Vorblatt

Ziele

- Herstellung der unionsrechtskonformen Rechtslage im Hinblick auf die Einrichtung einer Kontrollstelle nach Art. 28 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutz-Richtlinie), ABl. Nr. L 281 vom 23.11.1995 S. 31, nach Auflösung der Datenschutzkommission mit 1. Jänner 2014.

- Einrichtung eines Fachbeirates zur Unterstützung der Datenschutzbehörde.

Inhalt

Das Vorhaben umfasst hauptsächlich folgende Maßnahmen:

- Gesetzliche Einrichtung der neuen Datenschutzbehörde als Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie.

- Gesetzliche Einrichtung eines Fachbeirates.

Wesentliche Auswirkungen

Das Vorhaben hat keine eigenen finanziellen Auswirkungen, weil die durch die Umstellung auf eine zweistufige Verwaltungsgerichtsbarkeit hervorgerufenen finanziellen Auswirkungen auf der Verwaltungsgerichtsbarkeits-Novelle 2012, BGBl. I Nr. 51/2012, dem Bundesverwaltungsgerichtsgesetz (BVwGG), BGBl. I Nr. 10/2013, sowie der Regierungsvorlage des Verwaltungsgerichtsbarkeits-Ausführungsgesetzes 2012 (RV 2009 BlgNR 24. GP) beruhen, so dass auf die diesbezüglichen Materialien verwiesen wird.

In den weiteren Wirkungsdimensionen gemäß § 17 Abs. 1 des Bundeshaushaltsgesetzes 2013 (BHG 2013), BGBl. I Nr. 139/2009, treten keine wesentlichen Auswirkungen auf.

Verhältnis zu den Rechtsvorschriften der Europäischen Union:

Die vorgesehenen Regelungen liegen innerhalb des durch die Datenschutz-Richtlinie vorgegebenen Umsetzungsrahmens.

Besonderheiten des Normerzeugungsverfahrens:

Der Entwurf kann hinsichtlich der in § 2 Abs. 2, § 35 Abs. 2 und § 60 Abs. 8 vorgesehenen Verfassungsbestimmungen gemäß Art. 44 Abs. 1 B‑VG vom Nationalrat nur in Anwesenheit von mindestens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen beschlossen werden.

Wirkungsorientierte Folgenabschätzung

Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird

Problemanalyse

Problemdefinition

Art. 28 Abs. 1 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutz-Richtlinie), ABl. Nr. L 281 vom 23.11.1995 S. 31, sieht die Verpflichtung der Mitgliedstaaten vor, dass eine oder mehrere öffentliche Stellen (Kontrollstellen) beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Die Funktion als Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie nimmt auf nationaler Ebene die Datenschutzkommission wahr.

Die Verwaltungsgerichtsbarkeits-Novelle 2012, BGBl. I Nr. 51/2012, sieht die Schaffung von Verwaltungsgerichten sowie die Auflösung von unabhängigen Verwaltungsbehörden, darunter auch die Datenschutzkommission, mit 1. Jänner 2014 vor.

Um den unionsrechtlichen Vorgaben zu entsprechen, muss daher mit 1. Jänner 2014 eine neue Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie geschaffen werden.

Nullszenario und allfällige Alternativen

Im Falle, dass nach der Auflösung der Datenschutzkommission mit 1. Jänner 2014 keine dem Art. 28 Abs. 1 der Datenschutz-Richtlinie entsprechende Kontrollstelle eingerichtet wird, droht der Republik Österreich ein Vertragsverletzungsverfahren vor dem EuGH.

Interne Evaluierung

Zeitpunkt der internen Evaluierung: 2019

Nach fünf Jahren soll evaluiert werden, ob eine den Anforderungen des Art. 28 der Datenschutz-Richtlinie entsprechende Kontrollstelle samt Fachbeirat eingerichtet wurde.

Ziele

Ziel 1: Herstellung der unionsrechtskonformen Rechtslage im Hinblick auf die Einrichtung einer Kontrollstelle nach Art. 28 der Datenschutz-Richtlinie nach Auflösung der Datenschutzkommission mit 1. Jänner 2014.

