Donnerstag, 28. März 2024

Archiv


Schütze sich, wer kann

Fast 4000 Änderungsanträge trennen das Europäische Parlament noch von einem Konsens zu einer Datenschutzverordnung. Große US-Unternehmen sehen ihr Geschäftsmodell in Gefahr, Netzaktivisten fordern noch rigorosere Regeln.

Von Annette Riedel | 18.10.2013
    Die Diskussion um eine neue Datenschutzverordnung der EU hat ein Gesicht. Es ist das Gesicht des Österreichers Max Schrems.

    Pressegespräch in einer der Kaffeebars im Europäischen Parlament in Brüssel vor einer Informationsveranstaltung zur neuen Datenschutzverordnung. Max Schrems kommt in Turnschuhen, Jeans und schwarzem Kapuzenpulli. Der 25-jährige Jurist, der gerade an seiner Doktorarbeit schreibt, lacht viel. Und er weiß viel über das Thema Datenschutz – aus eigener Erfahrung. Er hat die Initiative "Europe versus Facebook" ins Leben gerufen.

    "Eigentlich war’s eine besoffene Geschichte mit ein paar Freunden, die beschlossen haben: ach, das ist ziemlich illegal, was die tun und ach, wir können das auch noch beweisen. Und da es so viele Gerüchte gibt über Facebook, habe ich mal eine Kopie meiner Daten angefordert, wozu jeder das Recht hat. Nach langem Hin und Her habe ich die auch bekommen. Dabei war spannend, dass die ganzen gelöschten Daten wieder drinnen waren, dass Datenkategorien drinnen waren, die Facebook über die Nutzer generiert, ohne dass die Nutzer das wissen. Aus dem sind bei uns 22 Anzeigen entstanden. Was wir da wollen? Transparenz, also sagt uns, was ihr mit unseren Daten tut und das Andere ist Kontrolle. Also, wenn ich zum Beispiel auf ‚Löschen’ drücke, möchte ich, dass das auch gelöscht wird und nicht nur, wie bei Facebook, versteckt vor mir selber."

    Seine Geschichte zeigt exemplarisch, warum es in der EU Nachholbedarf gibt in Sachen Datenschutz, warum es einheitliche und durchsetzbare Standards in allen 28 Mitgliedsländern geben muss, findet Max Schrems:

    "Unterm Strich geht’s uns darum, einfach ein Beispiel, einen Musterfall zu machen, wo man sieht, wo das System nicht funktioniert in Europa. Es ist zwar Facebook, wo wir jetzt dran greifen, aber das ist bei Google und sonst was genau das Gleiche in grün, wo man einfach sieht, dass der Datenschutz zwar auf dem Papier existiert, aber in der Realität nicht durchsetzbar ist."

    Grundrecht auf Datenschutz
    In der kommenden Woche wird der federführende Innenausschuss des Europäischen Parlaments seine Haltung zur Datenschutzverordnung und den fast 4000 Änderungsanträgen beschließen. Bei allen inhaltlichen Diskussionen im Detail – von einigen wird noch die Rede sein – dass einheitliche Standards im Interesse aller sind, da sind sich Politik, weite Teile der Wirtschaft und Nutzer wie Max Schrems grundsätzlich einig.

    "In Österreich habe ich zum Beispiel ein Grundrecht auf Datenschutz. Jetzt ist das im europäischen Kontext sozusagen ausgelagert nach Irland, diese Durchsetzung…"

    …deshalb nach Irland, weil dort Facebook seinen Unternehmenssitz in Europa hat …

    "Wenn ich aber faktisch keine Möglichkeit habe, das dort durchzusetzen, ist eigentlich praktisch mein Grundrecht in Österreich ramponiert. Von dem her, ist es schon sinnvoll, dass die EU jetzt wirklich was macht und sagt: Gut, wir sind in der Internet-Zeit, wo es vollkommen wurscht ist, ob ich in meinem Heimat-Staat ein gutes Recht hab’, weil de facto sitzen die alle irgendwo im Ausland, zu 90 Prozent, und dass man das auch wirklich ordentlich regelt."

