Wer darf was mit meinen Daten machen? Diese Frage, die für die Bürger und zunehmend auch die Wirtschaft Bedeutung erlangt, wird ganz neu geregelt. Die Datenschutz-Verordnung ist eines der wichtigsten Projekte der Europäischen Union überhaupt, weil es schon bald das gesamte Datenschutzrecht aller 28 Mitgliedstaaten ersetzen soll, auch das deutsche. Kein Wunder also, dass heftig gestritten wird und Diplomaten von "quälend langen" Verhandlungen berichten. Gut drei Jahre sind seit dem entsprechenden Vorschlag der EU-Kommission ins Land gezogen. Nun aber ist das Ziel in Sicht. An diesem Freitag will sich Bundesinnenminister Thomas de Maizière in Brüssel mit seinem Amtskollegen über zwei entscheidende Grundpfeiler des Gesetzes verständigen.

Mehr Datenschutz für das digitale Zeitalter ist dessen erklärtes Ziel - doch könnte es nun ganz anders kommen. Aus durchgesickerten Entwürfe und Aussagen Brüsseler Diplomaten lässt sich herauslesen, dass am Ende vielleicht nicht mehr, sondern weniger Schutz der Privatsphäre steht. "Mit diesen Vorschlägen", sagt der Grüne Jan-Philipp Albrecht, der für das Europaparlament die abschließenden Verhandlungen mit dem Ministerrat führen wird, "bricht die Bundesregierung dieses Versprechen."

Worum geht es konkret? Artikel 6 der Verordnung regelt, unter welchen Umständen eine Datenverarbeitung als rechtmäßig gilt. Das ist der Fall, wenn ihr jemand zustimmt, sie Teil eines geschlossenen Vertrages ist, andere Gesetze dies vorschreiben oder es - etwa bei einem medizinischen Notfall - schlicht überlebenswichtig ist.

Besonders brisant ist der vierte Absatz des Artikels, in dem es um die Zweckbindung der Daten geht. Will heißen, dass sie nur in dem Sinne weiterverarbeitet werden dürfen, für den sie erhoben wurden. Ein Beispiel: Wenn ein Kunde im Netz einen neuen Mercedes bestellt, darf Daimler dessen Daten zum Beispiel an Händler weiterverkaufen, die Schneeketten oder Dachgepäckträger vertreiben. Nach geltendem Recht, das auf einer EU-Richtlinie aus den Neunzigern und einem deutschen Umsetzungsgesetz fußt, darf die Kundendatei aber nicht bei einer Bank landen, die daraus auf potenziell zahlungskräftigere Kundschaft schließen könnte. Für eine solche Zweckentfremdung hatte die EU-Kommission in ihrem Entwurf die erneute Zustimmung verlangt - und damit quasi das bestehende Schutzniveau übernommen. Nun jedoch beinhaltet der aktuelle Entwurf des Ministerrats, der an diesem Freitag verabschiedet werden soll, einem EU-Diplomaten zufolge eine "erweiternde Klarstellung".

Jetzt soll die Datenweitergabe zu ganz anderen Zwecken auch möglich sein, wenn "legitime Interessen des Datenverarbeiters oder einer dritten Partei vorliegen, die dem Interesse des Datensubjekts übergeordnet sind". In dieser ebenso bürokratischen wie vagen Formulierung aus dem aktuellen Textentwurf sehen Kritiker ein Einfallstor für den Missbrauch von Informationen. Sie lasse, so heißt es in einer Stellungnahme der Verbraucherzentrale Bundesverband, "eine ausufernde, für den Verbraucher nicht mehr zu überblickende Verarbeitung seiner personenbezogenen Daten zu, die zur Wahrung der Verbrauchersouveränität abzulehnen ist". Die Passage laufe einem Grundpfeiler des Datenschutzes, nämlich der bereits in der EU-Grundrechtecharta enthaltenen Zweckbindung von Daten entgegen. Damit könnten, so der Grüne Albrecht, "Daten ohne die Zustimmung der Verbraucher für Werbung oder Kreditwürdigkeitsabschätzung verwendet werden".

Aus 11000 Seiten bisher teils geheimer Verhandlungsdokumente, welche die Netzplattform LobbyPlag in dieser Woche veröffentlichte, geht die Urheberin der so umstrittenen Änderung hervor: die Bundesregierung. In einem Memo der Ständigen Vertretung in Brüssel an das Innenministerium in Berlin vom Januar ist nachzulesen, dass der Satz als "Kompromiss" von "DEU" eingebracht wurde - jener Bundesregierung, die in der Vergangenheit publikumswirksam verhindern wollte, dass "Brüssel" die hohen deutschen Standards aushöhlt.