Wie sieht Erfolg aus:

Ausgangszustand Zeitpunkt der WFA	Zielzustand Evaluierungszeitpunkt
Die Datenschutzkommission nimmt im Zeitpunkt der WFA die Aufgaben als Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie wahr.	Die Datenschutzbehörde ist als neue Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie eingerichtet.

Beitrag zu Wirkungsziel oder Maßnahme im Bundesvoranschlag:

Wirkungsziel 3 des Bundeskanzleramtes (Sicherung der Rechtsstaatlichkeit im Wege von Legistik).

Ziel 2: Einrichtung eines Fachbeirates zur Unterstützung der Datenschutzbehörde.

Wie sieht Erfolg aus:

Ausgangszustand Zeitpunkt der WFA	Zielzustand Evaluierungszeitpunkt
Die Datenschutzkommission hat keinen Fachbeirat.	Zur Unterstützung der Datenschutzbehörde ist ein Fachbeirat eingerichtet.

Beitrag zu Wirkungsziel oder Maßnahme im Bundesvoranschlag:

Wirkungsziel 3 des Bundeskanzleramtes (Sicherung der Rechtsstaatlichkeit im Wege von Legistik).

Maßnahmen

Maßnahme 1: Gesetzliche Einrichtung der neuen Datenschutzbehörde als Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie.

Beschreibung der Maßnahme:

Für die Einrichtung der neuen Datenschutzbehörde als Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie ist die Änderung des DSG 2000 erforderlich.

Wie sieht Erfolg aus:

Ausgangszustand Zeitpunkt der WFA	Zielzustand Evaluierungszeitpunkt
Die Änderung des DSG 2000 ist erforderlich, um mit 1. Jänner 2014 die neue Datenschutzbehörde als Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie einzurichten.	Eine den Anforderungen des Art. 28 der Datenschutz-Richtlinie entsprechende Kontrollstelle ist mit 1. Jänner 2014 im DSG 2000 eingerichtet.

Maßnahme 2: Gesetzliche Einrichtung eines Fachbeirates.

Beschreibung der Maßnahme:

Für die Einrichtung des Fachbeirates der Datenschutzbehörde ist die Änderung des DSG 2000 erforderlich.

Wie sieht Erfolg aus:

Ausgangszustand Zeitpunkt der WFA	Zielzustand Evaluierungszeitpunkt
Das geltende DSG 2000 sieht keinen Fachbeirat der Datenschutzkommission vor.	Der Fachbeirat der Datenschutzbehörde ist im DSG 2000 eingerichtet.

Erläuterungen

Allgemeiner Teil

Hauptgesichtspunkte des Entwurfes:

Das DSG 2000 setzt die Vorgaben der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutz-Richtlinie), ABl. Nr. L 281 vom 23.11.1995 S. 31, auf nationaler Ebene um und ist seit seinem Inkrafttreten am 1. Jänner 2000 siebenmal novelliert worden.

Art. 28 Abs. 1 der Datenschutz-Richtlinie sieht die Verpflichtung der Mitgliedstaaten vor, dass eine oder mehrere öffentliche Stellen (Kontrollstellen) beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Funktion als Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie nimmt auf nationaler Ebene die Datenschutzkommission wahr.

Mit der Verwaltungsgerichtsbarkeits-Novelle 2012, BGBl. I Nr. 51/2012, wurde die Schaffung von Verwaltungsgerichten sowie die Auflösung von unabhängigen Verwaltungsbehörden, darunter auch die Datenschutzkommission, mit 1. Jänner 2014 vorgesehen.

Um den unionsrechtlichen Vorgaben zu entsprechen, muss daher auf nationaler Ebene mit 1. Jänner 2014 eine neue Kontrollstelle iSd Art. 28 Abs. 1 der Datenschutz-Richtlinie geschaffen werden.

