Europäische Datenschutzverordnung: Deutschland erwägt, Google Löschkriterien vorzugeben

Beim Treffen der Innen- und Justizminister an diesem Donnerstag und Freitag in Luxemburg steht eines der bedeutendsten Gesetze für die digitale Welt auf der Tagesordnung: die Reform des europäischen Datenschutzrechtes. Seit Jahren wird in Brüssel daran gefeilt. Nun sieht es so aus, als bekomme die Verordnung, die das Europäische Parlament im März verabschiedet hat, in diesem Herbst unter der neuen Kommission den nötigen Schwung für die Zielgerade. Die Regelung könnte 2015 verabschiedet werden.
Darüber, dass eine Anpassung der alten Richtlinie von 1995 an die Welt von Facebook und Google nötig ist, herrschte von Anfang an Einigkeit. Anfang 2012 legte die damalige EU-Justizkommissarin Viviane Reding einen Entwurf vor, der zahlreiche Verbesserungen für Internetnutzer enthält. So soll etwa europaweit festgeschrieben werden, dass Nutzer in die Verarbeitung ihrer Daten einwilligen müssen. Außerdem wird das sogenannte Marktortprinzip festgeschrieben: Auch ausländische Unternehmen ohne Sitz in der EU, die Daten europäischer Nutzer verarbeiten, müssen sich in Zukunft an europäische Standards halten.

Das Bundesinnenministerium hat seinen grundlegenden Widerstand aufgegeben

Nicht zuletzt das deutsche Innenministerium sorgte dennoch lange Zeit für schwierige Verhandlungen, indem es grundlegende Änderungen forderte, zum Beispiel, dass der öffentliche Sektor von den Bestimmungen vollständig ausgenommen werden sollte. In diesem Punkt gab es auch Differenzen zwischen dem deutschen Innen- und Justizministerium. Inzwischen liegt dem Vernehmen nach eine schriftliche Einigung der beiden Häuser vor, die Verhandlungen nicht an diesem Punkt scheitern zu lassen. Auch in Kreisen des Europäischen Parlaments haben viele den Eindruck, dass die Bundesregierung „von der Problem- zur Lösungssuche übergegangen ist“. „Die Jahreszahl 2015 wurde mehrfach genannt, wir gehen davon aus, dass sie gesetzt ist“, heißt es dazu aus dem Innenministerium. Dass die Fachminister neuerdings Tempo machen, liegt auch daran, dass die neue EU-Kommission öffentlich Druck macht. Jean-Claude Juncker selbst forderte eine „schnelle Verabschiedung“, ähnlich äußerten sich die zukünftige Justizkommissarin Vera Jourova, die für die Novelle verantwortlich sein wird, und Günther Oettinger, designierter Kommissar für Digitales. In ihrer Anhörung im Europäischen Parlament setzte Jourova zwar den Schwerpunkt auf die Gleichstellungspolitik, doch ihre Rede lässt sich auch als subtile Kampfansage an die Adresse der Verschlepper der Datenschutzverordnung lesen. Diese müsse „so schnell wie möglich“ kommen, sagte Jourova, und sandte „besondere Grüße“ an ihre kampflustige Vorgängerin Viviane Reding.
Der Berichterstatter des Europäischen Parlaments für die Datenschutzrichtlinie, Jan Philipp Albrecht (Grüne), hat Jourova bereits getroffen. Sie wirke „sehr interessiert, das Projekt so fortzusetzen, wie Frau Reding es hinterlassen hat“. Der CDU-Europaabgeordnete Axel Voss sagte, er habe einen „gemischten“ Eindruck. „Sie scheint sehr engagiert zu sein, bei manchen Entwicklungen war sie aber noch weit weg von den Details.“

Soll die Verordnung Googles Löschpraxis regeln?

In jedem Fall ist während des Sommers der Entwurf des Rates, der dem Tagesspiegel vorliegt, recht weit gediehen. Für die Verhandlungen beim Treffen der Minister und später im Trilog zwischen EU-Parlament, Kommission und Rat kristallisieren sich unter anderem folgende Punkte heraus: Aus Sicht des Innenministeriums ist ein zentraler Punkt der Schutz der Meinungsfreiheit vor gewollten oder unwillkürlichen Einschränkungen durch den Datenschutz. Durch das „Google-Urteil“ des Europäischen Gerichtshofes vom Mai ist die Sensibilität für dieses Thema offenbar noch einmal gestärkt worden. Der EuGH hatte den Suchmechanismus von Google als „Datenverarbeitung“ eingestuft und entschieden, dass der Konzern unter Umständen auf Wunsch von Betroffenen Ergebnisse aus seiner Trefferliste entfernen muss. Als Konsequenz aus dem Urteil ermöglicht Google mittlerweile allen Nutzern „Löschanträge“. Das Urteil ist ebenso wie Googles Verfahren mit Blick auf die Presse- und Meinungsfreiheit kritisiert worden. Unbehagen herrscht auch darüber, dass ein Privatunternehmen allein und aufgrund unklarer Kriterien entscheidet, was sichtbar bleibt und was nicht, auch im Bundesinnenministerium. Erwogen wird deshalb nun, mit der Datenschutzverordnung eine Art Schiedsstelle zu schaffen und Kriterien für das Löschen festzulegen. In der vergangenen Woche beriet Minister Thomas de Maizière bei einem Treffen mit Datenschutzexperten über das Thema. Die Runde riet zwar mehrheitlich von einer Regelung ab. Auch Jan Philipp Albrecht, sieht keine Notwendigkeit für eine Regelung. „An dem grundsätzlichen Abwägungsprozess hat der Gerichtshof nichts geändert. Nun liegt es bei den Datenschutzbehörden, Kriterien für das Löschen zu entwickeln“, sagt er. Es sei nicht sinnvoll, „die Verordnung zu überfrachten“. Dennoch ist zurzeit davon auszugehen, dass das Innenministerium den Weg einer Regelung über die Datenschutzverordnung weiterverfolgen wird.

