Die EU-Staaten haben sich auf das künftige Gerüst des europäischen Datenschutzrechts geeinigt, ringen mit Brüssel aber weiter um die Details des neuen Regelwerks. Nach dem Treffen der Innen- und Justizminister am Dienstag auf Zypern war in Diplomatenkreisen von einem "politischen Durchbruch" die Rede. Dass Deutschland seinen angeblichen Widerstand gegen europaweit einheitlichere Regeln aufgegeben habe, dementierte die deutsche Delegation allerdings. "Wir wollen nach wie vor nicht, dass alles bis ins letzte Detail aus Brüssel geregelt wird".
Die Debatte dreht sich insbesondere um die Datenschutzpflicht öffentlicher Stellen einerseits und der Privatwirtschaft andererseits. Deutschland will über seine staatlichen Datenbanken weiterhin mit möglichst freier Hand verfügen und selbst entscheiden dürfen, wann Behörden zu welchem Zweck auf Daten zugreifen und wie lange diese gespeichert werden können.
Viele Ziele
Dieser Vorbehalt betreffe etwa Kranken- und Rentenversicherungsnummern, das Ausländerverzeichnis sowie Kfz- und Waffenregister. "Im privaten Bereich können wir das alles durchregulieren", hieß es von deutscher Seite. Andere Mitgliedstaaten hätten sich dazu ähnlich positioniert.
Basis der Verhandlungen ist ein Brüsseler Gesetzesentwurf, der mehrere Ziele verfolgt: EU-Bürger sollen mehr Einfluss auf die von ihnen im Internet kursierenden Daten und dazu ein "Recht auf Vergessen" bekommen, also eigene Daten auf Wunsch löschen lassen können. Nutzer von Internet-Diensten sollen ihre Profile von einem sozialen Netzwerk oder E-Mail-Anbieter zum anderen mitnehmen können. Verliert ein Unternehmen - etwa durch Hacker-Angriffe - sensible Daten, muss es die Betroffenen schnellstmöglich über den Vorfall informieren und Schadenersatz leisten, sofern es seine Sorgfaltspflicht verletzt hat.
Künftig sollen EU-Datenschutzregeln für alle Unternehmen gelten, die ihre Dienste in Europa aktiv anbieten - auch wenn sie keinen Sitz in der EU haben, wie zum Beispiel Google oder Facebook. Europäische Datenschutzbehörden sollen sich bei Streitfällen wie Google Street View oder Facebooks Like-Button besser abstimmen und auf eine gemeinsame Position einigen - auch wenn diese im Vergleich zur jeweiligen nationalen Regelung laxer oder strikter ausfallen kann.
Strafen für Unternehmen
Verstoßen Unternehmen gegen Datenschutzvorgaben, drohen ihnen Strafen bis zu eine Million Euro oder zwei Prozent des Umsatzes In all diesen Fragen herrscht weitgehend Einigkeit über den Handlungsbedarf, da die alten EU-Regeln noch aus der Mitte der 90er Jahre stammen, als nur ein Bruchteil aller Informationen über das Internet liefen. Selbst mit den viel gescholtenen Großkonzernen der Online-Wirtschaft liege man beim Datenschutz "nicht mehr eine Million Meilen auseinander", heißt es seitens der Kommission.
Sehr empfindlich gibt sich Brüssel hingegen bei den Vorgaben für öffentliche Stellen. Auch wenn eine flexible Auslegung der Regeln und teilweise Ausnahmen für Behörden notwendig seien, werde es dazu keine separate Richtlinie geben. Eine kommerzielle Nutzung von Daten durch den Staat sei ohnehin "absolut tabu".
"Keine Meldegesetz-Ermächtigungsklauseln"
"Wir machen hier keine Meldegesetz-Ermächtigungsklauseln", hieß es dazu am Dienstag aus Verhandlungskreisen. EU-Justizkommissarin Viviane Reding sagte, der Aufschrei nach der Verabschiedung des umstrittenen Meldegesetzes durch den Bundestag habe gezeigt, dass die Bürger dem Staat keinen Rabatt beim Datenschutz gewähren wollten.
Die deutsche Delegation wies dies als falsche Darstellung zurück. Mit dem Meldegesetz habe die Debatte nichts zu tun, zumal der europäische Rechtstext keineswegs strengere Vorgaben mache als das nationale Pendant. Das Grundprinzip des europäischen Datenschutzrechts dürfe ruhig auch europäisch sein, sagte ein Vertreter Berlins. "Aber die Details sind eben nationale Angelegenheit und sollen es auch bleiben."