Die Betroffenheit über die Späh-Affäre hat die festgefahrenen Fronten im Streit um ein neues europäisches Datenschutz-Abkommen aufgebrochen. "Wir haben ein starkes Signal gesendet", betonte EU-Justizkommissarin Viviane Reding nach einem Treffen der 28 Innen- und Justizminister gestern in Vilnius. Sollten Internetkonzerne wie Google oder Facebook künftig Daten von EU-Nutzern an die US-Behörden weiterreichen, drohen ihnen Strafen bis zu zwei Prozent des weltweiten Jahresumsatzes. Bis 2014 soll alles unter Dach und Fach sein.

Genau genommen geht um zwei Baustellen: Da ist zum einen der Umgang mit persönlichen Informationen europäischer Bürger außerhalb der Mitgliedstaaten. "Welche Daten liefern eigentlich Unternehmen, die in Europa tätig sind, an andere Staaten außerhalb Europas?", hatte Bundesinnenminister Hans-Peter Friedrich (CSU) gefragt und damit auf verschärfte Regelungen nach der Prism-Affäre gedrängt.

Zum Zweiten will die EU den eigenen Datenschutz reformieren. Die bisherige Richtlinie stammt aus dem Jahre 1995, als das World Wide Web noch in den Kinderschuhen steckte. Reding hatte in ihrem Entwurf vor einem Jahr darauf gedrängt, dass europäische, asiatische oder amerikanische Anbieter künftig ausnahmslos dem EU-Recht unterstehen. Versuche, sich mit Hinweis auf Zentralen in Übersee aus der Verantwortung zu stehlen, soll es nicht länger geben. Außerdem will die Kommissarin erreichen, dass auf Wunsch des Verbrauchers Internet-Dienstleister Daten unwiderruflich löschen müssen. Voreinstellungen auf einer Web-Seite, die ein Kunde versehentlich mitübernimmt, sollen untersagt werden.

Das Ausspähen von Nutzern will Brüssel mit drakonischen Maßnahmen verhindern. Die Wunschliste der Kommissarin löste eine beispiellose "Lobbyschlacht" (Reding) aus. Internet-Unternehmen aus aller Welt kochten EU-Beamte weich, um auch weiter mit persönlichen Daten Geschäfte machen zu können. Bei dem Treffen in Vilnius wurden nun offenbar wichtige Vorarbeiten abgeschlossen, um Datenschutz und Wirtschaft zusammenzubringen. Demnach sollen Namen, Fotos, Kontakte, Einträge in sozialen Netzwerken und die IP-Adressen, mit denen ein Computer im Netzwerk identifizierbar ist, als schützenswerte Daten gelten. Das war bislang ebenso umstritten wie die nach wie vor offene Frage, ob Internet-Firmen ungefragt Cookies auf dem Rechner des Kunden installieren dürfen.

Die Einigung in Vilnius kam überraschend, denn bislang lehnten Großbritannien und andere sogar eine verwässerte Light-Version der Datenschutz-Richtlinie als zu streng ab. Doch unter dem Eindruck der Prism-Affäre gaben sie ihre bisherigen Widerstände auf. Experten sind sich aber noch nicht sicher, ob es wirklich zu einem Kurswechsel kommt. Denn Entscheidungen stehen erst nach der Sommerpause an.