Erläuterungen
I. Allgemeiner Teil
Am 27. April 2016 wurde die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, beschlossen. Die DSGVO ist am 25. Mai 2016 in Kraft getreten, kommt ab 25. Mai 2018 zur Anwendung und hebt mit 25. Mai 2018 die Richtlinie 95/46/EG auf.
Wenngleich die DSGVO unmittelbare Geltung erlangt, bedarf sie in zahlreichen Bereichen der Durchführung im innerstaatlichen Recht. Darüber hinaus enthält die DSGVO Regelungsspielräume („Öffnungsklauseln“), die fakultativ von den Mitgliedstaaten genutzt werden können.
Die notwendige Durchführung der DSGVO hinsichtlich allgemeiner Angelegenheiten des Schutzes personenbezogener Daten erfolgt durch das Datenschutz-Anpassungsgesetz 2018 und die darin vorgesehenen Anpassungen im Datenschutzgesetz (DSG). Das Datenschutz-Anpassungsgesetz 2018 wurde mit 31. Juli 2017 kundgemacht und tritt am 25. Mai 2018 in Kraft.
Unbeschadet des Transformationsverbotes enthält die DSGVO jedoch Regelungsspielräume, die im Rahmen der Vorgaben des Art. 6 Abs. 2 und 3 in Verbindung mit Art. 6 Abs. 1 lit. c und e DSGVO fakultativ von den Mitgliedstaaten genutzt werden können. Spezifische datenschutzrechtliche Regelungen können – im Rahmen der Vorgaben der DSGVO – auch weiterhin auf die Kompetenztatbestände der jeweiligen Materie gestützt werden (materienspezifischer Datenschutz als Annexmaterie).
Aufgrund dieser Vorgaben ist es jedoch erforderlich, die bestehenden materienspezifischen Datenschutzregelungen in Bundes- und Landesgesetzen sowie in Verordnungen auf deren Vereinbarkeit mit der DSGVO hin zu überprüfen und gegebenenfalls anzupassen.
Für den Anwendungsbereich der DSGVO können aufgrund des unionsrechtlichen Transformationsverbotes – anders als bislang in § 4 DSG 2000 – auf nationaler Ebene keine datenschutzrechtlichen Begrifflichkeiten definiert werden. Materienspezifische Datenschutzregelungen müssen an die neue Terminologie angepasst werden
Es sollen daher die materienspezifischen Datenschutzregelungen mit der neuen datenschutzrechtlichen Terminologie in Einklang gebracht werden sowie eine Adaptierung der bisherigen Verweise erfolgen. Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.
Kompetenzgrundlage:
Der vorliegende Entwurf stützt sich auf Art. 10 Abs. 1 Z 4 B-VG („Bundesfinanzen und Monopolwesen“); Art. 10 Abs. 1 Z 6 B-VG („Zivilrechtswesen“), Art. 10 Abs. 1 Z 8 B-VG (Angelegenheiten des Gewerbes und der Industrie, Bekämpfung des unlauteren Wettbewerbes, Kartellrecht,…), Art. 10 Abs. 1 Z 16 B-VG („Einrichtung der Bundesbehörden…“); auf die Bedarfsgesetzgebungskompetenz für das Verwaltungsverfahren nach Art. 11 Abs. 2 B-VG; auf „Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr“ gemäß § 2 DSG.
II. Besonderer Teil
Zu Artikel 1 (Änderung des E‑Government-Gesetzes )
Zu Z 1 bis 16, 18 bis 25:
Anstelle der Bestimmungen des DSG 2000 sollen nun die kohärenten Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zitiert werden. Ebenso sollen die bisherigen Begriffe des DSG 2000 daher durch die Begriffe der DSGVO ersetzt werden. Es wären daher die Begriffe „Datenanwendung“ in „Datenverarbeitung“, „Verwendung“ in „Verarbeitung“, „verwenden“ in „verarbeiten“, „Zustimmung“ in „Einwilligung“, „Auftraggeber“ in „Verantwortlicher“, „Dienstleister“ in „Auftragsverarbeiter“ sowie in den anwendbaren Fällen „Daten“ in „personenbezogene Daten“ zu ändern.
Zu Z 17 (§ 9 Abs. 1):
In § 9 Abs. 1 soll sich die Zurechnung einer Datenverarbeitung zu einem bestimmten staatlichen Tätigkeitsbereich nun nicht mehr aus ihrer Registrierung im (aufgrund des DSG weggefallenden) Datenverarbeitungsregister bzw. aus der (aufzuhebenden) Standard- und Musterverordnung ergeben, sondern durch die Registrierung bei der Stammzahlenregisterbehörde.
