Erläuterungen

Allgemeiner Teil

Hauptgesichtspunkte des Entwurfes:

Das geltende Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, setzt die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, in innerstaatliches Recht um.

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, beschlossen. Die Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2016 in Kraft getreten, tritt am 25. Mai 2018 in Geltung und hebt mit 25. Mai 2018 die Richtlinie 95/46/EG auf.

Die notwendige Durchführung der DSGVO hinsichtlich allgemeiner Angelegenheiten des Schutzes personenbezogener Daten erfolgte durch das Datenschutz-Anpassungsgesetz 2018 und die darin vorgesehenen Anpassungen im Datenschutzgesetz.

Nun sind auch die bestehenden materienspezifischen Datenschutzregelungen in den einzelnen Bundesgesetzen auf ihre Vereinbarkeit mit der DSGVO hin zu überprüfen und erforderlichenfalls anzupassen. Dabei ist auch die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89, zu beachten.

In diesem Zusammenhang müssen insbesondere die datenschutzrechtlichen Begrifflichkeiten an die neuen Definitionen der DSGVO angepasst werden. Weiters sieht die DSGVO manchmal Regelungsspielräume („Öffnungsklauseln“) für die nationale Gesetzgebung vor, die unter anderem auch dazu genutzt werden können, Regelungen im Bereich des Datenschutzes zu konkretisieren (so etwa hinsichtlich Aufbewahrungsfristen).

Der vorliegende Entwurf enthält die erforderlichen Anpassungen für die Bundesgesetze im Wirkungsbereich des Bundesministeriums für Arbeit, Soziales, Gesundheit und Konsumentenschutz, wobei jedoch für die Anpassungen im Bereich der gesetzlichen Sozialversicherung und im Bereich Gesundheit jeweils eigene Sammelnovellen vorgesehen sind.

Kompetenzgrundlage:

Die Zuständigkeit des Bundes gründet sich auf Art. 10 Abs. 1 Z 6, 8, 11 und 16 B-VG.

Besonderer Teil

Zu Artikel 1 (Änderung des Alternative-Streitbeilegung-Gesetzes)

Zu Art. 1 Z 1 (§ 8 Abs. 2 AStG):

Auf Grund der in der DSGVO ohnehin enthaltenen und unmittelbar anzuwendenden Bestimmungen können die entsprechenden Bestimmungen im AStG entfallen.

Zu Artikel 2 (Änderung des Produktsicherheitsgesetzes 2004)

Zu Art. 2 Z 1 (§ 8 Abs. 4 PSG 2004):

Die Verordnung (EWG) Nr. 339/93 wurde aufgehoben und ihre Bestimmungen in die Verordnung (EG) Nr. 765/2008 integriert; der Verweis wird daher entsprechend angepasst.

Zu Art. 2 Z 2 (§ 9 PSG 2004):

Der zweite und dritte Satz in § 9 PSG 2004 können auf Grund der in der DSGVO enthaltenen und unmittelbar anzuwendenden Bestimmungen entfallen.

Zu Art. 2 Z 3 und 4 (§ 10 PSG 2004):

In Abs. 1 wurde die exemplarische Anführung europäischer Produktsicherheit-Meldeverfahren auf die Verfahren in der Verordnung (EG) Nr. 765/2008 erweitert.

Die Absätze 2 und 3 entfallen auf Grund der entsprechenden und unmittelbar anzuwendenden Bestimmungen in der DSGVO.

Zu Artikel 3 (Änderung des Behinderteneinstellungsgesetzes)

Zu Art. 3 Z 1 und 2 (§§ 16 und 19a BEinstG):

Der Begriff „Daten“ soll durch den in Art. 4 Z 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, normierten Ausdruck „personenbezogene Daten“ ersetzt werden.

Zu Artikel 4 (Änderung des Bundesbehindertengesetzes)

Zu Artikel 5 (Änderung des Bundes-Behindertengleichstellungsgesetzes)

§ 16a Bundes-Behindertengleichstellungsgesetz (BGStG) soll die gesetzliche Ermächtigung für das Bundesministerium für Arbeit, Soziales und Konsumentenschutz sowie das Bundesamt für Soziales und Behindertenwesen darstellen, die für die Vollziehung erforderlichen personenbezogenen Daten zu verarbeiten. Durch die Aufzählung der Datenarten wird den Erfordernissen der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 (BGBl I Nr. 120/2017) Rechnung getragen. Da für Beratungen und Durchführung von Schlichtungsverfahren nach dem BGStG auch bestimmte personenbezogene Daten der beteiligten Personen benötigt werden, sollen das Bundesministerium für Arbeit, Soziales und Konsumentenschutz und das Bundesamt für Soziales und Behindertenwesen ermächtigt werden, auch diese personenbezogenen Daten zu verarbeiten.

Der Begriff „Daten“ soll dabei dem in Art. 4 Z 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, normierten Ausdruck „personenbezogene Daten“ entsprechen.

Zu Artikel 6 (Änderung des Bundespflegegeldgesetzes)

Zu Art. 6 Z 1 (§ 21a Abs. 5, 6 und 7 BPGG):

§ 21a Abs. 5 und 6 soll die gesetzliche Ermächtigung für das Bundesamt für Soziales und Behindertenwesen darstellen, die für die Vollziehung erforderlichen personenbezogenen Daten zu verarbeiten. Durch die Aufzählung der Datenarten wird den Erfordernissen der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 (BGBl I Nr. 120/2017) Rechnung getragen. Da für die Gewährung einer Zuwendung aus dem Unterstützungsfonds für Menschen mit Behinderung auch bestimmte personenbezogene Daten der pflegebedürftigen Person (z.B. Pflegegeldstufe) benötigt werden, soll das Bundesamt für Soziales und Behindertenwesen ermächtigt werden, auch diese personenbezogenen Daten zu verarbeiten.

Im Abs. 7 soll das Bundesamt für Soziales und Behindertenwesen aus verwaltungsökonomischen Gründen ermächtigt werden, die personenbezogen Daten der pflegebedürftigen Person im Einzelfall aus der Anwendung Pflegegeldinformation – PFIF des Hauptverbandes der österreichischen Sozialversicherungsträger abzufragen.

Zu Art. 6 Z 2 (§ 21b Abs. 7 BPGG):

Bei den in § 21b Abs. 7 Z 1 (lit. b bis lit. f) im Rahmen des Entwurfes ergänzten Daten handelt es sich um sensible Daten gemäß § 4 Z 2 DSG 2000. Gemäß § 7 Abs. 1 DSG 2000 dürfen Daten nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzt werden. Weiters setzt die Verwendung der Daten gemäß § 7 Abs. 3 DSG 2000 voraus, dass der Eingriff auf verhältnis- und zweckmäßige Weise erfolgt und die in § 6 DSG 2000 normierten Grundsätze gewahrt werden.

