Max Schrems: „Ich hätte nie gedacht, dass 20 Mio. Strafausmaß durchgehen“

Auf der Partner Roadshow des Netzwerk- und IT-Spezialisten Barracuda Mitte September in Wien sprach Max Schrems über die An-und Herausforderungen bei der Umsetzung der EU-DSGVO. Die Computerwelt sprach mit dem Juristen und Datenschutzaktivisten über rechtliche Konsequenzen. [...]

Mit der Datenschutz-Grundverordnung wollte die EU eine möglichst technologieneutrales Gesetz schaffen, dass nicht beim Aufkommen einer neuen Technologie gleich aus den Angeln gehoben wird, sondern noch Jahrzehnte Bestand hat. Deswegen müssen Unternehmen im Sinne eines „Self-Assessments“ die Gefahren für ihr Unternehmen selbst abschätzen und hier dann nach dem aktuellen Stand der Technik Vorkehrungen treffen, dass ihre (personenbezogenen) Daten gut geschützt sind. Dabei hilft es, immer alles äußerst penibel zu dokumentieren, damit im Falle eines Falles nachgewiesen werden kann, dass wirklich alles Nötige zu Schutz der Daten gemacht wurde. Durch diese technologieneutrale Formulierung sind aber einige Passagen der DSGVO sehr vage, oder wie Max Schrems es formuliert, „sehr schwammig“ ausgefallen. Einen Knalleffekt setzte die EU mit der Einführung von extrem hohen Strafen: 4 Prozent des weltweiten Jahresumsatzes oder bis 20 Millionen Euro.
Obgleich die DSGVO bereits im Ami 2018 in Kraft tritt, herrscht bei vielen Unternehmen noch Informationsbedarf. Die COMPUTERWELT berichtet regelmäßig darüber, wie man der DSGVO am technisch am Besten begegnet. Im Gespräch mit Max Schrems wollten wir mehr über die rechtlichen Hintergründe erfahren, die auch für Techniker durchaus interessant sind. 
Wie bewerten Sie die DSGVO?
Max Schrems: An und für sich positiv. Aber bei der Höhe der Strafen finde ich die 20 Millionen zu hoch. Die vier Prozent finde ich gut, aber die 20 Millionen gelten auch für Ein-Personen-Unternehmen und da hätten auch 100.000 Euro gereicht. Man hätte sagen können 100.000 Euro als Mindeststrafe und darüber hinaus 4 Prozent vom Umsatz und dann hätte man alle abgedeckt. Oder wenn es unbedingt besonders abschreckend sein soll, dann halt 500.000 Euro als Mindeststrafe. Ich hätte mir nie gedacht, dass 20 Millionen Strafausmaß durchgehen. 
Das heißt doch, dass es sehr stark darauf ankommt, wie die Gerichte entscheiden?
Nicht die Gerichte, die Behörden. Es ist die Datenschutzbehörde und dann geht es mit Rechtsschutz über die Instanzen. – bei uns bis zum Bundesverwaltungsgericht, das einen solchen Bescheid nochmals überprüfen kann. 
Das bedeutet, dass es innerhalb der EU dann unterschiedliche Behörden gibt, die hier unterschiedlich vorgehen…
Wahrscheinlich ja.
… und dass manche Länder härter als andere vorgehen werden?
Ja, aber das gibt es auch heute schon. Die Steuerbehörden in Irland agieren anders als jene in Deutschland. 
Aber wird die EU-Kommission nicht darauf achten, dass dies überall gleich verhandelt wird?
Es gibt die Möglichkeit eines Vertragsverletzungsverfahrens. Man kann z.B. gegen die Behörde in Irland ein Vertragsverletzungsverfahren anstoßen, in dem man der Behörde vorwirft, dass sie ihren Job nicht richtig erledigt. Das Grundproblem der EU ist, dass sie nur Recht machen kann, aber die Durchsetzung nationalstaatlich ist. Wenn z.B. der ungarische Premierminister Orban sagt, der Paragraph XY interessiert mich nicht, dann ist das so. Das ist ein Konstruktionsproblem der EU, dass die Mitgliedstaaten hier ihre Zuständigkeit nie abgegeben haben, denn sie wollen ja auch am Ende selber entscheiden. Dafür wird immer die EU verantwortlich gemacht, aber in Wirklichkeit haben die Mitgliedstaaten ihr die Kompetenz nie gegeben. 
Die Vertragsverletzungsverfahren müssen von der Kommission gemacht werden. Es wäre besser, wenn es hier einen neutralen Staatsanwalt gibt, der die Mitgliedstaaten neutral verklagt, wenn sie sich nicht an Vereinbartes halten. Jetzt aber ist das immer ein Politikum. Manche sagen, wenn wir alle EU-Mitgliedstaaten bei allen Vertragsverletzungen klagen, dann könnten wir die nächsten 1.000 Jahre klagen, weil es im Detail sehr viele Sachen gibt, die nicht eingehalten werden. 
