Datenschützer sind empört über die Beschlüsse, die der Ministerrat für diesen Freitag plant. Unter anderem soll die Zweckbindung entfallen: Daten sollen unabhängig von ihrem ursprünglichen Zweck gespeichert und weitergegeben werden dürfen. Dass ausgerechnet Deutschland für einen laxeren Umgang mit Daten plädiert, überrascht dabei.
Brüssel - Wer darf was mit meinen Daten machen? Diese Frage, die für die Bürger und auch die Wirtschaft Bedeutung erlangt, wird ganz neu geregelt. Die Datenschutz-Verordnung ist eines der wichtigsten Projekte der Europäischen Union überhaupt, weil es bald das gesamte Datenschutzrecht aller 28 Mitgliedstaaten ersetzen soll. Kein Wunder also, dass heftig gestritten wird und Diplomaten von „quälend langen“ Verhandlungen berichten. Gut drei Jahre sind seit dem entsprechenden Vorschlag der EU-Kommission ins Land gezogen. Nun aber ist das Ziel in Sicht. Am Freitag will sich Bundesinnenminister Thomas de Maizière in Brüssel mit seinem Amtskollegen über zwei entscheidende Grundpfeiler des Gesetzes verständigen.
Mehr Datenschutz für das digitale Zeitalter ist dessen erklärtes Ziel – doch könnte es nun ganz anders kommen. Aus durchgesickerten Entwürfen und Aussagen Brüsseler Diplomaten lässt sich herauslesen, dass am Ende vielleicht nicht mehr, sondern weniger Schutz der Privatsphäre steht. „Mit diesen Vorschlägen“, sagt der Grüne Jan-Philipp Albrecht, der für das Europaparlament die abschließenden Verhandlungen mit dem Ministerrat führen wird, „bricht die Bundesregierung dieses Versprechen.“
Worum geht es konkret? Artikel 6 der Verordnung regelt, unter welchen Umständen eine Datenverarbeitung als rechtmäßig gilt. Das ist der Fall, wenn ihr jemand zustimmt, sie Teil eines Vertrages ist, andere Gesetze dies vorschreiben oder es – etwa bei einem medizinischen Notfall – überlebenswichtig ist. Brisant ist der vierte Absatz, in dem es um die Zweckbindung der Daten geht. Will heißen, dass sie nur in dem Sinne weiterverarbeitet werden dürfen, für den sie erhoben wurden. Ein Beispiel: wenn ein Kunde im Netz einen Mercedes bestellt, darf Daimler dessen Daten an Händler weiterverkaufen, die Schneeketten oder Dachgepäckträger vertreiben. Nach geltendem Recht, das auf einer EU-Richtlinie aus den Neunzigern und einem deutschen Umsetzungsgesetz fußt, darf die Kundendatei aber nicht bei einer Bank landen, die daraus auf potenziell zahlungskräftigere Kundschaft schließen könnte. Für eine solche Zweckentfremdung hatte die EU-Kommission in ihrem Entwurf die erneute Zustimmung verlangt – und damit das bestehende Schutzniveau übernommen. Nun jedoch beinhaltet der aktuelle Entwurf des Ministerrats einem EU-Diplomaten zufolge eine „erweiternde Klarstellung“.
Datenweitergabe zu anderen Zwecken wird möglich
Jetzt soll die Datenweitergabe zu ganz anderen Zwecken auch möglich sein, wenn „legitime Interessen des Datenverarbeiters oder einer dritten Partei vorliegen, die dem Interesse des Datensubjekts übergeordnet sind“. In dieser ebenso bürokratischen wie vagen Formulierung sehen Kritiker ein Einfallstor für den Missbrauch von Informationen. Sie lasse, heißt es in einer Stellungnahme der Verbraucherzentrale Bundesverband, „eine ausufernde, für den Verbraucher nicht mehr zu überblickende Verarbeitung seiner personenbezogenen Daten zu, die zur Wahrung der Verbrauchersouveränität abzulehnen ist“. Die Passage laufe einem Grundpfeiler des Datenschutzes, der bereits in der EU-Grundrechtecharta enthaltenen Zweckbindung von Daten entgegen. Damit könnten, so Albrecht, „Daten ohne die Zustimmung der Verbraucher für Werbung oder Kreditwürdigkeitsabschätzung verwendet werden“.
Aus 11 000 Seiten bisher teils geheimer Verhandlungsdokumente, welche die Netzplattform LobbyPlag in dieser Woche veröffentlichte, geht die Urheberin der so umstrittenen Änderung hervor: die Bundesregierung. In einem Memo der Ständigen Vertretung in Brüssel an das Innenministerium in Berlin vom Januar ist nachzulesen, dass der Satz als „Kompromiss“ von „DEU“ eingebracht wurde – jener Bundesregierung, die in der Vergangenheit publikumswirksam verhindern wollte, dass „Brüssel“ die hohen deutschen Standards aushöhlt.