Gemäß § 21b Abs. 2 Z 2 BPGG sowie der aufgrund von § 21b Abs. 4 BPGG erlassenen Förderungsrichtlinien ist bei Förderungswerberinnen und Förderungswerbern, die ein Pflegegeld der Stufen 3 oder 4 beziehen, der Bedarf einer 24-Stunden-Betreuung durch das Sozialministeriumservice nach administrativ festgelegten Kriterien gesondert zu prüfen. Aufgrund interner Evaluierungen werden die im Entwurf des § 21b Abs. 7 Z 1 nunmehr zusätzlich genannten Daten aus dem Pflegegeldinformationssystem PFIF verarbeitet, um im Sinne einer Verwaltungsvereinfachung und verbesserten Serviceleistung gegenüber den Förderungswerberinnen und Förderungswerbern eine rasche und einheitliche Vorgehensweise zu gewährleisten.

Zudem soll das gesamte Förderungsverfahren zu § 21b BPGG für Neufälle ab dem ersten Quartal 2018 vollelektronisch geführt werden und sollen sowohl die in der bislang geltenden Fassung des § 21b Abs. 7 BPGG genannten Daten sowie die im Rahmen des gegenständlichen Entwurfes ergänzten Daten sodann automationsunterstützt im Rahmen einer beim Sozialministeriumservice betriebenen Softwarelösung (Fachapplikation) verarbeitet werden.

Bei der Änderung in § 21b Abs. 7 Z 3 handelt es sich um eine redaktionelle Anpassung.

Zu Art. 6 Z 6 bis 9, 13 bis 15 und 17 (§§ 21e, 33 und 45 BPGG):

Die Begriffe „Daten“, „Dienstleister“ und „Verwendung“ werden durch die entsprechenden Begriffe der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1 ersetzt.

Zu Art. 6 Z 10 bis 12 (§ 32 BPGG):

Der Begriff der Datenverarbeitung in § 32 soll die in Art. 4 Z 2 Datenschutz-Grundverordnung genannten Verarbeitungsvorgänge ohne die Offenlegung durch Übermittlung umfassen.

Zu Art. 6 Z 16 (§ 33a Abs. 3 und 4 BPGG):

Durch die im § 33a Abs. 2 BPGG normierten Angehörigengespräche sollen Beiträge zur Reduzierung von psychischen Belastungen geleistet, individuelle Handlungsoptionen anhand von Ressourcen aufgezeigt, der Zugang zu relevanten Unterstützungsangeboten erleichtert und Ressourcen von pflegenden Angehörigen in Belastungssituationen erfasst werden.

Jenen Angehörigen, welche beim Hausbesuch durch eine diplomierte Pflegefachkraft im Rahmen der Qualitätssicherung in der häuslichen Pflege zumindest eine psychische Belastung angegeben haben, wird das Angehörigengespräch angeboten. Überdies kann das Angehörigengespräch auch auf Wunsch der Betroffenen erfolgen. Durchgeführt wird das Angehörigengespräch von Psychologen und Psychologinnen. Die Organisation der Gespräche erfolgt durch das Kompetenzzentrum bei der Sozialversicherungsanstalt der Bauern.

Durch den neuen Abs. 3 soll nunmehr die datenschutzrechtliche Ermächtigung geschaffen werden, dass das Kompetenzzentrum bei der Sozialversicherungsanstalt der Bauern die im Rahmen der Angehörigengespräche erhobenen personenbezogenen Daten automationsunterstützt verarbeiten kann. Durch die Aufzählung der Datenarten wird den Erfordernissen der Datenschutz-Grundverordnung und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 (BGBl I Nr. 120/2017) Rechnung getragen.

Im Abs. 4 soll normiert werden, dass die personenbezogenen Daten an die Anwendung Pflegegeldinformation – PFIF, die beim Hauptverband der österreichischen Sozialversicherungsträger nach den Weisungen des Sozialministeriums geführt wird, von der Sozialversicherungsanstalt der Bauern zu übermitteln sind. Dadurch besteht die Möglichkeit, durch Selektion von Personenkreisen gezielt weitere Maßnahmen zur Qualitätssicherung anzubieten und die Situation pflegender Angehöriger zu verbessern.

Überdies ist dadurch auch die Erstellung statistischer Auswertungen möglich.

Zu Artikel 7 (Änderung des Ehrengaben- und Hilfsfondsgesetzes)

Der Begriff „Daten“ soll jeweils durch den in Art. 4 Z 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, normierten Ausdruck „personenbezogene Daten“ ersetzt werden.

Zu Artikel 8 (Änderung des Heeresentschädigungsgesetzes)

Zu Art. 8 Z 1 bis 6 (§§ 5 und 6 HEG):

Zu Artikel 9 (Änderung des Heimopferrentengesetzes)

Zu Art. 9 Z 2, 4 und 5 (§§ 11, 12 und 15 Abs. 2 HOG):

Zu Art. 9 Z 3 (§ 11 Abs. 4 Z 2 lit. d und Z 5 HOG):

Die in § 11 Abs. 4 Z 2 lit. d und Z 5 genannten, personenbezogenen Daten betreffend „die näheren Umstände und zugefügten Verletzungen“ bzw. „Arbeitsfähigkeit“ sollen nur die in der taxativen Aufzählung des Art. 9 der Datenschutz-Grundverordnung genannten Gesundheitsdaten als besondere Kategorie personenbezogener Daten umfassen.

Zu Artikel 10 (Änderung des Impfschadengesetzes)

Der Verweis auf das bis zum 30. Juni 2016 in Geltung stehende Heeresversorgungsgesetz soll durch einen Verweis auf die aktuellen Bestimmungen des Heeresentschädigungsgesetzes ersetzt werden.

Zu Artikel 11 (Änderung des Kriegsgefangenenentschädigungsgesetzes)

Zu Art. 11 Z 1 bis 5 (§§ 17 und 18 KGEG):

Zu Artikel 12 (Änderung des Kriegsopferversorgungsgesetzes 1957)

Zu Art. 12 Z 1 bis 3 (§§ 91a, 91b und 93 KOVG 1957):

Zu Artikel 13 (Änderung des Sozialministeriumservicegesetzes)

Zu Artikel 14 (Änderung des Verbrechensopfergesetzes)

Zu Art. 14 Z 1 und 2 (§ 9 Abs. 5 und § 9c Abs. 2 VOG):

Zu Artikel 15 (Änderung des Arbeitsmarktservicegesetzes)

Zu Art. 15 Z 1 (§ 25 AMSG):

