Entwurf zum EU-Datenschutzgesetz: Ein bisschen geschützter

Berlin taz | Als Mark Zuckerberg noch zur Schule ging, einigten sich im Jahr 1995 in diversen EU-Gremien sehr viele Männer und etwas weniger Frauen auf eine neue Richtline. Man gab ihr einen aus gut zwei Dutzend Wörten bestehenden Titel und hoffte, sie würde künftig dafür sorgen, dass die Privatsphäre von Verbraucherinnen und Verbrauchern in der EU gut geschützt ist.

An einen Konzern, der ein globales Onlinenetzwerk aufbaut und nationale Gesetzgebungen eher als unverbindliche Anregungen versteht, dachte damals noch keiner. An Gesichtserkennung, Fingerabdruck-Scanner, die Verfolgung von Internetnutzern über mehrere Geräte hinweg, an immer größere Nutzerprofile von immer mehr global agierenden Unternehmen ebenso wenig.

Weil es kam, wie es kommen musste, gibt es nun ein neues Werk. Am späten Dienstag haben sich die Verhandler von EU-Kommission, Rat und Europaparlament geeinigt, vier Jahre nach Beginn des Prozesses. Auf 209 Seiten in 91 Artikeln in dem – noch nicht offiziell veröffentlichten – Entwurf steht, wie der europäische Datenschutz künftig geregelt werden soll. (pdf des Entwurfs bei statewatch.org)

Darunter sind Passagen, die direkte Folgen vor allem für Unternehmen haben – etwa das Bestellen eines Datenschutzbeauftragten. Andere werden sich unmittelbar für die Verbraucher bemerkbar machen.

Rechte, Alter und Beweglichkeit

Eine deutliche Verbesserung gibt es bei der Durchsetzung von Verbraucherrechten. Bislang müssen sich Kunden an die Aufsichtsbehörde des EU-Landes wenden, in dem das Unternehmen seinen Sitz hat. Daher wandte sich der Österreicher Max Schrems an die irische Datenschutzaufsicht, als er sich über Facebook beschwerte. Künftig sollen sich Verbraucher in ihrer Sprache an eine heimische Behörde wenden können. Außerdem sollen auch Verbände klagen können.

Darüber hinaus werden Unternehmen dazu verpflichtet, standardmäßig die datenschutzfreundlichsten Einstellungen anzubieten, sodass Nutzer sich nicht erst durch komplizierte Dialoge klicken müssen, wenn sie Wert auf Privatsphäre legen. Bis zuletzt umstritten war der Jugendschutz: Wie alt müssen Kinder oder Jugendliche sein, um in die Nutzung ihrer persönlichen Daten einwilligen und damit etwa Profile auf Facebook oder YouTube erstellen zu können? Man einigte sich schließlich auf 16 Jahre – die Mitgliedsländer dürfen die Grenze aber selbst auf 13 Jahre heruntersetzen. Ein einheitliches Schutznievau gibt es also hier nicht. Der Effekt dürfte allerdings nicht groß sein: In der Praxis könnten höchstens Eltern gegenüber dem Anbieter eine Löschung der persönlichen Daten ihrer Kinder verlangen.

Zudem soll es einfacher werden, persönlichen Daten von einem Dienst zu einem anderen zu transferieren, Stichwort Portabilität. Das betrifft allerdings ausschließlich Bestandsdaten. Wer also etwa von WhatsApp zur datenschutzfreundlichen Alternative Threema wechseln will, der kann zwar etwa Name und Adresse einfach vom bisherigen Anbieter übermitteln lassen. Für verschickte und empfangene Nachrichten gilt das jedoch nicht. „Da hätte man weiter gehen können“, kritisiert daher Lina Ehrig vom Verbraucherzentrale Bundesverband.

Vergessen, sichere Staaten und Sanktionen

Einmal erhobene Daten sollen Verbraucher löschen lassen können, wenn sie nicht mehr für den einst abgegebenen Zweck gebraucht werden. Das gilt schon bisher, neu ist: Auch Links dazu in Suchmaschinen oder auf anderen Webseiten sollen Nutzer entfernen lassen können – wenn nicht das öffentliche Interesse überwiegt. In der Praxis entsteht so das Problem, dass Privatunternehmen darüber entscheiden, was im öffentlichen Interesse liegt. Derzeit ist das schon bei Suchmaschinen der Fall, die nach einem Urteil des Europäischen Gerichtshofs gegebenenfalls Links aus den Trefferlisten entfernen müssen.

