Am Mittwoch hat das Europaparlament für einen starken Datenschutz im digitalen Zeitalter gestimmt. Nun müssen sich die Regierungen einigen. Doch Deutschland blockiert. Ein Lehrstück über Lobbyismus und undurchsichtige Verfahren.

Besser man redet von Menschen als von Institutionen. Erika Mann ist vierundsechzig Jahre alt, und es fällt ihr schwer, sich Personen vorzustellen, die nicht Mitglied bei Facebook sind. Bis vor fünf Jahren saß sie als SPD-Abgeordnete im Europaparlament, betraut mit Fragen zur Wirtschaftspolitik. Dann wechselte sie die Straßenseite und wurde Cheflobbyistin von Facebook. Man kann es als Beförderung ansehen: So wie die Lobbyisten in Brüssel auftreten, repräsentiert sie jetzt nicht mehr 500 Millionen Europäer, sondern eine Milliarde User, Menschen, die sie zwar nicht gewählt haben, aber deren Interessen sie zu kennen glaubt. Im Internet, meint Erika Mann, zähle die Freiheit, von der alle profitierten. Alle: der Handel und die Wirtschaft, und darüber hinaus die Gesellschaft. Wenn die Gesellschaft so funktioniert wie Facebook, hat Frau Mann ihr politisches Ziel erreicht

Mann gilt heute als Antipodin ihrer ehemaligen politischen Kollegen. Schon damals, als eine von ihnen, galt sie als äußerst einflussreich und besonders industrienah. Als sie im November 2011 nach ihrem Ausscheiden aus dem Parlament in die Europa-Dépendance von Facebook wechselte, ging ein Raunen durch Brüssel. Es war die Zeit, in der – so beschreibt es der federführende deutsche Abgeordnete Jan Philipp Albrecht – das umfangreichste Gesetzesvorhaben, das es in der Geschichte der Europäischen Union je gegeben hat, angestoßen wurde. Im Januar 2012 legte die Kommission ihren Entwurf für eine Datenschutz-Grundverordnung vor. An diesem Mittwoch hat das Parlament diesem Entwurf zugestimmt. Die Änderungsvorschläge der Parlamentarier werten viele Beobachter als großen Schulterschluss mit der Kommission. Zwei europäische Institutionen, die einen anderen Weg gehen wollen als der dritte und mächtigste Mitspieler: die durch den Ministerrat repräsentierten nationalen Regierungen.

Wer Datenschutz-Grundverordnung hört, winkt ab. Deshalb heißt sie auch so, wie sie heißt. Der Titel wirkt abstrakt, langweilig und allgemein. Dabei geht es um eine Entscheidung, die definieren wird, was ein Mensch ist – in den Augen seiner Umwelt, seiner Chefs und des Staates. Im Kern ist es eine Entscheidung darüber, wer die Verfügungsgewalt über unsere Identitäten hat. Wird das digitale Ich in den Händen von Unternehmen über unsere reale Person hinauswachsen? Bekommen die Bürger das Recht, die digitale Verschmelzung aufzuhalten? Jeder Bürger soll das Recht bekommen, über seine bleibenden Spuren im Netz informiert zu werden und sie löschen zu dürfen.

Doch was sich Millionen Nutzer schon seit Monaten und Jahren wünschen, wird dennoch nicht so schnell geltendes Recht werden. Denn die Entscheidung des Parlaments bleibt folgenlos, solange sich die nationalen Regierungen im Ministerrat nicht einig werden. Der Kraftakt, der den 766 Abgeordneten gelungen ist, fällt den Regierungen schwer. Nach zwei Jahren Diskussionen gibt es in keinem Punkt Einigkeit. Wieder steht Deutschland im Mittelpunkt. Wieder wirkt es wie ein anonymes, undurchsichtiges und letztlich unverständliches Spiel von Interessen. Aber auch hier sind es wieder Menschen, nicht Institutionen, die helfen, das Geflecht, hinter dem sich die handelnden Personen verbergen, aufzulösen. Es ist der Regierungsdirektor im Bundesinnenministerium Rainer Stentzel, der im Namen der Bundesregierung verhandelt. Sein Name fällt immer wieder, wenn es darum geht, herauszufinden, warum dieses Gesetzesvorhaben blockiert wird.

