Erläuterungen

Allgemeiner Teil

Hauptgesichtspunkte:

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72), beschlossen. Die Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2016 in Kraft getreten, kommt ab 25. Mai 2018 zur Anwendung und hebt mit 25. Mai 2018 die Richtlinie 95/46/EG auf.

Der sachliche Anwendungsbereich der DSGVO ist umfassend. Die DSGVO gilt gemäß Art. 2 Abs. 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Gemäß Art. 2 Abs. 2 lit. d gilt die DSGVO nicht für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung.

Wenngleich die DSGVO unmittelbare Geltung erlangt, bedarf sie in zahlreichen Bereichen der Durchführung ins innerstaatliche Recht (zB die Errichtung der Aufsichtsbehörde nach Art. 51 Abs. 1 iVm Art. 54 Abs. 1 lit. a DSGVO). Darüber hinaus enthält die DSGVO auch Regelungsspielräume („Öffnungsklauseln“), die fakultativ von den Mitgliedstaaten genutzt werden können. Während die notwendige Durchführung der DSGVO überwiegend im Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, in der Fassung des Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 120/2017, erfolgt, werden Öffnungsklauseln nur zu einem geringen Teil direkt im DSG geregelt.

Der überwiegende Teil der Öffnungsklauseln fällt nicht in den Bereich der allgemeinen Angelegenheiten des Datenschutzes, deshalb werden diese nicht im DSG geregelt. Jedoch kann – soweit erforderlich – in spezifischen Materiengesetzen eine entsprechende Festlegung erfolgen (siehe dazu den Bericht des Verfassungsausschusses zur Regierungsvorlage des Datenschutz-Anpassungsgesetzes 2018 (1761 BlgNR 25. GP 1), welcher zB auf Art. 23 DSGVO hinweist, wonach durch Rechtsvorschriften der Union oder der Mitgliedstaaten die Pflichten und Rechte gemäß den Art. 12 bis 22 und 34 DSGVO unter bestimmten Voraussetzungen gesetzlich beschränkt werden können).

Aus diesen Gründen sind umfassende Änderungen im innerstaatlichen Datenschutzrecht erforderlich, die hinsichtlich der allgemeinen Angelegenheiten des Datenschutzes bereits durch die Erlassung des Datenschutz-Anpassungsgesetzes 2018 vorgenommen wurden, im Hinblick auf die spezifischen Datenverarbeitungen in den jeweiligen Materiengesetzen jedoch noch ausstehen und nun im Wesentlichen in zwei Sammelgesetzes erfolgen sollen:

– einem (1.) Materien-Datenschutz-Anpassungsgesetz 2018, das bereits in parlamentarischer Behandlung steht (Regierungsvorlage 65 d.B. und Bericht des Verfassungsausschusses 97 d.B.), und

– dem mit der vorliegenden Regierungsvorlage vorgeschlagenen 2. Materien-Datenschutz-Anpassungsgesetz 2018.

Dabei sollen die materienspezifischen Datenschutzregelungen mit der neuen datenschutzrechtlichen Terminologie in Einklang gebracht werden sowie die sonstigen formellen und inhaltlichen Adaptierungen erfolgen. Im Hinblick auf das unionsrechtliche Transformationsverbot sollen jedoch nur die unbedingt erforderlichen Durchführungsreglungen zur DSGVO erlassen werden bzw. sollen Abweichungen nur im Falle materienspezifischer Notwendigkeit erfolgen.

Die Mitgliedstaaten können zudem gemäß Art. 6 Abs. 2 DSGVO spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten zur Erfüllung von Art. 6 Abs. 1 lit. c und e DSGVO beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX der DSGVO.

Die materienspezifischen Anpassungen an die DSGVO sollen gleichzeitig mit der Anwendung der DSGVO und dem Datenschutz-Anpassungsgesetz 2018 am 25. Mai 2018 in Kraft treten.

Kompetenzgrundlagen:

Die Kompetenzgrundlagen der vorgeschlagenen Regelungen entsprechen im Wesentlichen jenen der zahlreichen geänderten Bundesgesetze und umfassen daher verschiedenste Tatbestände der Kompetenzartikel der Bundesverfassung. Sie sind ausnahmsweise jeweils im Besonderen Teil angeführt.

Besonderer Teil

Zum 1. Hauptstück (Integration und Äußeres)

Allgemeines

Aufgrund der durch die Datenschutz-Grundverordnung und das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, geschaffenen neuen datenschutzrechtlichen Vorgaben haben die gesetzlich geregelten Datenverarbeitungen ab dem 25. Mai 2018 den durch die DSGVO geänderten Anforderungen zu genügen, weshalb auch materienspezifische Regelungen, wie das Entwicklungszusammenarbeitsgesetz, BGBl. I Nr. 49/2002, das Bundesgesetz über den Auslandsösterreicher-Fonds, BGBl. I Nr. 67/2006, das Rotkreuzgesetz, BGBl. I Nr. 33/2008, das Integrationsgesetz, BGBl. I Nr. 68/2017, und das Anerkennungs- und Bewertungsgesetz, BGBl. I Nr. 55/2016, anzupassen sind.

Zu Art. 1 (Änderung des Entwicklungszusammenarbeitsgesetzes)

Kompetenzgrundlage:

Die Zuständigkeit des Bundes zur Erlassung dieses Bundesgesetzes ergibt sich aus Art. 10 Abs. 1 Z 2 B‑VG („äußere Angelegenheiten“) und Art. 17 B‑VG.

Zu Z 1 (§ 24 Abs. 5)

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO. Soweit daher der Begriff „personenbezogene Daten“ eingefügt wird, bewirkt diese vorgeschlagene Ergänzung keine inhaltliche Änderung.

Aufgrund der neuen Rechtslage durch unmittelbare Geltung der DSGVO und Anwendbarkeit des Datenschutzgesetzes (DSG) mit 25. Mai 2018 wurde eine Änderung des Verweises auf die gesetzliche Grundlage für die Zulässigkeit der Übermittlung personenbezogener Daten notwendig.

Zu Z 2 und Z 3 (§ 24 Abs. 6)

Die vorgeschlagenen Änderungen von Begrifflichkeiten dienen der terminologischen Anpassung an die DSGVO. Der Begriff der „Verarbeitung“ gemäß Art. 4 Z 2 DSGVO entspricht dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“. Der Begriff des „Auftragsverarbeiters“ gemäß Art. 4 Z 8 DSGVO entspricht dem bisher in § 4 Z 5 DSG 2000 definierten Begriff des „Dienstleisters“.

Unbeschadet ihrer privatrechtlichen Einrichtung ist die ADA in Vollziehung der Gesetze tätig und somit als Verantwortliche des öffentlichen Bereichs im Sinne des § 26 Abs. 1 Z 2 DSG anzusehen.

Zu Z 4 (§ 27)

Diese Bestimmung regelt das Inkrafttreten.

Zu Art. 2 (Änderung des Bundesgesetzes über den Auslandsösterreicher-Fonds)

Kompetenzgrundlage:

Die Kompetenz des Bundes zur Erlassung dieses Bundesgesetzes ergibt sich aus Art. 10 Abs. 1 Z 2 B‑VG.

Zu Z 1 (§ 4)

Die vorgeschlagene Änderung stellt eine notwendige terminologische Adaptierung der Überschrift des § 4 dar. Der Begriff der „Verarbeitung“ gemäß Art. 4 Z 2 DSGVO entspricht dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ und der Begriff „personenbezogene Daten“ gemäß Art. 4 Z 1 DSGVO entspricht dem Begriff in § 4 Z 1 DSG 2000 definierten Begriff der „Daten“. Soweit daher der Begriff „personenbezogene Daten“ verwendet wird, bewirkt diese vorgeschlagene Ergänzung keine inhaltliche Änderung.

Zu Z 2 (§ 5 Abs. 4)

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO. Der Begriff der „Einwilligung“ gemäß Art. 4 Z 11 DSGVO ersetzt den bisher in § 4 Z 14 DSG 2000 definierten Begriff der „Zustimmung“.

Zu Z 2 (§ 14 Abs. 5)

Diese Bestimmung regelt das Inkrafttreten.

Zu Art. 3 (Änderung des Rotkreuzgesetzes)

Kompetenzgrundlage:

Die Zuständigkeit des Bundes zur Erlassung und Änderung des Rotkreuzgesetzes gründet sich auf Art. 10 Abs. 1 Z 12, Art. 10 Abs. 1 Z 15, Art. 10 Abs. 1 Z 8 und Art. 16 Abs. 4 B‑VG. Gemäß Art. 16 Abs. 4 B‑VG sind die Länder verpflichtet, Maßnahmen zu treffen, die in ihrem selbständigen Wirkungsbereich zur Durchführung von Staatsverträgen erforderlich werden; kommt ein Land dieser Verpflichtung nicht rechtzeitig nach, so geht die Zuständigkeit zu solchen Maßnahmen, insbesondere auch zur Erlassung der notwendigen Gesetze auf den Bund über. Schon in den erläuternden Bemerkungen zum Rotkreuzschutzgesetz 1962 wurde befunden, dass seit der Ratifizierung der Genfer Abkommen bereits eine ausreichende Frist verstrichen war (acht Jahre), ohne dass die Länder entsprechende Gesetze erlassen hätten und daher die Bundeskompetenz begründet war. Heute muss dies umso mehr – und mittlerweile auch für die beiden Protokolle von 1977 – gelten.

Zu Z 1 (§ 2 Abs. 4):

Die vorgeschlagene Änderung in Abs. 4 dient der terminologischen Anpassung an die DSGVO.

Zu Z 2 (§ 11 Abs. 3):

Diese Bestimmung regelt das Inkrafttreten.

Zu Art. 4 (Änderung des Integrationsgesetzes)

Kompetenzgrundlage:

Die Kompetenz des Bundes zur Erlassung einer diesem Entwurf entsprechenden Änderung des Integrationsgesetzes gründet sich auf Art. 10 Abs. 1 Z 3 B‑VG (Ein- und Auswanderungswesen einschließlich des Aufenthaltsrechtes aus berücksichtigungswürdigen Gründen; Asyl) und Art. 12 Abs. 1 Z 1 (Armenwesen).

Zu Z 1 (Inhaltsverzeichnis)

Die vorgeschlagene Änderung stellt eine notwendige terminologische Adaptierung des Inhaltsverzeichnisses dar. Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO entspricht dem bisher in § 4 Z 8 Datenschutzgesetz (DSG 2000), BGBl. I Nr. 165/1999 idF vor BGBl. I Nr. 120/2017, definierten Begriff des „Verwendens“ bzw. der „Verwendung“ von Daten.

Zu Z 2 (§ 15 Abs. 1)

Die vorgeschlagene Änderung dient einerseits der terminologischen Anpassung an die DSGVO. Soweit daher der Begriff „personenbezogene Daten“ eingefügt wird, bewirkt diese vorgeschlagene Ergänzung keine inhaltliche Änderung.

Darüber hinaus trifft die zertifizierten Kursträger die Pflicht zur Übermittlung von personenbezogenen Daten, weshalb auch klargestellt werden soll, dass die zertifizierten Kursträger hierbei als Auftragsverarbeiter im Sinne des Art. 4 Z 8 DSGVO tätig werden. Zudem soll gesetzlich normiert werden, dass sie in dieser Funktion verpflichtet sind, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Die Einschränkung der Meldeverpflichtung in Abs. 1 auf jene Personen, für welche eine Kostenbeteiligung gemäß § 14 in Frage kommt, entspricht den Erfordernissen der Praxis und soll den Verwaltungsaufwand für die zertifizierten Kursträger verringern.

Zu Z 3 bis 7 (§ 24 Abs. 1, 1a und 1b)

Die vorgeschlagenen Änderungen von Begrifflichkeiten dienen der terminologischen Anpassung an die DSGVO: Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung und entspricht damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ von Daten.

Abs. 1 regelt die Datenverwendung im Sinne des DSG 2000 bzw. künftig die Datenverarbeitung im Sinne der DSGVO durch den Österreichischen Integrationsfonds (ÖIF). Es soll klargestellt werden, dass diese Datenverarbeitung dem Zweck der geordneten und effizienten Umsetzung von Integrationsmaßnahmen sowohl im Hinblick auf Asyl- und subsidiär Schutzberechtigte im Sinne des § 3 Z 1 und 2 als auch im Hinblick auf rechtmäßig niedergelassene Drittstaatsangehörige im Sinne des § 3 Z 3 dient.

Hinsichtlich der Datenarten wird insoweit eine Ergänzung vorgeschlagen, als Integrationsmaßnahmen, die Berufsausbildung, die Arbeitsfähigkeit und das bereichsspezifische Personenkennzeichen ausdrücklich mitaufgenommen werden sollen. Damit wird der institutionenübergreifenden Durchführung von Integrationsmaßnahmen explizit Rechnung getragen; Daten zu Integrationsmaßnahmen umfassen unter anderem die Anmeldung, Teilnahme, Mitwirkung und den Abschluss von Integrationsmaßnahmen samt Prüfungsergebnissen; die Berufsausbildung sowie Arbeitsfähigkeit sind insofern erforderlich, um das Kursangebot besser auf die jeweiligen Personen abstimmen zu können. Zudem soll das Wort „Sprachniveau“ durch den umfassenderen Begriff der „Sprachkenntnisse“ ersetzt werden, um Kenntnisse verschiedener Sprachen samt dem jeweiligen Sprachniveau zu erfassen. Dies ist etwa für die Durchführung von Beratungen oder Werte- und Orientierungskursen, welche mit Dolmetscher durchgeführt werden, erforderlich.

Mit der Einfügung eines neuen Abs. 1b erfolgt zum einen eine Anpassung an die Vorgaben der DSGVO, zum anderen wird die Bedeutung der bisherigen Regelung in Abs. 1, dass die Datenverwendung im Rahmen des § 8 Grundversorgungsgesetz – Bund 2005 (GVG-B 2005), BGBl. Nr. 405/1991, zulässig ist, einer Klarstellung zugeführt. Die Führung der Datenanwendung im Rahmen des § 8 GVG-B 2005 bedeutet nämlich, dass diese Datenanwendung auf derselben technischen Plattform geführt werden darf, wie jene nach dem GVG-B 2005, und dass der Bundesminister für Inneres – im Verhältnis zu den übrigen gemeinsam Verantwortlichen – die Funktion des Auftragsverarbeiters für diese Datenverarbeitung übernimmt. Damit wird dem Umstand Rechnung getragen, dass es bereits die technische Umgebung für eine solche Form der Datenverarbeitung gibt und nichts Neues erstellt und finanziert werden muss. Die Datenbestände nach § 24 Abs. 1a einerseits und nach § 8 GVG-B 2005 andererseits werden dabei in jedem Fall logisch getrennt geführt. Es handelt sich somit um zwei getrennte Datenbestände.

Die Stellung des Bundesministers für Inneres als Auftragsverarbeiter samt Datenschutzpflichten ergeben sich unmittelbar aus dem Integrationsgesetz; ein Weisungszusammenhang wird hiermit nicht festgelegt (vgl. Art. 29 DSGVO).

Sowohl der ÖIF, als auch die Grundversorgungstellen und das Arbeitsmarktservice bieten Integrationsleistungen an. Ein geordneter und effektiver Vollzug kann nur dann sichergestellt werden, wenn alle über denselben Wissensstand über bereits geleistete Integrationsmaßnahmen verfügen. Die elektronische Übermittlung personenbezogener Daten aus der Datenanwendung gemäß Abs. 1a durch den ÖIF an die für die Erbringung der Leistungen der Sozialhilfe oder bedarfsorientierten Mindestsicherung zuständigen Stellen der Länder ist bereits von Abs. 2 erfasst.

Die Einfügung eines neuen Abs. 1b betrifft die Erfüllung von Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber den betroffenen Personen im Rahmen der gemeinsamen Verarbeitung gemäß Abs. 1a. Die Pflichten obliegen etwa dem ÖIF nur hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Sofern sich eine betroffene Person an einen unzuständigen Verantwortlichen wendet, wird in Abs. 1b – angelehnt an § 6 AVG – die weitere Vorgehensweise festgelegt.

Ein Widerspruchsrecht ist von Abs. 1b nicht umfasst, da ein solches im Rahmen der Verarbeitung gemäß Abs. 1 und 1a nicht zusteht (vgl. Art. 6 Abs. 1 lit. c in Verbindung mit Art. 21 Abs. 1 DSGVO). Die Verarbeitung von personenbezogenen Daten gemäß Abs. 1 und 1a ist für den ÖIF zur Erfüllung seiner rechtlichen Verpflichtungen – dem Anbot und der Durchführung von Integrationsmaßnahmen und die Übermittlung entsprechender Daten etwa an die für die Erbringung der Leistungen der Sozialhilfe oder bedarfsorientierten Mindestsicherung zuständigen Stellen der Länder bzw. die Beantwortung von Anfragen gemäß § 15 Abs. 2 – unbedingt erforderlich.

Zu Z 8 bis 10 (§ 24 Abs. 2 und 3)

Die vorgeschlagene Änderung in Abs. 2 dient der terminologischen Anpassung an die DSGVO.

Abs. 3 sieht im Sinne des Grundsatzes der Beschränkung der Datenverarbeitung auf das Notwendige vor, dass die personenbezogenen Daten gemäß Abs. 1 und 1a zu löschen sind, wenn einer der gemeinsam Verantwortlichen Kenntnis davon erlangt, dass eine betroffene Person die österreichische Staatsbürgerschaft erworben hat. Im Übrigen gilt die bisherige Aufbewahrungsdauer von sechs Jahren nach Ende der Integrationsmaßnahmen, sofern die Daten nicht noch für andere gesetzlich übertragene Aufgaben oder in einem anhängigen Verfahren benötigt werden. Längere Aufbewahrungsfristen können sich aus anderen gesetzlichen Bestimmungen ergeben. So kann beispielsweise aufgrund von § 20 Bundes‑Stiftungs- und Fondsgesetz 2015, BGBl. I Nr. 160/2015, in Verbindung mit unternehmensrechtlichen Bestimmungen eine längere Aufbewahrungspflicht erforderlich sein.

Zu Z 11 (§ 27 Abs. 5)

Diese Bestimmung regelt das Inkrafttreten.

Zu Art. 5 (Änderung des Anerkennungs- und Bewertungsgesetzes)

Kompetenzgrundlage

Die Kompetenz des Bundes zur Erlassung einer diesem Entwurf entsprechenden Änderung des Anerkennungs- und Bewertungsgesetzes gründet sich auf Art. 10 Abs. 1 Z 2 B‑VG (Zollwesen), Art. 10 Abs. 1 Z 3 B‑VG (Asyl), Art. 10 Abs. 1 Z 5 B‑VG (Geld-, Kredit-, Börse- und Bankwesen; Maß- und Gewichts-, Normen- und Punzierungswesen), Art. 10 Abs. 1 Z 6 B‑VG (Justizpflege), Art. 10 Abs. 1 Z 8 B‑VG (Angelegenheiten des Gewerbes und der Industrie; Patentwesen; Ingenieur- und Ziviltechnikerwesen), Art. 10 Abs. 1 Z 12 B‑VG (Gesundheitswesen, mit Ausnahme des Leichen- und Bestattungswesens sowie des Gemeindesanitätsdienstes und Rettungswesens, hinsichtlich des Heil- und Pflegeanstaltenwesens, des Kurortewesens und der natürlichen Heilvorkommen jedoch nur die sanitäre Aufsicht; Abfallwirtschaft hinsichtlich gefährlicher Abfälle, hinsichtlich anderer Abfälle nur soweit ein Bedürfnis nach Erlassung einheitlicher Vorschriften vorhanden ist), Art. 10 Abs. 1 Z 13 B‑VG (wissenschaftlicher und fachtechnischer Archiv- und Bibliotheksdienst; und sonstige Statistik, soweit sie nicht nur den Interessen eines einzelnen Landes dient), Art. 10 Abs. 1 Z 16 B‑VG (Dienstrecht und Personalvertretungsrecht der Bundesbediensteten), Art. 14 Abs. 2 B‑VG (Angelegenheiten des Dienstrechtes und des Personalvertretungsrechtes der Lehrer für öffentliche Pflichtschulen) und Art. 14 Abs. 1 B‑VG (Schulwesen).

Zu Z 1 (§ 12 Abs. 1)

Die Bundesanstalt „Statistik Österreich“ (im Folgenden: Bundesanstalt) hat eine Statistik über die Verfahren zur Anerkennung und Bewertung ausländischer Bildungsabschlüsse oder Berufsqualifikationen zu führen und jährlich zu veröffentlichen. Da der Bundesanstalt gemäß § 10 Abs. 3 Z 2 Bildungsdokumentationsgesetz, BGBl. I Nr. 12/2002, hierfür personenbezogene Daten übermittelt werden, dient die vorgeschlagene Änderung der Klarstellung, dass die Bundesanstalt im Rahmen dieser Datenverarbeitung als Verantwortliche gemäß Art. 4 Z 7 DSGVO tätig wird.

Die vorgeschlagene Änderung dient zudem der terminologischen Anpassung an die DSGVO. Soweit daher der Begriff „personenbezogene“ Daten verwendet wird, bewirkt diese vorgeschlagene Ergänzung keine inhaltliche Änderung.

Zu Z 2 (§ 14 Abs. 4)

Diese Bestimmung regelt das Inkrafttreten.

Zum 2. Hauptstück (Finanzen)

Zum 1. Abschnitt (Finanzmarkt)

A. Allgemeines

Grundlagen des Gesetzesentwurfs:

Dieser Abschnitt des vorgeschlagenen Bundesgesetzes

– enthält gesetzliche Begleitmaßnahmen im Zusammenhang mit der Datenschutz-Grundverordnung;

– enthält gesetzliche Begleitmaßnahmen im Zusammenhang mit der Verordnung (EU) 2017/1131 über Geldmarktfonds, ABl. Nr. L 169 vom 14.6.2017 S. 8;

– setzt die Richtlinie 2017/2399/EU zur Änderung der Richtlinie 2014/59/EU im Hinblick auf den Rang unbesicherter Schuldtitel in der Insolvenzrangfolge, ABl. Nr. L 345 vom 27.12.2017 S. 96, um.

Hauptgesichtspunkte des Entwurfs:

1. Anpassungen aufgrund der DSGVO

Aufgrund der DSGVO ergibt sich Anpassungsbedarf in den verschiedenen Materiengesetzen des Finanzmarktbereichs. Insbesondere sind notwendige Verweisänderungen vorzunehmen und die bisher auf nationaler Ebene definierten datenschutzrechtlichen Begriffe an die Terminologie der DSGVO anzupassen. Die Änderungen sollen die Vereinbarkeit nationaler Regelungen mit der DSGVO sicherstellen. Durch die gemeinsame Anpassung der verschiedenen Finanzmarktgesetze im Bereich Datenschutz soll die Kohärenz der verschiedenen Finanzmarktregelungen sichergestellt werden.

2. Erleichterung der kurzfristigen Finanzierung durch Etablierung von Geldmarktfonds

Die Verordnung (EU) 2017/1131 soll durch Schaffung eines einheitlichen europäischen Rechtsrahmens die kurzfristige Finanzierung für Finanzinstitute, Unternehmen und Staaten erleichtern. Geldmarktfonds bieten Anlegern ähnliche Vorzüge wie Bankeinlagen durch sofortigen Zugang zu Liquidität und relative Wertbeständigkeit. Angesichts dieser Merkmale sehen Anleger in Geldmarktfonds eine sichere und stärker diversifizierte Alternative zu Bankeinlagen. Da sich während der Finanzkrise gezeigt hat, dass bestimmte Merkmale von Geldmarktfonds deren Anfälligkeit bei Schwierigkeiten auf den Finanzmärkten erhöhen können, sieht die unmittelbar anwendbare EU-Verordnung entsprechende Rahmenbedingungen vor, die Geldmarktfonds zu einer attraktiven Anlageform für kurzfristige Liquiditätsreserven machen sollen.

Mit dem vorliegenden Gesetzesentwurf sollen gesetzliche Vorschriften betreffend Sanktionen für Verstöße gegen die Verordnung (EU) 2017/1131 in das österreichische Recht eingefügt werden. Da für Geldmarktfonds in Abhängigkeit von der Ausgestaltung entweder als Organismus für gemeinsame Anlagen in Wertpapieren (OGAW) oder als Alternativer Investmentfonds (AIF) die Aufsichtsbestimmungen des Investmentfondsgesetzes 2011 oder des Alternative Investmentfonds Manager-Gesetzes anwendbar sind, ist die Schaffung von sonstigen begleitenden Verfahrens- und Aufsichtsvorschriften nicht erforderlich.

Die übrigen Änderungen sind einerseits durch Erfahrungen der Finanzmarktaufsichtsbehörde aus ihrer Aufsichtstätigkeit bedingt und setzen anderseits Anliegen der Fondswirtschaft um, die zu Erleichterungen im Vertrieb führen und mit dem einschlägigen EU-Recht kompatibel sind.

3. Änderung der Bankgläubigerhierarchie durch Schaffung einer neuen Kategorie der „nicht bevorrechtigten“ vorrangigen Schuldtitel

Die Richtlinie 2017/2399/EU sieht vor, eine Änderung der Rangfolge im Konkursverfahren innerhalb der Kategorie der unbesicherten vorrangigen Schuldtitel im nationalen Insolvenzrecht vorzunehmen, indem eine neue Unterkategorie der sogenannten „nicht bevorrechtigten“ vorrangigen Schuldtitel begründet wird. Dadurch soll den Instituten nicht nur die effizientere Einhaltung der vom TLAC-Standard und der CRR festgelegten Nachrangigkeitsanforderung ermöglicht werden, sondern auch die Gläubigerbeteiligung bei grenzüberschreitend tätigen Instituten und die Abwicklung im Allgemeinen erleichtert werden.

Hintergrund

Nach dem globalen, auf G-20-Ebene beschlossenen TLAC-Standard haben global systemrelevante Institute die TLAC-Mindestanforderung zur Verlusttragung und Rekapitalisierung grundsätzlich mit nachrangigen Verbindlichkeiten zu erfüllen, die in der Insolvenzrangfolge nach den vom Geltungsbereich der TLAC ausgeschlossenen Verbindlichkeiten eingereiht sind. Nach dem TLAC- Standard ist die Nachrangigkeit durch eine vertragliche Nachrangigkeit, eine gesetzliche Nachrangigkeit oder eine bestimmte Unternehmensstruktur (sogenannte „strukturelle Nachrangigkeit“) zu erreichen.

Sofern dies nach der Richtlinie 2014/59/EU (Bank Recovery and Resolution Directive – BRRD) erforderlich ist, haben Institute, die in den Anwendungsbereich der genannten Richtlinie fallen, ihre firmenspezifischen Anforderungen mit nachrangigen Verbindlichkeiten zu erfüllen, um das Risiko zu minimieren, dass Gläubiger rechtliche Schritte einleiten, um nachzuweisen, dass die Gläubiger bei der Abwicklung größere Verluste erlitten haben als bei einem regulären Konkursverfahren der Fall gewesen wäre (Grundsatz „keine Schlechterstellung von Gläubigern“).

4. Einführung einer Erleichterung bei der Meldung an das Register der wirtschaftlichen Eigentümer

Bereits jetzt werden sehr viele Daten über wirtschaftliche Eigentümer aus bestehenden Registern in das Register der wirtschaftlichen Eigentümer übernommen, um die Verwaltungslasten für die meldepflichtigen Rechtsträger möglichst gering zu halten. In einem weiteren Schritt sollen nun die Daten über die jeweiligen Angehörigen der obersten Führungsebene automatisationsunterstützt aus dem Firmenbuch übernommen werden. Dies betrifft Fälle, in denen kein wirtschaftlicher Eigentümer ermittelt werden konnte und daher eine subsidiäre Meldung der obersten Führungsebene abgegeben werden muss. Es wird daher in diesen Fällen künftig ausreichend sein, dass nur einmalig gemeldet wird, dass eine subsidiäre Ermittlung der wirtschaftlichen Eigentümer erfolgt. Überdies soll noch die Rechtssicherheit bei der Anwendung der Meldebefreiungen erhöht werden.

Inkrafttreten

Die DSGVO ist ab 25. Mai 2018 unmittelbar anwendbar. Die gesetzlichen Änderungen aufgrund der DSGVO sollen daher ehestmöglich in Kraft treten.

Die gesetzlichen Änderungen aufgrund der Verordnung (EU) 2017/1131 über Geldmarktfonds sollen mit 21. Juli 2018 in Kraft treten.

Die gesetzlichen Bestimmungen zur Umsetzung der Änderungen der Richtlinie 2014/59/EU durch die Richtlinie 2017/2399 sollen mit 29. Dezember 2018 in Kraft treten.

Die Meldeerleichterung im WiEReG soll mit 1. Oktober 2018 in Kraft treten. Die übrigen nicht DSGVO-spezifischen Änderungen sollen mit 1. Juli 2018 in Kraft gesetzt werden.

Kompetenzgrundlage

Das vorgeschlagene Bundesgesetz stützt sich hinsichtlich dieses Abschnitts auf Art. 10 Abs. 1 Z 5 B‑VG (Börse- und Bankwesen) sowie auf Art. 10 Abs. 1 Z 11 B‑VG (Versicherungsvertragswesen).

B. Zu den einzelnen Bestimmungen

Zu Art. 6 (Änderung des Alternativen Investmentfonds Manager-Gesetzes):

Zu § 1 Abs. 5 Z 5a und § 58:

Durch den ersten Halbsatz der Z 5a werden registrierte AIFM verpflichtet, Änderungen in der Person des Geschäftsleiters und Sitzverlegungen der FMA anzuzeigen. Verwalter von qualifizierten Risikokapitalfonds und qualifizierten Fonds für soziales Unternehmertum haben bei einem Wechsel in der Person des Geschäftsleiters darüber hinaus die Angaben gemäß § 5 Abs. 2 Z 1 zu übermitteln, um der FMA eine Prüfung der Eignung des neuen Geschäftsleiters gemäß Art. 14 Abs. 2 Buchstabe a der Verordnung (EU) Nr. 345/2013 über Europäische Risikokapitalfonds, ABl. L Nr. 115 vom 25.04.2013 S. 1, und Art. 15 Abs. 2 Buchstabe a der Verordnung (EU) Nr. 346/2013 über Europäische Fonds für soziales Unternehmertum, ABl. L Nr. 115 vom 25.04.2013 S. 18, zu ermöglichen.

Zu § 2 Abs. 1 Z 40 und § 71 Abs. 2 Z 9:

Dies ist eine redaktionelle Anpassung des Verweises.

Zu § 18 Abs. 3:

Da sich die einschlägigen datenschutzrechtlichen Vorschriften nunmehr in der unmittelbar anwendbaren DSGVO, insbesondere in Art. 28 Abs. 3, befinden, kann § 18 Abs. 3 letzter Satz entfallen.

Zu § 38 Abs. 2:

Da eine Bestätigung der für den Nicht-EU-AIF zuständigen Aufsichtsbehörde über die Einhaltung dieses Bundesgesetzes in der Praxis nicht oder nur schwer beizubringen ist, soll eine externe Bestätigung durch einen Wirtschaftsprüfer oder einen vergleichbaren Sachverständigen für das Verfahren gegenüber der FMA ausreichend sein.

Zu § 56 Abs. 5:

Es erfolgt die Berichtigung eines redaktionellen Versehens, da die Bestimmung in Abs. 5 gemäß § 32 Abs. 3 errichtete Zweigstellen kostenpflichtig macht. Es wird nun klargestellt, dass es sich dabei um Zweigstellen von EWR-AIFM in Österreich als Anknüpfungspunkt der Kostenpflicht handelt.

Zu § 60 Abs. 2 Z 20c und 20d und § 71 Abs. 2 Z 23:

Gemäß Art. 40 der Verordnung (EU) 2017/1131 legen die Mitgliedstaaten Vorschriften für Sanktionen bei Verstößen gegen die Verordnung fest. Hinsichtlich jener Bestimmungen der Verordnung, deren Verletzung mit Strafe zu ahnden ist, wird auf die in Art. 41 der Verordnung (EU) 2017/1131 genannten Tatbestände zurückgegriffen.

Zu § 62 Abs. 1:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO. Es liegt kein Anwendungsfall des Transformationsverbots vor, da es sich bei dieser Bestimmung um die zwingende Umsetzung von Unionsrecht handelt.

Zu § 63 Abs. 1:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO. Für eine zulässige Übermittlung personenbezogener Daten an Drittlandsbehörden sind künftig insbesondere die unmittelbar anwendbaren Bestimmungen des Kapitel V der DSGVO maßgeblich. Wenn weder ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt noch geeignete Garantien gemäß Art. 46 DSGVO bestehen, kann eine Übermittlung personenbezogener Daten in Drittstaaten gemäß Art. 49 DSGVO trotzdem zulässig sein. Dies gilt unter anderem, wenn die Übermittlung gemäß Art. 49 Abs. 1 lit. d DSGVO aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Der internationale Datenaustausch zwischen Finanzaufsichtsbehörden stellt ein solches wichtiges öffentliches Interesse dar (vgl. Erwägungsgrund 112 DSGVO). Der Verweis auf Kapitel V der DSGVO umfasst nur die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 1 DSGVO in deren sachlichen Anwendungsbereich gemäß Art. 2 DSGVO und schadet bei der Verarbeitung solcher personenbezogener Daten nicht der Notwendigkeit der Prüfung der sonstigen Bestimmungen der DSGVO zur Zulässigkeit der Verarbeitung.

Zu § 71 Abs. 2 Z 19:

Einfügen des Verweises auf die DSGVO.

Zu § 71 Abs. 2 Z 20 und 21:

Anpassung an die Änderung der EU-Verordnung über Europäische Risikokapitalfonds und der EU-Verordnung über Europäische Fonds für soziales Unternehmertum.

Zu Art. 7 (Änderung des Bankwesengesetzes):

Zu § 1 Abs. 1 Z 7a:

Dies ist eine redaktionelle Anpassung der Verweise.

Zu § 9 Abs. 7:

In Anlehnung an § 19 Abs. 5 WAG 2018 wird der Verweis auf die einschlägigen Bestimmungen der delegierten Verordnung (EU) 2017/565 zur Ergänzung der Richtlinie 2014/65/EU in Bezug auf die organisatorischen Anforderungen an Wertpapierfirmen und die Bedingungen für die Ausübung ihrer Tätigkeit sowie in Bezug auf die Definition bestimmter Begriffe für die Zwecke der genannten Richtlinie, ABl. Nr. L 87 S. 1, aufgenommen.

Zu § 20b Abs. 3:

Da die technischen Regulierungsstandards gemäß Art. 22 Abs. 9 der Richtlinie 2013/36 („CRD IV“) die vom Anzeigepflichtigen vorzulegenden Informationen nicht festlegen, sondern lediglich den Informationsaustausch zwischen den zuständigen Behörden regeln, ist die Bezugnahme auf diese technischen Regulierungsstandards an dieser Stelle zu streichen.

Zu § 30a Abs. 7:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO.

Zu § 77 Abs. 4:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO.

Zum Schlussteil des § 77 Abs. 5:

Für eine zulässige Übermittlung personenbezogener Daten an Drittlandsbehörden sind künftig insbesondere die unmittelbar anwendbaren Bestimmungen des Kapitel V der DSGVO maßgeblich. Wenn weder ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt noch geeignete Garantien gemäß Art. 46 DSGVO bestehen, kann eine Übermittlung personenbezogener Daten in Drittstaaten gemäß Art. 49 DSGVO trotzdem zulässig sein. Dies gilt unter anderem, wenn die Übermittlung gemäß Art. 49 Abs. 1 lit. d DSGVO aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Der internationale Datenaustausch zwischen Finanzaufsichtsbehörden stellt ein solches wichtiges öffentliches Interesse dar (vgl. Erwägungsgrund 112 DSGVO). Der Verweis auf Kapitel V der DSGVO umfasst nur die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 1 DSGVO in deren sachlichen Anwendungsbereich gemäß Art. 2 DSGVO und schadet bei der Verarbeitung solcher personenbezogener Daten nicht der Notwendigkeit der Prüfung der sonstigen Bestimmungen der DSGVO zur Zulässigkeit der Verarbeitung.

Zu § 77 Abs. 4:

Da sowohl die DSGVO als auch das Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999 keine Regelungen zum Informationsverbundsystem mehr enthalten, haben OeNB und FMA künftig die Vorschriften für gemeinsam für die Verarbeitung Verantwortliche (Art. 26 der DSGVO) einzuhalten. In diesem Zusammenhang soll die OeNB als Anlaufstelle für die betroffenen Personen gemäß Art. 26 letzter Satz DSGVO fungieren.

Zu § 99g Abs. 3 Z 3:

Zu § 105 Abs. 16:

Einfügen des Verweises auf die DSGVO.

Zu Art. 8 (Änderung des Börsegesetzes 2018):

Zu § 1 Z 2:

Das Langzitat der Richtlinie kann entfallen, da alle zitierten Rechtsakte in § 177 aufgezählt sind.

Zu § 1 Z 23:

Dies ist eine redaktionelle Anpassung aufgrund der Berichtigung der Richtlinie 2014/65/EU über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU, ABl. Nr. L 175 vom 23.06.2016 S. 8, in der Fassung der Berichtigung ABl. Nr. L 278 vom 27.10.2017 S. 56 (kurz: Berichtigung der MiFID II).

Zu § 2:

Dies ist eine redaktionelle Anpassung aufgrund der Berichtigung der Delegierten Verordnung (EU) 2017/567 zur Ergänzung der Verordnung (EU) Nr. 600/2014 im Hinblick auf Begriffsbestimmungen, Transparenz, Portfoliokomprimierung und Aufsichtsmaßnahmen zur Produktintervention und zu den Positionen, ABl. Nr. L 87 S. 90, in der Fassung der Berichtigung ABl. Nr. L 251 vom 29.09.2017 S. 30.

Zu § 7 Abs. 12:

Die Standard- und Muster-Verordnung 2004 – StMV, BGBl. II Nr. 312/2004, tritt gemäß § 70 Abs. 2 Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, mit Ablauf des 24. Mai 2018 außer Kraft. Die DSGVO sieht keine Meldung von bestimmten Datenanwendungen an das Datenverarbeitungsregister mehr vor; stattdessen besteht gemäß Art. 30 DSGVO unter bestimmten Voraussetzungen die Pflicht zum Führen eines Verzeichnisses aller Verarbeitungstätigkeiten.

Zu § 28 Abs. 5:

Die bereits bisher bestehende Datenverarbeitungsermächtigung für Börseunternehmen wir in Anlehnung an § 77 Abs. 4 BWG näher umschrieben und an die DSGVO angepasst.

Zu § 58 Abs. 1 Z 2:

Es erfolgt die Berichtigung eines Schreibfehlers.

Zu § 93 Abs. 2:

Es erfolgt die Berichtigung eines Verweisfehlers.

Zu § 95 Abs. 3 Z 3:

Dies ist eine redaktionelle Anpassung der Verweise an die DSGVO. Es liegt kein Anwendungsfall des Transformationsverbots vor, da es sich bei dieser Bestimmung um die zwingende Umsetzung von Unionsrecht handelt.

Zu § 97:

Zu § 105 Abs. 1 Z 2 und Abs. 2 Z 2:

Es soll klargestellt werden, dass die FMA nur für die Verfolgung des unerlaubten Börsebetriebs bei Wertpapierbörsen zuständig ist.

Zu § 159 Abs. 3 Z 3:

Zu § 177 Abs. 4 Z 3:

Redaktionelle Bereinigung.

Zu § 177 Abs. 4 Z 16:

Dies ist eine redaktionelle Anpassung aufgrund der Berichtigung der MiFID II.

Zu § 177 Abs. 5 Z 15:

Einfügen des Verweises auf die DSGVO.

Zu Art. 9 (Änderung des Devisengesetzes 2004):

Zu § 5 Abs. 4:

Für eine zulässige Übermittlung personenbezogener Daten an Drittlandsbehörden sind künftig insbesondere auch die unmittelbar anwendbaren Bestimmungen des Kapitel V der DSGVO maßgeblich. Wenn weder ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt noch geeignete Garantien gemäß Art. 46 DSGVO bestehen, kann eine Übermittlung personenbezogener Daten in Drittstaaten gemäß Art. 49 DSGVO trotzdem zulässig sein. Dies gilt unter anderem, wenn die Übermittlung gemäß Art. 49 Abs. 1 lit. d DSGVO aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Der internationale Datenaustausch zwischen Finanzaufsichtsbehörden stellt ein solches wichtiges öffentliches Interesse dar (vgl. Erwägungsgrund 112 DSGVO). Der Verweis auf Kapitel V der DSGVO umfasst nur die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 1 DSGVO in deren sachlichen Anwendungsbereich gemäß Art. 2 DSGVO und schadet bei der Verarbeitung solcher personenbezogener Daten nicht der Notwendigkeit der Prüfung der sonstigen Bestimmungen der DSGVO zur Zulässigkeit der Verarbeitung.

Zu Art. 10 (Änderung des E-Geldgesetzes 2010):

Zum Einleitungsteil des § 23 Abs. 1:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO.

Zu § 23 Abs. 3:

Zu § 37 Abs. 2 Z 5:

Einfügen des Verweises auf die DSGVO.

Zu Art. 11 (Änderung des Einlagensicherungs- und Anlegerentschädigungsgesetzes):

Zu § 2 Abs. 1:

Dies ist eine redaktionelle Anpassung an die DSGVO. Es liegt kein Anwendungsfall des Transformationsverbots vor, da es sich bei dieser Bestimmung um die zwingende Umsetzung von Unionsrecht handelt.

Die Sicherungseinrichtungen sollen die Daten der Einleger besonders sorgfältig behandeln und ein hohes Maß an Datenschutz aufrechterhalten. Hierfür sind die Vorschriften der DSGVO vollumfänglich einzuhalten, wobei in diesem Zusammenhang klarstellend festzuhalten ist, dass die Beaufsichtigung der Einhaltung der DSGVO mangels Zuständigkeit selbstverständlich nicht durch die FMA zu erfolgen hat.

Insbesondere dürfen etwa die nach § 13 Abs. 3 bzw. § 46 Abs. 1 in Verbindung mit § 93 BWG übermittelten personenbezogenen Daten entsprechend den Art. 5 und 6 der DSGVO grundsätzlich nur zum Zwecke der Ermittlung und Befriedigung der Entschädigungsansprüche der Einleger oder der Anleger verwendet werden und sind, nach Maßgabe des Art. 5 Abs. 1 lit. e DSGVO, zu löschen, soweit sie zur Erfüllung der gesetzlichen Aufgaben der Sicherungseinrichtungen nicht mehr erforderlich sind.

Zu Art. 12 (Änderung des Finanzkonglomerategesetzes):

Zu § 12b:

Mit dieser Bestimmung soll eine ausdrückliche Rechtsgrundlage gemäß Art. 6 Abs. 3 iVm Abs. 1 lit. e DSGVO für die Verarbeitung personenbezogener Daten durch die FMA in ihrem Aufgabenbereich nach diesem Bundesgesetz vorgesehen werden. Die Bestimmung lehnt sich an § 77 Abs. 4 BWG (Art. 7 dieses Entwurfs) an.

Zu Art. 13 (Änderung des Finanzmarkt-Geldwäschegesetzes):

Zum Inhaltsverzeichnis und zu § 26:

Verweisanpassung und Anpassung an die datenschutzrechtlichen Begrifflichkeiten der DSGVO. Der Begriff „Daten“ im Sinne von § 4 Z 1 DSG 2000 wird durch den Begriff „personenbezogene Daten“ im Sinne von Art. 4 Z 1 DSGVO ersetzt. Zudem sollen die einzelnen Datenverarbeitungsermächtigungen in den verschiedenen Finanzmarktgesetzen sprachlich möglichst vereinheitlicht werden.

Zu § 2 Z 3 und Anlage II Z 1 lit. a:

Dies ist eine redaktionelle Anpassung des Verweises an die geänderte Rechtslage.

Zu § 16 Abs. 5:

Zu § 20 Abs. 3 Z 3 und § 32 Abs. 1, 2, 3 und 4:

Beseitigung von Redaktionsversehen.

Zu § 21 Abs. 5:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO. Die Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person ist nun in Art. 13 DSGVO und die Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, in Art. 14 DSGVO geregelt.

Zu § 21 Abs. 6:

Entsprechend der bisherigen Rechtslage soll ein Verpflichteter eine Erteilung einer Auskunft verweigern können, wenn dies aufgrund des Verbots der Informationsweitergabe gemäß § 20 erforderlich ist.

Art. 23 DSGVO ermöglicht eine Beschränkung der Rechte der betroffenen Person bei der Verarbeitung personenbezogener Daten, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt. Gemäß Art. 43 der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 und zur Aufhebung der Richtlinie 2005/60/EG und der Richtlinie 2006/70/EG, ABl. Nr. L 141 vom 05.06.2015, S. 73, ist die Verarbeitung zu Zwecken der Verhinderung von Geldwäsche und Terrorismusfinanzierung als Angelegenheit von öffentlichem Interesse anzusehen. Insbesondere Art. 23 Abs. 1 lit. d und lit. e DSGVO erlauben eine Beschränkung der Rechte einer betroffenen Person zur Sicherstellung der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses. Rechte der betroffenen Person, die gemäß Art. 23 Abs. 1 DSGVO durch Rechtsvorschriften beschränkt werden können, sollen daher gemäß Art. 23 DSGVO der Verweigerung einer Auskunft zur Geheimhaltung von Vorgängen, die der Wahrnehmung des § 16 und des § 17 dienen, nicht entgegenstehen, wenn die Verweigerung der Auskunft gemäß § 21 Abs. 6 erforderlich ist.

Art. 23 Abs. 2 DSGVO verlangt im Falle einer Beschränkung bestimmte Mindestinhalte. Die vorgesehene Beschränkung bezieht sich gemäß § 20 Abs. 1 auf die Verpflichteten und umfasst die Geheimhaltung aller Vorgänge, die der Wahrnehmung der § 16 und § 17 dienen, gegenüber Kunden und Dritten. Entsprechend Art. 23 Abs. 2 lit. d, f und g DSGVO stellen die Begrenzung der Speicherfrist gemäß § 21 Abs. 2 und das Verbot personenbezogene Daten, die von den Verpflichteten ausschließlich auf der Grundlage dieses Bundesgesetzes für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung verarbeitet werden, zu unvereinbaren Zwecken weiterzuverarbeiten gemäß § 21 Abs. 4, Maßnahmen zum Schutz der Rechte und Freiheiten betroffenen Personen dar. Vorschriften in Bezug auf das Recht der betroffenen Person auf Unterrichtung über die Beschränkung gemäß Art. 23 Abs. 2 lit. h DSGVO werden nicht vorgesehen, da dies dem Zweck der Beschränkung abträglich wäre.

Zu § 24 Abs. 6:

Die Änderungen dienen der Anpassung an die datenschutzrechtlichen Begrifflichkeiten der DSGVO. Beim Austausch von personenbezogenen Daten innerhalb der Gruppe sind die Bestimmungen der DSGVO zu beachten. So enthält insbesondere Kapitel V der DSGVO die Voraussetzungen, unter denen eine Übermittlung personenbezogener Daten in Drittstaaten zulässig ist.

Zu § 25 Abs. 6:

Für eine zulässige Übermittlung personenbezogener Daten an Drittlandsbehörden sind künftig insbesondere die unmittelbar anwendbaren Bestimmungen des Kapitel V der DSGVO maßgeblich. Wenn weder ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt noch geeignete Garantien gemäß Art. 46 DSGVO bestehen, kann eine Übermittlung personenbezogener Daten in Drittstaaten gemäß Art. 49 DSGVO trotzdem zulässig sein. Dies gilt unter anderem, wenn die Übermittlung gemäß Art. 49 Abs. 1 lit. d DSGVO aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Der internationale Datenaustausch zwischen Finanzaufsichtsbehörden stellt ein solches wichtiges öffentliches Interesse dar (vgl. Erwägungsgrund 112 DSGVO). Die Anpassung ist an § 145 Abs. 3 InvFG 2011 (Art. 16 dieses Entwurfs) angelehnt. Der Verweis auf Kapitel V der DSGVO umfasst nur die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 1 DSGVO in deren sachlichen Anwendungsbereich gemäß Art. 2 DSGVO und schadet bei der Verarbeitung solcher personenbezogener Daten nicht der Notwendigkeit der Prüfung der sonstigen Bestimmungen der DSGVO zur Zulässigkeit der Verarbeitung.

Zu § 40 Abs. 3 Z 4:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO. Der Verweis auf die Grundsätze der DSGVO beruht auf dem Wortlaut des Art. 61 Abs. 2 lit. d der Richtlinie (EU) 2015/849.

Zu § 44 Abs. 1 Z 10:

Der Entfall des Verweises auf das DSG 2000 wurde für das Einfügen des Verweises auf das Börsegesetz 2018 (BörseG 2018), BGBl. I Nr. 107/2017, genutzt.

Zu § 44 Abs. 3 Z 7:

Einfügen des Verweises auf die DSGVO.

Zu § 46:

Durch die Verlängerung soll gewährleistet werden, dass die bestehenden E-Geldprodukte bis zur Umsetzung der Änderung der 4. Geldwäsche-Richtlinie fortgeführt werden können. Dadurch wird vermieden, dass Verpflichtete ihr bestehendes Geschäftsmodell mit E-Geldprodukten an eine vorläufige Rechtslage anpassen müssen, die in absehbarer Zeit durch die Richtlinie zur Änderung der 4. Geldwäsche-Richtlinie geändert wird.

