IP

01. Sep 2013

„Europas Antwort: strenger Datenschutz“

Interview mit der EU-Kommissarin Viviane Reding

Lange genug hat es gedauert: Nach dem NSA-Skandal arbeitet die EU endlich an einem strengeren Datenschutzabkommen. Amerikanische Unternehmen müssen sich dann ohne Wenn und Aber an die neuen Regeln ­halten, wenn sie vom großen europäischen Binnenmarkt profitieren wollen. Auch europäische Clouds könnten mehr Sicherheit bieten.

Internationale Politik: Frau Reding, Sie haben den NSA-Skandal als „Weckruf“ bezeichnet, um endlich ein schärferes EU-weites Datenschutzgesetz auf den Weg zu bringen. Aber dieses Projekt ist bereits seit 18 Monaten in Arbeit. Besteht eine realistische Chance, dass neue Verordnungen verabschiedet werden?

Viviane Reding: Mit Sicherheit hat der Prism-Skandal  einen Nerv in Europa getroffen. Und Europa reagiert. Es ist richtig, dass sich Deutschland und Frankreich beim Ministertreffen in Vilnius für ein hohes Datenschutzniveau ausgesprochen und dazu verpflichtet haben, die Arbeit an einer Reform auf europäischer Ebene voranzutreiben. Der deutsch-französische Motor funktioniert. López Aguilar, der Vorsitzende des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres im EU-Parlament, hat bei dem Treffen ebenfalls darauf hingewiesen, dass das Datenschutzpaket so rasch wie möglich verabschiedet werden muss. Das ist ein starkes politisches Signal: Alle europäischen Institutionen sind sich einig, dass wir unsere Kräfte bündeln müssen, um den Datenschutz in Europa zu garantieren. Datenschutz ist ein Grundrecht in der EU. Auf diese Worte müssen nun Taten folgen: Alle Politiker sollten gemeinsam darauf hinarbeiten, dass die Reformvorschläge noch vor den Europa-Wahlen im Mai 2014 verabschiedet werden können.

Die Regeln, die wir vorgeschlagen haben, sind streng. Sie sorgen dafür, dass sich Unternehmen, die ihre Produkte und Dienstleistungen europäischen Kunden anbieten, auch an europäische Regeln halten müssen – selbst wenn sie ihren Firmensitz in den USA, in Indien oder anderswo haben. Und nationale Datenschutzbehörden werden in der Lage sein, gegen jene Konzerne vorzugehen, die diese Regeln verletzen, und zwar mit Strafen von bis zu 2 Prozent des weltweiten Jahresumsatzes.

IP: Könnte der Prism-Skandal ein unerwarteter Anstoß für eine vertiefte europäische Integration sein, zumindest in Sachen Datenschutz?

Reding: Mit anderen Mitgliedern der Kommission habe ich in jüngster Zeit an Bürgerdialogen quer durch die Europäische Union teilgenommen: Bislang fanden 26 solcher Dialoge statt, drei davon in Deutschland, nämlich in Berlin, Düsseldorf und Heidelberg; weitere werden folgen. In all diesen Dialogen haben die Menschen ihre Erwartungen zur zukünftigen Entwicklung unserer Union geäußert. Die Lektion, die ich dabei gelernt habe, ist, dass die Menschen generell und quer durch die EU „mehr Europa“ sehen wollen. Sie möchten, dass Europa ihre Probleme löst. Nur: Manche Probleme haben einen rein nationalen Bezug; eine Einmischung der Kommission ist gar nicht möglich. In Berlin schlug beispielsweise ein Teilnehmer vor, dass die Kommission das deutsche Bildungssystem reformiert – obwohl Bildung eines jener Politikfelder ist, die in ausschließlich nationaler Verantwortung belassen wurden, in Deutschland ist es sogar Sache der Bundesländer. Ein anderes Beispiel war Sofia: Dort wollten die Menschen, dass ich eingreife, um die Unabhängigkeit ihres Justizsystems zu garantieren.

