Szene von der Internetkonferenz Re:publica in Berlin. Die Mitgliedsstaaten der Europäischen Union müssen sich bei ihren nationalen Datenschutzgesetzen an zwei Jahrzehnte alten Vorgaben orientieren.

Von Simon Hurtz

Facebook ist ein Kind, Google ein Jugendlicher, die EU-Datenschutzrichtlinie dagegen schon lange volljährig. Die größten Internet-Firmen der Welt, das elf Jahre alte Facebook und das 16 Jahre alte Google, werden von einer 1995 beschlossenen Richtlinie reguliert.

Oder, anders ausgedrückt: Die Mitgliedsstaaten der Europäischen Union müssen sich bei ihren nationalen Datenschutzgesetzen an zwei Jahrzehnte alten Vorgaben orientieren - Vorgaben, die aus einer Zeit stammen, als weniger als ein Prozent der Europäer das Internet nutzte, und die dringend reformbedürftig sind.

Dieser Reformprozess ist heute einen entscheidenden Schritt vorangekommen. Die Innen- und Justizminister der 28 EU-Länder (für Deutschland verhandelte das Innenministerium) haben sich auf eine Position für ein neues Datenschutzgesetz geeinigt. Die wichtigste Änderung lautet: "ein Kontinent, ein Gesetz". Der Flickenteppich unterschiedlicher nationaler Umsetzungen der alten Datenschutzrichtlinie soll zu einem einheitlichen Rechtsraum werden.

Dieselben Standards für alle Europäer

Für Verbraucher ist das eine klare Verbesserung: Neben der Höhe der Steuern waren die Datenschutzgesetze bislang ein entscheidender Standortfaktor für die Ansiedelung von Unternehmen. Nicht umsonst haben Firmen wie Facebook ihre Europazentrale im irischen Dublin, wo vergleichsweise niedrige Datenschutzstandards gelten. Dennoch profitieren deutsche Facebook-Nutzer bislang nicht von den verbraucherfreundlicheren Vorgaben in Deutschland, da Facebook europaweit irisches Recht geltend macht. Mit solchen Tricks soll Schluss sein. Unternehmen können sich als Sitz nicht mehr den Mitgliedsstaat mit den laxesten Gesetzen aussuchen.

Außerdem sollen Verbraucher ihre Rechte künftig leichter und in allen 28 EU-Staaten durchsetzen können. Bislang war das schwierig: So musste sich etwa der österreichische Datenschutz-Aktivist Max Schrems mit seiner Beschwerde gegen Facebook an den irischen Datenschützer wenden. Das würde sich in Zukunft erübrigen: Er könnte dann beim nationalen Beauftragten vorstellig werden, der sein Anliegen an den irischen Kollegen weitergibt.

Diese sogenannte "one-stop shop"-Regelung käme nicht nur Verbrauchern, sondern auch der Wirtschaft zugute. Unternehmen müssten sich nicht mehr mit bis zu 28 unterschiedlichen Gesetzgebungen befassen, wenn sie europaweit agieren. Die EU schätzt, dass der Bürokratieabbau bis zu 2,3 Milliarden Euro pro Jahr sparen könnte.

Tschüss Facebook, hallo Google+

Aus Verbrauchersicht gibt es noch weitere wichtige Neuerungen. Sie sollen besser darüber informiert werden, wie ihre Daten gespeichert werden und was mit diesen Daten geschieht. Und wenn sie sich für einen anderen Dienst entscheiden, soll dieser Wechsel leichter werden, indem Anbieter zu "Datenportabilität" verpflichtet werden. Wer keine Lust mehr auf Facebook hat, könnte dann zu Google+ wechseln und seine Daten einfach mitnehmen.

