Neue Grundverordnung zum Datenschutz: Die Jagd nach dem Datenschatz
Nach langen Verhandlungen einigt sich die EU auf neue Datenschutzregeln. Doch vorbei ist die Lobbyschlacht noch lange nicht.
Der junge Mann ist verzweifelt. Er will seiner Freundin Blumen schicken, darf das aber nicht, weil er damit ihre Daten weitergeben würde. Und da muss sie zustimmen.
Die Szene stammt aus einem Trickfilm, der auf die Fedma, die europäische Vereinigung für Direktmarketing, zurückzuführen ist. Der Clip soll Stimmung machen für Big Data, verdreht allerdings derart plump die geplante Rechtslage, dass er eines der absurderen Beispiele aus der Lobbyarbeit um die Verhandlungen zur Datenschutzgrundverordnung ist, die diese Woche zu Ende gegangen sind.
Mit der Einigung von EU-Parlament, Rat und Kommission findet auch die aufwändige Lobbykampagne einen Abschluss. Eine Kampagne, in der Konzerne wie Amazon und Ebay, die US-Handelskammer oder die Fedma nicht nur mit freundlicherweise zur Verfügung gestellten Formulierungsvorschlägen kämpften, mit E-Mails und Einladungen. Sondern Thinktanks und Anwaltskanzleien beauftragten, die Studien und Papiere auf den Markt brachten, aber nicht verrieten, wer sie eigentlich beauftragt hat. Denn am Ende musste die Antwort auf die Frage stehen, wer von der neuen Verordnung eigentlich profitiert: die Menschen? Oder die Unternehmen?
Die aktuellen EU-Regeln zum Schutz von persönlichen Daten wurden vor 20 Jahren beschlossen. Facebook gab es damals genauso wenig wie YouTube, und selbst der Google-Vorläufer BackRub wurde erst ein Jahr später geboren. 1995, als die EU ihre Datenschutzrichtlinie beschloss, lernten sich die späteren Google-Gründer Larry Page und Sergey Brin gerade in Stanford kennen.
Ein Werbenetzwerk, das Nutzer über verschiedenste Webseiten hinweg verfolgt, das damit Daten unter anderem aus E-Mail-, Suchmaschinen- und Kartendiensten kombiniert und das alles von demselben Unternehmen, das gerade an selbstfahrenden Autos arbeitet – Science Fiction. Mehr noch: jenseits der Vorstellungskraft.
Wertvoller als Gold
Heute landet Google – je nach Ranking – unter den Top 3 bis Top 10 der weltweit mächtigsten Unternehmen. Was zeigt, dass persönliche Daten, dass Nutzerprofile längst viel wertvoller sind als Gold. Und so war von Anfang an klar: Wer es schafft, auf die neuen Datenschutzregeln Einfluss zu nehmen, der wird sein Geschäftsmodell für den europäischen Markt sichern. Nicht nur IT-Unternehmen. Genauso Anbieter von Kundenkarten, Adressverkäufer oder die Schufa.
„Als ich meine Position für das Parlament ausgearbeitet habe, wurde ich rund um die Uhr belagert“, erzählt Jan Philipp Albrecht, grüner Europaabgeordneter und Berichterstatter für die Verordnung. Innerhalb von 14 Monaten verzeichnet sein Kalender fast 300 Treffen mit Interessenvertretern. Von „Kriegsmodus“ spricht Albrechts Mitarbeiter Ralf Bendrath in der Dokumentation „Democracy – Im Rausch der Daten“, die den Entstehungsprozess der Verordnung begleitet.
Dubiose Kanzleien, Trickfilme, 4.000 Änderungsanträge, darunter ein guter Teil von der Industrie platziert – kann da überhaupt etwas bei rauskommen, das am Ende die Privatsphäre der Verbraucher schützt?