    Und genau das will die neue Datenschutzverordnung: eine einheitliche unmittelbar gültige Regelung in allen 28 Mitgliedsländern: gleichen Datenschutz in Irland, Österreich, Deutschland, in der gesamten EU. Jemand, der seine Rechte gegenüber einem Unternehmen durchsetzen will, soll das dann nicht mehr am Firmensitz des betreffenden Unternehmens tun müssen, wie in Max Schrems’ Fall in Irland, sondern in seinem jeweiligen Heimatland. Damit werden bestehende Hürden im Falle einer möglichen Klage deutlich niedriger, denn der Aufwand an Zeit und Geld, den man als Kläger betreiben muss, wird deutlich reduziert. In Max Schrems’ Fall reden wir heute, noch ohne die EU-Datenschutzverordnung, von einer finanziellen Hürde, die leicht über 100.000 Euro hoch sein kann. Deshalb sammelt "Europe vs. Facebook" im Internet Geld.

    "Wenn wir 5.000 Leute finden, die 20 Euro spenden, die das ähnlich sehen wie wir und das lustig finden, sozusagen mal zu probieren, wie das in der Praxis funktioniert, dann können wir einen Musterfall generieren. Weil das wäre das erste Mal, dass wirklich ein US-Unternehmen in Europa wegen Verstößen gegen Datenschutzsachen ernsthafte Konsequenzen sieht."

    Der Schriftzug "Facebook" spiegelt sich auf dem Auge eines Mannes.
    Max Schrems behält facebook im Blick. (picture alliance / dpa - Jochen Lübke)
    Unterschiedliche Datenschutz-Kulturen
    Leicht vorstellbar, dass nicht nur Facebook, Google, Amazon und Co. wenig begeistert sind, um es vorsichtig zu umschreiben, wenn es in der EU für den Einzelnen leichter würde, seine Rechte beim Umgang mit persönlichen Daten gegenüber Unternehmen einzuklagen. Anders als die meisten amerikanischen Firmen mit Standbeinen in Europa haben viele europäische Firmen damit kein Problem, wie Claus-Dieter Ulmer in seiner Eigenschaft als Konzern-Datenschutzbeauftragter der Deutschen Telekom sagt.

    "Datenschutz und Geschäftsinteressen – geht das zusammen? Nach Meinung der Deutschen Telekom-Gruppe und meiner persönlichen auf jeden Fall. Ich sehe nicht, dass auf Unternehmen zusätzliche Kosten zukommen durch die Datenschutzverordnung. Vielmehr sehe ich es eher anders herum. Wir haben einen Kostenlevel, der gleich bleiben wird. Wer Datenschutz bisher noch nicht als Risiko-Management-Bereich begriffen hat, der ist zu spät dran."

    Oder kommt aus einer vollkommen anderen Datenschutzkultur, als sie viele europäische Länder haben. US-Firmen könnten sich künftig nicht mehr innerhalb Europas den Standort mit dem niedrigsten Datenschutzniveau aussuchen. Genau das ist eines der erklärten Ziele der Datenschutzverordnung, sagt EU-Justizkommissarin Viviane Reding – ein Ziel unter anderen.

    "Die Unternehmen sitzen heute zwischen zwei Stühlen: auf der einen Seite das amerikanische Recht und auf der anderen Seite das europäische Recht. Weil unsere Datenschutzbehörden nicht den notwendigen Biss haben, um das europäische Recht durchzusetzen, setzen sie sich dann lieber auf den amerikanischen Stuhl."

    "Unternehmen von außerhalb Europas, die in Europa ihre Dienste anbieten, müssen sich an dieses Recht halten. Das gilt für die Spielzeugindustrie, die in Europa Spielzeug verkaufen möchte; das gilt für die Autoindustrie – das gilt für alle anderen Industrien. Und es ist wirklich mit großem Unverständnis bei mir begleitet, warum solche Aktivitäten zum Teil gegen diesen Harmonisierungsansatz gefahren werden."

