Vorblatt

 

Ziel(e)

 

-       Durchführung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (DSGVO)

-       Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89

-       Einheitliche Kompetenz in den allgemeinen Angelegenheiten des Schutzes personenbezogener Daten

-       Angepasstes Grundrecht auf Datenschutz

-       Regelung von Datenverarbeitungen zu spezifischen Zwecken

-       Regelung der Bildverarbeitung

 

Inhalt

 

Das Vorhaben umfasst hauptsächlich folgende Maßnahme(n):

 

-       Erlassung eines neuen Datenschutzgesetzes (DSG)

-       Schaffung einer Kompetenzbestimmung

-       Schaffung eines neuen Grundrechts auf Datenschutz

-       Schaffung von Regelungen zu Datenverarbeitungen zu spezifischen Zwecken

-       Schaffung von Regelungen zur Bildverarbeitung

 

Wesentliche Auswirkungen

Durch das Vorhaben sind aufgrund der Erweiterung der Aufgaben und Befugnisse geringfügige finanzielle Auswirkungen bei der Datenschutzbehörde zu erwarten. Größere finanzielle Auswirkungen entstehen direkt aufgrund der auf unionsrechtlicher Ebene beschlossenen und unmittelbar anwendbaren Verordnung (DSGVO) und sind daher nicht dem vorliegenden Vorhaben zuzurechnen.

 

Finanzielle Auswirkungen auf den Bundeshaushalt und andere öffentliche Haushalte:

 

Finanzielle Auswirkungen des Gesetzes ergeben sich durch zusätzliche Aufgaben und Befugnisse der Datenschutzbehörde, soweit diese direkt auf das nationale Gesetz zurückgehen. Unmittelbar aufgrund der DSGVO entstehende finanzielle Auswirkungen sind – zumal im nationalen Gesetz keine derartigen Regelungen enthalten sind – der DSGVO zuzurechnen und werden daher für das nationale Gesetz nicht berücksichtigt.

Durch die Richtlinie (EU) 2016/680 ergeben sich zudem Aufwendung für zuständige Behörden durch die verpflichtende Bestellung eines Datenschutzbeauftragten sowie durch die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung.

Bereits auf dem DSG 2000 beruhende finanzielle Aufwendungen (zB die Einrichtung der Datenschutzbehörde und des Datenschutzrats) werden für das neue Gesetz nicht berechnet, da die Regelungen in diesen Fällen grundsätzlich nur fortgeschrieben werden und – wie aus den Übergangsregelungen ersichtlich ist – keine Neueinrichtung erfolgt.

 

Finanzierungshaushalt für die ersten fünf Jahre

in Tsd. €

2017

2018

2019

2020

2021

Nettofinanzierung Bund

0

‑874

‑1.337

‑1.363

‑1.391

 

Auswirkungen auf Unternehmen:

Auswirkungen auf Unternehmen, die personenbezogene Datenverarbeitungen betreiben, ergeben sich aufgrund des nationalen Gesetzes durch die Durchführung der Belehrung hinsichtlich des Datengeheimnisses. Unmittelbar aufgrund der DSGVO entstehende Auswirkungen (zB die Verpflichtung zur Bestellung eines Datenschutzbeauftragten und zur Durchführung einer Datenschutz-Folgenabschätzung) sind – zumal im nationalen Gesetz keine derartigen Regelungen enthalten sind – der DSGVO zuzurechnen und werden daher für das nationale Gesetz nicht berücksichtigt.

 

In den weiteren Wirkungsdimensionen gemäß § 17 Abs. 1 BHG 2013 treten keine wesentlichen Auswirkungen auf.

 

Verhältnis zu den Rechtsvorschriften der Europäischen Union:

Das Vorhaben dient insbesondere der Durchführung der DSGVO und der Umsetzung der Richtlinie (EU) 2016/680 ins nationale Recht.

 

Besonderheiten des Normerzeugungsverfahrens:

Der Entwurf kann gemäß Art. 44 Abs. 1 B-VG vom Nationalrat nur in Anwesenheit von mindestens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen beschlossen werden und bedarf überdies gemäß Art. 44 Abs. 2 B-VG der in Anwesenheit von mindestens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen zu erteilenden Zustimmung des Bundesrates.