Machtkampf zwischen Europa und Kalifornien

Ein typischer Mittwoch in Brüssel: Eine Gruppe von Schülern steht vor dem Eingang des Europäischen Parlaments in der Rue Wiertz und versucht mit zurückgelegtem Kopf, das gigantische Gebäude zu erfassen. Viele von ihnen sind Bürger des Staates von Erika Mann.

Das Café im dritten Stock ist gut besucht. Wegen der bunten Bestuhlung wird es „Mickey-Mouse“ genannt, und spätestens jetzt kann man unter all den gutausgebildeten Menschen unterschiedlichster Herkunft die Assoziation zu der anderen großen Parallelwelt unserer Zeit nicht mehr vermeiden: zu der von Google, Facebook und der des Silicon Valley.

Von der großen Öffentlichkeit fast unbemerkt, findet zwischen Europa und Kalifornien schon seit langem ein Machtkampf statt, in dem es um fairen Wettbewerb geht. Nein, nicht um Strafzölle oder Subventionen, sondern um eine Frage, die früher philosophisch genannt worden wäre und heute eine existentielle Machtfrage geworden ist: Was darf man wissen?

Das Datensammeln ist ein lukrativer Wachstumsmarkt, auf dem strenge Regeln nur stören. Unternehmen aus den Vereinigten Staaten sind im Vorteil, weil es bei ihnen keinen Datenschutz gibt, der über einen eng gefassten Privatbereich hinausgeht. Sie dürfen Daten sammeln, so viel sie wollen und die Ausbeute als ihr Eigentum betrachten. In Europa verbietet das die Datenschutzrichtlinie aus dem Jahr 1995 – sie wird jedoch kaum umgesetzt. Eine Richtlinie erlaubt nationale Gestaltungsspielräume – und durch die unterschiedliche Auslegung in den 28 Mitgliedsländern der EU sind Schlupflöcher entstanden, die von den großen IT-Unternehmen ausgenutzt werden. Sie siedeln sich gezielt dort an, wo der Datenschutz schwach ist, mit Vorliebe in Irland.

Diesem „Race to the bottom“ will die Europäische Kommission endgültig einen Riegel vorschieben. Wäre die Verordnung bereits in Kraft, gäbe es keinen irischen Sonderweg mehr. Die europäische Rechtssprechung wäre einheitlich. Unternehmen, die gegen die Verordnung verstoßen, müssten mit Strafgeldern von bis zu fünf Prozent ihres Jahresumsatzes rechnen. Das kann Umsatzriesen empfindlich treffen – bisher oblag es dem Bundesdatenschutzbeauftragen allenfalls scharfe Warnungen auszusprechen. Es fehlt nur noch das Votum des Ministerrats. Ohne ihn können die Verhandlungen zwischen Kommission, Rat und Regierungen nicht beginnen.

Wie solch ein Trilog im Kleinen aussieht, lässt sich an einem klaren Februartag in der Bayerischen Vertretung in Brüssel beobachten. Der hundert Jahre alte Gebäudekomplex, der unter Insidern „Schloss Neuwahnstein“ genannt wird, liegt dem Parlament direkt gegenüber, und doch befindet man sich hier in einer anderen Welt aus rötlichem Sandstein, einer Parallelwelt in Potenz. Die Vertretung ist ein beliebter Treffpunkt für Parlamentarier, EU-Beamte und Industrievertreter, die sich bei bayerischen Spezialitäten zum Gedankenaustausch treffen. Das Thema des Tages lautet: „Neue Datenschutz-Grundverordnung – Vor- oder Nachteil für die Wirtschaft in Europa?“, die bayerische IHK ist Mitveranstalter, und das Podium füllt sich mit einigen der wichtigsten Protagonisten der europäischen Datenschutz-Szene. Hier treffen in Gestalt von zwei Menschen zwei Insitutionen aufeinander: Thomas Zerdick, der im Namen der Kommission das Recht auf Selbstbestimmung in das digitale Zeitalter retten will, und Rainer Stentzel, der für das deutsche Innenministerium die Verhandlungen im Ministerrat führt und bislang, so lautet die Kritik, noch keinen einzigen konstruktiven Vorschlag vorgelegt hat. Ein rituelles Schauspiel nimmt seinen Lauf, das in dieser Form nur in Brüssel zu bestaunen ist. Der Rechtswissenschaftler aus Passau auf der einen Seite, der ein wenig an den jungen Foucault erinnernde Regierungsdirektor auf der anderen: Der eine redet im Namen von Viviane Reding, der andere im Namen der Bundesregierung.

