Keine Strafen: Österreich zieht neuem Datenschutz die Zähne
Seite 2: Grundprinzip Straffreiheit
Selbst wenn beispielsweise die Polizei ihre lockereren Bestimmungen verletzt, muss sie keine Strafen fürchten. Sie ist schließlich eine Behörde, und die haben dank des brandneuen Paragraphen 30 Absatz 5 generell freie Fahrt. "Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden." Diese Generalamnestie gilt also auch für die in Österreich weit verbreiteten Behörden in Form von GmbHs.
Und was für Behörden recht ist, kann für Untertanen nur gut sein: Der ebenfalls kurzfristig neu geschriebene Paragraph 11 zieht der Datenschutzbehörde endgültig die Zähne: Sie soll bei der Anwendung des Strafenkatalogs der DSGVO (Art. 83) die "Verhältnismäßigkeit" waren. Ausdrücklich: "Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen."
Also gilt das Grundprinzip Verwarnen statt Strafen. Nur besonders hartnäckige Täter, die keine Behörde sind, sollen belangt werden können. Dass gerade eine rechtskonservative Koalition, die sonst gerne Strafverschärfungen beschließt, auf einmal mit Samthandschuhen operiert, überrascht. Gestrichen wurde allerdings ein im Vorjahr beschlossenes Privileg für Arbeitnehmervertreter. Sie könnten sich nun doch mit allen Facetten der DSGVO befassen müssen.
Schlaue Unternehmen müssen sich nicht fürchten
Hingegen gibt es für gesetzesuntreue Unternehmen noch mehr gute Nachrichten: Selbst wenn sie hartnäckig den Datenschutz verletzen, müssen sie sich in Österreich nicht fürchten. Nach dem bereits im Vorjahr beschlossenen Paragraphen 30 DSG können sie für Gesetzesverletzungen untergeordneter Mitarbeiter nicht bestraft werden. Nur wenn das Management oder eine unternehmensinterne Kontrolleinrichtung wiederholt den Datenschutz verletzt, kann die Datenschutzbehörde Strafen aussprechen.
(Bild: Daniel AJ Sokolov)
Auch das wurde durch die jüngste Novelle noch einmal eingeschränkt: Verhängt eine andere Verwaltungsbehörde eine Verwaltungsstrafe, kann die Datenschutzbehörde ihrerseits nicht mehr strafen – egal, wie hoch die andere Verwaltungsstrafe war.
Unternehmen, deren Management so dreist war, zum wiederholten Male den Datenschutz zu missachten, sind also gut beraten, rasch eine andere Bestimmungen zu finden, die sie im Tatzusammenhang verletzt haben könnten. Holen sie sich dafür eine kleine Verwaltungsstrafe ab, entgehen sie endgültig den neuen, womöglich spürbaren Strafen der Datenschutzbehörde.
Mehr Videoüberwachung
Die vergangenes Jahr verabschiedete Novelle sollte Videoüberwachung zum Objekt- und Personenschutz weitgehend legalisieren, sofern kein gelinderes Mittel zur Verfügung steht. Diese Einschränkung wurde nun gestrichen, so dass Videoüberwachung auch dann zulässig ist, wenn es datenschutzfreundlichere Sicherheitsvorkehrungen gäbe.
Gleichzeitig wird die Liste ausdrücklich unzulässiger Bildverarbeitung reduziert. Es sollte als unzulässig gelten, personenbezogene Fotos oder Videos mit anderen personenbezogenen Daten abzugleichen. Jetzt ist das nur noch unzulässig, wenn damit ohne Zustimmung der Betroffenen Persönlichkeitsprofile erstellt werden sollen. Für andere Zwecke ist es also nicht ausdrücklich unzulässig, personenbezogene Daten mit Bildern zu verknüpfen, selbst wenn die Betroffenen nicht zugestimmt haben. Was genau ein "Persönlichkeitsprofil" ausmacht, und wo die Grenze zum offenbar zulässigen Personenprofil verläuft, bleibt offen.
