Fesseln für Google, Facebook und Co.: Das sollten Sie über die EU-Datenschutzpläne wissen

Von und

Die EU will ihren Bürgern mehr Privatsphäre verschaffen, den Web-Datenschutz stärken. Lobbyisten der Internetbranche laufen Sturm - ein Anwalt warnt gar, Google und Facebook könnten künftig Geld von Europäern verlangen. Was genau plant Brüssel, wo gibt es Widerstände? Ein Überblick.

Überwachung (Symbolbild): EU-Institutionen streiten über Datenschutzreform Zur Großansicht
Corbis

Überwachung (Symbolbild): EU-Institutionen streiten über Datenschutzreform

Hamburg - Die derzeit extremste Lobbywarnung kommt von der Anwaltskanzlei Field Fisher Waterhouse. Deren Datenschutzexperte Eduardo Ustaran sagte dem US-Fachdienst ZDNet, wenn die Pläne der EU zum Thema Datenschutz nicht geändert würden, müssten Googles Mail-Service und Facebook womöglich bald Geld für ihre Dienste verlangen: "Wenn sie Daten nicht auf profitable oder für sie nützliche Weise verwenden dürften, müssten die Nutzer entweder dafür bezahlen oder aufhören, den Dienst zu nutzen", sagte Ustaran, dessen Kanzlei unter anderem Facebook, Google und Zynga berät.

So weit gingen bislang nicht einmal die Branchenverbände der IT-Industrie, die sich selbst samt und sonders kritisch gegenüber dem bearbeiteten Entwurf für eine neue EU-Datenschutzverordnung geäußert haben. Ustarans demonstrative Schwarzmalerei macht deutlich, mit was für harten Bandagen derzeit um die Datenschutzreform gekämpft wird.

Doch worum geht es eigentlich? Wir beantworten die wichtigsten Fragen.

Was ist bislang geschehen?

EU-Kommission in Brüssel: Parlament, Kommission und Rat streiten über Datenschutz Zur Großansicht
DPA

EU-Kommission in Brüssel: Parlament, Kommission und Rat streiten über Datenschutz

Die EU-Kommissarin für Justiz, Viviane Reding, hat Anfang 2012 einen Entwurf (Reding-Entwurf) für eine neue EU-Datenschutzverordnung vorgelegt. Damit soll das EU-Recht zum Thema Datenschutz dem Internet-Zeitalter angepasst werden. Reding versprach damals etwa ein "Recht, vergessen zu werden" für Verbraucher, die persönliche Informationen auf Internetplattformen hinterlassen.

Den Branchen, die mit persönlichen Daten umgehen, versprach sie im Gegenzug einen "one stop shop" für datenschutzrechtliche Abklärungen - ein einheitliches EU-Regelwerk und eindeutige Ansprechpartner für jedes Unternehmen. Mittlerweile hat der Grünen-Europaabgeordnete Jan Philipp Albrecht, Berichterstatter des Parlamentsausschusses für Justiz, Bürgerrechte und Inneres, eine bearbeitete Fassung (Albrecht-Entwurf) vorgelegt.

Die eingearbeiteten Änderungsvorschläge basieren zum Teil auf den vielen Eingaben, die Unternehmen, Verbände, Bürgerrechtsorganisationen und andere im vergangenen Jahr gemacht haben. Auch die Mitglieder der Fraktionen konnten Vorschläge machen und Kommentare abgeben.

Wie weit ist das Verfahren?

Im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres können bis zum 27. Februar Änderungsanträge eingereicht werden. Voraussichtlich Ende März oder Anfang April wird der Ausschuss über den Entwurf abstimmen. Parallel bearbeitet eine Arbeitsgruppe des EU-Rats den Entwurf. Im Juni oder Juli könnte das Parlament über den Text abstimmen. Albrecht erwartet, dass die Abstimmung zwischen Parlament und EU-Rat bis spätestens Ende des Jahres abgeschlossen ist. Rat und Parlament müssen eine neue Verordnung gemeinsam vereinbaren und erlassen.

Wer streitet mit wem und worüber?

