Wer will heute noch etwas zum Thema DSGVO lesen? Hand auf’s Herz: können Sie das Thema überhaupt noch hören? Hierfür habe ich volles Verständnis. Und daher wollen wir uns heute mit der entsprechenden Deregulierung in Österreich beschäftigen – auch wenn es nicht ohne entsprechende Einleitung möglich ist:

Mit 25. Mai 2018 trat in der EU die Datenschutzgrundverordnung – kurz DSGVO – in Kraft. Ein denkwürdiges Datum für den Datenschutz, ein kritischer Zeitpunkt für Unternehmer aller Größen, eine massive Verunsicherung in allen Branchen und gleichzeitig hat es Österreich geschafft hier doch anders zu agieren als der Rest der EU.

Alle waren und sind sich einig: die DSGVO mit Ihren 99 Paragrafen in 11 Kapiteln ergänzt durch 173 Erwägungsgründe ist einerseits branchenspezifisch oftmals kaum umsetzbar und – je genauer man sich damit im realen, wirtschaftlichen Umfeld auseinandersetzt – nachweislich schwammig und mit hohem Interpretationsspielraum.

Viele Probleme waren schon vor Inkrafttreten bekannt. Allerdings konzentrierte sich die mediale Berichterstattung nahezu ausschließlich auf die hohen Strafrahmen.
Dies führte letztendlich dazu, dass eine Besonderheit – und wir wären ja nicht in Österreich, wenn wir hier nicht eine Sonderstellung einnehmen würden – nahezu vollkommen an den Betroffenen vorüberging. Wobei hier die Betroffenen nicht die Betroffenen im Sinne der DSGVO zu verstehen sind sondern all jene, die mit der Umsetzung zu kämpfen hatten und haben: Einzelunternehmer, KMUs, Großfirmen und Konzerne – im Speziellen dann auch deren Anwälte, innerbetriebliche oder externe Datenschutzbeauftragte, IT Abteilungen, etc.

Die DSGVO hat vorgesehen, dass jede Nation entsprechende Anpassungsgesetze einrichten kann. Diese dürfen aber Vorgaben der DSGVO logischerweise in keiner Form aufheben oder einschränken. Diese sogenannten Datenschutz-Anpassungsgesetze (DAG) traten zeitgleich mit der DSGVO in Kraft. Somit gelten EU-übergreifend die DSGVO und jeweils länderspezifisch diese Datenschutz-Anpassungsgesetze – in Österreich verlautbart mittels des Bundesgesetzblattes I Nr. 120/2017.

Jedoch, wir wären ja nicht in Österreich, hätten wir nicht noch zusätzlich das Datenschutz-Deregulierungs-Gesetz (DSDRG) erfunden. Viele Datenschützer haben dieses als Aufweichung der DSGVO betrachtet und es ging ein lauter Aufschrei durch die entsprechenden Medien – allerdings nicht durch alle klassischen Medien und so verhallte dieser Aufschrei weitestgehend unbeachtet gemeinsam mit dem allgemeinen Bewusstsein, dass es diese Besonderheit in Österreich überhaupt gibt. Und wer’s nicht glaubt: das DSDRG wurde mit Bundesgesetzblatt I Nr 24/2018 verlautbart.

Dabei hat das DSDRG einige wichtige Änderungen bewirkt – speziell für EPUs und KMUs. Und da diese weitestgehend unbekannt sind, will ich auf diese hier nun ein wenig näher eingehen.

Strafe eher unwahrscheinlich
Beginnen wir daher gleich mit dem bekanntesten Thema: die angedrohten Strafen. Das DSDRG hat hierbei nun festgelegt, dass die Datenschutzbehörde (DSB) die DSGVO so zur Anwendung bringen wird, dass die Verhältnismäßigkeit gewahrt bleibt. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.

Dies ist zwar bei weitem kein Freibrief – aber immerhin ein valides Hilfsmittel. Solange ich bei einem Verstoß nachweisen kann, dass dieser nicht vorsätzlich und im vollen Bewusstsein erfolgte, wird die Datenschutzbehörde eine Verwarnung aussprechen und dieser ist dann durch entsprechende Anpassung Folge zu leisten. Hier konnten wir in anderen Ländern bereits andere Vorgehensweisen erleben. Wichtiger Fakt hierbei ist, dass – sollte eine Anfrage durch die Behörde zu einem Verdacht auf Verstoß gegen die DSGVO erfolgen – immer basierend auf der DSGVO und den Erwägungsgründen argumentierbar ist warum, wie, zu welchem Zweck und wie lange bestimmte Daten verarbeitet werden. Selbstverständlich besteht dann die Möglichkeit, dass hier dann die DSB eine andere Auffassung vertritt und eine entsprechende Weisung ausspricht. Dieser sollte man im Normalfall auch folgen – außer man hat eine sehr gut vertretbare andere Rechtsauslegung und kann sich einen Rechtsstreit gegen die DSB leisten. Letzteres ist grundsätzlich nicht unwillkommen, denn auch die DSB agiert letztendlich auch nur auf einer Interpretation der DSGVO und nur ein finaler Gerichtsentscheid führt langfristig zu entsprechender Rechtssicherheit.