Das Arbeitsmarktservice Österreich (AMS) ist als Dienstleistungsunternehmen des öffentlichen Rechts eingerichtet (§ 1 AMSG) und hinsichtlich der Datenverarbeitung Verantwortlicher des öffentlichen Bereiches gemäß § 26 Abs. 1 Z 1 DSG (idF des Bundesgesetzes BGBl. I Nr. 120/2017). Dem Arbeitsmarktservice wurde die Erfüllung einer Vielzahl an öffentlichen, gesetzlich vorgegebenen Aufgaben sowie auch die Erbringung der dafür erforderlichen Leistungen übertragen. Kernaufgaben sind die Versorgung der Wirtschaft mit entsprechend ausgebildeten Arbeitskräften, die Sicherung der Beschäftigung arbeitsuchender Personen durch Vermittlungstätigkeiten und die Sicherung der Existenz arbeitsloser Personen während der Jobsuche (§ 29 AMSG). Für die Erfüllung dieser Kernaufgaben sind im Umfeld weitere umfangreiche Leistungen zu erbringen. Als Beispiel sind Schulungsmaßnahmen für arbeitslose Personen, die Sicherstellung von Ausbildungsmöglichkeiten für Jugendliche, die Förderung gesundheitlich beeinträchtigter Personen, die Prüfung des Arbeitsmarktzugangs ausländischer Arbeitskräfte und die Arbeitsmarktbeobachtung sowie diesbezügliche wissenschaftliche und statistische Untersuchungen zu nennen. Die dem AMS gesetzlich übertragenen Aufgaben finden sich insbesondere im AMSG, im Arbeitsmarktpolitik-Finanzierungsgesetz (AMPFG), im Arbeitsmarktförderungsgesetz (AMFG), im Arbeitslosenversicherungsgesetz 1977 (AlVG), im Ausländerbeschäftigungsgesetz (AuslBG) und im Überbrückungshilfengesetz (ÜHG), aber auch im Arbeit-und-Gesundheit-Gesetz (AGG), BGBl. I Nr. 111/2010, im Ausbildungspflichtgesetz (APflG), BGBl. I Nr. 62/2016, und im Integrationsjahrgesetz (IJG), BGBl. I Nr. 75/2017. In diesen Gesetzesmaterien ist dem AMS regelmäßig die Mitwirkung an Maßnahmen anderer Behörden oder Einrichtungen aufgetragen, die zur nachhaltigen (Wieder-)Eingliederung von Personen in den Arbeitsmarkt erforderlich sind.

Für die Erfüllung der Vielzahl an gesetzlich übertragenen Aufgaben bedarf es zwingend einer entsprechend umfangreichen Verarbeitung von Datenarten, sowohl von betroffenen Personen als auch von Betrieben (Arbeitgebern). § 25 AMSG ermöglicht dem AMS für die Erfüllung der gesetzlichen Aufgaben aus diesem Grund eine umfangreiche Verarbeitung von Datenarten. Daneben bestehen für das AMS in den oben genannten Materiengesetzen gleichfalls spezifische gesetzliche Ermächtigungen zur Datenverarbeitung (vgl. zB § 69 AlVG, §§ 27 und 27a AuslBG, § 6 AMFG sowie § 7 AGG), die überwiegend die gegenseitige Zusammenarbeit sowie Rechts- und Amtshilfe konkretisieren.

§ 25 AMSG soll im Hinblick auf das Inkrafttreten der Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) mit 25. Mai 2018 um Bestimmungen betreffend Aufbewahrungsfristen von Daten, Datensicherheitsmaßnahmen und das Erfordernis einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ergänzt sowie an die Begrifflichkeiten der DSGVO angepasst werden.

Zu Art. 15 Z 1 (§ 25 Abs. 2 bis 8 AMSG):

In Abs. 7 wird das Sozialministeriumservice als Empfänger von Daten betreffend die Arbeitsfähigkeit von betroffenen Personen ergänzt, um die in § 7 Abs. 2 AGG bereits bestehende gesetzliche Ermächtigung systematisch auch im AMSG abzubilden. Eine Erweiterung der gesetzlichen Befugnis ist damit nicht verbunden.

Der Wortlaut „ausschließlich“ in Abs. 7 soll zur Klarstellung entfallen, da der Begriff „Arbeitsfähigkeit“ nicht eng im Sinne „ja/nein“ auszulegen ist, sondern auch Einschränkungen der Arbeitsfähigkeit im Sinne teilweiser oder temporärer gesundheitlicher Einschränkungen umfasst, wie dies etwa bei Rehageldbezieher/innen oder Teilnehmerinnen und Teilnehmern am Informations-, Beratungs- und Unterstützungsangebot nach dem AGG der Fall ist.

Die Protokollierungspflichten sind neu in Abs. 10 geregelt und sollen daher in Abs. 7 entfallen. Im Übrigen werden in den Abs. 2 bis 8 die Begrifflichkeiten an jene der DSGVO angepasst.

Zu Art. 15 Z 1 (§ 25 Abs. 9 AMSG):

Absatz 9 regelt die Aufbewahrungsfristen der gemäß Abs. 1 verarbeiteten Daten und soll sicherstellen, dass die Daten entsprechend dem Bedarf der Behörde ausreichend lange verarbeitet werden dürfen. Die Aufbewahrungsfrist wird generell mit sieben Jahren nach Beendigung des Geschäftsfalles festgelegt. Als Beendigung eines Geschäftsfalles ist zB die Abmeldung von der Vormerkung als arbeitsuchend, das Ende der Geltungsdauer einer Beschäftigungsbewilligung oder das Ende eines Stellensuchauftrages zu verstehen.

Werden lang zurückliegende Daten eines Leistungsbezuges oder einer Vormerkung für einen späteren Leistungsantrag wiederum benötigt, können diese Daten im Wege der beim Hauptverband der Sozialversicherungsträger bestehenden Versicherungsdatei übernommen werden.

Längere, über sieben Jahre hinausgehende Aufbewahrungsfristen können sich für Zwecke der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder aus anderen gesetzlichen Bestimmungen ergeben. So sieht beispielsweise § 8 Abs. 1 lit. e der Allgemeinen Rahmenrichtlinien für die Gewährung von Förderungen aus Bundesmitteln (ARR 2014), BGBl. II Nr. 208/2014, eine zehnjährige Aufbewahrungsfrist von Unterlagen für gewährte Förderungen vor bzw. darüber hinaus, wenn dies unionsrechtliche Vorschriften vorsehen.

Längere Aufbewahrungsfristen ergeben sich in einer auslaufenden Übergangsphase auch für Bezugs- und Vormerkzeiträume von ehemals arbeitslosen Personen, die Zeiträume vor der Speicherung pensionsrelevanter Bezugs- und Vormerkdaten arbeitsloser Personen in der Versicherungsdatei beim Hauptverband der Sozialversicherungsträger (Zeiten vor 1976) betreffen und nicht aus dieser übernommen werden können, aber für die Beurteilung und Berechnung eines neuen Anspruches erforderlich sind. Diese Daten sind nicht sieben Jahre nach Beendigung des Geschäftsfalles zu löschen, wenn sie noch für die Geltendmachung von Rechtsansprüchen benötigt werden können.

Aus wirtschaftlichen und technischen Gründen soll die Löschung von Daten an wenigen Terminen im Jahre vorgenommen werden. Diese Anordnung soll punktuelles Vorgehen im Falle von Anträgen von betroffenen Personen vermeiden, die zu einem unwirtschaftlichen und technisch schwer lösbaren Vorgehen führen würden.

