EU's heftigste lovpakke hedder GDPR: Gigantisk Demokratisk PRøvelse

Her er historien bag GDPR - EU's databeskyttelseslov, som nær aldrig var blevet til.

EU's regler for databeskyttelse træder nu i kraft. Lovpakken har været mange år undervejs. (Foto: DADO RUVIC © Scanpix)

Afmagten har presset den unge tysker med de viltre krøller helt tilbage i stolen.

Øjnene bag brilleglassene stirrer ufokuseret ned i papirbunkerne, mens al frustrationen samles i én lavmælt sætning til sidemanden;

- Vi bliver aldrig færdige med det.

Tyskeren er Jan Philipp Albrecht, Europa-parlamentariker for De Grønne, og i en alder af 31 år er han kommet på sit livs udfordring.

Persondata-forordningen

Nu får du nøglerne til dine digitale rettigheder. Bliv klogere på GDPR her.

Se Tema

Han har med titlen af ’rapporteur’ fået ansvaret for at samle Europa-Parlamentets opbakning til de omfattende nye persondataregler, man vil indføre i EU, og på vegne af parlamentet forhandle en løsning igennem med Ministerrådet.

GDPR hedder lovpakken – General Data Protection Regulation.

Men efter endnu et møde med repræsentanterne fra de andre politiske grupper i parlamentet, hvor alt er gået i hårdknude, og afstemningen derfor må skydes, ligner Jan Philipp Albrecht mest af alt en mand, der har lyst til at smide håndklædet i ringen.

Pandoras æske

Det er juli måned 2013, halvandet år efter at Europa-Kommissionen har fremlagt selve lovforslaget, og både i Ministerrådet og i Europa-Parlamentet er uenighederne så store, at arbejdet skrider uendelig langsomt frem.

Det er heller ikke nogen let øvelse, EU-landene har kastet sig ud i.

Alle er enige om, at den rivende digitale udvikling har gjort de gældende regler forældede.

Der er trods alt sket en del på IT-fronten siden 1995, hvor det gældende databeskyttelsesdirektiv er fra.

Men alle er også klar over, at det vil være som Pandoras æske at åbne forhandlinger om nye regler.

Problemstillingerne er komplekse, og alle lande har deres forskellige prioriteter.

For nogle lande som England og Holland, vejer hensynet til virksomhederne og deres konkurrenceevne tungt.

For Tyskland er det borgernes ret til et privatliv uden registrering fremfor alt, og for Danmark er der blandt andet hensynet til sundhedsforskningen, som hviler på årelange indsamlinger fra vores unikke CPR-system.

Uenighederne er mange; hvor høje skal bøderne være for at overtræde loven? Hvor meget samtykke skal borgeren gives og hvordan?

Hvis en amerikansk virksomhed sender data til Kina via en datacentral i EU, skal de så opfylde samme krav? Skal alle virksomheder udpege en dataofficer?

Hvor meget administration kan man pålægge virksomhederne i datasikkerhedens navn?

Hvor vidtrækkende skal retten til at blive slettet være?

EU-rekord: 4000 ændringsforslag

Og så er der selvfølgelig alle lobbyisterne, som oversvømmer Bruxelles og ikke mindst Europa-Parlamentet.

Store virksomheder som Google, Facebook og Yahoo indser hurtigt, at lovgivningen kan få store konsekvenser for dem. Det samme gør alle de mindre erhvervssammenslutninger, borgerrettighedsforkæmpere, advokater og mange mange andre.

Flere af de store internationale it-virksomheder har spillet en rolle i forhandlingerne om de nye databeskyttelsesregler fra EU. (© Scanpix)

Og alle skal have deres stemme hørt.

EU-Kommissionen fremlægger sit forslag i januar 2012, og i marts 2013, da fristen for ændringsforslag udløber, er der tikket næsten 4000 ændringsforslag ind, det største antal i EU’s lovgivningshistorie.