Zu Z 26 (§ 25 Abs. 3):
Die Änderungen der Novelle BGBl. I Nr. 121/2017 sind mit 1. August 2017 in Kraft getreten und finden jedoch großteils erst Anwendung, wenn die technischen und organisatorischen Voraussetzungen für den Echtbetrieb des E-ID vorliegen. Dieser Zeitpunkt ist vom Bundesminister für Inneres im Bundesgesetzblatt kundzumachen (vgl. § 24 Abs. 6 letzter Satz). Gemäß § 25 Abs. 3 ist für bis zum Zeitpunkt der Aufnahme des Echtbetriebes ausgestellte Bürgerkarten die Rechtslage vor Inkrafttreten dieses Bundesgesetzes, BGBl. I Nr. 121/2017, anzuwenden. Eine Novellierung dieser zwar noch anzuwendenden aber außer Kraft getretenen Rechtsvorschriften im Hinblick auf die datenschutzrechtlichen Begriffe ist nicht möglich. Es soll daher mit der vorgeschlagenen Ergänzung klargestellt werden, dass auch bei der Anwendung der alten Rechtslage die datenschutzrechtlichen Begriffe (vgl. Erläuterungen zu Z 1 bis 16, 18 bis 25) im Sinne der jeweiligen korrespondierenden Begriffe nach der DSGVO und des DSG zu verstehen sind.
Zu Artikel 2 (Änderung des Signatur- und Vertrauensdienstegesetzes)
Zu Z 1:
Anstelle der Bestimmung des DSG 2000 sollen nun die kohärente Bestimmung der Datenschutz-Grundverordnung (DSGVO) zitiert werden.
Zu Artikel 3 (Änderung des Unternehmensserviceportalgesetzes)
Zu Z 1 bis 3:
Anstelle des DSG 2000 sollen nun die Datenschutz-Grundverordnung (DSGVO) zitiert sowie der Begriff „Dienstleisterstellung“ durch den Begriff „Auftragsverarbeiterstellung“ ersetzt werden.
Zu Artikel 4 (Änderung des Dienstleistungsgesetzes)
Zu Z 1 und 2 (§ 6 Abs. 6, § 15 Abs. 6 ):
Es handelt sich um redaktionelle Anpassungen an die Datenschutz-Grundverordnung.
Zu Artikel 5 (Änderung des Informationsweiterverwendungsgesetzes)
Zu § 2 Abs. 3:
Es handelt sich um redaktionelle Anpassungen an die Datenschutz-Grundverordnung.
Zu Artikel 6 (Änderung des Wettbewerbsgesetzes)
Zu Z 1 (§ 10 Abs. 1 und 1a):
Die in § 10 Absatz 1 vorgenommenen Änderungen dienen der redaktionellen Anpassung an das neue Datenschutzgesetz idF BGBl. I Nr. 120/2017.
Die Eingliederung des § 14 Abs. 3 in § 10 in einem neuen Absatz 1a dient der Klarstellung sowie der Absicherung der notwendigen Datenübermittlung von Kriminalpolizei, Staatsanwaltschaft und Gerichten an die BWB. § 10 Abs. 1a gilt als ausdrückliche gesetzliche Ermächtigung iSd § 76 Abs. 4 StPO.
Zu Z 2 (§ 11 Abs. 3 bis 6):
Abs. 4 des Entwurfs ermächtigt die BWB im Rahmen ihres gesetzlichen Auftrages, sämtliche personenbezogene Daten zu verarbeiten, die zur Erreichung ihrer Ziele und zur Erfüllung ihrer Aufgaben erforderlich sind. Zu betonen ist in diesem Zusammenhang, dass es sich dabei nicht um Daten handelt, die Art. 9 DSGVO (besonderen Kategorien von personenbezogenen Daten) sind.
Abs. 5 des Entwurfs trägt der Tatsache Rechnung, dass es hinsichtlich bestimmter Verfahren unumgänglich ist, die Möglichkeit einer langfristigen Aufbewahrung von Akten samt der darin allenfalls enthaltenen personenbezogenen Daten sicherzustellen. Dies betrifft einerseits die bei der BWB anzumeldenden Unternehmenszusammenschlüsse (3. Abschnitt KartG iVm § 10a WettbG), da es hier auch noch nach Jahren möglich sein muss, die anmeldungskonforme Durchführung des Zusammenschlusses zu prüfen, andererseits insbesondere Verfahren über Wettbewerbsrechtsverletzungen. Daten aus den letztgenannten Verfahren müssen aufbewahrt werden dürfen, solange sie aufgrund offener Verjährungsfristen als Beweismittel im Rahmen eines Schadenersatzverfahrens in Frage kommen. Die RL 2014/104/EU hat Geschädigten diesbezüglich unter bestimmten Voraussetzungen Anspruch auf Offenlegung von Beweismitteln aus Akten der Wettbewerbsbehörden eingeräumt (vgl §§ 37a ff KartG 2005). Eine vorzeitige Löschung von Daten aus solchen Verfahren würde dem Zweck der genannten Richtlinie diametral zuwiderlaufen.
