Zum Inhalt

DSGVO: Bilanz nach einem Jahr - Ein großer Schritt

Vor einem Jahr trat die EU-Datenschutz-Grundverordnung in Kraft. Sie brachte vor allem einen Bewusstseinswandel mit sich. Viele Fragen bleiben weiterhin offen.

Was dürfen andere über mich wissen, was mit den Informationen über meinen Lebenswandel, meine politische Einstellung oder auch nur mein Geburtsdatum anstellen? Kann ich mich wehren, wenn nicht nur Behörden, sondern auch Unternehmen besser über mich Bescheid wissen als meine engsten Freunde?

Ausgangspunkt eines hochkomplizierten Regelwerks mit dem sperrigen Titel Datenschutz-Grundverordnung (DSGVO) sind solche einfachen, aber hochbrisanten Fragen. Vor einem Jahr, am 25. Mai 2018, sind die neuen Spielregeln für den Umgang mit persönlichen Informationen in Kraft getreten. Was hat sich seither verändert?

Trotz allem ein Meilenstein

"Unsere damalige Einschätzung, dass es sich um einen Meilenstein handelt, hat sich bestätigt", sagt die Datenschutzexpertin und Leiterin der VKI Akademie, Petra Leupold. Dennoch sei die Aufregung vor einem Jahr überzogen gewesen: Die neue Regelung ziele besonders auf große Fische. Ängste vieler kleinerer und mittlerer Unternehmen vor einer Klagsflut hätten sich großteils als unbegründet erwiesen. Leupold: "Es gab in Österreich schon vorher ein strenges Datenschutzrecht."

Rechtsdurchsetzung gestärkt

Einen Unterschied gibt es allerdings: Früher blieben Verstöße gegen die Spielregeln oft ungeahndet. "Nun wurde die Rechtsdurchsetzung gestärkt und die Strafen wurden massiv erhöht." Prominentester Missetäter ist die Österreichische Post, die ihren Geschäftspartnern neben Zustelladressen auch höchst persönliche Details – wie die (mutmaßliche) politische Gesinnung – ohne Wissen der Betroffenen zum Verkauf anbot (siehe Post-Datenskandal: verlangen Sie Auskunft! - Mustertext für Datenauskunft). Ein glasklarer DSGVO-Verstoß, gegen den der VKI mit Musterprozessen vorgeht.

Was nicht erlaubt ist, bleibt untersagt

Denn die 99 Gesetze, aus denen sich die DSGVO zusammensetzt, lassen sich auf einen gemeinsamen Nenner bringen: Was nicht ausdrücklich erlaubt ist, bleibt untersagt. Kein Unternehmen hat das Recht, ohne Einwilligung der Betroffenen personenbezogene Daten zu speichern oder gar zu verkaufen.

Wer es dennoch tut, muss mit empfindlichen Strafen rechnen: Im Extremfall können diese bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens betragen. Damit hat die EU auch eine Handhabe gegen internationale Player wie Facebook, Google & Co geschaffen. "Die DSVGO gilt auch für Unternehmen, die keinen Sitz in der EU haben", sagt Leupold.

PDF-Download: Lesen Sie auch das KONSUMENT-Extra "Neue Spielregeln für den Datenschutz" (PDF, 8 Seiten).

Wenn Gesetzesbrüche in Kauf genommen werden

Schon immer unzulässig

Doch zurück zur heimischen Post, die seit 2001 zu den in ihren Datensätzen gespeicherten Adressaten auch Informationen wie Alter und Geschlecht sammelte und diese zu Marketingzwecken weiter­verkaufte. Besonders heikel: Nach Angaben der Rechercheplattform Addendum verkaufte das Unternehmen Informationen zur "Parteiaffinität" von rund 2,2 Millionen Österreichern. "Das war bereits nach der alten Rechts­lage unzulässig", sagt Leupold. "Das Beispiel zeigt, wie wenig Bewusstsein es bei dem Thema bisher gab. Die Post ist hier nur ein Beispiel von vielen."

