Datenschutzgrundverordnung: Österreich stutzt sich die DSGVO zurecht

Die neue EU-Datenschutzverordnung (DSGVO) sorgt in Europa und Deutschland für viele Diskussionen und Unmut bei Unternehmen. Während die deutsche Regierung die DSGVO in allen Facetten durchsetzt, haben sich die südlichen Nachbarn für einen anderen Weg entschieden und der DSGVO den Biss genommen. Eine typisch österreichische Lösung eben.

Selbst über die Alpen hinweg hat man das Aufatmen der österreichischen Online-Händler noch hören können. Denn das Schreckgespenst DSGVO wurde kurz vor knapp von der österreichischen Regierung zu einem freundlichen Geistlein gemacht, dass nur nett lächelt, statt zu erschrecken.

Wie heise online berichtet, hat die österreichische Regierung bereits letztes Jahr eine Novelle verfasst , mit der das aus dem Jahr 2000 stammende Datenschutzgesetz (DSG) grundlegend verändert wird. Ein Abänderungsantrag zu der Novelle, der diese fast komplett verändert, wurde jetzt von den Nationalratsabgeordneten der Regierungsparteien ÖVP und FPÖ am 20. April beschlossen. Die „unerwarteten Änderungen“ sollen nun zum 25. Mai in Kraft treten.

Bestraft werden nur noch die ganz Dreisten

Doch was genau beinhalten diese neuen Vorschriften zum Datenschutz bzw. wie setzt jetzt Österreich die DSGVO um? Der im Vergleich zu Deutschland wohl größte Unterschied: Es wird kaum Strafen geben. Nur Wiederholungstäter sollen bestraft werden und, so heise, selbst davon gibt es Ausnahmen. So sieht der kurzfristig geschriebene Paragraph 11 eine „Verhältnismäßigkeit“ bei der Anwendung des Strafenkatalogs der DSGVO (Art. 83) vor. Im Änderungsantrag heißt es: „Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“

Wer künftig in Österreich mehr als einmal gegen den Datenschutz verstößt, könnte jedoch mit Strafen belegt werden. Allerdings hat die österreichische Regierung schon vor einem Jahr mit dem Paragrafen 30 DSG festgelegt, dass Unternehmen für „Gesetzesverletzungen untergeordneter Mitarbeiter nicht bestraft werden“. Erst wenn das Management oder eine unternehmensinterne Kontrolleinrichtung „wiederholt“ den Datenschutz verletzt, können Strafen von der Datenschutzbehörde verhängt werden. Was schon gut klingt, wurde durch den Änderungsantrag noch einmal verbessert. Demnach kann die Datenschutzbehörde keine Strafen mehr verhängen, wenn eine andere Verwaltungsbehörde mit einer anderen Verwaltungsstrafe schneller war.

Typisch österreichische Lösung

Für österreichische Unternehmen ist der Änderungsantrag mit den neuen Bestimmungen ein Segen. „Die Frist zur Umsetzung der DSGVO hat in Österreich in den letzten Monaten zu viel Unruhe und Hektik bei Unternehmern gesorgt. Gerade im EPU- (Ein-Personen-Unternehmen) und KMU-Bereich waren sich viele Entscheidungsträger nicht sicher, was zu tun ist“, schätzt Stephan Grad, Managing Director der österreichischen E-Commerce-Beratungs-Agentur A-Commerce ein. Und weiter: „Insgeheim hat man auf eine typisch Österreichische Lösung gehofft, welche nun tatsächlich auch geschaffen wurde. Durch die von der Regierung beschlossene Novelle wird der Grundgedanke einer EU-weit gleichen Regelung weichgespült, ja wenn nicht sogar gänzlich abgeschafft.“ 

Aber wem hilft dies nun? Die neuen Gesetze zum Datenschutz nehmen Unternehmen in Österreich den Druck, die DSGVO umzusetzen. Grad ist jedoch der Meinung, dass gerade im E-Commerce-Umfeld „die Datenschutzgrundverordnung ein durchaus willkommener Anstoß“ war, „um die internen Prozesse im Unternehmen neu zu beleuchten und um zu kontrollieren, ob hier nicht Anpassungen fällig wären“. Am Ende, so Grad, hilft die neue Gesetzesnovelle aber vor allem der Regierung, „ihr Ansehen bei den Unternehmern jeglicher Größe zu verbessern - ob wir uns damit im internationalen Vergleich etwas Gutes getan haben, wird sich zeigen.“

Dürfen die das überhaupt?

