Bericht

des Verfassungsausschusses

über den Antrag 189/A der Abgeordneten Eva-Maria Himmelbauer BSc, Dr. Peter Wittmann, Werner Herbert, Kolleginnen und Kollegen betreffend ein Bundesgesetz, mit dem das Bundes-Verfassungsgesetz und das Datenschutzgesetz geändert werden (Datenschutz-Deregulierungs-Gesetz 2018)

Die Abgeordneten Eva-Maria Himmelbauer BSc, Dr. Peter Wittmann, Werner Herbert, Kolleginnen und Kollegen haben den gegenständlichen Initiativantrag am 22. März 2018 im Nationalrat eingebracht und wie folgt begründet:

„Allgemeiner Teil

Das geltende Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, wurde durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, novelliert. Mit dem Datenschutz-Anpassungsgesetz 2018 wird die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, durchgeführt und die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89, umgesetzt. Zudem wird der Titel des DSG 2000 auf Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG) geändert. Diese Änderungen treten am 25. Mai 2018 in Kraft.

Im Sinne der Deregulierung im Datenschutzbereich sollen Änderungen betreffend die Kompetenzrechtslage auf dem Gebiet des Datenschutzes und eine vollständige Neufassung des Grundrechts auf Datenschutz erfolgen.

Weiters sollen Redaktionsversehen korrigiert sowie Klarstellungen und punktuelle Anpassungen, etwa im Bereich der Bildverarbeitung, vorgenommen werden.

Besonderer Teil

Zu Artikel 1 (Änderung des Bundes-Verfassungsgesetzes)

Zu den Z 1 bis 3:

Die bisherige Kompetenzrechtslage auf dem Gebiet des Datenschutzes erwies sich vor allem seit Inkrafttreten der Richtlinie 95/46/EG, die sowohl für automationsunterstützt als auch für konventionell (manuell) in einer Datei geführte Datenanwendungen gilt, als unzweckmäßig. Infolge der zwischen Bund und Ländern geteilten Gesetzgebungskompetenz musste diese Richtlinie durch das DSG 2000 und eigene Datenschutzgesetze der Länder umgesetzt werden, wobei der den Ländern – in Folge der Vorgaben der Richtlinie und des Grundrechts auf Datenschutz gemäß § 1 DSG 2000 – verbliebene Gestaltungsspielraum äußerst gering war.

Die bisherige Einschränkung der Gesetzgebungszuständigkeit des Bundes auf den Schutz personenbezogener Daten im automationsunterstützten Datenverkehr soll entfallen. Dadurch soll der Bund in die Lage versetzt werden, die DSGVO und die Richtlinie (EU) 2016/680 einheitlich und vollständig, also auch hinsichtlich manueller personenbezogener Dateien durchzuführen bzw. umzusetzen.

Durch die Einschränkung auf allgemeine Angelegenheiten des Schutzes personenbezogener Daten soll die Zuständigkeit zur Erlassung von auf einen bestimmten Gegenstand bezogenen datenschutzrechtlichen Regelungen – wie bisher auch – unberührt bleiben. Die allgemeinen Angelegenheiten des Schutzes personenbezogener Daten werden auf den neuen Kompetenztatbestand in Art. 10 Abs. 1 Z 13 gestützt; hingegen sollen die spezifischen datenschutzrechtlichen Regelungen weiterhin auf die Kompetenztatbestände der jeweiligen Materie gestützt werden (materienspezifischer Datenschutz als Annexmaterie).

Weiters können auch spezifische bundesgesetzliche Datenverarbeitungen als datenschutzrechtliche Annexmaterie erlassen werden.

Die landesgesetzlichen Vorschriften in den allgemeinen Angelegenheiten des Datenschutzes in Bezug auf den nicht-automationsunterstützten Datenverkehr treten außer Kraft; davon umfasst sind folgende Landesgesetze bzw. Teile von Landesgesetzen: Burgenländisches Datenschutzgesetz (Bgld. DSG), LGBl. Nr. 87/2005; Kärntner Informations- und Statistikgesetz (K-ISG), LGBl. Nr. 70/2005; NÖ Datenschutzgesetz, LGBl. 0901-2; Oö. Auskunftspflicht-, Datenschutz- und Informationsweiterverwendungsgesetz, LGBl. Nr. 46/1988; Salzburger Gesetz über Auskunftspflicht, Dokumentenweiterverwendung, Datenschutz, Landesstatistik und Geodateninfrastruktur (ADDSG-Gesetz), LGBl. Nr. 73/1988; Steiermärkisches Datenschutzgesetz (StDSG), LGBl. Nr. 39/2001; Tiroler Datenschutzgesetz 2014 (TDSG 2014), LGBl. Nr. 158/2013; Vorarlberger Landes-Datenschutzgesetz, LGBl. Nr. 19/2000; Wiener Datenschutzgesetz (Wr. DSG), LGBl. Nr. 125/2001.