    Aggressives Lobbying
    Diese ‚Aktivitäten’, von denen Claus-Dieter Ulmer von der Deutschen Telekom spricht, kommen zwar sehr wohl auch von einigen europäischen Unternehmen, überwiegend aber von amerikanischen. Seit mindestens zwei Jahren, seit das Ringen um die neue Verordnung in die heiße Phase eingetreten ist, betreiben Google, Facebook und andere US-Großunternehmen aggressives Lobbying gegen die EU-Datenschutzverordnung. Weder Google noch Facebook waren andererseits bereit, trotz mehrerer Versuche, zu ihrer Haltung in einem Interview Stellung zu beziehen. Gegenüber dem Deutschlandfunk nicht und auch anderen Medien in Brüssel gegenüber nicht. Erika Mann, Facebook-Vertreterin in Brüssel, eine ehemalige Europa-Abgeordnete der SPD, lässt sich durch eine PR-Agentur vor Journalisten-Anfragen abschirmen. Dieses Verhalten hat durchaus Methode. Mancher im EU-Parlament ärgert sich darüber.

    "Also, es ist hier wirklich so, dass man überhaupt nicht in die Öffentlichkeit will. Man möchte nicht verbunden werden mit dieser politischen Diskussion und auch nicht mit der eigenen Position, die man als Interessensvertreter und einflussreiches Unternehmen einnimmt. Hinterrücks machen sie aber sehr, sehr starkes Lobbying - aber eben nur gegenüber den Schlüssel-Entscheidern und nicht gegenüber den Medien und der Öffentlichkeit."

    Der grüne EU-Abgeordnete Jan-Philipp Albrecht ist ein solcher "Schlüssel-Entscheider". Er bereitet als Berichterstatter die Datenschutzverordnung für die Abstimmung im federführenden Ausschuss des EU-Parlaments vor. Dabei muss er buchstäblich Tausende von Änderungsanträgen von Abgeordneten bündeln und einbauen. Änderungswünsche, die nicht zuletzt auf massives Lobbying zurückgehen – wie etwa von Facebook.

    Drohen mit Kosten
    "Wie kann das Parlament ein Gesetz befürworten, das dazu führen wird, dass viele Internetdienste ihr Geschäftsmodell verlieren und künftig ihre Dienste nicht mehr umsonst anbieten können? Viele Menschen haben mit dem Internet eine Stimme bekommen - in Europa und in den Entwicklungsländern. Das geht verloren, wenn Angebote kostenpflichtig werden."

    …kritisiert Melina Violari, Unternehmensstrategin von Facebook die Datenschutzverordnung – nicht im Interview, sondern bei einer Veranstaltung im EU-Parlament. Sie bezieht sich in ihrer Stellungnahme auf einen der besonders umstrittenen Punkte der Datenschutzverordnung: das Recht auf Zustimmung.

    Ein Knackpunkt: Zustimmung zur Weitergabe von Daten

    Bitte klicken Sie hier, um die Allgemeinen Geschäftsbedingungen zu akzeptieren. Bitte klicken Sie hier, um die Allgemeinen Geschäftsbedingungen zu akzeptieren. Bitte klicken Sie hier, um die Allgemeinen Geschäftsbedingungen zu …


    Sollen Anbieter im Internet künftig ohne ausdrückliche Zustimmung keine Daten von Nutzern an Dritte weitergeben dürfen?

    "Wenn wir an die Interessen des Bürgers denken, der einerseits natürlich seine Privatsphäre und seine Daten geschützt sehen möchte, auf anderen Seite aber auch kostenlosen Service online in Anspruch nehmen möchte, ohne Geld zu zahlen, dass, wenn wir das zu scharf fassen, sich das Ganze möglicherweise umdreht in ein Bezahl-Internet,"

    fürchtet Axel Voss, CDU, der für die konservativen EU-Abgeordneten im Parlamentsausschuss für Bürgerliche Freiheiten, Justiz und Inneres das Wort führt. Er glaubt, dass es vor allem für kleinere Firmen, die beispielsweise im Netz Direktmarketing betreiben, zum Problem wird, wenn künftig der Weitergabe von Daten aktiv zugestimmt werden müsste. Deshalb ist er alternativ für ein Widerspruchsrecht. Das hieße: Wenn der Nutzer nicht aktiv widerspricht, stimmt er de facto der Weitergabe seiner Daten an Dritte zu.