Wie Erzrivalen sitzen die beiden fast gleichaltrigen Beamten Zerdick und Stentzel Seite an Seite, ohne sich auch nur eines Blickes zu würdigen. Sie sind keine Politiker, sie sind Beamte und wollen für ihre Institutionen, die sich am nahe gelegenen Rond-Point Schuman so scheinbar einträchtig gegenüberliegen, keinerlei Schwäche zeigen. Sagt Zerdick streng, aber ins Leere, die Kommission rechne mit einem Entwurf des Ministerrats noch im Sommer dieses Jahres, sagt Stentzel kühl, das sei mit dem Ministerrat nicht abgestimmt. Ungeschminkt kritisiert Stentzel die Entwürfe von Kommission und Parlament, er hält das „Verbotsprinzip“, wie er den urdeutschen Ansatz nennt, Datenverarbeitung nur unter bestimmten Voraussetzungen zu erlauben, für veraltet. Dass die Verordnung Behördendaten ebenso behandelt wie von Unternehmen gesammelte, hält der frühere Austauschbeamte im amerikanischen Heimatschutzministerium schon im Ansatz für falsch. Thomas Zerdick runzelt die Stirn. „Der Ball liegt beim Rat“, sagt er, doch sein Vertreter hat ihn gerade ins Aus gespielt.

Manche nennen es Arbeitsverweigerung

Beim Publikum kommt Rainer Stentzel in der Rolle des harten Hunds gut an, keine einzige kritische Frage im vollbesetzten Saal der Bayerischen Vertretung. Die Verwaltungsakribie des deutschen Ministerialbeamten kommt dem wirtschaftlichen Interesse an der Aufrechterhaltung des Status quo sehr entgegen.

Während nach der Veranstaltung warmer Strudel und Kaffee serviert werden, bereitet sich im siebten Stock des Parlamentsgebäudes der grüne Europaabgeordnete Jan Philipp Albrecht auf eine wichtige Sitzung des Justiz- und Innenausschusses vor, in der es um Konsequenzen aus den Snowden-Enthüllungen und die Aussetzung des Safe-Harbor-Abkommens geht. Noch am nächsten Morgen wird sich Albrecht in seinem Brüsseler Büro leidenschaftlich darüber ärgern, bei der Podiumsdiskussion des Vortags nicht dabei gewesen zu sein. Er findet es unmöglich, dass Beamte der Arbeitsebene öffentlich politische Aussagen treffen.

Die Argumente der Gegenseite kennt er allzu gut. Er habe aufgehört, sich mit den Vertretern des Bundesinnenministeriums zu treffen, als er das Gefühl bekam, er höre hier Argumente, die er schon von Peter Fleischer, dem obersten Privacy-Berater von Google, kennt. In seinem gestreiften T-Shirt unter dem Sakko sieht der 32 Jahre alte Jan Philipp Albrecht wie ein verkappter, fast jugendlicher Pirat aus, argumentiert aber so scharf, begriffsfest und prinzipiell wie ein Kantianer. In fünfzig Arbeitsgruppensitzungen à vier Stunden hatte der ausgewiesene IT-Rechtler im vergangenen Jahr mit den anderen Fraktionen als Verhandlungsführer einen Datenschutzkompromiss erarbeitet, der mit überragender Mehrheit angenommen wurde: 49 Jastimmen, eine Gegenstimme, drei Enthaltungen. Mit dieser klaren Position wollte der Ausschuss dann gleich in die Verhandlungen mit dem Ministerrat eintreten, um noch vor der Europawahl zu einem Ergebnis zu kommen. Doch der Rat vertagte sich, Albrecht nannte das damals „Arbeitsverweigerung“.

