„Schwarzer Tag für österreichischen Datenschutz“

Ab dem 25. Mai gilt in der EU die neue, strengere Datenschutzgrundverordnung (DSGVO). Die Bundesregierung milderte nun per Abänderungsantrag viele der schärferen Bestimmungen ab. Die Arbeit von Verbraucherverbänden und NGOs werde durch die Maßnahmen stark erschwert, kritisieren Datenschützer. Klagen gegen internationale Konzerne sollen etwa kaum noch möglich sein.

Ab dem 25. Mai gilt im gesamten EU-Raum eine neue Datenschutzverordnung. Sie soll die Rechte der Bürgerinnen und Bürger hinsichtlich der Verwendung ihrer persönlichen Daten stärken und belegt Verstöße gegen den Datenschutz mit hohen Strafen. Vor allem die Aussicht auf diese Strafzahlungen dürfte für Aufruhr bei Wirtschaftstreibenden gesorgt haben, meint die Juristin Beate Gelbmann vom Verein für Konsumenteninformation (VKI).

Verwarnen statt bestrafen

Nun hat die Nationalratsabgeordnete Eva-Maria Himmelbauer (ÖVP) einen Abänderungsantrag eingebracht, der in vielen Bereichen nur Minimalstandards bei der Auslegung der neuen Verordnung vorsieht. Die EU erlaube den Staaten durchaus gewisse Spielräume bei der Umsetzung, argumentiert Himmelbauer gegenüber help.ORF.at. Außerdem habe die Bundesregierung schon vor längerem beschlossen, bei EU-Verordnungen nur noch Minimalvarianten umzusetzen und auf „Gold Plating“, also das bewusste Übererfüllen von EU-Normen, zu verzichten. Betroffene von Datenschutzverstößen könnten aber in jedem Fall Beschwerde bei der Datenschutzkommission einlegen.

Die EU sieht bei Verstößen gegen die Datenschutzverordnung Strafen von bis zu 20 Millionen Euro vor. Gerade für Klein- und Mittelbetriebe sei dies eine überzogene Strafdrohung, so Himmelbauer. Die Datenschutzbehörde solle daher zunächst verwarnen statt zu strafen. Auf Grund der sich ändernden Rechtslage und der damit verbundenen Rechtsunsicherheit solle die Behörde von einer Verwarnung und Beratung Gebrauch machen können, vor allem bei einem erstmaligen Verstoß. Dies stehe im Einklang mit den EU-Vorschriften, so Himmelbauer. Die Datenschutzbehörde könne in weiterer Folge die Schwere der beanstandeten Vergehen prüfen und gegebenenfalls weitere Schritte verhängen.

Spionage am PC

Ralf Hirschberger/dpa

Persönliche Daten sind nicht nur online eine begehrte Währung

Max Schrems: Fast schon eine ungarische Dreistigkeit

Einen schwarzen Tag für den Datenschutz in Österreich attestiert hingegen der Jurist und Datenschützer Max Schrems. Aus seiner Sicht verstößt die Aufforderung der Bundesregierung, dass die unabhängige Datenschutzbehörde nun primär „verwarnen“ soll gegen geltendes EU-Recht: „Das ist schon fast eine ungarische Dreistigkeit“, so Schrems. Für Verbraucherschutzorganisationen wie den VKI und NGOs, wie das von Schrems gegründete Datenschutzzentrum noyb, dürften die Maßnahmen der Regierung nicht ohne Folgen bleiben.

Bisher bekannte sich die Regierung zu dem Grundsatz, dass von Datenschutzverletzungen betroffene Personen Verbände wie den VKI oder noyb damit beauftragen können, ihr Recht auf Schadenersatz geltend zu machen. Somit wäre es möglich geworden, dass Verbrauchervereinigungen und NGOs quasi als Anwalt der betroffenen Konsumenten vor Gericht hätten fungieren können. Da Verbraucher das Recht haben, eventuelle Klagen an Ihrem Wohnsitz einzubringen, wären damit auch große Sammelverfahren gegen Konzerne wie Facebook vor einem österreichischen Gericht möglich geworden. Diese Möglichkeit wurde von der Regierung gestrichen. Wie bisher, müssen Verbraucher nun ihre Klagsrechte vollständig an die Vereinigung abtreten. Eine Hilfskonstruktion, bei der dann der Verein als Kläger auftritt. Die einzelnen Konsumenten verlieren in so einem Fall ihr Klagsrecht, da sie es ja abgetreten haben. Der Verein selbst kann aber nicht mehr vor einem heimischen Gericht klagen, weil das Verfahren dann am zuständigen Gericht der beklagten Partei geführt werden muss.

„Schuss ins Knie für den Wirtschaftsstandort“

Wird also ein internationales Unternehmen geklagt, das in Österreich keinen Firmensitz hat, dann geht der Gerichtsstand verloren. Die Klage kann also nicht in Österreich, sondern muss vor einem internationalen Gericht eingebracht werden. Dies ist für NGO’s wie noyb aus rechtlichen Gründen aber derzeit nicht möglich, da es sich bei noyb um keine anerkannte klagslegitimierte Organisation handelt. Man könne zwar weiterhin problemlos österreichische Unternehmen vor den Kadi zitieren, bei globalen Konzernen, die keinen Sitz in Österreich haben, seien aber die Hände gebunden, kritisiert Schrems. Aus seiner Sicht ist das „ein Schuss ins Knie für den Wirtschaftsstandort“.

Im Gegensatz zu noyb ist der VKI ein klagslegitimierter Verein, könnte also theoretisch auch im Ausland klagen. Dies sei in der Praxis aber eine äußerst mühsame Angelegenheit, sagt VKI-Juristin Gelbmann. Mit der Rechtslage in Deutschland könne man als österreichischer Verbraucherverband durchaus umgehen. Internationale Unternehmen wie Facebook hätten ihre europäische Niederlassung aber in Irland, und die Rechtsdurchsetzung dort habe durchaus ihre Tücken, so Gelbmann.

VKI: Änderungsantrag kam völlig überraschend

Rechtlich dürften viele der beschlossenen Maßnahmen jedenfalls gedeckt sein. So sei etwa das Recht, sich von Verbänden vertreten zu lassen, in Form einer so genannten Öffnungsklausel formuliert. Dies bedeute, dass die Mitgliedstaaten davon Gebrauch machen können, es aber nicht müssen, so Gelbmann.

Der VKI werde in Zukunft jedenfalls genau überlegen müssen, ob er bei Datenschutzangelegenheiten wirksam gegen Unternehmen vorgehen könne, die ihren Firmensitz nicht in Österreich haben. Der Änderungsantrag der Regierung sei für den VKI jedenfalls äußerst überraschend gekommen, so Gelbmann enttäuscht. Man habe bisher gehofft, dass die Reform der DSGVO zu Verbesserungen im österreichischen Daten-und Konsumentenschutz führen würde. Dies sei nun aber keineswegs der Fall.

Paul Urban Blaha, help.ORF.at

Mehr zum Thema: