LETZTES UPDATE: 21.10.2018; 23:25
Diese Seite als Lesezeichen hinzufügen

Parlamentskorrespondenz Nr. 386 vom 11.04.2018

Themenfelder:
Verfassung/Wirtschaft/Bildung/Justiz/Finanzen/Landwirtschaft/EU
Format:
Ausschusssitzungen des Nationalrats
Stichworte:
Nationalrat/Verfassungsausschuss/Datenschutz

Verfassungsausschuss billigt umfangreiches Datenschutzpaket

Datenschutzagenden werden beim Bund konzentriert, mehr als 120 Gesetze an EU-Recht angepasst

Wien (PK) – Der Verfassungsausschuss des Nationalrats hat heute ein umfangreiches Datenschutzpaket gebilligt. Neben einer Neuformulierung des Grundrechts auf Datenschutz, einer Konzentration der Datenschutzagenden beim Bund und einer Ausweitung des Zuständigkeitsbereichs der Datenschutzbehörde ist u.a. auch eine Anpassung von 120 Materiengesetzen an die ab 25. Mai geltende EU-Datenschutzgrundverordnung (DSGVO) bzw. die neue Datenschutz-Richtlinie für die Bereiche Innere Sicherheit und Justiz vorgesehen. Die Beschlüsse erfolgten mit unterschiedlichen Mehrheiten, einzelne Teile wurden auch einstimmig beschlossen.

Kritisch wurde von der Opposition insbesondere das so genannte Materien-Datenschutz-Anpassungsgesetz 2018 beurteilt. Die SPÖ kritisierte nicht nur die späte Vorlage der Sammelnovelle an den Nationalrat, sondern auch die zum Teil kurzen Begutachtungsfristen im Vorfeld. Selbst der Datenschutzrat sei nicht in der Lage gewesen, die Vorschläge umfassend zu bewerten, beklagte Walter Bacher und sprach angesichts von insgesamt 128 Gesetzesänderungen von einer Zumutung für die Abgeordneten. NEOS-Abgeordneter Nikolaus Scherak stößt sich vor allem an einer für das Innenministerium geltenden Sonderbestimmung.

Seitens der Koalitionsparteien räumte Harald Stefan (FPÖ) ein, dass es sich um ein umfangreiches Paket handle und wohl nicht alle Auswirkungen abschätzbar seien. Angesichts des vor der Tür stehenden 25. Mai warnt er aber vor Verzögerungen: "Die Zeit läuft!". Eva-Maria Himmelbauer hob hervor, dass das hohe Datenschutzniveau in Österreich beibehalten werde. Ihr zufolge sind auch viele Stellungnahmen aus dem Begutachtungsverfahren in die Gesetzesnovellen eingeflossen. Nicht an der Sitzung teilnehmen konnte aus gesundheitlichen Gründen der zuständige Minister Josef Moser.

Weniger umstritten als das Materien-Datenschutz-Anpassungsgesetz ist das so genannte Datenschutz-Deregulierungsgesetz. Schon im vergangenen Jahr wollte die damalige rot-schwarze Koalition die Datenschutzagenden beim Bund konzentrieren und das verfassungsrechtlich abgesicherte Grundrecht auf Datenschutz neu formulieren. Da die notwendige Zweidrittelmehrheit fraglich schien, wurde das Vorhaben allerdings kurzfristig abgeblasen und im Parlament lediglich eine abgespeckte Novelle zum Datenschutzgesetz beschlossen, um dieses in Einklang mit den neuen EU-Vorgaben zu bringen. Nun wurden die ursprünglichen Pläne auf Basis eines gemeinsamen Antrags von SPÖ, ÖVP und FPÖ wieder aufgegriffen. Die Opposition fordert allerdings noch Nachbesserungen und spricht sich insbesondere für ein Verbandsklagerecht aus.

Gemäß den Bestimmungen des Drei-Parteien-Antrags ( 189/A) wird künftig ausschließlich der Bund für allgemeine Angelegenheiten des Datenschutzes zuständig sein. Die Kompetenz der Länder für den Schutz manueller personenbezogener Dateien entfällt. Außerdem wird das verfassungsrechtlich abgesicherte Grundrecht auf Datenschutz neu und verständlicher formuliert. Am bestehenden Schutzniveau ändert sich nichts. In Anlehnung an die DSGVO sind allerdings nur noch natürliche Personen – und keine juristischen – vom Grundrecht umfasst.

