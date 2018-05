Manche sprechen vom Monster. Kaum ein neues Gesetz hat derart hohe Wellen geschlagen wie die EU-Datenschutzgrundverordnung, die am 25. Mai in Kraft tritt. Vier Experten versuchten in einer Gesprächsrunde bei den Salzburger Nachrichten Licht ins Dunkel der Unklarheiten zu bringen - auch bei den beliebten Kundenkarten.

Spätestens seit dem Datenskandal rund um Facebook haben auch Private erkannt, dass Datenschutz etwas Wichtiges für sie persönlich sein könnte. Auf Unternehmerseite sind es Strafandrohungen bis zu 20 Millionen Euro, die Ähnliches ausgelöst haben. In einer Woche tritt die Datenschutzgrundverordnung (DSGVO) in Kraft, die EU-weit einheitlichen Datenschutz gewähren soll. Das tut sie freilich nicht. Es sei ein schlechtes Gesetz, das Konsumenten wie Unternehmen zutiefst verunsichere, viele viel koste und wenigen viel Geld bringe. Da waren sich die Rechtsanwältin Verena Stolz, die für Datenschutz Verantwortlichen der Wirtschaftskammer und der Arbeiterkammer Salzburg, Christian Pauer und Claudia Bohl, sowie der bekannte Datenschutzaktivist Max Schrems in einer Gesprächsrunde bei den "Salzburger Nachrichten" zum Aufregerthema Daten einig.

Aus datenschutzrechtlichen Gründen weisen wir darauf hin, dass Sie für das Lesen dieser Geschichte keine Zustimmungserklärung abgeben müssen, sondern sie ohne genießen können.

Was ändert sich am 25. Mai? Claudia Bohl: Kunden und Konsumenten müssen künftig informiert werden, welche Daten von ihnen gespeichert, wozu sie verarbeitet und wem sie weitergegeben werden. Aus diesen Informationspflichten, die die DSGVO vorsieht, kann jeder abschätzen, was mit seinen Daten passiert, und ob er diese überhaupt hergeben möchte.

Max Schrems: Am stärksten verändert sich die Durchsetzbarkeit von Datenschutz. Das wird spannend. Es gibt hohe Strafen und die Möglichkeit, rechtlich vorzugehen und Beschwerden bei Datenschutzbehörden oder zuständigen Behörden einzubringen. Behörden müssen entscheiden. Das geht bis zu Schadenersatzklagen. Viele der Regelungen in der DSGVO sind aber nicht vom Himmel gefallen, sondern stehen seit 1995 in der Richtlinie. Im Kern hat sich nicht viel geändert. Vieles, wie das Recht auf Vergessenwerden, ist eher ein PR-Schmäh für Dinge, die es vorher auch schon gegeben hat.

Allerdings macht sich Schrems keine großen

Illusionen, dass sich viel verändern wird.



Wir haben die neuen Geschäftsbedingungen (AGB, Anmerkung) von Facebook, Google und Microsoft angeschaut, die DSGVO-konform sein sollten. Die sind der gleiche Dreck wie vorher. Da steht drinnen, wir nehmen alle Daten für alle Zwecke auf allen Rechtsgrundlagen, entweder stimmst du zu oder du bekommst den Service nicht. Das widerspricht der DSGVO. Wir haben zwar am 25. Mai die DSGVO, aber bis wir sie in der Praxis auf die Handys der Menschen bringen, wird das noch ein Erreger. Silicon Valley fährt hier gerade einen Frontalangriff. Ich habe beim Lesen der neuen Geschäftsbedingungen einen mittleren Herzinfarkt bekommen.

Verena Stolz: Ich beobachte, dass die DSGVO aufgrund der Strafandrohungen ankommt. Das ist eine Themenverfehlung. Wir werden abwarten müssen, was nach dem 25. Mai passiert. Die Frage wird sein, wer wird der Erste sein, der einen Großangriff startet.

Max Schrems: Wir!

Gegen wen werden Sie zuerst vorgehen? Max Schrems: Wir haben für den 25. Mai eine erste Runde von Beschwerden vorbereitet, die die Zwangszustimmung betreffen. Es geht um große Unternehmen, die mittels Pop-ups sagen, wenn du bis 25. Mai nicht zustimmst, dann bist du offline. Das ist eine völlige Ignoranz gegenüber dem, was die DSGVO sagt.

Österreichs Wirtschaft wird aber nicht von Silicon-Valley-Giganten geprägt, sondern von Klein- und Mittelbetrieben. Nach einer Umfrage des Kreditschutzverbands hat ein Drittel dieser Unternehmen noch nichts für die neue Verordnung gemacht. Christian Pauer: Unter den Unternehmern gibt es eine hohe Akzeptanz für die DSGVO, aber auch eine große Verunsicherung wegen der Strafen von 10 oder 20 Millionen Euro. Die Betriebe sind sehr bemüht, die DSGVO umzusetzen. Mich rufen vom Würstelstand bis zum Industriebetrieb alle an. Aber sicher, der Motor ist die Angst vor Strafen. Wir könnten täglich Veranstaltungen machen, und wären täglich ausgebucht.

