26.04.2018 von

Hat Österreich der DSGVO die Zähne gezogen?

Wenige Wochen vor Geltungsbeginn der Datenschutz-Grundverordnung hat der Nationalrat das neue Datenschutzgesetz in vielen Punkten abgeändert. In einem Update zu unserem Videoblog gibt Lukas Feiler einen Überblick, was die Änderungen für Sie bedeuten. 

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler. Der Leiter des Teams für IT-Recht bei Baker McKenzie in Wien ist Autor folgender Bücher zur Datenschutz-Grundverordnung: 

 

Das Interview im Wortlaut

Florian Unterberger: Wenige Wochen vor dem Geltungsbeginn der DSGVO herrscht große Aufregung in den Medien. Es wird behauptet, Österreich habe mit dem „Datenschutz-Deregulierungs-Gesetz 2018“ der DSGVO „die Zähne gezogen“ bzw. den „Datenschutz weichgespült“. Herr Dr. Feiler, was ist passiert?

Lukas Feiler: Schlussendlich hat sich der österreichische Gesetzgeber dafür entschieden, einige Dinge noch nachzuschärfen. So viel, wie jetzt in den Medien berichtet wird, hat sich tatsächlich aber gar nicht geändert. Insbesondere, wenn man berücksichtigt, was für eine Art von Behörde die Datenschutzbehörde schon immer war.

Wenn man es sich also im Detail ansieht: Ja, einige Dinge sind nachgeschärft worden, vieles andere ist absolut gleich geblieben.

Damoklesschwert immaterieller Schadenersatz

Das große Drohpotential der DSGVO lag in der immensen Strafdrohung – 20 Millionen Euro oder vier Prozent des weltweiten jährlichen Umsatzes sollten hier als Strafe möglich sein. Jetzt heißt es: Strafen werden nur noch im Wiederholungsfall verhängt oder wenn das Management diese Verletzung verursacht hat. Was steckt hier dahinter?

Lukas Feiler: Tatsächlich sieht das neue Gesetz vor, dass die Behörde gegen Verstöße primär mit Verwarnungen vorzugehen hat. Freilich hätte das die Behörde – auch ohne dass der Gesetzgeber ihr das gleichsam ins Stammbuch geschrieben hätte – ohnedies getan, schlicht deswegen, weil sie eine Behörde mit relativ beschränkten Kapazitäten von derzeit 28 Mitarbeitern ist. Die Datenschutzbehörde kann daher ohnedies nicht durchs Land reisen und eine Geldbuße nach der anderen verhängen. Insofern hat sich an dieser Stelle in der Praxis nicht wahnsinnig viel geändert.

Ich rate daher jedem Unternehmen, im Bereich der Datenschutz-Compliance dort Schwerpunkte zu setzen, wo es tatsächlich zu Problemen kommen wird. Und in vielen Fällen ist die größte Risikoquelle nicht die Datenschutzbehörde, sondern die Betroffenen selbst.

Sammelklagen weiterhin möglich

Weil diese künftig Schadenersatz geltend machen können – und vor allem auch immateriellen Schadenersatz?

Lukas Feiler: So ist es. An dieser Front hat sich tatsächlich nur in einem Detail etwas geändert. Die grundsätzlich relativ starken Rechte der Betroffenen, die die DSGVO vorsieht, die gibt es weiterhin, einschließlich des Rechts, im Fall einer Datenschutzverletzung auch einen immateriellen Schaden zu verlangen.

Dort, wo der Gesetzgeber ein bisschen nachgeschärft hat, war, dass er es Datenschutzvereinen nicht mehr möglich macht, Schadenersatzansprüche im Namen von Betroffenen geltend zu machen. Das hat aber nach österreichischem Recht keineswegs die Folge, dass Schadenersatzsammelklagen damit ein absoluter Riegel vorgeschoben würde – es gibt nach wie vor Möglichkeiten, dass solche Sammelklagen eingebracht werden.

Lokale Unternehmen benachteiligt

Aber es wird schwieriger?

Lukas Feiler: Es wird für Datenschutzvereine dann schwieriger – und das ist vielleicht der wirklich zu kurz gegriffene Gedanke des Gesetzgebers – wenn das beklagte Unternehmen keine Niederlassung in Österreich hat. Denn dann mangelt es an einem Gerichtsstand, um die Ansprüche aller europaweit Betroffenen in Österreich geltend zu machen. Hat hingegen das Unternehmen einen Gerichtsstand in Österreich, dann sieht die DSGVO sehr wohl eine Klagemöglichkeit vor. Insofern gereicht diese Änderung im Ergebnis ausländischen Unternehmen sehr zum Vorteil, österreichischen Unternehmen hingegen nicht im selben Maße.

