„Ich hoffe, dass wir nicht baden gehen“

com! professional: Nach dem Urteil des EuGH ist eine Übermittlung personenbezogener Daten an US-Dienstleister auf Basis von Safe Harbor nicht mehr möglich. Gibt es Alternativen?

Thomas Kranig: Die EU-Kommission ging damals bei der Safe-Harbor-Entscheidung ja davon aus, dass Unternehmen in den USA unter bestimmten Voraussetzungen ein angemessenes Datenschutzniveau bieten. Nach dem Urteil des EuGH fehlt dieser Annahme aber die Rechtsgrundlage. Wenn man nun die Kriterien des EuGH für andere Vereinbarungen, etwa die Standardverträge heranziehen müsste, dann weiß ich nicht, was ich derzeit empfehlen sollte.

com! professional: Was bedeutet das für die Aufsichtsbehörden?

Kranig: Wir müssen gründlicher prüfen und schärfer kontrol­lieren und darüber hinaus eine europaweit einheitliche Linie finden. Da glühen die Drähte und die Sitzungen jagen sich. Bis Ende Januar wollen sich alle deutschen und europäischen Aufsichtsbehörden darauf verständigen, wie es weitergeht. Bis dahin werden wir keine hoheitlichen Maßnahmen erlassen.

Kranig: Ich finde es grundsätzlich gut, dass es nun eine einheitliche europäische Regelung gibt. Jeder hätte sich natürlich mehr gewünscht, die Datenschützer mehr klare Grenzen, die Wirtschaft mehr Freiheit. Es ist eine Grundverordnung, und das merkt man an allen Ecken und Enden. Wir und auch die Unternehmen müssen sich in den kommenden Jahren intensiv Gedanken darüber machen, wie diese auszulegen ist. Viele mehr oder weniger geliebte Detailregelungen, die wir in Deutschland haben, werden wegfallen. Wir werden uns für die Werbung, die Videoüberwachung und andere Bereiche ganz neu Gedanken machen müssen, nicht nur für Deutschland, sondern für ganz Europa. Da kann es sich schon herausstellen, dass wir manche Standards zurückschrauben müssen.

Kranig: Wir müssen auf jeden Fall zu europaweit geltenden Standards kommen. Dass das nicht einfach wird, liegt auf der Hand. Nehmen Sie die Videoüberwachung, die bei uns sehr kritisch gesehen wird. In London dagegen können Sie wahrscheinlich keinen Schritt aus der Tür tun, ohne von einer Kamera erfasst zu werden. Das stört dort aber niemanden.

Kranig: Es wird den Europäischen Datenschutzausschuss geben, in dem alle Aufsichtsbehörden Europas vertreten sind. Der Ausschuss hat Entscheidungskompetenz – das ist neu in der Grundverordnung – und kann Vollzugsregelungen festklopfen. Das ist gut und sinnvoll, aber es wird dauern, bis wir da festen Boden unter den Füßen haben. Bis dahin werden wir alle ein gewaltiges Stück schwimmen und hoffentlich nicht baden gehen.

Kranig: Ja, die Unternehmen stehen nach wie vor in der Verantwortung. Sie müssen es richtig machen. Bisher konnte ich ihnen im Brustton der Überzeugung genau erklären, wie das geht. Jetzt kann ich nur noch sagen, so sehe ich das, aber ich muss mich mit den anderen abstimmen. Das ist eine Phase der Un­sicherheit, die uns noch eine Zeitlang beschäftigen wird.

Kranig: Die Grundverordnung soll im März oder April in den 22 Amtssprachen der EU im Amtsblatt veröffentlicht werden. Dann beginnt eine zweijährige Übergangsphase, bis sie in Kraft tritt.

Kranig: Die Möglichkeiten, Verstöße durchgehen zu lassen, sind deutlich beschränkt. Bisher galt das Opportunitätsprinzip, wir konnten relativ frei entscheiden, was wir ahnden. Es ging uns mehr darum, präventiv beratend tätig zu sein. In Zukunft sind wir verpflichtet, Sanktionen zu verhängen, wenn wir einen Verstoß feststellen – und die wurden teils drastisch erhöht. Außerdem wird sich die Koordination der Aufsichtsbehörden in Deutschland und in Europa wesentlich verstärken. Wir müssen versuchen, gemeinsam zu Ergebnissen zu kommen, und dürfen nicht mehr unsere Einzelmeinung vor uns hertragen, wie es bisher gelegentlich geschah.