Datenschutz: Warnen statt strafen
LINZ. DSGVO: Begleitgesetz zur EU-Datenschutzverordnung schreibt das Prinzip Warnen statt Geldbußen vor. Ein "Freibrief" sei dies nicht, sagt ein Experte.
Wird der ab 25. Mai geltende, von der EU verschärfte Datenschutz in Österreich doch nicht so heiß gegessen, wie er gekocht worden ist? Im April hat der Nationalrat noch ein nationales Begleitgesetz, das "Datenschutz-Deregulierungsgesetz", beschlossen, das gleichzeitig mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten wird. Die EU-Vorschriften sehen bekanntlich bei Verstößen hohe Geldbußen von bis zu 20 Millionen Euro vor. Was kommt nun auf die Vereine und Klein- und Mittelbetriebe zu? Die OÖN baten den Datenschutzrechtsexperten Michael M. Pachinger, Rechtsanwalt in der Kanzlei SCWP, um eine Einschätzung.
1 Warnen statt strafen: Laut dem neuen Gesetz soll die Datenschutzbehörde die Verhältnismäßigkeit wahren und zunächst von ihrer Verwarnungsfunktion Gebrauch machen. Bei Ersttätern sollen zuerst Verwarnungen bzw. Empfehlungen ausgesprochen werden, erst bei weiteren Verstößen sollen Geldbußen erfolgen. Das stehe im Einklang mit der DSGVO, wo es heißt, Strafen sollen verhältnismäßig, aber auch wirksam und abschreckend sein, sagt Pachinger. "Ich halte das durchaus für DSGVO-konform." Ein "Freibrief" sei dies nicht: Würde ein Ersttäter etwa absichtlich gegen den Datenschutz verstoßen, wären sehr wohl sofort Strafen denkbar. Das Gesetz schaffe Entscheidungsspielraum, an der Weisungsfreiheit der Datenschutzbehörde werde nicht gerüttelt. "Man darf das nicht falsch verstehen. Man sollte sich keinesfalls zurücklehnen und die im Betrieb eingeleiteten Datenschutzmaßnahmen wieder stoppen."
2 Schutz von Betriebs- und Geschäftsgeheimnissen: Unternehmen können das Auskunftsrecht eines Kunden verweigern, wenn dadurch Geheimnisse preisgegeben werden würden. Ist das EU-rechtskonform? "Ja. Die Wahrung von Geschäfts- und Betriebsgeheimnissen steht in einem Erwägungsgrund der DSGVO. Nun wurde dieser vom österreichischen Gesetzgeber ins Datenschutzgesetz aufgenommen. Eine aus meiner Sicht wichtige Klarstellung", sagt Anwalt Pachinger.
3 Keine Doppelbestrafung: Wenn das Unternehmen als juristische Person bereits bestraft wurde, können die handelnden Personen als Organe nicht mehr belangt werden. Zudem wurde ein Rückwirkungsverbot eingeführt: Was vor dem 25. Mai passiert ist, darf nicht nach dem strengeren neuen DSGVO-Regelwerk geahndet werden.
4 Belangte Behörden und öffentliche Stellen (z.B. die Asfinag), die im öffentlichen Auftrag handeln, können nicht mit Geldbußen belegt werden. "Das bedeutet aber nicht, dass diese Stellen der Jurisdiktion durch die Datenschutzbehörde entzogen wären." Es könne sehr wohl zu Verfahren kommen, in denen die Datenschutzbehörde rechtswidriges Verhalten feststellt. Zwar gebe es keine Sanktion, folgenlos ist der bloße Ausspruch der Rechtswidrigkeit aber nicht. Behörden bzw. Vertreter laufen Gefahr, sich einer Haftung auszusetzen, wenn die Verstöße nicht abgestellt werden.
5 "Verbandsklagen": NGOs, vor allem nicht gewinnorientierte Datenschutzorganisationen, können weiterhin "Sammelklagen" gegen Unternehmen einbringen, diese aber nicht auf Schadenersatz richten, sondern beispielsweise nur die Löschung unzulässiger oder die Richtigstellung falscher Daten verlangen.
Dies kritisiert Datenschützer und "Facebook-Kläger" Max Schrems: Eine Prozessfinanzierung werde dadurch massiv erschwert, die von Datenschutzverletzungen Betroffenen müssten somit individuell und auf eigenes Kostenrisiko klagen.
"Unternehmen schätzen die Lage falsch ein"
In drei Wochen tritt die neue Datenschutzgrundverordnung der EU in Kraft und erst 13 Prozent der österreichischen Betriebe haben das gesetzlich geforderte Verarbeitungsverzeichnis ("Welche Kunden- bzw. Mitarbeiterdaten haben wir wie und aus welchem Grund gespeichert?") erstellt. Das geht aus dem im März durchgeführten "Austrian Business Check" des Kreditschutzverbandes aus 1870 hervor. Zugleich aber meinen 68 Prozent der Betriebe, die Vorgaben der DSGVO rechtzeitig bis 25. Mai erfüllen zu können.
Informationsdefizite
"Die Unternehmen schätzen die Lage falsch ein", sagt Ricardo Vybiral, KSV-1870-Vorstand. Viele Betriebe würden "auf niedrigem Niveau starten". Die DSGVO sei ein Kostenthema, "das große Unternehmen bedeutend besser abfedern können als kleine."
30 Prozent der Befragten gaben an, noch immer gar keine Maßnahmen umgesetzt zu haben. Auch der Informationsstand ist "ausbauwürdig": nur 13 Prozent der Befragten halten sich für "sehr gut" informiert, 39 Prozent für "eher gut". 41 Prozent halten sich für "mangelhaft", sieben Prozent für "nicht informiert."
Interessieren Sie sich für dieses Thema?
Mit einem Klick auf das “Merken”-Symbol fügen Sie ein Thema zu Ihrer Merkliste hinzu. Klicken Sie auf den Begriff, um alle Artikel zu einem Thema zu sehen.
Interessieren Sie sich für diesen Ort?
Fügen Sie Orte zu Ihrer Merkliste hinzu und bleiben Sie auf dem Laufenden.
Eine gute Sache, dass alle Parlamentsparteien gemeinsam noch ein nationales Begleitgesetz, das "Datenschutz-Deregulierungsgesetz", beschlossen haben. Eine derartige Überregulierung, wie dieses von der EU geschaffen worden ist, würde das jeweilige Endprodukt, für den Konsumenten nur unnötig verteuern.
Eine Frechheit unserer Regierung wieder vor der Unternehmerlobby zu kuschen!