Das Jahr 2013 wird das Datenschutzjahr in der EU

Nachdem die Europäische Kommission den Vorschlag für eine Datenschutz-Grundverordnung im Januar 2012 vorgestellt hat, wird dieser nun im Europäischen Parlament sowie im Rat der Europäischen Union diskutiert und überarbeitet. Danach diskutieren die drei Institutionen miteinander und versuchen zu einer Einigung und damit zu einem fertigen Gesetz zu kommen, mit dem alle Beteiligten leben können. Voraussetzung dafür ist, dass die Institutionen jeweils eine Meinung samt Änderungsvorschlägen zum Gesetzesvorschlag haben. Für das Europäische Parlament mit seinen über 700 Abgeordneten ist das naturgemäß am schwierigsten.

Im Parlament ist der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) federführend. Diesem Ausschuss lege ich als Berichterstatter meinen Bericht vor, der meine gesammelten Änderungswünsche am Kommissionsvorschlag enthält. Dieser Bericht soll nun am 10. Januar 2013 vorgestellt werden. Danach können andere Abgeordnete des LIBE-Ausschusses ihre Änderungswünsche am Kommissionsvorschlag anbringen. Doch nicht nur der LIBE-Ausschuss diskutiert die Datenschutz-Grundverordnung. Auch andere Ausschüsse wie der Ausschuss für Beschäftigung und soziale Angelegenheiten (EMPL) befassen sich mit dem Entwurf, etwa in Fragen des ArbeitnehmerInnen-Datenschutzes. Die Meinungen der beteiligten Ausschüsse werden im federführenden LIBE-Ausschuss berücksichtigt. Es folgt die finale Abstimmung im LIBE-Ausschuss. Hier werden alle vorgebrachten Änderungsvorschläge am Kommissions-Vorschlag abgestimmt. Als Berichterstatter kommt mir im Vorfeld der Abstimmung die Rolle der Kompromissfindung zu. Fraktionsübergreifend muss der Ausschuss, stellvertretend für das gesamte Parlament, hier zu seiner Position zum Kommissions-Entwurf kommen. Das Ergebnis der abschließenden Abstimmung im LIBE-Ausschuss ist dann das Verhandlungsmandat, mit dem das Parlament in die Verhandlungen mit dem Ministerrat tritt.

Immer öfter ist das Wort „Selbstregulierung“ aus Berlin zu hören.

Das Europäische Parlament ist sich in Sachen Datenschutz-Grundverordnung relativ einig. Es begrüßt den Kommissions-Vorschlag und drängt zusammen mit der Kommission auf eine schnelle Verabschiedung des Vorschlags mit einigen Konkretisierungen. Ziel ist eine Einigung noch innerhalb der Legislaturperiode, also bis 2014. Anders verhält es sich im Rat. Einige Mitgliedstaaten sind dem Kommissions-Vorschlag zur Datenschutz-Grundverordnung abgeneigt und versuchen das Verfahren zu verzögern. Besonders das deutsche Innenministerium erregte jüngst Aufsehen mit seiner Kritik am Verordnungsvorschlag. Die Kritik des Innenministeriums wirkt dabei eher wirtschaftsfreundlich. Immer öfter ist das Wort „Selbstregulierung“ aus Berlin zu hören. Das bedeutet im Klartext, dass Firmen sich unverbindlichen Regeln verschreiben und der Gesetzgeber sich weitestgehend heraushält. An der Fähigkeit zur Selbstregulierung von Firmen wie Facebook ist zu zweifeln. Ausgerechnet der deutsche Innenminister Hans Peter Friedrich (CSU) versprach im Jahr 2011 „mittelfristig einen allgemeinen Kodex für soziale Netzwerke zu schaffen“. Das Ergebnis bleibt er uns bis heute schuldig.

Auch Vorteile für Unternehmen

Das Stichwort Wirtschaft ist schon gefallen. Nicht nur das deutsche Innenministerium, auch die Abgeordneten des Europäischen Parlaments stehen derzeit unter massivem Lobbydruck. Viele Unternehmen fürchten um ihre Geschäftsgrundlage. Eine bürgerrechtsfreundliche Datenschutz-Grundverordnung beeinträchtigt fragwürdige Geschäftsmodelle, die persönliche Informationen aus unterschiedlichen Kontexten zusammenführen, Personenprofile erstellen und diese weiterverkaufen. In Unternehmenskreisen wird dabei wird oft vergessen, dass die Reform für die Unternehmen auch Erleichterungen mit sich bringt. Gerade multinational agierende Firmen müssen sich nicht mehr auf 27 unterschiedliche Datenschutzgesetze, sondern nur noch ein europäisches Datenschutzgesetz einstellen. Die liberale Forderung nach weniger Bürokratie wird so Wirklichkeit. Zudem bietet eine Reform des europäischen Datenschutzes auch die Chance, eine neue digitale Ökonomie zu schaffen, die nachhaltig mit persönlichen Daten umgeht und genau dies zu ihrem Gütesiegel macht. Doch um einen hohen Datenschutzstandard auf europäischer Ebene in diesem Sinne zur Realität werden zu lassen, gilt es, im Jahr 2013 mit breiter Front für eine möglichst gute und starke EU-Verordnung einzutreten. Dafür braucht es die Unterstützung all jener, die den Datenschutz als Grundrecht und grundlegendes Verbraucherrecht bewahren wollen.

