Erläuterungen

I. Allgemeiner Teil

Die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, tritt am 25. Mai 2018 in Geltung und hebt gleichzeitig die Richtlinie 95/46/EG auf.

Die DSGVO wird zwar unmittelbar wirksam, bedarf aber trotzdem in einigen Bereichen einer Durchführung im innerstaatlichen Recht. Darüber hinaus enthält sie Regelungsspielräume („Öffnungsklauseln“) für den nationalen Gesetzgeber. Während die notwendige Durchführung bzw. Umsetzung der unionsrechtlichen Vorgaben hinsichtlich allgemeiner Angelegenheiten des Schutzes personenbezogener Daten durch das Datenschutz-Anpassungsgesetz 2018 (BGBl. I Nr. 120/2017) im Datenschutzgesetz (DSG) erfolgte, fällt der überwiegende Teil der Öffnungsklauseln nicht in den Bereich der allgemeinen Angelegenheiten des Datenschutzes und wurde deshalb nicht im DSG ausgeübt.

Unbeschadet des Transformationsverbotes enthält die DSGVO jedoch Regelungsspielräume, die im Rahmen der Vorgaben der DSGVO fakultativ von den Mitgliedstaaten genutzt werden können. Spezifische datenschutzrechtliche Regelungen können – im Rahmen der Vorgaben der DSGVO – auch weiterhin auf die Kompetenztatbestände der jeweiligen Materie gestützt werden (materienspezifischer Datenschutz als Annexmaterie). Dementsprechend sollen durch Ausüben dieser Regelungsspielräume spezifische datenschutzrechtliche Regelungen im Transparenzdatenbankgesetz 2012 geschaffen und die Datenschutzregelungen mit der neuen datenschutzrechtlichen Terminologie in Einklang gebracht werden. Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Kompetenzgrundlage:

Die Zuständigkeit des Bundes zur Erlassung dieses Bundesgesetzes ergibt sich aus Art. 10 Abs. 1 Z 4 B‑VG (Bundesfinanzen), Art. 10 Abs. 1 Z 13 B‑VG (sonstige Statistik, soweit sie nicht nur den Interessen eines einzelnen Landes dient) und § 7 Abs. 1 und 6 F‑VG 1948. Darüber hinaus können als Kompetenzgrundlage diejenigen Kompetenztatbestände herangezogen werden, aufgrund derer der Bund Leistungen erbringen kann, sowie auf „Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr“ gemäß § 2 DSG.

II. Besonderer Teil

Zu Z 1 bis 5 (Inhaltsverzeichnis):

Das Inhaltsverzeichnis ist entsprechende den nachfolgenden Änderungen anzupassen.

Zu Z 6 (§ 2 Abs. 1):

In der Transparenzdatenbank und über das Transparenzportal findet die automationsunterstützte Verarbeitung von personenbezogenen Daten natürlicher Personen und nichtnatürlicher Personen (insbesondere juristischer Personen) statt. Diesem Umstand trägt die im vorgeschlagenen § 2 Abs. 1 vorgesehene Anknüpfung an § 1 des Datenschutzgesetz – DSG Rechnung, da § 1 DSG (im Zeitpunkt der Begutachtung der vorliegenden Änderung des Transparenzdatenbankgesetzes) personenbezogene Daten sowohl natürlicher Personen als auch nichtnatürlicher Personen umfasst. Der Begriff „Daten“ soll § 12 durchgängig verwendet werden und dabei „personenbezogene Daten“ bezeichnen.

Zu Z 6, 8, 9, 10, 11, 12, 13, 14, 15, 18, und 22 (§§ 2 Abs. 2, 12, 18, 21 Abs. 1 Z 3, 23 Abs. 3 und 4, 25 Abs. 1 lit. a und Abs. 4, 32 Abs. 7, 38):

Es sollen die entsprechenden Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zitiert und die bisherigen Begriffe des DSG 2000 durch die entsprechenden Begriffe der DSGVO ersetzt werden. Der Begriff „Auftraggeber“ soll gemäß dem vorgeschlagenen § 12 durchgängig durch „Verantwortlicher“ ersetzt werden und dabei den „datenschutzrechtlich Verantwortlichen“ bezeichnen. Weiters sollen die Begriffe „Betroffener“ durch „betroffene Person“, „Dienstleister“ durch „Auftragsverarbeiter“, „sensible Daten“ durch „besondere Kategorien personenbezogener Daten“, sowie „Verwendung“ durch „Verarbeitung“ bzw. „verwenden“ durch „verarbeiten“ ersetzt werden.

