Datenschutz: "Geldbußen müssen wirksam sein"

Andrea Jelinek, Leiterin der Österreichischen Datenschutzbehörde DSB

Andrea Jelinek, Leiterin der Österreichischen Datenschutzbehörde DSB

Andrea Jelinek leitet die österreichische Datenschutzbehörde und wird ab Mai über die Einhaltung der Datenschutzgrundverordnung (DSGVO) wachen. Ein Gespräch über aufgeregte Unternehmer, angemessene Strafen und nervige Ausreden.

trend: Letztes Jahr war die Datenschutz-Grundverordnung (DSGVO) vielen Unternehmern anscheinend noch gleichgültig. Seit Jahresbeginn sind viele alarmiert. Wie erklären Sie sich das?
Andrea Jelinek: Es gibt mehrere Vermutungen. Wir haben heuer 40 Jahre Datenschutzgesetz in Österreich. Es wäre vermessen, wenn man sagen würde, das ist neu. Hätten sich Unternehmen immer schon um Datenschutz gekümmert – was auch viele tun und getan haben –, wäre die Aufregung nicht so groß. An die Bauordnung muss man sich ja auch halten. Dort kriegt man keine Bewilligung, wenn man sich nicht daran hält.

trend: Vor allem die Strafhöhe heizt die Fantasie für Spekulationen an: Ein Handwerksbetrieb wird keine Millionenstrafe bekommen. Wo legen Sie die Latten?
Jelinek: Das sage ich nicht nur immer wieder, das steht auch im Artikel 83 der DSGVO. Geldbußen müssen wirksam, verhältnismäßig und abschreckend sein. Natürlich sieht Abschreckung für den Handwerksbetrieb anders aus als für den Konzern. Eines möchte ich aber betonen, es gibt viele kleine Handwerksbetriebe, die sich sehr um den Datenschutz bemüht haben, und auch Konzerne. Es gibt viele, die sich nicht gesorgt haben. Für die KMU hat die WKO eine eigene Website eingerichtet und zahllose Veranstaltungen gemacht. Ich könnte allein auf fünf an einem Tag reden.

trend: Wie werden Sie also strafen?
Jelinek: Schauen Sie, das ist ja kein Austriacum. Fast alle 28 Datenschutzbehörden werden diese Verfahren führen und Geldbußen verhängen. Nur in zwei Staaten ist das System anders. Und Sie können sicher sein, wir werden ganz genau schauen, dass wir ordnungsgemäße Verfahren führen und dass die Geldbußen in den Instanzen auch halten. Wir wollen ja keine Bußen verhängen, wo das Bundesverwaltungsgericht irgendwann sagt: Nein, so nicht. Die Seriosität steht im Vordergrund. Mein Ziel ist ja nicht, zu strafen, sondern zu schauen, dass die Unternehmen „compliant“ sind mit der DSGVO.

Datenschutz in Österreich

  • Österreich war einer der ersten europäischen Staaten mit einer Behörde für den Datenschutz, der Datenschutzkommission. Sie wurde 1978 mit dem ersten Datenschutzgesetz, BGBl. Nr. 565/1978, geschaffen. Mit der Datenschutzrichtlinie 95/46/EG der EU wurde das Datenschutzrecht in ganz Europa auf eine neue Grundlage gestellt. In Österreich wurde diese Richtlinie durch das Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, umgesetzt.
  • Die Bestimmungen der europäischen DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden.
  • Die Datenschutzbehörde (vormals Datenschutzkommission) sorgt für die Einhaltung des Datenschutzes in Österreich.
  • Informationswebsite der Datenschutzbehörde DSB: www.dsb.gv.at

trend: Wenn Unternehmer den Aufwand für die Umsetzung als übertrieben empfinden, was entgegen Sie ihnen?
Jelinek: Spannend, sage ich: Einer der Gründe für die DSGVO war Entbürokratisierung. Eine der Maßnahmen ist die Abschaffung des Datenverarbeitungsregisters, das in Österreich besonders streng umgesetzt wurde. Jene, die Meldungen im Register gemacht haben, werden jetzt Verzeichnisse führen. Diese Meldungen haben ja auch Menschen gemacht, die sich mit der Materie auskennen. Haben die sich jetzt alle in Luft aufgelöst?

trend: Klingt einfach aus Ihrem Mund. Stellen manche aus der beratenden Wirtschaft den Aufwand größer dar, als er ist?
Jelinek: Das will ich niemandem unterstellen.


