Datenschutzrecht: "Nutzer bleiben auf der Strecke"
Dieser Artikel ist älter als ein Jahr!
Mehr Rechte für Nutzer und hohe Strafen für Unternehmen versprach die EU-Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist. Doch sind diese Rechte wirklich durchzusetzen, wenn Firmen sich nicht an die Gesetze halten und mit den Daten von Betroffenen sorglos umgehen, oder diese keine vollständigen Auskünfte erhalten?
Mit diesen Fragen beschäftigt sich die EU-Datenschutzorganisation noyb, die vom Juristen und Facebook-Kläger Max Schrems gegründet wurde. Sie will Betroffenen dabei helfen, ihre Datenschutzrechte durchzusetzen und bringt zu diesem Zweck DSGVO-Beschwerden in EU Mitgliedstaaten ein. Immer wieder auch bei der Datenschutzbehörde in Österreich (DSB).
Viel mehr Fälle
Insgesamt hat die DSB in Österreich im Jahr 2019 1405 Individualbeschwerden von Nutzern bearbeitet - das ist eine Verdreifachung gegenüber dem Vorjahr. Denn im Jahr 2018 waren es lediglich 509 Beschwerden. Personell ist die Behörde mit 36 Personen aufgestellt. Laut Datenschutzbericht (PDF) ist die „Arbeitsbelastung aufgrund der Vervielfachung der Beschwerden sehr hoch“. 828 der Fälle endeten im letzten Jahr mit einem Bescheid, 577 der Fälle wurden eingestellt. Viele Verfahren werden hierbei durch Anwendung einer Bestimmung des österreichischen Datenschutzgesetzes beendet: Beseitigt ein Unternehmen im Laufe des Verfahrens vor der DSB die behauptete Rechtsverletzung, kann die DSB, das Verfahren formlos eistellen oder – falls der Betroffene damit nicht zufrieden ist – per Bescheid abweisen.
Auch eine Beschwerde von noyb gegen den Streaming-Dienst Flimmit wurde vor kurzem, eineinhalb Jahre nach Einbringen der Beschwerde, abgewiesen Die Organisation noyb hatte die Behörde mittels einer Säumnisbeschwerde vor Gericht an das Verfahren erinnern müssen.
Keine Strafen
Die österreichische Videoplattform Flimmit reichte die fehlenden Informationen einer Datenauskunft auf Anfrage der Behörde nach. Damit wurde das Beschwerdeverfahren auch ohne inhaltliche Prüfung beendet. Dem Unternehmen drohen keine Strafen. Diese Praxis ist kein Sonderfall, sondern zieht sich durch alle Datenschutzverfahren in Österreich, die Auskunftsrechte betreffen. Es reicht, wenn Unternehmen die Daten der Betroffenen nachreichen, selbst wenn die dafür vorgesehene gesetzliche Frist weit überschritten worden war.
„Das ist, als ob eine Radarfalle vorher nochmal zum langsamer fahren einladen würde, bevor es eine Strafe setzt“, sagt Marco Blocher, Jurist bei noyb im Gespräch mit der futurezone. „Die Behörde könnte eine Rechtsverletzung feststellen, tut es aber nicht. Diese Praxis gleicht einer Sondereinladung an die Firmen. Wir bezweifeln, dass diese österreichische Regelung mit der DSGVO konform ist.“
Diese sieht in der Regel Strafen vor, wenn Unternehmen mehrfach gegen das Gesetz verstoßen würden. „Das führt auch dazu, dass Unternehmen von Anfang an keine vollständige Auskunft erteilen, sondern erst einmal abwarten, ob eine Beschwerde bei der DSB eingebracht wird. Sie haben nichts zu befürchten“, so Blocher.
Verschleppte Verfahren
Für Nutzer von Online-Diensten ist dies wenig erfreulich. Doch noch unangenehmer ist es, wenn Firmen aus dem Ausland involviert sind. Auch bei Beschwerden gegen Konzerne ohne Niederlassung in Österreich ist die DSB der erste Ansprechpartner. Doch diese Verfahren dauern oft noch viel länger. Noyb hat beispielsweise im Jänner 2019 auch Beschwerden gegen die Streaming-Dienste Netflix oder Amazon Prime eingebracht. In diesen Fällen gibt es nach 1,5 Jahren laut Blocher aber „wenig Fortschritte“.
„Für die Bearbeitung des Verfahrens sind andere Datenschutzbehörden in Europa zuständig. Die lokale Behörde bleibt dabei der Ansprechpartner des Betroffenen. Im Moment verhält sich die Behörde hie sehr passiv. Das ist ein Problem“, schildert Blocher. „Besonders schwierig wird es, wenn die irische Datenschutzbehörde involviert ist“, erklärt der Jurist. Und diese sei in Europa für viele Fälle zuständig - sei es Google, Apple oder Facebook.
"Betroffene bleiben auf der Strecke"
Hier haben Betroffene derzeit „kaum eine Chance, ihre Rechte durchzusetzen. Die Nutzer bleiben auf der Strecke“, sagt Blocher. Der Grund ist, dass das Verfahren der dortigen Behörde extrem kompliziert und langwierig ist. „In Irland liegen Verfahren jahrelang herum, die Behörde ist ein Nadelöhr und zudem hoch intransparent.“
Für Nutzer, die ihre Rechte gegenüber ausländischen Unternehmen durchsetzen wollen, sind das alles in allem keine guten Nachrichten. „Es ist frustrierend“, sagt auch Blocher. „Unternehmen, die viele Daten verarbeiten, sehen nicht die Notwendigkeit, sich an die Gesetze zu halten. Die Rechtsdurchsetzung funktioniert einfach noch nicht.“ Abhilfe schaffen könnte hier laut Blocher etwa eine europäische Datenschutzbehörde, die alle Verfahren verwaltet. Doch dies ist in der Verordnung nicht vorgesehen.
Kommentare