Die EU-Datenschutz-Verordnung fordert von Unternehmen nur das, wozu sie ohnehin verpflichtet sind: einen sorgsamen Umgang mit fremden Daten.
Ganz verständlich ist sie ja nicht, die Aufregung um die Datenschutz-Grundverordnung, die am 25. Mai in der gesamten EU in Kraft tritt. Am Recht des Einzelnen auf den Schutz seiner Daten und an der Pflicht von Unternehmen, diesen zu beachten, ändert sich in Österreich nur wenig. Neu ist hingegen – und das erklärt die grassierende Hyperventilation in diesem Land zu einem gewissen Grad –, dass die Rechte und Pflichten plötzlich ernst genommen werden (können).
Das merkt jeder, dessen Mail-Postfach im Computer dieser Tage mit Anfragen geflutet wird, ob die Absender denn eh weiter ihre Post schicken dürfen. Die Unternehmen sind sich in großer Mehrheit bewusst, dass sie die Einwilligung des Betroffenen brauchen. Und dass dieser auch Nein dazu sagen kann – oder genauer: ab sofort nur seine Zustimmung zu unterlassen braucht –, um ungewolltes Sammeln, Verarbeiten oder Weitergeben der Daten zu unterbinden, das mailt sich jetzt ebenfalls herum. Und das ist gut so.
Was ist dann wirklich neu im Datenschutz? Einmal die enormen Strafdrohungen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes. So viel hat niemand in seiner Portokassa, aus der bisher Strafen für Datenschutzverstöße beglichen werden konnten. Dann ist auch die Regelungstechnik neu: Was die EU – also die Summe der (noch) 28 Mitgliedstaaten – hier verordnet, gilt unmittelbar und kann nur in engen Grenzen national beeinflusst werden.
Diese beiden Neuerungen – die hohen Strafen und das EU-Korsett – entziehen übrigens einem Aufschrei mancher Datenschützer die Grundlage: Demnach habe die Koalition handstreichartig das schöne neue Recht zunichtegemacht, indem sie die drakonischen Strafen durch sanfte Verwarnungen ersetzt habe. Das ist schon deshalb schwer möglich, weil eine angemessene Reaktion EU-Pflicht ist und die Höhe der Strafen früher oder später europäisch determiniert sein wird. Österreich kann nicht mehr tun, als die ohnehin gebotene Verhältnismäßigkeit einzumahnen, die Datenschutzbehörde also dazu anzuhalten, Augenmaß zu bewahren. Weder werden ab 25. Mai kleine Unternehmen in die Pleite gestraft werden, noch werden arge Verstöße gegen den Datenschutz sanktionslos bleiben.
Weitere Neuerungen? Doch, es gibt ein paar. Die Hoheit des Einzelnen über seine Daten wird gestärkt: So bekommt er das Recht auf Datenportabilität. Er kann verlangen, dass alles, was ein Vertragspartner über ihn gespeichert hat, in strukturierter und also weiterverwendbarer Form übertragen wird. Das kann zum Beispiel den Wechsel eines Energieversorgers vereinfachen. Auch wird das Recht auf Vergessenwerden verbrieft: darauf, dass personenbezogene Daten auf Wunsch gelöscht werden.
Damit kommt die andere Seite ins Spiel, also all diejenigen, die Daten verarbeiten. Die Datenschutz-Grundverordnung verlangt ihnen mehr Eigenverantwortung ab. Statt sich die Genehmigung für Verarbeitungen von der Behörde zu holen, müssen sie sich vor allem einmal selbst ein Bild davon machen, was sie mit den fremden Daten machen: was sie speichern und verarbeiten, mit welcher Rechtfertigung und welchen Folgen, mit welchem Schutz gegen Zugriffe Dritter. All das bedeutet zweifellos einen gewissen bürokratischen und damit auch finanziellen Aufwand, der aber angesichts des Wertes des geschützten Gutes, der persönlichen Daten, in Kauf zu nehmen ist.
Ist also alles gut im neuen Datenschutz? Nun ja. Das große europäische Versprechen eines einheitlichen Schutzes ist verfehlt worden; viel bedarf noch der Klarstellung durch die Gerichte, Öffnungsklauseln erlauben nationale Alleingänge. Einen besonders netten hat Österreich parat: Das Grundrecht auf Datenschutz kommt hier laut Verfassung auch juristischen Personen zugute, vor allem Unternehmen. Das ist schon bisher überflüssig, weil teils durch Offenlegungspflichten konterkariert, teils durch andere Gesetze gesichert. Eine Zweidrittelmehrheit zur Änderung hat die Koalition aber nicht gefunden. So bleibt etwas in der Verfassung stehen, was im neuen Recht null Niederschlag findet.
E-Mails an: benedikt.kommenda@diepresse.com
("Die Presse", Print-Ausgabe, 12.05.2018)