Zu Art. 15 Z 1 (§ 25 Abs. 10 und 11 AMSG):

Gemäß Art. 35 Abs. 1 der DSGVO haben Verantwortliche eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenverarbeitung neue Technologien verwendet oder Art, Umfang, Umstände und Zweck der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge haben. Beispielhaft sind die Verarbeitungen aufgezählt, bei denen

a) sich eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen einschließlich Profiling samt darauf folgender Entscheidungen auf eine automatisierte Verarbeitung gründet,

b) eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (wie Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen) oder

c) eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt.

Für die Datenverarbeitungen des AMS spielt der Umfang der verarbeiteten Daten, hinsichtlich der Anzahl der betroffenen Personen wie auch des Ausmaßes der je betroffener Person verarbeiteten Datenarten für die Frage der Folgenabschätzung die wesentliche Rolle.

Wie schon einleitend dargestellt, muss das AMS aufgrund der umfangreichen gesetzlich übertragenen Aufgaben die dafür erforderlichen Datenarten verarbeiten, sprich erheben, erfassen, ordnen, sichern, speichern, bei Änderungen richtig stellen, auslesen, abfragen, abgleichen, verknüpfen, anderen Behörden oder SV-Trägern bereitstellen bzw. übermitteln, löschen sowie auch indirekt personenbezogen (pseudonymisiert) weiterverarbeiten.

Die Datenarten sind in § 25 AMSG aufgezählt, ergänzt um Bestimmungen in anderen Materiengesetzen (wie AlVG, AuslBG und AMFG). Soweit das Arbeitsmarktservice an der Erfüllung gesetzlicher Aufgaben anderer Behörden mitwirkt, finden sich weitere Bestimmungen auch im AGG, APflG und IJG. Für die Kernaufgaben des Arbeitsmarktservice sind stets Stammdaten von Arbeitsuchenden wie auch Unternehmen, die Arbeit anbieten, zu verarbeiten. Dies schließt die jeweiligen Kenntnisse und Fähigkeiten (schulische und berufliche Ausbildung) der Arbeitsuchenden mit ein sowie auch das Anforderungsprofil offener Stellen, die von Unternehmen bekannt gegeben werden. Die Mitarbeiterinnen und Mitarbeiter des AMS erfassen die erforderlichen Daten Arbeitsuchender, sowohl hinsichtlich der Vermittlungsmöglichkeiten von Jobs als auch hinsichtlich der Voraussetzungen für die Anweisung einer Unterstützungsleistung (wie Arbeitslosengeld, Notstandshilfe). Dies geschieht durch Anträge der betroffenen Personen mittels Papier oder elektronischem Antrag. Mit der betroffenen Person wird in weiterer Folge eine möglichst konkrete Betreuungsvereinbarung geschlossen, die eine nachhaltige Integration in den Arbeitsmarkt ermöglichen soll. Bei Leistungen an beschäftigte Personen (Weiterbildungsgeld, Bildungsteilzeitgeld) werden die dafür erforderlichen Datenarten erhoben und gespeichert. Einer laufenden Betreuung während der Weiterbildungsmaßnahmen bedarf es hier nicht.

Je nach Zuständigkeit der regionalen Geschäftsstellen (vgl. Arbeitsmarktsprengelverordnung) dürfen (und können) nur diese die Erfassungen oder Änderungen bei den in ihrem Sprengel wohnenden Arbeitsuchenden durchführen. Die EDV spiegelt somit hinsichtlich der technisch möglichen Erfassung und Änderung von Daten die Arbeitsmarktsprengelverordnung wider. Andere Geschäftsstellen können nur Abfragen für nicht im Zuständigkeitssprengel Wohnende durchführen, sofern sie die entsprechende Rolle (nach Funktion, Aufgabengebiet) innehaben. Ombudsstellen und übergeordnete Organisationseinheiten des AMS benötigen personenbezogene Abfragen zwingend zur raschen Behandlung und Aufarbeitung von Beschwerden aller Art (z.B. Amtshaftung, Volksanwaltschaft, Dienstaufsichtsbeschwerden).

Zu a): Systematische und umfassende Bewertungen persönlicher Umstände Arbeitsuchender samt Entscheidungen auf Basis automatisierter Verfahren finden im Rahmen der Betreuung durch das AMS nicht statt. Es werden zwar offene Stellen automationsunterstützt mit dem Anforderungsprofil Arbeitsuchender abgeglichen, doch geht diesem Abgleich stets eine persönliche Absprache bzw. Vereinbarung mit der betroffenen Person voraus, bei der Kenntnisse und Fähigkeiten wie auch Wünsche der arbeitsuchenden Person in das Suchprofil aufgenommen werden. Es wird darüber ein Betreuungsplan mit der arbeitsuchenden Person angelegt. Die persönliche Vorsprache der Person ist zudem gesetzlich zwingend vorgeschrieben (§ 46 AlVG). Weiters sind Kontrollmeldungen (§ 49 AlVG) gesetzlich vorgesehen. Bloß auf EDV basierende Entscheidungen (lit. a) finden somit nicht statt.

Zu b): Die Verarbeitung besonderer Kategorien von personenbezogenen Daten (hier Gesundheitsdaten betreffend die Arbeitsfähigkeit bzw. bestehende gesundheitliche Einschränkungen hinsichtlich der Vermittelbarkeit auf Arbeitsplätze; Art. 9 DSGVO) findet nur in einem geringen Ausmaß statt das (noch) nicht zu einer Folgenabschätzung verpflichtet. Es werden als Gesundheitsdaten nur Daten über Einschränkungen der Arbeitsfähigkeit oder beruflichen Verwendungsmöglichkeit verarbeitet, soweit sie erforderlich sind, um zumutbare Arbeitsvermittlungen durchführen zu können. Das AMS ist von sich aus verpflichtet, die Frage der Arbeitsfähigkeit zu klären, wenn auf objektiven Umständen beruhende Zweifel bestehen (§ 8 AlVG; zB VwGH v. 15.5.2013, 2011/08/0356), da die Erfüllung dieses Kriteriums eine zwingende Voraussetzung für den Leistungserhalt darstellt. Derartige Untersuchungen bzw. Gutachten über die Arbeitsfähigkeit oder verbleibende berufliche Einsatzbereiche bei bestehenden gesundheitlichen Einschränkungen arbeitsfähiger Personen werden regelmäßig im Wege des Kompetenzzentrums Begutachtung der Pensionsversicherungsanstalt erbracht. Das AMS erhält die bescheidmäßigen Feststellungen des Pensionsversicherungsträgers wie auch das berufskundliche Gutachten (Leistungskalkül), wenn Maßnahmen der beruflichen Rehabilitation festgestellt werden.

Bloße „Krankmeldungen“ von arbeitslosen Personen, die zu einer Änderung der Leistungszuständigkeit zwischen AMS und KV-Trägern führen, sind als Leistungsvoraussetzungen zu erfassen, geben aber keine Auskunft über die Art der Erkrankung (Diagnose).

Eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) findet nur in wenigen Einzelfällen statt, in denen das AMS Kenntnis über den Tatbestand einer strafrechtlichen Verurteilung erlangt. Kenntnis erlangt das AMS in jenen Fällen, in denen eine Person die Anwartschaft für Leistungen aufgrund ihrer Beschäftigung während der Haft erworben hat (§ 66a AlVG) oder eine zuerkannte Leistung aufgrund der Verbüßung einer Freiheitsstrafe einzustellen ist (§ 12 Abs. 3 lit. e AlVG). Diese Datenart muss im konkreten Einfall zwar im Akt vermerkt werden, wird darüber hinaus aber nicht verwendet. Die Datenverarbeitung unterstützt auch keine Abfrage oder Aufsummierung über diese Datenart, sodass Auswertungen über Fragen wie zB wie viele Personen ihre Anwartschaft durch Arbeitspflicht während der Verbüßung einer Freiheitsstrafe erworben haben, nicht möglich sind. Dies wurde auch in parlamentarischen Anfragen klargestellt.

Zu c): Eine systematische Überwachung der öffentlichen Bereiche der regionalen Geschäftsstellen findet nicht statt.

Notwendigkeit und Angemessenheiten:

Die vom AMS verarbeiteten Daten betreffen zwangsläufig viele Lebensbereiche der Arbeitsuchenden, da schulische und berufliche Ausbildungen sowie das gesamte Erwerbsleben, sofern es auch mit Zeiten der Arbeitslosigkeit einher geht, eng mit dem Lauf des Lebens verknüpft sind. Der Gesetzgeber schränkt die Datenverarbeitung sowie auch deren Übermittlung an Dritte daher auf deren Erforderlichkeit hin ein. Der Gesetzgeber ermächtigt die Datenverarbeitung nur soweit, „als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung“ bildet (vgl. zB § 25 Abs. 1 erster Satz AMSG). Dies schließt die Verarbeitung überschießender Daten (auch) nach dem Materiengesetz grundsätzlich aus. Die gesetzliche Ermächtigung zur Datenverarbeitung entspricht damit den in der DSGVO enthaltenen Grundsätzen des Art. 5 Abs. 1 lit. a bis c DSGVO.

Den von der Datenverarbeitung des AMS betroffenen Personen stehen die im Datenschutzgesetz enthaltenen Rechte (§§ 26 bis 28 DSG 2000 idF des Bundesgesetzes BGBl. I Nr. 132/2015) bzw. ab 25. Mai 2018 in Art. 15 bis 21 DSGVO normierten Rechte weiterhin zu. Das AMS hat ein eigenes EDV-Tool entwickelt, das Mitarbeiter/innen die rasche Beantwortung von Auskünften über die verarbeiteten Datenarten ermöglicht und das weiterhin verwendet werden wird.

Risiken und Datensicherheitsmaßnahmen:

Fraglich ist, ob durch die bestehenden Datenverarbeitungen des AMS für die Arbeitsuchenden ein hohes Risiko hinsichtlich einer Verletzung des Schutzes ihrer personenbezogenen Daten vorhanden ist. Auswirkungen einer solchen Verletzung könnten dann den Verlust der Kontrolle über die verarbeiteten Daten, Identitätsdiebstahl oder –betrug, finanzielle Verluste, Diskriminierungen, Rufschädigung und Verlust der Vertraulichkeit durch Bekanntwerden von (Teilen der) Daten gegenüber unbefugten Dritten, eine unbefugte Aufhebung von Pseudonymisierungen oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffenen Personen nach sich ziehen. Im Hinblick auf die hier verarbeiteten Datenarten könnten insbesondere Leistungsdaten von Arbeitslosen wie auch deren persönliche Lebensumstände unbefugten Dritten bekannt werden oder bei einem „Hacker-Angriff“ zerstört oder unbrauchbar werden. Abs. 10 ergänzt nunmehr auch nach dem Materiengesetz zu treffende Datensicherheitsmaßnahmen, wie diese auch im DSG und der DSGVO (Art. 24, 25 und 32) enthalten sind.

So ist die Befugnis bei der Datenverwendung zwischen den Organisationseinheiten und den Mitarbeiterinnen zwingend konkret festgelegt und die Verwendung an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter/innen gebunden. Die Mitarbeiter/innen werden über ihre Pflichten nach dem Datenschutzgesetz (§ 6 DSG idF des Bundesgesetzes BGBl. I Nr. 120/2017) und den innerorganisatorischen Datenschutzvorschriften belehrt und ihr Zugriff auf konkrete Daten ist entsprechend dem Stand der Technik nach Rollen und Aufgaben der Mitarbeiter/innen des AMS entsprechend getrennt gestaltet, sodass Eingaben oder Änderungen personenbezogener Daten nur jenen Bediensteten möglich ist, die für diese Personen zuständig und verantwortlich sind. Es wird außerdem jede Datenabfrage (-änderung) protokolliert, wobei zu jeder Abfrage der Benutzercode der abfragenden Mitarbeiterin (des abfragenden Mitarbeiters), das Kalenderdatum und das Ergebnis der Abfrage (aktueller Stand zum Abfragezeitpunkt) gespeichert wird. Geheimhaltungspflichten sind neben § 27 AMSG umfassend in § 6 DSG idF des Bundesgesetzes BGBl. I Nr. 120/2017 geregelt, sodass ein weiterer Absatz in § 25 AMSG nicht erforderlich ist.

Die vom AMS gesetzten Sicherheitsmaßnahmen entsprechen dem geforderten Standard (Abs. 10), womit im Ergebnis durch die Datenverarbeitungen des AMS kein hohes Risiko für den Schutz personenbezogener Daten der Arbeitsuchenden besteht.

Zu Art. 15 Z 2 (§ 78 Abs. 35 AMSG):

Die Anpassungen im AMSG sollen mit 25. Mai 2018 in Kraft treten.

Zu Artikel 16 (Änderung des IEF-Service-GmbH-Gesetzes):

Zu Art. 16 Z 1 (§ 19 Abs. 1 IEFG):

In § 19 Abs. 1 sollen Bestimmungen zur Datenverarbeitung der IEF-Service-GmbH, soweit diese gesetzlich übertragene Aufgaben vollzieht, zusammengefasst und insbesondere die verarbeiteten Datenarten ausführlicher als bisher in § 5 Abs. 5 IESG aufgelistet werden.

Die IEF-Service-GmbH betreibt für die Erfüllung der ihr gesetzlich übertragenen Aufgaben (Entscheidungen über Ansprüche auf Insolvenzentgelt und Betreibung der auf sie übergegangenen Forderungen) eine zentrale Datenverarbeitung, die (bis Ablauf des 24. Mai 2018) beim DVR unter 1075900/001 „Erstellung von Bescheiden und Geltendmachung von übergegangenen Forderungen nach dem Insolvenz-Entgeltsicherungsgesetz (IESG)“ registriert ist. Diese Datenverarbeitung dient der IEF-Service GmbH bei der Bearbeitung von Geschäftsfällen insolventer Unternehmen und der davon betroffenen Antragstellern und Antragstellerinnen. Diese werden nachvollziehbar und durchgängig in einer Web-Anwendung inklusive eines Dokumentmanagements abgebildet. Unterstützt durch das Workflow-Management gelangt der Geschäftsfall – nachvollziehbar – an den richtigen Empfänger. Dabei stehen durchgängig alle Stadien von der Erfassung des Eingangs bis zum Abschluss und der Archivierung eines Geschäftsfalls zur Verfügung.

