Mit der Datenschutz-Grundverordnung (DSGVO) wurden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. Medienanwalt Paul Pichler und Mario Painsi, Datenschutz-Beauftragter des international tätigen Medienunternehmens „Russmedia“, setzten sich im Interview mit SUMO mit den Herausforderungen dieser Verordnung auseinander.
Seit 1995 galt auf Ebene der EU und des Europäischen Wirtschaftsraums ein gemeinsames Datenschutz-Niveau, jedoch wurde diese EU-Datenschutz-Richtlinie in den einzelnen Mitgliedsstaaten sehr unterschiedlich ausgelegt. Zur Modernisierung und Anpassung der Digitalisierung wurde von der EU-Kommission eine EU-Datenschutzreform vorgestellt. Die DSGVO ist am 25. Mai 2016 in Kraft getreten und seit 25. Mai 2018 anzuwenden.
Was sich seither verändert hat
Rechtsanwalt und Experte für Medienrecht Paul Pichler sieht die Rechtsvereinheitlichung noch nicht vollständig durchgeführt: „Im Wesentlichen gilt in allen EU-Staaten nun das Gleiche. In der Praxis wird es allerdings eine Weile dauern, bis die Interpretation der DSGVO vereinheitlicht ist, weil sehr viele Bestimmungen sehr unbestimmt gefasst sind und daher man darüber streiten kann, was das im Anwendungsfall aktuell bedeutet.“ Für Unternehmen gab es seit dem 25. Mai 2018 enorme interne sowie externe Veränderungen. Dies bestätigt auch Mario Painsi, der die Herausforderungen mit „Russmedia“ über die Landesgrenzen bis heute miterlebt: „Durch die neuen Verpflichtungen, wie die Dokumentationspflicht oder Auftragsdatenverarbeitungsverträge, haben wir viel Verwaltungs- und Organisationsaufwand, aber auch Schulungsaufwand, der bis heute betrieben wird. Wir konnten uns keinen kompetenten, externen Partner sichern, der uns mit Rat und Tat zur Seite stand und mit uns gemeinsam das Konstrukt DSGVO entwirrte.“
Öffnungsklauseln
Die Datenschutz-Grundverordnung sieht für bestimmte Bereiche sogenannte Öffnungsklauseln vor, welche durch nationale Gesetze die Bestimmungen der Verordnung spezifiziert werden können. „Die Öffnungsklauseln sind das Ergebnis eines politischen Kompromisses. Bei Uneinigkeiten hat man die Öffnungsklauseln geschaffen, damit die verschiedenen Staaten sich das eigen regeln können. Natürlich wäre eine EU-weite Regelung direkt in der Verordnung besser gewesen, aber bevor man eine schlechte Lösung unionsweit hat, überlässt man diese den einzelnen Staaten“, erklärt Medienanwalt Pichler. Diese Diskrepanzen bewirken auch und gerade für Medienbetriebe teils erhebliche Schwierigkeiten. „Russmedia“ etwa mit seinen 14 Niederlassungen in sechs Ländern mit unterschiedlichen Öffnungsklauseln steht vor einer Hürde. Datenbeauftragter Mario Painsi möchte die Verwaltung für das gesamte Unternehmen so einfach als möglich gestalten. Daher werde versucht, gruppenweit die gleichen Regeln zu definieren, ohne Ausnahmen der Öffnungsklauseln.
Besonderheiten bei Medienunternehmen
Eine der Öffnungsklauseln betrifft den Journalismus. Österreich hat diese genützt: Ansprüche und Sanktionen gegen Medieninhaber betreffend deren Veröffentlichungen unterliegen in Österreich weiterhin dem Mediengesetz und nicht der DSGVO. Paul Pichler meint, es wäre in Anbetracht der drakonischen Strafdrohungen besser für die Pressefreiheit gewesen, man hätte den Journalismus europaweit verbindlich und vollständig von der DSGVO ausgenommen. Da man sich in diesem Punkt nicht einigen konnte, entscheiden nun die einzelnen Mitgliedstaaten, wie sie das Spannungsverhältnis zwischen Pressefreiheit und Datenschutz lösen.