Zu Z 7 und 17 (§ 4 Abs. 4 und § 32 Abs. 6):

Die datenschutzkonforme Berechtigung zur Abfrage personenbezogener Daten soll unter den gleichen Voraussetzungen wie den Ländern auch den Gemeinden (Städten) eröffnet werden.

Zu Z 16 (Entfall § 31):

Der Regelungsinhalt des bisherigen § 31 („Richtigstellung und Löschung von Daten“) soll aus systematischen Gründen in den vorgeschlagenen, um Datenschutzregelungen zu erweiternden 7. Abschnitt eingebaut werden. Die Regelung findet sich nun in den § 36d und 36e.

Zu Z 19 (7. Abschnitt):

Der 7. Abschnitt („Schlussbestimmungen“) soll um datenschutzrechtliche Regelungen erweitert und daher in „Datenschutz und Schlussbestimmungen“ umbenannt werden. Zu diesem Zweck sollen die im Rahmen der DSGVO zulässigen Regelungsspielräume im erforderlichen Umfang genutzt werden (vorgeschlagene §§ 36a bis 36h).

Zu Z 20 (§§ 36a bis 36h):

Zu § 36a:

Der vorgeschlagene § 36a beinhaltet die grundsätzliche datenschutzrechtliche Bestimmung zur automatisierten Verarbeitung von personenbezogenen Daten natürlicher (und nichtnatürlicher) Personen durch den Bundesminister für Finanzen als Auftraggeber der Transparenzdatenbank und des Transparenzportals. Dies beinhaltet auch die Verarbeitung von besonderen Kategorien personenbezogener Daten (bisher: sensible Daten). Aus § 2 Abs. 2 in Verbindung mit § 25 ergibt sich, dass die Daten natürlicher Personen durch Verwendung des bereichsspezifischen Personenkennzeichens ausschließlich pseudonymisiert verarbeitet werden.

Zu § 36b:

Zu Abs. 1: Jede betroffene Person kann das ihr nach Art. 15 DSGVO zustehende Auskunftsrecht durch Abfrage gem. § 32 Abs. 1 und 2 nach vorheriger elektronischer Identifikation am Transparenzportal (transparenzportal.gv.at) ausüben, wodurch sie Kenntnis aller sie betreffenden Daten erlangt. Dazu gehört auch die Information, wem welche Daten zugänglich gemacht worden sind („Wer hat mich abgefragt?“).

Zu Abs. 2 und 3: Personen, die keine Transparenzportal-Abfrage durchführen können, ist die Auskunft über die sie betreffenden Daten vom Datenschutzbeauftragten des Bundesministeriums für Finanzen schriftlich zu erteilen. Dies werden Personen sein, die keine Möglichkeit zu einer Transparenzportalabfrage haben, weil sie sich mangels Bürgerkarte, Handy-Signatur oder FinanzOnline-Kennungen nicht elektronisch identifizieren können. Um die Abfrage durchführen und die Auskunft erteilen zu können, benötigt der Datenschutzbeauftragte Identifikationsdaten der betroffenen Person. Wenn die betroffene Person diese Angaben nicht macht, besteht kein Recht auf Auskunft.

Zu § 36c:

In der Transparenzdatenbank und über das Transparenzportal werden keine personenbezogenen Daten bei der betroffenen Person erhoben (Art. 13 DSGVO). Die in der Transparenzdatenbank und über das Transparenzportal verarbeiteten personenbezogenen Daten werden einerseits durch Abfrage von bestehenden Datenbanken ermittelt und andererseits durch die leistenden Stellen mitgeteilt (§ 23 Abs. 1, 2 und 4), sodass es sich um personenbezogenen Daten handelt, die nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO).

Die Informationen, die gemäß Art. 14 DSGVO mitzuteilen sind, sind nicht nur für die betroffene Person sondern – losgelöst von Personenbezug – auch für die Öffentlichkeit von Interesse und sollen daher auf der öffentlich zugänglichen Website transparenzportal.gv.at bereitgestellt werden.

Informationen zu einem konkreten Personenbezug können nach § 36b eingeholt werden.

