Zum Hauptinhalt springen

Frischzellenkur für steinzeitliches EU-Recht

Von Stefan Meisterle

Politik

Widerstände aus Wirtschaft und einzelnen EU-Ländern.

Hinweis: Der Inhalt dieser Seite wurde vor 12 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Wien. Netscape, Chatrooms, Lycos – was 1995 im Internet noch State-of-the-Art war, ist heute weitgehend in Vergessenheit geraten. Nur ein Relikt aus der Steinzeit des "WWW" ist 17 Jahre und etliche Online-Generationen später immer noch Realität: die längst angestaubte Datenschutz-Richtlinie der EU. Ein Versäumnis, das EU-Kommission und EU-Parlament nun schleunigst beheben wollen. Mit einem neuen, einheitlichen Reformpaket soll Europas Datenschutz bis 2014 ins 21. Jahrhundert befördert werden. Doch das Vorhaben stößt bei der Umsetzung auf erhebliche Schwierigkeiten.

"Die Grundprinzipien von 1995 haben sich als richtig erwiesen, müssen aber aktualisiert werden", gibt Paul Nemitz aus der Generaldirektion Justiz der EU-Kommission die Marschrichtung vor. Das Ziel, Bestimmungen der Richtlinie aus dem Jahr 1995 an technische Gegebenheiten wie Suchmaschinen-Monopole, datenhungrige Social Media-Plattformen oder dezentrales Cloud Computing anzupassen, sei nach Ansicht des Komissionsvertreters schon aus zwei Gründen unabdingbar: Ein neues Datenschutzpaket soll einerseits gewährleisten, dass in Europa das Grundrecht auf Datenschutz gelebt werden kann, andererseits Europas Wirtschaft digitales Wachstum ermöglichen.

Bereits im Jänner dieses Jahres legte Justizministerin Viviane Reding zu diesem Zweck Vorschläge für dieses neue Datenschutzpaket vor. Kern dieser Entwürfe sind zunächst einzelne erweiterte Datenschutzrechte für den einzelnen EU-Bürger. So soll ein "Recht auf Vergessen" verankert werden, das gerade soziale Netzwerke dazu verpflichtet, Daten über die Nutzer auf Wunsch zu löschen - oder herauszugeben, wenn sich der Nutzer zum Wechsel zu einem anderen Dienst entschließen sollte. Weiters muss der Nutzer laut dem Entwurf ausdrücklich zustimmen, wenn seine Daten - etwa für Werbezwecke - verarbeitet werden. "Der Bürger soll das Recht erhalten, über seine Daten zu verfügen", bringt Nemitz die entsprechenden Verbesserungen für den EU-Bürger auf den Punkt.

Planungssicherheit für Wirtschaft
Gleichzeitig sieht der Entwurf der EU-Kommission auch neue Bestimmungen vor, die einen weitaus größeren Kreis an Unternehmen betreffen. So sollen Betriebe ab 250 Mitarbeitern automatisch über einen Datenschutzbeauftragten verfügen, ebenso wie jene kleineren Unternehmen, bei denen Datenverarbeitung Teil des Kerngeschäfts ist. Für die Wirtschaft beinhaltet das Paket nach Ansicht von Nemitz ungeachtet dessen ebenfalls Vorteile. Zum einen soll das gestärkte Vertrauen des um seine Daten besorgten Bürgers die digitalen Umsätze vieler Unternehmen künftig stark anschwellen lassen.

Zum anderen verspricht der Entwurf der Wirtschaft ein Mehr an Planbarkeit: aufgrund einheitlicher Datenschutzbestimmungen für alle Länder Europas, vereinfachte Zuständigkeitsstrukturen - und vor allem dank neuer Datenschutz-Aufsichtsbehörden. Denn die bestehenden Datenschutzbehörden werden laut Entwurf in unabhängige, finanziell wie personell besser ausgestattete Aufsichtsbehörden umgewandelt und dann Betrieben etwa auch bei der Umsetzung von Datenschutzregeln als Konsultationsstelle zur Verfügung stehen. Gleichzeitig aber soll ihnen ein wirksames Instrumentarium zur Verfügung stehen, das Strafen in Millionenhöhe und im Extremfall von bis zu 2 Prozent des globalen Umsatzes eines Unternehmens vorsieht.

Google & Co bringen sich in Stellung
So positiv sich viele Neuerungen im EU-Datenschutzpaket für den Bürger auch lesen, so problematisch erweisen sich die Entwürfe im Detail. Denn zunächst leisten Teile der Wirtschaft erbitterten Widerstand gegen einzelne Bestimmungen. Große US-amerikanische Internetkonzerne haben sich in Brüssel in Stellung gebracht, um im EU-Parlament, dessen Zustimmung für die Umsetzung der Regeln erforderlich ist, ihre Standpunkte einzubringen. Gerade gegen die Bestimmungen, personenbezogene Datensätze etwa von sozialen Netzwerken portierbar zu machen, laufen diese Unternehmen Sturm. "Gegen die Übertragbarkeit  von Daten kommt gerade von jenen Widerstand, die keinen Wettbewerb wollen", sagt Nemitz.

Dimitrios Droutsas, Berichterstatter für die Datenschutz-Richtlinie im EU-Parlament bestätigt ferner, dass mit allen "Stakeholdern" Gespräche geführt werden - darunter natürlich auch mit den amerikanischen IT-Giganten. Für die steht beim Datenschutz-Paket viel auf dem Spiel, nicht zuletzt da ihr Geschäftsmodell vielfach auf die Verwendung von Nutzerdaten für Werbezwecke aufbaut.

Richtlinie statt Verordnung
Doch die größte Hürde, die die neuen Datenschutzbestimmungen zu nehmen haben, sind hausgemacht - und haben mit dem Gesetzgebungsverfahren und der politischen Realität in der EU zu tun. Während EU-Kommission und EU-Parlament das Datenschutzpaket als Verordnung vorgesehen haben, das nicht mehr durch die jeweilige nationale Gesetzgebung umgesetzt werden muss, ist dagegen Widerstand aus einzelnen EU-Ländern zu verspüren. Nicht zuletzt, weil die Realität bei national geltendem Datenschutzrecht äußerst heterogen ist, wird daher die Lösung einer EU-Richtlinie statt einer EU-Verordnung präferiert - mit dem Effekt, dass ein neues EU-Datenschutzrecht erst durch die nationale Gesetzgebung verwirklicht werden müsste.

Im EU-Parlament wird diese Lösung als äußerst problematisch erachtet. "Der Datenschutz ist für das EU-Parlament eines der wichtigsten Dossiers", betont Droutsas. Sollte der EU-Rat die Gespräche über neue Datenschutzregeln blockieren, werde man das nicht akzeptieren und notfalls verwandte Rechtsakte im Parlament blockieren, gibt sich der Abgeordnete kämpferisch. Dass man sich ungeachtet dieser Haltung im EU-Parlament der politischen Realität nicht verschließt, ist Droutsas dennoch wichtig zu betonen. Und selbst wenn neue Datenschutzregeln am Ende nicht zu 100 Prozent den Vorstellungen des Parlaments entsprechen sollte, werde man auch mit einem Kompromiss Verbesserungen für die Bürger erzielen, gibt der Grieche gegenüber der "Wiener Zeitung" zu verstehen. Gelingen soll das noch in dieser EU-Legislaturperiode, also bis spätestens 2014. Ein "ambitionierter Zeitplan", wie Droutsas einräumt. Doch schließlich wäre das alte Datenschutzrecht dann bereits 19 Jahre in Kraft. Und damit alt genug, in Rente geschickt zu werden.