Die österreichische Umsetzung sieht keine Bestrafung für öffentliche Stellen vor. Auch für betroffene Unternehmen gibt es nun erhebliche Aufweichungen.
Wien. In der Theorie sieht die neue Datenschutzverordnung der EU weitreichende Rechte für Verbraucher vor. Datenmissbrauch – wie im jüngsten Skandal um 87 Millionen Facebook-Nutzer, deren Profile für den US-Wahlkampf herangezogen wurden – soll ab dem Inkrafttreten der Verordnung am 25. Mai der Vergangenheit angehören. Doch die österreichische Auslegung der Verordnung lässt erahnen: Allzu viel Optimismus ist nicht angebracht. Die neuen Regeln sollen hierzulande nämlich nur für private Unternehmen gelten; öffentliche und privatrechtlich agierende Stellen mit gesetzlichem Auftrag werden von Geldbußen gänzlich ausgenommen.
So steht es dezidiert in der Umsetzung zum Datenschutzgesetz, das am vergangenen Freitag mit den Stimmen von Türkis-Blau den Nationalrat passierte. Behörden haben also weiter freie Hand im Umgang mit personenbezogenen Daten, ohne eine Bestrafung befürchten zu müssen. Was bereits kritisiert wird, ist mit EU-Recht vereinbar, wie Europarechtler Walter Obwexer im Gespräch mit der „Presse“ erklärt.
Im Grunde sieht die Datenschutzgrundverordnung (DSGVO) der EU zwar eine Vollharmonisierung durch nationales Recht vor – aber es gibt eben sogenannte Öffnungsklauseln, die den Mitgliedstaaten bestimmte Ausnahmen ermöglichen. Dazu gehört auch die Entscheidung, ob gegen öffentliche Stellen Strafen verhängt werden sollen oder nicht.
„Fast ungarische Dreistigkeit“
Eine Aufweichung der Datenschutz-Grundverordnung sieht die österreichische Auslegung aber auch für sehr wohl betroffene private Unternehmen vor. Aktivisten wie Max Schrems kritisieren die Abänderungen durch die heimische Bundesregierung scharf: „Das ist schon fast eine ungarische Dreistigkeit“, betonte er am Mittwoch in einer Aussendung. Die Abänderungen kommen vor allem jenen sammelfreudigen Unternehmen zugute, vor deren Methoden der Verbraucher durch die neue EU-Verordnung eigentlich besser geschützt werden sollte. Die Webseite heise.de, die zuerst über die umstrittene Novelle durch Österreichs Regierung berichtete, resümiert: „Die meisten Verstöße werden straffrei bleiben.“
So legt etwa der in einem von der Bundesregierung eingebrachten Abänderungsantrag hinzugefügte Paragraf elf fest, dass die zuständige Datenschutzbehörde im Sinne der Verhältnismäßigkeit „insbesondere bei erstmaligen Verstößen“ zunächst nur verwarnen soll – anstatt vorgesehene Höchststrafen von 20 Millionen Euro oder vier Prozent des Jahresumsatzes (je nachdem, welcher Wert höher ist) zu verhängen.
Für Obwexer ein kritischer Punkt: Die EU-Verordnung lässt zwar zu, dass ein Mitgliedstaat im Falle von geringfügigen Verstößen nur verwarnt; bei schweren Verstößen aber ist laut EU-Vorgabe jedenfalls eine Geldstrafe fällig – so der Verstoß von einem Unternehmen und nicht von einer Einzelperson begangen wurde.
Ausnahmen für Journalisten
Zudem soll die Datenschutzbehörde ein Unternehmen nur noch belangen dürfen, wenn gegen dieses Unternehmen nicht bereits eine andere Verwaltungsbehörde Bußgelder verhängt hat. „Wenn die Verwaltungsstrafe viel geringer ist als es die Verordnung im betreffenden Fall vorsieht, wäre das unzulässig“, argumentiert der Innsbrucker Europarechtler.
Österreich will die Verordnung auch für die Verarbeitung von Daten, „die zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt“, sowie für Journalisten aufweichen: In diesen Fällen sollen ebenfalls Ausnahmen gelten.
All diese Einschränkungen drohen vom eigentlichen Zweck der EU-Verordnung abzulenken, Unternehmen und Behörden zum maßvolleren Umgang mit persönlichen Daten anzuleiten. Zudem soll jeder Nutzer künftig das Recht eingeräumt bekommen, personenbezogene Daten im Netz – seien sie privater oder beruflicher Natur – löschen zu lassen.
("Die Presse", Print-Ausgabe, 27.04.2018)
