"Unter dem Strich sind wir mit der Datenschutzverordnung sehr zufrieden", sagt Stefan Brink im Gespräch mit ZEIT ONLINE. Er ist seit 2017 Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg. Der europäische Gesetzgeber habe viele Regelungen aufgenommen, die in Deutschland bereits gültig waren und mit der die Aufsichtsbehörden gute Erfahrungen gesammelt hätten, sagt Brink. So könnten Bürger schon heute kostenlos abfragen, was zum Beispiel Auskunfteien wie die Schufa über sie gespeichert haben, und auch die Löschung nicht benötigter Daten verlangen.

Solche und weitere Rechtsansprüche seien nun auf europäischer Ebene verankert, sagt Brink. Ob sich die Regeln konsequent umsetzen lassen, hänge auch daran, wie viel die Staaten in die Umsetzung investieren. Brinks Behörde hat errechnet, dass Unternehmen und Institutionen in Deutschland bisher nur alle 218 Jahre mit einer Überprüfung zu rechnen haben, da die Datenschutzaufsichtsbehörden zu wenig Personal haben.

Der EU-Abgeordnete Jan Philipp Albrecht, der das Werk wesentlich mitgestaltet hat, ist trotzdem optimistisch: "Andere Staaten sind neidisch auf uns. Der europäische Datenschutzstandard wird gerade zum Weltstandard – einfach nur, weil die Unternehmen ihn global anwenden", sagte der Grünen-Politiker im März.

Bürokratie trifft auf Bürokratie

Doch je näher die Umsetzung rückt, um so mehr Widerstand offenbart sich seitens der Wirtschaft. So hatte Facebook zwar im Zuge der Aufarbeitung des Skandals um Cambridge Analytica die europäischen Regeln gelobt und den Nutzer weltweit einen Schutz wie in Europa versprochen. Doch Mitte April wurde bekannt, dass der Datenkonzern die Nutzerprofile von 1,5 Milliarden Mitgliedern aus Irland abzieht und somit der Geltung des europäischen Rechts entzieht. Kein Wunder: Nach Einschätzung Albrechts kann der neue Strafrahmen für Verstöße gegen die europäischen Datenschutzvorschriften künftig auch für Milliardenkonzerne existenzbedrohend sein.

Und nicht nur für sie, denn die meisten Regeln der Datenschutz-Grundverordnung gelten eben auch für Kleinstbetriebe, ehrenamtlich arbeitende Vereine oder Internetblogger. Zwar müssen Selbständige nicht plötzlich einen Datenschutzbeauftragten anstellen. Bei der Verarbeitung personenbezogener Daten gelten aber im Prinzip die gleichen Grundsätze wie bei Big-Data-Unternehmen. Auch Kindergartenerzieher müssen sich an neuen Datenschutzvorschriften halten, Blogger und Onlineshops müssen ihre Websites anpassen. Dazu gibt es zwar im Internet zahlreiche Leitfäden und Informationsportale, aber eine Unsicherheit bleibt bei Laien bestehen.

Die Kritik an dem Gesetzeswerk kann der Datenschützer Stefan Brink deshalb verstehen. So seien die Dokumentationsvorschriften sehr bürokratisch, gerade für kleinere Betriebe und Vereine. In Verbindung mit der bisher etwas laschen Anwendung des Datenschutzrechts komme die neue Grundverordnung für viele als Schock. Wo früher alle Fünfe gerade gelassen wurden, sehen sich die Verantwortlichen nun in der Pflicht, Datenschutzvorschriften einzuhalten.

Für Unsicherheit sorgt auch, dass bisher nur die Höchststrafen feststehen – mit wie viel bürokratischem Ärger man rechnen muss, wenn die Datenschutzerklärung auf der eigenen Website nicht den gesetzlichen Anforderungen genügt, kann niemand vorhersagen. So verfolgten deutsche Datenschützer bisher einen eher beratenden Ansatz, können künftig aber nicht grundlos auf Bußgelder verzichten. "Es wird wahrscheinlich drei bis fünf Jahre dauern, bis sich hier ein einheitliches Vorgehen eingependelt hat", vermutet Rink. Dabei ist ihm die Macht, einen Weltkonzern in die Knie zu zwingen, selbst nicht geheuer: "Aus unserer Sicht sind die Bußgelder zu hoch."