Auskunftserteilung nicht ohne Wenn und Aber
Eine weitere nicht unerhebliche Änderung gibt es im Bereich der Verpflichtung zur uneingeschränkten Auskunftserteilung gegenüber Betroffenen. Grundsätzlich sieht die DSGVO vor, dass jeder Betroffene das Recht hat alle Informationen, die seine Person betreffen und bei einem Unternehmen verarbeitet werden uneingeschränkt zu erhalten. Diese Problematik wurde erkannt und dahingehend angepasst, dass die Auskunft um Bereiche eingeschränkt werden kann, die Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würden. Dieser Punkt ist aus Sicht der Anfragenden sicherlich auch kritisch zu hinterfragen – man sollte sich auf jeden Fall davor hüten vieles als Geschäfts- oder Betriebsgeheimnis anzusehen. Im Falle einer Kontrolle durch die DSB muss man eine etwaige negative Auswirkung der Offenlegung schlüssig nachweisen können.

Strafrisiko für Unternehmen verbessert
Oft wird sich herausstellen, dass eine Datenschutzverletzung durch einen einzelnen oder mehrere Mitarbeiter verursacht wurde. Beispielsweise könnte ein Mitarbeiter eine Datenbank kopieren und vorsätzlich in geschäftsschädigender Art weiterreichen oder publizieren. Entsprechend der DSGVO ist selbst in solchen Fällen das Unternehmen haftbar. Dieser Punkt könnte im Bedarfsfall strittig werden. Denn hier war die Definition des Datenschutz-Deregulierungs-Gesetzes unaufmerksam, denn § 30 Art 2 des ebenfalls gültigen Datenschutz-Gesetzes (DSG) sieht explizit vor, dass juristische Personen verantwortlich gemacht werden können, wenn die mangelnde Überwachung oder Kontrolle die Datenschutzverletzung durch den „untergeordneten Mitarbeiter“ ermöglicht hat. Straffrei bleibt ein Unternehmen demnach nur dann, wenn nachgewiesen werden kann, dass es ein ausreichendes internes Kontrollsystem gibt und der konkrete Verstoß nicht vorhersehbar bzw. vermeidbar war. Gelingt dieser Nachweis nicht, wird vermutet – und diese Vermutung geht im Übrigen im Zweifel gegen das Unternehmen! - dass es keine ausreichenden Kontrollmaßnahmen gibt. Es ist somit strittig welche gesetzliche Regelung die jeweils andere überwiegt.

Strafen wenn möglich nicht gegen natürliche Personen
Neben einigen weiteren – für EPUs und KMUs eher irrelevanten – Deregulierungen gibt es aber letztendlich noch eine wichtigere Anpassung welche somit ebenfalls nur für Unternehmen, die der Österreichischen Datenschutzbehörde unterstehen, gilt: In Österreich werden Verwaltungsstrafen grundsätzlich nicht gegen die Unternehmen verhängt, sondern gegen natürliche Personen. Die DSGVO bzw. das österreichische Datenschutz-Gesetz sieht aber vor, dass die Strafen gegen die Unternehmen zu verhängen sind. Um Missverständnissen vorzubeugen wurde nunmehr explizit darauf hingewiesen, dass man nicht zusätzlich eine natürliche Person (z.B. den Vorstand) strafen darf, wenn bereits eine Strafe gegen das Unternehmen als solches erlassen worden ist.

Was passiert, wenn die Behörde eingreift?
Es stellt sich somit die Frage: was passiert im Zuge einer Datenschutzverletzung? Wie und wann schreitet die Datenschutzbehörde ein? Hier kann man keine allgemeingültige Aussage treffen, da dies jeweils vom konkreten Fall abhängig ist. Auf jeden Fall ist eine Datenschutzverletzung bei Cyber-Attacken, unberechtigten Daten-Abgriffen aber auch bei Irrtum (zB: Kontoauszug wurde an falschen Kunden geschickt) meldepflichtig. Die Meldung muss bei Bekanntwerden des Vorfalls durch den Verantwortlichen innerhalb von 72 Stunden erfolgen. Betroffene können die Meldung jederzeit erstatten.

Liegt nunmehr eine Meldung bei der Datenschutzbehörde vor, so entscheidet diese über die weiteren Schritte. Im Regelfall wird es mit dem Datenschutzbeauftragten (und falls nicht bestimmt mit dem Unternehmen selbst) Kontakt aufnehmen, weitere Informationen und Unterlagen einfordern und dann die weitere Vorgehensweise festlegen. Im Regelfall wird dann durch die Datenschutzbehörde entweder das Verfahren eingestellt (wenn der Verantwortliche zeitnah die entsprechenden Schritte gesetzt hat) oder einen Sachverständigen beauftragen, die konkrete Sachlage zu dokumentieren. In den seltensten Fällen kommt es auch wirklich zu einer Verwaltungsstrafe. Diese wird – wie das aktuelle Beispiel der österreichischen Post AG zeigt – nur dann verhängt, wenn es offensichtlich zu einer vorsätzlichen Verletzung der DSGVO gekommen ist. Selbst im konkreten Fall wurde versucht eine Einigung zu treffen, wurde aber durch Darstellung als bewusstes Geschäftsmodell und weiterer Uneinsichtigkeit mit einer Verwaltungsstrafe von EUR 18 Mio. belegt.

Somit kann man letztendlich klar feststellen: ja, man ist in Österreich besser dran. Aber das Datenschutz-Deregulierungsgesetz ist – entgegen aller Proteste von diversen Datenschützern – mit Sicherheit kein Freibrief.