27. April 2022 Datenschutz in Österreich regelt weitreichende Rechte im Internet

Das Internet ist im Alltag sehr präsent, wir nutzen es privat und beruflich. Dabei hinterlassen wir viele, oft sehr persönliche und sensible Daten. In Österreich wird der Datenschutz durch mehrere Gesetze garantiert. Wie, berichtet Datenschutzexperte Gerold Pawelka-Schmidt.

Shopping, ein Hotel buchen, Bankgeschäfte abwickeln, mit Familie und Freunden Fotos austauschen und auf Social Media Bilder oder Updates posten: Das ist im Internet möglich und viele machen von diesen Möglichkeiten auch Gebrauch. Um die Vorteile des Internets zu nutzen, geben Userinnen und User ihre Daten her – oft zu leichtfertig. Immer wieder werden Datenlecks öffentlich, also Fälle, in denen sensible Daten von Kundinnen und Kunden durch einen Hacker-Angriff oder von einem nicht gesicherten Server gestohlen und dann weiterverkauft werden. E-Mail-Adressen, Telefonnummern, Adressen, sogar Bankverbindungen können dadurch in falsche Hände geraten. Die persönlichen Informationen von Userinnen und Usern gelten deshalb als „neue Währung“, ihre Analyse kann zum Beispiel für Marketing-Abteilungen von Unternehmen oder in der Produktentwicklung wertvoll sein.

Informationen über Menschen müssen geschützt werden, das regelt das Datenschutzschutzrecht. Gerold Pawelka-Schmidt ist seit vielen Jahren im Datenschutz tätig, seit 2017 ist er Richter am Bundesverwaltungsgericht und dort unter anderem Vorsitzender eines Datenschutzsenats. Im Interview erzählt der Datenschutzexperte, was im Datenschutzrecht geregelt ist, wie die Datenschutzgrundverordnung (DSGVO) funktioniert, welche Rechte wir durch das Datenschutzrecht haben und wer ein Recht auf Datenlöschung hat.

Wie wird das Datenschutzrecht im Internet in Österreich geregelt?
Gerold Pawelka-Schmidt: Beim Schutz von personenbezogenen Daten – auch im Internet – ist das grundsätzliche Regelwerk die Datenschutzgrundverordnung (DSGVO), eine europarechtliche Norm. Flankierend dazu gibt es das österreichische Datenschutzgesetz. Bezüglich Internet gibt es noch weitere Gesetze, die speziellere Regelungen enthalten, etwa das E-Commerce-Gesetz oder das Telekommunikationsgesetz.

Warum wurde das Datenschutzgesetz notwendig?
Pawelka-Schmidt: Das österreichische Datenschutzgesetz gibt es schon länger, es hat sich nur verändert. Die große Zäsur war 2018 die Einführung der europäischen Datenschutzgrundverordnung. Das Besondere war, dass der Gesetzgeber den Weg einer Verordnung gewählt hat, wodurch es in den Mitgliedsstaaten nicht zu unterschiedlichen Rechtslagen kommen kann. Das Ziel, alles einheitlich zu regeln, wurde aber nicht ganz geschafft, denn die DSGVO enthält zu bestimmten Punkten sogenannte Öffnungsklauseln. Der nationale Gesetzgeber kann also abweichen.

Eine weitere Besonderheit in Österreich ist, dass es ein Grundrecht auf Datenschutz gibt, das weiter gefasst ist als das Datenschutzrecht nach der DSGVO. Es schützt nämlich auch jene Informationen über Personen, die nicht automationsunterstützt oder besonders strukturiert verwendet werden, etwa das gesprochene Wort. Es gab Diskussionen, ob man anlässlich der DSGVO dieses Grundrecht, das im Verfassungsrang steht, adaptiert. Die dafür notwendige Zweidrittelmehrheit hat sich aber seit Einführung der DSGVO nicht gefunden.

Auch gibt es die Vorschrift in der Datenschutzgrundverordnung, dass es nationale Aufsichtsbehörden zu geben hat. Die Einrichtung und Ausgestaltung dieser Behörden obliegen dem nationalen Gesetzgeber, und das ist auch im Datenschutzgesetz passiert.

