"Wiener Zeitung": Welche Schlussfolgerungen ziehen Sie nach der Datenleck-Affäre von Facebook und Cambridge Analytica, bei der die Daten von rund 50 Millionen Facebook-Nutzern abgeschöpft wurden?

Viktor Mayer-Schönberger: Bisher hat man immer versucht, den Datenschutz dadurch zu gewährleisten, dass Betroffene das Recht haben, der Verwendung ihrer Daten zu einem bestimmten Zweck zuzustimmen, Auskunft verlangen zu können, das Recht auf Löschung ihres Datensatzes haben, und so weiter. Wir haben gedacht, dass die Betroffenen der beste Weg sind, um den Datenschutz durchzusetzen. Allerdings zeigt sich, dass - wenn man nicht gerade Max Schrems heißt, der seit 2011 mit Facebook im Clinch liegt - man sich als Einzelner gegen die großen Datenkraken kaum zur Wehr setzen kann.

Google- oder Facebook-Vertreter würden nun darauf folgendes Antworten: Die User haben mit uns einen Deal, sie bekommen gratis die Services - Google Maps, die Dienste sozialer Netzwerke, etc. -, dafür bekommen wir die Userdaten.

Für viele Menschen mag das ein fairer Deal sein. Genauso wie es für verzweifelte Menschen okay ist, ihre Niere zu verkaufen. Und trotzdem verbietet unsere Rechtsordnung, dass Menschen ihre Organe an den Meistbietenden verkaufen. Was ich damit sagen will: Es gibt in unserer Rechtsordnung gewisse Verbote, die unabhängig von der Zustimmung der Betroffenen sind. Weil wir eben glauben, dass es eine über den Betroffenen hinaus gehendes schützenswertes Gut gibt - wie etwa die Unversehrtheit des Menschen. Und genauso ist eine verantwortungsbewusste Verarbeitung personenbezogener Daten zu sehen.

Welche Bedeutung kommt in diesem Zusammenhang der EU-Datenschutz-Grundverordnung zu, die am 25. Mai in Kraft tritt?

Sie ist ein halber Schritt vorwärts. Indem sie etwa die Individualrechte weiterhin betont und auf der anderen Seite die Verantwortlichkeit der Datenkraken der Datenverarbeiter in den Vordergrund rückt - und zum Beispiel massive Strafen vorgesehen sind. Die europaweite Harmonisierung von Datenschutzregeln ist eine weitere Errungenschaft.

Warum also nur ein halber Schritt vorwärts?

Weil die Individualrechte nach wie vor eine große Rolle einnehmen. Lange Zeit hat man gedacht, solange die Datenkraken verpflichtet sind, auch Datensicherheitsmängel und andere Probleme transparent zu machen und solange man die Betroffenen über das Missverhalten der Datenkraken informiert, werden die User es den Anbietern untersagen, dass ihre personenbezogenen Daten verwendet werden. Aber folgendes Paradox ist immer wieder zutagegetreten: Nämlich, dass die Menschen zwar abstrakt immer mehr Datenschutz verlangen, aber in der konkreten Situation dann einfach auf den "OK"-Button drücken, um Zugang zu bestimmten Datenservices zu bekommen, ohne weiter nachzudenken. Oft fehlen die Alternativen. Und die Verhandlungsmöglichkeiten. Niemand kann sich mit Facebook an einen Verhandlungstisch setzen und darüber diskutieren, ob man die Klausel fünf der Nutzer-Vereinbarung streichen und durch eine andere Vereinbarung ersetzen kann. Entweder ich akzeptiere die Nutzervereinbarung oder ich nutze die Dienste eben nicht. Daher muss der Gesetzgeber eine gewisse verantwortungslose Verwendung von personenbezogenen Daten verbieten - ganz unabhängig davon, ob die Betroffenen zustimmen oder nicht.

Was soll der Einzelne nun tun? Soll man seinen digitalen Fußabdruck minimieren, soll man seinen Facebook-Account löschen?

Es wäre falsch, sich in eine digitale Enthaltsamkeit zu begeben. Denn schließlich bieten die digitalen Werkzeuge ja viele Vorteile. Wichtig ist, aus den unterschiedlichen Angeboten jenes auszuwählen, dass mir einerseits das richtige Datenschutzniveau und gleichzeitig die für mich passende Dienstleistung bietet.