Erläuterungen

Allgemeiner Teil

Mit dem vorliegenden Entwurf werden die Sozialversicherungsgesetze an die ab 25. Mai 2018 auf Grund der Datenschutz-Grundverordnung geltenden datenschutzrechtlichen Begrifflichkeiten angepasst.

In kompetenzrechtlicher Hinsicht stützt sich das im Entwurf vorliegende Bundesgesetz auf Art. 10 Abs. 1 Z 11 B-VG.

Besonderer Teil

Zu den Art. 1 bis 5 (§§ 31 Abs. 4 Z 10 und Abs. 11, 31a Abs. 2, 4 und 4a, 31b Abs. 1 und 2, 41a Abs. 5, 42b Abs. 1, 2, 4 und 5, 84a Abs. 5 Z 2, 186 Abs. 2, 321 Abs. 1, 360 Abs. 6, 418 Abs. 7 und 460e ASVG; §§ 183 Abs. 1, 195 Abs. 8 und 231a GSVG; §§ 171 Abs. 1 und 219a BSVG; §§ 119, 131 Abs. 4 und 159a B-KUVG; § 88b NVG):

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1, beschlossen. Die DSGVO ist am 25. Mai 2016 in Kraft getreten, tritt am 25. Mai 2018 in Geltung und hebt mit 25. Mai 2018 die Richtlinie 95/46/EG auf.

Das geltende Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, setzt die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, in innerstaatliches Recht um.

Die DSGVO ist unmittelbar wirksam; eine dennoch notwendige Durchführung dieser Verordnung erfolgte mit dem Datenschutz-Anpassungsgesetz 2018, das mit 25. Mai 2018 in Kraft tritt.

Mit dem vorliegenden Sammelgesetz sollen die Sozialversicherungsgesetze mit Wirksamkeit ab 25. Mai 2018 an die ab diesem Zeitpunkt geltenden datenschutzrechtlichen Begrifflichkeiten angepasst werden.

Für den Anwendungsbereich der DSGVO können auf Grund des unionsrechtlichen Transformationsverbotes - anders als bislang in § 4 DSG 2000 - auf nationaler Ebene keine datenschutzrechtlichen Begrifflichkeiten definiert werden. Materienspezifische Datenschutzregelungen müssen daher an die neue Terminologie angepasst werden:

Auftraggeber (§ 4 Z 4 DSG 2000) - Verantwortlicher (Art. 4 Z 7 DSGVO),

Dienstleister (§ 4 Z 5 DSG 2000) - Auftragsverarbeiter (Art. 4 Z 8 DSGVO),

Datenanwendung (§ 4 Z 7 DSG 2000) - Datenverarbeitung (Art. 4 Z 2 DSGVO),

Verwenden von Daten (§ 4 Z 8 DSG 2000) - Verarbeitung (Art. 4 Z 2 DSGVO),

Zustimmung (§ 4 Z 14 DSG 2000) - Einwilligung (Art. 4 Z 11 DSGVO).

Der Begriff „Daten“ (§ 4 Z 1 DSG 2000) soll - soweit sich daraus keine Einschränkung ergibt - durch den Begriff „personenbezogene Daten“ ersetzt werden.

Einzelne der derzeit in § 4 DSG 2000 definierten Begriffe werden in der DSGVO nicht verwendet: Insbesondere ist der DSGVO und, soweit es diese umsetzt, dem Datenschutzgesetz, BGBl. I Nr. 120/2017, der Begriff des Informationsverbundsystems (bisher § 4 Z 13 DSG 2000) unbekannt. An dessen Stelle tritt gleichsam als Nachfolgekonstruktion die Regelung des Art. 26 DSGVO über die „gemeinsamen Verantwortlichen“. Demgemäß wird vorgeschlagen, das Risiko- und Auffälligkeitsanalyse-Tool nach § 42b Abs. 4 ASVG als „System gemeinsamer Verantwortlicher“ auszugestalten.