11.02
Bundesminister für Verfassung, Reformen, Deregulierung und Justiz Dr. Josef Moser: Sehr geehrter Herr Präsident! Sehr geehrte Bundesrätinnen und Bundesräte! Meine sehr geehrten Damen und Herren! Diese Debatte heute hat gezeigt, dass jeder bereit ist, den Datenschutz ernst zu nehmen und sich damit zu beschäftigen. Das ist schon einmal ein guter Aspekt.
Es wurde davon gesprochen, dass in diesem Bereich nach dem Motto Speed kills vorgegangen wurde, dass also wir, sprich die Regierung, innerhalb kurzer Zeit zwei Sammelgesetze mit 228 Artikeln vorgelegt haben. Das zeigt, dass wir den Datenschutz tatsächlich ernst nehmen, indem wir vor Inkrafttreten der Datenschutz-Grundverordnung am 25.5.2018 die nötigen Anpassungen vorgenommen haben. Damit sind wir in Europa Vorreiter. Wir gehören – es ist angesprochen worden – nach Deutschland zu denjenigen, die ihre Aufgabe wahrgenommen haben. Dass aber in letzter Zeit sehr wohl eine gewisse Verunsicherung bei der Bevölkerung eingetreten ist, ist darauf zurückzuführen, dass man den Zeitraum für die nötige Anpassung – einen Zeitraum von mehr als vier Jahren – nicht genützt hat und ihn hat verstreichen lassen. Das hat dazu geführt, dass wir nun innerhalb von 50 Tagen diese Anpassungen umsetzen mussten, damit mit 25.5.2018 die Unternehmen und jede Bürgerin und jeder Bürger auch wirklich wissen, woran sie sich zu halten haben.
Die Datenschutz-Grundverordnung musste so umgesetzt werden, wie das vorgesehen war, sodass sie in Österreich in der Praxis auch entsprechend anwendbar ist. Wir sind diesbezüglich so vorgegangen, dass wir die in der Datenschutz-Grundverordnung vorgesehenen Öffnungsklauseln und den darin vorgesehenen Spielraum genützt haben, um den Datenschutz genau so anwendbar zu machen, dass die Rechte, die Schutzmechanismen, beispielsweise auch in der Justiz, nach wie vor gegeben sind beziehungsweise voll in Geltung stehen. Das heißt, wir haben das sehr, sehr ernst genommen, weil eben – wie Frau Bundesrätin Grossmann angesprochen hat – Datenschutz ein Menschenrecht ist und Datenschutz Schutzmechanismen braucht. Das haben wir ernst genommen und in den Sammelgesetzen auch entsprechend dargestellt.
Auch dazu ein Punkt: Aufgabe des Justizministeriums war es, genau diese Sammelgesetze zusammenzustellen, darauf zu achten, dass sie übersichtlich und lesbar sind, und damit Ihnen und auch den Bürgerinnen und Bürgern die nötigen Darstellungen vorzulegen. In diesem Zusammenhang möchte ich mich bedanken, insbesondere bei den Bundesräten Seeber und Sperl, die die Arbeit der Beamten und Beamtinnen hervorgehoben haben, weil gerade diese Arbeit eine sehr, sehr intensive war. Diese haben ihre Arbeit mit großer Akribie und sehr viel Sachverstand erledigt, sodass die vorliegenden Gesetzesnovellen sicherlich auch Bestand haben werden. (Beifall bei ÖVP und FPÖ.)
Ich bin Ihnen, Frau Bundesrätin Grossmann, sehr dankbar dafür, dass Sie darauf hingewiesen haben, dass das Justizministerium als zuständiges Ministerium darauf Bedacht genommen hat, dass in dieses Sammelgesetz nur jene Materien, sprich Gesetze, aufgenommen werden, die notwendig sind, damit die Anpassung entsprechend der Datenschutz-Grundverordnung auch tatsächlich stattfindet. Sie haben recht, es war bei drei Materien aus dem Finanzministerium der Fall, dass sie nicht genau den vorgegebenen Richtlinien entsprochen haben, weshalb diese drei Materien herausgenommen wurden. Aber wenn man bedenkt, dass nunmehr insgesamt 228 Materien, sprich Gesetze, angepasst werden und nur drei Materien den Vorgaben, nämlich dass nur jene Gesetze aufgenommen werden, die für die Datenschutz-Grundverordnung angepasst werden müssen, nicht entsprechen, dann ist das, glaube ich, ein guter Weg. Das zeigt auch, dass die Ministerien ihre Aufgabe wahrgenommen haben und auch tatsächlich darauf geachtet haben, dass sich dieses Sammelgesetz nur mit den notwendigen Materien beschäftigt.
