Steiniger Weg zum „Recht auf Vergessenwerden“

Am 21. Oktober 2013 hat der Innenausschuss des Europäischen Parlaments mehrheitlich über das Verhandlungsmandat zur neuen Datenschutzgrundverordnung abgestimmt. Mit 49 Ja-Stimmen, eine Gegenstimme und drei Enthaltungen gab es ein klares Votum für einen verbesserten Datenschutz in der Europäischen Union. Das war ein erster kleiner Teilsieg der Europäer im Kampf gegen die massive Lobby der amerikanischen Internet-Riesen Google und Facebook.

Der Berichterstatter des Europäischen Parlaments, Jan Philipp Albrecht (Member of European Parliament / MEP, Fraktion Die Grünen/EFA), war maßgeblich am Reformentwurf der neuen Datenschutzgrundverordnung beteiligt. Er dürfte sich in den vergangenen ein, zwei Jahren wie Don Quixote, der Mann aus La Mancha (Roman von Miguel de Cervantes) vorgekommen sein. Albrechts Windmühlen heißen im „digital age“ eben Facebook, Amazon, Google und Co.

Die Abstimmung im Innenausschuss wurde mehrmals verschoben. Denn es handelt sich bei der Datenschutzreform um eines der umfangreichsten Gesetzesvorhaben in der Geschichte der EU. Allein im Ausschuss selbst wurden 3.133 Änderungsanträge eingebracht. Die Liste der Lobby-Gruppen, die in Brüssel Einfluss auf die neuen Rechtsgrundlagen zum Datenschutz nehmen wollten und wollen, war sehr lang. In den vergangenen 14 Monaten haben sich Albrecht und sein Team mit 173 verschiedenen Interessengruppen getroffen und an 73 verschiedenen Veranstaltungen zum Datenschutz quer über den Kontinent teilgenommen. Im Sektorensplit der Treffen lagen, wie nicht anders zu erwarten, der Finanzsektor und Versicherungen (18,87 %) sowie Unternehmen und Unternehmensgruppen (17,45 %) ganz weit vorne.

Titanenkampf um das Geschäft im Internet
Sowohl die amerikanische Wirtschaft als auch ihre politische Führung bieten in diesem Titanenkampf um das Geschäft im Internet alles auf, um eine Verschärfung und Vereinheitlichung des europäischen Datenschutzes zu verhindern. Facebook hat mit Erika Mann als Cheflobbyistin in Brüssel eine ehemalige MEP (1994 bis 2009) aufgeboten, die weiß, wie die Uhren in den diversen Ausschüssen des Parlaments ticken. Auch vor bewusst gestreuten Falschmeldungen schrecken die US-Dominatoren des Webs nicht zurück. Immer wieder wird gegenüber Parlamentariern aller Coleurs der Teufel an die Wand gemalt: „Die Freiheit des Internets sei jetzt ernsthaft bedroht“, wenn Europa seine Datenschutzregelungen aus dem Jahr 1995 auf den heute erforderlichen Stand bringt.

Die Reform ist schon deswegen dringend, weil es Mitte der 90-er Jahre des letzten Jahrhunderts Social Media und Smart Phones noch gar nicht gab. Der letzte Rechtsrahmen stammt aus einer Zeit als Mark Zuckerberg gerade mal elf Jahre alt war. Es war den Mitgliedsländern der Union überlassen, wie sie diese europäischen Datenschutzrichtlinien in nationales Recht umsetzten. Das hat zu einem wahren Fleckerlteppich geführt. Denn die 28 Mitgliedsstaaten hatten auf dieser Grundlage die Möglichkeit, ungleiche Datenschutzbestimmungen zu implementieren. Konzerne wie Google oder Facebook haben bei diesem legistischen Szenario ihre Europa-Zentralen natürlich nach Irland verlegt, wo der Datenschutz in anglikanischer Denkart eher nachlässig ausgelegt und ausgeübt wird.

Datenschürfer in Goldgräber-Stimmung
Heute herrscht unter den Datenschürfern amerikanischen Zuschnitts eine wahre Goldgräber-Stimmung. Das hat auch seinen guten Grund – das Geschäft mit den Daten läuft prächtig. Richtig kompilierte Daten von Servicebenutzern mit ihren Vorlieben und Kaufgewohnheiten lassen die Kassen bei Social Network-Betreibern und Anbietern von Suchmaschinen klingeln. So stieg der Umsatz des weltweiten Internet-Anzeigenmarktes im Jahr 2012, im Vergleich zum Vorjahr, um sagenhafte 16,2 % auf 99 Milliarden Dollar. In den USA verdient Google inzwischen mehr mit Werbung als alle gedruckten Zeitungen und Zeitschriften zusammen.