Ein Punkt, der im Vorfeld von Verbraucherschützern kritisiert wurde, ist dringeblieben: Die EU-Kommission darf dritte Staaten als sicher definieren – Unternehmen dürfen persönliche Nutzerdaten dann ohne Weiteres dorthin übertragen. Dass die Einschätzung der EU-Kommission da nicht unumstritten ist, zeigt ein Urteil des Europäischen Gerichtshofs vom Oktober: Er hatte ein Abkommen mit den USA verworfen, das die Datenübermittlung dorthin erlaubte.

Verstoßen Unternehmen gegen Vorschriften, kann die Aufsichtsbehörde Bußgelder verhängen. Maximal 4 Prozent des Jahresumsatzes sind dabei vorgesehen. Das EU-Parlament hatte noch5 Prozent gefordert. „Ein fairer Deal“, findet Jan Philipp Albrecht, Grüner Europaabgeordneter und Berichterstatter für die Datenschutzgrundverordnung, dennoch. Schließlich komme man so etwa bei Google auf eine ein- bis zweistellige Milliardensumme.

Während Vertreter der EU-Kommission die neuen Regelungen bejubeln, sind Verbraucherschützer und Bürgerrechtler vorsichtiger. „Es ist ein Fortschritt, dass es ein einheitliches Schutzniveau geben wird“, sagt Verbraucherschützerin Ehrig. Und zwar ein Niveau, an das sich auch Unternehmen halten müssen, die nicht aus der EU kommen, aber ihre Dienste hierzulande anbieten.

Durchwachsene Bilanz, verhaltene Freude

„Angesichts der wahrscheinlich größten Lobbyschlacht, die es weltweit je gegeben hat, sind in der Vereinbarung zumindest die Grundlagen des Datenschutzes geblieben“, sagt Joe McNamee, Direktor der Bürgerrechtsorganisation European Digital Rights. Damit spielt er etwa auf den Entwurf der Innen- und Justizminister an, der im Frühjahr bekannt geworden war. Darin forderten die Minister die Abkehr von grundlegenden Datenschutzprinzipien.

Rundrum zufrieden ist auch Parlamentarier Albrecht nicht. „Es werden heute schon viele Daten ohne Einverständnis der Verbraucher verarbeitet, und da wird auch in Zukunft noch einiges erlaubt sein“, kritisiert er. Zum Beispiel in Sachen Werbung: So könnten etwa Unternehmen Adressen bei Händlern kaufen und den Verbrauchern Werbung per Post oder E-Mail schicken – legal.

„Die neuen Regelungen sind gut für Verbraucher und gut für die Wirtschaft“, sagt EU-Kommissarin Věra Jourová. In der Mitteilung zu der Einigung nennt die Kommission konkrete Beispiele vor allem dafür, dass sich Firmen keine Sorgen machen müssen. Etwa, weil kleine und mittlere Unternehmen keinen Datenschutzbeauftragten ernennen müssen, wenn der Umgang mit persönlichen Daten nicht ihr Kerngeschäft ist. Oder weil sie Geld sparen dadurch, dass sie sich nur noch mit einer Datenschutzaufsichtsbehörde auseinandersetzen müssen. Denn die Behörden der Mitgliedsstaaten sollen sich künftig auf ihre Positionen einigen. So könnten etwa per Mehrheitsmeinung die irischen Datenschützer gezwungen werden, doch härter gegen Facebook vorzugehen. Aber umgekehrt würde auch eine einzelne strenge Behörde ausgebremst. Für die Unternehmen soll diese Vereinheitlichung Geld sparen: 2,3 Milliarden Euro jährlich, so hofft die EU-Kommission.

Anfang 2016 sollen Parlament und Rat die Neuerungen beschließen, zwei Jahre später tritt die Verordnung dann in Kraft.