Bundesgesetz, mit dem das Bundes-Stiftungs- und Fondsgesetz 2015, das Gedenkstättengesetz, das Meldegesetz 1991, das Passgesetz 1992, das Personenstandsgesetz 2013, das Vereinsgesetz 2002, das Waffengesetz 1996, das Zivildienstgesetz, das BFA-Verfahrensgesetz, das Fremdenpolizeigesetz 2005, das Niederlassungs- und Aufenthaltsgesetz, das Grundversorgungsgesetz – Bund 2005, das Grenzkontrollgesetz, das Staatsbürgerschaftsgesetz 1985, das Sicherheitspolizeigesetz, das Polizeiliche Staatsschutzgesetz, das Polizeikooperationsgesetz, das EU-Polizeikooperationsgesetz, das Bundespräsidentenwahlgesetz 1971, das Europäische-Bürgerinitiative-Gesetz, das Europa, Wählerevidenzgesetz, die Europawahlordnung, die Nationalrats-Wahlordnung 1992, das Volksabstimmungsgesetz 1972, das Volksbefragungsgesetz 1989, das Volksbegehrengesetz 2018 und das Wählerevidenzgesetz 2018 geändert werden (Datenschutz-Anpassungsgesetz – Inneres)

 

Vereinfachte wirkungsorientierte Folgenabschätzung

 

Einbringende Stelle:

Bundesministerium für Inneres

Vorhabensart:

Bundesgesetz

Laufendes Finanzjahr:

2018

 

Inkrafttreten/

Wirksamwerden:

2018

 

Vorblatt

 

Problemanalyse

Zur Gewährleistung eines einheitlichen Datenschutzniveaus innerhalb der Mitgliedstaaten der Europäischen Union wurde auf europäischer Ebene ein neues Datenschutzregime eingeführt. Im Frühjahr 2016 beschlossen der Rat und das Parlament die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (DSGVO) und die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89 (DatenschutzRL).

Die DSGVO tritt am 25. Mai 2018 in Kraft und erlangt damit unmittelbare Geltung. In zahlreichen Bereichen bedarf es jedoch einer Durchführung in innerstaatliches Recht. Hinsichtlich allgemeiner Angelegenheiten des Datenschutzrechts erfolgte eine solche durch das Datenschutz-Anpassungsgesetz 2018 (BGBl I Nr. 120/2017) und die darin vorgesehenen Änderungen im Datenschutzgesetz (DSG), welche am 25. Mai 2018 in Kraft treten.

Mit dem Datenschutz-Anpassungsgesetz 2018 erfolgt auch die – bis Mai 2018 vorzunehmende – Umsetzung der DatenschutzRL in innerstaatliches Recht.

Gemäß § 69 Abs. 8 DSG sind – im Rahmen der europarechtlichen Vorgaben – vom DSG abweichende Regelungen im Bereich des Datenschutzes in Bundes- und Landesgesetzen zulässig, welche sodann als leges speciales den allgemeinen Regelungen des DSG vorgehen.

Nahezu sämtliche in den legistischen Zuständigkeitsbereich des BMI fallenden Materiengesetze enthalten Bestimmungen zur Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Erfüllung ihrer Aufgaben. Die in diesen Gesetzen geregelten Datenverarbeitungen haben ab dem 28. Mai 2018 den Anforderungen der DSGVO und der DatenschutzRL zu genügen. Die erforderlichen Adaptierungen erfolgen im Rahmen des vorliegenden Gesetzespaketes ("Datenschutzanpassungsgesetz – Inneres").

Da das neue Datenschutzregime neue Begrifflichkeiten vorsieht, sind terminologische Anpassungen in den einzelnen Datenschutzbestimmungen erforderlich. Dies zieht zum Teil umfangreiche inhaltliche Änderungen nach sich: So ist der DSGVO etwa der Begriff des Informationsverbundsystems im Sinne des (durch die Novelle BGBl I Nr. 120/2017 außer Kraft tretenden) § 4 Z 13 DSG 2000 fremd. Ein Informationsverbundsystem lag nach bisheriger Rechtslage vor, wenn mehrere Auftraggeber die von ihnen verarbeiteten Daten in ein gemeinsames System einspeisten und jeder Auftraggeber Zugriff auf sämtliche in diesem System verarbeiteten Daten hatte. Ein Großteil der in den geänderten Materiengesetzen geregelten Datenverarbeitungsregister (etwa das Zentrale Fremdenregister, die Zentrale Verfahrensdatei, ...) sind als derartige Informationsverbundsysteme ausgestaltet. Um die bisherigen Informationsverbundsysteme im Zuständigkeitsbereich des Bundesministeriums für Inneres weiterführen zu können, muss nunmehr die im Rahmen der DSGVO geschaffene Rechtsfigur des "gemeinsamen Verantwortlichen" im nationalen Recht verankert werden. Da auch die allgemeine Regelung betreffend Aufbewahrungsdauer der Protokolldaten im DSG mit 28. Mai 2018 entfällt, wird in den Materiengesetzen jeweils eine entsprechende Norm aufgenommen.