Ein wiederkehrendes Thema bei allen Gesprächen war der Datenschutz. Es ist deutlich zu spüren, dass die Bürger beunruhigt sind. Sie fordern von Europa, dass es ihre Daten schützt. Unsere Umfragen bestätigen: 72 Prozent der Europäer und 79 Prozent der Deutschen haben das Gefühl, keinerlei Kontrolle über ihre Daten zu haben, die sie in sozialen Netzwerken im Internet preisgeben, und 90 Prozent der Europäer und 89 Prozent der Deutschen sagen, dass ihnen, wann immer ihre Daten gesammelt und verarbeitet werden, die Einhaltung von Datenschutzvorschriften sehr wichtig ist. Europäer wollen strenge Regeln, die verhindern können, dass ihre Rechte durch Unternehmen oder Strafverfolgungsbehörden in Europa und anderswo verletzt werden. Die Herausforderung, vor der wir stehen, wird sich nicht einfach verflüchtigen. Wir müssen sowohl innerhalb der EU als auch in den USA sicherstellen, dass Regierungen und Unternehmen, die persönliche Daten verarbeiten, vertrauenswürdig sind. Das ist eine Bedingung für die Entwicklung moderner öffentlicher Dienste und der digitalen Wirtschaft.

Ich werde weiter für hohe und international durchsetzbare Datenschutzstandards kämpfen. Denn ich glaube, dass Europa in dieser Frage zusammenhalten muss, die am Kern europäischer Werte rührt, die grundlegende Rechte der EU-Bürger direkt betrifft und die außerdem für den europäischen Binnenmarkt von großer Bedeutung ist.

IP: Was war Deutschlands Rolle bei der Förderung gemeinsamer Datenschutzregeln – hat sich diese Rolle in jüngster Zeit verändert?

Reding: Ich kann die Bereitschaft von Bundeskanzlerin Angela Merkel, sich für starke und einheitliche Datenschutzregeln in der EU einzusetzen, nur nachdrücklich begrüßen. Wie schon erwähnt, wurde diese Unterstützung auch während des Ministertreffens in Vilnius bestärkt, an dem ja immerhin zwei deutsche Minister – die Justizministerin und der Innenminister – teilgenommen haben. Zudem haben die beiden Justizministerinnen aus Frankreich und Deutschland eine gemeinsame Erklärung vorgelegt, in der sie hohe Datenschutzstandards und eine schnelle Umsetzung der Datenschutzreform fordern.

Nach einigem Zögern steht Deutschland jetzt an der Spitze jener Länder, die sich für eine schnelle Verabschiedung strenger Datenschutzregeln auf europäischer Ebene einsetzen. Ich fände es hilfreich, wenn der Europäische Rat im Oktober – wenn er sich mit dem gemeinsamen digitalen Binnenmarkt beschäftigt – auch dieses wichtige Thema debattieren und die Arbeit der Mitgliedsländer an der Reform beschleunigen würde.

IP: Als Resultat des Prism-Skandals hatten Sie ursprünglich dazu aufgerufen, die Verhandlungen über die Transatlantische Handels- und Investitionspartnerschaft (TTIP) auszusetzen. Könnte dieser Skandal – und die Tatsache, dass die NSA auch die Wirtschaft ausspioniert – die Verhandlungen scheitern lassen?

Reding: Ich habe mich nicht für ein Aussetzen der Verhandlungen ausgesprochen. Vielmehr habe ich gesagt, dass transatlantische Verhandlungen und unsere transatlantische Beziehung ohne Vertrauen nicht funktionieren können.

Selbstverständlich brauchen wir das Transatlantische Freihandelsabkommen. Handelspolitik ist der Motor für Wachstum. Ein Handelsabkommen zwischen der EU und den USA wäre das größte seiner Art. Zusammengenommen stehen die EU und die USA für 50 Prozent des globalen Bruttoinlandsprodukts (BIP) und für 33 Prozent des Welthandels. Nach Einschätzung der Kommission könnten die positiven Folgen eines solchen Abkommens bis zu einem halben Prozentpunkt zum BIP-Wachstum auf beiden Seiten beitragen. Der EU und den USA böte ein Abkommen darüber hinaus eine Gelegenheit, ihre Standards weltweit durchzusetzen. Sonst werden uns chinesische, indische und brasilianische Standards aufgedrängt.

Jetzt muss oberste Priorität sein, Vertrauen wiederherzustellen. Aus meiner Sicht kann dies am besten dadurch geschehen, dass wir gemeinsam an strengeren Datenschutzregeln arbeiten. Es ist ein positives Zeichen, dass unsere amerikanischen Freunde der Einrichtung einer Arbeitsgruppe zugestimmt haben, die Datenschutzfragen parallel zu den Verhandlungen über ein Freihandelsabkommen diskutiert. Historische Projekte wie das transatlantische Freihandelsabkommen können ohne gegenseitiges Vertrauen nicht gelingen.

