Am gestrigen Donnerstag wurde bekannt, dass der Datenschützer Max Schrems Facebook in Österreich klagen kann. Wenn auch die Form der Sammelklage abgelehnt wurde, muss Facebook sein Geschäftsmodell dennoch vor einem Gericht datenschutzrechtlich beurteilen lassen. Und das dürfte ein Riesenproblem für den Social-Media-Giganten werden.
In der Klage werden Facebook zahlreiche Verstöße gegen datenschutzrechtliche Regelungen vorgeworfen. Ein Zustand, der laut dem SPÖ-Europaabgeordnetem Josef Weidenholzer untragbar ist: „In der ganzen EU müssen sich Bürger auf ihr Recht auf Datenschutz verlassen können. Gerade im Fall von sozialen Netzwerken wie Facebook zeigt sich, dass der moderne Datenschutz an seine Grenzen stößt.“
Österreicher: Kein Vertrauen in Datenschutz
Das spiegelt sich auch in aktuellen Umfragen wieder. Aus diesen geht hervor, dass Österreich unter den 28 Mitgliedsstaaten beim Vertrauen in den Datenschutz mit nur zwölf Prozent an drittletzter Stelle liegt. Zwei Drittel der Österreicher bezweifeln, dass ihre persönlichen Informationen innerhalb und außerhalb des Internets ausreichend geschützt sind. Und fast genauso viele (60 Prozent) haben das Gefühl, keine Kontrolle über ihre Daten im Internet zu haben.
Das könnte sich allerdings bald ändern. Denn mit 25. Mai tritt die neue Datenschutzgrundverordnung (DSGVO) europaweit verpflichtend in Kraft. Dadurch soll stärkerer Datenschutz in der EU endlich Realität werden. Doch was bedeutet das konkret für jeden einzelnen von uns? News sprach mit dem Rechtsanwalt und Datenschutz-Experten Gernot Fritz.
News: Vielleicht eine banale Frage, aber warum ist es überhaupt wichtig, dass personenbezogene Daten geschützt werden?
Fritz: Das ist gar keine so einfache Frage. Es ist so: Wir alle generieren durch die Nutzung moderner Technologien digitale Fußspuren. Wir müssen darauf vertrauen können, dass unsere personenbezogenen Daten geschützt und nicht zweckentfremdet werden. Genau deshalb gibt es auch das Grundrecht auf Datenschutz, das in der EU-Grundrechtecharta, der Europäischen Menschenrechtskonvention und auch im nationalen Recht festgelegt ist.
Und dieses soll durch die neue Datenschutzgrundverordnung gestärkt werden?
Genau. Mit der DSGVO ist eine neue Zeitrechnung angebrochen. Es wurde ein einheitlicher Rechtsrahmen geschaffen, der schon längst überfällig war. Das bisherige Recht fußt auf den frühen 90er Jahren – seitdem hat sich viel verändert.
Im Mai tritt die neue Datenschutz-Grundverordnung verbindlich in Kraft – jedoch ohne die separate Übertragung in nationales Recht. Herbert Kickl lässt allerdings gerade einen Gesetzesentwurf prüfen, der sich auf die Datenschutz-Grundverordnung auswirkt. Wie funktioniert das? Steht hier nationales Recht über EU-Recht?
Die DSGVO enthält Öffnungsklauseln, die es Mitgliedsstaaten erlauben, ergänzende Regeln zu treffen. Diese dürfen dem EU-Gesetz aber natürlich nicht widersprechen. Die DSGVO war ein großer Wurf – jetzt kommen eben auch nationale Begleitgesetzgebungen. Je nachdem wie diese ausfallen, wird sich zeigen, wie einheitlich Datenschutz in Europa in Zukunft sein wird. Die Ausfüllung der Öffnungsklauseln durch Mitgliedsstaaten wird aber auf alle Fälle noch spannend werden.
Die von Kickl geplante Novelle würde eine Streichung der Widerspruchsrechte von Bürgern gegen die Verarbeitung ihrer Daten bringen. Was bedeutet das genau?
Nach der Regierungsvorlage soll – in Ausfüllung einer derartigen Öffnungsklausel – das Widerspruchsrecht der Betroffenen bei öffentlich geführten Registern (Melderegister, zentrales Personenstandsregister, zentrales Vereinsregister, etc) sowie bei bestimmen von Behörden durchgeführten Datenverarbeitungstätigkeiten zur Wahrung öffentlicher Interessen beschränkt werden. Sofern dies im Einklang mit den Vorgaben der DSGVO erfolgt, ist ein derartiger Ausschluss auch rechtmäßig.
Wie wirkt sich die neue EU Datenschutzgrundverordnung auf Bürger aus? Es sollen ja die Verbraucherrechte gestärkt werden. Was wird sich dadurch für jeden einzelnen ändern? Gibt es hier konkrete Beispiele?
Mit der DSGVO wurden neue Betroffenenrechte geschaffen, wie etwa das Recht auf „Vergessen“ oder das Recht auf "Datenübertragbarkeit". Auch die Modalitäten wurden geändert. Hatte ein Unternehmen früher acht Wochen Zeit, um auf Anfragen Betroffener zu antworten, hat dies nach der DSGVO unverzüglich zu geschehen, längstens aber binnen eines Monats.
