Österreichs Datenschutz-Deregulierungsgesetz ist keine Aufweichung, sondern folgt der bisherigen Behördenpraxis

Eigentlich ist es ja absurd. Am 24.5.2016 ist die Datenschutzgrundverordnung (kurz: DSGVO) in Kraft getreten (anzuwenden ist sie aber erst ab 25.5.2018). Bis zum November 2017 hat kaum jemand davon Notiz genommen, seit diesem Zeitpunkt aber schaukeln sich die Nachrichten über die möglichen Konsequenzen auf. Dabei überschlagen sich die Medien mit Hiobsbotschaften, was durch die (scheinbare) Neuordnung des Datenschutzes alles passieren wird. Als Resultat darauf senden Unternehmen (fast panisch) an ihre Kunden meist unnötige Aufforderungen, damit diese in die Datenverarbeitung (im Nachhinein) einwilligen – man möchte ja nicht in die Verlegenheit kommen, eine der drohenden exorbitanten Strafen zahlen zu müssen.

Und dann das: Wie ein Lauffeuer verbreitet sich die Nachricht, dass der österreichische Gesetzgeber dem europäischen Datenschutz die Zähne gezogen hätte. Die Frage ist nur: stimmt das?

Verwarnen statt Strafen

Von Anfang an: Die DSGVO sieht bei Verstößen Strafen vor, die "wirksam, verhältnismäßig und abschreckend" sein müssen, wobei die Strafhöhe bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes betragen kann.

Am 20.4.2018 zog der Gesetzgeber mit dem "Datenschutz-Deregulierungs-Gesetz 2018" die scheinbare Notbremse und goss folgenden Satz in das österreichische Datenschutzgesetz: "Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen." Aus diesem Satz zogen einige Medien den Schluss, dass Österreich die DSGVO "weichgespült" hätte.

Keine Insolvenzgefahr wegen der DSGVO

Dieser Schluss ist jedoch schlicht falsch. Vielmehr hat der Gesetzgeber das festgehalten, was (zumindest seriöse) Datenschutzrechtler schon seit 2016 predigen, nämlich dass am 25.5.2018 keine Unternehmen wegen der DSGVO Insolvenz anmelden müssen (Ausnahmen wie zuletzt Cambridge Analytica bestätigen wie immer die Regel).

Viele Juristen wissen anscheinend nicht, dass genau diese "Warnen-statt-Strafen"-Regel, die der Gesetzgeber nunmehr in das Datenschutzgesetz geschrieben hat, bereits längst Pflicht der Behörden ist: Diese müssen nämlich eine Verwarnung aussprechen, wenn die gesetzlichen Voraussetzungen dafür gegeben sind (zum Nachlesen: VwGH 19.9.2001, 99/09/0264).

Es ändert sich wenig

In der Praxis ändert sich daher durch die "Datenschutzderegulierung" relativ wenig. Der Verantwortliche – also der, der über Zwecke und Mittel der Datenverarbeitung entscheidet – muss die gesetzliche Pflichtübung absolvieren. Er muss (in fast jedem Fall) ein Verzeichnis der Verarbeitungstätigkeiten erstellen, mit seinen Auftragsverarbeitern einen schriftlichen Vertrag abschließen und die betroffenen Personen – also diejenigen, deren Daten verarbeitet werden – über die Verarbeitung ihrer personenbezogenen Daten informieren. Sollte der Verantwortliche diese Pflichtübung nicht erfüllen, wird er wohl auch hier mit einer (auch empfindlichen) Strafe rechnen müssen. Im Übrigen: auch eine Verwarnung ist eine Strafe.

Schadenersatz für Betroffene

Außerdem gibt es für Verantwortliche, die es mit dem Datenschutz nicht so genau nehmen, noch andere Konsequenzen, die genauso unangenehm wie eine hohe Verwaltungsstrafe sein können. Diese geben jedoch keine griffigen Schlagzeilen her und werden daher gerne vergessen. Ein Beispiel: Wussten Sie, dass betroffene Personen, deren Daten wider die DSGVO verarbeitet wurden, einen Anspruch auf "immateriellen Schadenersatz" haben? Dabei kann der Betroffene beispielsweise auch einen "gesellschaftlichen Nachteil" ersetzt bekommen. Wie auch immer ein solcher beziffert werden soll, werden die Gerichte entscheiden. Da hier nicht das Prinzip "verwarnen statt strafen" gilt, sind die Konsequenzen für die Verantwortlichen derzeit nur schwer überblickbar.

Fakt ist: Das Gebiss des Krokodils ist nach wie vor intakt, nur wirken dessen Zähne nicht mehr ganz so bedrohlich. (Markus Dörfler, 6.5.2018)