Zudem soll auch die Vollziehung des Datenschutzrechts zur Gänze beim Bund liegen und von diesem in unmittelbarer Bundesverwaltung (Art. 102 Abs. 2 B‑VG) vollzogen werden können.

Keine Vollziehung des Datenschutzrechts stellt die bloße Verarbeitung von personenbezogenen Daten durch Länder und Gemeinden als Verantwortliche dar (so zutreffend auch Ennöckl, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung [2014], 339 ff, 341). Da es für die faktische Handhabung personenbezogener Daten durch Behörden insofern keiner allgemeinen datenschutzrechtlichen Vollzugskompetenz, sondern lediglich einer Zuständigkeit aus einem „Materiengesetz“ bedarf, und der Vollzug des DSG bzw. der DSGVO ausschließlich bei der unabhängigen Aufsichtsbehörde liegen soll, bedarf es keiner gesonderten Regelung im DSG.

Die Regelungen im DSG betreffend den Datenschutzbeauftragten im öffentlichen Bereich gründen sich insbesondere auf Art. 10 Abs. 1 Z 16 B‑VG. Dienst- und organisationsrechtliche Vorschriften im Bereich der Länder sind daher nicht von der Bundeskompetenz umfasst.

Zu Artikel 2 (Änderung des Datenschutzgesetzes)

Zu den Z 1 und 2 (Inhaltsverzeichnis):

Im Inhaltsverzeichnis entfallen die Einträge zu den durch die Novelle aufgehobenen Bestimmungen.

Zu Z 3 (§ 1):

In § 1 soll das Grundrecht auf Datenschutz im Verfassungsrang verankert werden. Das bereits in § 1 DSG 2000 in der Stammfassung verankerte Grundrecht und Art. 8 Abs. 2 EMRK dienen hierbei als Basis. Jedoch soll die komplexe Formulierung des Grundrechts, die in der Praxis zahlreiche Fragestellungen aufgeworfen hat, vermieden werden und eine verständlichere Ausgestaltung der Voraussetzungen für einen Eingriff in das Grundrecht vorgesehen werden, wobei das bestehende Schutzniveau grundsätzlich beibehalten und an die Vorgaben der DSGVO angepasst werden soll. Im Vergleich zur Ausgestaltung des Grundrechts auf Datenschutz in der Regierungsvorlage zum Datenschutz-Anpassungsgesetz 2018 (1664 BlgNR 25. GP) werden Klarstellungen dahingehend vorgenommen, dass im Sinne der Vorgaben der DSGVO auf berechtigte Interessen abgestellt wird, die Wahrnehmung der Nebenrechte (Recht auf Auskunft sowie auf Richtigstellung unrichtiger Daten und auf Löschung unzulässigerweise verarbeiteter Daten) nach Maßgabe einer gesetzlichen Grundlage erfolgen kann und die Eingriffstatbestände jenen der DSGVO entsprechen. Von der DSGVO wird zudem die juristische Person nicht erfasst; demgemäß soll das Grundrecht auch nur natürliche Personen umfassen. Weiterhin beibehalten werden soll die Drittwirkung des Grundrechts, die sich schon aus der bisherigen Formulierung des § 1 Abs. 1 DSG 2000 ergeben hat und in Abs. 3 ausdrücklich geregelt wird.

Darüber hinaus soll der Anwendungsbereich keine maßgeblichen Änderungen erfahren. So sollen etwa auch weiterhin die Datenverarbeitungen der Gesetzgebung vom Grundrecht auf Datenschutz – wie im Übrigen auch grundsätzlich von § 4 Abs. 1 – umfasst sein. Soweit keine Datenverarbeitungen zu Verwaltungszwecken erfolgt, ist jedoch die Kontrolltätigkeit der Datenschutzbehörde aufgrund des Grundsatzes der Gewaltentrennung ausgeschlossen. Grundsätzlich Gleiches soll für die Gerichtsbarkeit gelten.