Wie bisher werden Eingriffe in das Grundrecht auf Datenschutz, das unter anderem Auskunfts- und Löschungsrechte umfasst, nur unter engen Voraussetzungen möglich sein. Etwa bei ausdrücklicher Einwilligung des Betroffenen, bei berechtigtem Interesse eines anderen oder wenn öffentliches Interesse vorliegt. Wann letzteres genau der Fall ist, muss – in den jeweiligen Materiengesetzen – gesetzlich geregelt sein. Außerdem gilt stets der Grundsatz, dass Grundrechtsbeschränkungen verhältnismäßig sein müssen und auf das notwendige Maß zu beschränken sind (Datenminimierung).

Neu eingefügt in das Datenschutzgesetz wird eine Bestimmung, die das Auskunftsrecht von BürgerInnen gegenüber der öffentlichen Verwaltung begrenzt, wenn dadurch die Erfüllung gesetzlich übertragener Aufgaben gefährdet ist. Außerdem werden einige weitere Klarstellungen, etwa in Zusammenhang mit Systemen zum Abgleich verarbeiteter Bilddaten, vorgenommen. Ein strafbarer Datenschutz-Tatbestand, der vor dem Inkrafttreten des Gesetzes erfolgt ist, ist dem Drei-Parteien-Antrag zufolge nach der für den Täter günstigeren Rechtslage zu beurteilen.

Datenschutzbehörde wird auch für Parlamentsverwaltung zuständig sein

Neu ist darüber hinaus die Ausweitung der Zuständigkeit der Datenschutzbehörde auf den Bereich der Parlamentsverwaltung sowie auf Verwaltungsangelegenheiten des Rechnungshofs, der Volksanwaltschaft und des Verwaltungsgerichtshofs. Ein diesbezüglicher Beschluss wurde auf Basis eines gemeinsamen Antrags ( 188/A) von Nationalratspräsident Wolfgang Sobotka (ÖVP) und seinen beiden Amtskolleginnen Doris Bures (SPÖ) und Anneliese Kitzmüller (FPÖ) einstimmig gefasst. Damit wird der Datenschutzbehörde eine nachprüfende Kontrolle von Entscheidungen des Nationalratspräsidenten sowie der anderen genannten Institutionen in Datenschutzangelegenheiten ermöglicht. Bisher war diese Kontrollmöglichkeit auf die obersten Organe der Vollziehung – Bundespräsident, MinisterInnen und Mitglieder der Landesregierungen – beschränkt.

Weiterhin nicht zuständig ist die Datenschutzbehörde für den Bereich der Gesetzgebung. Auch die Datenschutz-Grundverordnung gilt hierfür nicht. Bei einschlägigen Datenverarbeitungen ist aber jedenfalls das Grundrecht auf Datenschutz zu berücksichtigen, wie in einer mehrheitlich gefassten Ausschussfeststellung ausdrücklich festgehalten wird. Das betrifft auch die Tätigkeit parlamentarischer MitarbeiterInnen und Klubs, wenn diese die Mitglieder des Nationalrats und des Bundesrats bei der Erfüllung ihrer Aufgaben unterstützen. Gegen die Ausschussfeststellung stimmte lediglich die Liste Pilz.

Mehr als 120 Gesetze werden an neue EU-Vorgaben angepasst

Mit den Stimmen der Koalitionsparteien passierte das 143 Seiten starke Materien-Datenschutz-Anpassungsgesetz 2018 ( 65 d.B.) den Ausschuss. Mit der von der Regierung vorgelegten Sammelnovelle werden mehr als 120 Gesetze, angefangen vom Bundesarchivgesetz bis zum Weingesetz, an die EU-Datenschutz-Grundverordnung bzw. an die neue EU-Datenschutz-Richtlinie für die Bereiche Innere Sicherheit und Justiz angepasst. Auch wenn die DSGVO unmittelbare Geltung erlangt, bedarf sie in vielen Bereichen der Durchführung in innerstaatliches Recht, heißt es dazu in den Erläuterungen. Vorgenommen werden in diesem Sinn etwa terminologische Anpassungen und Konkretisierungen. Außerdem werden Regelungsspielräume ("Öffnungsklauseln") genutzt. Ein neuer Datenverbund ist für den Schulbereich in Aussicht genommen.

Eine eigene Sammelnovelle liegt für den Bereich Wissenschaft und Forschung vor, mit der sich der Forschungsausschuss kommenden Montag befassen wird. Dabei geht es auch um die Frage, inwieweit ForscherInnen Zugang zu von der öffentlichen Hand gesammelten Daten bekommen sollen.

