Vorblatt

Problem:

Der Europäische Gerichtshof (im Folgenden: EuGH) hat mit Urteil vom 16. Oktober 2012 in der Rs C-614/10, Europäische Kommission gegen Republik Österreich, festgestellt, dass die Republik Österreich nicht alle Vorschriften erlassen hat, die erforderlich sind, damit die bestehende Rechtslage in Bezug auf die Datenschutzkommission dem Kriterium der Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutz-Richtlinie), ABl. Nr. L 281 vom 23.11.1995 S. 31, genügt. Zur Umsetzung des genannten Urteils des EuGH ist eine Änderung des DSG 2000 erforderlich.

Ziel:

Herstellung der unionsrechtskonformen Rechtslage durch Umsetzung des Urteils des EuGH vom 16. Oktober 2012 in der Rs C-614/10 durch eine Änderung des DSG 2000.

Inhalt/Problemlösung:

Der vorliegende Gesetzentwurf stellt die Gewährleistung der völligen Unabhängigkeit der Datenschutzkommission im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie und im Sinne des Urteils des EuGH vom 16. Oktober 2012 in der Rs C-614/10 sicher.

Alternativen:

Keine.

Auswirkungen des Regelungsvorhabens:

- Finanzielle Auswirkungen:

Durch die Umsetzung des Urteils des EuGH vom 16. Oktober 2012 in der Rs C-614/10 ist mit keinen finanziellen Auswirkungen zu rechnen.

- Wirtschaftspolitische Auswirkungen:

- – Auswirkungen auf die Beschäftigung und den Wirtschaftsstandort Österreich:

Keine.

- – Auswirkungen auf die Verwaltungskosten für Bürger/innen und für Unternehmen:

Es sind keine neuen Informationsverpflichtungen für Bürger/innen und für Unternehmen vorgesehen.

- Auswirkungen in umweltpolitischer Hinsicht, insbesondere Klimaverträglichkeit:

Keine.

- Auswirkungen in konsumentenschutzpolitischer sowie sozialer Hinsicht:

Keine.

- Geschlechtsspezifische Auswirkungen:

Keine.

Verhältnis zu Rechtsvorschriften der Europäischen Union:

Die vorgesehenen Regelungen bewegen sich innerhalb des durch die Datenschutz-Richtlinie vorgegebenen Umsetzungsrahmens.

Besonderheiten des Normsetzungsverfahrens:

Keine.

Erläuterungen

Allgemeiner Teil

Hauptgesichtspunkte des Entwurfes:

Das DSG 2000 ist seit seinem Inkrafttreten am 1. Jänner 2000 siebenmal novelliert worden, wobei nur die DSG-Novelle 2010 umfassende Änderungen im DSG 2000, so etwa im Bereich des Registrierungsverfahrens und der Videoüberwachungen, vorgenommen hat.

Die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutz-Richtlinie), ABl. Nr. L 281 vom 23.11.1995 S. 31, bestimmt in Art. 28 Abs. 1, dass die Mitgliedstaaten vorsehen, „dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“

Der Europäische Gerichtshof (im Folgenden: EuGH) hat mit Urteil vom 16. Oktober 2012 in der Rs C-614/10, Europäische Kommission, unterstützt durch den Europäischen Datenschutzbeauftragten, gegen Republik Österreich, unterstützt durch die Bundesrepublik Deutschland, festgestellt, dass die Republik Österreich gegen ihre Verpflichtungen aus Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie dadurch verstoßen hat, dass sie nicht alle Vorschriften erlassen hat, die erforderlich sind, damit die bestehende Rechtslage in Bezug auf die Datenschutzkommission dem Kriterium der Unabhängigkeit genügt, und zwar im Einzelnen dadurch, dass sie eine Regelung eingeführt hat, wonach

- das geschäftsführende Mitglied der Datenschutzkommission ein der Dienstaufsicht unterliegender Bundesbediensteter ist,

- die Geschäftsstelle der Datenschutzkommission in das Bundeskanzleramt eingegliedert ist und

- der Bundeskanzler über ein unbedingtes Recht verfügt, sich über alle Gegenstände der Geschäftsführung der Datenschutzkommission zu unterrichten.

Aus diesem Grund soll die Datenschutzkommission nunmehr als Dienstbehörde und Personalstelle eingerichtet werden, die Dienstaufsicht und die fachliche Weisung über die Bediensteten der Geschäftsstelle der Datenschutzkommission nach § 37 Abs. 2 DSG 2000 ausschließlich der/dem Vorsitzenden der Datenschutzkommission zukommen und das Unterrichtungsrecht des Bundeskanzlers nach § 38 Abs. 2 DSG 2000 dahingehend eingeschränkt werden, dass die/der Vorsitzende der Datenschutzkommission dem Unterrichtungsrecht nur insoweit zu entsprechen hat, als dies nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie widerspricht.

Finanzielle Auswirkungen:

Durch die Umsetzung des Urteils des EuGH vom 16. Oktober 2012 in der Rs C-614/10 ist mit keinen finanziellen Auswirkungen zu rechnen.

Wirtschaftspolitische Auswirkungen:

- Auswirkungen auf Verwaltungskosten für Unternehmen:

Es sind keine neuen Informationsverpflichtungen für Unternehmen vorgesehen.