Zu den interessierten Parteien gehören Unternehmen, Bürgerrechtler und Datenschutzbeauftragte in den Mitgliedsländern. Letztere möchten verhindern, dass die EU ihren Einflussbereich einschränkt und es Unternehmen womöglich leichter macht, Datenschutzauflagen zu ihren Gunsten auszulegen. Wirtschaft und Bürgerrechtler streiten etwa darüber, was eigentlich personenbezogene Daten sind und wie mit ihnen zu verfahren ist. Die Wirtschaft wünscht sich flexible, nicht allzu strenge Regeln und argumentiert, ein enges Korsett würde Innovation und Wachstum behindern. Bürgerrechtler argumentieren, verlässlicher Datenschutz sei eine notwendige Grundlage für Nutzervertrauen und damit auch für Wachstum.

Wann gelten Daten als personenbezogen?

Geodaten aus dem iPhone: Sind das personenbezogenen Daten? Zur Großansicht
SPIEGEL ONLINE

Geodaten aus dem iPhone: Sind das personenbezogenen Daten?

Jan Philipp Albrecht ist unzufrieden mit der Definition personenbezogener Daten, die in dem ursprünglichen Kommissionsentwurf zu finden ist. Viele Datenspuren, die jeweils für sich genommen nicht als personenbezogen gelten könnten, können kombiniert werden, um einen Nutzer am Ende doch eindeutig zu identifizieren. Etwa, so heißt es im Reding-Entwurf, "IP-Adressen, Cookie-Kennungen oder andere eindeutige Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern".

Albrechts Entwurf sieht in diesem Abschnitt eine Ergänzung vor: "Da diese Kennungen Spuren hinterlassen und verwendet werden können, um natürliche Personen herauszugreifen, sollte diese Verordnung auf Verarbeitung angewandt werden, die diese Daten umfasst". Außer wenn "diese Kennungen sich nachgewiesenermaßen nicht auf natürliche Personen" beziehen, "wie etwa die von Unternehmen verwendeten IP-Adressen".

Über die genaue Definition dessen, was personenbezogene Daten sind, wird noch heftig gestritten werden.

Wer braucht wann die Einwilligung des Nutzers?

Glückskeks: Müssen Nutzer dem Setzen von Cookies im Browser zustimmen? Zur Großansicht
Corbis

Glückskeks: Müssen Nutzer dem Setzen von Cookies im Browser zustimmen?

Firmen dürfen personenbezogene Daten verarbeiten, wenn sie die Einwilligung der betroffenen Personen haben oder ein Gesetz die Verarbeitung ausdrücklich erlaubt - das ist der Grundsatz der neuen Datenschutzverordnung. EU-Kommission und der Berichterstatter Albrecht sind sich hier im Prinzip einig.

Doch welche Ausnahmen von diesem Prinzip sind erlaubt und wie hat eine Einwilligung auszusehen?

Der Reding-Entwurf enthält eine so weitreichende wie vage Ausnahme: "Berechtigte Interessen" eines Datenverarbeiters können eine Einwilligung unnötig machen. Die Verarbeitung personenbezogener Daten kann auch so legal sein, sofern "die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen".

Diese sehr weit interpretierbare Ausnahme schränkt der Albrecht-Entwurf ein: "In Ausnahmefällen" könne so etwas zulässig sein, heißt es da, außerdem werden die "berechtigten Interessen" der Datenverarbeiter konkretisiert. Genannt werden zum Beispiel: Verarbeitung personenbezogener Daten als Teil der Ausübung des Rechts auf freie Meinungsäußerung, der Freiheit der Medien, der Kunst. Explizit wird im neuen Entwurf als Zweck auch die Direktwerbung erwähnt - hier versucht der Grüne Albrecht offensichtlich einen Kompromiss zu formulieren, den die großen Lobbygruppen nicht sofort ablehnen.

Was gilt als Einwilligung des Nutzers, was nicht?

Zustimmung: Ist ein standardmäßig gesetztes Häkchen echte Zustimmung? Zur Großansicht
SPIEGEL ONLINE

Zustimmung: Ist ein standardmäßig gesetztes Häkchen echte Zustimmung?

