Durch NSA-Skandal: EU-Parlament einigt sich auf Kompromiss zum Datenschutz

Auf dem schwierigen Weg zu einem europaweit einheitlichen Datenschutz wird am kommenden Montag voraussichtlich ein wichtiges Etappenziel erreicht. Nach monatelangen Verhandlungen haben sich die einzelnen Fraktionen des Europäischen Parlaments auf Kompromissanträge geeinigt, um die mehr als 3.000 Änderungsvorschläge zum Entwurf der EU-Kommission für die EU-Verordnung zum Datenschutz vom Januar 2012 auf einen gemeinsamen Nenner zu bringen. Dieser Erfolg ist vor allem Edward Snowden zu verdanken. Ohne die Enthüllungen des US-Whistleblowers zu den Spionagemethoden der Geheimdienste wäre die Einigung im Parlament vermutlich an den divergierenden Interessen von Datenschützern, Internetindustrie und Politik gescheitert. Allerdings steht eine Einigung im Europäischen Rat noch aus. Dort liegt nach Angaben der Bundesregierung derzeit kein "konsensfähiger Vorschlag" vor.

Am Montagabend stimmt der EU-Parlamentsausschuss für Bürgerliche Freiheiten, Justiz und Inneres (Libe) über die 102 Änderungsanträge ab (Artikel 1-29, Artikel 30-91). Besonders umstritten im Entwurf der Kommission waren der Artikel 6, der die Verarbeitung von Daten regelt, sowie Artikel 17, der ein "Recht auf Vergessenwerden" postulierte. Ein ursprünglich geplanter Artikel 42 zur Datenweitergabe an Drittstaaten, den die Kommission wieder gestrichen hatte, hat es als Artikel 43 nun zu den Vorschlägen geschafft. Deutliche Veränderungen gab es auch in Artikel 20, der das Profiling von Nutzerdaten regelt. Die Höhe der Geldbuße für Verstöße gegen Datenschutzbestimmungen soll laut Artikel 79 nun bis zu 100 Millionen Euro (statt vorher 1 Million) oder bis zu fünf Prozent (statt vorher zwei Prozent) des weltweiten Jahresumsatzes betragen können. Bei einem Unternehmen wie Google wären das derzeit rund 300 Millionen Dollar.

Schwammige Regelung zu Datenverarbeitung

Die Verarbeitung von Nutzerdaten (Artikel 6) soll in Zukunft "zur Wahrung der berechtigten Interessen des Verantwortlichen" auch dann ohne Zustimmung des Nutzers erlaubt sein, wenn diese Interessen den "angemessenen Erwartungen des Betroffenen auf der Grundlage seiner Beziehung zu dem Verantwortlichen entsprechen". Eine Formulierung, die viel Raum für Interpretationen lässt. So liegt es sicherlich im "berechtigten Interesse" von Google, auch die E-Mails der Gmail-Nutzer zu scannen. Aber dass dies längst nicht für alle Nutzer eine "angemessene Erwartung" ist, zeigen die aktuellen Klagen gegen diese Praxis. Die geplante Regelung gilt sogar für Daten, die ein Unternehmen an Dritte weitergegeben hat.

Das im Kommissionsentwurf enthaltene "Recht auf Vergessenwerden" ist komplett aus dem Text verschwunden und auf ein "Recht auf Löschung" reduziert worden. Entschärft wurde die kaum praktikable Regelung von Artikel 17, wonach derjenige, der Daten veröffentlicht hat, auf Wunsch des Betroffenen "alle vertretbaren Schritte" unternehmen sollte, um mögliche Kopien aus dem Netz zu entfernen. Nun gilt diese Vorschrift nur noch dann, wenn die Daten ursprünglich ohne die rechtliche Grundlage von Artikel 6 veröffentlicht wurden. Facebook hatte es als "praktisch unmöglich" bezeichnet, Daten des sozialen Netzwerkes zu löschen, die von anderen Seiten übernommen wurden.