Zu § 36d:

Da die in der Transparenzdatenbank und über das Transparenzportal verarbeiteten personenbezogenen Daten durch Abfrage von bestehenden Datenbanken ermittelt bzw. durch die leistenden Stellen mitgeteilt werden, kann der Bundesminister für Finanzen als Verantwortlicher gemäß § 12 die sachliche Richtigkeit und Aktualität, also deren Richtigkeit im Sinn des Art. 5 Abs. 1 lit. d DSGVO nicht beurteilen, sodass dafür die jeweilige leistende Stelle, welche gem. § 23 Abs. 3 auch Verantwortlicher für Datenanwendungen oder für die Verarbeitung von Daten außerhalb des Anwendungsbereiches des TDBG 2012 bleibt, zuständig ist. Die Berichtigung soll unverzüglich erfolgen (z. B. bei erfolgtem Ziffernsturz oder irrtümlich falsch gesetztem Komma). Bedarf die Klärung weiter gehenden (Ermittlungs-)Aufwand, so soll die leistende Stelle die behauptete Unrichtigkeit in der betreffenden Leistungsmitteilung ergänzend vermerken, um damit einer abfrageberechtigten Stelle, welche diese Leistungsmitteilung als Abfrageergebnis erhält, informiert ist. Dabei hat die leistende Stelle gegebenenfalls nach den für sie maßgebenden Rechtsvorschriften vorzugehen. Zu denken wäre hier z. B. an eine behauptete Unrichtigkeit des über das Transparenzportal darzustellenden Einkommens, dem oftmals eine der Rechtskraft fähige Erledigung der Abgabenbehörde zu Grunde liegt, weshalb der Begutachtungsentwurf zu § 48g BAO für solche Fälle eine eigene Regelung vorsieht, welche dann maßgebend sein soll.

§ 36d tritt hinsichtlich der Berichtigung bzw. Richtigstellung an die Stelle des bisherigen § 31.

Zu § 36e:

Die Zwecke der Verarbeitung der personenbezogenen Daten sind in § 2 definiert (Informationszweck, Nachweiszweck, Steuerungszweck und Überprüfungszweck) und werden in aller Regel von jenen abweichen, welche für die Verarbeitung der personenbezogenen Daten in den Datenanwendungen und ‑verarbeitungen bei den leistenden Stellen außerhalb des Anwendungsbereiches des TDBG 2012 bestehen. Daraus können sich sehr unterschiedliche Zeitpunkte ergeben, ab welchen die Daten für die Zwecke, für die sie in den leistenden Stellen erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 DSGVO). Wenn nun dieser Zeitpunkt maßgebend dafür wäre, wann die Daten in der Transparenzdatenbank zu löschen sind, könnte dies dazu führen, dass die im TDBG 2012 normierten Zwecke (insbesondere der Steuerungs- und der Überprüfungszweck) nicht mehr erfüllt werden könnten. Es soll daher zur Erfüllung dieser rechtlichen Verpflichtungen im vorgeschlagenen § 36c eine Regelung über die Löschung der Daten in der Transparenzdatenbank aufgenommen werden, wonach stufenweise zwischen der Anzeige an abfrageberechtigte Stellen und der endgültigen Löschung differenziert wird. So soll die Anzeige an abfrageberechtigte Stellen und die leistende Stelle selbst (§ 32 Abs. 5, 6 und 7) auf 10 Jahre beschränkt werden, was im Bereich des Förderungswesens einen hinreichend langen Zeitraum bei gleichzeitiger Rücksichtnahme auf die berechtigten Interessen der betroffenen Person darstellt.

Der Steuerungszweck wird vielfach die Einbeziehung von Daten erfordern, die vor mehr als 10 Jahren erhoben wurden, insbesondere zur Abschätzung von Entwicklungen durch Bedachtnahme auf Zeitreihen. Daher soll die solcherart im öffentlichen Interesse liegende Verarbeitung im Wege der Auswertung durch die Bundesanstalt Statistik Österreich nach § 34 für einen längeren Zeitraum zulässig sein, zumal die Daten der natürlichen Personen gemäß § 25 ausschließlich mittels bPK‑AS pseudonymisiert vorliegen. In Anlehnung an § 15 Abs. 5 Bundesstatistikgesetz 2000 soll die endgültige Löschung nach dreißig Jahren erfolgen. Bis dahin soll auch der betroffenen Person ihre Abfrageberechtigung gemäß § 32 Abs. 1 und 2 möglich sein.

