Gesetze machen ist wie Schlachten kämpfen, zwei oder mehr Fraktionen ringen um den Sieg für ihre Seite. Die Linie, auf der am Ende alle erschöpft liegen bleiben, wird dann Kompromiss genannt und als Gesetz veröffentlicht. Bei der europäischen Datenschutzgrundverordnung lässt sich dieser Kampf gut beobachten. Sie soll einen einheitlichen Datenschutz für alle europäischen Länder schaffen, dementsprechend groß ist das Interesse der drei Fraktionen Staat, Unternehmen, Zivilgesellschaft.

Seit anderthalb Jahren wird um die Datenschutzgrundverordnung gerungen, am Montag nun steht eine erste wichtige Entscheidung an. Der Ausschuss des EU-Parlaments für Bürgerliche Freiheiten, Justiz und Inneres (Libe) berät am Montagabend über den Entwurf der Datenschutzreform und wird anschließend darüber abstimmen.

Das bedeutet, dass sich die Fraktionen im Parlament im Prinzip über den Entwurfstext einig sind und ihn bei der Abstimmung mit einer Mehrheit annehmen werden. Es ist der erste Schritt auf dem Weg zu einem für alle EU-Staaten verbindlichen Datenschutzgesetz.

Eigentlich sollte diese Abstimmung schon im Mai stattfinden. Doch hatten die Abgeordneten des Parlaments insgesamt 3.133 Änderungsanträge eingebracht, so viele wie bei keinem Gesetz zuvor. Sie sind das Ergebnis intensiver Lobbyarbeit der IT-Industrie. Firmen wie Facebook, Google, Amazon, Yahoo und viele andere stören sich an der Reform und wollen mit Daten handeln können wie bisher.

Die Parlamentarier wurden daher von allen Seiten bearbeitet. Wie sie sich entschieden haben, ob für oder gegen mehr Datenschutz, hat die Plattform Lobbyplag zusammengestellt. Alle Nachforderungen zu prüfen, zu verhandeln und einzuarbeiten dauerte dabei Monate. Zwischendurch sah es so aus, als würde die Datenschutzreform daran sogar scheitern, doch nun steht ein Entwurf. Es ist ein Dokument mit 91 Artikeln.

Der Europaparlamentarier der Grünen, Jan Philipp Albrecht, der ihn ausgehandelt und formuliert hat, ist damit zufrieden. Er ist nicht der Einzige. Selbst scharfe Kritiker der ersten Entwürfe finden, dass die nun ausgehandelte Fassung gut ist. "Das ist besser, als wir erwartet haben", sagt Christian Horchert, Mitglied des Chaos Computer Clubs. "Die haben den Schuss gehört."

Mit "Schuss" meint er Edward Snowden und all die Dinge, die der über die weltweite Überwachung der Geheimdienste publik gemacht hat. Diese Berichte haben im EU-Parlament für ein Umdenken gesorgt, was den Datenschutz angeht. Viele der zuvor vorhandenen Widerstände verschwanden daraufhin.

Ein Beispiel: Artikel 6 des Grundverordnungsentwurfs legt fest, wann es überhaupt erlaubt ist, Daten von anderen zu verarbeiten. Eine Einschränkung dabei lautet: Die Verarbeitung ist unter anderem dann erlaubt, wenn der Nutzer vernünftigerweise davon ausgehen muss, dass seine Daten weitergegeben werden, da die Kundenbeziehung sonst nicht funktioniert. Dass ein Onlinehändler Zahlungsdaten an die Schufa schickt, um die Kreditwürdigkeit zu prüfen, liegt im Bereich dieser "reasonable expectation", dieser Erwartung. Immerhin muss er sein Geschäftsrisiko kalkulieren. Dass der Onlinehändler Kundendaten aber an Werbefirmen weitergibt, davon muss ein Kunde nicht ausgehen.

Dank der Aufregung um Snowden konnten Datenschützer in den Entwurf sogar ein paar Punkte wieder hineinschreiben, die die Industrie bereits hatte streichen lassen.

Wer Daten veröffentlicht, ist für ihre Verbreitung verantwortlich

Ursprünglich forderte der Gesetzestext, dass Unternehmen bei Verstößen bis zu fünf Prozent ihres Jahresumsatzes als Strafe droht. Google – um ein naheliegendes Beispiel zu nehmen – hat einen Umsatz von 14,9 Milliarden Dollar allein im vergangenen Quartal. Ein Verstoß könnte den Konzern also 300 Millionen Dollar kosten, selbst für Google ist das kein Kleingeld mehr. Zwischenzeitlich hatte die Industrie diesen Wert daher auf zwei Prozent des Umsatzes heruntergehandelt. Im aktuellen Entwurf aber stehen nun wieder die ursprünglichen fünf.