Welche Unternehmen müssen die hohen Standards einhalten?

Ein weiterer Streitpunkt ist, ab wann Stellen, die Daten verarbeiten, von den umfangreichen Verpflichtungen der Verordnung betroffen sein sollen. Dazu gehören etwa die technische Sicherung der Daten oder Risikoabschätzungen. Gerade kleine und mittlere Unternehmen fürchten, einen unverhältnismäßig hohen Aufwand betreiben zu müssen. Kommission, EU-Parlament und Rat sind sich bislang uneins darüber, wie man diesen Konflikt lösen könnte. Während die Kommission einen Mitarbeiterschlüssel festlegen will, schlägt das europäische Parlament vor, sich am Umfang der verarbeiteten Daten zu orientieren. Der Rat wiederum sieht in seinem aktuellen Papier einen „risikobasierten Ansatz“ vor: Unternehmen sollen unter anderem dann besonders in die Pflicht genommen werden, wenn die Daten, die sie verarbeiten besonders sensibel sind, wenn sie etwa zu „Diskriminierung“, „Rufschädigung“ oder „finanziellen Verlusten“ führen könnten.

An wen können sich Verbraucher und Unternehmen im Streitfall wenden?

Umstritten ist zudem die Frage, welche Stelle die Verbraucher vertritt, wer Anlaufpunkt für die Unternehmen ist und wie sichergestellt werden kann, dass die Verordnung in allen Mitgliedsländern gleich ausgelegt wird. Aus Sicht des deutschen Verbraucherzentralen-Bundesverbandes ist das ein wichtiger Punkt. „Wir müssen verhindern, dass es zum Forum-Shopping kommt, dass Unternehmen sich dort ansiedeln, wo Behörden am schlechtesten ausgestattet sind“, sagt Florian Glatzner, Mitarbeiter im Projekt „Verbraucherrechte in der Digitalen Welt“. Susanne Dehmel, Datenschutzexpertin beim IT-Branchenverband Bitkom, wiederum mahnt: „Aus Sicht der Unternehmen ist es wichtig, dass es einen Ansprechpartner gibt.“

 Was ist eigentlich Profiling?

Gefeilt werden wird wohl auch noch am Umgang mit dem sogenannten „Profiling“. Unter Profiling versteht der Europarat die automatisierte Zusammenstellung verschiedener persönlicher Daten und deren Abgleich mit einer Datenschablone, um Aussagen oder Prognosen zu einer Person machen zu können. Verwendet wird das Profiling etwa in der Versicherungswirtschaft oder bei der Bewertung der Kreditwürdigkeit einer Person. Einig sind sich alle Parteien, dass der einzelne Bürger vor den Konsequenzen reiner Computer-Entscheidungen geschützt werden soll. Wie weit das gehen soll, darüber gehen die Ansichten allerdings auseinander. Der Kommissionsentwurf verbietet das Profiling vergleichsweise weitreichend, was vielen in der Big-Data-Branche Sorge bereitet. Das Parlament hat deshalb bereits eine Klausel eingefügt, die die Verarbeitung pseudonymisierter Daten zulässt. Auch dem Bundesinnenministerium ist es offenbar ein Anliegen, das Arbeiten mit großen Datensätzen zu Prognosezwecken nicht rechtlich unmöglich zu machen. Das Arbeitspapier des Rates wiederum sieht derzeit sogar vor, „Profiling“ nur dann zu verbieten, wenn es „rechtliche Folgen“ oder „erhebliche“ Auswirkungen für eine Person hat.

"Das versteht selbst ein guter Jurist wie Thomas de Maizière nicht mehr auf Anhieb"

Das sind nur drei von zahlreichen weiteren heiklen Punkten. Daran, dass die Richtlinie trotz all dieser offenen Frage bald kommt, hat mittlerweile aber kaum jemand mehr Zweifel. Nun gilt es vor allem, den ehrgeizigen Zeitplan einzuhalten. Für die Trilog-Verhandlungen werden sechs Monate veranschlagt. Das heißt, bis zum Frühjahr muss der Rat sich auf eine Position einigen. Ein Verbandsjurist sagt es so: „Es ist teilweise so kompliziert, dass selbst ein guter Jurist wie Thomas de Maizière das nicht mehr auf Anhieb versteht.“