Unlängst hatte Innenminister Hans-Peter Friedrich zu seiner Tagung » Datenschutz im 21. Jahrhundert « eingeladen. Über 400 Personen sammelten sich in Berlin . Vertreten war jeder erdenkliche Lobbyverband Deutschlands, dem es in diesen Tagen ein Anliegen ist, den deutschen und europäischen Datenschutzmaßstäben ein für alle Mal den Garaus zu machen.

Eine überschaubare Minderzahl an Verbraucherschützern, Wissenschaftlern und Datenschutzbeauftragten sah fassungslos zu, als der Vertreter des amerikanischen Anwaltsbüros Latham & Watkins, Ulrich Würmeling, mit rhetorischer Exzellenz polterte, dass man doch endlich Schluss machen solle mit dem Datenschutz. Es koste schlichtweg zu viel Geld, die Menschen nach ihrer Einwilligung in die Verarbeitung ihrer Daten zu fragen, ihnen ein Recht auf Widerspruch zu geben oder gar das Recht auf Löschung ihrer Daten einzuräumen. Nein, derartige Bürgeransprüche verbat sich Ulrich Würmeling. Unternehmen sollten die Datenverarbeitung nur von Kosten- und Nutzenabwägungen abhängig machen statt von überalterten ethischen Prinzipien. Die Leute wüssten ja eh nicht, was sie unterschrieben, wenn sie den seitenlangen, klein gedruckten Allgemeinen Geschäftsbedingungen (AGB) zustimmten. Also könne man auch Schluss damit machen.

Neben Ulrich Würmeling kam auch der Staats-und Verwaltungsrechtler Hans Peter Bull , der in Deutschland der erste Bundesbeauftragte für den Datenschutz war, zu Wort. Auch sein Urteil über das derzeitige Schutzniveau fiel hart aus: Das Bundesdatenschutzgesetz (BDSG) sei heute nicht mehr zeitgemäß. Man könne doch von einem Bäcker an der Ecke nicht verlangen, dass er seine Kundenlisten nach genau denselben strengen Vorschriften schütze wie ein Arzt seine Patientenlisten. Allein am Risiko der Datenverarbeitung sollten sich die gesetzlichen Regelungen orientieren. Innenminister Friedrich unterstützte: Mehr risikobasierte Selbstregulierung sei der Weg, den Firmen gehen sollten.

Warum sind Hundertschaften von Lobbyisten im Einsatz?

Der Ärger mit dem Kleingedruckten und die Not des Bäckers hören sich verständlich an. Dass viele Kleinstunternehmen ihre Kundenlisten allerdings für gutes Geld verkaufen und Kleingedrucktes in Konsumentenverträgen vor allem dazu dient, Zusatzgeschäfte mit den Daten der Kunden zu legitimieren, davon sprechen Würmeling und Bull an diesem Tag nicht. Wissentlich oder unwissentlich unterstützen sie damit eine amerikanisch geprägte Lobby, die derzeit mit Hochdruck daran arbeitet, die europäischen und die nationalen Datenschutzgesetze außer Kraft zu setzen und durch eine juristisch durchlöcherte Verordnung aus Brüssel zu ersetzen . Der Anlass ist klar: Die EU-Kommission hat einen 119 Seiten starken Verordnungsvorschlag für den Datenschutz vorgelegt. Es ist das wahrscheinlich komplexeste Gesetzesvorhaben der Brüsseler Geschichte.

Was passiert hier wirklich? Warum sind Hundertschaften von Lobbyisten im Einsatz, um die Abgeordneten des Europaparlamentes sowie nationale Politiker von einer Selbstregulierung im Bereich des Datenschutzes zu überzeugen? Warum wollen diese Konzernlobbyisten den Verbrauchern ihre Einwilligungsrechte nehmen?

Der Grund ist, dass es sich bei dem »verstaubt« anmutenden Datenschutz tatsächlich um eines der wirtschaftspolitisch wichtigsten Instrumente zur Festlegung der Spielregeln im Internet und bei der Datenverarbeitung handelt. Fast alles im täglichen Leben ist ohne die elektronische Verarbeitung unserer persönlichen Daten nicht mehr denkbar: Ob es nun der Geldautomat ist, der unseren Kontostand prüft, bevor er auszahlt; der Arzt, der unsere Versicherungsdaten registriert; die Reisebuchung im Internet; das Durchschreiten eines videoüberwachten Straßenzuges oder die Frage, ob Google unsere Häuser fotografieren darf. Persönliche Daten spielen bei fast allen Dienstleistungen eine Rolle. Und mehr noch: Sie sind das ökonomische Herzstück der Digitalökonomie .

Wer digitale Kundendaten hat, kann mit einem der mehr als 1200 Händler ins Geschäft kommen, die derzeit die internationalen Datenmärkte bespielen. Die europäische Verbraucherschutzkommissarin Meglena Kuneva beschrieb die Situation schon 2009 so: »Persönliche Daten sind das neue Öl des Internets und die neue Währung der digitalen Welt. Datenschutzgesetze bestimmen deshalb, nach welchen Regeln ein Unternehmen die Datenvorkommen erschließen und ausbeuten kann. Dadurch kommt ihnen eine enorme gesellschafts- und wirtschaftspolitische Bedeutung zu.

Nun geraten die Brüsseler Behörden oft in die Kritik. Doch in diesem Fall muss man konstatieren, dass sie mit ihrer vorgeschlagenen Datenschutzverordnung für Europa eine große Leistung erbracht haben.