Warum die Hysterie, wenn sich ohnehin kaum etwas ändert? Christian Pauer: Ich habe es noch nie erlebt, dass ein Gesetz derart im öffentlichen Interesse steht, und dabei gibt es viele Fehlinformationen. Die Fragen der Unternehmen gehen von "Wie muss ich alle meine Kundendaten löschen, mit denen ich keinen Kontakt mehr habe?" bis zu "Wie kann ich bestraft werden?". Viele stellen sich das größer vor, als es eigentlich ist.

Max Schrems: In vielen Unternehmen wurde Datenschutz bisher schlichtweg nicht beachtet. Denn bisher waren die Strafen so gering, dass es teurer war, sich damit auseinanderzu-setzen, als Strafen zu zahlen. Und jetzt haben wir eine Beratungsindustrie, die von der Panik lebt. Panik bringt viel Geld.

Der Datenschutzaktivist lobt ausdrücklich die Beratungen der Wirtschaftskammer und betont, das Gesetz sei schlecht. Alle Experten nicken. Denn es gibt zu wenig Rechtssicherheit, selbst die Experten wissen bei vielen Punkten nicht, was gemeint ist. Schrems, der beim Gesetzgebungsprozess in Brüssel dabei war, beklagt, dass die Klein- und mittelständischen Betriebe dort zu schlecht beraten gewesen seien und Großkonzerne das Gesetz verwässert hätten.



Verena Stolz: Wir müssen uns an den Gesetzestext halten, viele Erklärungen sind aber in den Erwägungsgründen enthalten, und die stehen manchmal im Widerspruch zum Gesetz. Und dann gibt es noch die Öffnungsklauseln, in denen die nationalen Staaten gewisse Dinge regeln können oder müssen. Wir reden vom einheitlichen EU-Datenschutzrecht und haben 69 Möglichkeiten für unterschiedliche länderspezifische Regelungen.

Max Schrems: Und die sind nicht nur in Österreich EU-rechtswidrig. Wie soll da ein Rechtsanwender noch darauf vertrauen.

Verena Stolz: Bei mir in der Beratung sitzen Klienten und verstehen nicht, was sie machen sollen. Oft muss ich sagen, ich kann Ihnen noch keine definitive Antwort geben. Das ist sehr unbefriedigend.

Claudia Bohl: Zu mir kommen Kundinnen und Kunden, die wollen, dass ihre Bank alle Daten löscht. Man hat ihnen das Recht aufs Vergessenwerden groß propagiert, aber das hatten wir schon immer. Und es stimmt eben nicht, dass wir das Recht aufs Löschen der Daten bei einem Vertragspartner haben. Sobald jemand eine Rechtsgrundlage hat, Daten als Unternehmer zu speichern, darf er sie weiterhin speichern. Den Konsumenten wurde etwas verkauft, was nicht so ist.



Nicht nur die Unternehmer rennen der Wirtschaftskammer die Tür ein, auch die Konsumenten der Arbeiterkammer.



Claudia Bohl: Viele Unternehmen kommen mit Zustimmungserklärungen und Auftragsdatenverarbeitungsverträgen zu den Konsumenten. Da wollen Apotheken Zustimmungserklärungen haben, trotz gesetzlicher Grundlage zur Speicherung der Daten. Sie versuchen, sich mit Einwilligungserklärungen zu retten, obwohl gar keine Einwilligung notwendig ist. Die Kunden wiederum wollen wissen, was sie da eigentlich unterschreiben sollen. Daran sind auch viele Berater schuld.

Man hat den Eindruck, Österreich ist plötzlich mit Datenschutzexperten übersät. Fluch oder Segen? Christian Pauer: Das ist ein großes Problem. Die Berater sind wie Schwammerl aus dem Boden geschossen. Die schreiben Unternehmer mit den kuriosesten Fällen an und bieten Kurse für 800 Euro. Ein Erdbewegungsunternehmer, Vater, Sohn und ein Schaufelbagger, bekam von einem Anwalt ein Angebot, er müsse einen Kurs buchen, sonst bekäme er eine Strafe. Nach einem Anruf bei mir und einem Mail wusste der Unternehmer, was zu tun ist, die Sache war erledigt. Wir sagen den Unternehmen, dass wir sie so gut wie möglich unterstützen und sich eine Judikatur herausbilden wird. Die meisten müssen nicht zum Berater, der 1500 Euro pro Tag verlangt.

Max Schrems: Mein Standardscherz Richtung Berater lautet, habt's eh eine gute Haftplichtversicherung abgeschlossen, weil für die Beratungsfehler würde ich nicht haften wollen.

Verena Stolz: Ja, es waren noch nie so viele Datenschutzberater unterwegs wie jetzt. Plötzlich ist jeder Datenschutzexperte.

Max Schrems: Eigentlich müsste damit die Arbeitslosenrate gesenkt worden sein.

Woran erkennt man einen guten Datenschutzberater? Christian Pauer: Die DSGVO ist derart juristisch, dass sie viele nicht verstehen. Jene, die wissen, was sie brauchen, verweisen wir an die Rechtsanwaltskammer. Aber man sollte nicht zu jenen gehen, die erst vor einem Jahr vom Datenschutz etwas gehört haben, unsere Musterdokumente abkupfern und das dann als Datenschutzpaket für 3000 Euro oder als Abo verkaufen. Aber natürlich gibt es viele Anwälte, die schlecht verdienen, und sich jetzt auf den Datenschutz werfen. Bei meinen Vorträgen sitzen immer mehr Rechtsanwälte im Raum.

Verena Stolz: Ja, die haben dann von Ihnen die Informationen und schreiben auf ihre Homepage, sie seien Datenschutzspezialisten. Man sollte vorher recherchieren, wie lange sich ein Anwalt oder Experte schon mit dem Thema Datenschutz auseinandergesetzt hat. Wer in dem Thema schon seit ein paar Jahren involviert ist, ist ein seriöser Ansprechpartner.

Erst haben sich alle vor Strafen in Millionenhöhe gefürchtet, dann hieß es, in Österreich werde vorerst nur abgemahnt. Was stimmt nun? Claudia Bohl: Wir gehen davon aus, dass die Strafen bei kleineren Unternehmen nicht so hoch ausfallen werden.

Verena Stolz: Es werden angemessene Geldbußen verhängt werden. Wir haben ein Deregulierungesetz, in dem steht, dass die Datenschutzbehörde in Österreich in erster Linie Verwarnungen aussprechen soll oder wird. Für mich ist das keine große Überraschung, aber das ist nicht falsch zu verstehen. Das heißt nicht, dass in Österreich nur Verwarnungen ausgesprochen werden. Um Gottes Willen! Das hängt davon ab, welchen Verantwortlichen das trifft und um welche Verfehlungen es sich handelt.

Max Schrems: Manche Regelungen sind schlichtweg EU-rechtswidrig, da kann der nationale Gesetzgeber reinschreiben, was er will. Wenn sich zum Beispiel ein Pharmaunternehmen massenhaft Gesundheitsdaten holt, was nach der nationalen Verordnung geht, dann klagen wir sie und sagen, das nationale Gesetz ist nicht anwendbar, weil es europarechtswidrig ist. Ihnen fliegt die Rechtsgrundlage weg. Dann ist die Datenverarbeitung illegal und es gibt eine Schadenersatzklage. Wenn man acht Millionen österreichische Datensätze hat und sie mal 1000 Euro Schadenersatz pro Kopf rechnet, ist das auch für Konzerne unlustig. Da werden von der Regierung Dinge versprochen, für die sie nicht das Pouvoir hat, statt dass die Öffnungsklauseln sinnvoll gestaltet werden.

Christian Pauer: Ich rate Unternehmen grundsätzlich dazu, ihre Verpflichtungen umzusetzen. Darauf zu vertrauen, nicht bestraft zu werden, wäre sehr blauäugig. Niemand sollte den Kopf in den Sand stecken.

Verena Stolz: Die DSGVO ist auch auf Grundlage des Gesetzes gegen den unlauteren Wettbewerb einzuhalten. Datenpannen werden passieren, aber wenn der Datenschutz in einem Unternehmen unbekannt ist, dann kommt es zu Geldbußen. Wenn der Datenschutz ernst genommen wird und nur etwas passiert, dann wird es eher Verwarnungen oder eine geringe Strafe geben.

Konsumenten werden derzeit mit Zustimmungserklärungen überhäuft. Oftmals geht es um Kundenkarten, die Vorteile beim Einkauf versprechen. Manche Ketten stellen in ihre Läden eigene Datenschutzberater für die Kunden und drängen diese in neue Kartensysteme. Mehr oder weniger offen wurde mit Verlusten von erworbenen Vorteilen gedroht. Christian Pauer: Das ist nicht rechtens, ich darf niemanden in etwas zwingen. Es braucht eine informierte und freiwillige Einwilligung.

Max Schrems: In Deutschland gibt es etwa zu Meilengutschriften Urteile. Ich kann als Unternehmer ja nicht einfach sagen, der Geldwertanspruch verfällt. Die Punkte sind ja etwas wert. Neben der datenschutzrechtlichen Dimension ist das auch verbraucherrechtlich interessant. All das wird eine Durchsetzungsfrage. Derzeit probieren halt viele etwas reinzuschreiben und sagen den Kunden, ihr müsst oder das geht nicht. Das ist die spannende Frage in Österreich, ob wir eine Verbandsklage bekommen.

Zur Erklärung, bei der in Österreich umstrittenen Verbandsklage geht es im Wesentlichen um das Recht von Konsumentenschützern, selbstständig gegen Konzerne vorzugehen.



Max Schrems:Dann könnten wir auch aus Österreich rausklagen. Wenn wir alle hier meinen, diese Kundenkarten-Sache ist nicht okay, dann muss aber irgendjemand zu Gericht gehen und das stoppen.

Claudia Bohl: Das Thema haben wir täglich in unserer Beratung. Gerade bei der Kundenkarte, die sie ansprechen, geht es um die Frage, wie ist der Vertrag mit der Kundenkarte überhaupt ausgestaltet gewesen. Welchen Anspruch habe ich aus dem Vertrag heraus, dass mir die Punkte verfallen. Da kann man dann vielleicht ansetzen und sagen, wir als Arbeiterkammer schauen uns das an, vielleicht bekommen wir beim Obersten Gerichtshof ein Urteil aus dem zivilrechtlichen Anspruch heraus. Aber einzelne Kunden treiben das nicht weiter. Die sagen, ja gut, dann lasse ich es halt. Und dann wird es nicht abgemahnt.

Sie alle sagen, die Datenschutzgrundverordnung sei schlecht. Aber hat sie nicht dazu geführt, dass ein neues Bewusstsein entsteht? Christian Pauer: Wir merken, dass die Menschen in puncto Datenschutz etwas bewusster sind.

Max Schrems: Nach hunderten Vorträgen bin ich nicht der Meinung, dass wir die Menschen erziehen können. Das ist vollkommen naiv. Wir können ein Grundverständnis generieren, für mehr ist das Thema zu komplex. Man muss das über kollektivierte Durchsetzung regeln, dann ändert sich inhaltlich etwas.

Christian Pauer: Das Gesetz lässt so vieles für Verbraucher und Unternehmer offen und zwingt sie zu bezahlen, wenn jemand etwas ausjudiziert haben will. Weil das teuer ist, hält dies Unternehmer wie Verbraucher davon ab.

Claudia Bohl: Im Moment haben die Konsumenten ein Bewusstsein für Datenschutz. Aber wenn das Thema in der Öffentlichkeit wieder weniger transportiert wird, dann sind auch die Datenschutzgedanken wieder weg. Wir predigen seit Jahren, dass es bei Kundenkarten nicht um den Vorteil für Kunden geht, sondern darum, dass sich Unternehmen so viele Daten wie möglich verschaffen und damit forschen wollen. Die Kunden müssen sich bewusst sein, dass sie ihre Daten für sehr kleine Vorteile hergeben. Bei vielen Kundenkarten haben sie überhaupt keinen Vorteil. Man muss den Ball an die Konsumenten spielen. Gebt die Daten so wenig wie möglich her!

Verena Stolz: Die Sensibilisierung ist auf Verbraucher- wie auf Unternehmerseite da. Das ist ein Schritt. Wenn Unternehmen gefordert sind, mit dem Verarbeitungsverzeichnis etwas zu machen, müssen sie überlegen, welche Datenverarbeitung sie überhaupt machen. Unternehmer dürfen also nicht voll und ganz ihren Computerexperten vertrauen, sondern sie sind für die Daten verantwortlich.

Wir streifen das Thema, dass auch Arbeitnehmer künftig auf den Datenschutz schauen müssen und dafür zu schulen sind, ehe das Quartett einen Ausblick über den 25. Mai hinaus wagt.



Claudia Bohl: Ich hoffe, die Unternehmen nützen die Chance, den Datenschutz zu verbessern und Kunden gegenüber transparent zu sein, und dass Kunden ihr Bewusstsein schärfen, mit den Daten sorgsam umzugehen und sie nicht jedem zu geben.

Christian Pauer: Wer den Datenschutz schon bisher ernst genommen hat, für den wird sich nicht viel ändern. Der Großteil der Unternehmen, die ich berate, ist bemüht.

Verena Stolz (laut lachend): Und die anderen kommen zu mir in die Beratung. Die fangen bei Null an. Da bin ich fast neidisch auf Sie Herr Pauer.

Max Schrems: Wir brauchen wahrscheinlich eine DSGVO II, die viele von den Lücken und Unklarheiten ausmerzt. Das wird aus Gründen der Rechtssicherheit nötig. Spannend wird die Durchsetzbarkeit werden. Ob hier ein Kulturwandel stattfindet?



