Eisenstadt, am 04.07.2008
E-Mail: post.vd@bgld.gv.at
Tel.: 02682/600 DW 2227
Mag.a Elke Landl, LL.M
Zahl: LAD-VD-B304-10015-11-2008
Betr: Entwurf eines Bundesgesetzes, mit dem das Datenschutzgesetz 2000 geändert wird (DSG-Novelle 2008); Stellungnahme
Bezug: BKA-810.026/0002-V/3/2008
Zu dem mit obbez. Schreiben übermittelten Entwurf eines Bundesgesetzes, mit dem das Datenschutzgesetz 2000 geändert wird (DSG-Novelle 2008) erlaubt sich das Amt der Burgenländischen Landesregierung, folgende Stellungnahme abzugeben, und ersucht gleichzeitig, die Verspätung in der Erledigung zu entschuldigen:
Zu § 1 (Grundrecht auf Datenschutz):
Vorliegender Gesetzesentwurf sieht die Beschränkung des Grundrechts auf Datenschutz und im Weiteren auch des DSG 2000 auf personenbezogene Daten natürlicher Personen vor, was in den Erläuterungen zum Gesetzesvorhaben insbesondere damit begründet wird, dass sich der Datenschutz juristischer Personen im Wesentlichen auf Daten reduziere, die einem Geschäfts- oder Betriebsgeheimnis unterliegen, das aber in der österreichischen Rechtsordnung ohnehin durch andere Bestimmungen (z.B. des gewerblichen Rechtsschutzes oder des Urheberrechts) geschützt sei.
Somit wären personenbezogene Daten des Landes – wie z.B. auch der Gemeinden – nicht mehr datenschutzrechtlich geschützt. Dies gilt auch für Unternehmensdaten (Umsatz, Zahl der Beschäftigten etc.). Für die Landesverwaltung hätte dies insbesondere hinsichtlich Förderdaten (z.B. Wirtschaftsförderung, Tourismusförderung) praktische Bedeutung, da in der Vergangenheit – sei es durch Medienvertreter, sei es anlässlich von Anfragen im Landtag – des Öfteren Auskünfte betreffend Unternehmensförderungen begehrt wurden und die Zulässigkeit der Weitergabe (auch) datenschutzrechtlich geprüft worden ist. Eine Einschränkung des persönlichen Geltungsbereichs des Grundrechts auf Datenschutz sollte jedenfalls sorgsam erwogen werden, zumal zu bedenken ist, dass hinter jeder juristischen Person und Personengemeinschaften auch natürliche Personen „stehen“.
Die Erweiterung des Eingriffstatbestands der lebenswichtigen Interessen auf jede Person wird begrüßt.
Zur Erleichterung der Anwendung sollte in § 1 Abs. 2 anstatt der Bezeichnung „besonders schutzwürdige Daten“ der Begriff „sensible Daten“ verwendet werden, da dieser in § 4 Z 2 definiert ist und dies zur Vereinfachung und Vereinheitlichung beitragen würde.
Zu § 2 (Kompetenzverteilung):
Der Gesetzesentwurf sieht die Aufhebung der bisherigen – komplizierten – Kompetenzverteilung vor und weist in seinem Textvorschlag zu § 2 DSG 2000 die Gesetzgebungskompetenz in Angelegenheiten des Schutzes personenbezogener Daten zur Gänze dem Bund zu. Nach den Erläuterungen schließt dies – wie schon bisher – die Erlassung von auf den Regelungsgegenstand bezogenen Datenverwendungsbestimmungen in Landesgesetzen nicht aus.
Es besteht kein Zweifel, dass die derzeitige Kompetenzverteilung für den Rechtsanwender kaum zu durchschauen ist und eine diesbezügliche Änderung zu mehr Rechtssicherheit beitragen würde, somit aus fachlicher Sicht zu begrüßen ist.
Andererseits ist auf eine vom Bund und den Ländern im Wesentlichen festgelegte „Politische Vereinbarung über die Neuordnung der Kompetenzverteilung“ zu verweisen, nach der eine punktuelle kompetenzändernde Verfassungsbestimmung strikt abgelehnt wird. Der angepeilten sektoralen Kompetenzänderung zu Lasten der Länder vor einer Einigung über eine Gesamtlösung wird daher nicht vorbehaltlos zugestimmt, zumal derzeit eine von der Bundesregierung eingerichtete Expertengruppe für eine umfassende Staats- und Verwaltungsreform mit einer Neuorganisation der Kompetenzverteilung befasst ist.