- Auswirkungen auf Verwaltungskosten für Bürger/innen:

Es sind keine neuen Informationsverpflichtungen für Bürger/innen vorgesehen.

Kompetenzgrundlage:

Der vorliegende Entwurf stützt sich auf § 2 Abs. 1 DSG 2000.

Besonderheiten des Normerzeugungsverfahrens:

Keine.

Besonderer Teil

Zu Z 1 und 2 (§ 37 Abs. 2 und § 38 Abs. 2):

Vom EuGH wurde im Urteil vom 16. Oktober 2012 in der Rs C-614/10 in der Rn. 61 angemerkt, dass dadurch, dass die Geschäftsstelle der Datenschutzkommission aus Beamten des Bundeskanzleramts besteht, das selbst der Kontrolle der Datenschutzkommission unterliegt, die Gefahr einer Beeinflussung der Entscheidungen der Datenschutzkommission gesehen wird. Eine solche organisatorische Verzahnung der Datenschutzkommission mit dem Bundeskanzleramt verhindert, dass die Datenschutzkommission über jeden Verdacht der Parteilichkeit erhaben ist, und ist damit nicht mit dem Erfordernis der „Unabhängigkeit“ im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie vereinbar.

Aus diesem Grund sollen die Bediensteten der Geschäftsstelle der Datenschutzkommission nur mehr den Weisungen der/des Vorsitzenden der Datenschutzkommission unterstehen.

Durch diese Regelung ist klargestellt, dass die Bediensteten der Geschäftsstelle nunmehr Bedienstete der Datenschutzkommission sind und ausschließlich der Dienstaufsicht sowie der fachlichen Weisung der/des Vorsitzenden der Datenschutzkommission unterstehen.

Das geschäftsführende Mitglied unterliegt als Bedienstete/Bediensteter der Datenschutzkommission ebenso ausschließlich der Dienstaufsicht sowie der fachlichen Weisung der/des Vorsitzenden der Datenschutzkommission. Das geschäftsführende Mitglied ist jedoch als Mitglied der Datenschutzkommission in Ausübung des Amtes gemäß § 37 Abs. 1 DSG 2000 unabhängig und an keine Weisungen gebunden.

Die Datenschutzkommission soll als Dienstbehörde und Personalstelle ausgestaltet werden.

Als weitere Garantie für die völlige Unabhängigkeit soll die Sicherstellung der notwendigen Sach- und Personalausstattung der Datenschutzkommission durch eine budgetorganisatorische Einrichtung (Finanzstelle, Kontrollobjekt) sichergestellt werden.

Weiters wurde vom EuGH in den Rn. 63 und 64 angemerkt, dass das Unterrichtungsrecht des Bundeskanzlers dazu angetan ist, die Datenschutzkommission einem mittelbaren Einfluss seitens des Bundeskanzlers auszusetzen, der nicht mit dem Unabhängigkeitskriterium des Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie vereinbar ist. Insoweit ist das Unterrichtungsrecht zum einen sehr weit gefasst, da es sich auf „alle Gegenstände der Geschäftsführung der Datenschutzkommission“ erstreckt, und zum anderen ist es unbedingt eingeräumt. Unter diesen Umständen steht das in § 38 Abs. 2 DSG 2000 in Verbindung mit Art. 20 Abs. 2 des Bundes-Verfassungsgesetzes (B-VG), BGBl. Nr. 1/1930, vorgesehene Unterrichtungsrecht einer Einstufung der Datenschutzkommission als Stelle entgegen, deren Handlungen unter allen Umständen über jeden Verdacht der Parteilichkeit erhaben sind.

Das Unterrichtungsrecht des Bundeskanzlers soll in unionsrechtskonformer Auslegung des Art. 20 Abs. 2 B-VG nach § 38 Abs. 2 DSG 2000 nunmehr dahingehend eingeschränkt werden, dass die/der Vorsitzende der Datenschutzkommission dem Unterrichtungsrecht nur insoweit zu entsprechen hat, als dies nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie widerspricht. Schon der Anschein fehlender Unabhängigkeit soll das Unterrichtungsrecht des Bundeskanzlers ausschließen.

Die gemäß § 38 Abs. 1 DSG 2000 von der Datenschutzkommission erlassene Geschäftsordnung ist von der Datenschutzkommission im Lichte des EuGH-Urteils und der vorliegenden Novelle zum DSG 2000, insbesondere hinsichtlich der Regelungen zur Dienstaufsicht sowie zur Betrauung des in § 36 Abs. 3 DSG 2000 genannten Mitglieds zum geschäftsführenden Mitglied der Datenschutzkommission, abzuändern.

Mit der vorgeschlagenen Regelung ist daher die Gewährleistung der völligen Unabhängigkeit der Datenschutzkommission im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie und im Sinne des Urteils des EuGH vom 16. Oktober 2012 in der Rs C-614/10 sichergestellt.

Zu Z 3 (§ 61 Abs. 9):

Mit § 61 Abs. 9 soll der Übergang der Bediensteten der Geschäftsstelle der Datenschutzkommission, welche derzeit dem Bundeskanzleramt zugehörig sind, auf die Datenschutzkommission, die als Dienstbehörde und Personalstelle eingerichtet wird, vorgenommen werden.