Wien. (ede) "Wollen Sie weiterhin unseren Newsletter erhalten?" Zahlreiche Unternehmen holen dieser Tage per Post oder E-Mail vorsichtshalber noch einmal Zustimmungserklärungen bei ihren Kunden ein, um die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) zu erfüllen. Den Konsumenten mag das nerven, für die Betriebe geht es jedoch um viel, im Ernstfall sogar um die Existenz.

Verstöße gegen die ab 25. Mai 2018 EU-weit geltende Verordnung sollen künftig viel strenger sanktioniert werden als früher. Unternehmen, die den Datenschutz missachten, können - je nach Schwere - Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes ausfassen. Das gilt auch für internationale Konzerne wie Facebook und Google, da sie auch in der EU tätig sind. Österreich lässt bei der Umsetzung der DSGVO jedoch Milde walten, was nicht alle freut.

FPÖ und ÖVP haben das Gesetz, bevor es am 20. April im Nationalrat beschlossen wurde, für Unternehmen deutlich entschärft. Konkret heißt es, die Datenschutzbehörde werde den Strafkatalog der EU-DSGVO "so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird". Insbesondere bei erstmaligen Verstößen soll sie verwarnen und nicht strafen. Gestraft werden darf außerdem nur noch, wenn nicht bereits eine andere Verwaltungsbehörde Bußgelder verhängt hat. Kritiker befürchten nun, dass auf die geringere Strafe ausgewichen werden könnte. Öffentliche und privatrechtlich agierende Stellen mit gesetzlichem Auftrag sind zudem von Geldbußen ausgenommen.

Europäisches Regelwerk
aufgeweicht

Ob die Änderungen EU-rechtlich wasserdicht sind, sei fraglich, sagt der Datenschutzexperte Werner Pilgermair. Die Verordnung ziele ja darauf ab, ein europaweit einheitliches Datenschutz-Regelwerk zu schaffen und für Wettbewerbsneutralität zu sorgen. Österreich könnte möglicherweise ein Vorbild für weitere Länder sein, das Gesetz ebenfalls weniger streng auszulegen.

Eine Sonderregelung in Österreich besagt auch, dass es bei der Auskunftspflicht von Unternehmen Ausnahmen geben soll, wenn es sich bei den angeforderten Daten um ein Betriebsgeheimnis handelt. Die Auskunftspflicht räumt laut DSGVO betroffenen Personen das Recht ein, alle personenbezogenen Daten, die ein Unternehmen von ihnen gespeichert hat, abzufragen. "Das Auskunftsrecht kann man nicht grundsätzlich einschränken", sagt Datenschützer Max Schrems auf Nachfrage des Innovationsportals Trending Topics. "Das ist europarechtswidrig, und wir werden sicher von der EU verklagt", so Schrems, der für die Neos im Datenschutzrat sitzt.

In der Wirtschaftskammer begrüßt man die Entschärfungen. Die ausdrückliche Regelung der Verwarnung durch die Behörde trage dazu bei, den Unternehmen unberechtigte Ängste vor den hohen Strafdrohungen zu nehmen, so Wirtschaftskammer-Generalsekretärin Anna Maria Hochhauser.

Auch Günther Lutschinger, Geschäftsführer des Fundraising Verbands Austria, die größte Plattform für spendenwerbende Organisationen Österreichs, freut sich über die Novelle. "Der Schutz vor existenzbedrohenden Sanktionen ist gewährleistet, und Rechtsunsicherheiten für NPOs wurden weitestgehend beseitigt", sagt er.

Aus dem Gesetz gestrichen wurde das Recht gemeinnütziger Datenschutzorganisationen, bei Verstößen gegen die Datenschutzbestimmungen im Namen von Geschädigten Schadenersatz zu erstreiten. Opfer von Datenschutzverletzungen müssen also persönlich vor Gericht ziehen.

Insgesamt beinhaltet das vom Nationalrat beschlossene Datenschutzpaket fünf Gesetzesbeschlüsse. Der Bundesrat erhob dagegen in seiner Sitzung am Donnerstag,keinen Einspruch.

SPÖ: "Schwarzer Tag
für den Datenschutz"

Kritische Stimmen kamen von der Opposition. Österreich sei Vorreiter im Datenschutz gewesen, das vorliegende Paket "katapultiert uns aber an das Schlusslicht", meinte etwa die steirische SPÖ-Bundesrätin Elisabeth Grossmann und sprach von einem "schwarzen Tag für den Datenschutz". ÖVP und FPÖ sind überzeugt, dass Österreich weiter Vorreiter beim Datenschutz bleiben wird.