Abs. 6 des Entwurfs sieht eine notwendige Einschränkung des in Artikel 15 DSGVO vorgesehenen Auskunftsrechts vor. Es wird diesbezüglich von der Öffnungsklausel des Artikel 23 DSGVO Gebrauch gemacht. Eine Kernaufgabe der BWB ist die Aufdeckung und Ermittlung von Verstößen gegen Kartellrecht. Aus offenkundigen Gründen würde es dem im überwiegenden öffentlichen Interesse gelegenen Zweck diesbezüglicher Ermittlungen zuwiderlaufen, könnte über das Instrument des Auskunftsrechts Kenntnis über den Stand laufender Ermittlungen erlangt werden.
Ähnliches gilt für den in Abs. 7 des Entwurfs festgelegten Ausschluss des Widerspruchsrechts gemäß Artikel 21 DSGVO. Dieses würde im Großteil der Verwaltungsbereiche einen geordneten Vollzug verunmöglichen. Auch hier wird daher von der Möglichkeit des Artikel 23 Absatz 1 DSGVO Gebrauch gemacht, dieses in genereller Weise eingeräumte Widerspruchsrecht mit Blick auf das übergeordnete öffentliche Interesse an einer Aufrechterhaltung der Wettbewerbsordnung (lit. e) und die damit verbundenen Kontroll-, Überwachungs- und Ordnungsfunktionen (lit. h) zu beschränken.
Zu Z 3 (§ 14 Abs. 3):
Der Entfall des § 14 Abs. 3 ergibt sich aus Ziffer 1.
Zu Artikel 7 (Änderung der Gewerbeordnung)
Zu Z 1 (§ 151):
Die vorgeschlagenen Änderungen dienen vor allem der terminologischen Anpassungen an die DSGVO. Sofern im Hinblick auf das neue Datenschutzregime eine Anpassung der in § 151 Gewerbeordnung 1994 verwendeten Begriffe erforderlich scheint, sollen diese an die Definitionen der DSGVO angeglichen werden. Beispielsweise sollen die Begriffe „Betroffene“ durch „betroffene Person, „Datei“ („Kunden- und Interessentendatei“) durch „Dateisystem“ im Sinne des Art. 4 Z 6 DSGVO und „Auftraggeber“ (§ 4 Z 5 DSG 2000) durch „Verantwortlicher“ im Sinne des Art. 4 Z 7 DSGVO ersetzt werden.
Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO entspricht dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten.
Überdies soll im Sinne der neuen datenschutzrechtlichen Terminologie klargestellt werden, dass es sich bei den von Adressverlagen verarbeiteten Daten um personenbezogene Daten handelt.
Zudem soll im Hinblick auf die neuen Begrifflichkeiten die Wortfolge „sensible Daten“ auf „besondere Kategorie personenbezogener Daten“ (vgl. Art. 9 DSGVO) angepasst werden.
Zu Abs. 1:
Es handelt sich um Verweisanpassungen an die neuen datenschutzrechtlichen Regelungen der DSGVO und des DSG.
Zu Abs. 1 bis 6 und 9 bis 10:
Es handelt sich im Wesentlichen um terminologische Anpassungen sowie um Verweisanpassungen an die DSGVO. Inhaltliche Änderungen sind damit nicht verbunden.
Zu Abs. 7:
Da sich das Auskunftsrecht der betroffenen Person künftig direkt aus Art. 15 DSGVO ergibt, hat eine Verweisanpassung zu erfolgen.
Zu Abs. 8:
Aufgrund der Fristverkürzung in Art. 12 Abs. 3 DSGVO von acht Wochen auf einen Monat ist eine Anpassung erforderlich. Die Frist von einem Monat kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.
Zu Abs. 11:
Im Hinblick auf das unionsrechtliche Transformationsverbot ist eine Wiederholung des Widerspruchrechtes gegen Verarbeitungen zum Zweck der Direktwerbung in einer nationalen Vorschrift nicht zulässig, weshalb Satz 1 zu entfallen hat und Satz 2 entsprechend durch einen vorangestellten Verweis ergänzt wird.
