Der österreichische Gesetzgeber hat am 20.04.2018 relativ unbemerkt Änderungen des im Jahr 2017 beschlossenen Datenschutz-Anpassungsgesetzes (1) vorgenommen. Aufgrund einer darin enthaltenen Bestimmung, wonach Ersttäter im Falle eines Datenschutzverstoßes angeblich straffrei bleiben, drang dieses Datenschutz-Deregulierungs-Gesetz (2) 2018 rasch an die Öffentlichkeit. Auch an anderen Stellen wurden noch Änderungen eingebaut, die für Unternehmen durchaus eine Erleichterung mit sich bringen könnten.

Die DSGVO (3) sieht Strafen bis zu EUR 20 Mio. oder 4% des Gesamtjahresumsatzes vor. Das Deregulierungs-Gesetz möchte bereits in der Überschrift zu § 11 – "Verwarnung durch die Datenschutzbehörde" – signalisieren, dass die Verhängung von Strafen unter bestimmten Umständen nicht im Vordergrund stehen und die österreichische Datenschutzbehörde bei deren Anwendung die Verhältnismäßigkeit wahren soll. Das Prinzip der  Verhältnismäßigkeit ist nicht neu, die DSGVO sieht dieses ebenfalls vor, spricht aber gleichzeitig auch von einer "abschreckenden Wirkung" der Strafe. 

§ 11 führt weiter aus: "Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen." Anders gesagt: Bei Ersttätern soll anstatt der Geldstrafe die Maßnahme der Verwarnung gewählt werden.  Diese Bestimmung könnte als eine Empfehlung an die Datenschutzbehörde gedeutet werden sowie als Signal insbesondere an KMUs, welchen die Umsetzung der DSGVO sehr viel abverlangt. Die normative Änderungskraft dürfte aber beschränkt sein: Auch schon bisher hat die Datenschutzbehörde bei der Strafzumessung  den Umstand der Ersttat und der Schwere der Schuld berücksichtigt; nicht selten blieb es in solchen Fällen nur bei einer Verwarnung. 

Auch  ist schwer vorstellbar, dass es eine Behörde – trotz des § 11  – bei einem Ersttäter, welcher vorsätzlich einen schweren Verstoß gegen Datenschutzregelungen begangen hat, nur bei einer Verwarnung belassen würde.

Schließlich ist mehr als fraglich, ob die nationale Regelung des § 11 die Datenschutzbehörde bei ihrer durch die DSGVO garantierten Unabhängigkeit und somit Entscheidungsfreiheit tatsächlich einschränken kann.

Ist nun ein Datenschutzverstoß passiert, dann könnte das "Günstigkeitsprinzip" des § 69 Abs 5 zur Anwendung kommen: " Ein strafbarer Tatbestand, der vor dem Inkrafttreten dieses Bundesgesetzes verwirklicht wurde, ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist. Folgender Anwendungsfall wäre denkbar: Im Erstfall kommt die neue Regelung zur Anwendung (daher: nur Verwarnung); im Widerholungsfall dann Rückgriff auf das alte DSG (daher: Höchststrafe dort: EUR 25.000). Manches bleibt aber unklar: Wie werden Dauerdelikte behandelt, etwa permanente Nicht-Löschung von Daten? Muss die Tat zum Zeitpunkt des Inkrafttretens der neuen Regelung beendet sein? Und auch die Auslegung von "Gesamtauswirkung", wenn neben Strafen auch Maßnahmen aufgetragen werden können, die in Ihrer Reichweite sehr weit gehen können (z.B. Löschung der gesamten Marketing-Datenbank)?

§ 30 DSG(neu) fand sich bereits im Anpassungsgesetz aus 2017 und sieht vor, dass für Verstöße, die von (nicht leitenden) Mitarbeitern begangen werden, das Unternehmen nicht haftbar gemacht werden kann, jedoch nur unter der Bedingung der Implementierung eines wirksamen Compliance-Systems. Fehlt dieses oder ist es unwirksam, dann hat das Unternehmen auch für Verfehlungen sonstiger Mitarbeiter einzustehen. Der in diesem Zusammenhang neu gefasste Abs 3 schränkt die Strafbarkeit noch weiter ein. Demnach hat die Datenschutzbehörde von einer Bestrafung abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird. Für diese "Nachrangpflicht" lässt sich keine Grundlage in der DSGVO finden; auch hier ist fraglich, ob eine nationale Regelung die Datenschutzbehörde in der Form einschränken darf.

Fazit: Die offensichtliche Intention des nationalen Gesetzgebers, die Auswirkungen der DSGVO für österreichische Unternehmen abzufedern, stößt juristisch dort an die Grenzen, wo die DSGVO wenig oder keinen Interpretationsspielraum für solch eine Abschwächung zulässt.