Im Januar 2012 hat die EU-Kommissarin für Grundrechte und Justiz die lang erwartete Reform des Datenschutzrechts in Europa auf den Tisch gelegt. Das gesamte Jahr über wurde über die Reformvorschläge – insbesondere die neue EU-Datenschutzgrundverordnung – diskutiert. Ich bin der zuständige Berichterstatter des Europäischen Parlaments. Am 10. Januar 2013 wird der Innenausschuss seine Änderungen vorlegen und im Frühjahr mit dem Ministerrat verhandeln. Vor den Wahlen zum Europäischen Parlament 2014 sollen die neuen Datenschutzregeln unter Dach und Fach sein.
Datenschutz wird wichtiger, nicht unwichtiger
Eine Reform des EU-Datenschutzrechts: Das klingt nach Paragrafenreiten grauer Männer aus einer anderen Zeit. Bunt und einfach umarmt uns dagegen unsere digitalisierte Welt: „Ah, der Zug hat Verspätung, gut zu wissen.“, „Cool, Anna hat ein Bild aus New York gepostet.“, „Wow, ich kann hier einfach mit meinem Smartphone bezahlen.“ Datenschutz allein den grauen Männern zu überlassen, ist allerdings naiv. So wie wir versuchen, den CO2-Ausstoß von Kraftwerken und gefährliche Spekulationen an Finanzmärkten einzudämmen, müssen wir für eine lebenswertere Welt auch die Verbreitung unserer Daten kontrollieren. Die derzeit diskutierte Reform des EU-Datenschutzrechts bietet die Chance dazu.
Unsere digitale Umwelt funktioniert weitestgehend privatisiert – mit allen dazugehörigen Vor- und Nachteilen. Mit den vielen hilfreichen und intuitiven Innovationen geht eine schwer durchschaubare und risikoreiche Ansammlung von Daten einher. Daten sind dabei nicht nur das Abfallprodukt nützlicher Anwendungen, die wir in Anspruch nehmen. Im Gegenteil: Ihr Weiterverkauf bildet immer öfter die Gewinnmarge der Unternehmen. Der Marktlogik folgend, braucht es für mehr Gewinn also immer mehr Daten. Jüngst erregte der Mobilfunkanbieter O2 Aufsehen mit dem Vorstoß, die Standortdaten seiner KundInnen in Verbindung mit persönlichen Daten an Gewerbetreibende zu verkaufen, etwa um feststellen wie lange und wie oft Kunde X vor welchen Schaufenstern verweilt. Das bedeutet nichts anderes als eine private Vorratsdatenspeicherung. Doch solche Datensammlungen wecken nicht nur kommerzielle Begehrlichkeiten: Noch nie wurde Google aufgefordert, so viele NutzerInnendaten an staatliche Behörden auszuhändigen wie im Jahr 2012. Das größere Problem hinter all diesen Phänomen: Auf Basis unserer persönlichen Informationen wird definiert, wer wir sind. So kann sich ohne unser Wissen entscheiden, ob wir kreditwürdig sind, wie viel wir für unsere Versicherung bezahlen, welche Nachrichten wir zu lesen kriegen oder ob wir einen Job bekommen. Zudem ist Datenschutz Grundlage demokratischen Zusammenlebens. Wie das Bundesverfassungsgericht im berühmten Volkszählungsurteil hervorhob, werden Menschen, die sich beobachtet fühlen, ihr Verhalten anpassen. Die freie Meinungsäußerung, elementare Grundlage demokratischen Miteinanders, wird so beeinträchtigt. Wegen dieser vielfach schon Realität gewordenen Gefahren auf die Vorteile der Digitalisierung zu verzichten, wäre schade. Der einzige Weg aus diesem Dilemma: Wir müssen wieder Souverän über unsere Daten werden. Der Schutz personenbezogener Daten wurde nicht umsonst in der EU-Grundrechtecharta verankert.
Die bestehenden Gesetze zum Datenschutz sind unzureichend. Unternehmen müssen sich kaum für ihren Umgang mit persönlichen Daten verantworten, geschweige denn Konsequenzen befürchten. Sie preschen selbstbewusst mit neuen Funktionen ihrer Produkte, die noch mehr Daten in neuen Kontexten verarbeiten, auf den Markt. Wer sowieso NutzerIn ihrer Angebote ist, hat oft keine Wahl. Wer will schon seinen jahrelang genutzten Google Mail-Account aufgeben, weil er oder sie nicht mit einem neuen „Feature“, wie der Verknüpfung von Sucheingaben und E-Mail-Nutzungsdaten zur „Optimierung der Suchergebnisse“, einverstanden ist?