Joe McNamee leitet die Bürgerrechtsorganisation European Digital Rights. Er hat in den vergangenen Tagen die 209 Seiten durchforstet auf der Suche nach einer Antwort auf die Frage: Wem wird die neue Verordnung eher gerecht – den Interessen der Verbraucher oder denen der Unternehmen?
Die Sache mit dem Profiling
Wenn McNamee von den Verhandlungen erzählt, spricht er von einer „Lobbyschlacht“, und angesicht dessen sei das Ergebniss gar nicht schlecht. Von einem EU-weit einheitlichen Datenschutzniveau könne zwar angesichts zahlreicherer Ausnahmen nicht mehr wirklich die Rede sein. Aber privatsphärefreundliche Standardeinstellungen bei Diensten wie Facebook, das sei ein Fortschritt. Genauso wie die Pflicht, Verbraucher zu informieren, wenn ein Unternehmen gehackt wurde und dabei persönliche Daten von Kunden betroffen waren. Natürlich, das wäre alles noch strikter und eindeutiger gegangen, aber immerhin. Nur diese Sache mit dem Profiling.
Profiling, das ist das Zusammenführen von persönlichen Daten aus unterschiedlichen Quellen. Es hat in der neuen Verordnung zwar einen eigenen Artikel bekommen. Dennoch kritisiert McNamee die neue Regelung: „Das Profiling“, sagt er „das wurde weit unterschätzt.“
Denn mithilfe von Algorithmen werden aus vorhandenen Daten immer neue generiert, zusammengeführt und daraus wiederum neue Schlüsse gezogen. Zum Beispiel: Ein Nutzer gibt bei Google Krankheitssymptome in die Suchmaske, der Konzern schließt auf chronische Rückenschmerzen. Kombiniert mit den Daten aus der Fitness-App – Ernährung, Schlaf, Bewegung – ergibt sich schon ein recht präzises Bild und vermutlich auch eine Ursache für die Schmerzen. Und die Verarbeitung von Gesundheitsdaten, nicht nur von zurückgelegten Kilometern und geschlafenen Stunden, sondern auch von Herzfrequenz, Blutdruck oder Blutzucker, die fängt gerade erst an.
Vertrauen in Datenumwelt
„Eine Firma wie Facebook oder Google kann Ihnen sagen, wo Sie vor sechs Monaten waren und wie Sie sich dabei gefühlt haben – auch wenn Sie selbst das vermutlich gar nicht mehr wissen“, sagt McNamee. Nutzer müssten hier die Möglichkeit haben, einzugreifen, Daten zu löschen oder zu korrigieren. Mit pauschalen Einverständniserklärungen sei es nicht getan, schließlich wüssten die Unternehmen meist selbst nicht, was sie in einem Jahr mit den Nutzerdaten anstellen werden, was Technik und Algorithmen dann hergeben. Wie solle man da wirksam einwilligen?
„Die Unternehmen haben noch nicht verstanden, dass Vertrauen in die Datenumwelt wichtig sein wird“, glaubt McNamee. EU-Berichterstatter Albrecht sagt: Was sie mit persönlichen Daten machen oder nicht machen dürfen, sei für die Konzerne wichtiger als das Steuerrecht.
Die Lobbyistenanfragen, sagt Albrecht, seien mit der Einigung diese Woche etwas zurückgegangen. Doch er rechnet damit, dass die Strukturen bleiben. Verhältnismäßig junge IT-Unternehmen aus den USA, die schon in Washington mit millionenschweren Lobbykampagnen und aggressiven Strategien auffielen, hätten diese nun nach Europa getragen. Und wenn sich die entsprechenden Akteure hier einmal etabliert hätten, würden sie nicht einfach wieder verschwinden.
Zumal noch ein paar weitere Verhandlungen anstehen, die für datengierige Konzerne Ungemach bedeuten könnten. Das neue Safe-Harbor-Abkommen zum Beispiel. Oder die E-Privacy-Richtlinie.
Es ist noch nicht vorbei.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
Starten Sie jetzt eine spannende Diskussion!