DSGVO - Österreichs Politik agiert zunehmend chaotisch
Zwei Jahre Übergangsfrist ungenügend genutzt - EU-widrige Anpassungsgesetze werden durch neue EU-widrige Gesetze "dereguliert" - dubioser Antrag der Mandatare Himmelbauer, Wittmann, Herbert und Co - Ziele der Datenschutzgrundverordnung werden offensichtlich ignoriert - problematischer Vorstoß der Datenschutzbehörde
Zwei Jahre Übergangsfrist ungenügend genutzt
Am 14. April 2016 beschließt das Europäische Parlament die Datenschutz-Grundverordnung (DSGVO). Ein neues Informationszeitalter beginnt, Experten war völlig klar, dass Datenverarbeiter ihre Abläufe grundlegend überdenken und neu strukturieren müssen.
Die DSGVO ist mit einer komfortablen Übergangsfrist von mehr als zwei Jahren ausgestattet. Zeit genug - sollte man meinen - dass die EU-Staaten alle Vorbereitungsarbeiten treffen um für alle Datenverarbeiter, von den Großspitälern bis zum kleinen Greissler, Rechtssicherheit zu schaffen.
Anknüpfungspunkte gab es genug. Statt "one continent, one law", wie es der Wunsch von Justizkommissarin Viviane Reding war, enthält die DSGVO rund 30-60 - je nach zählweise - nationale Gestaltungsmöglichkeiten. Bereiche in denen sich EU-Staaten als grundrechtsfreundlich oder grundrechts-grenzwertig positionieren konnten.
Husch-Pfusch-Gesetz im Juni 2017
Österreich macht einmal ein Jahr lang das, was es am besten kann: Änderungen ignorieren. Vielleicht ist alles nur geträumt. Dann, mitten im Nationalratswahlkampf soll das alte und nicht mehr geeignte DSG 2000 durch ein Datenschutz-Anpassungsgesetz ersetzt werden.
Der Versuch misslingt, da das DSG 2000 mehrere - im übrigen EU-widrige - Verfassungsbestimmungen enthält und die zerstrittene Regierung keinen Steigbügelhalter für eine Zwei-Drittel-Mehrheit findet.
So werden um die EU-widrigen Verfassungsbestimmungen neue Anpassungsbestimmungen geflickt, die nicht einmal Basis-Anforderungen klären, wie etwa "was unter einer öffentlichen Stelle" zu verstehen ist.
Wichtig war jedoch offenbar, dass alle "öffentlichen Stellen" jedenfalls straffrei bleiben müssen. Österreichs öffentliche Stellen dürfen Datenschutzverletzungen nach Belieben begehen, ohne die geringste Strafe fürchten zu müssen.
Anpassungen der nationalen Gesetze verschlafen
Erst nach dem Sommer wird klar, dass weniger am DSG 2000 herumzupfuschen ist, sondern dass einige hundert nationale Gesetze an die neuen, strengeren Vorgaben der DSGVO anzupassen sind.
Erst ab März 2018 werden die ersten Anpassungen in Begutachtung geschickt. Zum Teil mit haarsträubenden Inhalten. Unter anderem wurden Betroffenenrechte massiv beschnitten, sensible Datensammlungen sollen generell zu "Forschungszwecken" freigegeben werden und Informationspflichten der Behörden sollen aufgehoben werden.
Beschlossen davon ist freilich noch nichts, hier ist mit einer Nacht- und Nebelaktion wenige Tage vor dem 25. Mai 2018 zu rechnen. Abgeordnete werden hunderte problematische Bestimmungen abnicken, ohne auch nur eine davon gelesen zu haben.
Dubioser Deregulierungsantrag durch Abgeordnete
Wirklich chaotisch wird es jedoch erst Ende März. Die Nationalratsabgeordneten Himmelbauer (VP), Wittmann (SP), Herbert (FP) bringen ein "Datenschutz-Deregulierungs-Gesetz" ein, dass das zwar beschlossene, aber noch nicht in Kraft befindliche Datenschutz-Anpassungsgesetz anpassen soll.
Kern des Antrags ist die offensichtlich EU-widrige alte Verfassungsbestimmung § 1 des DSG 2000 durch eine neue Verfassungsbestimmung zu ersetzen. Diese vermeidet zwar alte EU-Widrigkeiten, führt aber im Gegenzug neue "Verfassungsbestimmungen" ein, die die Rechte der Betroffenen unzulässigerweise beschränken.
Den famosen Abgeordneten dürfte entgangen sein, dass Östereich seit mehr als 20 Jahren Mitglied der EU ist, seit 2012 Datenschutz in der EU-Grundrechtecharta verankert ist und sowohl EU-Grundrechtecharta, als auch DSGVO Vorrang vor österreichischen Verfassungsbestimmungen haben. Diese neue Verfassungsbestimmung ist bestenfalls heiße Luft.
Hineingeschmuggelt wurde aber auch die Ausweitung der Straffreiheit. Nicht nur Behörden sollen in Zukunft ungestraft Datenmissbrauch betreiben dürfen, sondern auch sogenannte beliehene Unternehmen, die im öffentlichen Auftrag tätig sind.
Jede KFZ-Werkstätte, die etwa eine § 57a KFG-Überprüfung machen (vulgo "Pickerl-Überprüfung") dürfen nach diesem Entwurf ungeniert alle KFZ-Daten abgreifen und beliebig verscherbeln.
