Frau Jelinek, die Datenschutzbehörde, der Sie vorstehen, hat ein Prüfverfahren gegen die Post eingeleitet, nachdem bekannt worden war, dass die Post Daten zur Parteiaffinität mancher Kunden verkauft. Was wollen Sie von der Post jetzt eigentlich genau wissen?
ANDREA JELINEK: Die Fragen haben wir der Post gestellt. Es ist ein amtswegiges Prüfverfahren und was herauskommt, sehen wir am Ende des Verfahrens. Die Post hat nach Zustellung zwei Wochen Zeit, darauf zu reagieren.
Das Unternehmen verspricht, alle Daten zur Parteiaffinität zu löschen. Beeinflusst die Maßnahme das Verfahren?
Wie bereits gesagt: Wir führen das Verfahren mit der Post.
Die Post beruft sich auf die Gewerbeordnung und beharrt darauf, dass alles rechtens war.
Es gibt die Gewerbeordnung, die lässt einiges zu. Und es gibt den Datenschutz, der lässt einiges nicht zu. Dieses Spannungsverhältnis muss man sich ansehen.
Gehört die politische Präferenz nicht grundsätzlich zu den besonders sensiblen, besonders schützenswerten Daten?
Ja. Das kann man in Artikel 9 der Datenschutzgrundverordnung nachlesen.
Bis wann rechnen Sie in dieser Causa mit juristischen Erkenntnisgewinnen für Ihre Behörde und die Öffentlichkeit?
Das wird von den Antworten der Post abhängen. Aber wir hoffen natürlich, das Verfahren so rasch wie möglich abschließen zu können.
Grundsätzlicher gefragt: Seit 25. Mai ist die Datenschutzgrundverordnung (DSGVO) in Geltung. Wie viele Beschwerden hat die Datenschutzbehörde bis jetzt registriert?
Seit dem 25. Mai sind bei uns 1013 inländische Beschwerden eingelangt. Dazu kommen noch um die 400 ausländische Beschwerden – das sind internationale Anliegen, die eine grenzüberschreitende Zusammenarbeit der jeweiligen nationalen Datenschutzbehörden bedingen. Und dann gibt es noch Beschwerden, die aus dem Ausland kommen und wo Österreich die federführend verantwortliche Behörde ist. Insgesamt haben wir also knapp 1600 Beschwerden zu bearbeiten.
Sehen Sie sich personell dazu in der Lage, diese Menge zügig abzuarbeiten?
Wir arbeiten zielgerichtet ab. Aber die Personaldecke ist – wenngleich wir Personal bekommen haben – dünn. Um nicht zu sagen, sehr dünn. Im Vergleich zum letzten Jahr haben wir dreimal so viele Beschwerden zu bearbeiten. 2017 hatten wir insgesamt 531 Beschwerden.
Gibt es bei diesen nunmehr 1600 Fällen Beschwerdegründe, die besonders häufig auftreten?
Nein. Die Beschwerden sind in der Anzahl mehr, die Themen sind aber vielseitig geblieben. Es gibt Beschwerden gegen Unternehmen, es gibt Beschwerden gegen die öffentliche Hand, gegen den Nachbarn. Es gibt viele Beschwerden wegen Videoüberwachungen, es gibt Beschwerden gegen Datenlöschungen, gegen Geheimnisbruch. Das hatten wir alles auch vor der DSGVO. Was sich geändert hat, ist einerseits die Awareness, also die gesteigerte Aufmerksamkeit rund um das Thema Datenschutz, und andererseits kamen die grenzüberschreitenden Fälle dazu.
Rechnen Sie damit, dass die Beschwerdedynamik auf diesem Niveau bleibt?
Hätte ich eine Kristallkugel, könnte ich Ihnen das sagen. Nach einem Monat haben noch viele gesagt, das wird abflauen. Diesen Eindruck hab ich derzeit nicht. Wenn ich zum Beispiel an unsere funktionale Mailbox denke: 2017 hatten wir 13.195 diesbezügliche Mails. Im Jahr 2018 hatten wir 22.653 Mails, viele davon mit konkreten Rechtsanfragen.
Deloitte veröffentlichte jüngst eine Umfrage, wonach erst ein Viertel der österreichischen Unternehmen die Anforderungen der EU-Verordnung voll umsetzt. Trifft sich diese Einschätzung mit Ihrem Gefühl?
Ich weiß nicht, nach welchen Parametern Deloitte abgefragt hat, aber die werden ihr Handwerk schon können. Meine Wahrnehmung ist, dass viele Unternehmen am 25. Mai bereit waren. Es gibt heute grundsätzlich ein großes Bemühen, datenschutzkonform vorzugehen. Das sehen wir auch in den Verfahren, die wir abwickeln.
Sehen Sie ganz konkreten Aufholbedarf bei den Unternehmen?
Es ist schwierig, das pauschal zu beantworten. Auch, weil wir ja nicht erfahren, wenn Unternehmen oder die öffentliche Hand zum Beispiel einem Auskunfts- oder Löschungsbegehren nachgekommen sind.
Viele sagen, dass Facebook, Google & Co. eigentlich die großen Gewinner der DSGVO sind, weil sie sich aufgrund ihrer großen Rechtsabteilungen schnell auf das Erforderte einstellen konnten – während kleine und mittlere Unternehmen (KMU) mit den neuen Regeln überwiegend kämpfen. Stimmt das?
Die österreichischen KMU sind meiner Meinung nach sehr gut vertreten und beraten durch die Wirtschaftskammer. Zu den großen Unternehmen: Gerade gegen große werden zurzeit für die Zukunft sicher richtungsweisende Verfahren geführt. Federführende Datenschutzbehörde ist dabei aber nicht die österreichische, weil diese Unternehmen ihre Hauptniederlassung nicht in Österreich haben. Jedenfalls aber ist es eine Mär, dass es für österreichische oder europäische Unternehmen ein Nachteil ist, die DSGVO zu haben. Und gerade Facebook, weil Sie das Unternehmen genannt haben, hat im letzten Jahr aufgrund vieler Datenskandale massiv Vertrauen bei Nutzern eingebüßt. Gewinner ist das für mich eher keiner.
Stimmt es, dass Sie seit 25. Mai vier Strafen aussprachen? Und dass diese gar nicht in direktem Zusammenhang mit der Verordnung standen?
Ja, das waren drei Videoüberwachungs-Fälle und einmal wurde eine Dashcam (kleine Kamera an der Autowindschutzscheibe, Anm.) unrechtmäßig verwendet.
