Sechs Jahre ist es her, dass fünf Buchstaben den heimischen Unternehmen das Fürchten lehrten: DSGVO. Gefühlt brach die Datenschutzgrundverordnung damals sehr plötzlich über Österreich herein, obwohl auf europäischer Ebene jahrelang darüber verhandelt worden war. Am Ende war Österreich der einzige Mitgliedstaat, der im EU-Ministerrat dagegen stimmte – weil man hierzulande eine Verwässerung des Datenschutzes befürchtete. Die DSGVO war der damaligen rot-schwarzen Bundesregierung nicht streng genug. Gekommen ist sie dennoch.
Für heuer ist auf europäischer Ebene eine Evaluierung dieses umfassenden und auch umstrittenen EU-Regulatives vorgesehen. So wurde es einst in Artikel 97 der Verordnung verankert. Wie Martin Selmayr, damals Generalsekretär der Europäischen Kommission, verriet, setzen sich derzeit vor allem Deutschland und Frankreich dafür ein, die DSGVO zu adaptieren. Dies werde ein Thema für die kommende EU-Kommission, sagte Selmayr, der derzeit an der Universität Wien einen Lehrauftrag hat, bei einer Veranstaltung des Instituts für Innovation und Digitalisierung im Recht.
Nationaler Vielklang
In den kommenden Tagen muss der Evaluierungsbericht der EU-Kommission veröffentlicht werden. Dabei handelt es sich um eine Analyse der Stellungnahmen, die in den vergangenen Monaten eingemeldet wurden. Auch Österreich hat eine solche verfasst und „insbesondere Anmerkungen zu grenzüberschreitenden Verfahren vorgebracht“, wie das zuständige Justizministerium der Kleinen Zeitung schrieb.
Dass die unterschiedlichen nationalen Gesetze und Praktiken ein Hindernis bei der Durchsetzung grenzüberschreitender Fälle darstellen, haben vor zwei Jahren auch die 27 nationalen Behörden bei einer Tagung in Wien in einer gemeinsamen „Wiener Erklärung“ gefordert. Die EU hat daraus insofern ihre Schlüsse gezogen, als die jüngeren Regulierungen zur Künstlichen Intelligenz, beim Digital Services Act und dem Digital Markets Act nicht mehr nur als Rahmengesetz beschlossen wurden, das dann in der Anwendung zu nationalstaatlichem Vielklang führt.
Frankreich und Deutschland wollen Änderung
Aber könnte das auch zu einer Reform der DSGVO führen? „Die neue Kommission wird sich lange überlegen, ob sie das noch einmal aufmacht“, sagt Selmayr. Deutschland und Frankreich stört vor allem die Belastung der Klein- und Mittelbetriebe. Eine Ausnahme für kleine Unternehmen war zunächst vorgesehen, wurde im Zuge der Verhandlungen aber aus dem Entwurf gestrichen. In Deutschland kommt dazu, dass die Ausgestaltung des Datenschutzes aus Gründen des Föderalismus besonders komplex ist, erläuterte Selmayr, der Co-Autor eines juristischen Kommentars zur deutschen DSGVO-Umsetzung ist. Das Buch umfasst beinahe 1500 Seiten: „In Deutschland gibt es insgesamt 6000 Vorschriften, in Österreich sind es 40 bis 50.“
Die Sorge auch vieler heimischer Betriebe war (und ist), dass bei Verstößen oftmals sehr hohe Strafen drohen. Das hatte auch die Österreichische Post im Jahr 2021 betroffen, die nach einem Datenskandal zu einer Zahlung von 9,5 Millionen Euro verurteilt worden war. Die Post berief gegen diese Entscheidung und hatte damit zum Teil Erfolg. Das Vergehen blieb zwar, doch das Bundesverwaltungsgericht reduzierte die Strafe auf 500.000 Euro.
Laut Selmayr sind in ganz Europa in den ersten fünf Jahren vier Milliarden Euro an Strafen verhängt worden. Mehr als die Hälfte davon entfiel aber auf wenige, sehr große Verfahren in Irland, wo viele Digital-Giganten wie Google und Facebook ihren Sitz in Europa haben.
Der Bericht der EU-Kommission wird in den kommenden Tagen einen ersten Einblick gewähren, wie groß der Änderungsbedarf ist und welche Schnittmengen es zwischen den Ländern gibt. Wegen kleiner Adaptionen wird die gesamte Verordnung wohl nicht extra aufgeschnürt, glaubt Selmayr. Unstrittig ist aber: Die digitale Welt hat sich seit dem DSGVO-Start 2018 deutlich weitergedreht.