Eingebracht am 16.05.2017
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

ENTSCHLIESSUNGSANTRAG

 

der Abgeordneten Josef Schellhorn, Kolleginnen und Kollegen

betreffend Umsetzung des Anpassungsgesetzes der Datenschutz-Grundverordnung

 

Die neue EU-Datenschutzgrundverordnung (EU-DSGV) wird ab dem 25. Mai 2018 von allen in der EU tätigen Unternehmen einzuhalten sein. Dh.: Ab diesem Tag gilt sie unmittelbar in der gesamten EU, eine Umsetzung in nationales Recht ist nicht erforderlich. Die EU-DSGV tritt unmittelbar an die Stelle der bislang geltende EU-Datenschutzrichtlinie 95/46/EG. Soweit die Verordnung vorrangig gilt, werden auch die nationalen Datenschutzgesetze obsolet, die zur Umsetzung der Richtlinie erlassen wurden. Unternehmen und Behörden haben damit zwei Jahre Zeit, ihre Datenverarbeitungsprozesse an die Regelungen der EU-DSGV anzupassen. Dabei muss auch die laufende nationale Gesetzgebung zur Ausfüllung der Öffnungsklauseln beachtet und eingehalten werden. Angesichts des großen Umfangs und der Komplexität der Verordnung erscheint die Übergangsfrist von zwei Jahren wohl eher knapp bemessen.

Dem allgemeinen Trend, schwierige und kostenverursachende Gesetzesumstellungen den Unternehmen umzuhängen, soll nicht weiter getrieben werden, als unbedingt nötig. Nach der Verordnung wird allerdings die gesamte Verantwortung auf die Unternehmer abgeladen. Diese müssen nun zu jedem Zeitpunkt – und ohne Unterstützung der Datenschutzbehörde – beweisen, dass die Daten ordnungsgemäß verarbeitet werden. Das bedeutet, dass Sie künftig Dokumentationen und Informationen unfassbaren Ausmaßes liefern oder bereithalten müssen, die nicht nur extrem kostenintensiv sein werden, sondern sie auch latent in ihrer Existenz bedrohen werden.

Die Lasten der vom Gesetzgeber verursachten Rechtsunsicherheiten werden unter gewaltigen Strafandrohungen – ab 10 Mio. EUR oder 2% des (weltweiten) Umsatzes, je nachdem, welcher Betrag höher ist, (und das ist neu) auf die Unternehmer abgewälzt – maximal sind es Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Die Position der österreichischen Datenschutzbehörde scheint derzeit jene zu sein, dass jede Firma gut beraten ist, nicht zu glauben, dass die Konsultation der Behörde eine eigenverantwortliche, genaue Abschätzung ersetzt. Besonders perfide ist, dass man die Datenschutzbehörde zwar konsultieren kann, aber sie berät nicht. Es ist künftig das Unternehmen, dass die Datenschutz-Folgenabschätzung treffen muss.

Das Gesetz ist, trotz der zahlreichen Öffnungsklauseln, die noch durch die nationalen Gesetzgeber mit Leben gefüllt werden müssen, ein substantieller Schritt in Richtung Datenschutz. Gerade die Auslegung darüber was Datenverarbeitung beinhaltet ist sehr weit gefasst. Diese sind also bereits auf EU-Ebene abgewogen worden. Für Unternehmer kann diese Auslegung zu existenzbedrohenden Strafen führen. Einzig, es gibt kaum Beratung und die wenigen Beratungsstellen (Anwälte und andere Stellen) sind für KMUs kaum leistbar. Die zeitnahe Umsetzung der Verordnung ist vor dem Hintergrund der Unklarheiten für Unternehmer unerlässlich. Nur durch eine flankierende Klarstellungen der Datenschutzbehörde und Untersützung dieser kann versucht werden den Aufwand für KMUs gering zu halten.

Den nationalen Gesetzgebern obliegt es nun:

1.    die Regelungen im Rahmen der Öffnungsklauseln so zu gestalten, dass die Verordnung zu keinem Wettbewerbsnachteil führt – kein Golden Plating;

2.    den Gesetzesvorschlag möglichst zeitnahe vorzulegen, damit Klarheit über Detailabstimmungen herrscht;

3.    den Unternehmer_innen die Möglichkeit zu bieten vorab feststellen zu können, ob die Regelungen eingehalten werden, ohne damit eine Strafe zu riskieren.

An der Verordnung wurde auch deswegen viel Kritik laut, weil sie das ursprüngliche Ziel, nämlich zu verhindern, dass gegen den Willen der Konsumenten, mit (sensiblen) persönlichen Daten gehandelt wird, zu wenig Fokus gelegt wurde. Die Verordnung enthält zu vielen Fragen und nur sehr abstrakte Antworten; dadurch würden Wirtschaft, Behörden und Gerichte in jedem Mitgliedstaat die Regelung sehr unterschiedlich anwenden. Dies gilt es nun abzufedern.

 

Die unterfertigten Abgeordneten stellen daher folgenden

ENTSCHLIESSUNGSANTRAG

Der Nationalrat wolle beschließen:

"Die Regierung wird aufgefordert dem Parlament unverzüglich ein Anpassungsgesetz zur Datenschutz-Grundverordnung zuzuleiten, mit dem Ziel Rechtssicherheit für Unternehmer_innen zu gewähren, sowie keine zusätzlichen überbordenden Auflagen entstehen zu lassen. Besonders im Fokus sollen dabei folgende Ziele stehen: 

a.    Golden Plating vermeiden: die Regelungen im Rahmen der Öffnungsklauseln so zu gestalten, dass die Verordnung zu keinem Wettbewerbsnachteil führt und grundsätzlich die geringstmögliche Regelungsintensität bei größtmöglicher Rechtssicherheit zu gewährleisten, ohne dabei unter das Schutzniveau des DSG zu kommen;

b.    den Gesetzesvorschlag möglichst zeitnahe vorzulegen, damit Klarheit über Detailabstimmungen herrscht;

c.    den Unternehmer_innen die Möglichkeit zu bieten, vorab feststellen zu können, ob die Regelungen eingehalten werden, ohne damit eine Strafe zu riskieren;

d.    den Zwangs-Interessenvertretungen eine Co-Vertretung bei der Prüfung von Datenschutzübertretungen, in einer Übergangsfrist, aufzuerlegen."

 

In formeller Hinsicht wird die Zuweisung an den Ausschuss für Wirtschaft und Industrie vorgeschlagen.