Zu Art. 14 (Änderung des Finanzmarktaufsichtsbehördengesetzes):

Zu § 3 Abs. 1:

Es soll klargestellt werden, dass unter den Voraussetzungen des AHG der Bund für Schäden haftet, die von der FMA als für eine Datenverarbeitung Verantwortliche bzw. von ihren Organen oder Bediensteten unter Verletzung datenschutzrechtlicher Bestimmungen begangen wurden.

Zu § 22f:

Diverse Materiengesetze im Finanzmarktbereich, insbesondere § 60 Abs. 6 AIFMG, § 4 Abs. 7, § 70 Abs. 7, § 99c BWG, §§ 110, 145, 161 BörseG 2018, § 26 Abs. 8 und 9 E-Geldgesetz 2010, § 22c FMABG, § 37 FM-GwG, § 150 InvFG 2011, § 16a KMG, § 33 Abs. 8, 8a PKG, § 6 RAVG, § 8 RW-VG, § 155 BaSAG, § 6 SFT-Vollzugsgesetz, § 288 VAG 2016, § 92 Abs. 6 und 11, § 100 WAG 2018, § 94 Abs. 8 und 9, § 105 ZaDiG 2018, § 7 Abs. 4 ZGVG und § 10 ZvVG, verpflichten oder ermächtigen die FMA als zuständige Behörde zur Veröffentlichung von Sanktionen und Maßnahmen. Die Bestimmungen beruhen größtenteils auf unionsrechtlichen Vorgaben im Finanzmarktbereich, die auch nach Inkrafttreten der DSGVO unverändert weiterbestehen. Ziele dieser Bestimmungen sind insbesondere die Information der Öffentlichkeit („Investorenwarnungen“), eine spezial- und generalpräventive Wirkung („name and shame“) sowie die Vergleichbarkeit der Aufsichtstätigkeit der nationalen Finanzmarktaufsichtsbehörden, die letztlich eine kohärente Anwendbarkeit des europäischen Aufsichtsrechts gewährleisten soll.

Die Veröffentlichungen durch die FMA können auch die Verarbeitung personenbezogener Daten umfassen. In diesem Fall sieht Art. 21 Abs. 1 DSGVO zwar grundsätzlich ein Widerspruchsrecht der betroffenen Person vor. Das Widerspruchsrecht kann allerdings unter bestimmten Voraussetzungen gemäß Art. 23 DSGVO gesetzlich eingeschränkt werden.

Mit der vorgeschlagenen Bestimmung soll von der Möglichkeit einer Beschränkung der Rechte der betroffenen Person bei der Verarbeitung personenbezogener Daten gemäß Art. 23 DSGVO Gebrauch gemacht werden. Die Veröffentlichungen durch die FMA dienen der Spezial- und Generalprävention (Art. 23 lit. d DSGVO), dem öffentlichen Interesse am Funktionieren des Kapitalmarkts (Art. 23 lit. e DSGVO) und dem Schutz der Anleger vor drohenden illegalen Geschäftspraktiken (Art. 23 lit. i DSGVO), die eine Veröffentlichung ohne Zeitverlust erforderlich machen können. Durch die vorgeschlagene Einschränkung des Widerspruchsrechts sollen diese Zwecke sichergestellt werden. Die FMA hat bereits nach geltendem Recht vor einer Veröffentlichung eine umfassende Abwägung zwischen dem öffentlichen Interesse an einer Veröffentlichung und den schutzwürdigen Interessen der betroffenen Person im jeweiligen Einzelfall durchzuführen. Zur Überprüfung der Rechtmäßigkeit ex-post und zur Wahrung ihres Grundrechts auf Datenschutz steht der betroffenen Person in den verschiedenen Finanzmarktgesetzen die Inanspruchnahme eines bescheidmäßig zu erledigenden Verfahrens offen. Gemäß einem Erkenntnis des Verfassungsgerichtshofes, VfGH 12.03.2009, G 164/08, stellt dieses Verfahren einen umfassenden Rechtsschutz für die betroffene Person sicher. Folglich wird dem Grundsatz der doppelten Bindung entsprochen, indem das bestehende bescheidmäßig zu erledigende Verfahren beibehalten und von der Möglichkeit zur Einschränkung des Widerspruchsrechts gemäß Art. 23 DSGVO Gebrauch gemacht wird. Zudem besteht unter Voraussetzungen des AHG eine Haftung des Bundes für Verstöße gegen die DSGVO gemäß § 29 Abs. 1 DSG iVm § 3 Abs. 1.

Zu Art. 15 (Änderung des Immobilien-Investmentfondsgesetzes):

Zu § 1 Abs. 3:

Erfahrungen aus der Praxis haben gezeigt, dass es wirtschaftlich sinnvoll wäre, die derzeit für Immobilienspezialfonds geltende Begrenzung von höchstens zehn Anlegern auf höchstens zwanzig Anleger zu erhöhen. Damit wäre nicht zuletzt auf Grund der Größe einzelner Immobilieninvestments eine bessere Risikostreuung möglich und für ein Einzelinvestment könnte ein geringerer Veranlagungsbetrag erforderlich sein. Es erscheint daher zielführend, die zulässige Anzahl an Anlegern zu erhöhen.

Zu § 3 Abs. 3:

Da Kapitalanlagegesellschaften für Immobilien zugleich auch Alternative Investmentfonds-Manager gemäß AIFMG sind, kommen ex lege die Auslagerungsbestimmungen gemäß § 18 AIFMG sowie Art. 75 bis 82 AIFM-DelVO zur Anwendung, sodass § 3 Abs. 3 im Sinne einer Rechtsbereinigung entfallen kann.

Zu § 6 Abs. 7:

Redaktionelle Klarstellung, dass Immobilienfonds, die zur Anlage von Mündelgeld geeignet sind, im Rahmen der zulässigen Veranlagungsgrenzen auch gemäß § 217 ABGB geeignete Wertpapiere im Fondsvermögen halten dürfen.

Zu § 7 Abs. 7:

Redaktionelle Klarstellung, dass bei Vertrieb von Immobilienspezialfonds an Privatkunden Abs. 4a anwendbar ist.

Zu § 23 Abs. 3a:

Da in der Praxis Immobilien oft von speziell dafür eingerichteten Zweckgesellschaften in Form einer GmbH & Co KG errichtet werden, soll der alleinige Erwerb einer solchen Gesellschaft ohne einen weiteren Partner möglich sein. Dazu soll es in Abweichung von der bisherigen Rechtslage einer Kapitalanlagegesellschaft für Immobilien erlaubt sein, jedenfalls mehrheitlich Anteile einer Gesellschaft zu erwerben, deren ausschließlicher Zweck es ist, die Stellung des unbeschränkt haftenden Gesellschafters an einer Grundstücks-Gesellschaft einzunehmen. Entsprechend dem Normzweck des § 23 ist der Gesellschaftszweck jener Gesellschaft auf die Beteiligung an der Grundstücks-Gesellschaft beschränkt.

Zu § 32 Abs. 1 Z 4:

Die derzeit geltende maximale Restlaufzeit von drei Jahren hat sich in der Praxis auf Grund des in den letzten Jahren vorherrschenden Zinsumfeldes als sehr restriktiv erwiesen. Es soll daher die Restlaufzeit auf bis zu fünf Jahre angehoben werden, wobei aber über das gesamte Portfolio gesehen die Restlaufzeit deutlich darunter liegen sollte und dafür weiterhin die Grenze von drei Jahren angewendet werden soll.

Zu § 32 Abs. 2:

Bei Immobilienspezialfonds kann es auf Grund der zumeist vorgesehenen Konstruktion dazu kommen, dass für neue Projekte von den Investoren Geldbeträge abgerufen werden und diese kurzfristig bis zur tatsächlichen Investition auf einem Bankkonto verwahrt werden müssen. Zur Vermeidung zusätzlicher Kosten für die Eröffnung eines Bankkontos bei einem anderen Kreditinstitut erscheint es zweckmäßig, für einen Zeitraum von höchstens drei Monaten eine höhere Grenze für solche Bankguthaben vorzusehen. Die Anforderung an eine entsprechende Ermächtigung in den Fondsbestimmungen bleibt unberührt.

Zu § 34 Abs. 3:

Die Änderung von Fondsbestimmungen soll nicht mehr der Zustimmung des Aufsichtsrates bedürfen. In vielen Fällen sind solche Änderungen lediglich formaler Natur, die sich durch Verweisänderungen oder geänderte rechtliche Grundlagen ergeben oder Klarstellungen betreffen. Unverändert bleiben dabei die Zustimmung der Depotbank sowie die Bewilligung durch die FMA. Auch die Information der Anleger ist durch die unverändert geltende Offenlegungspflicht gewährleistet. Ebenfalls unberührt bleibt das Zustimmungserfordernis des Aufsichtsrates bei der Erstbewilligung von Fondsbestimmungen. Die Information des Aufsichtsrates über Änderungen der Fondsbestimmungen ist trotz Wegfalls des Zustimmungserfordernisses sichergestellt, da diesem von der Änderung der Fondsbestimmungen in der nächstfolgenden Sitzung zu berichten ist.

Zu § 34 Abs. 5:

Für AIF sind umfangreiche Anzeigepflichten in § 22 AIFMG normiert, daher können die gesonderten zusätzlichen Anzeigepflichten für Immobilienspezialfonds im Sinne einer Verwaltungsvereinfachung entfallen.

Zu § 38 Abs. 1:

Dies ist eine redaktionelle Anpassung von Verweisen.

Zu § 40 Abs. 2 Z 3:

Die Bestimmung des § 186 Abs. 2 Z 4 InvFG 2011 betreffend die Korrektur von Bescheinigungen gemäß § 96 Abs. 4 Z 2 EStG 1988 soll auch im Immobilien-Investmentfondsgesetz aufgenommen werden.

Zu § 40 Abs. 3:

Es soll ein Redaktionsversehen beseitigt werden. Zudem soll die Bestimmung an jene des § 186 Abs. 3 InvFG 2011 angeglichen werden.

Zu § 40 Abs. 6:

Es soll eine Annäherung der Besteuerung von Immobilienfonds an die Besteuerung von Kapitalanlagefonds vorgenommen werden.

Durch diese Neuregelung soll die Besteuerung von Einkünften, die nicht von § 14 umfasst sind, sichergestellt werden. Daher wird die Steuerpflicht auf andere Einkünfte ausgedehnt. Solche Einkünfte sind insbesondere bei AIF in Immobilien sowie von ausländischen Veranlagungsgemeinschaften in Immobilien denkbar, wobei ein AIF in Immobilien dann vorliegt, wenn im vorangegangenen Geschäftsjahr mit dem investierten Kapital direkt oder indirekt überwiegend Erträge aus der Überlassung oder Übertragung von Immobilien an Dritte erwirtschaftet wurden, somit wenn mehr als 50% der Erträge aus Immobilienvermögen erzielt wurden.

Die § 186 Abs. 5 InvFG 2011 nachempfundene Bestimmung bezieht nunmehr insbesondere Substanzgewinne gemäß § 27 Abs. 3 EStG 1988, Dividenden, Einkünfte aus Derivaten und aus Spekulationsgeschäften gemäß § 31 EStG 1988 in die Besteuerung mit ein, wobei die jeweils einschlägigen Regelungen der Investmentfondsbesteuerung gemäß § 186 Abs. 1 bis 5 InvFG 2011 zur Anwendung gelangen.

Dabei wird auch sogenannter Altbestand gemäß § 124b Z 185 EStG 1988 in die Besteuerung miteinbezogen. Um zu verhindern, dass bisher auf Ebene des Immobilienfonds nicht steuerverfangene stille Reserven nunmehr steuerpflichtig werden, sollen jedoch Wertsteigerungen von Kapitalvermögen und anderen Wirtschaftsgütern außer Ansatz bleiben, die in Geschäftsjahren, die vor dem 31. Dezember 2018 begonnen haben, entstanden sind. Laufende Einkünfte sind ab dem Inkrafttreten zu erfassen.

Zu Art. 16 (Änderung des Investmentfondsgesetzes 2011):

Zu § 7 Abs. 1 Z 1:

Es erfolgt die Berichtigung eines Verweisfehlers.

Zu § 10 Abs. 2 und § 12 Abs. 2:

Entfall der Verweise aufgrund des Datenschutz-Anpassungsgesetzes 2018. Die technischen und organisatorischen Maßnahmen betreffend Datensicherheit sind künftig insbesondere in den unmittelbar anwendbaren Art. 24, 25 und 32 der DSGVO geregelt.

Zu § 28 Abs. 2:

Da sich die einschlägigen datenschutzrechtlichen Vorschriften nunmehr in der unmittelbar anwendbaren DSGVO, insbesondere in Art. 28 Abs. 3, befinden, kann § 18 Abs. 3 letzter Satz entfallen.

Zu § 36 Abs. 4:

Verwaltungsgesellschaften aus Mitgliedstaaten haben bei ihrer Tätigkeit in Österreich im Rahmen der Dienst- und Niederlassungsfreiheit die in Abs. 4 genannten Bestimmungen des InvFG 2011 einzuhalten. Die Verweise sollen um jene Bestimmungen, die in die Zuständigkeit der Aufsichtsbehörde im Mitgliedstaat der Verwaltungsgesellschaft fallen, bereinigt werden.

Zu § 42 Abs. 4:

Klarstellung, dass sich diese Bestimmung nur auf von der Depotbank verwahrte Vermögenswerte von OGAW bezieht.

Zu § 53 Abs. 3 Z 10:

Da die Abwicklung eines OGAW anstelle der Depotbank von der Verwaltungsgesellschaft durchgeführt wird, soll auch die Kostenverrechnung entsprechend angepasst werden.

Zu § 53 Abs. 4:

Die Verwaltungsgesellschaft soll in ihrer Satzung vorsehen können, dass Änderungen von Fondsbestimmungen nicht mehr der Zustimmung des Aufsichtsrates bedürfen. Damit soll dem Umstand Rechnung getragen werden, dass in vielen Fällen Änderungen lediglich formaler Natur sind, die sich durch Verweisänderungen oder geänderte rechtliche Grundlagen ergeben oder Klarstellungen betreffen. In der Satzung soll jedenfalls konkret geregelt werden, welche Änderungen nicht der Zustimmung des Aufsichtsrates bedürfen. Die Information der Anleger ist durch die unverändert geltende Offenlegungspflicht gewährleistet. Ebenfalls unberührt bleibt das verpflichtende Zustimmungserfordernis des Aufsichtsrates bei der Erstbewilligung von Fondsbestimmungen. Die Information des Aufsichtsrates über Änderungen der Fondsbestimmungen ist trotz Wegfalls des Zustimmungserfordernisses sichergestellt, da diesem von der Änderung der Fondsbestimmungen in der nächstfolgenden Sitzung zu berichten sein soll.

Zu § 58 Abs. 2:

Die Bestimmung des § 58 Abs. 2 betreffend die KESt-Auszahlung soll an die nunmehr geltenden Zuflussbestimmungen für ausschüttungsgleiche Erträge angepasst werden. Um eine korrekte KESt-Abrechnung sicherzustellen, erfolgt gemäß § 186 Abs. 2 Z 1 lit. b sublit. aa der Zufluss der ausschüttungsgleichen Erträge gemeinsam mit der KESt-Auszahlung, ansonsten aber gemäß § 186 Abs. 2 Z 1 lit. b sublit. bb zum Zeitpunkt der Abgabe einer fristgerechten Meldung der steuerrelevanten Daten. Da gemäß § 186 Abs. 2 Z 2 iVm § 3 Abs. 2 Z 2 FMV 2015 eine fristgerechte Meldung bis zu sieben Monate nach dem Ende des Geschäftsjahres des Fonds erfolgen kann, soll auch die Frist in § 58 Abs. 2 auf sieben Monate nach Ende des Geschäftsjahres des Fonds verlängert werden.

Zu § 62:

Wenn das Recht der Verwaltungsgesellschaft zur Verwaltung eines OGAW wegen des Wegfalls ihrer Konzession erlischt, soll aus Gründen des Anlegerschutzes die Depotbank zur vorübergehenden Verwaltung des OGAW verpflichtet sein. Es soll aber jedenfalls so rasch wie möglich die Verwaltung des OGAW wieder einer (anderen) Verwaltungsgesellschaft übertragen werden. Gelingt eine Übertragung nicht binnen sechs Monaten, ist der OGAW gemäß Abs. 3 abzuwickeln. Mit Ausnahme des Falles gemäß § 60 Abs. 3 soll die Abwicklung des OGAW dagegen zukünftig nicht mehr durch die Depotbank, sondern durch die Verwaltungsgesellschaft erfolgen (§ 63 Abs. 1).

Zu § 63:

Die Abwicklung eines OGAW soll nicht mehr durch die Depotbank, sondern durch die Verwaltungsgesellschaft selbst erfolgen. Im Vergleich zu vergangenen Jahren ist die Abwicklung eines OGAW aufwändiger geworden und benötigt in der Regel auch einen längeren Zeitraum. Es kann daher eine professionellere und für die Anteilinhaber auch günstigere Abwicklung erwartet werden. Im Übrigen entspricht diese Änderung auch den europarechtlichen Vorgaben, wonach die Depotbank keine operative Tätigkeit ausüben sollte. Eine Auskehrung von illiquide gewordenen Vermögenswerten soll auf Antrag eines Anteilinhabers aufgrund des Grundsatzes der Gleichbehandlung aller Anteilinhaber nur mit Zustimmung aller Anteilinhaber zulässig. Mit der Verwendung des Begriffes Auskehrung wird klargestellt, dass in diesem Fall die Auszahlung nicht in bar erfolgen muss, sondern auch Wertpapiere übertragen werden können.

Zu § 70 Abs. 5 Z 3:

Auf Grund der unmittelbar wirksamen EU-Verordnung zu Geldmarktfonds hat die Ermächtigung an die FMA, Kriterien für Geldmarktfonds durch Verordnung festzulegen, zu entfallen.

Zu § 127 Abs. 2:

Da Bruchteilsanteile gemäß § 46 Abs. 2 zulässig sind, soll klargestellt werden, dass die Barabgeltung von Bruchteilsanteilen möglich ist.

Zu § 130 Abs. 1:

Der Bezeichnungsschutz für Geldmarktfonds ist in Art. 6 der Verordnung (EU) 2017/1131 geregelt und hat hier zu entfallen.

Zu § 131 Abs. 6 und 7:

Der Verweis in Abs. 7 auf § 6 Abs. 2 KMG betreffend die Anforderungen an einen Prospektnachtrag erscheint im Hinblick auf die in der Übermittlungs- und Hinterlegungsverordnung bereits vorgeschriebene Hinterlegung der Unterlagen in konsolidierter Form entbehrlich. Dem Anleger steht bereits jetzt jederzeit eine konsolidierte Fassung des Prospektes zur Verfügung, womit die in § 6 Abs. 2 KMG bei Prospektnachträgen vorgesehene Widerrufsfrist nicht erforderlich erscheint. Im Übrigen ist bei OGAW ohnehin eine tägliche Rückgabe der Anteilscheine möglich. Aus Gründen der Rechtssicherheit wird in Abs. 6 die Erstellung einer konsolidierten Form bei Prospektnachträgen aber in Gesetzesrang aufgenommen.

Zu § 144 Abs. 1:

Wie für EWR-Wertpapierfirmen, die im Wege einer Zweigstelle in Österreich tätig werden, wird nun auch bei Kapitalanlagegesellschaften und AIFMs der EWR-Rechtsträger selbst kostenpflichtig. Diese Änderung bietet zugleich den Vorteil, dass zwar die Zweigstellen bisher nicht als Teil des zu bildenden Subrechnungskreises genannt sind, wohl aber nicht weiter spezifizierte Verwaltungsgesellschaften, zu denen sowohl jene nationalen gemäß § 5 Abs. 1 als auch jene aus dem EWR gemäß § 36 Abs. 1 gezählt werden können. Mithin müssen die Kostenbestimmungen des ImmoInvFG und des BMSVG nicht geändert werden. Dabei bleibt zwischen den gemäß § 36 notifizierten Verwaltungsgesellschaften und den gemäß § 50 (lediglich) zur Auflage oder zum Vertrieb in Österreich bewilligten OGAW zu unterscheiden. Die Bestimmung wurde zudem an § 69a Abs. 1 Z 2 BWG und § 271 Abs. 1 VAG 2016 angeglichen.

Zum Einleitungsteil des § 145 Abs. 1:

Dies ist eine redaktionelle Anpassung an die DSGVO.

Zu § 145 Abs. 3:

Zu § 151 Z 16:

Da die Abwicklung nunmehr von der Verwaltungsgesellschaft selbst durchgeführt wird, ist die Anzeige des Beginns der Abwicklung entbehrlich.

Zu § 164 Abs. 2:

Im Gegensatz zu den Bestimmungen betreffend OGAW ist bei Spezialfonds als AIF eine Wiederverwendung von Vermögenswerten durch die Depotbank mit Zustimmung aller Anteilinhaber möglich.

Zu § 164 Abs. 3 Z 6:

Es wird sichergestellt, dass der Wechsel der Depotbank der FMA anzuzeigen ist. Hievon unberührt bleibt § 164 Abs. 2, wonach die Auswahl der Depotbank für Spezialfonds auf Antrag der Verwaltungsgesellschaft allgemein bewilligt werden kann.

Zu § 164 Abs. 6:

Klarstellung, dass die Verschmelzung eines Spezialfonds der FMA anzuzeigen ist.

Zu § 165:

Für AIF sind umfangreiche Anzeigepflichten in § 22 AIFMG normiert, daher können die gesonderten zusätzlichen Anzeigepflichten für Spezialfonds gemäß § 163 Abs. 1 im Sinne einer Verwaltungsvereinfachung entfallen.

Zu § 166 Abs. 1 Z 1:

Beseitigung eines Redaktionsversehens.

Zu § 186 Abs. 1 und § 188 Abs. 1:

Es soll sichergestellt werden, dass, auch wenn einem Organismus für gemeinsame Anlagen eine Bewilligung iSd § 2 Abs. 1 Z 3 fehlt, dieser für steuerliche Zwecke dennoch den Bestimmungen zur Fondsbesteuerung unterliegt.

Zu § 186 Abs. 3:

Es soll klargestellt werden, dass die Veräußerung von Anteilen von der Fondsbesteuerung unterliegenden Gebilden jedenfalls zu Kapitaleinkünften in Form von Einkünften aus realisierten Wertsteigerungen gemäß § 27 Abs. 3 EStG 1988 führt; dabei kommt der besondere Steuersatz gemäß § 27a Abs. 1 Z 2 EStG 1988 zur Anwendung. Daher führt auch die Veräußerung von Anteilen an einem AIF, der andere Einkünfte im Sinne des § 186 Abs. 5 erzielt, zu Einkünften aus realisierten Wertsteigerungen. Ein Kapitalertragsteuerabzug hat dabei wie schon bisher nur dann zu erfolgen, wenn eine inländische depotführende Stelle oder eine inländische auszahlende Stelle vorliegt, die die Realisierung abwickelt. Sind allerdings dem Anleger bereits zum progressiven Tarif besteuerte Erträge gemäß § 186 Abs. 5 Z 2 lit. a zweiter Satz zugeflossen, kann eine Anpassung (Erhöhung) der Anschaffungskosten der veräußerten Anteile – und damit zugleich eine Korrektur des insoweit unrichtigen KESt-Abzuges – nur im Rahmen der Veranlagung stattfinden.

Es erfolgt eine Verweisanpassung.

Es soll klargestellt werden, dass es nach § 186 Abs. 3 immer zu einer Kürzung der Anschaffungskosten kommt, wenn steuerfreie Ausschüttungen erfolgen. Dies gilt insbesondere auch für eingekaufte steuerfreie Einkommensbestandteile, die beim Anteilinhaber gemäß § 10 KStG 1988 steuerbefreit sind.

Zu § 190 Abs. 1 Z 6 und 7:

Anpassung der Strafbestimmung betreffend den Bezeichnungsschutz an die Verordnung (EU) 2017/1131.

Zu § 190 Abs. 2 Z 8:

Anpassung der Strafbestimmung aufgrund des Entfalls von § 165.

Zu § 190 Abs. 2 Z 16 und 17:

Zu § 196 Abs. 2 Z 13:

Einfügen des Verweises auf die DSGVO.

Zu Art. 17 (Änderung des Nationalbankgesetzes 1984):

Zu § 7 Abs. 4:

Dies ist eine redaktionelle Anpassung des Verweises aufgrund des Datenschutz-Anpassungsgesetzes 2018.

Zu § 7 Abs. 5:

Mit dieser Bestimmung soll eine ausdrückliche Rechtsgrundlage gemäß Art. 6 Abs. 3 iVm Abs. 1 lit. e DSGVO für die Verarbeitung personenbezogener Daten durch die OeNB in ihrem gesetzlich, staatsvertraglich oder unionsrechtlich festgelegten Aufgabenbereich vorgesehen werden. Die Bestimmung lehnt sich an § 77 Abs. 4 BWG (Art. 7 dieses Entwurfs) an.

Zu Art. 18 (Änderung des Rechnungslegungs-Kontrollgesetzes):

Zu § 7 Abs. 1:

Zu Art. 19 (Änderung des Sanierungs- und Abwicklungsgesetzes):

Zu § 2 Z 49a:

Z 49a setzt Art. 2 Abs. 1 Nummer 48 zweiter Teil der geänderten Richtlinie 2014/59/EU um. Der erste Teil des Art. 2 Abs. 1 Nummer 48 der geänderten Richtlinie 2014/59/EU bedarf keiner Umsetzung, da der Richtlinientext unverändert geblieben ist.

Zu § 58 Abs. 3 Z 3:

Dies ist eine redaktionelle Anpassung.

Zu § 90 Abs. 1 Z 5:

Die Änderung der Insolvenzrangfolge gemäß § 131 ist auch in der Verlusttragungskaskade gemäß § 90 zu berücksichtigen.

Bei der Anwendung des Instruments der Gläubigerbeteiligung gemäß § 85 hat die Abwicklungsbehörde die Rangfolge der Forderungen gemäß § 131 zu beachten.

Zu § 121 Abs. 2:

Terminologische Anpassung an Art. 84 der Richtlinie 2014/59/EU.

Zu § 122 Abs. 3:

Für eine zulässige Übermittlung personenbezogener Daten an Drittlandsbehörden sind zusätzlich zu den Voraussetzungen gemäß § 122 Abs. 1 Z 1 und 2 auch die unmittelbar anwendbaren Bestimmungen des Kapitel V der DSGVO maßgeblich. Wenn weder ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt noch geeignete Garantien gemäß Art. 46 DSGVO bestehen, kann eine Übermittlung personenbezogener Daten in Drittstaaten gemäß Art. 49 DSGVO trotzdem zulässig sein. Dies gilt unter anderem, wenn die Übermittlung gemäß Art. 49 Abs. 1 lit. d DSGVO aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Der internationale Datenaustausch zwischen Finanzaufsichtsbehörden stellt ein solches wichtiges öffentliches Interesse dar (vgl. Erwägungsgrund 112 DSGVO). Der Verweis auf Kapitel V der DSGVO umfasst nur die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 1 DSGVO in deren sachlichen Anwendungsbereich gemäß Art. 2 DSGVO und schadet bei der Verarbeitung solcher personenbezogener Daten nicht der Notwendigkeit der Prüfung der sonstigen Bestimmungen der DSGVO zur Zulässigkeit der Verarbeitung.

Zu § 131:

Abs. 1 und 2 entsprechen im Wesentlichen den bisherigen § 131 Abs. 1 und 2 BaSAG und setzen Art. 108 Abs. 1 der geänderten Richtlinie 2014/59/EU um. Da das BaSAG anstelle der Wortgruppe „gedeckte Einlagen gemäß § 7 Abs. 1 Z 5 ESAEG“ durchgehend die Wortfolge „gesicherte Einlagen“ verwendet (vgl. hierzu die Begriffsbestimmung in § 2 Z 93 BaSAG idgF), wurde hier aus Konsistenzgründen eine redaktionelle Änderung vorgenommen.

Abs. 3 setzt Art. 108 Abs. 2 der geänderten Richtlinie 2014/59/EU um.

Um die Anrechenbarkeit als MREL-Instrument der neuen „nicht bevorrechtigten“ vorrangigen Kategorie von Schuldtiteln sicherzustellen und die Rechtssicherheit zu erhöhen, müssen diese Schuldtitel eine ursprüngliche vertragliche Laufzeit von mindestens einem Jahr, dürfen keine eingebetteten Derivate umfassen und selbst keine Derivate sein. Zudem ist in den Vertragsunterlagen und gegebenenfalls im Prospekt im Zusammenhang mit ihrer Emission ausdrücklich auf ihren niedrigeren Rang im Konkursverfahren hinzuweisen.

Abs. 4 setzt Art. 108 Abs. 3 der geänderten Richtlinie 2014/59/EU um.

Um die Rechtssicherheit für Anleger zu erhöhen, haben gewöhnliche unbesicherte Schuldtitel und andere gewöhnliche unbesicherte Verbindlichkeiten, die keine Schuldtitel sind, einen höheren Rang im Konkursverfahren als die neue „nicht bevorrechtigte“ vorrangige Kategorie von Schuldtiteln. Zudem steht die neue Kategorie der „nicht bevorrechtigten“ vorrangigen Schuldtitel in der Rangfolge über Eigenmittelinstrumenten und über jeglichen nachrangigen Verbindlichkeiten, die nicht als Eigenmittel gelten.

Abs. 5 setzt Art. 108 Abs. 4 der geänderten Richtlinie 2014/59/EU um.

Abs. 6 setzt Art. 108 Abs. 6 der geänderten Richtlinie 2014/59/EU um.

Schuldtitel mit variabler Verzinsung, die sich aus einem in großem Umfang genutzten Referenzsatz (wie zum Beispiel Euribor oder Libor) herleiten, und nicht auf Landeswährung des Emittenten lautende Schuldtitel, soweit Hauptforderung, Rückzahlung und Zinsen auf dieselbe Währung lauten, sind nicht allein wegen dieser Merkmale als Schuldtitel, die eingebettete Derivate umfassen, zu werten.

Abs. 7 entspricht dem bisherigen § 131 Abs. 3 BaSAG und ist § 314 Abs. 2 zweiter Satz VAG 2016 nachgebildet.

Abs. 8 entspricht dem bisherigen § 131 Abs. 4 BaSAG und ist § 314 Abs. 3 VAG 2016 nachgebildet.

Die Abs. 5 und 7 der geänderten Richtlinie 2014/59/EU sind nicht umzusetzen, da Österreich weder vor dem 31. Dezember 2016 (hierauf bezieht sich Abs. 7 der geänderten Richtlinie 2014/59/EU), noch zwischen 1. Jänner und 28. Dezember 2017 (hierauf bezieht sich Abs. 5 der geänderten Richtlinie 2014/59/EU), ein nationales Gesetz über den im Konkursverfahren einzunehmenden Rang von unbesicherten Forderungen aus Schuldtiteln verabschiedet hat.

Zu § 167 Abs. 6:

Hier wird entsprechend Art. 2 Abs. 1 der Richtlinie 2017/2399 das Inkrafttreten der novellierten Bestimmungen geregelt.

Zu Art. 20 (Änderung des Sanktionengesetzes 2010):

Zu § 8 Abs. 3:

Terminologische Anpassung an die DSGVO.

Zu Art. 21 (Änderung des Versicherungsaufsichtsgesetzes 2016):

Zum Inhaltsverzeichnis und § 268b:

Zu § 29 Abs. 6:

Verweisanpassung und Anpassung an die datenschutzrechtlichen Begrifflichkeiten der DSGVO.

Zu § 109 Abs. 1 Z 4:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO. Die in § 10 und § 11 DSG 2000 enthaltenen Anforderungen an Auftragsverarbeitungsverhältnisse werden nun in Art. 28 DSGVO geregelt.

Zu § 229 Abs. 4 und § 298 Abs. 2:

Für eine zulässige Übermittlung personenbezogener Daten an Drittlandsbehörden sind künftig insbesondere die unmittelbar anwendbaren Bestimmungen des Kapitel V der DSGVO maßgeblich. Wenn weder ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt noch geeignete Garantien gemäß Art. 46 DSGVO bestehen, kann eine Übermittlung personenbezogener Daten in Drittstaaten gemäß Art. 49 DSGVO trotzdem zulässig sein. Dies gilt unter anderem, wenn die Übermittlung gemäß Art. 49 Abs. 1 lit. d DSGVO aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Der internationale Datenaustausch zwischen Finanzaufsichtsbehörden stellt ein solches wichtiges öffentliches Interesse dar (vgl. Erwägungsgrund 112 DSGVO). Die Anpassungen sind an § 145 Abs. 3 InvFG 2011 (Art. 16 dieses Entwurfs) angelehnt. Der Verweis auf Kapitel V der DSGVO umfasst nur die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 1 DSGVO in deren sachlichen Anwendungsbereich gemäß Art. 2 DSGVO und schadet bei der Verarbeitung solcher personenbezogener Daten nicht der Notwendigkeit der Prüfung der sonstigen Bestimmungen der DSGVO zur Zulässigkeit der Verarbeitung.

Zu § 342 Abs. 1 Z 33:

Entfall des Verweises auf das DSG 2000.

Zu Art. 22 (Änderung des Wertpapieraufsichtsgesetzes 2018):

Zu § 1 Z 8 lit. f und g:

§ 1 Z 8 lit. g kann entfallen, da der unionsrechtlich bedingte (Art. 25 Abs. 4 Buchstabe a Punkt vi der Richtlinie 2014/65/EU iVm Art. 57 der delegierten Verordnung (EU) 2017/565) Auffangtatbestand der anderen nicht komplexen Finanzinstrumente in lit. f zusammengeführt wird und lit. g damit überflüssig macht.

Zu § 2 Abs. 3:

Es erfolgt die Berichtigung eines Verweisfehlers.

Zu § 12:

Es erfolgt die Berichtigung eines redaktionellen Versehens.

Zu § 14 Abs. 1:

Gemäß § 16 Abs. 3 hat die FMA in Entsprechung von Art. 13 Abs. 4 der Richtlinie 2014/65/EU über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU, ABl. Nr. L 175 vom 23.06.2016 S. 8, in der Fassung der Berichtigung ABl. Nr. L 278 vom 27.10.2017 S. 56 (MiFID II) mittels Verordnung eine Liste von Informationen festzulegen, die der FMA in Eigentümerkontrollverfahren vorzulegen sind. Die Delegierte Verordnung (EU) 2017/1946 enthält ebenfalls eine Liste von Informationen, die in Eigentümerkontrollverfahren betreffend MiFID II-Wertpapierfirmen vorzulegen sind. Diese Liste ist gemäß § 12 Abs. 8 MiFID II erschöpfend. Daher besteht im Bereich der MiFID II-Wertpapierfirmen kein Raum mehr für eine Verordnungsregelung der FMA gemäß § 16 Abs. 3, sondern nur mehr im Bereich der Wertpapierdienstleistungsunternehmen.

Gemäß Abs. 1 sind der Anzeige die Informationen gemäß § 16 Abs. 3, also die nach der Eigentümerkontrollverordnung (EKV) der FMA erforderlichen Informationen, beizulegen. In Abs. 1 wird nun darauf hingewiesen, dass für Beteiligungen an Wertpapierfirmen auch die Informationen aufgrund der Delegierten Verordnung (EU) 2017/1946 der Anzeige beizulegen sind.

Zu § 15 Abs. 1 und 2 und § 16 Abs. 1:

Es erfolgt die Berichtigung eines redaktionellen Versehens.

Zu § 15 Abs. 2, 5 und 6:

Es erfolgt die Berichtigung eines redaktionellen Versehens.

Zu § 16 Abs. 3:

Dies ist eine redaktionelle Anpassung aufgrund der Änderung im § 14 Abs. 1. Gemäß der delegierten Verordnung (EU) 2017/1946 besteht in Eigentümerkontrollverfahren betreffend Wertpapierfirmen keine Verpflichtung mehr, ein Formblatt zu verwenden. Um eine Schlechterstellung von Wertpapierdienstleistungsunternehmen gegenüber Wertpapierfirmen zu vermeiden, sollte auch Anzeigepflichtigen, die eine Beteiligung an einem Wertpapierdienstleistungsunternehmen erwerben, die Verwendung eines Formblatts nicht mehr vorgeschrieben werden müssen.

Zu § 29 Abs. 1:

Es erfolgt die Berichtigung eines redaktionellen Versehens.

Zu § 33 Abs. 7, § 62 Abs. 4, § 64 Abs. 2 und § 114 Abs. 3 Z 14:

Dies ist eine redaktionelle Anpassung aufgrund der Berichtigung der MiFID II.

Zu § 71 Abs. 3 Z 2:

Bei der Prüfung des Titel II der Verordnung (EU) Nr. 600/2014 sind die einschlägigen technischen Regulierungsstandards zu berücksichtigen, so wie es schon bisher im Hinblick auf die FMA-Verordnungen der Fall war. Das sind die delegierte Verordnung (EU) 2017/586 zur Ergänzung der Verordnung (EU) Nr. 600/2014 über Märkte für Finanzinstrumente durch technische Regulierungsstandards mit Transparenzanforderungen für Handelsplätze und Wertpapierfirmen in Bezug auf Aktien, Aktienzertifikate, börsengehandelte Fonds, Zertifikate und andere vergleichbare Finanzinstrumente und mit Ausführungspflichten in Bezug auf bestimmte Aktiengeschäfte an einem Handelsplatz oder über einen systematischen Internalisierer, ABl. Nr. L 87 vom 31.03.2017, S. 387, und die delegierte Verordnung (EU) 2017/583 zur Ergänzung der Verordnung (EU) Nr. 600/2014 über Märkte für Finanzinstrumente durch technische Regulierungsstandards zu den Transparenzanforderungen für Handelsplätze und Wertpapierfirmen in Bezug auf Anleihen, strukturierte Finanzprodukte, Emissionszertifikate und Derivate, ABl. Nr. L 87 vom 31.03.2017, S. 229. Ebenso verhält es sich im Hinblick auf Art. 26 der Verordnung (EU) Nr. 600/2014, für den der einschlägige technische Standard die delegierte Verordnung (EU) 2017/590 zur Ergänzung der Verordnung (EU) Nr. 600/2014 durch technische Regulierungsstandards für die Meldung von Geschäften an die zuständigen Behörden, ABl. Nr. L 87 vom 31.03.2017, S. 449, ist.

Zu § 72 Abs. 3:

Die Abschlussprüfer von Wertpapierdienstleistungsunternehmen haben – wie jene von Wertpapierfirmen – die Einhaltung der auf Wertpapierdienstleistungsunternehmen anwendbaren Vorschriften des FM-GwG zu prüfen.

Zu § 73 Abs. 10:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO.

Zu § 89 Abs. 1:

Es erfolgt die Berichtigung eines redaktionellen Versehens, da die FMA gemäß § 89 Abs. 1 Satz 3 im Rahmen der Kostenverrechnung einen Subrechnungskreis einzurichten hat, der unter anderen die gemäß § 17 Abs. 2 errichteten (EWR-) Zweigstellen sowie die gemäß § 21 Abs. 1 errichteten Zweigstellen von Drittlandfirmen umfassen soll. Zusätzlich wurde Abs. 1 an § 69a Abs. 1 Z 2 BWG und § 271 Abs. 1 VAG 2016 angeglichen, da gemäß BWG EWR-Kreditinstitute, die Tätigkeiten in Österreich über eine Zweigstelle ausüben, und gemäß VAG EWR-Versicherungs- und EWR-Rückversicherungsunternehmen, wenn sie eine Zweigstelle im Inland errichtet haben, kostenpflichtig sind.

Zu § 90 Abs. 5:

Dies ist eine redaktionelle Anpassung.

Zu § 90 Abs. 6:

Zu § 92 Abs. 9:

Es erfolgt die Berichtigung eines Verweisfehlers.

Zu § 98 Abs. 3 Z 2:

Es handelt sich um eine redaktionelle Änderung.

Zu § 98 Abs. 3 Z 3:

Zu § 103:

Zu § 106 Abs. 1:

Die Bestimmung wurde inhaltlich an die Verordnung (EU) Nr. 596/2014 über Marktmissbrauch (Marktmissbrauchsverordnung) und zur Aufhebung der Richtlinie 2003/6/EG und der Richtlinien 2003/124/EG, 2003/125/EG und 2004/72/EG, ABl. Nr. L 173 vom 12.06.2014 S. 1, zuletzt geändert durch die Verordnung (EU) Nr. 2016/1033, ABl. Nr. L 175 vom 30.06.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 348 vom 21.12.2016 S. 83, angepasst.

Zu § 110:

Eine Berichtigung von Verweisfehlern wird vorgenommen.

Zu § 111 Abs. 1 und 3:

Dies ist eine redaktionelle Anpassung an die DSGVO. Für eine zulässige Übermittlung personenbezogener Daten an Drittlandsbehörden sind künftig insbesondere die unmittelbar anwendbaren Bestimmungen des Kapitel V der DSGVO maßgeblich. Wenn weder ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt noch geeignete Garantien gemäß Art. 46 DSGVO bestehen, kann eine Übermittlung personenbezogener Daten in Drittstaaten gemäß Art. 49 DSGVO trotzdem zulässig sein. Dies gilt unter anderem, wenn die Übermittlung gemäß Art. 49 Abs. 1 lit. d DSGVO aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Der internationale Datenaustausch zwischen Finanzaufsichtsbehörden stellt ein solches wichtiges öffentliches Interesse dar (vgl. Erwägungsgrund 112 DSGVO). Der Verweis auf Kapitel V der DSGVO umfasst nur die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 1 DSGVO in deren sachlichen Anwendungsbereich gemäß Art. 2 DSGVO und schadet bei der Verarbeitung solcher personenbezogener Daten nicht der Notwendigkeit der Prüfung der sonstigen Bestimmungen der DSGVO zur Zulässigkeit der Verarbeitung.

Zu § 114 Abs. 3 Z 14:

Redaktionelle Änderung.

Zu § 114 Abs. 4 Z 19:

Zu § 114 Abs. 4 Z 20:

Einfügen des Verweises auf die DSGVO.

Zu Art. 23 (Änderung des Wirtschaftliche Eigentümer Registergesetzes):

Zu § 2 Z 1:

Durch diese redaktionelle Anpassung soll verdeutlicht werden, dass ein Anteil an Stimmrechten ebenso wie ein Anteil an Aktien für die Ermittlung des wirtschaftlichen Eigentums relevant ist. Zudem wird klargestellt, dass bei Kontrolle sowohl direktes als auch indirektes wirtschaftliches Eigentum vorliegen kann und dabei die Kontrolle auf die Gesellschaft ausgeübt werden muss. Ebenso soll klargestellt werden, dass eine gemeinsame Kontrolle bei direktem und indirektem Eigentum vorliegen kann. Desweiteren soll der Tatbestand des Kontrollbegriffs „exerts control of a legal person through other means“ (gemäß der “beneficial owner” Definition des Glossary der Recommendations, S. 111, 2018 und der Guidance on Transparency and Beneficial Ownership, S. 14ff, 2014 der Financial Action Task Force (FATF)) ausdrücklich in der Definition verankert werden.

Zu § 5 Abs. 1 und 2, § 6 Abs. 6, § 7 Abs. 1, 2 und 5, § 11 Abs. 3 und 5 und § 13 Abs. 2, 3 und 4:

Die Änderungen dienen der Anpassung an die datenschutzrechtlichen Begrifflichkeiten der DSGVO. Der Begriff „Dienstleister“ gemäß § 4 Z 5 DSG 2000 wird durch den Begriff „Auftragsverarbeiter“ gemäß Art. 4 Z 8 DSGVO ersetzt. Darüber hinaus wird auch der Begriff „Auftraggeber“ gemäß § 4 Z 4 DSG 2000 durch den Begriff „Verantwortlicher“ gemäß Art. 4 Z 7 DSGVO ersetzt.

Zu § 5 Abs. 3:

Diese Änderung soll die Durchführung der Meldebefreiung bei subsidiären Meldungen erleichtern und die automatisationsunterstützt erstellte Darstellung aller bekannten Beteiligungsebenen gemäß § 9 Abs. 5 Z 1 verbessern.

Zu § 5 Abs. 5:

Derzeit ist vorgesehen, dass bei der Meldung von subsidiären wirtschaftlichen Eigentümern die jeweiligen Angehörigen der obersten Führungsebene in das Meldeformular eingegeben werden und an die Registerbehörde gemeldet werden müssen. Aufgrund der zeitlichen Limitationen war die Implementierung einer automatisationsunterstützten Datenübernahme aus dem Firmenbuch bislang nicht realisierbar. Nun soll in einem zweiten Schritt eine deutliche Erleichterung für alle Rechtsträger vorgesehen werden, die eine subsidiäre Meldung abgeben: Künftig soll es ausreichend sein, dass nur einmalig gemeldet wird, dass eine subsidiäre Ermittlung der wirtschaftlichen Eigentümer erfolgt. Eine Meldung und laufende Aktualisierung der Angehörigen der obersten Führungsebene soll nicht mehr erforderlich sein. Die Daten über die Angehörigen der obersten Führungsebene sollen nunmehr von der Bundesanstalt Statistik Österreich aus dem Firmenbuch automatisationsunterstützt übernommen und laufend aktuell gehalten werden.

Wenn sich die Beteiligungs- oder Kontrollverhältnisse nach der subsidiären Meldung wieder ändern und eine natürliche Person als wirtschaftlicher Eigentümer festgestellt werden kann, dann hat der Rechtsträger seine wirtschaftlichen Eigentümer auch wieder an das Register zu melden. Zu diesem Zweck hat der Rechtsträger jährlich seine Sorgfaltspflichten zur Feststellung und Überprüfung seiner wirtschaftlichen Eigentümer durchzuführen. Dies ist insbesondere deswegen wichtig, da die Nichtabgabe einer Meldung eines wirtschaftlichen Eigentümers aufgrund der Unkenntnis des geänderten wirtschaftlichen Eigentümers eine Meldepflichtverletzung gemäß § 15 darstellt, wenn der Rechtsträger seinen Sorgfaltspflichten nicht nachgekommen ist.

Zu § 6:

Durch diese Änderungen soll die Anwendung der Meldebefreiungen vereinfacht werden. Es hat sich gezeigt, dass die bisherige Bedingung für den Wegfall der Meldebefreiung in der Praxis zu Auslegungsschwierigkeiten führen kann, da immer im Einzelfall geprüft werden muss, ob eine andere Person „Kontrolle auf die Geschäftsführung der Gesellschaft“ ausüben kann. Nunmehr soll einheitlich geregelt werden, dass die Meldebefreiung dann wegfällt, wenn eine andere natürliche Person wirtschaftlicher Eigentümer gemäß § 2 ist. Eine „andere Person“ ist eine Person, die nicht bereits automatisationsunterstützt in das Register übernommen wurde. Das bedeutet, dass die Meldebefreiung aufrecht bleibt, wenn neben den tatsächlichen wirtschaftlichen Eigentümern auch andere Personen in das Register übernommen wurden, die keine wirtschaftlichen Eigentümer gemäß § 2 sind. In solchen Fällen ist aber eine freiwillige Meldung an das Register jederzeit möglich. Dies soll durch die Einfügung in Abs. 6 verdeutlicht werden.

Wenn einer der wirtschaftlichen Eigentümer eines Rechtsträgers hingegen nicht automatisationsunterstützt übernommen wird, dann fällt die Meldebefreiung weg und es ist eine Meldung gemäß § 5 an das Register abzugeben. Durch diese Änderung soll die Rechtsicherheit bei der Anwendung der Meldebefreiung erhöht werden.

Zu § 9 Abs. 1 Z 1:

Abbaugesellschaften und Abbaueinheiten soll eine Einsicht in das Register der wirtschaftlichen Eigentümer ermöglicht werden, da diese auch Sorgfaltspflichten gemäß dem FM-GwG zur Verhinderung der Geldwäscherei und Terrorismusfinanzierung unterliegen.

Zu § 9 Abs. 4:

Daten über Begünstigte von Stiftungen, Trusts und trustähnlichen Vereinbarungen sind derzeit nicht in bestehenden Registern, wie beispielsweise dem Firmenbuch, gespeichert. Dem daraus resultierenden besonderen Schutzbedürfnis soll dadurch Rechnung getragen werden, dass in Auszügen aus dem Register die Wohnsitze der Begünstigten nur für Verpflichtete gemäß Abs. 1 Z 1, 2 und 7 angezeigt werden.

Zu § 12 Abs. 3:

Es soll der in seinem Umfang differenziert betrachtete Begriff der „Strafverfolgungsbehörden“ durch die jegliche Unklarheiten ausschließende Formulierung „die Kriminalpolizei, die Staatsanwaltschaften und die Gerichte“ ersetzt werden.

Zu § 14 Abs. 3:

Mit der Ergänzung des zweiten Satzes in § 14 Abs. 3 soll dem Umstand Rechnung getragen werden, dass nicht zwangsläufig alle Rechtsträger – wie etwa rein gemeinnützige Stiftungen oder auch Vereine – vom bisherigen Wortlaut der Regelung umfasst sind. Um auch in diesen Fällen die Verhängung von Zwangsstrafen bei Nichtmeldung der wirtschaftlichen Eigentümer zu ermöglichen, soll auf die Zuständigkeitsregelung für beschränkt Steuerpflichtige iSd § 1 Abs. 3 Z 3 KStG verwiesen werden.

