Nur verwarnen statt strafen?

Ein kurzfristig beschlossenes Gesetz möchte die seit 25. Mai geltende Daten­schutz­grund­verordnung für die Wirtschaft leichter verdaulich machen. Mit einigen rechtlichen Unsicherheiten.

Foto: Voyagerix - Thinkstock.com

Am 25. Mai trat die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie sieht bei Verstößen bekanntlich strenge Strafen bis zu 20 Millionen Euro oder vier Pro-zent des Gesamtjahresumsatzes vor (GEWINN berichtete).

In quasi letzter Minute davor, nämlich am 20. April, wurde hierzulande noch rasch eine Gesetzesnovelle beschlossen, das Datenschutz-Deregulierungs-Gesetz 2018. Es novelliert das bereits im Juli 2017 beschlossene heimische Umsetzungsgesetz der Grundverordnung (namens Datenschutz-Anpassungsgesetz). Die „Novelle der Novelle“ möchte wirtschaftsfreundlicher sein als ihre Vorgängerin. Doch was ändert sie nun wirklich?

Teils sind nicht heimische KMU die Nutznießer, sondern Facebook & Co. Denn es wird nun keine Möglichkeit für nicht gewinnorientierte Datenschutzorganisationen wie die vom Juristen Max Schrems gegründete „noyb“ geben, von Österreich aus mittels Verbandsklage Schadenersatz gegenüber internationalen Konzernen wie Facebook oder Google durchzusetzen.

Verhältnismäßig muss es sein

Was heimische Unternehmen wohl am stärksten aufhorchen lässt, ist der neue § 11: „Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde (. . .) von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“ Heißt das, dass Unternehmen nun doch nicht beim ersten Verstoß mit ernsten Strafen rechnen müssen?

Juristen bezweifeln, dass die neue Bestimmung viel im Vergleich zur bisherigen Praxis ändert: „Wir hatten schon einige Anfragen, ob man nun die Aktivitäten zur Umsetzung der DSGVO einstellen kann“, schildert Rechtsanwalt Martin Tauber, Jurist bei Wolf Theiss. „Nein“ war seine Antwort. Das Prinzip der Verhältnismäßigkeit sei ja nicht neu, schon bisher konnte die Datenschutzbehörde bloß abmahnen, speziell bei Ersttätern und leichteren Vergehen.

Andererseits fordert die DSGVO selbst eine „abschreckende Wirkung“ der Strafe. Für Tauber ist es auch mehr als fraglich, „ob das nationale Gesetz die durch die DSGVO garantierte Unabhängigkeit und Entscheidungsfreiheit der Datenschutzbehörde tatsächlich einschränken kann“. Denn ihre Kompetenzen als Wächterin des Datenschutzes leiten sich direkt aus der rechtlich höher angesiedelten EU-Datenschutzgrundverordnung ab. Jedenfalls sollten schwere Datenschutzverstöße, gar vorsätzliche, sehr wohl auch schon beim ersten Mal eine unmittelbare Bestrafung nach sich ziehen.

Einen wichtigen Ratschlag hat Tauber für all jene Unternehmen, die auch im Juni noch nicht fertig mit ihren Adaptierungen aufgrund der DSGVO sind: „Bei Verstößen wird sich die Behörde sicher anschauen, ob man die Umsetzung unvermindert weiter vorangetrieben hat, wenn auch erst nach dem 25. Mai.“  Speziell bei kleinen Unternehmen mit wenig Ressourcen sollte das helfen.

Nur eine Verwaltungsstrafe

Schon bisher sollte das Unternehmen für Verstöße, die von Mitarbeitern ohne Führungsveranwortung begangen werden, nicht haftbar gemacht werden können. Vorausgesetzt, das Unternehmen hatte ein wirksames Compliance-Sys­tem implementiert.

Jetzt ist eine Ergänzung zugunsten leitender Mitarbeiter dazugekommen. Sie schränkt deren Strafbarkeit dann ein, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen das Unternehmen als juristische Person verhängt wurde. „In diesem Fall kann nicht parallel noch gegen die Führungskräfte eine solche Strafe verhängt werden“ , so Tauber.

Auskunftsrecht gegen Betriebsgeheimnis

Auch beim Auskunftsrecht Betroffener gibt es Änderungen: Berührt die Auskunftspflicht  Betriebsgeheimnisse, darf das Unternehmen die Auskunft verweigern. Ein Beispiel: „Ein Unternehmen, das Bonitätsdaten speichert, muss dem Betroffenen schon sagen, welche Daten es von ihm verarbeitet. Aber die genaue Scoring-Formel, wie es zu seiner Bonitätsbewertung kommt, muss es nicht preisgeben“, erklärt Tauber. Die genaue Abgrenzung ist im Detail allerdings recht unklar. Doch auch für die DSGVO selbst gilt: „Sie ist an vielen Punkten sehr wenig konkret“, so Tauber. All diese Regeln mit Leben zu füllen und Widersprüche zu beseitigen, „wird eine wesentliche Aufgabe der Behörden und insbesondere in letzter Instanz des EuGH werden“, weiß Tauber.
Das kann allerdings noch ein paar  Jahre dauern.

GEWINN verwendet Cookies um die Website möglichst benutzerfreundlich zu gestalten und Ihnen damit den bestmöglichen Service zu gewährleisten.
Wenn Sie fortfahren, stimmen Sie der Cookie-Nutzung zu.