Was bedeutet es, dass die EU-Datenschutzgrundverordnung in Österreich abgeschwächt wird?
In einem Monat tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie soll die Rechte von Europas Bürgerinnen und Bürgern stärken. Alle Mitgliedsstaaten der EU müssen ihre Datenschutzgesetze an die DSGVO anpassen. In Österreich ist das am vergangenen Freitag geschehen – allerdings wurde das Gesetz in letzter Minute durch einen Abänderungsantrag in mehreren Punkten entschärft.
Während zum Beispiel in der DSGVO steht, dass Unternehmen bei Datenschutzverletzungen empfindliche Geldstrafen drohen, sieht das österreichische Gesetz nun vor, dass die zuständige Behörde zuerst verwarnen und nur bei wiederholten, schweren Verstößen strafen soll. Wir haben mit Max Schrems gesprochen, der bekannt geworden ist durch seine Klage gegen Facebook und vor Kurzem die Datenschutz-NGO noyb gegründet hat.
Christoph Weiss: Welche Konsequenzen hat es, dass die Datenschutzbehörde in Österreich zuerst verwarnen und dann erst strafen soll?
Max Schrems: „Sie soll“, „sie möge“ – in Wirklichkeit hat die Regierung eine Art Kochrezept ins Gesetz geschrieben. Eine Empfehlung, doch bitte die EU-Datenschutzgrundverordnung nicht ganz so anzuwenden wie sie vorgesehen ist. Doch Europarecht ist direkt anwendbar, das heißt: Die nationale Regierung darf gar nicht sagen, das ist so zu interpretieren oder so anzuwenden. Diese Änderung ist schlichtweg europarechtswidrig. Interessant wird sein, ob sich die Datenschutzbehörde dadurch beeinflussen lässt und sagt, wir wenden diesen Teil des Gesetzes nicht an. Das europäische Recht sagt ganz ausdrücklich, dass es abschreckende Strafen sein müssen – und es ist nicht abschreckend, wenn ich zuerst einmal eh gegen das Gesetz verstoßen kann und erst bei der Wiederholungstat überhaupt eine Strafe kriege. Dann ist es für Unternehmen sinnvoll, prinzipiell einmal das Gesetz zu ignorieren und erst, wenn sie wiederholt darauf hingewiesen werden, sich darum zu kümmern, was überhaupt in dem Gesetz ist. Die Datenschutzbehörde wird nicht genügend Kapazitäten haben, jedem Unternehmen eine persönliche Einladung auszustellen, sich doch bitte an das Gesetz zu halten.
Deine NGO noyb wurde gegründet, damit ihr strategische Rechtsdurchsetzung durchführen könnt - also Verbandsklagen gegen Unternehmen wie Google und Facebook, wenn sie Datenschutzgesetze verletzen. Inwiefern wird diese Möglichkeit nun durch diese Gesetzesnovelle ausgebremst?
Der Artikel 80 der DSGVO erlaubt es Vereinen, Datenschutzrechte durchzusetzen. Diesen Artikel kann man gut verwenden, wenn man aus Österreich heraus einen globalen Konzern klagen will. Innerhalb Österreichs gibt es ohnehin die Sammelklage, wo man gegen ein österreichisches Unternehmen vorgehen kann. Interessant ist nun, dass die Regierung ausgerechnet den Artikel 80 der DSGVO beschneidet. Damit nimmt sie uns die Möglichkeit, gegen globale Unternehmen vorzugehen. Ich bezweifle, dass es dem Wirtschaftsstandort Österreich hilft, wenn heimische Unternehmen mit Konzernen wie Google und Facebook konkurrieren müssen, die sich an nichts halten – während die österreichischen Firmen leicht verklagt werden können, die globalen aber nicht. Strukturell durchgedacht wurde diese Änderung nicht.
Österreichische Unternehmen sind leichter zu verklagen als internationale – und du glaubst, dass diese Folge der Abänderung nicht einmal wirklich Absicht war?
Ja. Der Abänderungsantrag ist am Freitag direkt vor der Abstimmung eingelangt. Ich glaube nicht, dass die Abgeordneten verstanden haben, was sie da tun. Ich habe mit einigen Leuten, die aus der Wirtschaftsecke kommen, gesprochen, die haben hinterher gesagt: „Ach so, das ist jetzt dann eigentlich doch blöd.“ Es ist für uns jetzt interessanter und sinnvoller, ein österreichisches Unternehmen zu verklagen als ein globales. Das kann niemand gewollt haben, das kann schlichtweg nur Inkompetenz sein. Wenn das geplant war, dann muss man sich wundern, wie sie auf diese Idee gekommen sind.
Inwiefern muss auch die Verfassung in Österreich geändert werden, damit das von der Regierung gewünschte Datenschutzrecht in Österreich zur Anwendung kommt?
