Erläuterungen

Allgemeiner Teil

Hauptgesichtspunkte des Entwurfes:

Das DSG 2000 ist seit seinem Inkrafttreten am 1. Jänner 2000 siebenmal novelliert worden, wobei nur die DSG-Nov 2010 umfassende Änderungen im DSG 2000, so etwa im Bereich des Registrierungsverfahrens und der Videoüberwachungen, vorgenommen hat. Diese Änderungen im Registrierungsverfahren sind zwar bereits in Kraft getreten, jedoch bis zum Erlassen einer neuen Verordnung nach § 16 Abs. 3 DSG 2000 (Datenverarbeitungsregister-Verordnung) nicht anwendbar. Diese Verordnung nach § 16 Abs. 3 DSG 2000 ist gemäß § 61 Abs. 8 DSG 2000 bis zum 1. September 2012 neu zu erlassen.

Während die DSG-Nov 2010 den Schwerpunkt der Entlastungen, etwa durch eine automatisierte Registrierung von Meldungen, auf die nur meldepflichtigen Datenanwendungen gelegt hat, sollen nun ergänzend dazu weitere Entlastungen des Datenverarbeitungsregisters zur Beschleunigung des Registrierungsverfahrens vorgenommen werden. Dabei sollen die Möglichkeiten der Datenschutz-Richtlinie 95/46/EG zur Deregulierung des Registrierungsverfahrens genutzt und gleichzeitig Länderforderungen im Rahmen des Deregulierungsprozesses zum Bundesrecht (Teilbereich Datenschutz) umgesetzt werden.

Derartige Möglichkeiten zur Entlastung des Datenverarbeitungsregisters werden dabei im Rahmen der unionsrechtlichen Vorgaben der Datenschutz-Richtlinie 95/46/EG insbesondere in folgenden Maßnahmen gesehen:

- Einführung eines Datenschutzbeauftragten auf freiwilliger Basis sowie damit verbundener Entfall der Meldepflicht;

- Beschränkung der Vorabkontrolle auf die Verwendung sensibler Daten und auf Datenanwendungen zur (Risiko-)Bewertung einer Person;

- Entfall der Vorabkontrolle für in rechtsetzenden Maßnahmen geregelte Datenanwendungen nach vorausgehender Anhörung und Stellungnahme der Datenschutzkommission;

- Entfall der Vorabkontrolle bei datenschutzkonformer Einwilligung des Betroffenen;

- Entfall der Vorabkontrolle für Videoüberwachungen gemäß § 50a DSG 2000 sowie für Informationsverbundsysteme und für die Verwendung von strafrechtlich relevanten Daten;

- Schaffung einer Regelung zur Registrierung von vor dem Inkrafttreten der nach § 61 Abs. 8 DSG 2000 neu zu erlassenden Verordnung nach § 16 Abs. 3 DSG 2000 eingebrachten Meldungen.

In diesem Sinne soll in der vorliegenden Novelle eine Reduktion der Fälle der Vorabkontrolle durch ein zusammenhängendes System an Maßnahmen erfolgen. So sollen strafrechtlich relevante Daten nicht mehr der Vorabkontrolle, sondern nur mehr der Meldepflicht unterliegen. Gleiches soll für Informationsverbundsysteme gelten. Hingegen soll die Vorabkontrolle für sensible Daten aufrecht erhalten werden. Statt der Vorabkontrolle für Datenanwendungen zur Auskunftserteilung über die Kreditwürdigkeit der Betroffenen soll generell auf die Bewertung von Personen abgestellt werden. Eine weitere Entlastung des Datenverarbeitungsregisters und der Auftraggeber soll durch den Entfall der Vorabkontrolle für Videoüberwachungen eintreten.

Zusätzlich dazu soll mit der Einführung eines Datenschutzbeauftragten auf freiwilliger Basis für den privaten und den öffentlichen Sektor die Möglichkeit einer generellen Meldefreistellung von Datenanwendungen für die Dauer der aufrechten Bestellung des Datenschutzbeauftragten geschaffen werden. Die vorliegende Novelle orientiert sich bei der Ausgestaltung des Datenschutzbeauftragten in Detailaspekten an dem am 25. Jänner 2012 vorgestellten Entwurf der Europäischen Kommission zum europäischen Datenschutzrahmen für das 21. Jahrhundert. Kern dieses neuen Rechtsrahmens ist der Vorschlag für eine EU-Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), welcher vor allem auch die Bestellung eines Datenschutzbeauftragten vorsieht.

Weiters soll durch eine Vereinfachung für die Schaffung von Standardanwendungen in Hinkunft eine weitere Möglichkeit zur raschen Entlastung des Datenverarbeitungsregisters sowie von Auftraggebern meldepflichtiger Datenanwendungen geschaffen werden. Daneben sollen auch Altverfahren im Rahmen der unionsrechtlichen Vorgaben rascher erledigt werden.

Im Übrigen enthält der vorgeschlagene Entwurf noch diverse Fehlerbereinigungen im DSG 2000, so etwa hinsichtlich fehlerhafter Verweise, die im Rahmen einer Novellierung des DSG 2000 korrigiert werden können.

Finanzielle Auswirkungen:

- Auswirkungen auf den Stellenplan des Bundes:

Aufgrund der Reduktion der Fälle der Vorabkontrolle ist mit Entlastungen bei der vom Bund auszustattenden Datenschutzkommission im Bereich des Datenverarbeitungsregisters zu rechnen. Weiters ist auch beim Bund als Auftraggeber von Datenanwendungen mit Einsparungen durch die Reduktion der Fälle der Vorabkontrolle sowie durch den freiwillig zu bestellenden Datenschutzbeauftragten zu rechnen.

Aus dem erst kürzlich veröffentlichten Datenschutzbericht der Datenschutzkommission für die Jahre 2010/2011 kann abgeleitet werden, dass im Jahresdurchschnitt rd. 9 700 Meldungen von Datenanwendungen eingebracht werden. Davon unterliegt rund die Hälfte der Vorabkontrolle.

