Überraschende Entschärfung

Die neuen Regeln zum EU-Datenschutz (EU-DSGVO) halten Firmen und Organisationen seit Wochen und Monaten auf Trab. Kurz bevor es am 25. Mai mit der Durchsetzung ernst wird, hat Österreich mit einer beträchtlichen Entschärfung der Bestimmungen für Aufsehen gesorgt.

Diese wurde bereits am Freitag im Nationalrat mit Stimmen von ÖVP und FPÖ überraschend beschlossen. Eine Analyse von Heise.de beschreibt zahlreiche Aufweichungen - „Österreich zieht dem neuen Datenschutz die Zähne“, so die Onlineplattform. Und tatsächlich dürfte die Novelle die Wahrscheinlichkeit für Strafen bei Verstößen ganz enorm senken.

Abschreckung wird umschifft

Eigentlich soll die EU-DSGVO Nutzern wieder mehr Kontrolle über ihre Daten geben und ihre Rechte stärken. Für all jene, die personenbezogene Daten verarbeiten, sind deswegen strenge Regeln vorgesehen. Durchaus drakonische Strafen sollten deren Einhaltung sichern. EU-DSGVO-Consultant Sebastian Herget sprach gegenüber ORF.at von einer „schmerzhaften Bewusstseinsbildung“. Doch das könnte nun durch die aufgeweichten Regeln der Regierung umschifft werden.

Das fängt damit an, dass Behörden und öffentliche Einrichtungen bei Verstößen gegen die strengen neuen Datenschutzregeln de facto straffrei bleiben sollen: „Gegen Behörden und öffentliche Stellen“, gegen „Stellen, die im gesetzlichen Auftrag handeln“ und gegen „Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden“, so der neu hinzugefügte Passus.

Verwarnen statt Strafen

Abschreckende Strafen dürften laut der österreichischen Lösung aber auch für Unternehmen oder Organisationen kaum verhängt werden: Die Novelle stellt fest, dass die zuständige Datenschutzbehörde mehr verwarnen denn strafen soll. Die Behörde „wird“ den Strafkatalog der EU-DSGVO „so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird“, so der Text. Tatsächlich geahndet werden sollen nur schwere und wiederholte Verstöße. Die Formulierung des Passus dürfte nicht ganz unproblematisch sein - immerhin ist die Datenschutzbehörde nicht nur weisungsfrei, sie soll auch EU-Recht umsetzen.

Gestraft werden darf außerdem ohnehin nur noch, wenn nicht bereits eine andere Verwaltungsbehörde Bußgelder verhängt hat. Durch diese Regelung könnten Täter auf die geringere Strafe ausweichen. Eigentlich sind bei einem Brechen der EU-DSGVO Bußgelder möglich, die bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes hoch sind. Das zielt freilich auf Großkonzerne ab - auch in der EU-Regelung ist Verhältnismäßigkeit vorgesehen.

Ein heikler Punkt sind auch alte Datensammlungen, die nicht dem neuen Datenschutzrecht entsprechen. Auch hier hakt die Novelle ein: Vor dem 25. Mai getätigte Verstöße sollen nicht unbedingt nach den neuen Regeln bestraft werden. Laut der Novelle soll jene Rechtslage gelten, die „für den Täter in ihrer Gesamtauswirkung günstiger ist“ - und das dürfte wohl in den meisten Fällen die alte sein.

Schlupfloch Betriebsgeheimnis

Ein neu hinzugefügtes Schlupfloch höhlt indes das Auskunftsrecht aus. Eigentlich sieht die EU-DGSVO vor, dass jeder EU-Bürger von jeder Firma die Herausgabe der eigenen Daten verlangen kann. Dazu muss er sich lediglich eindeutig identifizieren können. Mit der Novelle können Unternehmer und Organisation die Herausgabe der Daten aber verweigern, „wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde“ - was vieles offen lässt.

Auch Ausnahmeregelungen, unter anderem für Journalisten, bringt die Novelle. Für sie gelten mehrere Abschnitte der EU-DSGVO nicht, zudem muss die Datenschutzbehörde das Redaktionsgeheimnis achten. Für Künstler, Autoren und Wissenschaftler wurden ebenfalls weit dehnbare Freiräume geschaffen.

Breitseite gegen Datenschützer

Datenschützern wird die Arbeit hingegen enorm erschwert. Für NGOs, darunter Max Schrems’ kürzlich gegründete Datenschutzorganisation noyb, ist die Novelle ein Rückschlag. Denn: Sie sieht nicht vor, dass Verbände Nutzer bei Schadensersatzklagen in Datenschutzcausen vertreten. Die von SPÖ und NEOS geforderte Möglichkeit wurde kurzerhand gestrichen.

Von Schrems kommt herbe Kritik und ein Verweis auf die internationalen Zuständigkeitsregeln bei Klagen gegen globale Konzerne. Weil durch eine Abtretung von Ansprüchen oft der Gerichtsstand in Österreich verloren gehe, seien Klagen dann nur noch im Ausland möglich. Dort seien die Rechte österreichischer Nutzer aber kaum durchzusetzen. Eine Klage gegen österreichische Unternehmen sei hingegen kein Problem. Die ÖVP-FPÖ-Regierung habe es einfacher gemacht, „lokale Unternehmen zu verklagen als Google oder Facebook“.

Vertragsverletzungsverfahren gefordert

Ohnehin stieß die „aus heiterem Himmel“ gekommene Novelle bei Datenschützern auf herbe Kritik. Die Novelle „verwässert den Grundgedanken einer wirklich guten Verordnung“, so die NGO epicenter.works gegenüber ORF.at. Die NGO glaubt, dass die Regierung mit der Novelle den Rahmen des Anpassungsgesetzes gesprengt hat und dass diese dadurch nicht halten werde.

Die EU-DSGVO ist eine Verordnung, keine Richtlinie. Ihr Grundgerüst gilt für alle EU-Staaten, nur Spielräume sind den Ländern gestattet. Epicenter.works wolle sich nun dafür einsetzen, dass die Kommission ein Vertragsverletzungsverfahren einleitet. Nur: Das dauert Jahre.

Zufrieden zeigt man sich hingegen bei der Wirtschaftskammer (WKÖ). Die Novelle bringe „nötige Klarstellungen, die die Rechtssicherheit in der komplexen Sachmaterie Datenschutz wesentlich verbessert“. Zufrieden zeigt man sich vor allem mit der Klarstellung, dass die Bestimmungen nur für natürliche Personen gelten. Auch die Regeln zur Doppelbestrafung, den Verbandsklagen und dem Prinzip „Verwarnen statt Strafen“ begrüßt man. Die Unternehmer könnten sich nun mit voller Kraft auf die Umstellungen konzentrieren.

Links:

• Heise.de-Artikel
• Noyb
• Epicenter.works
• WKÖ