Main content


Briefing

Begutachtungsentwurf zum neuen österreichischen Datenschutzgesetz veröffentlicht!

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, DS-GVO) soll den Datenschutz auf europäischer Ebene unmittelbar und umfassend regeln. Allerdings bestehen in der DS-GVO zahlreiche Öffnungsklauseln, welche den Mitgliedstaaten Regelungsspielräume bei vielen Punkten zugestehen, und sind die Mitgliedstaaten aus der DS-GVO sogar verpflichtet, bestimmte Bereiche innerstaatlich zu konkretisieren. Einige Staaten (wie etwa Deutschland) haben bereits entsprechende Regelungen erlassen. Mit der Vorlage des Entwurfes zum Datenschutz-Anpassungsgesetz 2018 (abrufbar hier) am 12. Mai 2017 wurde der lange erwartete Gesetzgebungsprozess nun auch in Österreich gestartet. Damit sollen die Begleitmaßnahmen zur DS-GVO festgelegt werden und die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung (Richtlinie (EU) 2016/680) umgesetzt werden. Mit dem Datenschutz-Anpassungsgesetz 2018 wird das bisherige DSG 2000 aufgehoben und ein neues Datenschutzgesetz (DSG) erlassen, welches gleichzeitig mit der DS-GVO am 25. Mai 2018 in Kraft treten wird.

Der Entwurf des Datenschutz-Anpassungsgesetzes 2018 dürfte in der vorliegenden Form und aufgrund der sehr zurückhaltenden Ausnutzung nationaler Gestaltungsspielräume kaum Auswirkungen auf die in vielen Unternehmen laufende Vorbereitung auf die neuen Vorgaben der DS-GVO haben. Abzuwarten bleibt allerdings, ob bis zum 25. Mai 2018 auch im Bereich des Beschäftigtendatenschutzes neue Regelungen erlassen werden, die im Rahmen der Datenschutz-Compliance dann ebenfalls zu beachten wären. Auch ist davon auszugehen, dass es im Zuge des eben erst begonnenen Gesetzgebungsverfahrens noch zu Änderungen kommen wird, die dann im Einzelnen zu bewerten sein werden. Die Stellungnahmefrist im Begutachtungsverfahren endet am 23. Juni 2017.

Die wesentlichen Eckpunkte des Begutachtungsentwurfs zum neuen DSG lassen sich wie folgt zusammenfassen:

 

