Mit dem Beschluss vom 20. April hat Österreich die Umsetzung der EU-weiten Datenschutzgrundverordnung (DSGVO) auf den Weg gebracht. Mit dieser soll der Datenschutz der Bürger in weiten Teilen gestärkt werden. Vor dem Beschluss wurden von der Regierung jedoch noch viele Aufweichungen vorgenommen, wie Heise aufarbeitet.

Behörden bleiben praktisch straffrei

Beispielsweise werden viele Strafen nun erst bei wiederholtem Verstoß schlagend. Die Datenschutzbehörde soll im Sinne der "Verhältnismäßigkeit" im Erstfall einer Datenschutzverletzung nur eine Verwarnung aussprechen.

Behörden können für Verstöße nun faktisch gar nicht mehr belangt werden. Denn in der abgeänderten Novelle werden "öffentliche Stellen" und privatrechtlich agierende Stellen mit "gesetzlichem Auftrag" von Geldbußen ausgenommen.

Erleichterungen für Firmen, Ausnahmen für Spione

Für Verstöße von Mitarbeitern unterhalb der Führungsebene können nun auch Unternehmen nicht mehr belangt werden, es sei denn, ein Versagen der internen Kontrolle wird nachgewiesen. Andernfalls muss das Management selbst in die Verfehlungen involviert sein. Auch hier gilt, dass beim ersten Verstoß verwarnt werden soll. Zudem kann die Datenschutzbehörde auch keine Strafe mehr erlassen, wenn bereits eine andere Verwaltungsbehörde selbiges getan hat.

Weiters gibt es etwa eine Ausnahme für Spione bei Verstößen gegen den Datenschutz. Dabei handelt es sich um eine Ausweitung der schon 2017 erfolgten Lockerung für Behörden in der Strafverfolgung und im Strafvollzug. Allerdings: Im Gesetzestext findet sich keine Passage, die diese Aufnahme auf Mitarbeiter österreichischer Geheimdienste beschränkt. Sie gilt somit auch für ausländische und private Nachrichtendienste.

Überwachung erleichtert, Arbeit für Datenschützer erschwert

Erleichtert wird außerdem Videoüberwachung, die nun auch eingesetzt werden darf, wenn es theoretisch "gelindere Mittel" gäbe, um eine Person oder ein Objekt zu schützen. Zudem dürfen Fotos und Videos nun mit anderen personenbezogenen Daten abgeglichen werden. Eine Zustimmung des oder der Betroffenen ist nicht erforderlich. Explizit verboten ist ohne Einwilligung nur die Erstellung von "Persönlichkeitsprofilen", die allerdings nicht genau definiert werden.

Eine weitere Aufweichung dürfte Datenschützer verärgern, erschwert es doch ihre Arbeit massiv. Organisationen wie Max Schrems‘ noyb können nun nicht mehr Schadenersatz fordern, wenn sie im Namen von Betroffenen vor Gericht ziehen. Sofern keine Finanzierung der Verfahren auf anderem Wege gelingt, müssen Opfer von Datenschutzverletzungen jeweils selbst vor Gericht gehen.

Für Medien ist, wie berichtet, eine Ausnahme vorgesehen. Das Redaktionsgeheimnis muss bei potenziellen Datenschutzverstößen berücksichtigt werden, etwa in Bezug auf die Verarbeitung personenbezogener Daten. Der betreffende Paragraf 9 im Wortlaut:

"Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen der DSGVO keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses zu beachten"

Auch für Künstler, Autoren und Wissenschaftler wurden mehrere Ausnahmen geschaffen, was mit der Wahrung der Meinungsfreiheit begründet wird.

Massiver Umbau bei letzter Änderung

All diese Änderungen waren im ursprünglichen Entwurf für das neue Datenschutzgesetz noch nicht enthalten. Dieser war noch das Ergebnis eines öffentlichen Konsultationsverfahrens und wurde mit Stimmen der Regierung (ÖVP und FPÖ) sowie der SPÖ noch am 11. April im Verfassungsausschuss bestätigt. Im Nationalrat stimmten die Sozialdemokraten allerdings dagegen, nachdem ihr erster Antrag zu einem Untersuchungsausschuss zur BVT-Causa im Plenum gescheitert war. Da Verfassungsbestimmungen geändert werden sollten, musste eine Zwei-Drittel-Mehrheit erlangt werden.

Infolge dessen entfernte die Regierung die verfassungsrelevanten Passagen aus der Novelle. Gleichzeitig wurden jedoch auch die aufgelisteten Aufweichungen vorgenommen. Das überarbeitete Gesetz, zu dem keine weitere Konsultation erfolgte, passierte schließlich am 20. April nur mit den Stimmen von ÖVP und FPÖ. Ausständig ist noch die Zustimmung des Bundesrates, wo die Regierungsparteien ebenfalls die Mehrheit stellen.

Kritik von Max Schrems: "Schwarzer Tag für Datenschutz"

Datenschutzrechtler Max Schrems übt an den Abänderungen heftige Kritik. Seiner Ansicht nach erschwert es das neue Gesetz, gegen große Konzerne wie Facebook vorzugehen, zumal diese in der Regel keinen Sitz im Inland haben. Stattdessen sei es in Österreich dann künftig nur noch realistisch, gegen lokale Unternehmen zu klagen. Seitens Noyb erwägt man nun die Einrichtung weiterer Standorte abseits von Wien.

Die im Gesetzestext verankerte Aufforderung an die Datenschutzbehörde, hauptsächlich Verwarnungen auszusprechen, hält er für "europarechtswidrig". Denn die Behörde solle eigentlich unabhängig agieren. Diese und auch die anderen Aufweichungen haben den 20. April zu einem "schwarzen Tag für den Datenschutz" gemacht, die Regierung betätige sich als "Datenfreigabe-Christkind" für Wirtschaft und Ministerien. (red, 25.04.2018)

Update, 13:35 Uhr: Stellungnahme von Max Schrems eingefügt.