Vermissen Sie etwas? Hier kommen Sie direkt zum ersten Teil des Beitrages zur Reform des europäischen Datenschutzrechts

Facebook hat seinen europäischen Firmensitz nicht zufällig in Irland

An erster Stelle ist die Änderung der Rechtsform im Kommissions-Vorschlag hervorzuheben: Von der Richtlinie zur Verordnung. Das bedeutet praktisch, dass nach der Reform in jedem EU-Mitgliedstaat die gleichen Datenschutzstandards gelten müssen. Derzeit erlassen die 27 Mitgliedstaaten ihre eigenen Gesetze anhand der Datenschutz-Richtlinie von 1995. Die unterschiedliche Umsetzung dessen hat zu einem ungleichmäßigen Datenschutzniveau in der EU geführt. Vorteil der geplanten Verordnung: Unternehmen können sich nicht mehr das Land mit den niedrigsten Datenschutzstandards als Firmensitz aussuchen. Nicht umsonst hat Facebook seinen europäischen Firmensitz in Irland, wo ein vergleichsweise schwaches Datenschutzniveau vorherrscht. Doch auch der Rückzug aus Europa hilft den Firmen nicht: Der Reformvorschlag sieht vor, dass europäische Datenschutzstandards gelten, sobald Daten von EuropäerInnen verarbeitet werden – unabhängig vom Sitz des Unternehmens. Umso wichtiger ist es daher für uns, möglichst hohe und klar definierte Datenschutzstandards im Reformvorschlag festzuschreiben.

Einfachere Nutzungsbedingungen

Datenschutz beginnt vor der Nutzung eines Dienstes. NutzerInnen müssen laut Reformvorschlag eindeutig darüber informiert werden, was mit ihren Daten geschieht, um dann bewusst einzuwilligen. Aber Hand aufs Herz: Wer hat die seitenlangen allgemeinen Geschäftsbedingungen der von ihm oder ihr genutzten Internetdienste wirklich gelesen? Es braucht daher einfach und schnell verständliche Nutzungsbedingungen in Form von standardisierten Symbolen, wie wir sie etwa bei Lebensmitteln kennen. Das Prinzip der expliziten Einwilligung sollte zudem technisch gestärkt werden: Wenn ich durch die Privatsphäre-Einstellungen meines Internetbrowsers signalisiere, dass ich dem Erstellen von Nutzungsprofilen anhand meines Surfverhaltens nicht zustimme, sollen Diensteanbieter das respektieren. Eine Möglichkeit hierfür böte die sogenannte Do Not Track-Funktion, die in gängigen Browsern bereits installiert ist. Der Gesetzesvorschlag sollte ein Anreiz für Internetdienstleister sein, bei solchen Maßnahmen mitzuwirken.
Auch auf Unternehmensseite beginnt Datenschutz vor dem Anbieten eines Dienstes. Der Reform-Vorschlag verpflichtet Unternehmen, ihre Angebote möglichst datensparsam zu konzipieren und mit den datensschutzfreundlichsten Voreinstellungen anzubieten. Facebook verfährt beispielsweise derzeit genau anders herum: Wenn ich einen Account eröffne, sind die Privatsphäre-Einstellungen am niedrigsten. Beim datenschutzfreundlichen Design wollen wir das Prinzip der Zweckbindung stärken. Das heißt: Welche Daten sind für die Nutzung des Dienstes wirklich nötig? Und: Braucht es immer meine eindeutige Identifizierung? Diese Fragen sollen sich Diensteanbieter im Vorfeld stellen. Viele Angebote funktionieren auch mit anonymer oder pseudonymer Nutzung. Ob meine Freundin unter vollem Namen oder als „spacecommander86“ mit mir chattet, beeinträchtigt unsere Kommunikation in keinster Weise.

