Bericht der Datenschutzbehörde für 2017: Datenschutz-Grundverordnung ist prägendes Arbeitsthema

Wien (PK) – Neben 2.239 Rechtsauskünften, zahlreichen Beschwerdeverfahren sowie Genehmigungen für Datenverwendungen war das Jahr 2017 für die Datenschutzbehörde geprägt von Vorbereitungen auf die europäische Datenschutz-Grundverordnung (DSGVO) mit Geltung ab 25. Mai 2018. Justizminister Josef Moser hat nun den Tätigkeitsbericht der nationalen Kontrollstelle für Datenschutz in Österreich (Datenschutzbehörde, kurz DSB) für das Jahr 2017 dem Nationalrat übermittelt (III-134 d.B. und III-652-BR/2018 d.B.).

DSGVO: Struktur der Datenschutzbehörde bleibt, Aufgaben und Befugnisse werden angepasst

Die Umsetzung der DSGVO und der Datenschutz-EU-Richtlinie für die Bereiche Innere Sicherheit und Justiz in innerstaatliches Recht wurde im Jahr 2017 vorerst mit dem Datenschutz-Anpassungsgesetz 2018 vorgenommen. Dabei wurde die Datenschutzbehörde als zuständige nationale Aufsichtsbehörde vorgesehen. Die Struktur der DSB als monokratische, weisungsfreie Behörde ändert sich demnach nicht, sehr wohl allerdings ihr Aufgabenbereich und die ihr eingeräumten Befugnisse, die sich unmittelbar aus der DSGVO ergeben. Grundsätzlich werde die Wichtigkeit des Grundrechts auf Datenschutz durch die DSGVO unterstrichen, so der Bericht. Aufgabe der europäischen Datenschutzbehörden werde sein, die einheitliche Anwendung der Verordnung in der Europäischen Union zu gewährleisten.

Ein Datenverarbeitungsregister, wie es die Behörde derzeit führt, kennt die DSGVO ab 25. Mai 2018 nicht mehr. Ein Verzeichnis und die Datenschutzfolgenabschätzung - unter bestimmten Voraussetzungen - liege dann in der Verantwortung des jeweiligen datenschutzrechtlichen Auftraggebers, sprich dem für die Daten-Verarbeitung Verantwortlichen. Die Verpflichtung zur Erstattung von DVR-Meldungen entfällt dann laut Bericht, anhängige Verfahren werden zu diesem Zeitpunkt eingestellt und das Register zu Archivzwecken bis Ende 2019 geführt.

Neben der Zuständigkeit für Beschwerdeverfahren und der Leistung von Amtshilfe obliegt der Aufsichtsbehörde nach der DSGVO unter anderem die Festlegung von Standardvertragsklauseln für die Heranziehung von Auftragsverarbeitern, für den Datenverkehr mit Drittstaaten und internationalen Organisationen. Die Listenerstellung der Verarbeitungsarten, für die eine Datenschutzfolgenabschätzung durchzuführen ist, ist ebenso unter den Aufgaben zu finden wie die Akkreditierungen für Überwachungs- und Zertifizierungsstellen nach DSGVO. Dazu kommen Untersuchungs- und Abhilfebefugnisse, die vom Zugang zu Geschäftsräumen bis zu Verwarnungen und Verhängung von Geldbußen reichen, so der Bericht. Die DSB verweist in diesem Zusammenhang darauf, aufgrund des steigenden Personalbedarfs für die Aufgaben 16 zusätzliche Planstellen beantragt zu haben. Eine Entscheidung darüber sei im Berichtsjahr nicht gefallen.

Zahl der Rechtsauskünfte wieder steigend

Die Anzahl der Rechtsauskünfte der Datenschutzbehörde an Bürgerinnen und Bürger stieg 2017 wieder deutlich an, und zwar auf 2.239 (2016: 2.004). Im Hinblick auf die DSGVO will die Behörde ihre Website inhaltlich anpassen, darüber hinaus beantwortet die Datenschutzbehörde auch weiterhin allgemeine Anfragen zum Datenschutz schriftlich.

Hinsichtlich der Individualbeschwerdeverfahren sei das Berichtsjahr ohne auffällige Häufung auf Schwerpunkte verlaufen. Statistisch ist die Zahl der angefallenen Beschwerden gesunken, und zwar von 180 Eingängen im Jahr 2016 auf 156 im Jahr 2017. 2017 sei auch das letzte vollständige Berichtsjahr, in dem aus dem nationalen Datenschutzrecht ableitbare subjektive Rechte in diesem Verfahren durchzusetzen waren, hebt der Bericht hervor. Darüber hinaus wurden über Antrag 333 Kontroll- und Ombudsmannverfahren und weitere 93 amtswegig eingeleitet. Diese Verfahren seien mit mediativem Charakter im Bereich des soft law angesiedelt.

Für wissenschaftliche Forschung und Statistik hat die DSB im Jahr 2017 19 Genehmigungen abgewickelt, 201 Erledigungen waren es bei den Genehmigungen für internationalen Datenverkehr. Registrierungen erfolgten zu Datenanwendungen der ASFINAG betreffend die "Digitale Vignette", zur "Automatisierten Grenzkontrolle – eGates" der Landespolizeidirektion Niederösterreich und zum Einsatz von anlassbezogener Videoüberwachung per "BodyCams" durch MitarbeiterInnen im Zugbegleitdienst der Ostregion der ÖBB-Personenverkehr AG.

Stammzahlenregister: 264 Millionen bereichsspezifische Personenkennzeichen (bPK) berechnet

Hinter den elektronischen Serviceleistungen der öffentlichen Einrichtungen, die mit der E-ID (früher: Bürgerkarte) oder der Handysignatur sicher genutzt werden können, stehen von der Datenschutzbehörde betriebene Datenanwendungen: das Stammzahlenregister, die Ergänzungsregister für natürliche Personen und für sonstige Betroffene, sowie das Vollmachtenregister. Im Jahr 2017 wurden beispielsweise für das Stammzahlenregister über 264 Millionen bereichsspezifische Personenkennzeichen (bPK) berechnet. Das entspreche einer Steigerung von über 30% im Verhältnis zum Jahr davor, so der Bericht. Zurückzuführen sei dies insbesondere darauf, dass Spendenorganisationen seit 2017 Spenden verpflichtend direkt an die Finanzbehörden melden. Ebenfalls um über 30% im Vergleich zum Vorjahr gestiegen seien die eingetragenen Personen im Ergänzungsregister für natürliche Personen, nämlich auf 237.333. Das Ergänzungsregister für sonstige Betroffene enthielt am Ende des Jahres 2017 rund 1,5 Mio. aktive und 388.831 inaktive Unternehmen.

Nicht zuletzt sind im Bericht die Tätigkeiten im Bereich der europäischen Zusammenarbeit – Stichwort DSGVO, Europol, Schengen, Zoll, Eurodac und Visa-Informationen - und wesentliche höchstgerichtliche Entscheidungen angeführt. Von Bedeutung könnte eine aus Sicht der Datenschutzbehörde weitreichende Entscheidung des Verfassungsgerichtshofs (VfGH) im Zusammenhang mit einer Bestimmung aus dem Bankwesengesetz sein. Mit Verweis auf Anforderungen aus dem EU-Recht und auf die inzwischen gegebene Möglichkeit, ein Straferkenntnis durch ein Verwaltungsgericht überprüfen zu lassen, entspreche gegebenenfalls auch die Verhängung sehr hoher Geldstrafen durch eine Verwaltungsbehörde der Verfassung, so die Zusammenfassung der entsprechenden Entscheidung. (Schluss) mbu