Google-Vertreter Peter Fleischer ätzte darauf in einem Blog-Eintrag, zu den größten Überraschungen des Jahres 2013 zähle für ihn, dass die europäische Datenschutzreform total kollabiert sei. Spöttisch nennt er sie „much-ballyhooed“. Doch für Jan Philipp Albrecht ist der Machtkampf längst nicht entschieden: „Wir sind nicht schwach. Wir vertreten fünfhundert Millionen Bürger und haben in den letzten Monaten Briefe aus Asien, Süd- und Nordamerika bekommen, von den größten Verbraucherschutzorganisationen und Bürgerrechtsbewegungen der Welt. Alle haben gesagt: Wir führen dieselben Diskussionen wie ihr, aber wir wissen: Nur in Europa kann diese Schlacht gewonnen werden. Wenn die EU nicht mehr auf der Durchsetzung ihres Rechts besteht, haben wir schon längst verloren.“ Angesichts der überragenden Parlamentsmehrheit wäre das Scheitern der Reform für Jan Philipp Albrecht die größte Pleite, die die Europäische Union je erlebt hat.

Eigentlich ging Albrecht davon aus, dass die Lobbys die größten Hürden stellen würden. Dutzende Termine jeden Tag absolvierte er, als er als Berichterstatter für das Parlament mit dem Kommissionsentwurf zu tun hatte. Kurz nach Facebooks Büroeröffnung zog auch Google vor zwei Jahren nach. Der Lobbyismus wurde amerikanischer, subtiler und gleichzeitig aggressiver. Erika Mann interpretiert ihre Rolle mit einer stark nach außen tretenden Strenge. Bunte Spritzpistolen und Funboards wirken wie Museumsstücke in ihrem Büro. Das Ambiente soll die Lockerheit aufzeigen, mit der das Unternehmen auch öffentlich die Datenschutzfragen behandeln wolle. Für Facebook, sagt der deutsche Datenschützer Thilo Weichert, ist die Verordnung allerdings auf allen Ebenen ein riesiges Problem. Die rechtliche Harmonisierung, die Facebook öffentlich begrüßt, ist der Knackpunkt: Gerade die laxen Rechtsbestimmungen in der irischen Europa-Zentrale verhindern, dass die vielen Datenschutzregeln, mit denen sich Facebook im Konflikt befindet, auch tatsächlich durchgesetzt werden. Käme die Verordnung, müsste sich das irische Recht anpassen. Das Schlupfloch wäre dicht.

Auf der Benutzeroberfläche hat sich Facebook gegen Vorwürfe gewappnet. Man biete doch längst die Möglichkeit zum Löschen der persönlichen Daten, lautet das Argument. Tatsächlich aber handelt es sich nur um ein Unsichtbarmachen. Oft genug kam es vor, dass längst gelöschte Daten wiederauftauchten. Auf der Tiefenebene, wo Facebook die Rendite schöpft, wo es Daten sammelt und Profile bildet, von denen keiner weiß, was einmal damit geschieht, ist es undurchsichtig. Die Verordnung würde den Durchgriff ermöglichen. Facebooks Struktur würde in Teilen transparent.

Das einzige Foto

Wie Facebook wirklich über den Parlamentsentwurf denkt, steht in einem Lobbypapier, das 2012 in die Hände von Datenschutzaktivisten geriet. Das Papier zieht über alles her, was der Verordnung teuer ist: gegen die Kooperation der europäischen Behörden, gegen datenschutzfreundliche Grundeinstellungen, gegen das Recht auf Vergessen. Ein Netzanbieter, schreibt Facebook, soll einen anderen nicht zur Datenlöschung anhalten müssen. Und ein Nutzer soll kein Recht auf Löschung von Daten haben, die andere über ihn versendet haben. Auch die strikte Zustimmungspflicht zur Datenverarbeitung ist nicht in Facebooks Sinn.