Zu  verständlicher Auskunft verpflichtet

Sind unsere Daten einmal in der Welt, gilt es, die Kontrolle über sie zu behalten. Daher müssen Speicherfristen klar definiert werden und Daten, wenn der Zweck der Verarbeitung erfüllt wurde, auch wieder gelöscht werden. Das im Reformvorschlag gestärkte Recht auf Löschung und Korrektur meiner Daten muss einfach wahrnehmbar sein. Dazu sollten mit der Verordnung Auskunftsrechte gegenüber den Anbietern gestärkt werden. In verständlicher Sprache, kostenfrei und möglichst schnell soll mir mitgeteilt werden, wer was mit welchen Daten von mir macht. Neu ist dabei das Recht auf Datenportabilität: Auf Anfrage sollen mir Diensteanbieter meine bei ihnen gespeicherten Daten in einem maschinenlesenbaren Format, das heißt digital und nicht auf hunderten Seiten Papier, aushändigen. Damit könnte ich dann zum datenschutzfreundlicheren Konkurrenzanbieter wechseln oder meine Daten visualisieren lassen, wie es der Grüne Malte Spitz jüngst vorgemacht und damit die Ausmaße der über ihn gespeicherten Daten veranschaulicht hat. Was Malte Spitz nur als Mammutprojekt mit professioneller Hilfe realisieren konnte, sollte für uns alle möglich werden. So können wir in Zukunft besser vergleichen, wo unsere Daten wirklich gut aufgehoben sind.

Alte Informationen sollen nicht den künftigen Job bestimmen

Eine weitere Neuerung im Reformvorschlag ist das „Recht auf Vergessenwerden“. Dieses Recht kann ein weiterer Schutzmechanismus gegen den Missbrauch persönlicher Informationen sein, wenn es richtig ausgestaltet ist. Es geht nicht um technische Verfallsdaten, sondern um einen rechtlichen Anspruch auf Durchsetzung des Löschungsersuchens. Der Anbieter, der ohne meine Einwilligung Daten von mir erhoben, weitergegeben oder veröffentlicht hat, soll sich auch bemühen, dass Dritte einem Korrektur- oder Löschungsanspruch meinerseits nachkommen. Wessen persönliche Informationen im Jugendalter unrechtmäßig durch ein soziales Netzwerk an Dritte gegeben wurden, ist zehn Jahre später mit Recht daran interessiert, dass davon nicht mehr ihre oder seine Chancen auf einen Hauskredit oder Job abhängen. Dies gilt natürlich nicht im Kontext öffentlichen Interesses oder der Informations- und Meinungsfreiheit. PolitikerInnen etwa soll damit keine Hintertür zur Verhinderung unliebsamer Berichterstattung geöffnet werden. Das sollte im Reformvorschlag noch einmal klargestellt werden. Es geht darum, die Folgen unrechtmäßiger Daten(weiter)verarbeitung abzumildern und nicht darum, die Meinungsfreiheit einzuschränken.

Datenschutzwer? Unbekannte Behörden

Damit die Datenschutz-Grundverordnung kein zahnloser Tiger bleibt, zielt der Verordnungsvorschlag vor allem auf eine verbesserte Durchsetzung des Datenschutzrechts. Dazu sollen zunächst die Datenschutzbehörden gestärkt werden. Datenschutzwer? Nur ein Drittel der EuropäerInnen kennt die eigenen nationalen Datenschutzbehörden. Sie sind normalerweise zur Kontrolle und Durchführung der Datenschutzstandards zuständig. Bislang endet ihr Tätigkeitsbereich an den Ländergrenzen der Mitgliedstaaten. Der Jurastudent Max Schrems, der Facebook wegen seiner unzulässigen Datenschutzpraktiken verklagt hat, musste dies über den Umweg der irischen Datenschutzbehörde tun. Der Reformvorschlag soll deshalb die Zusammenarbeit zwischen den nationalen Datenschutzbehörden verbessern, so dass immer meine nationale Datenschutzbehörde, die meine Landessprache spricht, auch meine Ansprechpartnerin ist. Dazu müssen die Datenschutzbehörden vor allem besser ausgestattet werden. Zudem fordert der Reformvorschlag finanzielle Sanktionen in Höhe von 2% des Jahresumsatzes der Unternehmen. Sanktionen in dieser Größenordnung können wehtun. Zum Vergleich: Der Lebensmittelkonzern musste wegen Datenschutzvergehen zuletzt 1,5 Millionen Euro Strafe zahlen. Lidl hat einen Jahresumsatz von 30,85 Milliarden Euro. Bei Anwendung des Verordnungsvorschlags müssten sie nun 617 Millionen Euro zahlen. Das wäre der 411fache Strafbetrag.
Die neue EU-Datenschutz-Grundverordnung bringt vor allem ein Mehr an Transparenz und Kontrolle. Das Ungleichgewicht zwischen multinationalen Konzernen und uns als NutzerInnen kann damit wieder in die Waage gebracht werden.
Im letzten Teil seines Berichts kommt Jan-Philipp Albrecht auf den Stand der Verhandlungen innerhalb der verschiedenen EU-Gremien zu sprechen. Welcher Akteur will was warum? Lesen Sie hier weiter:

