EuGH weist heimische Behörde zurecht

January 9, 2025 journo

Die europäische Datenschutzgrundverordnung (DSGVO), die 2018 schlagend wurde, hat den Umgang mit Datenschutz in der EU komplett verändert: Was mit den eigenen Daten passiert, muss praktisch immer nachvollziehbar sein – und Unternehmen, die Daten verarbeiten, müssen entsprechend Auskunft erteilen. Für die Durchsetzung dieser Regeln ist die jeweilige Datenschutzbehörde des Landes zuständig.

Firmen haben in der Regel einen Monat Zeit, um entsprechende Anfragen zu beantworten. Tun sie das nicht, kann man sich bei der DSB beschweren. 77 derartige Beschwerden reichte ein Österreicher bei der DSB über einen Zeitraum von 20 Monaten ein – das mag erst viel klingen, in der Praxis kommt man aber andauernd mit der DSGVO in Kontakt, etwa jedes Mal, wenn man sich auf einer Website anmeldet – immer dann, wenn ein Unternehmen persönliche Daten speichert.

Zahl der Beschwerden allein kein Ablehnungsgrund

Die DSB wies diese Beschwerden als „exzessiv“ zurück – der Fall ging bis zum EuGH. Das Urteil vom Donnerstag gab nun dem Beschwerdeführer recht. Denn obwohl die DSGVO vorsieht, dass exzessive Anfragen abgelehnt oder nur gegen eine Gebühr durchgeführt werden können, muss auch eine „Missbrauchsabsicht“ vorliegen, heißt es in dem Urteil. Wenn man mit den Beschwerden also eine Behörde lahmlegen will, könne die DSB diese ablehnen. Der Schutz der Rechte gemäß DSGVO gelte nicht als Ablehnungsgrund.

Die Datenschutz-NGO noyb sieht eine „Ohrfeige“ für die DSB: Die Behörde stelle schon seit Jahren mit „Tricks“ Verfahren gegen Unternehmen möglichst ein, heißt es in einer Aussendung. Dass die DSB nur zwei Beschwerden pro Monat als zulässig ansieht, habe der EuGH nun gestoppt. „Grundrechte hat man immer – nicht nur zweimal pro Monat. Wenn die DSB Rechtsverstöße konsequent ahnden würde, gäbe es auch weniger Beschwerden“, so noyb-Gründer Schrems.

NGO-Kritik an fehlenden Konsequenzen für Verstöße

Er kritisierte, dass es keine Konsequenzen für DSGVO-Verstöße gebe: „Unternehmen haben gelernt, dass es keine Konsequenzen gibt. Mit diversen prozessualen Tricks wird ein großer Teil der Beschwerden abgedreht – und Unternehmen brechen fröhlich weiter die Gesetze.“

Die NGO verweist auf Zahlen aus dem aktuellsten Datenschutzbericht der DSB für das Jahr 2023: Bei über 4.000 Verfahren wurden insgesamt nur 55 Geldstrafen verhängt. Noyb verweist darauf, dass im selben Jahr allein 7.000 Strafen für falsch abgestellte E-Scooter in Wien verhängt wurden. „Jeder Falschparker hat in Österreich mehr zu befürchten als Konzerne, die millionenfach persönliche Daten missbrauchen. In mehr als 98 Prozent aller Fälle vor der DSB gibt es keine Strafen. Unternehmen, die sich an die Gesetze halten, stehen somit blöd da“, so Schrems.

Die NGO sieht „strukturelle“ Probleme bei der DSB, die sie daran hindern würden, „das Recht effizient durchzusetzen“, und verweist auch auf Verfahren, die oft länger dauern würden als vorgesehen. In einer NGO-eigenen Statistik zählt man über 200 Fälle, die schon mehr als ein halbes Jahr auf eine Entscheidung warten. 60 Personen arbeiten bei der heimischen DSB, damit ist man im EU-Vergleich relativ weit vorn, gleichzeitig gibt es schon seit Jahren den Ruf nach einem höheren Budget.

Schrems verweist auf entgangene Einnahmen

Schrems ortet große Einnahmen, die dem Staat entgehen würden, denn die DSGVO sieht für große Konzerne auch besonders hohe Strafen vor, durchaus in Milliardenhöhe. „Würde die DSB endlich aus ihrem Dornröschenschlaf aufwachen und dafür ein ordentliches Budget bekommen, könnte sich das schnell auszahlen. Eine DSGVO-Strafe gegen Google ist zum Beispiel mehr als unser Anteil am Brenner-Basistunnel – nur um sich die Dimension vorzustellen“, so Schrems.

Gegenüber ORF.at hieß es von der DSB, dass der EuGH zu „wichtigen, bis dato noch nicht geklärten Fragen Stellung genommen“ habe. Die DSB sei an die Auslegung des EuGH „gebunden und wird sie in künftigen Fällen berücksichtigen“, hieß es in einem Statement.