Grundsätzlich: Was regelt das Datenschutzrecht?
Pawelka-Schmidt: Das Datenschutzrecht schützt Informationen über bestimmte oder bestimmbare Menschen. Um dieses Ziel zu erreichen, werden Regeln aufgestellt, die Personen, die Daten verarbeiten, einzuhalten haben. Auf der anderen Seite bekommen die Betroffenen Rechte. Flankiert ist dies durch exorbitant hohe Strafdrohungen, Geldbußen, die bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Unternehmensumsatzes betragen können.

Auf der Stufe des nationalen Rechts, des österreichischen Datenschutzgesetzes, gibt es zusätzlich Verwaltungsstrafen. Die sind im Vergleich zu den Millionen-Strafen mit einer Höchststrafe von 50.000 Euro aber sehr günstig. Im nationalen Recht gibt es weiters eine Bestimmung, welche Datenverwendungen in Gewinn- und Schädigungsabsicht unter strafgerichtliche Strafe stellt. Wenn Daten vorsätzlich missbräuchlich verwendet werden, um jemand anderen zu schädigen oder um einen Gewinn dadurch zu erzielen, ist das mit Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe in Höhe von bis zu 720 Tagessätzen bedroht.

Welche Datenschutz-Beschwerden gibt es am häufigsten? Welche Verstöße werden am häufigsten gemeldet?
Pawelka-Schmidt: Sehr viele Beschwerden beschäftigen sich mit der Frage, ob eine datenschutzrechtliche Auskunft richtig erteilt oder zu Unrecht verweigert wurde, oder vielleicht unvollständig gewesen ist. Auch gibt es Anfragen, ob ein Löschantrag zu Recht erfolgt ist oder eine Datenverarbeitung rechtswidrig ist und untersagt werden soll.

Das Thema Videoüberwachung – sowohl im privaten Bereich, etwa bei nachbarschaftlichen Streitigkeiten, als auch im geschäftlichen Bereich, etwa bei der Frage der Zulässigkeit einer Überwachung eines Betriebsgeländes – kommt bei der Datenschutzbehörde sehr oft an. Ebenfalls ein Thema ist die Frage der Zulässigkeit der Speicherung von Bonitätsdaten, die natürlich massive Auswirkungen auf die Betroffenen haben kann.

Gibt es auch in Bezug auf Social Media Beschwerden?
Pawelka-Schmidt: Ein großes Thema ist derzeit die Frage der Zulässigkeit diverser Bewertungs-Plattformen, wie etwa der App „Lernsieg“, mit der Lehrerinnen und Lehrer mit Sternen bewertet werden. Es gibt aber verschiedene andere Bewertungs-Plattformen, die in den unterschiedlichsten Branchen aktiv sind. Hier ist die Frage, ob und unter welchen Voraussetzungen diese letztlich zulässig sind.

Welche juristischen Datenschutzprobleme ergeben sich im Zusammenhang mit dem Internet am häufigsten?
Pawelka-Schmidt: Das Datenschutzrecht ist grundsätzlich technologieneutral. Es ist ihm egal, ob die Daten im Internet verarbeitet werden, ob sie zum Teil automatisiert verarbeitet werden oder ob es ein Karteikasten ist. Die Regeln sind dieselben. Natürlich ergeben sich im Internet besondere Problematiken. Für die, die Dienste anbieten, ist die Herausforderung, dass das Internet öffentlich zugänglich ist und Datenschutzverletzungen sofort offensichtlich werden. Hier ist ein besonderes Augenmerk darauf zu richten, dass die datenschutzrechtlichen Vorschriften eingehalten werden, insbesondere die Frage, ob Informationspflichten ausreichend wahrgenommen werden – Stichwort Datenschutzerklärung. Auch stellt sich die Frage, auf welcher Rechtsgrundlage die Verarbeitung passiert. Hier wird oft auf die Einwilligungserklärung zurückgegriffen, deren korrekte Formulierung oft eine Herausforderung ist.

Auf Seiten der Betroffenen ist meist die Frage, wie jemand Daten, die in der Öffentlichkeit sichtbar und der Person unangenehm sind, wieder wegbekommt.

