Die wohl heftigste Lobbyschlacht auf europäischem Boden fand kurz vor Weihnachten endlich ein Ende: Die EU einigte sich nach vierjährigen Verhandlungen auf eine neue Datenschutzverordnung; die alte stammte aus dem Jahr 1995 und damit noch aus der Frühzeit des Internets.

Die Einigung ist zunächst einmal eine Erfolgsgeschichte für die EU, die jüngst kaum noch positive Meldungen hervorbrachte und zunehmend als zerstritten und handlungsunfähig wahrgenommen wurde. Die neue Datenschutzverordnung zeigt nun, dass die EU-Institutionen sehr wohl fähig sind, dringliche und wirkungsvolle Reformen auch unter widrigsten Umständen umzusetzen. Denn alle Verhandlungsbeteiligten hatten je eine eigene Agenda: Politikerinnen, die beteiligten 28 nationalen Regierungen, Netzaktivisten, Konsumentinnen und die grossen Internetkonzerne. Letztere sind naturgemäss an einem schwachen Datenschutz interessiert, schliesslich baut ihr Geschäftsmodell auf der freien Verfügbarkeit persönlicher Daten auf.

Wie heftig der Widerstand dieser Lobbygruppe war, verdeutlicht die rekordhohe Anzahl von über 4000 Änderungsanträgen, die im Verlauf der Verhandlungen eingebracht worden sind. Die überwiegende Mehrheit dieser Anträge kam aus der Industrie, die über ungleich potentere Mittel verfügte als die Gegenseite, die aus NetzaktivistInnen, Verbraucherschutzorganisationen und BürgerInnenrechtsgruppen bestand.

«Ich sage schon seit Jahren, dass achtzig Prozent der Interessenvertreter eben nicht für den Bürger unterwegs sind. Sie machen Lobby für Datenhändler, die ihr Geschäft nicht nur halten, sondern auch noch ausbauen wollen», sagte der grüne EU-Parlamentarier Jan Philipp Albrecht nach Abschluss der Verhandlungen dem Branchenmagazin «Wired». Albrecht ist der wichtigste Architekt der nun vorliegenden Datenschutzverordnung (siehe WOZ Nr. 8/2015 ). Er führte die Verhandlungen im Auftrag des Parlaments mit grossem Engagement und beharrte vehement auf der Wahrung von BürgerInnenrechten. Weil Albrecht von der zuständigen EU-Kommission, der Generaldirektion Justiz, in seinem Kurs bestärkt wurde, steht am Ende ein Kompromiss, der für die BürgerInnen der EU ein Gewinn ist.

Welchen Wert haben die Daten?

Der grösste Fortschritt der Reform ist zweifelsohne, dass ab 2018, wenn die neue Verordnung in Kraft treten soll, in allen 28 Mitgliedstaaten der EU dieselben Datenschutzregeln gelten werden. Bisher liessen sich Internetkonzerne an jenen Standorten nieder, an denen ein niedriges Datenschutzniveau galt, etwa in Irland. Künftig gilt: Wer in Europa Daten verarbeitet, muss sich an europäische Standards halten.

Weiter müssen Internetkonzerne wie Google, Facebook oder Amazon die NutzerInnen in Zukunft ausdrücklich fragen, ob sie der Verarbeitung ihrer Daten zustimmen. Ausserdem sind die Firmen verpflichtet, ihre jeweiligen Nutzungseinstellungen von Grund auf datenschutzfreundlich einzustellen und vor allem auch verständlich zu vermitteln. Schliesslich sind die Unternehmen verpflichtet, die persönlichen Daten auf Wunsch der NutzerInnen vollständig zu löschen. Vorgesehen ist zudem, dass Daten bei einem Anbieterwechsel künftig mitgenommen werden können. Wer Facebook verlassen will, um neu das unabhängige soziale Netzwerk Diaspora zu nutzen, darf seine Daten dorthin mitnehmen. Sollten sich die Unternehmen diesen Regeln widersetzen, droht eine Strafzahlung von vier Prozent des Jahresumsatzes: Das wären bei Google rund 2,6 Milliarden Dollar, schreibt «Wired».

Zusammengefasst lässt sich sagen, dass die Selbstbestimmung über die persönlichen Daten gestärkt wird. Bestenfalls löst die neue EU-Datenschutzverordnung endlich eine breite Debatte darüber aus, welchen Gegenwert Daten eigentlich haben. Schliesslich erzielen die Konzerne mit den NutzerInnendaten Milliardengewinne, ohne dass die NutzerInnen selbst auch nur einen Cent davon zurückerhalten.

«Datenoase» Schweiz?

Die neue EU-Datenschutzverordnung wird auf die Schweiz ausstrahlen. Die Schweiz werde jene Teile der Verordnung automatisch übernehmen, die «Schengen-relevant» seien, sagt Jean-Philippe Walter, der interimistisch Schweizer Datenschutzbeauftragter ist. Das betreffe vor allem die Bereiche Justiz und Polizei. Derzeit würden entsprechende Abklärungen zwischen dem Justizdepartement und den diplomatischen VertreterInnen in Brüssel laufen.

Das bestehende Schweizer Datenschutzgesetz stammt aus dem Jahr 1992, es ist also noch älter als die nun abgelöste EU-Verordnung. Im kommenden Sommer will der Bundesrat endlich ein revidiertes Datenschutzgesetz in die Vernehmlassung schicken. Walter geht davon aus, dass die nun verabschiedete EU-Datenschutzverordnung einen Einfluss darauf haben wird. Im Hinblick auf die Rechtssicherheit und die Konkurrenzfähigkeit von Schweizer Internetunternehmen auf dem europäischen Markt sei es sinnvoll, sich möglichst eng an die EU-Regeln zu halten.

Wäre es für die Schweiz nicht attraktiv, sich als «Datenoase» aufzustellen, wo ausländische Konzerne weniger strenge Datenschutzbestimmungen einhalten müssten? Walter sagt: «Von dieser Idee halte ich nichts.»