Es wird davon ausgegangen, dass rd. 100 Auftraggeber des privaten Bereichs und rd. 50 Auftraggeber des öffentlichen Bereichs einen Datenschutzbeauftragten bestellen werden, womit rd. 600 Meldungen, davon rd. 300 nur meldepflichtige und rd. 300 vorabkontrollpflichtige Meldungen von Datenanwendungen pro Jahr gänzlich entfallen.

Weiters wird erwartet, dass rd. 800 vorabkontrollpflichtige Videoüberwachungen nur mehr meldepflichtig sein werden. Eine geringfügige, nicht konkret bezifferbare Erhöhung der Anzahl der bloß meldepflichtigen Videoüberwachungen ergibt sich weiters aus der vorgesehenen Meldepflicht für analoge Videoüberwachungen.

Durch die vorgeschlagenen Maßnahmen verringert sich die Anzahl an vorabkontrollpflichtigen Datenanwendungen von rd. 4 850 Meldungen um insgesamt rd. 1 600 (durch den Wegfall der Vorabkontrolle für strafrechtlich relevante Daten sowie bei ausdrücklicher Zustimmung der Betroffenen, für rechtsetzende Maßnahmen nach vorausgehender Anhörung und Stellungnahme der Datenschutzkommission, für Videoüberwachungen sowie bei Einrichtung eines Datenschutzbeauftragten) auf rd. 3 250 Meldungen pro Jahr. Gleichzeitig erhöht sich die Zahl der nur meldepflichtigen Datenanwendungen von rd. 4 850 Meldungen um rd. 1 000 auf insgesamt rd. 5 850 Meldungen pro Jahr. Diesbezüglich ist jedoch darauf hinzuweisen, dass nur meldepflichtige Datenanwendungen mit dem Inkrafttreten der nach § 61 Abs. 8 DSG 2000 neu zu erlassenden Datenverarbeitungsregister-Verordnung (DVRV 2012) in Hinkunft im Rahmen der automatisierten Registrierung nur mehr auf Plausibilität geprüft werden und damit der Aufwand der Prüfung von nur meldepflichtigen Datenanwendungen für das Datenverarbeitungsregister ab diesem Zeitpunkt deutlich vermindert wird.

Durch die vorgesehenen Maßnahmen zur Erledigung von Altverfahren ist zudem mit Inkrafttreten der vorliegenden Novelle mit einer umgehenden Erledigung von rd. 10 000 der rd. 16 000 anhängigen Meldungen zu rechnen. In weiterer Folge wird damit gerechnet, dass rd. 250 Registrierungsverfahren, hinter denen zum überwiegenden Teil keine aktiven Datenanwendungen mehr stehen, pro Jahr durch diese Regelung im Rahmen einer gesetzlich vorgesehenen Zurückziehung erledigt werden.

Die vorgeschlagenen Änderungen können nach Evaluierung der Entlastungen zur Einsparung von einer Planstelle der Wertigkeit A2/v2 im Bereich des Datenverarbeitungsregisters und damit bei der vom Bund auszustattenden Datenschutzkommission führen.

Entsprechend der bisherigen Praxis soll die Datenschutzkommission die Möglichkeit haben, die Bezirksverwaltungsbehörden oder die Landespolizeidirektionen heranziehen zu können. Daher ergeben sich diesbezüglich keine Änderungen in den finanziellen Auswirkungen.

- Auswirkungen auf andere Gebietskörperschaften:

Eine nicht bezifferbare Entlastung der Gebietskörperschaften als Auftraggeber von Datenanwendungen ist durch die Reduktion der Fälle der Vorabkontrolle und durch den freiwillig zu bestellenden Datenschutzbeauftragten zu erwarten.

Wirtschaftspolitische Auswirkungen:

- Auswirkungen auf Verwaltungskosten für Unternehmen:

Die freiwillige Bestellung eines Datenschutzbeauftragten kann für Unternehmen mit einer Vielzahl an Datenanwendungen oder mit komplexen Datenanwendungen zu erheblichen Entlastungen führen und verursacht demgegenüber nur unwesentliche Verwaltungskosten durch die einfache Meldung der Bestellung des Datenschutzbeauftragten an die Datenschutzkommission. Eine weitere erhebliche Verminderung der Verwaltungskosten ist durch den Entfall der Vorabkontrolle, insbesondere für Videoüberwachungen, bei der Verwendung von Daten mit ausdrücklicher Zustimmung des Betroffenen und bei der Vorabkontrolle von in Gesetzen und Verordnungen geregelten Datenanwendungen, zu erwarten. Durch die Entlastung des Datenverarbeitungsregisters ist zu erwarten, dass auch jene übrigen Datenanwendungen von Unternehmen, die weiterhin vorabkontrollpflichtig sind, bedeutend schneller aufgenommen werden können.

Insgesamt wurde bei der Basiserhebung 2006/2007 von rd. 2 325 einfachen Meldungen und 667 komplexen Meldung von Unternehmen pro Jahr ausgegangen. Nach dem erst kürzlich veröffentlichten Datenschutzbericht der Datenschutzkommission für die Jahre 2010/2011 sind nunmehr im Jahr 2010 insgesamt 7 569 und im Jahr 2011 insgesamt 11 866 Meldungen von Datenanwendungen eingegangen. Durchschnittlich ist sohin von rd. 9 700 Meldungen von Datenanwendungen pro Jahr auszugehen, wozu angenommen wird, dass in etwa die Hälfte, sohin rd. 4 850 auf Unternehmen entfällt. Angenommen wird, dass das Verhältnis zwischen einfachen und komplexen Meldungen gleichbleibt, sohin wird von rd. 1 080 komplexen und rd. 3 770 einfachen Meldungen ausgegangen.

