Das sollten Sie über die EU-Datenschutzpläne wissen
Die EU will ihren Bürgern mehr Privatsphäre verschaffen, den Web-Datenschutz stärken. Lobbyisten der Internetbranche laufen Sturm – ein Anwalt warnt gar, Google und Facebook könnten künftig Geld von Europäern verlangen. Was genau plant Brüssel, wo gibt es Widerstände? Ein Überblick.
Spiegel Online, 14.1.2013 (mit Christian Stöcker)
Hamburg – Die derzeit extremste Lobbywarnung kommt von der Anwaltskanzlei Field Fisher Waterhouse. Deren Datenschutzexperte Eduardo Ustaran sagte dem US-Fachdienst ZDNet, wenn die Pläne der EU zum Thema Datenschutz nicht geändert würden, müssten Googles Mail-Service und Facebook womöglich bald Geld für ihre Dienste verlangen: “Wenn sie Daten nicht auf profitable oder für sie nützliche Weise verwenden dürften, müssten die Nutzer entweder dafür bezahlen oder aufhören, den Dienst zu nutzen”, sagte Ustaran, dessen Kanzlei unter anderem Facebook, Google und Zynga berät.
So weit gingen bislang nicht einmal die Branchenverbände der IT-Industrie, die sich selbst samt und sonders kritisch gegenüber dem bearbeiteten Entwurf für eine neue EU-Datenschutzverordnung geäußert haben. Ustarans demonstrative Schwarzmalerei macht deutlich, mit was für harten Bandagen derzeit um die Datenschutzreform gekämpft wird.
Doch worum geht es eigentlich? Wir beantworten die wichtigsten Fragen.
Was ist bislang geschehen?
Die EU-Kommissarin für Justiz, Viviane Reding, hat Anfang 2012 einen Entwurf (Reding-Entwurf) für eine neue EU-Datenschutzverordnung vorgelegt. Damit soll das EU-Recht zum Thema Datenschutz dem Internet-Zeitalter angepasst werden. Reding versprach damals etwa ein “Recht, vergessen zu werden” für Verbraucher, die persönliche Informationen auf Internetplattformen hinterlassen.
Den Branchen, die mit persönlichen Daten umgehen, versprach sie im Gegenzug einen “one stop shop” für datenschutzrechtliche Abklärungen – ein einheitliches EU-Regelwerk und eindeutige Ansprechpartner für jedes Unternehmen. Mittlerweile hat der Grünen-Europaabgeordnete Jan Philipp Albrecht, Berichterstatter des Parlamentsausschusses für Justiz, Bürgerrechte und Inneres, eine bearbeitete Fassung (Albrecht-Entwurf) vorgelegt.
Die eingearbeiteten Änderungsvorschläge basieren zum Teil auf den vielen Eingaben, die Unternehmen, Verbände, Bürgerrechtsorganisationen und andere im vergangenen Jahr gemacht haben. Auch die Mitglieder der Fraktionen konnten Vorschläge machen und Kommentare abgeben.
Wie weit ist das Verfahren?
Im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres können bis zum 27. Februar Änderungsanträge eingereicht werden. Voraussichtlich Ende März oder Anfang April wird der Ausschuss über den Entwurf abstimmen. Parallel bearbeitet eine Arbeitsgruppe des EU-Rats den Entwurf. Im Juni oder Juli könnte das Parlament über den Text abstimmen. Albrecht erwartet, dass die Abstimmung zwischen Parlament und EU-Rat bis spätestens Ende des Jahres abgeschlossen ist. Rat und Parlament müssen eine neue Verordnung gemeinsam vereinbaren und erlassen.
Wer streitet mit wem und worüber?
