Nach jahrelangen Verhandlungen beschloss das EU-Parlament vor rund einem Jahr eine neue Datenschutz-Grundverordnung. Sie tritt ab Mai 2018 in Kraft. IT-Unternehmen sollen zuvor massiv lobbyiert haben, um allzu strenge Datenschutzregeln zu verhindern. DER STANDARD hat mit dem IT-Experten Lukas Feiler über die größten Neuerungen gesprochen.

STANDARD: Was ändert sich für einen normalen Nutzer mit der neuen Verordnung?

Feiler: Er kann seine Rechte leichter durchsetzen. Bisher war die Durchsetzung des Datenschutzes aus Sicht des Nutzers relativ zahnlos. Er konnte eine Beschwerde bei der Datenschutzbehörde einbringen, was allenfalls dazu führte, dass diese eine kleine Untersuchung durchführt und den Fall an die Bezirksverwaltungsbehörde weitergibt, die ein Strafverfahren durchführt. In Wien ist etwa das Magistratische Bezirksamt für den 2. und 20. Bezirk zuständig – dort arbeitet eine einzige Person das Datenschutzrecht in der Hauptstadt ab.

STANDARD: Mit der Verordnung bleibt das ganze Verfahren bei der Datenschutzbehörde selbst?

Feiler: Genau. Sie erhält nun die Kompetenz, Verwaltungsstrafverfahren durchzuführen, und kann drakonische Strafen verhängen. Diese können bei bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Konzernumsatzes liegen – bislang war die Höchststrafe lediglich 10.000 Euro.

STANDARD: Wie wird die Rechtsdurchsetzung für Betroffene über Gerichte verändert?

Feiler: Die Verordnung sieht nun ein robustes Recht auf Schadenersatz vor. Bislang war es so, dass dieser praktisch nur dann zugesprochen wurde, wenn es zu einer "Bloßstellung" des Betroffenen in der Öffentlichkeit gekommen war. Denn nur dann gab es ein Recht auf immateriellen Schadenersatz. Materielle Schäden – die voraussetzen, dass man nachweislich durch Datenschutzverletzungen Geld verloren hat – gab es in diesem Bereich typischerweise nicht.

STANDARD: Muss jeder Betroffene einzeln vor Gericht ziehen?

Feiler: Nein – auch das ist neu: Es gibt nun die Möglichkeit, dass eine Datenschutz-NGO die Ansprüche des Betroffenen geltend macht. Dazu zählt nach dem seit Freitag vorliegenden Entwurf des neuen österreichischen Datenschutzgesetzes ausdrücklich auch das Recht auf Schadenersatz. Mehrere Ansprüche von mehreren Betroffenen können zu einer Art Sammelklage gebündelt werden, wobei es hier um Summen von zigtausenden Euro gehen kann.

STANDARD: Wie können sich Unternehmen dagegen wappnen?

Feiler: Das Unternehmen kann sich gewissermaßen "freibeweisen". Es muss zeigen, dass es nicht für die Datenschutzverletzung verantwortlich ist. Da es keine absolute Sicherheit gibt, kann es bei jedem Unternehmen zu vereinzelten Datenschutzverstößen kommen. Es kommt aber darauf an, ob das Unternehmen angemessene Datenschutz- und Sicherheitsmaßnahmen implementiert hat – also seine "Hausaufgaben" gemacht hat.

STANDARD: Was sind diese Hausaufgaben?

Feiler: Bislang konnten sich Unternehmen stark auf die Datenschutzbehörde verlassen. Praktisch jede Datenverwendung wurde an die Behörde gemeldet und oft geprüft. Man konnte schwierige Fragen also an die Behörde "auslagern". Das muss nun intern passieren. Jede Datenanwendung muss in ein internes Verzeichnis eingetragen werden, das etwa dokumentiert, welche Daten wann wofür verarbeitet werden.

STANDARD: Gibt es besonders heikle Datensammlungen für Unternehmen?

Feiler: Wenn Datenverarbeitung ein hohes Risiko darstellt, also etwa Gesundheitsdaten in großen Umfang gespeichert werden, muss das Unternehmen eine "Datenschutzfolgeabschätzung" machen. Das Unternehmen muss dokumentieren, warum die Datensammlung zulässig ist und sogenannte "Risikominderungsmaßnahmen" schaffen, etwa eine Verschlüsselung der Daten.

STANDARD: Wer ist im Unternehmen dafür zuständig?

Feiler: Die Datenschutz-Grundverordnung sieht vor, dass Unternehmen, die datengetriebene Geschäftsmodelle verfolgen, einen Datenschutzbeauftragten bestellen müssen. Dieser muss nicht nur entsprechend qualifiziert sein, sondern auch mit einer großen Unabhängigkeit ausgestattet sein. Er genießt außerdem einen Kündigungsschutz.

STANDARD: Welche Unternehmen sind konkret betroffen?

Feiler: Laut Verordnung müssen Unternehmen einen Datenschutzbeauftragten haben, wenn ihre "Kerntätigkeit" die Datenverarbeitung ist. Doch die europäischen Datenschutzbehörden legen das so aus, dass der Grundsatz auch für Firmen gilt, deren Kerntätigkeit durch die Datenverarbeitung unterstützt wird. Dadurch sind fast alle Unternehmen betroffen.

STANDARD: Bringt die Verordnung Unternehmen nur Mühen oder gibt es positive Effekte?

Feiler: Wir bemerken, dass viele Dinge, die auch nach geltendem Recht notwendig wären, nun wirklich angegangen werden. Dabei bemerken Unternehmen aber, welche Möglichkeiten in ihren Daten stecken. Man sieht diese nicht mehr nur als "Problem" bei Compliance und Datenschutz, sondern beginnt, neue digitale Geschäftsmodelle zu entwickeln.

STANDARD: Wie sieht die Umsetzung in Österreich aus?

Feiler: Die Datenschutz-Grundverordnung enthält 69 sogenannte "Öffnungsklauseln", sie lässt dem nationalen Gesetzgeber also noch einen gewissen Spielraum. Seit vergangenem Freitag liegt der erste österreichische Gesetzentwurf vor, der einige mit Spannung erwartete Fragen klärt: Die Pflicht zur Bestellung eines Datenschutzbeauftragten wird nicht auf alle Unternehmen ausgedehnt. Das Alter, ab dem Minderjährige eine wirksame Einwilligung in die Verarbeitung ihrer Daten erteilen können, bleibt – wie von der Datenschutz-Grundverordnung grundsätzlich vorgesehen – bei sechzehn Jahren.

STANDARD: Wie funktionieren diese Sammelklagen nach der österreichischen Umsetzung?

Feiler: Datenschutz-NGOs werden zwar Schadenersatzansprüche im Auftrag von Betroffenen geltend machen können, aber keine Klagen ohne Auftrag eines Betroffenen einbringen können – wie dies etwa der VKI im Bereich des Konsumentenschutzes kann. Schließlich werden die drakonischen Strafen der Datenschutz-Grundverordnung grundsätzlich nicht nur gegen ein Unternehmen, sondern auch gegen seine Geschäftsleitung verhängt werden können. Öffentlichen Stellen werden bei Datenschutzverletzungen hingegen keine Geldbußen drohen. (Fabian Schmid, 22.5.2017)