Datenschutz in Österreich – es wird ernst für die Unternehmen

Lange fragten sich Unternehmen in Österreich, wieso man sich eigentlich den Aufwand zur Implementierung der Datenschutzgrundverordnung (DSGVO) antun sollte. Die Österreichische Datenschutzbehörde (DSB) sowie der österreichische Gesetzgeber hatten offen den Grundsätzen „Gnade vor Recht“ und „Information statt Strafe“ den Vorrang gegeben. Das führte bei vielen Unternehmen dazu, sich in falscher Sicherheit zu wiegen und der Einhaltung der neuen Datenschutzregeln lediglich geringe oder sogar gar keine Aufmerksamkeit zu schenken. Es herrschte der Gedanke vor: Hohe Geldbußen treffen, wenn überhaupt, nur die Global Player aus Übersee. Selbst als Europäische Datenschutzbehörden in Großbritannien und Frankreich erste Geldbußen in drei- bzw. zweistelliger Millionenhöhe verhängten, blieben viele gelassen und wiegten sich in falscher Sicherheit.

Aber nun ist alles anders: Die DSB hat die Österreichische Post erstinstanzlich und nicht rechtskräftig wegen unzulässiger Datenverarbeitungen zur Zahlung einer Geldstrafe in Höhe von 18 Millionen Euro verpflichtet. Die Strafe wäre wohl noch höher ausgefallen, die Post konnte jedoch einige der behaupteten Datenschutzverstöße zu Recht entkräften. Aufgrund der teilweise nicht objektivierbaren Kriterien, nach denen sich Geldbußen nach der DSGVO bemessen, ist es wahrscheinlich, dass diese Strafe (so sie bestehen bleibt) gegen die Post im Instanzenzug reduziert wird.

Dennoch katapultiert sich Österreich mit dieser Geldstrafe in der Liste aller bislang nach der DSGVO in Europa verhängter Geldbußen direkt an die vierte Stelle.

Natürlich bedeutet dieser Fall nicht, dass Millionenstrafen nun zum Tagesgeschäft werden. Bei der Bemessung der Geldbuße kommt es insbesondere auf Art, Schwere und Dauer des Verstoßes, Anzahl der betroffenen Personen, Art der betroffenen Daten, Verschuldensgrad, Bereitschaft zur Zusammenarbeit mit den Behörden an. Allerdings hat die DSB nun dem Datenschutz „Ausdruck“ verliehen und auch geringere Strafen in mehrstelligen Eurobeträgen können mehr als schmerzhaft sein.

Für Unternehmen gilt nun einmal mehr, sich verstärkt dem Thema Datenschutz und DSGVO zu widmen. Die professionelle und vollständige Implementierung der DSGVO ist, je nach Unternehmensgröße und Komplexität der Datenverarbeitung, eine Herkulesaufgabe. Dabei lediglich auf Standardvorlagen zurückzugreifen, zu versuchen, die DSGVO-Implementierung als „notwendiges Übel“ bloß intern und neben dem Tagesgeschäft zu erledigen, oder nur das „Mindeste“ zu tun, ist von Beginn an zum Scheitern verurteilt. Dies gilt seit dem jüngsten Urteil umso mehr, als die finanziellen Konsequenzen nicht gehöriger Implementierung bzw. nicht gehöriger Datenverarbeitungen auch in Österreich zu empfindlichsten Geldbußen führen können.