    "Ist es tatsächlich für den Einzelnen so einschneidend, wenn er angesprochen wird durch eine Werbung, wo drin steht: Ich habe Ihre Daten von … , und Sie haben Widerspruchsmöglichkeiten? Wäre das im Datenschutzrecht wirklich so einschneidend, dass man da so eine Verletzung des Datenschutzrechts darin sehen würde?"

    Jan-Philipp Albrecht von den Grünen plädiert dafür, dass es ohne ausdrückliche Zustimmung keine Weitergabe von Daten geben darf - mit wenigen Ausnahmen.

    "Also zum Beispiel, dass ich Werbung von meinem eigenen Vertragspartner bekomme. Aber zum Beispiel von Menschen, die ich überhaupt gar nicht kenne, plötzlich personalisierte Werbung zu bekommen – das sollte, wenn, dann nur auf Basis meiner Zustimmung geschehen."

    Wenn Anbieter im Netz fürderhin nicht mehr fast uneingeschränkt mit den Daten ihrer Kunden handeln und sich so finanzieren können, dann würden viele gezwungen, sich ihre Dienste künftig bezahlen zu lassen. Das jedenfalls fürchten diejenigen, die wollen, dass es mit dem Einholen der Zustimmung vor der Weitergabe von Daten nicht zu weit geht. Bezahlen mit Geld - in anderer "Währung" zahlen wir alle längst, sagt nicht nur Richard Stallmann von der Free Software Foundation. Das ist eine Nichtregierungsorganisation, die sich für Freiheit und Rechte von Internetnutzern einsetzt.

    "Wir zahlen unfreiwillig schon jetzt für Internetdienste – mit Daten, mit unserer Freiheit, damit, dass wir überwacht werden. Bei sogenannten Gratis-Diensten ist der Nutzer selbst das Produkt, was er verkauft."

    Da zumindest Transparenz herzustellen, den Internetnutzern aufgeklärte Entscheidungen zu ermöglichen – das sind neben dem Anliegen, die Datenschutz-Rechte in Europa zu vereinheitlichen und sie praktisch einklagbar zu machen, die Anliegen dieser umstrittenen Reform.

    Datenschutz mit mehr "Biss"
    "Das Gesetz, was wir bisher hatten, ist zwar uralt, ist aber so abstrakt gehalten, dass es heute noch richtig ist. Schönes Beispiel ist: Daten, die nicht mehr notwendig sind, müssen gelöscht werden. Das gilt bei Facebook heute genauso wie in Zeiten, als es noch kein Internet gegeben hat,"

    …meint Max Schrems von Europe versus Facebook und hält es deshalb für nicht verkehrt, dass die Datenschutz-Reform weitgehend auf einer europäischen Richtlinie von 1995 fußt. Die hatte seinerzeit den einzelnen Staaten aber die Möglichkeit eingeräumt, unterschiedliche Standards beim Datenschutz zu haben. Sie entstand zudem in Zeiten, als das Internet noch in den Kinderschuhen steckte. Ein wichtiger Gewinn wäre für ihn, wenn die neue Datenschutzverordnung "Biss" bekäme – der Verstoß gegen Datenschutzregeln für Unternehmen so teuer würde, dass es nicht mehr unkomplizierter und billiger sein kann, Regeln zu ignorieren.

    "Bisher haben wir das große Problem – das war auch meine Erfahrung in Silicon Valley - dass dort die Unternehmen gesagt haben: Ja, ja die Europäer; süß, mit ihrem Datenschutz, aber wenn Du Dich nicht dran hältst, passiert eh nichts. Diese Durchsetzungsseite – die hat eben bisher total gefehlt. Und die ist jetzt in dem neuen Vorschlag recht stark drinnen, mit Strafen, die bis zu zwei Prozent des weltweiten Umsatzes gehen, was auch gut ist, weil es große Unternehmen genauso stark trifft wie einen Kleinen. Früher, bei den absoluten Strafen von 20.000 Euro, ist das für einen Kleinen Wahnsinn und für einen Großen nichts."