Mit Blick auf die Nachbarn stellt sich natürlich der ein oder andere die Frage, warum Deutschland so harte und hohen Strafen beim Datenschutz verhängt. In Deutschland herrscht ein „Grundrecht auf informationelle Selbstbestimmung“, was auch das Bundesverfassungsgericht als hohes Gut ansieht. Seither ist Datenschutz in Deutschland Ausdruck eines der wichtigsten Grundsätze der Verfassung – der Würde des Menschen und des Grundrechtes auf den Schutz der eigenen Persönlichkeit. Deutschland verfügt zudem ohnehin bereits über einen sehr strengen Datenschutz, Bestrebungen diese zu lockern wurden immer wieder im Keim erstickt. Kein Wunder also, das sich Deutschland als Musterschüler bei der Umsetzung der DSGVO hervortut. Allerdings werden die strengen Gesetze bisher kaum überprüft, da die entsprechenden Behörden mit viel zu wenig Personal besetzt sind.

Aber zurück zu Österreich und der Frage, ob die DSGVO dort so umgesetzt werden darf wie geplant. Die Antwort: Ja, sie dürfen. Wie jede EU-Verordnung gibt es auch bei der DSGVO Spielräume. Zwar gelten die Sanktionsvorschriften der DSGVO auch gegenüber Behörden oder öffentlichen Einrichtungen, doch enthält sie eine „Öffnungsklausel, nach der jeder Mitgliedstaat Vorschriften dafür festlegen darf, ob und in welchem Umfang gegen Behörden und öffentliche Stellen Geldbußen verhängt werden können“, so Händlerbund-Rechtsanwältin Yvonne Bachmann.

Auf die Frage, warum Österreich von Strafen für nicht-öffentliche Stellen, also beispielsweise Unternehmen, absieht, gibt sie folgende Erklärung:

„Die Sanktionsvorschriften der DSGVO gelten prinzipiell gegenüber den verantwortlichen Unternehmen. Die DSGVO enthält jedoch auch für sie eine Öffnungsklausel, nach der die Vorschriften über Sanktionen und Maßnahmen – insbesondere für Verstöße, die keiner Geldbuße unterliegen – von den EU-Staaten selbst festgelegt werden dürfen. Auch der Grundsatz der verhältnismäßigen Bestrafung ist kein österreichisches Konstrukt, sondern ist in der DSGVO festgelegt: 'Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen ... für Verstöße ... in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist'.

Jede Aufsichtsbehörde verfügt mit der DSGVO über eine große Bandbreite zahlreicher Maßnahmen, die sie ergreifen kann. Auch die Erwägungsgründe zur DSGVO weisen darauf hin, dass das Zuckerbrot der Peitsche vorzuziehen ist. So soll 'eine gütliche Einigung mit dem Verantwortlichen' erzielt werden und die Behörde erst im Ernstfall 'die gesamte Bandbreite ihrer Befugnisse' wahrnehmen. Auch dann jedoch unter der Prämisse, 'überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden'."

Journalisten, Wissenschaftler und Künstler erhalten Sonderstatus

Und genau von dieser Öffnungsklausel macht Österreich gebrauch und stellt beispielsweise Behörden einen Freifahrtsschein aus, denn diese kommen generell straffrei davon. Egal, was sie mit den Daten machen. In dem neunen Absatz 5 des Paragrafen 30 heißt es: "Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden."

Zudem wurden auch Privilegien für Journalisten, Wissenschaftler und Künstler geschaffen. Wie heise online berichtet, dürfen Journalisten personenbezogene Daten für journalistische Zwecke „verarbeiten und dabei die Kapitel II, III, IV, V, VI, VII und IX der DSGVO ignorieren.“ Ähnliches gilt für wissenschaftliche, künstlerische und literarische Zwecke. Demnach finden ausgewählte Teile der DSGVO keine Anwendung, „soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen". 

Verlierer gibt es immer

Im ersten Augenblick klingt es so, als ob alle von der Neufassung profitieren würden. Das stimmt allerdings nichts. Gemeinnützige Organisationen, die im Auftrag betroffener Bürger Datenschutzverletzungen zur Anzeige bringen wollen, gucken in die finanzielle Röhre. Denn sie dürfen keinen Schadensersatz verlangen und bekommen kein Geld von Prozessfinanzierern. Weiteres „Opfer“ der Neuregelung: Arbeitnehmervertreter. Noch im letzten Jahr wurden diese von der DSGVO ausgenommen, nun müssen sie sich wie alle anderen mit der Datenschutzrichtlinie auseinander setzen.

Wer jetzt allerdings glaubt, dass es den österreichischen Online-Händlern besser ergeht, dem sei folgendes noch mal ins Gedächtnis gerufen: Beim grenzüberschreitenden Handel müssen österreichische Händler, die beispielsweise nach Deutschland verkaufen, immer die Vorgaben des Ziellandes beachten. Sprich: Sie müssen sich an den strengen deutschen Datenschutz halten. Deutsche Händler, die wiederum nach Österreich verkaufen, müssen wahrscheinlich keine sonderlichen Strafen fürchten.