Novelle bringt Doppelbestrafungsverbot

Kehren wir noch einmal zu den Strafen zurück: Wenn ich es richtig verstanden habe, wird es künftig so sein, dass es eine Art Doppelbestrafungsverbot gibt. Wenn eine Verwaltungsbehörde im selben Zusammenhang bereits eine Strafe erlassen hat, dann kann die Datenschutzbehörde keine Bestrafung mehr nach der DSGVO vornehmen. Wird das nicht dazu führen, dass Unternehmen automatisch sehr kreativ werden und im Anlassfall schnell irgendein Bagatelldelikt erfinden?

Lukas Feiler: Das ist praktisch gesprochen ganz, ganz schwer denkbar. Dass man andere Delikte erfindet und sich wegen dieser abstrafen lässt, um so einem Datenschutzverstoß zu entgehen, wird in der Praxis kaum möglich sein. Der Gesetzgeber stellt hier ohnedies eigentlich nur etwas klar, was nach grundrechtlichen Gesichtspunkten ohnedies gilt, nämlich das Doppelbestrafungsverbot, nicht wegen derselben Sache zweimal bestraft werden zu können. Das wird also in der Praxis ganz selten ein zielführendes Verteidigungsargument sein.

Klarstellung: Wer ist öffentliche Stelle

Mit dieser Konkretisierung bzw. Nachschärfung des Gesetzes wurden jetzt auch sämtliche Behörden – und wenn ich es richtig verstanden habe auch sämtliche ausgegliederte Einrichtungen – ausgenommen. Diese können künftig von der Datenschutzbehörde nicht mehr bestraft werden. Ist das angesichts des Umstandes, dass ja sehr oft gerade Behörden auf den sensibelsten Daten sitzen, tatsächlich eine kluge Strategie?

Lukas Feiler: Tatsächlich sieht die Datenschutz-Grundverordnung bereits vor, dass grundsätzlich keine Geldbußen über Behörden und öffentliche Stellen verhängt werden können. Das erste österreichische Datenschutzgesetz, das die österreichische Rechtslage an die DSGVO angepasst hat, hat deshalb bereits keine Geldbußen für öffentliche Stellen und Behörden vorgesehen.

Das neue Gesetz tut das ebenso wenig, insofern hat sich da nicht unmittelbar etwas geändert. Das neue Gesetz stellt lediglich klar, was denn alles eine öffentliche Stelle ist, weil das die DSGVO nicht regelt. Das Gesetz stellt klar, dass auch eine GmbH, die kraft Gesetz gegründet wurde, davon befreit ist, einem Strafrisiko ausgesetzt zu sein. Nicht umfasst wäre aber beispielsweise ein Unternehmen, das ganz normal im Wirtschaftsverkehr teilnimmt, aber sich quasi zufällig in öffentlicher Hand befindet. Das allein würde noch nicht das Strafrisiko eliminieren.

Hinter der Ausnahme der öffentlichen Hand steckt der Gedanke, dass ja schlussendlich alles aus dem Bundesbudget kommt – eine Finanzierung von der linken in die rechte Tasche helfe niemandem. Das hätte man auch anders sehen und hier einen finanziellen Druck auch auf Behörden erzeugen können. Aber das entspricht halt nicht der österreichischen Rechtstradition, daher hat man sich nicht für diesen Weg entschieden.

Schwammiges Journalistenprivileg

Mit dieser Änderung des Gesetzes sollen jetzt auch Journalisten, Wissenschaftler und Künstler pauschal ausgenommen werden. Ist das eine gut lebbare Formulierung? 

Lukas Feiler: Leider nein. Die Regelung, die der österreichische Gesetzgeber jetzt gewählt hat, ist eine denkbar schwammige. Die DSGVO hat den nationalen Gesetzgeber damit beauftragt, eine Abwägung zwischen dem Grundrecht auf Datenschutz und dem Grundrecht auf Informationsfreiheit und Meinungsäußerungsfreiheit zu finden. Die neue Regelung sagt jetzt, dass im journalistischen Bereich das Datenschutzrecht in jenem Maß zurücktreten müsse, in dem das die Grundrechte erforderlich machen. Aber wo genau die Grenze liegt, sagt uns der Gesetzgeber erst recht nicht und schafft damit keine Rechtssicherheit, die an der Stelle so dringend benötigt worden wäre.