    Ein Knackpunkt: Löschung von Daten

    Ihr Profil wurde gelöscht. Ihr Profil wurde gelöscht. Ihr Profil wurde…


    Einer der vielen, bis zuletzt noch äußerst umstrittenen Punkte der neuen Verordnung ist: Wie weit soll und kann der Anspruch der Nutzer wie Max Schrems gehen, dass ihre Daten im Netz gelöscht werden müssen? Sehr weit, findet der Abgeordnete Jan-Philipp Albrecht – aber es gibt auch für ihn dabei Grenzen.

    "Nicht immer hat man einen Anspruch darauf. Wenn ich als Politiker etwas gesagt habe, habe ich keinen Anspruch darauf, dass die Medien das danach wieder rauslöschen, wenn ich was Falsches gesagt habe oder etwas, was mir vielleicht unangenehm ist. Das Recht auf Vergessen werden ist eines, was vor allem darauf ausgerichtet ist: Also, dass ich nicht ohne mein Zutun überall weiter verbreitet werden kann im Internet, sondern, dass ich Anspruch darauf habe, dass das dann auch eingedämmt und wieder zurückgeholt wird."

    Das geht einigen Kritikern nicht annähernd weit genug. Sie wollen, dass fast jeder, unter nahezu allen Umständen ein Recht darauf haben soll, dass auch Daten und Bilder von ihm gelöscht werden, die er einmal freiwillig verbreitet hat. Andere wiederum argumentieren, dass das technisch schlechterdings gar nicht immer bis ins letzte Glied der Verbreitungskette möglich sei. Und wieder Andere mahnen, dass wegen des Rechts auf Datenschutz nicht andere elementare Rechte angekratzt werden dürften: Meinungsfreiheit, Pressefreiheit etwa.

    Ein Knackpunkt: Welche Veröffentlichung ist rein privat?

    Wollen Sie diese Information teilen? Wollen Sie diese Information teilen? Wollen Sie diese Information …


    "Wir haben ja die berühmte "Lindquist-Entscheidung", wo eine Gemeindeschwester auf ihrer Homepage ihren Konfirmanden mitgeteilt hat: Meine Kollegin hat sich den Fuß gebrochen und kann nicht kommen. Diese Frau muss eine Strafe zahlen, weil sie gegen Datenschutz verstoßen hat. Man muss darauf achten, dass der Privatnutzer, der seine Homepage hat, nicht plötzlich in den Sanktionsbereich staatlichen Handelns kommt,"

    …ist Bundesinnenminister Hans-Peter Friedrich ein Anliegen. Nur, was kann, einmal online gestellt, noch privat sein?

    Persönliche Daten europäischer Bürger sollen künftig besser geschützt sein.
    Persönliche Daten europäischer Bürger sollen künftig besser geschützt sein. (picture alliance / dpa / Oliver Berg)
    Wenn das Private privat ist
    "Die Haushaltsausnahme, die wir vorgesehen haben, ist wirklich nur für den Haushalt bestimmt, wenn es einige Personen sind. Also das kann nicht gelten, wenn man Daten verfügbar macht oder zugänglich macht für die ganze Welt. Also, die berühmte Frau Lindquist würde wahrscheinlich trotzdem noch unter die neuen Regeln fallen. Aber sie müsste nicht das komplette Datenschutzrecht anwenden. Und sie müsste nicht eine Strafe bezahlen, weil sie ja nicht als professionelle Datenverarbeiterin mit dieser Web-Seite Geld machen wollte,"

    …erklärt die Sprecherin von EU-Kommissarin Reding, Mina Andreeva. Allein anhand dieses Beispiels lässt sich gut erkennen, wie schwer und dementsprechend umstritten es ist, rechtssicher festzulegen, wann das Private online nicht mehr privat ist. Und wann genau das neue Datenschutzrecht greifen soll. Und ab wann es im vollen Umfang greifen soll – einschließlich der Dokumentationspflicht über den Umgang mit persönlichen Daten, die für Unternehmen vorgesehen ist. Soll sie für jeden Bäcker an der Ecke gelten?