Im Grundrecht soll auf das Recht auf Löschung unzulässigerweise verarbeiteter Daten abgestellt werden. Zwar kennt die DSGVO auch ein Recht auf Beschränkung (statt Löschung); dies erscheint jedoch nicht in jedem Fall als gleichwertige Alternative zum Löschungsrecht und muss daher – als Teilrecht des Löschungsrechts – nicht gesondert im Grundrecht angeführt werden.

Eine gesetzliche Grundlage nach § 1 Abs. 2 ist ein Gesetz oder ein Staatsvertrag, der unmittelbar anwendbar ist. Die gesetzliche Grundlage muss ausreichend präzise – also für jedermann vorhersehbar – sein. Ein Gesetz, das die Verarbeitung personenbezogener Daten regelt, hat gemäß den Vorgaben des Art. 8 Abs. 2 der Richtlinie (EU) 2016/680 zumindest die Ziele der Verarbeitung, die personenbezogenen Daten, die verarbeitet werden sollen, und die Zwecke der Verarbeitung zu enthalten. Datenverarbeitungen im Rahmen der Vollziehung hoheitlicher oder schlicht hoheitlicher Aufgaben benötigen eine gesonderte gesetzliche Rechtsgrundlage (§ 1 DSG und Art. 18 B‑VG).

Eingriffe in das Grundrecht sind mit Einwilligung der betroffenen Person oder in deren lebenswichtigem Interesse zulässig. Die „Einwilligung“ in § 1 Abs. 2 soll der „Einwilligung“ nach Art. 4 Z 11 DSGVO entsprechen. Eine Einwilligung der betroffenen Person ist demnach jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Darüber hinaus können – wie auch in Art. 6 Abs. 1 DSGVO vorgesehen – Eingriffe im öffentlichen Interesse aufgrund einer gesetzlichen Grundlage oder berechtigten Interesse eines anderen, aufgrund eines Vertrages (einschließlich eines Vorvertrages) oder einer rechtlichen Verpflichtung erfolgen. Von den berechtigten Interessen eines anderen sind iSd Art. 6 Abs. 1 lit. f DSGVO die Interessen des Verantwortlichen oder eines Dritten (Art. 4 Z 10 DSGVO) umfasst. Diese Eingriffstatbestände in das Grundrecht auf Datenschutz sollen gleichrangig sein.

Für Eingriffe im öffentlichen Interesse ist jedenfalls eine gesetzliche Grundlage erforderlich. Auch Gesetze, die eine Interessenabwägung zugunsten oder zulasten Privater vornehmen, können im öffentlichen Interesse liegen.

Eingriffe aufgrund eines berechtigten Interesses eines anderen benötigen hingegen nicht zwingend eine gesetzliche Grundlage. Besondere gesetzliche Regelungen zur Einwilligung (z.B. § 17 Abs. 2 des E­Government-Gesetzes, BGBl. I Nr. 10/2004) ebenso wie das absolute Verbot einer Einwilligung (z.B. § 67 des Gentechnikgesetzes (GTG), BGBl. Nr. 510/1994) bleiben weiterhin zulässig.

Auch im Falle einer zulässigen Verarbeitung von vom Abs. 1 umfassten Daten darf der Eingriff in das Grundrecht jeweils nur dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).

Im Übrigen gilt Art. 8 Abs. 2 der Charta der Grundrechte der Europäischen Union, ABl. C 83 vom 30.3.2010 S. 389, auch ohne ausdrückliche Anordnung für diesen Bereich.

Zu Z 4 (§§ 2 und 3):

Aufgrund der Kompetenzverschiebung soll § 2 DSG entfallen. Der räumliche Anwendungsbereich ergibt sich bereits unmittelbar anwendbar aus Art. 3 DSGVO.

Zu Z 5 (§ 4 Abs. 5):

In Folge der Kompetenzverschiebung wird der bisherige § 4 Abs. 5 DSG hinsichtlich der Verarbeitung manueller Dateien nicht mehr benötigt.

Im neuen § 4 Abs. 5 soll im Sinne eines Interessenausgleiches eine Beschränkung des Auskunftsrechts nach Art. 15 DSGVO vorgenommen werden. Die unionsrechtliche Grundlage findet sich in Art. 23 DSGVO. Für „zuständige Behörden“ ergeben sich Beschränkungen schon aus dem 3. Hauptstück (§ 44 Abs. 2) sowie aus einschlägigen Materiengesetzen (z.B. SPG). Für den Bereich der allgemeinen Verwaltung im Anwendungsbereich der DSGVO und des § 4 Abs. 1 fehlen diese jedoch und sollen in Abs. 5 ergänzt werden.

Eine Beschränkung der Auskunft muss eine wesentliche Voraussetzung für die ordnungsgemäße Erfüllung der gesetzlich übertragenen Aufgabe sein. Diesfalls kann in der Antwort – wie bisher – auch nur darauf verwiesen werden, dass keine der Auskunftspflicht unterliegenden Daten über den Auskunftswerber verarbeitet werden.

Zu den Z 6 (§ 5 Abs. 3) und 14 (§ 26 Abs. 1):

Zur Klarstellung der Verpflichtung zur Benennung eines Datenschutzbeauftragten im öffentlichen Bereich soll festgelegt werden, dass sich die Verpflichtung nur auf in Formen des öffentlichen Rechts eingerichtete Stellen, insbesondere auch als Organ einer Gebietskörperschaft, bezieht.

Beliehene sind daher von der Verpflichtung gemäß Art. 37 Abs. 1 lit. a DSGVO zur Benennung eines Datenschutzbeauftragten nicht umfasst; aus den anderen Vorgaben des Art. 37 DSGVO kann sich jedoch eine Verpflichtung zur Benennung eines Datenschutzbeauftragten für Beliehene ergeben.

Zu den Z 7 (§ 5 Abs. 5), 13 (§ 15 Abs. 1 Z 1), 16 (§ 32 Abs. 1 Z 1), 17 (§ 36 Abs. 1), 18 (§ 36 Abs. 2 Z 7), 19 (§ 44 Abs. 2), 20 (§ 45 Abs. 7), 21 (§ 49 Abs. 1), 22 (§ 49 Abs. 3), 23 und 24 (§ 56 Abs. 1), 26 (§ 64 Abs. 2) sowie 29 bis 32 (§ 60 samt Überschrift und § 70):

In § 5 Abs. 5, § 15 Abs. 1 Z 1, § 32 Abs. 1 Z 1, § 36 Abs. 1, § 36 Abs. 2 Z 7, § 49 Abs. 1, § 44 Abs. 2, § 45 Abs. 7 und § 56 Abs. 1, §§ 60 und 70 sowie § 64 Abs. 2 werden Redaktionsversehen korrigiert bzw. redaktionelle Anpassungen vorgenommen. Bei der Ergänzung des § 49 Abs. 3 handelt es sich um eine erforderliche Umsetzungsmaßnahme des Art. 24 Abs. 2 der Richtlinie (EU) 2016/680.

Zu Z 8 (§ 11):

Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt. Es ist aber selbstverständlich, dass nicht jegliche Übertretung des ArbVG zu einer Strafbarkeit nach Art. 83 DSGVO führt, sondern nur Übertretungen von Schutzvorschriften des ArbVG betreffend die Verarbeitung personenbezogener Daten dem Regime des Art. 83 DSGVO unterliegen.

Zu Z 9 (§ 12 Abs. 3 Z 2):

Personenbezogene Daten müssen im Sinne der Datenminimierung dem Zweck angemessen und erforderlich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Aus dem Grundsatz auf Datenminimierung und dem Verhältnismäßigkeitsgrundsatz ergibt sich bereits, dass eine Bildverarbeitung nur dann zulässig ist, wenn kein gelinderes eigenes Mittel zur Verfügung steht; eine nochmalige ausdrückliche gesetzliche Anordnung kann daher entfallen.

„Erfolgte Rechtsverletzungen“ ergeben sich aus der Verletzung einer gesetzlichen Vorschrift (z.B. Diebstähle oder Sachbeschädigungen).