Die neu zu schaffende Kontrollstelle („Datenschutzbehörde“) soll diesen Anforderungen des Art. 28 der Datenschutz-Richtlinie entsprechen und als monokratische Behörde eingerichtet werden, der ein vom Bundespräsidenten auf Vorschlag der Bundesregierung bestellter „Leiter der Datenschutzbehörde“ vorsteht.

Die Datenschutzbehörde soll eine eigene Dienstbehörde und Personalstelle sein. Die Bediensteten der Datenschutzbehörde sollen nur den Weisungen des Leiters der Datenschutzbehörde unterstehen. Der Leiter der Datenschutzbehörde soll die Diensthoheit über die Bediensteten der Datenschutzbehörde ausüben. Der Bundeskanzler kann sich beim Leiter der Datenschutzbehörde über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Leiter der Datenschutzbehörde jedoch nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie widerspricht.

Der Aufgabenbereich der neuen Datenschutzbehörde soll dem der Datenschutzkommission entsprechen und sohin vor allem folgende Tätigkeiten umfassen:

- Genehmigung der Übermittlung von Daten ins Ausland nach § 13 DSG 2000,

- Führung des Registrierungsverfahrens nach §§ 16 ff DSG 2000,

- Ausübung der Kontrollbefugnisse als „Ombudsmann“ nach § 30 DSG 2000,

- Führung des Beschwerdeverfahrens nach § 31 DSG 2000,

- Genehmigung der Verwendung von Daten für wissenschaftliche oder statistische Zwecke nach § 46 DSG 2000 sowie Genehmigung der Zurverfügungstellung von Adressdaten nach § 47 DSG 2000,

- Beantwortung telefonischer oder schriftlicher Anfragen von Bürgern zum Datenschutz und

- sonstige in den Materiengesetzen vorgesehene Aufgaben, die nach geltendem Recht der Datenschutzkommission zukommen.

Zum Zeitpunkt des Inkrafttretens der vorgeschlagenen DSG-Novelle am 1. Jänner 2014 bei der Datenschutzkommission anhängige Verfahren sollen von der neuen Datenschutzbehörde als Nachfolgeinstitution der Datenschutzkommission fortgeführt werden. Die Bediensteten in der Geschäftsstelle der Datenschutzkommission sollen in die neue Datenschutzbehörde übernommen werden.

Das aufgrund der Verwaltungsgerichtsbarkeits-Novelle 2012 neu zu schaffende Bundesverwaltungsgericht soll im Bereich der Rechtsprechung Bescheide der neuen Datenschutzbehörde überprüfen können. Dies betrifft vor allem Bescheide über Beschwerden wegen Verletzung von Betroffenenrechten nach § 31 DSG 2000. Zu diesem Zweck soll ein Senat bestehend aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer beim Bundesverwaltungsgericht eingerichtet werden. Die fachkundigen Laienrichter werden auf Vorschlag der Wirtschaftskammer Österreich und der Bundeskammer für Arbeiter und Angestellte bestellt.

Die Möglichkeit der Anrufung des Verwaltungsgerichtshofes soll im DSG 2000 entfallen.

Kompetenzgrundlage:

Der vorliegende Entwurf stützt sich auf § 2 Abs. 1 DSG 2000.

Besonderer Teil

Zu Artikel 1 (Änderung des Datenschutzgesetzes 2000):

Zu den Z 1 bis 3 (Inhaltsverzeichnis):

Der mit der DSG-Novelle 2010, BGBl. I Nr. 133/2009, versehentlich entfallene Eintrag im Inhaltsverzeichnis zu § 2 soll wieder eingefügt werden. Die übrigen Änderungen des Inhaltsverzeichnisses werden durch die Einrichtung der neuen Datenschutzbehörde erforderlich.

