Loading
loading..

10 Mythen zum Datenschutz-Deregulierungsgesetz

VACE IT & SECURITY informiert!

Vorhangschloss+Mann

Vor Kurzem wurde in Österreich das sogenannte Datenschutz-Deregulierungs-Gesetz 2018 beschlossen. Die zeitnahe Reaktion der Medien lautete kurz zusammengefasst, dass in Österreich der DSGVO die Zähne gezogen wurden. Der folgende Beitrag geht beleuchtet die Neuerung genauer und klärt über die 10 häufigsten Meinungen zum Deregulierungsgesetz auf.

Mythos 1: Die Datenschutzbehörde darf grundsätzlich nur verwarnen
Das stimmt nicht! Auch wenn die Panik häufig groß ist, sah schon die DSGVO seit 2016 nicht vor, dass jeder Verstoß automatisch mit 20.000.00 EURO sanktioniert wird. Die DSGVO schreibt vor, dass Strafen zwar abschreckend aber auch verhältnismäßig sein müssen. Dieses Spektrum beginnt bei Verwarnungen und hört bei tatsächlich verhängten Geldbußen auf. Jede andere Vorgehensweise wäre hierzulande auch rechtswidrig, da Behörden nach Rechtsprechung des Verwaltungsgerichtshofes verpflichtet sind, bei Vorliegen der Voraussetzungen eine Verwarnung auszusprechen.

Konkret sollten also gezielte Datenschutzmaßnahmen gesetzt werden. Sind diese nicht deckungsgleich mit den Erwartungen der EU, so führt dies nicht unmittelbar zu einer Strafe, was Unternehmen aufatmen lässt. Werden keine Maßnahmen gesetzt, so werden aber unter Umständen trotzdem Strafen ausgesprochen werden.


Mythos 2: Unternehmen haben keine Strafe zu befürchten, wenn untergeordnete Mitarbeiter den Datenschutz verletzen
Hier war die Aufbereitung des Datenschutz-Deregulierungs-Gesetzes unaufmerksam, denn § 30 (2) DSG sieht explizit vor, dass juristische Personen verantwortlich gemacht werden können, wenn die mangelnde Überwachung oder Kontrolle die Datenschutzverletzung durch den „untergeordneten Mitarbeiter“ ermöglicht hat. Straffrei bleibt ein Unternehmen nur dann, wenn nachgewiesen werden kann, dass es ein ausreichendes internes Kontrollsystem gibt und der konkrete Verstoß nicht vorhersehbar war. Gelingt dieser Nachweis nicht, wird vermutet – und diese Vermutung geht im Übrigen im Zweifel gegen das Unternehmen! - dass es keine ausreichenden Kontrollmaßnahmen gibt. Ergebnis: Strafbarkeit!

Mythos 3: Unternehmen können sich pauschal auf das Betriebsgeheimnis berufen
Allgemein gilt der Grundsatz, dass die Rechte und Freiheiten des einen dort aufhören, wo die Rechte und Freiheiten des anderen beginnen. So verhält es sich auch mit dem Auskunftsrecht nach der DSGVO. Dieses darf nämlich nicht dazu führen, dass Rechte und Freiheiten anderer Personen beeinträchtigt werden. Betriebsgeheimnisse (Patente, Verfahren, Marktstrategien, Bonität, …) sind derartige Rechte und Freiheiten.

Würde eine Auskunft derartige Interessen gefährden, so darf diese zu Recht verweigert werden. Beispielsweise kann die Auskunft bestimmter Daten verweigert werden, wenn dies die erfolgreiche Anmeldung eines Patentes gefährden würde. In Anbetracht des Beschwerderechts an die Datenschutzbehörde sollte so eine Verweigerung aber (intern) dokumentiert und begründet werden, da bei unrechtmäßiger Verweigerung Strafe droht.

Mythos 4: Staatliche Einrichtungen sind von der DSGVO ausgenommen
Ja & Nein! Gegen Behörden und öffentliche Stellen, welche „in gesetzlichem Auftrag“ handeln darf nach dem Datenschutz-Deregulierungs-Gesetz keine Geldbuße verhängt werden. Aufgrund der Tatsache, dass Strafen in das (Bundes-)Budget fließen, wäre die Verhängung von Geldbußen praktisch auch nicht sinnvoll, da sich der Staat selbst bestrafen würde. In der medialen Berichterstattung wird jedoch vergessen, dass neben den Geldbußen die DSGVO auch Schadenersatz-Ansprüche der Betroffenen vorsieht und von diesen sind öffentliche Stellen nicht ausgenommen!

