Themenüberblick

Welle von Abmahnungen erwartet

Nach zweijähriger Übergangsfrist gelten in Europa einheitliche Datenschutzregeln. Alle 28 EU-Staaten müssen seit 25. Mai die Datenschutz-Grundverordnung (DSGVO) anwenden. Dadurch wird die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine und Behörden strenger geregelt als bisher. Schadenersatzklagen werden erwartet, vier Beschwerden gibt es schon.

Wenige Stunden nach Inkrafttreten der DSGVO reichte der Datenschutzaktivist Max Schrems Beschwerden gegen Facebook, Google, WhatsApp und Instagram bei den Aufsichtsbehörden ein. Die Konzerne hätten Nutzer gezwungen, Datenschutzbestimmungen zuzustimmen, was ein klarer Verstoß gegen die Datenschutz-Grundverordnung sei, so Schrems, der die vier Beschwerden mit seinem Verein noyb auf den Weg gebracht hatte. Eingereicht wurden sie in Österreich (Facebook), Belgien (Instagram), Deutschland (WhatsApp) und Frankreich (Google).

Autor und Datenschutzaktivist Max Schrems

APA/AFP/Joe Klamar

Kurz nach Inkrafttreten der DSGVO hat Datenschützer Schrems Beschwerden gegen große Player eingereicht

Schrems erklärte in einer Aussendung Ende Mai: „Facebook hat sogar Konten von Usern geblockt, die keine Zustimmung gegeben haben. Nutzer hatten am Ende die Wahl, das Konto löschen oder auf den Button drücken - das ist schlicht Erpressung.“ Die DSGVO verbiete Zwang zur Zustimmung und sehe auch ein „Koppelungsverbot“ vor, wonach man Dienstleistungen nicht mehr davon abhängig machen darf, ob ein Nutzer eine Zustimmung zur Datennutzung abgibt - mehr dazu in wien.ORF.at.

„Erfolgsaussichten sehr hoch“

Dass Schrems nicht der Einzige sein wird, der Unternehmen, Organisationen und Behörden klagen wird, glaubt der Datenschützer Hans Zeger. Der Obmann der ARGE Daten sagte im Ö1-Morgenjournal, dass er eine Abmahnwelle erwartet. „Es ist bei vielen untergegangen, aber ab nun gibt es die Möglichkeit, bei jeder Datenschutzverletzung einen Schadenersatz, der dann meist bei ungefähr 1.000 Euro beginnt, bei Gericht einzuklagen, und da sind die Erfolgsaussichten sehr hoch“, sagte Zeger. Er betonte allerdings, dass US-Anbieter wie Facebook gut auf Klagen vorbereitet seien - Audio dazu in oe1.ORF.at.

Bereits gültig

In Kraft ist die DSGVO bereits seit Mai 2016. Tatsächlich durchgesetzt wurde sie aber erst mit dem 25. Mai 2018. Geht es nach der EU, soll die DSGVO das Datenschutzrecht harmonisieren und den IT-Markt der Union ankurbeln.

„Die einfachste Möglichkeit ist, die Firma abzumahnen, darauf hinzuweisen, dass man hier eine Datenschutzverletzung sieht, und eben eine entsprechende Entschädigung zu fordern. Bekommt man die nicht, geht man vor Gericht. Das ist einfach und halbwegs gut abgesichert, und ich weiß, dass es sehr viele Leute gibt, die eine Entschädigung für einen Datenschutzmissbrauch wollen, als dass sie von einer Behörde einen Bescheid bekommen, auf dem draufsteht: Dir wurde Unrecht getan“, betonte Zeger.

Strafen in Höhe von bis zu 20 Millionen Euro

Laut der DSGVO müssen Verbraucher fortan darüber informiert werden, wer Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund sammelt - und sie müssen zustimmen. Zudem müssen Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, gelöscht werden. Bei Verstößen gegen die neuen Regeln drohen saftige Strafen. Unternehmen können mit Zahlungen bis zu 20 Millionen Euro oder vier Prozent ihres weltweiten Jahresumsatzes belegt werden.

