Vermutlich war ich nicht die einzige Person, die einen verspäteten Aprilscherz vermutete, als bekannt wurde, dass die österreichischen Regierungsparteien die Geltung von DSGVO-Vorschriften für Österreich mit einem Beschluss vom 20. April entschärft haben. Viele Unternehmen in Deutschland, denen nur noch wenige Tage für die Umsetzung bleiben, dürften mit einem gewissen Neid in das Nachbarland schauen: So drohen lediglich Ermahnungen statt Strafzahlungen bei Verstößen gegen die Verordnung, solange man nicht zum unverbesserlichen Wiederholungstäter wird. Weitere Abweichungen werden beispielsweise hier beschrieben. Die Verwässerung hatte bereits im vergangenen Jahr mit der Neufassung des österreichischen Datenschutzgesetzes begonnen. Darunter findet sich eine Regelung, die Unternehmensleitungen eine weiße Weste in die Hand gibt: Sie sollen nicht bestraft werden können, wenn eine Datenschutzverletzung durch untergeordnete Mitarbeiter begangen wurde.
Nun, die Beschlüsse der österreichischen Regierung entbinden Unternehmen und Behörden nicht davon, die DSGVO zum Stichtag vollständig umzusetzen und die Vorgaben der DSGVO einzuhalten – das jedenfalls wiederholen österreichische Medien gebetsmühlenhaft. Aber mit der Entschärfung bei den Bußgeldern bekommen die Firmen de facto einen Spielraum, was die fristgerechte Umsetzung, aber auch etwaige Verstöße gegen die Rechte der Betroffenen angeht. Wer oder was hindert sie daran, nach dem Motto „einmal ist keinmal“, beispielsweise fleißig weiter Daten ohne Einwilligung zu verwenden, bis jemand sich bei der Datenschutzbehörde beschwert? Die dann gerade mal warnend den Finger hebt, während alle anderen in der EU in diesem Fall kräftig etwas aufs Haupt bekommen.
Ganz sauber ist die österreichische Interpretation der DSGVO nicht. Denn als Verordnung gilt sie für alle Staaten, die Daten von Bürgern in der EU erfassen und verarbeiten, gleichermaßen in vollem Umfang und hat Vorrang vor nationalem Recht. Allerdings enthält die DSGVO mit „Regelungsräumen“ unterschiedlicher Art Möglichkeiten für die Länder, Anpassungen vorzunehmen, die in Deutschland im Bundesdatenschutzgesetz (BDSG-neu) formuliert werden. Die Anpassungen dürfen aber nur so weit gehen, wie die DSGVO selbst das erlaubt, beispielsweise beim Artikel 8 der DSGVO zur Altersgrenze von Kindern für die Einwilligung in die Datenverarbeitung, beim Beschäftigtendatenschutz, aber auch bei der Verhängung von Geldbußen für den öffentlichen Bereich. Für Unternehmen sieht die DSGVO keine Ausnahmeregelung vor. Sie nennt ganz im Gegenteil in Artikel 83 die Verstöße, die auf jeden Fall eine Geldbuße nach sich ziehen, und das ist eine ziemlich lange Liste. Dazu gibt sie einen verbindlichen Rahmen für die Höhe vor. Zusätzlich haben die nationalen Datenschutzbehörden die Befugnis, Warnungen, Anweisungen und Verbote auszusprechen. Nur bei Verstößen, die nicht laut Artikel 83 mit einer Geldbuße belegt sind, haben sie Handlungsspielraum. Aber auch hier gilt, dass die Sanktionen „wirksam, verhältnismäßig und abschreckend“ sein müssen.
Immerhin gibt es den Europäischen Datenschutzbeauftragen, der im Hinblick auf eine kohärente Datenschutzpolitik mit den nationalen Behörden der EU-Länder zusammenarbeitet. Von der Befugnis, Staaten, die sich die DSGVO hinbiegen, wie es ihnen passt, Bußgelder aufzubrummen, ist in seiner Aufgabenbeschreibung allerdings nicht die Rede. Vielleicht ist das auch gar nicht nötig. Angesichts mündiger Bürger könnten sich die vermeintlichen Erleichterungen als Nachteil entpuppen, denn Unternehmen in Ländern mit strikter DSGVO-Umsetzung sind nur einen Klick entfernt.