An die Bauordnung muss man sich auch halten. Das Ziel ist nicht zu strafen, sondern dass die Bestimmungen eingehalten werden.

trend: Wir haben mit einigen Unternehmen gesprochen. Manche haben sich ein oder zwei Jahre mit der DSGVO beschäftigt und viel Geld investiert.
Jelinek: Das hat natürlich auch mit der Art der Datenverarbeitung zu tun. Wenn das ein Telekom- oder IT-Unternehmen ist, ist der Aufwand sicher größer. Gerade in internationalen Konzernen ist das Berichtswesen reichlich. Jetzt muss man halt auch im Bereich Datenschutz eine Berichtspflicht einführen. Ich finde das weniger aufregend. Als ordentlicher Kaufmann habe ich mich darum gekümmert. Ich sehe das emotionslos.

Andrea jelinek, Leiterin der Östrreichischen Datenschutzbehörde

Andrea Jelinek: "Die Portokasse muss jetzt gut gefüllt sein, wenn man sich nicht an die Regeln der Datenschutz-Grundverordnung hält."

trend: Welche Branchen und Unternehmen nehmen Sie sich als Erstes vor?
Jelinek: Wir haben keine Prioritätenliste, wir haben auch bereits jetzt Unternehmen und auch ganze Branchen datenschutzrechtlich geprüft. Das haben wir auch jetzt schon gemacht.

trend: Manche Unternehmer fürchten sich vor einem Ansturm von Auskunftsbegehren ab Mai.
Jelinek: Ich wüsste nicht, warum das so sein soll. Ich finde es schade, dass die DSGVO immer auf die hohen Strafen reduziert wird.


Strafen werden nicht verhängt, weil mir etwas nicht gefällt, sondern weil Bestimmungen nicht eingehalten werden.

trend: Kann es sein, dass sie nur deswegen wirklich ernst genommen wird?
Jelinek: Allerdings ist das Thema durch die hohen Strafen in der Chefetage angekommen. Jetzt ist der Chef auch verantwortlich. Ich versuche, das fünfte Jahr Awareness für den Datenschutz zu schaffen. Das Brechen des Datenschutzes war immer schon strafbewehrt. Aber die Strafen waren in einem Rahmen, wo viele sagen konnten, das ist eine Quantité négligeable, zahle ich aus der Portokassa. Die Portokasse muss jetzt gut gefüllt sein, wenn man sich nicht an die Regeln der Datenschutz-Grundverordnung hält. Die Strafen werden ja nicht verhängt, weil mir etwas nicht gefällt, sondern weil Bestimmungen eines Gesetzes nicht eingehalten werden.

trend: Glauben Sie, dass sich ab Mai die Verbraucher stärker artikulieren werden?
Jelinek: Das glaube ich nicht. Die Betroffenen, denen es wichtig ist, die beschweren sich jetzt schon. Wir haben viele Anfragen.

trend: Sie werden bald mehr Mitarbeiter brauchen. Mit 28 werden Sie wohl nicht mehr auskommen. Wie viele neue haben Sie angefordert?
Jelinek: 16 Personen und wir werden schauen, wie viele davon ich bekomme. Ich hoffe natürlich, alle. Das wird sind in den nächsten Wochen entscheiden.

trend: Was wird deren Job sein?
Jelinek: (Anm. Jelinek holt ein Organigramm). Jetzt führen wir Verfahren, machen Stellungnahmen zu Gesetzen und Verordnungen, informieren Betroffene über ihre Rechte und führen das Datenverarbeitungs- und das Stammzahlenregister. Neu sind die Verwaltungsstrafverfahren. Da habe ich die Mitarbeiterinnen und Mitarbeiter bereits einschulen lassen, wir haben auch Austauschprogramme bei anderen Behörden gemacht. Einer der Kernpunkte – nicht für die Unternehmen – für die Betroffenen ist das One-Stop-Shop-Verfahren. Wenn Sie mit einem in Irland ansässigen Konzern Datenschutzprobleme haben, müssen Sie als Bürger jetzt nicht mehr nach Irland, sondern sie können sich an die österreichische Behörde wenden und wir führen das Verfahren mit der anderen Behörde und dem Unternehmen.

trend: Verfahren wie die von Max Schrems werden vereinfacht? Und was kostet mich das?
Jelinek: Das kostet Sie nichts, die Verfahren sind frei. Es gibt keine Gebühren, keine Übersetzungskosten. Das gilt, wenn grenzüberschreitender Datenverkehr im Spiel ist oder das Unternehmen seinen Sitz in einem anderen EU-Land hat. Geht es um ein österreichisches Unternehmen und ausschließlich Datenverarbeitungen und Betroffene in Österreich dann sind natürlich nur wir für das Verfahren zuständig.


