FONDS professionell Österreich, Ausgabe 2/2018

D ie mit Stichtag 25. Mai 2018 einge- führte EU-Datenschutz-Grundverord- nung (DSGVO) sorgte in den vergan- gen Monaten für regelrechte Panik bei heimi- schen Unternehmen. Besonders jene, die mit heiklen personenbezogenen Daten arbeiten – zu ihnen zählen auch Vermögensberater und Versicherungsmakler –, sind durch die Vor- gaben der DSGVO besonders gefordert. Im Vorfeld sorgten vor allem die neuerdings möglichen, teilweise drakonischen Geldstra- fen im Fall von Verstößen bei den Betroffenen für Existenzängste. Erst im letzten Augenblick zog der Nationalrat Ende April die Notbremse und entschärfte die DSGVO mit dem „Daten- schutz-Deregulierungs-Gesetz 2018“ (siehe Kasten). Das Datenschutz-Deregulierungs- Gesetz legt nun ausdrücklich fest, dass die Behörde bei der Verhängung von Strafen nach der europäischen Datenschutz-Grundverord- nung (DSGVO) die Verhältnismäßigkeit zu wahren hat. Insbesondere wird für erstmalige Verstöße das Prinzip „Verwarnen statt strafen“ eingeführt, demnach ist erst bei mehrmaligen Verstößen mit einer Strafe der Datenschutz- behörde zu rechnen. Das klingt schon einmal nicht schlecht, allerdings warnt Matthias Aichinger, Leiter Rechtsabteilung der Hello Bank: „Die neue gesetzliche Vorgabe an die Datenschutzbehörde folgt dem Prinzip ,Bera- ten statt strafen‘, was jedoch nicht bedeutet, dass es keine Strafen mehr geben wird.“ Sofortstrafen möglich So weist der Rechtsexperte darauf hin, dass in der entsprechenden Passage des Gesetzes- textes steht, dass die Datenschutzbehörde beim ersten Verstoß von den Abhilfebefugnis- se (bloß) insbesondere (also nicht nur) durch Verwarnen Gebrauch zu machen hat. Geld- strafen sind demnach weiterhin möglich. Das bedeutet laut Aichinger, dass die Datenschutz- behörde weiterhin Geldbußen oder auch meh- rere sinnvoll kombinierte Abhilfemaßnahmen (siehe Kasten) parallel verhängen kann, wenn aufgrund der Schwere der Datenschutzver- stöße ein bloßes Verwarnen unverhältnis- mäßig wäre. Unternehmen, die sich redlich Mühe gegeben haben, die DSGVO umzu- setzen, dürfen im Fall eines Fehlers mit einer bloßen Verwarnung rechnen. Wer die DSGVO hingegen aufgrund einer erhofften Straffreiheit allzu locker auslegt oder ganz ignoriert, kann auch weiterhin eine saftige Strafe ausfassen. Dementsprechend vorsichtig äußert sich auch Andreas Dolezal, der als Unternehmens- berater einige Wertpapierfirmen bei der Um- setzung der DSGVO begleitet: „Die Unter- nehmen haben jetzt quasi einen Freischaden. Es nimmt uns in den laufenden Projekten ein wenig den Druck. Allerdings kann ich nur da- vor warnen, die DSGVO nun auf die leichte Schulter zu nehmen. Angesichts des Daten- schutz-Deregulierungs-Gesetzes nun die Hän- de in den Schoß zu legen wäre die falsche Strategie. Sollte die Behörde in Zukunft eine Prüfung durchführen und zum Schluss gelan- gen, dass sich das Unternehmen bisher gar nicht um die Einhaltung der DSGVO geküm- Das neue Datenschutz-Deregulierungs-Gesetz hat die DSGVO in einigen wesentlichen Punkten entschärft, Unternehmen müssen dennoch vorsichtig sein. Verwarnen statt strafen Das Datenschutz-Deregulierungs-Gesetz 2018 bringt Erleichterungen für Unternehmen. Die Behörde kann bei Erstfällen auch nur verwarnen, bei Verstößen, die vor dem 25. Mai datieren, ist die günstigere Rechtslage anzuwenden. Wesentliche Punkte, die durch das Datenschutz-Deregulierungs-Gesetz 2018 entschärft wurden Folgende Punkte wurden mit dem Datenschutz- Deregulierungs-Gesetz 2018 geändert: • Es wird nun klargestellt, dass nur Daten natürlicher Personen vom Datenschutz umfasst sind. Die strengen Datenschutzregeln sind daher auf Daten juristischer Per- sonen nicht anzuwenden (§ 4 Abs. 1). Achtung: Auf- grund der gescheiterten Zweidrittelmehrheit ist die Klar- stellung im Nationalrat nur einfachgesetzlich erfolgt. • Die bisherige Regelung erlaubt in Ausnahmefällen eine Doppelbestrafung von juristischer und natürlicher Per- son. Diese Möglichkeit wurde gestrichen: Wenn das Unternehmen (selbst) gestraft wird, darf es keine par- allele Bestrafung des Vorstands/GF geben (§ 30 Abs. 3). • Die Verknüpfung zwischen Arbeits- und Datenschutz- recht (§ 11) wurde gänzlich gestrichen. • Einem Auskunftsersuchen muss nicht Folge geleistet werden, wenn dadurch Betriebs- und Geschäftsgeheim- nisse gefährdet wären (§ 4 Abs. 6). • Die bisher vorgesehene Möglichkeit von Verbänden (z.B. VKI) – neben Datenschutzverletzungen –, auch auf Schadenersatz klagen zu können, stellt Goldplating dar und wurde wieder gestrichen (§ 28). • Es wird klargestellt, dass die Datenschutzbehörde bei der Verhängung der Strafen auf die Verhältnismäßigkeit achten muss (§ 11). • Ebenfalls wird klargestellt, dass die Datenschutzbehör- de – insbesondere bei erstmaligen Verstößen – zuerst verwarnt (§ 11). • Ein Tatbestand, der vor dem Inkrafttreten des DSG 2018 verwirklicht wurde, ist nun nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist (§ 69 Abs. 5). Quelle: Industriellenvereinigung Foto: © emmepiphoto | stock.adobe.com 220 www.fondsprofessionell.at | 2/2018 steuer & recht I dsgvo