ZEIT: Über die Datenschutzverordnung wird meistens nur im Zusammenhang mit den Internetkonzernen Facebook und Google diskutiert. Dabei ist ihr Geltungsbereich viel umfassender. Sie ist, wenn man so will, die Geschäftsgrundlage für die Datenverarbeitung in der gesamten Wirtschaft. Warum kreist die Debatte immer nur um wenige US-Konzerne?

Albrecht: Sie handeln nach einer Rechtsordnung, die nicht unsere ist.

ZEIT: Was heißt das?

Albrecht: In den USA gibt es keinen Datenschutz für Verbraucher, wie wir ihn kennen. Dort sind es vor allem Selbstverpflichtungen und Wettbewerbsregeln. Deshalb versuchen US-Unternehmen alles, um hiesige Datenschutzgesetze auszuhöhlen. Google, Facebook und Microsoft gründen Organisationen und Verbände, die für ihre Ziele lobbyieren. Ich habe Leute von großen Anwaltskanzleien getroffen, die mir sagen: Bei ihnen arbeiteten sieben, acht Anwälte nur an der Datenschutzverordnung. Bezahlt würden sie von Internetkonzernen. Google sichert sich die Dienste von Anwälten, die sich auf IT und Datenschutz spezialisiert haben. Und, und, und.

ZEIT: Im Vergleich zu Google und Facebook sind die Deutsche Bank, der Handelskonzern Metro oder der Pharmakonzern Bayer in Sachen Datenverarbeitung ganz harmlos?

Albrecht: Nein, überhaupt nicht. Google und Facebook machen nur exemplarisch klar, wie schwer es ist, dieses Problem zu lösen. Es beginnt aber hier vor der Haustür. Zuletzt wurde der Verlust von 1,5 Millionen Kundendaten der belgischen Bahn bekannt, darunter vieler deutscher Kunden. Wer will, kann jetzt im Internet nachschauen, wo sich meine Wohnung in Brüssel befindet, weil ich mal ein Ticket für den Thalys gekauft habe.

ZEIT: Wie groß ist denn das wirtschaftliche Potenzial tatsächlich, das in der umfassenden Datenverarbeitung liegt? Wird »Big Data« überschätzt?

Albrecht: Es liegt ein großes Potenzial darin, Daten in großen Mengen zu analysieren und daraus neue Angebote zu schaffen und zu erfinden. Die Frage ist nur, ob Big Data verknüpft sein muss mit der Analyse personenbezogener Daten. Kann man das ökonomische Potenzial nicht auch mit anonymen Daten und historischen Statistiken heben? Mit Informationen, die viel aussagen über unser Verhalten und Leben, ohne dass man jeden Einzelnen konkret analysieren und profilieren muss.

ZEIT: Aber es fließen doch gerade Milliarden Dollar in den Versuch, den Konsumenten Jan Philipp Albrecht genau dann anzusprechen, wenn er etwas kaufen will. Genau an dem Ort, an dem er sich befindet. Im Wissen um seine früheren Kaufentscheidungen, im Wissen, welche seiner Freunde bald Geburtstag haben, und im Wissen, ob Sie gerade frisch verliebt sind.

Albrecht: Das ist dann auch in Ordnung, wenn ich vorher dieser Analyse und Profilbildung zustimme. Das ist Datenschutzrecht konkret. Es geht nicht darum, Datenverarbeitung unmöglich zu machen. Um einmal klar zu sagen: Beim individuellen »Einkaufsbegleiter« wird die Anonymisierung schwer sein, aber umso eindeutiger muss ich hier um mein Einverständnis gefragt werden, umso leichter muss ich diese Funktion wieder ausschalten können, und umso leichter muss ich persönliche Daten auch wieder löschen können.

ZEIT: Gibt es dafür keine Alternativen? Muss ich dafür wirklich alles preisgeben?

Albrecht: Nein, man könnte bei vielen Angeboten genauso gut mit Pseudonymen arbeiten. Dafür wird es laut meinem Vorschlag ebenfalls einfachere Regeln geben, etwa wenn ich beim Surfen durch meine Browsereinstellungen in die Verarbeitung von Cookies einwilligen will. Aber um auch das ganz klar zu sagen: Für die meisten Big-Data-Anwendungen braucht man die extreme Individualisierung überhaupt nicht. Viele Geschäftsmodelle können genauso gut mit anonymen Daten funktionieren. Wer sich den technischen Aufwand umfangreichster Data-Mining-Systeme leisten kann, der schafft es auch, diese Systeme mit anonymisierten Informationen zu betreiben.

ZEIT: Welche Unternehmen spielen mit offenen Karten?

Albrecht: Das Karrierenetzwerk Xing geht vergleichsweise sorgfältig mit Daten um. Es zahlt dafür aber einen hohen Preis. Außerhalb von Deutschland hat Xing massive Wettbewerbsnachteile gegenüber Unternehmen wie Facebook, die immer wieder bestehende Regeln missachten und dann mühsam mit den Datenschutzbeauftragten nachverhandeln.

ZEIT: Verhindert die neue EU-Verordnung, dass große Datenpools überhaupt entstehen?

Albrecht: Sie wird die massive Erfassung unseres Alltagslebens nicht verhindern. Aber sie orientiert sich an folgendem Grundsatz: Jede Datenverarbeitung kann die individuelle Selbstbestimmung beeinträchtigen, so hat das Bundesverfassungsgericht schon vor über zwei Jahrzehnten geurteilt.

ZEIT: Welche Rolle haben die deutschen Datenschutzbeauftragten künftig? Können sie mit gleichem Selbstbewusstsein gegen Google vorgehen wie heute?

Albrecht: Die Verordnung orientiert sich sehr stark am deutschen Bundesdatenschutzgesetz.

ZEIT: Künftig soll aber immer nur ein Datenschützer in Europa federführend für ein Unternehmen oder eine Behörde sein. Also dort, wo dessen Hauptsitz in Europa ist. Für Facebook wäre dann endgültig der irische Datenschützer verantwortlich. Wie kann ein deutscher Datenschützer dann noch gegen Facebook vorgehen, wenn er den Anlass dafür sieht?

Albrecht: Alle Datenschutzbeauftragten am Wohnsitz betroffener Bürger sind ebenso zuständig wie die federführende Behörde. Mit dieser müssen sie sich in einem Europäischen Datenschutzausschuss auf eine Linie einigen. Damit schaffen wir eine einheitliche Anwendung des Datenschutzrechts in Europa. Der Datenschutz in Deutschland bleibt also stark, sofern das in Berlin politisch gewollt ist. Da habe ich jedoch meine Zweifel.

ZEIT: Warum?

Albrecht: Das deutsche Innenministerium arbeitet daran, den Standard abzusenken.