Europa steht kurz vor einheitlichen Datenschutzregeln. An diesem Dienstag kommen die Unterhändler der EU-Mitgliedstaaten, des EU-Parlaments und der Europäischen Kommission zusammen, voraussichtlich zum letzten Mal. Noch vor Weihnachten soll die neue Verordnung stehen. Der wichtigste Punkt der neuen Verordnung: Es gibt hohe Bußgelder bei Verstößen.
So hat die Kommission Strafen von bis zu zwei Prozent des globalen Jahresumsatzes eines Unternehmens vorgeschlagen, das Parlament fordert fünf Prozent. Dazwischen wird sich die Geldbuße wohl am Ende bewegen. Bislang liegt das höchste Bußgeld bei 600 000 Euro; es ist aber nur im Recht einiger weniger EU-Staaten vorgesehen. Alphabet, die Gesellschaft, unter deren Dach Google seine Geschäfte neu sortiert, würde im Fall einer Neuregelung ein Bußgeld von dann mindestens 1,1 Milliarden Dollar deutlich empfindlicher treffen.
Recht auf Vergessenwerden soll für alle gelten
Darüber hinaus soll das sogenannte Recht auf Vergessenwerden, das zunächst nur für Jugendsünden eingeräumt werden sollte, nun allen Internetnutzern zugesichert werden - unabhängig vom Alter. Unternehmen, die ihre Dienste in Europa anbieten, dürfen persönliche Daten erst dann verarbeiten, wenn ein Verbraucher dem zugestimmt hat. In welcher Form dies geschehen muss, ist eine der letzten Detailfragen, über die noch verhandelt wird.
Der Internetriese Google weigert sich, Daten von EU-Bürgern von Seiten in Nicht-EU-Ländern zu löschen. Er ignoriert damit eine Anordnung der französischen Datenschutz-Aufsicht.
Absehbar ist, dass eine Zustimmung von Jugendlichen unter 16 Jahren für unzulässig erklärt wird. Auch die Erhebung pseudo-anonymisierter Daten, die nur mit einer Nummer statt mit dem Namen eines Verbrauchers versehen sind, wird eingeschränkt. Außerdem sollen es Verbraucher leichter haben, Daten, die sie dem Anbieter eines Internetdienstes anvertraut haben, zu einem anderen mitzunehmen. Das würde den Wechsel eines Smartphones erleichtern.
Die neue EU-Verordnung wird nationale Regelungen ersetzen. Sie gilt für alle Unternehmen, die ihre Dienste auf dem Kontinent anbieten und dazu Daten von Kunden erheben. Bisher verstoßen vor allem amerikanische Konzerne immer wieder dagegen und werden kaum belangt.
Niedrigere Standards in Irland können nicht mehr als Ausflucht gelten
"Der Datenschutz wird auf einem hohen Niveau in Europa vereinheitlicht, vergleichbar dem deutschen Niveau", sagt Jan Philipp Albrecht (Grüne), Verhandlungsführer des EU-Parlaments. Derzeit ziehen sich Facebook oder Twitter auf den Standpunkt zurück, dass die US-Unternehmen ihren Europasitz in Irland haben und sich somit nur an die dortigen niedrigen Standards für den Datenschutz halten müssen. Das ist in Zukunft nicht mehr möglich.
Das derzeitige Regelwerk zum Datenschutz in Europa stammt aus dem Jahr 1995. Es ist nur eine Richtlinie, die jedes Land in eigene Gesetze gegossen hat. Diese Unklarheiten machen es Start-ups schwer, über die Landesgrenze hinaus zu expandieren - und Konzernen leicht, die einzelnen EU-Staaten gegeneinander auszuspielen. Vor allem Unternehmen kritisieren nun allerdings, die strengen Regeln ließen nicht genügend Raum zur Entwicklung von neuen Diensten und Geschäftsmodellen.