Durch die freiwillige Bestellung eines Datenschutzbeauftragten durch rd. 100 Unternehmen ist mit einer Reduktion von 200 einfachen Meldungen und 100 komplexen Meldungen von Datenanwendungen von Unternehmen zu rechnen, welche dann nicht mehr meldepflichtig sind.

Sohin ist von einer Reduktion von rd. 3 770 auf rd. 3 570 bei einfachen Meldungen und von rd. 1 080 auf rd. 980 bei komplexen Meldungen und damit mit einer Verminderung der Verwaltungskosten für Unternehmen in der Höhe von rd. 250 000 Euro zu rechnen.

Demgegenüber stehen die Kosten für die Unterrichtung des Datenschutzbeauftragten von neuen Datenanwendungen im Unternehmen in der Höhe von 32 000 Euro (größte unter der Bagatellgrenze liegende, neue Informationsverpflichtung). Die bloße Meldung der freiwilligen Bestellung eines Datenschutzbeauftragten an die Datenschutzkommission verursacht dagegen nur unter der Bagatellgrenze liegende Aufwendungen für Unternehmen.

Insgesamt ist daher durch die vorliegende Novelle mit einer Verminderung der Verwaltungskosten für Unternehmen in der Höhe von rd. 220 000 Euro zu rechnen.

Im Übrigen ist anzumerken, dass analoge Videoüberwachungen zwar – im Wege der Aufhebung einer nicht mehr gerechtfertigt erscheinenden Ausnahme von der Meldepflicht – nunmehr meldepflichtig sein sollen. Jedoch werden aufgrund der fortschreitenden technischen bzw. digitalen Entwicklung keine Auswirkungen mehr auf die Praxis erwartet.

- Auswirkungen auf Verwaltungskosten für Bürger/innen:

Nachdem die Videoüberwachung von bebauten Privatgrundstücken (samt Hauseingang und Garage) aufgrund der Standardanwendung SA032 der Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, im vorgegebenen Umfang nicht gemeldet werden muss, ist pro Jahr nur mehr mit rd. 80 Meldungen von Bürgern zu rechnen. Diese Meldungen betreffen zudem zum überwiegenden Teil nicht vorabkontrollpflichtige Datenanwendungen. Da Bürger zudem für die Kontrolle ihrer Datenanwendungen auch keinen Datenschutzbeauftragten anstellen werden, ist durch die vorliegende Novelle nicht mit Entlastungen für Bürger zu rechnen.

Kompetenzgrundlage:

Der vorliegende Entwurf stützt sich auf § 2 Abs. 1 DSG 2000.

Besonderheiten des Normerzeugungsverfahrens:

Keine.

Besonderer Teil

Zu Z 1 (Inhaltsverzeichnis):

Die Ergänzung des Inhaltsverzeichnisses wird durch die Aufnahme eines Datenschutzbeauftragten ins DSG 2000 erforderlich.

Zu Z 2 (§ 4):

Mit der DSG-Nov 2010 wurden Änderungen an diversen Begriffsbestimmungen in § 4 vorgenommen. Um eine Einheitlichkeit dieser geänderten Begriffsbestimmungen in formeller Hinsicht mit den schon zuvor in § 4 definierten Begriffen zu erreichen, sollen die mit der DSG-Nov 2010 geänderten Begriffe ebenfalls in Anführungszeichen gesetzt werden.

Zu den Z 3 und 4 (§ 8 Abs. 3 und 4):

§ 8 Abs. 4 zählt in den Z 1 bis 4 jene Voraussetzungen auf, unter denen die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen – unbeschadet der Bestimmungen des Abs. 2 – nicht gegen schutzwürdige Geheimhaltungsinteressen des Betroffenen verstößt.

Nach dem mit der DSG-Nov 2010 ins DSG 2000 eingefügten § 8 Abs. 4 Z 4 wird auch dann nicht gegen schutzwürdige Geheimhaltungsinteressen des Betroffenen verstoßen, wenn die Datenweitergabe zum Zweck der Erstattung einer Anzeige an eine zur Verfolgung der angezeigten strafbaren Handlungen (Unterlassungen) zuständige Behörde erfolgt.

In der Praxis zeigten sich bei dieser Bestimmung Auslegungsprobleme. Insbesondere ließ der äußerst weit gefasste Wortlaut von § 8 Abs. 4 Z 4 DSG 2000 auch die Interpretation zu, dass die Verwendungen von strafrechtlich relevanten Daten zur Anzeige an die zuständige Behörde selbst dann generell zulässig wäre, wenn die Anzeige selbst nicht in die Zuständigkeit der anzeigenden Behörde fällt. Eine derartige Interpretation des § 8 Abs. 4 Z 4 DSG 2000 würde jedoch zu einer nicht gewollten Erweiterung der Verwendung von strafrechtlich relevanten Daten durch unzuständige Behörden führen.

Hinsichtlich der Datenverwendung durch zuständige Behörden ist jedoch fraglich, ob eine explizite Regelung im DSG 2000 überhaupt benötigt wird. Nachdem eine Verwendung strafrechtlich relevanter Daten schon aufgrund von § 8 Abs. 4 Z 1 bis 3 DSG 2000 dann nicht gegen schutzwürdige Geheimhaltungsinteressen verstößt, wenn sie aufgrund einer ausdrücklichen gesetzlichen Ermächtigung oder Verpflichtung erfolgt oder für Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung zur Wahrnehmung einer ihnen gesetzlich übertragenen Aufgabe ist oder sich sonst die Zulässigkeit der Verwendung dieser Daten aus gesetzlichen Sorgfaltspflichten oder sonstigen, die schutzwürdigen Geheimhaltungsinteressen des Betroffenen überwiegenden berechtigten Interessen des Auftraggebers ergibt, ist eine (weitere) Regelungen zur Verwendung von strafrechtlich relevanten Daten zur Anzeigelegung durch zuständige Behörden nicht erforderlich. Aus diesem Grund – und um eine zu weite Auslegung hintanzuhalten – soll § 8 Abs. 4 Z 4 DSG 2000 ersatzlos gestrichen werden.