Zu § 14 Abs. 5:

Gemäß Art. 16 und 17 der DSGVO können betroffene Personen eine Berichtigung und eine Löschung von personenbezogenen Daten von der Registerbehörde verlangen. Ebenso soll die Möglichkeit vorgesehen werden, eine Einschränkung der Verarbeitung gemäß Art. 18 DSGVO vorzusehen.

Zu § 14 Abs. 8:

Mit dieser Bestimmung soll der Registerbehörde die Möglichkeit gegeben werden, im Falle einer unrechtmäßigen oder missbräuchlichen Nutzung des Registers entsprechend zu reagieren. Je nach den Umständen des Einzelfalls kann der Entzug der Nutzungsberechtigung auf bestimmte oder unbestimmte Dauer erfolgen. Eine unrechtmäßige Nutzung des Registers soll beispielsweise dann vorliegen, wenn ein Verpflichteter Auszüge für gesetzlich nicht vorgesehene Zwecke abfragt. Von einer missbräuchlichen Nutzung ist hingegen dann auszugehen, wenn Auszüge für die gesetzlich vorgesehen Zwecke abgefragt werden und in der Folge die Auszüge oder die darin enthaltene Informationen für nicht gesetzlich vorgesehene Zwecke verwendet werden.

Verpflichtete sollten nur in schwerwiegenden Fällen von der Einsicht ausgeschlossen werden, wenn eine solche Maßnahme zusätzlich zu einer Bestrafung gemäß § 15 Abs. 3 im Sinne des Art. 58 der Richtlinie (EU) 2015/849 verhältnismäßig ist. Auch in diesen Fällen soll auf Antrag wieder Einsicht in das Register gewährt werden, wenn zu erwarten ist, dass das unrechtmäßige oder missbräuchliche Verhalten nicht wiederholt wird.

Zu § 15 Abs. 3:

Aus Gründen des Datenschutzes soll jede Art der unberechtigten Einsicht in das Register als Finanzvergehen geahndet werden.

Zu § 15 Abs. 4 und 5:

Beseitigung von Redaktionsversehen.

Zu § 16 Abs. 1:

Um eine einheitliche, ausreichend lange Frist für die Nachmeldung von wirtschaftlichen Eigentümern zu gewährleisten, soll eine gesetzliche Frist von drei Monaten vorgesehen werden. Im Ergebnis ist eine Zwangsstrafe dann zu verhängen, wenn innerhalb von drei Monaten nach Androhung einer Zwangsstrafe keine Meldung vorgenommen wird.

Zu § 19 Abs. 2:

Enthält die Inkrafttretensbestimmung.

Zu § 20 Abs. 1:

Anpassung der Bestimmung über Verweise auf Bundesgesetze.

Zu § 20 Abs. 3:

Einfügen des Verweises auf die DSGVO.

Zu Art. 24 (Änderung des Zahlungsdienstegesetzes 2018):

Zu § 20 Abs. 3 Z 3:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO.

Zu § 24:

Zu § 88 Abs. 1 und § 93 Abs. 1:

Die FMA soll nur bei Vorliegen eines konkreten Anfangsverdachts wegen Verletzungen der Anzeigepflicht von Betreibern begrenzter Netze tätig werden. In diesem Fall soll sie aber über die notwendigen aufsichtsrechtlichen Befugnisse verfügen.

Zum Einleitungsteil des § 90 Abs. 1:

Dies ist eine redaktionelle Anpassung des Verweises an die DSGVO.

Zu § 90 Abs. 3:

Zu § 117 Abs. 3 Z 1:

Redaktionelle Bereinigung.

Zu § 117 Abs. 4 Z 11:

Einfügen des Verweises auf die DSGVO.

Zum 2. Abschnitt (Bundeshaushalt, Transparenzdatenbank)

Zu Art. 25 (Änderung des Bundeshaushaltsgesetzes 2013)

Allgemeines

Anpassungen an das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und die Datenschutz-Grundverordnung sowie materienspezifische datenschutzrechtliche Regelungen im Rahmen der Vorgaben der DSGVO sollen auch im Bundeshaushaltsrecht erfolgen.

Der Gesetzesvorschlag stützt sich hinsichtlich dieses Artikels auf Art. 51 Abs. 9 B‑VG (Haushaltsführung des Bundes).

Da hier nähere Bestimmungen über die Haushaltsführung des Bundes getroffen werden, steht dem Bundesrat hinsichtlich des vorliegenden Novellenartikels gemäß Art. 42 Abs. 5 B‑VG keine Mitwirkung zu.

Zu Z 1 (Inhaltsverzeichnis):

Das Inhaltsverzeichnis wird (unter Bereinigung bereits bestehender Divergenzen) auf den Stand der vorliegenden Novelle gebracht.

Zu Z 2 (§ 47 Abs. 4; Berichtspflichten):

Aus Gründen der Transparenz über die Fördervergaben des Bundes wurden bisher schon in den Förderungsberichten das jeweilige Konto samt Bezeichnung und Verwendungszweck angeführt, da die Voranschlagsstelle alleine zu wenig aussagekräftig wäre. Mit der vorliegenden Änderung wird dies nunmehr auch gesetzlich verankert.

Grundsätzlich ist davon auszugehen, dass im Förderungsbericht keine personenbezogenen Daten von natürlichen Personen aufgenommen werden, es kann jedoch nicht ausgeschlossen werden, dass im Einzelfall auf Grund der Kontenbezeichnung ein Bezug zu natürlichen Personen hergestellt werden kann. Mit der vorliegenden Änderung wird eine dem neuen europarechtlichen Datenschutzregime entsprechende rechtliche Grundlage für die Veröffentlichung der jeweiligen Förderung geschaffen.

Zu Z 3 (§ 89 Abs. 9; Grundsätze der Verrechnung):

Abs. 9 normiert eine Verpflichtung der Bundesministerin oder des Bundesministers für Finanzen als Verfahrensorganisator haushaltsrechtliche Daten einschließlich der personenbezogenen Daten nach Ende eines haushaltsrechtlichen Verwendungszweckes (inklusive Abschluss des Bundesrechnungsabschlusses) noch 7 Jahre für interne Zwecke zur Weiterverarbeitung zur Verfügung zu halten.

Zu Z 4 (§ 104a, Auftragsverarbeiter; § 104b, Information; § 104c, Auskunft; § 104d, Berichtigung; § 104e, Löschung; § 104f, Einschränkung der Verarbeitung; § 104g, Datenübertragbarkeit; § 104h, Widerspruch):

§ 104a Abs. 1 normiert die konkreten Auftragsverarbeiter für das IT-Verfahren der Haushaltsführung des Bundes, nämlich die Bundesrechenzentrum GmbH und die Buchhaltungsagentur des Bundes.

In § 104a Abs. 2 wird festgelegt, dass die Verpflichtungen der Auftragsverarbeiter nach Art. 28 DSGVO betreffend die Haushaltsführung des Bundes in Verträgen zwischen der Bundesministerin für Finanzen oder dem Bundesminister für Finanzen und den jeweiligen Auftragsverarbeitern zu regeln sind, in denen auch der Gegenstand, die Dauer, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Pflichten und Rechte des bzw. der Verantwortlichen festgelegt werden. Im Hinblick auf diese Verträge ist ausschließlich die Bundesministerin für Finanzen oder der Bundesminister für Finanzen der Ansprechpartner für die Auftragsverarbeiter.

In § 104b, § 104c Abs. 3, § 104d Abs. 3, § 104e Abs. 3 und in § 104f Abs. 2 werden die Verantwortlichkeiten im Hinblick auf bestimmte Betroffenenrechte geregelt.

Nach § 104c Abs. 1 wird das Recht auf Auskunft in bestimmten Fällen für die betroffene Person eingeschränkt. Überdies können die betroffenen Personen in § 104c Abs. 2 zur Mitwirkung beim Auskunftsverfahren seitens der Verantwortlichen aufgefordert werden (zB zur Bekanntgabe der Identifikationsdaten der betroffenen Person).

§ 104d Abs. 1 nennt die Fälle, in denen die Ausübung eines Rechtes auf Berichtigung nach Art. 16 DSGVO nicht möglich ist. Da für die Anlage oder Änderung von Geschäftspartnerkonten im HV-System grundsätzlich die Grunddaten im Wege der öffentlichen Register der Grunddatenverwaltung verwendet werden, sind allfällige Fehler in diesen Registern durch die betroffene Person bei der zuständigen Stelle des Registers selbst zu beheben.

§ 104d Abs. 2 regelt den Fall, dass eine nachträgliche Änderung mit dem haushaltsrechtlichen Dokumentationszweck nicht vereinbar ist.

Mit der Bestimmung des § 104e Abs. 1 wird klargestellt, dass für Zeiten einer Aufbewahrung kein Recht auf Löschung nach Art. 17 DSGVO besteht. Art. 17 Abs. 3 lit. b DSGVO sieht vor, dass das Recht auf Löschung nicht gilt, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, zB wenn die Verarbeitung nach den haushaltsrechtlichen Bestimmungen notwendig ist oder die Wahrung einer haushaltsrechtlichen Aufbewahrungspflicht (zB § 105 BHG 2013) vorgesehen ist.

§ 104e Abs. 2 legt fest, wann personenbezogenen Daten im Rahmen des Vollzugs des Haushalts- und Rechnungswesens zu löschen sind, nämlich nach dem Ende der jeweiligen Aufbewahrungsfrist. Haushaltsrechtliche Aufbewahrungsfristen sind in § 105 BHG 2013 und in § 4 Abs. 8 BHV 2013 bzw. in den §§ 82 bis 84 BHV 2013 geregelt.

In § 104e Abs. 3 wird normiert, dass Löschungen im Sinne des Art. 17 DSGVO ausschließlich durch die Bundesministerin oder den Bundesminister für Finanzen als Verfahrensorganisator erfolgen dürfen. Gleiches gilt für die Erfüllung der Pflicht zur Mitteilung der Löschung an alle Empfänger.

§ 104f Abs. 1, § 104g Abs. 1 und § 104h Z 1 normieren jeweils eine Einschränkung des Rechts auf Einschränkung der Verarbeitung, des Rechtes auf Datenübertragbarkeit und Widerspruch für den Fall, dass die ordnungsgemäße Erfüllung der Aufgaben der Haushaltsführung beeinträchtigt werden würde. § 104h normiert darüber hinaus die Einschränkung des Betroffenenrechts des Widerspruchs, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse der Haushaltsführung liegende Aufgabe erforderlich ist.

Der Verantwortliche soll nicht durch eine Einschränkung der Verarbeitung, eine Datenübertragung oder einen Widerspruch daran gehindert werden, die im öffentlichen Interesse erfolgende Datenverarbeitung durchzuführen.

Im Rahmen der normierten Beschränkungen der Betroffenenrechte bzw. der Pflichten der Verantwortlichen nach § 104a bis § 104i wird der im öffentlichen Interesse liegende Schutz im Bereich des Haushaltsrechtes nach Art. 23 Abs. 1 lit. e DSGVO mittels notwendiger und verhältnismäßiger Maßnahmen gewährleistet.

Zu Z 5 (§ 122 Abs. 14 bis 16, In- und Außerkrafttreten):

Nach § 122 Abs. 14 ist das Inkrafttreten der Änderung des Bundeshaushaltsgesetzes mit 25. Mai 2018 vorgesehen.

§ 122 Abs. 15 stellt klar, dass operative Daten aus den maschinellen Systemen „POH“ (Produktivsystem der Haushaltsverrechnung des Bundes) und „PR1“ (Produktives Referenzsystem für Stammdaten) vor dem 1. Jänner 2013 den haushaltsleitenden Organen nicht mehr zur Verfügung stehen. Dies ist damit begründet, dass mit der Haushaltsrechtsreform 2. Etappe neue IT-Systeme in Verwendung genommen wurden.

Durch die Übergangsbestimmung des § 122 Abs. 16 wird klargestellt, dass die Erfüllung der Pflichten der DSGVO (zB der Betroffenenrechte) nur für haushaltsrechtliche Geschäftsfälle gilt, bei denen erstmals personenbezogene Daten ab dem 25. Mai 2018 verarbeitet werden.

Zu Art. 26 (Änderung des Transparenzdatenbankgesetzes 2012)

Kompetenzgrundlage:

Die Zuständigkeit des Bundes zur Erlassung dieses Bundesgesetzes ergibt sich aus Art. 10 Abs. 1 Z 4 B‑VG (Bundesfinanzen), Art. 10 Abs. 1 Z 13 B‑VG (sonstige Statistik, soweit sie nicht nur den Interessen eines einzelnen Landes dient) und § 7 Abs. 1 F‑VG 1948. Darüber hinaus können als Kompetenzgrundlage diejenigen Kompetenztatbestände herangezogen werden, aufgrund derer der Bund Leistungen erbringen kann, sowie auf „Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr“ gemäß § 2 DSG.

Zu Z 1 bis 5 (Inhaltsverzeichnis):

Das Inhaltsverzeichnis ist entsprechende den nachfolgenden Änderungen anzupassen.

Zu Z 6 (§ 2 Abs. 1):

In der Transparenzdatenbank und über das Transparenzportal findet die automationsunterstützte Verarbeitung von personenbezogenen Daten natürlicher Personen und nichtnatürlicher Personen (insbesondere juristischer Personen) statt. Jedoch unterliegen nach der Datenschutz-Grundverordnung (DSGVO) und zufolge Änderung des im Verfassungsrang stehenden § 1 Datenschutzgesetz durch das Datenschutz-Deregulierungs-Gesetz 2018 nur noch die personenbezogenen Daten natürlicher Personen dem Datenschutz.

Der Begriff „Daten“ soll durchgängig verwendet werden und dabei „personenbezogene Daten“ bezeichnen.

Zu Z 8, 9, 10, 12, 13, 14, 15, 16 und 23 (§§ 12, 17, 18, 21 Abs. 1 Z 3, 23 Abs. 3 und 4, 25 Abs. 1 lit. a und Abs. 4, 38):

Es sollen die entsprechenden Bestimmungen der DSGVO zitiert und die bisherigen Begriffe des DSG 2000 durch die entsprechenden Begriffe der DSGVO ersetzt werden. Der Begriff „Auftraggeber“ soll gemäß dem vorgeschlagenen § 12 durchgängig durch „Verantwortlicher“ ersetzt werden und dabei den „datenschutzrechtlich Verantwortlichen“ bezeichnen. Weiters sollen die Begriffe „Betroffener“ durch „betroffene Person“, „Dienstleister“ durch „Auftragsverarbeiter“, „sensible Daten“ durch „besondere Kategorien personenbezogener Daten“, sowie „Verwendung“ durch „Verarbeitung“ bzw. „verwenden“ durch „verarbeiten“ ersetzt werden.

Zu Z 7 und 18 (§ 4 Abs. 4 und § 32 Abs. 6):

Die datenschutzkonforme Berechtigung zur Abfrage personenbezogener Daten soll unter den gleichen Voraussetzungen wie den Ländern auch den Gemeinden (Städten) eröffnet werden.

Zu Z 11 (§ 19):

Die dem Bundesminister für Finanzen als datenschutzrechtlich Verantwortlichem in den neuen §§ 36b, 36d und 36e übertragenen Aufgaben sollen von der Datenklärungsstelle wahrgenommen werden.

Zu Z 17 (§ 31):

§ 31 normiert wie bisher die Verpflichtung der leistenden Stellen, allfällige erkannte Unrichtigkeiten bei bereits erfolgten Leistungsmitteilungen binnen Monatsfrist zu korrigieren. Um diese Korrektur gegenüber der nunmehr in § 36d geregelten Berichtigung und der in § 36e geregelten Löschung abzugrenzen, soll nunmehr der Begriff „Richtigstellung“ verwendet werden.

Zu Z 19 (§ 32 Abs. 7):

Der Begriff „Dienstleister“ gemäß § 4 Z 5 DSG 2000 ist nicht deckungsgleich mit dem Begriff „Auftragsverarbeiter“ gemäß Art. 4 Z 8 DSGVO. Letzterer ist auf das Verarbeiten von Daten im Auftrag des Verantwortlichen, also insbesondere auf typische IT-Dienstleistungen, eingeschränkt. Weil der Auftragsverarbeiter selbst keine Daten mitteilt und er keine eigene Leseberechtigung benötigt, soll die diesbezügliche Erwähnung des Dienstleisters ersatzlos entfallen.

Zu Z 20 und 21 (7. Abschnitt):

Der 7. Abschnitt („Schlussbestimmungen“) soll um datenschutzrechtliche Regelungen erweitert und daher in „Datenschutz und Schlussbestimmungen“ umbenannt werden. Zu diesem Zweck sollen die im Rahmen der DSGVO zulässigen Regelungsspielräume im erforderlichen Umfang genutzt werden (vorgeschlagene §§ 36a bis 36e).

Zu Z 21 (§§ 36a bis 36e):

Zu § 36a:

Der vorgeschlagene § 36a beinhaltet die grundsätzliche datenschutzrechtliche Bestimmung zur automatisierten Verarbeitung von personenbezogenen Daten natürlicher (und nichtnatürlicher) Personen durch den Bundesminister für Finanzen als Auftraggeber der Transparenzdatenbank und des Transparenzportals. Dies beinhaltet auch die Verarbeitung von besonderen Kategorien personenbezogener Daten (bisher: sensible Daten). Aus § 2 Abs. 2 in Verbindung mit § 25 ergibt sich, dass die Daten natürlicher Personen nicht mit Klarnamen, sondern ausschließlich durch Verwendung des bereichsspezifischen Personenkennzeichens verarbeitet werden.

Zu § 36b:

Zu Abs. 1: Jede betroffene Person kann das ihr nach Art. 15 DSGVO zustehende Auskunftsrecht durch Abfrage gemäß § 32 Abs. 1 und 2 nach vorheriger elektronischer Identifikation am Transparenzportal (transparenzportal.gv.at) ausüben, wodurch sie Kenntnis aller sie betreffenden Daten erlangt. Dazu gehört auch die Information, wem welche Daten zugänglich gemacht worden sind („Wer hat mich abgefragt?“).

Zu Abs. 2 und 3: Personen, die keine Möglichkeit zu einer Transparenzportal-Abfrage haben, ist über deren Verlangen die Auskunft über die sie betreffenden Daten vom datenschutzrechtlich Verantwortlichen (das ist gemäß § 12 der Bundesminister für Finanzen) schriftlich zu erteilen, wobei diese Aufgabe von der Datenklärungsstelle wahrgenommen werden soll (§ 19 Z 5). Dies werden Personen sein, die keine Möglichkeit zu einer Transparenzportalabfrage haben, weil sie sich mangels Bürgerkarte, Handy-Signatur oder FinanzOnline-Kennungen nicht elektronisch identifizieren können. Um die Abfrage durchführen und die Auskunft erteilen zu können, benötigt der Verantwortliche bzw. die Datenklärungsstelle die Identifikationsdaten der betroffenen Person. Wenn die betroffene Person diese Angaben nicht macht, ist die Auskunftserteilung nicht möglich und es besteht daher kein Recht auf Auskunft.

Zu Abs. 4: Auch die Nichterteilung einer Auskunft soll der betroffenen Person zur Kenntnis zu bringen sein, um ihr allfällige weitere Schritte, wie zB die Beschwerde an die Datenschutzbehörde, zu ermöglichen,

Zu § 36c:

In der Transparenzdatenbank und über das Transparenzportal werden keine personenbezogenen Daten bei der betroffenen Person erhoben (Art. 13 DSGVO). Die in der Transparenzdatenbank und über das Transparenzportal verarbeiteten personenbezogenen Daten werden einerseits durch Abfrage von bestehenden Datenbanken ermittelt und andererseits durch die leistenden Stellen mitgeteilt (§ 23 Abs. 1, 2 und 4), sodass es sich um personenbezogenen Daten handelt, die nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO).

Die Informationen, die gemäß Art. 14 DSGVO mitzuteilen sind, sind nicht nur für die betroffene Person, sondern – losgelöst von Personenbezug – auch für die Öffentlichkeit von Interesse und sind daher auf der öffentlich zugänglichen Website (transparenzportal.gv.at) unentgeltlich bereit zu stellen.

Informationen zu einem konkreten Personenbezug können nach § 36b eingeholt werden.

Nach Abs. 4 soll Personen, die keine Möglichkeit zu einer Informationseinholung über die öffentlich zugängliche Website (Abs. 1) hat, diese Informationen über Verlangen vom datenschutzrechtlich Verantwortlichen (das ist gemäß § 12 der Bundesminister für Finanzen) schriftlich zur Verfügung gestellt werden, wobei diese Aufgabe von der Datenklärungsstelle wahrgenommen werden soll (§ 19 Z 5).

Zu § 36d:

Verlangt eine betroffene Person gemäß Art. 16 DSGVO die Berichtigung sie betreffender unrichtiger personenbezogener Daten, so soll der Verantwortliche (das ist gemäß § 12 der Bundesminister für Finanzen bzw. gemäß § 19 Z 5 die Datenklärungsstelle) unverzüglich die Berichtigung, oder, wenn dies nicht möglich ist, einen ergänzenden Vermerk über die behauptete Unrichtigkeit in der betreffenden Leistungsmitteilung (§ 25) veranlassen.

Eine unverzügliche Berichtigung kann zB bei erfolgtem Ziffernsturz oder irrtümlich falsch gesetztem Komma erfolgen. Bedarf die Klärung weitergehenden (Ermittlungs-)Aufwandes, so soll dies in der betreffenden Leistungsmitteilung ergänzend vermerkt werden, damit einer abfrageberechtigten Stelle, welche diese Leistungsmitteilung als Abfrageergebnis erhält, informiert ist.

§ 36d ist gegenüber der im (geänderten) § 31 geregelten Richtigstellung abzugrenzen.

Zu § 36e:

Die Zwecke der Verarbeitung der personenbezogenen Daten sind in § 2 definiert (Informationszweck, Nachweiszweck, Steuerungszweck und Überprüfungszweck) und werden in aller Regel von jenen abweichen, welche für die Verarbeitung der personenbezogenen Daten in den Datenanwendungen und ‑verarbeitungen bei den leistenden Stellen außerhalb des Anwendungsbereiches des TDBG 2012 bestehen. Daraus können sich sehr unterschiedliche Zeitpunkte ergeben, ab welchen die Daten für die Zwecke, für die sie in den leistenden Stellen erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 DSGVO). Wenn nun dieser Zeitpunkt maßgebend dafür wäre, wann die Daten in der Transparenzdatenbank zu löschen sind, könnte dies dazu führen, dass die im TDBG 2012 normierten Zwecke (insbesondere der Steuerungs- und der Überprüfungszweck) nicht mehr erfüllt werden könnten. Es soll daher zur Erfüllung dieser rechtlichen Verpflichtungen im vorgeschlagenen § 36c eine Regelung über die Löschung der Daten in der Transparenzdatenbank aufgenommen werden, wonach stufenweise zwischen der Anzeige an abfrageberechtigte Stellen und der endgültigen Löschung differenziert wird. So soll die Anzeige an abfrageberechtigte Stellen und die leistende Stelle selbst (§ 32 Abs. 5, 6 und 7) auf 10 Jahre beschränkt werden, was im Bereich des Förderungswesens einen hinreichend langen Zeitraum bei gleichzeitiger Rücksichtnahme auf die berechtigten Interessen der betroffenen Person darstellt.

Der Steuerungszweck wird vielfach die Einbeziehung von Daten erfordern, die vor mehr als 10 Jahren erhoben wurden, insbesondere zur Abschätzung von Entwicklungen durch Bedachtnahme auf Zeitreihen. Daher soll die solcherart im öffentlichen Interesse liegende Verarbeitung im Wege der Auswertung durch die Bundesanstalt Statistik Österreich nach § 34 für einen längeren Zeitraum zulässig sein, zumal die Daten der natürlichen Personen gemäß § 25 nicht mit Klarnamen, sondern ausschließlich mit bereichsspezifischen Personenkennzeichen verarbeitet werden. In Anlehnung an § 15 Abs. 5 Bundesstatistikgesetz 2000 soll die endgültige Löschung nach dreißig Jahren erfolgen. Bis dahin soll auch der betroffenen Person ihre Abfrageberechtigung gemäß § 32 Abs. 1 und 2 möglich sein.

Diese amtswegigen Maßnahmen sollen aus technisch-organisatorischen Gründen jahresweise erfolgen, wobei an das in der Leistungsmitteilung angegebene Auszahlungsdatum angeknüpft wird.

Abgesehen von der amtswegigen Löschung nach dreißig Jahren (Abs. 2) soll eine Löschung über Antrag der betroffenen Person wegen unrechtmäßiger Verarbeitung bzw. bei Vorliegen einer bundesgesetzlichen Löschungsverpflichtung, welche die Zwecke des TDBG 2012 überwiegt, erfolgen.

Verlangt eine betroffene Person gemäß Art. 17 DSGVO die Löschung sie betreffender unrichtiger personenbezogener Daten, so soll der Verantwortliche (das ist gemäß § 12 der Bundesminister für Finanzen bzw. gemäß § 19 Z 5 die Datenklärungsstelle) dies unverzüglich veranlassen.

Zu Z 22 (§ 37):

Der Antrag (das Verlangen) einer betroffenen Person an den Datenschutzbeauftragten des Bundesministeriums für Finanzen um Auskunft gemäß § 36b Abs. 2 über die sie betreffenden Daten soll von den Stempelgebühren befreit sein.

Zu Z 24 (§ 43 Abs. 4):

Sämtliche Bestimmungen sollen gleichzeitig mit dem Inkrafttreten der DSGVO und des Datenschutzgesetzes in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2017, somit am 25. Mai 2018, in Kraft treten.

Zum 3. Hauptstück (Gesundheit und Soziales)

Allgemeines

Eine Anzahl von in den Wirkungsgbereich des Bundesministeriums für Arbeit, Soziales, Gesundheit und Konsumentenschutz fallenden Bundesgesetzen wurde bereits mit dem (1.) Materien-Datenschutz-Anpassungsgesetz 2018 an die durch die Datenschutz-Grundverordnung und das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nrl 120/2017, bewirkte Rechtslage angepasst. Dies soll nun auch für die verbleibenden Materien, die dem Gesundheitsbereich und dem Sozialversicherungswesen zuzuordnen sind, erfolgen.

Kompetenzgrundlage:

In kompetenzrechtlicher Hinsicht stützt sich dieses Hauptstück des vorgeschlagenen Bundesgesetzes auf

– Art. 10 Abs. 1 Z 12 B‑VG („Gesundheitswesen“),

– Art. 10 Abs. 1 Z 8 B‑VG („Einrichtung beruflicher Vertretungen, soweit sie sich auf das ganze Bundesgebiet erstrecken“),

– Art. 10 Abs. 1 Z 12 B‑VG („Veterinärwesen sowie Ernährungswesen einschließlich der Nahrungsmittelkontrolle“),

– Art. 11 Z 8 B‑VG („Tierschutz“),

– Art. 10 Abs. 1 Z 9 B‑VG („Verkehrswesen bezüglich der Eisenbahnen und der Luftfahrt sowie der Schifffahrt, soweit diese nicht unter Art. 11 fällt; Kraftfahrwesen“),

– Art. 10 Abs. 1 Z 11 B‑VG („Sozialversicherungswesen“) und

– Art. 1 § 2 Abs. 1 DSG 2000 („Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr“).

Zum 1. Abschnitt (Gesundheit):

Zu Art. 27 (Änderung des Gesundheits- und Krankenpflegegesetzes):

Zu Z 1, 2 und 4 (Inhaltsverzeichnis, §§ 2b und 117 Abs. 30 GuKG):

§ 2b regelt die in den Bestimmungen des Gesundheits- und Krankenpflegegesetzes (GuKG) vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Auch wenn die Verpflichtung zur Einhaltung der DSGVO und des DSG sich bereits aus deren unmittelbaren Anwendbarkeit ergibt, sind Spezifizierungen für diese Datenflüsse im Hinblick auf die Normierung der Beschränkung von Rechten und Pflichten nach der DSGVO sowie die Weiterverarbeitung zu wissenschaftlichen und historischen Forschungszwecken oder statistischen Zwecken erforderlich.

Abs. 1 enthält jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen der Berufsausübung durchzuführen sind.

Die Führung einer Pflegedokumentation (§ 5) sowie die Rechte zur Einsicht in diese und die Aufbewahrungspflicht dienen der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Hinsichtlich der Aufbewahrungsdauer der Dokumentation besteht für freiberuflich tätige Berufsangehörige jedenfalls die Verpflichtung, diese mindestens zehn Jahre nach Beendigung des Behandlungs-/Betreuungsverhältnisses aufzubewahren. Gemäß Art. 17 Abs. 3 lit. e DSGVO besteht auch nach dieser Frist, insbesondere im Hinblick auf die zivilrechtliche Verjährungsfrist, die Möglichkeit, von der Löschung zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abzusehen.

Die Aufbewahrung der Pflegedokumentation im Rahmen eines Dienstverhältnisses richtet sich nach den organisationsrechtlichen Regelungen für die jeweilige Einrichtung (zB Krankenanstaltenrecht, Pflegeheimregelungen, Organisationsrecht in der mobilen Pflege und Betreuung).

Bei den weiteren angeführten Datenverarbeitungen des Abs. 1 handelt es sich um

– die Mitteilung über den/die Versicherte/n zum Zweck der Honorarabrechnung, die als Durchbrechung der Verschwiegenheitspflicht normiert ist (§ 6 Abs. 2 Z 3),

– die Anzeige oder Meldung über bestimmte im Rahmen der Berufsausübung bekannt gewordene Straftaten (§§ 7 und 8),

– die Auskünfte an Patienten/-innen und deren Vertreter/innen sowie an Angehörige anderer Gesundheitsberufe (§ 9).

Abs. 2 enthält jene Datenverarbeitungen, die die Übermittlung personenbezogener Daten zwischen Behörden und Gerichten vorsehen.

Die Informationen zwischen den Behörden der EU-Mitgliedstaaten über gefälschte Berufsqualifikationen (§ 28a Abs. 9, § 87 Abs. 9) und Entziehung und Wiedererteilung von Berufsberechtigungen (§ 40 Abs. 4, § 91 Abs. 4), die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 28a Abs. 10, § 87 Abs. 10) und die Durchführung von Verfahren über den Europäischen Berufsausweis (EPC) (§§ 28b und 39a) sind im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Durchführungsverordnung (EU) 2015/983 zum Europäischen Berufsausweis und zum Vorwarnmechanismus vorgesehen und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

Für die Führung des Verzeichnisses über Personen, die vorübergehend grenzüberschreitende Dienstleistungen in Österreich erbringen, im Rahmen des Gesundheitsberuferegisters sind die entsprechenden Daten auf Grund der Meldung beim/bei der Landeshauptmann/-frau (§ 39) an die Gesundheit Österreich GmbH zu übermitteln.

Weiters erfolgt eine Übermittlung personenbezogener Daten über eine Erwachsenenvertretung für Berufsangehörige durch die Gerichte an die für die Entziehung der Berufsberechtigung zuständigen Behörden (vgl. § 40 Abs. 6, § 91 Abs. 6). Die datenschutzrechtlichen Ermächtigungen der Gerichte und Staatsanwaltschaften in Strafsachen erfolgen auf Basis der Strafprozessordnung 1975 (StPO), BGBl. Nr. 631/1975, sodass diese nicht von den Datenschutzregelungen der Materiengesetze zu erfassen sind.

In Abs. 3 werden für die in Abs. 1 und 2 angeführten Datenverarbeitungen entsprechend Art. 23 DSGVO folgende Rechte und Pflichten insbesondere zur Sicherstellung des Schutzes der öffentlichen Gesundheit und zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe ausgeschlossen:

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

So wäre beispielsweise im Falle eines Rechts auf Einschränkung und auf Widerspruch die Besorgung der Aufgaben nach diesem Bundesgesetz von vornherein wesentlich beeinträchtigt und eine geordnete Durchführung der gesetzlich geregelten Aufgaben nicht mehr möglich. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Aufwand verursachen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Abs. 4 regelt die Weiterverarbeitung der angeführten Daten zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken. Im Sinne des Art. 89 DSGVO sind die Daten so zu übermitteln, dass sie für den/die Empfänger/in pseudonymisierte personenbezogene Daten sind und der/die Empfänger/in die Identität des/der Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann, sofern der Personenbezug für die Durchführung einer statistischen Erhebung nicht unerlässlich ist. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können einzelne Rechte des/der Betroffenen unter den Voraussetzungen des Art. 89 Abs. 2 DSGVO ausgeschlossen werden.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Z 3 und 4 (§§ 40, 91 und 117 Abs. 31 GuKG):

Im Zusammenhang mit schwerwiegenden Vorfällen in einem Pflegeheim hat sich gezeigt, dass die zur Vollziehung des Gesundheits- und Krankenpflegegesetzes zuständigen Behörden die rechtlichen Möglichkeiten, unverzüglich die zum Schutz der Patienten/-innen, Klienten/-innen und pflegebedürftigen Menschen gebotenen Schritte zu setzen, nicht ausschöpfen.

Der Nationalrat hat in seiner Entschließung vom 12. Oktober 2017, 220/E XXV. GP, die Bundesregierung ersucht, die für die Berufsberechtigung zuständigen Behörden in geeigneter Weise über die im Rahmen der geltenden berufs- und verfahrensrechtlichen Regelungen bestehenden Möglichkeiten zu informieren, die vorsehen, dass eine Entziehung der Berufsberechtigung wegen mangelnder Vertrauenswürdigkeit bei Gefahr in Verzug unmittelbar zu erfolgen hat. Diese Information ist seitens des damaligen Bundesministeriums für Gesundheit und Frauen mit Schreiben vom 9. Oktober 2017, GZ BMGF-92250/0075-II/A/2/2017, erfolgt. Insbesondere wurde auf die Möglichkeit der Erlassung eines sogenannten Mandatsbescheids gemäß § 57 AVG verwiesen.

Um sicherzustellen, dass die für die Entziehung der Berufsberechtigungen zuständigen Behörden zeitnah über den Beginn und den Abschluss von Strafverfahren gegen Berufsangehörige informiert werden, um die allenfalls erforderlichen berufsrechtlichen Schritte in die Wege leiten zu können, wird eine Informationspflicht der Staatsanwaltschaften und Gerichte an die für die Entziehung der Berufsberechtigung zuständigen Behörden betreffend anhängige Ermittlungs- und Strafverfahren von Berufsangehörigen normiert, die den bereits geltenden Regelungen im Ärzte-, Zahnärzte- und Hebammenrecht entspricht. Die Informationspflicht gilt für alle in Frage kommenden Strafverfahren. Die Beurteilung, ob und welche berufsrechtlichen Maßnahmen im Rahmen ihres Ermessens zu ergreifen sind, obliegt den für die Entziehung der Berufsberechtigung zuständigen Behörden.

Die Übermittlung von personenbezogenen Daten durch Gerichte und Staatsanwaltschaften für einen nicht in § 36 Abs. 1 DSG genannten Zweck ist nur zulässig, wenn dies gesetzlich ausdrücklich vorgesehen ist und der Empfänger zur Verarbeitung dieser personenbezogenen Daten für diesen anderen Zweck befugt ist. § 40 Abs. 2 DSG setzt die Vorgaben der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. 119 vom 4.5.2016 S. 89, um. Die für die Übermittlung von personenbezogenen Daten durch Gerichte und Staatsanwaltschaften erforderliche gesetzliche Grundlage soll mit den neuen Regelungen im Berufsgesetz geschaffen werden.

Entsprechend den Regelungen im Ärzte-, Zahnärzte- und Hebammenrecht wird auch eine Informationspflicht der Gerichte über eine Erwachsenenvertretung für eine/n Berufsangehörige/n normiert, da auf Grund dieser Maßnahmen ebenfalls eine Entziehung der Berufsberechtigung im Hinblick auf das Vorliegen der gesundheitlichen Eignung bzw. der Geschäfts- bzw. Entscheidungsfähigkeit zu prüfen ist. Von dieser Informationspflicht sind sowohl Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung gemäß § 117 ff. Außerstreitgesetz, BGBl. I Nr. 111/2003, einschließlich der Bestellung einer einstweiligen Erwachsenenvertretung (§ 120 AußStrG), als auch die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis (§§ 267 und 270 ABGB) erfasst.

Diese Regelungen treten gleichzeitig mit dem 2. Erwachsenenschutz-Gesetz, BGBl. I Nr. 59/2017, mit 1. Juli 2018 in Kraft.

Zu Art. 28 (Änderung des Hebammengesetzes):

Zu Z 1, 2 und 5 (Inhaltsverzeichnis, § 40 Abs. 4 und § 61d HebG):

§ 61d regelt die in den Bestimmungen des Hebammengesetzes (HebG) vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Abs. 1 enthält jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen der Berufsausübung durchzuführen sind.

Die im Rahmen der personenstandsrechtlichen Meldungen gemäß § 8 von den Hebammen zu erhebenden und an die Personenstandsbehörden zu übermittelnden medizinischen und sozialmedizinischen Daten, die ausschließlich statistischen Zwecken dienen, werden nach den Vorgaben des Personenstandsgesetzes 2013, BGBl. I Nr. 16/2013, in der Fassung des (1.) Materien-Datenschutz-Anpassungsgesetzes, von der Statistik Austria in pseudonymisierter Form für statistische Zwecke verarbeitet.

Die Führung einer Dokumentation (§ 9) sowie die Auskunfts- und Einsichtsrechte und die Aufbewahrungspflicht dienen der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Hinsichtlich der Aufbewahrungsdauer der Dokumentation besteht für freiberuflich tätige Berufsangehörige jedenfalls die Verpflichtung, diese mindestens zehn Jahre nach Beendigung des Betreuungsverhältnisses aufzubewahren. Gemäß Art. 17 Abs. 3 lit. e DSGVO besteht auch nach dieser Frist, insbesondere im Hinblick auf die zivilrechtliche Verjährungsfrist, die Möglichkeit, von der Löschung zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abzusehen.

Die Aufbewahrung der Dokumentation im Rahmen eines Dienstverhältnisses richtet sich nach den organisationsrechtlichen Regelungen für die jeweilige Einrichtung, insbesondere Krankenanstaltenrecht.

Bei den weiteren angeführten Datenverarbeitungen des Abs. 1 handelt es sich um

– die Auskünfte an Patienten/-innen und deren Vertreter/innen sowie an Angehörige anderer Gesundheitsberufe (§ 6 Abs. 4)

– die Anzeige über bestimmte im Rahmen der Berufsausübung bekannt gewordene Straftaten (§ 6 Abs. 5),

– die Mitteilung über den/die Versicherte/n zum Zweck der Honorarabrechnung, die als Durchbrechung der Verschwiegenheitspflicht normiert ist (§ 7 Abs. 2 Z 3).

Abs. 2 enthält jene Datenverarbeitungen, die das Österreichische Hebammengremium zur Erfüllung seiner gesetzlich übertragenen Aufgaben durchzuführen hat. Der bisherige § 40 Abs. 4, der eine Regelung über Datenverarbeitungen durch das Österreichische Hebammengremium enthält, kann zugunsten der nunmehr vorgesehenen spezifizierten Regelung entfallen.

Die Informationen zwischen den Behörden der EU-Mitgliedstaaten über gefälschte Berufsqualifikationen (§ 12 Abs. 7) und Entziehung und Wiedererteilung von Berufsberechtigungen (§ 22 Abs. 4) und die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 41 Abs. 6 und 7) sind im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Durchführungsverordnung (EU) 2015/983 u.a. zum Vorwarnmechanismus sowie der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in grenzüberschreitenden Gesundheitsversorgung vorgesehen und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

Die Verarbeitung von personenbezogenen Daten zum Zweck der Registerführung über die berufsberechtigten Hebammen ist eine der wesentlichen Aufgaben der gesetzlichen Berufsvertretung im übertragenen Wirkungsbereich zur Wahrung der gemeinsamen beruflichen, sozialen und wirtschaftlichen Belange der in Österreich tätigen Hebammen und zur Überwachung der Erfüllung der Berufspflichten der Hebammen und zur Wahrung des Berufsansehens des Hebammenstandes und dient letztlich der Qualitätssicherung.

Abs. 3 enthält jene Datenverarbeitungen, die die Übermittlung personenbezogener Daten zwischen Behörden und Selbstverwaltungskörper sowie Gerichten vorsehen.

Im Zusammenhang mit Verfahren über die vorläufige Untersagung der Berufsausübung (§ 22a) erfolgt eine gegenseitige Information des/der hiefür zuständige/n Landeshauptmanns/Landeshauptfrau sowie der Staatsanwaltschaften und Gerichte, die dem Schutz der öffentlichen Gesundheit und der Einleitung der entsprechend vorgesehenen behördlichen bzw. gerichtlichen Verfahren dient. Die datenschutzrechtlichen Ermächtigungen der Gerichte und Staatsanwaltschaften in Strafsachen erfolgen auf Basis der Strafprozessordnung 1975 (StPO), BGBl. Nr. 631/1975, sodass diese nicht von den Datenschutzregelungen der Materiengesetze zu erfassen sind.

Im Rahmen der Amtshilfe (§ 41) sind ebenfalls umfassende gegenseitige Informationsrechte und -pflichten zwischen den innerstaatlichen Behörden zur Unterstützung bei der Erfüllung ihrer gesetzlich übertragenen Aufgaben vorgesehen, die die verfassungsrechtlich verankerte Amtshilfe gemäß Art. 22 B‑VG spezifizieren.

In Abs. 4 werden für die in Abs. 1 bis 3 angeführten Datenverarbeitungen entsprechend Art. 23 DSGVO folgende Rechte und Pflichten insbesondere zur Sicherstellung des Schutzes der öffentlichen Gesundheit und zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe ausgeschlossen:

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Abs. 5 regelt die Weiterverarbeitung der angeführten Daten zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken. Im Sinne des Art. 89 DSGVO sind die Daten so zu übermitteln, dass sie für den/die Empfänger/in pseudonymisierte personenbezogene Daten sind und der/die Empfänger/in die Identität des/der Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann, sofern der Personenbezug für die Durchführung einer statistischen Erhebung nicht unerlässlich ist. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können einzelne Rechte des/der Betroffenen unter den Voraussetzungen des Art. 89 Abs. 2 DSGVO ausgeschlossen werden.

Zu Z 3 (§ 42 Abs. 4 HebG):

In § 42 Abs. 4 wird klargestellt, dass die personenbezogenen Daten des Registers bis zum Ablauf von zehn Jahren nach der Streichung der Betroffenen aufzubewahren sind. Danach sind die Daten zu löschen. Sofern für statistische Zwecke oder Forschungszwecke eine längerfristige Weiterverarbeitung erforderlich ist, kann vor Löschung der personenbezogenen Daten eine Pseudonymisierung erfolgen.

Zu Z 4 (§ 48 Abs. 6 HebG):

Für eine geordnete Durchführung der Wahlen der Organe des Österreichischen Hebammengremiums ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss der genannten Rechte und Pflichten gemäß DSGVO für die im Rahmen des Wahlverfahrens verarbeiteten personenbezogenen Daten vorzusehen. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Aufwand verursachen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Z 6 (§ 62a Abs. 11 HebG):

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Art. 29 (Änderung des Kardiotechnikergesetzes):

Zu Z 1, 3 und 9 (Inhaltsverzeichnis, § 2b und § 36 Abs. 5 KTG):

§ 2b regelt die in den Bestimmungen des Kardiotechnikergesetzes vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Abs. 1 enthält jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen der Berufsausübung durchzuführen sind.

Die Führung einer Dokumentation (§ 7) dient der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Die Aufbewahrung der Dokumentation richtet sich nach den krankenanstaltenrechtlichen Vorschriften, da Kardiotechniker/innen ausschließlich im Dienstverhältnis zu Krankenanstalten tätig werden dürfen.

Abs. 2 enthält jene Datenverarbeitungen, die die Übermittlung personenbezogener Daten zwischen Behörden und Gerichten vorsehen.

Die Informationen zwischen den Behörden der EU-Mitgliedstaaten über gefälschte Berufsqualifikationen (§ 11 Abs. 12) und Entziehung und Wiedererteilung von Berufsberechtigungen (§ 16 Abs. 4) sowie die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen und der grenzüberschreitenden Gesundheitsversorgung (§ 19 Abs. 9) sind im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Durchführungsverordnung (EU) 2015/983 u.a. zum Vorwarnmechanismus sowie der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung vorgesehen und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

Weiters erfolgt eine Übermittlung personenbezogener Daten über eine Erwachsenenvertretung für Berufsangehörige durch die Gerichte an die für die Entziehung der Berufsberechtigung zuständigen Behörden (vgl. § 16 Abs. 6). Die datenschutzrechtlichen Ermächtigungen der Gerichte und Staatsanwaltschaften in Strafsachen erfolgen auf Basis der Strafprozessordnung 1975 (StPO), BGBl. Nr. 631/1975, sodass diese nicht von den Datenschutzregelungen der Materiengesetze zu erfassen sind.

Die Verarbeitung von personenbezogenen Daten zum Zweck der Listenführung über die berufsberechtigten Kardiotechniker/innen dient der Qualitätssicherung und dem Schutz der öffentlichen Gesundheit.

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Die Änderungen aus datenschutzrechtlicher Sicht sollen mit 25. Mai 2018 in Kraft treten.

Zu Z 2, 4, 6 bis 8 und 9 (Inhaltsverzeichnis, § 11 Abs. 13, § 19, § 19a, § 35 Abs. 5 und § 36 Abs. 7 KTG):

Die Bestimmungen über die Kardiotechnikerliste werden an aktuelle elektronisch geführten Listen der Gesundheitsberufe angepasst (vgl. zB Liste der Trainingstherapeuten/-innen, Musiktherapeuten/-innen, Gesundheitsberuferegister). Insbesondere werden die in der Liste erfassten Daten ausdrücklich angeführt und klargestellt, welche davon öffentlich sind.

Weiters wird eine Bestimmung zur Aufbewahrung ergänzt (§ 19 Abs. 3), wobei klargestellt wird, dass die personenbezogenen Daten bis zum Ablauf von zehn Jahren nach Streichen des/der Betroffenen aufzubewahren sind. Danach sind die Daten zu löschen. Sofern für statistische Zwecke oder Forschungszwecke eine längerfristige Aufbewahrung erforderlich ist, kann vor Löschung der personenbezogenen Daten eine Pseudonymisierung erfolgen.

Das Verfahren zur Eintragung in die Kardiotechnikerliste bleibt im Wesentlichen unverändert. Hinsichtlich des Nachweises der Kenntnisse der deutschen Sprache erfolgt eine Klarstellung entsprechend dem Gesundheitsberuferegister-Gesetz.

Durch die Regelung des § 19 Abs. 9, der dem bisherigen Abs. 7 entspricht, ist § 11 Abs. 13 obsolet und kann daher entfallen.

Durch § 19a wird die Verpflichtung zur Meldung von Änderungen bestimmter persönlicher und berufsspezifischer Daten normiert, was die Aktualität der Liste gewährleistet.

Im Hinblick auf die erforderliche technische Umsetzung der neuen Kardiotechnikerliste treten diese Änderungen mit 1. Jänner 2019 in Kraft. Die Daten der zu diesem Zeitpunkt eingetragenen Berufsangehörigen werden übernommen.

Zu Z 5 und 9 (§ 16 Abs. 5 und 6 und § 36 Abs. 6):

Diese Regelungen treten gleichzeitig mit dem 2. Erwachsenenschutz-Gesetz, BGBl. I Nr. 59/2017, mit 1. Juli 2018 in Kraft.

Zu Art. 30 (Änderung des MTD-Gesetzes):

Zu Z 1 und 2 (Inhaltsverzeichnis und § 1c):

§ 1c regelt die in den Bestimmungen des Bundesgesetzes über die Regelung der gehobenen medizinisch-technischen Dienste (MTD-Gesetz) vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Abs. 1 enthält jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen der Berufsausübung durchzuführen sind.

Die Führung einer Dokumentation der von den Berufsangehörigen gesetzten Maßnahmen (§ 11a) sowie die Rechte zur Einsicht in diese und die Aufbewahrungspflicht dienen der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Hinsichtlich der Aufbewahrungsdauer der Dokumentation besteht für freiberuflich tätige Berufsangehörige jedenfalls die Verpflichtung, diese mindestens zehn Jahre nach Beendigung des Behandlungs-/Betreuungsverhältnisses aufzubewahren. Gemäß Art. 17 Abs. 3 lit. e DSGVO besteht auch nach dieser Frist, insbesondere im Hinblick auf die zivilrechtliche Verjährungsfrist, die Möglichkeit, von der Löschung zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abzusehen.

Die Aufbewahrung der Dokumentation im Rahmen eines Dienstverhältnisses richtet sich nach den organisationsrechtlichen Regelungen für die jeweilige Einrichtung (zB Krankenanstaltenrecht).

Bei den weiteren angeführten Datenverarbeitungen des Abs. 1 handelt es sich um

– die Auskünfte an Patienten/-innen oder Klient/-innen und deren Vertreter/innen sowie an Angehörige anderer Gesundheitsberufe (§ 11b),

– die Mitteilung über den/die Versicherte/n zum Zweck der Honorarabrechnung, die als Durchbrechung der Verschwiegenheitspflicht normiert ist (§ 11c Abs. 2 Z 3).

Abs. 2 enthält jene Datenverarbeitungen, die die Übermittlung personenbezogener Daten zwischen Behörden und Gerichten vorsehen.

