch.

(Christiane Schulzki-Haddouti)