Österreich baut beim Datenschutz um
Fast unbemerkt haben ÖVP und FPÖ die Auswirkungen der neuen EU-Datenschutzverordnung abgeschwächt. Die Wirtschaft freut sich, Datenschützer protestieren. Doch müssen Unternehmen nun wirklich keine Strafen mehr fürchten?
WIEN. Bereits am Freitag beschloss das Parlament weitreichende Änderungen des Datenschutzgesetzes. Doch erst Tage später kam die Welle der Empörung. Und zwar auf dem Umweg über Deutschland: Das deutsche Onlinemagazin „Heise“titelte: „Österreich zieht dem neuen Datenschutz die Zähne“– und brachte damit die Welle ins Rollen.
Der Hintergrund: Am 25. Mai wird EU-weit die neue Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Dazu musste das entsprechende österreichische Datenschutzgesetz adaptiert werden. Die Änderungen, die am Freitag mit Stimmen von ÖVP und FPÖ beschlossen wurden, führen dazu, dass der Datenschutz in Österreich merklich lockerer sein wird, als es die EU eigentlich vorsieht. Eine Bestrafung von öffentlichen und privaten Stellen mit gesetzlichem Auftrag ist ebenso wenig vorgesehen wie die Möglichkeit einer Doppelbestrafung durch zwei verschiedene Verwaltungsbehörden. Zudem wurden die Beschränkungen für Videoüberwachung in vielen Punkten gelockert. Und neben Ausnahmen für Medien kamen welche für Spione hinzu – auch für ausländische, wenn diese im Auftrag Österreichs arbeiten. Teilweise waren diese Änderungen schon länger bekannt. Was neu ist und nun kritisiert wird: Das künftige Gesetz rät der Datenschutzbehörde, Unternehmen vorerst abzumahnen, anstatt Strafen auszustellen. Datenschützer sehen darin eine „Verwässerung“der Datenschutz-Grundverordnung.
Auch die Vorgehensweise von ÖVP und FPÖ stört sie. Ursprünglich waren sogar Verfassungsänderungen im Datenschutzbereich vorgesehen. Die notwendige Zweidrittelmehrheit kam aber nicht zustande. Die SPÖ hatte zunächst ihre Unterstützung zugesagt, lehnte die Änderungen dann aber doch ab. Daraufhin erstellten die Regierungsparteien einen neuen Abänderungsantrag, der weitere Lockerungen beinhaltete. Dafür wurden die verfassungsrelevanten Passagen herausgenommen – und der Antrag konnte mit den Stimmen von ÖVP und FPÖ angenommen werden.
Eva-Maria Himmelbauer, Nationalratsabgeordnete der ÖVP, hat den Abänderungsantrag eingebracht. Sie betont, dass es den Regierungsparteien um die kleinen und mittelständischen Unternehmen gehe: „Wir haben das Gesetz nicht aufgeweicht, sondern versucht, den Datenschutz des Einzelnen mit der Rechtssicherheit der Unternehmen in Einklang zu bringen“, sagt Himmelbauer im SN-Gespräch. Vor allem kleine Unternehmer hätten Bedenken zur DSGVO geäußert. Die Änderungen seien im Einklang mit der EU-Verordnung.
Ganz anders sieht das die SPÖ: „Wir stehen jetzt vor der Malaise, dass wir ein neues Grundrecht haben, das der DSGVO widerspricht“, sagt Peter Pointner. Der stellvertretende Klubdirektor und Verfassungsreferent der SPÖ geht davon aus, dass es Probleme mit Brüssel geben werde. Spätestens wenn dem ersten Betroffenen sein DSGVO-Recht aufgrund der nationalen Änderungen verwehrt werde, werde sich der EuGH damit befassen müssen. Auch die SPÖ werde mit Rechtsprofessoren „die Situation genau analysieren und Schritte prüfen“. Deshalb würde Pointner keine Wette annehmen, dass die neuen Bestimmungen ewig halten.
Vor allem die Vorgabe, „insbesondere von Verwarnungen Gebrauch zu machen“, geht der SPÖ zu weit. Die eigentlich in der DSGVO verankerte Abwägung im Einzelfall sei so kaum noch möglich.
Andrea Jelinek, Leiterin der unabhängigen österreichischen Datenschutzbehörde, sieht das anders. Auf SN-Anfrage betont sie, dass man trotz der Neuregelung „jeden Fall als Einzelfall“betrachten werde. Kurios könnte die Situation für Jelinek selbst werden. Läuft alles nach Plan, wird sie ab 25. Mai noch Leiterin des European Data Protection Boards, des neu geschaffenen EU-Gremiums für Datensicherheit – und muss so auf europäischer Ebene anderen Vorgaben folgen als bei ihrer Tätigkeit in Österreich.
Auch für den Salzburger Anwalt und IT-Sachverständigen Peter Harlander ist die Aufregung übertrieben: „Die Datenschutzbehörde kann weiterhin beim ersten Mal eine Strafe verhängen. Das Gesetz rät halt dazu, die Unternehmen beim ersten Mal abzumahnen. Aber ein Freifahrtsschein ist das nicht. Es liegt immer noch im Ermessen der Datenschutzbehörde.“
Über die Änderungen ärgert sich der Salzburger Datenschützer Max Schrems. Er spricht von einem „schwarzen Tag für den Datenschutz“. Wohl auch deshalb, weil ihm künftig die Arbeit erschwert wird: Wenn Verbraucherschutzorganisationen wie jene von Schrems im Namen von einzelnen Betroffenen vor Gericht ziehen, können die Organisationen nun doch keinen Schadenersatz fordern.
Erfreut zeigt sich freilich die Wirtschaftskammer: Durch Beratung und Mahnen statt Strafen würde den Unternehmen die Angst vor hohen Geldbußen genommen, heißt es in einer Aussendung.
Können sich Firmen also nun entspannt zurücklehnen? So einfach sei es nicht, sagt Peter Harlander: „Ein Unternehmen, das sich Mühe beim Datenschutz gibt, muss sich nicht vor hohen Strafen fürchten. Ein Unternehmen, dem Datenschutz egal ist, aber sehr wohl.“
„Wir werden jeden Fall als Einzelfall betrachten.“ Andrea Jelinek, Leiterin Datenschutzbehörde