Die derzeit geltende Rechtsgrundlage in Europa ist die europäische Datenschutzrichtlinie von 1995. Ein Update ist also mehr als überfällig. Im Januar 2012 hat die Europäische Kommission einen Vorschlag für ein solches Update vorgelegt. Dem Gesetzgebungsverfahren der EU folgend, wird der Entwurf für die EU-Datenschutz-Grundverordnung derzeit im Europäischen Parlament und im Rat der Europäischen Union diskutiert, überarbeitet und erweitert. Als Berichterstatter des Europäischen Parlaments bin ich einer der Abgeordneten mit dem größten Einfluss auf das Gesetz. Der Vorschlag der Kommission ist grundsätzlich gut. Er zielt auf hohe, stärker harmonisierte und dem Internetzeitalter angemessene Datenschutzstandards unter Beibehaltung der an sich sinnvollen Prinzipien der 1995er-Richtlinie: Datensparsamkeit, Einwilligung durch die NutzerInnen, die Zweckbindung der erhobenen Daten und ein Recht auf Auskunft. Aus bürgerrechtlicher Perspektive geht es jetzt vor allem darum, Ausnahmeregeln zu begrenzen und die guten Ideen zu konkretisieren.
Wie der Reformvorschlag im Einzelnen aussieht und was wir verändern wollen
An erster Stelle ist die Änderung der Rechtsform im Kommissions-Vorschlag hervorzuheben: Von der Richtlinie zur Verordnung. Das bedeutet praktisch, dass nach der Reform in jedem EU-Mitgliedstaat die gleichen Datenschutzstandards gelten müssen. Derzeit erlassen die 27 Mitgliedsstaaten ihre eigenen Gesetze anhand der Datenschutz-Richtlinie von 1995. Die unterschiedliche Umsetzung dessen hat zu einem ungleichmäßigen Datenschutzniveau in der EU geführt. Vorteil der geplanten Verordnung: Unternehmen können sich nicht mehr das Land mit den niedrigsten Datenschutzstandards als Firmensitz aussuchen. Nicht umsonst hat Facebook seinen europäischen Firmensitz in Irland, wo ein vergleichsweise schwaches Datenschutzniveau vorherrscht. Doch auch der Rückzug aus Europa hilft den Firmen nicht: Der Reformvorschlag sieht vor, dass europäische Datenschutzstandards gelten, sobald Daten von EuropäerInnen verarbeitet werden – unabhängig vom Sitz des Unternehmens. Umso wichtiger ist es daher für uns, möglichst hohe und klar definierte Datenschutzstandards im Reformvorschlag festzuschreiben.
Datenschutz beginnt vor der Nutzung eines Dienstes. NutzerInnen müssen laut Reformvorschlag eindeutig darüber informiert werden, was mit ihren Daten geschieht, um dann bewusst einzuwilligen. Aber Hand aufs Herz: Wer hat die seitenlangen allgemeinen Geschäftsbedingungen der von ihm oder ihr genutzten Internetdienste wirklich gelesen? Es braucht daher einfach und schnell verständliche Nutzungsbedingungen in Form von standardisierten Symbolen, wie wir sie etwa bei Lebensmitteln kennen. Das Prinzip der expliziten Einwilligung sollte zudem technisch gestärkt werden: Wenn ich durch die Privatsphäre-Einstellungen meines Internetbrowsers signalisiere, dass ich dem Erstellen von Nutzungsprofilen anhand meines Surfverhaltens nicht zustimme, sollen Diensteanbieter das respektieren. Eine Möglichkeit hierfür böte die sogenannte Do Not Track-Funktion, die in gängigen Browsern bereits installiert ist. Der Gesetzesvorschlag sollte ein Anreiz für Internetdienstleister sein, bei solchen Maßnahmen mitzuwirken.
Auch auf Unternehmensseite beginnt Datenschutz vor dem Anbieten eines Dienstes. Der Reform-Vorschlag verpflichtet Unternehmen ihre Angebote möglichst datensparsam zu konzipieren und mit den datensschutzfreundlichsten Voreinstellungen anzubieten. Facebook verfährt beispielsweise derzeit genau anders herum: Wenn ich einen Account eröffne, sind die Privatsphäre-Einstellungen am niedrigsten. Beim datenschutzfreundlichen Design wollen wir das Prinzip der Zweckbindung stärken. Das heißt: Welche Daten sind für die Nutzung des Dienstes wirklich nötig? Und: Braucht es immer meine eindeutige Identifizierung? Diese Fragen sollen sich Diensteanbieter im Vorfeld stellen. Viele Angebote funktionieren auch mit anonymer oder pseudonymer Nutzung. Ob meine Freundin unter vollem Namen oder als „spacecommander86“ mit mir chattet, beeinträchtigt unsere Kommunikation in keinster Weise.
