DSGVO — Drohungen und Panikmache sind der falsche Weg

Natürlich ist es ärgerlich, wenn man gehäuft auf Unternehmen, Freiberufler, Organisationen und Vereine trifft, die sich keinen Deut um den Datenschutz scheren, schon gar nicht um die EU Datenschutz Grundverordnung. Manche davon sind abgebrüht, andere naiv und wieder andere einfach nur dumm, die Trotzigen nicht zu vergessen.

Gar nicht so wenige Datenschützer, Datenschutzberater und Datenschutzbeauftragte, die mit der Umsetzung der DSGVO ihr Geschäft machen, versuchen mit Panikmache und Drohungen einen Druck aufzubauen, von dem sie hoffen, er werde jene bekehren. Ich bezweifle, dass das der richtige Weg ist. Negativszenarien schaden à la longue nicht nur dem Datenschutz, sondern auch den Unternehmen, Verbänden, Organisationen und Vereinen.

Einsicht wäre der richtige Weg. Aber Einsicht ist eine nicht allen gleicherweise zugänglich Kategorie. Nehmen wir die beharrlich Naiven,  die Dummen, die Trotzigen und die Kriminellen: ihnen wird wohl nur durch hohe Strafen beizukommen sein - und selbst das garantiert nicht, dass Regeln, wenn schon nicht aus Einsicht, so zumindest wegen realistischer Strafdrohungen, eingehalten werden. Drohungen und Panikmache laufen jedenfalls ins Leere.

Neben den „Uneinsichtigen” gibt es aber auch Menschen, Unternehmen, Organisationen, Vereine, Freiberufler und anderen, die vom Datenschutzgesetz betroffen sind, die sich grundsätzlich um Regelkonformität bemühen, auch weil sie um die Notwendigkeit von Datenschutz wissen.

Viele davon sehen sich gerade in Österreich von der Exekutive, insbesondere von der Praxis der Datenschutzbehörde im Stich gelassen. Auch wenn sich die Zahl der Beschwerden seit 25. Mai 2019 versiebenfacht hat und auch wenn — sehr, sehr vereinzelt — Strafen erfolgten, geht das Strafmaß bislang nicht über die bisherige Praxis hinaus, mit anderen Worten: Die Strafen wirken nicht wirklich abschreckend. Bislang betrug die höchste Strafe 10Tausend Euro. Allein die Datenschutzvergehen der POST AG, die vielen Verletzungen von Betroffenenrechten hätten eine hohe sechsstellige Strafe gerechtfertigt. Aber in Bezug auf Strafen gegen die POST AG schweigt sich die Datenschutzbehörde aus. Das ist ein Zeichen für alle jene Unternehmen, die es mit Datenschutz nicht so genau nehmen. Das verzerrt aber auch den Wettbewerb. Daher geraten Unternehmen, die sich an das Datenschutzgesetz halten, unter Druck. 

Dazu kommen jene Unternehmen, deren lukrative Geschäftsmodelle durch die DSGVO betroffen sind, die mit bis zu dreißig Prozent Einbußen gegen die DSGVO argumentierten und die Entschärfung des Gesetzes forderten und immer noch fordern. Ganze Branchen überschlagen sich mit Übertreibungen und Fake News, was denn alles durch die DSGVO geregelt wäre. Leider beeinflusst das fortwährende Negative Campaigning zunehmend die öffentliche Meinung. Und das, obwohl jüngste Studien wie der Business Austria Check des KSV1870 gezeigt haben, dass die DSGVO die wirtschaftliche Entwicklung von Unternehmen nicht negativ beeinträchtigte — ausgenommen eben diejenigen Unternehmen, die im Wesentlichen durch illegale Verarbeitung von Daten ihre Gewinne erzielen.

Eine konsequente Ahndungspraxis ist bei Verstößen geboten

Auch wenn Drohungen und Panikmache kein Weg sind, der DSGVO zur Durchsetzung zu verhelfen, so könnte eine konsequente Ahndung von Gesetzesverletzungen mit spürbaren und abschreckenden Strafen sehr wohl dazu führen. Dazu fehlen allerdings zumindest in Österreich bislang sowohl der politische Wille und als auch eine unabhängige konsequente Praxis der Datenschutzbehörde.