Was zunächst gut klingt, tönt jedoch schnell hohl, wenn es um die Kontrolle geht. Wer in der Europäischen Union überwacht, ob diese Regeln auch wirklich eingehalten werden? Diese Frage ist nicht trivial, hier sollte niemand naiv sein. Ein Beispiel: Der Facebook-Mitgründer Chris Hughes hat kürzlich in einem Gastbeitrag in der New York Times offengelegt, Facebook habe in der Vergangenheit konkrete US-amerikanische Vorgaben zum Umgang mit privaten Daten wissentlich ignoriert. Und das Wall Street Journal berichtet von E-Mails von Mark Zuckerberg, die diesen Verdacht erhärten. Wer kann also garantieren, ob das heute mit der EU-Datenschutz-Grundverordnung anders ist?

Facebook ist nur ein Beispiel unter vielen, wie etwa Amazons und Googles medialer Eiertanz über die Frage gezeigt hat, ob und wie Mitarbeiter Alexa- und Google-Assistant-Aufzeichnungen – also mitunter sogar Schlafzimmergespräche – auswerten. Und es geht auch nicht nur um amerikanische Unternehmen: Auch in Europa wächst das Netzwerk TikTok der chinesischen Firma ByteDance, das in den USA bereits häufiger installiert wird als Facebooks Instagram. Wollen wir uns überall hier allein auf Aussagen der Firmen verlassen? Und glaubt irgendjemand, dass diese zu zittern beginnen, wenn der – sicher aller Ehren werte – Landesdatenschutzbeauftragte von zum Beispiel Rheinland-Pfalz anruft, weil in Deutschland die Zuständigkeit bei den einzelnen Landesbehörden liegt?

In Analogie zum Verbraucher- und Anlegerschutz der Finanzmarktaufsicht brauchen wir also eine EU-Datenmarktaufsicht. Nur so wird die Kontrolle der Regeln für Datenschutz und -sicherheit gestärkt und damit auch effektiv vereinheitlicht. Der neue EU-Datenschutzausschuss, in dem die nationalen Datenschutzbeauftragten sitzen, ist zwar ein Schritt in die richtige Richtung. Das reicht aber bei Weitem nicht aus, auch weil einzelne Datenschutzbehörden gerade dort, wo die großen IT-Unternehmen ihre Zentralen in der EU haben, immer noch zu nachsichtig sind. So wie seit den großen Finanzkrisen niemand mehr an Sinn und Zweck einer handlungsfähigen und robusten Finanzmarkt- und Bankenaufsicht zweifeln sollte, so sollte im Jahr 2019 niemand die Notwendigkeit einer echten Aufsichtsbehörde für den Datenmarkt infrage stellen. Denn schon heute sind nicht mehr nur Finanzströme die Lebensadern unserer Wirtschaft und Gesellschaft, sondern eben auch die Datenflüsse.

Konkret verlangt dies: Erstens eine europäische, mit ausreichend Personal und IT-Kompetenz ausgestattete Behörde für den ganzen großen Markt der EU, die auf Augenhöhe mit den Konzernen operiert und einheitliche Prüfstandards sicherstellt. Diese sollte sich dann auch auf die großen Player und Brennpunkte des Datenschutzes konzentrieren, nicht auf ungefährliche Alltagskonstellationen. Zweitens braucht es eine umfassende Auskunftspflicht seitens der Unternehmen, Zitationsrechte gegenüber allen Verantwortlichen inklusive des Topmanagements und das Recht, jederzeit alle Standorte, Codes und Algorithmen einsehen und prüfen zu können. Eben ganz so, wie bei der Finanzaufsicht auch. Und drittens muss es tatsächliche Sanktionskompetenz für die europäische Behörde geben, die, wo nötig, auch den Mut hat, die in der EU-Datenschutz-Grundverordnung vorgesehenen effektiven Bußgelder in Millionen- oder auch Milliardenhöhe und andere Auflagen zu verhängen.

Die Zeit für eine European Data Agency ist reif. Warten wir nicht erst auf einen Datencrash im Weltmaßstab und lassen wir den Kulturpessimismus nicht weiter um sich greifen. Ebenso wie naive Heilserwartungen gegenüber Firmen aus dem Silicon Valley übertrieben waren und sind, ist es heute deren Dämonisierung. Die Digitalisierung bleibt eine faszinierende Chance auf mehr Selbstbestimmung und Vernetzung von Menschen. Konkret erlebbar wird diese oft durch Produkte und Dienstleistungen von erst kleinen und später manchmal großen Unternehmen. Daran ist nichts Schlechtes – im Gegenteil: Es ist kein Zufall, dass autoritäre Regierungen in China und anderswo genau diese westlichen Firmen bei sich nicht haben wollen. Aber wir müssen hier bei uns sicherstellen, dass alle Firmen, die mit unseren Daten operieren, also mit etwas, das im 21. Jahrhundert zum Kern unserer Persönlichkeit und Intimsphäre gehört, jederzeit und vollständig nach unseren Regeln spielen.

So prägen wir in Zeiten eines neuen Systemwettbewerbs mit chinesischem "Social Scoring" und anderem den technischen Fortschritt im Lichte unserer Werte. Und dadurch gewährleisten wir für uns Bürgerinnen und Bürger etwas, das auch im digitalen Zeitalter selbstverständlich sein muss: Freiheit durch Souveränität.