Dazu kommen „proaktive“ Informationspflichten. Ein Unternehmen muss dem Betroffenen alle Informationen zur Datenverarbeitung zukommen lassen. Und das bereits zum Zeitpunkt der Erhebung der Daten. Betroffene wissen also genau, wer ihre Daten bekommt und was damit passiert.
Was ist, wenn ich mich als Verbraucher in meinen Datenschutz-Grundrechten eingeschränkt fühle?
Auch der Rechtsschutz wurde durch die DSGVO gestärkt. In Zukunft können sich Verbraucher in allen Belangen an die Datenschutzbehörde wenden – und nicht nur in bestimmten Fällen, wie bisher. Daneben steht ihnen auch der gerichtliche Rechtsweg offen. Der Weg zur Datenschutzbehörde ist für Verbraucher aber mit keinen Kosten verbunden. Dieser kommen zukünftig auch viel weitere Aufsichtsbefugnisse zu.
Eine Änderung wird auch sein, dass ein Vertrag nicht mehr davon abhängig gemacht werden darf, dass der Betroffene eine Einwilligung in die Datenverarbeitung erteilt. Ist das realistisch? Muss man in Zukunft den AGB „Datenverarbeitung und –weitergabe“ wirklich nicht mehr zustimmen?
Die vorherrschende Praxis bisher war so, dass ich als Nutzer in den meisten Fällen zustimmen musste – selbst, wenn die Datenverarbeitung mit der erwünschten Leistung in keinem Zusammenhang steht. Aber die Selbstbestimmung der Betroffenen ist ein wesentlicher Punkt der neuen DSGVO. Beim Abschluss eines Vertrages kann ich nicht mehr gezwungen werden, einer Verarbeitung meiner Daten zu vertragsfremden Zwecken zustimmen zu müssen.
In der Praxis könnten Unternehmen für verschiedene Verwendungszwecke auch verschiedene Einwilligungserklärungen vorsehen. Dies hätte den Vorteil, dass selbst bei Widerruf der Einwilligung für Marketingzwecke ein Unternehmen die Daten für andere Zwecke noch nutzen dürfte, sofern die andere Einwilligungserklärung noch aufrecht ist.
Und die Unternehmen werden sich daran halten?
IIn Anbetracht der Höhe der Bußgelder, müssen sie wohl. Bei Zuwiderhandeln drohen extrem hohe Strafen. Bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes – je nachdem, was höher ist. Und das pro Verstoß. Bislang endete der Strafrahmen bei maximal 25.000 Euro und tatsächlich verhängte Strafen lagen weit darunter.
Max Schrems meint, „Europa bekommt das beste Datenschutzgesetz der Welt.“ Würden Sie dem zustimmen?
Ob es das beste Datenschutzgesetz ist, muss sich erst zeigen. Sicherlich ist es aber eines der strengsten.
Unternehmen müssen nachweisen können, dass sie datenschutzkonform handeln. Die Datenschutzbehörden wurden auch enorm gestärkt.
Gibt es etwas, dass sie an der neuen DSGVO kritisieren würden?
Die Datenschutzgrundverordnung ist am Ende des Tages ein Kompromiss zwischen der europäischen Kommission, dem europäischen Parlament sowie dem europäischen Rat und ist unter Beteiligung starker Lobbytätigkeiten zustande gekommen. Nach wir vor gibt es unklare Rechtsbegriffe. Das führt zwangsläufig zu Anwendungs- und Auslegungsschwierigkeiten. Manche Dinge wurden auch bewusst offen gelassen.
Gewünscht hätte ich mir, dass die österreichische Begleitgesetzgebung, also das Datenschutzgesetz 2018, besser abgelaufen wäre. Das wurde vor der Sommerpause durchgepeitscht. Hier gibt es noch viele Mängel und Unklarheiten, die bis zum 25. Mai behoben werden sollten.
Was halten Sie von der geplanten NGO von Max Schrems, die überprüfen soll, ob sich Unternehmen an das Gesetz halten. Braucht es so etwas?
Viele Unternehmen haben datenschutzrechtliche Vorgaben lange grob vernachlässigt und mussten jetzt stark nachbessern. Einige haben erst jetzt durch die erforderliche Erstellung eines Verarbeitungsverzeichnisses einen Gesamtüberblick, welche Datenverarbeitungen sie überhaupt wirklich durchführen. Das ist erschreckend, zeigt aber auch, dass die neue DSGVO ihre Wirkung nicht verfehlt. NGOs wie diese haben also durchaus ihre Berechtigung.
Haben Sie Tipps, wenn es um den Umgang mit eigenen persönlichen Daten geht?
Auf jeden Fall sollte man sorgsam mit den eigenen Daten umgehen. Nicht zu viel veröffentlichen. Das Internet vergisst nie – einmal im Internet, immer im Internet. Wie wirksam das Recht auf Vergessen ist, wird sich erst in der Praxis zeigen.
Und: Dadurch, dass man nicht mehr so einfach zur Abgabe von Zustimmungserklärungen gezwungen werden darf, sollte man sich Zustimmungserklärungen wirklich gut durchlesen. Denn das ist eine Entscheidung, die man unbedingt informiert treffen sollte.
Gernot Fritz ist Rechtsanwalt und Datenschutzexperte. Er berät regelmäßig nationale wie internationale Klienten im Datenschutzrecht, bei datengetriebenen Innovations- und digitalen Projekten, (IT-)Outsourcing Strategien und Projekte, Medien- und Telekommunikationsrecht.
Im Video: Datenschützer Schrems darf Klage gegen Facebook einreichen