Zu Z 5 (§ 10 Abs. 2):

In § 10 Abs. 2 DSG 2000 soll ein fehlerhafter Verweis richtig gestellt werden.

Zu Z 6 (§ 12 Abs. 3 Z 8, § 14 Abs. 3):

Hier soll bloß die Anpassung von Verweisen an eine durch die DSG-Nov 2010 vorgenommene Umnummerierung von Absätzen vorgenommen werden.

Zu Z 7 (§ 17 Abs. 2 Z 6):

Der Vorschlag der EU-Kommission vom 25. Jänner 2012 für eine Datenschutz-Grundverordnung sieht einen Entfall der allgemeinen Meldepflicht von Datenanwendungen vor. Jene Datenanwendungen, die derzeit in Standardanwendungen ausdrücklich meldefrei gestellt werden, würden nach diesem Vorschlag daher ohnedies meldefrei sein.

In Anbetracht dieser neuen Entwicklungen – und insbesondere auch im Hinblick auf die Arbeitsüberlastung des Datenverarbeitungsregisters – erscheint es daher zulässig, dass Standardanwendungen in der StMV 2004 in Hinkunft in vereinfachter Form ausgestaltet werden können. Damit soll ermöglicht werden, in relativ kurzer Zeit neue Datenverarbeitungen in Standardanwendungen aufzunehmen, um damit das Datenverarbeitungsregister und Auftraggeber rasch entlasten zu können.

Zu Z 8 (§ 17 Abs. 2 Z 7):

Bei Bestellung und Meldung eines Datenschutzbeauftragten soll für den Auftraggeber einer sonst meldepflichtigen Datenanwendung die Meldepflicht gänzlich entfallen. Davon umfasst sollen auch solche Datenanwendungen sein, die sonst der Vorabkontrolle nach § 18 Abs. 2 DSG 2000 unterliegen würden.

Der Entfall der Meldepflicht soll auch nur für den Zeitraum gelten, in welchem tatsächlich ein Datenschutzbeauftragter aufrecht bestellt und gemeldet wurde. Wenn ein Datenschutzbeauftragter zwar (intern) bestellt, jedoch nicht an die Datenschutzkommission gemeldet wurde, soll die Meldepflicht des Auftraggebers weiterhin aufrecht bleiben.

In jenen Fällen, in welchen ein Datenschutzbeauftragter nicht wiederbestellt oder vorzeitig abberufen wird und in der Folge auch kein neuer Datenschutzbeauftragter bestellt und gemeldet wird, soll die Meldeverpflichtung ab diesem Zeitpunkt im vollen Umfang wieder aufleben.

Zu Z 9 (§ 17a):

Art. 20 der Datenschutz-Richtlinie 95/46/EG regelt in Abs. 1 hinsichtlich der Vorabkontrolle, dass die Mitgliedstaaten festlegen, welche Verarbeitungen spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können, und Sorge dafür tragen, dass diese Verarbeitungen vor ihrem Beginn geprüft werden. Solche Vorabprüfungen nimmt gemäß Abs. 2 die Kontrollstelle nach Empfang der Meldung des für die Verarbeitung Verantwortlichen vor, oder sie erfolgen durch den Datenschutzbeauftragten, der im Zweifelsfall die Kontrollstelle konsultieren muss.

Im DSG 2000 wurde bislang nur die Vorabkontrolle durch die Kontrollstelle nach § 18 Abs. 2 umgesetzt, nicht jedoch die weitere Möglichkeit einer Vorabkontrolle durch einen Datenschutzbeauftragten eingerichtet. Andere Mitgliedstaaten, wie etwa die Niederlande, Schweden, Luxemburg, Frankreich sowie Deutschland haben Datenschutzbeauftragte hingegen bereits auf nationaler Ebene verankert. Beispielhaft wird hierzu auf § 4f BDSG hingewiesen, wonach öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, einen Beauftragten für den Datenschutz bestellen müssen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Diese Pflicht gilt nicht für nicht-öffentliche Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Aufgrund von § 4d Abs. 2 BDSG entfällt die Meldepflicht, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat.

Zur Entlastung des Datenverarbeitungsregisters soll daher ein Datenschutzbeauftragter auch ins DSG 2000 aufgenommen werden. Hierbei ist vorweg anzumerken, dass Art. 20 der Datenschutz-Richtlinie 95/46/EG nicht festlegt, welche Auftraggeber (öffentlicher oder privater Sektor) einen Datenschutzbeauftragten bestellen können oder ob der Datenschutzbeauftragte vom Auftraggeber verpflichtend oder freiwillig bestellt werden soll. Die Mitgliedstaaten können daher die Details der Einrichtung eines Datenschutzbeauftragten in den nationalen Rechtsordnungen selbst festlegen.

Im Entwurf einer DSG-Nov 2008 (182/ME 23. GP) war bereits die Einrichtung eines für Betriebe mit mehr als 20 Mitarbeitern verpflichtenden betrieblichen Datenschutzbeauftragten – bei gleichzeitiger Beibehaltung der Meldepflicht von Datenanwendungen an das Datenverarbeitungsregister – vorgesehen, welcher im Hinblick auf den Kündigungs- und Entlassungsschutz einer Sicherheitsfachkraft (§ 73 Abs. 1 des Arbeitnehmer-Innenschutzgesetzes – ASchG, BGBl Nr. 450/1994) gleichgestellt werden sollte. Die Einführung eines derart ausgestalteten verpflichtenden Datenschutzbeauftragten wurde im Begutachtungsverfahren zum Entwurf der DSG-Nov 2008 zum Teil vehement abgelehnt. In der Folge wurde auf der Grundlage des Entwurfes der DSG-Nov 2008 zwar die DSG-Nov 2010 erlassen, dies jedoch ohne eine Regelung zur Einführung eines Datenschutzbeauftragten.

