So groß waren die Ambitionen von Viviane Reding, als sie 2012 den ersten Entwurf zur EU-Datenschutzgrundverordnung vorstellte. © Georges Gobet/AFP/Getty Images

Nichtjuristen wird der endgültige Entwurf zur EU-Datenschutzverordnung in etwa so viel Lesevergnügen bereiten wie die Lektüre eines sehr langen Medikamentenbeipackzettels oder der iTunes-Nutzungsbedingungen. Die EU-Bürger, um die es in der Verordnung geht, werden sich nur anhand der gut 200 Seiten (ohne die eigentlich dazugehörige Richtlinie für den Datenschutz der Polizei- und Justizbehörden) kaum zusammenreimen können, was sich in Zukunft für sie ändert. Dafür sorgen Schachtelsätze, komplexe, nicht immer eindeutige Definitionen, Querverweise und zahlreiche Ausnahmen. Insofern ist es ein typischer Gesetzestext, nicht mehr und nicht weniger.

Trotzdem ist es wichtig, dass es ihn nun endlich gibt. Den ersten Entwurf hatte die damalige EU-Grundrechtekommissarin Viviane Reding vor fast vier Jahren vorgestellt. Insbesondere die Mitgliedstaaten und nicht zuletzt die Bundesregierung sorgten dafür, dass er bis heute nicht endgültig verabschiedet ist. Die finale Abstimmung soll im kommenden Januar stattfinden und erst 2018 tritt die Verordnung in Kraft.

Das Internet wird bis dahin ein anderes sein als 2012. Neue Dienste werden populär sein, neue Geschäftsmodelle erfolgreich. Es ist also höchste Zeit, dass zumindest die bisher gültige Richtlinie aus dem Jahr 1995 abgelöst wird, die kaum noch ins digitale Zeitalter passt.

Und zumindest auf dem Papier steckt vieles in der Verordnung, das den Internetnutzern in Europa zugute kommt. Hier nur eine Auswahl:

  • Unternehmen können sich nicht länger ein Land für ihren EU-Hauptsitz aussuchen, in dem die laxesten Datenschutzbestimmungen gelten. Prinzipiell werden sie in der ganzen EU gleich sein.
  • Nutzer bekommen ein ausdrückliches Recht auf die Löschung ihrer Daten, wenn diese nicht länger benötigt werden.
  • Sie müssen jeder Datenverarbeitung, die nicht zum ursprünglich angegebenen Zweck erfolgt, ausdrücklich zustimmen.
  • Wer sich bei Datenschutzbehörden über ein Unternehmen beschweren will, muss das nicht mehr in dem Land tun, in dem es seinen EU-Hauptsitz hat, sondern kann es in seinem Heimatland tun.
  • Unternehmen, die sich nicht an die Vorgaben halten, müssen mit empfindlichen Bußgeldern (bis zu vier Prozent ihres Jahresumsatzes) rechnen.

Die große Frage ist nun, wie praxisnah all das ausfallen wird. Die Ausnahmen und Definitionen werden Unternehmen, Datenschutzbeauftragte und auch Anwälte und Richter noch lange beschäftigen. Neue datenbasierte Dienste werden zeigen, ob die Verordnung genug technikneutral formuliert wurde, um nach 2018 als Leitplanke für die Wirtschaft dienen zu können, und nicht nur als Bremsklotz. Bußgelder gegen Datenschutzsünder werden zeigen, ob die Sanktionsmöglichkeiten wirksam sind oder wertlos.

Die Bürgerrechtler von European Digital Rights (Edri) beklagen bereits, der Kompromiss beinhalte nur noch wenig von Viviane Redings ursprünglichen Ambitionen. Aber das Europa der 28 ist momentan nicht gerade der Musterkontinent der gemeinsamen Ambitionen und Visionen.

Was die Datenschützer beruhigen sollte: Auch die Internetwirtschaft scheint trotz ihrer massiven Lobbybemühungen einigermaßen unglücklich mit dem Verordnungstext. Rund 4.000 Änderungsanträge hatte der Parlamentsberichterstatter Jan Philipp Albrecht abarbeiten müssen, nicht wenige davon enthielten Formulierungsvorschläge von Unternehmen und Verbänden. Selten haben Unternehmen so intensiv und hartnäckig versucht, ein Gesetzesvorhaben in die von ihnen gewünschte Richtung zu lenken.

In den ersten Stellungnahmen vom Bundesverband Digitale Wirtschaft (BVDW) und vom eco – Verband der Internetwirtschaft ist nun dennoch von Überregulierung, Einschränkung der Wettbewerbsfähigkeit und neuen Verpflichtungen die Rede, die Geld und Aufwand kosten. Diese Unzufriedenheit ist aus Verbrauchersicht beruhigend. Sie zeigt, dass Unternehmen sich bisher an einer einseitig zu ihren Gunsten ausgefallenen Rechtslage erfreut haben.