. . Vergangene Woche forderte Rechtsanwalt Rainer Knyrim im „Rechtspanorama“, dass der in der EU-Datenschutznovelle geplante One-Stop-Shop „dringend zu überdenken“ sei. Denn dieser Vorschlag der EU-Kommission würde Datenschutzbeschwerden der Bürger verkomplizieren und das Grundrecht auf Datenschutz unterlaufen. Als Beispiel nennt Rainer Knyrim ausgerechnet den Fall des österreichischen Studenten Max Schrems.
Diese Analyse führt in die Irre. Der One-Stop-Shop, nach dem jeweils eine nationale Datenschutzbehörde für ein Unternehmen und für die Bürger zuständig sein soll, ist unkompliziert und unbürokratisch. Er ist eine wesentliche Vereinfachung und Verbesserung der heutigen, für Verbraucher und Unternehmen oft frustrierenden Situation. Gerade am Fall von Max Schrems lässt sich exzellent verdeutlichen, wie die neuen EU-Datenschutzregeln zu einer Verbesserung des Datenschutzes für den Einzelnen führen werden.
Der Jusstudent hatte im vergangenen Jahr ein Problem mit Facebook und forderte seine Daten zurück. Weil Facebook seinen Sitz in Irland hat, musste der Student sich – nach heute geltendem Recht – direkt an die irische Datenschutzbehörde wenden. Er musste sich also mit dem Beschwerdeverfahren (Formulare, Fristen usw.) in Irland auseinandersetzen. Der Jusstudent konnte von Glück reden, dass in Irland Englisch gesprochen wird und er keine sprachlichen Hindernisse überwinden musste. Geholfen wurde ihm bis jetzt dennoch nicht.
Wie wird es in Zukunft mit der neuen EU-Datenschutzverordnung sein? Max Schrems würde sich dann direkt an die österreichische Datenschutzkommission wenden können, die dann verpflichtet wäre, für ihn dem Fall nachzugehen – in enger Zusammenarbeit mit der irischen Behörde. Neu ist auch, dass die Behörden verpflichtet sind, den Verbraucher über den Verlauf seiner Beschwerde zu informieren; und dass es durchsetzbare Fristen gibt, innerhalb derer der Fall in Zusammenarbeit zwischen den beiden betroffenen Datenschutzbehörden gelöst werden muss. Gelingt dies nicht, muss der Fall vor das gemeinsame Gremium aller europäischen Datenschutzbehörden gebracht werden. In letzter Instanz könnte auch die Europäische Kommission direkt im Interesse des Bürgers eingreifen. Der von Rainer Knyrim beschriebene Fall, in dem der Bürger eine Beschwerde einreicht, die keine Wirkung hat und bei der er über den Verfahrensablauf kaum informiert wird, wäre unter den neuen EU-Regeln nicht denkbar.
Ein Gesetz für alle EU-Staaten
Bei der Datenschutznovelle handelt es sich um eine Verordnung. Dies bedeutet, dass in Zukunft das gleiche Gesetz in allen 27 Mitgliedstaaten gilt. Ein einheitliches Gesetz, das Bürgern die gleichen Rechte einräumt, egal von welcher Behörde ihr Fall behandelt wird. Und ein Gesetz für alle Unternehmen – egal in welchem EU-Land sie ihre Niederlassung haben. Multinationale Konzerne wie Facebook können sich also in Zukunft in Europa keine datenschutzrechtlichen Schlupflöcher mehr suchen. Ein gleich hohes Datenschutzniveau in ganz Europa wird dazu führen, dass es keinen Unterschied macht, ob ein Unternehmen in Wien oder in Dublin sitzt. Vor diesem Hintergrund ergibt das Argument von Knyrim, dass künftig die irische Datenschutzbehörde für alle Datenschutzfälle zuständig werde, da alle wichtigen Unternehmen ihren Sitz in Irland haben, wenig Sinn. Er beschreibt damit die Mängel des jetzigen Rechts, nicht die Rechtslage nach Inkrafttreten der neuen Datenschutzverordnung.
Was bedeutet die EU-Datenschutznovelle nun für den Wiener Studenten? Er hat künftig mit deutlich weniger Bürokratie zu kämpfen. Sein Ansprechpartner wird immer die österreichische Datenschutzkommission sein – egal ob er gegen Facebook oder Google oder ein anderes Unternehmen Beschwerde einreichen will.
Die österreichische Datenschutzkommission wird wiederum durch die neue EU-Datenschutzverordnung verpflichtet, mit der irischen Behörde zusammenzuarbeiten. Gemeinsam mit dieser hat sie den Fall auf Basis des einheitlichen Europäischen Datenschutzrechtes zu lösen und dann dem Bürger Bericht zu erstatten. Der von der Kommission vorgesehene Mechanismus zur grenzüberschreitenden Zusammenarbeit der nationalen Datenschutzbehörden stellt dabei sicher, dass keine nationale Behörde auf sich allein gestellt ist.
„Fall gelöst, Daten gelöscht“
Die EU-Kommission setzt sich dafür ein, dass das in Artikel 8 der EU-Grundrechtecharta festgeschriebene Grundrecht auf Datenschutz in die Praxis umgesetzt wird. Die im Jänner vorgeschlagene Datenschutznovelle ist der beste Beweis dafür. Tritt sie in Kraft, dann wird Max Schrems in Zukunft folgende SMS von der österreichischen Datenschutzkommission erhalten: „Fall gelöst. Daten gelöscht.“
Mag. Richard Kühnel ist der
Vertreter der EU-Kommission in Österreich.
