Datenschutz in Europa Hilfe im digitalen Dschungel

Der Stand von IBM bei der Cebit: Die Reform soll Europas Bürgern mehr Handhabe gegenüber datenverarbeitenden Firmen geben.

Umfassende Reform völlig veralteter Regeln: Europas Bürger sollen mehr Kontrolle darüber bekommen, wie ihre persönlichen Daten verwendet werden. Die Entscheidung des Europaparlaments ist ein entscheidender Schritt - aber lange kein Garant für die Umsetzung. Der Druck der Lobbyisten ist groß.

Von Javier Cáceres, Brüssel

Dimitrios Droutsas wurde es warm ums Herz. Zumindest behauptete der griechische Sozialist, ihm sei durchaus feierlich zumute, wegen eines eindeutigen Votums des Europaparlaments. Der Grund: Am Mittwoch fixierte das Plenum in Straßburg seine Position zu einer umfassenden Datenschutzreform - und tat das auch noch in vergleichsweise seltener Einhelligkeit.

Das heißt zwar nicht, dass die Reform verabschiedet wäre. Noch lange nicht. Das Europaparlament kann aber immerhin mit einigem Recht für sich in Anspruch nehmen, die Datenschutzreform in ihrer jetzigen Fassung mit ebendiesem Votum zumindest in die nächste Legislaturperiode hinübergerettet zu haben. Aber der Reihe nach.

Schwammige Richtlinie

Anfang 2012 hatte die Europäische Kommission einen Gesetzesvorschlag präsentiert, um die geltenden Datenschutzbestimmungen in Europa dem Stand der Technik anzupassen. Zurzeit gilt auf europäischer Ebene eine "Richtlinie" aus dem Jahr 1995, die mit einer Reihe von Unzulänglichkeiten behaftet ist. Erstens, weil sie aus einem Zeitalter stammt, in dem die Dimension des milliardenschweren Geschäfts mit digitalen Identitäten von Verbrauchern für die Privatsphäre nur in Umrissen erkennbar war.

Und zweitens, weil eine Richtlinie (im Gegensatz zu den Verordnungen, die in allen EU-Staaten unmittelbar geltendes Recht setzen) den Mitgliedsstaaten Gestaltungsspielräume einräumen. So auch beim Datenschutz - mit teilweise fatalen Folgen etwa für Internet-Nutzer. Denn in den verschiedenen EU-Staaten gelten national unterschiedliche Schutzstandards.

Gerade multinationale Unternehmen wie Facebook oder Google nutzen dies aus - und lassen sich bevorzugt dort nieder, wo das Datenschutzniveau niedriger ist, etwa in Irland. Doch auch Unternehmen erklären, dass sie angesichts von Datenströmen, die keine nationalen Grenzen kennen, ein harmonisiertes Rechtswerk bevorzugen würden.

Inhaltlich "keine große Revolution"

Der nun vom Europaparlament beschlossene Text ist vom ursprünglichen Kommissionsvorschlag nicht weit entfernt. "Inhaltlich", so sagte es der zuständige Berichterstatter Jan Philipp Albrecht am Mittwoch in Anspielung auf die geltenden Datenschutzrechte, seien die neuen Regeln zwar "keine große Revolution". Aber die Reform halte gewichtige Präzisierungen, Verbesserungen, größere Transparenz parat: "Jeder Mensch wird genau wissen, was für Rechte er hat, wenn seine Daten verarbeitet werden. Und welche Pflichten dem Datenverarbeiter obliegen."

Zudem soll für den Verbraucher leichter erkennbar und verständlicher werden, welche persönlichen Daten wie verarbeitet werden, oder wie sie gelöscht werden können - etwa durch einfache Symbole statt schwer entzifferbarer Geschäftsbedingungen. Verbraucher sollen sich auch wohnortnah gegen Verstöße durch Firmen wehren können, für schwerste Verstöße sind saftige Strafen vorgesehen, von bis zu fünf Prozent des Jahresumsatzes.

Abschluss frühestens am Jahresende

Doch das alles ist noch im Konjunktiv formuliert. Denn die abschließenden Verhandlungen über die Reform mit dem Europäischen Rat, also mit den Vertretern der Regierungen, stehen noch immer aus.

Der Grund dafür ist, dass sich die Beratungen im Rat überaus zäh gestalten - wegen des Drucks von Lobby-Vertretern, aber auch aus Sorge um den Charakter der Reform. Auch die Bundesregierung zählte zu den Bremsern, verwies aber stets darauf, dass es ihr darum ging, den hohen und auch komplexen deutschen Datenschutzstandard zu wahren.

Nach den Enthüllungen des früheren NSA-Mitarbeiters Edward Snowden sah es zeitweise so aus, als würden die Regierungen Tempo entwickeln. Geheimdiensttätigkeit ist zwar kein originärer Bestandteil der Verordnung. Aber Datenschutz war in aller Munde. Mittlerweile fährt der Rat wieder untertourig. Im Januar entschieden sich die Innen- und Justizminister lediglich dazu, bis zum Sommer eine gemeinsame Position zu entwickeln. Erst danach können Verhandlungen mit dem Parlament beginnen, ein Abschluss wäre am Jahresende möglich. Frühestens.

"Es wäre unverantwortlich, es weiter zu verschieben", sagte Berichterstatter Albrecht, "jeder Tag, der ohne Rechtsetzung vergeht, spielt den Big-Data-Firmen in Silicon Valley in die Hände." Ein Zusammenschluss von Internetfirmen-Verbänden, darunter auch US-Vertreter, erklärte am Mittwoch, man hoffe, die Regierungen werden den "innovations- und investitionsfeindlichen Ansatz" abschwächen.

Parallel zur Verordnung stimmte das Parlament über einen weiteren wichtigen Aspekt der Reform ab: die Richtlinie über die Datenverarbeitung durch Strafverfolgungsbehörden. Konservative und Christdemokraten stimmten gegen den Richtlinienvorschlag, weil er "praxisfern und damit kontraproduktiv" gewesen wäre, wie der CDU-Abgeordnete Axel Voss sagte. Berichterstatter Droutsas wunderte sich. Dass man die Bürger vor Google besser schützen wolle als vor "Polizei- und Justizbehörden, die manchmal dazu neigen, willkürlich aufzutreten", müsse man den Wählern schon erklären.