Ruhe vor dem Sturm
Von David Schahinian
Österreich ist keine Insel der Glückseligen, was den Datenschutz betrifft. Wer die Berichterstattung über die Europäische Datenschutz-Grundverordnung (DSGVO) verfolgt hat, konnte jedoch lange Zeit einen anderen Eindruck gewinnen. Während andernorts Bußgelder in bis zu dreistelliger Millionenhöhe ausgesprochen wurden, blieb es in Österreich zunächst vergleichsweise ruhig. Nur wenige Strafen wurden publik, die höchste lag lange Zeit bei knapp 5000 Euro: Ein Wettlokal hatte sich der illegalen Videoüberwachung im öffentlichen Raum schuldig gemacht. Später wurden nach Angaben der Wirtschaftskammer Österreich (WKO) 6700 Euro wegen einer verdeckten, langfristig angelegten Videoüberwachung durch einen Privatdetektiv fällig. Dann soll ein Medizinunternehmen wegen des fehlenden Datenschutzbeauftragten und mangelhafter Erfüllung der Informationspflichten zur Zahlung von 50.000 Euro aufgefordert worden sein.
Erste Abhilfe: Verwarnung
Die Androhung drakonischer Strafen in der DSGVO soll dafür sorgen, dass der sichere und vertrauensvolle Umgang mit persönlichen Daten zügig und nachhaltig in den Organisationen erfolgt. Sie soll abschreckend wirken – wohl auch in dem Bewusstsein, dass die meisten nationalen Datenschutzbehörden zumindest in den ersten Jahren kaum über die Ressourcen verfügen, flächendeckend Verstößen nachzugehen. In schweren Fällen können der Verordnung zufolge bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes fällig werden. Da wirken 5000 oder sogar 50.000 Euro eher wie Peanuts.
Die lange Zurückhaltung hatte Gründe. Kurz bevor die DSGVO im Mai 2018 verpflichtend anwendbar wurde, führte die damalige Regierung in Wien mit den Anpassungen an die nationalen Gesetze auch einen Grundsatz ein, der oftmals verkürzt als „verwarnen statt strafen“ beschrieben wird. Konkret heißt es in Art. 2, § 11 DSG (Datenschutzgesetz) unter anderem:
- „Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“
Nicht nur das brachte Österreich den Vorwurf der „Verwässerung“ der DSGVO ein. Dazu trugen zudem auch Ausnahmen bzw. Privilegien für Journalisten, Wissenschaftler oder Künstler bei. „Österreich zieht seinem Datenschutz die Zähne“, meinte seinerzeit das IT-Portal heise online.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilagenreihe „IT-Unternehmen aus Österreich stellen sich vor“. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Seitdem droht der Republik ein Vertragsverletzungsverfahren der EU. Bereits im Mai 2018 soll das Justizministerium über Bedenken der EU bezüglich der Sonderregelungen informiert worden sein. Aus Sicht des Verfassungsdienstes des Justizministeriums seien die Bedenken der EU „aus fachlicher Sicht“ begründet, wie der Standard berichtete. Bisher wurde allerdings noch kein solches Verfahren eingeleitet. Gleichwohl ist aus der DSGVO in Österreich kein zahnloser Tiger geworden. Denn eines hat sie vom Start weg bewirkt: Sie hat das Thema Datenschutz im Bewusstsein der Öffentlichkeit verankert.
Es würde die Umsetzung der DSGVO sicherlich erleichtern, wenn die Beteiligten einen Mehrwert in ihr sähen. Eine Umfrage des KSV1870 mit 700 teilnehmenden Unternehmen hatte ein Jahr nach dem DSGVO-Stichtag allerdings gezeigt, dass dies nicht überall der Fall ist: 53 % gaben an, dass die Einführung zu keinem erhöhten Sicherheitsniveau geführt habe. 62 % sagten gleichzeitig, dass die Verordnung ihre wirtschaftliche Entwicklung nicht gebremst habe.
