Das gesetzgeberisch eher unglückliche Kapitel der begleitenden Umsetzung der DSGVO in das heimische Recht ist um ein weiteres, wenig ruhmreiches Kapitel länger: Wie im letzten DORDA-Newsletter angekündigt, hat die Bundesregierung bereits vor dem Inkrafttreten des DSG 2018 eine erste Novelle zum neuen österreichischen Datenschutzgesetz auf den Weg gebracht. Auch hier gab es im Gesetzgebungsprozess wieder Verwerfungen. Schließlich wurde die Novelle letzten Freitag als Datenschutz-Deregulierungsgesetz im Bundesrat angenommen. Die ergänzenden Regelungen bringen aber trotzdem die eine oder andere wohltuende Klarstellung.
Verunglückter Gesetzgebungsprozess
Das nun beschlossene Datenschutz-Deregulierungsgesetz (Volltext hier abrufbar) sollte eigentlich die durch die politischen Umstände entstandenen legistischen Mängel des DSG 2018 beseitigen. Nun wurde aber auch dieser Gesetzgebungsakt zum Opfer politischer Auseinandersetzungen: Neuerlich konnten sich die Parteien im Parlament nicht auf eine gemeinsame Linie einigen und ist damit der nächste Versuch der Erzielung der notwendigen Verfassungsmehrheit – diesmal freilich unter anderer politischer Zusammensetzung – gescheitert. Wieder wurde der ursprüngliche Gesetzesentwurf während des laufenden Verfahrens adaptiert und abweichend beschlossen. Damit wurden neuerlich parteipolitische Interessen über die Sachpolitik gestellt und so in letzter Minute die schon greifbar nahe Einigung zunichte gemacht. Verlierer ist dabei erneut die österreichische Wirtschaft, die just in der heißen Phase der Finalisierung der umfangreichen DSGVO-Umsetzungsprojekte im Stich gelassen wird.
Kein Schutz juristischer Personen unter der DSGVO
Mangels Zweidrittel-Mehrheit im Nationalrat konnte das verfassungsrechtlich geschützte Recht auf Datenschutz für jedermann – sohin auch für juristische Personen – in § 1 DSG neuerlich nicht wie geplant abgeändert und auf natürliche Personen beschränkt werden.
Wie die DORDA Datenschutzexperten bereits erläutert haben, ist dieses Grundrecht mangels Umsetzungsvorschriften im DSG 2018 zwar eine sehr zahnlose Hülle. Dennoch wäre es im Sinne der Rechtsicherheit und der oft angekündigten Entschlackung der Gesetze sinnvoll gewesen, eine legistische Klarstellung des Anwendungsbereichs des DSG 2018 vorzunehmen. Nachdem dies auf der Verfassungsebene nicht möglich war, hat die Regierung genau dies nun in § 4 DSG 2018 einfachgesetzlich gemacht: So regelt diese Bestimmung nun, dass die DSGVO und das DSG 2018 nur für die Verarbeitung personenbezogener Daten natürlicher Personen anwendbar sind. Damit ist nun zumindest einfachgesetzlich klar, dass die DSGVO auf die Daten von juristischen Personen nicht zur Anwendung kommt. Als Wermutstropfen bleibt, dass das wieder nicht gelöschte datenschutzrechtliche Grundrecht für juristische Personen im § 1 DSG 2018 parallel ohne eindeutig geklärten Anwendungsbereich offen bleibt.
Verhältnismäßige Strafen
Zuletzt haben sich bereits informelle Äußerungen von Vertretern der nationalen, aber auch von internationalen Datenschutzbehörden gemehrt, wonach das neue Strafausmaß von EUR 10 bzw 20 Millionen nur verhältnismäßig angewandt werden wird. So wurde mehrfach betont, dass bei der Strafzumessung zahlreiche Aspekte wie Schwere des Verstoßes (Art der betroffenen Daten und Ausmaß des möglicherweise drohenden Schadens), die Vorwerfbarkeit der Datenschutzverletzung (Vorsatz oder Fahrlässigkeit), die Dauer der Verletzung (einmalige Handlung oder fortgesetzte Gesetzesmissachtung), der Umfang der Verletzung (wie viele Daten von wie vielen Betroffenen sind erfasst), die Schwere des Eingriffs (sind auch besonders geschützte Kategorien von Daten wie Gesundheitsdaten betroffen), aber auch die Größe und Leistungsfähigkeit des Unternehmens berücksichtigt werden. Damit ist bereits klar, dass einem typischen KMU im Normalfall keine Millionenstrafe droht.