Verbraucherschützer bezeichnen die neuen Regeln als Meilenstein für den Datenschutz. Vor allem kleine und mittelständische Unternehmen sowie Vereine fürchten jedoch den bürokratischen Aufwand und unverhältnismäßig hohe Strafen. Laut Zeger ist das Neue an der DSGVO, dass sie sagt, schon der Verlust der Kontrolle über die persönlichen Daten sei eine Datenschutzverletzung. Von der DSGVO betroffene Organisationen müssten eigentlich die gesamte Verarbeitung auf Dauer belegen „und nicht nur ein paar Formulare ausfüllen und Zettel ausfüllen“, wie Zeger sagte.

Auch die Flut an E-Mails der vergangenen Tage sei schon Grund genug für eine Klage. „Dieser Datenschutz-Grundverordnungsspam, das war eigentlich Unsinn, wurde auch durch falsche Meldungen von verschiedenen Kammern und Stellen provoziert. Jeder, der solche Mails bekommen hat, ist gut beraten gewesen, nicht darauf zu antworten, und der, der sich davon belästigt gefühlt hat, kann Schadenersatz verlangen, der viel wirksamer durchzusetzen sein wird als eine Beschwerde bei der Datenschutzbehörde.“

Österreicherin neue EDPB-Chefin

Für die einheitliche Durchführung der DSGVO wird künftig der Europäische Datenschutzausschuss (EDPB) zuständig sein. Als Vorsitzende fungiert die Datenschutzexpertin und Chefin der österreichischen Datenschutzbehörde, Andrea Jelinek. Zuletzt leitete sie eine EU-Datenschutzgruppe, die die EU-Kommission bei dem Thema beriet und eben durch den EU-Datenschutzausschuss ersetzt wurde.

Andrea Jelinek, Leiterin der EU-Datenschutzbehörde

AP/Virginia Mayo

Andrea Jelinek ist seit Freitag Vorsitzende des Europäischen Datenschutzausschusses

Der EU-Datenschutzausschuss ist mit einer Reihe von Befugnissen ausgestattet. Neben der Überwachung und Sicherstellung der ordnungsgemäßen Anwendung der Verordnung kommt dem Ausschuss auch die Beratung der EU-Kommission zu. Zudem können die EU-Datenschützer Leitlinien bereitstellen und Empfehlungen zu verschiedenen Verfahren aussprechen.

In einer ersten Stellungnahme sagte Jelinek, die bereits mit Klagen rechnete, dass die DSGVO ein „einheitliches Regelwerk für alle, die personenbezogene Daten von Einzelpersonen in der EU verarbeiten, bietet“. In einer Welt, in der Daten als Währung gelten, seien die Rechte von Einzelpersonen „oft übersehen oder sogar missachtet“ worden. Die neue Verordnung werde nun diese Rechte schützen. „Gleichzeitig werden Unternehmen, die in Europa tätig sind, von der DSGVO profitieren, da sie Rechtssicherheit bietet und die Durchführung im Binnenmarkt erleichtert.“

US-Medien sperren europäische Leser aus

Unternehmen im Ausland - speziell Medienunternehmen - kämpften derweil mit anderen Problemen. Die neuen Datenschutzregeln verhinderten bei Inkrafttreten der neuen Regeln den Zugang europäischer Nutzer zu den Internetseiten mehrerer US-Medien: Bei der „Los Angeles Times“, den „New York Daily News“ und dem „Orlando Sentinel“ erschien der Hinweis: „Leider steht unsere Seite derzeit in den meisten europäischen Ländern nicht zur Verfügung.“

Das Verlagsunternehmen Tronc - früher: Tribune Publishing - arbeite aber an „technischen Lösungen“, um allen Lesern den „preisgekrönten Journalismus“ der Zeitungen wieder zugänglich zu machen. Zu Tronc gehören auch die „Chicago Tribune“ und die „Baltimore Sun“. Auch US-Zeitungen aus dem Verlag Lee Enterprises waren zunächst für europäische Nutzer gesperrt.

Links: