Nicht die Europäische Union, sondern Österreich wäre schuld, wenn die Rechte der Bürger künftig zu kurz kommen. Und diese Gefahr besteht.
Wien. Im „Rechtspanorama“ entspann sich ein spannender Diskurs zwischen Richard Kühnel, dem Vertreter der Europäischen Kommission in Österreich, und dem Wiener Rechtsanwalt Rainer Knyrim. Thema waren die Vor- und Nachteile des auf EU-Ebene geplanten One-Stop-Shop-Prinzips im Datenschutzrecht. Knyrim vertrat den Standpunkt, dass der geplante One-Stop-Shop eine Verschlechterung für den Datenschutz der österreichischen Bürger bedeutet, wohingegen Kühnel in der geplanten Neuerung eine Stärkung des Datenschutzes sah.
Aber was bewirkt der von der EU-Kommission geplante One-Stop-Shop nun tatsächlich? Zur Erinnerung: Der auf europäischer Ebene vorgeschlagene One-Stop-Shop bedeutet, dass künftig für Unternehmen, die in mehreren Staaten der EU Niederlassungen unterhalten und dort Daten verarbeiten, nur noch eine Datenschutzbehörde zuständig sein soll – jene am Ort der Hauptniederlassung des Unternehmens. Derzeit ist es so, dass die Datenschutzbehörden der betroffenen Länder für ihr jeweiliges Land zuständig sind. Der Vorteil der neuen EU-Regelung für die Unternehmen liegt auf der Hand. Bleiben aber tatsächlich die Datenschutzrechte der Bürger auf der Strecke? Fakt ist, dass für Datenschutzbeschwerden von österreichischen Betroffenen, die gegen ein Unternehmen gerichtet sind, künftig die Datenschutzbehörde am Ort der Hauptniederlassung des Unternehmens zuständig ist. Fakt ist aber auch, dass die österreichische Datenschutzbehörde für die Entgegennahme dieser Beschwerden zuständig bleibt.
Im Fall des Wiener Jus-Studenten Max Schrems, der rechtlich gegen das in Irland ansässige Online-Netzwerk Facebook vorging, wäre also auch zukünftig die irische Behörde zuständig. Sein direkter Ansprechpartner wäre aber die österreichische Behörde, wobei beide Behörden zur Zusammenarbeit verpflichtet sind. Der neue EU-Datenschutzrahmen sieht auch einen „Eskalationsprozess“ bis hin zur Europäischen Kommission vor, falls die nationalen Behörden nicht zusammenarbeiten.
Neue Datenschutzbehörde nötig
Dieses Konzept ist stringent. Kann es aber in Österreich umgesetzt werden? Hier bestehen Zweifel: Die österreichische Datenschutzkommission ist schon seit Jahren hoffnungslos unterbesetzt, sodass eine wirkungsvolle Zusammenarbeit mit anderen Datenschutzbehörden mehr Theorie als Realität sein wird. Vor allem aber steht die Auflösung der österreichischen Datenschutzkommission bevor.
Ab 2014 sollen ihre Agenden von den neu ins Leben gerufenen Landesverwaltungsgerichten übernommen werden. Die Landesverwaltungsgerichte erfüllen jedoch die Anforderungen nicht, die der neue EU-Datenschutzrahmen an die Datenschutzbehörden der Mitgliedstaaten stellt. Österreich hat also ab 2014 keine Datenschutzbehörde mehr. Daher kann es auch nicht zu einer Zusammenarbeit mit anderen Datenschutzbehörden kommen. Zuständig ist allein die Datenschutzbehörde an der Hauptniederlassung des Unternehmens.
Ohne Handeln droht Fallstrick
Hier droht ein Fallstrick, der zwar nicht im neuen EU-Datenschutzrahmen begründet ist, aber dennoch zulasten der Bürger geht. Anschaulich wird dies beim Rechtsschutz: Gemäß dem neuen EU-Datenschutzrahmen können die Bürger nicht direkt gegen die Entscheidungen ausländischer Datenschutzbehörden Rechtsmittel erheben. Sie dürfen nur ihre heimische Aufsichtsbehörde ersuchen, Klage gegen die Entscheidung der ausländischen Behörde zu erheben.
Wenn in Österreich keine den Anforderungen des EU-Datenschutzentwurfs entsprechende Aufsichtsbehörde existiert, können die Betroffenen aber niemanden um Erhebung eines Rechtsmittels ersuchen. Sie selbst dürfen kein Rechtsmittel erheben. Die Folge: Ein fatales Rechtsschutzdefizit, das von niemandem gewünscht ist, weder von der Europäischen Kommission noch von der Republik Österreich.
Fazit: Die Daten der Bürger bleiben auch im neuen EU-Datenschutzrahmen geschützt. Allerdings setzt dies eine effiziente und gut ausgestattete nationale Datenschutzbehörde voraus. Wird dafür nicht Sorge getragen, bleibt der Datenschutz auf der Strecke. Am Zug ist Österreich.
Dr. Günther Leissler, LL.M., ist Rechtsanwalt bei Schönherr.
Auf einen Blick
Bei datenschutzrechtlichenProblemen innerhalb der EU soll künftig das Prinzip des One-Stop-Shops gelten. Das bedeutet, dass für Unternehmen, die in mehreren Staaten der EU Niederlassungen haben, nur noch die Datenschutzbehörde am Ort der Hauptniederlassung zuständig sein soll. Beschwerden können Bürger aber bei der Behörde in ihrem Land einbringen, die Behörden beider Länder sollen zusammenarbeiten. Das Problem in Österreich: Die Datenschutzbehörde soll hier ab 2014 abgeschafft, ihre Aufgaben von den Landesverwaltungsgerichten übernommen werden. Doch diese könnten die Aufgaben im Datenschutz nicht erfüllen.
("Die Presse", Print-Ausgabe, 24.09.2012)