Was die Datenschutzregeln in zwei Jahren bewirkt haben
Die Bilanz nach grob 24 Monaten DSGVO: Es gab viel mehr Beschwerden – den Großteil der Strafen kassierte aber nur eine Firma. Und es könnten schon bald neue Datenschutzauflagen kommen.
WIEN. Es ist gar nicht so lang her, da war Datenschutz das Thema schlechthin. Zum Start der DSGVO, der EU-weiten Datenschutzverordnung, war 2018 von einer Zäsur für Österreichs Wirtschaft die Rede. Und von Strafen in Millionenhöhe.
Seit Kurzem ist die DSGVO zwei Jahre alt. Und freilich auch wegen überbordenden Themen wie der Coronakrise scheint Datenschutz ein wenig aus der öffentlichen Debatte verschwunden zu sein. Doch die Bilanz nach mehr als 24 Monaten lässt doch darauf schließen, dass die neuen Regeln – die grob umrissen den Schutz personenbezogener Daten verstärkt haben – einiges bewirken konnten. Allein 2019 seien bei der heimischen Datenschutzbehörde 2102 Beschwerden eingegangen. 2018 waren es noch etwa halb so viel, schildert Andrea Jelinek, Leiterin der Behörde. 2018/2019 seien indessen 38 Geldstrafen und elf Verwarnungen ausgesprochen worden. Und besonders die Strafsumme von 18,1 Millionen lässt auf jene Auswirkungen schließen, die zum Start der DSGVO angenommen wurden.
Doch es lohnt sich ein zweiter Blick auf die Bilanz: Von den 18,1 Millionen fallen allein 18 Millionen auf die Österreichische Post. Sie hatte Daten ihrer Kunden ohne Einwilligung gesammelt, etwa zur Parteiaffinität,
und diese auch an Dritte verkauft. Das heißt: In den ersten eineinhalb Jahren – weitere Daten sind nicht einsehbar – fielen auf andere Österreicher und deren Unternehmen nur Strafen von 106.000 Euro. Die höchste Strafe an eine natürliche Person betrug 10.000 Euro.
War die Angst vor den Auswirkungen der DSGVO also unbegründet? Nein, sagt Michael M. Pachinger, Jurist mit Schwerpunkt Datenschutzund IT-Recht. Die in Aussicht gestellten Strafen hätten die
Firmen wohl sogar besonders motiviert. „Diejenigen Unternehmen, die sich sorgfältig vorbereitet haben, tun sich jetzt leichter.“
Die Strafen seien sowieso nur eines der Kriterien, mit denen sich die Auswirkungen messen ließen, ergänzt Wolfgang Fiala, Geschäftsführer der DSGVO Datenschutz Ziviltechniker GmbH. Er beobachte, „dass die Reaktion der Betroffenen sensibler wird“. In Deutschland sei das Thema jedoch wesentlich größer als in Österreich. Für die SN hat Fiala, der auch Datenschutzbeauftragter der Salzburger Zahnärztekammer
ist, die DSGVO-Kennzahlen Österreichs mit jenen aus Bayern verglichen. Demnach habe es im Freistaat 2019 3643 Beschwerden gegeben – und somit etwa 3,5 Mal so viele wie hierzulande. Bayern hat aber nur eineinhalb Mal so viele Einwohner. Fialas Schluss: „Die Deutschen neigen wohl eher dazu, kleine Polizisten zu sein – also jede Unstimmigkeit zur Beschwerde zu bringen.“Dafür gehe man in Österreich mit Datenschutz noch etwas zu lax um. Nach Fialas Einschätzung nehmen maximal 50 bis 65 Prozent der heimischen Firmen Datenschutz wirklich ernst.
Und wie hat sich die Coronakrise auf die Datenschutzdebatte ausgewirkt? Das Thema sei laut Fiala „zwangsläufig in die zweite Reihe“gerutscht. Denn: „Eine Firma, die nicht weiß, ob sie überlebt, kann nicht noch Personal für Datenschutz einstellen.“Das werde sich aber innerhalb des kommenden halben Jahres wieder einpendeln.
Auf die Entwicklung der Beschwerdefälle habe die Coronakrise indes keine Auswirkung gehabt, sagt Behördenleiterin Jelinek. Freilich habe man aber auf die Krise reagiert und etwa darauf hingewiesen, dass Daten zu Covid-19-Fällen zu den besonders sensiblen zählen.
Allgemein konstatiert Jelinek den heimischen Firmen eine „steile Lernkurve“in Sachen Datenschutz. Dennoch gebe es vorbildliche Unternehmen und andere, die immer noch hinterherhinkten. Und Jelinek ergänzt: „Eines ist klar: Zufrieden bin ich nie, da jeder berechtigte Beschwerdefall einer zu viel ist.“
Und wie geht die Reise in Sachen Datenschutz weiter? In den Unternehmen selbst sollten die Maßnahmen zwei Jahre nach DSGVO-Start gegengeprüft werden, rät Jurist Michael Pachinger. In diesem Zusammenhang verweist er auf den Fairnessgrundsatz. Demnach sollte etwa die Einwilligung zu einem Newsletter in regelmäßigen Abständen erneuert werden. Und auf die Unternehmen könnten auch neue Regeln zukommen: Seit 2017 verhandelt die EU über die E-Privacy-Verordnung, die die Datenschutzvorgaben für digitale Kommunikationswege verschärfen soll. Wann die Verordnung beschlossen wird, ist offen. Dieser Tage kündigte Deutschland aber an, in der aktuellen EU-Ratspräsidentschaft auf eine Einigung hinzuarbeiten.
Parallel setzt sich die EU-Kommission für eine europaweit einheitlichere Umsetzung der DSGVO ein. Andrea Jelinek glaubt gar an ein „global alignment“, also eine weltweite Angleichung. Denn die Fahrt müsse weitergehen: „Wir haben die Reise mit allen Koffern und Rucksäcken ganz gut gemeistert. Jetzt ist es an der Zeit, den Koffern Räder zu verpassen und die Rucksäcke mit Trolleys zu tauschen.“
„Die Lernkurve zu Datenschutz ist eine steile.“