Netzpolitik
25.04.2018

Heftige Debatte: Neuer Datenschutz im Kreuzfeuer der Kritik

Die österreichische Umsetzung der Datenschutzgrundverordnung wird als zu milde kritisiert. Stimmt nicht, sagt ein Experte. Ein wichtiger Punkt habe jedoch eine fatale Signalwirkung.

Am 25. Mai tritt die Datenschutzgrundverordnung für alle Unternehmen und Institutionen, die in der EU tätig sind, in Kraft. Ziel ist es, personenbezogene Daten besser zu schützen und die Verarbeitung der Daten durch Firmen einheitlicher zu gestalten. Die Umsetzung der DSGVO obliegt jedem EU-Mitgliedsstaat selbst. Österreichs Vorgehen dabei wurde nun in einem Bericht der Webseite Heise.de scharf kritisiert. Die Regierung habe dem DSGVO "die Zähne gezogen", heißt es darin.

Kritikpunkte

Besonders bekrittelt am heimischen Vorgehen wird etwa die weitgehende Verschonung von Unternehmen vor umfangreichen Strafen. Durch eine Novelle des Datenschutzgesetzes sei es Firmen etwa möglich, geringe Strafen von Verwaltungsbehörden in Kauf zu nehmen, um daraufhin nicht mehr von der Datenschutzbehörde für Datenschutzvergehen bestraft werden zu können. Außerdem sehe die österreichische Regelung Straffreiheit für Militär, Geheimdienste (auch ausländische), Behörden und sonstige öffentliche Stellen vor. Gemeinnützige Organisationen, die Unternehmen wegen Datenschutzverletzungen klagen, dürften andererseits keinen Schadenersatz verlangen.

Verhältnismäßiges Vorgehen

Diese Darstellung ist laut Axel Anderl, Managing Partner und Leiter des IT/IP Department der Kanzlei DORDA Rechtsanwälte, überzogen. "Was Österreich macht, ist keine Verharmlosung", meint Anderl. "Unternehmen müssen das DSGVO ernst nehmen, aber man kann nicht ab 25. Mai plötzlich Millionenstrafen bei geringen Vergehen verhängen." Die EU habe bei der Formulierung des Gesetzes stets vorgesehen, dass bei Vergehen verhältnismäßig vorgegangen wird. Gerade zu Beginn der Umsetzung sollten Ermahnungen in den meisten Fällen ausreichen und eine Strafe das letzte Mittel sein. Ernste Verstöße werden aber geahndet werden, ist Anderl überzeugt.

Mahnen statt strafen

"Das wird ähnlich wie im Straßenverkehr ablaufen. Der Polizist hat die Möglichkeit, je nach Schwere eines Deliktes zu verwarnen statt zu bestrafen." Ein genaues Einordnungssystem gebe es beim Datenschutz nicht. Bei jedem Verstoß werde sich die Datenschutzbehörde ansehen, ob er mit Vorsatz oder aus Fahrlässigkeit begangen wurde, wie ernst das Unternehmen den Datenschutz bislang nahm und welche Auswirkungen der Verstoß hat. Ausschlaggebend sei auch die Anzahl an Betroffenen und welche Art von Daten von dem Verstoß betroffen waren. Besonders geschützte Kategorien seien etwa Gesundheitsdaten, politische Gesinnung oder ethnische Herkunft von Personen.

Die EU habe den Mitgliedsstaaten laut Anderl bei der Umsetzung der DSGVO absichtlich bewusst ein Set an unterschiedlich strengen Maßnahmen zur Verfügung gestellt, um im jeweiligen Einzelfall behutsam vorgehen zu können. "Das ist ein bewusstes Ermöglichen eines Vorgehens mit Augenmaß. Wenn man einen massiven, systematischen und vor allem vorsätzlichen Missbrauchsfall hat, wird das wohl eine entsprechende Reaktion auslösen. Da wird man strenge Strafen aussprechen."

Hysterie nicht gerechtfertigt

Die Strafen, die in der DSGVO vorgesehen sind, hätten sich immer an Datenschutzverletzungen durch große Online-Konzerne, etwa Social-Media-Anbieter, orientiert. Kleine und mittelgroße Unternehmen (KMU) würde man mit Strafen bis zu 20 Millionen Euro wohl in den Ruin treiben. Das war jedoch nie beabsichtigt und wird in der Schärfe nicht verhängt werden. Es ging beim neuen System laut Anderl nie darum, ein Unternehmen zu Tode zu pönalisieren. Damit sei weder die große Hysterie vor Millionenstrafen, aber auch die Verharmlosung nicht gerechtfertigt.

