Deutlicher kann das gestörte Verhältnis der österreichischen Politik und Wirtschaft gegenüber den berechtigten Anliegen des Schutzes personenbezogener Daten kaum zum Ausdruck kommen, als im Abstimmungsverhalten zur EU Datenschutz Grundverordnung. Von 28 Mitgliedstaaten haben nur Österreich und Slowenien gegen die Europäische Datenschutz Grundverordnung (DSGVO) gestimmt.

Die Rechtfertigung des österreichischen Justizministers ist kaum anders als zynisch zu interpretieren. Er begründete die Ablehnung mit dem hohen österreichischen Datenschutzniveau, welches nicht verwässert werden dürfe.  

Das DSG beschränkt Rechte, die die DSGVO einräumt

Der gerichtliche Klagsweg wird Betroffenen verwehrt

Die Datenschutz Grundverordnung sieht in Art. 79f ein Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter vor.  Konkret heißt es in Art. 79 Abs. 1:

Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf 

Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf allerdings wird österreichischen Bürgern vorenthalten. Stattdessen steht Betroffenen - mit Ausnahme  von Schadensersatzklagen - nur die Beschwerde an die Datenschutzbehörde offen.

Dies wird  legistisch gerechtfertigt. Es gelte die Trennung zwischen Justiz und Verwaltung zu beachten. Dabei wird auf die Bundesverfassung verwiesen, in der festgehalten ist, dass die Justiz von der Verwaltung in allen Instanzen zu trennen sei (Gewaltenteilung). U.a. deshalb habe Österreich auch gegen die EU Datenschutz Grundverordnung gestimmt. Nun gilt das Prinzip der Gewaltenteilung wohl in allen Mitgliedsstaaten der EU. Es stellt sich daher die Frage, warum ausgerechnet Österreich hier einen unüberwindbaren Widerspruch zur Verfassung sieht.

Die Begründung ist ohnehin eher rhetorischer Natur, denn im Datenschutz-Anpassungsgesetz 2018 hätten entsprechende Änderungen vorgenommen werden können. So heißt es dazu auf help.gv.at bzgl. des Datenschutz-Anpassungsgesetzes 2018: Ein Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird. Wegen der raschen Beschlussfassung konnten keine Verfassungsänderungen vorgenommen werden. So kam es nicht dazu, dass die wahlweise Entscheidung, den Klags- oder Beschwerdeweg einzuschlagen, verfassungsgemäß eingerichtet werden konnte. Diese überstürzte Vorgehensweise wurde von der Opposition kritisiert, auch dass der Gesetzesentwurf noch vor Ablauf der Begutachtungsfrist eingebracht wurde.   Husch Pfusch: Kritik am neuen Datenschutzgesetz titelte entsprechend auch Der Standard.   Betrachtet man die Regierungsvorlage, so ist unschwer zu erkennen, dass eine entsprechende Verfassungsänderung weder vorgesehen noch gewollt war. Mit anderen Worten: Dass derzeit verfassungsrechtlich die Wahl zwischen Klage- oder Beschwerdeweg nicht möglich ist, ist politisch genau so gewollt. (Siehe dazu auch Datenschutz-Anpassungsgesetz: Regierungsvorlage über Nacht.)

Die Verbandsklage wird nicht zugelassen

Mit Verweise darauf, dass aus verfassungsrechtlicher Rücksichtnahme der gerichtliche Rechtsbehelf verwehrt werden müsse, wird auch die Möglichkeit einer Verbandsklage zurückgewiesen. (S. Österreichs Datenschutzgesetz und die EU DSGVO)

Es gibt keine nachvollziehbaren, plausiblen Gründe dafür. Das Verbandsklagerecht ist im österreichischen Rechtssystem eingeführt und hat sich für die Bereiche, in welchen es zugelassen ist, bewährt (z.B. beim Konsumentenschutz). Mit Musterklagen könnte für viele Recht erstritten werden. Zudem könnten so die ohnehin überlasteten Gerichte entlastet werden.

Gegen wen richten sich die Befugnisse der Aufsichtsbehörde?

Matthias Rosa formulierte in einem Blogpost die Frage: Gegen wen richten sich die Befugnisse der Aufsichtsbehörde? Eine Frage, die sich auch mir stellte, nachdem ich einige Sonderregelungen des österreichischen Datenschutzgesetzes (DSG) studiert hatte. Während Rosa allerdings für das DSGVO und BDSG zum Schluss kam, die Befugnisse richteten sich gegen den Verantwortlichen, also die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheide, spricht meinem Dafürhalten nach vieles dafür, dass sich das DSG gegen jene richtet, deren Rechte verletzt worden sind.