Doch Facebook kann sich seine äußerlich zustimmende Haltung leisten, weil es weiß, dass andere für seine Interessen eintreten. Die Brüsseler Lobbymaschine operiert auf vielen Ebenen. Im Hintergrund wirken die Wirtschaftsverbände, die Handelsvertretungen, die großen Lobbyagenturen wie Fleishman Hillard oder Hill & Knowlton. Dazu kommen die großen Anwaltskanzleien – einer der besonders schwer greifbaren Faktoren der Lobbymacht. Sie legen die vielen Rechtslücken aus, die in den transnationalen Räumen des Datenverkehrs entstehen. Die Abgeordneten werden von der Personalmacht und der Expertise der Lobbymaschine schier erdrückt. Firmeninteressen sind hier oft hinter Verbandsinteressen versteckt. Und es sind nicht nur die großen IT-Firmen, die gegen den Datenschutz Sturm laufen. Es sind Banken, Auskunfteien, mittelständische Zulieferer. Und natürlich hat auch die vernetzte Autoindustrie ein starkes Interesse an einem liberalen Datenrecht. Auch die deutsche Wirtschaft wäre stark betroffen.

Vertraulichkeit im Ministerrat

Der 6. Juni 2013, zufällig der Tag, an dem der noch anonyme Edward Snowden die Weltbühne betrat, war auch für den Ministerrat ein Tag der Enthüllungen. Ein Mitglied der irischen EU-Ratspräsidentschaft zückte sein Handy, um ein Foto zu schießen. Das Bild zeigt ein Zelt inmitten eines großen, holzvertäfelten und fensterlosen Verhandlungssaals. Es ist das bis heute einzige bildliche Dokument der Situation, in der die Regierungen Europas als letzte Instanz über alle aufgeworfenen Fragen im Verschwiegenen verhandeln. Dem Bild ging eine turbulente Sitzung der europäischen Justiz- und Innenminister voraus. An dessen Ende klagte die Justizkommissarin Viviane Reding über den Stillstand in den Verhandlungen zum Datenschutz und rief die Mitglieder maßgeblicher Arbeitsgruppen dazu auf, notfalls in Zelten zu übernachten, damit es endlich zu Fortschritten komme.

Diese Forderung ist auch neun Monate später noch aktuell. Seit die Kommission vor zwei Jahren ihren Entwurf zur Datenschutz-Grundverordnung vorlegte, trifft sich in Brüssel die Arbeitsgruppe „Informationsaustausch und Datenschutz“ (Dapix). Ihrem Ziel, den Kommissionsentwurf auf Herz und Nieren zu prüfen und einen Gegenentwurf für die europäischen Justiz- und Innenministern auszuarbeiten, kommt sie kaum näher. Es heißt, in der Dapix herrsche seit langem eine depressive Stimmung, nichts gehe voran, manche Teilnehmer blockierten die Verhandlungen bewusst.

Mit gebrochener Stimme sprechen

Mit fünf Beamten arbeitet Rainer Stentzel in Berlin an der Grundverordnung. Seit zwei Jahren reist er regelmäßig nach Brüssel zu den Dapix-Sitzungen. Anfangs dauerten die Treffen einen Tag, heute sind sie im Rhythmus von zwei Wochen bis zu drei Tage lang. Die Arbeitsgruppe steht unter Zeitdruck, nicht nur, weil Kommission und Parlament auf Antworten warten, sondern auch, weil nach den Enthüllungen Edward Snowdens sogar die Bundeskanzlerin forderte, dass Europa in Fragen des Datenschutzes „mit einer Stimme sprechen“ solle. Ein gutes nationales Datenschutz-Gesetz helfe nichts, wenn Unternehmen Schlupflöcher wie in Irland nutzen könnten. „Deshalb brauchen wir hier eine einheitliche europäische Regelung“, sagte Merkel im ZDF-Sommerinterview, eine Forderung, die sie in dieser Woche auf der Cebit erneuerte.