Sie behaupten, es gibt Dinge in der österreichischen Verfassung, die mit der DSGVO nicht in Einklang sind?
Ich muss mich hier noch genauer einlesen, aber die 20 Mio. Euro Strafe sind eine so hohe Strafe, die wir in Österreich  im Verwaltungsverfahrensrecht gar nicht kennen. Hier geht es üblicherweise um ein paar tausend Euro. So hohe Strafen können nur vom Strafgericht, nicht aber vom Verwaltungsgericht verhängt werden. Denn im Strafrecht hat man einen Kläger und ein neutrales Gericht etc., aber im Verwaltungsrecht ist es so, dass die Datenschutzbehörde Ankläger und Richter gleichzeitig ist. Man hat hier viel weniger Möglichkeiten der Verteidigung. Und es gibt viele weitere Diskrepanzen zwischen österreichischem Recht und der DSGVO. Das ist auch der Grund, warum Österreich gegen die Verordnung gestimmt hat. Einerseits war es Österreich zu lasch, andererseits kann es teilweise mit unserem Verfassungsrecht sehr schwer in Einklang gebracht werden. 
Aber das EU-Recht ist über dem nationalen Verfassungsrecht angesiedelt?
Ja. Das ist ein Grundkonstruktionsproblem des EU-Rechts. 
Was heißt das konkret?
Unser Verfassungsrecht ist weiterhin da und gültig,, aber es wird in diesen Bereich überlagert und ist nicht anwendbar. Hier gibt es verschiedene philosophische Ansätze der Europarechtsgelehrten. Ein Kernänderung unseres Verfassungsrechts benötigt eine Zweidrittelmehrheit des Parlaments und eine Volksabstimmung. Beim EU-Beitritt wurden natürlich ein paar Sachen aufgegeben. Es gibt aber die Lehrmeinung, dass es einen Kernbereich der Verfassung gibt, den wir beim Beitritt nicht aufgegeben haben. Hier geht es z.B. um verfassungsrechtliche Fragen, wie „Wo hört das Strafrecht auf und wo fängt das Verwaltungsrecht an?“. Hier gibt es keine rote Linie. Es ist nicht eindeutig klar, was zum Kernbereich gehört und was nicht. Es gibt die Meinung, dass EU-Recht den Kernbereich der Verfassung aus österreichischer Sicht nicht betreffen kann, weil wir den nationalstaatlich nie aufgegeben haben. Dann wäre die EU-DSGVO aus österreichischer Sicht unanwendbar. Das ist ein Grundproblem des EU-Rechts, wie es mit nationalem Verfassungsrecht zusammengeht.
Es gibt z.B. europaweit keinen gemeinsamen Ansatz, wie weit Strafen gehen dürfen. Ich finde z.B. den prozentuellen Ansatz der DSGVO logisch, weil für ein Kleinunternehmen 20.000 Euro auch bedrohend sind. Für ein Großunternehmen sind die 20.000 Euro es nicht einmal wert einen Anwalt anzustellen, da zahlt man lieber. So gesehen ist der Prozentsatzansatz sehr sinnvoll, aber doch ganz anders als in Österreich bisher gestraft wurde. 
Neue Technik und Recht ist schwer zusammenzubringen. Bei Künstlicher Intelligenz und selbstfahrenden Autos gibt es ja auch überhaupt keinen Rechtsrahmen…
Ja, aber vieles kann aber immer noch mit dem Allgemeinen Bürgerlichem Gesetzbuch abgehandelt werden. Wenn z.B. jemand durch eine Künstliche Intelligenz diskriminiert wird, fällt das trotz neuer Technologie immer noch unter den Diskriminierungsschutz. 
Aber es wird sehr spannend hinsichtlich „automatischer Entscheidungen“ und ist auch bei der EU-DSGVO diskutiert worden. Hier hat man sich aber auf überhaupt nichts einigen können, deswegen ist diesbezüglich ein sehr verwässerter Paragraph da, der rein gar nichts bringt.
Ich bin ein Freund davon, dass man viele Sachen mit ganz klassischem behördlichen Recht auch lösen kann. Ich glaube nicht, dass man für jede neue Technologie ein neues Gesetz machen muss, sondern man sollte probieren, es in abstrakte Boxen zu schieben und technologieneutral zu machen. Man muss es aber gut machen. 
Natürlich gibt es schon auch Phänomene, die neu sind: Ich brauche eine Straßenverkehrsordnung, wenn ich Autos habe, oder die Frage nach Netzneutralität stellt sich erst mit dem Aufkommen des Internet. Aber dennoch kann man viele Verantwortungen auch mit bestehenden Instrumenten auffangen bzw. muss man halt da und dort noch ein Schräubchen drehen, damit wirklich alle entsprechenden Dinge abgedeckt sind. 


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*