Zu Z 10 (§ 12 Abs. 4 Z 3):

Ein Abgleich von Bilddaten soll mit ausdrücklicher Einwilligung zulässig sein (etwa bei Zutrittskontrollen auf der Basis eines Abgleichs biometrischer Bilddaten). Zum Begriff der „ausdrücklichen Einwilligung“ wird auf Art. 9 Abs. 2 lit. a DSGVO verwiesen; eine konkludente Einwilligung reicht daher nicht. Eine ausdrückliche Einwilligung bedeutet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Zu den Z 11 (§ 14 Abs. 1, § 15 Abs. 3, Abs. 5 Z 1 und 2, Abs. 6, 7 und 8, § 16 Abs. 3 Z 2, § 69 Abs. 7) und 12 (§ 15 Abs. 1 Z 5, § 16 Abs. 5, § 19 Abs. 2 und 3, § 23 Abs. 1) und 27 (§ 68):

Die Anpassungen bilden die Änderungen der Ressortzuständigkeiten gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, ab.

Zu Z 15 (§ 30 Abs. 5):

Im Sinne einer Klarstellung soll in § 30 Abs. 5 geregelt werden, dass gegen in Formen des öffentlichen Rechts eingerichtete Stellen, die in Vollziehung der Gesetze tätig werden, und gegen Körperschaften des öffentlichen Rechts sowie gegen in Formen des Privatrechts eingerichtete Stellen, die in Vollziehung der Gesetze tätig werden, keine Geldbußen verhängt werden können.

Zu Z 25 (§ 61 samt Überschrift):

Im Sinne der Deregulierung und Rechtsklarheit wird § 61 Abs. 4 aufgehoben.

Zu Z 28 (§ 69 Abs. 5):

In § 69 Abs. 5 soll klargestellt werden, dass ein strafbarer Tatbestand, der vor dem Inkrafttreten dieses Bundesgesetzes verwirklicht wurde, nach jener Rechtslage zu beurteilen ist, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren. Eine entsprechende Verpflichtung ergibt sich aus dem vom EGMR aus Art. 7 Abs. 1 EMRK abgeleiteten Gebot der rückwirkenden Anwendung günstigerer Strafbestimmungen.

Zu den Z 33 (§ 70 Abs. 10) und 34 (§ 70 Abs. 11):

Die Bestimmungen regeln das Inkrafttreten dieses Bundesgesetzes.“

 

Der Verfassungsausschuss hat den gegenständlichen Initiativantrag in seiner Sitzung am 11. April 2018 in Verhandlung genommen. An der Debatte beteiligten sich im Anschluss an die Ausführungen des Berichterstatters Abgeordneten Werner Herbert die Abgeordneten Eva-Maria Himmelbauer, BSc, Mag. Harald Stefan und Walter Bacher.

 

Ein im Zuge der Debatte von den Abgeordneten Dr. Peter Wittmann, Dr. Alfred J. Noll, Walter Bacher und Dr. Nikolaus Scherak, MA eingebrachter Abänderungsantrag fand keine Mehrheit (dafür: S, N, P, dagegen: V, F).

 

Bei der Abstimmung wurde der Gesetzentwurf mit Stimmenmehrheit (dafür: V, S, F, dagegen: N, P) beschlossen.

 

Ferner beschloss der Verfassungsausschuss mit Stimmenmehrheit (dafür: V, S, F, N, dagegen: P) folgende Feststellung:

„Zu Artikel 2 Z 3: Änderung des § 1 Datenschutzgesetz:

Der Verfassungsausschuss hält fest, dass Datenverarbeitungen im Bereich der Gesetzgebung weiterhin vom Grundrecht auf Datenschutz (§ 1 DSG) erfasst sind, dass aber weder die DSGVO noch die übrigen Bestimmungen des DSG auf Datenverarbeitungen im Bereich der (nationalen) Gesetzgebung Anwendung finden.

Dies gilt auch für die Tätigkeit der parlamentarischen Mitarbeiter/innen und parlamentarischen Klubs und deren Mitarbeiter/innen, wenn diese die Mitglieder des Nationalrates und des Bundesrates bei der Erfüllung ihrer Aufgaben unterstützen.“

 

Als Ergebnis seiner Beratungen stellt der Verfassungsausschuss somit den Antrag, der Nationalrat wolle dem angeschlossenen Gesetzentwurf die verfassungsmäßige Zustimmung erteilen.

Wien, 2018 04 11

                                Werner Herbert                                                             Dr. Peter Wittmann

                                   Berichterstatter                                                                           Obmann