Sind unsere Daten einmal in der Welt, gilt es die Kontrolle über sie zu behalten. Wir wollen, dass Speicherfristen klar definiert werden und Daten, wenn der Zweck der Verarbeitung erfüllt wurde, auch wieder gelöscht werden. Das im Reformvorschlag gestärkte Recht auf Löschung und Korrektur meiner Daten muss einfach wahrnehmbar sein. Dazu wollen wir mit der Verordnung Auskunftsrechte gegenüber den Anbietern stärken. In verständlicher Sprache, kostenfrei und möglichst schnell soll mir mitgeteilt werden, wer was mit welchen Daten von mir macht. Neu ist dabei das Recht auf Datenportabilität: Auf Anfrage sollen mir Diensteanbieter meine bei ihnen gespeicherten Daten in einem maschinenlesenbaren Format, das heißt digital und nicht auf hunderten Seiten Papier, aushändigen. Damit könnte ich dann zum datenschutzfreundlicheren Konkurrenzanbieter wechseln oder meine Daten visualisieren lassen, wie es der Grüne Malte Spitz jüngst vorgemacht und damit die Ausmaße der über ihn gespeicherten Daten veranschaulicht hat. Was Malte Spitz nur als Mammutprojekt mit professioneller Hilfe realisieren konnte, sollte für uns alle möglich werden. So können wir in Zukunft besser vergleichen, wo unsere Daten wirklich gut aufgehoben sind.
Eine weitere Neuerung im Reformvorschlag ist das „Recht auf Vergessenwerden“. Dieses Recht ist ein weiterer Schutzmechanismus gegen den Missbrauch persönlicher Informationen. Der Anbieter, der ohne meine Einwilligung Daten von mir erhoben hat, soll sich auch bemühen, dass Dritte, an die er diese Daten weitergegeben hat, diese entfernen. Wessen persönliche Informationen im Jugendalter unrechtmäßig durch ein soziales Netzwerk an Dritte gegeben wurden, ist zehn Jahre später mit Recht daran interessiert, dass davon nicht mehr seine Chancen auf einen Hauskredit oder Job abhängen. Dies gilt nicht im Kontext öffentlichen Interesses. PolitikerInnen soll damit etwa keine Hintertür zur Verhinderung unliebsamer Berichterstattung geöffnet werden. Das wollen wir in unseren Änderungen am Reformvorschlag noch einmal verdeutlichen. Es geht darum die Folgen unrechtmäßiger Datenverarbeitung abzumildern und nicht darum, die Meinungsfreiheit einzuschränken.
Damit die Datenschutz-Grundverordnung kein zahnloser Tiger bleibt, zielt der Verordnungsvorschlag vor allem auf eine verbesserte Durchsetzung des Datenschutzrechts. Dazu sollen zunächst die Datenschutzbehörden gestärkt werden. Datenschutzwer? Nur 1/3 der EuropäerInnen kennen ihre nationalen Datenschutzbehörden. Sie sind normalerweise zur Kontrolle und Durchführung der Datenschutzstandards zuständig. Bislang endet ihr Tätigkeitsbereich an den Ländergrenzen der Mitgliedsstaaten. Der Jurastudent Max Schrems, der Facebook wegen seiner unzulässigen Datenschutzpraktiken angezeigt hat, musste dies über den Umweg der irischen Datenschutzbehörde tun. Der Reformvorschlag soll deshalb die Zusammenarbeit zwischen den nationalen Datenschutzbehörden verbessern, so dass immer meine nationale Datenschutzbehörde, die meine Landessprache spricht, auch meine Ansprechpartnerin ist. Dazu müssen die Datenschutzbehörden vor allem besser ausgestattet werden. Zudem fordert der Reformvorschlag finanzielle Sanktionen in Höhe von 2% des Jahresumsatzes der Unternehmen. Sanktionen in dieser Größenordnung können wehtun. Zum Vergleich: Der Lebensmittelkonzern musste wegen Datenschutzvergehen zuletzt 1,5 Millionen Euro Strafe zahlen. Lidl hat einen Jahresumsatz von 30,85 Milliarden Euro. Bei Anwendung des Verordnungsvorschlags müssten sie nun 617 Millionen Euro zahlen. Das wäre der 411fache Strafbetrag.
Die neue EU-Datenschutz-Grundverordnung bringt vor allem ein Mehr an Transparenz und Kontrolle. Das Ungleichgewicht zwischen multinationalen Konzernen und uns als NutzerInnen kann wieder in die Waage gebracht werden.
2013 wird das Datenschutzjahr in der EU
Nachdem die Europäische Kommission den Vorschlag für eine Datenschutz-Grundverordnung im Januar 2012 vorgestellt hat, wird dieser nun im Europäischen Parlament sowie im Rat der Europäischen Union (Ministerrat) diskutiert und überarbeitet. Danach diskutieren die drei Institutionen miteinander und versuchen zu einer Einigung und damit zu einem fertigen Gesetz zu kommen, mit dem alle Beteiligten leben können. Voraussetzung dafür ist, dass die Institutionen jeweils eine Meinung samt Änderungsvorschlägen zum Gesetzesvorschlag haben. Für das Europäische Parlament mit seinen über 700 Abgeordneten ist das naturgemäß am schwierigsten.