Abgesehen von der amtswegigen Löschung nach dreißig Jahren (Abs. 2) hat eine Löschung über Antrag der betroffenen Person nur wegen unrechtmäßiger Verarbeitung bzw. bei Vorliegen einer bundesgesetzlichen Löschungsverpflichtung, welche die Zwecke des TDBG 2012 überwiegt, zu erfolgen. Da dies in die Agenden des für die Transparenzdatenbank datenschutzrechtlich Verantwortlichen eingreift, soll die zuständige leistende Stelle die Löschung nicht ohne Zustimmung des Bundesministeriums für Finanzen vornehmen dürfen. Bisher (§ 31) hatte die leistende Stelle dem Bundesminister für Finanzen eine Löschung mitzuteilen, der nach Prüfung der Mitteilung die Löschung der Daten in der Transparenzdatenbank zu veranlassen hatte.

§ 36d tritt hinsichtlich der Löschung an die Stelle des bisherigen § 31.

Zu § 36f:

Empfänger von berichtigten oder gelöschten Daten sind alle, die seit dem Zeitpunkt der Mitteilung durch die leistende Stelle oder seit dem Zeitpunkt, zu welchem die Daten durch Abfrage von bestehenden Datenbanken ermittelt werden können, den von der Berichtigung oder Löschung konkret betroffenen Datensatz abgefragt haben, also insbesondere abfrageberechtigte Stellen (§ 17). Eine dem Art. 19 DSGVO uneingeschränkt Rechnung tragende Mitteilungspflicht würde ein Nachverfolgen jeder einzelnen Abfrage erforderlich machen, und zwar – im Unterschied zu der nach § 32 Abs. 8 durchzuführenden Aufzeichnung – auf Mitteilungsebene. Dies wäre, insbesondere bei den aus bestehenden Datenbanken zu erfolgenden Abfragen, mit einem unverhältnismäßigen technischen Aufwand verbunden oder gar unmöglich.

Die Mitteilungspflicht nach Art. 19 DSGVO betrifft nicht jene Fälle, in denen eine leistende Stelle (Förderstelle) im Zug der Entscheidung über eine Fördergewährung die Abfrage aus der Transparenzdatenbank durchführt. Ein zu berichtigender oder zu löschender Datensatz ist nämlich in diesem Zeitpunkt gemäß § 36d bereits berichtigt (allenfalls trägt der betreffende Datensatz zumindest einen diesbezüglichen Vermerk), oder er ist gemäß § 36e bereits gelöscht. Art. 19 DSGVO betrifft aber jene Fälle, in denen ein Datensatz nach erfolgter Entscheidung über eine Fördergewährung berichtigt oder gelöscht wird. Es wird in solchen Fällen Sache der Förderungsempfängerin oder des Förderungsempfängers sind, einen solchen Umstand gegebenenfalls bei der Förderungsstelle geltend zu machen.

Zu § 36g:

Da die Verarbeitung der Daten in der Transparenzdatenbank bzw. über das Transparenzportal auf der Grundlage dieses Bundesgesetzes (und nicht auf der Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt) erfolgt, besteht insoweit kein Recht auf Widerspruch gemäß Art. 21 DSGVO.

Zu § 36h:

Die personenbezogenen Daten der natürlichen Personen sind gemäß §§ 24 und 25 sowohl in der Transparenzdatenbank als auch bei Abfrage von bestehenden Datenbanken ausschließlich pseudonymisiert vorhanden (verschlüsseltes bereichsspezifisches Personenkennzeichen vbPK-ZP-TD). Außerdem sind diese Daten nicht publikumsöffentlich, sondern können nach der näheren Regelung in den §§ 32 und 36b Abs. 2 nur durch die betroffene Person selbst, durch eine abfrageberechtigte Stelle oder durch den Datenschutzbeauftragten abgefragt und einer bestimmten Person zugeordnet werden. Das hat auch zur Folge, dass es dem Verantwortlichen gar nicht möglich ist, eine von einer Verletzung des Schutzes ihrer personenbezogenen Daten allenfalls betroffene natürliche Person zu identifizieren und im Sinn des Art. 34 DSGVO zu benachrichtigen.

Zu Z 21 (§ 37):

Der Antrag (das Verlangen) einer betroffenen Person an den Datenschutzbeauftragten des Bundesministeriums für Finanzen um Auskunft gemäß § 36b Abs. 2 über die sie betreffenden Daten soll von den Stempelgebühren befreit sein.

Zu Z 23 (§ 43 Abs. 4):

Sämtliche Bestimmungen sollen gleichzeitig mit dem Inkrafttreten der DSGVO und des Datenschutzgesetzes in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2017, somit am 25. Mai 2018, in Kraft treten.