Das Datenschutz-Deregulierungsgesetz 2018: Eine Analyse

01.05.2018 - Michael Kornfeld

In aller Eile wurde von der österreichischen Regierung das "Datenschutz-Deregulierungsgesetz 2018" beschlossen. Es sieht einige wichtige Punkte vor, die für KMUs zwar eine Entlastung darstellen - doch viele Punkte sind leider problematisch.

 

Wir haben die wichtigsten Neuerungen für Sie zusammengestellt:

 

Verwarnungen statt Strafen

Die Datenschutzbehörde soll "bei erstmaligen Verstößen" nur verwarnen und nicht strafen können. Es braucht also kein Unternehmen bei einem erstmaligen Verstoß Angst vor einer Millionenstrafe zu haben.

 

Es könnte sich nun eine Erleichterung unter vielen KMUs breit machen, doch diese Bestimmung könnte gegen die DSGVO verstoßen und wieder gekippt werden.

 

Außerdem können Betroffenen zivilrechtliche Ansprüche (auch auf immateriellen Schadenersatz) geltend machen und Konkurrenten nach dem UWG vorgehen. Die Strafbestimmung der DSGVO ist somit zwar aufgeweicht worden, aber Unternehmen sollten das Thema nach wie vor sehr ernst nehmen!

 

Aufweichung des Auskunftsrechts

Unternehmen sollen Auskünfte über personenbezogene Daten verweigern können, wenn dadurch Betriebsgeheimnisse von ihnen selbst oder von Dritten gefährdet sind.

 

Das ist hochgradig problematisch, denn damit können Unternehmen relativ leicht ein Auskunftsbegehren verweigern - es reicht der Hinweis auf die Wahrung eines Betriebsgeheimnisses. Das muss zwar wohl gut argumentiert werden, doch könnte das in der Praxis eine massive Erschwerung der Auskunftsrechte für die Betroffenen bedeuten.

 

Sammelklagen werden massiv erschwert

Verbände (wie noyb oder epicenter.works) dürfen keine Österreicher vertreten, wenn das beklagte Unternehmen seinen Sitz außerhalb Österreichs hat. Außerdem können sie nun auch nicht mehr Schadenersatz fordern, wenn sie im Namen von Betroffenen vor Gericht ziehen - das müssen die Betroffenen individuell tun.

 

Datenschützer Max Schrems bringt es auf den Punkt: "Diese Regierung hat es vollbracht, dass es nun einfacher ist, lokale Unternehmen zu verklagen als Google oder Facebook".

 

Keine Betroffenen-Rechte für juristische Personen

In Österreich gab es mit dem DSG 2000 die einzigartige Situation, dass auch juristische Personen Betroffenen-Rechte (z.B. das Auskunftsrecht) geltend machen konnten. Diese Besonderheit ist in der DSGVO nicht vorgesehen - und nun auch in Österreich nach dem 25. Mai 2018 nicht mehr gültig.

 

Diese Änderung ist EU-konform, damit können also auch in Österreich nur natürliche Personen Betroffenen-Rechte geltend machen.

 

Behörden können nicht gestraft werden

Alle "öffentliche Stellen" und privatrechtlich agierende Stellen mit "gesetzlichem Auftrag" sind von Geldbußen ausgenommen. Das gilt zum Beispiel auch für Krankenhäuser und ähnliche Institutionen: Für Sie gelten zwar auch die Bestimmungen der DSGVO, doch Geldstrafen haben Sie keine zu befürchten.

 

Auch das ist leider eine problematische Entwicklung. Denn die Erfahrung zeigt: Wenn keine Strafen drohen, wird oft auch das Thema in der Praxis weniger ernst genommen.

 

Management-Haftung deutlich reduziert

Für Verstöße, die von Mitarbeitern begangen werden, kann nun nicht das Unternehmen haftbar gemacht werden. Es sei denn, es war das Management darin involviert oder es haben interne Kontrollen versagt.

 

Ausnahmen für Kunst, Medien und Wissenschaft und Forschung

Für Medien gibt es nun eine Ausnahme, für Sie gelten nicht die gleichen strengen Regeln im Umgang mit personenbezogenen Daten, "soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen".

 

Das Redaktionsgeheimnis muss bei potenziellen Datenschutz-Verstößen berücksichtigt werden, das macht durchaus Sinn. Allerdings ist unklar (und problematisch), weshalb Künstler oder Wissenschaftler von Ihren Datenschutz-Pflichten ausgenommen werden sollen. Diese Bestimmung könnte sich allzu sehr als unerwünschter "Freibrief" herausstellen.

 

Fazit: Licht und Schatten

Die österreichische Regierung hat das heftig kritisierte Datenschutz-Anpassungsgesetz zwar nun repariert, doch ist die Reparatur keineswegs gelungen.

 

Es gibt einige begrüßenswerte Neuerungen, doch allzu viele Bestimmungen sind entweder sehr vage oder sehr problematisch, wenn das Thema Datenschutz in den Unternehmen stärker als bisher verankert werden soll.

 

Zudem könnten mehrere Bestimmungen gegen die DSGVO verstoßen und deshalb durch den EUGH als unzulässig aufgehoben werden - Rechtssicherheit für österreichische Unternehmen sieht wohl anders aus.

 

Gefällt Ihnen dieser Artikel?

Rund 1x/Monat bekommen Sie die besten Artikel kostenlos in Ihre Inbox.

Newsletter abonnieren

 
 
Maus