Es gibt noch zwei Probleme in zwei Verfassungsbestimmungen: Einerseits soll Datenschutz eine Bundeskompetenz werden. Ansonsten müssten bis 25. Mai neun Landesdatenschutzgesetze verabschiedet werden. Zweitens gibt es bei uns einen Verfassungsparagraphen, der das Grundrecht auf Datenschutz festlegt. Er muss aktualisiert werden, um mit der EU-Datenschutzgrundverordnung in Einklang zu sein. Für beide Änderungen braucht die Regierung die Stimmen von SPÖ und NEOS – und beide haben gesagt, dass sie nur zustimmen werden, wenn es für Vereine wie uns die Möglichkeit der Verbandsklage gibt. Es wird also interessant, ob ÖVP und FPÖ sagen, sie haben lieber eine europarechtswidrige Verfassung und neun Landesdatenschutzgesetze - oder die Verbandsklage. Wir hoffen, dass sich die Erkenntnis durchsetzen wird, dass die Verbandsklage hauptsächlich globale Konzerne betreffen wird und nicht österreichische. Vor allem wenn es ja auch für österreichische Unternehmen sinnvoller ist, eine Verbandsklage zu bekommen als eine österreichische Sammelklage mit Schadenersatz – denn die Verbandsklage stellt nur fest, dass ein Unternehmen etwas nicht tun darf, während eine Sammelklage mit Schadenersatz in Millionenhöhe einhergehen kann.
Du hast vorhin bereits erwähnt, dass einige der Änderungen nicht unionsrechtskonform sind. Worin bestehen die wesentlichen Probleme?
Die Datenschutzgrundverordnung ist unmittelbar anwendbar. Jedes nationale Gesetz, das ihr widerspricht, darf ein Gericht oder eine Behörde nicht anwenden. Nun gibt es einige Punkte, die in der DSGVO unklar sind, also wollte sie der Gesetzgeber anscheinend verständlicher machen. Die Änderungen sind in Wirklichkeit unionsrechtswidrig, und das Erstaunliche ist die Dreistigkeit, mit der sie hineingeschrieben wurden. Da wird einfach hineingeschrieben, dass Europarecht bei uns nicht gilt. Das erinnert eher an den ungarischen und polnischen Zugang zur EU derzeit als an den bisherigen österreichischen Zugang, wo wir zwar nicht immer glücklich waren mit dem, was aus Brüssel kommt, aber es halt anwenden. Jetzt wird es schwierig für die betroffenen Unternehmen: Jetzt steht in den österreichischen Gesetzen z.B., dass man irgendwelche Daten für die Forschung haben kann, das ist aber europarechtswidrig – wenn ein Unternehmen dann geklagt wird, zahlt es vielleicht die Schadenersatzforderungen, weil es sich auf ein europarechtswidriges Gesetz verlassen hat. Es muss der Regierung bewusst sein, dass die Gesetze auch vor einem Gericht halten müssen. Man muss auch sagen, dass wir noch überhaupt keinen Überblick haben, was da alles geändert worden ist. Am Freitag wurden in hunderten Gesetzen irgendwelche Änderungen eingebaut, es waren 200 Seiten. Niemand hat bisher irgendeinen Überblick, was da eigentlich abgegangen ist.
Wird es zu Vertragsverletzungsverfahren kommen?
Es gibt mehrere Angriffsmöglichkeiten. Mann kann an sich von Gerichten feststellen lassen, dass das nicht anwendbar ist. Man kann Unternehmen verklagen, die sich darauf berufen. Wenn wir z.B. das ELGA-Datengesetz haben und Gesundheitsdaten europarechtswidrig weitergeben werden, kann man ein Forschungsunternehmen, das die Daten verwendet, klagen und das dadurch feststellen lassen. Dann gibt es die Möglichkeit, dass die EU-Kommission ein Vertragsverletzungsverfahren gegen Österreich durchführt. Soviel ich gehört habe, ist in Brüssel auch schon angekommen, dass hier bei uns interessante Gesetze beschlossen werden. Man kann bei der EU-Kommission auch Beschwerden einbringen. Das Problem bei Vertragsverletzungsverfahren ist, dass sie sehr lange dauern und es auch eine sehr politische Entscheidung ist, ob die EU etwas macht. Wenn Österreich 500 Änderungen beschließt, von denen z.B. 100 europarechtswidrig sind, dann muss ein Jurist jede einzelne zu Gericht bringen und argumentieren.
Dein Verein noyb, den du als eine Art Konsumentenschutzverein für die Menschen hinsichtlich Datenschutz siehst, wird durch die Gesetzesänderungen stark behindert – so kurz nach der sehr enthusiastischen Gründungsphase und Crowdfundingkampagne. Wie geht es dir damit?
Es ist ärgerlich, weil wir bisher in Österreich sehr gutes Feedback hatten. Wir haben über eintausend Spender, die uns bezahlen, die Stadt Wien unterstützt uns, und viele mehr. Wenn nun Regierungsmitglieder und Abgeordnete aus Unwissenheit im Gesetz Dinge streichen, die österreichischen Unternehmen gar nichts bringen, gleichzeitig aber globale Konzerne schützen, dann fragt man sich schon, ob irgendjemand von denen Jus auch fertigstudiert hat, oder es bei allen so geht wie beim Kanzler. Es würde helfen, wenn man sich die möglichen Konsequenzen von Änderungen anschaut, bevor man sie beschließt.
Publiziert am 26.04.2018