IP: Könnte umgekehrt die TTIP eine einmalige Gelegenheit bieten, zu einer Verständigung zu gelangen und transatlantische Standards für Datenschutz festzulegen?

Reding: Datenschutz ist ein Grundrecht in der Europäischen Union. Deshalb kann man es nicht auf dieselbe Art und Weise diskutieren wie technische Standards für Güter oder Zeitpläne für die Bereitstellung von Dienstleistungen. Daher werden Standards zum Datenschutz nicht Gegenstand der Verhandlungen zum Freihandelsabkommen sein. Die EU ist nicht bereit, ihre eigenen Standards zu senken.

Die unterschiedlichen Auffassungen der EU und der USA beim Datenschutz sind seit langer Zeit bekannt: Während in den USA Daten verarbeitet werden können, solange dies nicht explizit verboten wird, können persönliche Daten in der EU nicht verarbeitet werden, solange dies nicht explizit erlaubt ist. Verhandlungen über ein Freihandelsabkommen wären nicht das richtige Forum, um solch fundamentale Unterschiede zu klären.

Wir sollten uns jetzt auf die separaten Kanäle konzentrieren, die schon existieren, um den Datentransfer und Datenschutz auf beiden Seiten des Atlantiks zu gewährleisten: die laufenden Verhandlungen mit den USA über ein Datenschutzabkommen bei der Strafverfolgung und die Überprüfung von „Safe Harbour“, das den transatlantischen Datenfluss im kommerziellen Bereich regelt. Die EU-Kommission wird eine Einschätzung dazu vorlegen, wie „Safe Harbour“ funktioniert, und weitere Schritte werden noch vor Jahresende folgen. Das sind die richtigen Kanäle, um Datenschutzfragen anzugehen – und sie bedeuten eine einmalige Chance für die EU und die USA, hohe Datenschutzstandards global festzulegen.

IP: Derzeit diskutiert man verschiedene Maßnahmen, um die Daten von EU-Bürgern besser zu schützen. So hat der deutsche Innenminister eine Meldepflicht gefordert, wenn Unternehmen Daten von EU-Bürgern an Drittstaaten weitergeben. Welche Regeln fänden Sie am wichtigsten?

Reding: Das ist schon in den Datenschutzregeln enthalten, die die Europäische Kommission im Januar 2012 vorgelegt hat. Da kann ich Deutschlands Engagement für einen starken Datenschutz und für unsere Arbeit nur begrüßen. Europa muss in dieser Angelegenheit Einigkeit beweisen. Denn nur, wenn wir diese Reform durchsetzen, werden die Bürger darauf vertrauen können, dass man verantwortungsvoll mit ihren Daten umgeht.

IP: Besteht eine Gefahr, dass ein neues Datenschutzgesetz im Europäischen Parlament blockiert werden könnte?

Reding: Alle Institutionen der EU sind sich darin einig, dass wir gemeinsam an einem starken Datenschutz arbeiten müssen. Das Europäische Parlament hat sogar in einer Resolution vom 4. Juli die Notwendigkeit betont, hohe Datenschutzstandards für die EU zu sichern und den Rat dringend aufgefordert, die Arbeit am Datenschutzpaket zu beschleunigen.

Ich begrüße diese Unterstützung durch das Europäische Parlament sehr, und ich werde weiter mit den Abgeordneten zusammenarbeiten, um einen robusten Datenschutz für unsere Bürger durchzusetzen. Ich bin überzeugt: Wenn wir gemeinsam daran arbeiten, werden wir unseren Bürgern auch klar vermitteln können, dass Europa für sie da ist und dass wir daran arbeiten, sowohl die Privatsphäre der Bürger zu schützen als auch sicherzustellen, dass Unternehmen in den 28 Mitgliedsländern ohne unnötige Hindernisse aktiv sein können.