Bei der Fülle an digitalen Spuren, die wir alle im Internet hinterlassen, liegt das Geld sozusagen auf der Straße. 2011 überstieg die Menge digitaler Informationen, die weltweit kreiiert und repliziert wurde 1,8 Zettabyte (1,8 Milliarden Gigabyte). 75 % dieser Informationen stammen von privaten Nutzern sozialer Netzwerke und neuer Medienforen wie Blogs. Facebook hatte Ende 2011 an die 845 Millionen aktive monatliche User, die zusammen einen Content von 30 Milliarden Informationseinheiten (Einträge, Fotos, Videos etc.) teilten.

Angesichts dieser „Big Data“ kommt der europäische Vorstoß zur rechten Zeit. Die informationelle Selbstbestimmung gibt es bislang nur im deutschen Grundrecht. Hinkünftig soll diese Autonomie von Dateninhabern einheitlich quer über das gesamte Territorium der Europäischen Union gelten. In Amerika hat Privatheit einen ganz anderen Stellenwert als in Europa. Zuckerberg hält „privacy“ für ein Auslaufmodell. In den USA werden die Menschen mit ihrem materiellen Eigentum (Haus, Auto) nur vor Zugriffen des Staates geschützt. Vor Unternehmen, die in hoch kapitalistischer Verwertungsökonomie persönliche Daten ihrer Kunden zusammentragen und mit IT-Unterstützung zu Profilen aggregieren, schützt sie niemand.

Die neue europaweite Datenschutzgrundverordnung sieht eine Harmonisierung der Datenschutzstandards vor. Damit soll künftig ein „Forum Shopping“ unterbunden werden, d.h. Unternehmen werden sich als Niederlassungsstandort nicht mehr jenen Mitgliedsstaat aussuchen können, der die niedrigsten Standards aufweist. Der Reformentwurf geht sogar einen Schritt in zwei Richtungen weiter: Die Standards gelten in Europa für alle, für BürgerInnen der Mitgliedsstaaten gleichermaßen wie für zugewanderte Bürger. Und sie gelten für Europäer auch jenseits der territorialen Grenzen der Union.

Das Recht auf Löschung
Die zentralen Punkte in der neuen Datenschutzgrundverordnung sind die Rechte auf Löschung, Auskunft und Korrektur (das Recht auf Vergessenwerden), die explizite Einwilligung zur Verarbeitung von Daten sowie eine verbesserte Transparenz durch Informationspflicht von Serviceanbietern hinsichtlich der Weitergabe von Daten. An Strafverfolgungsbehörden in Drittstaaten etwa dürfen personenbezogene Daten künftig von Telekommunikations- und Internet-Anbietern nur dann weiter gegeben werden, wenn sie auf der Grundlage europäischen Rechts oder daraus abgeleiteter Rechtshilfeabkommen mit Behörden in Drittstaaten beruhen. Mit einer zukunftstauglichen Definition will die Verordnung auch klar festlegen, was als ‚personenbezogene Daten‘ gilt. Im Grunde sind dies alle Informationen, die einer Person zugeordnet werden können, und die es erlauben, diese Person aus einer Menge von Menschen herauszufiltern und zu identifizieren.

Natürlich braucht es für einen zeitgemäßen, funktionierenden Datenschutz ein entsprechendes Durchgriffsrecht, die Verletzung von Bestimmungen zu ahnden. Und diese Sanktionen gegen Verstöße müssen strikt sein! Daher sollen Unternehmen bis zu 5 % des Jahresumsatzes zahlen, wenn sie das Gesetz nicht einhalten. Das kann bei großen Konzernen schon in die Milliarden gehen und wird verhindern, dass die Umgehung der Datenschutzvorschriften im Business-Modell einfach einkalkuliert wird.

Durchgriffsrecht bei Datenschutz
Weiters sieht die Verordnung „Privacy by design“ (by default) vor, weshalb Angebote von Dienstleistern künftig möglichst datensparsam konzipiert werden müssen. Es dürfen also nur Daten erhoben werden, die für die Erbringung einer Leistung absolut erforderlich sind.

Gleichzeitig strebt man in Brüssel weniger Bürokratie an. Die Ernennung von Datenschutzbeauftragen richtet sich nach der Menge der verarbeiteten Daten und nicht nach der Anzahl der Mitarbeiter.

Eine einheitliche Rechtsdurchsetzung durch eine europäische Datenschutzaufsicht ähnlich der EU-Bankenaufsicht und ein „One-Stop-Shop“-Ansatz für Bürger bei Beschwerden (Nationale Datenschutzbehörde im jeweiligen Mitgliedsland, Schlichtungsverfahren vor dem neu gegründeten europäischen Datenschutzausschuss) runden das Reformwerk ab.

