ZEIT ONLINE: Aber die Höhe macht für kleine Websitebetreiber einen Unterschied: Müssen sie sich bei DSGVO-Verstoß auf eine Strafe von 50 Euro einstellen – oder auf 5.000 Euro?

Jourová: Es gibt keine Mindestgrenze, das stimmt. Aber die Datenschutzbehörden sind dazu angehalten, angemessene Sanktionen zu verhängen. Auch wenn ich persönlich keine Befugnis über sie habe, habe ich sie gebeten, auch im Hinblick auf die anderen EU-Länder das Verhältnis zu beachten. Wir haben eine einheitliche Grundverordnung, jetzt sollten wir auch einheitliche Sanktionen verhängen.

ZEIT ONLINE: Die großen Konzerne können einfach einen Anwalt anrufen, um die DSGVO umzusetzen. Aber kleinere Betreiber, gerade Blogger und Vereine, haben oft nicht das Geld und wissen nicht, wie sie alle Kriterien umsetzen sollen.

Jourová: Die sollen mir eine E-Mail schicken.

ZEIT ONLINE: Wir werden das genauso veröffentlichen.

Jourová: Ja, ja. Machen Sie das. Ich werde ihnen raten, dass sie sich auf ihren gesunden Menschenverstand verlassen sollen.

ZEIT ONLINE: Aber trifft die DSGVO nicht die Falschen? Auch Menschen, die gar keine Daten verarbeiten?

Jourová: Wer keine Daten verarbeitet, der muss nichts fürchten.

ZEIT ONLINE: Es reicht ja schon, wenn jemand ein Kontaktformular auf seiner Website anbietet, um unter die DSGVO zu fallen.

Jourová: Dann fragt der Betreiber nach dem Einverständnis des Nutzers.

ZEIT ONLINE: Manche haben aber gar nicht die technische Expertise, um ein automatisiertes Einverständnis einzuholen und alle Auflagen zu erfüllen.

Jourová: Ich kenne mich auch nicht mit Technik aus, meine Kinder lachen mich deswegen sogar aus. Ich versichere Ihnen aber, dass selbst ich die Regeln der DSGVO umsetzen kann. 

ZEIT ONLINE: Was ist, wenn Websitebetreiber nicht wissen, was Hosting ist, welche Plugins sie verwenden? Einige Blogger nehmen ihre Websites schon offline. Das kann doch nicht das sein, was die DSGVO erreichen will.

Jourová: Noch mal: Es geht um gesunden Menschenverstand und Verhältnismäßigkeit. Wenn Ihnen jemand eine E-Mail schreibt und Ihnen zugesteht, dass Sie seine Daten verwenden dürfen, dann ist doch klar, dass er Ihnen eine Einwilligung erteilt. Im Übrigen sanktionieren die Datenschutzbeauftragten nicht nur, sondern beraten auch. Meine Prognose ist, dass sich die Behörden auf die Anbieter konzentrieren, die den größten Schaden verursachen können, die die meisten Daten verarbeiten.

ZEIT ONLINE: Einer dieser Anbieter ist Facebook. Das soziale Netzwerk hat die DSGVO jahrelang bekämpft. Nach dem Cambridge-Analytica-Skandal hat es das Gesetz plötzlich gelobt. Wie sehen Sie diesen Sinneswandel?

Jourová: Facebook versucht, das Vertrauen seiner Nutzer wiederzugewinnen. Erst kürzlich hat das Netzwerk bekannt gegeben, dass es 200 Apps gelöscht hat. Aber ich glaube, dass die Dimensionen viel größer sind, dass Cambridge Analytica nur ein Unternehmen ist, das entdeckt wurde. Als ich nach dem Skandal mit Sheryl Sandberg sprach …

ZEIT ONLINE: … die Sie zuvor in einem offenen Brief kritisiert haben und die Sie daraufhin zu einem Telefongespräch bat …

Jourová: … habe ich sie gefragt, wie viele Apps wie Cambridge Analytica noch auf Facebook zugreifen können. Und sie sagte, dass sie das nicht wisse, die Überprüfung werde eine Weile brauchen. Das illustriert, dass es einfach um das große Geschäft mit unserer digitalen Identität geht. Wenn man das versteht, dann ist keiner mehr überrascht davon, dass wir mit strikten Regeln wie der DSGVO um die Ecke kommen.