IP: In Großbritannien wird die gewaltige Datensammlung zur Verhinderung von Terrorismus weitestgehend akzeptiert, Frankreichs Geheimdienste spionieren grundsätzlich ohne jegliche parlamentarische Kontrolle, in Deutschland aber haben die Medien das NSA-Programm scharf kritisiert. Es scheint gewaltige Unterschiede zwischen den Konzepten eines vernünftigen Gleichgewichts zwischen Freiheit und Sicherheit innerhalb Europas zu geben – kann das nicht ein entscheidendes Hindernis bei der Einigung auf eine durchsetzungsfähige Regulierung sein?

Reding: Für uns Europäer schließen sich nationale Sicherheit und Datenschutz nicht gegenseitig aus. Sie sind zwei Seiten einer Medaille. Schritte, die unternommen werden, um unsere Sicherheit zu gewährleisten, sollen die Freiheit schützen und erweitern. Die Botschaft ist deutlich: Die Tatsache, dass es von bestimmten Programmen wie Prism und Tempora heißt, sie dienten der nationalen Sicherheit, bedeutet nicht, dass alles erlaubt ist und alle anderen Grundrechte außer Kraft gesetzt werden. Vielmehr ist es notwendig, ein Gleichgewicht zu finden zwischen den damit verfolgten politischen Zielen und den Folgen für die Grundrechte, insbesondere des Grundrechts auf Datenschutz. Es ist eine Frage der Verhältnismäßigkeit.

Aus diesem Grund hat die Europäische Kommission eine Reihe sehr konkreter Fragen gestellt, um die Verhältnismäßigkeit von Programmen wie Prism und Tempora einzuschätzen, unter anderem: Welche Daten sind betroffen? Welche Kriterien bilden die Grundlage für die Sammlung dieser Daten? Zu welchem Zweck, von wem und wo werden sie aufbewahrt, wie erhält man Zugang zu ihnen, und wie werden sie verwendet? Wie zielgerichtet sind Anfragen? Wie effizient ist das System zur Vereitelung terroristischer Anschläge?

Wir versuchen auch festzustellen, welche Schutzvorkehrungen von den jeweiligen nationalen Behörden getroffen wurden. Gibt es eine gerichtliche oder parlamentarische Aufsicht? Und wichtig ist auch die Frage: Welche Rechtsmittel stehen den EU-Bürgern zur Verfügung? Denn selbst legale Überwachung mit dem Ziel, die Sicherheit zu gewährleisten, beruht immer noch auf Vertrauen – Vertrauen darauf, dass nur aus berechtigten Gründen überwacht wird, und Vertrauen darauf, dass Gerichte die Überwachung prüfen und – falls notwendig –eingreifen können.

Ich bin überzeugt, dass es im Interesse aller nationalen Regierungen ist, einen klaren Rechtsrahmen auf europäischer Ebene zu schaffen, der den richtigen Ausgleich zwischen dem Schutz persönlicher Daten und der Verwertung der Daten für Sicherheitszwecke festschreibt. Für mich ist das kein Hindernis, sondern eine Notwendigkeit.

IP: Sie waren als Kommissarin für die Informationsgesellschaft und Medien 2004 bis 2009  für die „digitale Agenda“ der EU zuständig: Wie sieht diese Agenda gerade in Bezug auf den Prism-Skandal aus? Haben wir eine Strategie, oder gehen wir die Herausforderung der „technischen Globalisierung“ und des Datenschutzes erst an, wenn wir mit ihnen konfrontiert sind?

Reding: Prism war für uns ein Weckruf. Die Datenschutzreform der EU ist Europas Antwort darauf. Diese Reform stärkt den Schutz der Rechte der Bürger, und gleichzeitig öffnet sie den europäischen Binnenmarkt für Unternehmen, die ihre Dienstleistungen mehr als 500 Millionen potenziellen Kunden anbieten möchten – auf Grundlage eines einzigen Gesetzes, das ohne unnötige bürokratische Formalitäten auskommt, wie es heute noch oft der Fall ist.

Aus meiner Zeit als EU-Kommissarin mit Zuständigkeit für den Telekommunikationssektor habe ich gelernt, dass Vorschläge dann Erfolg haben, wenn die Interessen der Kunden und der Unternehmer gleichermaßen berücksichtigt werden. Die Reform des europäischen Telekommunikationsmarkts mit dem „Telekom-Paket“ 2009 etwa hat den Markt für Unternehmen geöffnet und gleichzeitig die Rechte der Kunden gestärkt, unter anderem das Recht, die Telefonnummer beim Wechsel des Anbieters beizubehalten.