Das heißt: Große Aufgaben für die Judikatur?

Lukas Feiler: Ja – und schlussendlich auch für Unternehmen, die in diesem Bereich tätig sind. Das sind ja nicht nur klassische Medienunternehmen, auch viele Online-Unternehmen haben ein Inhaltsangebot an die Öffentlichkeit. Diese müssen sich jetzt sehr genau überlegen: Wo sind die Grenzen, welche Risiken will man eingehen, wo will man es drauf ankommen lassen und wo geht man lieber auf Nummer sicher?

Videoüberwachung weiter sparsam einsetzen

Auch das Thema Fotos und Videoüberwachung ist jetzt noch einmal präzisiert und angeblich großzügiger gestaltet worden für die jeweiligen Ersteller dieser Medien. Ist das ein Schritt in die richtige Richtung?

Lukas Feiler: Man hat hier an ein paar wenigen Schrauben gedreht und die Videoüberwachung in einem etwas weiteren Ausmaß für zulässig erklärt. Konkret hat man den Halbsatz, dass die Videoüberwachung das gelindeste Mittel sein soll, herausgenommen. Nichtsdestotrotz gebietet der allgemeine Grundsatz der Datensparsamkeit und der Verhältnismäßigkeit natürlich, dass man trotzdem nur dann Videoüberwachung einsetzt, wenn es für die Zwecke, die man verfolgt, erforderlich ist – und nicht einfach nur aus Jux und Tollerei.

Geheimdienste: viel Lärm um Nichts

Große Aufregung herrscht auch beim Thema Spionage: Militärische Geheimdienste sollen auch ausgenommen werden und spannenderweise sogar ausländische Geheimdienste. 

Lukas Feiler: Der österreichische Gesetzgeber hat sich nunmehr dafür entschieden, insbesondere die militärischen Nachrichtendienste, das Abwehramt und das Heeresnachrichtenamt, nicht dem allgemeinen Regime der DSGVO unterzuordnen, sondern jenem Datenschutzregime, das auch für die Polizei gilt. Das ist an sich etwas, was nach der DSGVO absolut zulässig ist und von der grundsätzlichen Wertung her auch nachvollziehbar ist.

Was die ausländischen Geheimdienste anlangt, muss man sagen: Ein ausländischer Staat genießt ohnedies Immunität vor österreichischen Gerichten. Die jetzt im Gesetz enthaltene Regelung, dass auch ausländische Nachrichtendienste dem Regime des Datenschutzrechts der österreichischen Polizei unterliegen, ist daher eine relativ theoretische Angelegenheit.

Gesetzgeber hat große Chance verpasst

Am Schluss noch eine formelle Frage: Die Datenschutz-Grundverordnung ist ja eine Verordnung – ist das Ausmaß, in dem hier Österreich noch nachschärft, tatsächlich noch gedeckt von dem Rahmen, den diese Verordnung hier vorgibt?

Lukas Feiler: Man hat an einigen Stellen sicher die Grenzen ausgereizt, aber grundsätzlich bewegt man sich sehr wohl noch im Rahmen dessen, was die DSGVO vorsieht.

Wirklich bedauerlich aus meiner Sicht ist, dass man diese Änderungen in letzter Minute vornimmt. Man hat zwei Jahre Zeit gehabt, um die österreichische Rechtslage an die DSGVO anzupassen. Es sind sicher einige schwierige Fragen hier zu lösen, aber es gibt keinen Grund, sich diese Regelung bis kurz vor Geltungsbeginn der DSGVO am 25. Mai aufzuheben. Man hätte mit dem ersten Gesetz eine echte Bereinigung durchführen sollen und hätte leicht bei vielen Punkten mehr Rechtssicherheit schaffen können.

Man hat mit dem Datenschutz-Deregulierungs-Gesetz einzelne Dinge schlaglichtartig ein bisschen näher geregelt, aber es gibt sehr viel, was der österreichische Gesetzgeber hier machen hätte können, um für Unternehmen mehr Rechtssicherheit zu schaffen – und diese Gelegenheit hat er sich leider entgehen lassen.

Weiterführende Links

Praktische Umsetzung der DSGVO in 12 Schritten

Zur Videoserie „Die DSGVO in der Praxis“

Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:

Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: „Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster“

Einführung in die Datenschutz-Grundverordnung

Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.