Viele Anfragenden sind aufgeregt und nervös. Die Frage nach der Strafhöhe nervt bereits.

trend: Sie haben Ihre Mitarbeiter geschult. Wird es mit Mai dann auch tatsächlich losgehen? Viele wollen ja wie bei der Registrierkasse gern an Übergangsfristen glauben.
Jelinek: Wir sind ab Mai für diese Verfahren zuständig.

trend: Behörden werden nicht gestraft. Prüft man die dann überhaupt?
Jelinek: Wir werden auch gegen Behörden Verfahren führen. Sie bekommen halt keine Geldbuße. Es ist für Behörden genauso unangenehm, einen negativen Bescheid zu bekommen. Aber es macht ja budgettechnisch keinen Sinn, wenn der eine Friedl mit der leeren Tasche den anderen straft.

trend: Die Datenschutzbehörde hat viele Anfragen bekommen in der letzten Zeit ...
Jelinek: Ja. Aufgeregt sind viele Anfragenden und nervös. So wie Sie vorhin gesagt haben, es ist sicher ein eigener Wirtschaftszweig, der sich da gerade herauskristallisiert. Sie brauchen sich aber keiner eigenen Software bedienen, um etwa diese Verzeichnisse zu führen. Die Unternehmen müssen sich einfach auskennen in ihren Verzeichnissen.

trend: Wie lange haben Sie eigentlich gebracht, um mit dem Thema warm zu werden?
Jelinek: Datenschutz hat mich mein ganzes Berufsleben begleitet. Gerade wenn man bei Polizei und in der Legistik tätig ist. Was mir immer wichtig war, ist das Thema aus der Nerd-Ecke herauszuholen. Ich habe hochspezialisierte Mitarbeiter und Mitarbeiterinnen, die in einzelnen Bereichen sicher viel besser sind als ich. Aber ich kann einen anderen Blick darauf werfen, weil ich aus vielen Fenstern geschaut habe und eine andere Perspektive einbringe und sicher auch eine andere Sprache.

trend: Und was können Sie schon nicht mehr hören?
Jelinek: „Es ist so kompliziert“ - Das ist immer die beste Ausrede. Ich habe unlängst etwas Ironisches gesagt: Lesen hilft. Wir machen einen Newsletter und bemühen uns um laienverständliche Sprache. Wir haben einen Leitfaden für die DSGVO für Nicht-Juristen (Anm. das letzte Mal im Jänner 2018 aktualisiert). Das kommt gut an. Und was schon nervt, ist die Frage nach der Strafhöhe.


Zur Person

Andrea Jelinek. Die Juristin war in der Privatwirtschaft tätig, bevor sie 1991 als juristische Referentin zur Rektorenkonferenz stieß. Zehn Jahre war sie im Innenministerium für Fremden- und Asylrecht zuständig, zwischenzeitig Leiterin des Kommissariats im 3. Bezirk, bevor sie mit 1. Jänner 2014 die neu gegründete Datenschutzbehörde (damals noch dem Bundeskanzleramt, heute dem Justizministerium, unterstellt) leitete. Seit 8. Februar führt Jelinek auch den Vorsitz der Art 29 Datenschutzgruppe der EU.


Das Interview ist ursprünglich in einer etwas gekürzten Version in der trend-Ausgabe 9/2018 vom 2. März 2018 erschienen.

KTM Innovation GmbH Geschäftsführer Walter Sieberer

Digitalisierung: Vorwärts in die Zukunft

Ready for Digital: KTM vernetzt das Motorrad

Nach dem Tequila steht Tesla-Chef Musk auf Video-Games

Digital

Nach dem Tequila steht Tesla-Chef Musk auf Video-Games

Kommentar
Christoph Kopp, Principal Horvath & Partners Österreich

Management Commentary

Business Analytics: Turbo für bessere Entscheidungen