Eine Verwarnung von Ersttätern entspricht dem österreichischen Verwaltungsstrafprinzip – auch bei der DSGVO

Wien – Böse Zungen haben jahrelang behauptet, dass es billiger wäre, hin und wieder eine Verwaltungsstrafe für Datenschutzverletzungen in Kauf zu nehmen, als sich an das Datenschutzgesetz zu halten. Auch wenn diese Aussage schon bisher nicht zutraf, weil insbesondere durch Unterlassungsklagen unliebsamen Wettbewerbern in extremen Fällen auch strafrechtliche Verurteilungen drohten, hatte es doch einen wahren Kern: Die Strafen für Datenschutzverletzungen waren sehr niedrig und wurden selten verhängt.

Mit der Datenschutzgrundverordnung (DSGVO) ändert sich dies: Der europäische Gesetzgeber hat drastische Strafen mit dem erklärten Ziel vorgesehen, "Management-Attention" – also die Aufmerksamkeit der Unternehmensleiter – auf das Thema Datenschutz zu lenken. Dies ist bei Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes (wenn dieser höher ist) auch gelungen.

Der österreichische Gesetzgeber hat die DSGVO mit dem DSG 2018 bereits vor fast einem Jahr in nationales Recht umgesetzt und dabei vorgesehen, dass – endlich – die Datenschutzbehörde und nicht die Bezirksverwaltungsbehörde die Strafen verhängen darf und dass diese, wenn sie hoch sind, direkt an das Unternehmen (nicht mehr deren Vorstand/Geschäftsführer) verhängt werden. Der Datenschutzbeauftragte, so es einen gibt, wird übrigens nie bestraft.

Selbstverständlichkeiten

Dieses Gesetz wurde wieder abgeändert. Offenbar auf Wunsch der Wirtschaft wurden in das Gesetz Selbstverständlichkeiten aufgenommen, nämlich insbesondere dass die Datenschutzbehörde bei der Bestrafung die Verhältnismäßigkeit zu wahren hat. Insbesondere habe sie bei erstmaligen Verstößen im Einklang mit Art 58 DSGVO von ihrer Abhilfebefugnis insbesondere durch Verwarnen Gebrauch zu machen (§ 11 DSG 2018).

Diese tatsächlich bloße Klarstellung des Telos der DSGVO unter Rückverweis auf die europarechtlichen Bestimmungen hat zuletzt zu einem großen unberechtigten medialen Aufschrei gesorgt. So war davon die Rede, dass Österreich unionsrechtswidrig der DSGVO die Zähne ziehen würde. Das ist freilich nicht der Fall.

So entspricht es dem österreichischen Verwaltungsstrafprinzip, dass insbesondere bei Ersttätern unter Beachtung der gesamten Umstände des Einzelfalles auch eine bloße Ermahnung in Betracht zu ziehen ist. Ernste und schwerwiegende Verstöße können und werden aber geahndet werden.

Somit ist weder die in den vergangenen Monaten oft übertriebene Hysterie aufgrund von übermäßigen Strafen angebracht, noch die nunmehr medial verbreitete Verharmlosung. Tatsächlich werden sich die zu verhängenden Strafen verhältnismäßig europaweit einpendeln.

Unrichtiger Mythos

Ebenso wurde geregelt, dass die Strafen für Altfälle – solche vor dem 25. Mai 2018 – nicht erhöht werden.

Ein weiterer Mythos, der zuletzt in der medialen Berichterstattung strapaziert wurde, war, dass sich Unternehmen durch quasi Abholen einer Verwaltungsstrafe für ein gelinderes Vergehen Straffreiheit für den Datenschutzverstoß erwirken könnten. Auch das ist unrichtig und durch den Gesetzestext, aber auch die europäischen Vorgaben nicht gedeckt.

Zuletzt hat der ressortzuständige Justizminister Moser erneut bekräftigt, dass die Regierung dem Datenschutz höchstes Augenmerk zuwendet. Er würde in keiner Weise eingeschränkt. Er zeigt sich – zu Recht – davon überzeugt, dass Datenschutzverletzungen mit den neuen Regelungen wirksam bekämpft werden können. (Felix Hörlsberger, 7.5.2018)