zurückDatenschutz auf österreichisch - Licht und Schatten

25.05.2018 UPDATE: Wie heise.de berichtet, wird die EU bei Österreich wegen des neuen österr. Gesetzes intervenieren, da Teile des Gesetzes nicht im Sinne der DSGVO sind (diese Meinung teilen wir auch, siehe unten unser "Fazit"). Vor allem die Regelung, dass die Datenschutz-Behörde nicht gleich strafen können soll, widerspricht dem Gedanken der abschreckenden Wirkung.

01.05.2018: Die DSGVO sieht eine ganze Reihe von "Öffnungsklauseln" vor, das sind Punkte, die der lokale Gesetzgeber nutzen kann, um von der DSGVO abweichende (normalerweise verschärfende) Regelungen vorzusehen.

In aller Eile wurde von der österr. Regierung nun das "Datenschutz-Deregulierungsgesetz 2018" beschlossen. Es sieht wichtige Punkte vor, die für KMUs zwar eine Entlastung darstellen - doch einige Punkte sind problematisch.

Wir haben die wichtigsten Neuerungen für Sie zusammengestellt - und aus unserer Sicht kommentiert:

Keine Betroffenen-Rechte für juristische Personen

In Österreich gab es mit dem DSG2000 die einzigartige Situation, dass auch juristische Personen Betroffenen-Rechte (z.B. das Auskunftsrecht) geltend machen konnten. Diese Besonderheit ist in der DSGVO nicht vorgesehen - und nun auch in Österreich seit dem 25. Mai nicht mehr gültig.

Unser Kommentar: Diese Änderung ist EU-konform, damit können also auch in Österreich nur noch natürliche Personen Betroffenen-Rechte geltend machen.

Verwarnungen statt Strafen

Die Datenschutzbehörde soll "bei erstmaligen Verstößen" nur verwarnen und nicht strafen können. Es braucht also kein Unternehmen bei einem erstmaligen Verstoß Angst vor einer Millionenstrafe zu haben.

Unser Kommentar: Es machte sich rasch eine Erleichterung unter vielen KMUs breit, doch diese Bestimmung könnte gegen die DSGVO verstoßen und wieder gekippt werden. Außerdem können Betroffene zivilrechtliche Ansprüche (auch auf immateriellen Schadenersatz) geltend machen und Konkurrenten nach dem UWG vorgehen. Die Strafbestimmung der DSGVO ist somit zwar aufgeweicht worden, aber Unternehmen sollten das Thema nach wie vor ernst nehmen! Denn unklar bleibt derzeit auch, wie das neue Gesetz in der Praxis gehandhabt werden soll, da die Datenschutzbehörde ja weisungsfrei ist. Bei schwerwiegenden Datenschutz-Verletzungen sind höchstwahrscheinlich sehr wohl Strafen zu erwarten (und nicht nur Verwarnungen).

Aufweichung des Auskunftsrechts

Österreichische Unternehmen sollen Auskünfte über personenbezogene Daten verweigern können, wenn dadurch Betriebsgeheimnisse von ihnen selbst oder von Dritten gefährdet sind.

Unser Kommentar: Das ist hochgradig problematisch, denn damit können Unternehmen relativ leicht ein Auskunftsbegehren verweigern - es reicht der Hinweis auf die Wahrung eines Betriebsgeheimnisses. Das muss zwar wohl gut argumentiert werden, doch könnte das in der Praxis eine massive Erschwerung der Auskunftsrechte für die Betroffenen bedeuten. Und außerdem gegen die DSGVO verstoßen.

Behörden können nicht gestraft werden

Alle "öffentliche Stellen" und privatrechtlich agierende Stellen mit "gesetzlichem Auftrag" sind in Österreich von Geldbußen ausgenommen. Das gilt zum Beispiel auch für Krankenhäuser und ähnliche Institutionen: Für Sie gelten zwar auch die Bestimmungen der DSGVO, doch Geldstrafen haben sie keine zu befürchten.

Unser Kommentar: Das war bisher auch schon so üblich, dass Behörden gegen andere Behörden keine Geldstrafen aussprechen (sehr wohl aber Auflagen erteilen) können. Die Erweiterung auf privatrechtlich agierende Stellen ist jedoch nicht unproblematisch - denn die Erfahrung zeigt, dass eine Verpflichtung weniger wichtig genommen wird, wenn keine (Geld-) Strafen drohen.

Sammelklagen werden massiv erschwert

Verbände (wie noyb oder epicenter.works) dürfen keine Österreicher vertreten, wenn das beklagte Unternehmen seinen Sitz außerhalb Österreichs hat. Außerdem können sie nun auch nicht mehr Schadenersatz fordern, wenn sie im Namen von Betroffenen vor Gericht ziehen - das müssen die Betroffenen individuell tun.

Unser Kommentar: Datenschützer Max Schrems bringt es auf den Punkt: "Diese Regierung hat es vollbracht, dass es nun einfacher ist, lokale Unternehmen zu verklagen als Google oder Facebook".

Management-Haftung deutlich reduziert

Für Verstöße, die von Mitarbeitern begangen werden, kann nun nicht das Unternehmen haftbar gemacht werden. Es sei denn, es war das Management darin involviert oder es haben interne Kontrollen nachweislich versagt.

Unser Kommentar: Die Interpretation dieser Regelung wird schwierig. Denn es kann wohl nicht davon ausgegangen werden, dass es jetzt einfach durch Übertragung der Verantwortung auf nachgeordnete Mitarbeiter zu einer völligen Entlastung des Managements kommt, schließlich ist die Aufsichtspflicht ein wesentliches Element der Aufgaben von Vorgesetzten.

Ausnahmen für Kunst, Medien und Wissenschaft und Forschung

Für Medien gibt es nun eine Ausnahme, für sie gelten nicht die gleichen strengen Regeln im Umgang mit personenbezogenen Daten, "soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen".

Unser Kommentar: Das Redaktionsgeheimnis muss bei potenziellen Datenschutzverstößen berücksichtigt werden, das macht durchaus Sinn. Allerdings ist unklar (und problematisch), weshalb Künstler oder Wissenschaftler von Ihren Datenschutz-Pflichten ausgenommen werden sollen. Diese Bestimmung könnte sich allzu sehr als unerwünschter "Freibrief" herausstellen.

Fazit: Licht und Schatten

Die österreichische Regierung hat das heftig kritisierte Datenschutz-Anpassungsgesetz zwar nun repariert, doch ist die Reparatur keineswegs gelungen. Es gibt einige begrüßenswerte Neuerungen, doch allzu viele Bestimmungen sind entweder vage oder problematisch, wenn das Thema Datenschutz in den Unternehmen stärker als bisher verankert werden soll.

Zudem könnten mehrere Bestimmungen gegen die DSGVO verstoßen und deshalb durch den EUGH als unzulässig aufgehoben werden - Rechtssicherheit für österreichische Unternehmen sieht wohl anders aus.