zurück zum Artikel

Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

Überlebensgroße Statuen, die herzlich lachen

(Bild: Daniel AJ Sokolov)

In letzter Minute nimmt Österreich der neuen EU-Datenschutzverordnung den Biss, die meisten Verstöße werden straffrei bleiben. Und Datenschutz-NGOs dürfen keinen Schadenersatz eintreiben.

Mit zeitgemäßen Regeln und spürbaren Strafen für Konzerne will die EU dem Datenschutz[1] auf die Sprünge helfen. Am 25. Mai tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Doch plötzlich tanzt Österreich aus der Reihe: Dort soll es Strafen in aller Regel nur für Wiederholungstäter geben, und selbst davon gibt es Ausnahmen. Öffentliche Einrichtungen sollen immer straffrei davonkommen.

Absurd mutet eine Ausnahme für Spione an, die auch für ausländische Nachrichtendienste gilt. Dazu kommen Erleichterungen für Videoüberwachung und deren Auswertung. Und wer vor dem 25. Mai den Datenschutz verletzt, wird nach der alten oder neuen Rechtslage (nicht) bestraft, je nachdem, was für den Täter günstiger ist.

Außerdem wird gemeinnützigen Organisationen, die im Auftrag betroffener Bürger Datenschutzverletzungen zur Anzeige bringen, die finanzielle Lebensgrundlage entzogen: Sie dürfen von den Tätern keinen Schadenersatz verlangen. Damit bekommen sie kein Geld von Prozessfinanzierern. Und dass einzelne Betroffene ihre Schadenersatzansprüche einzeln geltend machen, rechnet sich nur selten. Das trifft insbesondere Max Schrems' neue NGO noyb[2]. Schrems ist durch mehrere Verfahren gegen Facebook bekannt geworden.

All das wurde am 20. April überraschend und kurzfristig von den Nationalratsabgeordneten der Regierungsparteien ÖVP und FPÖ beschlossen.

Gänzlich neu ist ein Journalisten-Privileg: Medien dürfen personenbezogene Daten für journalistische Zwecke verarbeiten und dabei die Kapitel II, III, IV, V, VI, VII und IX der DSGVO ignorieren. Zudem muss die Datenschutzbehörde das Redaktionsgeheimnis berücksichtigen.

Dazu kommt ein schwammig gefasstes Privileg für die Verarbeitung personenbezogener Daten für wissenschaftliche, künstlerische und literarische Zwecke. Ausgewählte Teile der DSGVO finden dabei keine Anwendung, "soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen". Dieser Passus dürfte noch für umfangreiche Diskussionen sorgen.

Messestand "Can you keep a Secret? Communication Security Establishment Canada"

Rekrutierungsstand des kanadischen Geheimdienstes CSE-CST in Kanada. Die diensthabenden Beamten wollten nicht aufs Foto. In Österreich wäre ihnen zumindest die Bürde der DSGVO erleichtert.

(Bild: Daniel AJ Sokolov)

Bereits im Vorjahr war ein weitgehend gelockertes Sonder-Datenschutzregime für Strafverfolger und Strafvollzug beschlossen worden. Die jüngste Novelle erweitert diese Privilegien auf Spionage und "militärische Eigensicherung".

Und das gilt offenbar für Spione aller Staaten; eine Einschränkung auf österreichische Nachrichtendienste gibt es nicht. Sogar private Spionagedienste kommen in den Genuss der weitgehend gelockerten Datenschutzauflagen, wenn sie im Auftrag eines EU-Mitgliedsstaates spionieren.

Selbst wenn beispielsweise die Polizei ihre lockereren Bestimmungen verletzt, muss sie keine Strafen fürchten. Sie ist schließlich eine Behörde, und die haben dank des brandneuen Paragraphen 30 Absatz 5 generell freie Fahrt. "Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden." Diese Generalamnestie gilt also auch für die in Österreich weit verbreiteten Behörden in Form von GmbHs.

Und was für Behörden recht ist, kann für Untertanen nur gut sein: Der ebenfalls kurzfristig neu geschriebene Paragraph 11 zieht der Datenschutzbehörde endgültig die Zähne: Sie soll bei der Anwendung des Strafenkatalogs der DSGVO (Art. 83) die "Verhältnismäßigkeit" waren. Ausdrücklich: "Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen."

Mehr Infos

Lesen Sie auch: Jahrelange Datenschutzverletzung - Telekom Austria drohen 218 Euro Strafe[3]

Also gilt das Grundprinzip Verwarnen statt Strafen. Nur besonders hartnäckige Täter, die keine Behörde sind, sollen belangt werden können. Dass gerade eine rechtskonservative Koalition, die sonst gerne Strafverschärfungen beschließt, auf einmal mit Samthandschuhen operiert, überrascht. Gestrichen wurde allerdings ein im Vorjahr beschlossenes Privileg für Arbeitnehmervertreter. Sie könnten sich nun doch mit allen Facetten der DSGVO befassen müssen.

Hingegen gibt es für gesetzesuntreue Unternehmen noch mehr gute Nachrichten: Selbst wenn sie hartnäckig den Datenschutz verletzen, müssen sie sich in Österreich nicht fürchten. Nach dem bereits im Vorjahr beschlossenen Paragraphen 30 DSG können sie für Gesetzesverletzungen untergeordneter Mitarbeiter nicht bestraft werden. Nur wenn das Management oder eine unternehmensinterne Kontrolleinrichtung wiederholt den Datenschutz verletzt, kann die Datenschutzbehörde Strafen aussprechen.

