Nach einigem Hin und Her wurde gestern von der Europäischen Kommission der Entwurf der neuen Datenschutzverordnung vorgestellt. Nachdem der Entwurf erst im November für den 25. Januar 2012 angekündigt wurde, hieß es erst vor einigen Tage noch aus inoffiziellen Kreisen, die Vorstellung würde sich um mindestens zwei weitere Monate verschieben. Gestern – noch pünktlich vor dem europäischen Datenschutztag am 28. Januar – stellte Justizkommissarin Viviane Reding nun doch den Entwurf vor. Der 118 Seiten lange Text ist nebst umfangreicher Dokumentation auf der Website der Kommission abrufbar, vorerst nur in englischer Sprache (Update: Der Entwurf ist jetzt auch in deutscher Sprache verfügbar).
Der Entwurf soll die aktuell geltende Datenschutzrichtlinie 95/46/EG ablösen, die weitgehend unverändert seit bald 20 Jahren in Kraft ist und die Grundlage für die nationalen Datenschutzgesetze der einzelnen EU Mitgliedstaaten bildet. Die Datenschutzrichtlinie sollte eine Harmonisierung der einzelstaatlichen Regelungen bewirken – das ist aber nur zum Teil gelungen. Trotz weitgehend gleicher inhaltliche Vorschriften inhaltlicher Vorschriften weiß jedes europaweit tätige Unternehmen aus leidvoller Erfahrung, dass gerade in formaler Hinsicht teilweise signifikante Unterschiede zwischen den Mitgliedsstaaten bestehen – eine detaillierte Beschäftigung mit den jeweiligen einzelstaatlichen Besonderheiten blieb damit unerlässlich. Kritisiert wurde auch, dass die Richtlinie keine befriedigenden Antworten auf die aktuellen Herausforderungen bieten kann, sei es nun Cloud Computing, Social Media oder schlicht auch nur eine handhabbare Datenschutzorganisation innerhalb eines global handelnden Konzerns.
Nun soll es also eine Verordnung richten, die im Gegensatz zur Richtlinie unmittelbar und ohne zwischengeschaltetes nationales Gesetz (und damit auch ohne deutsches BDSG) in jedem Mitgliedstaat Anwendung findet. Schon in früheren Reden hob Reding dabei besonders die Vereinfachung und damit auch Kosteneinsparung hervor, die sich für die Wirtschaft ergeben würde. Durch einheitliche Regelungen zum Datenschutz und eine klare und einfache Regelung der Zuständigkeiten würde es für Unternehmen deutlich einfacher und billiger, sich datenschutzkonform aufzustellen. Während es vor allem auch für den Bürger einfacher werden soll, seine Daten löschen zu lassen (Art. 17), Daten umzuziehen (Art. 18) oder sich an Datenschutzbehörden vor Ort wenden (Art. 73) zu können, wird es für Unternehmen potentiell teurer: Bußgelder, mit denen in Deutschland bislang recht sparsam umgegangen wurde, werden deutlich erhöht. Abhängig vom der Schwere des Verstoßes sind künftig bis zu 2% des weltweiten Umsatzes fällig, wenn die neuen Regel missachtet werden (Art. 79).
Insgesamt bedeutet der Entwurf eine grundlegende Umgestaltung des Datenschutzrechts in Deutschland und der EU. Zeit, sich damit zurecht zu finden ist noch genug, denn vor 2014 dürfte die neue Verordnung kaum in Kraft treten. Bis dahin wird noch viel zu diesem Thema diskutiert und gestritten werden.
Vermutlich ganz unharmonisch.