Datenschutz: Per SMS erklärten irische Behörden, dass sie österreichischen Datenschützern nicht zur Verfügung stünden. Ein Vorgeschmack auf eine geplante EU-Verordnung.
Wien. Die Initiative „Europe vs. Facebook“ rund um den Wiener Jusstudenten Max Schrems ist, wie „Die Presse“ kürzlich berichtete, bei der irischen Datenschutzbehörde vorerst abgeblitzt. Seit rund einem Jahr versucht diese Initiative in einem Verfahren gegen Facebook, ihr Grundrecht auf Datenschutz durchzusetzen und von Facbook eine ordnungsgemäße Datenverarbeitung und Datenlöschung zu erlangen und damit europäisches Datenschutzrecht durchzusetzen.
Zuständig ist die Behörde in Irland deshalb, da sich dort der (einzige) europäische Firmensitz des US-amerikanischen Konzerns befindet. Die irische Behörde hat auch ein Verfahren eingeleitet, um die Einhaltung der europäischen Richtlinie durch Facebook zu prüfen; die Studenten erhielten, obwohl sie Verfahrenspartei sind, nicht einmal Akteneinsicht. Der bisherige Verfahrensablauf, in dem es keine ausreichend konkreten und transparenten Verfahrensregeln zu geben scheint, kann – verglichen mit österreichischen Standards – als „kurios“ bezeichnet werden. Bisheriger Höhepunkt ist laut Max Schrems ein SMS (!) des stellvertretenden irischen Datenschutzkommissars an ihn, in dem dieser mitgeteilt hat, dass weder er noch der Kommissar selbst für ihn zur Verfügung stehe.
Bild einer Bankrotterklärung
All diese Vorkommnisse zeichnen ein Bild, das einer Bankrotterklärung der irischen Datenschutzbehörde und deren Wahrung der Datenschutzrechte von Millionen europäischer Facebook-Nutzer gleichkommen dürfte. Der „Facebook-Fall“ ist aber nur ein Vorgeschmack dessen, was die EU-Kommission für die Zukunft der Bürgerrechte plant: Kommissarin Reding hat im Jänner den Entwurf für eine EU-Datenschutz-Verordnung vorgestellt, die das bisherige EU-Datenschutzrecht ersetzen soll und dabei das bestehende nationale Datenschutzrecht vollständig aufheben soll. Derzeit ist es so, dass sich ein österreichischer Bürger, wenn er eine Verletzung seines Datenschutzes befürchtet, an die österreichische Datenschutzkommission wenden kann (was die Wiener Jusstudenten im Fall von Facebook nicht machen konnten, da Facebook keine Niederlassung in Österreich betreibt).
Laut EU-Plänen sollen Unternehmen mit Sitz in mehreren EU-Staaten ihre Datenschutzagenden künftig in einem sogenannten One Stop Shop zentral für alle Länder in der EU mit der Datenschutzbehörde an dem Sitz ihrer Hauptniederlassung erledigen können. Diese ist dann zentral für die Datenschutzangelegenheiten aller EU-Bürger zuständig, deren Daten das Unternehmen verarbeitet. In Zukunft kann also jeder Bürger in dieselbe Situation geraten, in der sich der Student Max Schrems schon jetzt befindet. Wenn nämlich ein in Österreichisch ansässiges Unternehmen, für das derzeit die österreichische Datenschutzkommission zuständig ist, einem internationalen Konzern mit Sitz beispielsweise in Irland gehört, dann wird künftig die österreichische Datenschutzkommission allfällige Datenschutzbeschwerden österreichischer Bürger einfach an die irischen Kollegen weiterschicken, weil diese dann zuständig sind.
Die österreichischen Bürger werden dann ihr Grundrecht auf Datenschutz vor derselben irischen Behörde geltend machen müssen, die derzeit Anlass zum Kopfschütteln gibt. Abseits aller rechtlichen Bedenken ist auch fraglich, ob diese Behörde überhaupt über ausreichende Mittel verfügt, um dieser Aufgabe nachzukommen. Die irische Datenschutzbehörde residiert vielmehr über dem örtlichen Lebensmittelgeschäft einer irischen Kleinstadt, und schon das Eingangsportal erinnert mehr an den „Friseur um die Ecke“ als an eine Behörde, die für die Rechte von Millionen EU-Bürger anderer Länder zuständig ist.
Österreich stark betroffen
Von dieser geplanten Neuregelung der Behördenzuständigkeit wäre nicht zuletzt auch Österreich stark betroffen. Immerhin werden rund 40 Prozent der österreichischen Wirtschaftsleistung von Unternehmen mit ausländischen Eigentümern erbracht, und einige bedeutende Unternehmen haben ihre Hauptniederlassung – aus steuerlichen Gründen – bewusst in Irland angesiedelt. Ist dann Schluss für den Datenschutz der österreichischen Bürger – per SMS?
Das von der EU-Kommission geplante „One Stop Shop“-Prinzip ist – wie viele andere Punkte des EU-Entwurfs – dringend zu überdenken.
Dr. Rainer Knyrim ist Rechtsanwalt und Partner der Kanzlei Preslmayr Rechtsanwälte OG, Wien.
Auf einen Blick
Die EU möchte, dass Datenschutzagenden von internationalen Unternehmen künftig nur dort zu regeln sind, wo ein Unternehmen den Hauptsitz hat. Das könnte aber dazu führen, dass das Rechtsschutzniveau sinkt.
("Die Presse", Print-Ausgabe, 06.08.2012)