Foto: apa/dpa/matthias balk

Am 25. Mai tritt die Datenschutz-Grundverordnung EU-weit in Kraft. Bis dahin haben die Staaten Zeit, für die gesetzliche Umsetzung zu sorgen. Auch Unternehmen müssen darauf eingestellt sein. Durch die Verordnung sollen personenbezogene Daten besser geschützt werden, allerdings gibt es viel Kritik an der Umsetzung. Derzeit harren die bereits begutachteten Gesetze einer Behandlung im Nationalrat.

Strafbestände

Grundgedanke der Verordnung ist, dass das Recht auf Schutz personenbezogener Daten, das auch in der Europäischen Grundrechte-Charta verankert ist, ein unionsweit einheitliches Datenschutzniveau erfordert. Bereits im vergangenen Jahr stand in Österreich das "Datenschutz-Anpassungsgesetz 2018" in Begutachtung und wartet seither auf einen Beschluss. Eingeführt werden auch neue Straftatbestände wie die "unrechtmäßige Datenspeicherung" mit Strafen bis zu 20 Mio. Euro.

Damit ist es allerdings noch nicht getan. Weitere zehn Gesetze, welche zum Großteil die Ministerien betreffen, befanden sich bis Donnerstag in Begutachtung. Darin geht es vor allem um "terminologische Anpassungen", wie den Begleittexten zu entnehmen ist. Betroffen sind etwa das Bundeskanzleramt, Inneres, Verteidigung – etwa das "Verwundetenmedaillengesetz" -, Justiz, Bildung, Wissenschaft, Soziales und das Beamtendienstrecht.

Datenschutzbeauftragte verpflichtend

Vor allem Unternehmen werden durch die EU-Verordnung in die Pflicht genommen. So fällt zwar die grundsätzliche Meldepflicht bei der Datenschutzbehörde, allerdings müssen sie die nationalen Aufsichtsbehörden unverzüglich über schwere Verstöße gegen den Datenschutz informieren. Hinzu kommt ein Datenschutzbeauftragter etwa für öffentliche Stellen oder alle Firmen, die "datengetriebene Geschäftsmodelle" verfolgen. Für die Unternehmen selbst bedeutet das einen Mehraufwand.

Kritiker befürchten Lockerung

Den Verbrauchern steht ab Inkrafttreten der Verordnung ein Recht auf Löschung zu. Das heißt: Personenbezogene Daten müssen gelöscht werden, wenn die für die eigentlichen Zwecke, für die sie erhoben wurden, nicht mehr vonnöten sind. Eine ausdrückliche Zustimmung braucht es für eine Übermittlung personenbezogener Daten in ein Drittland. Bei Kindern unter 16 Jahren ist die Einwilligung nur mit Zustimmung der Eltern gültig.

Kritiker befürchten allerdings auch, dass die Regierung im Zuge der Gesetzesnovellen bereits jetzt bestehende Regelungen lockern könnte. Im Fokus steht dabei vor allem das Innenministerium. So sollen Informationen zu behördlichen Abfragen durch die Polizei zwecks Speicherbegrenzung nur mehr zwei Jahre lang aufgehoben werden – ein Jahr kürzer als bisher. Weiters wird befürchtet, dass automatisierte Abfragen aus Datenbanken nicht mehr protokolliert werden, was das Innenministerium bestreitet.

Standards werden unterschritten

Allgemein wird kritisiert, dass mit dem Gesetz Datenschutzstandards unterschritten werden. Gesundheitsdaten sollen etwa aus öffentlichen Datenbanken ohne ausreichenden Schutz an Forschungsinstitutionen weitergegeben werden können, kritisiert etwa die Organisation epicenter.works. (APA, 17.3.2018)