Der Marktlogik folgend, braucht es für mehr Gewinn immer mehr Daten

Unsere digitale Umwelt funktioniert weitestgehend privatisiert – mit allen dazugehörigen Vor- und Nachteilen. Mit den vielen hilfreichen Innovationen geht eine schwer durchschaubare und risikoreiche Ansammlung von Daten einher. Daten sind dabei nicht nur das Abfallprodukt nützlicher Anwendungen, die wir in Anspruch nehmen. Im Gegenteil: Ihr Weiterverkauf bildet immer öfter die Gewinnmarge der Unternehmen. Der Marktlogik folgend, braucht es für mehr Gewinn also immer mehr Daten. Jüngst erregte der Mobilfunkanbieter O2 Aufsehen mit dem Vorstoß, die Standortdaten seiner KundInnen in Verbindung mit persönlichen Daten an Gewerbetreibende zu verkaufen, etwa um feststellen, wie lange und wie oft Kunde X vor welchen Schaufenstern verweilt. Das bedeutet nichts anderes als eine private Vorratsdatenspeicherung. Doch solche Datensammlungen wecken nicht nur kommerzielle Begehrlichkeiten: Noch nie wurde Google aufgefordert, so viele NutzerInnendaten an staatliche Behörden auszuhändigen wie im Jahr 2012.

Wenn der Große Bruder mitsurft

Das größere Problem hinter all diesen Phänomen: Auf Basis unserer persönlichen Informationen wird definiert, wer wir sind. So kann sich ohne unser Wissen entscheiden, ob wir kreditwürdig sind, wie viel wir für unsere Versicherung bezahlen, welche Nachrichten wir zu lesen kriegen oder ob wir einen Job bekommen. Zudem ist Datenschutz Grundlage demokratischen Zusammenlebens. Wie das Bundesverfassungsgericht im berühmten Volkszählungsurteil hervorhob, werden Menschen, die sich beobachtet fühlen, ihr Verhalten anpassen. Die freie Meinungsäußerung, elementare Grundlage demokratischen Miteinanders, wird so beeinträchtigt. Wegen dieser vielfach schon Realität gewordenen Gefahren auf die Vorteile der Digitalisierung zu verzichten, wäre dumm. Der einzige Weg aus diesem Dilemma: Wir müssen wieder Souverän über unsere Daten werden. Der Schutz personenbezogener Daten wurde nicht umsonst in der EU-Grundrechtecharta verankert. Die bestehenden Gesetze zum Datenschutz sind unzureichend. Unternehmen müssen sich kaum für ihren Umgang mit persönlichen Daten verantworten, geschweige denn Konsequenzen befürchten. Sie preschen selbstbewusst mit neuen Funktionen ihrer Produkte, die noch mehr Daten in neuen Kontexten verarbeiten, auf den Markt. Wer sowieso NutzerIn ihrer Angebote ist, hat oft keine Wahl. Wer will schon seinen jahrelang genutzten Google Mail-Account aufgeben, weil er oder sie nicht mit einem neuen „Feature“, wie der Verknüpfung von Sucheingaben und E-Mail-Nutzungsdaten zur „Optimierung der Suchergebnisse“, einverstanden ist?

Überfälliges Update der Datenschutzrichtlinie von 1995

Die derzeit geltende Rechtsgrundlage in Europa ist die europäische Datenschutzrichtlinie von 1995. Ein Update ist also mehr als überfällig. Im Januar 2012 hat die Europäische Kommission einen Vorschlag für ein solches Update vorgelegt. Dem Gesetzgebungsverfahren der EU folgend, wird der Entwurf für die EU-Datenschutz-Grundverordnung derzeit im Europäischen Parlament und im Rat der Europäischen Union diskutiert, überarbeitet und erweitert. Als Berichterstatter für das Europäischen Parlaments bin ich einer der Abgeordneten mit dem größten Einfluss auf die Verordnung. Der Vorschlag der Kommission ist für mich grundsätzlich eine gute Grundlage. Er zielt auf hohe, stärker harmonisierte und dem Internetzeitalter angemessene Datenschutzstandards unter Beibehaltung der an sich sinnvollen Prinzipien der 1995er-Richtlinie: Datensparsamkeit, Einwilligung durch die NutzerInnen, die Zweckbindung der erhobenen Daten und ein Recht auf Auskunft. Aus bürgerrechtlicher Perspektive geht es jetzt vor allem darum, Ausnahmeregeln zu begrenzen und die guten Ideen zu konkretisieren.  
Über die Vorteile einer einheitlichen EU-weiten Rechtsverordnung und die Details des Reformvorschlags erfahren Sie mehr im zweiten Teil des Berichts von Jan Philipp Albrecht. Direkt zum zweiten Teil geht es hier