Zu den Z 4 (§ 2 Abs. 2) und 5 (§ 10 Abs. 2, § 12 Abs. 4, § 13 Abs. 1, 2 Z 2, Abs. 3, 4 und 6, § 16 Abs. 1, § 17 Abs. 1, § 18 Abs. 2, § 19 Abs. 1 Z 6 und Abs. 2, § 20 Abs. 2 und 5 Z 2, § 21 Abs. 1 Z 3, § 22 Abs. 2 und 4, § 22a Abs. 1, 3 bis 5, § 23 Abs. 2, § 26 Abs. 2, 5 und 7, § 27 Abs. 5 und 7, § 30 Abs. 1, 2, 2a, 4 bis 6a, § 31 Abs. 1, 2, 5, 6 und 8, § 31a, § 32 Abs. 5 bis 7, § 34 Abs. 3 und 4, § 46 Abs. 2 Z 3 und Abs. 3, § 47 Abs. 3 und 4, § 48a Abs. 2, § 50 Abs. 1 und 2, § 50b Abs. 2, § 50c Abs. 1, § 52 Abs. 2 Z 2 und 3 sowie Abs. 5, § 54 Abs. 2 und § 61 Abs. 8 sowie in den Überschriften zu § 30 und § 31):

Im DSG 2000 soll in jenen Bestimmungen und Überschriften, in denen auf die Datenschutzkommission Bezug genommen wird, jeweils der Begriff „Datenschutzkommission“ durch den Begriff „Datenschutzbehörde“ ersetzt werden. Ausgenommen davon soll nur § 61 Abs. 6 DSG 2000 sein, da dieser auf vor der DSG-Novelle 2010 von der Datenschutzkommission festgelegte Befristungen Bezug nimmt.

Nachdem es sich bei § 2 Abs. 2 DSG 2000 um eine Verfassungsbestimmung handelt, hat die terminologische Anpassung im Verfassungsrang zu erfolgen.

Zu Z 6 (§ 5 Abs. 4):

§ 5 Abs. 4 entspricht inhaltlich dem geltenden § 1 Abs. 5 DSG 2000, wobei lediglich der Begriff „Datenschutzkommission“ durch den Begriff „Datenschutzbehörde“ ersetzt wird. Aus der systematisch bedingten Verschiebung dieser Regelung ergibt sich keine Auswirkung auf den materiellen Inhalt und auf die Reichweite des Grundrechtes auf Datenschutz. Insbesondere hat dies keine Auswirkung auf die Drittwirkung des Grundrechtes, welche sich aus § 1 Abs. 1 DSG 2000 ergibt.

Zu Z 7 (§ 22 Abs. 3):

Nachdem die Regelung des Mandatsbescheides in § 38 DSG 2000 entfallen soll, soll auch der Verweis auf § 38 DSG 2000 in § 22 Abs. 3 auf § 57 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl. Nr. 51/1991, geändert werden. Berichtigungen oder Streichungen nach § 22 Abs. 2 DSG 2000 sind schon aufgrund der geltenden normativen Anordnung des § 22 Abs. 3 DSG 2000 in jedem Fall – und somit auch dann, wenn keine Gefahr im Verzug vorliegt – ohne weiteres Ermittlungsverfahren mit Mandatsbescheid zu verfügen.

Zu Z 8 (§ 31a Abs. 4):

Nach geltendem Recht ist nach § 40 Abs. 2 DSG 2000 gegen Bescheide der Datenschutzkommission kein Rechtsmittel zulässig. Sie unterliegen nicht der Aufhebung oder Abänderung im Verwaltungsweg. Die Anrufung des Verwaltungsgerichtshofes durch die Parteien des Verfahrens ist jedoch zulässig.

Das aufgrund der Verwaltungsgerichtsbarkeits-Novelle 2012 neu zu schaffende Bundesverwaltungsgericht soll nun im Bereich der Rechtsprechung Bescheide der neuen Datenschutzbehörde überprüfen können. Dementsprechend soll auch in § 31a Abs. 4 der Begriff „Verwaltungsgerichtshof“ durch den Begriff „Bundesverwaltungsgericht“ ersetzt werden.

