EU-Kommission nimmt österreichische Datenschutzregeln ins Visier
Die Kabinettschefin von Justizkommissarin Věra Jourová berichtet von einer Beschwerde an die Regierung – die weiß von nichts
Wien – Die EU-Kommission hat sich offenbar bereits bei der österreichischen Regierung wegen ihrer nationalen Umsetzung der Datenschutzgrundverordnung (DSGVO) beschwert. Auslöser der Kritik ist eine Passage im Gesetzestext, die der Datenschutzbehörde vorgibt, bei erstmaligen Verstößen Firmen zu beraten, statt sie zu bestrafen. Das sei allerdings nicht im Sinne der EU, betonte Re- nate Nikolay, die Kabinettschefin von Justizkommissarin Věra Jourová, am Wochenende bei einer Veranstaltung in Berlin. „Die möglichen Sanktionen sollen von vornherein schon eine abschreckende Wirkung haben“, kritisierte Nikolay laut dem Technologieportal Heise. Nikolay sagte weiters, das Signal aus Österreich sei „schwierig“, vor allem mit Blick auf den EU-Ratsvorsitz, den das Land ab Juli übernimmt. Die EU-Kommission soll sich in Wien bereits über die Verwässerung der DSGVO beschwert haben, zur Not könnte eine „Intervention“folgen, sagte Nikolay. Ein Sprecher der österreichischen Regierung konnte nicht bestätigen, dass sich die EU-Kommission offiziell beschwert hat. Man sei sicher, dass die nationalen Regelungen konform mit der Datenschutzgrundverordnung seien, hieß es auf eine Anfrage des STANDARD. Die EUKommission erklärte, während der Vorbereitungsphase der Umsetzung mit allen Mitgliedsstaaten in Kontakt gewesen zu sein, „um die korrekte Anwendung der neuen Regeln zu unterstützen“. Ab nun werde die Kommission die Anwendung der Verordnung „in allen Mitgliedstaaten genau beobachten und dort, wo nötig, entsprechend aktiv werden“.
„Gesetze ignorieren müssen“
Aber auch heimische Kritiker sehen das anders. Die Datenschutzorganisation Epicenter Works kritisierte den Gesetzestext bereits kurz nach seinem Beschluss. „Die Aufweichung der DSGVO-Strafen, die Österreich beschlossen hat, ist klar rechtswidrig. Im Konfliktfall zwischen nationalem und Unionsrecht geht in diesem Fall das EU-Recht eindeutig vor. Die Datenschutzbehör- de wird die österreichischen Gesetze also zum Teil ignorieren müssen“, sagt die Juristin Angelika Adensamer.
So sah das auch der EU-Abgeordnete Jan Philipp Albrecht, den der STANDARD nach dem Gesetzesbeschluss über mögliche Konflikte zwischen EU- und nationalem Recht befragte. Albrecht, der die europäischen Datenregeln mitgestaltet hat, sieht den Ball bei der Datenschutzbehörde, die sich an EU-Recht halten muss.
Die Regierung habe „eine riesige Rechtsunsicherheit geschaffen. Unternehmen und Organisationen wissen jetzt schon nicht, ob es nun Strafen gibt oder nicht“, kritisiert Epicenter Works. „Angesichts der bevorstehenden EURatspräsidentschaft Österreichs ist die Botschaft gegenüber den Mitgliedstaaten fatal.“Die Glaubwürdigkeit leide, so die Datenschützer. Die Änderungen an den nationalen Datenschutzregeln, die nun in der Kritik stehen, waren von den Regierungsparteien in letzter Minute eingebracht worden. Am Tag der Abstimmung im Nationalrat hatten ÖVP und FPÖ entscheidende Passagen mit einem Änderungsantrag adaptiert. Der Jurist Max Schrems sprach damals von einem „schwarzen Tag“für den Daten- schutz. Österreich ist mit seinen Änderungen allerdings nicht allein. In Deutschland weichten einige Bundesländer wie Mecklenburg-Vorpommern oder Niedersachsen die Vorgaben auf. Mecklenburg-Vorpommern beschloss etwa, dass die Geldstrafe maximal 50.000 Euro betragen darf. In der Datenschutzgrundverordnung sind jedoch Bußgelder von 20 Millionen Euro oder vier Prozent des globalen Umsatzes vorgesehen.
„Überforderung“
Begründet werden die Abweichungen bei Bußgeldern meist mit dem Schutz kleiner und mittelständischer Unternehmen, die von den neuen EU-Vorgaben „überfordert“sein sollen. In diese Richtung äußerte sich etwa die deutsche Bundeskanzlerin Angela Merkel (CDU).
Renate Nikolay hofft jedoch, dass die Datenschutzbehörden „maßvoll“agieren. So handelt es sich bei den genannten 20 Million Euro eben um einen Höchstbetrag. Die Effekte der Datenschutzgrundverordnung werden weltweit mit Argusaugen beobachtet. Die EU gilt seither als Vorreiterin beim Datenschutz. Zahlreiche Länder wie Brasilien, Südkorea oder Japan wollen nun nachziehen.