Jan Philipp Albrecht bruger de følgende fire måneder i døgndrift på at få indarbejdet kompromisforslag i den i forvejen omfattende lovtekst, og man forstår hans afmagt, da uenighederne stadig står tårnhøje.

Whistle-blowerens uventede hjælp

Det endelig skub i tingene kommer fra en uventet kant.

I forsommeren 2013 rydder den amerikanske whistle-blower Edward Snowden alverdens forsider med sine læk, som viser, hvordan den amerikanske sikkerhedstjeneste, NSA, opsamler store mængder data om private borgere.

Whistleblower Edward Snowden (Foto: The Guardian © Scanpix)

Data, de blandt andet får adgang til via en bagdør ind i firmaer som Google og Facebook.

I Europa afføder det en bølge af harme og bevidsthed om, at ansvaret for at værne om borgernes datasikkerhed og ret til privatliv nu hviler tungt på de europæiske lovgivere.

Pludselig er alle politiske grupper langt mere medgørlige, og i løbet af ingen tid begynder kompromiserne at falde i hak.

GDPR som film

Hele processen er så vild, at den ligefrem er blevet til dokumentarfilm.

I filmen ’Demokrati – i en datarus’ følger et tysk filmhold Albrecht, retskommissær Vivian Reding og andre centrale spillere i hele processen frem til marts 2014, hvor EU-Parlamentet endelig stemmer hele GDPR-komplekset igennem med overvældende enighed.

Her ser man, hvordan et lettet parlament efter afstemningen klapper og hylder Albrecht med Sisyfos-bedriften, og hvordan han euforisk fortæller én af de andre parlamentariker, at nu kan de få deres liv tilbage.

Men det er nok at tage forskud på glæderne, for der skal gå næsten to års forhandlinger mere, før Ministerrådet og Europa-Parlamentet endelig er enige om en fælles lovtekst i december 2015.

Medlemslandene bliver givet to år til at indstille sig på den nye virkelighed, som skal gælde fra 25. maj 2018.

Langt fra klar

Den dato falder på fredag, men som de seneste måneders skriverier har vist, er det maksimalt en håndfuld eller to af de 28 EU-lande, der når at blive klar med den nationale følgelovgivning.

Jan Philipp Albrecht, som i mellemtiden er blevet 36 år, har stadig ikke fået sit liv tilbage.

Da jeg skriver og efterspørger et interview med ham, kommer der straks et afslag tilbage fra hans kontor med en undskyldning om, at han modtager forespørgsler hver 5. minut fra hele verden.

Fredag er datoen, han har ventet på i mere end 6 år.

- Databeskyttelsen får skarpe tænder nu med nye stærke håndhævelses-regler, skriver Albrecht i en pressemeddelelse, hvor han samtidig ærgrer sig over, at EU-Kommissionen ikke har gjort nok for, at medlemslandene skulle blive klar til datoen.

Underforstået, nu har han brugt dag og nat i flere år på at sikre, at der overhovedet kom nogle regler, nu må de ansvarlige sørge for, at reglerne så også kommer til at virke ordentligt.

Mødet med Zuckerberg

Èn af dem, der allerede har tilkendegivet, at GDPR skaber en ny virkelighed, er Facebook-stifteren Mark Zuckerberg.

Facebookstifter- og direktør, Mark Zuckerberg, skal stille foran Europaparlamentet. Her ses han til en høring i den amerikanske kongres. (Foto: Pablo Martinez Monsivais © Scanpix)

Han har lovet, at Facebook vil indordne sig under reglerne, og i dag møder han op til en diskussion om datasikkerhed med Europa-Parlamentets formænd.

Han gør klogt i at være forberedt til fingerspidserne, for udover kritiske spørgsmål fra gruppeformændene, vil han på podiet også blive mødt af den person, som uden sammenligning ved mest om alle GDPR’s paragraffer og finesser.

En ung tysker med briller og krøllet hår, som uden tvivl stadig har jævnlige mareridt om de 4000 ændringsforslag.