Entwurf

Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (DSG-Novelle 2012)

Der Nationalrat hat beschlossen:

Artikel 1

Änderung des Datenschutzgesetzes 2000

Das Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 51/2012, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach § 17 eingefügt:

„§ 17a.

Datenschutzbeauftragter“

2. Um die in den Z 4, 5, 8, 9, 11 und 12 des § 4 definierten Begriffe werden An- und Ausführungszeichen gesetzt.

3. In § 8 Abs. 4 Z 3 wird nach dem Wort „gewährleistet“ ein Punkt gesetzt. Das nachfolgende Wort „oder“ entfällt.

4. § 8 Abs. 4 Z 4 entfällt.

5. § 10 Abs. 2 letzter Satz lautet:

„Im Übrigen gilt § 30 Abs. 6 Z 3.“

6. In § 12 Abs. 3 Z 8 und § 14 Abs. 3 wird jeweils der Klammerausdruck „(§ 19 Abs. 2)“ durch „(§ 19 Abs. 3)“ ersetzt.

7. § 17 Abs. 2 Z 6 lautet:

         „6. einer Standardanwendung entsprechen: Der Bundeskanzler kann durch Verordnung Typen von Datenanwendungen und Übermittlungen aus diesen zu Standardanwendungen erklären, wenn sie von einer großen Anzahl von Auftraggebern in gleichartiger Weise vorgenommen werden und angesichts des Verwendungszwecks und der verarbeiteten Datenarten die Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist oder“

8. Nach § 17 Abs. 2 Z 6 wird die folgende Z 7 eingefügt:

         „7. der Kontrolle eines an die Datenschutzkommission gemeldeten Datenschutzbeauftragten (§ 17a) für die Dauer seiner aufrechten Bestellung unterliegen.“

9. Nach § 17 wird der folgende § 17a samt Überschrift eingefügt:

„Datenschutzbeauftragter

§ 17a. (1) Auftraggeber (§ 4 Z 4) können eine natürliche Person für einen Zeitraum von mindestens drei Jahren zum Datenschutzbeauftragten bestellen. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Postens nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt. Der Datenschutzbeauftragte darf in Erfüllung seiner Aufgaben nicht gekündigt oder sonst benachteiligt werden.

(2) Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach der Art der verwendeten Daten und dem Umfang und Zweck der Verwendung.

(3) Der Auftraggeber hat umgehend nach der Bestellung den Namen und die beruflichen Kontaktdaten der zum Datenschutzbeauftragten bestellten Person sowie die Dauer der Bestellung der Datenschutzkommission mitzuteilen. Von der Datenschutzkommission ist eine Liste der Auftraggeber, welche Datenschutzbeauftragte bestellt haben, mit den zugehörigen Namen, den beruflichen Kontaktdaten der bestellten Personen und der Dauer der Bestellung im Internet zur allgemeinen Einsichtnahme zu veröffentlichen und aktuell zu halten.

(4) Der Datenschutzbeauftragte hat die Einhaltung der Vorschriften dieses Bundesgesetzes beim Auftraggeber zu überwachen und ein Verzeichnis der Datenanwendungen des Auftraggebers zu führen, in welches betroffene Personen auf Verlangen Einsicht nehmen können, und auf diese Weise sicherzustellen, dass die Rechte der betroffenen Personen durch die Verarbeitung nicht beeinträchtigt werden. Weiters hat er den Auftraggeber, die Bediensteten oder die Arbeitnehmer und die Personalvertretung oder den Betriebsrat in Belangen des Datenschutzes zu beraten. Betroffene können sich jederzeit an den Datenschutzbeauftragten wenden.

(5) Der Datenschutzbeauftragte ist vom Auftraggeber über das Vorhaben, neue Datenanwendungen einzusetzen, rechtzeitig zu unterrichten. Wird ihm ein Verdacht einer Verletzung datenschutzrechtlicher Vorschriften bekannt, hat er auf die Herstellung eines rechtmäßigen Zustandes hinzuwirken. Ist ihm dies aus Eigenem nicht möglich, hat er den Auftraggeber von dem Verdacht in Kenntnis zu setzen.

(6) Der Auftraggeber hat den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.

(7) Der Datenschutzbeauftragte ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er hat jedoch datenschutzbezogene Anregungen entgegenzunehmen und die Ablehnung von Anregungen zu begründen.

(8) Dem Datenschutzbeauftragten sind im ersten Jahr seiner ununterbrochenen Tätigkeit zumindest 40 Stunden und in jedem folgenden Jahr zumindest 20 Stunden an Arbeitszeit zum Erwerb von Fachkenntnissen und zur Fort- und Weiterbildung auf dem Gebiet des Datenschutzes zur Verfügung zu stellen. Die Kosten für die erforderliche Fort- und Weiterbildung sind vom Auftraggeber zu tragen.

