Verwarnungen statt Strafen nach der Datenschutz-Grundverordnung?

28. April 2018

Wie diverse Medien berichten (heise.de, derstandard.at), haben die Regierungsparteien vergangenen Freitag in einem „Datenschutz-Deregulierungs-Gesetz“ und einer Sammelnovelle diverse Änderungen an den nationalen Bestimmungen zur Datenschutz-Grundverordnung (DSGVO) erlassen.

Ein voller Überblick über hunderte Abänderungen und deren Auswirkungen ist bisher nicht möglich, jedoch kann man einen ersten Blick auf eine intensiv debattierte Änderung werfen: Das nationale Gesetz verlangt laut Medienberichten von der Datenschutzbehörde bei Erstverletzungen nur zu „verwarnen“ und nicht die in der DSGVO vorgesehen Strafen zu verhängen. Aber geht das überhaupt?

Die Antwort ist kurz: Nein. Die Erklärung vielleicht etwas länger: Die Datenschutz-Grundverordnung ist eine europarechtliche Verordnung und damit großteils direkt anwendbares EU-Recht. Zwar gibt es Öffnungsklauseln, welche nationale Eigenheiten erlauben sollen, jedoch gibt es keine derartige Öffnungsklausel für die Strafbestimmungen. Eine Anordnung in einem österreichischen Gesetz, die das einer europäischen Verordnung weiter „interpretiert“ oder „auslegt“, ist nach ständiger Rechtsprechung des EuGH schlicht nicht anwendbar und damit nicht bindend.

Verwarnungen sind aber weiterhin wohl ein Mittel, das die Datenschutzbehörde bei kleineren Verstößen anwenden wird, da auch die DSGVO dies als eine Option vorsieht. Gleichzeitig verlangt die DSGVO aber auch „abschreckende“ Strafen bei entsprechenden Verstößen. Auch bei einem erstmaligen Verstoß ist daher mit einer Strafe zu rechnen, da nicht davon auszugehen ist, dass sich die Datenschutzbehörde an die Einschränkung im österreichischen Gesetz gebunden fühlen wird.

Auf einer anderen Ebene ist diese Vorgehensweise ebenso problematisch: Die Datenschutzbehörde ist nach Art 8 Abs 3 der EU-Grundrechtecharta und nach der DSGVO selbst „unabhängig“. Die Regierung kann daher keinerlei Weisung erteilen. Wenn nun die Regierungsparteien über ein Gesetz eine (wenn auch nicht bindende) „Anordnung“ erteilen, dann nagt dies rein faktisch genau an jener Unabhängigkeit der Aufsichtsbehörde, die europarechtlich vorgesehen ist.

Für betroffene Unternehmen heißt das Folgendes: Die Regierungsparteien hat einer unabhängigen Behörde sehr unverblümt mitgeteilt, wie sie die Strafen in der DSGVO gerne angewandt hätte. Die Behörde ist daran rein rechtlich nicht gebunden. Faktisch hat die Behörde schon vorab wiederholt betont, dass man Verwarnungen in entsprechenden Fällen nutzen wird – einen Automatismus für Verwarnungen gibt es aber nun, trotz nationalem Gesetz, nicht.

Max Schrems
Jurist, Autor und Datenschutzaktivist

Max Schrems hat eine Reihe von erfolgreichen Verfahren im Bereich Datenschutz und Privatsphäre geführt. Über seine Fälle (z.B. gegen Facebook und das EU-US Safe-Harbor-Abkommen) wurde in den Medien umfangreich berichtet. Max propagiert bereits seit längerer Zeit die Idee einer professionellen Nichtregierungsorganisation (NGO) für die Durchsetzung von Datenschutzrechten, welche sich der Belange der Netznutzer annimmt, die in der Regel nicht in der Lage sind, solche Verfahren eigenständig gegen große Konzerne zu führen. Mit NOYB – European Center for Digital Rights hat er diese Vision nun realisiert!

Tags

EU-DSGVO

Diesem Blog folgen

Datenverarbeitung

Wir werden Ihre personenbezogenen Daten für den Zweck der Anmeldung zu unserem Blogartikel-Alert verarbeiten und Sie anlassbezogen über neu verfügbare Blogartikel auf www.fabasoft.com per E-Mail informieren. Wie wir Ihre Daten verarbeiten und wie Sie Informationszusendungen abbestellen können erfahren Sie in unserer Datenschutzerklärung.

 

To prevent automated spam submissions leave this field empty.