Die Datenschutzreform beruht auf genau dieser Prämisse. Sie bietet den richtigen Rahmen, um den Herausforderungen der technischen Globalisierung zu begegnen: Wir garantieren die Rechte der Bürger online und ebenso die Rolle des Internets als Motor für Innovationen.

Ein sehr wichtiges Prinzip der EU-Datenschutzreform ist technologische Neutralität. Das bedeutet, dass wir grundlegende Regeln verankern, jedoch ohne alles bis ins kleinste Detail festzulegen. Denn wir möchten Spielraum für mögliche Anpassungen der Regeln und Prinzipien an neue technologische Entwicklungen lassen. Ganz gleich, welche Art Technologie verwendet wird: Daten müssen immer geschützt werden. Das ist unser einfacher Grundgedanke. Die Datenschutzreform ist unsere Strategie, mit der wir diesen Gedanken umsetzen wollen.

IP: Ist es denn technisch überhaupt möglich, selektiver bei der Datensammlung vorzugehen? Haben wir nicht vorerst keine andere Wahl, als sozusagen das ganze Meer zu durchfischen, um den einen gefährlichen Fisch auszumachen?

Reding: Wo ein Wille ist, da ist auch ein technischer Weg. Wir sollten bei der Auswahl der Daten, die wir sammeln, ebenso bedacht vorgehen wie bei der Analyse dieser Daten. Datenminimierung ist ein sehr wichtiges Prinzip, das in unseren Datenschutzregeln festgeschrieben ist. Das bedeutet, dass Unternehmen und Regierungen nur solche Daten sammeln, die von zentraler Bedeutung sind, diese nur so lange speichern, wie das notwendig ist, und der Neigung widerstehen, mehr persönliche Daten zu sammeln und größere Datenbanken einzurichten. Das bedeutet, dass das, was in Deutschland „Datensammelwut“ genannt wird, unseren europäischen Prinzipien widerspricht.

Wir brauchen Regeln, die es Strafverfolgungsbehörden und Unternehmen erlauben, ihre Arbeit zu tun. Aber wir brauchen auch Sicherheitsvorkehrungen, um Eingriffe in die Privatsphäre zu minimieren. Ich glaube, dass die Datenschutzreform das richtig austariert. Sie bildet Europas Schutzmauer gegen die Verletzung der Rechte von EU-Bürgern.

IP: Was könnten – und sollten – die USA zur Wiederherstellung des Vertrauens tun? Sehen Sie die aktuelle Diskussion um die NSA-Aktivitäten im US-Kongress als ein ermutigendes Zeichen für eine Einigung beider Länder in dieser Angelegenheit?

Reding: Aus meiner Sicht kann das Vertrauen am besten durch die enge Zusammenarbeit bei Datenschutzstandards wiederhergestellt werden. Die Europäische Kommission verhandelt bereits seit zwei Jahren über ein europäisch-amerikanisches Datenschutzabkommen für die Strafverfolgung. 15 Verhandlungsrunden haben bereits stattgefunden. Aber zwei grundlegende Fragen sind noch ungeklärt: Erstens muss ein Abkommen die Gleichbehandlung von EU- und US-Bürgern sicherstellen. Und zweitens sollte es europäischen Bürgern greifbare und einklagbare Rechte einräumen, wie beispielsweise Möglichkeiten zum Rechtsbehelf.

Ich denke, die aktuellen Datenskandale und die darauf folgenden Diskussionen, die wir mit unseren amerikanischen Freunden geführt haben, beweisen, dass die Sensibilität der Amerikaner gestiegen ist, wenn es darum geht zu verstehen, wie wichtig Datenschutz für Europäer wirklich ist. Und die aktuellen Debatten im US-Kongress zu den NSA-Aktivitäten zeugen davon, dass die Bedeutung wächst, die dem Datenschutz auch in den USA zugeschrieben wird. Es ermutigt mich, in den USA erste Versuche zu beobachten, einen Regulierungsansatz zu entwickeln, der auf die von den Europäern so hochgeschätzten Prinzipien abzielt: Datenschutz, Transparenz und juristische wie demokratische Kontrolle. Es sind zuletzt auch wiederholt Aufrufe von Seiten amerikanischer Verbraucherverbände und der Federal Trade Commission zugunsten einer Datenschutzgesetzgebung ergangen. Ich würde mich freuen, wenn diese Anstrengungen bald in Gesetze mündeten, denn sie zeigen, dass wir viel gemeinsam haben. Eine Annäherung zeichnet sich ab, Synergien sind möglich.