Zu den Z 9 (Überschrift zu § 35), 10 (§ 35 Abs. 1), 11 (§ 35 Abs. 2) und 12 (§§ 36 bis 40):

Die Datenschutz-Richtlinie bestimmt in Art. 28 Abs. 1, dass die Mitgliedstaaten vorsehen, „dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“

Der EuGH hat mit Urteil vom 16. Oktober 2012, Rs C-614/10, festgestellt, dass die Republik Österreich gegen ihre Verpflichtungen aus Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie dadurch verstoßen hat, dass sie nicht alle Vorschriften erlassen hat, die erforderlich sind, damit die bestehende Rechtslage in Bezug auf die Datenschutzkommission dem Kriterium der Unabhängigkeit genügt, und zwar im Einzelnen dadurch, dass sie eine Regelung eingeführt hat, wonach

- das geschäftsführende Mitglied der Datenschutzkommission ein der Dienstaufsicht unterliegender Bundesbediensteter ist,

- die Geschäftsstelle der Datenschutzkommission in das Bundeskanzleramt eingegliedert ist und

- der Bundeskanzler über ein unbedingtes Recht verfügt, sich über alle Gegenstände der Geschäftsführung der Datenschutzkommission zu unterrichten.

Als weitere Anforderung an die Kontrollstelle sieht Art. 28 der Datenschutz-Richtlinie vor, dass die Kontrollstelle bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehört werden muss.

Jede Kontrollstelle verfügt nach Art. 28 Abs. 3 der Datenschutz-Richtlinie insbesondere über:

- Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;

- wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Art. 20 der Datenschutz-Richtlinie vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;

- das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.

Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.

Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten gemäß Art. 28 Abs. 4 der Datenschutz-Richtlinie an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist darüber zu informieren, wie mit der Eingabe verfahren wurde.

Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befasst werden, die Rechtmäßigkeit einer Verarbeitung zu überprüfen, wenn einzelstaatliche Vorschriften gemäß Art. 13 der Datenschutz-Richtlinie Anwendung finden. Die Person ist unter allen Umständen darüber zu unterrichten, dass eine Überprüfung stattgefunden hat.

Jede Kontrollstelle legt nach Art. 28 Abs. 5 der Datenschutz-Richtlinie regelmäßig einen Bericht über ihre Tätigkeit vor. Dieser Bericht wird veröffentlicht.

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats gemäß Art. 28 Abs. 6 der Datenschutz-Richtlinie für die Ausübung der ihr gemäß Art. 28 Abs. 3 der Datenschutz-Richtlinie übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.

Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.

Die Mitgliedstaaten sehen nach Art. 28 Abs. 7 der Datenschutz-Richtlinie zudem vor, dass die Mitglieder und Bediensteten der Kontrollstellen hinsichtlich der vertraulichen Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nach Ausscheiden aus dem Dienst, unterliegen.

Die neu einzurichtende Kontrollstelle („Datenschutzbehörde“) soll diesen unionsrechtlichen Vorgaben entsprechen. Die Kontrollbefugnisse sollen in der Weise umgesetzt werden, dass die Datenschutzbehörde als unabhängige Kontrollstelle den öffentlichen und den privaten Bereich zu kontrollieren hat, und zwar entweder aus Anlass eines Anbringens eines Bürgers oder auch in Fällen, die ein erhöhtes Gefährdungspotential besitzen, ohne einen solchen Anlass.

Die Datenschutzbehörde soll unter den Vorgaben einer schlanken Organisation als monokratische Behörde eingerichtet werden, deren Konzeption sich organisatorisch zum Teil an der Volksanwaltschaft sowie in einzelnen Punkten an der KommAustria orientiert und Elemente des deutschen Modells des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) übernimmt. Der Datenschutzbehörde soll ein vom Bundespräsidenten auf Vorschlag der Bundesregierung bestellter „Leiter der Datenschutzbehörde“ vorstehen. Zur Erfüllung der Vorgaben des Art. 28 der Datenschutz-Richtlinie im Lichte des Urteils des EuGH vom 16. Oktober 2012, Rs C-614/10, hinsichtlich der völligen Unabhängigkeit der Kontrollstelle, soll der Leiter der Datenschutzbehörde in Ausübung seines Amtes unabhängig und an keine Weisungen gebunden sein. Bei Beendigung der Funktion des Leiters der Datenschutzbehörde ist unverzüglich ein neuer Leiter zu bestellen.