Ergänzende Gesetzesänderungen und Abänderungsanträge

Ergänzt bzw. adaptiert wurde das Datenschutzpaket heute durch einen Ausschussantrag und zwei Abänderungsanträge, die zum Teil von ÖVP und FPÖ, zum Teil auch mit Unterstützung der SPÖ eingebracht wurden. Damit wird unter anderem sichergestellt, dass auch für Verfahren vor den Verwaltungsgerichten, dem Verwaltungsgerichtshof und dem Verfassungsgerichtshof ein spezifischer datenschutzrechtlicher Rechtsschutz gilt, wobei die Bestimmungen den Regelungen für Gerichte nachgebildet sind. Zudem geht es um die Nutzung von Daten der Wählerevidenz durch Parteien für Wahlwerbezwecke und die Übermittlung personenbezogener Daten im Falle eines Rechtshilfeansuchens aus Drittländern bzw. internationaler Organisationen. Zudem wird den Strafvollzugsbehörden – unter bestimmten Auflagen – ausdrücklich gestattet, Daten für im öffentlichen Interesse liegende Archiv- und Forschungszwecke sowie für statistische Zwecke zur Verfügung zu stellen.

Darüber hinaus fassten die Abgeordneten zwei Ausschussfeststellungen. Neben der erwähnten Klarstellung zur Frage der Datenverarbeitung im Bereich der Gesetzgebung geht es um die Beurteilung der Kreditwürdigkeit durch Banken. Die Abgeordneten gehen mit Verweis auf die laut Datenschutz-Grundverordnung durchzuführende Interessensabwägung davon aus, dass es angesichts der Bedeutung von Bonitätsprüfungen, etwa für den Verbraucherschutz, nicht möglich sein wird, der Aufnahme in einschlägige Datenbanken grundsätzlich zu widersprechen. Einen ausdrücklichen gesetzlichen Ausschluss des Widerspruchsrechts halten sie daher nicht für erforderlich.

In Kraft treten sollen die allermeisten Bestimmungen des Datenschutzpakets gemeinsam mit dem im Vorjahr beschlossenen Datenschutz-Anpassungsgesetz 2018 am 25. Mai (siehe auch Parlamentskorrespondenz Nr. 803/2017). Ab diesem Tag ist auch die neue EU-Datenschutz-Grundverordnung anzuwenden.

Grundrecht auf Datenschutz gilt nicht mehr für juristische Personen

Im Rahmen der Debatte hob Eva Maria Himmelbauer (ÖVP) hervor, dass die EU-Verordnung einen einheitlichen Datenschutzstandard in allen EU-Ländern bringt. Dass das Grundrecht auf Datenschutz künftig nicht mehr juristische Personen umfasst, begründete sie nicht zuletzt damit, dass man auch im Bereich des Datenschutzes nicht notwendiges "Gold Plating" vermeiden wolle. Durch die Zusammenführung der Kompetenzen brauche es für den Datenschutzbereich nicht mehr ein Bundesgesetz und neun Ländergesetze. Himmelbauer wies außerdem darauf hin, dass durch die Datenschutzgesetz-Novelle sichergestellt sei, dass private Unternehmen, die lediglich in einem Teilbereich in öffentlichem Auftrag tätig sind, keinen Datenschutzbeauftragten bestellen müssen. Als Beispiel nannte sie Autowerkstätten, die Pickerl-Überprüfungen durchführen.

Opposition fordert Verbandsklagerecht

Nicht durchsetzen konnte sich die Opposition mit einem Abänderungsantrag zum Datenschutz-Deregulierungsgesetz. ÖVP-Abgeordnete Himmelbauer sagte aber zu, die Anliegen bis zum Plenum zu prüfen. SPÖ, Liste Pilz und NEOS geht es unter anderem darum, Datenschutz-Organisationen ein Verbandsklagerecht einzuräumen und zwei Ziffern – betreffend das Arbeitsverfassungsgesetz und betreffend den Ausschluss von Geldbußen im Falle der Vollziehung von Gesetzen – wieder aus der Gesetzesnovelle zu streichen. Mit der Streichung solle einer Reihe von Einwendungen betroffener Einrichtungen Rechnung getragen werden, heißt es dazu in den Erläuterungen.

