Das richtig große Ding kommt erst!

Nach der EU-Datenschutz-Grundverordnung kommt die ePrivacy-Verordnung der EU

Text: Sabine Edith Braun | aus HEUREKA /18 vom 30.05.2018

Wenn das Ziehen von Zähnen bloß immer so leise, reibungslos und unspektakulär vor sich ginge! Am 20. April, knapp fünf Wochen vor Inkrafttreten der EUweiten Datenschutz-Grundverordnung (DS-GVO), hat Österreich durch den Beschluss des "Datenschutz-Deregulierungsgesetzes 2018" die EU-Regelung auf nationaler Ebene verwässert.

Das ist ziemlich genau zwei Tage lang unbemerkt geblieben. Denn zur Begutachtung, wie es bei Parlamentsbeschlüssen die Regel ist, wurde diesmal nichts verschickt. "Diesen Entwurf kannte außerhalb des Parlaments kaum jemand", sagt Nikolaus Forgó vom Institut für Innovation und Digitalisierung im Recht an der Universität Wien. Forgó hält gemeinsam mit seiner Kollegin Christiane Wendehorst in diesem Sommersemester ein Seminar mit dem Titel "Die DSGVO und ihre Umsetzung in Österreich aus datenschutz-und zivilrechtlicher Perspektive".

Darin werden Themen behandelt wie die Frage, ob Daten in einem Vertrag als Entgelt zu betrachten sind. Forgós und Wendehorsts Studierende, allesamt bereits im Internetzeitalter geboren, hätten übrigens durchaus Interesse an der Wahrnehmung ihrer Rechte, sagt Forgó: "Sie treffen bewusste Entscheidungen, was sie posten oder nicht. Wenngleich diese Entscheidungen nicht immer dieselben sind wie in meiner eigenen Generation."

Die Aufweichung der Datenschutz-Grundverordnung

Laut Forgó hätte die Datenschutz-Grundverordnung keines nationalen Gesetzes bedurft, um in Österreich Geltung zu erlangen. Welche Zähne sind es nun aber, die der EU-Verordnung mit dem Deregulierungsgesetz gezogen wurden? Die gravierendsten Aufweichungen sind ein sehr weit gefasstes Medienprivileg, aber auch Erleichterungen im Dienste von Kunst und Wissenschaft (siehe Beitrag Seite 12) sowie für Geheimdienstorganisationen, auch ausländischen, im Umgang und der Verarbeitung von personenbezogenen Daten.

Was Kunst ist, oder was als Wissenschaft gilt, wird von den Regierenden definiert. Im Falle von Verletzungen des Datenschutzes soll es außerdem nicht, wie von der EU geplant, bereits beim ersten Verstoß Strafen geben, sondern erst einmal eine Verwarnung. "Das ist eine sehr wirtschaftsfreundliche, auch eine medienunternehmerfreundliche Maßnahme", sagt Forgó. Tatsächlich meldete die Wirtschaftskammer noch am 20. April via Presseaussendung: "Die heute beschlossenen Änderungen des Datenschutzgesetzes bringen Erleichterungen für Unternehmen." Öffentliche Einrichtungen sind von den Strafmaßnahmen übrigens ausgenommen. Darüber hinaus werden mit dem Datenschutz- Deregulierungsgesetz die Videoüberwachung sowie deren Auswertung erleichtert.

Datenschutz-Plattformen wie zum Beispiel Max Schrems' NOYB ("none of your business") oder auch die aus dem Arbeitskreis Vorratsdaten Österreich hervorgegangene Plattform für Grundrechtspolitik epicenter. works sind vor allem von jener Regelung betroffen, die es gemeinnützigen Organisationen untersagt, im Auftrag betroffener Bürger von verurteilten Tätern Ansprüche auf Schadenersatz geltend zu machen.

Ihnen wird damit die finanzielle Grundlage weitgehend entzogen. Dass einzelne Betroffene, die vor allem geringe finanzielle Ressourcen haben, sich bis zur höchsten Instanz allein durchklagen, scheint wenig wahrscheinlich.

