Das Internet war mal wieder schneller: Eigentlich wollte die zuständige EU-Kommissarin Viviane Reding ihren Entwurf für eine einheitliche europaweite Datenschutzverordnung erst Ende Jänner kurz vor dem Weltwirtschaftsforum in Davos der Öffentlichkeit präsentieren. Doch dann tauchte das Papier vergangene Woche im Netz auf.

"Das ist fundamental, was die EU-Kommission hierin vorschlägt"

Experten bewerten es nach erster Durchsicht positiv: "Das ist fundamental, was die EU-Kommission hierin vorschlägt", sagt Sarah Spiekermann vom Institut für BWL und Wirtschaftsinformatik der WU Wien. "Die Internetnutzer müssen explizit darüber informiert werden, wie ihre Daten verwendet werden und dass sie etwas an Dritte weitergegeben", analysiert die WU-Professorin den 116 Seiten umfassenden Entwurf. Dies darf dann aber nicht in den bekannten unendlich langen, in Juristendeutsch verfassten AGB-Erklärungen erfolgen, sondern in einer für jedermann verständlichen Sprache.

"Damit gibt es erstmals ein wirksames Instrument, um Firmen zum Datenschutz zu zwingen"

Bis zu einer Million Euro oder bis zu fünf Prozent des gesamten Jahresumsatzes soll es Unternehmen künftig kosten, wenn sie etwa ihrer Informationspflicht nicht nachkommen oder gegen die vorgesehenen Bedingungen zur Verarbeitung privater Daten verstoßen. "Damit gibt es erstmals ein wirksames Instrument, um Firmen zum Datenschutz zu zwingen", sagt Spiekermann.

Für sehr begrüßenswert hält die Datenschutzexpertin den proaktiven Ansatz in der europaweit gültigen Verordnung. In Artikel 20 soll "privacy by design" bzw. "by default" festgelegt werden. Das heißt, Unternehmen müssen, schon bevor sie Techniken oder Anwendungen entwickeln, diese auf mögliche Datenschutzkollisionen abklopfen - und nicht erst nach Fertigstellung von den Behörden überprüfen lassen.

Recht auf Datenportabilität

Vorgesehen ist auch ein Recht auf Datenportabilität: Fühlt sich zum Beispiel ein Facebook-Nutzer auf dem Freundesnetzwerk nicht mehr wohl, soll er quasi per Knopfdruck mit seinen Daten auf eine andere Plattform wechseln können. Wie das ebenfalls in dem Entwurf angerissene "Recht auf Vergessen und des Ausradierens" realisiert werden soll, ist noch unklar. "Das ist technisch zwar sicher nicht einfach, aber machbar", ist Spiekermann überzeugt.

Bis die geplanten Datenschutzregeln von den EU-Mitgliedstaaten abgesegnet werden, wird es mindestens noch zwei Jahre dauern. Zeit genug für EU-Rat und Parlament, die Vorlage zu verwässern, befürchtet die Wissenschafterin. Die Daten sammelnde und verwertende Industrie wird gegen das Vorhaben massiv Sturm laufen. Letztere sollten allerdings die Wettbewerbsvorteile bedenken, die der höchste Datenschutzstandard weltweit ihnen bieten kann.

Auch wenn das mehr Geld und Zeit kostet

Doch vor allem gehe es um unser demokratisches Recht auf Selbstbestimmung: "Jeder muss Herr seiner Daten sein dürfen. Dafür müssen wir alle bereit sein, Regeln zu akzeptieren, auch wenn das mehr Geld und Zeit kostet." (Karin Tzschentke, DER STANDARD Printausgabe, 16. 12. 2011)