Österreich werde im heutigen EU-Ministerrat „wirksame und effektive Sanktionen“ bei Datenschutzverstößen verlangen, heißt es unisono aus Bundeskanzleramt und Justizministerium.
„Die österreichische Bundesregierung unterstützt das von der Kommission vorgeschlagene Regime, dessen Wirksamkeit nicht geschmälert werden darf“, sagte ein Sprecher von Bundeskanzler Werner Faymann auf Anfrage an ORF.at. Man trete daher für „wirksame und effektive Sanktionen“ bei Verstößen gegen die Datenschutzgesetze ein.
Neben der Novellierung der Datenschutzrichtlinie von 1995 ist eine weitere Begleitrichtlinie im Werden, die den Strafrahmen für Datenschutzdelikte vorgibt. Beide Richtlinienentwürfe wurden von der EU-Kommission gestartet.
Beim informellen Treffen der Innen- und Justizminister, das heute in Dublin begonnen hat, werden die Delegationen der EU-Mitgliedsstaaten darüber diskutieren. Den Vorsitz hat die irische Regierung inne, die seit Anfang Jänner turnusmäßig die Ratspräsidentschaft übernommen hat.

Verstöße, Sanktionen, Rügen

Ein erstes „Diskussionspapier“ dieser Ratspräsidentschaft, das am Montag – wie berichtet – an die Öffentlichkeit gelangt war, hatte für beträchtliche Aufregung gesorgt. Sein Tenor: Bei Verstößen gegen das Datenschutzgesetz sollten Geldstrafen optional sein, nach Ermessen der jeweiligen, nationalen Datenschutzbehörde sollten vielmehr „Ermahnungen“ oder „Rügen“ ausgesprochen werden.
Über Einzelheiten wie die genaue Staffelung der Strafen oder die technische Umsetzung etwa des „Rechts auf Vergessen“ könne natürlich verhandelt werden, heißt es aus dem Bundeskanzleramt dazu. Die Hauptstoßrichtung des Kommissionsvorschlags aber sei jedenfalls beizubehalten.

Im Positionspapier für den Ministerrat schlägt die Ratspräsidentschaft „den Ministern vor, über die Angemessenheit des Strafrahmens“ bei Verstößen gegen den Datenschutz zu diskutieren. Und zwar, „ob Warnungen oder Verweise stärker zur Anwendungen kommen und Strafen dabei optional gemacht werden sollten“, und, ob es „Aufsichtsbehörden erlaubt sein soll, andere, mildernde Umstände bei der Festlegung der Sanktionen ins Kalkül zu ziehen“.

Die Position Österreichs

Bei aller betonten Verhandlungsbereitschaft bezieht die österreichische Bundesregierung damit eine klare Position gegen die irischen Vorschläge. Aus dem ebenfalls damit befassten Justizministerium hieß es am Mittwochnachmittag dazu unisono auf Anfrage von ORF.at: „Die Frau Bundesministerin wird sich auf der Ratssitzung in Dublin für ein effektives ?anktionssystem in dieser Angelegenheit aussprechen. Die Rechtsdurchsetzung beim Datenschutz muss gestärkt werden“.
Zusammen ist das eine direkte Absage an das in Suggestivfragen gehüllte Vorhaben der irischen Regierung, den in Irland offenbar gebräuchlichen Umgang mit dem Datenschutz möglichst unverändert zu prolongieren.

Prioritäten, tief gehängt

Die dortige Datenschutzbehörde verfügt über unzureichende Mittel, zu wenig Personal und hat in der Praxis überhaupt keine relevanten Sanktionsmöglichkeiten. Wie tief die Prioritäten in Sachen Datenschutz in Irland gehängt sind, zeigt eine ganze Reihe von einschlägigen Fällen, die seit 2010 aufgeflogen ist.
In mehreren, gerichtsnotorischen Fällen hatten Beamte der „Garda“ genannten irischen Polizei in den „Vorratsdaten“ und anderen Polizeidatenbanken Personen aus ihrem persönlichen Nahfeld ausspioniert. Die irische Datenschutzbehörde verlautbarte hierauf bei jedem Fall, dass leider den bereits 2007 ausgesprochenen Empfehlungen der Datenschützer nicht entsprochen worden war.

Ignorierte Empfehlungen

Empfohlen worden war eine Implementierung von Login-Statistiken von polizeilichen Datenbanken und deren laufende Überprüfung auf Missbrauch. Passiert war das offensichtlich deshalb nicht, weil derlei Empfehlungen angesichts fehlender Sanktionen gefahrlos ignoriert werden können.
In Österreich werden sämtliche Abfragen in den Datenbanken des Innenministeriums seit mehr als zehn Jahren protokolliert und auf möglichen Missbrauch stichprobenartig überprüft.

Verurteilung in Österreich

Was Europäern blühen kann, wenn sie unter Berufung auf die Rechtslage von ihrem Auskunftsrecht Gebrauch machen, das erlebt die Gruppe „Europe vs. Facebook“ gerade. Das vor der irischen Datenschutzbehörde angestrengte Auskunftsverfahren gegen Facebook – Unternehmenssitz ist Irland – nimmt nachgerade kafkaeske Züge an. Erst wurde sie monatelang hingehalten und schließlich vom Verfahren, das sie selbst angestrengt hatten, de facto ausgeschlossen. Passend zum Start des Ministerrats hielt der österreichische Abgeordnete Josef Weidenholzer zusammen mit Max Schrems von Europe vs. Facebook eine Pressekonferenz zu diesem Thema in Dublin ab.

