Kunden- oder Rabattkarten von Supermarktketten, Gewinnspiele, Online-Shops, soziale Netzwerke oder Gratis-WLAN. An all diese Angebote haben sich Konsumenten in Österreich längst gewöhnt. Dass die Firmen im Hintergrund intensiv Daten sammeln, nehmen viele in Kauf, um die Rabatte zu bekommen oder mit Freunden über das Internet verbunden zu bleiben.

Solche Kundendaten sind die Geschäftsbasis vieler Konzerne geworden. Amazon, Google oder Facebook sind nur die Spitze des Eisbergs. Denn selbst kleine Webseiten nutzen Analysetools, die dabei helfen, den für sie richtigen Kunden zu finden oder herauszufinden, welcher Kunde auf einen Link im Newsletter geklickt hat. Auch das kostenlose WLAN, das von Fast-Food-Lokalen, im Shopping-Center oder auf Flughäfen angeboten wird, hat häufig den Zweck, Daten zu sammeln, und seien es nur E-Mail-Adressen – oder (damit man einen Zugangscode per SMS erhält) die Mobilnummer.

Mehr Verantwortung

Mit der ab Freitag geltenden Datenschutz-Grundverordnung (DSGVO) wird es derartige Angebote weiter geben – allerdings mit Anpassungen an die jeweiligen Nutzungsbedingungen bezüglich Transparenz und Widerrufsrecht. Denn mit der DSGVO sind die Bürger explizit „Besitzer“ ihrer Daten. Sie haben ab jetzt die Kontrolle über die privaten Informationen und sind in weiterer Folge auch dafür verantwortlich.

Das wird viele Bereiche im Alltag verändern. Ein Beispiel: Schon bisher haben Ärzte den Ordinationsbesuch mit der Krankenkasse abgerechnet. Dabei wurden Daten wie Name, Adresse und zum Teil auch die Diagnose übermittelt. Aufgrund der DSGVO muss der Patient jetzt dieser Datenübermittlung explizit zustimmen. Tut er es nicht, muss er bar zahlen und sich selbst um die Rückerstattung kümmern.

Hohe Strafen

Im allgemeinen Geschäftsalltag kommt das Recht auf Auskunft und das Recht, seine Daten löschen zu lassen, dazu. „Die größte Neuerung ist allerdings die Durchsetzung“, sagt Petra Leupold vom Verein für Konsumenteninformation (VKI). Denn der Datenschutz sei in Österreich schon bisher streng geregelt gewesen. Nur die Strafen waren eher marginal. Mit den horrenden Bußgeldern der DSGVO haben Kunden nun ein Druckmittel gegenüber datenhungrigen Konzernen.

Will ein Konsument wissen, welche Daten eine Firma von ihm hat, sollte er das Unternehmen anschreiben und nachfragen. Binnen eines Monats muss eine Antwort kommen mit einer Kopie der Daten und Informationen über den Zweck der Verarbeitung sowie die Herkunft der Informationen. Sofern keine gesetzliche Aufbewahrungsfrist besteht, kann man die Löschung der Daten verlangen.

Mehr Bürokratie

Vor allem bei kleinen Unternehmen sorgt die DSGVO für massive Irritationen. Dabei wird keineswegs der Datenschutz kritisiert, die meisten Unternehmen gehen jetzt schon sorgsam mit Kundendaten um. Kritisiert wird der bürokratische Aufwand, den diese neuen Regeln verursachen. Auch die existenzbedrohenden Strafen verschrecken viele Selbstständige.

Ignoriert ein Unternehmen die Aufforderung des Kunden, stehen diesem drei Wege offen, wie Konsumentenschützerin Leupold erklärt. „Er kann sich an die Datenschutzbehörde wenden.“ Diese prüft den Fall und kann bei Verstoß gegen die DSGVO Strafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes verhängen. Das Gesetz, dass in Österreich im Erstfall nur verwarnt werden soll, ist für die Datenbehörde nicht bindend. Sie muss EU-Recht umsetzen, das über nationalen Gesetzen steht. Eine eher theoretische Möglichkeit ist der Gang zu Gericht, um die Löschung der Daten einzuklagen.

Der dritte Weg ist der Gang zu einem Konsumentenschutzverband, wie dem VKI oder Noyb von Max Schrems. Diese können bei mehreren Fällen auch gesammelt gegen Datenverstöße vorgehen. Hier werde man sich aber eher auf Fälle konzentrieren, die eine große Wirkung erzielen, sagt Leupold. Schadenersatz kann ein Verband in Österreich übrigens nicht einklagen. Hier müssen die Betroffenen einzeln gegen Unternehmen vorgehen.