DSGVO – auch in Österreich drohen weiterhin Geldstrafen!

Prinzip "Beraten statt Strafen"

Zuerst sorgte das neue Datenschutzrecht für Aufregung, weil die Strafen der DSGVO existenzgefährdend hoch erscheinen. Nun sorgt die österreichische Umsetzung für Aufregung, weil das Prinzip „Beraten statt Strafen“ in das Gesetz aufgenommen wurde. Auslöser ist ein Artikel von heise.

Das bedeutet NICHT, dass es keine Strafen mehr geben wird:

Vorgeschichte

Am 20.4.2018 wurden im österreichischen Parlament das Materien-Datenschutz-Anpassungsgesetz 2018 beschlossen. Dieses passt zahllose Gesetze an das neue Datenschutzrecht an.

Zusätzlich stand das Datenschutz-Deregulierungs-Gesetz am Programm. Dieses war bitter notwendig, um endlich den in Österreich immer noch bestehenden Schutz der juristischen Personen aus dem österreichischen Datenschutzgesetz zu bekommen. Dazu wird im Parlament eine Zwei-Drittel-Mehrheit, also die Stimmen der Opposition benötigt. Dies wurde von der Oppositionspartei SPÖ als Retourkutsche blockiert, weil die Regierungsparteien ÖVP und FPÖ den von der SPÖ gewünschten Untersuchungsausschuss zum Nachrichtendienst BVT blockierten. Ganz normale Politik also. :(((

Nachdem die Opposition ohnehin nicht zustimmte, brachte daraufhin die ÖVP einen Abänderungsantrag ein, der einerseits die juristischen Personen auf anderem Weg aus dem Datenschutzrecht ausnimmt (ob so funktioniert sei dahingestellt) und der andererseits noch weitere Bestimmungen beinhaltete (die man wohl vorher herausgenommen hatte, weil die neuen Bestimmungen mit der Politik der SPÖ wohl nicht zusammenpassen und man einen Kompromiss finden wollte). Dieser Antrag wurde mit den Stimmen der ÖVP und der FPÖ angenommen.

§ 11 DSG (NEU)

In dem angenommenen Antrag findet sich diese neue Bestimmung:

§ 11. DSG Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.

Beraten statt Strafen

Die neue Fassung des § 11 DSG besagt, dass bei der Verhängung von Strafen die Verhältnismäßigkeit zu wahren ist. No na net. Das ist bei der Bemessung von Strafen in einem Rechtsstaat absoluter Standard und ist auch in Art. 83 Abs. 1 DSGVO so festgeschrieben.

Spannend ist hingegen der zweite Satz.

Theoretisch liegt es sehr oft im Ermessen von Behörden, ob bloß eine Ermahnung ausgesprochen oder ob eine Strafe verhängt wird. Praktisch neigen die Behörden dazu, fast nie zu ermahnen, sondern gleich (und oft massiv überzogen) zu strafen. Als Rechtsanwalt kenne ich unzählige Fälle.

Die Wirtschaftskammer versucht seit Jahren, die Behörden zu einem Umdenken zu bewegen und gerade beim ersten Verstoß das Prinzip „Beraten statt Strafen“ einzuführen. Der Erfolg der Versuche der Wirtschaftskammer war bisher gering.

Aufgrund der neuen Regierungskonstellation ist es nun gelungen, dieses Prinzip im Datenschutzgesetz zu verankern. Die Datenschutzbehörde hat daher insbesondere beim ersten Verstoß von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch zu machen.

Das ist einerseits erfreulich. Unternehmer müssen eine absolut unmöglich zu überblickende Normenflut erfüllen. Jedes Unternehmen weist daher zwangsläufig Umsetzungslücken auf. In Anbetracht dieser Realität ist das Prinzip „Beraten statt Strafen“ gerade bei komplexen Gesetzen wie der DSGVO, die noch dazu viele selbst für Experten unklare Stellen enthält, nur fair.

Das ist aber andererseits nicht so zahnlos, wie es nun von vielen kommuniziert wird. Die Datenschutzbehörde hat beim ersten Verstoß von den Abhilfebefugnisse (bloß) INSBESONDERE (also NICHT  NUR) durch Verwarnen Gebrauch zu machen.

Auch Geldstrafen sind weiter möglich!

Daher lohnt sich ein Blick darauf, was diese Abhilfebefugnisse gemäß ART. 58 DSGVO sonst noch umfassen:

Art. 58 Abs. 2 DSGVO. Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

  1. einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
  2. einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
  3. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
  4. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
  5. den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
  6. eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
  7. die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
  8. eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
  9. eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
  10. die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.

Das bedeutet, wenn z.B. aufgrund der Schwere der Datenschutzverstöße ein bloßes Verwarnen unverhältnismäßig sein sollte, kann die Datenschutzbehörde auch weiterhin sofort eine Geldbuße (oder auch mehrere sinnvoll kombinierte Abhilfemaßnahmen parallel) verhängen.

Man könnte sohin sagen, dass der österreichische Gesetzgeber insbesondere für Sanktionen für erstmalige Verstöße eine Schwerpunktsetzung vorgenommen hat. (Und diese macht angesichts der überzogenen Strafen mancher Behörden durchaus Sinn.) In der Praxis werden also insbesondere Unternehmen, die sich redlich Mühe gegeben haben, die DSGVO umzusetzen, mit einer Verwarnung rechnen müssen. Wer die DSGVO hingegen aufgrund der angeblichen Straffreiheit ignoriert, wird wohl weiterhin eine verhältnismäßige (saftige) Strafe erhalten.

MACHEN SIE ES VON ANFANG AN RICHTIG - LASSEN SIE SICH BERATEN.

Zur Inanspruchnahme der anwaltlichen Erstberatung vereinbaren Sie bitte einen Termin in unserer Rechtsanwaltskanzlei: +43 (662) 62 33 23.

Wir beraten Sie gerne!

OK

Ich willige in die statistische Auswertung meiner Benutzung dieser Website ein. » Datenschutz