Wir brauchen beiderseits des Atlantiks starke Gesetze, um einen wahren transatlantischen Freihandel auch bei den Daten zu erreichen. Ich betrachte unsere vorgeschlagene Reform als Fundament für eine Datenbrücke, die die EU und die USA verbinden könnte.

IP: Angesichts der Tatsache, dass die USA und ihre Unternehmen die Informationstechnologie eindeutig dominieren – verfügt die EU über genügend Durchsetzungsmittel, um die USA zur Zustimmung zu einer gemeinsamen Position in Sachen Datenschutz zu bewegen?

Reding: Sie dürfen nicht vergessen, dass all diese amerikanischen Unternehmen, die den Technologiemarkt und das Internet dominieren, Zugang zu unserer Goldgrube haben möchten, nämlich den europäischen Binnenmarkt mit mehr als 500 Millionen potenziellen Kunden. Wenn sie ihn bedienen möchten, müssen sie aber auch unsere Regeln anwenden.

Unser Druckmittel wird in naher Zukunft also die EU-Datenschutzverordnung sein. Hier wird klipp und klar festgeschrieben werden, dass nicht-europäische Unternehmen, wenn sie europäischen Kunden Güter und Dienstleistungen anbieten, europäisches Datenschutzrecht in vollem Umfang umsetzen müssen. Da wird es keine juristischen Schlupflöcher mehr geben.

Denken Sie daran, dass meine Kollegin, die für das Ressort Inneres verantwortliche Kommissarin Cecilia Malmström, und ich unseren amerikanischen Freunden klar gemacht haben, dass das Fortbestehen der bereits existierenden Abkommen zur Datenweitergabe sehr davon abhängen werden, inwieweit die USA die hohen Datenschutzstandards respektieren und garantieren. Das betrifft etwa das Abkommen zu Flugpassagierdaten (PNR), das zur Erfassung von internationalen Finanztransaktionen zu terroristischen Zwecken (SWIFT) oder „Safe Harbour“

IP: Sie haben das „Safe Harbour“, das zwischen 1998 und 2000 zwischen der EU und den USA verhandelt und abgeschlossen wurde, als überholt kritisiert. Was sind die zentralen Schwachstellen des aktuellen Abkommens? Und was sind die zentralen Konflikte zwischen Europa und den USA?

Reding: „Safe Harbour“, der sichere Hafen, ist womöglich gar nicht so sicher. Vielmehr könnte er ein Schlupfloch sein, denn „Safe Harbour" erlaubt die Datenweitergabe zwischen europäischen und amerikanischen Unternehmen – obwohl amerikanische Datenschutzstandards niedriger sind als die europäischen.

„Safe Harbour“ beruht auf Selbstregulierung und einem Verhaltenskodex, über dessen Einhaltung auf US-Seite die Federal Trade Commission wacht. Angesichts der jüngsten  Enthüllungen bin ich nicht überzeugt, dass man sich beim Datenschutz unserer Bürger auf Selbstregulierung und Verhaltenskodizes verlassen kann, die nicht streng kontrolliert werden.

Die Europäische Kommission wird auch prüfen, auf welche Weise die im Rahmen von „Safe Harbour“ an die USA gelieferten Daten für Zwecke der Strafverfolgung und der nationalen Sicherheit verwendet werden. Unsere Gutachten werden noch vor Ende des Jahres vorliegen.

IP: Nicht nur die US-Behörden spitzeln, auch das EU-Mitglied Großbritannien hört und liest mit. Hier hätte die EU doch durchaus Möglichkeiten, ihr Recht durchzusetzen, etwa durch ein Vertragsverletzungsverfahren. Warum scheut man davor zurück?

Reding: Ich wünschte, die Regierungen der Mitgliedstaaten hätten in diesem Punkt so heftig und laut reagiert wie die Europäische Kommission und das Europäische Parlament nach den Enthüllungen über Prism und Tempora. Es war doch zuerst die Kommission, die sagte, dass „Partner einander nicht ausspionieren“ – und dieser Satz ist dann quer durch Europa von Politikern wiederholt worden. Und es waren eben Kommissarin Malmström und ich, die die bislang existierenden Datentransferabkommen in Frage gestellt haben. Und es war die Europäische Kommission, die zuerst eine Klärung zu den amerikanischen und britischen Überwachungsprogrammen gefordert hat. Wir haben einen Prozess auf den Weg gebracht, mit dessen Hilfe wir mehr Informationen darüber bekommen werden, welche Programme benutzt und welche Daten gesammelt werden und vor allem, welche Mittel den Bürgern zur Verfügung stehen, um dagegen vorzugehen.

