06.01.2012
"Ich möchte ein einheitliches Gesetz für ganz Europa"
Datenschutz: „80 % der Deutschen sind aus meiner Sicht zu Recht besorgt darüber, wie Internetbetreiber und soziale Netzwerke mit ihren Daten umgehen“, erklärt Viviane Reding gegenüber den VDI nachrichten. Im Frühjahr will die EU-Justizkommissarin einen Gesetzesvorschlag vorlegen, der allen Verbrauchern in Europa einheitliche Rechte garantiert und dabei nationale Datenschutzbehörden stärkt. An die Firmen appelliert sie: „Wer 500 Mio. potenzielle Nutzer in Europa bedienen will, muss sich auch an europäische Regeln halten.“
VDI nachrichten, Düsseldorf, 6. 1. 12, rb
VDI nachrichten: Die neue dänische EU-Ratspräsidentschaft ab 1. Januar stuft den „Digital Single Market“, den digitalen Binnenmarkt, als Priorität ein. Freuen Sie sich darüber?
Reding: Ich begrüße dies außerordentlich. Europa braucht den Binnenmarkt als Wachstumsmotor, und zwar gerade im digitalen und Onlinebereich, wo es aus meiner Sicht die größten Wachs- tumschancen gibt. Mit den neuen Medien und Diensten des digitalen Zeitalters gibt es ja nicht mehr die Grenzen, die wir in der alten Welt noch gewohnt waren. Wir müssen dafür sorgen, dass sich die neuen Dienste grenzüberschreitend entwickeln können, aber gleichzeitig auch die Rechte des Einzelnen abgesichert sind.
Heute sieht das aber noch ganz anders aus ...
Ja, heute ist das nicht immer der Fall. Wenn ich zum Beispiel nach Deutschland blicke: Nur 6 % der Deutschen kaufen grenzüberschreitend online ein. Warum? Weil die Bürger oft vor der unklaren Rechtslage im Ausland zurückschrecken. Nicht so in Luxemburg, wo die Quote von Onlineshoppern deutlich höher ist, nämlich bei 38 %, weil wir keine andere Wahl haben – der luxemburgische Markt ist einfach zu klein.
Deutschland ist ein großes Land und hat seinen eigenen Markt und das genügt vielen Verbrauchern ebenso wie denen in Frankreich. Doch warum sollten wir deutschen Verbrauchern, die z. B. bei Amazon ihre Bücher im EU-Ausland günstiger bestellen wollten, diesen Weg nicht erleichtern? Gemeinsam mit der dänischen Präsidentschaft werde ich deshalb daran arbeiten, dass sich die Verbraucher auf dem digitalen Binnenmarkt in ganz Europa sicher fühlen. Und dass Unternehmen ungehindert grenzüberschreitend und online ihre Produkte und Dienstleistungen anbieten können.
Vielen Onlineunternehmen ist der rechtliche Flickenteppich mit höchst unterschiedlichen Datenschutzregeln in der EU ein Dorn im Auge. Warum kommt die Reform des EU-Datenschutzes so schleppend voran?
In der Tat: Nur ein EU-Unternehmen von zehn verkauft seine Waren oder Dienstleistungen grenzüberschreitend. Das hat natürlich in vielen Fällen mit den unterschiedlichen Regelungen im Bereich des Kauf- und Verbraucherrechtes zu tun. Aber auch beim grenzüberschreitenden Datenfluss haben wir noch keinen richtigen Binnenmarkt, der es Unternehmen erleichtert Geschäfte zu machen.
Zurzeit haben wir in Europa einen wahren Flickenteppich von Regeln im Datenschutz. Wir sind konfrontiert mit 27 unterschiedlichen Regelungen, da die EU-Datenschutzrichtlinie aus dem Jahr 1995 nur Mindestregeln geschaffen hat, die jedes EU-Mitgliedsland ganz unterschiedlich umgesetzt und angewandt hat. Für den digitalen Binnenmarkt ist dies ein ernstes Hindernis in der Praxis.
Wann wollen Sie das ändern?
Wir haben zwar eine recht gute EU-Datenschutzrichtlinie aus dem Jahre 1995. Allerdings stammt diese noch aus der Vor-Internetzeit. Wir müssen daher diese Regeln jetzt dem digitalen Zeitalter anpassen und sie in vielen Punkten kräftig entrümpeln. Seitdem ich 2010 die Verantwortung für Justizangelegenheiten in der EU-Kommission übernommen habe, arbeite ich intensiv mit Experten aus ganz Europa und mit den nationalen Datenschutzbehörden zusammen, um das europäische Datenschutzrecht zeitgemäß zu machen. Es geht mir dabei einerseits um einen wettbewerbsfähigen Binnenmarkt, andererseits um den Rechtsschutz der EU-Bürger.
Mit dem Inkrafttreten der europäischen Grundrechtecharta ist der Schutz der persönlichen Daten zu einem auf europäischer Ebene verankerten Grundrecht geworden. Wir müssen dies jetzt in der Praxis garantieren und durchsetzen.
