Entgegen der Meinung der EU dürften sich Österreicher keine Unterstützung bei grenzüberschreitenden Datenschutzproblemen erwarten.
Wien. Das von der EU geplante One-Stop-Shop Verfahren werde den Schutz der Daten österreichischer Bürger künftig nicht erschweren, behauptet Richard Kühnel, Vertreter der EU-Kommission in Österreich. Im Rechtspanorama von vergangener Woche schrieb er eine Entgegnung auf meinen zuvor erschienenen Beitrag zum Verfahren des Wiener Jusstudenten Max Schrems gegen Facebook vor der irischen Datenschutzbehörde. Kühnel versuchte, die aufgestellte Befürchtung zu entkräften.
Doch zur Erinnerung: Der One-Stop-Shop würde bedeuten, dass, wenn ein Österreicher bei einer österreichischen Gesellschaft Daten hinterlässt (etwa beim Einkauf mit Kundenkarte), die zuständige Datenschutzbehörde nicht die österreichische wäre, sondern die Datenschutzbehörde der EU-Hauptniederlassung des Konzerns, wenn die Gesellschaft – wie sehr oft – zu einem internationalen Unternehmen gehört. Kühnel begründete seine Entgegnung damit, dass die geplante EU-Regelung vorsehe, dass sich der österreichische Bürger künftig dennoch an die österreichische Datenschutzbehörde wenden könne, die den Fall dann in Zusammenarbeit mit der ausländischen Behörde lösen müsse. Kühnel endete seinen Beitrag euphorisch damit, dass dann in Fällen wie von Max Schrems dieser von der österreichischen Datenschutzkommission die Jubelmeldung „Fall gelöst. Daten gelöscht“ erhalten werde.
Max Schrems wäre von so einer Jubelmeldung vermutlich nicht restlos begeistert, zumal es ihm gerade um ein transparentes Verfahren gehen dürfte und er seit einem Jahr versucht, Akteneinsicht zu bekommen. Zudem gehen Kühnel wie auch die EU in deren Entwurf vom theoretisch gut klingenden Konzept aus, dass die nationalen Behörden zugunsten des Bürgers intensiv zusammenarbeiten werden. Die Praxis sieht allerdings anders aus: Eine effiziente Behördenzusammenarbeit setzt voraus, dass die nationalen Datenschutzbehörden mit ausreichenden Ressourcen ausgestattet sind, um diese Aufgaben auch tatsächlich erledigen zu können. Im Entwurf der EU-Kommission fehlt allerdings eine ausreichend präzise Regelung mit mess- und vergleichbaren Kalkulationswerten zur personellen und finanziellen Ausstattung der Datenschutzbehörden.
Unterbesetzung lange bekannt
Gerade die von Kühnel angeführte österreichische Datenschutzkommission (DSK) ist ein Paradebeispiel für unzureichende Ressourcen. Schon vor sechs (!) Jahren schrieb ich an dieser Stelle zu einer von der EU-Kommission einberufenen Datenschutzkonferenz: „Überraschend war auch, dass die krasse Unterbesetzung der österreichischen DSK mittlerweile schon europaweit bekannt ist und allseits Unverständnis über die mangelnde Ressourcenbereitstellung durch die Republik hervorruft.“ Seitdem ist die Situation leider noch viel schlimmer geworden, die DSK kann – trotz sehr engagierter Mitarbeiter – ihre bestehenden Aufgaben kaum noch bewältigen. Dementsprechend wurde erst vor wenigen Tagen eine „Datenschutzgesetz-Novelle 2012“ in Begutachtung versandt. Diese soll jedoch nicht der Verbesserung des Datenschutzes für den Bürger dienen, sondern hat das erklärte Ziel, die herrschende Ressourcenknappheit der DSK auszugleichen. Aber nicht durch Personalaufstockung, sondern durch Verfahrensreduktion und (freiwillige) Aufgabenauslagerung an die Unternehmen.
Bleibt die DSK so ausgestattet, wie sie derzeit ist, ist eine Zusammenarbeit mit ausländischen Behörden aber trotzdem kaum denkbar: Die DSK würde es vielleicht gerade noch schaffen, als „Briefträger“ die Beschwerden österreichischer Bürger an die eigentlich zuständige ausländische Behörde weiterzuschicken, hätte aber wohl nicht die Kapazität, sich inhaltlich damit auseinanderzusetzen. Damit stünde der österreichische Bürger letztlich wieder allein vor der ausländischen Behörde. Zu erwähnen ist auch, dass der Entwurf der EU-Kommission zwar vorsieht, dass ein Bürger, der von der Entscheidung einer Datenschutzbehörde in einem anderen Land betroffen ist, die Behörde in seinem Land sogar ersuchen (wohlgemerkt: ersuchen!) kann, in seinem Namen gegen die zuständige Behörde in dem anderen Land Klage zu erheben. Die Verfahrenskosten inklusive des Risikos, die gegnerischen Kosten tragen zu müssen, blieben aber dennoch bei ihm.
Wie soll Aufsicht funktionieren?
Wirklich spannend wird es jetzt: Im Juni diesen Jahres wurde die Verwaltungsgerichtsbarkeits-Novelle publiziert, mit der auch die DSK per 1.1.2014 abgeschafft und durch die neuen Verwaltungsgerichte ersetzt wird. Wenn also danach die neue EU-Datenschutzverordnung in Kraft tritt, wird die von Kühnel als Dreh- und Angelpunkt des künftigen Konstrukts angesprochene österreichische Aufsichtsbehörde gar nicht mehr existieren, die Verwaltungsgerichte werden diese Funktion aber nicht übernehmen können. Wie soll eine Aufsicht über das künftige EU-Datenschutzrecht funktionieren, wenn es die zuständige Aufsichtsbehörde in Österreich gar nicht mehr gibt?
Dr. Rainer Knyrim ist Rechtsanwalt und Partner der Kanzlei Preslmayr Rechtsanwälte OG, Wien.
Auf einen Blick
Eine EU-Novelle sieht ein One-Stop-Verfahren in Datenschutzfragen vor. Bei Problemen müssten sich Bürger dann an die Behörde jenes EU-Landes wenden, in der der Konzern seinen Hauptsitz hat. Auf die Hilfe der heimischen Datenschutzkommission dürfte man dabei nicht vertrauen: Die Behörde ist unterbesetzt und wird 2014 zudem abgeschafft.
("Die Presse", Print-Ausgabe, 20.08.2012)