Bereits bevor Edward Snowdens Enthüllungen über die Datensammelwut von Geheimdiensten aus den USA und Großbritannien das Vertrauen in die Sicherheit von Online-Kommunikation erschüttert haben, stand das Thema Datenschutz auf der europäischen Agenda. Den Ausgangspunkt dafür stellt die rasante Entwicklung im Bereich der Digitalwirtschaft dar, die von US-amerikanischen Konzernen dominiert wird. Während im Februar 2014 Facebook den Kommunikationsdienst WhatsApp für 19 Milliarden US-Dollar übernahm, stammt die in der EU geltende Richtlinie Externer Link: zur Verarbeitung personenbezogener Daten und zum freien Datenverkehr aus einer Zeit, als der Facebook-Vorstandsvorsitzende Mark Zuckerberg gerade elf war, nämlich von 1995.
Unterschiedliche nationale Regelungen
Zudem entscheiden die einzelnen Mitgliedsstaaten individuell, wie sie diese Richtlinie umsetzen, woraus ein Flickenteppich aus unterschiedlichen nationalen Regelungen resultiert. Da für Unternehmen die Datenschutzvorschriften am jeweiligen Firmensitz in der EU maßgeblich sind, können globale Konzerne die länderspezifischen Gegebenheiten ausnutzen: So ist das vergleichsweise wenig Datenschutz kritische Irland für den Umgang mit den Daten von mehreren hundert Millionen Nutzern von Computer-Programmen und Online-Diensten zuständig, da Firmen wie Microsoft oder Twitter dort ihren europäischen Hauptsitz haben.
Um die "Online-Rechte des Einzelnen auf Wahrung der Privatsphäre zu stärken und die digitale Wirtschaft Europas anzukurbeln" (so die Externer Link: Pressemitteilung vom 25.1.2012), legte die für Justiz, Grundrechte und Bürgerschaft zuständige EU-Kommissarin Viviane Reding Anfang 2012 einen Vorschlag für eine europaweit einheitliche "Datenschutz-Grundverordnung" vor. Doch während die Verordnung den "Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten" sowie einen "freien Datenverkehr" bereits im Titel verbindet (siehe das Externer Link: PDF-Dokument in deutscher Sprache), steht der Schutz der Privatsphäre häufig im Widerspruch zu kommerziellen Erwägungen.
Der ökonomische Ertrag von sozialen Netzwerken und Suchmaschinen beruht gerade auf der weitgehenden Erfassung von Nutzerdaten. Aus unserem Verhalten bei der Nutzung solcher Online-Dienste wird auf persönliche Dispositionen geschlossen: Wer den Status-Updates einer Band folgt, könnte auch ihre CDs kaufen wollen und wird also mit entsprechender Werbung konfrontiert. Dabei handelt es sich um einen Preis, den viele bereit sind für die Nutzung meist kostenloser Online-Dienste zu bezahlen. Doch was, wenn Kunden sämtliche Angaben zu ihrer Person aus den Datenbanken eines Konzerns löschen lassen oder gar zu einem anderen Dienst mitnehmen wollen (Stichwort "Datenportabilität")? Kein Unternehmen mag so seiner Konkurrenz behilflich sein, und gerade ein Suchmaschinenbetreiber wie Google hat kein Interesse an der Durchsetzung eines "Rechts auf Vergessenwerden".
Bürgerrechtliche versus wirtschaftsfreundliche Argumente
Die grundlegende Kontroverse zwischen eher bürgerrechtlichen und eher wirtschaftsfreundlichen Positionen manifestiert sich in der Debatte um die europäische Reforminitiative. Während es der Datenwirtschaft primär um Entbürokratisierung durch Vereinheitlichung rechtlicher Standards geht, stellt aus der Perspektive vieler zivilgesellschaftlicher Organisationen der Umgang mit "personenbezogenen Daten" durch Unternehmen den zentralen Aspekt dar.
Doch bereits die Definition dessen, was unter diesen Begriff fällt, ist umstritten. Selbstverständlich handelt es sich dabei um Angaben wie Name und Adresse, aber gerade im Netz können Personen auch durch andere Merkmale wie IP-Adressen identifiziert werden. Und welche Unternehmen dürfen diese Daten überhaupt erheben und verarbeiten? Sicher braucht ein Online-Versand Name, Adresse und Konto-Nummer seiner Kunden. Er hat also ein "berechtigtes Interesse", wie es im Verordnungsentwurf heißt. Doch gilt dies auch für Firmen, die Adressen ausschließlich zum Zwecke des Direktmarketings erheben?
Große Mehrheit im Europaparlament
Und was geschieht überhaupt mit den Daten, wenn sie den Geltungsbereich der EU verlassen? Die geltende Datenschutzrichtlinie verbietet es grundsätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten dorthin zu übertragen, wo kein vergleichbares Datenschutzniveau herrscht. Trotzdem gelten nach einer Entscheidung der EU-Kommission vom Juli 2000 die Vereinigten Staaten als Externer Link: sicherer Hafen. Diese Einschätzung scheint spätestens nach dem NSA-Skandal obsolet. Zwar kann die EU Praktiken des US-Geheimdienstes, die Daten von europäischen Bürgern betreffen, nicht verhindern. Allerdings sieht der Verordnungsentwurf zumindest schärfere Sanktionen gegenüber US-Konzernen vor, die nicht entsprechend europäischer Datenschutzstandards handeln.
Die Konflikte über diese Aspekte werden weniger zwischen den Fraktionen des Europäischen Parlaments ausgetragen, das im Oktober 2013 seine Verhandlungsposition mit großer Mehrheit formuliert hat. Die unterschiedlichen Interessen der jeweiligen nationalen Regierungen haben schließlich dazu geführt, dass die Entscheidung über die europäische Datenschutzreform inzwischen bis nach der Europawahl vertagt ist.
Ihre Fragen für den bpb-Expertenchat: Europa als Datenhafen am 29. April ab 13:30 Uhr können Sie