Die Praxis sieht jedoch anders aus ...
Zunächst einmal hat jeder Bürger ein informationelles Selbstbestimmungsrecht. Aber wir wissen ja, wie dies in der heutigen Welt tatsächlich funktioniert. Jeder hat ein Recht auf persönliche Daten – nur der, dem sie gehören, nicht. 80 % der Deutschen sind aus meiner Sicht zu Recht besorgt darüber, wie Internetbetreiber und soziale Netzwerke mit ihren Daten umgehen. Sie sind sich bewusst, dass sie keine uneingeschränkte Kontrolle über ihre eigenen Daten haben.
Diese Kontrolle und dieses Vertrauen müssen wir als Erstes wiederherstellen. Der Einzelne muss zum Beispiel informiert werden, wenn etwas schief läuft mit seinen Daten, sie verloren gehen oder gestohlen werden. Falls ein Unternehmen die Daten des Einzelnen nutzen will, sollte vorher der Betroffene seine ausdrückliche Einwilligung geben. Auch das Recht auf Vergessen, also dass ich Daten, die ich online gestellt habe, auch jederzeit wieder löschen kann und dass grundsätzlich sparsam mit Daten umgegangen wird, möchte ich nun gesetzlich festschreiben.
Das will aber Facebook beispielsweise nicht. Wie wollen Sie die Global Player in ihre Schranken weisen?
Europäisches Recht muss für alle gelten, die ihre Dienste an Nutzer auf dem europäischen Markt richten. Das ist für mich ganz klar. Die Unternehmen haben ihrerseits ja auch das Problem, mit 27 unterschiedlichen Rechtslagen in der EU konfrontiert zu sein. Sie können sich sicher noch an den Fall Google Street View erinnern. Wie dieses neue Angebot regulatorisch behandelt werden sollte, das haben jedes Mitgliedsland, und in Deutschland sogar die einzelnen Bundesländer, völlig unterschiedlich gehandhabt. Manche Datenschutzbehörden verhängten Geldbußen, andere taten gar nichts. Dem Verbraucher wird durch solch unabgestimmtes, widersprüchliches Handeln nicht geholfen.
Und wie wirkt sich das auf Unternehmen aus?
Für ein Unternehmen, das seinen Dienst europaweit anbieten möchte, führt dies zu einer unerträglichen Rechtszersplitterung und Rechtsunsicherheit, die Innovation und neue Geschäftsmodelle im Keim erstickt. Wir brauchen daher in Europa eine einheitliche Regelung, die in solchen Fällen greift. Und wir müssen sicherstellen, dass nach dem sogenannten „One Stop Shop“-Grundsatz stets eine nationale Datenschutzbehörde für ein solches Unternehmen zuständig ist und diesem gegenüber – gegebenenfalls in Absprache mit den Datenschutzbehörden anderer Mitgliedstaaten – das EU-Datenschutzrecht wirksam durchsetzen kann.
Wer 500 Mio. potenzielle Nutzer in Europa bedienen will, der muss sich dabei auch dann an europäische Regeln halten, wenn er seinen Hauptsitz außerhalb der EU hat. Im Gegenzug bekommt das Unternehmen dann kein fragmentiertes Regelwerk – wie heute –, sondern ein Regelwerk aus einem Guss. Ich stelle mir vor, dass jedes Unternehmen eindeutig einer einzigen Datenschutzaufsicht unterliegen soll – nämlich in dem Mitgliedstaat, wo das Unternehmen seine Hauptniederlassung hat. Das wird zu viel weniger Bürokratieaufwand führen, als wir ihn heute in vielen Mitgliedstaaten haben.
Die Verluste für die europäische Wirtschaft durch bürokratischen Aufwand gehen derzeit jährlich in die Milliarden. Wie will die EU-Kommission Abhilfe schaffen?
Die Kosten für diese rechtliche Zerstückelung betragen derzeit für Unternehmen rund 3 Mrd. € Euro pro Jahr. Ich möchte in Zukunft Datenschutz gewährleisten, aber ohne Bürokratie. Heute haben wir Bürokratie, aber nur unzureichenden Schutz. Das nutzt niemandem. Die Unternehmen hingegen sollen Rechtssicherheit bekommen: klare Regeln, um den großen digitalen Binnenmarkt zu bedienen.
Hinkt Europa mit der Regulierung nicht immer einen Schritt hinter den technisch-digitalen Möglichkeiten hinterher?
Nein, denn wir schaffen technologieneutrale Regelungen, die für die Zukunft offen sind. Aber an der Umsetzung, da hapert es sicherlich noch oft. Für die Zukunft brauchen wir überall einheitliche und klare Regeln und weniger bürokratischen Aufwand.
