Die Novelle der Novelle des Datenschutzgesetzes

Wieder wurden durch Adaption der Gesetzesvorlage parteipolitische Interessen über die Sachpolitik gestellt und so in letzter Minute die schon greifbar nahe Einigung zunichte gemacht. [...]

Wieder eine Gelegenheit verpasst. Ein Co-Kommentar (c) Pixabay
Wieder eine Gelegenheit verpasst. Ein Co-Kommentar (c) Pixabay

Das nun beschlossene Datenschutz-Deregulierungsgesetz sollte eigentlich die durch die politischen Umstände entstandenen legistischen Mängel des DSG 2018 beseitigen. Neuerlich konnten sich die Parteien aber im Parlament nicht auf eine gemeinsame Linie einigen und ist damit der nächste Versuch der Erzielung der notwendigen Verfassungsmehrheit gescheitert. Wieder wurde der ursprüngliche Gesetzesentwurf während des laufenden Verfahrens adaptiert und abweichend beschlossen. Damit wurden neuerlich parteipolitische Interessen über die Sachpolitik gestellt und so in letzter Minute die schon greifbar nahe Einigung zunichte gemacht.

Kein Schutz juristischer Personen unter der DSGVO

Mangels Zweidrittel-Mehrheit im Nationalrat konnte das verfassungsrechtlich geschützte Recht auf Datenschutz für jedermann – sohin auch für juristische Personen – in § 1 DSG neuerlich nicht wie geplant abgeändert und auf natürliche Personen beschränkt werden.

Obwohl das Grundrecht mangels Umsetzungsvorschriften im DSG 2018 zwar eine sehr zahnlose Hülle ist, wäre es im Sinne der Rechtsicherheit und der oft angekündigten Entschlackung der Gesetze sinnvoll gewesen, eine legistische Klarstellung des Anwendungsbereichs des DSG 2018 vorzunehmen. Nachdem dies auf der Verfassungsebene nicht möglich war, hat die Regierung genau dies nun in § 4 DSG 2018 einfachgesetzlich gemacht: So regelt diese Bestimmung nun, dass die DSGVO und das DSG 2018 nur für die Verarbeitung personenbezogener Daten natürlicher Personen anwendbar sind. Damit ist nun zumindest einfachgesetzlich klar, dass die DSGVO auf die Daten von juristischen Personen nicht zur Anwendung kommt. Als Wermutstropfen bleibt, dass das wieder nicht gelöschte datenschutzrechtliche Grundrecht für juristische Personen im § 1 DSG 2018 parallel ohne eindeutig geklärten Anwendungsbereich offen bleibt.

Verhältnismäßige Strafen

Zuletzt haben sich bereits informelle Äußerungen von Vertretern der nationalen, aber auch von internationalen Datenschutzbehörden gemehrt, wonach das neue Strafausmaß von EUR 10 bzw 20 Millionen nur verhältnismäßig angewandt werden wird. So wurde mehrfach betont, dass bei der Strafzumessung zahlreiche Aspekte wie Schwere des Verstoßes (Art der betroffenen Daten und Ausmaß des möglicherweise drohenden Schadens), die Vorwerfbarkeit der Datenschutzverletzung (Vorsatz oder Fahrlässigkeit), die Dauer der Verletzung (einmalige Handlung oder fortgesetzte Gesetzesmissachtung), der Umfang der Verletzung (wie viele Daten von wie vielen Betroffenen sind erfasst), die Schwere des Eingriffs (sind auch besonders geschützte Kategorien von Daten wie Gesundheitsdaten betroffen), aber auch die Größe und Leistungsfähigkeit des Unternehmens berücksichtigt werden. Damit ist bereits klar, dass einem typischen KMU im Normalfall keine Millionenstrafe droht.