Der Begriff der Anspruchsberechtigten in Abs. 1 ist aus teleologischen Gründen weit zu interpretieren. Er umfasst sämtliche Personen, die einen Antrag oder eine Anfrage betreffend einen Anspruch auf Insolvenzentgelt stellen. Er umfasst auch Anfragen für Anspruchsberechtigte, die von berechtigten Dritten gestellt werden, die von der IEF-Service GmbH wissen wollen, ob eine konkrete Person einen Anspruch auf Insolvenzentgelt haben wird, auch wenn zum Zeitpunkt der Anfrage noch kein formeller Antrag erfolgt ist. Unter berechtigten Dritten sind der Insolvenzverwalter, der Insolvenzschutzverband für ArbeitnehmerInnen (ISA) und auch Exekutionsgläubiger von Anspruchsberechtigten zu verstehen, die sich in der Praxis teilweise schon vor formellen Anträgen erkundigen, ob bzw. inwieweit überhaupt eine Anspruchsberechtigung vorliegt oder vorliegen könnte.

Unter „Schuldner“ sind jene Personen zu verstehen, denen gegenüber die IEF-Service-GmbH Forderungen hat. Darunter fallen – neben dem Schuldner im Insolvenzverfahren – Personen, deren (ehemalige) Ansprüche zu widerrufen und zurück zu fordern sind, weil sie zB durch unwahre Angaben oder Verschweigung maßgebender Tatsachen herbeigeführt wurden oder weil der Anspruch wegen einer späteren Verurteilung iS § 1 Abs. 3 Z 1a IESG wegfällt. Weiters sind darunter auch jene Arbeitgeber sowie deren Organe zu subsumieren, die im Zusammenhang mit der Insolvenz iS des § 11 Abs. 3 letzter Satz IESG strafrechtlich verurteilt wurden, sowie auch dritte Personen, die für das insolvente Unternehmen gesetzlich haften, Haftungen als Bürgen eingegangen sind oder vom IEF als Insolvenzgläubiger für Schadenersatz in Anspruch genommen werden können.

Unter Beschäftigungsdaten sind Beschäftigungszeiträume der (möglicherweise) Anspruchsberechtigten und Schuldner, wie Beginn und Ende von Beschäftigungen, deren Dienstgeber, Beitragsgrundlagen und Art der Beschäftigung (Qualifikationen) zu verstehen. Unter Lohnverrechnungsdaten sind jene Datenarten zu subsumieren, die in der Standardanwendung Personalverwaltung für privatrechtliche Dienstverhältnisse, SA0002 der Anlage 1 der Standard- und Musterverordnung 2004, BGBl. II Nr. 312/2004, in der Fassung der Verordnung BGBl. II Nr. 278/2015, enthalten sind. Da Insolvenzentgelt „netto“ gebührt (§ 3 Abs. 1 IESG) und ausbezahlt wird, d.h. unter Abzug all jener Beträge, die üblicherweise der Arbeitgeber vom Bruttoentgelt abzieht, hat die IEF-Service GmbH – vergleichbar einem Arbeitgeber – das jeweilige Nettoentgelt zu ermitteln und folglich auszuzahlen. In diesem Sinne muss die IEF-Service GmbH für die Berechnung dieses „Nettobetrages“ – je nach Einzelfall des Anspruchsberechtigten bzw. Antragstellers auch jene Daten verarbeiten, die ein Arbeitgeber für die Berechnung des Lohnes verarbeiten muss. Insbesondere sind nicht nur Sozialversicherungsbeiträge abzuziehen, sondern – soweit eine Mitgliedschaft gegeben ist – etwa auch Gewerkschaftsbeiträge oder bei Ende des Dienstverhältnisses vorhandene Lohnvorschüsse zu berücksichtigen. Im Falle einer Lohnpfändung eines Anspruchsberechtigten sind auch diese Daten zu verarbeiten. Das weite Spektrum an Datenarten der Lohnverrechnung kommt freilich nur soweit zur Verarbeitung, als dies für die Berechnung des Insolvenz-Entgeltes auch erforderlich ist. Der Verhältnismäßigkeitsgrundsatz des § 1 Abs. 2 DSG 2000, BGBl. I Nr. 165/1999, idF des Bundesgesetzes BGBl. I Nr. 51/2012, bleibt somit gewahrt.

Unter „Daten zu Eigentumsverhältnissen an Immobilien“ sind Auszüge aus dem Grundbuch zu verstehen, die zum Zwecke der Betreibung der auf den IEF übergegangenen Forderungen abgefragt werden.

Zu Art. 16 Z 1 (§ 19 Abs. 2 IEFG):

Die Aufbewahrungsfrist hinsichtlich der Daten insolventer Betriebe und von deren Beschäftigten, die Anträge auf Insolvenzentgelt gestellt haben, folgt dem § 212 Abs. 1 UGB. Einem Insolvenzverfahren stehen die in § 1 Abs. 1 IESG genannten Verfahren (wie zB Anordnung der Geschäftsaufsicht, Nichteröffnung oder Ablehnung eines IO-Verfahrens mangels Kostendeckung oder Vermögenslosigkeit) gleich. Ein längerer Bedarf an den Daten kann sich v.a. bei Personen ergeben, deren Anspruch von der IEF-Service GmbH gemäß § 9 Abs. 1 IESG zurückgefordert wird, wenn das Strafverfahren längere Zeit in Anspruch nimmt sowie bei Zugriff auf zukünftiges Vermögen gemäß § 11 Abs. 3 IESG im Betreibungsfall. Insbesondere für diese Fälle wird durch die vorgesehene Fristverlängerung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vorgesorgt.

Zu Art 16 Z 1 (§ 19 Abs. 3 bis 5 IEFG):

Abs. 3 und 4 geben den von der IEF-Service GmbH zu beachtenden Standard an technischen und organisatorischen Datensicherheitsmaßnahmen wieder. Dabei handelt es sich um einen Standard, wie er auch nach den Bestimmungen des Datenschutzgesetzes und der DSGVO (Artikel 24f) gefordert ist.

b) eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (wie Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen) oder

c) eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt.

Von den genannten literae ist für die Datenverarbeitung der IEF-Service GmbH lit. b näher zu erläutern, da Abs. 1 Z 3 und 5 Datenarten gemäß Art. 10 DSGVO und Z 2 allenfalls Datenarten gemäß Artikel 9 DSGVO enthalten.