Einen entsprechenden Gesetzesvorschlag werde ich im Frühjahr vorlegen. Meine eigenen Vorarbeiten werde ich im Januar abschließen und dann den 27 Mitgliedern der Kommission entsprechende Vorschläge vorlegen. Ich rechne mit einer Annahme der Vorschläge im Februar oder März. Anschließend steht die Beratung mit dem Europaparlament und dem Ministerrat an, die dem Vorschlag zustimmen müssen, damit er EU-Gesetz wird. Der Zustand, dass wir zu viele nationale Regelungen haben, die sich teilweise widersprechen, muss so bald wie möglich der Vergangenheit angehören.
Wie ist die Stoßrichtung der neuen Datenschutzverordnung?
Ich möchte ein einheitliches Gesetz für ganz Europa. Die gegenwärtige Zerstückelung des Datenschutzrechts muss ein Ende haben. Dabei soll die Zuständigkeit der Datenschutzbehörden vor Ort weiterhin bestehen bleiben und sogar gestärkt werden. Europäische Datenschutzregeln sollen immer von den nationalen Behörden angewandt werden. Nur werden wir in Zukunft für alle geltende einheitliche Regeln haben, so dass der deutsche Nutzer sich europaweit auf seine Rechte verlassen kann – egal ob er gegen einen Diensteanbieter in Deutschland, in Polen oder in Irland klagt.
Wie wollen Sie dem Datenklau künftig begegnen und Sozialplattformen dazu zwingen, personenbezogene Daten auch wieder auf Wunsch des Nutzers aus dem Internet zu entfernen?
Nutzer müssen das Recht haben – und nicht nur die Möglichkeit –, die Zustimmung zur Verarbeitung ihrer Daten durch Unternehmen jederzeit zurückzuziehen, wenn die Datenverarbeitung auf ihrer Einwilligung beruht. Die Beweislast muss dabei beim Datenverarbeiter liegen – er, und nicht der Nutzer, muss also nachweisen, dass die Daten weiter gespeichert werden müssen und nicht gelöscht werden können. Die Zeiten, in denen persönliche Daten in einem schwarzen Loch verschwanden, sobald man sie ins Netz gestellt hatte, sind vorbei. Außerdem sollen Nutzer umgehend informiert werden, wenn sich jemand unrechtmäßig Zugang zu ihren Daten verschafft hat. Diese Informationspflicht habe ich vor vier Jahren im Telekommunikationsbereich eingeführt. Ich plane sie nun auf andere Bereiche auszuweiten. Es ist essenziell für das Vertrauen der Kunden, dass sie wissen und kontrollieren können, was mit ihren Daten geschieht. In Zukunft sollen die Datenschutzbehörden und die Nutzer umgehend informiert werden, wenn sich jemand unrechtmäßig Zugang zu Nutzerdaten verschafft hat. Für Firmen, bei denen Kundendaten gestohlen, gehackt oder schlicht verloren gehen, sollen künftig die gleichen Regeln gelten.
Mit Personenprofilen fischen Internetanbieter gezielt nach Konsumverhalten und belästigen EU-Bürger mit Direktmarketing. Wie soll dem ein Riegel vorgeschoben werden?
Ob Profilbildung oder Direktmarketing: Wichtig ist mir, dass die Daten des Verbrauchers nur verwendet werden dürfen, wenn er seine Zustimmung dafür gibt. Die Daten gehören dem Bürger, sonst niemandem. Das soll EU-Recht künftig sicherstellen.
Mit welchen Bußgeldern wollen Sie Zuwiderhandlungen belegen?
Die Stärkung der nationalen Datenschutzbehörden soll Kernstück des neuen EU-Datenschutzrechts werden, das voraussichtlich ab März 2012 im Europäischen Parlament und im EU-Ministerrat diskutiert werden wird. Ich möchte starke, unabhängige nationale Datenschutzbehörden, die in allen Mitgliedstaaten vergleichbare Befugnisse haben. Die Datenschutzbehörden sollten aus meiner Sicht in Zukunft weitreichende Kompetenzen haben. Sie sollten Verletzungen der Datenschutzbestimmungen untersuchen und verbindliche Entscheidungen treffen können. Für diese neuen und wichtigen Aufgaben müssen die Datenschutzbehörden allerdings auch angemessen ausgestattet sein – mit den nötigen Instrumenten, Personal und Finanzen. Ich möchte dabei auch Sanktionsmöglichkeiten schaffen, den Datenschutzbehörden also „Zähne“ geben. Denn nur Recht, das überall im digitalen Binnenmarkt in gleicher Weise durchgesetzt werden kann, verdient das Vertrauen unserer Bürger und Unternehmen. Daran arbeite ich.
THOMAS A. FRIEDRICH
Viviane Reding
-ist Vize-Präsidentin der Europäischen Kommission und seit 2010 für das Ressort Justiz, Grundrechte und Bürgerschaft zuständig.
-Die Luxemburger Journalistin und Politikerin leitete zuvor das Ressort Medien und Informationsgesellschaft (2004 bis 2010) und das Ressort Bildung, Kultur, Jugend, Medien und Sport (1999 bis 2004). rb
ec.europa.eu/commission _2010–2014/reding/index_en.htm