Internationale Unternehmen laufen Sturm gegen das Vorhaben der EU-Kommission, den Datenschutz zu vereinheitlichen und teilweise zu verstärken. Es droht ein wirkungsloses Gerippe übrig zu bleiben.
Wien. Am 27.Februar lief die Frist für Abänderungsanträge zur neuen Datenschutz-Verordnung ab. Mit unglaublichen 3133 Abänderungsanträgen brachten die EU-Abgeordneten des federführenden Libe-Ausschusses das Faxgerät im Sekretariat zum Erliegen – Mitarbeiter liefen durch das Parlament, um die Deadline zu schaffen. Doch was steckt hinter diesem Rekord?
Hinter den Kulissen tobe ein „Lobbykrieg“, sagen Abgeordnete. Es geht um nicht weniger als die Zukunft eines europäischen Kulturguts: unserer Privatsphäre.
Datenschutz ist in Artikel acht der Grundrechtecharta primärrechtlich gut verankert. Datenschutz ist aber auch das große Problem für Unternehmen, deren Geschäftsgrundlage die immer intensivere (und immer fragwürdigere) Durchleuchtung der Konsumenten ist. Seitdem niemand mehr überblickt, wer auf unseren Smartphones und in der Cloud mitliest, haben sich viele halb legale Geschäftskonzepte entwickelt. Viel Geld wird in Lobbying investiert, um diese Modelle abzusichern.
Dabei war der Anfang eher unspektakulär: Die EU-Kommission hat 2012 eine Verordnung vorgeschlagen, welche die Datenschutzrichtlinie aus 1995 weiterentwickeln sollte. Neben ein paar eingängigen (aber inhaltsleeren) Überschriften wie dem „Recht auf Vergessen“ war nicht viel Neues zu finden. Lediglich die Strafen von bis zu zwei Prozent des Umsatzes und eine direkte Klagemöglichkeit hätten die Rechtsdurchsetzung endlich auf solide Beine gestellt.
Datenschutzgesetz teils strenger
In der Öffentlichkeit wurde jedoch das Bild einer bahnbrechenden Verschärfung verbreitet. Unternehmen und Verbände sahen plötzlich „undurchführbare“ neue Bestimmungen, wo bestehende Gesetze wortgleich kopiert wurden. Im Vergleich zum Datenschutzgesetz bietet der Vorschlag sogar oft etwas weniger Schutz: So soll die Verarbeitung bei nicht weiter definierten „legitimen Interessen“ erlaubt sein – das DSG ist hier deutlich strenger. Staatliche Kontrollen, wie die jetzige Meldepflicht, wurden durch „interne Kontrollen“ ersetzt. Mit einem „One Stop Shop“ wird die behördliche Kontrolle von Konzernen an der Hauptniederlassung gebündelt. All das bringt große Erleichterungen für Unternehmer.
Doch die Büchse der Pandora war geöffnet. Unternehmen wie Microsoft, Apple oder Amazon witterten die Chance, mehr zu erreichen. Es bestand die Möglichkeit, diesem (für US-Amerikaner noch nie ganz nachvollziehbaren) Grundrecht den Garaus zu machen. Datenschutz in der EU bedeutet für US-Unternehmen teure Speziallösungen oder sogar EU-Datenschutz für alle weltweit angebotenen Produkte. Denn in der vernetzen Welt ist eine Insellösung für die EU schwierig.
Mit einer Armada an Lobbyisten, Verbänden und viel „Astroturfing“ – vorgeblich spontanen Wortmeldungen – wurde ein Klima geschaffen, in dem für einige EU-Abgeordnete der Untergang des Internets, der IT-Wirtschaft und sogar des „Bäckers am Eck“ real zu werden drohte. Natürlich sprechen die Multis nie von ihren Interessen, sondern von jenen der KMU, um die man sich neuerdings (ganz selbstlos) kümmert. Die Einsparungen durch Bürokratieabbau und Vereinheitlichung wurden in eine Bedrohung durch diverse Belastungen umgekehrt. Verglichen wird die Reform dabei nie mit dem Status quo, sondern mit einer Welt ohne Datenschutz. Und der Plan funktionierte: Der konservative Verhandlungsführer im EU-Parlament, Axel Voss (CDU), spricht heute bei Diskussionen mit voller Überzeugung davon, dass sogar die „Brötchen beim Bäcker“ teurer werden und es bald keine Gratis-E-Mail-Konten mehr gibt.
Kleinunternehmen ausnehmen?
Die 330 Abänderungsanträge, die Voss für die Europäische Volkspartei eingebracht hat, sind da nur konsequent: So sollen Kleinunternehmer im Prinzip von der Verordnung ausgenommen werden. In Österreich sind das 98,5% der Unternehmen. Privatpersonen (z.B. Hacker oder übereifrige Facebook-Freunde) sollen alle unsere Daten verbreiten und veröffentlichen können. Damit solche Daten gleich weitergenutzt werden können, erlaubt man auch, ohne Zustimmung veröffentlichte Daten kommerziell zu verwenden.
Gewisse Unterstützung kommt vorerst auch von Hubert Pirker (ÖVP). Er beantragt, die Rechtsdurchsetzung durch Verbraucherverbände ebenso zu streichen wie Rechte der Kunden von Kleinunternehmen. Auch sollen die „legitimen Interessen“ von Dritten ausreichen, um Daten ohne Zustimmung des Betroffenen weiterzugeben – die Rechteinhaber freuen sich bereits über dieses Einfallstor.
Auch die Mitgliedstaaten sägen freudig am Vorschlag. Unter dem Schlagwort des „risikobezogenen Ansatzes“ sollen risikoarme Arten der Datenverarbeitung von Pflichten ausgenommen werden. Was genau „risikoarm“ ist, weiß niemand genau. Es geistern diverse Definitionen von „pseudonymen“ und „anonymen“ Daten herum, welche meist viel definieren, nur nichts Risikoarmes.
Viele Gesetzestexte sind dabei gar nicht von den Abgeordneten selbst. Ein Vergleich brachte ans Licht, dass Änderungen wortwörtlich aus Lobbypapieren von Amazon, eBay oder der amerikanischen Handelskammer (AmCham) abgeschrieben wurden. Also genau von denen, die reguliert werden sollten.
Aber auch Sozialdemokraten und Grüne überschlagen sich teilweise mit extremen Forderungen. So beantragte Josef Weidenholzer (SPÖ), einen verpflichtenden „internen Datenschutzbeauftragten“, sobald Daten von mehr als 500Personen verarbeitet werden. Ein Wert, der von jedem gut gefüllten E-Mail-Postfach erreicht wird.
In Brüssel wird jetzt viel von „Maximalforderungen“ gesprochen. Selbst betroffene Abgeordnete sagen, sie wollten ihre eigenen Forderungen am Ende nicht im Gesetz sehen. In den bisherigen Ausschüssen hat jedoch eine konservativ-liberale Mehrheit gegen einen soliden Datenschutz und für solche Maximalforderungen gestimmt.
Wir stehen am Scheideweg. Die Reform wird den Datenschutz für die kommenden Jahrzehnte bestimmen. Am Schluss bleibt möglicherweise ein Gesetzesgerippe übrig, welches einen flächendeckenden Grundrechtsschutz unmöglich garantieren kann. Ob ein Gerippe, das z.B. für nur 1,5% der Unternehmen gilt, noch Art. 8 der Grundrechtecharta entspricht, wäre eine spannende Frage an den EuGH.
Mag. Schrems ist Begründer der Initiative „Europe vs Facebook“.
("Die Presse", Print-Ausgabe, 11.03.2013)