Demokratie lebt von objektiver und unabhängiger, auch investigativer Berichterstattung. Ist nun investigativer Journalismus durch die EU-Verordnung bedroht? „Definitiv!“, meint Painsi. „Jede Berichterstattung birgt das Risiko, dass sich eine Person auf den Schlips getreten fühlt und dann wegen Verletzung der Persönlichkeitsrechte Klage bei der Behörde einreicht“. Rechtsanwalt Pichler ist einer ähnlichen Meinung: Zwar gilt für redaktionelle Veröffentlichungen in Österreich das Journalismusprivileg – die Vertriebs- und Vermarktungsaktivitäten unterliegen aber der DSGVO und die Datenschutzbehörde hat auch gleich nach deren Inkrafttreten Verfahren gegen österreichische Medienunternehmen eingeleitet. Wenn zweistellige Millionenstrafen drohen und auch tatsächlich verhängt werden, wie jüngst über die Post AG (Anm.: in diesem Fall kein Medienunternehmen), habe das natürlich Einschüchterungswirkung. Nicht nur auf Medienunternehmen, sondern auch auf deren InformantInnen. Das könne dazu führen, dass die Motivation oder die Bereitschaft der Weitergabe an Informationen an Medienhäuser weniger stark ausgeprägt sei wie davor.
Ein Blick in die Zukunft
Die ePrivacy-Verordnung ist die Neufassung der bestehenden ePrivacy-Richtlinien, welche 2020 in Kraft treten soll. Mit der ePrivacy-Verordnung legt die Europäische Union ein Regelwerk vor, das sich speziell dem Bereich der Telekommunikation widmet. Anders ist das bei der Frage, ob Cookies, der „Treibstoff der Online-Werbung“, ohne Zustimmung des Nutzers bzw. der Nutzerin eingesetzt werden dürfen. Hier wurden die Regelungen der geltenden ePrivacy-Richtlinie völlig divergierend ausgelegt – in Deutschland sehr großzügig, in Österreich besonders streng. Aus österreichischer Sicht ist die ePrivacy-Verordnung daher Grund zur Hoffnung für die Online-Werbewirtschaft, dass es betreffend Cookies zu einer vernünftigeren Lösung kommt.
In der Praxis werden die Vorbereitungen auf die neue Verordnung monatelang zuvor getroffen. Mario Painsi schildert SUMO, welche Maßnahmen „Russmedia“ aktuell treffen: „Die Datenschutzerklärungen werden laufend überprüft und gegebenenfalls aktualisiert. Die Einwilligungen für die Cookies, aber auch sonstige Verarbeitungen werden jetzt schon abgefragt.“ Was aber effektiv auf den Medienkonzern zukomme, kann Painsi noch nicht genau sagen.
Fluch oder Segen?
Der große Verlierer aufgrund der DSGVO sei laut Medienanwalt Pichler die heimische Wirtschaft jeweils innert der EU. „Es hat sich auch gezeigt, dass diese neuen Rechtsquellen schnell zu Verfahren (auch) gegen österreichische Medienhäuser geführt haben, wegen Dingen, die für ‚Facebook’ oder Google völlig selbstverständlich sind“. Außerdem sei die Einführung der Verordnung für die mittelständige Wirtschaft durchaus mit hohen Kosten verbunden gewesen. „Von FriseurInnen von Burgenland bis nach Vorarlberg mussten sich wegen ihren E-Mail-Verteilern mit Verarbeitungsverzeichnissen rumschlagen. UnternehmerInnen mussten viel Geld in die Hand nehmen, um Dokumentationen zu erstellen, die gerade im Fall von kleinen und mittelständischen Unternehmen vermutlich nie jemanden interessieren werden. Da hätte die Treffsicherheit höher ausfallen sollen“, fügt Pichler hinzu. Laut Mario Painsi gebe es auf beiden Seiten Vor- als auch Nachteile. Als klaren Nachteil nenne er die Überflutung mit Zustimmungshinweisen auf KundInnen und im Gegenzug kämpfen die Unternehmen mit bürokratischem Mehraufwand.
Aber es gibt auch positive Aspekte der Datenschutzgrundverordnung. Auch Paul Pichler hält neue Regeln zum Schutz der persönlichen Daten im digitalen Zeitalter für wichtig. Er erklärt SUMO bildlich: „Wenn früher etwas meine Persönlichkeitsrechte oder Ehre verletzende Inhalte in der Tageszeitung gestanden haben, ist diese Information mit der Ausgabe in Vergessenheit geraten. Da ist der Schaden noch begrenzt. Wenn heute allerdings ein abträglicher Inhalt im Internet von Suchmaschinen indexiert wird, dann wird aus einer kleinen Bombe schnell eine Atombombe, weil jede/r, der/die den Namen googelt nun auf diese Informationen stößt – und zwar zeitlich unbegrenzt. Das Recht auf ‚Vergessenwerden’, das auch in der DSGVO geregelt wurde, ist daher wirklich etwas Wichtiges!“
Von Katrin Nussmüller