In diese Kerbe schlägt nun auch eine Anpassung des DSG 2018, wonach die Datenschutzbehörde bei der Bestrafung die Verhältnismäßigkeit zu wahren hat. Insbesondere habe sie bei erstmaligen Verstößen im Einklang mit Art 58 DSGVO von ihrer Abhilfebefugnis insbesondere durch Verwarnen Gebrauch zu machen (§ 11 DSG 2018). Diese tatsächlich bloße Klarstellung des Telos der DSGVO unter Rückverweis auf die europarechtlichen Bestimmungen hat zuletzt zu einem großen unberechtigten medialen Aufschrei gesorgt. So war davon die Rede, dass Österreich unionsrechtswidrig der DSGVO die Zähne ziehen würde. Das ist freilich nicht der Fall. So entspricht es dem österreichischen Verwaltungsstrafprinzip, dass insbesondere bei Ersttätern unter Beachtung der gesamten Umstände des Einzelfalles auch eine bloße Ermahnung in Betracht zu ziehen ist. Ernste und schwerwiegende Verstöße können und werden aber geahndet werden. Somit ist weder die in den vergangenen Monaten oft übertriebene Hysterie vor übermäßigen Strafen angebracht, noch die nunmehr medial verbreitete Verharmlosung. Tatsächlich werden sich die zu verhängenden Strafen verhältnismäßig europaweit einpendeln.
Keine Doppelbestrafung
Ein weiterer Mythos, der zuletzt in der medialen Berichterstattung strapaziert wurde, war, dass es sich Unternehmen durch quasi Abholen einer Verwaltungsstrafe für ein gelinderes Vergehen Straffreiheit für den Datenschutzverstoß erwirken könnten. Auch das ist unrichtig und durch den Gesetzestext, aber auch die europäischen Vorgaben nicht gedeckt. So ist zum Beispiel eine auf Basis einer ungesetzlichen Datenverarbeitung fußende Direktmarketingmaßnahme per E-Mail sowohl als Verstoß gegen das SPAM-Verbot nach § 107 TKG, aber auch der DSGVO zu bestrafen. Es ist hier nicht möglich, mit der nun vergleichsweise günstigen Geldbuße von EUR 37.000 nach dem TKG die höheren Strafen nach der DSGVO auszuhebeln.
Keine Strafen für öffentliche Stellen
Bereits mit der Erstfassung des DSG 2018 hat die Bundesregierung von der Öffnungsklausel Gebrauch gemacht, die öffentliche Hand von etwaigen Strafen unter der DSGVO auszunehmen. Hier wurde nun mit dem Deregulierungsgesetz erklärend ergänzt, dass darunter sowohl in Formen des öffentlichen, als auch des Privatrechts eingerichtete Stellen verstanden werden können, die im gesetzlichen Auftrag handeln. Dementsprechend kann auch eine beliehene GmbH, die in Vollziehung der Gesetze tätig ist, für etwaige Datenschutzverletzungen nicht belangt werden. So wichtig die Klarstellung im Hinblick auf den sonst unklaren Begriff der öffentlichen Stelle ist, so kritikwürdig ist die generelle Ausnahme des öffentlichen Bereichs vom Strafenregime. Schließlich kann die verpflichtende Bestellung eines Datenschutzbeauftragten nach der bereits gewonnenen Erfahrung nicht wirklich ausreichende Awareness für die Einhaltung der datenschutzrechtlichen Vorgaben schaffen. Es bleibt ein bitterer Nachgeschmack, dass die Politik über ihre eigene Verwaltung die schützende Hand hält.
Weitere kleinere Änderungen
Eine weitere Änderung betrifft die Einschränkung des Rechts von Verbänden, bei Klagsführung auch Schadenersatz für die Betroffenen geltend zu machen. Daneben gibt es auch noch einige weitere Klarstellung und Adaptierungen wie zum Beispiel Ausnahmen der Anwendung der DSGVO für Journalisten zur Sicherung der Medienfreiheit, Beschränkungen des Auskunftsrechts zur Wahrung von Betriebsgeheimnissen und die Erleichterung der Verarbeitung personenbezogener Daten für wissenschaftliche und künstlerische Zwecke.
Fazit
Insgesamt nimmt das Datenschutz-Deregulierungsgesetz einige wichtige und praxisnahe Anpassungen am DSG 2018 vor. Es ist freilich aber bei weitem nicht der große Wurf, schon gar nicht, aber wie manche Medien unken, ein Weichspülen der bestehenden Bestimmungen. Dies wäre europarechtlich auf Grund der klaren Vorgaben der DSGVO auch gar nicht möglich.
Zuletzt hat der ressortzuständige Justizminister Moser erneut bekräftigt, dass die Regierung dem Datenschutz höchstes Augenmerk zuwendet. Er würde in keiner Weise eingeschränkt. Er zeigt sich überzeugt, dass Datenschutzverletzungen mit den neuen Regelungen wirksam bekämpft werden können