Effizienter Rechtsbruch

Juristin Leupold ortet einen "efficient breach of law". Soll heißen: Ein Gesetzesbruch wird in Kauf genommen, weil sowohl das Risiko, ertappt zu werden, als auch die drohenden Strafen in Anbetracht des zu erzielenden Vorteils keine abschreckende Wirkung haben. Dass Unternehmen nun damit nicht mehr durchkommen, ist ein Erfolg der DSVGO.

Privatsphäre hat einen Wert

Das Beispiel Post ist umso verwerflicher, weil hier mit einem besonders sensiblen und schützenswerten Gut – der politischen Überzeugung – gehandelt wurde. Nach unserer Ansicht haben die 2,2 Millionen Österreicherinnen und Österreicher, die in ihren Rechten verletzt wurden, Anspruch auf Schadenersatz.

"Der Europäische Gerichtshof hat klargestellt, dass Privatsphäre einen Wert hat und ein immaterieller Schaden abgegolten werden kann", sagt Leupold. Ein Musterbrief mit einem Auskunftsbegehren an die Post wurde bereits mehr als 10.000 Mal von unserer Website heruntergeladen.

Nicht immer eindeutig

Doch nicht immer ist die Rechtslage so eindeutig. Bisweilen kommen die Gerichte auch bei scheinbar ähnlicher Fakten­lage zu unterschiedlichen Urteilen. Das zeigen die beiden Beispiele derstandard.at und simpliTV.

derstandard.at, die Onlineausgabe der ­Tageszeitung, bietet Usern zwei Modelle an. Stimmen sie der Speicherung und Weiterwendung ihrer Nutzerdaten mittels Cookies zu, bleibt der Besuch kostenlos. Variante zwei ist ein sogenanntes „Pur Abo“, bei dem auf eine Datenverarbeitung verzichtet wird. Die Datenschutzbehörde hat sich mit dem Fall beschäftigt und keinen Verstoß gegen die DSGVO festgestellt.

Das Geschäftsmodell wird offen kommuniziert, derstandard.at hat keine Monopolstellung und drängt niemanden zu etwas. Das ­Beispiel zeigt, dass die gewinnbringende Verwendung von Daten nicht grundsätzlich untersagt ist – solange gewisse Grenzen nicht überschritten werden. "Es ist gut, dass es hier Klarheit gibt. Rechtsunsicherheit ist für alle Beteiligten negativ", sagt Leupold.

Lücken und Unsicherheiten

simpliTV: Nutzung an Datenweitergabe gekoppelt

Klarheit gibt es jetzt auch bei einem anderen Anbieter, gegen den der VKI geklagt hat. simpliTV ist ein Tochterunternehmen von ORF und Raiffeisen, das unter anderem eine Plattform zum Onlineempfang gängiger Fernsehsender anbietet. In den AGB mussten Kunden dem Unternehmen das Recht einräumen, ihre Daten für Werbemaßnahmen weiterzugeben.

Bei dieser Klausel handelte es sich nach Ansicht des OGH um einen Verstoß gegen die DSGVO, konkret gegen das Koppelungsverbot: "Wenn mir keine Wahl bleibt, ob ich meine Daten weitergebe, kann ich keine freie Entscheidung treffen", so Leupold. Die Klausel musste geändert werden.

Interessensabwägungen

Die Komplexität der Materie zeigt ein anderer Fall gut auf, denn gelegentlich müssen die berechtigten Interessen von Privatpersonen gegenüber jenen von Unternehmen und Institutionen abgewogen werden.

Laut der Datenschutzbehörde gestattet es die DSGVO Firmen, Unterlagen von Bewerbern sieben Monate lang zu speichern – bis zum Ablauf der Verjährungsfrist für allfällige Einsprüche. "Hier geht es um Waffengleichheit", sagt Leupold. "Man kann ein Unternehmen nicht dazu zwingen, möglicherweise ent­lastendes Beweismaterial zu vernichten."

Verjährungsfristen, Lücken, Unsicherheiten

Ähnliche Fälle von Interessensabwägung gibt es freilich auch in anderen Bereichen – mit längeren Verjährungsfristen. Und hier zeigen sich Lücken in der EU-Verordnung. Ein Beispiel: Ein Konsument wendet sich an einen Anlageberater, um Aktien zu kaufen. Wenige Wochen später stellt er einen Löschungsantrag.