Zweck und Notwendigkeit der Datenverarbeitung ergeben sich klar aus den gesetzlichen Bestimmungen, die die Sicherung des Entgelts von Beschäftigten bei Insolvenz des Arbeitgebers gewährleisten. Das IESG dient der Umsetzung der Richtlinie 2008/94/EG vom 22. Oktober 2008 über den Schutz der Arbeitnehmer bei Zahlungsunfähigkeit des Arbeitgebers in nationales Recht.

Die in Abs. 1 angeführten Datenarten sind für die Erfüllung der gesetzlichen Aufgaben der IEF-Service GmbH erforderlich. So sind – wie bereits erwähnt – die in Abs. 1 Z 2 angeführten Datenarten (Lohnverrechnungsdaten) für die Nettoberechnung des Insolvenz-Entgeltes erforderlich. Dies schließt die vom Arbeitnehmer gegebenenfalls dem Arbeitgeber übertragenen Abzüge von Gewerkschaftsbeiträgen vom Bruttolohn mit ein. Die Verarbeitung dieser Daten in jenen Fällen, in denen der Arbeitgeber zu diesen Abzügen ermächtigt wurde, greift nicht stärker in das Recht auf Schutz personenbezogener Daten ein, als dies bisher durch den jeweiligen Arbeitgeber im Rahmen der Standardanwendung SA002 (Personalverwaltung für privatrechtliche Dienstverhältnisse) möglich und zulässig ist. Diese Daten werden nur je Einzelfall, wo diese Ermächtigung des Arbeitgebers besteht, in den jeweiligen Personenunterlagen verarbeitet, ohne dass eine Aufsummierung über alle Antragsteller möglich ist. Insoweit besteht auch keine Gefährdung berechtigter Interessen der Antragsteller.

Um nicht jene Personen, die im Zusammenhang mit einer Insolvenz strafrechtlich verurteilt wurden, durch die ausbezahlten Leistungen (noch) zu belohnen, sieht das IESG in diesen Fällen eine Rückforderung der auf den Insolvenz-Entgelt-Fonds übergegangenen Forderungen vor (§ 9 Abs. 1 in Verbindung mit § 1 Abs. 3 Z 1a IESG). Die Verarbeitung der entsprechenden Daten ist daher unabdingbar, um die Forderungen betreiben zu können.

Lassen die bei der Antragstellung auf Insolvenz-Entgelt erhobenen Daten einen Verdacht auf strafbare Handlungen aufkommen, so erfolgt eine Meldung an die anderen Kooperationsstellen gemäß § 4 Abs. 2 des Sozialbetrugsbekämpfungsgesetzes. Die IEF-Service GmbH speichert diese Daten (Antrag/Insolvenz/Betreibungsfall) für den eigenen gesetzlichen Zweck der Entgeltsicherung für sieben Jahre (Abs. 2). Die Löschung von Daten über ein laufendes Strafverfahren gegen einen Antragsteller (zu § 9 Abs. 1 IESG) bzw. zu einem Betreibungsfall (zu § 11 Abs. 3 IESG) wird hingegen bis zum Ablauf dieses Verfahrens ausgesetzt. In Folge wird bei einer Verurteilung ein Rückforderungsbescheid erstellt bzw. der Zugriff auf das Vermögen des Verurteilten gemäß § 11 Abs. 3 IESG versucht. Bei Abschluss des Verfahrens ohne Verurteilung werden die Daten umgehend bzw. nach Ablauf der regulären Löschfrist gelöscht.

Datenarten gemäß Art. 10 DSGVO werden nur in einem geringen Umfang verarbeitet, sodass nicht von einem hohen Risiko für Rechte und Freiheiten der betroffenen Personen ausgegangen werden kann. Dies aus folgenden Gründen:

Der Anteil der Arbeitgeber unter (anfänglichem) Verdacht auf Sozialbetrug an allen im gesamten Jahr 2016 eröffneten Insolvenzen (= Arbeitgeber) betrug lediglich 3,6%. Dies entspricht in etwa auch dem Durchschnitt der Jahre 2008 bis 2016.

Der Anteil der Betreibungsfälle mit den einschlägigen Straftatbeständen (des § 11 Abs. 3) ist auch aufgrund der langen Betreibungszeiten nicht direkt erhebbar. Feststellbar ist aber, wie viele Informationsschreiben (Informationen über Strafverfahren) in einem Jahr eingegangen sind und wie viele entsprechende Klagen seitens des IEF eingebracht wurden. Sieht man sich im Vergleich dazu an, wie viele Betreibungsfälle insgesamt in einem Jahr zugegangen sind, lässt sich feststellen, dass der Anteil offensichtlich sehr gering ist:

Jahr	BF/Schreiben	Klagen bei 11 (3)	zugeg. BF gesamt
2014	5	3	2.552
2015	27	4	2.433
2016	27	0	2.440
2017	20	0	1.474

Der Anteil der Rückforderungen (insbesondere derjenigen, die auf strafrechtliche Verurteilungen zurückzuführen sind) kann derzeit auch aufgrund der langen gesetzlichen Frist für Rückforderungen – fünf Jahre ab Kenntnis des Rückforderungsgrundes – nicht direkt erhoben werden. Festgestellt werden kann aber, dass der Anteil an rückgeforderten Leistungen an sich äußerst gering ist. Beispielsweise ergingen im Jahr 2016 40 Rückforderungen gegenüber insgesamt 39.454 erlassenen Bescheiden, was im Verhältnis auch dem Schnitt der Jahre 2011 bis 2016 entspricht.

Zu Art 16 Z 1 (§ 19 Abs. 6 IEFG):

Die IEF-Service GmbH ist in der Erfüllung der ihr gesetzlich übertragenen Aufgaben Verantwortliche des öffentlichen Bereiches gemäß § 26 Abs. 1 Z 2 DSG und öffentliche Stelle im Sinne des § 30 Abs. 5 DSG. Die gesetzlich übertragenen Aufgaben umfassen neben der Prüfung, Berechnung und Auszahlung des Insolvenzentgeltes auch die Betreibung der auf den IEF nach § 11 übergegangenen Forderungen sowie deren Geltendmachung gegenüber dritten Personen (Bürgen, Mithaftende, Insolvenzverwalter aufgrund von Schadenersatzansprüchen, etc.) sowie die Verfolgung von Regressansprüchen nach § 11 Abs. 3 IESG.

Zur Vermeidung von Auslegungsproblemen und Rechtsstreitigkeiten soll mangels Legaldefinition im DSG (anders als etwa in § 4 IWG) – klargestellt werden, dass die IEF-Service GmbH eine öffentliche Stelle im Sinne der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und des Datenschutzgesetzes (DSG), idF des Bundesgesetzes BGBl. I Nr. 120/2017, ist.

