Wien – Die neue EU-Datenschutzgrundverordnung (DSGVO) führt Mitte 2018 erstmals ein einheitliches, unmittelbar geltendes Datenschutzrecht in allen EU-Mitgliedstaaten ein. In Österreich führt die DSGVO zu einem Paradigmenwechsel: Ein System der Selbstbeurteilung ersetzt das bisherige, nicht mehr zeitgemäße behördliche Melde- und Genehmigungssystem.

Der Fokus liegt damit künftig auf unternehmensinterner datenschutzrechtlicher Compliance, deren Einhaltung durch die Datenschutzbehörde kontrolliert und sanktioniert wird. Eine ähnliche Zäsur erfolgte im Kartellrecht mit dem Kartellgesetz 2005. Die Praxis hat dort gezeigt, dass das System der Selbstbeurteilung wesentlich effizienter ist, wenn es mit entsprechenden Sanktionen verbunden ist.

Demnach sieht auch die DSGVO drakonische Geldbußen für Verstöße gegen Datenschutzrecht vor: Diese können bis zu 20 Millionen Euro oder vier Prozent des Umsatzes betragen, je nachdem, welcher Betrag höher ist. Im Kartellrecht ist das Limit mit zehn Prozent des Umsatzes zwar noch deutlich höher angesetzt. Im Vergleich zu dem bisherigen Strafrahmen von maximal 25.000 Euro handelt es sich dennoch um eine Strafdrohung, die für Unternehmen existenzbedrohend sein kann.

Offen bleibt hier vorerst die (in der Praxis jedoch entscheidende) Frage, ob der Umsatz nur des konkreten Unternehmens oder aber des gesamten Konzerns zählt, wie dies im Kartellrecht der Fall ist. So oder so wird die Einhaltung des Datenschutzrechts aber künftig in jedem Unternehmen ähnlich große Anstrengungen erfordern wie jene des Kartellrechts.

Öffnungsklauseln

Abgesehen von den überwiegend unionsweit einheitlichen Regelungen der DSGVO sieht diese vor, dass der nationale Gesetzgeber in Einzelbereichen nationale Regelungen treffen muss (etwa zu konkreten Ermittlungsbefugnissen der Datenschutzbehörde sowie den Sanktionen) oder kann (etwa zum Schutz von Arbeitnehmern oder von Minderjährigen). Man spricht hier von Öffnungsklauseln.

Auf diese Klauseln bezieht sich auch das österreichische Datenschutz-Anpassungsgesetz 2018, das seit kurzem vorliegt. Dabei fällt auf, dass Österreich damit bei der Umsetzung von Kann-Bestimmungen sehr zurückhaltend wäre, was im Interesse eines unionsweit möglichst einheitlichen Datenschutzrechts zu begrüßen ist.

In Umsetzung der Ermittlungsbefugnisse sieht der Entwurf eine behördliche "Einschau" in Räumlichkeiten vor, die der im Kartellrecht üblichen Hausdurchsuchung nachgebildet ist. Diese Abweichung ist Folge der fehlenden Involvierung eines Gerichts, die für eine (notfalls auch zwangsweise) "echte" Hausdurchsuchung erforderlich wäre. Die Behinderung einer Einschau ist aber immerhin mit einer Geldbuße von bis zu 50.000 Euro sanktioniert.

Wer wird bestraft?

Geldbußen werden von der Datenschutzbehörde verhängt, auch unmittelbar gegenüber juristischen Personen – sprich dem Unternehmen. Ist dies der Fall, dann darf die verantwortliche natürliche Person – außer bei Vorliegen besonderer Umstände – nicht mehr zusätzlich bestraft werden. Hierin liegt der Unterschied zu der sonst als Vorbild dienenden Regelung im Bankwesengesetz, wo ein solches Absehen lediglich ins Ermessen der Behörde gestellt wird.

Dessen ungeachtet stellt sich aufgrund des Strafrahmens die Frage, ob die Verhängung von Geldbußen wegen des verfassungsrechtlichen Anklageprinzips nicht besser den Gerichten obliegen sollte. Auch hier könnte das Kartellrecht als Vorbild dienen: Dort stellt nämlich die Bundeswettbewerbsbehörde lediglich den Antrag auf Verhängung einer Geldbuße, die durch das Kartellgericht verhängt wird.

Bekanntlich können Verstöße gegen Datenschutzrecht auch Schadenersatzansprüche auslösen. Diese werden künftig – ebenfalls eine Parallele zum Kartellrecht – eine viel größere Rolle spielen. Der Entwurf sieht hier vor, dass zukünftig stets auch immaterielle Schäden zu ersetzen sind. Diese Zuständigkeit verbleibt naturgemäß bei den Gerichten.

Da die DSGVO bereits in knapp einem Jahr in Geltung tritt, ist eine zeitnahe Umsetzung der nationalen Regelungen dringend geboten. Es ist allerdings zweifelhaft, ob im Nationalrat noch vor den Neuwahlen im Oktober die notwendige Zweidrittelmehrheit erreicht werden kann, die aufgrund der Einschränkung des Grundrechts auf Datenschutz auf natürliche Personen sowie der Kompetenzverschiebung von den Ländern zum Bund erforderlich ist. Ob und wann die Beschlussfassung gelingt, bleibt daher abzuwarten. (Andreas Zellhofer, Helmut Liebel, 22.5.2017)