Vor EU-Verhandlungen zum Datenschutz

Gleich schlechte Standards

Bürgerrechtler warnen: Der aktuelle Entwurf der Datenschutzgrundverordnung würde die Situation für Verbraucher verschlechtern.

Stirn mit Barcode

Stirn mit Barcode: So weit ist es schon gekommen! Foto: dpa

BERLIN taz | Umfassende Ausnahmen, vage Formulierungen, das Gegenteil von Schutz für die Privatsphäre – Bürgerrechtsorganisationen sowie Daten- und Verbraucherschützer halten nichts von dem Entwurf (als .pdf) der EU-Justiz- und Innenminister für eine einheitliche Datenschutzgrundverordnung.

„Der Entwurf ist eine rücksichtslose Missachtung von fundamentalen Bürgerrechten“, kritisiert Joe McNamee von der Bürgerrechtsorganisation European Digital Rights. Auch die Bilanz des Verbraucherzentrale Bundesverbands (VZBV) fällt eindeutig aus: „Der Entwurf enthält viele Regelungen, die hinter den Vorschlägen der EU-Kommission, des EU-Parlaments und sogar hinter den bisherigen Gesetzen zurück bleiben“, heißt es in einer Stellungnahme.

Dabei ist die Vorlage die Basis für die anstehenden Verhandlungen zwischen EU-Kommission, -Parlament und -Rat, die am Mittwoch beginnen sollen. Sie sind der letzte Schritt in den seit drei Jahren währenden Verhandlungen der EU-Gremien über eine Reform des Datenschutzes.

Derzeit gilt eine Richtlinie, die einzelne Mindeststandards definiert. Doch sie stammt aus den 90er Jahren – und ist daher dringend überarbeitungsbedürftig. Einen Konzern wie Facebook, dessen Kapital die Nutzerdaten sind, der global agiert und gleichzeitig sich nicht viel aus hiesigem Recht macht, gab es damals noch nicht. Und auch die Methoden zur Datenerhebung – von automatischer Gesichtserkennung bis hin zum Browser-Fingerprinting, das Internet-Nutzer identifizierbar macht –, werden zunehmend ausgefeilter.

Begründung für die Reform war von Anfang an neben einer Verbesserung auch eine Vereinheitlichung des Datenschutzniveaus in den EU-Ländern. Dann wäre die heutige Praxis obsolet, dass sich Unternehmen einfach in dem Mitgliedsstaat niederlassen, in dem es die laxeste Aufsichtsbehörde gibt.

Grundsätze ausgehebelt

Doch künftig, befürchten Datenschützer, ist es egal, in welches Land sich das Unternehmen niederlässt. Denn mit dem aktuellen Entwurf des Ministerrats würden zwar die Standards in allen Mitgliedsstaaten gleich – aber eben gleich schlecht. „Wenn es das Ziel der Reform war, die Kontrolle der Bürger über ihre persönlichen Informationen zu stärken, haben unsere Regierungen das genaue Gegenteil erreicht“, kritisiert Anna Fiedler von der Bürgerrechtsorganisation Privacy International.

Bürgerrechtsorganisationen, Daten- und Verbraucherschützer kritisieren dabei einerseits, dass bislang geltende Grundsätze, wie die Datensparsamkeit, ausgehebelt würden. Nur eine „exzessive“ Datenerhebung soll nicht erlaubt sein und „legitime Interessen“ des Unternehmens können das Recht auf Privatsphäre seitens des Nutzers überwiegen. Ein berechtigtes Interesse können Unternehmen zwar auch heute schon geltend machen – doch zusätzlich muss die Datenverarbeitung auch „erforderlich“ sein, was umfassenden Datensammlungen eine recht enge Grenze setzt.

Andererseits fehlten privatsphärefreundliche Ansätze wie das Recht auf Sammelklagen, die beispielsweise das Europaparlament in seiner Version des Verordnungsentwurfes berücksichtigt hatte. Das Recht auf Sammelklagen ist in Deutschland bislang kaum bekannt, aber nicht nur hier sind Verbraucherorganisationen und Datenschutzaufsichtsbehörden schon mangels personeller und finanzieller Ausstattung nicht in der Lage, allen Beschwerden nachzugehen.

Sammelklagen wären daher ein zusätzliches Instrument, mit dem Verbraucher, die alleine im Kampf gegen einen Großkonzern oft machtlos sind, ihre Rechte durchsetzen könnten. Kommt es dennoch zu einer Strafe, soll die nach dem Willen der Minister deutlich niedriger liegen als vom EU-Parlament gefordert. Während das noch eine Höchststrafe von fünf Prozent des weltweiten Jahresumsatzes forderte, sind es im aktuellen Entwurf – je nach Tat – zwischen maximal 0,5 und maximal zwei Prozent.

Explizite Zustimmung verschwunden

Neben den Sammelklagen ist im Entwurf des Rates auch eine Regelung verschwunden, nach der Verbraucher explizit zustimmen müssen, wenn ihre persönlichen Daten verarbeitet werden sollen. Im Gegenteil: Unternehmen würde es mit der aktuellen Vorlage deutlich einfacher gemacht, persönliche Daten zu erheben, zu verwenden – auch zu Zwecken, von denen der Nutzer bei der Datenerhebung nicht ausgegangen ist –, die erhobenen Daten zu Profilen zusammenzuführen und auch in Nicht-EU-Staaten transferieren.

Das soll etwa dann gehen, wenn die EU-Kommission einen Staat, ein Unternehmen oder eine Organisation als sicher erklärt – obwohl die Daten damit aus dem Kontrollbereich der Datenschutzgrundverordnung heraus fallen.

VZBV-Vorstand Klaus Müller hofft, dass Kommission und Parlament den Entwurf bei den am Mittwoch beginnenden anstehenden Triolog-Verhandlungen wieder in Richtung Schutz der Privatsphäre lenken. Zunächst wollen die Unterhändler einen Fahrplan vorstellen. Eine Einigung ist bis Ende des Jahres geplant. Einfach wird das nicht werden. Die Bürgerrechtsorganisation European Digital Rights hat nachgerechnet: 34 Artikel umfasst die aktuelle Richtlinie. Die Zahl der Ausnahmen im Ratsvorschlag: 48.

.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de