(9) Der Datenschutzbeauftragte unterliegt dem Datengeheimnis (§ 15). Er ist insbesondere zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(10) Die Bestellung des Datenschutzbeauftragten lässt die Verantwortung des Auftraggebers für die Einhaltung der Bestimmungen dieses Bundesgesetzes unberührt.“

10. § 18 Abs. 2 lautet:

„(2) Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 3 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie

           1. sensible Daten enthalten oder

           2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung, seiner wirtschaftlichen Lage oder seines Verhaltens zu bewerten,

erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission nach den näheren Bestimmungen des § 20 aufgenommen werden.“

11. Nach § 18 Abs. 2 werden folgende Abs. 3 und 4 eingefügt:

„(3) Auf Datenanwendungen, die mit ausdrücklicher Zustimmung des Betroffenen vorgenommen werden, sowie auf Datenanwendungen aufgrund von Gesetzen oder Verordnungen, welche die Art der Verarbeitung festlegen und geeignete Garantien vorsehen und im Zuge der Ausarbeitung unter ausdrücklicher Bezugnahme auf diese Bestimmung an die Datenschutzkommission übermittelt und dieser Gelegenheit zur Stellungnahme gegeben worden ist, findet Abs. 2, soweit der Stellungnahme entsprochen wird, keine Anwendung. Gleiches gilt bei einer Übermittlung von Gesetzen oder Verordnungen im Zuge der Ausarbeitung an die Datenschutzkommission ohne ausdrückliche Bezugnahme auf diese Bestimmung, wenn die Datenschutzkommission aus eigenem im Hinblick auf Abs. 2 Stellung nimmt und dieser Stellungnahme entsprochen wird.

(4) Die Datenschutzkommission hat eine Liste der in Gesetzen oder Verordnungen geregelten und nach Abs. 3 von der Vorabkontrolle ausgenommenen Datenanwendungen zu führen und im Internet zur allgemeinen Einsichtnahme zu veröffentlichen und aktuell zu halten.“

12. § 20 Abs. 1 lautet:

„§ 20. (1) Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers nicht einen der Tatbestände des § 18 Abs. 2 erfüllen, sind nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren.“

13. Nach § 30 Abs. 1 wird der folgende Abs. 1a eingefügt:

„(1a) Der Datenschutzbeauftragte kann sich wegen des Verdachts der Verletzung datenschutzrechtlicher Vorschriften durch den Auftraggeber mit einer Eingabe an die Datenschutzkommission wenden, nachdem er den Auftraggeber von dem Verdacht schriftlich in Kenntnis gesetzt hat, dieser jedoch in angemessener Frist keine geeigneten Maßnahmen zur Beseitigung des vermuteten rechtswidrigen Zustandes getroffen hat.“

14. § 30 Abs. 2a lautet:

„(2a) Sofern sich eine zulässige Eingabe nach Abs. 1 oder Abs. 1a oder ein begründeter Verdacht nach Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, kann die Datenschutzkommission die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorgehen.“

15. Nach § 30 Abs. 4 wird der folgende Abs. 4a eingefügt:

„(4a) Auf Ersuchen der Datenschutzkommission sind die Bezirksverwaltungsbehörden oder die Landespolizeidirektionen verpflichtet, die Befugnisse nach Abs. 4 für die Datenschutzkommission wahrzunehmen.“

16. § 38 Abs. 3 lautet:

„(3) Die Datenschutzkommission ist vor Erlassung von Gesetzen, die wesentliche Fragen des Datenschutzes unmittelbar betreffen, sowie von Verordnungen, die auf der Grundlage dieses Bundesgesetzes ergehen oder sonstige wesentliche Fragen des Datenschutzes unmittelbar betreffen, anzuhören.“

17. In § 46 Abs. 3a entfällt die Wortfolge „oder einem sonst darüber Verfügungsbefugten“.

18. In den Einleitungssätzen des § 50a Abs. 3 und 4 wird jeweils der Klammerausdruck „(§ 7 Abs. 2 Z 3)“ durch den Klammerausdruck „(§ 7 Abs. 1 und § 7 Abs. 2 Z 3)“ ersetzt.

19. § 50a Abs. 7 lautet:

„(7) Mit einer Videoüberwachung gewonnene Daten von Betroffenen dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen, nicht zum Zweck der Ermittlung von sensiblen Daten oder Daten gemäß § 18 Abs. 2 Z 2 verwendet und nicht nach sensiblen Daten oder Daten gemäß § 18 Abs. 2 Z 2 als Auswahlkriterium durchsucht werden.“

20. § 50b Abs. 2 lautet:

„(2) Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutz- oder Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 6 benötigt werden, spätestens nach 72 Stunden zu löschen. § 33 Abs. 2 AVG gilt. Eine beabsichtigte längere Aufbewahrungsdauer ist in der Meldung anzuführen und nur dann zulässig, wenn sie aus besonderen, in der Meldung dargelegten Gründen zur Zweckerreichung regelmäßig erforderlich ist.“

21. § 50c Abs. 1 und 2 lauten:

„§ 50c. (1) Videoüberwachungen unterliegen der Meldepflicht gemäß den §§ 17 ff, nicht jedoch der Vorabkontrolle nach § 18 Abs. 2. Bestimmte Tatsachen im Sinn von § 50a Abs. 4 Z 1 müssen bei Erstattung der Meldung glaubhaft gemacht werden. Soweit gemäß § 96a des Arbeitsverfassungsgesetzes 1974 – ArbVG, BGBl. Nr. 22, Betriebsvereinbarungen abzuschließen sind, sind diese im Zuge der Meldung vorzulegen.

