Was lange währt, wird endlich ... Ansichtssache. Ist der Kompromiss zur Datenschutzgrundverordnung, den EU-Kommission, Ministerrat und EU-Parlament nun gefunden haben, die erhoffte Großreform? Ist er zukunftssicher, stärkt er die Rechte der Verbraucher und gleichzeitig die europäische Internetwirtschaft? Der endgültige Entwurf wurde gerade erst geleakt, die offizielle Veröffentlichung ist für den Mittwochabend angekündigt. Wirtschaft, Politik, Datenschützer und Aktivisten beurteilen die ihnen bisher vorliegende Fassung unterschiedlich. Niko Härting etwa, auf IT- und Internetrecht spezialisierter Anwalt aus Berlin, ist enttäuscht.

ZEIT ONLINE: Herr Härting, EU-Kommission, Ministerrat und EU-Parlament haben sich auf eine Datenschutzgrundverordnung geeinigt, die den Datenschutz in der EU harmonisiert und eine Richtlinie von 1995 ablöst, also aus der Frühzeit des Internets. Es ist eines der wichtigsten Reformvorhaben auf europäischer Ebene – und Sie finden es misslungen. Warum?

Niko Härting: Es ist der EU nicht gelungen, ein internettaugliches Datenschutzrecht zu schaffen. Denn der Entwurf ist den Vorstellungen aus der Zeit vor dem Internet verhaftet. Die bisher gültige Datenschutzrichtlinie ist ja Anfang der neunziger Jahre entstanden, das war noch die Zeit der Großrechner. Die EU glaubt, sie müsse das Datenschutzrecht jetzt nur ein kleines bisschen ergänzen und ihm dann vor allem durch eine starke Bürokratie dazu verhelfen, dass es auch durchgesetzt wird. Im Kern bekommen wir nun ziemlich wenig Neues, Innovatives.

ZEIT ONLINE: Gehen wir mal ein paar Punkte durch. Die Zweckbindung zum Beispiel ist doch eine gute Sache für die EU-Bürger. Wenn jemand ihre Daten für einen anderen als den eigentlich vorgesehenen Zweck verwenden will, müssen sie dem "unmissverständlich" oder "ausdrücklich" zustimmen.

Härting: Den Unterschied zwischen ausdrücklich und unmissverständlich kann ja schon kein normaler Mensch mehr verstehen. Fakt ist: Das wird verkauft als eine Stärkung des Selbstbestimmungsrechts. Aber ich habe mal versucht mir vorzustellen, wie man als Unternehmen noch eine gültige Einwilligung zur Datenverarbeitung bekommen soll. Das ist schwer, es gibt da lauter Hürden. Eine Einwilligung soll zum Beispiel nicht mehr gelten, wenn es ein erhebliches Ungleichgewicht zwischen den Parteien gibt. 

ZEIT ONLINE: Können Sie mir ein Beispiel nennen?

Härting: Nehmen wir Spotify. Da kann von einem Gleichgewicht zwischen mir als Nutzer und dem Unternehmen Spotify überhaupt nicht die Rede sein. Spotify gibt die Konditionen vor und verhandelt nicht mit jedem einzelnen Nutzer über die Datennutzung. Welche Einwilligung auch immer ich da abgebe, sie ist unwirksam, so steht es im letzten mir vorliegenden Verordnungsentwurf. 

ZEIT ONLINE: Müssen also irgendwann die Gerichte klären, was eine wirksame Einwilligung ist? 

Härting: Mit Sicherheit. Das ist ein Paradies für uns Juristen, weil wir ganz viele neue Fragen haben, über die wir uns dann heftig mit den Datenschutzbehörden, untereinander und vor Gericht streiten werden.

ZEIT ONLINE: Welche Öffnungsklauseln und Ausnahmen im Verordnungsentwurf halten Sie sonst noch für problematisch?

Härting: Das Thema Meinungs- und Informationsfreiheit hat man überhaupt nicht behandelt. Hinten in Artikel 80, ganz am Ende der Verordnung, schreibt man herein, das sollten die Mitgliedstaaten regeln. Das heißt, in allen 28 EU-Mitgliedstaaten bekommen wir eine Diskussion darüber, welche Ausnahmevorschriften man auf nationaler Ebene erlassen muss, um zu verhindern, dass zum Beispiel Medien Ärger bekommen, weil sie unter Namensnennung über jemanden berichten. Das ist verrückt. Es wird zur Folge haben, dass wir in Ungarn ganz andere Gesetze haben als in Polen, Italien oder England. Das wäre das Gegenteil von dem, was die Verordnung eigentlich erreichen soll.