Die Informationen zwischen den Behörden der EU-Mitgliedstaaten über gefälschte Berufsqualifikationen (§ 6b Abs. 10) und Entziehung und Wiedererteilung von Berufsberechtigungen (§ 12 Abs. 3), die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 6b Abs. 11) und die Durchführung von Verfahren über den Europäischen Berufsausweis (EPC) (§§ 6f und 8b) sind im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Durchführungsverordnung (EU) 2015/983 zum Europäischen Berufsausweis und zum Vorwarnmechanismus vorgesehen und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

Für die Führung des Verzeichnisses über Personen, die vorübergehend grenzüberschreitende Dienstleistungen in Österreich erbringen, im Rahmen des Gesundheitsberuferegisters sind die entsprechenden Daten auf Grund der Meldung beim/bei der Landeshauptmann/-frau (§ 8a) an die Gesundheit Österreich GmbH zu übermitteln.

Weiters erfolgt eine Übermittlung personenbezogener Daten über eine Erwachsenenvertretung für Berufsangehörige durch die Gerichte an die für die Entziehung der Berufsberechtigung zuständigen Behörden (vgl. § 12 Abs. 5). Die datenschutzrechtlichen Ermächtigungen der Gerichte und Staatsanwaltschaften in Strafsachen erfolgen auf Basis der Strafprozessordnung 1975 (StPO), BGBl. Nr. 631/1975, sodass diese nicht von den Datenschutzregelungen der Materiengesetze zu erfassen sind.

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Z 3 (§ 11a Abs. 3 MTD-Gesetz):

Es erfolgt eine Anpassung an die neue datenschutzrechtliche Terminologie, wonach in Abs. 3 letzter Satz der bisherige Begriff „Zustimmung“ durch „Einwilligung“ (Art. 4 Z 11 DSGVO) ersetzt wird.

Zu Z 4 und 5 (§ 12 Abs. 4 und 5 und § 36 Abs. 23 MTD-Gesetz):

Diese Regelungen treten gleichzeitig mit dem 2. Erwachsenenschutz-Gesetz, BGBl. I Nr. 59/2017, mit 1. Juli 2018 in Kraft.

Zu Z 5 (§ 36 Abs. 22 MTD-Gesetz):

Die den Datenschutz betreffenden Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Art. 31 (Änderung des Medizinische Assistenzberufe-Gesetzes):

Zu Z 1 und 2 (Inhaltsverzeichnis und § 3a MABG):

§ 3a regelt die in den Bestimmungen des Medizinischen-Assistenzberufe-Gesetzes (MABG) vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Abs. 1 enthält jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen der Berufsausübung durchzuführen sind. Dabei handelt es sich um die Führung der Dokumentation (§ 13 Abs. 3) sowie die Erteilung von Auskünften an Patienten/-innen und deren Vertreter/innen sowie an Angehörige anderer Gesundheitsberufe (§ 3 Abs. 5).

Abs. 2 enthält jene Datenverarbeitungen, die die Übermittlung personenbezogener Daten zwischen Behörden und Gerichten vorsehen.

Die Informationen zwischen den Behörden der EU-Mitgliedstaaten über gefälschte Berufsqualifikationen (§ 16 Abs. 11) und Entziehung und Wiedererteilung von Berufsberechtigungen (§ 19 Abs. 6) sowie die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 16 Abs. 12) sind im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Durchführungsverordnung (EU) 2015/983 u.a. zum Vorwarnmechanismus vorgesehen und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

Weiters erfolgt eine Übermittlung personenbezogener Daten über eine Erwachsenenvertretung für Berufsangehörige durch die Gerichte an die für die Entziehung der Berufsberechtigung zuständigen Behörden (vgl. § 19 Abs. 8, § 28 Abs. 6). Die datenschutzrechtlichen Ermächtigungen der Gerichte und Staatsanwaltschaften in Strafsachen erfolgen auf Basis der Strafprozessordnung 1975 (StPO), BGBl. Nr. 631/1975, sodass diese nicht von den Datenschutzregelungen der Materiengesetze zu erfassen sind.

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Z 3, 4 und 6 (§ 19 Abs. 7 und 8, § 28 Abs. 5 und 6 und § 42 Abs. 7 MABG):

Diese Regelungen treten gleichzeitig mit dem 2. Erwachsenenschutz-Gesetz, BGBl. I Nr. 59/2017, mit 1. Juli 2018 in Kraft.

Zu Z 5 (§ 32 Abs. 2a MABG):

In § 32 Abs. 2a wird klargestellt, dass die personenbezogenen Daten aus der Liste der zur Ausübung der Trainingstherapie berechtigten Sportwissenschafter/innen bis zum Ablauf von zehn Jahren nach der Streichung der Betroffenen aufzubewahren sind. Danach sind die Daten zu löschen. Sofern für statistische Zwecke oder Forschungszwecke eine längerfristige Weiterverarbeitung erforderlich ist, kann vor Löschung der personenbezogenen Daten eine Pseudonymisierung erfolgen.

Zu Z 6 (§ 42 Abs. 6 MABG):

Die den Datenschutz betreffenden Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Art. 32 (Änderung des Medizinischer Masseur- und Heilmasseurgesetzes):

Zu Z 1 und 2 (Inhaltsverzeichnis und § 1b MMHmG):

§ 1b regelt die in den Bestimmungen des Medizinischen Masseur- und Heilmasseurgesetzes (MMHmG) vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Abs. 1 enthält jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen der Berufsausübung durchzuführen sind.

Die Führung einer Dokumentation, die Rechte zur Einsicht in diese und die Aufbewahrungspflicht (§ 3 Abs. 1 und 3, § 34 Abs. 2) sowie die Übermittlung von Daten aus dieser an Sozialversicherungsträger und an den/die behandelnden Arzt/Ärztin, wobei für letztere die Einwilligung der betroffenen Person erforderlich ist (§ 34 Abs. 1), dienen der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Hinsichtlich der Aufbewahrungsdauer der Dokumentation besteht für freiberuflich tätige Heilmasseure/-innen bzw. für Dienstgeber jedenfalls die Verpflichtung, diese mindestens zehn Jahre nach Beendigung des Behandlungs-/Betreuungsverhältnisses aufzubewahren. Gemäß Art. 17 Abs. 3 lit. e DSGVO besteht auch nach dieser Frist, insbesondere im Hinblick auf die zivilrechtliche Verjährungsfrist, die Möglichkeit, von der Löschung zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abzusehen.

Bei den weiteren angeführten Datenverarbeitungen des Abs. 1 handelt es sich um

– die Information und Auskunftserteilung an Patienten/-innen oder Klienten/-innen oder deren Vertreter/innen sowie an Angehörige anderer Gesundheitsberufe (§ 3 Abs. 5 und § 33 Abs. 1 und 2),

– die Anzeige oder Meldung über bestimmte im Rahmen der Berufsausübung bekannt gewordene Straftaten (§§ 7 und 35 Abs. 2 bis 5),

– die Mitteilung über den/die Versicherte/n zum Zweck der Honorarabrechnung, die als Durchbrechung der Verschwiegenheitspflicht normiert ist (§ 35 Abs. 1).

Abs. 2 enthält jene Datenverarbeitungen, die die Übermittlung personenbezogener Daten zwischen Behörden und Gerichten vorsehen.

Die Informationen zwischen den Behörden der EU-Mitgliedstaaten über gefälschte Berufsqualifikationen (§ 10 Abs. 12) und Entziehung, Einschränkung und Wiedererteilung von Berufsberechtigungen (§ 15 Abs. 4, § 16 Abs. 3, § 47 Abs. 4 und § 48 Abs. 3) sowie die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 10 Abs. 13) sind im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Durchführungsverordnung (EU) 2015/983 u.a. zum Vorwarnmechanismus vorgesehen und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

Weiters erfolgt eine Übermittlung personenbezogener Daten über eine Erwachsenenvertretung für Berufsangehörige durch die Gerichte an die für die Entziehung der Berufsberechtigung zuständigen Behörden (vgl. § 15 Abs. 6, § 47 Abs. 6). Die datenschutzrechtlichen Ermächtigungen der Gerichte und Staatsanwaltschaften in Strafsachen erfolgen auf Basis der Strafprozessordnung 1975 (StPO), BGBl. Nr. 631/1975, sodass diese nicht von den Datenschutzregelungen der Materiengesetze zu erfassen sind.

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Z 3 (§ 3 MMHmG):

Die Regelungen des bisherigen § 3 Abs. 2 und 4 sind teilweise durch den neuen § 1b abgedeckt und ergeben sich teilweise direkt aus der DSGVO und sind daher zu streichen.

Zu Z 4 und 6 (§§ 15 und 47 und § 89 Abs. 12 MMHmG):

Diese Regelungen treten gleichzeitig mit dem 2. Erwachsenenschutz-Gesetz, BGBl. I Nr. 59/2017, mit 1. Juli 2018 in Kraft.

Zu Z 5 (§ 34 Abs. 1 Z 2 MMHmG):

Es erfolgt eine Anpassung an die neue datenschutzrechtliche Terminologie, wonach in Abs. 1 Z 2 der bisherige Begriff „Zustimmung“ durch „Einwilligung“ (Art. 4 Z 11 DSGVO) ersetzt wird.

Zu Z 6 (§ 89 Abs. 11 MMHmG):

Die den Datenschutz betreffenden Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Art. 33 (Änderung des Sanitätergesetzes):

Zu Z 1, 2 und 4 (Inhaltsverzeichnis, §§ 2b und 64 Abs. 6 SanG):

§ 2b regelt die in den Bestimmungen des Sanitätergesetzes (SanG) vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Abs. 1 enthält jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen der Berufs- oder Tätigkeitsausübung durchzuführen sind.

Die Führung einer Dokumentation (§ 5) sowie die Rechte zur Einsicht in diese und die Aufbewahrungspflicht dienen der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Hinsichtlich der Aufbewahrungsdauer der Dokumentation besteht für die Dienstgeber jedenfalls die Verpflichtung, diese mindestens zehn Jahre nach Beendigung des Behandlungsverhältnisses aufzubewahren. Gemäß Art. 17 Abs. 3 lit. e DSGVO besteht auch nach dieser Frist, insbesondere im Hinblick auf die zivilrechtliche Verjährungsfrist, die Möglichkeit, von der Löschung zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abzusehen.

Als weitere Datenverarbeitung wird im Abs. 1 die Auskunftserteilung an Patienten/-innen und deren Vertreter/innen sowie an Angehörige anderer Gesundheitsberufe (§ 7) angeführt.

Abs. 2 enthält jene Datenverarbeitungen, die die Übermittlung personenbezogener Daten zwischen Behörden und Gerichten vorsehen.

Die Informationen zwischen den Behörden der EU-Mitgliedstaaten über gefälschte Berufsqualifikationen (§ 18 Abs. 12) und Entziehung und Wiedererteilung von Berufsberechtigungen (§ 25 Abs. 5) sowie die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 18 Abs. 13) sind im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Durchführungsverordnung (EU) 2015/983 u.a. zum Vorwarnmechanismus vorgesehen und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

Weiters erfolgt eine Übermittlung personenbezogener Daten über eine Erwachsenenvertretung für Berufsangehörige durch die Gerichte an die für die Entziehung der Berufsberechtigung zuständigen Behörden (vgl. § 25 Abs. 7). Die datenschutzrechtlichen Ermächtigungen der Gerichte und Staatsanwaltschaften in Strafsachen erfolgen auf Basis der Strafprozessordnung 1975 (StPO), BGBl. Nr. 631/1975, sodass diese nicht von den Datenschutzregelungen der Materiengesetze zu erfassen sind.

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Z 3 und 4 (§ 25 Abs. 6 und 7 und § 64 Abs. 7 SanG):

Diese Regelungen treten gleichzeitig mit dem 2. Erwachsenenschutz-Gesetz, BGBl. I Nr. 59/2017, mit 1. Juli 2018 in Kraft.

Zu Art. 34 (Änderung des Zahnärztegesetzes):

Zu Z 1 und 2 (Inhaltsverzeichnis und § 2a ZÄG):

§ 2a regelt die in den Bestimmungen des Zahnärztegesetzes (ZÄG) vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Abs. 1 enthält jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen der Berufsausübung durchzuführen sind.

Die Führung einer Dokumentation (§ 19) sowie die Einsichtsrechte und die Aufbewahrungspflicht dienen der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Hinsichtlich der Aufbewahrungsdauer der Dokumentation besteht jedenfalls die Verpflichtung, diese mindestens zehn Jahre nach Beendigung des Behandlungsverhältnisses aufzubewahren. Gemäß Art. 17 Abs. 3 lit. e DSGVO besteht auch nach dieser Frist, insbesondere im Hinblick auf die zivilrechtliche Verjährungsfrist, die Möglichkeit, von der Löschung zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abzusehen.

Bei den weiteren angeführten Datenverarbeitungen des Abs. 1 handelt es sich um

– die Auskünfte an Patienten/-innen und deren Vertreter/innen sowie an Angehörige anderer Gesundheitsberufe (§ 20),

– die Mitteilung über den/die Versicherte/n zum Zweck der Honorarabrechnung, die als Durchbrechung der Verschwiegenheitspflicht normiert ist (§ 21 Abs. 3),

– Übermittlung von Daten an Sozialversicherungsträger und an behandelnde und betreuende Einrichtungen und Personen, wobei für letztere die Einwilligung der betroffenen Person erforderlich ist (§ 21 Abs. 5).

Abs. 2 enthält jene Datenverarbeitungen, die die Verarbeitung und Übermittlung personenbezogener Daten der Österreichischen Zahnärztekammer und der Landeszahnärztekammern sowie weiterer Behörden und Gerichte vorsehen.

Die Informationen zwischen den Behörden der EU-Mitgliedstaaten über gefälschte Berufsqualifikationen (§ 9 Abs. 5, § 78 Abs. 3), über Entziehung und Wiedererteilung von Berufsberechtigungen sowie vorläufige und befristete Untersagung und Einschränkung der Berufsausübung (§ 45 Abs. 5, § 46 Abs. 7, § 47 Abs. 3, § 48 Abs. 3, § 79 Abs. 6) sowie die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 78 Abs. 3a) sind im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Durchführungsverordnung (EU) 2015/983 zum Vorwarnmechanismus vorgesehen und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

Die Verarbeitung von personenbezogenen Daten zum Zweck der Führung der Liste (§ 11) über die berufsberechtigten Angehörigen des zahnärztlichen Berufs und Dentistenberufs (Zahnärzteliste) ist eine der wesentlichen Aufgaben der gesetzlichen Berufsvertretung im übertragenen Wirkungsbereich zur Wahrung der gemeinsamen beruflichen, sozialen und wirtschaftlichen Belange der in Österreich tätigen Berufsangehörigen und zur Überwachung der Erfüllung der Berufspflichten und zur Wahrung des Berufsansehens des Zahnärztestandes und dient letztlich der Qualitätssicherung.

Auch die gegenseitige Information der innerstaatlichen Behörden über die Sperre der Ordinationsstätte sowie alle die Berufsberechtigung betreffenden behördlichen Entscheidungen (§§ 43 ff. und 79) dienen dem Schutz der öffentlichen Gesundheit und der Einleitung der entsprechend vorgesehenen behördlichen bzw. gerichtlichen Verfahren.

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Z 3 und 5 (§ 11 Abs. 2 und § 15 Abs. 2 ZÄG):

Der für die Zahnärzteliste und den Berufsausweis gewählte Begriff „Zuname“ entspricht nicht mehr der geltenden namensrechtlichen Diktion „Familienname“.

Die in Art. 7 des Deregulierungs- und Anpassungsgesetz 2016 – Inneres, BGBl. I Nr. 120/2016, vorgenommenen begrifflichen Anpassungen in den Materiengesetzen erfassen ausschließlich den bisherigen Begriff „Nachname“, nicht aber „Zuname“, sodass diese Bezeichnung nunmehr zu korrigieren ist.

Zu Z 4 (§ 11 Abs. 6 ZÄG):

In § 11 Abs. 6 wird klargestellt, dass die personenbezogenen Daten der Zahnärzteliste bis zum Ablauf von 20 Jahren nach der Streichung der Betroffenen aufzubewahren sind, wobei diese gegenüber anderen Berufslisten längere Aufbewahrungsfrist insbesondere im Hinblick auf die Wahrung der Interessen pensionierter Zahnärzte/-innen, ihrer Angehörigen und Hinterbliebenen (vgl. § 19 Abs. 4 Z 2 ZÄKG) erforderlich ist. Danach sind die Daten zu löschen. Sofern für statistische Zwecke oder Forschungszwecke eine längerfristige Weiterverarbeitung erforderlich ist, kann vor Löschung der personenbezogenen Daten eine Pseudonymisierung erfolgen.

Zu Z 6 bis 9 (§§ 19 und 21 ZÄG):

Es erfolgt eine Anpassung an die neue datenschutzrechtliche Terminologie, wonach der bisherige „Auftraggeber“ durch „Verantwortlicher“ (Art. 4 Z 7 DSGVO), der bisherige „Dienstleister“ durch „Auftragsverarbeiter“ (Art. 4 Z 8 DSGVO) sowie der bisherige Begriff „Zustimmung“ durch „Einwilligung“ (Art. 4 Z 11 DSGVO) ersetzt werden.

Die Regelung des bisherigen § 21 Abs. 4 ist hinsichtlich des ersten Satzes durch den neuen § 2a abgedeckt, der Inhalt des zweiten Satzes ergibt sich bereits direkt aus der DSGVO. Abs. 4 ist daher zu streichen, und in Abs. 5 ist der Verweis anzupassen.

Zu Z 10 und 11 (§ 79 Abs. 7 und 8 und § 90 Abs. 10 ZÄG):

Um sicherzustellen, dass die für die Entziehung der Berufsberechtigungen zuständigen Behörden zeitnah über den Beginn und den Abschluss von Strafverfahren gegen Berufsangehörige informiert werden, um die allenfalls erforderlichen berufsrechtlichen Schritte in die Wege leiten zu können, wird eine Informationspflicht der Staatsanwaltschaften und Gerichte an die für die Entziehung der Berufsberechtigung zuständigen Behörden betreffend anhängige Ermittlungs- und Strafverfahren von Berufsangehörigen der Zahnärztlichen Assistenz normiert, die den bereits geltenden Regelungen im Ärzte-, Zahnärzte- und Hebammenrecht entspricht. Die Informationspflicht gilt für alle in Frage kommenden Strafverfahren. Die Beurteilung, ob und welche berufsrechtlichen Maßnahmen im Rahmen ihres Ermessens zu ergreifen sind, obliegt den für die Entziehung der Berufsberechtigung zuständigen Behörden.

Entsprechend den Regelungen im Ärzte-, Zahnärzte- und Hebammenrecht wird auch eine Informationspflicht der Gerichte über eine Erwachsenenvertretung für eine/n Berufsangehörige/n der Zahnärztlichen Assistenz normiert, da auf Grund dieser Maßnahmen ebenfalls eine Entziehung der Berufsberechtigung im Hinblick auf das Vorliegen der gesundheitlichen Eignung bzw. der Geschäfts- bzw. Entscheidungsfähigkeit zu prüfen ist. Von dieser Informationspflicht sind sowohl Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung gemäß § 117 ff. Außerstreitgesetz, BGBl. I Nr. 111/2003, einschließlich der Bestellung einer einstweiligen Erwachsenenvertretung (§ 120 AußStrG), als auch die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis (§§ 267 und 270 ABGB) erfasst.

Diese Regelungen treten gleichzeitig mit dem 2. Erwachsenenschutz-Gesetz, BGBl. I Nr. 59/2017, mit 1. Juli 2018 in Kraft.

Zu Z 11 (§ 90 Abs. 9 ZÄG):

Die den Datenschutz betreffenden Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Art. 35 (Änderung des Zahnärztekammergesetzes):

Zu Z 1 bis 5 (Inhaltsverzeichnis und § 6 ZÄKG):

Die Überschrift des § 6 wird an die datenschutzrechtliche Terminologie angepasst (Art. 4 Z 2 DSGVO).

In Abs. 1 werden die bisherigen Verweise auf die datenschutzrechtlichen Grundlagen der DSGVO und des DSG aktualisiert sowie dem umfassenden Begriff der „Verarbeitung“ gemäß Art. 4 Z 2 DSGVO Rechnung getragen.

In Abs. 3 werden für die in Abs. 1 angeführten Datenverarbeitungen entsprechend Art. 23 DSGVO folgende Rechte und Pflichten ausgeschlossen:

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

So wäre beispielsweise im Falle eines Rechts auf Einschränkung und auf Widerspruch die Durchführung der der Standesvertretung gesetzlich übertragenen Aufgaben nach diesem Bundesgesetz von vornherein wesentlich beeinträchtigt. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Verwaltungsaufwand verursachen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Z 6 und 7 (§§ 7 und 9 ZÄKG):

Im Rahmen der Regelungen über die Amtshilfe (§ 7) sind umfassende gegenseitige Informationsrechte und -pflichten zwischen den innerstaatlichen Behörden zur Unterstützung bei der Erfüllung ihrer gesetzlich übertragenen Aufgaben vorgesehen, die die verfassungsrechtlich verankerte Amtshilfe gemäß Art. 22 B‑VG spezifizieren (Abs. 1 bis 3).

Was die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen sowie der grenzüberschreitenden Gesundheitsversorgung zwischen den Behörden der EU-Mitgliedstaaten (§ 7 Abs. 4 und 5) betrifft, so sind diese im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung verankert und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

§ 9 sieht Informationsverpflichtungen der Staatsanwaltschaften und Gerichte an die Österreichische Zahnärztekammer hinsichtlich Strafverfahren gegen und eine Erwachsenenvertretung für Angehörige des zahnärztlichen Berufs und Dentistenberufs vor.

Hinsichtlich der in §§ 7 und 9 angeführten Datenverarbeitungen werden entsprechend Art. 23 DSGVO die Rechte und Pflichtengemäß Art. 13, 14, 18 und 21 insbesondere zur Sicherstellung des Schutzes der öffentlichen Gesundheit und zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe ausgeschlossen.

So wäre beispielsweise im Falle eines Rechts auf Einschränkung und auf Widerspruch die Besorgung der gesetzlichen Aufgaben der betroffenen Behörden von vornherein wesentlich beeinträchtigt. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Aufwand verursachen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Z 8 und 10 bis 12 (§§ 38, 53, 54 und 69 ZÄKG):

Für eine geordnete Durchführung der Wahlen der Organe der Landeszahnärztekammern und der Österreichischen Zahnärztekammer sowie der Patientenschlichtungsverfahren, der kollegialen Schlichtungsverfahren und der Disziplinarverfahren ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss der genannten Rechte und Pflichten gemäß DSGVO für die im Rahmen dieser gesetzlich vorgesehenen Verfahren verarbeiteten personenbezogenen Daten vorzusehen. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Aufwand verursachen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Allfällig erforderliche Regelungen über die Aufbewahrung von personenbezogenen Daten in Patientenschlichtungsverfahren sowie Kollegialen Schlichtungsverfahren könnten in den entsprechenden Schlichtungsordnungen der Österreichischen Zahnärztekammer getroffen werden.

Zu Z 9 (§ 50 ZÄKG):

Für eine geordnete Durchführung der Qualitätsevaluierung durch die Einrichtung für Qualitätssicherung gemäß § 50 ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss der genannten Rechte und Pflichten gemäß DSGVO für die im Rahmen der gesetzlich vorgesehenen Qualitätsevaluierung der zahnärztlichen Berufsangehörigen verarbeiteten personenbezogenen Daten vorzusehen. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Aufwand verursachen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Für die Weiterverarbeitung der angeführten Daten zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken sind diese im Sinne des Art. 89 DSGVO so zu übermitteln, dass sie für den/die Empfänger/in pseudonymisierte personenbezogene Daten sind und der/die Empfänger/in die Identität des/der Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann, sofern der Personenbezug für die Durchführung einer statistischen Erhebung nicht unerlässlich ist. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können einzelne Rechte des/der Betroffenen unter den Voraussetzungen des Art. 89 Abs. 2 DSGVO ausgeschlossen werden.

Zu Z 13 (§ 126 Abs. 11 ZÄKG):

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Art. 36 (Änderung des Gesundheitsberuferegister-Gesetzes):

Zu Z 1 und 6 bis 9 (Inhaltsverzeichnis und § 9 GBRG):

Die Überschrift des § 9 wird an die datenschutzrechtliche Terminologie angepasst (Art. 4 Z 2 DSGVO).

In § 9 Abs. 1 erfolgt eine Klarstellung, dass nicht nur die Gesundheit Österreich GmbH, sondern auch die Bundesarbeitskammer und die Arbeiterkammern als Registrierungsbehörden (vgl. § 4) ermächtigt sind, im Rahmen ihrer gesetzlichen Aufgaben die entsprechenden personenbezogenen Daten zu verarbeiten.

Abs. 1a entspricht dem bisherigen Abs. 1 Z 2 mit der Klarstellung, dass die Übermittlung von öffentlichen Daten an Dritte auf deren Verlangen und Kosten erfolgt.

In Abs. 4 werden für die in Abs. 1 und 1a angeführten Datenverarbeitungen entsprechend Art. 23 DSGVO folgende Rechte und Pflichten ausgeschlossen:

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

So wäre beispielsweise im Falle eines Rechts auf Einschränkung und auf Widerspruch die Besorgung der Aufgaben nach diesem Bundesgesetz von vornherein wesentlich beeinträchtigt und eine geordnete Führung des Registers nicht mehr möglich. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Verwaltungsaufwand verursachen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Z 2 bis 4 (§ 4 Abs. 3 und § 5 Abs. 2 und 3 GBRG):

Es erfolgt eine Anpassung an die neue datenschutzrechtliche Terminologie, wonach der bisherige „Auftraggeber“ durch „Verantwortlicher“ (Art. 4 Z 7 DSGVO) und der bisherige „Dienstleister“ durch „Auftragsverarbeiter“ (Art. 4 Z 8 DSGVO) ersetzt werden. Weiters werden die bisherigen Verweise aktualisiert.

Zu Z 5 (§ 6 Abs. 2 Z 19 GBRG):

Es erfolgt eine redaktionelle Anpassung an die Novelle BGBl. I Nr. 54/2017 im Hinblick auf den Wegfall der Unterbrechung der Berufsausübung.

Zu Z 10 (§ 10 Abs. 6 GBRG):

Im Rahmen der Regelungen über die Amtshilfe sind umfassende gegenseitige Informationsrechte und -pflichten zwischen den innerstaatlichen Behörden zur Unterstützung bei der Erfüllung ihrer gesetzlich übertragenen Aufgaben vorgesehen, die die verfassungsrechtlich verankerte Amtshilfe gemäß Art. 22 B‑VG spezifizieren (Abs. 1 und 2).

Was die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen sowie der grenzüberschreitenden Gesundheitsversorgung (Abs. 3 und 4) sowie die Information über die Entziehung und Wiedererteilung von Berufsberechtigungen (Abs. 5) zwischen den Behörden der EU-Mitgliedstaaten betrifft, so sind diese im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und der Durchführungsverordnung (EU) 2015/983 zum Europäischen Berufsausweis und zum Vorwarnmechanismus sowie der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung verankert und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

Hinsichtlich der in Abs. 1 bis 5 angeführten Datenverarbeitungen werden entsprechend Art. 23 DSGVO die Rechte und Pflichtengemäß Art. 13, 14, 18 und 21 insbesondere zur Sicherstellung des Schutzes der öffentlichen Gesundheit und zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe ausgeschlossen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Z 11 (§ 15 Abs. 8 und § 26 Abs. 3 GBRG):

Es erfolgt eine Anpassung an die neue datenschutzrechtliche Terminologie, wonach die bisherige „Zustimmung“ durch „Einwilligung“ ersetzt wird (Art. 4 Z 11 DSGVO).

Zu Z 12 (§ 25 Abs. 1 GBRG):

Im Zusammenhang mit schwerwiegenden Vorfällen in einem Pflegeheim hat sich gezeigt, dass Dienstgeber nicht ausreichend über das Bestehen oder Nichtbestehen einer Berufsberechtigung informiert sind. Auch wenn die Daten des Gesundheitsberuferegisters öffentlich sein werden, ist es zwar bei der Begründung eines Dienstverhältnisses zumutbar, im öffentlichen Register die Berufsberechtigung zu überprüfen, allerdings ist eine laufende Überprüfung bestehender Berufsberechtigungen durch den Dienstgeber nicht zumutbar und realisierbar. Derzeit informieren die Registrierungsbehörden den Dienstgeber über das Auslaufen der Gültigkeit der Registrierung. Darüber hinaus besteht derzeit keine Rechtsgrundlage für eine Information des Dienstgebers durch die Registrierungsbehörden, insbesondere nicht über den Status der Registrierung. Zukünftig wird eine entsprechende Informationspflicht der Gesundheit Österreich GmbH als registerführende Stelle bei Streichung aus dem Gesundheitsberuferegister normiert, sofern die Streichung Folge einer Entziehung der Berufsberechtigung nach den berufsrechtlichen Vorschriften ist.

Zu Z 13 (§ 29 Abs. 5 und 6 GBRG):

Die Änderungen jener Bestimmungen des GBRG, die bereits in Kraft getreten sind, gelten ab 25. Mai 2018 (Abs. 5).

Die übrigen Bestimmungen treten in der geänderten Fassung mit deren Wirksamwerden am 1. Juli 2018 in Kraft (Abs. 6).

Zu Art. 37 (Änderung des IVF-Fonds-Gesetzes):

Zu Z 1 bis 3 und 7 (§ 4 Abs. 4, 4a und 6 sowie § 9 Abs. 2 IVF-Fonds-Gesetz):

In § 4 Abs. 4 Z 3 und § 4 Abs. 6 erfolgt eine Klarstellung im Hinblick auf den Kreis der Anspruchsberechtigten. So besteht zukünftig Anspruch auf Mitfinanzierung nur mehr dann, wenn zusätzlich zu den bestehenden Voraussetzungen zumindest ein Partner des Paares den Hauptwohnsitz in Österreich hat. Die Selbstzahlerregelung des Abs. 6 wird EU-konform präzisiert.

In § 4 Abs. 4a Z 7 erfolgt eine Anpassung an die geänderten asylrechtlichen Bestimmungen.

Versuche können noch bis 30. September 2018 nach der bisherigen Rechtslage begonnen werden.

Zu Z 4 (§ 7 Abs. 2 IVF-Fonds-Gesetz):

Im Zusammenhang mit der Führung des IVF-Fonds-Registers wird klargestellt, dass der Fonds Verantwortlicher und die Gesundheit Österreich GmbH Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung ist.

Zu Z 5 (§ 7 Abs. 4 IVF-Fonds-Gesetz):

Es erfolgt eine Anpassung an die neue datenschutzrechtliche Terminologie, wonach der bisherige Begriff „indirekt personenbezogen“ durch „pseudonymisiert“ ersetzt wird (Art. 4 Z 5 DSGVO).

Zu Z 6 (§ 7 Abs. 10 und 11 IVF-Fonds-Gesetz):

Es werden für die in Abs. 3 und 5 angeführten Datenverarbeitungen entsprechend Art. 23 DSGVO folgende Rechte und Pflichten ausgeschlossen:

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

So wäre beispielsweise im Falle eines Rechts auf Einschränkung und auf Widerspruch die Besorgung der Aufgaben nach diesem Bundesgesetz von vornherein wesentlich beeinträchtigt und eine geordnete Führung des IVF-Fonds-Registers nicht mehr möglich. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Verwaltungsaufwand verursachen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Abs. 11 regelt die Weiterverarbeitung der angeführten Daten zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken. Im Sinne des Art. 89 DSGVO sind die Daten so zu übermitteln, dass sie für den/die Empfänger/in pseudonymisierte personenbezogene Daten sind und der/die Empfänger/in die Identität des/der Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann, sofern der Personenbezug für die Durchführung einer statistischen Erhebung nicht unerlässlich ist. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können einzelne Rechte des/der Betroffenen unter den Voraussetzungen des Art. 89 Abs. 2 DSGVO ausgeschlossen werden.

Zu Z 8 (§ 10 Abs. 2 und 3 IVF-Fonds-Gesetz):

Die Änderungen aus datenschutzrechtlicher Sicht sollen mit 25. Mai 2018 in Kraft treten.

Die Änderungen im Zusammenhang mit den Anspruchsvoraussetzungen treten mit 1. Oktober 2018 in Kraft, um eine rechtskonforme Information der Patienten/-innen sicherzustellen.

Zu Art. 38 (Änderung des Fortpflanzungsmedizingesetzes):

Zu Z 1 bis 3 und 4 (Inhaltsverzeichnis, §§ 15, 19 und 26 FMedG):

Die nachträgliche Überprüfung von Entgegennahme und Verwendung von Spenden gemäß § 15 setzt eine lückenlose Dokumentation voraus. In § 15 Abs. 3 wird daher geregelt, dass die Aufzeichnungen über dritte Personen, die Samen oder Eizellen zur Verfügung stellen bzw. über jene Paare, für die Samen oder Eizellen verwendet worden sind, auf Dauer aufzubewahren sind. So soll damit insbesondere das grundrechtlich bedeutende Auskunftsrecht der mit dem Samen oder den Eizellen einer dritten Person gezeugten Kinder nach § 20 FMedG gewahrt werden.

§ 19 regelt die in den Bestimmungen des Fortpflanzungsmedizingesetzes (FMedG) vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Abs. 1 enthält jene Datenverarbeitungen, die durch den Arzt/die Ärztin zur Erfüllung seiner Berufspflichten im Rahmen einer medizinisch unterstützten Fortpflanzung durchzuführen sind. Diese Datenverarbeitungen sollen die allenfalls erforderliche Überwachung und Nachprüfung der medizinisch unterstützten Fortpflanzung ermöglichen.

Abs. 2 enthält jene Datenverarbeitungen, die Rechtsträger von Krankenanstalten zur Erfüllung ihrer gesetzlich übertragenen Aufgaben durchzuführen haben.

– Art. 13 und 14: Informationspflichten des/der Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b, c und e DSGVO ausgeschlossen, da die Datenverarbeitung einerseits zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht, andererseits aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Die Änderungen treten mit 25. Mai 2018 in Kraft.

Zu Art. 39 (Änderung des Ärztegesetzes 1998):

Zu Z 1 und 17 (§§ 3b und 239 ÄrzteG 1998):

§ 3b regelt die in den Bestimmungen des Ärztegesetzes 1998 (ÄrzteG 1998) sowie der gemäß dem ÄrzteG 1998 erlassenen Verordnungen vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Auch wenn die Verpflichtung zur Einhaltung der DSGVO und des DSG sich bereits aus deren unmittelbaren Anwendbarkeit ergibt, sind Spezifizierungen für diese Datenflüsse im Hinblick auf die Beschränkung von Rechten und Pflichten nach der DSGVO sowie die Weiterverarbeitung zu wissenschaftlichen und historischen Forschungszwecken oder statistischen Zwecken erforderlich.

Zu den in Abs. 1 genannten Zwecken zählen insbesondere jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen ihrer Berufsausübung durchzuführen sind. Die Führung einer Dokumentation sowie die Rechte zur Einsicht in diese und die Aufbewahrungspflicht dienen der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Weitere Datenverarbeitungen betreffen beispielsweise die Mitteilung über die Versicherte/den Versicherten zum Zweck der Honorarabrechnung, die als Durchbrechung der Verschwiegenheitspflicht normiert ist, die Übermittlung personenbezogener Daten zwischen Österreichischer Ärztekammer, Ärztekammern in den Bundesländern, Österreichischer Akademie der Ärzte, Österreichischer Gesellschaft für Qualitätssicherung & Qualitätsmanagement in der Medizin GmbH und Lehr(gruppen)praxisinhabern sowie die Übermittlung personenbezogener Daten zwischen Behörden, einschließlich Gerichten und Staatsanwaltschaften.

Die Führung einer Dokumentation sowie die Einsichtsrechte und die Aufbewahrungspflicht dienen der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Hinsichtlich der Aufbewahrungsdauer der Dokumentation besteht jedenfalls die Verpflichtung, diese mindestens zehn Jahre nach Beendigung des Behandlungsverhältnisses aufzubewahren. Gemäß Art. 17 Abs. 3 lit. e DSGVO besteht auch nach dieser Frist, insbesondere im Hinblick auf die zivilrechtliche Verjährungsfrist, die Möglichkeit, von der Löschung zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abzusehen.

Die Informationen über gefälschte Berufsqualifikationen und Entziehung und Wiedererteilung von Berufsberechtigungen, die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen und die Durchführung von Verfahren über den Europäischen Berufsausweis (EPC) zwischen den Behörden der EU-Mitgliedstaaten sind im Unionsrecht auf Grund der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen und die Durchführungsverordnung (EU) 2015/983 zum Europäischen Berufsausweis und zum Vorwarnmechanismus vorgesehen und erfolgen im Wege des Binnenmarktinformationssystems (IMI).

In Abs. 2 werden für die Verarbeitung personenbezogener Daten entsprechend Art. 23 DSGVO folgende Rechte und Pflichten insbesondere zur Sicherstellung des Schutzes der öffentlichen Gesundheit und zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe ausgeschlossen:

– Art. 13 und 14: Informationspflichten der/des Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht der/des Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht der/des Betroffenen.

So wäre beispielsweise im Falle eines Rechts auf Einschränkung und auf Widerspruch die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und eine geordnete Durchführung der gesetzlich geregelten Aufgaben nicht mehr möglich. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Aufwand verursachen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Abs. 3 regelt die Weiterverarbeitung der angeführten Daten zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken. Im Sinne des Art. 89 DSGVO sind die Daten so zu übermitteln, dass sie für die Empfängerin/den Empfänger pseudonymisierte personenbezogene Daten sind und die Empfängerin/der Empfänger die Identität der/des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann, sofern der Personenbezug für die Durchführung einer statistischen Erhebung nicht unerlässlich ist. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können einzelne Rechte der/des Betroffenen unter den Voraussetzungen des Art. 89 Abs. 2 DSGVO ausgeschlossen werden.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Z 2 (§ 27 Abs. 1 ÄrzteG 1998):

§ 27 enthält die grundlegenden Regeln für die Führung der Ärzteliste durch die Österreichische Ärztekammer in Zusammenarbeit mit den Ärztekammern in den Bundesländern. Die Listenführung hat elektronisch zu erfolgen.

Zu Z 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15 und 16 (§§ 51 Abs. 2 und 4, 54 Abs. 3, 66b Abs. 1,2 und 3 sowie 117d Abs. 1, 2 und 3 ÄrzteG 1998):

Es erfolgt eine Anpassung an die neue datenschutzrechtliche Terminologie, wonach beispielsweise die bisherige „Zustimmung“ durch „Einwilligung“ (Art. 4 Z 11 DSGVO), der bisherige „Auftraggeber“ durch „Verantwortlicher“ (Art. 4 Z 7 DSGVO) und der bisherige „Dienstleister“ durch „Auftragsverarbeiter“ (Art. 4 Z 8 DSGVO) ersetzt werden. In § 54 Abs. 3 dritter Satz kann das Wort „anonymen“ ersatzlos entfallen, da der zweite Satz klarstellt, dass es sich um Daten handelt, in welchen Betroffene weder bestimmt werden können noch mit hoher Wahrscheinlichkeit bestimmbar sind. Weiters werden die Überschriften der §§ 66b und 117d an die neue datenschutzrechtliche Terminologie angepasst (Art. 4 Z 2 DSGVO) sowie bisherige Verweise in §§ 66b Abs. 3 und 117d Abs. 3 aktualisiert. Die Ärztekammern sind ex lege zum Betrieb des Wohlfahrtsfonds berufen, dieser umfasst auch Zahnärzte. Die Ermächtigung des § 66b Abs. 1 Z 1 ÄrzteG 1998 regelt nunmehr ausdrücklich die Verarbeitung der Daten von Zahnärzten im Bereich des Wohlfahrtsfonds.

Zu Art. 40 (Änderung des Bundesgesetzes über die Durchführung von ästhetischen Behandlungen und Operationen):

Zu Z 1, 2 und 3 (Inhaltsverzeichnis, §§ 2a und 13 ÄsthOpG):

§ 2a Abs. 1 regelt die in den Bestimmungen des ÄsthOpG vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

– Art. 13 und 14: Informationspflichten der/des Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht der/des Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht der/des Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Art. 41 (Änderung des Musiktherapiegesetzes):

Zu Z 1, 2 und 5 (Inhaltsverzeichnis, §§ 3a und 39 Abs. 4 MuthG):

§ 3a regelt die in den Bestimmungen des Musiktherapiegesetzes (MuthG) sowie der gemäß dem MuthG erlassenen Verordnungen vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Auch wenn die Verpflichtung zur Einhaltung der DSGVO und des DSG sich bereits aus deren unmittelbaren Anwendbarkeit ergibt, sind Spezifizierungen für diese Datenflüsse im Hinblick auf die Beschränkung von Rechten und Pflichten nach der DSGVO sowie die Weiterverarbeitung zu wissenschaftlichen und historischen Forschungszwecken oder statistischen Zwecken erforderlich.

– Art. 13 und 14: Informationspflichten der/des Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht der/des Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht der/des Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Z 3 (§ 19 Abs. 4 MuthG):

In § 19 Abs. 4 wird klargestellt, dass die personenbezogenen Daten der Musiktherapeutenliste bis zum Ablauf von zehn Jahren nach der Streichung der Betroffenen aufzubewahren sind. Danach sind die Daten zu löschen. Sofern für statistische Zwecke oder Forschungszwecke eine längerfristige Weiterverarbeitung erforderlich ist, kann vor Löschung der personenbezogenen Daten eine Pseudonymisierung erfolgen.

Zu Z 4 (§ 30 Abs. 3 MuthG):

Der Begriff der Verarbeitung im Sinne des Art. 4 Z 2 DSGVO erfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Aufgrund der unmittelbaren Geltung der DSGVO im innerstaatlichen Recht und der gesetzlich normierten Verarbeitung personenbezogener Daten zu Zwecken der Dokumentation, kann Abs. 3 ersatzlos entfallen.

Zu Art. 42 (Änderung des Psychologengesetzes 2013):

Zu Z 1, 2 und 6 (Inhaltsverzeichnis, §§ 3a und § 50 Abs. 7 Psychologengesetz 2013):

§ 3a regelt die in den Bestimmungen des Psychologengesetzes 2013 vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Auch wenn die Verpflichtung zur Einhaltung der DSGVO und des DSG sich bereits aus deren unmittelbaren Anwendbarkeit ergibt, sind Spezifizierungen für diese Datenflüsse im Hinblick auf die Beschränkung von Rechten und Pflichten nach der DSGVO sowie die Weiterverarbeitung zu wissenschaftlichen und historischen Forschungszwecken oder statistischen Zwecken erforderlich.

Zu den in Abs. 1 genannten Zwecken zählen insbesondere jene Datenverarbeitungen, die durch die Berufsangehörigen zur Erfüllung ihrer Berufspflichten im Rahmen ihrer Berufsausübung durchzuführen sind. Die Führung einer Dokumentation sowie die Rechte zur Einsicht in diese und die Aufbewahrungspflicht dienen der qualitätsgesicherten Berufsausübung, dem Patientenschutz sowie der Beweissicherung zur Wahrnehmung von Rechtsansprüchen. Weitere Datenverarbeitungen betreffen beispielsweise die Führung der Liste der Gesundheitspsychologinnen und Gesundheitspsychologen sowie der Klinischen Psychologinnen und Klinischen Psychologen durch die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz und die Übermittlung personenbezogener Daten zwischen Behörden, einschließlich Gerichten und Staatsanwaltschaften.

– Art. 13 und 14: Informationspflichten der/des Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht der/des Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht der/des Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Z 3 und 4 (§§ 17 Abs. 6 und 26 Abs. 6 Psychologengesetz 2013):

In § 17 Abs. 6 und § 26 Abs. 6 wird klargestellt, dass die personenbezogenen Daten der Liste der Gesundheitspsychologinnen und Gesundheitspsychologen sowie der Klinischen Psychologinnen und Klinischen Psychologen bis zum Ablauf von zehn Jahren nach der Streichung der Betroffenen aufzubewahren sind. Danach sind die Daten zu löschen. Sofern für statistische Zwecke oder Forschungszwecke eine längerfristige Weiterverarbeitung erforderlich ist, kann vor Löschung der personenbezogenen Daten eine Pseudonymisierung erfolgen.

Zu Z 5 (§ 35 Abs. 3 Psychologengesetz 2013):

Aufgrund der Tatsache, dass sich das Recht der Betroffenen/des Betroffenen auf Berichtigung aus Art. 16 DSGVO ergibt, soll das sich aus § 35 Abs. 3 ergebende Recht auf Richtigstellung unrichtiger Daten entfallen, ohne dass dies eine Beschränkung dieses Betroffenenrechts zur Folge hat.

Zu Art. 43 (Änderung des Psychotherapiegesetzes):

Zu Z 1, 2 und 6 (Inhaltsverzeichnis, §§ 1b und 27 Abs. 5 Psychotherapiegesetz):

§ 1b regelt die in den Bestimmungen des Psychotherapiegesetzes vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

Auch wenn die Verpflichtung zur Einhaltung der DSGVO und des DSG sich bereits aus deren unmittelbaren Anwendbarkeit ergibt, sind Spezifizierungen für diese Datenflüsse im Hinblick auf die Beschränkung von Rechten und Pflichten nach der DSGVO sowie die Weiterverarbeitung zu wissenschaftlichen und historischen Forschungszwecken oder statistischen Zwecken erforderlich.

– Art. 13 und 14: Informationspflichten der/des Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht der/des Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht der/des Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Z 3 (§ 16a Abs. 3 Psychotherapiegesetz):

Aufgrund der Tatsache, dass sich das Recht der Betroffenen/des Betroffenen auf Berichtigung aus Art. 16 DSGVO ergibt, soll das sich aus § 16a Abs. 3 ergebende Recht auf Richtigstellung unrichtiger Daten entfallen, ohne dass dies eine Beschränkung dieses Betroffenenrechts zur Folge hat.

Zu Z 4 und 5 (§17 Abs. 1 und 7 Psychotherapiegesetz):

§ 17 enthält die grundlegenden Regeln für die Führung der Psychotherapeutenliste durch die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz. Die Listenführung hat elektronisch zu erfolgen.

In § 17 Abs. 7 wird klargestellt, dass die personenbezogenen Daten der Psychotherapeutenliste bis zum Ablauf von zehn Jahren nach der Streichung der Betroffenen aufzubewahren sind. Danach sind die Daten zu löschen. Sofern für statistische Zwecke oder Forschungszwecke eine längerfristige Weiterverarbeitung erforderlich ist, kann vor Löschung der personenbezogenen Daten eine Pseudonymisierung erfolgen.

Zu Art. 44 (Änderung des EWR-Psychologengesetzes):

Zu Z 1 und 2 (§§ 12a und 15 Abs. 3 EWR-Psychologengesetz):

§ 12a Abs. 1 regelt die in den Bestimmungen des EWR-Psychologengesetzes sowie der gemäß dem EWR-Psychologengesetz erlassenen Verordnungen vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

– Art. 13 und 14: Informationspflichten der/des Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht der/des Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht der/des Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Art. 45 (Änderung des EWR-Psychotherapiegesetzes):

Zu Z 1 und 2 (§§ 12a und 15 Abs. 3 EWR-Psychotherapiegesetz):

§ 12a Abs. 1 regelt die in den Bestimmungen des EWR-Psychotherapiegesetzes sowie der gemäß dem EWR-Psychotherapiegesetz erlassenen Verordnungen vorgesehenen Datenverarbeitungen, nämlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren (vgl. Art. 4 Z 2 DSGVO).

– Art. 13 und 14: Informationspflichten der/des Verantwortlichen bei der Erhebung von personenbezogenen Daten,

– Art. 18: Recht der/des Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht der/des Betroffenen.

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Art. 46 (Änderung des Arzneimittelgesetzes):

Zu den Z 1, 3, 5, 7, 9, 12, 13, 14, 14, 16, 17 (§§ 36 Z 8, 39 Abs. 3 Z 2, 43a Abs. 3, 46 Abs. 3 und 5, 75g Abs. 2, 80 Abs. 1 bis 4 und 82d Abs. 2):

Hiebei handelt es sich um terminologische Anpassungen.

Zu Z 2 (§§ 36 Z 8a bis 8c):

Da der Sponsor die Daten der an seiner klinischen Prüfung teilnehmenden Prüfungsteilnehmer vom Prüfer nur in pseudonymisierter Form übermittelt erhält, kann er bestimmte Betroffenenrechte nach der Datenschutz-Grundverordnung nicht erfüllen. Diese Verpflichtungen werden daher den Prüfern überbunden. Dies betrifft auch die Verpflichtung, den Prüfungsteilnehmer zu informieren, wenn es zur Verletzung des Schutzes personenbezogener Daten des Prüfungsteilnehmers in der Einflusssphäre des Prüfers gekommen ist. Daneben ist darüber auch der Sponsor zu informieren.

Zu Z 4 (§ 39 Abs. 3a bis 3c):

Die Verordnung (EU) Nr. 536/2014 über klinische Prüfungen von Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG regelt in ihrem Art. 28 Abs. 3 die weitere Datenverwendung bei dem Widerruf der erteilten Einwilligung in die Teilnahme an einer klinischen Prüfung in dem Sinne, dass der Widerruf der Einwilligung auf die Verarbeitung der auf Grundlage der Einwilligung (bis zum Widerruf) erhobenen Daten keinen Einfluss hat. Dies wird hier zur Klarstellung nachvollzogen. Allerdings muss im Rahmen der Aufklärung auf diese Rechtsfolge hingewiesen werden.