Zu Z 2 (§ 365m1 Abs. 10 Z 4):
Es handelt sich um eine Verweisanpassung an die neuen datenschutzrechtlichen Regelungen der DSGVO und des DSG.
Zu Z 3 (§ 373a Abs. 5):
Es hat sich herausgestellt, dass die im Dienstleisterregister eingetragenen Personen verwechselt werden können, da die gemäß dem geltenden § 373a Abs. 5 GewO 1994 erfassten Informationen nicht gewährleisten, dass mehrfach vorkommende Namen sicher unterschieden werden können.
Personen, die sich im Dienstleisterregister registrieren lassen, sollen sich jedoch darauf verlassen können, dass jene Rechte, die sie dort registrieren lassen, ihnen auch eindeutig zugeordnet werden können. Die im Dienstleisterregister erfassten Informationen sollen daher um das Geburtsdatum und die Staatsangehörigkeit ergänzt werden, damit den im Dienstleisterregister geführten Personen eine ausreichend verlässliche Datenquelle zur Verfügung steht.
Zu Artikel 8 (Änderung des Berufsausbildungsgesetzes)
Zu Z 1 (§ 19c Abs. 7, erster Satz):
§ 19 c Abs. 7, erster Satz BAG ermöglicht es den Wirtschaftskammern, sich zur Vorbereitung und Durchführung der Entscheidungen der Lehrlingsstellen hinsichtlich der Beihilfen für die betriebliche Ausbildung von Lehrlingen einer eigenen Gesellschaft oder sonstiger geeigneter Einrichtungen als Dienstleister zu bedienen. Dies betrifft einerseits die Abwicklung der Beihilfen im eigentlichen Sinn, wofür der Begriff „Dienstleister“ nach wie vor zutreffend und auch legistisch/sprachlich zulässig ist. Sofern aber in diesem Zusammenhang die – durch die betreffende Gesellschaft oder Einrichtung – durchgeführten Tätigkeiten auf dem Gebiet der Datenverarbeitung angesprochen sind, ist dafür gemäß Art. 4 Z 8 DSGVO nunmehr der Begriff „Auftragsverarbeiter“ zu verwenden. Um daher in Hinkunft für beide Tätigkeitsbereiche die rechtlich korrekten und auch sprachlich adäquaten Bezeichnungen zu verwenden, sollen die Begriffe „Dienstleister“ und „Auftragsverarbeiter“ kumulativ angeführt werden.
Zu Z 2 (§ 19e Abs. 1, zweiter Satz):
Gemäß § 19e Abs. 1 BAG hat der Bundesminister für Wirtschaft, Familie und Jugend (nunmehr Bundesministerin für Digitalisierung und Wirtschaftsstandort) die Zweckmäßigkeit und Wirkung der vom Förderausschuss gemäß § 19c festgelegten Beihilfen zu prüfen, wobei er sich dabei erforderlichenfalls geeigneter externer Einrichtungen als Dienstleister bedienen kann. Hier gelten die Ausführungen wie oben zu Ziffer 1 analog: sofern bei der Prüfung der Zweckmäßigkeit und Wirkung von Beihilfen die Datenverarbeitung angesprochen ist, firmiert gemäß Art. 4 Z 8 DSGVO eine herangezogene Einrichtung für diese Tätigkeit nunmehr unter dem Begriff „Auftragsverarbeiter“. Daher werden auch hier die Begriffe „Dienstleister“ und „Auftragsverarbeiter“ kumulativ angeführt.
Zu 3 (§ 19f, zweiter Satz):
Entsprechend der Begriffsbestimmung des Art. 4 Z 1 DSGVO wird der Begriff „Daten“ jeweils um das Wort „personenbezogene“ erweitert.
Zu Z 4 (§ 19g Abs. 1, erster und zweiter Satz lauten):
Entsprechend der Begriffsbestimmung des Art. 4 Z 1 DSGVO wird der Begriff „Daten“ um das Wort „personenbezogener“ erweitert bzw. statt des Begriffes „Datenarten“ nun der Begriff „Arten von personenbezogenen Daten“ verwendet.
Zu Z 5 (§ 19g Abs. 1, Einleitungssätze der Ziffern 1, 2 und 3):
Entsprechend der Begriffsbestimmung des Art. 4 Z 1 DSGVO wird nunmehr der Begriff „Daten“ jeweils um das Wort „personenbezogene“ erweitert.
Zu Z 6 (§ 19g Abs. 2 und 3, erster Satz):
Einerseits wird entsprechend der Begriffsbestimmung des Art. 4 Z 1 DSGVO nunmehr der Begriff „Daten“ jeweils um das Wort „personenbezogene“ erweitert. Weiters wird gemäß der Begriffsbestimmung des Art. 4 Z 8 DSGVO der Begriff „beauftragte Dienstleister“ durch den Begriff „Auftragsverarbeiter“ ersetzt.
