Wirtschaft: EU will Soziale Netzwerke einschränken

Berlin - Das Jahr 2012 verspricht spannend zu werden – für Datenschützer, Unternehmen und Verbraucher gleichermaßen. Bereits seit 2009 arbeitet die EU an einer Neuordnung des Datenschutzes. Die Regeln in Europa sollen vereinheitlicht und verbessert, die veraltete Richtlinie von 1995 an die digitale Lebenswelt mit ihren sozialen Netzwerken, Suchmaschinen und Online-Shops angepasst werden. Zwar mahlen die Mühlen in Brüssel langsam, doch nun könnte Bewegung in das Verfahren kommen. Ende Januar will die luxemburgische Justizkommissarin Viviane Reding einen Entwurf vorstellen. Der kursiert bereits im Internet – und sieht auf den ersten Blick vielversprechend aus, besonders aus Verbrauchersicht.

Geplant ist offenbar keine neue Richtlinie, sondern eine Verordnung. Das hat zur Folge, dass die neuen Regeln unmittelbar für alle Mitgliedstaaten gelten würden, und nicht, wie bei Richtlinien, erst in nationales Recht umgesetzt werden müssten. Eine Verordnung wird von der Kommission eingebracht und vom EU-Parlament und vom Rat der EU beschlossen. Das Verfahren würde, wenn beide Instanzen zustimmen, beschleunigt und den Mitgliedstaaten die Möglichkeit genommen, Regeln so umzusetzen, dass sie verwässert werden. Der Datenschutzexperte Thomas Hoeren sieht darin „eine harte Attacke gegen nationale Alleingänge“. „Man will deutlich machen, dass Datenschutz in Zukunft die Sache von Brüssel ist“, sagte Hoeren, der in Münster den Lehrstuhl für Informations- und Medienrecht inne- hat.

Einige Punkte würden für deutsche Verbraucher erhebliche Veränderungen mit sich bringen: So berufen sich in den USA ansässige Internetunternehmen wie Google bislang darauf, nicht dem europäischen Datenschutzrecht zu unterliegen. Laut dem nun bekannt gewordenen Entwurf sollen die Rechte von Kunden und Internetnutzern gegenüber Firmen, die keinen Sitz in Europa haben, gestärkt werden. Vorgesehen ist, dass das europäische Recht auch dann gelten soll, wenn ein Unternehmen seinen Sitz außerhalb der EU hat, seine Angebote und Aktivitäten sich aber an europäische Verbraucher richten, etwa indem sie die Zahlung in Euro anbieten oder Seiten in europäischen Landessprachen.

Klare Kante zeigt die Generaldirektion unter Viviane Reding auch bei den Sanktionen. Bei schweren Verstößen gegen das Datenschutzrecht sollen Unternehmen mit Strafen von bis zu fünf Prozent ihrer jährlichen Umsätze belegt werden können. Die geplante Verordnung soll offenbar auch den Wettbewerb unter den sozialen Netzwerken und unter anderen Internetangeboten stärken. Die Verbraucher sollen das Recht auf eine Kopie ihrer sämtlichen Daten in elektronischer Form erhalten. So wäre es möglich, den Anbieter zu wechseln und das eigene „Profil“ ohne Verluste mitzunehmen.

Das „Profiling“ hingegen, also das Erstellen detaillierter Nutzerprofile durch Soziale Netzwerke oder Online-Shopping-Anbieter wird erschwert. Gar nicht mehr erlaubt soll es in Zukunft sein, die Daten von Jugendlichen unter 18 Jahren zum „Profiling“ zu verwenden. Die Verbraucher erhalten außerdem das Recht, „vergessen zu werden“, also das Recht darauf, dass ihre Daten gelöscht werden, wenn der Grund für die Speicherung erlischt.

