"Datenschutz wandert aus kleinen Staaten ab"
Mehr Kontrolle der Bürger über ihre Daten, umfassende Informationspflichten bei Datenschutzverstößen und eine Anlaufstelle für Unternehmen und Bürger bei Datenschutzfragen. Der Ende Jänner von Justizkommissarin Viviane Reding vorgestellte Vorschlag für eine neue Datenschutzverordnung in der EU ist ambitioniert und erntete viel Lob. Der Teufel liegt nach Ansicht des Wiener Datenschutzexperten Günther Leissler jedoch im Detail. Der Anwalt bei der Kanzlei Schönherr Rechtsanwälte befürchtet, dass mit den neuen EU-Regeln das Datenschutzniveau in kleineren Ländern sinken könnte.
"Bloßer Briefkasten"
Denn für Unternehmen, die europaweit tätig sind, ist künftig nur die Datenschutzbehörde jenes Landes zuständig, in der das Unternehmen seine Hauptniederlassung hat. Bei Datenschutzverstößen könnten sich Betroffene zwar an die nationale Datenschutzbehörde wenden, diese sei aber nichts anderes als ein "bloßer Briefkasten", der die Beschwerde an die Behörde der Hauptniederlassung des Unternehmens weiterleite, meint Leissler: "Die Musik spielt woanders."
Problematisch sei auch, dass die zuständige Behörde vorab beratend tätig sei und die Datenverwendungen des Unternehmens bereits vorab genehmige, und daher in der Folge grundsätzlich von deren Zulässigkeit ausgehen werde. Werde die Beschwerde abgewiesen, könne der Betroffene zwar die österreichische Behörde ersuchen, Klage gegen die ausländische Behörde zu erheben. Die europäischen Datenschutzbehörden würden aber wohl nicht damit beginnen, einander mit Klagen einzudecken, meint der Anwalt. Darüber hinaus sei auch nicht geklärt, wer das Kostenrisiko eines solchen Verfahrens trage.
Ein Kostenrisiko bringe auch eine in der Verordnung vorgesehene allfällige Klage vor dem nationalen Gericht mit sich. In dem Verordnungsentwurf sei auch völlig ungeregelt, wie nationale Gerichtsentscheidungen im Verhältnis zu gegenläufigen Entscheidungen der Datenschutzbehörde an der Hauptniederlassung des Unternehmens stehen, meint Leissler.
Erleichterungen für kleine und mittlere Unternehmen Auf ein weiteres Problem, das kleineren Ländern mit der geplanten EU-Verordnung drohen könnte, verweist der Datenschutzexperte Christopher Kuner in einem vor kurzem im "Privacy and Security Law Report" veröffentlichten Aufsatz "A Copernical Revolution in European Data Protection Law", in dem Österreich explizit als Beispiel für die Auswirkungen der neuen EU-Datenschutzregeln auf den Datenschutz in kleineren Mitgliedsstaaten genannt wird.
Während große Unternehmen ab 250 Mitarbeitern strengen Richtlinien unterliegen und einen Datenschutzbeauftragten ernennen müssten, seien für Klein- und Mittelunternehmen (KMU) Erleichterungen beim Datenschutz vorgesehen, so Kuner. Gleichzeitig falle die Meldepflicht bei der Datenschutzbehörde weg. In kleineren Ländern, zum Beispiel Österreich, in denen es nur wenige Unternehmen mit mehr als 250 Mitarbeitern gebe, sei die Sorge durchaus berechtigt, dass das Datenschutzniveau sinke, schreibt Kuner in seiner Analyse."Rechtsschutz wandert ab""In Summe wandert der Rechtsschutz von kleineren Mitgliedsstaaten hin zu größeren Staaten ab", warnt Leissler. Staaten wie etwa Großbritannien, Deutschland und Frankreich, in denen viele europaweit arbeitende Konzerne ihren Hauptsitz haben, würden letztlich das Datenschutzniveau für ganz Europa prägen.
"Auf jeden Fall Verbesserung"Die in der geplanten EU-Verordnung vorgeschlagenen Regelungen seien auf jeden Fall eine Verbesserung der derzeitigen Situation, sagt Gregor König von der österreichischen Datenschutzkommission (DSK). Betroffene können Datenschutzvergehen von in der EU tätigen Unternehmen, die in Österreich keinen Sitz haben, künftig auch an die österreichische Behörde richten. "Nach derzeitigem Recht gibt es diese Möglichkeit nicht."
Wie sich das Zusammenspiel der europäischen Datenschutzbehörden gestalten werde, müsse jedoch abgewartet werden. Als "Briefkastenfirma" fühle sich die österreichische Behörde jedenfalls nicht, sagt König.
Erleichterungen für Klein- und Mittelunternehmen (KMU) seien in dem Verordnungsentwurf zwar programmatisch festgeschrieben, sagt König, wie sie konkret aussehen, müsse jedoch noch geklärt werden: "Ich kann mir nicht vorstellen, dass kleine Unternehmen von allen Verpflichtungen befreit werden."
Umsetzung nicht vor 2014Die Datenschutzverordnung der EU soll noch heuer im EU-Rat und vom Europäischen Parlament beschlossen werden. Zwei Jahre danach, also frühestens 2014, wird sie in den EU-Mitgliedsstaaten in Kraft treten. Die neuen Datenschutzregeln bringen zahlreiche Verbesserungen, meint Leissler. "Es sind nur einzelne Bereiche, die problematisch sind", so der Anwalt: "Gerade deshalb besteht aber die Gefahr, dass diese für kleine Mitgliedsstaaten sehr nachteilige Regelungen vielerorts übersehen werden könnten."
- Datenschutz: "Bringen Sie sich ein"
- EU: Datenschutzpläne treffen auf Realität
- Besserer Datenschutz gegen alle Widerstände
- EU sagt Datenkraken den Kampf an