Plakat "konsequente Videoüberwachung wo es Sinn macht"

Plakat der ÖVP Wien (2006), original mit Anglizismus

(Bild: Daniel AJ Sokolov)

Auch das wurde durch die jüngste Novelle noch einmal eingeschränkt: Verhängt eine andere Verwaltungsbehörde eine Verwaltungsstrafe, kann die Datenschutzbehörde ihrerseits nicht mehr strafen – egal, wie hoch die andere Verwaltungsstrafe war.

Unternehmen, deren Management so dreist war, zum wiederholten Male den Datenschutz zu missachten, sind also gut beraten, rasch eine andere Bestimmungen zu finden, die sie im Tatzusammenhang verletzt haben könnten. Holen sie sich dafür eine kleine Verwaltungsstrafe ab, entgehen sie endgültig den neuen, womöglich spürbaren Strafen der Datenschutzbehörde.

Die vergangenes Jahr verabschiedete Novelle sollte Videoüberwachung zum Objekt- und Personenschutz weitgehend legalisieren, sofern kein gelinderes Mittel zur Verfügung steht. Diese Einschränkung wurde nun gestrichen, so dass Videoüberwachung auch dann zulässig ist, wenn es datenschutzfreundlichere Sicherheitsvorkehrungen gäbe.

Gleichzeitig wird die Liste ausdrücklich unzulässiger Bildverarbeitung reduziert. Es sollte als unzulässig gelten, personenbezogene Fotos oder Videos mit anderen personenbezogenen Daten abzugleichen. Jetzt ist das nur noch unzulässig, wenn damit ohne Zustimmung der Betroffenen Persönlichkeitsprofile erstellt werden sollen. Für andere Zwecke ist es also nicht ausdrücklich unzulässig, personenbezogene Daten mit Bildern zu verknüpfen, selbst wenn die Betroffenen nicht zugestimmt haben. Was genau ein "Persönlichkeitsprofil" ausmacht, und wo die Grenze zum offenbar zulässigen Personenprofil verläuft, bleibt offen.

Eigentlich hatte sich Österreich bereits im Vorjahr auf die DSGVO vorbereitet. Das Datenschutzgesetz (DSG) aus dem Jahr 2000 wurde grundlegend neu gefasst. Die Neufassung sollte ab 25. Mai 2018 gelten. Doch noch vor diesem Termin erstellte die Regierung eine weitere Novelle, mit der auch einige Verfassungsbestimmungen geändert werden sollten.

Diese Novelle wurde öffentlich konsultiert, im zuständigen Verfassungsausschuss des Nationalrats diskutiert, dort mit den Stimmen von ÖVP, FPÖ und SPÖ bestätigt, und dem Plenum des Nationalrats zur Beschlussfassung vorgelegt. Der Nationalrat ist die wichtigere Kammer des österreichischen Bundesparlaments.

Doch dann verweigerte die SPÖ ihre Zustimmung: Sie hatte einen (als Minderheitenrecht konzipierten) Untersuchungsausschuss über zweifelhafte Vorfälle im Inlands-Nachrichtendienst BVT beantragt, was von den Regierungsparteien blockiert wurde. Da bekam die SPÖ Bedenken über die Verfassungsänderungen beim Datenschutz. Ohne ihre Zustimmung haben die Regierungsfraktionen aber nicht genügend Stimmen für Verfassungsänderungen.

Ein bunter Strauß von Vorhang- und Fahrradschlössern

Die neue Gesetzelage ist derzeit nur schwer zu entwirren.

(Bild: Daniel AJ Sokolov)

Daraufhin brachten Abgeordnete von ÖVP und FPÖ einen Abänderungsantrag zu ihrer Novelle ein. Dabei entfernten sie aber nicht einfach die Verfassungsbestimmungen, sondern schrieben die Novelle gleich in weiten Teilen um. Am Ende stimmten die Nationalratsabgeordneten der Regierungsparteien ÖVP und FPÖ dafür, die Abgeordneten von SPÖ, Neos und der Liste Pilz dagegen.

Experten wurden zum neuen Text nicht mehr angehört. Die unerwarteten Änderungen treten ebenfalls am 25. Mai in Kraft. Die Zustimmung des Bundesrats (Länderkammer) gilt als Formsache. ÖVP und FPÖ verfügen dort über eine breite Mehrheit.

(ds[7])

URL dieses Artikels:
http://www.heise.de/-4031217

Links in diesem Artikel:
[1] https://www.heise.de/thema/Datenschutz
[2] https://www.heise.de/meldung/Datenschutz-Plattform-noyb-sucht-weitere-Unterstuetzer-3928270.html
[3] https://www.heise.de/meldung/Jahrelange-Datenschutzverletzung-Telekom-Austria-drohen-218-Euro-Strafe-3990676.html
[4] https://www.heise.de/downloads/18/2/4/1/3/7/2/9/BGBLA_2017_I_120.pdfsig
[5] https://www.heise.de/downloads/18/2/4/1/3/7/2/9/Ausschussbericht-DSG-Novelle.pdf
[6] https://www.heise.de/downloads/18/2/4/1/3/7/2/9/DSG-Novelle-Abaenderung.pdf
[7] mailto:ds@heise.de