(2) Die Echtzeitüberwachung ist von der Meldepflicht ausgenommen.“

22. In § 52 Abs. 1 Z 5 wird der Punkt durch einen Beistrich ersetzt.

23. Nach § 52 Abs. 1 Z 5 wird folgende Z 6 angefügt:

         „6. wer als Auftraggeber einer meldepflichtigen Datenanwendung die Bestellung eines Datenschutzbeauftragten vorsätzlich vortäuscht.“

24. In § 52 Abs. 2 Z 7 wird der Punkt durch einen Beistrich ersetzt.

25. Nach § 52 Abs. 2 Z 7 werden folgende Z 8, 9, 10, 11 und 12 angefügt:

         „8. wer als Auftraggeber eine Videoüberwachung entgegen den Vorgaben des § 50a Abs. 5 betreibt,

           9. wer als Auftraggeber die Meldung der Abberufung eines gemeldeten Datenschutzbeauftragten an die Datenschutzkommission unterlässt,

         10. wer als Auftraggeber den bestellten und gemeldeten Datenschutzbeauftragten an der Erfüllung seiner Pflichten vorsätzlich hindert,

         11. wem als Datenschutzbeauftragten der Verdacht einer Verletzung datenschutzrechtlicher Vorschriften bekannt wird und dennoch vorsätzlich nicht auf die Herstellung eines rechtmäßigen Zustandes hinwirkt oder vorsätzlich den Auftraggeber von dem Verdacht nicht in Kenntnis setzt,

         12. wer als Auftraggeber den bestellten und gemeldeten Datenschutzbeauftragten, ohne dass die Voraussetzungen für die Erfüllung seiner Pflichten weggefallen sind, während seiner Amtszeit seines Postens enthebt oder in Erfüllung seiner Aufgaben kündigt oder sonst benachteiligt.“

26. Nach § 60 Abs. 6 wird folgender Abs. 7 angefügt:

„(7) Die Änderung im Inhaltsverzeichnis und an § 4, § 8 Abs. 4 Z 3, § 10 Abs. 2, § 12 Abs. 3 Z 8 und § 14 Abs. 3, § 17 Abs. 2 Z 6 und 7, § 17a, § 18 Abs. 2, 3 und 4, § 20 Abs. 1, § 30 Abs 1a, 2a und 4a, § 38 Abs. 3, § 46 Abs. 3a, § 50a Abs. 3, 4 und 7, § 50b Abs. 2, § 50c Abs. 1 und 2, § 52 Abs. 1 Z 5 und 6, § 52 Abs. 2 Z 7 bis 12, § 61 Abs. 9 und 10 treten am 1. xxx 2012 in Kraft. Gleichzeitig tritt § 8 Abs. 4 Z 4 außer Kraft.“

27. Nach § 61 Abs. 8 werden folgende Abs. 9 und 10 angefügt:

„(9) Meldungen von Datenanwendungen, die nach diesem Bundesgesetz in der Fassung des BGBl. I Nr. xxx/2012 nicht der Vorabkontrolle unterliegen und die vor dem Inkrafttreten der gemäß § 61 Abs. 8 neu zu erlassenden Verordnung nach § 16 Abs. 3 ordnungsgemäß bei der Datenschutzkommission eingebracht, jedoch noch nicht registriert worden sind, gelten als registriert. Im Datenverarbeitungsregister sind die in dieser Form registrierten Meldungen ersichtlich zu machen.

(10) Anhängige Meldungen, bei denen einem erteilten Verbesserungsauftrag seit mehr als drei Jahren nicht Folge geleistet worden ist, gelten, soweit nicht bereits Abs. 9 Anwendung findet, als zurückgezogen. Anhängige Meldungen von Datenanwendungen, bei denen die Voraussetzungen für die Meldepflicht nachträglich weggefallen sind, unterliegen, soweit nicht bereits Abs. 9 Anwendung findet, keiner Meldepflicht und gelten als zurückgezogen. Anhängige Meldungen von Datenanwendungen, bei denen nur die Voraussetzungen für die Vorabkontrollpflicht nachträglich weggefallen sind, unterliegen, soweit nicht bereits Abs. 9 Anwendung findet, nur mehr der Meldepflicht.“