In diese Kerbe schlägt nun auch eine Anpassung des DSG 2018, wonach die Datenschutzbehörde bei der Bestrafung die Verhältnismäßigkeit zu wahren hat. Insbesondere habe sie bei erstmaligen Verstößen im Einklang mit Art 58 DSGVO von ihrer Abhilfebefugnis insbesondere durch Verwarnen Gebrauch zu machen (§ 11 DSG 2018). Diese tatsächlich bloße Klarstellung des Telos der DSGVO unter Rückverweis auf die europarechtlichen Bestimmungen hat zuletzt zu einem großen unberechtigten medialen Aufschrei gesorgt. So war davon die Rede, dass Österreich unionsrechtswidrig der DSGVO die Zähne ziehen würde. Das ist freilich nicht der Fall. So entspricht es dem österreichischen Verwaltungsstrafprinzip, dass insbesondere bei Ersttätern unter Beachtung der gesamten Umstände des Einzelfalles auch eine bloße Ermahnung in Betracht zu ziehen ist. Ernste und schwerwiegende Verstöße können und werden aber geahndet werden. Somit ist weder die in den vergangenen Monaten oft übertriebene Hysterie vor übermäßigen Strafen angebracht, noch die nunmehr medial verbreitete Verharmlosung. Tatsächlich werden sich die zu verhängenden Strafen verhältnismäßig europaweit einpendeln.

Keine Doppelbestrafung

Ein weiterer Mythos, der zuletzt in der medialen Berichterstattung strapaziert wurde, war, dass es sich Unternehmen durch quasi Abholen einer Verwaltungsstrafe für ein gelinderes Vergehen Straffreiheit für den Datenschutzverstoß erwirken könnten. Auch das ist unrichtig und durch den Gesetzestext, aber auch die europäischen Vorgaben nicht gedeckt. So ist zum Beispiel eine auf Basis einer ungesetzlichen Datenverarbeitung fußende Direktmarketingmaßnahme per E-Mail sowohl als Verstoß gegen das SPAM-Verbot nach § 107 TKG, aber auch der DSGVO zu bestrafen. Es ist hier nicht möglich, mit der nun vergleichsweise günstigen Geldbuße von EUR 37.000 nach dem TKG die höheren Strafen nach der DSGVO auszuhebeln.

Keine Strafen für öffentliche Stellen

Bereits mit der Erstfassung des DSG 2018 hat die Bundesregierung von der Öffnungsklausel Gebrauch gemacht, die öffentliche Hand von etwaigen Strafen unter der DSGVO auszunehmen. Hier wurde nun mit dem Deregulierungsgesetz erklärend ergänzt, dass darunter sowohl in Formen des öffentlichen, als auch des Privatrechts eingerichtete Stellen verstanden werden können, die im gesetzlichen Auftrag handeln. Dementsprechend kann auch eine beliehene GmbH, die in Vollziehung der Gesetze tätig ist, für etwaige Datenschutzverletzungen nicht belangt werden. So wichtig die Klarstellung im Hinblick auf den sonst unklaren Begriff der öffentlichen Stelle ist, so kritikwürdig ist die generelle Ausnahme des öffentlichen Bereichs vom Strafenregime. Schließlich kann die verpflichtende Bestellung eines Datenschutzbeauftragten nach der bereits gewonnenen Erfahrung nicht wirklich ausreichende Awareness für die Einhaltung der datenschutzrechtlichen Vorgaben schaffen.

Weitere kleinere Änderungen

Eine weitere Änderung betrifft die Einschränkung des Rechts von Verbänden, bei Klagsführung auch Schadenersatz für die Betroffenen geltend zu machen. Daneben gibt es auch noch einige weitere Klarstellung und Adaptierungen wie zum Beispiel Ausnahmen der Anwendung der DSGVO für Journalisten zur Sicherung der Medienfreiheit, Beschränkungen des Auskunftsrechts zur Wahrung von Betriebsgeheimnissen und die Erleichterung der Verarbeitung personenbezogener Daten für wissenschaftliche und künstlerische Zwecke.

Fazit

Insgesamt nimmt das Datenschutz-Deregulierungsgesetz einige wichtige und praxisnahe Anpassungen am DSG 2018 vor. Es ist freilich aber bei weitem nicht der große Wurf, schon gar nicht, aber wie manche Medien unken, ein Weichspülen der bestehenden Bestimmungen. Dies wäre europarechtlich auf Grund der klaren Vorgaben der DSGVO auch gar nicht möglich.

*) Axel Anderl ist Managing Partner bei DORDA Rechtsanwälte, leitet das IT/IP Team und ist Co-Leiter der Datenschutzgruppe. Nino Tlapak ist Rechtsanwalt bei DORDA Rechtsanwälte und auf Datenschutzrecht spezialisiert.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*