Andrea Jelinek, Leiterin der österreichischen Datenschutzbehörde, wacht über die Einhaltung der Datenschutzgrundverordnung (DSGVO). Im Report(+)PLUS-Interview zieht sie eine erste Bilanz.

Zur Person

Andrea Jelinek, geb. 1961, studierte Rechtswissenschaften an der Universität Wien und kam 1991 als juristische Referentin ins Generalsekretariat der Österreichischen Rektorenkonferenz. Zwei Jahre später wechselte Jelinek ins Innenministerium, wo sie zunächst als Referentin, später als Leiterin der Legistikabteilung tätig war.

2003 wurde die Juristin und Führungskräftetrainerin als erste Frau zur Leiterin eines Polizeikommissariats ernannt. Von Oktober 2010 bis Juni 2011 übernahm sie die Leitung der Wiener Fremdenpolizei.
Seit 2014 steht Andrea Jelinek der österreichischen Datenschutzbehörde vor, die die frühere Datenschutzkommission im Bundeskanzleramt ersetzte. Sie ist außerdem Vorsitzende des Europäischen Datenschutzausschusses (EDSA) in Brüssel.

(+) plus: Seit 25. Mai ist die DSGVO in Kraft. Haben sich die Wogen inzwischen gelegt?

Andrea Jelinek: Die DSGVO hat bewirkt, dass Datenschutz einen anderen Stellenwert eingenommen hat. Unternehmen und Behörden haben begonnen, sich intensiver damit auseinanderzusetzen und interne Prozesse zu adaptieren. Auch außereuropäische Länder machen sich mehr Gedanken und planen, Datenschutzgesetze zu verabschieden oder zu verbessern.

Die Datenschutzbehörde ist seit 25. Mai – im Vergleich zum Vorjahr – verstärkt befasst worden. Während im gesamten Jahr 2017 circa 490 Beschwerden bzw. Eingaben zu verzeichnen waren, sind es seit Mai 2018 über 1.000, Tendenz steigend. Dies zeigt, dass datenschutzrechtliche Fragen stärker in den Mittelpunkt gerückt wurden.

(+) plus: Anfangs zeigten sich viele Unternehmer noch recht gleichgültig, je näher der Mai rückte, desto größer wurde die Aufregung. Waren Sie von den heftigen Reaktionen überrascht?

Jelinek: Im Vorfeld des 25. Mai wurde über die DSGVO viel berichtet und es gab unzählige Veranstaltungen, um die Thematik zu erklären. So war auch die Datenschutzbehörde mit einer Vielzahl an Anfragen beschäftigt. Fakt ist, dass seit dem 25. Mai ein starker Anstieg an Beschwerden zu verzeichnen ist, die große Aufregung hat sich jedoch gelegt und der Umgang mit der DSGVO beginnt sich zu »normalisieren«.

(+) plus: Vor allem der hohe Strafrahmen sorgt für Empörung. Wurden bereits Strafen verhängt?

Jelinek: Die Datenschutzbehörde hat bereits Geldstrafen verhängt, die jedoch sehr weit vom möglichen Höchstrahmen von 20 Millionen Euro entfernt sind. Bei der Verhängung von Geldstrafen sind nämlich immer die Verhältnismäßigkeit und auch die finanzielle Leistungskraft des Beschuldigten zu beachten, was selbstverständlich geschieht. Die Datenschutzbehörde hat auch schon Verwarnungen ausgesprochen.

(+) plus: Braucht es hohe Strafen, damit das Thema ernst genommen wird?

Jelinek: Wie es scheint, ist der mögliche Strafrahmen auch ein Grund, weshalb das Thema Datenschutz nunmehr Beachtung findet. Dies ist insofern schade, als Datenschutz ein Grundrecht ist. Wenn Datenschutz ernst genommen wird, bringt er auch einen wirtschaftlichen Vorteil für Unternehmen, indem nachgewiesen wird, dass mit Kundendaten sorgfältig umgegangen wird. Das Vertrauen der Kunden ist ein unverzichtbarer Bestandteil des Wirtschaftslebens.

(+) plus: Einer der Gründe für die Einführung der DSGVO war Entbürokratisierung. Die Unternehmen klagen aber gerade über den großen Aufwand für die Umsetzung. Zu Recht?

Jelinek: Zirka 80 % des Inhalts der ­DSGVO gilt bereits seit den 90er-Jahren bzw. in Österreich sogar seit 1980. Wer Datenschutz schon vor dem 25. Mai 2018 ernst genommen hat, musste nicht viel ändern und anpassen.

(+) plus: Wie stark wurde die Datenschutzbehörde personell aufgestockt?

Jelinek: Die Datenschutzbehörde wurde um insgesamt sechs Planstellen im juristischen Bereich aufgestockt. Außerdem wurden Mittel für zusätzliches Kanzleipersonal zur Verfügung gestellt.

(+) plus: Welche Unternehmen werden zuerst geprüft?

Jelinek: Die Datenschutzbehörde prüft einerseits, wenn Beschwerden einlangen; davon kann jedes Unternehmen betroffen sein. Schwerpunktaktionen werden in Bereichen gesetzt, wo es vermehrt Beschwerden gibt oder wo Daten in großem
Umfang verarbeitet werden.

(+) plus: Kommen auch verstärkt Anfragen von Konsumentinnen und Konsumenten?

Jelinek: Anfragen kommen aus allen Bereichen und von allen Personengruppen.

(+) plus: Trägt die DSGVO zu einem bewussteren Umgang der Bevölkerung mit Daten bei?

Jelinek: Die DSGVO hat zumindest dafür gesorgt, dass diesem Thema eine erhöhte Aufmerksamkeit zukommt.

(+) plus: Welche Ausrede können Sie nicht mehr hören?

Jelinek: Ausreden werden an die Datenschutzbehörde nicht herangetragen.

Datenschutz in Österreich

Österreich richtete 1978 als einer der ersten europäischen Staaten eine eigene Behörde für Datenschutz, die »Datenschutzkommission«, ein. Mit der Datenschutzrichtlinie der EU wurde das Datenschutzrecht in ganz Europa neu geregelt; in Österreich floss diese Richtlinie in das Datenschutzgesetz 2000 ein.

Am 25. Mai 2018 traten die Bestimmungen der europäischen DSGVO und des überarbeiteten österreichischen Datenschutzgesetzes in Kraft. Die Datenschutzbehörde (DSB) sorgt für die Einhaltung des Datenschutzes in Österreich. Betroffene können sich wegen Verletzung ihrer Rechte bzw. Verletzung der Pflichten eines Auftraggebers oder Dienstleisters mit einer Eingabe an die DSB wenden. Im Fall eines begründeten Verdachtes kann die DSB vom Auftraggeber oder Dienstleister alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen nehmen. Darüber hinaus kann die DSB jederzeit bei Routinekontrollen die Einhaltung der DSGVO prüfen und Strafen verhängen.