Der Entwurf sieht zunächst vor, dass ein europaweit einheitliches Datenschutzgesetz gelten soll, was Megafirmen wie Google oder Facebook dazu zwingen würde, europaweit einheitlich hohe Sicherheitsmaßstäbe einzuhalten. Ferner werden die Bürgerrechte auf informationelle Selbstbestimmung weiter gestärkt. Menschen dürfen Einspruch gegen die Verarbeitung ihrer Daten und gegen Werbung erheben. Sie dürfen die Korrektur oder Löschung ihrer Daten veranlassen. Sie haben immer ein Recht auf Auskunft. Ganz entscheidend: Bürger müssen der Datenverarbeitung vorab informiert zustimmen, wenn diese über den Zweck der eigentlichen Leistung, die das Unternehmen erbringt, hinausgeht.

In Deutschland gelten viele dieser Rechte bereits heute. Allerdings gelang es Firmen immer wieder, juristische Schlupflöcher für diese eigentlich selbstverständlichen Bürgerrechte zu finden. Diese wurden in geschickt formulierten, klein gedruckten Allgemeinen Geschäftsbedingungen versteckt. Dort wird in der Regel das Einverständnis des Kunden zur umfangreichen Nutzung seiner Daten eingeholt. Die neue EU-Verordnung versucht nun, diese Löcher zu stopfen.

 Es geht um die Vorherrschaft in der Informationstechnik-Industrie

Darüber hinaus werden Unternehmen dazu angehalten, bereits bei der Entwicklung ihrer Dienstleistungen darauf zu achten, dass Datenschutz und Datensicherheit berücksichtigt sind: Data Protection by Design and by Default (»Datenschutz durch Design und Standardeinstellungen«). Auch soll es künftig frühzeitige Risikobeurteilungen geben, in denen sich Unternehmen mit potenziellen Gefahren für den Datenschutz befassen, die von ihren IT-Systemen für die Bürger ausgehen. Hinzu kommt schließlich noch das Recht auf die Datenmitnahme, die es Kunden ähnlich wie bei der Rufnummernmitnahme erlauben würde, einfacher zu wechseln. Zum Beispiel von Facebook zu freien sozialen Netzwerken wie Diaspora und dabei alle Freunde und Informationen mitzunehmen.

Man kann sich vorstellen, dass sich Facebook und Co. gegen eine solche Regelung wehren . Jedoch wäre ein Verstoß gegen die europäische Verordnung nicht empfehlenswert: Bis zu zwei Prozent des Weltumsatzes eines Konzerns sollen künftig für Verstöße gegen die Datenschutzverordnung auferlegt werden können. Die Zeiten, in denen man solche Verstöße aus der Portokasse zahlen konnte, wären also vorbei.

Die Auswirkungen, die ein solches Gesetz haben würde, sind enorm: Firmen müssten sich bei Inbetriebnahme ihrer Anlagen ehrlich Gedanken darüber machen, wie sie Datenschutz und -sicherheit in ihren Systemen und im Unternehmen handhaben wollen. Dies kostet Geld: Die Systementwicklungskosten stiegen, und in den Unternehmen würden neue Prozesse erforderlich, um eine ethische und gesetzeskonforme Verwendung der Kundeninformationen zu garantieren.

Es geht um die Vorherrschaft in der Informationstechnik-Industrie

Das erklärt den Widerstand der Lobbyisten gegen die Entwürfe der EU. Ein wesentlicher Grund wird aber meist übersehen: Der größte Teil der IT-Industrie und der datenverarbeitenden Dienstleistungsbranche sowie die Mutterfirmen der europäischen Werbefirmen sitzen – auch für uns europäische Kunden – in den USA . Und dort gibt es kein Datenschutzgesetz nach europäischem Vorbild. Märkte für persönliche Daten konnten sich frei entfalten. Die Hersteller der Produkte, die auch wir gerne benutzen (Apple, Google, Facebook, Microsoft und andere), entstammen also einer anderen Tradition.

Würde Europa nun eine strenge, einheitliche Verordnung in der Datenverarbeitung verwirklichen, dann wären auch alle amerikanischen IT-Firmen, die in Europa Geschäfte machen, davon betroffen. Sie müssten umrüsten, was bei bestehenden IT-Architekturen und -Prozessen fast aufwendiger ist, als dieselben neu zu bauen. Das heißt: US-Konzerne fürchten, dass sie viele Geschäfte mit den Daten ihrer europäischen Kunden nicht mehr machen könnten oder sich für diese eine explizite Einwilligung einholen müssten. Vor allem aber haben die US-Firmen Angst vor der europäischen Konkurrenz: Schon jetzt tritt die Deutsche Telekom im Bereich Cloud-Computing erfolgreich in den Wettbewerb ein, indem sie mit einer sicheren und datenschutzfreundlichen deutschen Cloud wirbt. Sicherheit bei der Datenverarbeitung made in Germany ist ein großer Verkaufsschlager in der IT-Industrie.

Es ist dieses Milliardengeschäft und die Vorherrschaft in der IT-Branche, um die es bei der Datenschutzverordnung geht. Politische Entscheidungsträger sollten darauf achten, dass sie das verstanden haben, damit sie den ökonomisch sinnvollen Impuls aus Brüssel nicht kurzsichtig abwürgen .