Eine weitere Neuerung ergibt sich hinsichtlich der in der DSGVO vorgesehenen besonderen Kategorien personenbezogener Daten (zB. biometrische Daten), deren Verarbeitung lediglich unter bestimmten Voraussetzungen zulässig sein soll. Vor diesem Hintergrund werden hinsichtlich der Verarbeitung erkennungsdienstlicher Daten (etwa der Abnahme von Fingerabdrücken) jeweils spezifische grundrechtsschützende Maßnahmen zu Gunsten der betroffenen Person vorgesehen.

In Umsetzung der von der DSGVO geforderten Maßnahmen im Hinblick auf die Rechtmäßigkeit von Datenverarbeitungen sind zudem – soweit nicht bereits gesetzlich vorgesehen – die konkreten Zwecke der jeweiligen Datenverarbeitungen festgelegt werden.

 

Ziel(e)

Gewährleistung eines weiterhin hohen Datenschutzniveaus im Bereich der Verarbeitung personenbezogener Daten im Zuständigkeitsbereich des Bundesministeriums für Inneres

 

Inhalt

Das Vorhaben umfasst hauptsächlich folgende Maßnahme(n):

Vornahme terminologischer Anpassungen an die Vorgaben der DSGVO und der DatenschutzRL

Konkretisierung der Anforderungen an Datenverarbeitungen hinsichtlich deren Rechtmäßigkeit (beispielsweise durch Festlegung eines bestimmten Zwecks)

Regelungen betreffend die Datenverarbeitung durch gemeinsam Verantwortliche zur Weiterführung der bisherigen Informationsverbundsysteme im Zuständigkeitsbereich des Bundesministeriums für Inneres sowie Festlegung von Pflichten der Verantwortlichen nach der DSGVO

Erweiterung grundrechtsschützender Maßnahmen im Zusammenhang mit Datenverarbeitungen

Aufnahme von Protokollierungsvorschriften hinsichtlich der durchgeführten Datenverarbeitungsvorgänge

 

Beitrag zu Wirkungsziel oder Maßnahme im Bundesvoranschlag

 

Das Vorhaben trägt dem Wirkungsziel "Aufrechterhaltung des hohen Niveaus der öffentlichen Ruhe, Ordnung und Sicherheit in Österreich, insbesondere durch bedarfsorientierte polizeiliche Präsenz, Verkehrsüberwachung, Schutz kritischer Infrastrukturen und internationale Kooperation." der Untergliederung 11 Inneres im Bundesvoranschlag des Jahres 2018 bei.

 

Finanzielle Auswirkungen auf den Bundeshaushalt und andere öffentliche Haushalte:

 

Unmittelbar aufgrund der DSGVO entstehende finanzielle Auswirkungen – zumal im nationalen Gesetz keine derartigen Regelungen enthalten sind – sind der DSGVO zuzurechnen und nicht Gegenstand dieses Vorhabens. Insoweit zur Durchführung der Verordnung mit 25. Mai 2018 in Kraft tretende Änderungen im DSG vorgenommen wurden, ergeben sich allfällig damit verbundene Mehraufwendungen aus der Novellierung des DSG.

Die Richtlinie (EU) 2016/680 wurde innerstaatlich im DSG umgesetzt und ergeben sich auch die allfällig damit verbundenen diesbezüglichen Mehraufwendungen aus dem DSG.

Im Rahmen dieses Vorhabens erfolgen allenfalls vollzugsvereinfachende Abweichungen vom DSG im Rahmen der europarechtlichen Vorgaben.

Die bloße terminologische Anpassung an die Begrifflichkeiten der genannten EU-Rechtsvorschriften und das DSG haben von vornherein keine finanziellen Auswirkungen. Auch bei der Anpassung der ehemaligen Informationsverbundsysteme an die neuen europarechtlichen Vorgaben werden keine inhaltliche Änderungen und daher keine Kosten bewirkt. Die im Vergleich zur geltenden Rechtslage geänderte Protokollierungsdauer wird einmalig Programmierarbeiten erforderlich machen. Die konkrete Höhe der Kosten kann noch nicht abschließend festgelegt werden; es werden etwa 10 bis 20 Personentage und damit bis zu € 25.000 an diesbezüglichen finanziellen Aufwendungen anfallen. Die Bedeckung dieser Kosten wird gemäß BFG/BFRG im Detailbudget 11.04.04 erfolgen. Dem gegenüber steht eine nicht bezifferbare Ausgabenminderung im Hinblick auf die mit der Verkürzung der Speicherdauer verbundene Verringerung des notwendigen Speicherplatzes.

Darüber hinaus sind mit diesem Vorhaben keine finanziellen Ausgaben verbunden.

 

Verhältnis zu den Rechtsvorschriften der Europäischen Union

Dieses Vorhaben steht im Einklang mit der DSGVO und der DatenschutzRL.

 

Besonderheiten des Normerzeugungsverfahrens

keines

 

Diese Folgenabschätzung wurde mit der Version 5.0 des WFA – Tools erstellt (Hash-ID: 1811548837).