Zu den interessierten Parteien gehören Unternehmen, Bürgerrechtler und Datenschutzbeauftragte in den Mitgliedsländern. Letztere möchten verhindern, dass die EU ihren Einflussbereich einschränkt und es Unternehmen womöglich leichter macht, Datenschutzauflagen zu ihren Gunsten auszulegen. Wirtschaft und Bürgerrechtler streiten etwa darüber, was eigentlich personenbezogene Daten sind und wie mit ihnen zu verfahren ist. Die Wirtschaft wünscht sich flexible, nicht allzu strenge Regeln und argumentiert, ein enges Korsett würde Innovation und Wachstum behindern. Bürgerrechtler argumentieren, verlässlicher Datenschutz sei eine notwendige Grundlage für Nutzervertrauen und damit auch für Wachstum.
Wann gelten Daten als personenbezogen?
Jan Philipp Albrecht ist unzufrieden mit der Definition personenbezogener Daten, die in dem ursprünglichen Kommissionsentwurf zu finden ist. Viele Datenspuren, die jeweils für sich genommen nicht als personenbezogen gelten könnten, können kombiniert werden, um einen Nutzer am Ende doch eindeutig zu identifizieren. Etwa, so heißt es im Reding-Entwurf, “IP-Adressen, Cookie-Kennungen oder andere eindeutige Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern”.
Albrechts Entwurf sieht in diesem Abschnitt eine Ergänzung vor: “Da diese Kennungen Spuren hinterlassen und verwendet werden können, um natürliche Personen herauszugreifen, sollte diese Verordnung auf Verarbeitung angewandt werden, die diese Daten umfasst”. Außer wenn “diese Kennungen sich nachgewiesenermaßen nicht auf natürliche Personen” beziehen, “wie etwa die von Unternehmen verwendeten IP-Adressen”.
Über die genaue Definition dessen, was personenbezogene Daten sind, wird noch heftig gestritten werden.
Wer braucht wann die Einwilligung des Nutzers?
Firmen dürfen personenbezogene Daten verarbeiten, wenn sie die Einwilligung der betroffenen Personen haben oder ein Gesetz die Verarbeitung ausdrücklich erlaubt – das ist der Grundsatz der neuen Datenschutzverordnung. EU-Kommission und der Berichterstatter Albrecht sind sich hier im Prinzip einig.
Doch welche Ausnahmen von diesem Prinzip sind erlaubt und wie hat eine Einwilligung auszusehen?
Der Reding-Entwurf enthält eine so weitreichende wie vage Ausnahme: “Berechtigte Interessen” eines Datenverarbeiters können eine Einwilligung unnötig machen. Die Verarbeitung personenbezogener Daten kann auch so legal sein, sofern “die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen”.
Diese sehr weit interpretierbare Ausnahme schränkt der Albrecht-Entwurf ein: “In Ausnahmefällen” könne so etwas zulässig sein, heißt es da, außerdem werden die “berechtigten Interessen” der Datenverarbeiter konkretisiert. Genannt werden zum Beispiel: Verarbeitung personenbezogener Daten als Teil der Ausübung des Rechts auf freie Meinungsäußerung, der Freiheit der Medien, der Kunst. Explizit wird im neuen Entwurf als Zweck auch die Direktwerbung erwähnt – hier versucht der Grüne Albrecht offensichtlich einen Kompromiss zu formulieren, den die großen Lobbygruppen nicht sofort ablehnen.
Was gilt als Einwilligung des Nutzers, was nicht?
Der Albrecht-Entwurf präzisiert außerdem, was überhaupt als Einwilligung gilt – ein vorab standardmäßig angekreuztes Häkchen zum Beispiel nicht. Er führt ein zusätzliches Kriterium ein, nach dem Einwilligung zu werten ist: die Marktmacht eines Anbieters. Wenn eine Firma eine beträchtliche Marktmacht “in Bezug auf die der betroffenen Person angebotenen Waren oder Dienstleistungen verfügt”, soll eine Einwilligung keine rechtliche Handhabe für die Verarbeitung personenbezogener Daten liefern.