Davor waren nach und nach immer mehr Fälle missbräuchliche Verwendungen des Polizeisystems EKIS im Wiener Innenministerium ans Licht gekommen, bis sie in einem Skandal kumuliert waren. In Konsequenz daraus wurden Regeln für die Abfragen eingeführt, die mit internen Sanktionen gekoppelt sind.
Die Folge war, dass zumindest diese Form der illegalen Zugriffe stark zurückgegangenen sein muss, denn es werden nur noch vereinzelt einschlägige Fälle bekannt.
2010 wurde ein steirischer FPÖ-Gemeinderat und Polizist wegen Missbrauchs dieses „Erkenntnisdienstlichen Informationssystems“ verurteilt. Man hatte ihn bei einer Stichprobe erwischt.

Irgendwo bei Tullamore

Ein derartiges Regelwerk, das quer durch Europa für Polizeibehörden mittlerweile Standard ist, wurde in Irland bis heute offenbar nicht umgesetzt. Wie es um die Prioritäten beim Datenschutz in Irland steht, zeigt allein schon der Standort.
Datenschutzkommissar Billy Hawkes und seine Behörde wurden buchstäblich in der Mitte von Nirgendwo angesiedelt, nämlich am Rande des zentralirischen Städtchens Portarlington. In einem einstöckige Gebäude namens the „Canal House“, das aussieht wie das Gemeindeamt eines burgenländischen Straßendorfs, residiert jene Behörde, die überprüfen soll, ob Facebook, Google und Co die europäischen Datenschutzgesetze einhalten.

Irlandkarte mit Marker bei Potarlington
US-Großkonzerne haben komplexe Fluchtrouten ausgetüftelt, über die sie – ganz legal – ihre Gewinne vor den Steuerbehörden in Sicherheit bringen. Googles Erlöse nehmen den Umweg über Irland und Amsterdam, um schließlich auf den Bermudas zu landen. Insider nennen das „Double Irish“ bzw. „Dutch Sandwich“.

Legale Waschgänge, Strafgelder

In Irland haben so gut wie alle relevanten IT- und Internetfirmen aus den USA ihre Europazentralen etabliert. Und hier versteuern sie auch ihre Gewinne aus dem gesamten europäischen Geschäft, beziehungsweise was von den Gewinnen übrig ist, nachdem die Gelder mehrere, ganz legale „Waschgänge“ meist über Holland und Steuerparadiese in der Karibik durchlaufen haben, wenn sie nicht überhaupt dort erst endbesteuert werden.
Das eingangs zitierte „Regime“ ist der von der Kommission vorgeschlagene Strafen-Katalog, der bei schweren oder gar systematischen Verstößen Strafgelder zwischen einem halben bis zwei Prozent des gesamten Jahresumsatzes der Firma vorsieht. Für Unternehmen in den Dimensionen von Google oder Apple kämen in einem solchen Fall schnell ein paar hundert Millionen Euro zusammen, das sind Summen, die auch die Internetgiganten nicht einfach wegstecken können.

Standortpolitik, Suggestivfragen

Für alle am Ministerrat Beteiligten ist natürlich klar, dass Irland hier reine Standortpolitik betreibt. Auf dieser politischen Ebene sagt man das natürlich nicht so plump heraus, schon gar nicht beim Start von Verhandlungen zum Thema.
Zum Vorschlag der Iren, der wie alle anderen als Suggestivfrage verkleidet ist, das erwähnte „Recht auf Vergessen-Werden“ im Kommissionsentwurf doch nicht so eng zu sehen, äußerte man sich von österreichischer Seite dann auch entsprechend diplomatisch.

Mangels echter Sanktionsmöglichkeiten kann die irische Datenschutzbehörde höchstens ihrer „Enttäuschung“ darüber Ausdruck verleihen, dass ihre vergangenen Empfehlungen nicht umgesetzt wurden.

Vergessen werden

Die Bundesregierung unterstütze „die Weiterentwicklung des Rechts, vergessen zu werden im Vorschlag der Kommission“, hieß es dazu aus dem Bundeskanzleramt. Wie eng der Rahmen in diesem Fall gezogen werde, sei Sache der Verhandlungen.
Damit werden die Datenschutzbehörden in die Pflicht genommen, dieses Recht für davon Betroffene auch durchzusetzen. Wenn eine zum Privatperson gegen ihren Willen z.B. auf einem Foto abgebildet und vielleicht sogar „getagged“, also namentlich identifiziert ist, soll das Recht auf Löschung etwa bei Facebook auch durchgesetzt werden können.

Wie es weitergeht

Nachdem der Ministerrat den Entwurf abgehandelt hat, kommt er mit entsprechenden Modifikationen in die Ausschüsse des EU-Parlaments und wird danach im Plenum abgestimmt. Es wird also noch ein paar Monate dauern, bis die beiden Richtlinien auf EU-Ebene finalisiert sind. Sodann müssen sie in den Mitgliedsstaaten umgesetzt werden, wobei die Fristen in der Regel zwischen zwölf und 18 Monaten betragen.
Was den irischen Katalog der Suggestivfragen angeht, so ist diese Vorgangsweise im Ministerrat durchaus gängige Praxis. Auch im Fall, dass die Vorschläge rundweg abgeschmettert werden, gibt es keine Gewinner oder Verlierer. Es wurde ja gar nichts vorgeschlagen. Es wurde nur gefragt.
Hier geht’s zum Artikel auf fm4.orf.at

Haftungsausschluss