  • Der bisher in Österreich geregelte Schutz von Daten juristischer Personen durch das Datenschutzrecht wird aufgegeben. Das österreichische Datenschutzrecht wird damit – wie die DS-GVO – nur auf Daten natürlicher Personen anwendbar sein.
  • Auch im neuen DSG ist ein Grundrecht auf Datenschutz enthalten. Die Drittwirkung zwischen Privaten wird aber ausdrücklich geregelt: Das Grundrecht auf Datenschutz ist nicht nur von staatlichen Einrichtungen, sondern auch von Unternehmen und natürlichen Personen zu beachten.
  • Die bisherigen Sonderregeln zur Videoüberwachung werden unter dem Titel "Bildverarbeitung" im Wesentlichen beibehalten. Insbesondere werden dann in Österreich weitergehende Rechtfertigungstatbestände für die Verarbeitung von "Bildaufnahme"-Daten bestehen. So können nach dem Begutachtungsentwurf auch überwiegende berechtigte Interessen des Verantwortlichen eine Videoüberwachungstätigkeit rechtfertigen. Damit wird der Rechtfertigungskatalog der DS-GVO in Hinblick auf Bildverarbeitung deutlich erweitert; diese wird im weiteren Gesetzgebungsprozess aufmerksam zu beobachten sein.
  • Die im DSG 2000 enthaltenen Bestimmungen zum Datengeheimnis, welche in der DS-GVO keine Entsprechung haben, werden im Wesentlichen beibehalten. In Österreich tätige Verantwortliche oder Auftragsverarbeiter haben diese zusätzlichen Vorgaben zu beachten und die eigenen Mitarbeiter zur Einhaltung des Datengeheimnisses zu verpflichten.
  • Beim Beschäftigtendatenschutz enthält die DS-GVO eine weitreichende Öffnungsklausel. Im Begutachtungsentwurf wird von einer inhaltlichen Ausgestaltung des Beschäftigtendatenschutzes aber abgesehen und für die Aufstellung von Regelungen zum Datenschutz im Beschäftigungskontext auf die arbeitsrechtlichen Materiengesetze verwiesen. Es bleibt abzuwarten, ob der Gesetzgeber vor dem Inkrafttreten der DS-GVO im Mai 2018 entsprechende Regelungen schaffen bzw. bestehende Regelungen abändern wird.
  • Auf die Verarbeitung personenbezogener Daten zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken finden die DS-GVO und das neue DSG weitgehend keine Anwendung, soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.
  • Der Begutachtungsentwurf sieht zahlreiche Sonderregeln für bestimmte Verarbeitungszwecke vor: So bei der Verarbeitung zum Zweck der wissenschaftlichen Forschung und Statistik, bei der Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von betroffenen Personen, sowie zur Verarbeitung personenbezogener Daten im Katastrophenfall.
  • Der Begutachtungsentwurf konkretisiert verfahrensrechtliche Regelungen im Verfahren vor der Datenschutzbehörde.
  • Bei der Verhängung von Geldbußen gegen juristische Personen sieht der Begutachtungsentwurf vor, dass die Datenschutzbehörde eine Geldbuße nur dann verhängen kann, wenn eines ihrer Organe (Führungspositionen) ein Fehlverhalten oder Überwachungsverschulden trifft. Diese Einschränkung verstößt allerdings gegen die Vorgaben der DS-GVO, wonach bereits das Fehlverhalten eines beliebigen Unternehmensmitarbeiters zur Verhängung einer Geldbuße gegen das Unternehmen führen kann. Unternehmen sind daher wohl gut beraten, entsprechende organisatorische Maßnahmen zu treffen, um auch Datenschutzverstöße "einfacher Mitarbeiter" so weit möglich zu vermeiden. Weiters geht der Begutachtungsentwurf davon aus, dass eine Geldbuße wegen Verstoßes gegen die DS-GVO grundsätzlich auch gegen einen Verantwortlichen iSd § 9 VStG verhängt werden könne. Dies entspricht aber ebenfalls nicht den Vorgaben der DS-GVO, die im Fall von Verstößen gegen die DS-GVO gerade keine hoheitliche Sanktion (zB Geldbuße) gegen Organe des Unternehmens vorsieht (wohl aber gegen das Unternehmen selbst).
  • Bisher bereits im DSG 2000 enthaltene Verwaltungsstrafbestimmungen werden beibehalten (neue Sanktion: Geldstrafe bis EUR 50.000) und bilden ein "Nebenregime" zu den Bußgeldtatbeständen der DS-GVO.
  • Der gerichtliche Straftatbestand der Datenverarbeitung in Gewinn- oder Schädigungsabsicht wird ebenfalls beibehalten.
  • Datenschutzrecht wird zukünftig alleinige Bundessache in Gesetzgebung und Vollziehung sein. Bislang lag die Regelungskompetenz für den Schutz manueller (nicht automationsunterstützt verarbeiteter) Daten noch bei den Ländern.
  • Die Umsetzung der Richtlinie (EU) 2016/680, wobei hier durch zahlreiche Verweise auf (inhaltlich gleichlautende ) Bestimmungen der DS-GVO eine schlanke Umsetzung der Richtlinie erreicht wurde.   

Wir werden Sie über die weitere Entwicklung in diesem Zusammenhang auf dem Laufenden halten. In der Zwischenzeit stehen wir gerne für Rückfragen und individuelle Gespräche zur Verfügung.