Andreas Schütz ©David Sailer / Taylor Wessing
Wien. Vor einer Bagatellisierung der Datenschutz-Grundverordnung (DSGVO) warnen jetzt mehrere große Wirtschaftskanzleien: Auch nach den Anpassungen in letzter Minute drohen drastische Strafen, heißt es: „Die DSGVO ist nicht entschärft.“
Die Europäische Datenschutzgrundverordnung tritt bekanntlich am 25. Mai 2018 in Kraft. Nachdem in Österreich zur Umsetzung der DSGVO bereits im Juli 2017 das Datenschutz-Anpassungsgesetz 2018 erlassen worden war, wurde dieses wie berichtet am 20. April 2018 durch das aktuelle Datenschutz-Deregulierungsgesetz 2018 nochmals und kurzfristig novelliert.
Einige der Änderungen im Endspurt erwischten auch zahlreiche IT-Rechtsprofis am falschen Fuß, machten sie doch die DSGVO in Österreich zu einem Papiertiger, wie es Datenschützer formulierten.
Oder jedenfalls schien es zunächst so. Österreich habe der DSGVO „die Zähne gezogen“, formulierte es das deutsche IT-Fachportal heise. Doch inzwischen mehren sich wieder die warnenden Stimmen. Etliche Wirtschaftskanzleien fordern derzeit Klienten und Öffentlichkeit auf, die DSGVO keinesfalls auf die leichte Schulter zu nehmen.
Sie ist doch nicht entschärft worden?
So heißt es bei Wirtschaftskanzlei Taylor Wessing (Büro Wien), dass „Datenschutzverstöße weiterhin keine Kavaliersdelikte“ seien. Zwar sei der Aufschrei in der Öffentlichkeit enorm, von Datenschützern höre man durchwegs empörte Wortmeldungen – und auf Seite der Wirtschaft zustimmenden Applaus. Andreas Schütz, Datenschutz-Spezialist bei Taylor Wessing sieht jedoch „keinesfalls einen Freibrief“ für Datenschutzverstöße in der Novelle.
Zwar bringe das am 20. April beschlossene Datenschutz-Deregulierungsgesetz für Unternehmer einige Erleichterungen, zählt Schütz auf:
- So sei etwa – aus unternehmerischer Sicht – positiv, dass die Novelle Sammelklagen und anderen konsumentenschutzrechtlichen Instrumenten und Verfahrensmöglichkeiten weiterhin keinen Platz einräume.
- Auch die Änderung der Anwendbarkeit des Grundrechts auf Datenschutz „ausschließlich“ auf natürliche Personen zu beschränken, könne zumindest als befriedigende Klarstellung angesehen werden.
Gleichzeitig aber warnt Schütz davor, die DSGVO auf die leichte Schulter zu nehmen: „Das nunmehr gesetzlich vorgeschriebene Vorgehen der Datenschutzbehörde, zuerst abzumahnen und erst in Wiederholungsfällen zu strafen, sollte keinesfalls eine Überraschung sein.“ Es stehe dies im Einklang mit der durch die DSGVO vorgegebenen ‚Verhältnismäßigkeit‘, so Schütz.
- Laut Taylor Wessing würde beispielsweise ein Ersttäter, der bewusst und vorsätzlich schwere Verstöße gegen Datenschutzvorschriften begeht, wohl nicht mit einer Verwarnung davonkommen.
- Nicht unwesentlich seien auch Änderungen hinsichtlich des Auskunftsrechts. Schütz: „Selbstverständlich dürfen betroffene Personen weiterhin nach ihren Daten fragen, berührt diese Auskunftspflicht jedoch ‚Betriebsgeheimnisse‘, kann es zu einer Auskunftsverweigerung kommen.“
Straffreiheit in Österreich?
Auch Wirtschaftskanzlei Wolf Theiss erinnert in einer aktuellen Klienteninfo an die in der DSGVO vorgesehenen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes.
Nun möchte Österreichs Deregulierungs-Gesetz zwar bereits in Überschriften wie „Verwarnung durch die Datenschutzbehörde“ signalisieren, dass zunächst einmal gewarnt und nicht gestraft werden soll.
Das könnte auch in der Praxis durchaus relevant sein, etwa wenn es um kleine und mittlere Unternehmen (KMU) geht, denen die Umsetzung der DSGVO viel abverlange. Aber, schreiben die beiden Wolf Theiss-Spezialisten Georg Kresbach (Partner) und Martin Tauber (Associate): „Schon bisher hat die Datenschutzbehörde bei der Strafzumessung den Umstand der Ersttat und der Schwere der Schuld berücksichtigt und nicht selten blieb es in solchen Fällen nur bei einer Verwarnung.“
Doch Kresbach und Tauber halten fest, dass es „kaum vorstellbar“ sei, dass die Behörde es gegenüber einem Ersttäter, der vorsätzlich einen schweren Verstoß begangen hat, bei einer Verwarnung belässt.
Dazu sei es fraglich, ob die Datenschutzbehörde – der durch die DSGVO Unabhängigkeit garantiert wird – durch eine nationale Bestimmung wie die österreichische überhaupt eingeschränkt werden könne.
Wolf Theiss weist auch auf eine Reihe von noch bestehenden Unklarheiten hin, etwa bei der Behandlung von Straftaten, die bereits vor dem Inkrafttreten der DSGVO begonnen worden sind und permanent fortdauern.
Link: Wolf Theiss
Link: Taylor Wessing