Es wurde auch angesprochen, dass gerade wir im Rahmen der Umsetzung der Datenschutz-Grundverordnung nicht die nötigen Schutzmechanismen vorgesehen haben beziehungsweise dass wir Verwässerungen vorgenommen haben. Ich möchte doch darauf hinweisen, dass die Datenschutz-Grundverordnung für jeden Staat zu 100 Prozent gilt, und zwar unmittelbar. Das heißt, auch wenn es so wäre, dass durch die Anpassungsgesetze gegen die Datenschutz-Grundverordnung verstoßen wird, gilt die Datenschutz-Grundverordnung zu 100 Prozent, somit ist auch eine Verwässerung nicht möglich.
Österreich hat, wie gesagt, eine Vorreiterrolle eingenommen; Österreich hat auch eine Datenschutzbehörde, die ihre Aufgabe wahrnimmt und sich auch genau auf diese Aufgabe vorbereitet hat.
Angesprochen worden ist auch der Grundsatz Beraten statt strafe“, der besagt, dass der Beratungsansatz vor der Strafe kommt. Das ist ein Grundsatz, der auch in der Datenschutz-Grundverordnung beinhaltet ist. In Artikel 58 der Datenschutz-Grundverordnung ist Folgendes ausgeführt:
„(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse [...]
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat“.
Das heißt also, die Datenschutz-Grundverordnung sieht vor, dass eine Datenschutzbehörde als Aufsichtsbehörde und Strafbehörde sowohl verwarnt als gleichzeitig auch berät beziehungsweise straft.
Genau diesen Grundsatz haben wir mit dem Entschließungsantrag aufgenommen, für den Fall nämlich, dass eine Datenschutzverletzung, eine erstmalige Datenschutzverletzung vorliegt, der weder Vorsatz noch grobe Fahrlässigkeit zugrunde liegen. In dem Fall ist entsprechend der Datenschutz-Grundverordnung zuerst zu beraten und erst dann zu strafen. Das heißt, wir sind da voll im Einklang mit der Datenschutz-Grundverordnung und – worauf ich auch hinweisen möchte – auch im Einklang mit dem Arbeitsinspektionsgesetz. Schauen Sie sich § 9 des Arbeitsinspektionsgesetzes an! Es ist auch da schon seit vielen Jahren die Regel, dass der Arbeitsinspektor zuerst warnen oder beraten und erst in der Folge bestrafen soll. Ich glaube, das ist ein guter Ansatz, eine gute Methode, dass der Staat nicht nur straft, sondern zuerst berät und dann straft, wenn es möglich ist, weil eben weder eine grob fahrlässige noch eine vorsätzliche Vorgangsweise vorliegen. (Beifall bei ÖVP und FPÖ.)
Es ist auch die Verbandsklage angesprochen worden. Ich möchte noch einmal darauf hinweisen – Sie wissen, Herr Bundesrat Pfister, dass wir darüber schon das letzte Mal diskutiert haben –, dass wir ja die Möglichkeit einer Sammelklage haben. Wir haben die Möglichkeit einer mandierten Sammelklage, und das heißt, dass ein Betroffener eine Organisation oder einen Verband beauftragen kann, für ihn eine Beschwerde einzubringen. Das gibt es. Was es aber nicht gibt – und das ist, glaube ich, das, was Sie angesprochen haben –, ist eine nicht mandierte Verbandsklage. Das heißt, dass eine Organisation oder ein Verband eine Beschwerde einbringen kann, ohne von einem Betroffenen beauftragt worden zu sein, das zu tun. Das ist ein Umstand, der auch in der Datenschutz-Grundverordnung nicht vorgesehen, nicht verpflichtend vorgesehen ist. – Das ist der erste Punkt.
