Im Ministerrat wurde das neue Datenschutzgesetz schon am 7. Juni beschlossen. Die Richtlinie sieht unter anderem das Recht auf Löschung vor. Darüber hinaus muss ausdrücklich die Zustimmung vorliegen, dass personenbezogene Daten in ein Drittland übermittelt werden dürfen. Weiters sind im Gesetz empfindliche Strafen für Unternehmen verankert, die gegen die neuen Datenschutz-Bestimmungen verstoßen. "Künftig wird ein Strafrahmen bis zu 20 Millionen Euro bestehen oder 4 Prozent vom globalen Konzernumsatz, je nach dem, was rechnerisch höher ist", sagt der auf Datenschutzfragen spezialisierte Rechtsanwalt Rainer Knyrim.
Die gesetzlichen Änderungen gehen auf die vor etwas mehr als einem Jahr beschlossene Datenschutz-Grundverordnung (DSGVO) der EU zurück, die formal zwar gültig und direkt anwendbar ist, aber deren Anwendung bis 25. Mai 2018 ausgesetzt wurde.
Was die Datenschützer bemängeln
Datenschützer kritisieren jedoch gleich mehrere Punkte, die nicht nur den Inhalt, sondern auch die Entstehung betreffen: So schreibt Max Schrems in seiner Stellungnahme zum Gesetz zu Beginn: "Eine ernsthafte parlamentarische Arbeit an diesem Entwurf scheint nicht erwartbar, wenn am Freitag, den 23. 6. die Begutachtung zu Ende geht, der Entwurf jedoch schon am Montag den 26. 6. im zuständigen Ausschuss behandelt werden soll. Es ist leider nicht zu erwarten, dass der Nationalrat die zahlreichen juristischen Problemstellen in diesem Entwurf innerhalb eines Wochenendes professionell und sachgemäß beheben kann."
Schrems bezeichnet den Entwurf als "Mindestumsetzung" und einem "Copy/Paste" des Datenschutzgesetzes 2000. Andere Datenschützer sehen das ähnlich.
Einzelne Kritikpunkte
In über 100 Stellungnahmen zum Gesetzesentwurf haben Experten und Institutionen zahlreiche noch ungelöste Problemfelder angesprochen. Auch die Technische Universität Wien, die Universität Wien und die MedUni Wien haben sich teils kritisch zum Gesetz geäußert. Von zahlreichen "Umsetzungsmängeln, Widersprüchen und erheblichen Auslegungsschwierigkeiten" spricht beispielsweise die TU Wien. Hier einige Auszüge aus den umfassenden Kritikpunkten:
1. Die Betroffenenrechte scheinen laut Schrems unvollständig. Das Recht auf Richtigstellung und Löschung umfasse keine Verarbeitungsformen bei denen personenbezogene Daten beispielsweise nur flüchtig verarbeitet werden. "Hier wäre ein genereller Anspruch auf eine Unterlassung jeglicher Verarbeitung strukturell zielführender", wie Schrems mitteilt.
2. Behörden und "öffentliche Stellen" ausgenommen: Wie der Datenschutzverein "Arge Daten" in einer Aussendung mitteilt, soll die völlige Straffreiheit von Behörden gesetzlich festgeschrieben werden. Das sei ein absurdes Ansinnen. "Frei nach dem alten Feudalmotto, eine Behörde kann sich niemals irren, schreibt der Entwurf gleich die generelle Straffreiheit der Behörden fest. Das ist offensichtlich gleichheitswidrig", sagt Hans Zeger, der Obmann von "Arge Daten". Zusätzlich sei ärgerlich, dass der Begriff der "öffentlichen Stellen" nicht definiert sei und Begehrlichkeiten vieler Organisationen wecke.
3. Whistleblowing: Laut "Arge Daten" hat es der Entwurf verabsäumt, die bestehenden und sehr effektiven Whistleblowing-Plattformen auf eine ordentliche rechtliche Basis zu stellen. "Gemäß der europäischen Datenschutzbestimmungen (DSGVO) dürfen Datenverarbeitungen zu Straftaten nur unter behördlicher Aufsicht unternommen werden. Wie diese Aufsicht bei Whistleblowing-Hotlines auszusehen hat, ist im Entwurf nicht geregelt", teilt Arge Daten mit.
4. Verbandsklage: Der Entwurf kann laut Schrems nicht verhindern, dass heimische Unternehmen Ziel einer Verbandsklage im Binnenmarkt werden, österreichische Betroffene würden aber im Gegenzug weniger Schutz erhalten. Es gebe nicht die Möglichkeit, dass Verbraucherverbände Klagen für Nutzer übernehmen. Deutsche Verbraucherverbände könnten aber sehr wohl ein österreichisches Unternehmen klagen, dass in Deutschland tätig ist.
5. Datenschutzbehörde: Die Datenschutzbehörde kritisiert in ihrer Stellungnahme, dass "verdeckte Ermittlungen durch Private" ermöglicht werden. Die Datenschutzbehörde stehe einer derartigen Regelung aufgrund des in der Praxis sich zeigenden Missbrauchspotentials kritisch gegenüber. Außerdem darf die Behörde laut Gesetz nur dann tätig werden, wenn ein "begründeter Verdacht" vorliegt. "Eine derartige
Einschränkung ist der DSGVO nicht zu entnehmen und stellt auch eine Einschränkung im Vergleich zur derzeitigen Rechtslage dar", heißt es dazu in der Stellungnahme der Datenschutzbehörde.
6. Videoüberwachung Für missglückt erachtet Hans Zeger auch die Regelung der Videoüberwachung: Unter dem irreführenden Titel "Bildaufnahmen" werde auch eine Erlaubnis von Tonaufzeichnungen geschaffen. Der Entwurf übersehe dabei, dass Tonaufzeichnungen unter strengen strafrechtlichen Sanktionen stehen, teilt Zeger mit. Auch die geplanten Ausnahmen von der Kennzeichnungspflicht bei der Videoüberwachung seien nicht DSGVO-konform.
Die Datenschutzbehörde kritisiert in puncto Bildaufnahmen, dass "die Unzulässigkeit einer Bildaufnahme im höchstpersönlichen Lebensbereich einer betroffenen Person für zulässig erklärt wird, wenn eine ausdrückliche Einwilligung vorliegt. Die Erläuterungen dazu führen aus, dass damit 'auch kommerzielle Filmaufnahmen' ermöglicht werden sollen. Für die Datenschutzbehörde ist nicht nachvollziehbar, inwieweit dieser Aspekt – auch mit Einwilligung der betroffenen Person – einen derart schwerwiegenden Eingriff rechtfertigen soll", schreibt die Behörde.
Politische Reaktion
Und wie reagiert die Politik auf die Kritik? Peter Wittmann, Verfassungssprecher der SPÖ hat die Kritik an der fehlenden Überarbeitung des Datenschutzgesetzes nicht nachvollziehen können. "Ich weiß nicht, was schlecht daran ist, wenn man ein Gesetzt beschließt" sagte er im Ö1 Mittagsjournal. Bei diesem Gesetz seien sich SPÖ und ÖVP einig und daher gebe es auch eine Umsetzung, sagte Wittmann. Die rasche Beschließung sei auch deshalb sinnvoll, weil es Behörden und Unternehmen die Zeit geben würde, sich auf das neue Gesetz vorzubereiten. In Kraft tritt das Gesetz dann im Mai 2018.