Allgemein wurde in den novellierten Bestimmungen die Bezeichnung des Bundesministeriums für Wissenschaft, Forschung und Wirtschaft gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, jeweils in Bundesministerium für Digitalisierung und Wirtschaftsstandort umbenannt.
Zu Artikel 9 (Änderung des Ingenieurgesetzes 2017)
Zu § 11 (Einleitungssatz):
Entsprechend der Begriffsbestimmung des Art. 4 Z 1 DSGVO wird der Begriff „Daten“ um das Wort „personenbezogenen“ erweitert. Weiters wird gemäß der Begriffsbestimmung des Art. 4 Z 2 DSGVO der Begriff “Verwendung“ durch den Begriff „Verarbeitung“ ersetzt.
Die Bezeichnungen der betreffenden Bundesministerien wurden gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, angepasst.
Zu Artikel 10 (Änderung des Bilanzbuchhaltungsgesetzes 2014)
Zu Z 1 (§ 52a Abs. 14 ):
Auf Grund der in der DSGVO ohnehin enthaltenen und unmittelbar anzuwendenden Bestimmungen können diese Bestimmungen entfallen.
Zu Z 2 (§ 52e Abs. 4):
Art. 35 Abs. 10 der DSGVO regelt den Entfall der Datenschutz-Folgeabschätzung. Durch diese Bestimmung wird klargestellt, dass Datenanwendungen gemäß § 52e Abs. 1 darunter fallen.
§ 52e Abs. 4 erster Satz kann ersatzlos entfallen, da die Meldepflichten gemäß § 17 Abs. 1 des Datenschutzgesetzes 2000 ebenfalls entfallen sind.
Zu Z 3 (§ 67c):
Mit Geltungsbeginn der DSGVO sollen auch die Änderungen des Bilanzbuchhaltungsgesetzes 2014 in Kraft treten.
Zu Artikel 11 (Änderung des Wirtschaftskammergesetzes 1998)
Zu Z 1 (§ 72 Abs. 1):
Es werden lediglich die Verweise angepasst.
Zu Z 2 (§ 72 Abs. 3 ):
§ 72 Abs. 3 ist obsolet geworden und kann ersatzlos entfallen.
Zu Z 3 und 4 (§ 72 Abs. 6 und § 74 Abs. 2 ):
Es werden lediglich die Verweise angepasst.
Zu Z 5 (§ 150 Abs. 7 ):
Mit Geltungsbeginn der DSGVO sollen auch die Änderungen des Wirtschaftskammergesetzes 1998 in Kraft treten.
Zu Artikel 12 (Änderung des Wirtschaftstreuhandberufsgesetzes 2017)
Zu Z 1 (Inhaltsverzeichnis):
Durch die Einfügung eines § 238a wird die Änderung des Inhaltsverzeichnisses erforderlich.
Zu Z 2 (96 Abs. 15):
Auf Grund der in der DSGVO ohnehin enthaltenen und unmittelbar anzuwendenden Bestimmungen können diese Bestimmungen entfallen.
Zu Z 3 (§ 100 Abs. 4):
Art. 35 Abs. 10 der DSGVO regelt den Entfall der Datenschutz-Folgeabschätzung. Durch diese Bestimmung wird klargestellt, dass Datenanwendungen gemäß § 100 Abs. 4 darunter fallen.
§ 100 Abs. 4 erster Satz kann ersatzlos entfallen, da die Meldepflichten gemäß § 17 Abs. 1 des Datenschutzgesetzes 2000 ebenfalls entfallen sind.
Zu Z 4 (182 Abs. 1):
Der Verweis auf das DSG 2000 kann ersatzlos entfallen.
Zu Z 5 (§ 183):
Es werden lediglich die Verweise angepasst und ein sprachliche Bereinigung vorgenommen.
Zu Z 6 (§ 238a):
Mit Geltungsbeginn der DSGVO sollen auch die Änderungen des Wirtschaftstreuhandberufsgesetzes 2017 in Kraft treten.
Zu Artikel 13 (Änderung des Ziviltechnikerkammergesetzes 1993)
Zu Z 1 (§ 18 Abs. 2 Z 7 ):
Es werden lediglich die Verweise angepasst.
Zu Z 2 (§ 77 Abs. 4i):
Mit Geltungsbeginn der DSGVO sollen auch die Änderungen des Ziviltechnikerkammergesetzes 1993 in Kraft treten.