7 Monate DSGVO – Eine Zwischenbilanz

Die Europäische Datenschutz-Grundverordnung wurde am 25.5.2018 als Verordnung erlassen, was bedeutet, dass alle in Europa wirtschaftstreibenden Unternehmen ihre Anforderungen ab diesem Tag umzusetzen haben. Von außen betrachtet entstand hierzulande jedoch der Eindruck, dass die Suppe wohl nicht so heiß gegessen wie gekocht werde: Die Datenschutzbehörde hatte bis Ende 2018 noch keine schlagzeilenwirksame Strafe verhängt, worin viele Unternehmen den Umstand vermuteten, dass die Behörde den bürokratischen Aufwand der seit Ende Mai eingelangten Fälle unterschätzt hätte. 

Ist dies tatsächlich der Fall? Wird das Thema Datenschutz auch im Jahr 2019 ernst zu nehmen sein? „Unmissverständlich“, wenn man Dr. Andrea Jelinek glaubt, der Leiterin der Österreichischen & Europäischen Datenschutzbehörde und somit ihres Zeichens die oberste Datenschützerin der Europäischen Union: „Wer glaubt, nur jetzt etwas tun zu müssen, hat das Thema nicht verstanden. Der 25. Mai war der Beginn eines neuen Datenschutzregimes, und nicht das Ende! Wir werden uns verschiedenste Fälle anschauen, kleine und große Unternehmen, genauso wie Behörden. Die Möglichkeit, zu strafen, gab es ja auch bisher schon, aber nicht in diesem Ausmaß. Sollte das Vergehen massiv sein, kann und wird auch die Strafe verhältnismäßig und massiv ausfallen. Die wirklich große Änderung wird durch die Erweiterung der Rechte der Betroffenen eintreten.“

7 Monate DSGVO - eine Zwischenbilanz von DataReporter

Wird der Grundsatz „Verwarnen statt strafen“ in Österreich tatsächlich gelebt?

Und tatsächlich mehren sich die ausgesprochenen Strafen in Österreich, genauso wie im benachbarten Bayern, wobei kein Rückschluss auf eine Präferenz der Behörde auszumachen ist, kleinere oder größere Unternehmen stärker ins Visier zu nehmen, wie die folgenden Beispiele belegen: 

  • Der Besitzer eines Kebabstandes, der unzulässigerweise eine Videoüberwachung installiert hatte, wurde mit einer Geldstrafe von 1800 Euro abgemahnt.
  • Der Online-Chatanbieter Knuddels wurde zur Bußgeldzahlung von 20.000 Euro aufgefordert, weil er die Daten seiner Nutzer unverschlüsselt gespeichert hatte. Im September waren die E-Mail-Accounts und Passwörter von 1,9 Millionen Usern aufgetaucht. 
  • Überdies hat die Datenschutzbehörde jüngst eine Geldstrafe von 4.800 Euro gegen den Betreiber eines steirischen Wettlokals verhängt. Die Videoüberwachung war nicht ausreichend gekennzeichnet und hatte einen größeren Teil des öffentlichen Gehsteigs mitaufgezeichnet.

Diese Entscheidungen mögen all jene überraschen, die jüngsten Zeitungsmeldungen geglaubt haben, dass Unternehmen in Österreich im Datenschutz „keine Strafen befürchten“ müssten (gemäß dem Grundsatz „Verwarnen statt strafen“), jedoch auch jene, die geglaubt haben, es träfe nur große Unternehmen. Richtig ist zwar, dass die Behörde insbesondere verwarnen soll (§ 11 DSG), dies aber nur, sofern es angemessen erscheint, nämlich auch unter Berücksichtigung gewisser Kriterien (Art 83 Abs 2 DSGVO) wie

  • einschlägige frühere oder erstmalige Verstöße
  • riskante Verarbeitungsart, sensible Daten, viele Betroffene, hoher Schaden
  • vorsätzlicher oder fahrlässiger Verstoß

Doch auch Großkonzerne sind vor den Strafen der Datenschutzbehörde wohl nicht immun: So wurde kürzlich ein Prüfverfahren gegen die Österreichische Post AG eingeleitet. Hintergrund ist ein Bericht, wonach das Unternehmen Daten ihrer Kunden zur „Parteiaffinität“ ermittelt und zu Werbezwecken monetarisiert hätte. Sollten die Vorwürfe stimmen, wird dies herbe Strafen nach sich ziehen.

Muss Österreich ein EU-Verfahren wegen „Aufweichung der DSGVO“ befürchten?

Die durch die österreichische Bundesregierung vorläufig aufgeweichte Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) könnte zu einem Vertragsverletzungsverfahren in Brüssel führen. Wie Der Standard berichtete, meldete EU-Kommissarin Vera Jourová bereits im Juni 2018 Bedenken an. Justizminister Josef Moser (ÖVP) wurde demnach von den Juristen des Ministeriums darüber informiert, dass die Bedenken der Kommission „aus fachlicher Sicht“ begründet seien.

Die Juristen bestätigen die meisten Kritikpunkte Jourovas mit detaillierten Erläuterungen – genannt werden etwa großzügige Ausnahmen für staatliche Einrichtungen und Journalisten, aber auch das Prinzip „Verwarnen statt strafen“, das Österreich in der Umsetzung der EU-Verordnung angewandt hat, was darin jedoch nicht gedeckt ist: Der Verfassungsdienst im Ministerium sieht die Bedingungen für Geldbußen „abschließend“ formuliert – sie lässt somit keinen Raum für nationale Regelungen und wird langfristig nicht haltbar sein.

Auch wenn es nur eine Frage der Zeit ist, bis auch medienwirksame Strafen diese Entwicklungen zusätzlich befeuern, lassen manche Unternehmen gerade jetzt wertvolle Zeit verstreichen, diese vermeintliche Ruhe vor dem Sturm bestmöglich für sich zu nützen.

Datenschutz ist schon jetzt ein fester Bestandteil des betrieblichen Alltags!

Das Sammeln von Personendaten ist ein fester Bestandteil unserer digitalisierten Welt und wird – gleichsam wie deren Schutz – keine Modeerscheinung der neuen Zeit sein. Im Gegenteil, schon in Kürze wird es – ähnlich wie die Registrierkassenpflicht – aus dem unternehmerischen Alltag nicht mehr wegzudenken sein. Unternehmen sind daher, nicht nur aus ethisch-moralischen Gründen, sehr gut beraten, jedwede notwendigen Vorkehrungen zu treffen, die zum Schutz der betrieblich verarbeiteten Daten beitragen. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.