Mythos 5: Medien sind von der DSGVO ausgenommen
Das stimmt. Hier ist es jedoch die DSGVO selbst, welche in Art. 85 es den Mitgliedsstaaten im Rahmen einer Öffnungsklausel erlaubt, ein Medienprivileg einzurichten. Die DSGVO findet hier keine Anwendung soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Diese Formulierung ist zugegebenermaßen sehr weit und undefiniert, andererseits kann in einem so großen Bereich auch nicht anders vorgegangen werden, da es in der Natur der medialen Berichterstattung liegt Sachen offen zu legen, welche manche lieber im Verborgenen lassen würden.

Dennoch gilt diese Formulierung nicht unbeschränkt, sondern nur „soweit dies erforderlich ist.“ Auch darf es zu keiner Gefährdung der betroffenen Person oder zu einer Verletzung deren höchstpersönlichen Lebensbereiches kommt. Beispielsweise darf im Zusammenhang mit Straftaten die Identität des Verdächtigen nicht genannt werden, wenn dieser dadurch der Gefahr von Lynchjustiz ausgesetzt würde. Weiters gilt es zu bedenken, dass die §§ 6, 7 des MedienG ebenfalls Sanktionen vorsehen, wenn durch mediale Berichterstattung der Tatbestand der üblen Nachrede, Beschimpfung, Verspottung und/oder Verleumdung erfüllt wird.

Mythos 6: Für Datenschutzverletzungen vor dem 25.5. darf die DSGVO nicht angewendet werden
Und das ist auch gut so! Es gäbe da nämlich ein kleines Hindernis: das sogenannte Rückwirkungsverbot, welches in der Europäischen Menschenrechtskonvention steht. Das schreibt vor, dass keine strengere Strafe verhängt werden darf als die, welche im Zeitpunkt der Begehung vorgesehen war.

Zu beachten ist aber, dass beispielsweise fehlende Einwilligungen für laufende Verarbeitungen immer noch ein aktueller Tatbestand sind und daher nach der DSGVO geahndet werden können.

Mythos 7: Das Datenschutz-Deregulierungs-Gesetz erlaubt Videoüberwachungen im großen Stil
Auch hier wird in den Medien wieder pauschal formuliert. Fakt ist, dass ab dem 25.5. Videoüberwachungen nicht mehr im DVR (Datenverarbeitungsregister) zu melden sind, da dieses abgeschafft wird. Dennoch sind Videoüberwachungen nur unter bestimmten Voraussetzungen zulässig, beispielsweise, wenn der Betroffene eingewilligt hat, die Videoüberwachung gesetzlich vorgeschrieben ist oder es berechtigte Interessen des Verantwortlichen gibt und die Überwachung verhältnismäßig ist.

Mythos 8: Wenn man „forschen“ will braucht man die DSGVO nicht beachten
Ähnlich wie bei Medien hat das Datenschutz-Deregulierungsgesetz hier die Anwendbarkeit der DSGVO in weiten Teilen ausgeschlossen. Aber auch in der Forschung gilt dies nicht unbeschränkt. Grundprinzipien der DSGVO müssen gewahrt bleiben. Beispielsweise ist die Verwendung personenbezogener Daten unzulässig, wenn das gleiche Ergebnis auch mit pseudonymisierten Daten erreicht werden kann. Ob die Forschung datenschutzfreundlich abläuft kann auch von der Datenschutzbehörde überprüft werden, da diese von Amts wegen Ermittlungsverfahren einleiten darf.

Mythos 9: Wenn man Rechte aus der DSGVO ausüben will braucht man in Österreich einen Anwalt
Das stimmt teilweise! Die DSGVO sieht einerseits vor, dass man sich bei der Datenschutzbehörde beschweren kann und andererseits, dass man das Recht auf Schadenersatz hat. Im ersten Fall braucht man keinen Anwalt, sondern kann sich auch selbst sowie durch einen Verein oder eine NGO vertreten lassen. In zweiten Fall geht dies nicht und man muss hier den Gerichtsweg bestreiten. Aufgrund der Zuständigkeit der Landesgerichte, herrscht Anwaltspflicht.

Mythos 10: Sollte man doch gegen die DSGVO verstoßen haben, kann man sich eine leichte Strafe erschummeln
Hier wurde von Seiten der (deutschen) Medien schlichtweg die österreichische Rechtslage im Bereich des Verwaltungsstrafrechtes missverstanden. In Österreich werden Verwaltungsstrafen grundsätzlich nicht gegen die Unternehmen verhängt, sondern gegen natürliche Personen. Die DSGVO bzw. das hiesige Datenschutz-Gesetz sieht aber vor, dass die Strafen gegen die Unternehmen zu verhängen sind. Um Missverständnissen vorzubeugen wurde im hiesigen Anpassungsgesetz explizit darauf hingewiesen, dass man nicht zusätzlich eine natürliche Person (z.B. den Vorstand) strafen darf, wenn bereits eine Strafe gegen das Unternehmen als solches erlassen worden ist.

Für Fragen rund um die Themen DSGVO & Informationssicherheit sowie die Beratungsleistungen von VACE, wenden Sie sich bitte jederzeit an
security@vace.at.