Die DSGVO tritt in Kraft. Der nationale Spielraum hat den Plan einer Vereinheitlichung jedoch durchkreuzt.
Hinweis: Der Inhalt dieser Seite wurde vor 6 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.
Wien. So wenig man bisher über die Wege seiner Daten wusste, die diese im Netz einschlugen, so intensiv sieht man sich aktuell mit der Datenschutz-Grundverordnung (DSGVO) der EU konfrontiert, die am 25. Mai nach zweijähriger Übergangsfrist in Kraft tritt: In den vergangenen Tagen und Wochen mussten sich Newsletter-Bezieher durch Zustimmungserklärungen unterschiedlichster Art klicken, in denen es um die Verarbeitung ihrer Daten -und die weitere Zusendung der Newsletter ging. Dass das Schützen personenbezogener Daten Thema ist, ist somit zumindest für die meisten E-Mail-Nutzer offensichtlich. Ob die Datenschutz-Grundverordnung der EU tatsächlich dabei hilft, wird sich aber erst weisen.
Grundsätzlich soll mit dieser der Datenschutz einheitlich und EU-weit gewährleistet werden. Für die Umsetzung muss in gewissen Unternehmen wie all jenen, die datengetriebene Geschäftsmodelle verfolgen, ein Datenschutzbeauftragter installiert sein. Bei Nicht-Gewährung des Datenschutzes drohen höhere Verwaltungsstrafen als bisher: Bis zu 20 Millionen Euro respektive vier Prozent des Konzernumsatzes des vorangegangenen Jahres sind möglich - je nachdem, welche Summe höher ist. Bisher lag die Höchststrafe bei 10.000 Euro.
"Verwarnen statt Strafen" könnte vor EuGH nicht halten
Nationale Beschränkungen der Grundverordnung haben den Plan einer Vereinheitlichung jedoch durchkreuzt. Diese sind möglich, sofern es "notwendig und verhältnismäßig" ist, heißt es in der Grundverordnung - äußerst vage formuliert. In Österreich hat dieser Spielraum dazu geführt, dass man basierend auf dem Deregulierungsgesetz vom April dieses Jahres auf "Verwarnen statt Strafen" bei Ersttätern setzt. Gegen Behörden und öffentliche Stellen können zudem laut Datenschutz-Anpassungsgesetz 2018 gar keine Geldbußen verhängt werden.
"Das Deregulierungsgesetz ist meiner Erfahrung nach europaweit eine Besonderheit und wird vonseiten der EU vermutlich nicht gern gesehen, weil diese eine einheitliche Regelung wollte", sagt dazu der Datenschutzexperte Werner Pilgermair im Gespräch mit der "Wiener Zeitung". Damit werde die Intention Europas untergraben, die Konsequenzen der DSGVO in Form von Strafen aufzuzeigen und damit einen besseren Datenschutz zu erwirken. Sobald es die ersten Fälle gibt und die zuständigen Richter diese dem Europäischen Gerichtshof (EuGH) vorlegen, ist es laut Pilgermair aber ohnehin fraglich, ob die österreichische Regelung vor diesem hält und für europarechtlich konform erklärt wird.
Zustimmung zu Zusendung von Newslettern muss aktiv erfolgen
Aus Sicht der Wirtschaft sei "Verwarnen statt Strafen" freilich zu begrüßen, weil sich dadurch der Druck auf die Unternehmer verringert, sagt Pilgermair. Für diese geht die DSGVO ohnehin schon mit zum Teil hohen Investitionen einher: Die Wirtschaftskammer schätzt grob, dass sich die Kosten für die Umsetzung der Verordnung in Österreich auf circa 200 Millionen Euro belaufen.
Die DSGVO wurde jedoch für die Konsumenten beschlossen. "Mit ihr soll der Konsument geschützt werden und aufgeklärt, was mit seinen Daten passiert und welche Rechte er hat", sagt Pilgermair. Zum Beispiel das Widerrufsrecht: Ein Unternehmen muss personenbezogene Daten löschen, wenn diese für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder die Verbraucher ihre Einwilligung widerrufen. Jede Einwilligung muss freiwillig, in informierter Weise und unmissverständlich erteilt werden.
Und vor allem aktiv: Erfolgt die eingangs erwähnte Zustimmung zur weiteren Newsletter-Zusendung insofern, als dass man auf die entsprechende E-Mail nicht reagieren muss (Opt-out), sei das nicht rechtens, sagt Pilgermair. "Man muss aktiv mit ,Ja‘ antworten oder auf einen Link oder eine Checkbox klicken." Damit stelle das Gesetz klar, dass man sich mit der Verarbeitung der Daten auseinandergesetzt habe.
Ist ein Unternehmen hier nachlässig und bietet zum Beispiel die Opt-out-Variante an, ist die Erklärung laut Pilgermair unwirksam und die Verarbeitung der Daten nicht rechtens. Der Konsument habe nun die Möglichkeit, bei der Datenschutzbehörde (eine Verwaltungsbehörde, die prüft und Geldbußen verhängt) Beschwerde einzulegen und in weiterer Folge Schadenersatz vor dem Zivilgericht geltend zu machen.
Möglicherweise keine Europäer von Facebook-Skandal betroffen
Trotz der allgemeinen, anfänglichen Verwirrung bei Newsletter-Zustimmungserklärungen und trotz nationaler Spielräume ist Europa mit der DSGVO Vorreiter in Sachen Datenschutz. Spätestens seit dem Datenskandal um Facebook und die Datenanalysefirma Cambridge Analytica setzt auch in den USA langsam ein Umdenken ein. Bei dem Skandal geht es um das Abschöpfen der Daten von rund 87 Millionen Facebook-Nutzern durch Cambridge Analytica, die dann unerlaubt für den Wahlkampf des heutigen US-Präsidenten Donald Trump genutzt worden sein sollen.
Nutzer in Europa sind laut Facebook möglicherweise keine betroffen, hieß es am Donnerstag. Erste Forderungen nach strengeren Regeln und einem besseren Datenschutz werden nun jedenfalls auch in den USA laut. Apple-Chef Tim Cook distanzierte sich deutlich von Facebook und erklärte: "Privatsphäre ist ein Menschenrecht."
Willst du diesen Inhalt sehen? Gib den anderen Cookies grünes Licht.