„Es wird scheppern“
Bislang scheinen die nationalen Spielräume in Österreich von den Behörden zugunsten der eigenen Wirtschaft genutzt zu werden. Das entbindet jedoch niemanden von der Pflicht, die Vorgaben schnellstens umzusetzen, sofern dies nicht schon geschehen ist. Denn das Instrumentarium des Datenschutzgesetzes mag zwar Verwarnungen statt Strafen bevorzugen, aber es muss nicht zwingend so kommen.
Der renommierte Datenschutzexperte Dr. Rainer Knyrim hatte bereits im Sommer 2019 auf report.at darauf hingewiesen, dass die bisher ausgesprochenen Strafen in Österreich zwar vom Betrag her vergleichsweise gering ausfielen, dass sie aber gegen Kleinstbetriebe oder Einzelpersonen ausgesprochen wurden, die das Bußgeld „ziemlich hart“ getroffen haben dürfte. „Straft die Datenschutzbehörde erstmalig ein großes Unternehmen, wird dabei auch eine entsprechend hohe, medienwirksame Strafe herauskommen“, ist er sich sicher. „Ich gehe davon aus, dass es in ganz Europa und auch in Österreich heuer bei den Strafhöhen immer öfter ordentlich scheppern wird.“ Das könne in der Folge zu hektischen Reaktionen und „weiteren Hauruck-Aktionen“ hinsichtlich der Datenschutz-Compliance bei den Unternehmen führen.
Auch mit Blick auf den Nachbarn Deutschland erhärtet sich der Verdacht, dass den Firmen und Organisationen bislang eine Schonzeit eingeräumt wurde, die langsam, aber sicher endet. So bewegten sich die Bußgelder dort lange im vier- bis fünfstelligen Euro-Bereich. „Für eine Übergangszeit habe ich mich dazu entschlossen, zurückhaltend mit dem Verhängen von Sanktionen zu sein“, sagte etwa Prof. Dr. Thomas Petri, Bayerischer Landesbeauftragter für den Datenschutz, noch im Januar 2019 dem Handelsblatt.
Im September 2019 wurde dann das bislang höchste in Deutschland verhängte Bußgeld aufgrund von DSGVO-Verstößen publik. Wie Maja Smoltczyk, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, mitteilte, traf es die Delivery Hero Germany GmbH mit insgesamt 195.407 Euro. Das Unternehmen habe unter anderem in zehn Fällen Konten ehemaliger Kunden nicht gelöscht, obwohl diese schon jahrelang nicht mehr auf der Plattform aktiv waren. Andere Kunden hätten sich zudem über unerwünschte Werbemails beschwert. Diese Marke wurde seitdem locker überboten, unter anderem von 1&1 (9,5 Millionen Euro) und der Deutschen Wohnen in Berlin (14,5 Millionen Euro).
Mehr und mehr Beschwerden
Ein untrügliches Zeichen, dass auch in Österreich bald ein anderer DSGVO-Wind wehen könnte, zeigt eine Analyse von EY Law. Die nationale Datenschutzbehörde hatte bereits darauf hingewiesen, dass die Zahl der Beschwerden 2018 im Vergleich zum Vorjahr von 156 auf 1036 gestiegen war. Das entspricht einem Anstieg um 564 % – europäische Spitze. Erste Zahlen für 2019 deuten eine weitere signifikante Steigerung an. „Da sich der Personalstand der Datenschutzbehörde natürlich nicht versechsfacht hat, verlängert sich die Verfahrensdauer erheblich“, berichtet MMag. Thomas Breuss, Rechtsanwalt und Director bei EY Law Österreich. Lediglich sieben Geldstrafen oder Verwarnungen stünden in einem kritischen Missverhältnis zu den 1036 Datenschutzbeschwerden. Das bedeutet auch, dass sich eine härtere Gangart vermutlich erst mit zeitlicher Verzögerung im Markt und in der Öffentlichkeit niederschlägt. Für manche Organisation könnte es dann aber schon zu spät sein, noch umzusteuern.