Der Start bei Google+ soll nicht nur einfacher, sondern auch sicherer werden. Die EU will Unternehmen zu datenschutzfreundlichen Standardeinstellungen verpflichten. Registriert man ein Konto bei einem sozialen Netzwerk oder lädt sich eine neue App herunter, teilt man häufig automatisch Inhalte mit anderen Nutzern oder stellt seine Daten dem Anbieter zu Verfügung. Wer das nicht will, muss oft viele Häkchen entfernen, die standardmäßig aktiviert sind. Die Datenschutzreform würde diesen Prozess umdrehen: Statt aktivem Widerspruch soll aktive Einwilligung gelten.

Die EU-Staaten wollen außerdem das umstrittene "Recht auf Vergessenwerden" erstmals explizit in ein europäisches Gesetz aufnehmen. Nutzern soll es damit erleichtert werden, über sie gespeicherte Inhalte entfernen zu lassen - allerdings nur, wenn dem kein triftiger Grund entgegensteht. Ein Politiker, dem ein Artikel nicht gefällt, kann diesen also nicht einfach aus dem Online-Archiv der Zeitung löschen - denn es besteht ein öffentliches Interesse auf Information. So soll verhindert werden, dass das Recht auf Vergessenwerden zu einer Einschränkung der Meinungs- und Pressefreiheit führt.

Bürgerrechtler kritisieren Deutschland

Nicht alle sind mit dem vorgestellten Reformvorschlag zufrieden. Als die Bürgerrechtsorganisation European Digital Rights im März den damaligen Verhandlungsstand öffentlich machte, folgte heftige Kritik von Daten- und Verbraucherschützern und aus der Politik. Insbesondere die Bundesregierung setze alles daran, die Reform wirtschaftsfreundlicher zu gestalten und wolle etwa die sogenannte Zweckbindung aus dem Gesetz herausverhandeln.

Ursprünglich war vorgesehen, dass Unternehmen ihre Nutzerdaten nur für den Zweck verwenden dürfen, für den sie erhoben wurden. Es sei maßgeblich der von Lobbyisten forcierten Intervention des deutschen Innenministeriums zu verdanken, dass diese Klausel so umformuliert wurde, dass Daten nun auch für andere Zwecke genutzt werden dürfen, wenn das "berechtigte Interesse" der Firmen das der Betroffenen überwiegt.

Wie die Verhandlungen jetzt weiter gehen

Juristen wie Thomas Stadler oder Carlo Piltz widersprachen dieser aus ihrer Sicht verkürzten Darstellung, da bereits das geltende deutsche Recht Ausnahmen vom Zweckbindungsgrundsatz vorsehe und man mithin nicht von einem "Aufweichen" der Standards sprechen könnte. Doch eines ist klar: Bei einem Großprojekt wie der Reform des europäischen Datenschutzes prallen viele unterschiedliche Interessen aufeinander. Das Gesetz betrifft das Geschäftsmodell von Tausenden Unternehmen und wirkt sich auf den Alltag von Hunderten Millionen Verbrauchern aus. Dementsprechend wollen viele unterschiedliche Interessengruppen mindestens ein Wörtchen, noch lieber ganze Paragraphen mitbestimmen.

Nicht umsonst spricht Oliver Süme vom deutschen Internetverband Eco im Tagesspiegel von der "größten Lobbyschlacht", die er je erlebt habe. Süme bezieht sich dabei auf die Verhandlungen zwischen EU-Parlament, Kommission und Regierungen, die sich nun auf ein gemeinsames Papier einigen müssen. Die Position des deutlich verbraucherfreundlichen Parlaments und der heute verabschiedete Reformvorschlag der Minister liegen dabei in einigen Punkten weit auseinander. Der sogenannte Trilog beginnt am 24. Juni und soll bis Ende des Jahres abgeschlossen sein. Bis die Verbraucher von den Beschlüssen profitieren, dauert es ohnehin noch eine ganze Weile: Für die Verordnung ist eine Übergangszeit von zwei Jahren vorgesehen, vor 2018 wird sich der Datenschutz-Flickenteppich also nicht auflösen.