Verwarnungen statt Strafen nach der Datenschutz-Grundverordnung?

28. April 2018

Wie diverse Medien berichten (heise.de, derstandard.at), haben die Regierungsparteien vergangenen Freitag in einem „Datenschutz-Deregulierungs-Gesetz“ und einer Sammelnovelle diverse Änderungen an den nationalen Bestimmungen zur Datenschutz-Grundverordnung (DSGVO) erlassen.

Ein voller Überblick über hunderte Abänderungen und deren Auswirkungen ist bisher nicht möglich, jedoch kann man einen ersten Blick auf eine intensiv debattierte Änderung werfen: Das nationale Gesetz verlangt laut Medienberichten von der Datenschutzbehörde bei Erstverletzungen nur zu „verwarnen“ und nicht die in der DSGVO vorgesehen Strafen zu verhängen. Aber geht das überhaupt?

Die Antwort ist kurz: Nein. Die Erklärung vielleicht etwas länger: Die Datenschutz-Grundverordnung ist eine europarechtliche Verordnung und damit großteils direkt anwendbares EU-Recht. Zwar gibt es Öffnungsklauseln, welche nationale Eigenheiten erlauben sollen, jedoch gibt es keine derartige Öffnungsklausel für die Strafbestimmungen. Eine Anordnung in einem österreichischen Gesetz, die das einer europäischen Verordnung weiter „interpretiert“ oder „auslegt“, ist nach ständiger Rechtsprechung des EuGH schlicht nicht anwendbar und damit nicht bindend.

Verwarnungen sind aber weiterhin wohl ein Mittel, das die Datenschutzbehörde bei kleineren Verstößen anwenden wird, da auch die DSGVO dies als eine Option vorsieht. Gleichzeitig verlangt die DSGVO aber auch „abschreckende“ Strafen bei entsprechenden Verstößen. Auch bei einem erstmaligen Verstoß ist daher mit einer Strafe zu rechnen, da nicht davon auszugehen ist, dass sich die Datenschutzbehörde an die Einschränkung im österreichischen Gesetz gebunden fühlen wird.

Auf einer anderen Ebene ist diese Vorgehensweise ebenso problematisch: Die Datenschutzbehörde ist nach Art 8 Abs 3 der EU-Grundrechtecharta und nach der DSGVO selbst „unabhängig“. Die Regierung kann daher keinerlei Weisung erteilen. Wenn nun die Regierungsparteien über ein Gesetz eine (wenn auch nicht bindende) „Anordnung“ erteilen, dann nagt dies rein faktisch genau an jener Unabhängigkeit der Aufsichtsbehörde, die europarechtlich vorgesehen ist.

Für betroffene Unternehmen heißt das Folgendes: Die Regierungsparteien hat einer unabhängigen Behörde sehr unverblümt mitgeteilt, wie sie die Strafen in der DSGVO gerne angewandt hätte. Die Behörde ist daran rein rechtlich nicht gebunden. Faktisch hat die Behörde schon vorab wiederholt betont, dass man Verwarnungen in entsprechenden Fällen nutzen wird – einen Automatismus für Verwarnungen gibt es aber nun, trotz nationalem Gesetz, nicht.