    "Wir sind sowohl als VerbraucherInnen als auch als UnternehmerInnen – also auch der kleine Unternehmer, der seine Bäckerei betreibt - mittlerweile so stark vernetzt, dass wir nicht mehr sagen können, ein kleines Unternehmen irgendwo in Hintertupfingen hat mit der globalen Welt gar nichts mehr zu tun,"

    …gibt Jan-Philipp Albrecht zu bedenken. Die Bundesregierung hat immer betont, wie wichtig ihr ein einheitlicher Datenschutz in Europa auf hohem Niveau ist, der nicht hinter die deutschen Standards zurückfällt. Und doch gab es von verschiedenen Seiten wiederholt den Vorwurf, auch von EU-Kommissarin Reding, dass gerade die Deutschen die Arbeit an der Datenschutzverordnung verzögert hätten. Aufgeschreckt durch die jüngsten Enthüllungen über den US-Geheimdienst NSA, der mit Prism im großen Stil Europäer ausgespäht und auf Daten von Europäern zugegriffen hat, bekam die Diskussion um die EU-Datenschutzverordnung eine neue Dynamik, drückte auch die Bundesregierung im Sommer wieder auf das Tempo.

    "Das hätten wir ja schon lange gebraucht. Jetzt bekommen wir es, weil Prism der Weckruf war. Es wird Zeit, dass wir Nägel mit Köpfen machen."

    Dass ein bestimmter ‚Nagel’ mit der geplanten neuen EU-Datenschutzverordnung einen ‚Kopf’ bekommt, hat vor dem Hintergrund der NSA-Prism-Affäre für die Bundesregierung und Bundesinnenminister Friedrich an Bedeutung gewonnen.

    "Wir glauben und halten es für richtig, dass wir Unternehmen, die Daten von europäischen Bürgern verarbeiten und an Drittstaaten ausliefern – also zum Beispiel an irgendwelche Behörden in den Vereinigten Staaten – dies uns auch melden und uns sagen müssen und das nicht geheim gehalten werden kann."

    Manchen in der EU reicht eine explizite Meldepflicht, wenn Unternehmen Daten an Behörden von Drittländern weiterleiten, nicht aus. Sie wollen eine Genehmigungspflicht. Die Europäer möchten US-Firmen auf europäische Datenschutzstandards verpflichten. Und die EU will das Thema Datenschutz auch im Rahmen der Verhandlungen zu einem Freihandelsabkommen mit den USA ansprechen. Will die EU dabei ihr ganzes Gewicht überzeugend einsetzen, so kann ihr das nur gelingen, wenn es bald tatsächlich eine einheitliche europäische Datenschutzverordnung gibt. Da sind sich die EU-Kommissarin und der Bundesinnenminister einig:

    "Hat ja keiner uns ernst genommen – der Eine macht das; der Andere macht das. Die lachen doch über uns. Wenn wir jetzt ein Gesetz für alle haben, die hier aktiv werden, und die, die sich nicht an die Regeln halten, die werden solide finanziell bestraft, dann sieht das ganz anders aus."

    "Die europäischen Verbraucher sind mit 500 Millionen eine wichtige Macht, die man in die Waagschale werfen kann."

    Damit 500 Millionen Europäer einen einheitlichen Datenschutz bekommen, muss das EU-Parlament eine Haltung zur geplanten Verordnung finden. Der erste Schritt dahin ist die Abstimmung im federführenden Ausschuss in der kommenden Woche. Zudem müssen sich auch die 28 EU-Länder noch auf eine gemeinsame Position verständigen. Und schließlich müssen dann Parlament und Länder einen gemeinsamen Nenner finden. Die Zeit drängt. Gelingt das nämlich bis zum Jahresende nicht, dann bliebe die EU-Datenschutzverordnung wohl noch bis mindestens 2015 Zukunftsmusik. Im nächsten Mai nämlich wird erst einmal ein neues EU-Parlament gewählt.