Genau ein Monat ist es heute, bis die EU-Datenschutzgrundverordnung DSGVO inkraft tritt. Mit Näherrücken des Stichtags steigerte sich in den vergangenen Wochen und Monaten die Nervosität bei Unternehmern. Schließlich drohen drakonische Strafen von bis zu vier Prozent des Jahresumsatzes bzw. bis zu 20 Millionen Euro. Eigentlich. Denn vor wenigen Tagen, am 20. April, ging im österreichischen Nationalrat mit einer Mehrheit der Regierungsparteien ÖVP und FPÖ eine ganze Reihe von Abänderungen im “Datenschutz-Deregulierungs-Gesetz 2018” durch. Und mit den kurzfristigen Adaptionen wird die DSGVO-Ahndung hierzulande eher zahnlos.

+++ Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich +++

Verwarnung statt Abstrafung

Für Unternehmer sind dabei einige Punkte im aktuellen Beschluss besonders relevant. Allen voran jener, dass bei Verstößen nun zunächst nur mit einer Verwarnung zu rechnen ist. “Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen”, heißt es dazu wörtlich im Beschluss.

Altes Gesetz kommt zur Anwendung

Wenn der DSGVO-Verstoß bereits vor dem 25. Mai 2018 passiert ist – genau der Umgang mit Daten in den vergangenen Jahren bereitete vielen Unternehmen ja Kopfzerbrechen – soll nach dem aktuellen Beschluss nicht unbedingt das neue Gesetz zur Anwendung kommen. “Ein strafbarer Tatbestand, der vor dem Inkrafttreten dieses Bundesgesetzes verwirklicht wurde, ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren”, heißt es im Beschluss. Kurzum: Die angekündigten drakonischen Strafen haben Unternehmen aufgrund ihrer nicht-DSGVO-konformen Datensammlungen wohl nicht zu befürchten.

DSGVO-Ahndung: “Betriebsgeheimnis” als potenzielles Schlupfloch

Ein weiterer Beschluss betrifft das Recht auf Auskunft von betroffenen Personen. Auch hier wurde massiv im Sinne von Unternehmen entschärft. “Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde”, heißt es wörtlich. Das dürfte eine Menge juristischen Interpretationsspielraum und damit potenzielle Schlupflöcher lassen.

Öffentliche Stellen de facto straffrei

Zusätzlich zu den für Unternehmer relevanten Abänderungen könnten auch einige weitere Entschärfungen in der DSGVO-Ahndung für Aufregung sorgen. So werden etwa öffentliche Stellen de facto gänzlich straffrei gestellt: “Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden”. Für Medienunternehmen werden mehrere DSGVO-Regelungen im Falle einer Verarbeitung von personenbezogenen Daten im redaktionellen Betrieb nicht angewendet. Und besonders spannend: Geheimdienste – nicht nur die österreichischen, sind ebenfalls weitgehend ausgenommen.

Der Nationalratsbeschluss muss nun noch von Bundespräsident Alexander van der Bellen unterschrieben werden, um wirksam zu werden.

⇒ Der Beschluss auf der Page des Nationalrats