Der zweite Punkt ist, dass es international, beispielsweise in Amerika, genau diese nicht mandierten Verbandsklagen gibt, die zu einem sogenannten Legal Blackmailing führen. Das heißt, dass schikanös Beschwerden eingebracht werden, um die Unternehmer damit in Schwierigkeiten zu bringen, und man deshalb eine bestimmte Vorsicht walten lassen muss.
Dazu möchte ich sagen, dass diesbezüglich auf internationaler Ebene, auf EU-Ebene gerade Bemühungen im Gang sind. Sie wissen, dass derzeit ein Entwurf der Europäischen Kommission im Zusammenhang mit der Unterlassungsklagenrichtlinie zum Verbraucherschutz vorliegt, und auch darin ist grundsätzlich vorgesehen, dass der sogenannten Leistungsklage, sprich Sammelklage, eben grundsätzlich eine Beauftragung zugrunde liegen soll. Eine Beauftragung ist nur dann nicht vorgesehen, wenn es sich um die Geltendmachung von Bagatell- oder Streuschäden handelt.
Das heißt, wir befinden uns auch damit im Einklang mit den Vorgängen beziehungsweise Diskussionen, die auf europäischer Ebene stattfinden, und ich kann Ihnen versichern, dass dieses Thema im Rahmen der weiteren Behandlung auf EU-Ebene von uns mitverfolgt und mit in Angriff genommen wird. Ich glaube aber, man sollte keinen Alleingang in Österreich starten, man soll nicht päpstlicher sein als der Papst. Ich möchte darauf hinweisen: Hätten wir eine diesbezügliche Sammelklage eingeführt, wäre das wieder ein Gold Plating gewesen, und wir hätten in Österreich eine Regelung, die es in anderen Staaten nicht gibt, und das wollen wir in dem Zusammenhang nicht. (Beifall bei ÖVP und FPÖ.)
Abschließend vielleicht noch ein Punkt, der, wie ich glaube, uns alle trifft, Nationalrat, Bundesrat, Bund, Länder, Gemeinden, insbesondere wenn man die Bevölkerung in den Mittelpunkt stellt: Wir haben auch im Bereich des Datenschutzes eine zersplitterte Kompetenzlage. Wenn jemand seine Daten in den Kalender einträgt, sind die Länder zuständig, wenn jemand seine Daten beispielsweise in seinen Computer einträgt, also automationsunterstützt verarbeitet, ist der Bund zuständig. Das heißt, wir haben im Datenschutz ein Bundesgesetz und neun Landesgesetze. Das hat dazu geführt, dass in drei Bundesländern schon eigene Landesgesetze erlassen worden sind, und man hat darauf hingewiesen, dass für den Datenschutz ohnehin wiederum die Bundesbehörde, sprich die Datenschutzbehörde, und in zweiter Instanz das Bundesverwaltungsgericht zuständig sein sollte.
Ich glaube, in Zeiten wie diesen, in denen sich jeder für einen klaren Föderalismus ausspricht, wäre es zweckmäßig, dass wir beim Datenschutz eine einheitliche Kompetenz schaffen, diesen Bereich zusammenfassen und in die Kompetenz des Bundes legen. Das wäre für die Bürgerinnen und Bürger einfacher. Es wäre übersichtlicher und würde auch den Unternehmerinnen und Unternehmern dienen. Ich meine, das wäre ein Föderalismus, wie wir ihn uns vorstellen, ein klarer Föderalismus: Eine Stelle ist verantwortlich, und die Bürgerinnen und Bürger sind nicht in der Situation, sich aus zehn Gebietskörperschaften in irgendeiner Art und Weise heraussuchen zu müssen, was sie benötigen. Das soll nicht sein.
Aus diesem Grund ersuche ich Sie um Ihre Unterstützung, damit wir diese verfassungsrechtlichen Kompetenzänderungen in nächster Zeit zustande bringen. – Ich danke Ihnen. (Beifall bei ÖVP und FPÖ.)
11.12