Das Forschungsorganisationgesetz (FOG) (vgl. die Regierungsvorlage 68 BlgNR XXVI. GP) ist einerseits speziellere Norm gegenüber dem Datenschutzgesetz, geht aber Spezialgesetzen (zB Arzneimittelgesetz) nach, sofern diese spezifischere Bestimmungen vorsehen. Ist dies nicht der Fall, kommen die einschlägigen Regelungen des FOG zur Anwendung. Für die Frage der Weiterverarbeitung von Daten aus einer klinischen Prüfung für andere wissenschaftliche Zwecke gilt § 2d Abs. 3 FOG. Angemerkt sei hier, dass sich Abs. 3b auf den datenschutzrechtlichen Aspekt bezieht, die Verpflichtung zur Einholung der Einwilligung zur Teilnahme an einer klinischen Prüfung bleibt davon unberührt.

Derzeit bestehen keine direkten Regelungen für die datenschutzrechtliche Einwilligung im Rahmen einer Nicht-interventionellen Studie. Im Sinne der Rechtssicherheit wird klargestellt, dass die Abs. 3a und 3b des § 39 auch für Nicht-interventionelle Studien gelten sollen.

Zu Z 6 (§ 43a Abs. 5):

Aus der Praxis wurde das Anliegen herangetragen, klarzustellen, wie mit den bis dahin erhobenen Daten umzugehen ist, wenn der Prüfungsteilnehmer einer klinischen Prüfung in einer Notfallsituation verstirbt, bevor er seine Einwilligung nach Aufklärung geben kann (und auch kein gesetzlicher Vertreter vorhanden ist, der nach Abs. 4 einwilligen könnte). Diesem Anliegen wird nachgekommen und klargestellt, dass die bis dahin verarbeiteten Daten für die Zwecke dieser klinischen Prüfung verwendet werden dürfen.

Zu Z 8 (§ 46 Abs. 4a):

Das Recht auf Löschung ist ausgeschlossen, wenn die Verarbeitung erforderlich ist, um u.a. hohe Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten sicherzustellen (Art. 17 Abs. 3 lit. c in Verbindung mit Art. 9 Abs. 2 lit. i Datenschutz-Grundverordnung). Da durch die Löschung von im Rahmen einer klinischen Prüfung zulässigerweise verarbeiteter Daten die Studienergebnisse erheblich verfälscht würden bzw. diese Möglichkeit zu diesem Zweck auch missbräuchlich verwendet werden könnte, ist es im Sinne der Patientensicherheit (die Zulassung von Arzneimitteln soll nur auf Basis valider und vollständiger Daten erfolgen) unumgänglich, das Recht auf Löschung auszuschließen. Wenn bereits ein Abschlussbericht entsprechend den Anforderungen der Verordnung (EU) Nr. 536/2014 erstellt wurde (und auf der Homepage der Europäischen Arzneimittelagentur veröffentlicht wurde), können darin verwertete Daten überhaupt nicht mehr unberücksichtigt bleiben.

Zu Z 10 und 11 (§ 67 Abs. 7 und 8):

Die Richtlinie (EU) 2017/1572 zur Ergänzung der Richtlinie 2001/83/EG hinsichtlich der Grundsätze und Leitlinien der Guten Herstellungspraxis für Humanarzneimittel ist in nationales Recht umzusetzen. Dies erfolgt im Wesentlichen durch eine Novelle zur Arzneimittelbetriebsordnung. Zwei Punkte, die Verpflichtungen der zuständigen nationalen Behörden betreffen, finden dort keinen Platz und sollen daher ins Arzneimittelgesetz aufgenommen werden. Dies betrifft Art. 3 Abs. 2 und 3 der genannten Richtlinie und die Anpassungen sollen im Abschnitt VI (Betriebsvorschriften) des Arzneimittelgesetzes erfolgen.

Zu Z 17 (95 Abs. 15 und 16):

Vor dem 25. Mai 2018 im Zuge einer klinischen Prüfung eingeholte datenschutzrechtliche Einwilligungen müssen nicht erneuert werden. Abs. 16 enthält die Bestimmungen über das Inkrafttreten.

Zu Z 18 (§ 97 Z 31):

Hier werden die Umsetzungshinweise ergänzt.

Zu Art. 47 (Änderung des Blutsicherheitsgesetzes 1999):

Grundsätzlich sei festgehalten, dass die Blutspendeeinrichtungen bestimmte Dokumentationspflichten nach diesem Bundesgesetz treffen. Dazu wird auch der Aufbewahrungszeitraum festgelegt. Für diesen gesetzlich normierten Aufbewahrungszeitraum ist das Recht auf Löschung (Art. 17 der Datenschutz-Grundverordnung) daher ausgeschlossen.

Zu Z 1 (§ 21 Z 3):

Hiebei handelt es sich um eine terminologische Anpassung.

Zu Z 2 (§ 29 Abs. 7):

Enthält die Bestimmungen über das Inkrafttreten.

Zu Art. 48 (Änderung des Gewebesicherheitsgesetzes):

Grundsätzlich sei festgehalten, dass sowohl die Entnahmeeinrichtungen als auch die Gewebebanken und die Anwender bestimmte Dokumentationspflichten nach diesem Bundesgesetz treffen. Dazu wird auch der Aufbewahrungszeitraum festgelegt. Für diese gesetzlich normierten Aufbewahrungszeiträume ist das Recht auf Löschung (Art. 17 der Datenschutz-Grundverordnung) daher ausgeschlossen.

Zu den Z 1, 4, 6, 7, 8 und 10 (§§ 2 Z 1, 4 Abs. 5a, 7 Abs. 1 Z 4, 18 Abs. 3, 32 Abs. 1a, 33 Abs. 1 und Anhang D):

Hiebei handelt es sich um terminologische Anpassungen.

Zu Z 2 (§ 4 Abs. 5a):

Vgl. die Erläuterungen zu § 7 Abs. 2 und 3 Organtransplantationsgesetz (Art. 26).

Zu Z 3 und 5 (Entfall der §§ 5 Abs. 5 und 16 Abs. 4):

Die Verpflichtung, entsprechende Datensicherheitsmaßnahmen zu ergreifen, ergibt sich bereits unmittelbar aus der Datenschutz-Grundverordnung und muss daher nicht wiederholt werden.

Zu Z 9 (§ 37a Abs. 4):

Enthält die Bestimmungen über das Inkrafttreten.

Zu Art. 49 (Änderung des Bundesgesetzes über Krankenanstalten und Kuranstalten):

Zu Z 1, 2 und 5 (§§ 5a Abs. 2, 8a Abs. 4a und 10 Abs. 5):

Hiebei handelt es sich um terminologische Anpassungen.

Zu Z 3 (§ 9a):

Für eine geordnete Gesundheitsversorgung in Krankenanstalten ist die Verarbeitung der relevanten Daten in der Krankengeschichte (§ 10 KAKuG) unbedingt erforderlich und liegt in diesem Sinne ein überwiegendes schutzwürdiges öffentliches Interesse an der Datenverarbeitung vor (Art. 9 Abs. 2 lit. h Datenschutz-Grundverordnung). Der Ausschluss der Betroffenenrechte nach Art. 13, 14, 18 und 21 ist somit unabdingbar erforderlich, da sonst der Zweck der Dokumentation nicht erreicht werden könnte (Art. 17 Abs. 3 lit c). Was Abrechnungsdaten betrifft, dienen diese u.a. zur Geltendmachung von Rechtsansprüchen (Art. 17 Abs. 3 lit. e). Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b Datenschutz-Grundverordnung ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt. Das Recht auf Berichtigung unrichtiger Daten im Rahmen der Dokumentation bleibt bestehen, allerdings muss dabei § 20 Abs. 1 und 5 GTelG berücksichtigt werden und müssen auch sonstige nachträgliche Änderungen im Rahmen der Krankengeschichte nachvollziehbar sein.

Es ist nicht möglich, auf Basis des Kompetenztatbestandes „Heil- und Pflegeanstalten“ Regelungen über die Datenverarbeitung im Kontext von Beschäftigungsverhältnissen (Art. 88 Datenschutz-Grundverordnung) oder in anderem Zusammenhang zu treffen. Andere (nicht im KAKuG enthaltene) Dokumentationspflichten in anderen Rechtsmaterien bleiben von den Regelungen im KAKuG unberührt.

Zu Z 4 (§ 10 Abs. 1 Z 4a):

Hier erfolgt die gebotene Anpassung an Art. 15 Abs. 3 der Datenschutz-Grundverordnung.

Die gesetzliche vorgesehene Aufbewahrungsfrist beträgt 30 Jahre (im stationären) und 10 Jahre (im ambulanten Bereich). Gemäß Art. 17 Abs. 3 lit. e Datenschutz-Grundverordnung besteht auch nach diesen Fristen die Möglichkeit, von der Löschung zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abzusehen.

Zu Z 6 (§ 65b Abs. 9):

Enthält die Bestimmungen über das Inkrafttreten und die Festlegung der Umsetzungsfrist für die Landesgesetzgeber.

Zu Art. 50 (Änderung des Medizinproduktegesetzes):

Zu Z 1, 2, 5, 7, 9, 12 bis 40 (§ 11 Abs. 4, § 49 Abs. 4, § 52a Abs. 3, § 55 Abs. 1, § 59 Abs. 3, § 73, § 73a, § 89 Abs. 1 bis 3, § 110a Abs. 1, 2 und 3):

Hiebei handelt es sich um terminologische Anpassungen.

Zu Z 3 und 4 (§§ 49 Abs. 5 und 6 und § 50 Abs. 1):

Vgl. die Erläuterungen zu § 39 Abs. 3a bis 3c Arzneimittelgesetz. Was das Verhältnis Forschungsorganisationsgesetz und Medizinproduktegesetz betrifft, sei auf die Erläuterungen zum Arzneimittelgesetz verwiesen.

Zu Z 6 (§ 52a Abs. 5):

Vgl. die Erläuterungen zu § 43a Abs. 5 Arzneimittelgesetz.

Zu Z 8 (§ 55 Abs. 3a):

Vgl. die Erläuterungen zu § 46 Abs. 4a Arzneimittelgesetz.

Zu Z 10 (§ 64 Abs. 4a):

Vgl. die Erläuterungen zu § 36 Z 8b und 8c Arzneimittelgesetz.

Zu Z 11 (§ 73 Abs. 1):

Es wird festgelegt, dass die Gesundheit Österreich GmbH (alleiniger) Verantwortlicher des Registers ist.

Zu Z 40 (§ 114 Abs. 10 und 11):

Vor dem 25. Mai 2018 im Zuge einer klinischen Prüfung eingeholte datenschutzrechtliche Einwilligungen müssen nicht erneuert werden. Abs. 11 enthält die Bestimmungen über das Inkrafttreten.

Zu Art. 51 (Änderung des Epidemiegesetzes 1950):

Zu Z 1 (§ 4 Abs. 1 und 2):

Aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit ist es erforderlich, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Um eine solche Verarbeitung handelt es sich beim Register anzeigepflichtiger Krankheiten.

Der Datenschutz-Grundverordnung ist der Begriff des Informationsverbundsystems (bisher § 4 Z 13 DSG 2000) unbekannt. Aus Gründen der Bürgerfreundlichkeit (ein Verantwortlicher als Ansprechpartner für Betroffenenrechte) wird festgelegt, dass der für das Gesundheitswesen zuständige Bundesminister Verantwortlicher dieser Datenanwendung ist. In Abs. 2 erfolgen lediglich Zitatanpassungen.

Gemäß Art. 21 Abs. 1 Datenschutz-Grundverordnung hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die Datenschutz-Grundverordnung in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 Datenschutz-Grundverordnung zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke – im gegebenen Zusammenhang für Zwecke der öffentlichen Gesundheit – durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird hier für die im Register verarbeiteten Daten Gebrauch gemacht. Für einen geordneten Vollzug des Epidemie- und Tuberkulosegesetzes ist die Verarbeitung aller einschlägigen personenbezogenen Daten von Betroffenen – solange sie für Zwecke der Bekämpfung übertragbarer Krankheiten erforderlich sind – nötig.

Festzuhalten ist, dass die Informationspflicht (Art. 14 Datenschutz-Grundverordnung) im gegebenen Zusammenhang nicht zum Tragen kommt, da die Speicherung der personenbezogenen Daten ausdrücklich gesetzlich geregelt ist (Art. 14 Abs. 5 lit. c und Erwägungsgrund 62 der Datenschutz-Grundverordnung).

Das Recht auf Löschung ist bereits durch Art. 17 Abs. 3 lit. b Datenschutz-Grundverordnung ausgeschlossen, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach dem nationalen Recht erfolgt.

Zu Z 2 bis 4 (§ 4 Abs. 3 bis 5):

Hiebei handelt es sich um terminologische Anpassungen.

Zu Z 5 (§ 4 Abs. 7):

Da der für das Gesundheitswesen zuständige Bundesminister die Aufgaben des Verantwortlichen übernimmt, muss es möglich sein, dass er – ausschließlich – zur Wahrung der Betroffenenrechte auf Auskunftserteilung (Art. 15 Datenschutz-Grundverordnung) und Berichtigung (Art. 16 Datenschutz-Grundverordnung) die Daten im Register personenbezogen abfragen darf.

Zu Z 6 (§ 4 Abs. 8):

Der für das Gesundheitswesen zuständige Bundesminister darf für spezifische Zwecke die Daten im Register pseudonymisiert verarbeiten, dies sind die epidemiologische Überwachung, die Qualitätssicherung insbesondere hinsichtlich der Plausibilität und Vollständigkeit der von den Bezirksverwaltungsbehörden verarbeiteten Daten (was wiederum für die epidemiologische Überwachung relevant ist), sowie die Datenübermittlung an das Europäische Zentrum für die Prävention und die Kontrolle von Krankheiten – ECDC (mithilfe des europäischen Überwachungssystems TESSy erfolgt dort die Analyse und Auswertung von Daten aus den EU-Ländern zu über 52 übertragbare Krankheiten, Art. 4 der Verordnung (EG) NR. 851/2004 zur Errichtung eines Europäischen Zentrums für die Prävention und die Kontrolle von Krankheiten). Auch der Landeshauptmann und die Bezirksverwaltungsbehörde dürfen zum Zweck der epidemiologischen Überwachung die Daten im Register pseudonymisiert verarbeiten.

Zu Z 7 und 11 (§ 4 Abs. 7 und 17):

Hiebei handelt es sich um terminologische Anpassungen.

Zu Z 8 und 12 (§ 4 Abs. 11 und § 4a):

Dem Grundsatz der Speicherbegrenzung folgend, sollen die Daten im Register der anzeigepflichtigen Krankheiten gelöscht werden, wenn sie für die Aufgaben der Bezirksverwaltungsbehörden zur Erhebung über das Auftreten von und der Verhütung und Bekämpfung übertragbarer Krankheiten nach dem Epidemiegesetz und Tuberkulosegesetz nicht mehr erforderlich sind. Dieser Zeitraum kann krankheitsspezifisch variieren und sollen die entsprechenden Löschungszeiträume auf der Homepage des Ressorts veröffentlicht werden. Auch für Zwecke des Abs. 8 ist darüber hinaus eine Verarbeitung nicht erforderlich.

Gleichzeitig wird ein abgeleitetes Statistik-Register geschaffen, in dem für Zwecke der Statistik und wissenschaftlichen Forschung die Daten mit einem nicht-rückführbaren verschlüsselten eindeutigen Personenkennzeichen verarbeitet werden.

Gemäß Art. 11 DSGVO ist es nicht erforderlich, dass der Verantwortliche zur bloßen Einhaltung der Datenschutz-Grundverordnung zusätzliche Informationen aufbewahrt, um die betroffene Person zu identifizieren, wenn die Identifizierung durch den Verantwortlichen nicht mehr erforderlich ist.

Abs. 5 regelt die Zugriffsberechtigungen auf das Statistikregister. § 2d Abs. 2 Z 3 des Forschungsorganisationsgesetzes (in der Fassung der Regierungsvorlage 68 BlgNR XXVI. GP) bleibt unberührt.

Zu Z 13:

In Reaktion auf Vollzugsprobleme, wo sich zB Angehörige von Gesundheitsberufen unter Berufung auf den Datenschutz geweigert haben, den Bezirksverwaltungsbehörden Auskünfte im Zusammenhang mit den Erhebungen über das Auftreten einer übertragbaren Krankheit zu geben, wird – nach dem Vorbild des Tuberkulosegesetzes – klargestellt, dass eine solche Auskunftspflicht als Ausnahme von Verschwiegenheitsverpflichtung gegenüber der anfragenden Bezirksverwaltungsbehörde besteht.

Zu Z 14 (§ 50 Abs. 6):

Enthält die Bestimmungen über das Inkrafttreten.

Zu Art. 52 (Änderung des Organtransplantationsgesetzes):

Zu Z 1 bis 5 (§ 4 Abs. 6, § 6 Abs. 2, 5 und 11):

Hiebei handelt es sich um terminologische Anpassungen.

Zu Z 6 (§ 7 Abs. 2 und 3):

Bislang konnten Entnahmeeinrichtungen ihrer Nachfrageverpflichtung über das Vorliegen eines Widerspruchs im Widerspruchsregister dadurch nachkommen, dass eine telefonische Nachfrage bei der Gesundheit Österreich GmbH (GÖG) erfolgte und die entsprechend zugriffsberechtigten Mitarbeiter der GÖG diese Abfrage im Register vornahmen.

Im Zuge einer Prozessumstellung soll im Sinne der Verwaltungsvereinfachung die Abfragemöglichkeit für die Entnahmeeinheiten direkt online im Widerspruchsregister etabliert werden. Dabei hat die GÖG sicherzustellen, dass für die abfragende Entnahmeeinheit nur jene personenbezogenen Daten ersichtlich sind, die zur Verifizierung einer Eintragung unbedingt erforderlich sind. Abs. 3 enthält begleitende Datensicherheitsmaßnahmen.

Zu Z 7 (§ 19a):

Enthält die Bestimmungen über das Inkrafttreten.

Zu Art. 53 (Änderung des Apothekengesetzes):

Zu Z 1 (§ 6a samt Überschrift):

Das Apothekengesetz enthält derzeit keine systematische Bestimmung über die Datenverarbeitung durch öffentliche Apotheken. Daher soll nunmehr eine solche Regelung festgeschrieben werden. Eine taxative Aufzählung aller Datenkategorien erscheint unzweckmäßig, da die gesetzlichen Verpflichtungen nicht nur im Apothekengesetz und darauf basierenden Verordnungen, sondern auch in anderen Rechtsgrundlagen (zB Suchtmittelrecht, Arzneimittelrecht, Sozialversicherungsrecht bis hin zum Gesamtvertrag) verstreut sind. Auch die gesetzlich vorgesehenen Übermittlungspflichten sind demgemäß vielfältig. Die Einschränkung von Betroffenenrechten ergibt sich aus den bestehenden gesetzlichen Verpflichtungen.

Zu Z 2 (§ 31 Abs. 4):

Sinngemäß soll § 6a auch für die Inhaber von ärztlichen Hausapotheken (§ 31 Abs. 4) und Anstaltsapotheken (§ 38) gelten.

Zu Z 3 (§ 68a Abs. 10):

Enthält die Bestimmungen über das Inkrafttreten.

Zu Art. 54 (Änderung des Apothekerkammergesetzes 2001):

Zu Z 1 und 2 (§ 2 Abs. 4 Z 7 und 12):

Es wird ausdrücklich festgehalten, dass die Aufgaben der Österreichischen Apothekerkammer im Bereich der Gesundheitsförderung Maßnahmen gegen Arzneimittelmissbrauch und andere Gefährdungen der Arzneimittelsicherheit umfassen. Solche Maßnahmen bestehen beispielsweise im Informationsaustausch mit anderen Gesundheitsberufen und Behörden über (vermutete) Rezeptfälschungen oder den Bezug rezeptfreier Arzneimittel oder anderer Produkte in missbräuchlicher Absicht.

Die Datenschutz-Grundverordnung gesteht betroffenen Personen grundsätzlich das Recht zu, die Löschung der sie betreffenden personenbezogenen Daten zu fordern (Art. 17 Abs. 1). Gemäß Art. 17 Abs. 3 lit. b gilt diese Bestimmung nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe des Verantwortlichen im öffentlichen Interesse erforderlich ist. Gemäß Art. 17 Abs. 3 lit. c gilt sie weiters nicht, soweit die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist; dies ist Art. 9 Abs. 2 lit. h zufolge etwa dann der Fall, wenn die Verarbeitung für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist.

Der Schutz der öffentlichen Gesundheit und Patientensicherheit macht es notwendig, Daten über Apotheker und Apotheken dauerhaft zu speichern, da diese während der gesamten Berufslaufbahn eines Apothekers oder der gesamten Dauer des Bestands einer Apotheke von rechtlicher und gesundheitspolitischer Relevanz sein können. So kann etwa die Information über frühere Zweifel an der Verlässlichkeit eines Apothekers bei Eintreten eines weiteren Vorfalls eine bessere Einschätzung seiner persönlichen Eignung im Sinne des § 3 Apothekengesetz ermöglichen oder können Daten über die von einem Apotheker absolvierten Fort- und Weiterbildungen die Beurteilung seiner spezifischen Kenntnisse und Fertigkeiten erleichtern. Hinsichtlich der Apothekenbetriebe lassen sich etwa aus den Akten früherer Konzessionsverfahren wichtige Hinweise auf die genaue Definition des Standortes, die Grundlagen für den festgestellten Bedarf an der öffentlichen Apotheke oder die Einhaltung der gesellschaftsrechtlichen Vorgaben des Apothekengesetzes entnehmen.

Zu Z 3 (§ 6):

In Abs. 1 und 2 erfolgt lediglich eine redaktionelle Anpassung an die Datenschutz-Grundverordnung. Abs. 2 schließt die Übermittlung an Auftragsverarbeiter selbstverständlich nicht aus.

Zu Abs. 3: Die dauerhafte Speicherung der Daten betreffend Apotheker und Apotheken während deren gesamter Berufslaufbahn bzw. Bestandsdauer stellt eine Notwendigkeit zur kontinuierlichen Verwaltung eines geordneten, rechtskonformen Apothekensystems und Sicherstellung der Patientenbetreuung durch hochqualifizierte, verlässliche Berufsangehörige im Sinne des Art. 17 Abs. 3 lit. b und c in Verbindung mit Art. 9 Abs. 2 lit. h der Datenschutz-Grundverordnung dar (vgl. auch die Erläuterung zu § 2). Daten, die eine notwendige Voraussetzung für die Geltendmachung oder Abwehr von Rechtsansprüchen, etwa im Fall der Verteidigung gegen Schadenersatzforderungen, darstellen, dürfen für die Dauer der maßgeblichen Verjährungsfrist von 30 Jahren gespeichert werden.

In Abs. 3 letzter Satz und Abs. 4 werden Öffnungsklauseln der Datenschutz-Grundverordnung hinsichtlich Betroffenenrechte in Anspruch genommen, die im Hinblick auf die gesetzlichen Verpflichtungen der Apothekerkammer erforderlich sind.

Hinsichtlich der Informationspflicht gemäß Art. 14 Datenschutz-Grundverordnung („Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“) wird – was den Vollzug betrifft – auf Art. 14 Abs. 5 Datenschutz-Grundverordnung verwiesen, wonach die Bestimmungen im Einzelfall insbesondere dann keine Anwendung finden, wenn und soweit sich die Erteilung dieser Information als unmöglich erweisen oder einen unverhältnismäßigen Aufwand erfordern würde, wie dies zB für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche und historische Forschungszwecke oder statistische Zwecke der Fall sein kann.

Zu Abs. 4: Entsprechend Art. 23 Abs. 2 lit. h Datenschutz-Grundverordnung sieht Abs. 5 als Grundsatz vor, dass der Betroffene über die Einschränkung oder Verweigerung der Auskunft sowie über den dafür maßgeblichen Grund zu informieren ist, die Erteilung dieser Information jedoch in bestimmten Ausnahmefällen unterbleiben kann. Dabei wird von der Österreichischen Apothekerkammer im Einzelfall abzuwägen sein, ob die Erteilung der Information den konkreten Zweck bzw. die konkrete Maßnahme, zu dem (der) bestimmte Daten verarbeitet wurden, gefährden könnte.

Zu Abs. 5: Klargestellt wird, dass im Sinne des Art. 5 Abs. 1 lit. e Datenschutz-Grundverordnung für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitete personenbezogene Daten unbeschränkt gespeichert werden dürfen.

Werden personenbezogene Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet, so können bei Vorliegen näher bestimmter Voraussetzungen gemäß Art. 89 Abs. 2 und 3 Datenschutz-Grundverordnung – vorbehaltlich der Bedingungen und Garantien gemäß Abs. 1 dieser Bestimmung – durch nationales Recht Ausnahmen von den Betroffenenrechten vorgenommen werden. Da es in der Praxis bei Datenverarbeitungen zu den genannten Zwecken aufgrund der hohen Datenmengen kaum möglich wäre, gegenüber Betroffenen sämtliche dieser Rechte zu wahren bzw. weil die Wahrung der Betroffenenrechte die Verwirklichung der spezifischen Zwecke der Datenverarbeitungen ernsthaft beeinträchtigen, wenn nicht sogar unmöglich machen würde, soll die Ausnahmeermächtigung gemäß Art. 89 Abs. 2 und 3 in Anspruch genommen werden. Die Pseudonymisierung dieser Daten ist technisch kaum umsetzbar und läuft den Zwecken der fortwährenden Dokumentation eines Apothekenbetriebs zuwider, werden Apotheken doch über Generationen hinweg mit wiederkehrenden Wechsel der jeweiligen Inhaber betrieben.

Zu Abs. 6: Für eine geordnete Durchführung der Wahlen der Organe der Österreichischen Apothekerkammer und der Disziplinarverfahren ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss der genannten Rechte und Pflichten gemäß Datenschutz-Grundverordnung für die im Rahmen dieser gesetzlich vorgesehenen Verfahren verarbeiteten personenbezogenen Daten vorzusehen. Die Ausübung der genannten Rechte und Pflichten würde zudem einen beträchtlichen und unverhältnismäßigen Aufwand verursachen.

Die Rechte der Betroffenen auf Auskunft (Art. 15) und auf Berichtigung (Art. 16) bleiben aufrecht.

Zu Z 4 (§ 81 Abs. 19):

Enthält die Bestimmungen über das Inkrafttreten.

Zu Art. 55 (Änderung des Gehaltskassengesetzes 2002):

Zu Z 1 und 2 (§ 5 Abs. 1 bis 5):

Hiebei handelt es sich um terminologische Anpassungen.

Zu Z 3 (§ 5 Abs. 6 bis 8):

Siehe die Erläuterungen zu § 6 Apothekerkammergesetz 2001.

Zu Z 4 (§ 75a Abs. 4):

Enthält die Bestimmungen über das Inkrafttreten.

Zu Art. 56 (Änderung des Tierärztegesetzes):

Zu Z 1, 5, 7 und 8:

Die bisher im Tierärztegesetz vorgesehenen Fristen zur Aufbewahrung von Dokumentationen und Meldebelegen sollen vereinheitlicht werden.

Zu Z 2 und 3:

Terminologische Anpassungen an die neue Datenschutz-Grundverordnung und das geltende Personenstandsgesetz.

Zu Z 4:

Tierärzte und Tierärztinnen haben nicht nur für eigene wirtschaftliche Zwecke Aufzeichnungen und Dokumentationen zu führen, sondern sind auch durch verschiedene veterinärrechtliche Bestimmungen hiezu verpflichtet. Diese Aufzeichnungspflichten korrespondieren mit Meldeverpflichtungen insbesondere hinsichtlich Arzneimittelanwendungen, Tiergesundheitsdaten und Tierseuchenverdacht. Solche Aufzeichnungen sind naturgemäß auch personenbezogen, weil sie nicht nur über die behandelten Tiere und deren Gesundheitszustand Auskunft geben, sondern auch Informationen über den Tierhalter und dessen wirtschaftliche Situation enthalten (können). Mit der vorliegenden Bestimmung wird klargestellt, zu welchen Zwecken personenbezogene Daten im Rahmen tierärztlicher Berufsausübung verarbeitet werden dürfen und dass diese den datenschutzrechtlichen Regelungen unterliegen.

Zu Art. 57 (Änderung des Tierärztekammergesetzes)

Zu Z 1 bis 4:

Die Österreichische Tierärztekammer ist – als gesetzliche Interessenvertretung der Tierärztinnen und Tierärzte in Österreich – im übertragenen Wirkungsbereich mit der Führung der Tierärzteliste befasst. Die Eintragung in diese Liste ist Voraussetzung für die Berufsausübung; dabei werden personenbezogene Daten die in § 5 Tierärztegesetz genannt sind verarbeitet. Bei den vorgeschlagenen Änderungen handelt es sich lediglich um terminologische Anpassungen des bestehenden Rechtstextes an die Datenschutz-Grundverordnung.

Zu Z 5:

Im Sinne des Art. 23 der Datenschutz-Grundverordnung wird klargestellt, wie mit den personenbezogenen Daten der Tierärzte und Tierärztinnen zu verfahren ist, wobei diese auch für die Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regelungen reglementierter Berufe von Belang sind.

§ 5 TÄKamG einerseits sowie teilweise Bestimmungen der StPO andererseits bilden neben dem Tierärztegesetz und dem TÄKamG die Rechtsgrundlage für die Übermittlung persönlicher berufsbezogener Daten der Kammermitglieder durch Gerichte und Behörden, die gemäß § 6 Abs. 1 TÄKamG verarbeitet werden dürfen. Dazu gehören insbesondere die Information über gefälschte Berufsqualifikationen, die Führung der Tierärzteliste und der Hausapothekenliste, die Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen, die Durchführung einer EWR-Anerkennung sowie eines Verfahrens über vorübergehende Dienstleistungserbringung im Wege des Europäischen Berufsausweises, die zur vorübergehenden Dienstleistungserbringung tätigen Berufsangehörigen, die Information über Entziehung und Wiedererteilung von Berufsberechtigungen sowie die Information über Strafverfahren gegen Berufsangehörige.

Es bestehen dabei weitreichende Verpflichtungen der Gerichte und Verwaltungsbehörden die Standesvertretung über die Einleitung von Verfahren gegen oder bezüglich von Kammermitgliedern zu informieren, um einerseits die allenfalls erforderliche Verständigung der Disziplinarkommission vorzunehmen und andererseits die Beurteilung der Befähigung zur Berufsausübung zeitgerecht überprüfen zu können.

Zu Z 6:

Die Änderung stellt terminologische Anpassungen des bestehenden Rechtstextes an die Datenschutz-Grundverordnung dar.

Zu Z 7:

Die Österreichische Tierärztekammer als Selbstverwaltungskörper besitzt Organe, welche durch Wahlen zu bestellen sind. Die Bestimmung stellt klar, welche Beschränkungen der Rechte von Betroffenen im Sinne der Datenschutz-Grundverordnung bei im Zuge der Wahlen verarbeiteten Daten bestehen, um ein entsprechend demokratisches Wahlverfahren überhaupt abwickeln zu können.

Zu Art. 58 (Änderung des Tierseuchengesetzes)

Durch die vorgeschlagenen Regelungen (§ 8 Abs. 10) wird klargestellt, dass die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz Verantwortliche hinsichtlich des VIS im Sinn der Datenschutz-Grundverordnung ist und die Bundesanstalt „Statistik Österreich“ als Auftragsverarbeiter agiert.

Durch Abs. 11 werden Beschränkungen der Rechte im Sinne von Art. 23 der Datenschutz-Grundverordnung vorgenommen, um die Nutzung des Systems im Sinne der Verbrauchergesundheit (Rückverfolgbarkeit von Tierseuchen und Zoonosen) sicherzustellen.

Zu Art. 59 (Änderung des Tiergesundheitsgesetzes)

Es wird klargestellt, für welche Zwecke die Behörden personenbezogene Daten verarbeiten dürfen und dass im Hinblick auf die damit verfolgten Zwecke des Verbraucherschutzes (öffentliche Gesundheit, Tierseuchenüberwachung, Zoonosenbekämpfung) eine Beschränkung der Rechte und Pflichten im Sinne von Art. 23 der Datenschutz-Grundverordnung vorgenommen wird.

Zu Art. 60 (Änderung des Tierarzneimittelkontrollgesetzes)

Hersteller, Zulassungsinhaber (Depositeure) und Arzneimittelgroßhändler, Tierärzte, die zur Führung einer Hausapotheke berechtigt sind sowie Dienstleister (Tierärzte gemäß § 4a Tierärztegesetz) haben hinsichtlich der Arzneimittelgebarung verschiedene Dokumentationen zu führen. Diese Aufzeichnungspflichten korrespondieren mit Meldeverpflichtungen insbesondere hinsichtlich der Antibiotikaanwendungen. Solche Aufzeichnungen sind naturgemäß personenbezogen, daher wird einerseits klargestellt, zu welchen Zwecken personenbezogene Daten im Rahmen des Gesetzes verarbeitet werden dürfen und welche Beschränkungen der Rechte und Pflichten im Sinne von Art. 23 der Datenschutz-Grundverordnung vorgenommen werden.

Zu Art. 61 (Änderung des Tiermaterialiengesetzes)

Zu Z 1 und 4:

Terminologische Anpassung an die Diktion der Datenschutz-Grundverordnung.

Zu Z 2 und 3:

Es wird klargestellt, für welche Zwecke der Landeshauptmann personenbezogene Daten verarbeiten darf und dass im Hinblick auf die damit verfolgten Zwecke des Schutzes vor Tierseuchen und Weiterverbreitung von Krankheiten eine Beschränkung der Rechte und Pflichten im Sinne von Art. 23 der Datenschutz-Grundverordnung vorgenommen wird.

Zu Art. 62 (Änderung des Gesundheits- und Ernährungssicherheitsgesetzes)

Zu Z 1:

Darstellung für welche Zwecke in der AGES und den Bundesämtern personenbezogene Daten verarbeitet werden dürfen.

Zur Sicherstellung der Vollziehung der im öffentlichen Interesse liegenden Aufgaben (gesetzliche Aufgaben der Agentur gemäß § 8 GESG, das Bundesamt für Ernährungssicherheit gemäß § 6 GESG, das Bundesamt für Sicherheit im Gesundheitswesen gemäß § 6a GESG und das Büro für veterinärbehördliche Zertifizierung gemäß § 6b GESG), werden bei diesen Verarbeitungen die Rechte der Betroffenen ebenso wie die Pflichten des Verantwortlichen im zulässigen Ausmaß beschränkt.

Hinsichtlich der Datenverarbeitung zu wissenschaftlichen Forschungszwecken oder statistischen Aufgaben wird die Pseudonymisierung von personenbezogenen Daten grundsätzlich vorgeschrieben. Im Falle der zur Zweckverwirklichung notwendigen Personalisierung werden auch hier bestimmte verhältnismäßige Beschränkungen von Rechten und Pflichten gemäß Art. 23 Datenschutz-Grundverordnung vorgenommen. Die AGES wird – abhängig vom jeweiligen Dienstleistungsvertrag – als Verantwortliche oder Auftragsverarbeiter tätig.

Zu Z 2:

Es wird klargestellt, dass die AGES eine „öffentliche Stelle“ im Sinne der Datenschutz-Grundverordnung ist.

Zu Art. 63 (Änderung des Lebensmittelsicherheits- und Verbraucherschutzgesetzes)

Durch die vorgeschlagenen Regelungen (§ 10 Abs. 4a) wird klargestellt, dass die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz Verantwortliche hinsichtlich des elektronischen Registers im Sinn der Datenschutz-Grundverordnung ist und die Bundesanstalt „Statistik Österreich“ als Auftragsverarbeiter agiert.

Durch Abs. 4b werden Beschränkungen der Rechte im Sinne von Art. 23 der Datenschutz-Grundverordnung vorgenommen um die Nutzung des Systems zu Kontrollzwecken sicherzustellen.

Zu Art. 64 (Änderung des Tierschutzgesetzes)

Zu Z 1:

Darstellung für welche Zwecke die Fachstelle personenbezogene Daten verarbeiten darf.

Zur Sicherstellung der im öffentlichen Interesse liegenden Aufgaben, werden bei diesen Verarbeitungen die Rechte der Betroffenen ebenso wie die Pflichten des Verantwortlichen im zulässigen Ausmaß beschränkt.

Zu Z 2 bis 4:

Anpassung der Regeln über die Heimtierdatenbank an die Datenschutz-Grundverordnung. Im Hinblick darauf, dass gesetzlich festgelegt und für jedermann einsichtig ist, welche personenbezogenen Daten notwendigerweise verarbeitet werden, um den öffentlich-rechtlich erforderlichen Ordnungszweck der Datenbank zu erfüllen, ist es zulässig, auch hier bestimmte Rechte der Betroffenen gemäß Art. 23 Datenschutz-Grundverordnung auszuschließen.

Zu Art. 65 (Änderung des Tiertransportgesetzes 2007)

Zu Z 2:

Darstellung für welche Zwecke die Behörden bzw. zuständigen Stellen auf Grund dieses Gesetzes personenbezogene Daten verarbeiten dürfen.

Zur Sicherstellung dieser im öffentlichen Interesse liegenden Kontroll- und Überwachungsaufgaben werden bei solchen Verarbeitungen die Rechte der Betroffenen, ebenso wie die Pflichten des Verantwortlichen im zulässigen Ausmaß gemäß Art. 23 der Datenschutz-Grundverordnung beschränkt.

Zu Art. 66 (Änderung des Bundesgesetzes zur Durchführung unmittelbar anwendbarer unionsrechtlicher Bestimmungen auf dem Gebiet des Tierschutzes)

Zu Z 1:

Feststellung für welche Zwecke die Behörden bzw. zuständigen Stellen auf Grund dieses Gesetzes personenbezogene Daten verarbeiten dürfen.

Zur Sicherstellung der im öffentlichen Interesse liegenden Kontroll- und Überwachungsfunktion, welche dadurch hoheitlich erfüllt werden, werden bei solchen Verarbeitungen die Rechte der Betroffenen ebenso wie die Pflichten des Verantwortlichen im zulässigen Ausmaß gemäß Art. 23 der Datenschutz-Grundverordnung beschränkt.

Hinsichtlich der allfälligen Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken oder statistischen Aufgaben wird die Pseudonymisierung von personenbezogenen Daten grundsätzlich vorgeschrieben. Im Falle der zur Zweckverwirklichung notwendigen Personalisierung werden jedoch auch hier bestimmte verhältnismäßige Beschränkungen von Rechten und Pflichten vorgenommen.

Zu Art. 67 (Änderung des Bundesgesetzes über die Gesundheit Österreich GmbH)

Zu Z 1 (§ 4 Abs. 7 bis 10):

Abs. 7 stellt klar, dass die GÖG eine öffentliche Stelle iSd. Datenschutz-Grundverordnung und hoheitlich tätig ist. Dem entsprechend ist auf die GÖG § 30 Abs. 5 DSG 2000, idF BGBl. I Nr. 120/2017, anzuwenden.

Abs. 8 in Anlehnung an § 7 Abs. 1 DSG 2000, idF BGBl. I Nr. 120/2017, berechtigt die GÖG zur Datenverarbeitung. Weiters werden für die angeführten Datenverarbeitungen entsprechend Art. 23 Abs. 1 lit. e DSGVO folgende Rechte und Pflichten insbesondere zur Sicherstellung des Schutzes der öffentlichen Gesundheit ausgeschlossen:

– Art. 18: Recht des/der Betroffenen auf Einschränkung der Verarbeitung,

– Art. 21: Widerspruchsrecht des/der Betroffenen.

Abs. 9 in Anlehnung an § 7 Abs. 5 DSG 2000, idF BGBl. I Nr. 120/2017, regelt die Verschlüsselung und Löschung des Personenbezuges.

Mit Abs. 10 wird eine allgemeine Verordnungsermächtigung für Vorgaben zur Verarbeitung personenbezogener Daten geschaffen.

Zu Z 2, 3, 6 und 11 (§ 4a Abs. 1 Z 3, Abs. 4 Z 1 bis 3, § 15a Abs. 5 und 6 sowie § 15c Abs. 5):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO und sind auf Grund des Wegfalles der Begriffe „direkt und indirekte personenbezogene Daten“ erforderlich.

Zu Z 4 (§ 15):

Die vorgeschlagenen Änderungen in Abs. 1 bis 3 dienen der terminologischen Anpassung an die DSGVO und sind auf Grund der Änderung der Begriffe „Betroffener“, „Verwendung“ und „direkt und indirekte personenbezogene Daten“ erforderlich. Weiters entfällt der Verweis auf das DSG 2000.

Abs. 4 neu verpflichtet die GÖG, ein Verzeichnis sämtlicher Verarbeitungstätigkeiten iSd. Art. 30 DSGVO zu führen.

Abs. 5 neu entspricht dem bisherigen Abs. 5. Das Kuratorium kann entfallen, da es gemäß § 7 ein Organ der GÖG ist.

Zu Z 5, 8 und 9 (§ 15a Abs. 4, 8 und 11 sowie § 15c Abs. 4):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO und sind auf Grund der Änderung des Begriffes „Verwendung“ erforderlich.

Zu Z 8 (§ 15a Abs. 11):

Der Verweis auf das DSG 2000 kann entfallen.

Zu Z 10 (§ 15a Abs. 12 und 13):

Diese Absätze können entfallen, da die Vorhaltung von technischen und organisatorischen Maßnahmen umfassend in der Datenschutz-Grundverordnung geregelt ist.

Zu Art. 68 (Änderung des Bundesgesetzes über die Dokumentation im Gesundheitswesen)

Zu Z 1, 3 bis 5, 7 und 8 (§ 4 Abs. 2 und 5, § 5a Abs. 1 und 3, § 5c Abs. 1, § 6 Abs. 4 und 5, § 6c Abs. 1 und 4 sowie § 6f Abs. 1):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO. Beispielsweise entspricht der Begriff „Auftraggeber“ im Anwendungsbereich der DSGVO dem „Verantwortlichen“ und deckt sich „Auftragsverarbeiter“ mit dem bisherigen „Dienstleister“ im Sinne des DSG 2000. Weiters wird „Verwendung“ durch „Verarbeitung“ bzw. „verwenden“ durch „verarbeiten“ ersetzt.

Zu Z 2, 6 und 9 (§ 4 Abs. 3, § 5a Abs. 5 und § 6c Abs. 6):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO. Insbesondere wird „Verwendung“ durch „Verarbeitung“ bzw. „verwenden“ durch „verarbeiten“ ersetzt. Weiters erfolgen Zitatanpassungen und entfällt ein Zitat auf das DSG 2000.

In § 4 Abs. 3 wird zudem klargestellt, dass die/der für das Gesundheitswesen zuständige Bundesministerin/Bundesminister als datenschutzrechtlich Verantwortliche/Verantwortlicher fungiert.

Zu Art. 69 (Änderung des Suchtmittelgesetzes)

Zu Z 1 (Eintrag zu § 8a im Inhaltsverzeichnis):

Die Überschrift zu § 8a wurde mit der SMG-Novelle 2017 von „Meldungen und Mitteilungen im Rahmen der Substitutionsbehandlung“ auf „Opioid-Substitutionsbehandlung“ geändert. Aufgrund eines redaktionellen Versehens wurde das Inhaltsverzeichnis nicht entsprechend angepasst.

Zu Z 2, 3, 4, 5, 6, 9, 10, 11, 12, 13 (§ 8a Abs. 1a dritter Satz, Abs. 2 Z 1 und 2, Abs. 3 und 5, § 24d Abs. 1 erster und zweiter Satz, Überschrift zum 4. Hauptstück und zu § 24 sowie § 24d):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die Datenschutz-Grundverordnung (DSGVO). Die „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Übermittlung, Verbreitung oder eine andere Form der Bereitstellung (Evidenthaltung) und entspricht damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten.

Da die DSGVO die „Einwilligung“ der betroffenen Person in die Datenverarbeitung in Art. 4 Z 11 DSGVO legaldefiniert, ist das Wort „Zustimmung“ durch „Einwilligung“ zu ersetzen.

Der Verweis in § 24d Abs. 1 letzter Satz, wonach § 46 Abs. 5 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, anzuwenden ist, wird aufgrund der Änderungen im Datenschutzgesetz entsprechend angepasst. Die inhaltsgleiche Regelung findet sich nunmehr im § 7 Abs. 5 des Datenschutzgesetzes, in der Fassung BGBl. I Nr. 120/2017.

Zu Z 7 (§ 8a Abs. 6):

Kapitel III der DSGVO regelt in den Art. 12 bis 22 jene Datenschutzrechte, die einer betroffenen Person zukommen. So hat zum Beispiel der Betroffene gemäß Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Gemäß Art. 23 DSGVO haben die Mitgliedstaaten jedoch die Möglichkeit, zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke, die Rechte und Pflichten gemäß den Art. 12 bis 22 durch nationale Rechtsvorschriften einzuschränken, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und eine notwendige und verhältnismäßige Maßnahme darstellt. Von einer solchen Beschränkung wird in § 8a Abs. 6 aufgrund der folgenden Ausführungen Gebrauch gemacht:

Überwiegend geht man heute davon aus, dass es sich bei der Abhängigkeit von Opioiden um eine chronische Erkrankung handelt. Schadensminimierende bzw. -reduzierende Maßnahmen stellen dabei nicht nur für die Betroffenen, sondern auch für die Gesellschaft einen Nutzen dar. Besondere Risiken sind in diesem Bereich mit multipler Substanzabhängigkeit verbunden, wenn neben der Abhängigkeit von Opioiden ein schädlicher Gebrauch weiterer psychoaktiver Substanzen vorliegt. Das kann ein erhebliches Risiko für Leben und Gesundheit der Patientinnen und Patienten darstellen.

Der § 8a dient unter anderem dazu, den Ärztinnen und Ärzten jene Informationen zukommen zu lassen, die sie für die Beurteilung des Zustandes der Patientin/des Patienten im Hinblick auf ihre/seine Suchtbehandlung benötigen. Gleichzeitig dient der § 8a dazu, das durch Parallelverschreibungen von suchtmittelhaltigen Arzneimitteln erhöhte Risiko der Abzweigung in den Schwarzmarkt einschließlich der damit verbundenen Fremdgefährdung zu reduzieren. Wiewohl strengen Datenschutzregeln in dem besonders sensiblen Bereich der Sucht- und Substitutionsbehandlung große Bedeutung zukommt, ist ein funktionierender Informationsfluss zwischen den involvierten Stellen – Apotheken, Bezirksverwaltungsbehörden, Ärztinnen und Ärzten – unverzichtbar.

Hätte die betroffene Person die Möglichkeit vom Widerspruchsrecht oder dem Recht auf Einschränkung der Verarbeitung Gebrauch zu machen, so würde man den in der Sucht- bzw. Substitutionsbehandlung involvierten Ärztinnen und Ärzten die Möglichkeit nehmen, bei allfälligem lebensbedrohlichen Missbrauch psychoaktiver Substanzen entsprechend zu reagieren und diese Informationen in die Beurteilung des Zustandes der Patientin/des Patienten miteinzubeziehen. Im Zusammenwirken des Substitutionsmedikamentes mit anderen, legal oder illegal erworbenen Suchtmitteln kann dies ein erhebliches Risiko für die Patientinnen/Patienten selbst darstellen und zu Überdosierungen führen, die letal enden können.

Die Beschränkung der Rechte und Pflichten der Art. 13 und 14 (Informationspflicht bei der Erhebung von personenbezogenen Daten), 18 (Recht auf Einschränkung der Verarbeitung) und 21 (Widerspruchsrecht) DSGVO ist zur Sicherung des Informationsflusses der in der Sucht- und Substitutionsbehandlung involvierten Personen und Stellen – Wahrung wichtiger öffentlicher Interessen im Sinne des Art. 23 Abs. 1 lit. e – sowie zum Schutz der betroffenen Person bzw. zum Schutz dritter Personen im Sinne des Art. 23 Abs. 1 lit. i eine notwendige und verhältnismäßige Maßnahme.

Zu Z 8 (§ 12 Abs. 4 erster und zweiter Satz):

Mit dem neugeschaffenen Abs. 4 soll in das bestehende System der Begutachtung und dem Hinwirken auf allfällige gesundheitsbezogene Maßnahmen nicht eingegriffen, sondern der Informations- und Datenfluss zwischen begutachtenden Ärztinnen/Ärzten und der Bezirksverwaltungsbehörde als Gesundheitsbehörde datenschutzrechtlich abgesichert werden.

Erster Satz: Der Grundsatz der „Zweckbindung“ gemäß Art. 5 Abs. 1 lit. b DSGVO erlaubt die Erhebung personenbezogener Daten nur für festgelegte, eindeutige und legitime Zwecke. Da der/die mit der Begutachtung beauftragte Arzt/Ärztin jedenfalls personenbezogene Daten zu erheben hat, dient der neugeschaffene Abs. 4 erster Satz zum einen dazu, die Erhebung und Verarbeitung dieser Daten auf die festgelegten Zwecke zu beschränken. Vom Begutachtungsauftrag umfasst ist dabei jedenfalls die Übermittlung jener personenbezogenen Daten durch die begutachtenden Ärztinnen/Ärzte, die gemäß § 24a Abs. 3 von der Bezirksverwaltungsbehörde als Gesundheitsbehörde an das Suchtmittelregister zu melden sind. Berufsrechtliche Dokumentationspflichten bleiben durch die Zweckbindung des Abs. 4 unberührt.

Weiters wird auf im Zuge des Begutachtungsverfahrens aufgezeigte Bedenken hinsichtlich der Verschwiegenheitspflicht von begutachtenden Ärztinnen/Ärzten, die nicht als Amtsärztinnen/Amtsärzte tätig sind, eingegangen und klargestellt, dass allfällige dienst- oder berufsrechtliche Verschwiegenheitspflichten gegenüber der Bezirksverwaltungsbehörde als Gesundheitsbehörde nicht bestehen, insoweit es um die Erfüllung des Begutachtungsauftrags geht.