Der Albrecht-Entwurf präzisiert außerdem, was überhaupt als Einwilligung gilt - ein vorab standardmäßig angekreuztes Häkchen zum Beispiel nicht. Er führt ein zusätzliches Kriterium ein, nach dem Einwilligung zu werten ist: die Marktmacht eines Anbieters. Wenn eine Firma eine beträchtliche Marktmacht "in Bezug auf die der betroffenen Person angebotenen Waren oder Dienstleistungen verfügt", soll eine Einwilligung keine rechtliche Handhabe für die Verarbeitung personenbezogener Daten liefern.

Albrechts Entwurf führt diesen Gedanken weiter aus: Ungültig soll eine Einwilligung auch sein, wenn eine Firma die Bedingungen für einen Dienst ändert und Kunden nur die Wahl lässt, zuzustimmen oder auf einen Dienst zu verzichten, in den sie "erhebliche Zeit investiert" haben. Damit könnte beispielsweise die Facebook-Strategie gemeint sein, immer mehr Daten der Mitglieder nachträglich als "öffentlich" zu deklarieren, ohne die Einwilligung der Nutzer einzuholen.

Wer beaufsichtigt Firmen in der EU?

Googles Europazentrale in Dublin: Sollen nur irische Datenschützer zuständig sein? Zur Großansicht
AFP

Googles Europazentrale in Dublin: Sollen nur irische Datenschützer zuständig sein?

Die EU-Kommission will, dass ein Unternehmen mit mehreren Niederlassungen in EU-Staaten nur von den Behörden des Staates beaufsichtigt wird, wo die EU-Zentrale der Firma sitzt. Bei Facebook wäre dann zum Beispiel nur noch der irische Datenschutzbeauftragte zuständig für alle Anliegen aller EU-Bürger.

Diese Zentralisierung lehnt Albrecht ab. Sein Entwurf der neuen Datenschutzverordnung sieht vor, dass die EU-Bürger weiterhin bei ihrer Aufsichtsbehörde Probleme ansprechen können, "und zwar vor Ort und in ihrer Landessprache", so Albrecht. In dem neuen Entwurf sind die Behörden in dem Land mit der EU-Zentrale einer Firma nur "federführend" bei der Aufsicht, nicht "zuständig". Sie haben nicht das letzte Wort und sie müssen die Kollegen konsultieren.

Zudem hätte seinen Vorschlägen zufolge der neue gemeinsame EU-Datenschutzausschuss, dem Datenschützer aller Mitgliedsländer angehörten sollen, eine Art Einspruchsrecht: Beschwert sich beispielsweise ein deutscher Datenschützer bei seinem irischen Kollegen über ein dort ansässiges Unternehmen, und handelt der Ire dann nach Meinung des Deutschen nicht entsprechend, würde der Konflikt vor dem Ausschuss landen. Der könnte den Iren dann mit einer Zweidrittelmehrheit zum Handeln zwingen. Der Reding-Entwurf sah stattdessen vor, dass in solchen Streitfällen die Kommission das letzte Wort hat.

Der Kommissionsvorschlag hat für Unternehmen einige Vorteile: Sie haben nur einen Ansprechpartner und mehr Rechtssicherheit. Die Nachteile für alle anderen: Nutzer müssen in anderen Staaten Hilfe suchen, der Wettbewerb der Ideen bei der Auslegung und Durchsetzung von EU-Regelungen verschwindet. Und es könnte sein, dass bestimmte Firmen sich den Standort ihrer EU-Zentrale im Hinblick auf die Schwäche der Datenschutzaufsicht aussuchen. Solchen Standort-Wettbewerb gibt es in der EU längst - Apple und Amazon verkaufen zum Beispiel allen EU-Kunden unter anderem E-Books aus dem Niedrigsteuerland Luxemburg.

Wie viel Macht darf die EU-Kommission haben?

EU-Kommissarin: Viviane Redings Entwurf gibt der Kommission Macht über Datenschützer Zur Großansicht
dapd

EU-Kommissarin: Viviane Redings Entwurf gibt der Kommission Macht über Datenschützer

Bislang galt: Datenschutzaufsicht in EU-Staaten muss völlig unabhängig von staatlichen Stellen sein, die Kontrolleure dürfen nicht unter der Aufsicht der Exekutive stehen. So steht es in der bisherigen Datenschutzrichtlinie. Die EU-Kommission will diesen Grundsatz aufweichen und sich als Aufsicht für die Datenschützer installieren.