Der aktuelle Vorschlag der EU-Kommission für eine Datenschutz-Grundverordnung sieht in Art. 35 ff nun die verpflichtete Bestellung eines Datenschutzbeauftragten vor, wenn

a) die Verarbeitung durch eine Behörde oder eine öffentliche Einrichtung erfolgt, oder

b) die Bearbeitung durch ein Unternehmen erfolgt, das 250 oder mehr Mitarbeiter beschäftigt, oder

c) die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.

Weiters sieht die vorgeschlagene Datenschutz-Grundverordnung vor, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten für einen Zeitraum von mindestens zwei Jahren benennt. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Postens nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt. Der Datenschutzbeauftragte muss das erforderliche Fachwissen besitzen. Der Grad des erforderlichen Fachwissens richtet sich dabei insbesondere nach der Art der durchgeführten Datenverarbeitung und des erforderlichen Schutzes für die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter teilt zudem der Aufsichtsbehörde und der Öffentlichkeit den Namen und die Kontaktdaten des Datenschutzbeauftragten mit und stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, der Datenschutzbeauftragte seinen Pflichten und Aufgaben unabhängig nachkommen kann und keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhält. Der Datenschutzbeauftragte berichtet unmittelbar der Leitung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters. Weiters unterstützt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben und stellt Personal, Räumlichkeiten, Ausrüstung und alle sonstigen Ressourcen, die für die Erfüllung seiner Pflichten und Aufgaben erforderlich sind, zur Verfügung. Zu den Aufgaben des Datenschutzbeauftragten gehören nach Art. 37 des Vorschlages zur Datenschutz-Grundverordnung insbesondere Tätigkeiten im Bereich der Beratung, aber auch die Überwachung der Umsetzung und Anwendung der Verordnung, und die Tätigkeit als Ansprechpartner für die Aufsichtsbehörde.

In Anlehnung an diesen aktuellen Vorschlag der EU-Kommission soll nun auch im DSG 2000 ein Datenschutzbeauftragter vorgesehen werden, welcher Ansätze des vorgeschlagenen Modells der EU-Kommission übernehmen soll, jedoch im Rahmen der Vorgaben der bis zur Erlassung des neuen Rechtsrahmens weiterhin geltenden Datenschutz-Richtlinie 95/46/EG für jene Auftraggeber, die einen Datenschutzbeauftragten bestellen, den Vorteil bringen soll, dass in der Folge die Meldepflicht (und damit auch die Vorabkontrolle für davon umfassten Datenanwendungen) entfällt.

Im Gegensatz zu dem im Entwurf der DSG-Nov 2008 vorgesehenen Modell soll der Datenschutzbeauftragte für den öffentlichen und den privaten Sektor nicht zwingend, sondern nur freiwillig, dafür jedoch für eine Dauer von mindestens drei Jahren bestellt werden können. Damit ist auch die Bestellung eines Datenschutzbeauftragten für Behörden möglich und führt zum Entfall der Meldepflicht. Ein (vorzeitiges) Entheben des Datenschutzbeauftragten von seiner Funktion soll nur dann möglich sein, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt. Dieses Modell orientiert sich – mit Ausnahme der bloß freiwilligen Bestellung – an jenem der vorgeschlagenen Datenschutz-Grundverordnung und steht in engem Konnex mit der Anforderung an den Datenschutzbeauftragten, dass dieser die zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen muss. Weiters soll er in Erfüllung seiner Aufgaben nicht gekündigt oder sonst benachteiligt werden dürfen.

Die Bestellung eines Datenschutzbeauftragten soll auch nach außen hin – insbesondere für den Betroffenen – erkennbar sein. Zu diesem Zweck hat der Auftraggeber umgehend nach der Bestellung den Namen und die beruflichen Kontaktdaten der zum Datenschutzbeauftragten bestellten Person sowie die Dauer der Bestellung der Datenschutzkommission mitzuteilen. Die Datenschutzkommission hat eine Liste der Auftraggeber und der Datenschutzbeauftragten auf einer Internetseite (sinnvoller Weise auf der Website der Datenschutzkommission) zu veröffentlichen, damit jedermann darin Einsicht nehmen kann. Nicht schon mit der Bestellung (als internem Akt), sondern erst mit der nachfolgenden Meldung der Bestellung an die Datenschutzkommission soll die Meldepflicht der Datenanwendung nach § 17 DSG 2000 entfallen. Im Übrigen soll die Datenschutzkommission jedoch keine inhaltliche Kontrolle dahingehend vornehmen, ob etwa die Bestellung zulässig war oder der Datenschutzbeauftragte die erforderlichen Fachkenntnisse besitzt. Mängel bei der Bestellung sollen daher allein vom bestellenden Auftraggeber selbst zu vertreten sein.

§ 17a Abs. 4 soll die Aufgaben des Datenschutzbeauftragten festlegen. Diese sollen einerseits in der Überwachung der datenschutzrechtlichen Vorschriften in der Behörde oder dem Unternehmen und andererseits in der Beratung in Bezug auf den betrieblichen Datenschutz bestehen.

Wenn dem Datenschutzbeauftragten ein Verdacht einer Verletzung datenschutzrechtlicher Vorschriften bekannt wird, hat er auf die Herstellung eines rechtmäßigen Zustandes hinzuwirken, oder wenn ihm das nicht möglich ist, den Auftraggeber von dem Verdacht in Kenntnis zu setzen. Unterlässt der Datenschutzbeauftragte die Wahrnehmung dieser Pflichten, kann er sich dadurch strafbar machen. Im Übrigen hat der Auftraggeber den Datenschutzbeauftragten bei seiner Tätigkeit zu unterstützen und ihm entsprechend Zeit für Aus- und Weiterbildung auf dem Gebiet des Datenschutzes zuzugestehen.