Ein weiterer großer Streitpunkt war das sogenannte Recht auf Vergessen. Die ursprüngliche Idee der zuständigen EU-Kommissarin Viviane Reding war es, dass jeder unliebsame Informationen über sich aus dem Netz entfernen lassen kann. Vor allem Facebook lobbyierte dagegen und erreichte zwischenzeitlich, dass dieses Recht auf Datenlöschung stark entschärft wurde. 

Datenweitergabe an Staaten

Nun steht im Entwurf, wer Daten veröffentlicht, muss auf Wunsch des Betroffenen dafür sorgen, dass alles wieder aus dem Netz verschwindet, auch wenn es inzwischen auf anderen Seiten aufgetaucht ist. Allerdings enthält der Passus nun eine Einschränkung: Nur wer illegal Daten publik macht, hat diese Verantwortung. Facebook hat eine Verantwortung für die Verbreitung von Daten immer abgelehnt. Facebook könne nicht verhindern, dass auf Facebook veröffentlichte Bilder kopiert und dann auch woanders veröffentlicht werden, sagt Facebook. Mit der Einschränkung ist das Unternehmen davon ausgenommen, es sei denn, ein Leck ist schuld, dass Daten irgendwo auftauchen.

Ebenfalls umkämpft war der Artikel 42 der geplanten Verordnung. Dieses Mal aber waren nicht die Unternehmen dagegen, sondern die amerikanische Regierung. Der Artikel regelt die Weiterleitung von Daten an andere Staaten. Die USA beispielsweise erhalten aufgrund von Abkommen mit der EU sämtliche Finanzdaten europäischer Bürger und sämtliche Daten, die bei Flugreisen anfallen, sogenannte Passenger Name Records. Bislang ist kaum geregelt, ob sie diese Informationen an andere Länder weitergeben dürfen.

Artikel 42 fordert, dass eine Weitergabe nur erlaubt ist, wenn auch die Drittländer einem Datenschutzstandard entsprechen. Die USA hatten dafür gesorgt, dass der Artikel gestrichen wurde. Nun ist er wieder im Entwurf und verlangt, dass alle an der Datenverarbeitung beteiligten Staaten ein "europäisches Datenschutzsiegel" vorweisen können.

Zustimmung zu Profilbildung fehlt

Das alles heißt nicht, das die Grundverordnung nun den höchstmöglichen Datenschutz garantiert. Markus Beckedahl, der sich im Verein Digitale Gesellschaft und anderen für Datenschutz engagiert, sagt dazu: "Gut scheint zu sein, dass das Recht auf Datenportabilität beibehalten wurde sowie die Betonung der 'expliziten' Zustimmung zur Datenverarbeitung." Meint, dass Nutzer ihre Daten mitnehmen können müssen, wenn sie einen Dienst wie beispielsweise Googleplus verlassen.

"Schlecht ist", sagt Beckedahl, "dass eine Datenverarbeitung ohne Zustimmung, die bei 'berechtigtem Interesse' möglich ist, nicht auf bestimmte Fälle eingeschränkt wurde."

Beckedahl vermisst in dem Entwurf vor allem einen Punkt, der Teil der Ursprungsidee der Reform war. "Wir sind sehr unzufrieden, dass Verbraucher vor einer Profilbildung ihrer Daten nicht gefragt werden und ihr zustimmen müssen, sondern dass sie das nur verhindern können, wenn sie sie im Opt-out ausschließen."

Insgesamt, sagt Beckedahl, sei der Kompromiss nicht so gut wie er hätte sein können. Noch dazu müsse er nun noch verschiedene Gremien durchlaufen und es sei zu befürchten, dass er doch noch abgeschwächt werde.

Nach der Abstimmung im Libe-Ausschuss am Montag muss auch noch der Ministerrat darüber verhandeln und zu einem Urteil kommen. Und dann müssen Europäisches Parlament, Europarat und Europäische Kommission im sogenannten Trilog gemeinsam einen Kompromiss finden. Viel Zeit also für Unternehmen, das Gesetz wieder in ihrem Sinne zu beeinflussen.