Etliche Punkte sind noch strittig

In den vergangenen Monaten wurden alle rund 110 Artikel verhandelt. Aber noch nicht alle bis zu Ende. Strittig ist laut Albrecht weiterhin die Frage, wie genau eine Zustimmung der Nutzer zur Datenverarbeitung aussehen muss. Ob es den Firmen beispielsweise erlaubt wird, die Nutzung eines Dienstes an die Zustimmung zu koppeln, die Daten auch für einen anderen Zweck verarbeiten zu dürfen (Artikel 7). Damit wäre beispielsweise zielgenaue Werbung verboten, die auf der Analyse der E-Mail-Kommunikation basiert. Strittig ist weiterhin, in welchen Fällen es betriebliche Datenschutzbeauftragte geben muss (Artikel 35). Während Kommission und Parlament dies von der Unternehmensgröße oder der Zahl der betroffenen Personen abhängig machen, wollte der Ministerrat dazu keine Vorschriften erlassen.

Offen ist zudem noch die Höhe der Sanktionen, die Unternehmen und Behörden bei Verstößen gegen Datenschutzregeln maximal auferlegt werden können. Während das Parlament bis zu 100 Millionen Euro und bis zu fünf Prozent des weltweiten Jahresumsatzes forderte, wollte der Ministerrat dies auf eine Million Euro oder bis zu zwei Prozent des Umsatzes beschränken (Artikel 79).

Parlament hatte bessere Verhandlungsposition

Allem Anschein nach bleibt das Parlament in den Verhandlungen zur Datenschutzreform standhafter als in der Debatte um die Netzneutralität, in der sich der Ministerrat durchsetzen konnte. Für Albrecht hat das mehrere Gründe: Zum einen sei von Anfang an klar gewesen, dass die Reform nicht hinter die Regelungen der bestehenden Richtlinie von 1995 zurückfallen dürfe. Zum anderen sei der Schutz personenbezogener Daten in der Europäischen Grundrechtecharta verankert (Artikel 8). Zudem habe sich die EU-Kommission eher auf die Seite des Parlaments gestellt und ihren Vorschlag aus dem Jahr 2012 verteidigt. Auch wenn Viviane Reding keine Justizkommissarin mehr ist und von Vera Jourova abgelöst wurde.

Was für Nutzer und Unternehmen von entscheidender Bedeutung ist: Künftig gilt der EU-Datenschutz gleichermaßen in allen Mitgliedsländern und für alle Firmen, die ihre Dienste innerhalb der EU anbieten. US-Firmen wie Facebook oder Google können sich daher nicht in der EU das Land herauspicken, das besonders niedrige Standards setzt, um damit solche Firmen anzulocken. Zudem wird es dadurch leichter, gegen einzelne Firmen zu klagen. Betroffene wiederum sollen künftig nur einen Ansprechpartner benötigen (One-Stop-Shop), um sich über Probleme mit dem Datenschutz zu beschweren.

Snowden als entscheidender Faktor

Nicht mehr zur Debatte stehen das geplante Recht auf Löschung von Nutzerdaten (Artikel 17) sowie das Recht auf Datenportabilität (Artikel 18). Letzteres soll es den Verbrauchern ermöglichen, ihre Daten beispielsweise von einem sozialen Netzwerk in ein anderes mitzunehmen. Dazu müssen die Firmen die gespeicherten Daten "in einem interoperablen gängigen elektronischen Format" zur Verfügung stellen.

Bedanken können sich europäische Nutzer für die Reform nicht nur bei Reding und Albrecht. Ihre Wende nahmen die Verhandlungen im Juni 2013, als Medien plötzlich die ersten Enthüllungen über die Spähpraxis US-amerikanischer Geheimdienste publizierten. Edward Snowden brachte neuen Schwung in die festgefahrenen Verhandlungen, die aber weitere zweieinhalb Jahre andauern sollten. Seine Enthüllungen haben gezeigt, dass im Grunde alle Daten an allen möglichen Stellen landen können.

Eine Garantie gegen den Missbrauch von persönlichen Daten kann auch die beste Verordnung nicht bieten. Schließlich steht es jedem Nutzer frei, einer exzessiven Verarbeitung seiner Daten zuzustimmen. Für die meisten Nutzer wird wohl weiterhin entscheidend sein, dass sie bestimmte Dienste nutzen können. Egal, was mit ihren Daten passiert. Im Rausch der Dienste bleibt nicht jeder Nutzer nüchtern.