Laufend qualifizieren, modifizieren und optimieren
Der Weg bis zum Inkrafttreten der Datenschutzgrundverordnung bleibt jedoch ein steiniger. Kenner der europäischen Institutionen bezweifeln, ob es sich bis zu den Wahlen zum Europa-Parlament im nächsten Frühjahr ausgehen wird. Das US-Lobbying gegen die Datenschutzreform wird in den kommenden Wochen munter weiter gehen. Nicht nur Abgeordnete des federführenden LIBE-Ausschusses (Bürgerliche Freiheiten, Justiz und Inneres) werden für das weitere Gesetzwerdungs-procedere für US-Positionen geködert, auch Abgeordnete der mitberatenden Ausschüsse ITRE (Industrie, Forschung und Energie), IMCO (Binnenmarkt und Verbraucherrechte) und JURI (Rechtsausschuss) sind Ziele der amerikanischen Interessengruppen. Das Europa-Parlament sollte sich in seiner Gesamtheit zumindest dazu bekennen, dass das neue Regelwerk die Leitlinie von 1995 als Ausgangspunkt nimmt und dann in ihrer Dimension zeitgemäß darüber hinausgeht (Voss-Bericht 2011).

Die weitere Vorgangsweise sieht eine Einigung im Rat vor. Auch das wird schwierig, weil national schon viele Politiker Änderungen monieren. Dies geschieht weil die Politik die Wirtschaftsinteressen von Konzernen berücksichtigen möchte. Danach stehen die Trilog-Verhandlungen zwischen Europäischem Parlament, Rat und Kommission an, bevor die Datenschutzgrundverordnung in Kraft treten kann.

Weitreichende Datenschutzstandards haben einen großen Impact auf die Nutzung von Zukunftstechnologien, bei denen Trust im Vordergrund steht. Cloud Computing kann von besseren und einheitlichen Standards in Europa nur profitieren. Trotzdem bleibt es immer eine schmale Gratwanderung zwischen dem Recht auf freien Informationsfluss und dem Recht auf Privatsphäre. Hier muss der endgültige Gesetzestext klar und unmissverständlich eine gewogene Balance finden.

Man könnte sagen, die Whistleblower-Enthüllungen von Edward Snowden über die Machenschaften der NSA kamen für Jan Philipp Albrecht bei der Formulierung der Verordnung zur rechten Zeit. So könnten die unliebsamen Details über die Abhörung der deutschen Bundeskanzlerin Angela Merkel und der brasilianischen Präsidentin Dilma Rousseff auch zu einem verbesserten europäischen Datenschutz führen.

Die Staatschefin aus Brasilien zeigte sich mit einer Brandrede vor der UN-Vollversammlung wild entschlossen, ein post-amerikanisches Internetzeitalter zu begründen und dabei auf Europa zu vertrauen. „Das Recht und die Sicherheit der Bürger eines Landes dürfen niemals auf die Verletzung grundlegender Menschenrechte der Bürger eines anderen Landes gegründet werden“. In dieser Hinsicht ähneln sich die Rechtsauffassungen in Europa und Lateinamerika. Brasilien möchte mit Glasfaserkabeln im eigenen Land und nach Europa auch technisch die amerikanische Hegemonie beim Datenverkehr brechen und eine starke Achse zur EU aufbauen. „Amerika sieht ganze Völker und Weltregionen machtpolitisch nur als Datencluster. Seine Internet-Wirtschaft ordnet alles dem privaten Gewinnstreben unter. Der ganzen Welt soll vorgegaukelt werden, Amerikas Handeln sei eine emanzipatorische Wohltat am Menschengeschlecht“, wie es Matthias Rüb, Korrespondent der FAZ für Lateinamerika formulierte.

Verbesserter Datenschutz und technologischer Aufbau sowie Stärkung eigener Infrastrukturen werden künftig wohl Hand in Hand gehen müssen. Europa wird dies etwas stiller und diplomatischer anlegen als die brasilianische Staatschefin mit ihrem Manifest für ein neues Internet. Die abhörsicheren Technologien stünden in Europa schon zur Verfügung, so z.B. die an der Wiener Akademie der Wissenschaften im Team von Professor Anton Zeilinger (Österreichischer Quantenphysiker) stark weiter entwickelte Quantenkryptografie. Einem Durchbruch auf europäischer Ebene steht eigentlich nur der fehlende gemeinsame Wille entgegen. Den Kinderschuhen, sprich dem Labor, ist dieser Quantensprung bei Daten-Security längst entwachsen.

In Europa besteht die einmalige Chance Recht und Technologie so zu vernetzen, dass das Vertrauen der Wirtschaft und der Bürger in die virtuelle Welt wieder vollends hergestellt werden kann.

Erstveröffentlichung des Beitrags am 26. 10. 2013  in dem Blog United Clouds of Europa.