Die Zahl der Beschwerden an die Datenschutzbehörde hat sich im vergangenen Jahr mehr als verdoppelt. Schon im Jahr zuvor hatte sie sich verzehnfacht. Der Grund dafür liegt in der Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist und Firmen zu einem sorgsameren Umgang mit Daten verpflichten sowie Bürgern mehr Rechte einräumen soll.

Sie hat gleichzeitig den Arbeitsaufwand der Behörde erheblich gesteigert: 2019 gab es 2.102 Beschwerden, 95 mit grenzüberschreitendem Sachverhalt. Weiters führte die Dienstelle 103 amtswegige Prüfverfahren. Im Jahr 2017, vor dem Inkrafttreten der DSGVO, waren es noch lediglich 156 Individualbeschwerden.

Bereits in den vergangenen Jahren monierte die Datenschutzbehörde Probleme mit dem Personalstand. "Die Vervielfachung der Beschwerden führte nicht nur zu einer sehr hohen Arbeitsbelastung, die Verfahrensführung dieser nationalen und internationalen Beschwerden bedingt großes Fachwissen", schreibt sie dazu in ihrem aktuellen Datenschutzbericht.

Auch heuer gebe es zusätzlichen Personalbedarf, vor allem aufgrund der Führung von Verwaltungsstrafverfahren und Fällen, bei denen personenbezogene Daten unerlaubt weitergeben wurden – etwa durch Datenlecks oder E-Mails an falsche Adressaten. Gerade die Bearbeitung einer Vielzahl von Meldungen über Data Breaches wird als Begründung genannt, warum mehr Mitarbeiter gebraucht würden.

Personalbedarf auch nach Aufstockung

Und das soll auch passieren – fünf weitere Stellen soll die Behörde heuer bekommen. "Die Verdoppelung bei Individualbeschwerden bei der Datenschutzbehörde zeigt den wichtigen Beitrag dieser Institution zur Rechtewahrung im Internet", sagt Justizministerin Alma Zadić (Grüne) zum STANDARD. "Deshalb bin ich froh, dass wir im diesjährigen Budget fünf weitere Stellen für den Datenschutz ausverhandeln konnten."

Darüber zeigt sich auch die Datenschutzbehörde im STANDARD-Gespräch erfreut – jedoch würden die neuen Positionen nicht ausreichen, um den Personalmangel auszugleichen, wie deren Leiterin Andrea Jelinek sagt. Zadić zeigte sich am Dienstag im Justizausschuss, in dem der Datenschutzbericht 2019 debattiert wurde, offen für den Wunsch der Behörde nach weiteren Ressourcen: Sie habe für die kommenden Budgetverhandlungen bereits einen höheren Mittelbedarf angemeldet.

Höchste Strafe für Post

Insgesamt hat die Datenschutzbehörde seit dem Inkrafttreten der DSGVO 38 Geldbußen und elf Verwarnungen ausgesprochen. Die Geldstrafen belaufen sich auf 18,1 Millionen Euro. Der Großteil davon betrifft die Österreichische Post, gegen die eine Strafe in Höhe von 18 Millionen Euro verhängt wurde. Sie hatte anhand von Daten wie Adresse oder Alter die Parteiaffinität ihrer Kunden hochgerechnet und das Ergebnis für Werbezwecke genutzt. Über 500 Individualbeschwerden (von insgesamt 2.102) betrafen den Adressenhandel des Unternehmens.

EU-weit fehlen Ressourcen

Europaweit sind Datenschutzbehörden mit fehlenden Ressourcen konfrontiert. Vergangene Woche veröffentlichte die EU-Kommission einen Bericht, der über die DSGVO Bilanz zieht. Insgesamt ist diese positiv – besonders auffällig ist aber die schleppende Umsetzung der Regeln in Irland. So hat die dortige Behörde noch keine einzige Strafe im Privatsektor verhängt, obwohl es im vergangenen Jahr 7.215 Beschwerden gegeben hatte.

Die irische Datenschutzbehörde arbeitet auch an zahlreichen Verfahren gegen den IT-Giganten Facebook. Ende Mai warf ihr der Datenschutzexperte Max Schrems sogar eine Zusammenarbeit mit dem Konzern vor – sie habe sich vor dem Inkrafttreten der DSGVO mehrfach heimlich mit Vertretern von Facebook getroffen. (Muzayen Al-Youssef, 1.7.2020)