Im Reding-Entwurf der neuen Verordnung räumt sich die EU-Kommission das Recht ein, geplante Maßnahmen von Datenschützern auszusetzen. Außerdem will die Kommission in bestimmten Fällen mit "Durchführungsrechtsakten" in die Aufsicht eingreifen.

Im EU-Parlament gibt es Widerstand gegen diese Pläne. Dem Albrecht-Entwurf zufolge bekäme die Kommission kein Recht zur Aussetzung von Maßnahmen. Die Kommission dürfte demnach nur detaillierte Begründungen der Behörden verlangen - und als letztes Mittel Entscheidungen von Datenschützern vor Gericht anfechten.

Der Autor auf Facebook

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 57 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. was ?
AndyDaWiz 14.01.2013
Was haben Niedrig steuern mit Datenschutz zu tun ? Und was ist an Niedrigsteuern schlecht, liebe Bürgerinnen und Buerger ?
2. Datenschutz
bernieert 14.01.2013
Endlich setzt sich eine Regierung für den Datenschutz und gegen die Lobby durch. Ich finde das gut. Sollen Google, Facebook und Co. doch in Zukunft Geld verlangen. Ich brauch diese Staubsauger des Inet nicht und kann getrost auf deren Dienste verzichten. Es gibt zum Glück genügend Alternativen.
3.
Trondesson 14.01.2013
Schätze mal, die Regierungen einiger EU-Staaten werden sich die Rechte vorbehalten, die sie den Unternehmen verweigern wollen, und werden dazu die Zustimmung der Bürger gewiß nicht einholen.
4.
Jan B. 14.01.2013
Zitat von sysopDeren Datenschutz-Experte Eduardo Ustaran sagte dem US-Fachdienst "ZDNet", wenn die Pläne der EU zum Thema Datenschutz nicht geändert würden, müssten Googles Mail-Service und Facebook womöglich bald Geld für ihre Dienste verlangen: "Wenn sie Daten nicht auf profitable oder für sie nützliche Weise verwenden dürften, müssten die Nutzer entweder dafür bezahlen oder aufhören, den Dienst zu nutzen", sagte Ustaran, dessen Kanzlei unter anderem Facebook, Google und Zynga berät.
Eine Reaktion die zu erwarten war und am Ende doch nicht umgesetzt wird. Zu viele Nutzer werden dennoch ihre Daten ohne nachzudenken preisgeben. Aber wenigstens einer der ernsthafteren Versuche, das Datensammelwut einiger Internetanbieter Herr zu werden. Ich hoffe dass man dazu noch mehr bei SPOn lesen kann.
5. optional
Mehrleser 14.01.2013
Wenn Facebook & Co mit Gebühren drohen, dann sind die Datenschützer auf dem richtigen Weg!
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Datenschutz
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 57 Kommentare
Grundsatzurteile zum Datenschutz
Informationelle Selbstbestimmung
15. Dezember 1983: Karlsruhe kippt mit dem erstmals ausgesprochenen "Grundrecht auf informationelle Selbstbestimmung" das Volkszählungsgesetz. Damit hätten Daten ans Melderegister, an Bundes- und Landesbehörden, an Gemeinden und deren Verbände weitergegeben werden dürfen. Das Volkszählungsurteil ist wegweisend für den Datenschutz.
Großer Lauschangriff
3. März 2004: Der sogenannte Große Lauschangriff verletzt nach Auffassung des Bundesverfassungsgericht die Menschenwürde und ist deshalb im Wesentlichen verfassungswidrig. Die 1998 eingeführte akustische Überwachung von Wohnungen muss an deutlich strengere Voraussetzungen geknüpft werden. Die Richter mahnen einen stärkeren Schutz der Privatsphäre an.
Online-Durchsuchungen
27. Februar 2008: Für Online-Durchsuchungen setzt das Bundesverfassungsgericht hohe rechtliche Hürden. Das heimliche Ausspähen der Computerfestplatte ist nur zulässig, "wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen". Eine entsprechende Befugnis des nordrhein-westfälischen Verfassungsschutzes sei nichtig. Mit dieser Entscheidung schaffen die Richter ein Computergrundrecht, das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme".


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.