Am 25. Mai soll die EU-Datenschutz-Grundverordnung (DSGVO) in Europa ein neues Zeitalter für Datenschutz einläuten, das teils drakonische Strafen für Unternehmen vorsieht. In Österreich wird nun eine etwaige Verwässerung diskutiert. Sie sprachen gar von einem „schwarzen Tag für den Datenschutz“, als der Nationalrat das Datenschutzgesetz nun abänderte. Warum?
MAX SCHREMS: Es wurde sehr viel in letzter Minute und ohne öffentliche Debatte beschlossen. Wir haben jetzt verschiedene Probleme und Teile, die schlichtweg europarechtswidrig sind. Ein typisches Beispiel ist dieses „Verwarnen statt Strafen“ von Unternehmen, die Datenschutz verletzten. In der Datenschutzgrundverordnung steht aber ausdrücklich, dass es abschreckende Strafen geben muss. Man kann verwarnen, man kann aber der Behörde nicht per nationalem Gesetz vorschreiben, dass sie immer verwarnen muss.
Die heimische Datenschutzbehörde entgegnet, dass sie erstens weisungsfrei ist und zweitens ohnehin von Einzelfall zu Einzelfall entscheidet.
Das trifft meine Einschätzung, wonach die Behörde diesen Paragrafen schlichtweg ignorieren wird. Aber, noch einmal: Sie muss ihn europarechtlich ja auch ignorieren, sie darf ihn gar nicht anwenden.
Sie haben angekündigt, mit Ihrem Datenschutzverein „noyb“ schon am 25. Mai, also an Tag eins der Datenschutzgrundverordnung, klagen zu wollen. Ist das nach wie vor Ihr Plan?
Wir werden am Anfang Beschwerden einbringen. Mehr kann ich dazu leider noch nicht sagen. Aber es wird um Grundsatzfragen gehen.
Es hieß, dass die jüngste Abänderung des Datenschutzgesetzes Vereine wie „noyb“ hart trifft. Stimmt das?
Na ja, wir wollten eigentlich mehr im Gesetz stehen haben. Grundsätzlich gibt es juristisch verschiedene Wege, über die man gehen kann. Einige Wege funktionieren aber nur innerhalb von Österreich, zum Beispiel die Sammelklage. Parallel dazu gibt es die Möglichkeit, Verbandsklagen zu machen, also Vertretungsklagen. Diese sind interessant, weil ich damit als NGO aus Österreich raus klagen kann. Und genau das wurde ins Gesetz jetzt nicht reingeschrieben beziehungsweise teilweise sogar rausgestrichen.
Mit welchen Folgen rechnen Sie?
Anstatt eine Verbandsklage zu machen – die feststellt, dass irgendein Unternehmen irgendetwas nicht mehr tun darf, es also um reines Unterlassen geht – muss ich nun eine Sammelklage machen. Und diese braucht notwendigerweise Schadenersatz. Wenn ich gegen ein österreichisches Unternehmen vorgehen will, ist es jetzt praktisch gleich schwer, aber ich muss automatisch das schärfere Schwert nehmen. Was die Regierung also insgesamt zusammengebracht, hat: dass wir innerhalb von Österreich eher noch bösartiger klagen werden müssen, weil die softere Variante gestrichen wurde. Und international kann ich nicht mehr klagen, weil die softe Variante die einzige ist, die ich international verwenden darf. Wenn aber niemand Google, Facebook & Co. klagt, werden sie unsere Unternehmen weiter an die Wand fahren.
Können Sie eigentlich die Unsicherheit ob der neuen Regeln nachvollziehen, die in vielen Unternehmen zurzeit herrscht?
Absolut. Wir haben bei der DSGVO ein riesiges Problem in Sachen Rechtssicherheit. Die Gesetze sind teilweise so unklar, dass man wahrscheinlich erst in zehn Jahren, nach vielen Gerichtsentscheidungen wissen wird, was sie bedeuten. Was man dazusagen muss: Das Problem hat seinen Ursprung im Lobbying der Wirtschaft. Aber nicht in jenem der klassischen Wirtschaft, der kleinen und mittleren Unternehmen – die waren in Brüssel fast nicht zugegen. Dort waren hauptsächlich Lobbyisten aus großen Konzernen. Für diese ist Rechtsunsicherheit tendenziell positiv, weil sie große Rechtsabteilungen haben.
Glauben Sie, dass sich am 25. Mai viele Menschen bei der Datenschutzbehörde melden?
Wohl nicht an diesem Datum, dauerhaft aber wird die Zahl massiv steigen. Und die Rechtsunsicherheit wird zu vielen Verfahren führen. Nehmen wir nur das Auskunftsrecht her.
... das Recht, dass ich mir meine gespeicherten Daten von einem Unternehmen schicken lassen kann ...
... Ja, da steht jetzt, dass exzessive Anträge nicht erlaubt sind. Aber was heißt „exzessiv“? Dass ich nicht alle zwei Wochen anfragen darf, nicht mehr als 100 Megabyte bekomme? Die Idee eines Auskunftsrechts ist doch, dass ich alles bekomme, was über mich gespeichert ist. Aber natürlich wird das Unternehmen erst einmal zurückschreiben, dass es exzessiv ist, wenn ich alles haben will. Und schon liegt der Fall am Tag drei der DSGVO bei der Behörde.