Zweiter Satz: Auch wenn Änderungen im Ärzterecht im Zuge der Anpassung an die DSGVO die entsprechenden Rechte und Pflichten im Rahmen der ärztlichen Berufsausübung bereits ausschließen, wird – gleich wie im neugeschaffenen § 8a Abs. 6 – zur Klarstellung und Sicherung des erforderlichen Informations- und Datenflusses zwischen Ärztinnen/Ärzten und der Gesundheitsbehörde von dieser Möglichkeit des Ausschlusses bestimmter Rechte und Pflichten der DSGVO Gebrauch gemacht.

§ 12 Abs. 2 geht davon aus, dass das Ergebnis der Begutachtung der Bezirksverwaltungsbehörde mitgeteilt wird, da diese als Gesundheitsbehörde bei vorliegender Notwendigkeit verpflichtet ist darauf hinzuwirken, dass sich die Person einer entsprechenden gesundheitsbezogenen Maßnahme unterzieht. Wiewohl auch in diesem Bereich strengen Datenschutzregeln große Bedeutung zukommt, ist ein funktionierender Informations- und Datenfluss zwischen den begutachtenden Ärztinnen/Ärzten und der Gesundheitsbehörde unverzichtbar.

Hätte die betroffene Person die Möglichkeit vom Widerspruchsrecht oder dem Recht auf Einschränkung der Verarbeitung Gebrauch zu machen, so würde man der Gesundheitsbehörde die Möglichkeit nehmen, auf die entsprechenden gesundheitsbezogenen Maßnahmen hinzuwirken.

Die Beschränkung der Rechte und Pflichten der Art. 13 und 14 (Informationspflicht bei der Erhebung von personenbezogenen Daten), 18 (Recht auf Einschränkung der Verarbeitung) und 21 (Widerspruchsrecht) DSGVO ist zur Sicherung des Informations- und Datenflusses der begutachtenden Ärztinnen/Ärzte und der Gesundheitsbehörde – Wahrung wichtiger öffentlicher Interessen im Sinne des Art. 23 Abs. 1 lit. e – sowie zum Schutz der betroffenen Person bzw. zum Schutz dritter Personen im Sinne des Art. 23 Abs. 1 lit. i eine notwendige und verhältnismäßige Maßnahme.

Zu Z 14 (§ 24d Abs. 3):

Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken verarbeitet, so können bei Vorliegen näher bestimmter Voraussetzungen gemäß Art. 89 Abs. 2 DSGVO – vorbehaltlich der Bedingungen und Garantien gemäß Abs. 1 – durch nationales Recht Ausnahmen von den Rechten gemäß Art. 15 (Auskunftsrecht der betroffenen Person), 16 (Recht auf Berichtigung), 18 (Recht auf Einschränkung der Verarbeitung) und 21 (Widerspruchsrecht) vorgenommen werden. Da es in der Praxis kaum möglich wäre, gegenüber Betroffenen bei statistischen und wissenschaftlichen oder historischen Erhebungen aufgrund der hohen Datenmengen sämtliche dieser Rechte zu wahren bzw. die Wahrung der Betroffenenrechte die Verwirklichung der spezifischen Forschungs- bzw. statistischen Zwecke ernsthaft beeinträchtigen, wenn nicht sogar unmöglich machen würde, soll die Ausnahmeermächtigung gemäß Art. 89 Abs. 2 DSGVO in Anspruch genommen werden.

Hinsichtlich der Informationspflicht gemäß Art. 14 DSGVO („Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“) wird – was den Vollzug betrifft – auf Art. 14 Abs. 5 DSGVO verwiesen, wonach die Bestimmungen im Einzelfall insbesondere dann keine Anwendung finden, wenn und soweit sich die Erteilung dieser Information als unmöglich erweisen oder einen unverhältnismäßigen Aufwand erfordern würde, wie dies zB für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche und historische Forschungszwecke oder statistische Zwecke der Fall sein kann.

Zu Z 15 und 16 (§ 25 Abs. 1 erster Satz und Abs. 2):

Die vorgeschlagenen Änderungen dienen überwiegend der terminologischen Anpassung an die DSGVO. Dem „Auftraggeber“ (§ 4 Z 4 DSG 2000) entspricht im Anwendungsbereich der DSGVO der „Verantwortliche“ (Art. 4 Z 7 DSGVO) einer Datenverarbeitung. Weiters ist der DSGVO und dem Datenschutzgesetz (DSG), in der Fassung BGBl. I Nr. 120/2017, der Begriff des „Informationsverbundsystems“ (§ 4 Z 13 DSG 2000) unbekannt. Art. 26 DSGVO sieht stattdessen vor, dass wenn zwei oder mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, diese gemeinsam Verantwortliche sind. Eine materielle Änderung gegenüber der bisherigen Rechtslage soll, soweit möglich, damit nicht verbunden sein.

Gemäß Art. 26 Abs. 1 zweiter Satz DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – zB Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne regelt der vorgeschlagene Abs. 2 letzter Satz die Zuständigkeit zwischen den gemeinsam Verantwortlichen dahingehend, dass Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO neben der Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz von jedem Verantwortlichen in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verwaltungsverfahren oder den von ihm gesetzten Maßnahmen verarbeitet wurden.

Zu Z 17, 18 und 19 (§ 25 Abs. 3, Abs. 5 Z 1, 2 und 3 sowie Abs. 7 Z 1 und 3):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO.

Zu 20 (§ 25 Abs. 10 Z 1 und 2):

Die bisherigen Verweise in der Ziffer 1 auf die Bestimmungen im Datenschutzgesetz 2000 werden im Hinblick auf die unmittelbar anwendbaren Bestimmungen der DSGVO obsolet. Klargestellt wird jedoch, dass dem Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz der Zugriff auf die personenbezogenen Daten im Suchtmittelregister nur insofern gestattet ist, als dies zur Erfüllung der entsprechenden Pflichten nach der DSGVO erforderlich ist.

In der Ziffer 2 wird ein redaktionelles Versehen – unnötiger Beistrich – beseitigt.

Zu 21 (§ 25 Abs. 11):

Die vorgeschlagene Änderung dient der terminologischen Anpassung an Art. 4 Z 1 DSGVO.

Zu 22 (§ 25 Abs. 12):

Gemäß Art. 23 DSGVO haben die Mitgliedstaaten die Möglichkeit, zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke, die Rechte und Pflichten gemäß den Art. 12 bis 22 durch nationale Rechtsvorschriften einzuschränken, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und eine notwendige und verhältnismäßige Maßnahme darstellt. Von einer solchen Beschränkung wird auch in § 25 Abs. 12 Gebrauch gemacht.

Die Verarbeitung personenbezogener Daten des 4. Hauptstückes ist nur für die in den §§ 23 bis 26a definierten Zwecke zulässig. Zur Überwachung des vorschriftmäßigen Verkehrs und der Gebarung mit Suchtmitteln und Drogenausgangsstoffen, Gewinnung von Erkenntnissen über Suchtgiftmissbrauch und über den Bedarf an gesundheitsbezogenen Maßnahmen, Verhinderung von Mehrfachbehandlungen mit Substitutionsmitteln sowie zur Gewinnung von Erkenntnissen für die Prävention von jenen Todesfällen, die in einem kausalen Zusammenhang mit dem Konsum von Suchtgift stehen, ist die Verarbeitung entsprechender personenbezogener Daten erforderlich. Für einen geordneten Vollzug dieser Aufgaben ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, die Beschränkung der Rechte und Pflichten der Art. 13 und 14 (Informationspflicht bei der Erhebung von personenbezogenen Daten), 18 (Recht auf Einschränkung der Verarbeitung) und 21 (Widerspruchsrecht) DSGVO für alle verarbeiteten personenbezogenen Daten des 4. Hauptstückes vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zum Schutz der betroffenen Person (Verhinderung von Mehrfachbehandlung mit Substitutionsmitteln) sowie sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Überwachung des vorschriftmäßigen Verkehrs und der Gebarung mit Suchtmitteln und Drogenausgangsstoffen, Gewinnung von Erkenntnissen über Suchtgiftmissbrauch und über den Bedarf an gesundheitsbezogenen Maßnahmen, Gewinnung von Erkenntnissen für die Prävention von jenen Todesfällen, die in einem kausalen Zusammenhang mit dem Konsum von Suchtgift stehen) ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO oder einer Einschränkung der Verarbeitung nach Art. 18 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung dieser Aufgaben nicht mehr zielführend möglich. Die Beschränkung der Rechte und Pflichten der Art. 13 und 14 (Informationspflicht bei der Erhebung von personenbezogenen Daten), 18 (Recht auf Einschränkung der Verarbeitung) und 21 (Widerspruchsrecht) DSGVO stellt somit eine notwendige und verhältnismäßige Maßnahme dar.

Zu 23 (§ 25 Abs. 14 erster Satz):

Die Verpflichtung zur Löschung bezieht sich nur auf die Abs. 11 und 13 und nicht auf den neu geschaffenen Abs. 12, demnach ist das Wort „bis“ durch ein „und“ zu ersetzen.

Zu 24 (§ 25 Abs. 14 vierter und fünfter Satz):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO. Der „Auftragsverarbeiter“ im Sinne der DSGVO entspricht im Wesentlichen dem „Dienstleister“ gemäß § 4 Z 5 DSG 2000. Auftragsverarbeiter die im Auftrag des Bundesministeriums für Arbeit, Soziales, Gesundheit und Konsumentenschutz Auswertungen von ausschließlich pseudonymisierten Daten aus dem Statistik-Register vornehmen, haben keinen Zugriff auf das Suchtmittel- oder Substitutionsregister.

Zu Art. 70 (Änderung des Neue-Psychoaktive-Substanzen-Gesetzes)

Zu Z 1 (§ 7 Abs. 2):

Der Verweis auf § 4 Z 9 des Datenschutzgesetzes 2000 entspricht aufgrund der Änderungen im Datenschutzgesetz durch das Datenschutz-Anpassungsgesetz 2018 nicht mehr der geltenden Rechtslage. Der Verweis wird entsprechend angepasst.

Zu Art. 71 (Änderung des Tabak- und Nichtraucherinnen- bzw. Nichtraucherschutzgesetzes)

Zu Z 1, Z 2, Z 3, Z 4, Z 7, Z 8 (§ 7 Abs. 2, Abs. 4, Abs. 5, Abs. 6; § 10b Abs. 3 Z 1, Abs. 5):

Um die Verhältnismäßigkeit der Datenverarbeitung (§ 1 Abs. 2 DSG) bzw. die Erfüllung der Vorgaben des Art. 5 DSGVO darlegen zu können wird der grundlegende Verarbeitungszweck klargestellt.

Zu Z 5 (§ 7 Abs. 8):

Es wird klargestellt, dass es sich bei dem „unabhängigen Dritten“ um einen Auftragsverarbeiter nach der DSGVO handelt.

Zu Z 6 (§ 7 Abs. 11):

Der letzte Satz des § 7 Abs. 11 wird mit der Umsetzung der Datenschutz-Grundverordnung hinfällig und nunmehr ersatzlos gestrichen.

Zu Art. 72 (Änderung des Gesundheitstelematikgesetzes 2012)

Zu Z 1 (Titel), Z 2 (Inhaltsverzeichnis – Abschnittsüberschrift des 2. Abschnitts), Z 3 (Inhaltsverzeichnis – § 14), Z 4 (§ 1 Abs. 1), Z 5 (§ 1 Abs. 2), Z 6 (§ 1 Abs. 2 Z 1), Z 7 (§ 1 Abs. 2 Z 3 lit. e), Z 10 (§ 2 Z 2), Z 11 (§ 2 Z 3), Z 12 (§ 2 Z 9), Z 13 (Abschnittsüberschrift des 2. Abschnitts), Z 14 (§ 3 Abs. 1), Z 15 (§ 3 Abs. 2), Z 16 (§ 3 Abs. 3), Z 17 (§ 3 Abs. 4), Z 18 (§ 4), Z 19 (§ 4 Abs. 1), Z 20 (§ 4 Abs. 2, Abs. 3 und Abs. 5 Z 1 ), Z 21 (§ 4 Abs. 6), Z 22 (§ 6 Abs. 1), Z 23 (§ 6 Abs. 1 Z 1 lit. a), Z 24 (§ 6 Abs. 2), Z 25 (§ 6 Abs. 3), Z 26 (§ 7 Abs. 1), Z 27 (§ 7 Abs. 2), Z 28 (§ 8 Abs. 1), Z 29 (§ 9 Abs. 1), Z 30 (§ 9 Abs. 4), Z 31 (§ 10 Abs. 1 Z 8), Z 32 (§ 10 Abs. 7), Z 34 (§ 13 Abs. 2), Z 36 (§ 13 Abs. 7), Z 37 (Überschrift zu § 14), Z 38 (§ 14 Abs. 1), Z 39 (§ 14 Abs. 1 Z 3), Z 40 (§ 14 Abs. 2), Z 41 (§ 14 Abs. 3), Z 42 (§ 14 Abs. 3a), Z 43 (§ 14 Abs. 4), Z 45 (§ 14 Abs. 6), Z 46 (§ 15 Abs. 1 Z 1), Z 47 (§ 16 Abs. 2 Z 2 lit. c), Z 48 (§ 16 Abs. 5), Z 49 (§ 16a Abs. 3), Z 50 (§ 17 Abs. 2), Z 51 (§ 18 Abs. 3), Z 52 (§ 18 Abs. 4), Z 53 (§ 18 Abs. 4 Z 3 und Z 4), Z 54 (§ 18 Abs. 5), Z 55 (§ 18 Abs. 6), Z 56 (§ 19 Abs. 1), Z 57 (§ 19 Abs. 2), Z 58 (§ 19 Abs. 3), Z 62 (§ 22 Abs. 1), Z 63 (§ 22 Abs. 2), Z 64 (§ 22 Abs. 4), Z 65 (§ 22 Abs. 5), Z 67 (§ 22 Abs. 6), Z 68 (§ 23 Abs. 3), Z 69 (§ 24 Abs. 1), Z 70 (§ 24 Abs. 2), Z 71 (§ 24 Abs. 3), Z 72 (§ 24a Abs. 1 Z 2), Z 76 (§ 27 Abs. 2, Abs. 3 und Abs. 4), Z 78 (§ 27 Abs. 10), Z 79 (§ 27 Abs. 11, Abs. 12, Abs. 14 und Abs. 15), Z 80 (§ 27 Abs. 13), Z 83 (§ 28 Abs. 2 Z 4) und Z 86 (§ 28 Abs. 4):

Soweit im Folgenden nichts Weiteres bemerkt wird, dienen die vorgeschlagenen Änderungen rein der terminologischen Anpassung an die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1 (DSGVO) oder der Anpassung von Verweisen auf die DSGVO oder der Ergänzung von genetischen Daten iSd Art. 4 Z 13 DSGVO (siehe die Erläuterungen zu Z 8 und Z 9 [§ 2 Z 1 und Z 1a des Gesundheitstelematikgesetzes 2012 {GTelG 2012}, BGBl. I Nr. 111/2012]), jeweils ohne jedwede Änderung des Norminhalts.

Zum Widerspruch (Opt-out) nach §§ 15 Abs. 2 und 16 Abs. 2 Z 2 GTelG 2012 ist festzuhalten, dass dieser sich vom Widerspruchsrecht nach Art. 21 DSGVO unterscheidet. Denn der Widerspruch nach dem GTelG 2012, d.h. genereller und partieller (§ 15 Abs. 2 GTelG 2012) sowie situativer (§ 16 Abs. 2 Z 2 GTelG 2012) Widerspruch, richtet sich gegen die Verarbeitung von ELGA-Gesundheitsdaten als besondere Kategorie personenbezogener Daten iSd Art. 9 DSGVO, wohingegen das Widerspruchsrecht nach Art. 21 DSGVO gegen die Verarbeitung nicht besonderer Kategorien personenbezogener Daten aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO besteht. Da im Gegensatz zu Art. 21 Abs. 1 DSGVO die Art. 13 Abs. 2 lit. c, Art. 14 Abs. 2 lit. d, Art. 17 Abs. 1 lit. b und Art. 20 Abs. 1 lit. a DSGVO auch auf Art. 9 DSGVO Bezug nehmen und dem (europäischen) Gesetzgeber prinzipiell nicht unterstellt werden darf, Überflüssiges zu regeln (hier: die bewusste Differenzierung zwischen Art. 6 einerseits und Art. 9 andererseits in der DSGVO), ergibt sich, dass Art. 21 DSGVO für besondere Kategorien personenbezogener Daten nicht zur Anwendung gelangt. Eine gegenteilige Annahme aufgrund eines Größenschlusses ist ebenfalls zu verneinen, weil die hier vertretene Interpretation aufgrund des (klaren) Wortlauts der zitierten Bestimmungen vorzugehen hat.

Zu Z 4 (§ 1 Abs. 1):

§ 1 Abs. 1 regelt den Gegenstand dieses Bundesgesetzes als die Verarbeitung (Art. 4 Z 2 DSGVO) personenbezogener elektronischer Gesundheitsdaten und genetischer Daten (Art. 4 Z 15 und Z 13 DSGVO). Da der Personenbezug nach Art. 4 Z 1 DSGVO bereits ein Tatbestandselement der Legaldefinition von sowohl Gesundheitsdaten als auch genetischen Daten in Art. 4 Z 15 und Z 13 DSGVO darstellt, ist ein zusätzlicher Verweis auf Art. 4 Z 1 DSGVO redundant.

Zu Z 8 und Z 9 (§ 2 Z 1 und Z 1a):

Entsprechend dem unionsrechtlichen Transformationsverbot soll die bisherige Begriffsbestimmung der Gesundheitsdaten durch einen Verweis auf die Definition in Art. 4 Z 15 DSGVO ersetzt werden – diese umfasst alle bisher in § 2 Z 1 genannten Daten einschließlich Medikationsdaten gemäß § 2 Z 9 lit. b.

Genetische Daten waren in der bisherigen Definition der „Gesundheitsdaten“ gemäß § 2 Z 1 enthalten (vgl. § 2 Z 9 letzter Satz und § 16 Abs. 2 Z 2 lit. c GTelG 2012), werden nun aber in Art. 4 Z 13 DSGVO eigens definiert. Entsprechend dem unionsrechtlichen Transformationsverbot sowie zum Erhalt der nötigen Rechtsgrundlage für die Verarbeitung genetischer Daten, ist deren Definition in § 2 Z 1a – zusätzlich zu jener der Gesundheitsdaten in § 2 Z 1 – eigens aufzunehmen.

Die Begriffsbestimmung der „ELGA-Gesundheitsdaten“ in § 2 Z 9 kann als Spezialbegriff für eine Submenge der Gesundheitsdaten und genetischen Daten gemäß § 2 Z 1 und 1a unverändert erhalten bleiben. Mit Entfall des Wortes „sind“ wird diese Begriffsbestimmung sprachlich an die übrigen angeglichen.

Zu Z 25 (§ 6 Abs. 3):

Soweit „Betreiber“ im Auftrag von Verantwortlichen personenbezogene Daten verarbeiten, sind sie Auftragsverarbeiter iSd Art. 4 Z 8 DSGVO. Nur dort, wo dem Begriff des Betreibers ein anderes, untechnisches Verständnis zugrunde liegt (zB in § 27 Abs. 2 Z 2 GTelG 2012), wird er als solcher belassen.

Zu Z 33 (§ 13 Abs. 1):

Die Verwendung der Elektronischen Gesundheitsakte (ELGA) erfüllt ein wichtiges öffentliches Interesse, wie es auf unionsrechtlicher Ebene bisher in Art. 8 Abs. 4 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31 (DS-RL) normiert war. Die dem Art. 8 Abs. 4 DS-RL entsprechende Bestimmung findet sich nun in Art. 9 Abs. 2 lit. g DSGVO, wo nunmehr Gründe eines „erheblichen“ (statt „wichtigen“) öffentlichen Interesses angeführt sind, was in § 13 Abs. 1 entsprechend zu übernehmen ist. Eine Änderung des Norminhalts ist damit nicht verbunden, zumal die englische Sprachfassung des Art. 8 Abs. 4 DS-RL wie jene des Art. 9 Abs. 2 lit. g DSGVO mit „substantial“ (public interest) unverändert blieb.

Über Art. 9 Abs. 2 lit. g hinaus eröffnet die DSGVO eine Reihe weiterer Zulässigkeitstatbestände für die Verarbeitung von Gesundheitsdaten, die das sich insbesondere aus § 13 Abs. 1 ergebende, erhebliche öffentliche Interesse an der Verwendung von ELGA zusätzlich unterstreichen, sodass zur Sicherstellung des Erhalts aller für die Verwendung von ELGA einschlägigen unionsrechtlichen Grundlagen auch auf diese Bezug genommen werden soll, nämlich

– Art. 9 Abs. 2 lit. h DSGVO (vgl. § 13 Abs. 1 Z 1 bis 4 und 6; zur Beschränkung der in Art. 9 Abs. 2 lit. h DSGVO genannten Zwecke siehe die Erläuterungen zu Z 54 [§ 14 Abs. 2]; siehe auch ErwG 52 und 53 DSGVO),

– Art. 9 Abs. 2 lit. i DSGVO (vgl. § 13 Abs. 1 Z 1 bis 4 und 6; siehe auch ErwG 54 DSGVO) sowie

– Art. 9 Abs. 2 lit. j DSGVO („statistische Zwecke“, vgl. § 13 Abs. 1 Z 2 bis 6 sowie weiters § 16 Abs. 5 und § 22 Abs. 5; siehe auch ErwG 162 DSGVO).

Zu der gemäß Art. 9 Abs. 2 lit. g und j DSGVO erforderlichen Verhältnismäßigkeit sowie den gemäß Art. 9 Abs. 2 lit. g, i und j DSGVO erforderlichen angemessenen und spezifischen Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, siehe die Erläuterungen zum Deregulierungsgesetz 2017 (DeregulierungsG 2017), BGBl. I Nr. 40/2017 (ErlRV 1457 BlgNR 25 GP 20 ff).

Zu Z 35 (§ 13 Abs. 6):

Der Begriff der „Betroffenheit“ ist als datenschutzrechtlicher Terminus technicus besetzt, hier jedoch nicht als solcher gemeint und daher – ohne jedwede Änderung des Norminhalts – durch den Begriff der „Zuständigkeit“ zu ersetzen.

Zu Z 40 (§ 14 Abs. 2):

Die Beschränkung der in Art. 9 Abs. 2 lit. h DSGVO genannten Zwecke, d.h. sowohl der (hinsichtlich Gesundheitsdiensten bereits im geltenden Recht bestehende) Ausschluss von Zwecken der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich, als auch der (neu aufzunehmende) Ausschluss von Zwecken der Arbeitsmedizin und Beurteilung der Arbeitsfähigkeit des Beschäftigten (wiederum unter Beibehaltung der in § 14 Abs. 3a genannten Fälle zulässiger Verarbeitung) im GTelG 2012 ist gemäß Art. 9 Abs. 4 DSGVO zulässig.

Zu Z 44 (§ 14 Abs. 5 und Abs. 6):

§ 14 Abs. 5 regelt den Entfall der Meldepflicht an das Datenverarbeitungsregister nach der RL 95/46/EG bzw. dem Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, für ELGA. Mit Inkrafttreten der DSGVO bzw. des Bundesgesetzes, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018), BGBl. I Nr. 120/2017, und gleichzeitigem Außerkrafttreten der RL 95/46/EG bzw. der §§ 17 ff DSG 2000, ginge die Bestimmung des § 14 Abs. 5 ins Leere und ist somit ersatzlos zu streichen sowie der Abs. 6 entsprechend umzubenennen.

Zu Z 59 (§ 20 Abs. 1 und Abs. 2):

Die vorgeschlagenen Änderungen dienen rein der terminologischen Anpassung an die DSGVO, jeweils ohne jedwede Änderung des Norminhalts, wobei zur Bestimmung des Art. 26 DSGVO („Gemeinsam für die Verarbeitung Verantwortliche“) Folgendes festzuhalten ist:

ELGA-Gesundheitsdiensteanbieter (ELGA-GDA) sind ex lege nach § 20 Abs. 1 und 2 GTelG 2012 zuerst Verantwortliche iSd Art. 4 Z 7 DSGVO für die Speicherung von ELGA-Gesundheitsdaten und elektronischen Verweisen (da die Speicherung von ELGA-Gesundheitsdaten in Datenspeichern einerseits, und die Speicherung von Verweisen in Verweisregistern andererseits ein einziger Vorgang ist, wird letztere in weiterer Folge nicht explizit erwähnt). Danach ermittelnde ELGA-GDA sind zwar ihrerseits Verantwortliche für die Ermittlung von ELGA-Gesundheitsdaten, nicht aber für deren vorherige Speicherung – Ermittlung und Speicherung sind zwei voneinander verschiedene Verarbeitungsschritte (siehe Art. 4 Z 2 DSGVO).

Damit üben ELGA-GDA hinsichtlich derselben ELGA-Gesundheitsdaten zwei unterschiedliche Verarbeitungsschritte in zwei unterschiedlichen Rollen aus: einmal als Verantwortliche iSd Art. 4 Z 7 DSGVO für die Speicherung der von „ihren“ ELGA-Teilnehmer/innen erhobenen ELGA-Gesundheitsdaten, und einmal als ermittelnde Empfänger iSd Art. 4 Z 9 DSGVO der von anderen ELGA-GDA gespeicherten und so über ELGA offengelegten ELGA-Gesundheitsdaten. Niemals aber sind ermittelnde ELGA–GDA-Verantwortliche für die vorherige Speicherung von ELGA-Gesundheitsdaten durch andere ELGA-GDA – ebenso wie umgekehrt speichernde ELGA-GDA niemals Verantwortliche für die anschließende Ermittlung durch andere ELGA-GDA sind.

Bereits daraus wird ersichtlich, dass ELGA-GDA keine gemeinsam für die Verarbeitung Verantwortlichen iSd Art. 26 DSGVO sein können.

Darüber hinaus legen ELGA-GDA nicht gemeinsam die Zwecke oder Mittel der Verarbeitung fest: Denn zum einen werden die Zwecke der Verarbeitung (sowohl in Form der Speicherung, als auch der Ermittlung von ELGA-Gesundheitsdaten) in § 13 Abs. 2 iVm § 14 Abs. 2 GTelG 2012 gesetzlich festgelegt und damit nicht (d.h. weder allein, noch insbesondere gemeinsam) von den ELGA-GDA. Zum anderen legen ELGA-GDA die Mittel der Verarbeitung nicht gemeinsam fest, sondern jeder für sich allein: Denn die Speicherung von ELGA-Gesundheitsdaten (und Verweisen) – mit Ausnahme der Medikationsdaten, dazu sogleich – erfolgt dezentral, worüber jeder ELGA-GDA, unter Beachtung der gesetzlichen Vorgaben in § 20 Abs. 1 iVm § 28 Abs. 2 Z 5 GTelG 2012 für Datenspeicher (bzw. § 20 Abs. 2 GTelG für Verweisregister), selbst und jeweils für sich allein entscheidet.

Medikationsdaten werden zwar im e-Medikationssystem gemäß § 16a GTelG 2012 zentral gespeichert, allerdings nicht aufgrund alleiniger oder gar gemeinsamer Festlegung durch ELGA-GDA, sondern – wie schon die Zwecke der Verarbeitung – aufgrund gesetzlicher Festlegung. Überdies bestehen auch bei Verarbeitung der e-Medikation zwei unterschiedliche Schritte in jeweils unterschiedlichen Rollen, nämlich einerseits die Erstellung medikamentöser Verordnungen durch Ärztinnen und Ärzte, und andererseits die Abgabe von Medikamenten in Apotheken.

Im Ergebnis sind damit ELGA-GDA hinsichtlich sämtlicher ELGA-Gesundheitsdaten (einschließlich Medikationsdaten) keine gemeinsam für die Verarbeitung Verantwortlichen iSd Art. 26 DSGVO, womit dessen Vorgaben für ELGA-GDA nicht gelten.

Zu Z 60 (§ 20 Abs. 3):

Zu den Betreibern siehe die Erläuterungen zu Z 25 (§ 6 Abs. 3).

Zu Z 61 (§ 20 Abs. 4 Z 2):

Siehe zu dem „für den technischen Betrieb Verantwortlichen“ sinngemäß die Erläuterungen zu Z 25 (§ 6 Abs. 3).

Zu Z 66 (§ 22 Abs. 5 Z 5):

Pseudonymisierte Daten iSd DSGVO sind nicht deckungsgleich mit nur indirekt personenbezogenen Daten iSd DSG 2000. Eine Pseudonymisierung liegt nur dann vor, wenn der die Daten Verarbeitende (gar) keine Möglichkeit hat, die Zuordnung zwischen Pseudonym und Personenkennung herzustellen. Bei nur indirekt personenbezogenen Daten iSd DSG 2000 hingegen hat der die Daten Verarbeitende (nur) keine legale Möglichkeit dazu. Nur indirekt personenbezogene Daten entsprechen also bis auf die Zulässigkeit der Mittel zur Identifizierbarkeit den pseudonymisierten Daten, weswegen hier die inhaltliche Einschränkung auf „rechtlich zulässige Mittel“ vorgenommen wird (vgl. § 7 Abs. 1 Z 3 Datenschutz-Anpassungsgesetz 2018). Durch die vorgeschlagene Änderung kommt es zu keinerlei Änderung des Norminhalts.

Zu Z 70 (§ 24 Abs. 2):

Zu den Betreibern siehe die Erläuterungen zu Z 25 (§ 6 Abs. 3).

Zu Z 73 (§ 24a Abs. 1 Z 3):

Siehe die Erläuterungen zu Z 40 (§ 14 Abs. 2).

Zu Z 74 (§ 25):

Die in § 25 GTelG 2012 idgF genannten Verstöße fallen, mit Ausnahme des § 25 Abs. 1 Z 6, allesamt unter Art. 83 DSGVO, weshalb die Bestimmung, entsprechend dem unionsrechtlichen Transformationsverbot, anzupassen war. Durch die Nicht-Teilnahme an ELGA oder die Ausübung der Teilnehmer/innen/rechte darf es bereits nach geltendem Recht (§ 16 Abs. 3) zu keiner Schlechterstellung kommen und soll durch § 25 diese Rechtslage beibehalten werden: Sanktioniert soll dabei nicht ein Verstoß gegen die Rechte von ELGA-Teilnehmer/innen (vgl. Art. 83 Abs. 5 lit. b DSGVO) werden, sondern es soll eine Diskriminierung aufgrund der Ausübung dieser Rechte sanktioniert werden. Der Anwendungsbereich der DSGVO ist nicht eröffnet, weswegen diese Bestimmung auch keiner Rechtfertigung unter der DSGVO bedarf.

Zu Z 75 (§ 26 Abs. 6):

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Zu Z 77 (§ 27 Abs. 9):

Siehe sinngemäß die Erläuterungen zu Z 35 (§ 13 Abs. 6).

Zu Z 81 (§ 28 Abs. 2 Z 1):

Siehe sinngemäß die Erläuterungen zu Z 35 (§ 13 Abs. 6).

Zu Z 82 (§ 28 Abs. 2 Z 3):

Siehe sinngemäß die Erläuterungen zu Z 35 (§ 13 Abs. 6).

Zu Z 84 (§ 28 Abs. 2 Z 11):

Zu den Betreibern siehe die Erläuterungen zu Z 25 (§ 6 Abs. 3).

Zu Z 85 (§ 28 Abs. 2a Z 1):

Siehe sinngemäß die Erläuterungen zu Z 35 (§ 13 Abs. 6).

Zu Z 86 (§ 28 Abs. 4):

Zum Begriff der „Betroffenheit“ siehe sinngemäß die Erläuterungen zu Z 35 (§ 13 Abs. 6).

Zu Art. 73 (Änderung des Gentechnikgesetzes)

Zu Z 1 und 2 (§ 66 Abs. 1 und 3 GTG):

Die vorgeschlagenen Änderungen zu Abs. 1 sind nicht inhaltlicher Natur, sondern betreffen begriffliche Anpassungen bzw. Klarstellungen. Die Terminologie wurde dabei bereits im Begutachtungsentwurf geändert und auf Grund von Stellungnahmen im Rahmen des Begutachtungsverfahrens nochmals adaptiert. Der Begriff des Anonymisierens wurde durch den Begriff der De-Identifikation ersetzt. Damit ist das Entfernen von Merkmalen gemeint, die die eindeutige Identifizierung einer Person ermöglichen, zB Name, Geburtsdatum etc. Die De-Identifikation der genetischen Daten ist erforderlich, da die sensiblen genetischen Daten ihrer Natur nach zeitlich unbegrenzt geschützt werden müssen (Stichwort: „Gläserner Mensch“). Darüber hinaus können die aus den genetischen Daten gewinnbaren Informationen nicht nur auf die betroffene Person selbst, sondern auch auf ihre Nachkommen enorme Auswirkungen haben. Es handelt sich somit bei genetischen Daten um eine Gruppe personenbezogener Daten, denen eine noch höhere Sensibilität zukommt, als dies bei Gesundheitsdaten ohnehin bereits der Fall ist. Mit Abs. 1 dritter Satz wird klargestellt, dass im Fall der Verknüpfung nicht genetische medizinische und genetische Daten derselben Person ebenfalls de-identifiziert werden müssen, da andernfalls die genetischen Daten nicht ausreichend geschützt wären. Die bisherige Regelung des Widerrufs entfällt im Hinblick auf die Bestimmungen des Art. 7 Abs. 3 DSGVO (Bedingungen für die Einwilligung) iVm Art. 9 Abs. 4 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten). Der neue Abs. 3 verweist auf einschlägige Bestimmungen des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981 i.d.F der Anpassung an die DSGVO, die auch hier Anwendung finden.

Zu Z 3 (§ 71):

Die vorgeschlagenen Änderungen sind nicht inhaltlicher Natur, sondern es wurden nur jene Bestimmungen entfernt, die bereits durch die DSGVO festgelegt sind, weiter wurden terminologische Anpassung an die DSGVO vorgenommen. Darüber hinaus wird nun auf das Datenschutzgesetz (DSG) verwiesen.

Zu Z 4 und 5 (§§ 71a Abs. 2 und 106):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO.

Zu Z 6 (§ 109 Abs. 3 Z 37):

Die Änderung dient der Anpassung an die Neufassung der §§ 66 und 71.

Zu Z 7 (§ 113c):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.

Zum 2. Abschnitt (Sozialversicherungswesen): Art. 74 bis 78 (Änderungen des Allgemeinen Sozialversicherungsgesetzes, des Gewerblichen Sozialversicherungsgesetzes, des Bauern-Sozialversicherungsgesetzes, des Beamten-Kranken- und Unfallversicherungsgesetzes und des Notarversicherungsgesetzes 1972)

Zu den Art. 1 bis 5 (§§ 31 Abs. 4 Z 10 und Abs. 11, 31a Abs. 2, 4 und 4a, 31b Abs. 1 und 2, 41a Abs. 5, 42b Abs. 1, 2, 4 und 5, 84a Abs. 5 Z 2, 186 Abs. 2, 321 Abs. 1, 360 Abs. 6, 418 Abs. 7 und 460e ASVG; §§ 183 Abs. 1, 195 Abs. 8 und 231a GSVG; §§ 171 Abs. 1 und 219a BSVG; §§ 119, 131 Abs. 4 und 159a B-KUVG; § 88b NVG):

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1, beschlossen. Die DSGVO ist am 25. Mai 2016 in Kraft getreten, tritt am 25. Mai 2018 in Geltung und hebt mit 25. Mai 2018 die Richtlinie 95/46/EG auf.

Das geltende Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, setzt die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, in innerstaatliches Recht um.

Die DSGVO ist unmittelbar wirksam; eine dennoch notwendige Durchführung dieser Verordnung erfolgte mit dem Datenschutz-Anpassungsgesetz 2018, das mit 25. Mai 2018 in Kraft tritt.

Mit dem vorliegenden Sammelgesetz sollen die Sozialversicherungsgesetze mit Wirksamkeit ab 25. Mai 2018 an die ab diesem Zeitpunkt geltenden datenschutzrechtlichen Begrifflichkeiten angepasst werden.

Für den Anwendungsbereich der DSGVO können auf Grund des unionsrechtlichen Transformationsverbotes – anders als bislang in § 4 DSG 2000 – auf nationaler Ebene keine datenschutzrechtlichen Begrifflichkeiten definiert werden. Materienspezifische Datenschutzregelungen müssen daher an die neue Terminologie angepasst werden:

Auftraggeber (§ 4 Z 4 DSG 2000) – Verantwortlicher (Art. 4 Z 7 DSGVO),

Dienstleister (§ 4 Z 5 DSG 2000) – Auftragsverarbeiter (Art. 4 Z 8 DSGVO),

Datenanwendung (§ 4 Z 7 DSG 2000) – Datenverarbeitung (Art. 4 Z 2 DSGVO),

Verwenden von Daten (§ 4 Z 8 DSG 2000) – Verarbeitung (Art. 4 Z 2 DSGVO),

Zustimmung (§ 4 Z 14 DSG 2000) – Einwilligung (Art. 4 Z 11 DSGVO).

Der Begriff „Daten“ (§ 4 Z 1 DSG 2000) soll – soweit sich daraus keine Einschränkung ergibt – durch den Begriff „personenbezogene Daten“ ersetzt werden.

Zum 4. Hauptstück (Sport)

Allgemeines

Hauptgesichtspunkte:

Es werden Anpassungen in den datenschutzrechtlichen Bestimmungen

– des Bundes-Sportförderungsgesetzes 2017 – BSFG 2017, BGBl. I Nr. 100/2017,

– des Anti-Doping-Bundesgesetzes 2007 – ADBG 2007, BGBl. I Nr. 30/2007,

– des Bundesgesetzes über die Neuorganisation der Bundessporteinrichtungen – BSEOG, BGBl. I Nr. 149/1998 sowie

– des Militärberufsförderungsgesetzes 2004 – MilBFG 2004, BGBl. I Nr. 130/2003,

an die Datenschutz-Grundverordnung vorgenommen.

Im Übrigen wird auf die Ausführungen im Allgemeinen Teil und im Vorblatt verwiesen.

Kompetenzgrundlage:

Die Zuständigkeit des Bundes zur Erlassung des vorgeschlagenen Bundesgesetzes ergibt sich hinsichtlich dieses Hauptstücks

1. hinsichtlich des Art. 79 (BSFG 2017) aus Art. 17 B‑VG (Privatwirtschaftsverwaltung),

2. hinsichtlich des Art. 80 (ADBG 2007) aus Art. 17 (Privatwirtschaftsverwaltung), Art. 10 Abs. 1 Z 6 (Strafrechtswesen) und Art. 10 Abs. 1 Z 12 (Gesundheitswesen) sowie Art. 10 Abs. 1 Z 2 B‑VG (Zollwesen),

3. hinsichtlich des Art. 81 (BSEOG) aus Art. 17 B‑VG (Privatwirtschaftsverwaltung),

4. hinsichtlich des Art. 82 (MilBFG 2004) aus Art. 10 Abs. 1 Z 16 B‑VG (Dienstrecht und Personalvertretungsrecht der Bundesbediensteten).

Datenschutz-Folgenabschätzung:

Eine Datenschutz-Folgenabschätzung ist den Erläuterungen als Anlage angeschlossen.

Zu Art. 79 (Änderung des Bundes-Sportförderungsgesetzes 2017)

Zu Art. 79 Z 1 und 2 (§ 26 BSFG 2017):

Die Förderung des Sports in Österreich ist ein gesamtgesellschaftliches Anliegen und stellt ein wichtiges öffentliches Interesse dar.

In Abs. 1 erfolgt zusätzlich zur bereits bestehenden Ermächtigung der Bundesministerin/des Bundesministers für öffentlichen Dienst und Sport zur Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten die Klarstellung, dass sie/er sich zur Wahrnehmung ihrer/seiner Aufgaben nach diesem Bundesgesetz und zum Zwecke der Vollziehung dieses Bundesgesetzes Auftragsverarbeiter bedienen darf.

Abs. 2 regelt die bereits bestehende Ermächtigung der Bundes-Sport GmbH zur Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten.

In Abs. 3 erfolgt zusätzlich zur bereits bestehenden Ermächtigung des den Fußball vertretenden Bundes-Sportfachverbandes, der Bundes-Sportdachverbände und des gesamtösterreichischen Verbandes alpiner Vereine zur Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten die Klarstellung, dass diese Ermächtigung nur zum Zwecke der Gewährung von Bundes-Vereinszuschüssen nach dem BSFG 2017 erfolgt. Sonstige Datenverarbeitungen oder Übermittlungen sind anhand ihrer jeweiligen Rechtsgrundlage zu beurteilen.

Die Abs. 1 bis 3 unterstellen die Ermächtigung zur Datenverarbeitung zum jeweils genannten Zweck dem Kriterium der Erforderlichkeit, das für die Abs. 1 und 2 in Abs. 4 näher dargelegt wird. Die Erforderlichkeit gemäß Abs. 3 ergibt sich aufgrund der strengen Einschränkung der Datenverarbeitung zum Zwecke der Gewährung von Bundeszuschüssen direkt aus Abs. 3.

Abs. 4 bestimmt, dass besondere Kategorien personenbezogener Daten – mit Ausnahme der Daten zur Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern – nur verarbeitet werden dürfen, sofern dies unbedingt erforderlich ist. Unbedingt erforderlich ist eine Verarbeitung besonderer Kategorien personenbezogener Daten dann, wenn mit der Verarbeitung personenbezogener Daten alleine nicht das Auslangen gefunden werden kann. So wird ein entsprechend höheres Schutzniveau für besondere Kategorien personenbezogener Daten vorgesehen. Die Verarbeitung besonderer Kategorien personenbezogener Daten wird auf Art. 9 Abs. 2 lit. g und i DSGVO gestützt.

Sofern eine betroffene Person ihre Rechte nach der DSGVO gegenüber einem unzuständigen Verantwortlichen gemäß Abs. 1 bis 3 ausübt, hat dieser sie an den zuständigen Verantwortlichen zu verweisen. Die Benennung einer/eines Datenschutzbeauftragten gemäß Art. 37 bis 39 DSGVO erfolgt durch den jeweiligen Verantwortlichen unmittelbar aufgrund der DSGVO.

Bei der Geltendmachung von Betroffenenrechten ist darauf zu achten, dass die Rechte Dritter nicht nachteilig beeinflusst werden, was insbesondere bei namentlicher Nennung Dritter der Fall sein kann. Die Übermittlung von Informationen kann bei Verständigung der betroffenen Person durch gesicherten Fernzugriff, also durch Abholung erfolgen. Es wird auf Art. 12 DSGVO verwiesen, der die transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der Betroffenen regelt.

In Abs. 6 bis 9 wird von der in Art. 23 DSGVO eröffneten Möglichkeit der Beschränkung der Pflichten und Rechte gemäß Art. 5, 12 bis 22 und 34 DSGVO Gebrauch gemacht. Dies erfolgt unter Beachtung des Wesensgehalts der Grundrechte und Grundfreiheiten. Dabei kommen die Grundsätze der Notwendigkeit und der Verhältnismäßigkeit zur Anwendung. Derartige Beschränkungen von Rechten und Pflichten müssen darüber hinaus der Sicherstellung bestimmter Zwecke dienen, unter denen beispielsweise in Art. 23 Abs. 1 lit. e DSGVO der „Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit“ genannt wird. Sport vermittelt von der gesundheits- bis zur spitzensportbestimmten Ausübung wichtige Werte des gesellschaftlichen Miteinanders und Zusammenlebens wie Toleranz, Fairness und Respekt gegenüber anderen, führt Menschen unterschiedlicher Kulturen und sozialer Hintergründe zusammen, verbindet Generationen, fördert Gesundheit, Gemeinsamkeit, Integration, Kommunikation, Solidarität und Begeisterung für eine gemeinsame Sache, überwindet politische Grenzen, baut Vorurteile ab und leistet einen wichtigen Beitrag zur Persönlichkeits- und Identitätsfindung der einzelnen Menschen, insbesondere jener mit Behinderung. Sport motiviert insbesondere junge Menschen und jene, die noch keinen Sport betreiben, durch die Vorbildfunktion der Sportlerinnen/Sportler diese positiven Werte und Verhaltensweise zu übernehmen. Die Förderung des Sports in Österreich ist daher ein gesamtgesellschaftliches Anliegen und stellt ein wichtiges öffentliches Interesse dar. Insbesondere ist es erforderlich, dass im Bereich der Bundes-Sportförderung die Überprüfbarkeit und Nachvollziehbarkeit der Gewährung, Evaluierung und Kontrolle der Förderungen sowie die Kontrolle der widmungsgemäßen Verwendung der Fördermittel gegeben und Transparenz im Zusammenhang mit dem Einsatz öffentlicher Mittel gewährleistet ist. Dies dient insbesondere auch der Vermeidung von Doppelförderungen sowie der Revisionssicherheit. Es ist daher erforderlich und sachgerecht, gewisse Beschränkungen der Rechte der betroffenen Personen vorzunehmen.

Ein Verantwortlicher ist nach der DSGVO zur Berichtigung, Aktualisierung oder Vervollständigung von personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten, die durch ihn verarbeitet werden, verpflichtet. Dies ergibt sich einerseits aus Art. 5 Abs. 1 lit. d DSGVO und andererseits aus dem Recht der betroffenen Person auf Berichtigung gemäß Art. 16 DSGVO. Der Rechtskraft fähige Erledigungen enthalten personenbezogene Daten und unter Umständen auch besondere Kategorien personenbezogener Daten, die grundsätzlich dem Recht auf beziehungsweise der Pflicht zur Berichtigung gemäß den Bestimmungen der DSGVO unterliegen. Da sich daraus ein Spannungsverhältnis zum allgemeinen Konzept der Rechtskraft beziehungsweise der Verjährung ergibt, ist eine Beschränkung des Grundsatzes der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO sowie des Rechtes auf Berichtigung gemäß Art. 16 DSGVO vorgesehen. Abs. 6 beschränkt den Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO sowie das Recht auf Berichtigung gemäß Art. 16 DSGVO bei unrichtigen oder unvollständigen personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten insoweit, als einer Berichtigung die Rechtskraft oder die Verjährung entgegenstehen, oder wenn ein zumutbarer Rechtsweg besteht oder bestand. Dies dient nicht nur dem Schutz des jeweils vorgesehenen Verfahrens, sondern stellt insbesondere klar, dass das Recht auf Berichtigung auch im Anwendungsbereich des BSFG 2017 nicht der Umgehung anderer rechtlicher Vorschriften oder eines durch den Gesetzgeber vorgesehenen Rechtsweges dient. Dass eine nicht inhaltsändernde Stellungnahme abgegeben werden kann, bedeutet, dass im Sinne einer Vervollständigung oder ergänzenden Erklärung zwar von den personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten abweichende Inhalte angeführt werden können, diese Inhalte der personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten gemäß Abs. 1 bis 3 aber aufgrund der Stellungnahme nicht geändert werden dürfen. Die Wahrung der Rechtssicherheit und Rechtsbeständigkeit stellt ein wichtiges Ziel des allgemeinen öffentlichen Interesses dar und daher ist eine Beschränkung im Ausmaß des Abs. 6 von Art. 23 Abs. 1 lit. e DSGVO gedeckt.

Abs. 7 stellt klar, dass für zulässig verarbeitete Daten das Recht auf Löschung gemäß Art. 17 DSGVO für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung ausgeschlossen ist. Eine solche Möglichkeit besteht gemäß Art. 17 Abs. 3 DSGVO zur Erfüllung einer rechtlichen Verpflichtung, wie beispielsweise einer Aufbewahrungspflicht, die die Verarbeitung nach dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Zur Aufrechterhaltung der Bundes-Sportförderung als wichtiges öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten von betroffenen Personen verbundenen Kontroll-, Überwachungs- und Ordnungsfunktion ist die gesetzlich vorgesehene Verarbeitung der genannten Daten bis zum Ablauf der durch Gesetz oder durch Verordnung bestimmten Frist der Aufbewahrungspflicht erforderlich. Dies gilt umso mehr, als zu Unrecht bezogene Förderungen zurückgefordert können werden müssen. Auf Art. 17 Abs. 3 lit. e DSGVO wird hingewiesen. Macht eine betroffene Person glaubhaft, dass die Aufbewahrung ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigt, so kann auf Antrag der betroffenen Person für die verbleibende Dauer der Aufbewahrungspflicht eine Speicherung ohne Aufbereitung vorgesehen werden, wenn für diesen Zeitraum keine weitere Verarbeitung vorgesehen ist.

Abs. 8 regelt eine Beschränkung des Rechtes auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Die Überprüfung der Richtigkeit der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten der betroffenen Person soll nicht dazu führen, dass die Datenverarbeitung einzuschränken wäre, was die Überprüfbarkeit und Nachvollziehbarkeit der Gewährung, Evaluierung und Kontrolle der Förderungen sowie die Kontrolle der widmungsgemäßen Verwendung der Fördermittel und die Transparenz im Zusammenhang mit dem Einsatz öffentlicher Mittel beeinträchtigen würde, weswegen für den Anwendungsbereich der Abs. 1 bis 3 eine Beschränkung des Rechtes auf Einschränkung der Verarbeitung im erforderlichen Ausmaß sachgerecht ist. Gleiches gilt für den Zeitraum, in dem die betroffene Person ihr Recht auf Widerspruch geltend gemacht hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Eine Beschränkung des Rechtes auf Einschränkung der Verarbeitung ist auch im Lichte des wichtigen wirtschaftlichen und finanziellen Interesses des Staates erforderlich und sachgerecht im Sinne des Art. 23 Abs. 1 lit. e DSGVO, da etwa die rechtskonforme Abwicklung von Bundes-Sportförderungen und die Vermeidung von Doppelförderungen sowie die Revisionssicherheit wichtige Ziele des allgemeinen öffentlichen Interesses darstellen, deren Schutz die Beschränkung gemäß Abs. 8 rechtfertigt.