Vom Beschwerdeführer wird nach §24 Abs. 2 DSG folgende Auskunft verlangt, die enthalten sollte:

1. „die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.”

In Abs. 3 wird vom Beschwerdeführer weiters verlangt:

Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

Wenn schließlich lt Abs. 5 nach Prüfung festgestellt wird, dass die Beschwerde berechtigt ist, wird der Verantwortliche des privaten Bereichs aufgefordert, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist [Hervorhebung durch Autor], um die festgestellte Rechtsverletzung zu beseitigen. Das klingt fast so, als wollte die Behörde die Verantwortlichen dazu auffordern, nur die zwingenden, festgestellten Rechtsverletzungen zu beseitigen - als würden Unternehmen nicht in der Lage sein Ihre Interessen eigenständig zu wahren und als müssten sie expressis verbis darauf hingewiesen werden.

Das DSG scheint Interessen der „Täter” vor der DSGVO schützen zu wollen

In Österreich scheint die Sophistik, bzw. der Pharisäismus in der Legistik fortzuleben. Formal kann man den Standpunkt der Gesetzgeber bei der Beschlussfassung des DSG durchaus nachvollziehen, weniger allerdings den „politischen” Geist dahinter. So kann man über Strecken den Eindruck gewinnen, dass das DSG Verantwortliche und Auftragsverarbeiter vor der DSGVO in Schutz zu nehmen sucht. Um auf Rosa zurückzukommen: In Österreich ist nicht so ganz klar, gegen wen sich die Befugnisse der Aufsichtsbehörde richten.

Besonders deutlich wird das in §25 Abs. 1:

Macht der Beschwerdeführer im Rahmen einer Beschwerde eine wesentliche Beeinträchtigung seiner schutzwürdigen Geheimhaltungsinteressen durch die Verarbeitung seiner personenbezogenen Daten glaubhaft, kann die Datenschutzbehörde nach § 22 Abs. 4 vorgehen.

Laut DSGVO würde es ausreichen, auf die Unrechtmäßigkeit der Verarbeitung personenbezogener Daten hinzuweisen, z.B. auf das Fehlen der Einwilligung, damit die Beschwerde (eigentlich auch die Klage) gegen den Verantwortlichen oder Auftragsverarbeiter begründet ist. Diese müssen lt. DSGVO nachweisen, dass sie rechtmäßig und konform mit der DSGVO die Daten verarbeiten. Das DSG sieht hier in gewisser Weise eine — wie ich meine — unzulässige Umkehr vor. Es braucht keinesfalls eine wesentliche Beeinträchtigung seiner schutzwürdigen Geheimhaltungsinteressen (an was auch immer sich der Gesetzgeber dabei gedacht haben mag) um gegen unrechtmäßige Speicherung, Verarbeitung oder Weitergabe personenbezogener Daten zu klagen oder Beschwerde zu führen.

Ebenfalls abenteuerlich, aber legistisch ausgetüftelt, ist folgender Umstand im §24 Abs. 6:

Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen [Hervorhebung durch Autor], indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet.

Wenn ein Verantwortlicher oder Auftragsverarbeiter nachdem gegen ihn wegen nicht rechtmäßiger Verarbeitung personenbezogener Daten Beschwerde erhoben wurde, den Grund für die Beschwerde beseitigt, will der Gesetzgeber nach dem Motto „Schwamm drüber” die Beschwerde als gegenstandslos behandeln und das Verfahren formlos einstellen. D.h. wenn man es geschickt anfängt, kann ein Verantwortlicher oder Auftragsverarbeiter mit Datendiebstahl solange viel Geld verdienen, bis die Datenschutzbehörde tätig wird. Dann unterlässt er das für diesen Fall und geht straffrei aus. Der Beschwerdeführer kann nur dann verhindern, dass das Verfahren formlos eingestellt wird, wenn er innerhalb einer angemessenen Frist begründet, dass die Rechtsverletzung zumindest teilweise noch gegeben ist.

In Österreich zeichnet sich eine von der DSGVO abweichende Straf-Praxis ab

Die im DSGVO vorgesehenen hohen Strafen würden offenbar nur dann angedroht und angewandt, wenn der Verantwortliche oder Auftragsverarbeiter trotz Beschwerde an seiner rechtswidrigen Praxis festhält. Das Verfahren gleicht einer behördlichen Unterlassungsaufforderung mit Strafandrohung für den Fall, dass der Unterlassungsaufforderung nicht Folge geleistet wird. Das sieht dies DSGVO mE anders. Es bestraft den Missbrauch und nicht den Umstand, dass einer Unterlassungsaufforderung nicht entsprochen wird.