Außerdem vermisst die Oppositon einen bisher im Gesetz verankerten Passus, wonach die Verarbeitung besonders sensibler Daten wie ethnische Herkunft, Religion, sexuelle Orientierung und politische Einstellung sowie genetische und biometrische Daten grundsätzlich untersagt bzw. nur unter bestimmten Voraussetzungen zulässig ist. Zwar sind entsprechende Bestimmungen der Datenschutz-Grundverordnung ohnehin direkt wirksam, die Oppositionsparteien plädieren dennoch für eine explizite Aufnahme in das Datenschutzgesetz. Gleichzeitig soll festgeschrieben werden, dass die DSGVO Vorrang vor dem im Gesetz verankerten Grundrecht auf Datenschutz hat, sollte sich ein Widerspruch zwischen den Normen ergeben. Mit einem Verbandsklagerecht wäre Österreich Vorreiter in Europa, sagte NEOS-Abgeordneter Scherak.

Was das Materien-Datenschutz-Anpassungsgesetz betrifft, ist laut Scherak noch offen, ob seine Fraktion der Sammelnovelle im Plenum zustimmen wird. Im Ausschuss lehnte er das Gesetzespaket vorerst jedenfalls ab. Als Grund nannte er den Umstand, dass im Zuständigkeitsbereich des Innenministeriums das Widerspruchsrecht gegen die Verarbeitung von Daten zur Gänze gestrichen wurde. Das ist seiner Meinung nach EU-rechtswidrig. Man könnte das Ganze auch anders regeln und dem Innenministerium beispielsweise die Datenverarbeitung vorläufig gestatten bis eine Beschwerde rechtlich geklärt sei, meinte er.

Bildung: Datenverbund in Schulen nach Hochschulvorbild

Das Materien-Datenschutz-Anpassungsgesetz 2018 besteht aus insgesamt 128 Artikeln. Mittels Änderungen im Bildungsdokumentationsgesetz soll etwa die Weiterführung des bewährten Datenverbundes der Universitäten und Pädagogischen Hochschulen – erweitert um Fachhochschulen, Fachhochschul-Studiengänge sowie Privatuniversitäten – ermöglicht werden. Dazu kommt die gesetzliche Verankerung eines "Austrian Higher Education Systems Network" für gemeinsame Studien und Programme.

Außerdem wird die Novellierung des Bildungsdokumentationsgesetzes zum Anlass genommen, auch im Bereich der Schulen einen dem universitären und hochschulischen Bereich nachgebildeten Datenverbund zu implementieren. Damit soll etwa bei Schulwechseln und Schuleintritten ein direkter Austausch schülerbezogener Daten stattfinden können, der bisher nicht möglich war. Die Regelungen dafür sollen mit 1. September 2018 in Kraft treten.

Arbeit und Soziales: Ergänzende Regelungen für Aufbewahrungsfristen

Neben einer Anpassung datenschutzrechtlicher Begrifflichkeiten und Bestimmungen an die DSGVO geht es im Bereich Arbeit, Soziales und Konsumentenschutz in Einzelfällen um eine Konkretisierung der Regelungen für Aufbewahrungsfristen. So soll etwa im Zusammenhang mit Aufgaben des Arbeitsmarktservice sichergestellt werden, dass die Daten entsprechend dem Bedarf der Behörde ausreichend lange verarbeitet werden dürfen. Längere Fristen als die generelle von sieben Jahren können sich – beispielsweise im Zusammenhang mit Rechtsansprüchen – auch aus anderen Rechtsvorschriften ergeben bzw. sind etwa bei Förderungen aus Bundesmitteln erforderlich. Vorgesorgt werden soll auch für eine Fristverlängerung zur Aufbewahrung von Daten bei Insolvenzen, zum Beispiel in Fällen der Rückforderung des Insolvenz-Entgelts.

Finanzen: Bewährte Verwaltungspraxis bei Abgabenverfahren wird beibehalten

Im Bereich Finanzen geht es insbesondere darum, die bewährte Verwaltungspraxis bei Abgabenverfahren und die Regeln für Finanzstrafverfahren mit den neuen EU-Vorgaben in Einklang zu bringen. Zu diesem Zweck werden auch Öffnungsklauseln für nationale Regelungsspielräume genutzt.

Inneres und Justiz: Besondere Bestimmungen für Verarbeitung biometrischer Daten

Zahlreiche Anpassungen erfolgen im Bereich Inneres. Im Hinblick auf die Rechtmäßigkeit der Datenverarbeitung werden etwa die jeweiligen Zwecke konkretisiert, Verantwortliche für die Informationsverbundsysteme im Sinne der Unionsvorschriften definiert und Protokollierungsvorschriften verankert. Außerdem trägt der Entwurf dem Umstand Rechnung, dass für biometrische Daten besondere Vorschriften gelten. Bei der Verarbeitung erkennungsdienstlicher Daten wie Fingerabdrücken werden in diesem Sinn spezifische grundrechtsschützende Maßnahmen zu Gunsten der betroffenen Person verankert.