Albrechts Entwurf führt diesen Gedanken weiter aus: Ungültig soll eine Einwilligung auch sein, wenn eine Firma die Bedingungen für einen Dienst ändert und Kunden nur die Wahl lässt, zuzustimmen oder auf einen Dienst zu verzichten, in den sie “erhebliche Zeit investiert” haben. Damit könnte beispielsweise die Facebook-Strategie gemeint sein, immer mehr Daten der Mitglieder nachträglich als “öffentlich” zu deklarieren, ohne die Einwilligung der Nutzer einzuholen.
Wer beaufsichtigt Firmen in der EU?
Die EU-Kommission will, dass ein Unternehmen mit mehreren Niederlassungen in EU-Staaten nur von den Behörden des Staates beaufsichtigt wird, wo die EU-Zentrale der Firma sitzt. Bei Facebook wäre dann zum Beispiel nur noch der irische Datenschutzbeauftragte zuständig für alle Anliegen aller EU-Bürger.
Diese Zentralisierung lehnt Albrecht ab. Sein Entwurf der neuen Datenschutzverordnung sieht vor, dass die EU-Bürger weiterhin bei ihrer Aufsichtsbehörde Probleme ansprechen können, “und zwar vor Ort und in ihrer Landessprache”, so Albrecht. In dem neuen Entwurf sind die Behörden in dem Land mit der EU-Zentrale einer Firma nur “federführend” bei der Aufsicht, nicht “zuständig”. Sie haben nicht das letzte Wort und sie müssen die Kollegen konsultieren.
Zudem hätte seinen Vorschlägen zufolge der neue gemeinsame EU-Datenschutzausschuss, dem Datenschützer aller Mitgliedsländer angehörten sollen, eine Art Einspruchsrecht: Beschwert sich beispielsweise ein deutscher Datenschützer bei seinem irischen Kollegen über ein dort ansässiges Unternehmen, und handelt der Ire dann nach Meinung des Deutschen nicht entsprechend, würde der Konflikt vor dem Ausschuss landen. Der könnte den Iren dann mit einer Zweidrittelmehrheit zum Handeln zwingen. Der Reding-Entwurf sah stattdessen vor, dass in solchen Streitfällen die Kommission das letzte Wort hat.
Der Kommissionsvorschlag hat für Unternehmen einige Vorteile: Sie haben nur einen Ansprechpartner und mehr Rechtssicherheit. Die Nachteile für alle anderen: Nutzer müssen in anderen Staaten Hilfe suchen, der Wettbewerb der Ideen bei der Auslegung und Durchsetzung von EU-Regelungen verschwindet. Und es könnte sein, dass bestimmte Firmen sich den Standort ihrer EU-Zentrale im Hinblick auf die Schwäche der Datenschutzaufsicht aussuchen. Solchen Standort-Wettbewerb gibt es in der EU längst – Apple und Amazon verkaufen zum Beispiel allen EU-Kunden unter anderem E-Books aus dem Niedrigsteuerland Luxemburg.
Wie viel Macht darf die EU-Kommission haben?
Bislang galt: Datenschutzaufsicht in EU-Staaten muss völlig unabhängig von staatlichen Stellen sein, die Kontrolleure dürfen nicht unter der Aufsicht der Exekutive stehen. So steht es in der bisherigen Datenschutzrichtlinie. Die EU-Kommission will diesen Grundsatz aufweichen und sich als Aufsicht für die Datenschützer installieren.
Im Reding-Entwurf der neuen Verordnung räumt sich die EU-Kommission das Recht ein, geplante Maßnahmen von Datenschützern auszusetzen. Außerdem will die Kommission in bestimmten Fällen mit “Durchführungsrechtsakten” in die Aufsicht eingreifen.
Im EU-Parlament gibt es Widerstand gegen diese Pläne. Dem Albrecht-Entwurf zufolge bekäme die Kommission kein Recht zur Aussetzung von Maßnahmen. Die Kommission dürfte demnach nur detaillierte Begründungen der Behörden verlangen – und als letztes Mittel Entscheidungen von Datenschützern vor Gericht anfechten.
- Auf Twitter teilen
- Auf Facebook teilen
- Auf LinkedIn teilen
- Auf Pinterest teilen
- Per E-Mail teilen
- Link kopieren