Österreichs Kinder gelten mit 14 als Facebook-mündig

Österreich steht nicht alleine mit seiner Deregulierung der EU-Verordnung da. "Der Datenschutz in Europa ist ein Flickenteppich", klagt Forgó. "Ein Riesendilemma in alle Richtungen." Als Beispiel führt er den Kinder-und Jugendschutz in Zusammenhang mit sozialen Medien an: Was das "richtige" Alter für beispielsweise ein Facebook-Konto sei, darüber gehen die Meinungen auseinander. Immerhin findet beim Erstellen eines Accounts auch die Einwilligung zur Verarbeitung personenbezogener Daten statt. In welchem Alter kann man die Reichweite dessen abschätzen?

Die EU hat das Mindestalter, ab dem Jugendliche keine Zustimmung der Eltern mehr brauchen, bei sechzehn Jahren angesetzt, aber man habe sich auf einen Kompromiss geeinigt: Die Mitgliedstaaten können das Mindestalter absenken, aber nicht auf unter dreizehn Jahre.

Deutschland blieb bei der EU-Grenze von sechzehn Jahren, Österreich hat das Mindestalter auf vierzehn Jahre abgesenkt. Der "Fleckerlteppich" besteht aber nicht nur durch einzelne nationale Gesetze -ein europaweit einheitlicher Datenschutz sei bereits durch unterschiedliche Meinungen in der Verordnung selbst gescheitert, so der Jurist. So groß jetzt die Diskussion um die DSGVO und deren nationale Deregulierungsgesetze auch ist, laut Nikolaus Forgó ist das eigentlich "große Ding" erst im Anrollen: die EU-weite ePrivacy-Verordnung.

In dieser geht es nämlich explizit um Datenschutz in der elektronischen Kommunikation. Zwar denkt fast jeder, wenn der Begriff "Datenschutz-Grundverordnung" auftaucht, zuallererst an das Internet und jegliche Formen von elektronischer Kommunikation, aber diese sind mit der DSGVO weder explizit noch ausschließlich gemeint.

2019 soll die ePrivacy-Verordnung EU-weit gelten

Die Palette der nun an die Datenschutz-Grundverordnung der Europäischen Union angepassten Gesetze reicht in Form des sogenannten Materien-Datenschutz-Anpassungsgesetzes vom Bundesarchivgesetz über das Forschungsorganisationsgesetz bis hin zum Weingesetz.

Allerdings führte vor allem der erleichterte Zugang der Wissenschaft zu personenbezogenen Daten, die in von der öffentlichen Hand geführten Registern gespeichert sind, zu einer breiten Diskussion -Stichwort elektronische Krankenakte ELGA.

Kann man davon ausgehen, dass alle Parlamentarier sich umfassend mit der Materie auseinandergesetzt haben, oder lief das Ganze eher in "speed kills"-Manier ab? "Dieses Gesetz ist unter sehr hohem Zeitdruck entstanden", sagt Forgó, "allein durch die schiere Menge kann so etwas kaum jemand überblicken."

Was nun die geplante ePrivacy-Verordnung betrifft, so wird diese spezielle Datenschutznormen für die elektronische Kommunikation beinhalten, Stichwort Cookie-Tracking, sichere Verschlüsselung, e-Mail-Marketing. Sie soll die bisher geltende ePrivacy-Richtlinie vom Jahr 2002 und die "Cookie-Richtlinie" aus dem Jahr 2009 ersetzen und wird im Unterschied zu den Richtlinien, die nationale Gesetze verlangten, unmittelbare Wirksamkeit in den Mitgliedstaaten erlangen.

Der offizielle Zeitkorridor der EU-Kommission hätte zwar ein zeitgleiches Inkrafttreten mit der DSGVO vorgesehen, aber dieser Plan ist gescheitert. Nun wird 2019 angepeilt. "Das ist dann das richtig große Ding", sagt Nikolaus Forgó, und verspricht: "Es wird dynamisch bleiben."

Linktipps: Datenschutzbehörde der Republik Österreich: www.dsb.gv.at Plattform Grundrechtspolitik (früher: Arbeitskreis Vorratsdaten Österreich): www.epicenter.works European Center for Digital Rights: www.noyb.eu

Weitere Artikel lesen


Anzeige


Anzeige