Datenschutzbehörde offenbar vom Chaos-Virus angesteckt
Bekannt ist, dass hinter den Kulissen WKO und Co massivstes Lobbying betreiben um wesentliche Eckpfeiler der DSGVO so aufzuweichen, dass sie nichts mehr mit den ursprünglichen Zielen zu tun haben.
Im Bereich der Verbandsklagen ist das schon gelungen. Im Gegensatz zu Deutschland ist es österreichischen Einrichtungen, vom Betriebsrat abwärts, nicht erlaubt gegen flächendeckende Datenschutzverletzungen Beschwerden einzubringen.
Verpflichtende Aufgabe der Datenschutzbehörde (DSB) wäre es einen Katalog an Verarbeitungen zu veröffentlichen, bei denen eine Datenschutz-Folgenabschätzung zu machen ist. Bei dieser Folgenabschätzung wären Verarbeiter verpflichtet die Risken für die Rechte und Freiheiten der Bürger zu prüfen und zu minimieren.
Weiters hätte die DSB schon längst ein Kritierenkatalog für Datenschutz-Zertifizierungen verabschieden müssen. Empfehlungen, wie Verarbeiter den Dokumentationspflichten nachzukommen haben fehlen ebenfalls.
Stattdessen wurde eine Verordnung in Begutachtung geschickt, die Ausnahmen von der Datenschutz-Folgenabschätzung vorsieht (http://ftp.freenet.at/privacy/gesetze/entwurf-dsfa-av.pdf). Diese Ausnahmen sind extrem weitreichend, in etlichen Punkten offenbar DSGVO-widrig und nur als Kotau vor den Wünschen der "Wirtschaft" verständlich.
Die ARGE DATEN hat dazu eine umfassende Stellungnahme abgegeben (http://ftp.freenet.at/privacy/gesetze/stellungnahme-dsfa-av.pdf).
Hans G. Zeger, Obmann ARGE DATEN: "Wir kennen viele Mitarbeiter der DSB und wissen, dass diesen im Grunde Datenschutz am Herzen liegt. Die ARGE DATEN hofft daher, dass sich diese Kräfte durchsetzen und dieser Verordnungsentwurf DSGVO-konform überarbeitet wird."
Österreich in schlechter Gesellschaft
Die Zielsetzungen der DSGVO lassen sich ganz einfach umschreiben: "Datenverarbeiter sollen in Zukunft ihre personenbezogenen Verarbeitungsprozesse grundrechtskonform gestalten."
Was einfach klingt, dürfte viele österreichische Verarbeiter überfordern. In vielen Gesprächen musste festgestellt werden, dass zahllose Verarbeiter überhaupt keine Kontrolle haben, wo sie personenbezogene Daten verwenden. Dort wo es bekannt ist, konnte in den wenigsten Fällen von "Gestaltung" gesprochen werden. Österreich wird zunehmend ein Land der Konsumenten von IT-Produkten. Sie leben im Irrglauben die Bedienung eines Smartphones oder von eMail würde sie der Informationsgesellschaft näher bringen. Ganz so, als würde man durch viel Fernsehen zum genialen Regisseur.
Gerade bei den modernen Internet-Technologien, wie Tracking oder Big-Data besteht ein Rückstand von 20 Jahren und mehr.
Doch Österreich steht nicht allein da, auch zahlreiche andere EU-Staaten sind in der Umsetzung der Ziele der DSGVO säumig. Auf diese Weise wird es nicht gelingen den Einfluss der US-Internet-Unternehmen mit ihren durchorganisierten und weitestgehend vollautomatischen Dienstleistungsprozessen, zurückzudrängen.
Manche glauben, sie würden die Instagram-, YouTube- und YouPorn-Dienste bloß mit ihren Daten bezahlen und übersehen, dass "Gratis" die klassische Marketingstrategie zur Einführung neuer Produkte ist. Das "Gratis-Girokonto" vor 30 Jahren sollte eine Lehre sein. In kurzer Zeit werden diese digital naives mit Daten und Geld bezahlen.
Wer sind die DSGVO-Vorbilder?
Überraschenderweise - oder schockierenderweise, je nach sichtweise - genau jene Internet-Riesen, denen man mit der DSGVO Einhalt gebieten wollte. Facebook, Google, Twitter, LinkedIn und Co haben ihre Hausaufgaben gemacht. Sie haben die DSGVO gründlich studiert und haben erkannt, dass mittels "informed consent", also Zustimmung praktisch alles möglich ist. Bei geeigneter Formulierung der Datenschutz-Informationen sind auch beliebige neue Verarbeitungszwecke möglich. Ein Cambridge Analytica - Vorfall wird Facebook nicht mehr passieren. Sie werden ihr Budget für die Rechtsabteilung leicht erhöhen und zeitgerecht ihre Nutzungsbedingungen anpassen.
Diese Unternehmen sind fein raus, sie vertrauen darauf, dass die Nutzer keine Alternativen kennen oder verwenden wollen, dass sich die EU-Staaten sowieso in der Entwicklung von Informationsdiensten behindern werden und Zunft- und Schrebergartendenken der vorgestrigen Kammern den Rest besorgen.
Nach der DSGVO ist leider nicht vor einem besseren Datenschutz, sondern bei diesem politischen Agieren, aller Wahrscheinlichkeit nach, das Ende der EU-Informationsindustrie.
andere --> https://www.parlament.gv.at/PAKT/MESN/
|
