Google, Facebook und die NSA – Ohne die einschlägigen US-amerikanischen Datenkraken wäre die Reform wohl nie auf den Weg gebracht worden. EU-Datenschutz-Grundverordnung nennt sich das Gesetzesvorhaben und es soll auch für die großen Internet-Konzerne verbindlich sein, sagt Viviane Reding.
"Für wen gilt dieses Gesetz? Dieses Gesetz gilt für alle Unternehmen, die sich auf dem europäischen Territorium an europäische Konsumenten wenden."
"Also es geht einmal darum, dass die US-Konzerne an europäisches Recht gebunden sind, dass sie sich daran halten müssen."
Übersetzt der ehemalige Bundesdatenschutz-Beauftragte Peter Schaar. Derzeit regelt noch das sogenannte Safe-Harbor-Abkommen, wie US-Unternehmen mit den persönlichen Daten von EU-Bürgern in ihren Rechenzentren umzugehen haben. Bendon Lynch, Microsoft's Chief Privacy Officer:
"Das Safe-Habor-Abkommen wurde zwischen Europa und den USA ausgehandelt, damit Organisationen sich selbst den europäischen Prinzipien des Datenschutzes verpflichten können."
Gut 3.000 US-Firmen haben das getan, erklärt, sich den Prinzipien des europäischen Datenschutzes verpflichtet zu fühlen. Aber das war's dann auch. Eine Untersuchung des australischen Beratungsunternehmens Galexia vom letzten Jahr kommt zu dem Ergebnis, dass weit über 400 Firmen trotz Selbstverpflichtung sich definitiv nicht an europäische Datenschutzgesetze halten. Und selbst die, die vielleicht wollen, können nicht, weil die NSA Zugriff auf ihre Rechenzentren hat. Mitten in die parlamentarischen Beratungen über die EU-Datenschutz-Grundverordnung platzte dann vor einem Jahr auch noch Ed Snowden mit seinen Enthüllungen über die Aktivitäten des Geheimdienstes.
Recht auf Löschen von Daten
Und unter diesem Eindruck sprach sich das Parlament denn auch für einen sehr konsequenten Datenschutz aus. Das Prinzip: Die Betroffenen müssen der Erfassung und Verarbeitung ihrer Daten zu eindeutig definierten Zwecken ausdrücklich zustimmen. Und den Betroffen muss klar sein, womit sie sich einverstanden erklärt haben. Versteckte Hinweise in allgemeinen Geschäftsbedingungen reichen dafür nicht aus. Und dann räumt die Gesetzesvorlage den Betroffenen noch ein Recht auf Löschung ihrer Daten ein.
"Es gibt einen Anspruch, dass bestimmte Daten gelöscht werden. Das entspricht im Übrigen völlig der deutschen Rechtslage. Und das ist jetzt auch europäisches Recht."
Wenn Kommissionsentwurf und Parlamentsvotum denn umgesetzt werden. Dann dürfen Unternehmen persönliche Daten nur so verwenden, wie die Betroffenen es wollen.
"Und sollten sie das nicht tun, dann drohen sehr harte Strafen bis zu zwei Prozent des Weltumsatzes als Strafe kann von den Datenschutzbehörden auferlegt werden."
Die Vorschrift, die explizite Zustimmung zur Datenverarbeitung einzuholen, und die strenge Zweckbindung würden gängige Geschäftsmodelle einschränken. Werbe-Aktionen etwa würden erschwert. Dementsprechend erheben die Wirtschaftsverbände Einwände. Heiko Willems, Abteilungsleiter Recht beim Bundesverband der deutschen Industrie:
"Wenn ich die Daten für einen bestimmten Zweck erhebe, darf ich sie nach deutschem Recht – Status quo hier in Deutschland – auch zu einem anderen Zweck nutzen. Und genau das möchten wir im europäischen Bereich auch sichergestellt haben. Wir wollen nicht Nutzungen verhindern, gegen die der Betroffene nichts einzuwenden hat."
So massiv wie wohl bei keinem Gesetzesvorhaben zuvor sind denn auch die Lobbyisten in Brüssel und Straßburg vorstellig geworden.
"Bei der EU-Datenschutz-Grundverordnung war tatsächlich der Druck oder der Anfrage-Druck für Gespräche ungeheuer groß."
Erinnert sich die CSU-Europa-Abgeordnete Monika Hohlmeier. Und wenn in Kürze sich die europäischen Gremien neu aufgestellt haben, dann geht die Auseinandersetzung um den europäischen Datenschutz in die entscheidende Runde.