Nicht unerwähnt bleiben soll, dass die kompetenzrechtliche Regelung im DSG 2000 – auch in seiner gegenwärtigen Fassung – dem sog. „Inkorporierungsgebot“ widerspricht, wonach alle Vorschriften zur bundesstaatlichen Kompetenzverteilung in das B-VG eingebaut und dort in möglichst geschlossenen Regelungsbereichen konzentriert werden sollen.
Zu § 15a (Betrieblicher Datenschutzbeauftragter):
Durch § 15a werden Regelungen betreffend eines sog. betrieblichen Datenschutzbeauftragten eingeführt, der gemäß Abs. 3 die Einhaltung des DSG 2000 im Betrieb zu überwachen hat und den Betriebsinhaber, die Arbeitnehmer und den Betriebsrat in Angelegenheiten des Datenschutzes zu beraten hat. Den Erläuterungen zufolge entspricht diese Regelung einer langjährigen Forderung der Arbeitnehmervertretungen.
Nach § 15a Abs. 1 des Entwurfs hat der Inhaber eines Betriebes mit mehr als 20 Mitarbeitern einen geeigneten Mitarbeiter zum betrieblichen Datenschutzbeauftragten zu bestellen, wobei zum Begriff des „Betriebes“ auf § 34 Abs. 1 des Arbeitsverfassungsgesetzes, § 4 Abs. 1 des Post-Betriebsverfassungsgesetzes und § 5 Abs. 1 des Landarbeitsgesetzes 1984 verwiesen wird.
Gemäß § 33 Abs. 2 Z 2 des Arbeitsverfassungsgesetzes (ArbVG), BGBl. Nr. 22/1974, zuletzt geändert durch das Gesetz BGBl. I Nr. 77/2007, fallen die Behörden, Ämter und sonstigen Verwaltungsstellen des Bundes, der Länder, der Gemeindeverbände oder der Gemeinden nicht unter die Bestimmungen des II. Teils des ArbVG („Betriebsverfassung“), der auch die Betriebsdefinition des § 34 enthält, und sind somit keine Betriebe iSd ArbVG.
Der Verfassungsgerichtshof hat in seinem Erkenntnis VfGH 16.10.1985, VfSlg. 10.626/1985, zur Auslegung des Begriffs „Betrieb“ in § 5 Abs. 1 lit. d des Arbeiterkammergesetzes, BGBl. Nr. 105/1954, in der damals maßgeblichen Fassung, der jenem des ArbVG entspricht, folgende Voraussetzungen für erforderlich erachtet, die erfüllt sein müssen, um eine Einrichtung als „Betrieb“ ansehen zu können:
· Es muss ein vom Personalstand der für die Besorgung der jeweiligen Aufgabe organisationsrechtlich grundsätzlich berufenen Organisationseinheit (im Folgenden als „Amt“ bezeichnet) gesonderter Personalstand des Betriebes vorliegen.
· Die Leitung des Betriebes muss von der Leitung des Amtes getrennt sind.
· Dem Betrieb muss jedenfalls eine nicht unerhebliche selbständige finanzielle Verfügungsgewalt zukommen.
· Dem Betrieb muss eine Entscheidungsbefugnis bei der Aufnahme seines Personals zustehen.
Wendet man diese Judikatur des VfGH (in den überwiegenden Grundsätzen) auf die Einrichtungen des Landes Burgenland an, sind nur einige davon als Betriebe zu qualifizieren (z.B. Burgenländische Krankenanstalten Ges.m.b.H., Burgenländische Kulturzentren). Nach dem Entwurf müssten nur die als Betriebe zu qualifizierenden Einrichtungen des Landes einen betrieblichen Datenschutzbeauftragten bestellen - wenn sie mehr als 20 Mitarbeiter haben (z.B. Burgenländische Krankenanstalten Ges.m.b.H.).