Bisher aber haben sich die Unterhändler – Deutschland entsendet eine Delegation des Innenministeriums, während die anderen Staaten überwiegend ihre Justizministerien beauftragen – auf keinen der auf 138 Seiten ausgearbeiteten Vorschläge der Kommission verständigen können. Zwar heißt es auch aus dem Innenministerium, dass der Kommissionsentwurf viele Elemente enthalte, die wichtig und wegweisend seien. Doch dürfe in den Verhandlungen nicht das Prinzip „quick and dirty“ gelten. Innenminister Thomas de Maizière unterscheide sich in seiner Haltung nicht von seinen Amtsvorgängern. Es koste Zeit, sich mit den anderen Ressorts und den Ländern abzustimmen. Nicht immer verschicke die Präsidentschaft die Tagesordnung rechtzeitig, so dass man sich nur unzureichend vorbereiten könne. Und überdies bestehe das Thema Datenschutz aus derart vielen Querschnittsthemen, dass man nicht einzeln über sie urteilen könne. Es hänge alles mit allem zusammen.

Deutschlands doppeltes Spiel

Sitzungsprotokolle zeigen, wie verfahren die Situation ist. Auf die Vorschläge der Kommission, die an den Verhandlungen teilnimmt, folgen zuweilen so viele Prüfvorbehalte und andere formale Einsprüche, dass sich die Unterhändler gegenseitig ein surrealistisches Verständnis der Verhandlungen vorwerfen. Die Protokolle zeigen auch, dass sich Mitgliedstaaten und Kommission schon gegenseitig gefragt haben, ob man sich über sie lustig mache. Das Innenministerium zeichnet ein anderes Bild der Verhandlungen. In Brüssel werde gesittet und ruhig verhandelt, die Dapix gleiche einem Beamtenparlament wie dem Bundesrat. Belegen lasse sich das allerdings nicht, denn die Sitzungen seien streng vertraulich, direkte Zitate von Anwesenden gingen nicht nach draußen. Sowenig über die Verhandlungen gesprochen werden darf, so offen wird in Brüssel über die Ergebnisse diskutiert. Wenn im halbjährlichen Rhythmus die Präsidentschaft wandert, finden sich in den Abschlussdokumenten Anmerkungen, Stellungnahmen und Fragen, wobei derzeit sechshundert Notizen keinem einzigen Ergebnis gegenüberstehen. Selbst dann, wenn ein breites Grundverständnis besteht, werde weiterverhandelt, anstatt Sachfragen abzuschließen.

Mehr zum Thema 1/

Das Innenministerium begründet seine Vorsicht mit der großen Erfahrung, die Deutschland im Datenschutz habe. Es sei einfach nicht fair, diese Erfahrung vorzuenthalten. Das Gespräch mit Vertretern des Ministeriums über diese Erfahrungen birgt jedoch eine Überraschung. Die Beamten schließen an eine kaum bekannte Minderheitenposition im juristischen Diskurs an. Einer seiner Vertreter ist Jochen Schneider, Ausschussvorsitzender zum Informationsrecht im Deutschen Anwaltsverein. Er bezeichnet das Prinzip, dass Menschen ihr Recht auf informationelle Selbstbestimmung auch in der digitalen Ökonomie wahren dürfen, als „Hemmnis für den modernen Datenschutz“. Dieses „Verbot der Datenverarbeitung“ sei in Wahrheit ein „Verbot der Kommunikation“. Aus dieser Position scheint das Innenministerium seine Verhandlungsposition in Brüssel abzuleiten.

Denn eigentlich, sagen Beamte des Innenministeriums, sei die Arbeit am Entwurf der Verordnung die Arbeit an einem modernen Kommunikationsgesetzbuch. Das wiederum würde bedeuten, dass das Recht auf informationelle Selbstbestimmung einem harmonisierten Wettbewerb entgegenstünde. In der Diskussion geht es also nicht nur um das Recht des Einzelnen, sondern auch darum, ob europäische Unternehmen mit globalen Konkurrenten auf Augenhöhe bestehen können. Vom Datenschutz bleibt in dieser Diskussion nur ein Rumpf namens Persönlichkeitsrecht.

Im Grunde geht es um einen Paradigmenwechsel, bei dem aber auch Deutschland wenig Erfahrung hat. In Wirklichkeit ist die Bundesregierung selbst überrumpelt von dem atemberaubenden Tempo, in dem die großen Netzunternehmen Daten abschöpfen. Es ist nicht einmal klar zu unterscheiden, ob es politischer Wille oder bloße Verzweiflung ist, dass sie sich in dieser Lage auf eine Position zurückzieht, die am Ende nichts anderes als eine Preisgabe sein könnte.