Für die Berechnung der Zwei-Jahres-Frist gemäß dem vorgeschlagenen § 36 Abs. 3 Z 2 kommt es auf den Zeitpunkt der Bestellung an.

Der Bundespräsident soll weiters auf Vorschlag der Bundesregierung einen Stellvertreter für den Leiter der Datenschutzbehörde bestellen. Für diesen sollen dieselben Regelungen für die Bestellung, die Unvereinbarkeit, die Beendigung der Funktion und Neubestellung wie für den Leiter der Datenschutzbehörde gelten. Der Stellvertreter des Leiters der Datenschutzbehörde vertritt den Leiter der Datenschutzbehörde in dessen Abwesenheit.

Die neue Datenschutzbehörde soll die derzeit von der Datenschutzkommission wahrgenommenen Aufgaben gemäß Art. 28 der Datenschutz-Richtlinie übernehmen. Dies umfasst insbesondere die Kontrollbefugnisse nach § 30 DSG 2000 („Ombudsmannverfahren“), das Beschwerdeverfahren nach § 31 DSG 2000 sowie begleitende Maßnahmen nach § 31a DSG 2000.

Darüber hinaus soll die neue Datenschutzbehörde auch alle sonstigen Aufgaben der Datenschutzkommission nach dem DSG 2000, wie die Führung des Datenverarbeitungsregisters (§§ 16 ff DSG 2000 sowie die Meldung von Informationsverbundsystemen nach § 50 DSG 2000), die Genehmigung für die Übermittlung von Daten in das Ausland (§ 13 DSG 2000), die Mitteilung der Heranziehung eines Dienstleisters (§ 10 Abs. 2 DSG 2000), die Genehmigungen im Bereich der wissenschaftlichen Forschung und Statistik (§ 46 DSG 2000) sowie für die Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen (§ 47 DSG 2000), zudem die Aufgaben bei der Verwendung von Daten im Katastrophenfall (§ 48a DSG 2000) und im Bereich der Videoüberwachung (im Zusammenhang mit der Aufbewahrungsdauer nach § 50b DSG 2000 sowie der Schlüsselhinterlegung nach § 50c DSG 2000) sowie die Mitteilungspflichten an andere Mitgliedstaaten der EU und an die Europäische Kommission (§ 54 DSG 2000) übernehmen. Im Übrigen soll die neue Datenschutzbehörde – wie derzeit die Datenschutzkommission – auch für die Beantwortung von Anfragen von Bürgern zum Datenschutz zuständig sein.

Weiters soll die neue Datenschutzbehörde auch alle in anderen Bundesgesetzen vorgesehenen Aufgaben der Datenschutzkommission übernehmen, so insbesondere jene nach § 129 Gaswirtschaftsgesetz 2011, BGBl. I Nr. 107/2011, und § 83 Elektrizitätswirtschafts- und -organisationsgesetz 2010, BGBl. I Nr. 110/2010, die Aufgaben als Nationale Kontrollinstanz nach § 14 EU-Polizeikooperationsgesetz, BGBl. I Nr. 132/2009, als Stammzahlenregisterbehörde nach § 7 E-Government-Gesetz, BGBl. I Nr. 10/2004, und als Registerbehörde nach der E-Government-Bereichsabgrenzungsverordnung, BGBl. II Nr. 289/2004, sowie die Kontrollaufgaben nach § 8 Zollrechts-Durchführungsgesetz, BGBl. Nr. 659/1994, und diverse Aufgaben nach dem Telekommunikationsgesetz 2003, BGBl. I Nr. 70/2003.

