Was das neue Datenschutzrecht brachte
1036 Beschwerden im ersten Jahr. Verwarnen statt strafen, heißt es vorerst in Österreich. In anderen EU-Staaten wird schon kräftiger zugelangt.
Vor etwas mehr als einem Jahr trat die in den europäischen Mitgliedsstaaten unmittelbar wirksame Datenschutzgrundverordnung, kurz DSGVO, in Kraft. Welche Erfahrungen zeigen sich bisher mit diesem neuen Gesetz?
Ein Ziel hatte der europäische Gesetzgeber bereits mit der jahrelangen Debatte darüber erreicht: erhöhte Aufmerksamkeit für das Thema Datenschutz. Zwar existierte in Österreich seit Jahren eine der neuen Rechtslage in vielerlei Hinsicht ähnliche Situation. Dennoch fristete der Datenschutz ein oft unbeachtetes Dasein.
Das Interesse an dem Thema ist inzwischen hoch. Dies zeigt sich nicht nur an den in der Praxis immer häufiger auftretenden datenschutzrechtlichen Anfragen bei Unternehmen, sondern auch an den Zahlen, die die Datenschutzbehörde in ihrem Datenschutzbericht für das Jahr 2018 veröffentlichte: Wurden im Jahr 2017 lediglich 156 Beschwerden eingebracht, waren es im Vorjahr bereits 1036. Diese Beschwerdeverfahren betrafen vornehmlich die Rechte auf Auskunft, Geheimhaltung, Widerspruch und Löschung („Recht auf Vergessenwerden“).
So beantragte beispielsweise eine Person die vollständige Löschung ihrer Bewerberdaten nach einer erfolglosen Bewerbung. Das Unternehmen, bei dem sie sich beworben hatte, lehnte dies zunächst ab. Grund dafür war, dass das Gleichbehandlungsgesetz Bewerbern die Möglichkeit gibt, innerhalb von sechs Monaten Entschädigung wegen einer erlittenen Diskriminierung zu fordern. Das Unternehmen wollte die Daten so lange speichern, um sich im Ernstfall verteidigen zu können. Die Datenschutzbehörde gab dem Unternehmen recht und wies die Beschwerde ab.
In einem anderen Verfahren stellte die Datenschutzbehörde beispielsweise die Verletzung des Rechts auf Geheimhaltung im Zusammenhang mit einem unerbetenen Werbeanruf („Cold Calling“) fest. Zwar war die Telefonnummer im Internet veröffentlicht, diese diente jedoch als Beratungshotline für bedürftige Personen. Da keine Einwilligung bezüglich des Werbeanrufs vorlag, war dieser unzulässig.
Mit der DSGVO ging die Zuständigkeit für Verwaltungsstrafen von den Bezirksverwaltungsbehörden auf die Datenschutzbehörde in Wien über, die bundesweit alle Datenschutzverletzungen behandelt. 2018 wurden 59 Verwaltungsstrafverfahren durchgeführt. Diese betrafen hauptsächlich Bildverarbeitungen bzw. Videoüberwachungen, die nicht den gesetzlichen Vorgaben entsprechen. So dürfen Videoüberwachungsanlagen grundsätzlich nicht den öffentlichen Raum oder Nachbargrundstücke erfassen und müssen geeignet gekennzeichnet sein. Die bisher höchste von der österreichischen Datenschutzbehörde verhängte Geldstrafe beläuft sich auf 5300 Euro. In Österreich wird bisher vor allem auf das Prinzip „Verwarnen statt strafen“gesetzt. In anderen europäischen Staaten fielen Strafen der jeweiligen Datenschutzbehörden mitunter deutlich höher aus. So verhängte beispielsweise die portugiesische Datenschutzbehörde in erster Instanz über einen Krankenhausträger eine Strafe von 400.000 Euro, nachdem Patientendaten nicht ordnungsgemäß geschützt wurden. Die französische Datenschutzbehörde CNIL hat im Jänner 2019 im erstinstanzlichen Verfahren sogar eine Strafe von 50 Millionen Euro über einen Suchmaschinenbetreiber wegen mehrerer Verstöße verhängt. Das ist das bisher höchste bekannte Bußgeld.