Dies unbenommen, muss in Fragen der nationalen Sicherheit jeder einzelne Mitgliedstaat ein System entwickeln, durch das garantiert wird, dass die nationalen Sicherheitsbehörden im Rahmen des Gesetzes arbeiten und dass beispielsweise auch Möglichkeiten zum Rechtsbehelf bestehen sowie eine Kontrolle durch Judikative oder Parlament. Das ist nicht die Aufgabe der EU-Kommission, sondern einer jeden nationalen Regierung. Die Europäische Kommission leitet Vertragsverletzungsverfahren ein, wenn ausreichende Beweise für eine Verletzung von EU-Recht vorliegen.

IP: Datenschutzgesetze und Verordnungen sind schön und gut. Aber wie können wir sicher gehen, dass Geheimdienste die Regeln befolgen, die wir setzen? Und können wir wirklich Forderungen an große Konzerne wie Facebook oder Google stellen?

Reding: Man sollte nicht zwei verschiedene Dinge durcheinander werfen: Regeln, wie sich Geheimdienste zu verhalten haben, sind das eine, Regeln zur Gewährleistung des Datenschutzes das andere.

Zuerst ein Wort zu Geheimdiensten: Es sollte niemanden überraschen, dass Geheimdienste im Geheimen handeln. Doch wenn ein Geheimdienst auf dem Territorium eines Mitgliedstaates operiert, dann sollten die jeweiligen Regierungen sicherstellen, dass die nationalen Regeln eingehalten werden. Das hat nichts mit der EU zu tun.

Zweitens zum Datenschutz: Wir sehen, dass US-Behörden auf Grundlage des „Patriot Act“ von amerikanischen Unternehmen mit Tochtergesellschaften in Europa die Weitergabe der Daten von EU-Bürgern verlangen. Allerdings ist das nach internationalem und europäischem Recht illegal. Das Problem wird dann akut, wenn diese Unternehmen vor die Wahl gestellt werden, entweder europäischem oder amerikanischem Recht zu folgen – dann entscheiden sie sich in der Regel für amerikanisches Recht. Denn letztlich ist es eine Machtfrage. Deswegen müssen wir sicherstellen, dass Unternehmen um die Stärke europäischer Gesetze und die strengen Sanktionen wissen, falls sie diese nicht befolgen.

Dank unserer Reform werden sich die Dinge ändern – erstens, indem sichergestellt wird, dass sich nicht-europäische Unternehmen, die europäischen Kunden Waren und Dienstleistungen anbieten, an das EU-Datenschutzgesetz halten; zweitens, indem harte Strafen ermöglicht werden (bis zu 2 Prozent des weltweiten Jahresumsatzes), um sicherzugehen, dass Unternehmen die EU-Regeln befolgen; und drittens, indem für Rechtssicherheit beim Datenverkehr gesorgt wird. Wenn Behörden von Drittstaaten Zugang zu Daten von EU-Bürgern außerhalb ihres Territoriums erhalten wollen, müssen sie dies in einem gesetzlichen Rahmen mit juristischen Kontrollen tun. Die Unternehmen direkt danach zu fragen, ist völkerrechtlich gesehen illegal.

IP: Kann Europa die technologische Dominanz der USA verringern? Werden europäische Alternativen zum Cloud-Computing, zu Facebook und Google den amerikanischen Unternehmen bald echte Konkurrenz machen?

Reding: Ich habe das bereits klar gesagt: Die genutzte Technologie oder der Firmensitz sollten keine Rolle spielen. Solange Unternehmen ihre Waren und Dienstleistungen Kunden in der EU anbieten und deren Daten verarbeiten, werden sie sich an die EU-Regeln halten müssen. Dies entspricht dem Prinzip der technologischen Neutralität und beantwortet die Frage nach der territorialen Reichweite der EU-Datenschutzregeln. Nur mithilfe strenger Regeln können wir Drittstaaten entgegentreten, die auf unserem Binnenmarkt mit mehr als 500 Millionen Konsumenten Geschäfte machen und Geld mit den Daten unserer Bürger verdienen wollen.