Nonexistentes Schlupfloch

Dass Unternehmen Strafen wegen Datenschutzvergehen entgehen könnten, indem sie Verwaltungsstrafen in Kauf nehmen, glaubt Anderl nicht. "Es gibt das Prinzip des Verbots der Doppelbestrafung. Das gilt aber grundsätzlich. Wenn es ein Vergehen gibt, wo auch beispielsweise gegen Gewerberecht verstoßen wird, wird der Datenschutzteil aber nicht aufgehoben. Das sind zwei unterschiedliche Tatbestände, die selbstverständlich separat geahndet werden."

"Schuss ins eigene Knie"

Zum Vorwurf, dass gemeinnützige Organisationen (NGOs) keinen Schadenersatz verlangen dürfen und deswegen um lebenswichtige Einnahmen umfallen, haben wir mit Datenschützer Max Schrems telefoniert. Der Gründer der NGO noyb meint: "Diese Einschränkung ist uns egal. Wir verdienen an solchen Fällen nichts. Viel schlimmer ist, dass die Regierung nun Verbandsklagen gegen ausländische Unternehmen verbietet. Die Regierung hat damit die einzige Möglichkeit, etwas gegen Google und Co. zu unternehmen, beseitigt. Sie hat sich ins eigene Knie geschossen, ohne etwas dafür zu bekommen."

Fatale Vorbildwirkung

Die Straffreiheit für Behörden sieht Axel Anderl aus politischen Gründen sehr kritisch: "Ich halte diese Ausnahme für absolut verunglückt." Aber auch hier halte sich Österreich an die Möglichkeiten, die dem Staat im Rahmen des DSGVO gegeben werden. "Das Problem ist die Signalwirkung. Es ist eine Katastrophe, wenn öffentliche Stellen nicht unter Strafdrohung stehen." Eine Überlegung der EU in diesem Punkt könnte gewesen sein, dass Strafen gegen Behörden am Ende von der Allgemeinheit getragen werden müssten.

"Man sieht jedoch eine negative Auswirkung. Im öffentlichen Bereich ist der Datenschutz oft noch schlechter als im privaten Bereich umgesetzt und auch dort gibt es oft noch gröbere Mängel. Behörden sollten bei Datenschutz eigentlich vorausgehen und die Einhaltung des Datenschutzes wie eine Fahnenstange vor sich hertragen."

Parteipolitik statt Klarstellungen

Kritik am Gesetzgebungsprozess rund um den Datenschutz in Österreich sei laut Anderl völlig berechtigt. Mit dem Sanierungsgesetz soll derzeit im Parlament der nicht mehr notwendige und sinnvolle Verfassungsschutz für Daten juristischer Personen formell beseitigt werden. Am heutigen Mittwoch konnte die Verfassungsmehrheit wegen einer nicht sachgerechten Verknüpfung der potentiellen Zustimmung zur Änderung mit materiefremden Themen nicht erzielt werden. "Die DSGVO betrifft alle Unternehmen. Sie sind gerade im Endspurt ihrer umfangreichen, kostenintensiven DSGVO-Umsetzungsprojekte. Es ist befremdlich, dass sich die Politik hier nicht auf die Sachpolitik konzentriert und die notwendigen Rahmenbedingungen und Klarstellungen schafft, sondern sich in Parteipolitik verstrickt."

"Es wird sich einpendeln"

Sorgen um einen Alleingang Österreichs bei der Umsetzung des DSGVO - insbesondere auch bei den Strafen - müsse man sich schlussendlich keine machen, meint der Experte. "Es wird sich ein einheitlicher Standard über alle Staaten entwickeln", ist er überzeugt. Derzeit stehe man in der Umsetzung der Grundverordnung jedoch erst am Anfang. Bestimmte Institutionen und Vorgaben werden erst nach dem 25.5. gebildet bzw. erteilt. Die Angleichung zwischen Staaten erfolgt dann durch die Abstimmung der Institutionen und der Auslegungshoheit des europäischen Gerichtshofs. "Es wird Skandale geben und Millionenstrafen, Fälle, wo alles klar ist, aber genauso wird es Fälle geben, wo eine Behörde zu streng oder zu mild war. Es wird sich einpendeln."