Neu im Verfassungsausschuss

Wien (PK) – Die Regierung hat dem Nationalrat ein neues Datenschutzgesetz vorgelegt (1664 d. B.). Damit soll der neuen Datenschutz-Grundverordnung der EU (DSGVO) Rechnung getragen und eine neue EU-Datenschutz-Richtlinie für den Bereich der Inneren Sicherheit umgesetzt werden. Außerdem sind eine Neuformulierung des Grundrechts auf Datenschutz und verfassungsrechtliche Kompetenzverschiebungen vorgesehen. In Kraft treten soll das neue Gesetz, das das geltende Datenschutzgesetz ersetzt, gleichzeitig mit der Datenschutz-Grundverordnung am 25. Mai 2018. Für einen Beschluss ist sowohl im Nationalrat als auch im Bundesrat eine Zweidrittelmehrheit erforderlich.

Gemäß den neuen Bestimmungen fallen allgemeine Angelegenheiten des Datenschutzes künftig in die alleinige Kompetenz des Bundes, sowohl was die Gesetzgebung als auch was die Vollziehung betrifft. Damit soll der Bund in die Lage versetzt werden, die EU-Vorgaben einheitlich und vollständig umzusetzen, auch was manuelle personenbezogene Daten betrifft. Außerdem wird das – in Verfassungsrang stehende – Grundrecht auf Datenschutz verständlicher formuliert und an die Terminologie der EU-Verordnung angepasst. Juristische Personen sind künftig nicht mehr vom Grundrecht umfasst.

Da die EU-Datenschutz-Grundverordnung unmittelbare Wirkung entfaltet, werden im neuen Datenschutzgesetz nur jene Bereiche geregelt, die einer Präzisierung bzw. detaillierter Ausführungsbestimmungen bedürfen oder aus anderen Gründen erforderlich sind. Die Regelungsspielräume, die die EU einräumt, werden dabei den Erläuterungen zufolge nur sparsam genutzt, da diese in den meisten Fällen nicht allgemeine Angelegenheiten des Datenschutzes, sondern spezifische Gesetzesmaterien betreffen. Die Regierung behält sich allerdings vor, bei Bedarf entsprechende Änderungen der Materiengesetze in die Wege zu leiten. Ausdrücklich beteuert wird, dass das etablierte österreichische Datenschutzniveau durch die neue Rechtslage nicht abgesenkt wird.

Pflicht zur Ernennung von Datenschutzbeauftragten

Direkt in der Datenschutz-Grundverordnung geregelt sind etwa die Pflicht zur Ernennung eines Datenschutzbeauftragten und zur Durchführung von Datenschutz-Folgenabschätzungen, wobei die Bestimmungen sowohl die öffentliche Hand als auch den privaten Sektor betreffen. Demnach müssen etwa öffentliche Behörden und Stellen, die Datenverarbeitungen durchführen, sowie Unternehmen, in denen Datenverarbeitungen zur Kerntätigkeit zählen, in jedem Fall einen Datenschutzbeauftragten benennen. In diesem Sinn sieht das Datenschutzgesetz für jedes Bundesministerium zumindest einen – weisungsfreien – Datenschutzbeauftragten vor. Aufgabe der Datenschutzbeauftragten ist es insbesondere, die interne Einhaltung der geltenden Datenschutzbestimmungen zu überwachen.

Was die Datenschutz-Folgenabschätzungen betrifft, kann die Datenschutzbehörde zur Unterstützung von Unternehmen Listen erstellen, aus denen ersichtlich ist, bei welchen Datenverarbeitungen eine derartige Folgenabschätzung jedenfalls erforderlich ist und in welchen Fällen eine solche als nicht nötig erachtet wird.

Spezifische Regelungen sind für bestimmte Datenverarbeitungen vorgesehen. Das betrifft etwa die Verarbeitung von Daten für wissenschaftliche und statistische Zwecke, die Bereitstellung von Adressdaten zur Benachrichtigung und Befragung von Personen, die Verarbeitung personenbezogener Daten im Katastrophenfall und die Verarbeitung von Daten für journalistische, wissenschaftliche, literarische und künstlerische Zwecke. Im Sinne der Freiheit der Meinungsäußerung und der Informationsfreiheit sollen für den letztgenannten Bereich, wie teilweise schon bisher, Ausnahmebestimmungen zum Tragen kommen. Für die Verarbeitung von Mitarbeiterdaten in Unternehmen gelten weiter die Bestimmungen des Arbeitsverfassungsgesetzes.

Sonderbestimmungen für Videoüberwachungen

Adaptiert werden die Sonderbestimmungen für Videoüberwachungen, die sowohl für Unternehmen (z.B. Verkehrsbetriebe) als auch für Privatpersonen gelten. Nicht alle der 2010 eingeführten Regelungen hätten sich in der Praxis bewährt, wird in den Erläuterungen festgehalten. Als Beispiel werden etwa die derzeitige Unterscheidung zwischen digitalen und analogen Aufzeichnungen und das besondere Auskunftsrecht genannt. Auch eine Meldepflicht ist unter Bedachtnahme auf die neue EU-Verordnung nicht mehr vorgesehen.

