DSGVO: Österreich will Unternehmen bei ersten Verstößen nur verwarnen
Tausende österreichische Unternehmen werden dieser Tage aufatmen: die neue EU-Datenschutzverordnung (DSVGO) dürfte hierzulande nicht so streng geahndet werden wie bisher angenommen. In einem Beschluss des Nationalrats von vergangenem Freitag ist zu lesen, dass bei erstmaligen Verstößen in erster Linie Verwarnungen ausgesprochen werden sollen. Diese Möglichkeit räumt die DSGVO in Artikel 58 neben vielen anderen Befugnissen ein. Der Änderungsbeschluss lässt natürlich weiterhin die Möglichkeit offen, auch erstmalige Verstöße mit einer Geldbuße zu ahnden. Und die drohenden Strafen sind mit 20 Millionen Euro oder vier Prozent des Jahresumsatzes empfindlich.
Der Beschluss hat jedoch auch in anderen Punkten für Aufsehen gesorgt: Die DSGVO soll hierzulande mit einigen Sonderregelungen in Kraft treten. Der Beschluss besagt zum Beispiel, dass es bei der Auskunftspflicht von Unternehmen Ausnahmen geben soll, wenn es sich bei den angeforderten Daten um ein Betriebsgeheimnis handelt. Die Auskunftspflicht räumt laut DSGVO betroffenen Personen das Recht ein, alle personenbezogenen Daten, die ein Unternehmen von ihnen gespeichert hat, abzufragen.
Ausnahme für Medien
Gleichzeitig wurde eine Ausnahme für journalistische Arbeit beschlossen, die wirksam wird, wenn bei einer Auskunft das Redaktionsgeheimnis gefährdet wäre. Diese Ausnahme umfasst nicht nur die Auskunftspflicht, sondern auch beispielsweise die Übertragung von Daten in das EU-Ausland, die laut DSGVO nur mit expliziter Einwilligung der betroffenen Person erfolgen darf.
„Das ist europarechtswidrig“
„Das Auskunftsrecht kann man nicht grundsätzlich einschränken“, sagt Datenschützer Max Schrems auf Nachfrage von Trending Topics. „Das ist europarechtswidrig und wir werden sicher von der EU verklagt“. Schrems sitzt für die Neos im Datenschutzrat. Grundsätzlich seien am Freitag im Nationalrat so viele Neuerungen mit Bezug zur DSGVO beschlossen worden, dass niemand mehr einen Überblick habe, was in den einzelnen Beschlüssen genau stehe, meint Schrems.
EU würde für Prüfung Jahrzehnte brauchen
Die EU könnte laut Schrems Jahrzehnte brauchen, um alle Änderungen zu prüfen: Durch die Vielzahl der Änderungen könnte es zehn bis 20 Jahre dauern, bis die EU mögliche Verstöße Österreichs gegen die DSGVO ahndet. „Auch im Nationalrat wird sich die Änderungen kein Abgeordneter alle im Detail angesehen haben – es sind einfach zu viele“, sagt Schrems.
Hunderte weitere Änderungen
Ebenfalls am vergangenen Freitag wurden im Nationalrat DSGVO-Anpassungen von mehr als 120 Gesetzen und eine Sammelnovelle für Forschungs- und Wissenschaftsgesetze beschlossen. Bei der Sammelnovelle geht es im Wesentlichen um die Freigabe von Daten aus der elektronischen Gesundheitsakte ELGA für die Forschung. Nationalratsbeschlüsse müssen noch vom Bundespräsidenten unterzeichnet werden – das gilt allerdings als Formsache.
Verbandsklage kommt nicht
Sehr zum Leidwesen von Schrems wurde ein Antrag auf die Möglichkeit zur Verbandsklage im Datenschutz nicht beschlossen. Im Unterschied zu einer Sammelklage geht es bei einer Verbandsklage nur um eine rechtliche Klärung und nicht um die Durchsetzung von Schadenersatzansprüchen. Der Antrag von SPÖ, Neos und Liste Pilz erreichte keine Mehrheit im Nationalrat. Schrems Datenschutz-Verein noyb ist von der Diskussion um Verbands- und Sammelklage direkt betroffen: „Wir können jetzt österreichische Unternehmen leichter klagen als internationale Unternehmen“.