Im Hinblick darauf, dass auch in den solcherart als Betriebe zu qualifizierenden Einrichtungen des Landes (zugewiesene) Landesbedienstete tätig sind, wird darauf hingewiesen, dass die Regelungen betreffend den Betrieblichen Datenschutzbeauftragten, die arbeits- bzw. dienstrechtliche Belange betreffen (Art und Weise der Bestellung, Freistellung, besonderer Kündigungs- und Entlassungsschutz) aufgrund der Kompetenzverteilung (Art. 21 Abs. 1 B-VG) für Landes- und Gemeindebedienstete vom Bund nicht geregelt werden dürfen.
Die Anknüpfung an den Begriff des „Betriebes“ wird im Hinblick auf unter Umständen insbesondere für Gebietskörperschaften schwierig zu lösende Fragen, wann ein Betrieb vorliegt und wann nicht, abgelehnt. Weiters würde es im öffentlichen Bereich zu einem geteilten Datenschutzregime kommen, was abgelehnt wird.
Die Verpflichtung zur Bestellung eines Betrieblichen Datenschutzbeauftragten für Gebietskörperschaften wird insgesamt kritisch gesehen. Es erscheint zweifelhaft, ob die in Aussicht genommene Weisungsfreiheit den diesbezüglichen verfassungsrechtlichen Vorgaben des Art. 20 Abs. 2 B-VG entspricht. Weiters ist es fraglich, ob eine einzige Person in der Lage ist, die in der geplanten Regelung vorgesehenen Aufgaben zu erfüllen.
Schließlich ist darauf hinzuweisen, dass bei Betrieben, an denen das Land beteiligt ist, dem Land zumindest indirekt Kosten entstehen würden, worauf in den Erläuterungen jedoch in keinster Weise eingegangen wird.
Für Betriebe, sei es der öffentlichen Hand, sei es Privater, würden durch diese Regelung jedenfalls Kosten entstehen, sei es durch die Arbeitszeit, die ein zum Betrieblichen Datenschutzbeauftragten bestellter Mitarbeiter für seine Tätigkeit aufwenden muss, sei es durch die Beauftragung einer geeigneten betriebsfremden Person oder eines geeigneten Unternehmens, wenn kein geeigneter Mitarbeiter der Bestellung zustimmt. Es erscheint jedenfalls fraglich, ob jeder nach dem Entwurf verpflichtete Betrieb in der Lage ist, einen geeigneten Mitarbeiter zu finden, der sich zu dieser verantwortungsvollen Aufgabe bereit erklärt bzw. – sollte dies nicht der Fall sein – eine externe Person oder ein externes Untenehmen zu „bestellen“ und zu bezahlen.
Zu § 17 (Meldung von Datenanwendungen an das Datenverarbeitungsregister):
Es wird darauf hingewiesen, dass eine verpflichtende Meldung in einer Internetanwendung und die verpflichtende Verwendung der Bürgerkarte den Grundsätzen des E-Government – Gesetzes widerspricht, wonach die Wahlfreiheit hinsichtlich des Weges zur Behörde erhalten bleiben soll („Multi-Channel“).
Einführung eines „österreichischen Datenschutz-Gütesiegels“
Die Einführung eines „österreichischen Datenschutz-Gütesiegels“ scheint ein probates Mittel zu sein, private Anbieter zur Einhaltung der datenschutzrechtlichen Bestimmungen zu motivieren. Dennoch sollte es erst nach Abwarten der Ergebnisse der Marktevaluierung für ein Europäisches Datenschutz-Gütesiegel eingeführt werden.
Beigefügt wird, dass eine Ausfertigung dieser Stellungnahme an die e-mail Adresse begutachtungsverfahren@parlinkom.gv.at ergeht.
Für die Landesregierung:
Im Auftrag des Landesamtsdirektors:
Dr.in Handl-Thaller
Zl.u.Betr.w.v. Eisenstadt, am 04.07.2008
1. Präsidium des Nationalrates, Dr. Karl Renner-Ring 3, 1017 Wien
2. Präsidium des Bundesrates, Dr. Karl Renner-Ring 3, 1017 Wien
3. Allen Ämtern der Landesregierungen (z.H. der Herren Landesamtsdirektoren)
4. Der Verbindungsstelle der Bundesländer beim Amt der NÖ. Landesregierung, Schenkenstraße 4, 1014 Wien
zur gefälligen Kenntnis.
Für die Landesregierung:
Im Auftrag des Landesamtsdirektors:
Dr.in Handl-Thaller