Fortgeschrieben werden demgegenüber u.a. das grundsätzliche Verbot der Videoüberwachung für den höchstpersönlichen Lebensbereich, das Verbot der Videoüberwachung zum Zweck der Mitarbeiterkontrolle, das Verbot des automationsunterstützten Abgleichs von Aufzeichnungen mit anderen Bilddaten und die Kennzeichnungspflicht. Überdies wird eine Auskunftspflicht über die Identität des Verantwortlichen (Eigentümer oder Nutzungsberechtigter einer überwachten Liegenschaft) eingeführt. Die neuen Bestimmungen gelten künftig außerdem für alle Bildaufnahmen – und damit auch für Fotografien –, wobei private Videos und Fotos alleine schon aufgrund der Datenschutz-Grundverordnung ausgenommen sind ("Haushaltsausnahme").

Datenschutz im Bereich der Inneren Sicherheit

Ein eigenes Hauptstück des neuen Datenschutzgesetzes ist, in Umsetzung der neuen EU-Richtlinie zum Bereich Innere Sicherheit, der Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei, des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs gewidmet. Unter anderem sind in diesem Zusammenhang Informations- und Auskunftsrechte für betroffene Personen, das Recht auf Berichtigung unrichtiger Daten sowie Meldepflichten im Falle von Datenschutzverletzungen geregelt. Auch für die Übermittlung von Daten an Drittländer und internationale Organisationen sind spezielle Bestimmungen vorgesehen. Werden neue Dateisysteme angelegt, ist die Datenschutzbehörde vorab zu konsultieren. Um das bestehende Schutzniveau nicht abzusenken, wurden den Erläuterungen zufolge in diesen Teil des Gesetzes über die Vorgaben der EU-Richtlinie hinaus auch einige Bestimmungen aus dem geltenden Datenschutzgesetz übernommen.

Geldbußen und Verwaltungsstrafen

Die Datenschutzbehörde wird künftig sowohl als Aufsichtsbehörde gemäß der EU-Datenschutz-Grundverordnung als auch als Aufsichtsbehörde gemäß der EU-Datenschutz-Richtlinie betreffend Innere Sicherheit fungieren. In diesem Sinn wird ihr auch die Einhebung der in Artikel 83 verankerten Geldbußen für Verstöße gegen die EU-Verordnung obliegen. Die Strafen für Unternehmen richten sich zum Teil nach dem Umsatz und können, je nach Schwere des Vergehens, bis zu mehreren Millionen Euro betragen. Die Datenschutzbehörde kann aber auch Verwarnungen erteilen und Ermahnungen aussprechen. Zufließen sollen die Einnahmen aus den Geldbußen dem Bund. Bei Gefahr in Verzug ist es, wie schon bisher, möglich, die Weiterführung einer Datenverarbeitung mit Bescheid zu untersagen.

Spezielle Verwaltungsstrafen sind bei Verstößen gegen das Datengeheimnis sowie gegen die besonderen Bestimmungen des Datenschutzgesetzes zu Bildverarbeitungen und anderen spezifischen Datenverarbeitungen in Aussicht genommen. Sie sollen dann zur Anwendung kommen, wenn die Datenschutz-Grundverordnung oder andere Strafbestimmungen nicht greifen. Demnach drohen Personen, die sich vorsätzlich widerrechtlichen Zugang zu Daten verschaffen oder ihnen anvertraute Daten unberechtigt weiterleiten oder unzulässige Videoaufzeichnungen machen, Geldstrafen bis zu 50.000 €. Auch der Versuch ist strafbar.

Zudem wurde der bestehende Straftatbestand der Datenverarbeitung in Gewinn- oder Schädigungsabsicht in das neue Datenschutzgesetz übernommen: Wer ihm beruflich zugängliche Daten widerrechtlich verwertet, obwohl die Betroffenen an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse haben, kann zu einer Freiheitsstrafe bis zu einem Jahr oder zu einer Geldstrafe bis zu 720 Tagsätzen verurteilt werden.

Weitgehend unverändert geblieben sind auch das Beschwerdeverfahren vor der Datenschutzbehörde und dem Bundesverwaltungsgericht, die Bestimmungen über den Datenschutzrat und die Regelung des Datengeheimnisses. Nach EU-Recht nicht mehr zulässig ist hingegen eine allgemeine Festlegung der Kriterien für die Zulässigkeit von Datenverarbeitungen, wie sie im derzeitigen Datenschutzgesetz enthalten ist.

Gleichfalls nicht mehr zu führen ist das Datenverarbeitungsregister, da auch die entsprechenden Meldepflichten entfallen. Allerdings soll das Register zu Archivzwecken noch bis Ende 2019 erhalten bleiben. Eintragungen oder Änderungen dürfen ab 25. Mai 2018 nicht mehr vorgenommen werden.

Wesentliche finanzielle Auswirkungen des neuen Datenschutzgesetzes auf Unternehmen und auf BürgerInnen erwartet sich die Bundesregierung nicht. Auch die zusätzlichen Kosten für den Bund, etwa durch die notwendige personelle Aufstockung der Datenschutzbehörde, sollen sich mit rund 1,3 Mio. € jährlich in Grenzen halten. Allerdings sind in dieser Aufstellung etwaige Mehrkosten für die öffentliche Hand und für Unternehmen durch die direkt wirkende EU-Datenschutz-Grundverordnung nicht berücksichtigt. Das betrifft etwa die Pflicht zur Bestellung eines Datenschutzbeauftragten und zur Durchführung von Datenschutz-Folgenabschätzungen. Evaluiert werden soll das Gesetz erstmals im Jahr 2023. (Schluss) gs