Überraschend geräuschlos einigen sich die Fraktionen im Europaparlament. Die breite Mehrheit erhöht die Chance, dass auch die Mitgliedstaaten eine gemeinsame Position finden und das wichtige Gesetzesvorhaben bald steht.

Brüssel - Darauf eine Maß Bier: Beim Brüsseler Oktoberfest, zu dem die bayerische Landesvertretung am Donnerstagabend in ein Festzelt auf dem Place Jourdan eingeladen hatte, stießen die EU-Grundrechtekommissarin Viviane Reding und der Grünen-Europaabgeordnete Jan-Philipp Albrecht darauf an, dass die große europäische Datenschutzreform eine wichtige Hürde genommen hat. Vor der formellen Ausschussabstimmung am Montagabend in Straßburg einigten sich Vertreter aller Parlamentsfraktionen auf einen parteiübergreifenden Kompromisstext. „Diese breite Mehrheit“, so der Verhandlungsführer Albrecht, „ist für Europas Bürger und Unternehmen eine Riesenchance.“

 

Die künftige EU-Datenschutzverordnung soll die 28 verschiedenen nationalen Bestimmungen ersetzen und schon allein dadurch Vorteile bringen. Firmen im europäischen Binnenmarkt müssten nur noch ein Gesetz befolgen, Kunden könnten ihre Rechte besser wahrnehmen. „Will ich mich als deutscher Bürger gegen Facebook wehren, das in Irland seinen Sitz hat“, führt der CDU-Europaabgeordnete Axel Voss als Beispiel an, „weiß ich in Zukunft, dass dort im Gegensatz zu jetzt derselbe hohe Rechtsschutz existiert.“ Außerdem kann künftig eine Beschwerde ganz einfach beim Datenschutzbeauftragten vor Ort eingereicht werden, der die Probleme dann an die Kollegen des anderen EU-Staaten weiterleitet. Im Streitfall entscheidet ein noch zu schaffendes Gremium der europäischen Kontrolleure.

Keine Datenverarbeitung ohne Einwilligung

Das zentrale Prinzip des neuen Rechts ist es, dass keine Daten ohne die Einwilligung des Betroffenen verarbeitet werden dürfen. Deshalb soll es beispielsweise bei allen Internetangeboten deutlich sichtbare Icons geben, aus denen hervorgeht, was mit persönlichen Informationen geschieht. „Statt seitenlanger und unverständlicher allgemeiner Geschäftsbedingungen sollen standardisierte Symbole Zustimmung oder Ablehnung vereinfachen“, schreibt der Grüne Albrecht. Der Grundsatz gilt auch für das sogenannte Profiling: Wer nicht will, dass die eigenen Nutzungsgewohnheiten von einem Unternehmen zu einem Profil zusammengefasst werden und daraus individuell zugeschnittene Werbebotschaften oder Kaufempfehlungen abgeleitet werden, kann dies verlangen.

Weitergehende Forderungen, Profiling ohne vorherige Einwilligung des Nutzers ganz zu verbieten, fanden damit keine Mehrheit. Dies hätte in der Praxis beispielsweise bedeutet, dass beim Aufrufen von Nachrichtenseiten oder Onlineshops sofort ein Fenster aufgegangen wäre, das den Kunden fragt, ob er verhaltensbasierte Werbeinhalte akzeptiert. Nun soll es nach dem Willen des Europaparlaments so sein, dass Anbieter lediglich deutlich signalisieren müssen, wie das Profiling der eigenen Daten verhindert werden kann. Außerdem gibt es das Angebot an die Unternehmen, alternativ mit pseudonymisierten Daten zu arbeiten. „So können Datenschutz für den Einzelnen und Modelle der Werbewirtschaft nebeneinander funktionieren“, sagt der CDU-Abgeordnete Voss.


Das „Recht, vergessen zu werden“, das EU-Kommissarin Reding bei der Vorstellung ihres Gesetzentwurfs postuliert hatte, sieht in der Praxis nun folgendermaßen aus: Jeder EU-Bürger soll künftig das Recht haben, Auskunft über die ihn oder sie betreffenden Daten zu bekommen, auf sie zuzugreifen und auf Verlangen auch löschen zu lassen. In einem wichtigen Punkt geht das Europaparlament dabei über den Kommissionsvorschlag hinaus: So sollen Datenverarbeiter Albrecht zufolge auch Auskunft darüber geben müssen, „wie die eigenen Daten verarbeitet werden oder ob der Anbieter Daten an Strafverfolgungsbehörden oder Geheimdienste weitergegeben hat“.

Einfluss auf die Geheimdienste selbst wird die EU-Datenschutzverordnung nicht haben. Wohl aber wären auch US-Giganten wie Google oder Yahoo betroffen, die – wie seit den Enthüllungen des früheren NSA-Mitarbeiters Edward Snowden bekannt ist – auch Daten europäischer Nutzer an die Sicherheitsbehörden weitergeleitet haben. Künftig soll das, so Albrecht, „nur auf der Grundlage europäischen Rechts oder darauf beruhender Rechtshilfeabkommen“ möglich sein. Der größte Lobbydruck, berichtete der Grüne, sei daher von US-Interessengruppen ausgeübt worden.

Verstöße nämlich können für die Unternehmen extrem teuer werden. Das Europaparlament bestätigte Redings Vorgabe, bis zu fünf Prozent des weltweiten Umsatzes als Strafe verhängen zu können. Dies dürfte einer der Punkte sein, der bei den Verhandlungen unter und mit den EU-Staaten noch eine große Rolle spielen dürfte.

Wer dagegen wenig Daten verarbeitet, muss die neuen Auflagen – etwa die Ernennung eines Datenschutzbeauftragten oder teure Folgenabschätzungen – nicht erfüllen. Während Reding allgemein vorgeschlagen hatte, die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vorzusehen, will das Europaparlament von der Datenmenge abhängig machen: Nur wer mehr als 5000 Personendatensätze im Jahr verarbeitet, ist betroffen.

Stuttgart -