Aufgrund des überwiegenden, berechtigten öffentlichen Interesses an der Verarbeitung der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten gemäß Abs. 1 bis 3 ist es erforderlich und sachgerecht, das Recht auf Widerspruch gemäß Art. 21 DSGVO in Abs. 9 für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung auszuschließen, sofern die betroffene Person nicht Gründe nachweisen kann, die sich aus ihrer besonderen Situation ergeben und die die Ziele der Beschränkung des Rechtes auf Widerspruch überwiegen. Die Erforderlichkeit und Sachlichkeit dieser Beschränkung ergibt sich aus dem überwiegenden, berechtigten öffentlichen Interesse an der Überprüfbarkeit und Nachvollziehbarkeit der Gewährung, Evaluierung und Kontrolle der Förderungen sowie der Kontrolle der widmungsgemäßen Verwendung der Fördermittel und der Transparenz im Zusammenhang mit dem Einsatz öffentlicher Mittel sowie der Notwendigkeit der Nachvollziehbarkeit und der Gewährleistung der Revisionssicherheit. Verarbeitungen gemäß Abs. 1 bis 3 unterstehen dem Grundsatz der Erforderlichkeit. Es wird daher eine sachgerechte und erforderliche Beschränkung des Rechtes auf Widerspruch gemäß Art. 21 DSGVO im Sinne des Art. 23 DSGVO für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung vorgeschlagen, sofern nicht eine beschriebene besondere Situation vorliegt. In Fällen, in denen das Widerspruchsrecht nicht gemäß Abs. 9 eingeschränkt ist, kann sich direkt aus Art. 21 Abs. 1 letzter Satz und Abs. 6 letzter Satz DSGVO ergeben, dass trotz Widerspruchs eine Verarbeitung personenbezogener Daten oder besonderer Kategorien personenbezogener Daten zulässig ist.

In Abs. 10 wird zur Klarstellung im Umfang der bereits bestehenden zehnjährigen Aufbewahrungsfrist eine Aufbewahrungspflicht für Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, vorgesehen.

Abs. 11 stellt klar, dass die in Abs. 4 bis 10 angeführten Bestimmungen ausschließlich für Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, gemäß Abs. 1 bis 3 gelten.

Zu Art. 79 Z 3 und 6 (§ 28 Abs. 5 und § 39 Abs. 1 Z 5 und 6 BSFG 2017):

Es erfolgen insbesondere terminologische Anpassungen an das neue Datenschutzrecht.

Zu Art. 79 Z 4 und 5 (§ 39 Abs. 1 BSFG 2017):

Neben terminologischen Anpassungen an das neue Datenschutzrecht wird aus Gründen der Information der Bevölkerung und Transparenz, insbesondere zur Vermeidung von Doppelförderungen und zu Dokumentationszwecken, festgelegt, dass neben der Bundes-Sport GmbH auch die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport zur Zugänglichmachung der angeführten Daten, insbesondere der erforderlichen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten, über das Internet verpflichtet ist. Diese Verpflichtung zur Zugänglichmachung im Internet trifft jeweils die Bundes-Sportförderung gewährende Stelle.

Zu Art. 79 Z 7 (§ 40 BSFG 2017):

Unbedingt erforderlich ist die Aufnahme personenbezogener Daten und besonderer Kategorien personenbezogener Daten, wenn ohne diese Daten nicht das Auslangen gefunden werden kann, um insbesondere dem Grundsatz der Transparenz gerecht zu werden.

Zu Art. 80 (Änderung des Anti-Doping-Bundesgesetzes 2007)

Zu Art. 80 Z 1 bis 11 und 13 bis 41 (Inhaltsverzeichnis, § 1 Abs. 1, § 1a Z 13 und 14, § 2 Abs. 2, § 3 Abs. 1 bis 4, § 4 Abs. 1, 3 und 8, § 6 Abs. 4, § 7, § 8 Abs. 2, § 9 Abs. 8, § 11 Abs. 3 bis 6, § 14a, § 15 Abs. 2, § 15a Abs. 1 und 3, § 17 Abs. 2, 5, 7, 8, 11 und 14, § 19 Abs. 1, 3 und 5, § 21 Abs. 1 und 3, § 22b Abs. 2, Überschrift zu § 22c und § 22c Abs. 1 und 2 ADBG 2007):

Es erfolgen insbesondere terminologische Anpassungen an das neue Datenschutzrecht.

Zu Art. 80 Z 12 (§ 4 Abs. 6 bis 6d ADBG 2007):

In Abs. 6 erfolgt zusätzlich zur bereits bestehenden Ermächtigung der Unabhängigen Dopingkontrolleinrichtung zur Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten die Klarstellung, dass diese Ermächtigung insbesondere auch die Datenverarbeitung der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission umfasst und dass sich die Unabhängige Dopingkontrolleinrichtung zur Wahrnehmung ihrer Aufgaben nach dem ADBG 2007 und zum Zwecke der Vollziehung des ADBG 2007 Auftragsverarbeiter bedienen darf.

Abs. 6 unterstellt die Ermächtigung zur Datenverarbeitung zum jeweils genannten Zweck dem Kriterium der Erforderlichkeit, das in Abs. 6a näher dargelegt wird.

Abs. 6a bestimmt, dass besondere Kategorien personenbezogener Daten nur verarbeitet werden dürfen, sofern dies unbedingt erforderlich ist. Unbedingt erforderlich ist eine Verarbeitung besonderer Kategorien personenbezogener Daten dann, wenn mit der Verarbeitung personenbezogener Daten alleine nicht das Auslangen gefunden werden kann. So wird ein entsprechend höheres Schutzniveau für besondere Kategorien personenbezogener Daten vorgesehen. Die Verarbeitung besonderer Kategorien personenbezogener Daten wird auf Art. 9 Abs. 2 lit. g und i DSGVO gestützt.

Abs. 6b ermächtigt die Unabhängige Dopingkontrolleinrichtung, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, unbeschadet der Bestimmung des § 22c Abs. 1, die bei der Vollziehung des ADBG 2007 verarbeiteten personenbezogenen Daten auf begründetes und zu dokumentierendes Ersuchen einer zuständigen Behörde gemäß § 36 Abs. 2 Z 7 des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999, oder einer sonstigen Behörde erforderlichenfalls unter den im Gesetz angeführten Voraussetzungen zu verarbeiten. Beispielhaft können als zuständige Behörden kriminalpolizeiliche Behörden oder Justizbehörden, insbesondere Staatsanwaltschaften oder Gerichte, genannt werden. Die Beschränkung der Rechte der betroffenen Person gemäß Art. 23 DSGVO erfolgt im notwendigen und verhältnismäßigen Ausmaß im Rahmen einer Einzelfallprüfung, liegt im allgemeinen öffentlichen Interesse und stellt sicher, dass die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit gewährleistet ist. Die zuständige Behörde soll durch die Vornahme der erforderlichen bloßen Verarbeitung durch die Unabhängige Dopingkontrolleinrichtung unterstützt werden. Diese Verarbeitung dient primär den Zwecken des ADBG 2007 und wird von der Unabhängigen Dopingkontrolleinrichtung durchgeführt, deren Hauptaufgabe nicht im Bereich der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten liegt, weswegen der Anwendungsbereich der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 04.05.2016 S. 89, nicht eröffnet ist.

Im Einzelfall ist zu prüfen, in welchem Ausmaß die Rechte der betroffenen Person gemäß Art. 12 bis 22 DSGVO in der Zeit vom Einlangen des Ersuchens bis zum Zeitpunkt der Information der betroffenen Person beschränkt werden müssen, damit die Verwirklichung der Zwecke des Ersuchens nicht unmöglich gemacht oder ernsthaft beeinträchtigt wird. Dabei kommen die Grundsätze der Notwendigkeit und der Verhältnismäßigkeit zur Anwendung. Da die entsprechenden Beschränkungen der Rechte der betroffenen Person bereits in Abs. 6b kundgemacht werden und eine Unterrichtung über die Beschränkung im Einzelfall dem Zwecke der Beschränkung abträglich wäre, ist ein Informieren der betroffenen Person erst vorgesehen, sobald es nicht mehr dem Zweck des Ersuchens zuwiderläuft oder zuwiderlaufen kann. Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung ergeben sich aus den jeweiligen Verfahrensrechten. Für den Bereich des Abs. 6b, also der bloßen Verarbeitung aufgrund eines entsprechenden Ersuchens, insbesondere auch im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, ist die Unabhängige Dopingkontrolleinrichtung Verantwortlicher gemäß Art. 4 Z 7 DSGVO. Das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO hat erst nach Mitteilung durch die ersuchende zuständige Behörde an die Unabhängige Dopingkontrolleinrichtung zu erfolgen. Zudem wird der betroffenen Person ein Recht zur Stellungnahme gegenüber der Unabhängigen Dopingkontrolleinrichtung eingeräumt.

In Abs. 6c wird die bereits bestehende Ermächtigung der Unabhängigen Dopingkontrolleinrichtung zur Übermittlung von Analyseergebnissen von Dopingkontrollen, Entscheidungen in Anti-Doping-Verfahren und erteilten medizinischen Ausnahmegenehmigungen geregelt. Die Zuständigkeit der zuständigen Nationalen Anti-Doping-Organisation richtet sich nach der Zuständigkeit für die jeweilige Sportlerin/den jeweiligen Sportler.

In Abs. 6d wird die bereits bestehende Ermächtigung der Unabhängigen Dopingkontrolleinrichtung, der World Anti-Doping Agency (WADA) auf begründetes und zu dokumentierendes Ersuchen der WADA personenbezogene Daten und besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, die einer erteilten medizinischen Ausnahmegenehmigung gemäß § 8 zugrunde gelegt wurden, soweit dies im World Anti-Doping Code (WADC) vorgesehen ist, erforderlichenfalls zu übermitteln, geregelt.

Zu Art. 80 Z 42 (§ 22c Abs. 2a ADBG 2007):

In § 22c Abs. 2a erfolgt eine notwendige und verhältnismäßige Einschränkung der Betroffenenrechte bei der Übermittlung von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten. Auf die Ausführungen zu § 4 Abs. 6b wird sinngemäß verwiesen.

Zu Art. 81 (Änderung des Bundesgesetzes über die Neuorganisation der Bundessporteinrichtungen)

Zu Art. 81 Z 1 (§ 10a BSEOG):

Die Förderung des Sports in Österreich ist ein gesamtgesellschaftliches Anliegen und stellt ein wichtiges öffentliches Interesse dar.

In Abs. 1 wird die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, soweit dies zur Wahrnehmung ihrer/seiner Aufgaben nach dem BSEOG und zum Zwecke der Vollziehung des BSEOG erforderlich ist, personenbezogene Daten und besondere Kategorien personenbezogener Daten zu verarbeiten. Es wird klargestellt, dass sie/er sich zur Wahrnehmung ihrer/seiner Aufgaben nach diesem Bundesgesetz und zum Zwecke der Vollziehung dieses Bundesgesetzes Auftragsverarbeiter bedienen darf.

Abs. 2 ermächtigt die Bundes-Sport GmbH, als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ausschließlich zum Zwecke der Wahrnehmung ihrer Aufgaben gemäß § 5 Abs. 2 und § 10 erforderlichenfalls personenbezogene Daten und besondere Kategorien personenbezogener Daten zu verarbeiten. Diese Ermächtigung erfolgt nur zu den in § 5 Abs. 2 und § 10 angeführten Zwecken. Sonstige Datenverarbeitungen oder Übermittlungen sind anhand ihrer jeweiligen Rechtsgrundlage zu beurteilen.

Abs. 3 ermächtigt die Bundessporteinrichtungen Gesellschaft mbH, als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ausschließlich zum Zwecke der Wahrnehmung ihrer Aufgaben gemäß § 5 Abs. 2 und § 10 erforderlichenfalls personenbezogene Daten und besondere Kategorien personenbezogener Daten zu verarbeiten. Diese Ermächtigung erfolgt nur zu den in § 5 Abs. 2 und § 10 angeführten Zwecken. Sonstige Datenverarbeitungen oder Übermittlungen sind anhand ihrer jeweiligen Rechtsgrundlage zu beurteilen.

Die Abs. 1 bis 3 unterstellen die Ermächtigung zur Datenverarbeitung zum jeweils genannten Zweck dem Kriterium der Erforderlichkeit, das für Abs. 1 in Abs. 4 näher dargelegt wird. Die Erforderlichkeit gemäß Abs. 2 und 3 ergibt sich aufgrund der strengen Einschränkung der Datenverarbeitung zu den dort angefühten Zwecken direkt aus Abs. 2 und 3.

Hinsichtlich der Abs. 4 bis 11 wird sinngemäß auf die Erläuterungen zu § 26 BSFG 2017 verwiesen.

Zu Art. 82 (Änderung des Militärberufsförderungsgesetzes 2004)

Zu Art. 81 Z 1 (§ 4 Abs. 3 MilBFG 2004):

Aufgrund der umfassenden Neuregelung der Datenverarbeitung in den §§ 280 bis 280b des Beamten-Dienstrechtsgesetzes 1979 – BDG 1979, BGBl. Nr. 333/1979, kann § 4 Abs. 3 entfallen.

Einzelne der derzeit in § 4 DSG 2000 definierten Begriffe werden in der DSGVO nicht verwendet: Insbesondere ist der DSGVO und, soweit es diese umsetzt, dem Datenschutzgesetz in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2017 der Begriff des Informationsverbundsystems (bisher § 4 Z 13 DSG 2000) unbekannt. An dessen Stelle tritt gleichsam als Nachfolgekonstruktion die Regelung des Art. 26 DSGVO über die „gemeinsamen Verantwortlichen“. Demgemäß wird vorgeschlagen, das Risiko- und Auffälligkeitsanalyse-Tool nach § 42b Abs. 4 ASVG als „System gemeinsamer Verantwortlicher“ auszugestalten.

Zum 5. Hauptstück (Verkehr, Innovation und Technologie)

Allgemeines

Hauptgesichtspunkte:

Der vorliegende Entwurf enthält die im Hinblick auf das Wirksamwerden der Datenschutz-Grundverordnung und die erfolgte Anpassung des Datenschutzgesetzes erforderlichen Anpassungen von Bundesgesetzen im Wirkungsbereich des Bundesministeriums für Verkehr, Innovation und Technologie.

Bei den im Führerscheingesetz (Art. 88) und dem Kraftfahrgesetz (Art. 93) als anonymisiert bezeichnete Daten handelt es sich nicht um Daten, bei welchen jeglicher Personenbezug entfernt wurde. Vielmehr wurde der Personenbezug nur für den Empfänger entfernt und ist es für diesen unmöglich, einen Bezug zur Identität des Betroffenen herzustellen.

Die Änderung der Bezeichnung „anonymisiert“ auf „pseudonymisiert“ ändert daher die bisherige Vorgangsweise und damit das Schutzniveau der übermittelten Daten in keiner Weise, vielmehr wird zum Ausdruck gebracht, dass – im Sinne des Art. 4 Z 5 DSGVO – die übermittelten personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Diese Informationen stehen dem Empfänger aber nicht zur Verfügung, sondern verbleiben ausschließlich beim Verantwortlichen.

Kompetenzgrundlagen:

Die Kompetenz des Bundes zur Erlassung eines diesem Entwurf entsprechenden Bundesgesetzes gründet sich hinsichtlich

– der Art. 83, 84, 87, 96, 97 und 98 auf Art. 10 Abs. 1 Z 9 B‑VG („Verkehrswesen…“),

– des Art. 86 auf Art. 10 Abs. 1 Z 9 B‑VG („Angelegenheiten der wegen ihrer Bedeutung für den Durchzugsverkehr durch Bundesgesetz als Bundesstraßen erklärten Straßenzüge außer der Straßenpolizei“),

– der Art. 88 und 93 auf Art. 10 Abs. 1 Z 9 B‑VG („Kraftfahrwesen“),

– der Art. 85, 89 und 95 auf Art. 10 Abs. 1 Z 9 B‑VG („Post- und Fernmeldewesen“),

– der Art. 90, 91 und 94 auf Art. 10 Abs. 1 Z 8 B‑VG („Angelegenheiten des Gewerbes und der Industrie“),

– des Art. 92 auf Art. 17 B‑VG („Stellung des Bundes als Träger von Privatrechten“),

– der Art. 99, 100, 101, 102 und 103 auf Art. 10 Abs. 1 Z8Z 8 B‑VG („Patentwesen sowie Schutz von Mustern, Marken und anderen Warenzeichen“).

Zu Art. 83 – Änderung des Bundesgesetzes über die Austro Control GmbH

Zu Z 1 (Art. I § 2 Abs. 5):

Der Verweis auf § 4 des Datenschutzgesetzes, BGBl. Nr. 565/1978, ist veraltet. Diese Bestimmung regelte, wie es mit 25. Mai 2018 § 26 Abs. 1 Z 2 DSG idF BGBl. I Nr. 165/1999 regeln wird, dass Rechtsträger, die trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig werden, dem öffentlichen Bereich im Sinne des Datenschutzgesetzes zuzuordnen sind. Dies trifft auf die Austro Control GmbH nach wie vor zu; der Verweis soll daher entsprechend aktualisiert werden.

Zu Art. 84 – Änderung des Bundesgesetzes über die Agentur für Passagier- und Fahrgastrechte

Zu Z 1 (§ 6 Abs. 4):

Es handelt sich um eine Anpassung der gesetzlichen Grundlagen (Datenschutz-Grundverordnung (EU) 2016/679 und Datenschutzgesetz idF BGBl. I Nr. 120/2017).

Zu Art. 85 – Änderung des Amateurfunkgesetzes 1998

Zu Z 1 (§ 16 Abs. 3):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 2 (§ 16 Abs. 4):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 3 (§ 27 Abs. 3):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Art. 86 – Änderung des Bundesstraßen-Mautgesetzes 2002

Zu Z 1 (Überschrift des 4. Teils im Inhaltsverzeichnis):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 2 (Überschrift § 16a im Inhaltsverzeichnis):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 3 (§ 8c Abs. 6):

Streichung des Hinweises auf das DSG 2000 im Zusammenhang mit der Wahrung von Betriebs und Geschäftsgeheimnissen.

Zu Z 4 (Überschrift Teil 4):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 5 (§ 16a samt Überschrift):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 6 (§ 19a Abs. 2):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung (EU) 2016/679.

Zu Art. 87 – Änderung des Eisenbahn-Beförderungs- und Fahrgastrechtegesetzes

Zu Z 1 (§ 4 Abs. 2):

Es handelt sich um eine Anpassung der gesetzlichen Grundlagen (Datenschutz-Grundverordnung und Datenschutzgesetz idF BGBl. I Nr. 120/2017.

Zu Art. 88 – Änderung des Führerscheingesetzes

Zu Z 1 (§ 16 Abs. 1):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung. Das Führerscheinregister wurde bisher als Informationsverbundsystem geführt. Die DSGVO kennt dieses Konstrukt nicht. Abzubilden war daher die Verantwortlichkeit des BMVIT für die Führung des Registers bei gleichzeitiger Verantwortlichkeit der in §§ 16 ff genannten Behörden für die Verfahrensführung und Eintragung der Daten. Diese Verantwortlichkeit leitet sich aus der Tatsache ab, dass Führerscheinangelegenheiten in mittelbarer Bundessverwaltung vollzogen werden. Die Behörden werden daher nicht als Auftragsverarbeiter im Sinne des Art. 28 DSGVO, sondern in eigener Verantwortung im gesetzlichen Auftrag tätig. Die Wahrnehmung der Betroffenenrechte fällt daher in den Bereich jener Behörde, welche die Verarbeitung vornimmt.

Zu Z 2 (§ 16 Abs. 4):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 3 (§ 16b Überschrift):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 4 (§ 16b Abs. 4a und 4b):

Die Änderung der Bezeichnung von „anonymisiert“ auf „pseudonymisiert“ ändert die bisherige Vorgangsweise und damit das Schutzniveau der übermittelten Daten in keiner Weise, vielmehr wird zum Ausdruck gebracht, dass – im Sinne des Art. 4 Z 5 DSGVO – die übermittelten personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Diese Informationen stehen dem Empfänger aber nicht zur Verfügung, sondern verbleiben ausschließlich beim Verantwortlichen.

Zu Z 5 (§ 16b Abs. 6):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 6 (§ 16b Abs. 8):

Die Änderung der Bezeichnung „anonymisiert“ auf „pseudonymisiert“ ändert die bisherige Vorgangsweise und damit das Schutzniveau der übermittelten Daten in keiner Weise, vielmehr wird zum Ausdruck gebracht, dass – im Sinne des Art. 4 Z 5 DSGVO – die übermittelten personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Diese Informationen stehen dem Empfänger aber nicht zur Verfügung, sondern verbleiben ausschließlich beim Verantwortlichen.

Zu Z 7 (§ 36 Abs. 2):

Zu Art. 89 – Änderung des Funkanlagen-Marktüberwachungs-Gesetzes

Zu Z 1 (§ 32 Abs. 1):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Art. 90 – Änderung des Gelegenheitsverkehrs-Gesetzes 1996

Zu Z 1 (§ 18a Abs. 4):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Art. 91 – Änderung des Güterbeförderungsgesetzes 1995

Zu Z 1 (§ 25a Abs. 4):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Art. 92 – Änderung des Klima- und Energiefondsgesetzes

Zu Z 1 (§ 2 Abs. 7):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der Regierungsvorlage „Datenschutz-Anpassungsgesetz 2018 – Wissenschaft und Forschung – WFDSAG 2018 (68 d.B.)“, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu formulierten Abs. 7 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch für den Klima- und Energiefonds gelten.

Zu Art. 93 – Änderung des Kraftfahrgesetzes 1967

Zu Z 1 (§ 28b Abs. 5b):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung und § 1 des Bundesministeriengesetzes idF BGBl. I Nr. 164/2017.

Zu Z 2 (§ 28d Abs. 5):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 3 (§ 34a Abs. 7):

Zu Z 4 (§ 41a Abs. 2 bis 4):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 5 (§ 47 Abs. 1):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 6 (§ 47 Abs. 4):

Die in § 14 Abs. 5 DSG 2000, BGBl. I Nr. 165/1999, enthaltene Regelung hinsichtlich der Aufbewahrung von Protokoll- und Dokumentationsdaten tritt mit Ablauf des 24. Mai 2018 außer Kraft. Nachdem die Datenschutz-Grundverordnung keine generelle Protokollierungspflicht vorsieht, war eine entsprechende Regelung in das KFG aufzunehmen.

Zu Z 7 (§ 47 Abs. 4a):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 8 (§ 47 Abs. 4c):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 9 (§ 47a Abs. 1):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 10 (§ 47a Abs. 4):

Dies ist eine Anpassung der gesetzlichen Grundlage an die Datenschutz-Grundverordnung.

Zu Z 11 (§ 57a Abs. 2b):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 12 (§ 57c Abs. 8):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 13 (§ 57c Abs. 9):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 14 (§ 102 Abs. 11c):

Zu Z 15 (§ 102b Abs. 4):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 18 (§ 103c Abs. 5):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 17 (§ 114a Abs. 2):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 18 (§ 114b Abs. 5):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 19 (§ 134 Abs. 3b):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Art. 94 – Änderung des Kraftfahrliniengesetzes

Zu Z 1 (§ 4a Abs. 4):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Art. 95 – Änderung des Postmarktgesetzes

Zu Z 1 (§ 47 Abs. 1):

Der Hinweis auf das DSG 2000 im Zusammenhang mit der Wahrung von Betriebs und Geschäftsgeheimnissen entfällt.

Zu Z 2 (§ 62 Abs. 2):

Dies ist eine begriffliche Anpassung gem. § 1 des Bundesministeriengesetzes idF BGBl. I Nr. 164/2017.

Zu Art. 96 – Änderung des Schifffahrtsgesetzes

Zu Z 1 (§ 24 Abs. 17):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 2 (§ 24 Abs. 19):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Art. 97 – Änderung des Seeschifffahrtsgesetzes

Zu Z 1 (§ 15 Abs. 6):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Z 2 (§ 15 Abs. 10):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Art. 98 – Änderung des Weltraumgesetzes

Zu Z 1 (§ 13 Abs. 3):

Dies ist eine begriffliche Anpassung gemäß Art. 4 Z 2 der Datenschutz-Grundverordnung.

Zu Art. 99 – Änderung des Patentgesetzes 1970

Zu Z 1 (Überschrift des § 81):

Entsprechend dem erweiterten Regelungsbereich des § 81 soll die Überschrift angepasst werden.

Zu Z 1 (§ 81 Abs. 8):

Im Abs. 8 Z 1 soll das Recht auf Auskunft gemäß Art. 15 Abs. 1 lit. c der Datenschutz-Grundverordnung betreffend personenbezogene Daten, die im Register oder in öffentlich zugänglichen elektronischen Informationsdiensten des Patentamts verarbeitet werden, ausgeschlossen werden, da aus Erwägungsgrund 73 der Datenschutz-Grundverordnung hervorgeht, dass eine Beschränkung des Rechts auf Auskunft auch dadurch gerechtfertigt werden kann, dass aus Gründen des allgemeinen öffentlichen Interesses öffentliche Register geführt werden. Es erscheint sachgemäß, das Auskunftsrecht nicht zur Gänze auszuschließen, sondern bloß hinsichtlich der Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, weil die Identität der Nutzer des Registers und der Informationsdienste vom Patentamt nicht erfasst wird. Sollte hierüber Auskunft erteilt werden, so müssten die Nutzerdaten nur für den Zweck späterer Auskunftsersuchen gespeichert werden. Dies ist aber gerade nicht das Ziel der Datenschutz-Grundverordnung (vgl. Erwägungsgrund 64, wonach Verantwortliche personenbezogene Daten nicht allein zu dem Zweck speichern sollen, um auf mögliche Auskunftsersuchen reagieren zu können). Aus diesem Grunde ist auch eine Beschränkung der Mitteilungspflicht nach Art. 19 zweiter Satz der Datenschutz-Grundverordnung betreffend die Unterrichtung der betroffenen Person über Empfänger von personenbezogenen Daten, wie diese im Abs. 8 Z 2 vorgesehen ist, zwingend erforderlich.

Weiters soll gemäß Abs. 8 letzter Satz das Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 der Datenschutz-Grundverordnung dadurch erfüllt werden, dass die betroffene Person Einsicht in das Patentregister („see.ip“) oder in öffentlich zugängliche elektronische Informationsdienste (Patentblatt und Patentschriften) des Patentamtes nehmen kann. Über die öffentlich geführten und kostenlos für jedermann zugänglichen Register und Informationsdienste des Patentamtes kann jede betroffene Person ohne großen Aufwand ihr Informationsbedürfnis erfüllen, ohne dass hierzu die Ausstellung einer Kopie durch das Patentamt notwendig wäre.

Die Beschränkung des Widerspruchsrechts gemäß Art. 21 Abs. 1 der Datenschutz-Grundverordnung, wie im Abs. 8 Z 3 vorgesehen, ist unerlässlich, damit das Patentamt seinen gesetzlichen Verpflichtungen (Registerführung, Herausgabe des Patentblatts und Veröffentlichung von Patentschriften) nachkommen kann. Die Aufrechterhaltung der Leichtigkeit des Rechts- und Wirtschaftsverkehrs durch das uneingeschränkt einsehbare Patentregister und die Informationsdienste entspricht dem allgemeinen öffentlichen Interesse. Für den Rechtsverkehr sind die dort veröffentlichten Informationen unerlässlich, um Handlungsspielräume auszuloten und um Kollisionen mit widerstreitenden Schutzrechten zu vermeiden.

Die Ausnahmen im Abs. 8 werden auf Art. 23 Abs. 1 lit. e der Datenschutz-Grundverordnung (EU) 2016/679 gestützt. Danach können die Pflichten gemäß Art. 12 bis 22 der Datenschutz-Grundverordnung unter anderem dann beschränkt werden, wenn die Beschränkung den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses, sicherstellt. Das Patentamt führt das Patentregister und seine Informationsdienste zweifellos im überragend wichtigen ökonomischen Interesse der österreichischen Wirtschaft und damit auch im allgemeinen öffentlichen Interesse eines Mitgliedstaates. Da Erwägungsgrund 73 – wie bereits erwähnt – ausdrücklich auf die Führung öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses Bezug nimmt, ist von einer EU-Rechtskonformität der vorgeschlagenen Bestimmungen auszugehen, zumal diese den Wesensgehalt der Grundrechte und Grundfreiheiten achten und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen.

Gemäß § 7 des Schutzzertifikatsgesetzes 1996, BGBl. I Nr. 11/1997, ist auf angemeldete und erteilte ergänzende Schutzzertifikate und Verfahren, die diese Schutzzertifikate betreffen, ergänzend § 81 des Patentgesetzes 1970 sinngemäß anzuwenden.

Zu Art. 100 – Änderung des Gebrauchsmustergesetzes

Zu Z 1 (Überschrift des § 38):

Entsprechend dem erweiterten Regelungsbereich des § 38 soll die Überschrift angepasst werden.

Zu Z 2 (§ 38 Abs. 7):

Die Ausführungen zu Art. 99 (Änderung des Patentgesetzes) treffen auch auf personenbezogene Daten, die im Gebrauchsmusterregister, im Gebrauchsmusterblatt oder in einer Gebrauchsmusterschrift verarbeitet werden, sinngemäß zu, weshalb auf diese zu verweisen ist.

Zu Art. 101 – Änderung des Markenschutzgesetzes 1970

Zu Z 1 (§ 50 Abs. 6):

Die Ausführungen zu Art. 99 (Änderung des Patentgesetzes) treffen auch auf personenbezogene Daten, die im Markenregister und im Markenanzeiger, verarbeitet werden, sinngemäß zu, weshalb auf diese zu verweisen ist.

Zu Z 2 (§ 68e):

Der Verweis auf § 50 Abs. 2 bis 5 soll auf Abs. 6 ausgedehnt werden und damit die Bestimmung des § 50 Abs. 6 auf personenbezogene Daten, die mit elektronischen Veröffentlichungen im Zusammenhang mit Anträgen auf Eintragung einer Bezeichnung als geografische Angabe oder Ursprungsbezeichnung verarbeitet werden, sinngemäße Anwendung finden.

Zu Art. 102 (Änderung des Halbleiterschutzgesetzes):

Zu Z 1 (Überschrift des § 18):

Entsprechend dem erweiterten Regelungsbereich des § 18 soll die Überschrift angepasst werden.

Zu Z 2 (§ 18 Abs. 4):

Die Ausführungen zu Art. 99 (Änderung des Patentgesetzes) treffen auch auf personenbezogene Daten, die im Halbleiterschutzregister und im Patentblatt verarbeitet werden, sinngemäß zu, weshalb auf diese zu verweisen ist.

Zu Art. 103 (Änderung des Musterschutzgesetzes 1990):

Zu Z 1(Überschrift des § 31):

Entsprechend dem erweiterten Regelungsbereich des § 31 soll die Überschrift angepasst werden.

Zu Z 2 (§ 31 Abs. 7):

Die Ausführungen zu Art. 99 (Änderung des Patentgesetzes) treffen auch auf personenbezogene Daten, die im Musterregister und im Musteranzeiger verarbeitet werden, sinngemäß zu, weshalb auf diese zu verweisen ist.

Anlage

DATENSCHUTZ-FOLGENABSCHÄTZUNG zum 3. Hauptstück (Sport)

SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

§ 26 Abs. 1 des Bundes-Sportförderungsgesetzes 2017 – BSFG 2017, BGBl. I Nr. 100/2017, regelt die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 2 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, durch die Bundesministerin/den Bundesminister für öffentlichen Dienst und Sport. Die Erforderlichkeit zur Datenverarbeitung ergibt sich aus der Wahrnehmung ihrer/seiner Aufgaben nach dem BSFG 2017 und zum Zwecke der Vollziehung des BSFG 2017. Gemeint sind damit gemäß § 26 Abs. 4 BSFG 2017 die Gewährung von Förderungen, die Evaluierung und Kontrolle der Förderungen, die Kontrolle der widmungsgemäßen Verwendung der Fördermittel sowie die Verleihung der Sportleistungsabzeichen. Die Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, insbesondere genetischer Daten, biometrischer Daten und Gesundheitsdaten, ist, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, gemäß § 26 Abs. 4 BSFG 2017 nur zulässig, sofern dies unbedingt erforderlich ist.

§ 26 Abs. 2 BSFG 2017 regelt die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 2 DSGVO durch die Bundes-Sport GmbH. Die Erforderlichkeit zur Datenverarbeitung ergibt sich ebenfalls aus der Wahrnehmung der Aufgaben der Bundes-Sport GmbH nach dem BSFG 2017 und zum Zwecke der Vollziehung des BSFG 2017. Gemeint sind damit gemäß § 26 Abs. 4 BSFG 2017 die Gewährung von Förderungen, die Evaluierung und Kontrolle der Förderungen, die Kontrolle der widmungsgemäßen Verwendung der Fördermittel sowie die Verleihung der Sportleistungsabzeichen. Die Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, insbesondere genetischer Daten, biometrischer Daten und Gesundheitsdaten, ist, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, gemäß § 26 Abs. 4 BSFG 2017 nur zulässig, sofern dies unbedingt erforderlich ist.

§ 26 Abs. 3 BSFG 2017 ermächtigt den den Fußball vertretenden Bundes-Sportfachverband, die Bundes-Sportdachverbände und den gesamtösterreichischen Verband alpiner Vereine, ausschließlich zum Zwecke der Gewährung von Bundes-Vereinszuschüssen nach dem BSFG 2017 erforderlichenfalls personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, insbesondere genetischer Daten, biometrischer Daten und Gesundheitsdaten, ist, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, gemäß § 26 Abs. 4 BSFG 2017 nur zulässig, sofern dies unbedingt erforderlich ist.

Gemäß § 26 Abs. 10 BSFG 2017 ist für einen Verantwortlichen eine zehnjährige Aufbewahrungspflicht für zum Zwecke der Bundes-Sportförderung verarbeitete oder übermittelte Daten, insbesondere personenbezogene Daten oder besondere Kategorien personenbezogener Daten, vorgesehen.

§ 39 Abs. 1 BSFG 2017 sieht zur Erhöhung der Transparenz im Bereich der Bundes-Sportförderung und zur Information der Bevölkerung vor, dass durch die Bundesministerin/den Bundesminister für öffentlichen Dienst und Sport oder die Bundes-Sport GmbH im Rahmen der Zuständigkeit zur Gewährung von Bundes-Sportförderungen die angeführten Daten, insbesondere die erforderlichen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten, der Öffentlichkeit über das Internet zugänglich zu machen sind. Diese Daten müssen gemäß § 39 Abs. 2 BSFG 2017 sieben Jahre der Öffentlichkeit zugänglich sein.

Gemäß § 2 Abs. 2 des Anti-Doping-Bundesgesetzes 2007 – ADBG 2007, BGBl. I Nr. 30/2007, hat die Unabhängige Dopingkontrolleinrichtung die Österreichische Bundes-Sportorganisation (BSO), Sportorganisationen, Sportlerinnen/Sportler, Betreuungspersonen und Wettkampfveranstalterinnen/Wettkampfveranstalter über die gesetzlich angeführten Punkte zu informieren.

§ 4 Abs. 1 ADBG 2007 sieht unter anderem vor, dass die betroffene Person sowie der jeweils zuständige Bundes-Sportfachverband von der Unabhängigen Dopingkontrolleinrichtung nachweislich von der Feststellung von Kontroll- oder Meldepflichtversäumnissen und den damit verbundenen Kosten zu informieren sind.

Die Unabhängige Dopingkontrolleinrichtung und die Unabhängige Schiedskommission können unter der Voraussetzung des Interesses der Öffentlichkeit an sachlicher Information über Verfahren von öffentlicher Bedeutung als Reaktion auf öffentliche Stellungnahmen der betroffenen Sportlerin/des betroffenen Sportlers oder der betroffenen Betreuungsperson oder der betroffenen Sportorganisation über die Bestimmungen des § 2 Abs. 2 Z 5 ADBG 2007 hinausgehend gemäß § 4 Abs. 3 ADBG 2007 gegenüber der Öffentlichkeit zu einem Verfahren Stellung nehmen. Eine Stellungnahme ist nur unter den im Gesetz angeführten Voraussetzungen zulässig.

§ 4 Abs. 6 ADBG 2007 ermächtigt die Unabhängige Dopingkontrolleinrichtung, soweit dies zur Wahrnehmung ihrer Aufgaben nach dem ADBG 2007 und zum Zwecke der Vollziehung des ADBG 2007 erforderlich ist, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Erforderlichkeit zur Datenverarbeitung ergibt sich gemäß § 4 Abs. 6a ADBG 2007 aus der wirksamen Umsetzung der Anti-Doping-Regelungen des World Anti-Doping Code (WADC), sofern sich die betroffenen Personen vertraglich zur Einhaltung des WADC verpflichtet haben. Besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, dürfen nur verarbeitet werden, sofern dies unbedingt erforderlich ist.

Die Unabhängige Dopingkontrolleinrichtung ist gemäß § 4 Abs. 6b ADBG 2007 ermächtigt, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, unbeschadet der Bestimmung des § 22c Abs. 1 ADBG 2007, die bei der Vollziehung des ADBG 2007 verarbeiteten personenbezogenen Daten auf begründetes und zu dokumentierendes Ersuchen einer zuständigen Behörde gemäß § 36 Abs. 2 Z 7 des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999, oder einer sonstigen Behörde erforderlichenfalls zu verarbeiten, wenn die personenbezogenen Daten für die Vollziehung der jeweiligen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden und die Verarbeitung bundes- oder landesgesetzlich vorgesehen ist. Sobald das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO dem Zweck des Ersuchens nicht mehr zuwiderläuft oder zuwiderlaufen kann, hat die ersuchende Behörde dies der Unabhängigen Dopingkontrolleinrichtung mitzuteilen.

§ 4 Abs. 6c ADBG 2007 ermächtigt die Unabhängige Dopingkontrolleinrichtung, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, Analyseergebnisse von Dopingkontrollen, Sachverhalte mit begründetem, schriftlich zu dokumentierendem Verdacht auf einen Verstoß gegen die Anti-Doping-Regelungen, insbesondere Entscheidungen in Anti-Doping-Verfahren, und erteilte medizinische Ausnahmegenehmigungen an die jeweils zuständige Nationale Anti-Doping-Organisation, den jeweils zuständigen internationalen Sportfachverband und die World Anti-Doping Agency (WADA), soweit dies im WADC vorgesehen ist, erforderlichenfalls zu übermitteln.

§ 4 Abs. 6d ADBG 2007 ermächtigt die Unabhängige Dopingkontrolleinrichtung, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, der WADA auf begründetes und zu dokumentierendes Ersuchen der WADA personenbezogene Daten und besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, die einer erteilten medizinischen Ausnahmegenehmigung gemäß § 8 ADBG 2007 zugrunde gelegt wurden, soweit dies im WADC vorgesehen ist, erforderlichenfalls zu übermitteln.

Im Bericht über die Einhaltung der Anti-Doping-Regelungen sind gemäß § 7 Z 3 ADBG 2007 die Art der festgestellten Verstöße gegen Anti-Doping-Regelungen sowie die dabei verhängten Sicherungs- und Disziplinarmaßnahmen anzuführen. Personenbezogene Daten gemäß § 7 Z 1, 2 und 4 ADBG 2007 sind zu anonymisieren.

§ 8 ADBG 2007 enthält Bestimmungen zu medizinischen Ausnahmegenehmigungen. Insbesondere ist gemäß § 8 Abs. 2 ADBG 2007 eine Entscheidung entsprechend den geltenden Anti-Doping-Regelungen des zuständigen internationalen Sportfachverbandes innerhalb von 21 Tagen ab Antrag zu treffen und der Sportlerin/dem Sportler schriftlich mitzuteilen. Die Genehmigung ist befristet auf die Dauer der notwendigen Verabreichung oder Behandlung zu erteilen. Ein Widerruf ist nur nach diesen Regelungen zulässig. Wird keine medizinische Ausnahmegenehmigung gewährt, kann die betroffene Sportlerin/der betroffene Sportler gemäß § 8 Abs. 7 ADBG 2007 innerhalb von vier Wochen ab Zustellung der Entscheidung die Überprüfung bei der Unabhängigen Schiedskommission begehren, sofern nach den geltenden Anti-Doping-Regelungen des zuständigen internationalen Sportfachverbandes nicht dieser zuständig ist.

§ 10 ADBG 2007 legt die Inhalte der Dopingkontrollanordnung fest.

Die §§ 11 ff ADBG 2007 enthalten allgemeine und spezielle Bestimmungen über Dopingkontrollen sowie die Analyse der Proben.

§ 14a ADBG 2007 enthält Regelungen bezüglich Prüfantrag sowie entsprechende Informationspflichten gegenüber der betroffenen Person und gegenüber dem jeweils zuständigen Bundes-Sportfachverband.

In § 15 ADBG 2007 wird das Verfahren vor der Unabhängigen Österreichischen Anti-Doping Rechtskommission geregelt. § 15a ADBG 2007 enthält hierzu sonstige Verfahrensbestimmungen, insbesondere zu Informationspflichten.

§ 17 ADBG 2007 behandelt das Verfahren vor der Unabhängigen Schiedskommission. Gemäß § 17 Abs. 14 ADBG 2007 hat die Unabhängige Schiedskommission die BSO, Sportorganisationen, Sportlerinnen/Sportler, Betreuungspersonen und Wettkampfveranstalterinnen/Wettkampfveranstalter sowie die Allgemeinheit über ihre Entscheidungen unter Angabe der Namen der betroffenen Personen, der Dauer der Sperre und Gründe hiefür, ohne dass auf Gesundheitsdaten der betroffenen Person rückgeschlossen werden kann, zu informieren.

§ 19 ADBG 2007 regelt die besonderen Pflichten der Sportlerinnen/Sportler, die dem Nationalen Testpool angehören. Insbesondere haben sich diese gegenüber dem Bundes-Sportfachverband schriftlich gemäß § 19 Abs. 1 ADBG 2007 zu verpflichten, neben anderen Punkten auch die ausdrückliche Zustimmung zur Verarbeitung von besonderen Kategorien personenbezogener Daten zu erteilen, die bei der Analyse von Dopingproben und der Gewährung der medizinischen Ausnahmegenehmigung gemäß § 8 ADBG 2007 anfallen. Zusätzlich zu den Verpflichtungen gemäß § 19 Abs. 1 ADBG 2007 haben Sportlerinnen/Sportler, die gemäß § 5 ADBG 2007 dem Topsegment des Nationalen Testpools angehören, den in § 19 Abs. 3 ADBG 2007 angeführten Meldepflichten nachzukommen. So haben Sportlerinnen/Sportler an einem von der Unabhängigen Dopingkontrolleinrichtung festgelegten Datum vor dem ersten Tag jedes Quartals für jeden Tag des folgenden Quartals die vollständige Adresse des Ortes, an dem die Sportlerin/der Sportler wohnen wird, Namen und Adresse jedes Ortes, an dem sie/er trainieren, arbeiten oder einer anderen regelmäßigen Tätigkeit nachgehen wird sowie die üblichen Zeiten für diese regelmäßigen Tätigkeiten, ihren/seinen Wettkampfplan für das folgende Quartal, einschließlich des Namens und der Adresse jedes Ortes, an dem sie/er während des Quartals an Wettkämpfen teilnehmen wird, die personenbezogenen Daten, zu denen sie/er an diesen Orten an Wettkämpfen teilnehmen wird sowie ein bestimmtes 60-minütiges Zeitfenster zwischen 5.00 und 23.00 Uhr, zu dem sie/er jedenfalls an einem bestimmten Ort für Dopingkontrollen erreichbar ist und zur Verfügung steht, zu melden. Alle Änderungen des Aufenthaltsortes oder der Erreichbarkeit während des Quartals sind unverzüglich nach Kenntnis bekannt zu geben, Änderungen des 60-minütigen Zeitfensters spätestens zwei Stunden vorher.

In § 19 Abs. 5 ADBG 2007 wird festgelegt, dass die Unabhängige Dopingkontrolleinrichtung den Sportlerinnen/Sportlern zur Wahrnehmung ihrer Meldepflichten gemäß § 19 Abs. 1 Z 5, Abs. 3 und 4 ADBG 2007 ein elektronisches Meldesystem zur Verfügung zu stellen hat. Die Sportlerinnen/Sportler haben ihre Meldepflichten über dieses System wahrzunehmen. Diese personenbezogenen Daten dürfen nur solange gespeichert werden, als dies für die Erfüllung der angeführten Aufgaben der Unabhängigen Dopingkontrolleinrichtung erforderlich ist.

§ 21 ADBG 2007 behandelt die Informationspflicht der Ärztinnen/Ärzte, Zahnärztinnen/Zahnärzte und Tierärztinnen/Tierärzte. Ist bei der Behandlung durch eine Ärztin/einen Arzt oder eine Zahnärztin/einen Zahnarzt, die/der für einen Sportverein oder eine Organisation gemäß § 3 Z 3, 9 oder 10 BSFG 2017 tätig ist oder die/der eine/einen Leistungssportlerin/Leistungssportler (Sportlerin/Sportler, die/der dem Nationalen Testpool angehört) ärztlich oder zahnärztlich betreut, die Verabreichung von Arzneimitteln mit verbotenen Wirkstoffen oder die Anwendung von verbotenen Methoden erforderlich, so hat sie/er gemäß § 21 Abs. 1 ADBG 2007 die betroffene Person darüber zu informieren, sofern sie sich als Leistungssportlerin/Leistungssportler gegenüber der behandelnden Ärztin/dem behandelnden Arzt oder der behandelnden Zahnärztin/dem behandelnden Zahnarzt deklariert hat. Die behandelnde Ärztin/der behandelnde Arzt oder die behandelnde Zahnärztin/der behandelnde Zahnarzt hat der Leistungssportlerin/dem Leistungssportler auf ihr/sein Verlangen darüber eine Bestätigung auszustellen. § 21 Abs. 2 ADBG 2007 sieht vor, dass diese Informationspflicht nicht in Notfällen besteht.

§ 22b ADBG 2007 regelt die Sicherstellungsbefugnis und Informationspflichten der Zollbehörden. Gemäß § 22b Abs. 2 ADBG 2007 dürfen die Zollbehörden im Zusammenhang mit der Kontrolle der in § 22b Abs. 1 ADBG 2007 genannten Gegenstände, die in das, durch das oder aus dem Bundesgebiet verbracht werden, personenbezogene Daten gemäß Art. 4 Z 2 DSGVO verarbeiten und diese den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG übermitteln, soweit dies zur Erfüllung derer gesetzlicher Aufgaben erforderlich ist.

§ 22c ADBG 2007 normiert die Zusammenarbeit zwischen den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG und der Unabhängigen Dopingkontrolleinrichtung. Die Unabhängige Dopingkontrolleinrichtung hat gemäß § 22c Abs. 1 ADBG 2007 den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG die ihr zur Kenntnis gelangten Sachverhalte und die ihr zur Kenntnis gebrachten Entscheidungen, in denen ein Verstoß gegen Anti-Doping-Regelungen festgestellt wurde, und das Protokoll der mündlichen Verhandlung – auf Verlangen auch die übrigen Verfahrensunterlagen – zu übermitteln, wenn der begründete Verdacht einer von Amts wegen zu verfolgenden gerichtlich strafbaren Handlung besteht. § 22c Abs. 2 ADBG 2007 verpflichtet die zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG nach Beendigung des Ermittlungsverfahren dazu, der Unabhängigen Dopingkontrolleinrichtung Namen, Geschlecht, Geburtsdatum und -ort, Staatsangehörigkeit und Wohnanschrift sowie die im Zuge des Ermittlungsverfahrens erhobenen Beweise zum Zwecke der Durchführung von Dopingkontrollverfahren jener Personen zu übermitteln, bei denen aufgrund der Ermittlungen der konkrete Verdacht besteht, dass diese einen Verstoß gegen Anti-Doping-Regelungen begangen haben. Die Übermittlung kann jedoch aufgeschoben werden, solange durch sie der Zweck des Verfahrens oder eines damit im Zusammenhang stehenden Verfahrens gefährdet wäre. Liegt eine solche Gefahr nicht vor, sind die Strafverfolgungsbehörden auch vor Beendigung des Ermittlungsverfahrens ermächtigt, solche Auskünfte auf Verlangen der Unabhängigen Dopingkontrolleinrichtung im Sinne des § 22c Abs. 2 ADBG 2007 zu erteilen. Die Entscheidung zur Information obliegt den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG.

§ 22c Abs. 2a ADBG 2007 bestimmt, dass, sobald das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO den in § 22c Abs. 2 ADBG 2007 genannten Zwecken nicht mehr zuwiderläuft oder zuwiderlaufen kann, die betroffene Person nachweislich durch die Unabhängige Dopingkontrolleinrichtung über die Übermittlung zu informieren ist. Die betroffene Person hat das Recht, gegenüber der Unabhängigen Dopingkontrolleinrichtung eine zu dokumentierende Stellungnahme abzugeben. Art. 12 bis 22 DSGVO sind vom Zeitpunkt des Einlangens eines Ersuchens bis zum Zeitpunkt der Information der betroffenen Person insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Zwecke gemäß § 22c Abs. 2 ADBG 2007 unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Zwecke des Ersuchens notwendig und verhältnismäßig ist.

