Österreich verwässert die EU-Datenschutzgrundverordnung

Nach dem neuen österreichischen Datenschutzgesetz sollen Unternehmen für Verstöße zunächst nur verwarnt werden. Der Umgang mit persönlichen Daten vonseiten Wissenschaft und Journalismus soll laxeren Regeln unterliegen. Kritiker bemängeln, dass Teile des Gesetzes dem europäischen Recht widersprechen.

Die österreichische Regierung macht mit der Verwässerung der EU-Datenschutzgrundverordnung einen Alleingang – Gemeinfrei-ähnlich freigegeben durch unsplash.com Daniel Frank

Die rechte schwarz-blaue Koalition in Österreich versucht, die am 25. Mai in Kraft tretende EU-Datenschutzgrundverordnung (DSGVO) entscheidend zu entschärfen. Als Verordnung ist sie eigentlich in EU-Mitgliedsstaaten direkt bindend und muss nicht in nationales Recht überführt werden. Ähnlich wie in Deutschland musste aber das bisherige Datenschutzrecht an die neuen Bestimmungen angepasst werden.

Bereits im vergangenen Sommer hatte die rot-schwarze Vorgänger-Regierung überstürzt das viel kritisierte Datenschutz-Anpassungsgesetz 2018 verabschiedet. Es sollte am 25. Mai diesen Jahres in Kraft treten. Im März kam es noch zu einer Novelle. Doch das Datenschutz-Deregulierungsgesetz 2018 und insbesondere ein noch kurzfristig eingereichter und bereits vom Nationalrat verabschiedeter Änderungsantrag der ÖVP enthalten mehrere fragwürdige Einschränkungen und gehören zum sogenannten Datenschutzpaket, das auch der Bundesrat heute verabschiedet hat.

Darüber hinaus wurden mehr als 140 weitere Gesetze überarbeitet. Der Datenschützer Max Schrems kritisiert in einem Interview die Vorgehensweise der Regierung. So habe man aktuell keinen Überblick über die zahlreichen Änderungen über das Datenschutzgesetz hinaus.

Verwarnung statt Bestrafung bei Datenschutzverstößen von Unternehmen

Ein wichtiger Hebel der DSGVO liegt in den empfindlichen Strafen für Datenschutzverstöße. Bei der Anwendung des Strafenkatalogs auf Unternehmen soll in Österreich allerdings nun das Prinzip der „Verhältnismäßigkeit“ gelten. So hält es der Änderungsantrag der ÖVP fest. Konkret bedeutet das, dass es zunächst Verwarnungen geben wird, anstatt der vorgesehenen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Umsatzes eines Unternehmens.

In der DSGVO heißt es zudem, dass Strafen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen. Diesen offensichtlichen Widerspruch bezeichnet Schrems in einer Stellungnahme (pdf), wohl in Bezug auf die EU-feindliche rechte Regierung des politischen Verbündeten Viktor Orbán, als eine „fast […] ungarische Dreistigkeit“. Die österreichische Regierung würde schlicht sagen, dass eine unabhängige Behörde das EU-Recht möglichst nicht anwenden soll, so Schrems.

Als ebenso europarechtswidrig bezeichnet der Jurist die geplante Lockerung für Journalisten, Wissenschaftler und Künstler. Sie sollen einen laxeren Umgang mit personenbezogenen Daten pflegen dürfen, „soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen“.

Klagen gegen Facebook und Co. aus Österreich werden erschwert

Eine weitere Änderung betrifft unter anderem die Arbeit der von Max Schrems gegründeten NGO noyb, die gegen Datenschutzverstöße von großen Unternehmen klagen will. Demnach wird es Verbänden wie noyb oder der Grundrechte-NGO epicenter.works nicht mehr möglich sein, die Rechte österreichischer Bürger gegenüber Unternehmen zu vertreten, die ihren Sitz im Ausland haben.

Dies trifft besonders auf Unternehmen wie Facebook zu, die sich innerhalb der EU oft in Ländern mit niedrigen Steuersätzen ansiedeln, beispielsweise in Irland. Wenn nun Österreicher ihre Rechte etwa an noyb abtreten, um gegen Verstöße solcher Unternehmen vorzugehen, dann gehe der Gerichtsstand verloren, so Schrems. Aufgrund der internationalen Zuständigkeitsregeln „können wir nach dieser Änderungen weiter ohne Probleme gegen österreichische Unternehmen vorgehen – nicht aber gegen globale Konzerne die keinen Sitz in Österreich haben“, schreibt Schrems. „Diese Regierung hat es vollbracht, dass es nun einfacher ist, lokale Unternehmen zu verklagen als Google oder Facebook“.

Straffreiheit für Behörden

Gänzlich ohne Strafe ausgehen sollen Behörden, die Datenschutzrechte verletzen. So heißt es im durchgebrachten Änderungsantrag: „Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden.“ Darunter fallen also auch Unternehmen, die im gesetzlichen Auftrag arbeiten.

Möglich macht dies eine der viel kritisierten Öffnungsklauseln der DSGVO. Diese erlaubt es EU-Ländern, selbst zu entscheiden, „ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können“.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.