Auch soll klargestellt werden, dass der Datenschutzbeauftragte natürlich dem Datengeheimnis (§ 15) unterliegt, dies insbesondere auch im Hinblick auf ein allfälliges Ausscheiden aus der Organisation des Auftraggebers nach Ablauf der Amtszeit oder bei vorzeitiger Enthebung von seinem Amt.

Die datenschutzrechtliche Verantwortung nach außen hin soll jedoch weiterhin der Auftraggeber tragen, um ein komplettes Überwälzen der Verantwortung für allfällige Datenschutzverletzungen auf den Datenschutzbeauftragten hintanzuhalten.

Zu den Z 10 und 11 (§ 18 Abs. 2, 3 und 4):

Art. 20 der Datenschutz-Richtlinie 95/46/EG regelt in Abs. 1 hinsichtlich der Vorabkontrolle, dass die Mitgliedstaaten festlegen, welche Verarbeitungen spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können, und dafür Sorge tragen, dass diese Verarbeitungen vor ihrem Beginn geprüft werden. Die Richtlinie lässt jedoch weitgehend offen, was unter solchen „spezifischen Risiken“ zu verstehen ist.

Anstatt, wie in § 18 Abs. 2 DSG 2000 derzeit geregelt ist, auf sensible und strafrechtlich relevante Daten, Auskunftserteilungen über die Kreditwürdigkeit oder Informationsverbundsysteme abzustellen, erscheint eine Beschränkung bloß auf die Verwendung sensibler Daten im Rahmen der Auslegung des Art. 20 der Datenschutz-Richtlinie 95/46/EG unionsrechtlich zulässig. Insbesondere erscheint es im Hinblick auf diese spezifischen Risiken für den Betroffenen iSd des Art. 20 der Datenschutz-Richtlinie 95/46/EG nicht zwingend erforderlich, für strafrechtlich relevante Daten oder allgemein für Informationsverbundsysteme eine Vorabkontrolle vorzusehen. Wenngleich durch die Datenschutz-Richtlinie 95/46/EG nicht explizit vorgegeben, erscheint es hinsichtlich des spezifischen Risikos für den Betroffenen hingegen erforderlich, Datenanwendungen, die zur Bewertung einer Person herangezogen werden, auch (weiterhin) der Vorabkontrolle zu unterwerfen. Diese Risikobewertung einer Person im Rahmen von „Scoring“ wird durch eine mathematisch-statistische Analyse von Erfahrungswerten vorgenommen.

Die Vorabkontrolle soll daher zur Entlastung des Auftraggebers und des Datenverarbeitungsregisters in § 18 Abs. 2 DSG 2000 auf die Verwendung sensibler Daten und Datenanwendungen zur (Risiko-)Bewertung einer Person beschränkt werden. Diese Verarbeitungen (sensible Daten sowie Bewertungen von Personen) unterliegen auch nach dem § 4d Abs. 5 BDSG grundsätzlich der Vorabkontrolle.

Die Mitgliedstaaten können jedoch auch nach Art. 20 Abs. 3 der Datenschutz-Richtlinie 95/46/EG eine solche (Vorab-)Prüfung im Zuge der Ausarbeitung einer rechtsetzenden Maßnahme oder einer auf eine solche Maßnahme gestützten Maßnahme durchführen, die die Art der Verarbeitung festlegt und geeignete Garantien vorsieht.

Für jene Datenanwendungen nach § 18 Abs. 2 in Gesetzen und Verordnungen, zu denen der Datenschutzkommission unter ausdrücklicher Bezugnahme auf § 18 Abs. 3 Gelegenheit zur Stellungnahme gegeben worden ist, soll – soweit die Stellungnahme berücksichtigt worden ist – die Vorabkontrollpflicht gänzlich entfallen. Gleiches gilt dann, wenn die Datenschutzkommission von sich aus zu einer derartigen Ausarbeitung von Gesetzen oder Verordnungen hinsichtlich des Abs. 2 Stellung genommen hat. Die Meldepflicht bleibt für solche Datenanwendungen jedoch aufrecht. Die allfällige Nichtberücksichtigung der Stellungnahme der Datenschutzkommission hat aber die Folge, dass die betroffenen Datenanwendungen weiterhin der Vorabkontrolle unterliegen.

Mit der Regelung des § 18 Abs. 3 soll bei in Gesetzen oder Verordnungen vorgesehenen Datenanwendungen mit einer Vielzahl von Auftraggebern eine deutliche Entlastung des Datenverarbeitungsregisters erreicht werden. Die Bezeichnung der Datenanwendung soll unter Anführung der Fundstelle in den von § 18 Abs. 3 erfassten Gesetzen und Verordnungen im Rahmen einer Liste von der Datenschutzkommission im Internet (z.B. auf der Website der Datenschutzkommission) zum Zweck der Kundmachung des Entfalls der Vorabkontrolle veröffentlicht und jeweils aktuell gehalten werden.

Darüber hinaus soll – ähnlich wie in § 4d Abs. 5 BDSG vorgesehen – generell bei einer ausdrücklichen Zustimmung des Betroffenen zur Verarbeitung seiner Daten die Vorabkontrolle entfallen, da die spezifischen Risiken bei einer gültigen, ausdrücklichen Zustimmung des Betroffenen, die auf den konkreten Fall gerichtet, frei von Zwang und in Kenntnis der Sachlage abgegeben worden ist, grundsätzlich als gering angesehen werden können.

Zu Z 12 (§ 20 Abs. 1):

Nach § 20 Abs. 1 DSG 2000 sind Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers nicht einen der Tatbestände des § 18 Abs. 2 Z 1 bis 4 DSG 2000 erfüllen, nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Durch die Beschränkung auf die Z 1 bis 4 wären die im Einleitungssatz des § 18 Abs. 2 DSG 2000 angeführten meldepflichtigen Datenanwendungen zwar nicht vorabkontrollpflichtig, würden aber dennoch nicht in den Vorteil einer bloß automationsunterstützten Prüfung kommen, sondern müssten weiterhin vollständig geprüft werden.

