Ein Jahr ist es her, dass die Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Sie soll Firmen zu einem sorgsameren Umgang mit Daten verpflichten und Bürgern mehr Rechte einräumen. Aber sind Daten heute besser geschützt als vor dem 25. Mai 2018?

Eines ist sicher: Das Bewusstsein für Datenschutz hat sich bei Nutzern erhöht. Laut Datenschutzbehörde (DSB) hat sich die Zahl der Beschwerden 2018 verzehnfacht. Waren es 2017 noch 156 Beschwerden, stieg die Zahl 2018 auf 1.036, von denen die Hälfte behandelt wurde. Bis April 2019 belaufe sich die Zahl laut WKO auf rund 2.000.

Damit ist auch der Arbeitsaufwand gestiegen, weswegen die DSB in ihrem Jahresbericht schreibt, dass es zusätzliches Personal brauche. Insgesamt wurden rund 140 Verfahren geführt, bei fünf von ihnen kam es zu einer Strafe. In sämtlichen Fällen nutzten die bestraften Personen und Unternehmen unerlaubt Videoüberwachung. Demnach sind das Verstöße, die bereits zuvor im Rahmen des Datenschutzgesetzes nicht legal waren. Im Kern sieht die DSGVO vor, dass Unternehmen künftig transparenter vorgehen müssen.

Wer heute wissen will, welche Daten bezogen wurden, wofür sie verwendet werden und wie lange ein Unternehmen sie speichert, kann eine Auskunftsanfrage stellen. Dann hat eine Firma einen Monat Zeit, eine Antwort zu liefern. Falls erhöhter Aufwand notwendig ist, sind es drei. Falsche Daten müssen auf Wunsch des Users korrigiert werden. Dazu kommt ein gesetzlich verankertes Recht auf Vergessenwerden. Auch müssen Informationen verständlich mitgeteilt werden. Außerdem schreibt die DSGVO die sogenannte Datensparsamkeit vor: Unternehmen dürfen nur so viele Daten speichern, wie unbedingt notwendig ist, um ihren Dienst zu erbringen.

Verwarnen statt strafen

Wer sich nicht an die Vorgaben hält, muss mit einer Strafe von bis zu zwanzig Millionen Euro oder vier Prozent des globalen Jahresumsatzes rechnen. Wobei die Praxis gezeigt hat, dass solch hohe Strafen kaum verhängt werden. In Österreich blieb die Höchststrafe im vierstelligen Bereich, hierzulande setzt die Datenschutzbehörde eher auf das Prinzip "verwarnen statt strafen".Firmen, die gegen die Regeln verstoßen, werden zunächst von der Behörde aufgefordert, solche Praktiken zu unterlassen – tun sie es nicht, werden Strafen verhängt.

Die EU-Kommission hatte vergangenes Jahr aufgrund dieser laxen Anpassung des Gesetzes Österreich mit einem Vertragsverletzungsverfahren gedroht, dazu gekommen ist es bisher aber noch nicht. "Hier wird ein Rechtsbruch politisch unter den Teppich gekehrt", kritisiert Thomas Lohninger von der Grundrechts-NGO Epicenter Works im STANDARD-Gespräch.

Unternehmen klagen

Der Ansatz bedeute aber nicht, dass Datenschutz in Österreich weniger streng durchgesetzt werde, sagt Ursula Illibauer von der Bundessparte Information und Consulting der Wirtschaftskammer (WKO) dem STANDARD. "Es gibt bereits zahlreiche Aufforderungen an Firmen, etwas zu ändern. Hier wird durchaus auch streng ausgelegt."

Gerade Unternehmen klagten zunächst über die schwere Umsetzbarkeit der Vorgaben. "Mittlerweile ist Datenschutz aber angekommen", sagt Illibauer. "Anfragen bei der WKO sind zurückgegangen oder sind wesentlich detaillierter. Nicht mehr 'Was muss ich tun?', sondern 'Wie mache ich das konkret?'." Am schwierigsten sei gewesen, den Bedarf im eigenen Betrieb festzustellen und anzupassen. Der Aufwand habe sich aber großteils gelohnt, da die Vereinheitlichung zu Synergieeffekten geführt habe. Unsicherheit existiere hingegen bei Datenschutzerklärungen. Zudem würden Auskunftsbegehren, vor allem wenn viele auf einmal kommen, Probleme bereiten.

Mehr Belastung

Experten bezweifeln jedoch, dass sich der Datenschutz der Bürger in der Praxis tatsächlich verbessert hat. "Es hat sich, wie erwartet, wenig geändert", sagt der Rechtsinformatiker Nikolaus Forgó. Es gebe immer noch große Rechtsunsicherheit, tatsächlich anders werden Daten der Nutzer nicht behandelt. Europas Datenschutzbehörden würden unter mehr Belastung leiden, da der Aufwand die Ausstattung übersteige. Zudem gebe es bei grundsätzlichen Punkten immer noch große Meinungsunterschiede – "zum Beispiel beim Verhältnis zwischen Pressefreiheit und Datenschutzrecht". Etwa in der aktuellen Ibiza-Affäre rund um ein verdeckt aufgenommenes Video, das den ehemaligen Vizekanzler Heinz-Christian Strache und Ex-FPÖ-Klubobmann Johann Gudenus zeigt, wie die beiden Staatsaufträge im Austausch gegen eine Parteienfinanzierung in Aussicht stellen.

Der deutsche Datenschutzbeauftragte für Baden-Württemberg, Stefan Brink, sieht etwa eine Datenschutzverletzung der Presse bei der Veröffentlichung des Videos. Der Bundesdatenschutzbeauftragte Ulrich Kelber findet hingegen, dass die Medien sich korrekt verhalten hätten, da es sich um kein privates Gespräch handelt. "Die auftretenden fundamentalen, rechtlichen Unsicherheiten führen weiterhin zu sehr großem Beratungsbedarf", sagt Forgó. "Es wird noch Jahre dauern, bis sich die Nebel durch Judikatur lichten."

Dazu kämen rechtliche Schwächen; so etwa sind die Folgen der kommenden Urheberrechtsreform in Bezug auf Datenschutz unerforscht. Wie auch das sogenannte Koppelungsverbot, das untersagt, dass in Einwilligungserklärungen Vorgaben gesetzt werden, die nicht notwendig sind, um einen Vertrag zu erfüllen. (Muzayen Al-Youssef, 22.5.2019)