Generell dürfen Daten nicht länger gespeichert werden als unbedingt nötig. Anbieter werden verpflichtet, die datensparsamste Einstellung zur Voreinstellung zu machen („privacy by default“) und bei neuen Technologien Gefahren für den Datenschutz bereits in der Entwicklungsphase zu berücksichtigen („privacy by design“). Für die Verwendung von Kundendaten zum Direktmarketing soll in Zukunft immer eine explizite Einwilligung des Nutzers nötig sein. Einen Datenschutzbeauftragten sollen Unternehmen schon ab einer Mitarbeiterzahl von 250 beschäftigen müssen – in Deutschland ist er bislang Pflicht, wenn in einem Unternehmen mindestens 20 Mitarbeiter personenbezogen Daten bearbeiten, andere europäische Länder kennen den betrieblichen Datenschutz bislang gar nicht.

Doch auch Unternehmen könnten von der Verordnung profitieren. Bislang ist es für nicht europäische Firmen sehr schwierig, Daten von Kunden und Verbrauchern aus der EU im Ausland zu speichern. Durch verbindliche Regeln und Standardverträge könnte das in Zukunft vereinfacht werden. Betroffen von der Verordnung könnten auch die USA sein: In Zukunft sollen Datentransfers in die USA, die aus europäischer Sicht als datenschutzmäßiges Entwicklungsland gelten, nur möglich sein, wenn der europäische Datenschutzbeauftragte zustimmt. Abkommen wie das jüngst beschlossene Fluggastdatenabkommen zwischen der EU und den USA könnten damit in Zukunft erschwert werden. Das Abkommen verpflichtet Fluglinien, Informationen über europäische Passagiere, die in die USA reisen, an die amerikanischen Sicherheitsbehörden weiterzugeben.

Experten und Politiker zeigten sich in ersten Reaktionen zufrieden mit dem Entwurf. „Die Kommission hat einen mutigen Entwurf erarbeitet, von der Tendenz her bin ich zufrieden“, sagte der Europaparlamentarier Axel Voss (CDU) dem Tagesspiegel. Voss hatte im Sommer eine Stellungnahme des Europaparlaments zum Datenschutz erarbeitet, die mit großer Mehrheit angenommen wurde. Viele der Forderungen, die das Parlament darin erhebt – etwa die Prinzipien „privacy by default“ und „privacy by design“ – finden sich im Entwurf der Kommission wieder. Voss begrüßte besonders die Möglichkeit, Sanktionen zu verhängen: „Wir erleben im Moment, dass Internetgiganten, die nicht in Europa ansässig sind, unser Recht nicht respektieren. Wir müssen einen Weg finden, dass diese das europäische Datenschutzrecht anwenden.“ Auch der Datenschutzexperte Thomas Hoeren hält den Entwurf für weitreichend. „Die gute Nachricht ist: Es steckt ziemlich viel deutsches Datenschutzrecht in dem Entwurf“, sagt Hoeren.

Justizkommissarin Viviane Reding gilt in Sachen Datenschutz als ambitioniert. Fraglich ist allerdings, wie viel von ihrem Entwurf das weitere Verfahren überleben wird. Zurzeit wird das Papier in der Kommission zwischen den Ressorts abgestimmt, offenbar gibt es schon Widerstand. Denkbar ist, dass der weitreichende Entwurf bewusst an die Öffentlichkeit gegeben wurde, um die Reaktionen zu testen. Hoeren warnt vor verfrühter Euphorie: „Das ist nicht der endgültige Text. Die Lobbyisten sind aufgeschreckt, jetzt geht in Brüssel der Kampf los.“ Auch einzelne Länder wie Großbritannien und Irland, deren Datenschutzrecht besonders stark abweicht, dürften Widerstand leisten.

Bis ein endgültiger Entwurf zur Abstimmung in den europäischen Gremien bereitliegt, könnte es also noch etwas dauern. Gerade weil sich im Verlauf der Abstimmung noch zahlreiche Vertreter von Partikularinteressen einschalten könnten, lohnt es sich aber, Redings Vorschlag im Blick zu behalten. Zumal die Modernisierung des deutschen Datenschutzrechtes so lange auf Eis liegen dürfte. Hierzulande wird man wohl abwarten, bis Vorgaben aus Brüssel kommen. Das von dem damaligen Innenminister Thomas de Maizière angekündigte „Rote-Linie-Gesetz“ jedenfalls schlummert friedlich.