Datenschutz: Erste Strafe verhängt
Die EU-Datenschutzverordnung löste eine Beschwerdeflut aus. Nun hat die Behörde erstmals einen Unternehmer gestraft. Von einer Buße in Millionenhöhe ist man aber weit entfernt.
SALZBURG. Es betrifft das Reisebüro ums Eck genauso wie die Netzgiganten Facebook oder Google: Die Datenschutz-Grundverordnung (DSGVO) gibt EU-Bürgern seit Ende Mai mehr Mitsprache dabei, was Unternehmen mit ihren persönlichen Daten machen. Bei Verstößen sind Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Konzernumsatzes möglich.
Knapp vier Monate nach dem Start hat die österreichische Datenschutzbehörde nun die erste Verwaltungsstrafe verhängt. Betroffen ist ein steirisches Wettlokal, bestätigt der stellvertretende Leiter, Matthias Schmidl. Der Betreiber hatte vor dem Lokal eine Kamera installiert, die den Großteil des Gehsteigs erfasste und unzureichend gekennzeichnet war. „Wir haben dafür keine Rechtsgrundlage im Gesetz gesehen. Eine großflächige Überwachung des öffentlichen Raums ist nicht erlaubt“, begründet Schmidl, warum die Strafe verhängt wurde. Die Höhe fiel allerdings moderat aus: 4800 Euro zuzüglich Verfahrenskosten. Von Millionenstrafen ist man also weit entfernt. „Natürlich sieht das Gesetz hohe Strafen vor, aber sie müssen verhältnismäßig sein. Ich kann einem Beschuldigten, der zum Beispiel ein Jahreseinkommen von 40.000 Euro hat, keine 20-Millionen-Euro-Strafe aufs Auge drücken“, sagt Schmidl. Rechtskräftig ist der Fall noch nicht. Der Betroffene hat die Möglichkeit, in die nächste Instanz zu gehen. Dann wäre das Bundesverwaltungsgericht zuständig.
Die Anzahl der Beschwerden bei der Datenschutzbehörde ist jedenfalls stark gestiegen. Waren es 2017 knapp 500 Fälle, verzeichnete Schmidl seit dem Start der DSGVO im Mai bereits mehr als 720 Beschwerden. Unter anderem melden sich Privatpersonen, die bei einem Unternehmen nicht die gewünschte Auskunft bekommen. In einem Fall etwa gab die Datenschutzbehörde einem Bankkunden recht. Dieser wollte von seiner Hausbank Informationen zu seinen Kontobewegungen der vergangenen fünf Jahre. Die Bank verlangte für den Aufwand 30 Euro an Gebühren. Die Datenschutzbehörde entschied, dass die Bank die Informationen kostenlos zur Verfügung stellen muss.
Im Frühjahr führte das „Schreckgespenst DSGVO“bei vielen Unternehmen zu Unsicherheit. Bei Christian Pauer, Datenschutzbeauftragter der Wirtschaftskammer Salzburg, stand vor dem 25. Mai das Telefon nicht still. „Der große Crash ist aber ausgeblieben. Die Umsetzung ist zwar mit Zeit und Geld verbunden, aber ein Großteil der Unternehmer hat das gut durchführen können“, resümiert er heute.
Bei vielen Klein- und Mittelbetrieben (KMU) herrscht trotzdem noch Ungewissheit, zeigt eine Umfrage des Fachverbands Unternehmensberatung, Buchhaltung und Informationstechnologie (UBIT). „80 Prozent der Betriebe haben die DSGVO gut umgesetzt. Aber es gibt in vielen Bereichen noch keine Rechtssicherheit“, kritisiert Obmann Alfred Harl. „Oft ist nicht klar, was sie wie lange aufbewahren dürfen und müssen, weil Gesetze gegensätzlich ausgelegt werden könnten. Die Judikatur ist nach wie vor sehr dünn.“Vieles müsse erst durch Prozesse geklärt werden.
„Den großen Knall, den jeder befürchtet hat, gab es nicht“, sagt der Salzburger Rechtsanwalt Stephan Kliemstein. „Viele Unternehmer haben es auch zu ernst genommen. Es wurden aus Angst vor Sanktionen Schritte gesetzt, die rechtlich gar nicht erforderlich waren“, sagt er. So wurden Berge an Unterlagen zwischen Betrieben hin- und hergeschickt, um auf Nummer sicher zu gehen. Zahlreiche Unternehmen sind immer noch mit der Umsetzung beschäftigt. „Das wird auch länger so bleiben“, sagt Kliemstein. „Wer glaubt, dass man einmal die Homepage angepasst hat und die Sache damit erledigt ist, der irrt. Die DSGVO ist ein Projekt, das uns noch Jahre beschäftigen wird.“
„Der große Crash ist ausgeblieben.“ Christian Pauer, Datenschutzbeauftragter