Ziele der Änderungen im Justizbereich sind die Sicherung eines hohen Datenschutzniveaus für natürliche Personen, aber auch die Zulässigkeit der Verwendung der zwingend erforderlichen Daten im Zivil- und Strafverfahren sowie im Strafvollzug unter gleichzeitiger Gewährleistung eines effizienten Rechtsschutzes. Neben der Sicherung der Unabhängigkeit der Justiz und des Schutzes von Gerichtsverfahren soll der subsidiäre Rechtsschutz des Gerichtsorganisationsgesetzes im gerichtlichen und staatsanwaltschaftlichen Bereich aufrecht erhalten werden. Der Gesetzentwurf umfasst überdies Maßnahmen zur Klärung von in der gerichtlichen Praxis strittigen datenschutzrechtlichen Fragen im Zivilverfahrensrecht. Umgesetzt werden etwa auch Bestimmungen zur Datenübermittlung an Drittländer oder internationale Organisationen und betreffend die unabhängigen Aufsichtsbehörden wie die Datenschutzbehörde.

Digitales und Wirtschaft: Eingeschränkte Auskunftspflicht der Wettbewerbsbehörde

Anpassungen im Bereich Digitales und Wirtschaft finden sich im Entwurf etwa beim E-Government-Gesetz. Bei der Zurechnung der Datenverarbeitung zu einem bestimmten staatlichen Tätigkeitsbereich tritt in der Registrierung die Stammzahlenregisterbehörde an die Stelle des Datenverarbeitungsregisters. Im Rahmen des Wettbewerbsrechts müsse die Bundeswettbewerbsbehörde langfristig Akten aufbewahren können, außerdem soll eine laut Entwurf notwendige Einschränkung des Auskunftsrechts vorgenommen werden, beispielsweise in Bezug auf Ermittlungen zu kartellrechtlichen Verstößen.

Zuständigkeitsbereiche Bundeskanzleramt und öffentlicher Dienst

Um Konkretisierungen und terminologische Anpassungen an die DSGVO geht es auch in den legistischen Zuständigkeitsbereichen des Bundeskanzleramts (BKA) und beim öffentlichen Dienst. Im Rahmen der Nutzung einer Öffnungsklausel wird etwa bei letzterem die Zulässigkeit der Verarbeitung und Übermittlung von personenbezogenen Daten im Beschäftigungskontext normiert. In den Bereich des BKA fallen legistische Umsetzungen beispielsweise im Archivgesetz und im Statistikgesetz, aber auch Anpassungen für eine Kinderbetreuungsgeld-Datenbank. Festgehalten wird hier insgesamt auch, dass das bisherige Datenschutzniveau keinesfalls unterschritten werden soll.

Im Bereich Landwirtschaft und Umwelt erfolgen ebenso Anpassungen der Begrifflichkeiten sowie Klarstellungen im Abfallwirtschaftsgesetz. Im Weingesetz schließlich werden etwa Rechte und Pflichten der Auftragsverarbeiter und gemeinsam Verantwortlichen definiert und ausdrücklich festgelegt, dass Daten über durchgeführte Verarbeitungsvorgänge drei Jahre lang aufzubewahren sind.

Datentransfer nach Südkorea und Japan soll vereinfacht werden

Zu Beginn der Sitzung hatte der Verfassungsausschuss einstimmig einen Bericht von Justiz- und Reformminister Josef Moser über aktuelle EU-Vorhaben auf dem Gebiet des Datenschutzes und des Vergaberechts ( III-101 d.B.) genehmigt. Daraus geht unter anderem hervor, dass die EU-Kommission bestrebt ist, Datenübermittlungen – nach dem Vorbild des EU-US Privacy Shield und ähnlichen Vereinbarungen mit Kanada und der Schweiz – auch in andere Drittländer zu vereinfachen. Aktuell laufen etwa Gespräche mit Japan und Südkorea. Weiters geplant sind eine neue Datenschutz-Verordnung für EU-Institutionen, die Überarbeitung der Datenschutzkonvention des Europarats sowie eine Überarbeitung der EU-Richtlinie zur Förderung sauberer und energieeffizienter Straßenfahrzeuge.

Der Generalsekretär des Justizministeriums Christian Pilnacek erwartet durch die geplante Datenschutz-Verordnung für EU-Institutionen sowie die neue Europarats-Konvention keinen unmittelbaren Einfluss auf das österreichische Datenschutzregime. (Schluss Verfassungsausschuss) gs/keg