Warum ist es nun anders herum? Angela Merkel hat zuletzt häufig erkennen lassen, dass ihr die radikale Position des Europaparlaments missfällt, das keinerlei anderen Datenzwecke genehmigen will. Man müsse, so die Kanzlerin erst vorige Woche in Berlin, "Datensicherheit in eine vernünftige Balance zu den Wertschöpfungsmöglichkeiten bringen, die uns die digitale Welt bietet". Sie fügte hinzu: "Ohne Big Data Management oder Mining werden wir an neuen Wertschöpfungen nicht teilnehmen können." Angesichts dessen, dass sich gerade deutsche Firmen unter dem Stichwort der "Industrialisierung 4.0" viel von der Digitalisierung verspricht, habe es in Berlin einen Kurswechsel gegeben, wie ein EU-Diplomat bestätigt, "weg vom Datenschutz hin zu mehr Wirtschaftsfreundlichkeit".

Auf die Kritik angesprochen weist ein Vertreter der aktuellen EU-Ratspräsidentschaft Lettlands darauf hin, dies sei "nur die Position der Mitgliedstaaten", die im Juni endgültig festgelegt werden soll und sich dann in den Verhandlungen mit dem Europaparlament noch ändern werde: "Es ist zu früh, das endgültige Ergebnis zu beurteilen." Offenbar hoffen selbst manche Regierungen, dass sich die Abgeordneten am Ende in einigen strittigen Punkten durchsetzen - von denen es genug gibt.

Die Art der Zustimmung gehört dazu. Kommission und Parlament verlangen ein "explizites" Ja des Nutzers zur Verarbeitung seiner Daten. So ausdrücklich wollen es die Regierungen nicht haben. Ihnen gilt in manchen Fällen bereits als Zustimmung zu Nachverfolgung oder Profilbildung, wenn die Standardeinstellungen des Internetbrowsers nicht entsprechend geändert werden. Das würde den Datenschutz quasi beerdigen, monieren Kritiker. Ein britischer Diplomat widerspricht: "Das ist nicht nur wirtschafts-, sondern auch nutzerfreundlich. Man will doch nicht ständig irgendwo Häkchen setzen, sondern vielleicht nur schnell etwas bei Amazon bestellen."

Dass Datenschützer und Parlamentarier auf klarer Zustimmung bestehen und die Datenweitergabe nur aufgrund "berechtigter Interessen" ablehnen, ist auch Verlegern ein Dorn im Auge. Sie nutzen die - wenn Widerspruch ausbleibt - zulässigen Dienste von Adresshändlern, um via Direktmarketing am Telefon oder per Post Abonnenten zu werben. Der Verband Deutscher Zeitschriftenverleger befürchtet nun Wettbewerbsnachteile gegenüber Google, Facebook & Co., "die über Millionen Logins und damit auch Einwilligungen verfügen"; Zeitungen und Zeitschriften könnten "schon wegen anders gelagerter Geschäftsmodelle niemals eine solche Einwilligungsbasis erreichen". Die Verleger fanden Gehör bei der Bundesregierung. Aus den LobbyPlag-Dokumenten geht ihr Einsatz in Brüssel dafür hervor, dass die Datenschutzverordnung "bestehende Geschäftsmodelle wie Direktmarketing" nicht verhindert.

Überhaupt scheinen Lobbyisten in Berlin auf offene Ohren zu stoßen. Der "Spiegel" druckte diese Woche die E-Mail eines Ministerialbeamten an einen Mitarbeiter des Softwarehauses Datev ab. Darin bittet er um "rasche Rückmeldung, ob Sie vielleicht noch ein, zwei harte Punkte haben, die wir noch kurzfristig einbringen sollen".

EIN DATENSCHUTZRECHT FÜR ALLE EUROPÄER
Ein Markt Die neue Verordnung gilt als einer der wichtigsten Bausteine eines digitalen Binnenmarkt, der in den nächsten Jahren geschaffen werden soll. Für 500 Millionen Europäer soll dann ein und dasselbe Datenschutzrecht gelten. Das soll es Unternehmen einfacher machen, ihre Dienstleistungen grenzüberschreitend anzubieten. Bisher müssen sie sich 28 verschiedene Regeln berücksichtigen.

Eine Anlaufstelle Das Recht wird vereinheitlicht - im Guten wie im Schlechten, wie die jüngsten Entwicklungen zeigen. Zu den positiven Aspekten gehört auf jeden Fall der sogenannte One-Stop-Shop, den die EU-Minister ebenfalls an diesem Freitag beschließen wollen. Wer etwa bisher gegen das in Irland ansässige Facebook Beschwerde einreichen will, muss dies bisher in Irland tun. Künftig ist das beim heimischen Datenschutzbeauftragten möglich. Dieser leitet den Fall dann innerhalb eines neu zu gründenden europäischen Datenschutzrates an den irischen Vertreter weiter, der dann die Entscheidung trifft - möglich sind in Zukunft auch hohe Geldstrafen für Unternehmen. Falls es unterschiedliche Auffassungen zu einer Entscheidung gibt, entscheidet das europäische Gremium als Ganzes.