§ 10a Abs. 1 des Bundesgesetzes über die Neuorganisation der Bundessporteinrichtungen – BSEOG, BGBl. I Nr. 149/1998, regelt die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 2 DSGVO durch die Bundesministerin/den Bundesminister für öffentlichen Dienst und Sport. Die Erforderlichkeit zur Datenverarbeitung ergibt sich aus der Wahrnehmung ihrer/seiner Aufgaben nach dem BSEOG und dem Zweck der Vollziehung des BSEOG. Die Erforderlichkeit zur Datenverarbeitung ergibt sich gemäß § 10a Abs. 4 BSEOG aus der Gewährung von Förderungen, der Evaluierung und Kontrolle der Förderungen und der Kontrolle der widmungsgemäßen Verwendung der Fördermittel. Die Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, insbesondere genetischer Daten, biometrischer Daten und Gesundheitsdaten, ist, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, gemäß § 10a Abs. 4 BSEOG nur zulässig, sofern dies unbedingt erforderlich ist.

§ 10a Abs. 2 BSEOG ermächtigt die Bundes-Sport GmbH, ausschließlich zum Zwecke der Wahrnehmung ihrer Aufgaben gemäß § 5 Abs. 2 und § 10 BSEOG erforderlichenfalls personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, insbesondere genetischer Daten, biometrischer Daten und Gesundheitsdaten, ist, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, gemäß § 10a Abs. 4 BSEOG nur zulässig, sofern dies unbedingt erforderlich ist.

§ 10a Abs. 3 BSEOG ermächtigt die Bundesporteinrichtungen GmbH, ausschließlich zum Zwecke der Wahrnehmung ihrer Aufgaben gemäß § 5 Abs. 2 und § 10 BSEOG erforderlichenfalls personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, insbesondere genetischer Daten, biometrischer Daten und Gesundheitsdaten, ist, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, gemäß § 10a Abs. 4 BSEOG nur zulässig, sofern dies unbedingt erforderlich ist.

Gemäß § 10a Abs. 10 BSEOG ist für einen Verantwortlichen eine zehnjährige Aufbewahrungspflicht für zum Zwecke der Bundes-Sportförderung verarbeitete oder übermittelte Daten, insbesondere personenbezogene Daten oder besondere Kategorien personenbezogener Daten, vorgesehen.

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge

In § 1 BSFG 2017 wird die gesellschaftliche Bedeutung des Sports dargelegt und dazu ausgeführt, dass Sport von der gesundheits- bis zur spitzensportbestimmten Ausübung wichtige Werte des gesellschaftlichen Miteinanders und Zusammenlebens wie Toleranz, Fairness und Respekt gegenüber anderen vermittelt, Menschen unterschiedlicher Kulturen und sozialer Hintergründe zusammenführt, Generationen verbindet, Gesundheit, Gemeinsamkeit, Integration, Kommunikation, Solidarität und Begeisterung für eine gemeinsame Sache fördert, politische Grenzen überwindet, Vorurteile abbaut und einen wichtigen Beitrag zur Persönlichkeits- und Identitätsfindung der einzelnen Menschen leistet, insbesondere jener mit Behinderung. Sport motiviert vor allem junge Menschen und jene, die noch keinen Sport betreiben, durch die Vorbildfunktion der Sportlerinnen/Sportler diese positiven Werte und Verhaltensweisen zu übernehmen. Die Förderung des Sports in Österreich ist daher ein gesamtgesellschaftliches Anliegen und stellt ein wichtiges öffentliches Interesse dar.

Dass daher die in § 26 Abs. 1 bis 3 BSFG 2017 angeführten Verantwortlichen unter den gesetzlichen Voraussetzungen erforderlichenfalls zur Datenverarbeitung ermächtigt werden, ist jedenfalls zur Erfüllung der angeführten Zwecke notwendig und auch sachgerecht. Durch die genannten Ermächtigungen wird die Wahrnehmung der Aufgaben nach dem BSFG 2017 ermöglicht und die ordnungsgemäße Vollziehung des BSFG 2017 gewährleistet. Im Falle des § 26 Abs. 3 BSFG 2017 erfolgt die Ermächtigung nur zum Zwecke der Gewährung von Bundes-Vereinszuschüssen nach dem BSFG 2017.

Die Ermächtigung zur Datenverarbeitung zum jeweils genannten Zweck wird dem Kriterium der Erforderlichkeit unterstellt, das für § 26 Abs. 1 und 2 BSFG 2017 in § 26 Abs. 4 BSFG 2017 näher dargelegt wird. Die Erforderlichkeit gemäß § 26 Abs. 3 BSFG 2017 ergibt sich aufgrund der strengen Einschränkung der Datenverarbeitung auf Zwecke der Gewährung von Bundeszuschüssen direkt aus diesem Absatz.

§ 26 Abs. 4 BSFG 2017 bestimmt, dass besondere Kategorien personenbezogener Daten – mit Ausnahme der Daten zur Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern – nur verarbeitet werden dürfen, sofern dies unbedingt erforderlich ist. Unbedingt erforderlich ist eine Verarbeitung besonderer Kategorien personenbezogener Daten dann, wenn mit der Verarbeitung personenbezogener Daten alleine nicht das Auslangen gefunden werden kann. So wird ein entsprechend höheres Schutzniveau für besondere Kategorien personenbezogener Daten vorgesehen. Die Verarbeitung besonderer Kategorien personenbezogener Daten wird auf Art. 9 Abs. 2 lit. g und i DSGVO gestützt.

Eine Aufbewahrungspflicht wird gemäß § 26 Abs. 10 BSFG 2017 im Umfang der bestehenden zehnjährigen Aufbewahrungsfrist für Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, vorgesehen.

§ 26 Abs. 11 BSFG 2017 stellt klar, dass die in § 26 Abs. 4 bis 10 BSFG 2017 angeführten Bestimmungen ausschließlich für Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, gemäß § 26 Abs. 1 bis 3 BSFG 2017 gelten.

Die Datenverarbeitung gemäß § 39 BSFG 2017 erfolgt aus Gründen der Information der Bevölkerung und Transparenz, insbesondere zur Vermeidung von Doppelförderungen und zu Dokumentationszwecken. Es muss gewährleistet sein, dass die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport und die Bundes-Sport GmbH die angeführten Daten, insbesondere die personenbezogenen Daten und die besonderen Kategorien personenbezogener Daten, im angeführten Umfang der Öffentlichkeit über das Internet zugänglich machen können, was in Anbetracht des eingangs beschriebenen wichtigen öffentlichen Interesses verhältnismäßig und sachgerecht ist.

In den Bericht über die Fördermaßnahmen gemäß § 40 BSFG 2017 sind personenbezogene Daten und besondere Kategorien personenbezogener Daten nur aufzunehmen, sofern dies unbedingt erforderlich ist. Unbedingt erforderlich ist die Aufnahme personenbezogener Daten und besonderer Kategorien personenbezogener Daten, wenn ohne diese Daten nicht das Auslangen gefunden werden kann, um insbesondere dem Grundsatz der Transparenz gerecht zu werden.

In § 1 ADBG 2007 wird dargelegt, dass Doping durch die Beeinflussung der sportlichen Leistungsfähigkeit sowohl dem Grundsatz der Fairness im sportlichen Wettbewerb als auch dem wahren, mit dem Sport ursprünglich verbundenen Wert (Sportsgeist) widerspricht und außerdem der Gesundheit schaden kann. Das von der UNESCO angenommene Internationale Übereinkommen gegen Doping im Sport, BGBl. III Nr. 108/2007, (in der Folge: UNESCO-Übereinkommen), verpflichtet Österreich, die in diesem Übereinkommen vorgesehenen Maßnahmen im Kampf gegen Doping insbesondere auch durch Datenaustausch zwischen den Anti-Doping-Organisationen zu unterstützen. Die im ADBG 2007 normierten Maßnahmen und Verarbeitungen personenbezogener Daten und besonderer Kategorien personenbezogener Daten dienen der Umsetzung dieser völkerrechtlichen Verpflichtung und liegen somit im öffentlichen Interesse.

Dass daher die Unabhängige Dopingkontrolleinrichtung in § 4 Abs. 6 ADBG 2007 unter den gesetzlichen Voraussetzungen erforderlichenfalls zur Datenverarbeitung ermächtigt wird, ist jedenfalls zur Erfüllung der angeführten Zwecke notwendig und auch sachgerecht. Durch die genannte Ermächtigung wird die Wahrnehmung der Aufgaben nach dem ADBG 2007 ermöglicht und die ordnungsgemäße Vollziehung des ADBG 2007 gewährleistet. § 4 Abs. 6 ADBG 2007 unterstellt die Ermächtigung zur Datenverarbeitung zum jeweils genannten Zweck dem Kriterium der Erforderlichkeit, das in § 4 Abs. 6a ADBG 2007 näher dargelegt wird.

§ 4 Abs. 6a ADBG 2007 bestimmt, dass besondere Kategorien personenbezogener Daten nur verarbeitet werden dürfen, sofern dies unbedingt erforderlich ist. Unbedingt erforderlich ist eine Verarbeitung besonderer Kategorien personenbezogener Daten dann, wenn mit der Verarbeitung personenbezogener Daten alleine nicht das Auslangen gefunden werden kann. So wird ein entsprechend höheres Schutzniveau für besondere Kategorien personenbezogener Daten vorgesehen. Die Verarbeitung besonderer Kategorien personenbezogener Daten wird auf Art. 9 Abs. 2 lit. g und i DSGVO gestützt.

Auch die Ermächtigung der Unabhängigen Dopingkontrolleinrichtung gemäß § 4 Abs. 6b ADBG 2007 zur bloßen Verarbeitung auf Ersuchen einer zuständigen Behörde gemäß § 36 Abs. 2 Z 7 DSG im gesetzlich genannten Umfang und zu den angeführten Zwecken liegt ebenso wie die Ermächtigungen zur Übermittlung gemäß § 4 Abs. 6c und 6d ADBG 2007 im öffentlichen Interesse. Die Unabhängige Dopingkontrolleinrichtung, insbesondere im Rahmen der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, muss nämlich zur Erfüllung ihrer Aufgaben nach dem ADBG 2007 sowie zur Vollziehung des ADBG 2007 in der Lage sein, gegebenenfalls unter Beachtung der Bestimmungen der DSGVO zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen, erforderlichenfalls Analyseergebnisse von Dopingkontrollen, Sachverhalte mit begründetem, schriftlich zu dokumentierendem Verdacht auf einen Verstoß gegen die Anti-Doping-Regelungen, insbesondere Entscheidungen in Anti-Doping-Verfahren, und erteilte medizinische Ausnahmegenehmigungen an die jeweils zuständige Nationale Anti-Doping-Organisation, den jeweils zuständigen internationalen Sportfachverband und die WADA, soweit dies im WADC vorgesehen ist, zu übermitteln. Gleiches gilt für den Fall, dass seitens der WADA ein begründetes und zu dokumentierendes Ersuchen ergeht, dass personenbezogene Daten und besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, die einer erteilten medizinischen Ausnahmegenehmigung gemäß § 8 ADBG 2007 zugrunde gelegt wurden, soweit dies im WADC vorgesehen ist, gemäß § 4 Abs. 6d ADBG 2007 übermittelt werden sollen. Auf § 1 ADBG 2007 wird hingewiesen.

Das von der WADA erlassene Welt-Anti-Doping-Programm (WADP) besteht derzeit im Wesentlichen aus dem WADC und fünf dazugehörigen internationalen Standards: Prohibited List (Verbotsliste), International Standard for Testing and Investigations (ISTI), International Standard for Laboratories (ISL), International Standard for Therapeutic Use Exemptions (ISTUE) und International Standard for the Protection of Privacy and Personal Information (ISPPPI);

Grundsätzlich ist voranzustellen, dass die Anti-Doping-Regelungen des WADC und die dazugehörigen internationalen Standards für die jeweiligen Athletinnen/Athleten nicht kraft gesetzlicher Anordnung gelten, etwa durch das ADBG 2007 (nach § 3 ADBG gelten die Anti-Dopingregelungen als Förderungsbedingung zur Erlangung von Bundes-Sportförderungen), sondern kraft vertraglicher Vereinbarung mit ihrem Sportfachverband oder Sportverein (Beitrittsvertrag, Lizenzvertrag oder Arbeitsvertrag mit dem Sportfachverband (Sportverein)) oder kraft vertraglicher Vereinbarung mit der Wettkampfveranstalterin/dem Wettkampfveranstalter, in dem die Athletinnen/Athleten durch Nennung zur Teilnahme am Wettkampf die in den Teilnahmebedingungen enthaltenen Anti-Doping-Regelungen akzeptieren.

Die vorgesehenen Datenübermittlungen zwischen den Beteiligten, insbesondere den internationalen Sportfachverbänden, und der WADA erfolgt international generell über das ‚Anti-Doping Administration and Management System‘ ADAMS der WADA.

Die WADA dient als Clearingstelle für Daten und Ergebnisse aus Dopingkontrollverfahren, darunter insbesondere Daten aus dem Athletenpass internationaler und nationaler Spitzenathletinnen/Spitzenathleten sowie Informationen über Aufenthaltsort und Erreichbarkeit von Athletinnen/Athleten, einschließlich derer, die einem Registered Testing Pool angehören (Art. 14.5 WADC 2015). Dopingkontrollen werden über ADAMS koordiniert, um die Wirksamkeit des gemeinsamen Einsatzes bei Dopingkontrollen zu maximieren und unnötige Mehrfachkontrollen zu vermeiden (Art. 5.4.3 WADC 2015).

Um als Clearingstelle für Daten aus Dopingkontrollverfahren und Entscheidungen des Ergebnismanagements fungieren zu können, entwickelte die WADA das Datenbankmanagementsystem ADAMS, das die Grundsätze des Datenschutzes umsetzt. Die WADA achtete bei der Entwicklung von ADAMS insbesondere auf dessen Einhaltung von Datenschutzbestimmungen und -standards, die für die WADA und andere Organisationen gelten, die ADAMS verwenden. Personenbezogene Informationen über eine Athletin/einen Athleten, eine Athletenbetreuerin/einen Athletenbetreuer oder andere Beteiligte bei der Dopingbekämpfung werden von der WADA unter Aufsicht kanadischer Datenschutzbehörden streng vertraulich und in Einklang mit dem Internationalen Standard für den Schutz der Privatsphäre und personenbezogener Informationen gepflegt (Art. 14.5 WADC 2015).

ADAMS ist ein webbasiertes Datenbankmanagementinstrument für Dateneingabe, Datenspeicherung, Datenaustausch und Berichterstattung, das die Beteiligten und die WADA bei ihren Anti-Doping-Maßnahmen unter Einhaltung des Datenschutzrechts unterstützen soll.

Seit Anfang 2009 betreibt die WADA ADAMS in Montreal, Canada.

Jeder internationale Sportfachverband und jede nationale Dopingkontrolleinrichtung hat über ADAMS oder ein anderes von der WADA anerkanntes System eine Liste bereit zu stellen, in der die Athletinnen/Athleten in ihrem Registered Testing Pool (Gruppe der Spitzenathletinnen/Spitzenathleten, die auf internationaler Ebene von den internationalen Sportfachverbänden und auf nationaler Ebene von den nationalen Anti-Doping- Organisationen zusammengestellt wird – siehe Begriffsbestimmungen des WADC 2015) namentlich oder anhand bestimmter klar definierter Kriterien aufgeführt sind (Art. 5.6 WADC 2015).

ADAMS unterliegt in Kanada den Datenschutzbestimmungen des Personal Information Protection and Electronic Documents Act S.C. 2000, c. 5 (http://laws-lois.justice.gc.ca/eng/acts/P-8.6/FullText.html).

Da der Sitz der WADA Montreal in Kanada ist, ist Kapitel V DSGVO zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen zu beachten.

Gemäß Art. 45 Abs. 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.

Gemäß Art. 25 Abs. 6 der früheren Datenschutzrichtlinie 95/46/EG konnte die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau gewährleistet.

Gemäß Art. 1 der Entscheidung der Kommission vom 20. Dezember 2001, 2002/2/EG, ABl. Nr. 2 vom 04.01.2002 S. 13 (https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32002D0002&from=DE), wird Kanada als ein Land angesehen, das ein angemessenes Schutzniveau bei der Übermittlung personenbezogener Daten aus der Gemeinschaft an Empfänger garantiert, die dem Personal Information Protection and Electronic Documents Act (PIPEDA) unterliegen.

In seiner Fassung vor dem 23. Juni 2015 war jedoch gemäß § 4 Abs. 1 lit. a PIPEDA dieses Gesetz nur auf Organisationen mit Erwerbscharakter anzuwenden.

Der WADC spricht in der Fassung von 2015 in Art. 14.5 (2. Absatz) erstmalig von einer Aufsicht kanadischer Datenschutzbehörden.

PIPEDA in der Fassung nach der königlichen Genehmigung des Economic Action Plan 2015 Acts am 26. Juni 2015 stellt durch die Einfügung von Abs. 1.1 in § 4 sowie von Anhang 4 nunmehr klar, dass die WADA und ihre Datenverarbeitung ihrem Anwendungsbereich unterliegen. In der Folge sind die Datenverarbeitungen der WADA von der Entscheidung der Kommission 2002/2/EG erfasst.

Dieses Gesetz enthält vergleichbare Schutzbestimmungen für personenbezogene Daten wie in der EU und gilt seit der Novelle im Jahre 2015 (act 2015, c. nunmehr auch für nicht kommerzielle private Vereine und Privatpersonen).

Im Anhang 4 zu Abschnitt 4 (1.1) und Ziffer 26 (2) (c) des ‚kanadischen Datenschutzgesetzes‘ ist die WADA mit dem Zweck der Sammlung, Verwendung und Übermittlung von personenbezogenen Daten für interprovinzielle oder internationale Aktivitäten ausdrücklich angeführt.

Gemäß Art. 45 Abs. 9 DSGVO bleiben von der Kommission auf der Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG erlassene Feststellungen so lange in Kraft, bis sie durch einen nach dem Prüfungsverfahren gemäß den Bestimmungen der DSGVO erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden, sodass die Übermittlung von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten an die WADA gemäß Art. 45 Abs. 9 DSGVO zulässig ist.

Der Sitz der internationalen Sportfachverbände, an die die Unabhängige Dopingkontrolleinrichtung Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, übermittelt, befindet sich in der überwiegenden Zahl der Fälle in der Schweiz, jedenfalls aber im EWR-Raum.

Die in § 22b ADBG 2007 geregelte Sicherstellungsbefugnis und Informationspflicht der Zollbehörden sowie die in § 22c ADBG 2007 vorgesehene Zusammenarbeit zwischen den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG und der Unabhängigen Dopingkontrolleinrichtung sind notwendig und sachgerecht und dienen der Durchsetzung des zuvor beschriebenen wichtigen öffentlichen Interesses.

§ 2 Abs. 2 BSEOG legt fest, dass in der die Bundessporteinrichtungen Gesellschaft mbH betreffenden Erklärung gemäß § 3 Abs. 2 des GmbH-Gesetzes – GmbHG, RGBl. Nr. 58/1906, vorzusehen ist, dass der Betrieb von Bundessporteinrichtungen dem Ziel der Förderung des Spitzen- und Leistungssports sowie der Förderung der Sportaus- und -weiterbildung, insbesondere der Schulen, Bildungsanstalten und Universitäten, und der Förderung des Breitensports zu dienen hat.

Die Förderung des Spitzen-, Leistungs- und Breitensports sowie der Sportaus- und -weiterbildung in Österreich ist ein gesamtgesellschaftliches Anliegen und stellt ein wichtiges öffentliches Interesse dar.

Dass daher die in § 10a Abs. 1 bis 3 BSEOG angeführten Verantwortlichen unter den gesetzlichen Voraussetzungen erforderlichenfalls zur Datenverarbeitung ermächtigt werden, ist jedenfalls zur Erfüllung der angeführten Zwecke notwendig und auch sachgerecht. Durch die genannten Ermächtigungen wird die Wahrnehmung der Aufgaben nach dem BSEOG ermöglicht und die ordnungsgemäße Vollziehung des BSEOG gewährleistet. Im Falle des § 10a Abs. 2 und 3 erfolgt die Ermächtigung nur zur Wahrnehmung der Aufgaben gemäß § 5 Abs. 2 und § 10 BSEOG.

Die Ermächtigung zur Datenverarbeitung zum jeweils genannten Zweck wird dem Kriterium der Erforderlichkeit unterstellt, das für § 10a Abs. 1 BSEOG in § 10a Abs. 4 BSEOG näher dargelegt wird. Die Erforderlichkeit gemäß § 10a Abs. 2 und 3 BSEOG ergibt sich aufgrund der strengen Einschränkung der Datenverarbeitung auf die Wahrnehmung der Aufgaben gemäß § 5 Abs. 2 und § 10 BSEOG direkt aus § 10a Abs. 2 und 3 BSEOG.

§10a Abs. 4 BSEOG bestimmt, dass besondere Kategorien personenbezogener Daten – mit Ausnahme der Daten zur Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern – nur verarbeitet werden dürfen, sofern dies unbedingt erforderlich ist. Unbedingt erforderlich ist eine Verarbeitung besonderer Kategorien personenbezogener Daten dann, wenn mit der Verarbeitung personenbezogener Daten alleine nicht das Auslangen gefunden werden kann. So wird ein entsprechend höheres Schutzniveau für besondere Kategorien personenbezogener Daten vorgesehen. Die Verarbeitung besonderer Kategorien personenbezogener Daten wird auf Art. 9 Abs. 2 lit. g und i DSGVO gestützt.

Eine Aufbewahrungspflicht wird gemäß § 10a Abs. 10 BSEOG im Umfang der bestehenden zehnjährigen Aufbewahrungsfrist für Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, vorgesehen.

§ 10a Abs. 11 BSEOG stellt klar, dass die in § 10a Abs. 4 bis 10 BSFG 2017 angeführten Bestimmungen ausschließlich für Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, gemäß § 10a Abs. 1 bis 3 BSEOG gelten.

Die Verarbeitung und Übermittlung der jeweiligen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten liegt aber auch im Interesse der betroffenen Personen und ist erforderlich, damit die Verantwortlichen oder die betroffenen Personen ihre Rechte und Pflichten ausüben oder geltend machen können.

Grundsätzlich bestehen Risiken, allerdings ist deren Eintritt einerseits nicht sehr wahrscheinlich und sind andererseits zahlreiche, wirksame und auf den jeweiligen Einzelfall bezogene Abhilfemaßnahmen vorgesehen, sodass die Datenschutz-Folgenabschätzung klar positiv ausfällt.

RISIKEN

Risiken, die bei der Verarbeitung und Übermittlung von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten bestehen, werden vor allem durch die strikte Einhaltung der Erfassungs- und Bearbeitungsvorgaben (zB Handbücher, Sicherheitskonzepte, Verfahrensvorschriften, …) minimiert.

Als Risiken werden insbesondere in Erwägungsgrund 85 der DSGVO unter anderem genannt:

– „physische, materielle oder immaterielle Schäden“, „unbefugte Aufhebung der Pseudonymisierung“, „Rufschädigung“, „Identitätsdiebstahl oder -betrug“, „finanzielle Verluste“, „Verlust der Vertraulichkeit bei Berufsgeheimnissen“ oder „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“:

Diese Risiken beziehungsweise Nachteile sind nahezu ausgeschlossen, weil mit den Strafbestimmungen des vierten bis sechsten sowie zweiundzwanzigsten Abschnittes des Besonderen Teiles des Strafgesetzbuches – StGB, BGBl. Nr. 60/1974, sowie den allenfalls anzuwendenden dienstrechtlichen Bestimmungen, wie beispielsweise dem Disziplinarrecht, wirksame Vorkehrungen gegen die unrechtmäßige Verarbeitung von Daten und somit das Entstehen von physischen, materiellen oder immateriellen Schäden bestehen. Wer die jeweiligen Daten missbraucht, geht angesichts der gerichtlichen Strafdrohung selbst ein sehr hohes Risiko ein.

Auf die Regelungen zur Amtsverschwiegenheit sowie auf anderweitige Verschwiegenheitspflichten darf verwiesen werden (vgl. Art. 20 B‑VG, § 46 Beamten-Dienstrechtsgesetz 1979 – BDG 1979, BGBl. Nr. 333/1979 u.a.). Insbesondere finanzielle Verluste sind trotz der Verwendung von Finanzdaten aufgrund der Transparenz und der Kontrollmöglichkeit der Daten vor allem durch die betroffenen Personen nicht zu erwarten.

Eine unbefugte Aufhebung einer Pseudonymisierung ist bei schon jetzt umgesetzten Rollenkonzepten ausgeschlossen.

– „Verlust der Kontrolle über personenbezogene Daten“:

Dieses Risiko wird dadurch verringert, dass Art. 5 Abs. 2 DSGVO als unmittelbar anwendbaren Grundsatz die Rechenschaftspflicht vorsieht. Der Verantwortliche ist also nicht nur für die Einhaltung des Art. 5 Abs. 1 DSGVO verantwortlich, sondern muss auch dessen Einhaltung nachweisen können, was durch entsprechende Protokollierung und Dokumentation (vgl. § 26 Abs. 6 BSFG 2017, § 4 Abs. 1 und 6b bis 6d, § 14 Abs. 2 und § 15 Abs. 1, 3 und 8 ADBG 2007 sowie § 10a Abs. 6 BSEOG) sowie Aufbewahrungspflichten (vgl. § 24 Abs. 2, § 26 Abs. 10 und § 39 Abs. 2 BSFG 2017 und § 10a Abs. 10 BSEOG) erfolgt.

Beispiele für Regelungen, die insbesondere aus Gründen der Nachvollziehbarkeit das Schriftlichkeitserfordernis vorsehen, sind etwa § 4 Abs. 6c, § 8 Abs. 2 und 4, § 10 Abs. 1, § 11 Abs. 5 und § 19 Abs. 1 ADBG 2007.

– „Diskriminierung“:

Dieses Risiko ist durch diverse Diskriminierungsverbote ausgeschlossen, insbesondere durch solche des Gleichbehandlungsgesetzes – GlBG, BGBl. I Nr. 66/2004, sowie des Bundes-Gleichbehandlungsgesetzes – B-GlBG, BGBl. Nr. 100/1993, oder etwa durch § 43a BDG 1979.

– „Einschränkung der Rechte der betroffenen Personen“:

In § 26 Abs. 6 bis 9 BSFG 2017 und in § 10a Abs. 6 bis 9 BSEOG wird jeweils von der in Art. 23 DSGVO eröffneten Möglichkeit der Beschränkung der Pflichten und Rechte gemäß Art. 5, 12 bis 22 und 34 DSGVO Gebrauch gemacht. Dies erfolgt unter Beachtung des Wesensgehalts der Grundrechte und Grundfreiheiten. Dabei kommen die Grundsätze der Notwendigkeit und der Verhältnismäßigkeit zur Anwendung. Derartige Beschränkungen von Rechten und Pflichten müssen darüber hinaus der Sicherstellung bestimmter Zwecke dienen, unter denen beispielsweise in Art. 23 Abs. 1 lit. e DSGVO der „Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit“ genannt wird. Sport vermittelt von der gesundheits- bis zur spitzensportbestimmten Ausübung wichtige Werte des gesellschaftlichen Miteinanders und Zusammenlebens wie Toleranz, Fairness und Respekt gegenüber anderen, führt Menschen unterschiedlicher Kulturen und sozialer Hintergründe zusammen, verbindet Generationen, fördert Gesundheit, Gemeinsamkeit, Integration, Kommunikation, Solidarität und Begeisterung für eine gemeinsame Sache, überwindet politische Grenzen, baut Vorurteile ab und leistet einen wichtigen Beitrag zur Persönlichkeits- und Identitätsfindung der einzelnen Menschen, insbesondere jener mit Behinderung. Sport motiviert vor allem junge Menschen und jene, die noch keinen Sport betreiben, durch die Vorbildfunktion der Sportlerinnen/Sportler diese positiven Werte und die Verhaltensweisen zu übernehmen. Die Förderung des Sports in Österreich ist daher ein gesamtgesellschaftliches Anliegen und stellt ein wichtiges öffentliches Interesse dar. Insbesondere ist es erforderlich, dass im Bereich der Bundes-Sportförderung die Überprüfbarkeit und Nachvollziehbarkeit der Gewährung, Evaluierung und Kontrolle der Förderungen sowie die Kontrolle der widmungsgemäßen Verwendung der Fördermittel gegeben und Transparenz im Zusammenhang mit dem Einsatz öffentlicher Mittel gewährleistet sind. Dies dient insbesondere auch der Vermeidung von Doppelförderungen sowie der Revisionssicherheit. Es ist daher erforderlich und sachgerecht, gewisse Beschränkungen der Rechte der betroffenen Personen vorzunehmen.

Ein Verantwortlicher ist nach der DSGVO zur Berichtigung, Aktualisierung oder Vervollständigung von personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten, die durch ihn verarbeitet werden, verpflichtet. Dies ergibt sich einerseits aus Art. 5 Abs. 1 lit. d DSGVO und andererseits aus dem Recht der betroffenen Person auf Berichtigung gemäß Art. 16 DSGVO. Der Rechtskraft fähige Erledigungen enthalten personenbezogene Daten und unter Umständen auch besondere Kategorien personenbezogener Daten, die grundsätzlich dem Recht auf beziehungsweise der Pflicht zur Berichtigung gemäß den Bestimmungen der DSGVO unterliegen. Da sich daraus ein Spannungsverhältnis zum allgemeinen Konzept der Rechtskraft beziehungsweise der Verjährung ergibt, ist eine Beschränkung des Grundsatzes der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO sowie des Rechtes auf Berichtigung gemäß Art. 16 DSGVO vorgesehen. § 26 Abs. 6 BSFG 2017 und § 10a Abs. 6 BSEOG beschränken den Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO sowie das Recht auf Berichtigung gemäß Art. 16 DSGVO bei unrichtigen oder unvollständigen personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten insoweit, als einer Berichtigung die Rechtskraft oder die Verjährung entgegenstehen, oder wenn ein zumutbarer Rechtsweg besteht oder bestand. Dies dient nicht nur dem Schutz des jeweils vorgesehenen Verfahrens, sondern stellt insbesondere klar, dass das Recht auf Berichtigung auch im Anwendungsbereich des BSFG 2017 und des BSEOG nicht der Umgehung anderer rechtlicher Vorschriften oder eines durch den Gesetzgeber vorgesehenen Rechtsweges dient. Dass eine nicht inhaltsändernde Stellungnahme abgegeben werden kann, bedeutet, dass im Sinne einer Vervollständigung oder ergänzenden Erklärung zwar von den personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten abweichende Inhalte angeführt werden können, diese Inhalte der personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten gemäß § 26 Abs. 1 bis 3 BSFG 2017 und gemäß § 10a Abs. 1 bis 3 BSEOG aber aufgrund der Stellungnahme nicht geändert werden dürfen. Die Wahrung der Rechtssicherheit und Rechtsbeständigkeit stellt ein wichtiges Ziel des allgemeinen öffentlichen Interesses dar und daher sind Beschränkungen im Ausmaß des § 26 Abs. 6 BSFG 2017 und des § 10a Abs. 6 BSEOG von Art. 23 Abs. 1 lit. e DSGVO gedeckt.

§ 26 Abs. 7 BSFG 2017 und § 10a Abs. 7 BSEOG stellen klar, dass für zulässig verarbeitete Daten das Recht auf Löschung gemäß Art. 17 DSGVO für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung ausgeschlossen ist. Eine solche Möglichkeit besteht gemäß Art. 17 Abs. 3 DSGVO zur Erfüllung einer rechtlichen Verpflichtung, wie beispielsweise einer Aufbewahrungspflicht, die die Verarbeitung nach dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Zur Aufrechterhaltung der Bundes-Sportförderung als wichtiges öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten von betroffenen Personen verbundenen Kontroll-, Überwachungs- und Ordnungsfunktion ist die gesetzlich vorgesehene Verarbeitung der genannten Daten bis zum Ablauf der durch Gesetz oder durch Verordnung bestimmten Frist der Aufbewahrungspflicht erforderlich. Dies gilt umso mehr, als zu Unrecht bezogene Förderungen zurückgefordert können werden müssen. Auf Art. 17 Abs. 3 lit. e DSGVO wird hingewiesen. Macht eine betroffene Person glaubhaft, dass die Aufbewahrung ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigt, so kann auf Antrag der betroffenen Person für die verbleibende Dauer der Aufbewahrungspflicht eine Speicherung ohne Aufbereitung vorgesehen werden, wenn für diesen Zeitraum keine weitere Verarbeitung vorgesehen ist.

§ 26 Abs. 8 BSFG 2017 und § 10a Abs. 8 BSEOG regeln eine Beschränkung des Rechtes auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Die Überprüfung der Richtigkeit der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten der betroffenen Person soll nicht dazu führen, dass die Datenverarbeitung einzuschränken wäre, was die Überprüfbarkeit und Nachvollziehbarkeit der Gewährung, Evaluierung und Kontrolle der Förderungen sowie die Kontrolle der widmungsgemäßen Verwendung der Fördermittel und die Transparenz im Zusammenhang mit dem Einsatz öffentlicher Mittel beeinträchtigen würde, weswegen für den Anwendungsbereich des § 26 Abs. 1 bis 3 BSFG 2017 und des § 10a Abs. 1 bis 3 BSEOG eine Beschränkung des Rechtes auf Einschränkung der Verarbeitung im erforderlichen Ausmaß sachgerecht ist. Gleiches gilt für den Zeitraum, in dem die betroffene Person ihr Recht auf Widerspruch geltend gemacht hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Eine Beschränkung des Rechtes auf Einschränkung der Verarbeitung ist auch im Lichte des wichtigen wirtschaftlichen und finanziellen Interesses des Staates erforderlich und sachgerecht im Sinne des Art. 23 Abs. 1 lit. e DSGVO, da etwa die rechtskonforme Abwicklung von Bundes-Sportförderungen und die Vermeidung von Doppelförderungen sowie die Revisionssicherheit wichtige Ziele des allgemeinen öffentlichen Interesses darstellen, deren Schutz die Beschränkungen gemäß § 26 Abs. 8 BSFG 2017 und gemäß § 10a Abs. 8 BSEOG rechtfertigt.

Aufgrund des überwiegenden, berechtigten öffentlichen Interesses an der Verarbeitung der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten gemäß § 26 Abs. 1 bis 3 BSFG 2017 und gemäß § 10a Abs. 1 bis 3 BSEOG ist es erforderlich und sachgerecht, das Recht auf Widerspruch gemäß Art. 21 DSGVO in § 26 Abs. 9 BSFG 2017 und in § 10a Abs. 9 BSEOG für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung auszuschließen, sofern die betroffene Person nicht Gründe nachweisen kann, die sich aus ihrer besonderen Situation ergeben und die die Ziele der Beschränkung des Rechtes auf Widerspruch überwiegen. Die Erforderlichkeit und Sachlichkeit dieser Beschränkung ergibt sich aus dem überwiegenden, berechtigten öffentlichen Interesse an der Überprüfbarkeit und Nachvollziehbarkeit der Gewährung, Evaluierung und Kontrolle der Förderungen sowie der Kontrolle der widmungsgemäßen Verwendung der Fördermittel und der Transparenz im Zusammenhang mit dem Einsatz öffentlicher Mittel sowie der Notwendigkeit der Nachvollziehbarkeit und der Gewährleistung der Revisionssicherheit. Verarbeitungen gemäß § 26 Abs. 1 bis 3 BSFG 2017 und gemäß § 10a Abs. 1 bis 3 BSEOG unterstehen dem Grundsatz der Erforderlichkeit. Es wird daher eine sachgerechte und erforderliche Beschränkung des Rechtes auf Widerspruch gemäß Art. 21 DSGVO im Sinne des Art. 23 DSGVO für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung festgelegt, sofern nicht eine beschriebene besondere Situation vorliegt. In Fällen, in denen das Widerspruchsrecht nicht gemäß § 26 Abs. 9 BSFG 2017 oder gemäß § 10a Abs. 9 BSEOG eingeschränkt ist, kann sich direkt aus Art. 21 Abs. 1 letzter Satz und Abs. 6 letzter Satz DSGVO ergeben, dass trotz Widerspruchs eine Verarbeitung personenbezogener Daten oder besonderer Kategorien personenbezogener Daten zulässig ist.

Die Beschränkung der Rechte der betroffenen Person gemäß Art. 23 DSGVO erfolgt in § 4 Abs. 6b ADBG 2007 im notwendigen und verhältnismäßigen Ausmaß im Rahmen einer Einzelfallprüfung, liegt im allgemeinen öffentlichen Interesse und stellt sicher, dass die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit gewährleistet ist. Die zuständige Behörde soll durch die Vornahme der erforderlichen bloßen Verarbeitung durch die Unabhängige Dopingkontrolleinrichtung unterstützt werden. Diese Verarbeitung dient primär den Zwecken des ADBG 2007 und wird von der Unabhängigen Dopingkontrolleinrichtung durchgeführt, deren Hauptaufgabe nicht im Bereich der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten liegt, weswegen der Anwendungsbereich der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 04.05.2016 S. 89, nicht eröffnet ist.

Im Einzelfall ist zu prüfen, in welchem Ausmaß die Rechte der betroffenen Person gemäß Art. 12 bis 22 DSGVO in der Zeit vom Einlangen des Ersuchens bis zum Zeitpunkt der Information der betroffenen Person beschränkt werden müssen, damit die Verwirklichung der Zwecke des Ersuchens nicht unmöglich gemacht oder ernsthaft beeinträchtigt wird. Dabei kommen die Grundsätze der Notwendigkeit und der Verhältnismäßigkeit zur Anwendung. Da die entsprechenden Beschränkungen der Rechte der betroffenen Person bereits in § 4 Abs. 6b ADBG 2007 kundgemacht werden und eine Unterrichtung über die Beschränkung im Einzelfall dem Zweck der Beschränkung abträglich wäre, ist ein Informieren der betroffenen Person erst vorgesehen, sobald es nicht mehr dem Zweck des Ersuchens zuwiderläuft oder zuwiderlaufen kann. Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung ergeben sich aus den jeweiligen Verfahrensrechten. Für den Bereich des § 4 Abs. 6b ADBG 2007, also der bloßen Verarbeitung aufgrund eines entsprechenden Ersuchens, insbesondere auch im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, ist die Unabhängige Dopingkontrolleinrichtung Verantwortlicher gemäß Art. 4 Z 7 DSGVO. Das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO hat erst nach Mitteilung durch die ersuchende zuständige Behörde an die Unabhängige Dopingkontrolleinrichtung zu erfolgen. Zudem wird der betroffenen Person ein Recht zur Stellungnahme gegenüber der Unabhängigen Dopingkontrolleinrichtung eingeräumt.

In § 22c Abs. 2a ADBG 2007 erfolgt eine notwendige und verhältnismäßige Einschränkung der Betroffenenrechte bei der Übermittlung von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten. Auf die Ausführungen zu § 4 Abs. 6b ADBG 2007 wird sinngemäß verwiesen.

Die genannten Risiken sind nach Erwägungsgrund 75 DSGVO mit Eintrittswahrscheinlichkeit und Schwere anzugeben. Angesichts der verschwindend geringen Zahl von zwei Verurteilungen nach § 118a StGB (Widerrechtlicher Zugriff auf ein Computersystem) im Jahr 2016 (Statistik Austria, Gerichtliche Kriminalstatistik 2016, https://www.statistik.at/web_de/statistiken/menschen_und_gesellschaft/soziales/kriminalitaet/index.html, [29.03.2018]) sowie einer Zahl von ca. 3,6 Mio. aktiven IT-Systemen in Österreich, ergibt sich eine Wahrscheinlichkeit von unter 1:1 Million, dass sich die von der DSGVO angeführten Risiken oder Nachteile verwirklichen. Die Zahl von 3 610 602 aktiven IT-Systemen ergibt sich aus der Zahl der Privathaushalte, die für das Jahr 2016 mit 3 865 000 beziffert wird (Statistik Austria, Haushaltsstatistik 2016, https://www.statistik.at/web_de/statistiken/menschen_und_gesellschaft/bevoelkerung/haushalte_familien_lebensformen/index.html, [29.03.2018]), der Zahl der Unternehmen, die für das Jahr 2015 mit 328 638 beziffert wird (Statistik Austria, Leistungs- und Strukturstatistik 2015, http://www.statistik.at/web_de/statistiken/wirtschaft/unternehmen_arbeitsstaetten/index.html, [29.03.2018]) sowie dem Faktor der IKT-Nutzung der für das Jahr 2016 für private Haushalte mit 85 Prozent und für Unternehmen mit 99 Prozent (Statistik Austria, IKT-Einsatz in Haushalten beziehungsweise Unternehmen, https://www.statistik.at/web_de/statistiken/energie_umwelt_innovation_mobilitaet/informationsgesellschaft/index.html, [29.03.2018]) beziffert wird.

Im Jahr 2016 (Statistik Austria, Gerichtliche Kriminalstatistik 2016, https://www.statistik.at/web_de/statistiken/menschen_und_gesellschaft/soziales/kriminalitaet/index.html, [29.03.2018]) erfolgten 57 Verurteilungen nach § 302 StGB (Missbrauch der Amtsgewalt) und eine Verurteilung nach § 310 StGB (Verletzung des Amtsgeheimnisses). Wie viele der Verurteilungen etwa aufgrund des gezielten Beschaffens personenbezogener Daten oder besonderer Kategorien personenbezogener Daten durch Abfrage in für die Erfüllung dienstlicher Aufgaben eingerichteten Datenbanken oder aufgrund des Ermittelns personenbezogener Daten oder besonderer Kategorien personenbezogener Daten ohne dienstliche Rechtfertigung erfolgten, war nicht feststellbar. Daher kann für die Fälle des Missbrauches der Amtsgewalt sowie der Verletzung des Amtsgeheimnisses keine Wahrscheinlichkeit des Verwirklichens der von der DSGVO angeführten Risiken oder Nachteile angegeben werden.

ABHILFEMAßNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in Erwägungsgrund 78 der DSGVO unter anderem genannt:

– „Minimierung der Verarbeitung personenbezogener Daten“ und „Verwendungsbeschränkung“:

Die Minimierung der Verarbeitung personenbezogener Daten ergibt sich unmittelbar aus Art. 5 Abs. 1 lit. c DSGVO. Dort wird die Datenminimierung in dem Sinne geregelt, dass Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Dieser Grundsatz ist in vielfältiger Weise auch im Gesetzestext anzutreffen, insbesondere durch den konsequenten Einsatz des Kriteriums der Erforderlichkeit der jeweiligen Verarbeitung oder Übermittlung (vgl. § 26 Abs. 1 bis 4 und § 39 Abs. 1 BSFG 2017, § 4 Abs. 6 bis 6d ADBG 2007 und § 10a Abs. 1 bis 4 BSEOG).

Die Beachtung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO, wonach personenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, ergibt sich ebenso aus dem Kriterium der Erforderlichkeit sowie aus den bereits beschriebenen Aufbewahrungspflichten.

Der sich aus Art. 5 Abs. 1 lit. b DSGVO ergebende Grundsatz der Zweckbindung ist ebenso durchgehend umgesetzt. Danach dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Die bestehenden Zugriffs- und Berechtigungskonzepte entsprechen dem Grundsatz der Beschränkung auf das notwendige Maß.

– „schnellstmögliche Pseudonymisierung personenbezogener Daten“ (siehe auch Erwägungsgrund 28 DSGVO):

Eine Pseudonymisierung oder Anonymisierung der auf Grundlage des BSFG 2017, des ADBG 2007 oder des BSEOG erhobenen personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten selbst ist nur bedingt möglich, weil im Sinne des jeweiligen Rechtsverhältnisses eine zweifelsfreie Zuordnung sowohl in der analogen, als auch in der digitalen Welt möglich bleiben muss, was auch dem Kriterium der Erforderlichkeit entspricht. Ist eine Auflösung des Personenbezuges durch geeignete technische Mittel jedoch möglich, so wird diese insbesondere gemäß den Grundsätzen der Datenminimierung und der Speicherbegrenzung und im Sinne des Art. 32 DSGVO vorgenommen, sofern nicht ohnedies eine Löschung zu erfolgen hat. Eine Anonymisierung personenbezogener Daten ist beispielsweise in § 7 Z 1, 2 und 4 ADBG 2007 vorgesehen.

– „Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten“ und „Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen“:

Durch die explizite gesetzliche Regelung der Datenverarbeitung sowie deren Zwecke wird den Anforderungen der Transparenz bereits durch die Kundmachung in hohem Maße Rechnung getragen.

Auf die Informationspflichten gemäß Art. 13 und Art. 14 DSGVO wird an dieser Stelle hingewiesen.

Sofern eine betroffene Person ihre Rechte nach der DSGVO gegenüber einem unzuständigen Verantwortlichen ausübt, hat dieser sie an den zuständigen Verantwortlichen zu verweisen. Die Benennung einer/eines Datenschutzbeauftragten gemäß Art. 37 bis 39 DSGVO erfolgt durch den jeweiligen Verantwortlichen unmittelbar aufgrund der DSGVO.

Bei der Geltendmachung von Betroffenenrechten ist darauf zu achten, dass die Rechte Dritter nicht nachteilig beeinflusst werden, was insbesondere bei namentlicher Nennung Dritter der Fall sein kann. Die Übermittlung von Informationen kann bei Verständigung der betroffenen Person durch gesicherten Fernzugriff, also durch Abholung erfolgen. Es wird auf Art. 12 DSGVO verwiesen, der die transparente Information, Kommunikation und die Modalitäten für die Ausübung der Rechte der Betroffenen regelt.

Außerdem wird durch das gemäß Art. 30 DSGVO zu führende Verzeichnis von Verarbeitungstätigkeiten, das der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen ist, dargestellt, welche Verarbeitungstätigkeiten jeweils vorgenommen werden und der jeweiligen Zuständigkeit unterliegen.

Beispiele für Informationspflichten im Zusammenhang mit betroffenen Personen finden sich etwa in § 4 Abs. 6b und 22c ADBG 2007.

– „Datensicherheitsmaßnahmen“ (Erwägungsgrund 83 DSGVO):

Durch entsprechende technische und personelle Maßnahmen wird im Einzelfall sichergestellt, dass personenbezogene Daten oder besondere Kategorien personenbezogener Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet und einen entsprechenden Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung bietet, wodurch vor allem dem Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO Rechnung getragen wird. In diesem Zusammenhang wird auch auf Art. 25 DSGVO hingewiesen.

Die Verantwortlichen gemäß § 26 Abs. 1 bis 3 BSFG 2017 und § 10a Abs. 1 bis 3 BSEOG sowie die Unabhängige Dopingkontrolleinrichtung gemäß § 4 Abs. 6a BSFG 2017 haben jeweils gemäß Art. 32 bis 34 DSGVO für die Sicherheit der personenbezogenen Daten und der besonderen Kategorien personenbezogener Daten zu sorgen.

Datensicherheitsmaßnahmen werden etwa auch durch Sicherheitsanalysen bei der Programmierung sowie bereits jetzt umgesetzte Rollenkonzepte und die damit eindeutige Identifikation der/des jeweiligen Verarbeitenden getroffen.

Es wird außerdem an dieser Stelle auf die Regelungen zu Auftragsverarbeitern in Art. 28 DSGVO hingewiesen.

Gemäß Art. 35 Abs. 10 DSGVO ist eine Datenschutz-Folgenabschätzung im Zuge von Gesetzgebungsverfahren zulässig. Die konkret eingesetzte Infrastruktur wird jedoch typischerweise nicht gesetzlich geregelt, weswegen an dieser Stelle auf die Einhaltung der Maßnahmen gemäß Art. 25 und Art. 32 DSGVO hingewiesen wird. Durch die Publikation der angeführten Bestimmungen in den jeweiligen gesetzlichen Grundlagen als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung und Übermittlung personenbezogener Daten und besonderer Kategorien personenbezogener Daten sowie die zum Begutachtungsentwurf erfolgten Stellungnahmen von der Öffentlichkeit kostenlos eingesehen und nachvollzogen werden. Im Rahmen des erfolgten Begutachtungsverfahrens wurde insbesondere der Datenschutzbehörde, den Datenschutzbeauftragten, den betroffenen Personen und den Verantwortlichen die Möglichkeit zur Stellungnahme eingeräumt. Durch die Abgabe von Stellungnahmen erfolgte eine aktive Mitwirkung an der Gestaltung des Gesetzestextes, um die Vereinbarkeit der geplanten Verarbeitungen und Übermittlungen mit der DSGVO sicherzustellen.

Weiters trägt die Benennung einer/eines jeweils zuständigen Datenschutzbeauftragten maßgeblich zur Datensicherheit bei. Hinzu kommen beispielsweise entsprechende Schulungen, Handbücher, Sicherheitskonzepte oder gegebenenfalls Weisungen, die auf den jeweiligen Einzelfall abstellen.

Außerdem bestehen Verarbeitungs- und Übermittlungsmöglichkeiten stets nur für Personen, die sich in ihrem jeweiligen Rechtsverhältnis entsprechend bewährt und als verlässlich erwiesen haben. Dies bewirkt ebenso eine Erhöhung der Datensicherheit.