Das Ende des europäischen Datenschutzes schleicht sich über das Handgelenk in Markus Sommers Leben. Es wiegt 25 Gramm, ist aus schwarzem Gummi und hat 99 Euro gekostet. Es heißt Garmin vivofit und ist ein sogenanntes Fitnessarmband, das Sommers Schritte aufzeichnet, verbrauchte Kalorien, Herzfrequenz und Schlafverhalten – 24 Stunden am Tag. Die Daten sendet das Gerät an eine App. Mehr, sagt der Hersteller des Armbands, passiere nicht. Aber wenn es nach dem Europäischen Rat geht, muss es heißen: noch nicht.

Denn im Juni hat das EU-Gremium der Staats- und Regierungschefs seinen Entwurf für die Datenschutz-Grundverordnung vorgelegt. Die Verordnung soll die bisher geltende Richtlinie aus dem Jahr 1995 ablösen. Hinter dem sperrigen Namen verbirgt sich eine vollständige Neuordnung der europäischen Datenschutz-Gesetzgebung, die bisher ein Flickenteppich aus nationalen Einzelgesetzen war.

Es ist ein historisches Projekt mit vielen wertvollen Ansätzen, eigentlich. Aber wenn der Rat seine Pläne verwirklicht, könnten Unternehmen mit den Daten der Verbraucher in Zukunft in großem Stil machen, was sie wollen. Allen voran die Versicherungskonzerne bereiten sich schon darauf vor.

Markus Sommer ist jung, hat ein breites Kreuz, ist sportlich, gesund, und sein Armband hat er sich vor allem gekauft, weil er an Fitnesswettkämpfen teilnimmt und mit dem Armband sein Training kontrollieren möchte.

Was Unternehmen mit den Daten jedoch sonst noch anstellen könnten, hat mit Fitnesswettkämpfen wenig zu tun. Die Verordnung würde für Sommer bedeuten, dass der Hersteller seines Fitnessarmbands künftig die erhobenen Daten zum Beispiel an seine Krankenkasse verkaufen könnte. Personalisiert, also in Verbindung mit seinem Namen. Ohne ihn darüber informieren zu müssen. Und das selbst dann, wenn der ursprünglich vereinbarte Zweck der Datenerhebung ein völlig anderer war.

Dafür reichen laut Ratsentwurf nicht näher definierte "Interessen" der Unternehmen aus, wenn diese "die Interessen der betroffenen Personen überwiegen", um die Daten weitergeben zu können. Das wäre das Ende der in Deutschland bisher geltenden sogenannten Zweckbindung, also der Prämisse, dass Daten nur zu einem vorher vereinbarten Zweck verwendet werden dürfen – nach ausdrücklicher Zustimmung des Verbrauchers. "Diese ›berechtigten Interessen‹ sind im Datenschutzrecht kein neuer, aber ein sehr dehnungsfähiger Begriff", sagt Marco Biewald, Vorsitzender des Berufsverbands der Datenschutzbeauftragten. Die Abwägung führe das Unternehmen selbst durch, sagt Biewald. Das Ergebnis dieser Abwägung wiederum kontrollieren die Datenschutzbeauftragten – falls sich jemand beschwert.

Dieser Artikel stammt aus der ZEIT Nr. 37 vom 10.09.2015.

Dabei geht es um weit mehr als Krankendaten. Aus allen Lebensbereichen wollen Versicherungen Informationen abgreifen: "Autos senden Daten über das Fahrverhalten, intelligente Stromzähler analysieren die Lebensgewohnheiten der Hausbewohner, selbst Kameras sammeln inzwischen Bewegungsprofile", sagt Berlins Datenschutzbeauftragter Alexander Dix. "Kein Unternehmen wäre gezwungen, die Verordnung auszunutzen. Aber sie werden es wollen, und sie werden es tun", ist Dix sich sicher. Möchte ein Verbraucher in Zukunft also eine neue Versicherung, wird der Anbieter sich womöglich erst mal Daten über ihn besorgen. Raser? Trinker? Heimwerker? Dann lieber nicht versichern oder nur zu einem teureren Tarif.

Was sich für Datenschützer wie eine Dystopie aus einem Science-Fiction-Roman anhört, geht dem Branchenverband Bitkom dagegen noch nicht weit genug. Die digitale Welt brauche einen "Ordnungsrahmen, der innovative Methoden der Datenverarbeitung ermögliche", teilt der Verband mit. Es gehe um Deutschlands Chancen im Zeitalter von Big Data, die Zweckbindung stehe dem entgegen.