Auch die bisher von der Datenschutzkommission im internationalen bzw. EU-Bereich wahrgenommenen Aufgaben (insbesondere die Vertretung in der Art. 29-Datenschutzgruppe und ihren Untergruppen, die Vertretung in den Gemeinsamen Kontrollinstanzen Schengen, Europol und Zollinformationssystem sowie der Koordinierungsgruppe von Eurodac) und die sonstige Kooperation mit anderen Datenschutzbehörden sollen von der Datenschutzbehörde wahrgenommen werden.

Die Datenschutzbehörde muss ihre Befugnisse auch gegenüber den in Art. 19 B‑VG bezeichneten obersten Organen der Vollziehung ausüben können, um den Anforderungen an eine Kontrollstelle iSd Art. 28 der Datenschutz-Richtlinie zu entsprechen. Diesbezüglich ist die Schaffung einer Verfassungsbestimmung im DSG 2000 erforderlich.

Der Leiter der Datenschutzbehörde kann im Interesse einer raschen und zweckmäßigen Geschäftsbehandlung die ihm nach Maßgabe der gesetzlichen Vorschriften zustehenden Befugnisse hinsichtlich bestimmter Angelegenheiten auf Träger von bestimmten Funktionen oder auf namentlich bezeichnete Mitarbeiter der Datenschutzbehörde zur selbständigen Erledigung übertragen. Der Leiter der Datenschutzbehörde behält jedoch auch bei einer Übertragung bestimmter Angelegenheiten die Verantwortung für die ordnungsgemäße Erledigung der Angelegenheiten. Das Weisungsrecht des Leiters der Datenschutzbehörde wird durch die Übertragung zur selbständigen Erledigung bestimmter Angelegenheiten nicht berührt.

Zur Unterstützung der Datenschutzbehörde soll ein Fachbeirat eingerichtet werden, in welchem zwei Vertreter der Länder und je ein Vertreter der Wirtschaftskammer Österreich und der Bundeskammer für Arbeiter und Angestellte vertreten sind. Die Mitglieder sollen vom Leiter der Datenschutzbehörde für die Dauer von fünf Jahren bestellt werden und in Anlehnung an den Fachbeirat zur Beratung der RTR-GmbH gemäß § 28 des KommAustria-Gesetzes (KOG), BGBl. I Nr. 32/2001, entsprechend fachkundige Personen sein, die aus ihrer Mitte einen Vorsitzenden wählen. Der Fachbeirat soll vom Leiter der Datenschutzbehörde regelmäßig, mindestens jedoch vierteljährlich, unter Einhaltung einer Frist von zwei Wochen einberufen werden. Der Leiter der Datenschutzbehörde soll berechtigt sein, an den Sitzungen des Fachbeirates teilzunehmen. Ein Stimmrecht steht ihm jedoch nicht zu.

Weiters soll der Fachbeirat der Datenschutzbehörde – ähnlich wie der Menschenrechtsbeirat nach § 14 des Volksanwaltschaftsgesetzes 1982, BGBl. Nr. 433 idF BGBl. I Nr. 1/2012, im Hinblick auf die Volksanwaltschaft – die Datenschutzbehörde in allgemeinen und grundlegenden datenschutzrechtlichen Fragestellungen beraten. Die Tätigkeit des Fachbeirates soll zudem die Abgabe von Empfehlungen für generelle Prüfschwerpunkte, die Erstattung von Vorschlägen zur Gewährleistung einheitlicher Vorgehensweisen und Prüfstandards und die Vorlage von Gutachten zu Fragen von grundsätzlicher Bedeutung für den Datenschutz umfassen. Die Datenschutzbehörde soll jedoch an die Beratung, die Empfehlungen und Vorschläge sowie Gutachten des Fachbeirates nicht gebunden sein, damit die von Art. 28 der Datenschutz-Richtlinie geforderte völlige Unabhängigkeit der Kontrollstelle nicht beeinträchtigt wird.

Es sind entsprechende Vorkehrungen von allen Beteiligten zu treffen, dass zeitgerecht eine hinreichende Anzahl von fachkundigen Laienrichtern zur Verfügung steht.