Angela Merkel hat zuletzt häufig erkennen lassen, dass ihr die radikale Position des Europaparlaments missfällt, das keinerlei andere Datenzwecke genehmigen will. Man müsse, so die Kanzlerin kürzlich in Berlin, „Datensicherheit in eine vernünftige Balance zu den Wertschöpfungsmöglichkeiten bringen, die uns die digitale Welt bietet“. Sie fügte hinzu: „Ohne Big Data Management oder Mining werden wir an neuen Wertschöpfungen nicht teilnehmen können.“ Angesichts dessen, dass sich gerade deutsche Firmen unter dem Stichwort der „Industrie 4.0“ viel von der Digitalisierung versprechen, habe es in Berlin einen Kurswechsel gegeben, wie ein EU-Diplomat bestätigt, „weg vom Datenschutz hin zu mehr Wirtschaftsfreundlichkeit“.
Wie ausdrücklich muss der Nutzer zustimmen?
Auf die Kritik angesprochen weist ein Vertreter der aktuellen EU-Ratspräsidentschaft Lettlands darauf hin, dies sei „nur die Position der Mitgliedstaaten“, die im Juni endgültig festgelegt werden soll und sich dann in den Verhandlungen mit dem Europaparlament noch ändern werde: „Es ist zu früh, das endgültige Ergebnis zu beurteilen.“ Offenbar hoffen selbst manche Regierungen, dass sich die Abgeordneten am Ende in einigen strittigen Punkten durchsetzen – von denen es genug gibt. Die Art der Zustimmung gehört dazu. Kommission und Parlament verlangen ein „explizites“ Ja des Nutzers zur Verarbeitung seiner Daten. So ausdrücklich wollen es die Regierungen nicht haben. Ihnen gilt in manchen Fällen bereits als Zustimmung zu Nachverfolgung oder Profilbildung, wenn die Standardeinstellungen des Internetbrowsers nicht entsprechend geändert werden. Das würde den Datenschutz quasi beerdigen, monieren Kritiker. Ein britischer Diplomat widerspricht: „Das ist nicht nur wirtschafts-, sondern auch nutzerfreundlich. Man will doch nicht ständig irgendwo Häkchen setzen, sondern vielleicht nur schnell etwas bei Amazon bestellen.“
Dass Datenschützer und Parlamentarier auf klarer Zustimmung bestehen und die Weitergabe nur aufgrund „berechtigter Interessen“ ablehnen, ist auch Verlegern ein Dorn im Auge. Sie nutzen die – wenn Widerspruch ausbleibt – zulässigen Dienste von Adresshändlern, um via Direktmarketing Abonnenten zu werben. Der Verband Deutscher Zeitschriftenverleger befürchtet nun Wettbewerbsnachteile gegenüber Google, Facebook & Co., „die über Millionen Log-ins und damit auch Einwilligungen verfügen“; Zeitungen könnten „schon wegen anders gelagerter Geschäftsmodelle niemals eine solche Einwilligungsbasis erreichen“. Die Verleger fanden Gehör bei der Bundesregierung. Aus den LobbyPlag-Dokumenten geht ihr Einsatz in Brüssel dafür hervor, dass die Datenschutzverordnung „bestehende Geschäftsmodelle wie Direktmarketing“ nicht verhindert. Überhaupt scheinen Lobbyisten in Berlin auf offene Ohren zu stoßen. Der „Spiegel“ druckte diese Woche die E-Mail eines Ministerialbeamten an einen Mitarbeiter des Softwarehauses Datev ab. Darin bittet er um „rasche Rückmeldung, ob Sie vielleicht noch ein, zwei harte Punkte haben, die wir noch kurzfristig einbringen sollen“.
Ein Datenschutzrecht für alle Europäer
Ein Markt
Die neue Verordnung gilt als einer der wichtigsten Bausteine eines digitalen Binnenmarkts, der in den nächsten Jahren geschaffen werden soll. Für 500 Millionen Europäer soll dann ein und dasselbe Datenschutzrecht gelten. Das soll es Unternehmen einfacher machen, ihre Dienstleistungen grenzüberschreitend anzubieten. Bislang müssen sie 28 verschiedene Regeln berücksichtigen.
Eine Anlaufstelle
Das Recht wird vereinheitlicht – im Guten wie im Schlechten, wie die jüngsten Entwicklungen zeigen. Zu den positiven Aspekten gehört auf jeden Fall der sogenannte One-Stop-Shop, den die EU-Minister ebenfalls an diesem Freitag beschließen wollen. Wer etwa bislang gegen das in Irland ansässige Facebook Beschwerde einreichen will, muss dies in Irland tun. Künftig ist das beim heimischen Datenschutzbeauftragten möglich. Dieser leitet den Fall dann innerhalb eines neu zu gründenden europäischen Datenschutzrates an den irischen Vertreter weiter, der dann die Entscheidung trifft – möglich sind in Zukunft auch hohe Geldstrafen für Unternehmen. Falls es unterschiedliche Auffassungen zu einer Entscheidung gibt, entscheidet das europäische Gremium als Ganzes