Hohe Hürden auf dem Weg zum Datenschutz
Ein Jahr DSGVO. Die EU-Datenschutzgrundverordnung gilt seit einem Jahr. Erfahrungen mit der zuständigen Behörde sind ernüchternd.
Am 25. Mai jährte sich das Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) zum ersten Mal. Sie führte zu einem Aufschrei in Österreich und auch Europa. Insbesondere Unternehmen befürchteten Überregulierungen und waren von den drohenden Geldstrafen von bis zu 20 Millionen Euro verunsichert.
Das Fazit nach einem Jahr DSGVO ist aus Sicht des Datenschutzes aber ernüchternd. Das liegt einerseits in den bereits zahlreich diskutierten Aufweichungen der Verordnung im Zuge der Umsetzung. Andererseits ergeben sich, wie man ein Jahr später sieht, gravierende Probleme in der praktischen Handhabung der Verordnung im Beschwerdeverfahren.
Auf Basis der von anwaltlicher Seite geführten Beschwerdeverfahren bei der Datenschutzbehörde konnte man sich des Eindrucks nicht erwehren, dass kein besonderes Interesse daran besteht, belegte Verletzungen des Datenschutzes entsprechend zu prüfen oder gar festzustellen. In den im Juni 2018 eingeleiteten Verfahren wurden umfangreiche und zahlreiche Datenschutzverletzungen geltend gemacht und auch belegt. Eine Hausverwaltung war auffallend leichtfertig mit persönlichen Daten der Bewohner umgegangen.
Es zeigte sich, dass sich die Datenschutzbehörde, statt amtswegig vorzugehen und zu ermitteln, anscheinend besonders darauf konzentrierte, mögliche Mängel in den Beschwerden zu finden. Die Behörde erließ sodann umgehend zahlreiche Mängelbehebungsaufträge, denen auch mit weiteren Eingaben des Beschwerdeführers entsprochen wurde.
Trotz weiterer Eingaben kam es dann im September 2018 zu ersten Zurückweisungen der Beschwerden aus formalen Gründen. Die verbleibenden Beschwerdepunkte wurden von der Datenschutzbehörde sodann aus inhaltlichen Gründen abgewiesen. Auf Basis der für den Beschwerdeführer wenig nachvollziehbaren Zurückweisungen und Abweisungen blieb nichts anderes übrig, als wiederum mit verschiedenen Beschwerden an das Bundesverwaltungsgericht gegen diese Zurückweisungs- und Abweisungsbescheide der Datenschutzbehörde vorzugehen. Mit zwei Urteilen des Bundesverwaltungsgerichts vom April wurden jetzt beide Zurückweisungsbescheide der Datenschutzbehörde ersatzlos behoben.
Beunruhigend in Bezug auf die gegenständlichen Verfahren ist insbesondere die wenig nachvollziehbare Vorgehensweise und Argumentation der Datenschutzbehörde. So hat sie beinahe jeden Punkt der Beschwerden, von der Bezeichnung des als verletzt erachteten Rechts über den zugrunde liegenden Sachverhalt bis hin zur Form der Beschwerde, bemängelt. In diesem Zusammenhang stellt sich die Frage, wie ein nicht anwaltlich vertretener Bürger, wie es wohl vorgesehen wäre, derartige Verfahren allein führen soll.
In den angeführten Verfahren hat der Beschwerdeführer eine Vielzahl von Datenschutzverletzungen jeweils in einer einzigen Beschwerde geltend gemacht. Nachdem immer derselbe Sachverhalt betroffen war, durchaus sinnvoll. Einigermaßen kurios war diesbezüglich aber die Argumentation der Datenschutzbehörde im Mängelbehebungsauftrag.
Die Datenschutzbehörde hat behauptet, dass immer nur jeweils genau eine behauptete Verletzung in einem Recht in einer Beschwerde geltend gemacht werden könne. Demnach hätte man bei z. B. zehn Verletzungen auf Basis desselben Sachverhaltes gemäß Datenschutzbehörde zehn Beschwerden einbringen müssen. Eine in der österreichischen Rechtsordnung praktisch nie anzutreffende Vorgabe, welche sich auch nicht aus dem Gesetz ergibt.
Nicht ohne Grund hat das Bundesverwaltungsgericht im April die Zurückweisungsbescheide der Datenschutzbehörde aufgehoben. Das Bundesverwaltungsgericht hat rechtlich unter anderem klargestellt, dass der „Beschwerdeführer in seinen als Verstöße gegen das DSG und die DSGVO bezeichneten Punkten (. . .) einen Verstoß (. . .) ausdrücklich formuliert und abschließend die Feststellung der entsprechenden Rechtsverletzung begehrt“hat. Es bestanden daher gemäß Bundesverwaltungsgericht „keine Zweifel, dass der Beschwerdeführer eine Verletzung dieser drei ihm in der DSGVO auch eingeräumten Rechte explizit geltend gemacht hat“und „eine Mangelhaftigkeit der Beschwerde in dieser Hinsicht nicht vorliegt“. Das Bundesverwaltungsgericht machte weiters klar: „Da somit der der Entscheidung zugrunde liegende Antrag (wieder) unerledigt ist, wird sich die belangte Behörde nunmehr mit der vom Beschwerdeführer behaupteten Verletzung im Recht auf Geheimhaltung – wie oben beschrieben – auseinanderzusetzen haben.“
Unabhängig von der Beurteilung der angeführten Rechtsfragen ist für einen Rechtsstaat und die Bedeutung des Datenschutzes in Österreich ein Punkt wesentlich relevanter: Wie leicht kann der Durchschnittsbürger Datenschutzverletzungen umfassend prüfen und sanktionieren lassen?
Diesbezüglich muss dem Datenschutz in Österreich wohl eine schlechte Note ausgestellt werden. Hier ist die aus Sicht des Beschwerdeführers sehr problematische Vorgehensweise der Datenschutzbehörde hervorzustreichen. Statt dass Beschwerden umfassend geprüft und vorrangig etwaige Datenschutzverletzungen festgestellt würden, gewinnt man den Eindruck, die Zurückweisung bzw. Abweisung von Beschwerden sei das Mittel erster Wahl. Der Umstand, dass es eines Rechtsanwaltes, immenser Anstrengungen und der Befassung des Bundesverwaltungsgerichtes bedarf, um eine effiziente Verfolgung von Datenschutzverletzungen zu gewährleisten, spricht für sich.
Ausgehend von diesen Erfahrungen mit ersten Verfahren bei der Datenschutzbehörde auf Basis der neuen Rechtslage erscheint es praktisch unmöglich, dass der nicht durch einen Anwalt vertretene und rechtlich in der Regel „unbedarfte“Bürger Rechtsverletzungen bei der Datenschutzbehörde effektiv feststellen und sanktionieren lassen kann. Dies erscheint als ein Missstand in einem funktionierenden Rechtsstaat, da insbesondere die Verfolgung von Datenschutzverletzungen für jeden Bürger – auch ohne Rechtsanwalt – ohne Weiteres und ohne gravierenden Aufwand möglich sein muss.