Im Parlament ist der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) federführend. Diesem Ausschuss lege ich als Berichterstatter meinen Bericht vor, der meine gesammelten Änderungswünsche am Kommissionsvorschlag enthält. Dieser Bericht soll nun am 10. Januar 2013 vorgestellt werden. Danach können andere Abgeordnete des LIBE-Ausschusses ihre Änderungswünsche am Kommissionsvorschlag anbringen. Doch nicht nur der LIBE-Ausschuss diskutiert die Datenschutz-Grundverordnung. Auch andere Ausschüsse wie der Ausschuss für Beschäftigung und soziale Angelegenheiten (EMPL) befassen sich mit dem Entwurf, etwa in Fragen des ArbeitnehmerInnen-Datenschutzes. Die Meinungen der beteiligten Ausschüsse werden im federführenden LIBE-Ausschuss berücksichtigt. Es folgt die finale Abstimmung im LIBE-Ausschuss. Hier werden alle vorgebrachten Änderungsvorschläge am Kommissions-Vorschlag abgestimmt. Als Berichterstatter kommt mir im Vorfeld der Abstimmung die Rolle der Kompromissfindung zu. Fraktionsübergreifend muss der Ausschuss, stellvertretend für das gesamte Parlament, hier zu seiner Position zum Kommissions-Entwurf kommen. Das Ergebnis der abschließenden Abstimmung im LIBE-Ausschuss ist dann das Verhandlungsmandat, mit dem das Parlament in die Verhandlungen mit dem Ministerrat tritt.
Das Europäische Parlament ist sich in Sachen Datenschutz-Grundverordnung relativ einig. Es begrüßt den Kommissions-Vorschlag und drängt zusammen mit der Kommission auf eine schnelle Verabschiedung des Vorschlags mit einigen Konkretisierungen. Ziel ist eine Einigung noch innerhalb der Legislaturperiode, also bis 2014. Anders verhält es sich im Rat. Einige Mitgliedstaaten sind dem Kommissions-Vorschlag zur Datenschutz-Grundverordnung abgeneigt und versuchen das Verfahren zu verzögern. Besonders das deutsche Innenministerium erregte jüngst Aufsehen mit seiner Kritik am Verordnungsvorschlag. Die Kritik des Innenministeriums wirkt dabei eher wirtschaftsfreundlich. Immer öfter ist das Wort „Selbstregulierung“ aus Berlin zu hören. Das bedeutet im Klartext, dass Firmen sich unverbindlichen Regeln verschreiben und der Gesetzgeber sich weitestgehend heraushält. An der Fähigkeit zur Selbstregulierung von Firmen wie Facebook ist zu zweifeln. Der deutsche Innenminister Hans Peter Friedrich (CSU) versprach im Jahr 2011 „mittelfristig einen allgemeinen Kodex für soziale Netzwerke zu schaffen“. Das Ergebnis bleibt er uns bis heute schuldig.
Das Stichwort Wirtschaft ist schon gefallen. Nicht nur das deutsche Innenministerium, auch die Abgeordneten des Europäischen Parlaments stehen derzeit unter massivem Lobbydruck. Viele Unternehmen fürchten um ihre Geschäftsgrundlage. Eine bürgerrechtsfreundliche Datenschutz-Grundverordnung beeinträchtigt fragwürdige Geschäftsmodelle, die persönliche Informationen aus unterschiedlichen Kontexten zusammenführen, Personenprofile erstellen und diese weiterverkaufen. In Unternehmenskreisen wird dabei wird oft vergessen, dass die Reform für die Unternehmen auch Erleichterungen mit sich bringt. Gerade multinational agierende Firmen müssen sich nicht mehr auf 27 unterschiedliche Datenschutzgesetze, sondern nur noch ein europäisches Datenschutzgesetz einstellen. Die liberale Forderung nach weniger Bürokratie wird so Wirklichkeit. Zudem bietet eine Reform des europäischen Datenschutzes auch die Chance, eine neue digitale Ökonomie zu schaffen, die nachhaltig mit persönlichen Daten umgeht und genau dies zu ihrem Gütesiegel macht. Datenschutz ist im wahrsten Sinne des Wortes digitaler Umweltschutz. Doch um einen hohen Datenschutzstandard auf europäischer Ebene in diesem Sinne zur Realität werden zu lassen, gilt es, im Jahr 2013 für eine möglichst gute und starke EU-Verordnung einzutreten. Dafür braucht es die Unterstützung all jener, die den Datenschutz als Grundrecht und grundlegendes Verbraucherrecht bewahren wollen.
Comments are closed