Ich bin auch davon überzeugt, dass wir durch die Schaffung eines echten Binnenmarkts, der für alle Unternehmen auf der Basis eines einzigen gesetzlichen Rahmens zugänglich ist, den Unternehmen neue Wettbewerbschancen eröffnen. Sehen Sie: Die Datenschutzreform schafft eine Win-win-Situation, von der Bürger und Unternehmen gleichermaßen profitieren.

Was Ihre Frage zu europäischen Alternativen angeht, beispielsweise beim Angebot von Cloud-Computing, möchte ich noch einmal daran erinnern, dass die Kommission auf diesem Gebiet bereits aktiv ist: Im September 2012 haben meine Nachfolgerin als Technologie-Kommissarin, Neelie Kroes, und ich die Europäische Cloud-Computing-Strategie vorgestellt, die darauf zielt, die Produktivität und Effizienz europäischer Unternehmen und Verwaltungen sowie die Wettbewerbsfähigkeit mittels Cloud-Computing zu erhöhen. Die Cloud-Strategie soll das Vertrauen in innovative IT-Lösungssysteme stärken und einen wettbewerbsfähigen digitalen Binnenmarkt beleben, in dem sich die Europäer gleichzeitig sicher fühlen.

Ich persönlich befürworte die Entwicklung europäischer Clouds. Öffentliche Behörden könnten vorangehen und diesem Markt Impulse geben, indem sie darauf bestehen, dass die von ihnen bearbeiteten Daten nur in Clouds gespeichert werden, in denen die EU-Datenschutzregeln angewandt werden und europäisches Recht gilt. Solche europäischen Clouds könnten auch für den privaten Sektor interessant sein, würden sie doch Werbesprüche wie: „Das ist eine europäische Cloud, Ihre Daten sind also sicher“ erlauben. Die neue EU-Datenschutzverordnung schafft den nötigen Gesetzesrahmen für diese Entwicklung.

IP: Ein Teil des Problems ist, dass Nutzer sozialer Netzwerke wie Facebook oftmals mehr persönliche Informationen preisgeben als eigentlich klug ist. Wie können wir die Privatsphäre von Menschen schützen, wenn sie es selbst nicht tun?

Reding: Daten gehören dem Einzelnen. Deswegen obliegt die Entscheidung, ob und welche Daten er mitteilen möchte, jedem selbst. Die Leute sollten es sich aber zweimal überlegen, bevor sie etwas ins Internet stellen, was sich im Nachhinein als schädlich erweisen könnte. Doch wenn dem so ist, dann sollten die Menschen befähigt werden, mit einer solchen Situation umzugehen. Darum geht es bei der Datenschutzreform: den Bürgern mehr Kontrolle über ihre Daten zu geben, Nutzern mehr Rechte einzuräumen. Die Bürger werden beispielsweise das Recht – und nicht nur die Möglichkeit – haben, das Löschen ihrer Daten zu fordern, wenn diese nicht länger für legitime Zweck benötigt werden (das berühmte „Recht, vergessen zu werden“); sie werden unverzüglich informiert werden müssen, wenn ihre Daten gehackt wurden, und sie werden das Recht erhalten, ihre Daten  – Fotos, Kontakte oder ausgetauschte Nachrichten – von einem sozialen Netzwerk auf ein anderes zu übertragen. Die Menschen müssen sich in erster Linie selber schützen, aber wenn sie erst einmal eine Entscheidung getroffen haben, ist die EU dafür da, ihnen die richtigen Instrumente in die Hand zu geben, um sicherzustellen, dass sie nicht ihr ganzes Leben lang für eine falsche Entscheidung zahlen müssen.

Die Fragen stellten Uta Kuhlmann-Awad, Joachim Staron und Sylke Tempel

Viviane Reding ist seit 1999 Mitglied der Europäischen Kommission. Seit Februar 2010 ist die Luxemburgerin Vizepräsidentin der EU-Kommission und zuständig für Justiz, Grundrechte und Bürgerschaft.

Bibliografische Angaben

Internationale Politik 5, September/Oktober 2013, S. 46-51 (gekürzte Fassung)

Teilen

Themen und Regionen