Nachdem dieses nicht sinnvoll erscheint (und es sich offenbar um ein Redaktionsversehen bei der DSG-Nov 2010 handelt), sollen durch Streichung des einschränkenden Verweises auf die Z 1 bis 4 die im Einleitungssatz zum § 18 Abs. 2 DSG 2000 angeführten Datenwendungen (und sohin solche Datenanwendungen, die einer Musteranwendung nach § 19 Abs. 3 DSG 2000 entsprechen, innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften oder die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 DSG 2000 genannten Zwecke betreffen) generell nur mehr automationsunterstützt auf ihre Vollständigkeit und Plausibilität geprüft werden.

Zu den Z 13 und 14 (§ 30 Abs. 1a und 2a):

§ 30 Abs. 1a soll dem Datenschutzbeauftragten die Möglichkeit geben, sich mit einer Eingabe an die Datenschutzkommission zu wenden, wenn der Auftraggeber trotz Kenntnis vom Verdacht der Datenschutzverletzung innerhalb angemessener Frist keine geeigneten Maßnahmen zur Beseitigung des vermuteten rechtswidrigen Zustandes getroffen hat.

In diesem Zusammenhang soll die Datenschutzkommission auch bei Eingaben eines Datenschutzbeauftragten die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§ 22 und 22a DSG 2000 vorgehen können.

Zu Z 15 (§ 30 Abs. 4a):

Nach § 30 Abs. 4 DSG 2000 ist die Datenschutzkommission zum Zweck der Einschau nach Verständigung des Inhabers der Räumlichkeiten und des Auftraggebers (Dienstleisters) berechtigt, Räume, in welchen Datenanwendungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat die für die Einschau notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Auftraggebers (Dienstleisters) und Dritter auszuüben.

Nachdem davon Räumlichkeiten von Auftraggebern und Dienstleistern in ganz Österreich betroffen sein können, ist eine Einschau vor Ort für die Datenschutzkommission mit Sitz in Wien nur schwer durchführbar. Daher soll entsprechend der bisherigen Praxis klarstellend normiert werden, dass die Datenschutzkommission die Möglichkeit hat, die Bezirksverwaltungsbehörden oder die Landespolizeidirektionen für diese Tätigkeit heranziehen zu können.

Zu Z 16 (§ 38 Abs. 3):

§ 18 Abs. 3 soll den Entfall der Vorabkontrolle auch für jene Datenanwendungen vorsehen, die aufgrund von Gesetzen oder Verordnungen vorgenommen werden, die die Art der Verarbeitung festlegen und geeignete Garantien vorsehen und im Zuge der Ausarbeitung von der Datenschutzkommission vorab geprüft wurden.

Korrespondierend dazu soll der Datenschutzkommission nach § 38 Abs. 3 vorweg – neben dem schon bestehenden Anhörungsrecht für Verordnungen – auch ein Anhörungsrecht vor der Erlassung von Gesetzen gegeben werden, wenn das Vorhaben wesentliche Fragen des Datenschutzes unmittelbar betrifft.

Zu den Z 17 und 18 (§ 46 Abs. 3a und § 50a Abs. 3 und 4):

Hier sollen lediglich zwei Redaktionsversehen der letzten Novelle korrigiert werden.

Zu Z 19 (§ 50a Abs. 7):

Nachdem Videoüberwachungen von der Vorabkontrolle ausgenommen werden sollen, soll auch untersagt werden, dass Videoüberwachungen zum Zweck der Ermittlung von sensiblen Daten oder „Bewertungsdaten“ (§ 18 Abs. 2 Z 2) genutzt werden.

Zu Z 20 (§ 50b Abs. 2):

Ebenfalls im Zusammenhang mit dem Entfall der Vorabkontrolle von Videoüberwachungen soll mit den Änderungen in § 50b Abs. 2 klargestellt werden, dass auch jene Videoüberwachungen, die eine Aufbewahrungsdauer der Daten von mehr als 72 Stunden vorsehen, ebenfalls nur mehr der Meldepflicht, nicht aber der Vorabkontrollpflicht unterliegen – und daher nach der Erlassung einer neuen Verordnung nach § 16 Abs. 3 DSG 2000 – grundsätzlich nur mehr im Rahmen der automatisierten Registrierung im Hinblick auf ihre Plausibilität geprüft werden sollen.

Zu Z 21 (§ 50c Abs. 1 und 2):

Die Einrichtung und der Betrieb einer Videoüberwachungen stellt kein spezifisches Risiko für die Rechte und Freiheiten der Personen im Sinne des Art. 20 der Datenschutz-Richtlinie 95/46/EG dar, solange dabei nicht gezielt sensible Daten verwendet werden (z.B. Videoüberwachung eines Kircheneinganges).

Eine allgemeine Vorabkontrollpflicht für Videoüberwachungen erscheint sohin nicht zwingend erforderlich, zumal mit derartigen Videoüberwachungen gewonnene Daten von Betroffenen nach § 50a Abs. 7 DSG 2000 nicht automationsunterstützt mit anderen Bilddaten abgeglichen und nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden dürfen.

Daher sollen Videoüberwachungen nach § 50a DSG 2000 zwar der Meldepflicht nach § 17 DSG 2000 unterliegen, aber ohne Vorabkontrolle sofort nach der Meldung aufgenommen werden können, wodurch – vor allem in Verbindung mit der nur mehr automatisierten Registrierung nach Inkrafttreten der noch zu erlassenden Verordnung gemäß § 16 Abs. 3 DSG 2000 – eine beträchtliche Entlastung des Datenverarbeitungsregisters durch Wegfall der Vorabkontrolle für Videoüberwachungen zu erwarten ist.

Ohne die Vorabkontrollpflicht für Videoüberwachungen ist auch die – technisch bislang noch nicht umgesetzte – „Schlüsselhinterlegung“ in § 50c Abs. 1 DSG 2000 obsolet und soll daher gestrichen werden.