Welche Möglichkeiten hat man in diesem Fall?
Pawelka-Schmidt: Das Datenschutzrecht beinhaltet ein Betroffenenrecht, nämlich das Recht auf Löschung, auch das Recht auf Vergessen genannt. Betroffene haben unter bestimmten Voraussetzungen das Recht, dass ihre personenbezogenen Daten gelöscht werden, unabhängig davon, ob sie im Internet oder in anderer Form verarbeitet wurden. Dieses Recht auf Löschung ist aber nicht endlos. Als Beispiel: Ich kann nicht Waren auf Rechnung bestellen und nach der Lieferung die Löschung meiner Daten beantragen, mit dem Hintergedanken, dass ich nachher nicht mehr gemahnt werden kann.

Ist der Datenschutz durch das Internet schwieriger zu handhaben?
Pawelka-Schmidt: Es ist wichtiger geworden, sich damit auseinanderzusetzen. Wenn früher die Gemüsehändlerin beziehungsweise der Gemüsehändler oder der Friseursalon Daten verarbeitet hat, dann hat das kaum jemanden interessiert. Jetzt ist aber die Öffentlichkeit darauf aufmerksam geworden, insbesondere, weil die Daten im Internet auch öffentlich einsehbar sind und weil der Schaden für die Betroffenen viel größer sein kann. Es gab immer wieder Fälle, wo durch Datenlecks sensible Daten veröffentlicht worden sind, seien es Kreditkarten- oder Gesundheitsdaten.

Welche Rechte und Pflichten haben wir in Bezug auf das Internet?
Pawelka-Schmidt: Die Datenschutzgrundverordnung gibt Betroffenen sehr weitreichende Rechte. Es gibt das Recht auf Auskunft: Jeder hat das Recht, dass er vom Datenverarbeiter die Information bekommt, welche Daten von ihm verarbeitet werden und zu welchem Zweck. Das ermöglicht Betroffenen, weitere Rechte auszuüben. Es gibt das Recht auf Datenlöschung oder Recht auf Vergessen. Das heißt, unter bestimmten Voraussetzungen kann ein Betroffener verlangen, dass seine Daten gelöscht werden.

Ich habe auch das Recht auf Widerspruch sowie das Recht auf Berichtigung der Daten. Zweiteres heißt, wenn unrichtige Daten verarbeitet werden, darf ich das richtigstellen lassen. Das ist von besonderer Bedeutung, denn wenn jemand falsche Daten hat und glaubt, es wären richtige Daten, dann passieren unter Umständen grobe Fehleinschätzungen.

Auf der anderen Seite haben die Verantwortlichen diverseste Pflichten. Die Datenverarbeitung muss rechtskonform erfolgen, gewisse allgemeine Verarbeitungsgrundsätze sind einzuhalten, etwa dass man Daten nur für einen bestimmten Zweck verwenden darf. Als Verantwortlicher habe ich auch noch Informationspflichten, muss also darüber informieren, was mit den Daten gemacht wird und welche Daten verarbeitet werden. Gerade im Internet ist die jetzt mit der DSGVO neu eingeführte Regelung der verpflichtenden datenschutzfreundlichen Voreinstellungen relevant. Der Praxis der Einwilligungserklärungen, wo die Checkbox bereits abgehakt ist, hat die DSGVO einen Riegel vorgeschoben. Es muss nun die aktive Handlung des Betroffenen vorliegen – also eine Checkbox muss tatsächlich angeklickt und damit aktiv angewählt werden.

Das Bewusstsein für Datenschutz ist gestiegen – doch es gibt die Tatsache, dass man oft leichtfertig und freiwillig Daten auf Plattformen hinterlässt. Gibt es eine Empfehlung, wie man mit den eigenen Daten umgehen soll?
Pawelka-Schmidt: Es gibt das Phänomen, dass man seine Daten in sozialen Netzen bereitwilligst hergibt, aber die Menschen sind schon vorsichtiger geworden. Auch haben die sozialen Netzwerke die Möglichkeit eingeräumt, Sicherheitseinstellungen einzurichten, durch die die Daten eben nicht für alle sichtbar sind.

Es gibt gerade bei den großen Anbietern detaillierte Informationen darüber, was mit den Daten passiert. Und man sollte sich das Kleingedruckte durchlesen und nicht einfach wegklicken, denn es ist nicht immer offensichtlich, wohin diese Daten fließen und zu welchen Zwecken sie verwendet werden. Man muss sich immer bewusst sein, dass man niemals die Sicherheit hat, dass diese Daten nicht woanders hingelangen, wo es vielleicht nicht so angenehm ist. Also bitte überlegen Sie gut, wem Sie Daten anvertrauen!