News

Datenschutz-Experte: „Hohe Strafen sorgen erstmals für Sensibilisierung“

Der größte Teil der mit 25. Mai 2018 in Geltung tretenden Datenschutz-Grundverordnung der EU enthält nichts Neues. Dass die Aufmerksamkeit dafür dennoch so gewaltig ist, liege ausschließlich an den enorm hohen Strafandrohungen, sagt der Datenschutzrechtsexperte Dietmar Jahnel von der Universität Salzburg.

Und er begrüßt, dass damit das Kalkül der EU Kommission aufgegangen ist. Die EU-Datenschutz Grundverordnung zielt auf einen besseren Schutz personenbezogener Daten im digitalen Zeitalter. Jahnel ist einer der profilierten österreichischen Datenschutzrechtsexperten. Den größten Nutzen werden die Bürger, Jahnel zufolge, von der proaktiven Informationspflicht haben. Fraglich sei, ob die private Facebook-Nutzung unter das neue Datenschutzrecht fällt. 

„Bisher hat sich fast keiner für den gesetzlichen Datenschutz interessiert. Erst die hohe Strafandrohung von bis zu 20 Millionen Euro bzw. 4 Prozent des weltweiten Jahresumsatzes sorgt jetzt dafür, dass die schon länger bestehenden Regelungen auch wahr- und ernst genommen werden. 80 Prozent von dem, was in der neuen EU-Datenschutz Grundverordnung steht, ist nicht neu, es wurde bis dato einfach ignoriert. Jetzt tun alle so, als ob der Datenschutz vom Himmel gefallen wäre. Das Kalkül der EU- Kommission, mit hohen Strafen für mehr Sensibilität beim Schutz personenbezogener Daten zu sorgen, ist also voll aufgegangen. Das kann man jetzt schon sagen“, so Jahnel. 

Dietmar Jahnel (Jg. 1959) beschäftigt sich seit mehr als zwei Jahrzehnten wissenschaftlich mit Datenschutz. Sein „Handbuch Datenschutzrecht“ (Jan Sramek Verlag 2010, update 2016), ein 600 seitiges Standardwerk, wird von den Gerichten sowie der Datenschutzbehörde häufig zitiert. Voraussichtlich im Herbst 2018 erscheint Jahnels Kommentar zur EU-Datenschutz Grundverordnung und zum Datenschutzgesetz 2018. 

Dass die neue Rechtslage für die Bürger ein großer Vorteil sein wird, davon ist Jahnel überzeugt. „Die Informationspflicht sorgt dafür, dass jeder informiert werden muss, wenn seine Daten erhoben oder weiterverarbeitet werden. Das galt bisher in gewisser Weise zwar auch schon, aber es wurde praktisch nie gemacht. Jetzt ist aus einer schwachen Informationspflicht eine starke proaktive Informationspflicht geworden. Es handelt sich dabei jetzt um ein Betroffenenrecht. Das ist neu. Wenn ich zum Beispiel nach dem 25. Mai 2018 zum Arzt gehe, muss er mich von sich aus informieren, wie lange er meine Daten speichert. Er muss mir Auskunft geben über meine Datenschutzrechte als Patient, wie zum Beispiel das Recht auf Löschung oder auf Beschwerde bei der Datenschutzbehörde. Diese proaktive Informationspflicht ist neu. Sie kann zum Beispiel schriftlich oder per Aushang im Wartezimmer erfüllt werden“. 

Genauso wie beim Arzt gilt auch beim Arbeitgeber die proaktive Informationspflicht. In der Praxis könnte das zum Beispiel die Speicherdauer von Bewerbungsunterlagen betreffen. Nach 6 Monaten besteht eine Pflicht zur Löschung, außer der Arbeitgeber holt ausdrücklich die Einwilligung des Bewerbers ein. „Bisher ist es Usus, dass einfach alles gespeichert wird, egal ob es später vielleicht noch einmal gebraucht wird oder nicht. Damit soll jetzt Schluss sein“, so Jahnel. Wird die Informationspflicht nicht erfüllt bzw. sonstige Betroffenenrechte verletzt, drohen wie gesagt hohe Geldbußen. Ausgenommen davon sind in Österreich die öffentlichen Stellen. 

Wie aber wirkt sich die EU Datenschutz Grundverordnung (EU-DSGVO) auf Facebook und Co aus? Im Fall von beruflicher Nutzung unterliegen die Sozialen Medien voll der neuen strengen Regelung. Für private Zwecke gilt jedoch die sogenannte „Haushalt-Ausnahme“.  Bedeutet das nun, dass die private Facebook-Nutzung ganz aus der Datenschutz Grundverordnung herausfällt? „Das ist leider nicht klar geregelt. Die entsprechende Formulierung lässt einen großen Interpretationsspielraum zu. Vieles wird erst durch die Judikatur geklärt werden müssen. Das ist ein Kritikpunkt.“ Unklarheit gibt es auch bei dem Erfordernis der Bestellung eines Datenschutzbeauftragten oder bei der Frage, ob Bilddaten sensible Daten darstellen oder nicht.

„Bei derart hohen Strafdrohungen sollte schon präziser formuliert werden“, kritisiert Jahnel. Insgesamt sei die EU-Datenschutz Grundverordnung aber ein wichtiger Schritt in die richtige Richtung. „Wir müssen ja umgehen lernen mit den enormen Datenvernetzungen, die auf uns zukommen. Denken Sie nur an das autonome Fahren oder an das Smart Home. Auch bei der Erfindung des Buchdrucks vor über 600 Jahren hat man nicht gleich damit umgehen können.“

„Die EU-Datenschutz Grundverordnung ist ein Kompromiss aus Lobbyismus und Tauschhandel“ hat der bekannte österreichische Datenschutzaktivist Max Schrems nüchtern bilanziert. Dietmar Jahnel urteilt weniger streng. „Es kann nur ein Kompromiss sein, weil es einerseits um den Datenschutz geht und andererseits um den freien Datenverkehr, den wir ja auch alle wollen. Diese zwei Ziele unter einen Hut zu bringen, ist die Herausforderung. Ich möchte nicht darauf verzichten, meine Flüge über Plattformen buchen und über Paypal zahlen zu können.“

Und wie komme ich im Fall von Datenschutzverletzungen zu meinem Recht? Beschwerden können kostenlos bei der Datenschutzbehörde eingebracht werden. Das Gericht ist zuständig für Schadenersatzansprüche, nunmehr auch für einen immateriellen Schaden, den jemand zum Bespiel durch Nicht-Löschung oder Datenweitergabe geltend machen kann. „Das war bisher nur sehr eingeschränkt möglich. In den letzten zwanzig Jahren hat es nur vier derartige Fälle vor den Obergerichten gegeben. Mit der neuen Möglichkeit des immateriellen Schadenersatzes, ich nenne es „Datenschutz-Schmerzensgeld“, besteht eine zweite Sanktionsmöglichkeit.  Neben der Geldbuße, über die alle reden, gibt es eben auch dieses Datenschutz-Schmerzensgeld.“ Es sei nicht auszuschließen, dass sich mit dem „Datenschutz-Schmerzensgeld“ in Zukunft ein neues lukratives Geschäftsfeld für Rechtsanwälte eröffne, so Jahnel.

Ao. Univ.-Prof. Dr. Dietmar Jahnel | Foto: © Kolarik