Zudem erscheint die generelle Ausnahme von der Meldepflicht für analoge Videoüberwachungen gemäß § 50c Abs. 2 Z 2 DSG 2000 nicht gerechtfertigt, da es für den Eingriff in das Geheimhaltungsinteresse des Betroffenen praktisch keinen Unterschied macht, ob eine analoge oder digitale Technologie eingesetzt wird. Es soll daher durch Streichung der Ausnahme für analoge Videoüberwachungen in § 50c Abs. 2 Z 2 DSG 2000 die Umgehung der Meldepflicht durch analoge Überwachungen hintangehalten werden.

Zu den Z 22 (§ 52 Abs. 1 Z 5), 23 (§ 52 Abs. 1 Z 6), 24 (§ 52 Abs. 2 Z 7) und 25 (§ 52 Abs. 2 Z 8 bis 12):

Die Einführung eines Datenschutzbeauftragten (§ 17a) erfordert auch die Schaffung neuer Strafvorschriften, damit Missbrauch dieser neuen Möglichkeit vermieden und auf die ordnungsgemäße Erfüllung der Pflichten durch den Datenschutzbeauftragten hingewirkt werden kann.

Im Detail erscheint es erforderlich, dass das Vortäuschen einer Bestellung eines Datenschutzbeauftragten unter Strafe gestellt wird. Sofern eine solche Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, soll sie mit einer Geldstrafe von bis zu 25 000 Euro (Verwaltungsstrafe) geahndet werden, da derartige Taten die Funktionsweise des Datenschutzbeauftragten in ihrem Grundsystem untergraben können.

Mit einer geringeren Geldstrafe von bis zu 10 000 Euro soll hingegen geahndet werden, dass der Auftraggeber einer meldepflichtigen Datenanwendung die Meldung der Abberufung eines Datenschutzbeauftragten an die Datenschutzkommission unterlässt, oder den bestellten Datenschutzbeauftragten an der Erfüllung seiner Pflichten vorsätzlich hindert. Ebenso unter Strafe gestellt werden sollen die vorsätzliche Untätigkeit des Datenschutzbeauftragten und das rechtsgrundlose vorzeitige Entheben des Datenschutzbeauftragten von seinem Amt oder die Kündigung bzw. Benachteiligung des Datenschutzbeauftragten.

Zu Z 26 (§ 60 Abs. 7):

§ 60 Abs. 7 enthält die Inkrafttretebestimmungen.

Zu Z 27 (§ 61 Abs. 9 und 10):

Mit der DSG-Nov 2010 wurde für meldepflichtige – nicht jedoch für vorabkontrollpflichtige – Datenanwendungen die Erleichterung einer automatisierten Registrierung in das DSG 2000 aufgenommen, bei der anhand von Plausibilitätskriterien (die in Form eines Kontrollwörterbuches umgesetzt werden sollen) geprüft wird, ob tatsächlich nur eine (bloß) meldepflichtige, nicht aber vorabkontrollpflichtige Datenanwendung vorliegt. Eine vollständige inhaltliche Prüfung soll daher nur mehr bei vorabkontrollpflichtigen Datenanwendungen vorgenommen werden. Die automatisierte Registrierung wird jedoch erst mit dem Inkrafttreten der noch zu erlassenden Verordnung nach § 16 Abs. 3 DSG 2000 anwendbar.

§ 61 Abs. 9 soll nun auch für solche, bereits vor dem Inkrafttreten dieser Verordnung nach § 16 Abs. 3 DSG 2000 laufenden Registrierungsverfahren („Altverfahren“), die nach dem DSG 2000 in der jeweils geltenden Fassung nicht der Vorabkontrolle unterliegen, eine Registrierung ohne weitere inhaltliche Prüfung vorschreiben. Dies soll zum Abschluss von laufenden Altverfahren führen und damit im Rahmen der Deregulierung künftig Kapazitäten im Datenverarbeitungsregister zur schnelleren Durchführung der Registrierung von vorabkontrollpflichtigen Verfahren schaffen. Angesichts des bei nicht vorabkontrollpflichtigen Datenanwendungen geringeren Gefährdungspotenzials für den Betroffenen ist eine derartige Vereinfachung – und Angleichung der laufenden Verfahren an die automatisierte Registrierung – gerechtfertigt.

§ 61 Abs. 10 soll nur dann zur Anwendung kommen, wenn derartige Datenanwendungen nicht nach Abs. 9 als registriert gelten. Anhängige Meldungen, zu denen ein Verbesserungsauftrag erteilt, diesem jedoch seit mehr als drei Jahren nicht Folge geleistet worden ist, sollen in Hinkunft als zurückgezogen gelten, weil bei derartigen Verfahren davon ausgegangen werden muss, dass der Auftraggeber die Datenanwendung nicht mehr betreibt oder offenkundig nicht mehr betreiben will. Weiters sollen anhängige Meldungen von Datenanwendungen, die zwar zum Zeitpunkt des Einbringens meldepflichtig (oder auch zusätzlich vorabkontrollpflichtig) sind, zu einem späteren Zeitpunkt – so etwa aufgrund der Schaffung einer Standardanwendung oder der ordnungsgemäßen Bestellung und Meldung eines Datenschutzbeauftragten – jedoch meldefrei werden, nach § 61 Abs. 10 nicht mehr meldepflichtig sein und daher als zurückgezogen gelten. Anhängige Meldungen von Datenanwendungen, die zum Zeitpunkt des Einbringens noch der Vorabkontrolle unterliegen, jedoch nachträglich von der Vorabkontrolle ausgenommen werden (z.B. aufgrund der Erlassung eines Gesetzes nach § 18 Abs. 3, welches die anhängige Datenanwendung auf eine gesetzliche Grundlage stellt), sollen nur mehr meldepflichtig sein und können daher sofort nach der Meldung der Datenanwendung aufgenommen werden.