Zu Z 13 (§ 41 Abs. 2 Z 4a):

Im Zusammenhang mit der Neuorganisation der Kontrollstelle soll auch das Recht des Datenschutzrates, von der Datenschutzkommission gemäß § 41 Abs. 2 Z 4a DSG 2000 Auskünfte und Berichte sowie Einsicht in Unterlagen verlangen zu können, entfallen, da dieses Recht im Spannungsverhältnis mit der von Art. 28 der Datenschutz-Richtlinie geforderten völligen Unabhängigkeit der Kontrollstelle steht.

Zu Z 14 (§ 44 Abs. 6):

Nach der geltenden Fassung des § 44 Abs. 6 DSG 2000 sind Mitglieder der Datenschutzkommission, die dem Datenschutzrat nicht angehören, berechtigt, an den Sitzungen des Datenschutzrates oder seiner Arbeitsausschüsse teilzunehmen, wobei ihnen ein Stimmrecht nicht zusteht. Dieses Teilnahmerecht an Sitzungen des Datenschutzrates soll nun dem Leiter der Datenschutzbehörde zukommen.

Zu Z 15 (§ 44 Abs. 8):

Die Mitglieder des Datenschutzrates, der Leiter der Datenschutzbehörde und die zur Sitzung zugezogenen Sachverständigen sind zur Verschwiegenheit verpflichtet.

Zu Z 16 (§ 60 Abs. 7):

§ 60 Abs. 7 enthält die Inkrafttretensbestimmung. Die für die Bestellung des Leiters der Datenschutzbehörde und seines Stellvertreters sowie der Mitglieder des Fachbeirates notwendigen organisatorischen und personellen Maßnahmen sollen bereits ab Erlassung der vorgeschlagenen DSG-Novelle möglich sein.

Mit Auflösung der Datenschutzkommission soll auch die DSK-Vergütungsverordnung, BGBl. II Nr. 145/2006, ersatzlos entfallen, da für diese kein Anwendungsbereich mehr besteht. Andere Verordnungen des Bundes, die derzeit auf die Datenschutzkommission verweisen (zB Datensicherheitsverordnung, BGBl. II Nr. 402/2011, oder E-Government-Bereichsabgrenzungsverordnung, BGBl. II Nr. 289/2004), können nicht durch die vorgeschlagene DSG-Novelle, sondern nur vom jeweiligen Verordnungsgeber angepasst werden.

Zu Z 17 (§ 60 Abs. 8):

§ 60 Abs. 8 enthält die Inkraftretensbestimmung für die Verfassungsbestimmungen in § 2 Abs. 2 und § 35 Abs. 2 und soll aus diesem Grund auch im Verfassungsrang beschlossen werden.

Zu Z 18 (§ 61 Abs. 9 und 10):

Zum Zeitpunkt des Inkrafttretens der vorgeschlagenen DSG-Novelle am 1. Jänner 2014 bei der Datenschutzkommission anhängige Verfahren sollen von der Datenschutzbehörde als neu zu schaffende Nachfolgeinstitution der Datenschutzkommission fortgeführt werden.

Die Bediensteten der Datenschutzkommission sollen mit Inkrafttreten der vorgeschlagenen DSG-Novelle als Bedienstete der Datenschutzbehörde übernommen werden. Damit soll insbesondere auch der weitgehende Übergang des „Know-Hows“ und des „institutionellen Gedächtnisses“ gesichert werden.

Zu Artikel 2 (Anpassungsbestimmungen):

Die neu einzurichtende Datenschutzbehörde soll auch die in Bundesgesetzen vorgesehenen Aufgaben der Datenschutzkommission übernehmen. Diesbezüglich soll die Terminologie in den betreffenden Bundesgesetzen angepasst werden. Die Anpassung der Länderdatenschutzgesetze, in welchen auf die Datenschutzkommission Bezug genommen wird, wäre mangels Bundeskompetenz von den Ländern selbst vorzunehmen.