Netzpolitik
26.06.2017

Datenschutz-Verordnung: Umsetzung „besorgniserregend“

Insgesamt zeigen 109 Stellungnahmen zahlreiche Mängel des Datenschutz-Anpassungsgesetzes auf. Darin enthalten sei ein "Freibrief zum Datenmissbrauch" für Behörden.

Die EU hat jahrelang an der Datenschutz-Verordnung gebastelt. Zur Umsetzung werden nationale Gesetze benötigt. Das „Datenschutz-Anpassungsgesetz“ soll nun noch schnell durch den parlamentarischen Prozess gepeitscht werden, obwohl Experten zahlreiche Mängel beklagen: Insgesamt wurden im Begutachtungsprozess 109 Stellungnahmen eingebracht.

"Erhöht Politikverdrossenheit"

Ein Novum bei der Vorgehensweise zum Gesetz ist, dass die Regulierungsvorlage zwei Wochen vor dem Ende der Begutachtungsfrist bereits im Ministerrat beschlossen wurde und der Ausschuss, der sich damit beschäftigen muss, am heutigen Montag - einem Werktag nach dem Ende der Begutachtungsfrist - getagt hat. „Das erschwert es, dass Stellungnahmen von Privatpersonen, NGOs und Vereinen miteinbezogen werden können“, kritisiert etwa der Chaos Computer Club Wien (C3W) in seiner Stellungnahme.

Neben dem C3W findet das auch Facebook-Kläger Max Schrems „äußerst besorgniserregend“. Bei dem Gesetz handle es sich um „ein heikles Ausführungsgesetz eines Grundrechts“, so Schrems. Auch Epicenter.Works kritisiert dieses Vorgehen: „Das ist demokratiepolitisch höchst bedenklich und abzulehnen.“ Der C3W geht sogar noch weiter: „Durch die gewählte Vorgangsweise wird einen weiteren Beitrag zur Erhöhung von Politverdrossenheit und Misstrauen in demokratische Institutionen geleistet.“

Freibrief für Behörden

Neben der scharfen Reaktion im Bezug auf die Vorgehensweise zum Gesetzesbeschluss gibt es aber auch zahlreiche inhaltliche Kritik am Gesetz. Die ARGE Daten ortet darin etwa einen Freibrief zum „Datenmissbrauch für Behörden“. Gesetzlich festgeschrieben werden soll in nämlich die völlige Straffreiheit von Behörden. Für Hans Zeger ist das ein „geradezu absurdes Ansinnen“. "Frei nach dem alten Feudalmotto, eine Behörde kann sich niemals irren, schreibt der Entwurf gleich die generelle Straffreiheit der Behörden fest. Das ist offensichtlich gleichheitswidrig."

Die Datenschutzbehörde darf außerdem laut dem Gesetz nur dann überhaupt aktiv werden, wenn ein „begründeter Verdacht“ vorliegt. Dazu sagt die Behörde selbst in ihrer Stellungnahme: „Das stellt eine Einschränkung im Vergleich zur derzeitigen Rechtslage darf. Die Datenschutzbehörde regt daher an, diese Bestimmung zu überprüfen, da andernfalls routinemäßige Überprüfungen nicht möglich sind.“ Das kritisiert auch der C3W: „Die Einschränkung auf begründete Verdachtsfälle widerspricht dem Datenschutz-Grundgedanken. Die Behörde ist vielmehr von Gesetzeswegen mit einer angemessenen Anzahl stichprobenweiser Überprüfungen zu beauftragen.“ Laut epicenter.works sei das sogar „unionrechtswidrig“.

Ausstattung für Behörde

Kritisiert wird auch, dass das Gesetz keine Regelungen zur finanziellen Bedeckung der Datenschutzbehörde bekommen hat. „Insbesondere geht nicht hervor, ob die Datenschutzbehörde künftig über ein eigenes Budget verfügen soll oder ob dieses vielmehr Teil eines Ressortbudgets sein kann und wird. Im Falle einer eigenständigen Budgetverantwortung müsste behördenintern auch personell für die Erfüllung dieser Aufgabe Vorsorge getroffen werden“, bemängelt die Behörde selbst.

„Zahlreiche Bestimmungen des Entwurfs sind nicht klar genug formuliert, vor allem im Lichte des Spannungsverhältnisses mit dem österreichischen Verfassungsrecht und Verwaltungsstrafrecht. Dies betrifft insbesondere die Bestimmungen für die Verhängung von Geldbußen, was im Hinblick auf das strafrechtliche Bestimmtheitsgebot besonders problematisch ist“, kritisiert etwa epicenter.works.

Vertretungsregelungen unklar

Zusätzlich orten die Experten zahlreiche weitere Problemfelder, wie eine unzulässige Beschränkung des Datenschutzbeauftragten im öffentlichen Bereich, fehlerhafte Durchführungsbestimmungen und unklare Vertretungsregelung von Betroffenen durch Datenschutzorganisationen. Darüber hinaus wurden in den knapp 100 weiteren Stellungnahmen noch zahlreiche weitere Mängel angeführt, unter anderem unklare Regelungen zur Verwendung von Daten für Wissenschaft und Forschung.

Österreich ist bei der Umsetzung der Datenschutz-Grundverordnung reichlich spät dran. Trotz dieser Verspätung ist der Entwurf überraschend unausgegoren, eine Neufassung wäre sinnvoll“, meint Hans Zeger. Für Unternehmen würde das Gesetz, wenn es so kommen würde, „fehlende Rechtssicherheit“ bedeuten. Es sei daher eine „eingehende Überarbeitung des vorliegenden Entwurfs“ zu empfehlen, heißt es seitens epicenter.works.