Industrie kritisiert die Abläufe beim neuen Datenschutzgesetz

Die Anpassung des Datenschutzgesetzes an EU-Recht sei ein Musterbeispiel für „schlechte Gesetzesgebung“. Aufgrund des engen Zeitkorsetts seien tausende Arbeitsstunden für Stellungnahmen verschwendet worden, die allesamt vom Gesetzesgeber ignoriert wurden.

Von Erich Möchel

Die Novelle zum Datenschutz hat am Donnerstag den Nationalrat mit einfacher Mehrheit passiert. Die Vorlage, deren Begutachtungsfrist erst am Freitag endete, wurde während der letzten Tage noch einmal stark verändert. Das ist nicht etwa auf die Einarbeitung der Kritikpunkte aus den insgesamt 109 -teils ausführlichen - Stellungnahmen zurückzuführen, denn davon gingen nur zwei Änderungen marginalen Umfangs aus.

Die Kontrollbeschränkung für die Datenschutzbehörde wurde aus dem Text gestrichen, das Zustimmungsalter für Jugendliche zur Verarbeitung ihrer Daten wiederum wurde auf 14 Jahre gesenkt. Der Umbau der Novelle in letzter Minute erfolgte, da alle verfassungsrelevanten Punkte gestrichen werden mussten, weil die dafür nötige Zweidrittelmehrheit fehlte. Dieser Ablauf sei nachgerade ein Musterbeispiel, wie eine Gesetzgebung nicht ablaufen solle, sagte Maximilian Schubert, Generalsekretär der Assoziation der Internetprovider Österreichs, zu ORF.at.

Vorlage alt gegen Vorlage neu

„Nachsanierungsbedarf“

„Nach der Rechtsmeinung unserer Juristen muss das Gesetz von der nächsten Bundesregierung aufgrund der nun fehlenden Verfassungsbestimmungen als erstes nachsaniert werden“, sagte Schubert. Insgesamt seien die „Better Regulation“-Prinzipien der EU für europäische Gesetzesgeber, in denen Begutachtungsfristen, Einbindung aller Betroffenen und die Abläufe für einen solchen Entscheidungsprozess geregelt sind, überhaupt nicht eingehalten worden. Da dies ausgerechnet bei einer so komplexen Regelung zur europaweiten Neugestaltung des gesamten Datenschutzes passierte, sei diese Anpassung in Österreich ein „höchst bedenkliches Beispiel für schlechte Gesetzgebung“, sagte Schubert, „das auf keinen Fall Schule machen dürfe.“

Ignoranz aus Zeitgründen

So ging das neue Datenschutzanpassungsgesetz noch vor Ende der Begutachtungsfrist bereits ins Parlament. Am ersten Arbeitstag nach Ende der Begutachtung wurde bereits im Ausschuss darüber abgestimmt, die 109 eingetroffenen Stellungnahmen mussten allein aus Zeitgründen deshalb ignoriert werden. „Hier wurden tausende Arbeitsstunden verbrannt, die von den Beteiligten investiert wurden“, sagte Schubert.

So eine Stellungnahme werde ja nicht einfach hingeschrieben, sondern setze eine genaue Analyse der Vorlage voraus, gerade in diesem Fall sei die besonders komplex gewesen. Genau dafür seien die EU-Prinzipien für eine qualitativ gute Regulation ja erstellt worden. Die Begutachtungsfristen und anderen Vorgaben seien vor allem dazu da, bei hochkomplexen Gesetzen wie der Umsetzung der Datenschutzgrundverordnung Widersprüche und andere Fehler zu vermeiden, sagte Schubert.

Die beiden Änderungen

Zumindest einem wichtigen Kritikpunkt aus der Zivilgesellschaft wurde in letzter Minute noch Rechnung getragen. Die Einschränkung, dass die Datenschutzbehörden nur bei „begründetem Verdacht“ auf Datenschutzverstöße überhaupt Kontrollen durchführen könne, ist nun im Gesetz nicht mehr enthalten. Ohne die Möglichkeit für Stichproben und Routineüberprüfungen - die so gut wie allen Kontrollorganen der Republik offenstehen - wären Verstöße gerade im immateriellen Bereich der Daten kaum nachzuweisen.

Absicht oder „einfach passiert“?

Warum gerade dieser Forderung aus der Zivilgesellschaft als einziger nachgegeben wurde, liegt auf der Hand. Die ursprüngliche Beschränkung, die eine effektive Kontrolle von vornherein unmöglich gemacht hätte, ist nämlich nicht in der EU-Datenschutzgrundverordnung enthalten. Anders als eine EU-Richtlinie muss eine Verordnung aber wortgetreu umgesetzt werden, weshalb Juristen in diesem Fall auch nicht von „Umsetzung“ sondern von „Anpassung“ sprechen. Alexander Czadilek, Fachjurist von Epicenter.works hatte in dieser Beschränkung einen offenen Verstoß gegen EU-Recht gesehen und war mit dieser Rechtsmeinung ganz offensichtlich nicht allein.

Ganz ähnlich verhält es sich mit der Altersgrenze bei Jugendlichen für eine Zustimmung zu einer Verarbeitung ihrer Daten. In Österreich war man offenbar der Meinung, dass Jugendliche bis zum Alter von 16 Jahren vor einer solchen Entscheidung geschützt werden müssten, während EU-weit eine Grenze von 14 Jahren gilt. In beiden Fällen lässt sich nicht mit Sicherheit sagen, wieweit Absicht im Spiel war oder ob es aufgrund der chaotischen Abläufe einfach passiert ist. Um genau solche Situationen zu vermeiden wurden aber die „Better Regulation“-Prinzipien der EU erstellt.

Offene Fragen

Warum dieses Anpassungsgesetz während der letzten Tage so umgekrempelt wurde, dass kein Paragraph auf dem anderen blieb, ist weiter unklar. Die beiden im Umfang marginalen Änderungen und die Eliminierung der relativ wenigen verfassungsrelevanten Bestimmungen aus dem Text allein können nicht die Auslöser für eine solche Totalumstellung in letzter Minute gewesen sein. Obendrein war der Noch-Regierung im Vorfeld längst bekannt gewesen, dass keine Oppositionspartei am Ende mitstimmen würde. Konsequenzen daraus gezogen hatte man jedoch nicht.

Mehr zu diesem Thema

Die Liste der Stellungnahmen, von denen die meisten noch nicht einmal online vorliegen, auf der Website des Parlaments

Das Datenschutz-Anpassungsgesetz 2018 im Volltext

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen trat bereits am 26. Mai 2016 in Kraft