Der Berater wird aufgefordert, alle Daten zu vernichten. Muss er dem Folge leisten? In manchen Fällen hätte der Kunde bis zu 30 Jahre Zeit, Schadensersatzansprüche – etwa aufgrund falscher Beratung – geltend zu machen. Noch herrscht hier Rechtsunsicherheit, es existiert diesbezüglich keine höchstgerichtliche Entscheidung.

Nur eingeschränkte Klagsmöglichkeiten

Dass es Lücken und Unsicherheiten wie diese gibt, ist auch einer von mehreren Kritikpunkten an der neuen Regelung. VKI-­Expertin Leupold nennt einen weiteren: "Wir haben nur eingeschränkte Klagsmöglichkeiten gegen Verstöße von Unternehmern. Da ergeben sich massive Rechtsschutzdefizite für Betroffene."

So können Verbände wie die Arbeiterkammer oder der VKI nur gegen Verstöße einschreiten, die keinen Bezug zu den AGB haben. Auch die Möglichkeiten, Sammelklage gegen ausländische Unternehmen zu führen, sind beschränkt. Ingesamt fällt das Resümee der Datenschützerin nach einem Jahr aber positiv aus: "Im Großen und Ganzen hat sich vieles verbessert."

Die DSGVO

Am 25. Mai 2018 trat die Datenschutz-­Grundverordnung der EU in Kraft. Sie gilt für alle EU-Bürger sowie für alle Institutionen und Unternehmen, die innerhalb der EU ­operieren. Ausdrücklich einbezogen sind weltweit tätige Internetdienstleister wie Google, Facebook & Co.

Das Regelwerk umfassst insgesamt 99 ­einzelne Gesetze, die den Umgang mit persön­lichen Daten behandeln. Es gilt der Grundsatz: Was nicht ausdrücklich erlaubt ist, bleibt untersagt. Jeder Bürger, jede Bürgerin hat das Recht, zu erfahren, wer welche ­persönlichen Daten zu welchem Zweck ­speichert.

Mehr Handhabe gegen Verstöße

Schon vor Inkrafttreten der DSGVO gab es in Österreich ein vergleichsweise strenges Datenschutzrecht. Nun haben ­Privat­personen und Gerichte aber mehr Handhabe, gegen Verstöße vorzugehen. Deutlich verschärft hat sich auch der Strafrahmen: Unternehmen drohen Geldbußen von bis zu 20 Millionen Euro oder vier ­Prozent ihres Jahresumsatzes.

Buchtipp: Handbuch Datenschutz

Ob das Bezahlen im Supermarkt, die Benutzung eines Smartphones oder das Surfen im Web: Vieles im Alltag ist mit dem Austausch von Daten verbunden. "Gratisdienste“ bezahlen Sie mit Ihren persönlichen Daten. Die großen Player wie Google, Facebook und Apple sind bekannt, doch im Hintergrund agiert eine große Zahl an Unternehmen, die Daten sammeln, auswerten und zu Geld machen. Dieses Buch gibt nicht nur Einblick in das Big-Data-Business, sondern motiviert zu einem möglichst sparsamen Umgang mit den eigenen Daten. Wo greifen die Datenkraken in unseren Alltag ein? Was können Sie tun, um Privatsphäre möglichst zu bewahren?

Leseprobe und Buch unter www.konsument.at/hb-datenschutz

Aus dem Inhalt

  • Der Wert der Daten
  • Das große Geschäft
  • Die Datafizierung aller Lebensbereiche
  • Altbekannte Forschungsinstrumente
  • Die Vernetzung der Welt
  • Psychographische Segmentierung
  • Die neue Datenschutz-Grundverordnung
  • Lexikon der Datensammler
204 Seiten, 19,90 € + Versand

 

 

 

Downloads

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

This could also be of interest:

Cloud-Dienste und Datenschutz premium

Cloud-Dienste und Datenschutz

Der Einsatz von Clouds zur Datenspeicherung ist mittlerweile die Regel. Neben großen Anbietern wie Google gibt es vielversprechende Alternativen aus Europa.

Gefördert aus Mitteln des Sozialministeriums 

Sozialministerium

Zum Seitenanfang