Zu Artikel 17 (Änderung des Insolvenz-Entgeltsicherungsgesetzes)

Zu Art. 17 Z 1 und 2 (§ 5 Abs. 5 und § 14 Abs. 4 IESG):

Durch die Einfügung der Bestimmungen zur Datenverarbeitung der IEF-Service GmbH in § 19 IEFG kann § 5 Abs. 5 IESG entfallen und der Wortlaut des § 14 Abs. 4 IESG vereinfacht werden. § 14 Abs. 4 ermöglicht die für die Erfüllung der gesetzlich übertragenen Aufgaben jeweils erforderlichen Abfragen von Beschäftigungs- und Versicherungszeiten aus der Versicherungsdatenbank des Hauptverbandes. Für die erforderliche Unterstützung der Träger der Sozialversicherung (§ 14 Abs. 1) ist daher – soweit dies ausreichend ist – auch in erster Linie die dafür geschaffene Abfragemöglichkeit der beim Hauptverband gespeicherten Beschäftigungs- und Versicherungszeiten zu nutzen. Nur soweit dies nicht ausreicht, sind zusätzliche Anfragen auf Amtshilfe zu stellen.

§ 14 Abs. 4 soll um die Möglichkeit der Abfrage von Beschäftigten je Dienstgeber(konto) ergänzt werden, weil diese Abfragemöglichkeit der IEF-Service GmbH die Prüfung, ob ein Betriebsübergang nach § 3 AVRAG vorliegt, wesentlich erleichtert. Eine derartige Prüfung ist erforderlich und zweckmäßig, da im Falle eines Betriebsüberganges in der Regel der Erwerber für das aushaftende Entgelt haftet und somit kein Anspruch auf Insolvenz-Entgelt gegeben ist. Die Abfrage soll die IEF-Service GmbH zudem bei der Aufdeckung von Sozialbetrugsfällen unterstützen.

Zu Art. 17 Z 3 (§ 36 IESG):

Die Neuregelung soll mit 25. Mai 2018 in Kraft treten.

Zu Artikel 18 (Änderung des Bauarbeiter-Urlaubs- und Abfertigungsgesetzes)

Zu Art. 18 Z 1 (§ 31a Abs. 2 BUAG):

Die DSGVO macht die Zulässigkeit einer Datenverarbeitung vom Vorliegen eines Erlaubnistatbestandes abhängig. Diese sind in den Art. 6 und 9 DSGVO konkretisiert. Bisher war die Weitergabe von Informationen durch die Urlaubs- und Abfertigungskasse entsprechend dem Datenschutzgesetz 2000 als Ermächtigung formuliert. Da es sich dabei um eine zur Erfüllung ihrer Aufgaben notwendige Datenverarbeitung handelt, soll diese Bestimmung künftig als gesetzliche Verpflichtung formuliert werden. Damit fällt sie unter den datenschutzrechtlichen Erlaubnistatbestand des Art. 6 Abs. 1 lit c) DSGVO.

Zu Art. 18 Z 2 und 3 (§ 31a Abs. 4 und 5 BUAG):

§ 31a beinhaltete bisher entsprechend dem DSG 2000 Datenschutzbestimmungen im Zusammenhang mit dem Betreiben der Baustellendatenbank durch die Urlaubs- und Abfertigungskasse. Künftig gelten für die Urlaubs- und Abfertigungskasse als Verantwortliche im Sinne der DSGVO die in dieser VO und im Datenschutz-Anpassungsgesetz 2018, BGBl I Nr. 120/2017 vorgesehenen Regelungen (vgl. Art. 24 iVm Art. 32 DSGVO). Die Sonderregelungen der Abs. 4 und 5 sind daher weitgehend zu streichen. Lediglich die Verpflichtung der Urlaubs- und Abfertigungskasse, Daten nach spätestens sieben Jahren zu löschen (siehe Abs. 4), soll aufrecht bleiben, um die rechtmäßige Verarbeitung der personenbezogenen Daten iSd Art. 6 Abs. 1 lit. c) iVm Art. 6 Abs. 2 DSGVO sicherzustellen.

Zu Art. 18 Z 4 (§ 33g Abs. 1 und 2 BUAG):

Diese Zitatanpassungen dienen der Bereinigung eines Redaktionsversehens.

Zu Artikel 19 (Änderung des Lohn- und Sozialdumping-Bekämpfungsgesetzes)

Zu Art. 19 Z 1 und 2 (§ 11 Abs. 2 und 3 LSD-BG):

In diesen Bestimmungen erfolgen jeweils erforderliche Begriffsanpassungen.

Zu Art. 19 Z 3 (§ 11 Abs. 4 LSD-BG):

Derzeit sieht § 11 Abs. 4 erster Satz LSD-BG vor, dass auf die sich aus dem LSD‑BG ergebenden Tätigkeiten der Abgabenbehörden und des Kompetenzzentrums LSDB § 14 DSG 2000 anzuwenden ist, welcher Datensicherheitsmaßnahmen betrifft. Künftig werden sich entsprechende Verpflichtungen aus der DSGVO ergeben. Um keinen allgemeinen Verweis – ohne Mehrwert – auf die DSGVO vorzusehen, soll § 11 Abs. 4 erster Satz LSD‑BG nicht angepasst werden, sondern ersatzlos entfallen.

Zu Artikel 20 (Änderung des Sozialbetrugsbekämpfungsgesetzes)

Zu Art. 20 Z 1 (Überschrift zu § 5 SBBG):

Es soll dem Umstand Rechnung getragen werden, dass die Datenbank nach § 5 SBBG nicht mehr als Informationsverbundsystem geführt wird.

Zu Art. 20 Z 2 (§ 5 Abs. 3 und 4 SBBG):

Die neuen datenschutzrechtlichen Bestimmungen sehen kein Informationsverbundsystem vor. Dies soll im § 5 Abs. 3 SBBG entsprechend berücksichtigt werden. Neue Regelungen zur Aufgabenverteilung sollen in einem neuen Abs. 6 vorgesehen werden (dazu unten). Weiters sollen aufgrund der neuen datenschutzrechtlichen Terminologie Begriffsanpassungen vorgenommen werden.

Im Abs. 4 sollen ebenfalls erforderliche datenschutzrechtliche Begriffsanpassungen vorgenommen werden. Weiters soll bei Bezugnahmen auf gewisse Absätze dem Umstand Rechnung getragen werden, dass sich der Regelungsinhalt des bisherigen Abs. 6 künftig in einem neuen Absatz 7 finden soll.

Zu Art. 20 Z 3 und 4 (§ 5 Abs. 6 und 7 SBBG):

In einem neuen Abs. 6 sollen Regelungen vorgesehen werden, die aufgrund des Umstands des Entfalls des Informationsverbundsystems für die Rechte der betroffenen Personen erforderlich werden.

Abs. 7 regelt die Löschungsverpflichtungen in einer für eine programmgesteuerte Absicherung praktikablen Weise, wobei den Ermittlungserfordernissen ausreichend Rechnung getragen wird.

Zu Art. 20 Z 5 (§ 8 Abs. 10 SBBG):

Veröffentlichungen, die sich auf natürliche Personen beziehen, sollen nach Ablauf von fünf Jahren nach der Veröffentlichung zu löschen sein.