„Die Ruhe vor dem Sturm bei Datenschutz-Strafen“, titelte der Standard im September 2019. Gleichzeitig nennt er einen weiteren Grund, warum in Österreich noch keine Geldbuße „in substanzieller Höhe“ verhängt wurde: Die Datenschutzbehörde habe schlicht noch nicht über einen geeigneten Anlassfall zu entscheiden gehabt. Auch hier kommt man zu dem Schluss, dass die Geldbußen bald ansteigen werden: „Die bisher niedrigen Geldbußen in Österreich sollten keinen Grund darstellen, das Thema Datenschutz von der Agenda zu nehmen.“
Wie ernst diese Mahnung zu nehmen ist, zeigt das Beispiel Österreichische Post. Sie hatte Adressdaten angeboten, 2,2 Millionen davon enthielten auch eine rechnerisch ermittelte Parteienaffinität der Personen. Ein Anwalt klagte und erhielt vom Landesgericht Feldkirch vorerst Schadensersatz in Höhe von 800 Euro zugesprochen. Die Bombe platzte dann am 29. Oktober: Die Post meldete ihren Anlegern eine Rückstellung für eine Verwaltungsstrafe in Höhe von 18 Millionen Euro. Damit ist Österreich mit einem Schlag in die europäische Geldbußenspitzengruppe aufgerückt.
Die Seite www.enforcementtracker.com gibt einen sortierbaren Überblick über die (bekannten) Bußgelder und Sanktionen, die die europäischen Datenschutzbehörden bislang verhängt haben: Österreich sprang am 23. Oktober 2019 von 50.000 auf 18 Millionen Euro – die vierthöchste Strafe überhaupt. In England liegt die Marke bei über 204 Millionen Euro, in Frankreich bei 50 Millionen Euro. (Bild: CMS Legal)
Abläufe auf den Prüfstand
Die Schwierigkeit bei der Umsetzung der DSGVO besteht für zahlreiche Organisationen darin, dass viele verschiedene Bereiche ihrer Datenverarbeitung betroffen sind – vom E-Mail-Marketing über die Website bis hin zu Cloud Computing. Letzteres ist ein besonders gutes Beispiel: „Hier tritt kein wesentlicher Unterschied zur Rechtslage nach dem Datenschutzgesetz 2000 ein“, schreibt die Datenschutzbehörde in ihrem DSGVO-Leitfaden. Aber doch sind zusätzliche Faktoren zu beachten.
Werde ein Cloud-Dienstanbieter in Anspruch genommen, so müsse eine sichere Datenverarbeitung durch diesen gewährleistet sein, heißt es darin. Komme es zu einer Verletzung des Schutzes personenbezogener Daten in der Cloud, trage die datenschutzrechtliche Verantwortung nach außen hin der Verantwortliche – also jene Person oder Einrichtung, die Cloud-Services in Anspruch nimmt. Zu beachten sei außerdem, dass durch die Inanspruchnahme von Cloud-Services gegebenenfalls eine Datenübermittlung in ein Drittland stattfinde, für die es eine gesonderte Rechtsgrundlage brauche.
Teil 1 beginnt dort, wo der Datenschutz am wichtigsten ist: bei den Auftragsdatenverarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechenzentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.
Es empfiehlt sich also zum einen, bestehende Verträge mit Cloud-Dienstleistern nochmals hinsichtlich der DSGVO-Vorgaben zu überprüfen – sofern dies nicht schon geschehen ist. Zum anderen können Unternehmen versuchen, ihren Dienstleister durch die Vertragsgestaltung stärker in die Pflicht zu nehmen, da von dessen Wohlverhalten viel für den Auftraggeber abhängt. Das ist praktisch aber nur in gewissen Grenzen möglich.
Standortvorteil Datenschutz
Die Zeiten, in denen Datenschutz als lästiges Übel galt, sind vorbei. Und zwar nicht nur, weil die DSGVO Bußgelder in Millionenhöhe ermöglicht und die nationalen Behörden zweifelsohne dazu übergehen, das zur Verfügung stehende Strafmaß auch auszunutzen. Sie bietet Organisationen darüber hinaus die Möglichkeit, sich durch ihre hohen Datenschutzstandards von Wettbewerbern außerhalb der EU abzusetzen.
David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.