 

Wirkungsorientierte Folgenabschätzung

Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (Datenschutz-Anpassungsgesetz 2018)

 

Einbringende Stelle:

Bundeskanzleramt

Vorhabensart:

Bundesgesetz

Laufendes Finanzjahr:

2017

 

Inkrafttreten/

Wirksamwerden:

2018

 

 

Beitrag zu Wirkungsziel oder Maßnahme im Bundesvoranschlag

 

Das Vorhaben trägt dem Wirkungsziel "Das Ressort Bundeskanzleramt als Garant und Weiterentwickler der Rechtsstaatlichkeit. Angestrebte Wirkung: hoher Nutzen der Rechtsberatung und -vertretung, der Legistik sowie der Dokumentation des Rechts; standardisierte und qualitätsgesicherte Abläufe in Verfahren der Datenschutzbehörde und in Rechtsmittelverfahren vor dem Bundesverwaltungsgericht; verbesserter Zugang zum Gleichbehandlungsrecht" der Untergliederung 10 Bundeskanzleramt im Bundesvoranschlag des Jahres 2017 bei.

 

Problemanalyse

 

Problemdefinition

- Die am 27. April 2016 beschlossene Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (DSGVO), tritt am 25. Mai 2018 in Geltung und hebt mit 25. Mai 2018 die Richtlinie 95/46/EG auf. Sie erlangt zwar unmittelbare Geltung, bedarf in zahlreichen Bereichen (zB die Errichtung der Aufsichtsbehörde nach Art. 51 Abs. 1 iVm Art. 54 Abs. 1 lit. a DSGVO) aber der Durchführung ins innerstaatliche Recht.

- Die ebenfalls am 27. April 2016 beschlossene Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89, muss im nationalen Recht umgesetzt werden.

- Infolge der zwischen Bund und Ländern geteilten Gesetzgebungskompetenz müssten diese Unionsrechtsakte auch durch die Länder umgesetzt werden.

 

Nullszenario und allfällige Alternativen

Auch ohne nationale Durchführungsmaßnahmen tritt die DSGVO am 25. Mai 2018 in Geltung. Es droht ein Vertragsverletzungsverfahren vor dem EuGH.

Die Richtlinie (EU) 2016/680 würde nicht ins nationale Recht umgesetzt werden. Es droht ein Vertragsverletzungsverfahren vor dem EuGH.

Soweit keine Konzentration der datenschutzrechtlichen Kompetenz im B-VG erfolgt, müssten die Länder ihre Landesdatenschutzgesetze an die genannten Unionsrechtsakte anpassen.

 

Vorhandene Studien/Folgenabschätzungen

Nachdem es sich um die Durchführung bzw. Umsetzung von gänzlich neuen EU-Rechtsakten in nationales Recht handelt, gibt es weder auf unionsrechtlicher noch auf nationaler Ebene Studien hinsichtlich der Folgen der nationalen Umsetzungsakte. Aus diesem Grund wurde auf die zu erwartenden Auswirkungen in der Praxis bzw. auf den durch den nationalen Umsetzungsakt zu erwartenden zusätzlichen Arbeitsaufwand bei der Datenschutzbehörde abgestellt.

 

Interne Evaluierung

 

Zeitpunkt der internen Evaluierung: 2023

Evaluierungsunterlagen und -methode:

- Kontrolle des Rechtssetzungsaktes hinsichtlich der verfolgten Ziele (Durchführung der DSGVO und Umsetzung der Richtlinie (EU) 2016/680)

- Allfällige Rückmeldungen der Europäischen Kommission

- Überprüfung der zum Datenschutz ergangenen Judikatur

- Rückmeldungen aus der Praxis und allfällige Anregungen für Anpassungen

- Einholung von Datenmaterial von der Datenschutzbehörde

 

Ziele

 

Ziel 1: Durchführung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (DSGVO)

 

Beschreibung des Ziels:

Wenngleich die DSGVO unmittelbare Geltung erlangt, bedarf sie in zahlreichen Bereichen der Durchführung ins nationale Recht.

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

Es bestehen keine Regelungen zur Durchführung der DSGVO ins nationale Recht.

Im nationalen Recht sind die Durchführungsregelungen zur DSGVO enthalten.

 

Ziel 2: Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89

 

Beschreibung des Ziels:

Die Richtlinie (EU) 2016/680 soll im nationalen Recht umgesetzt werden.

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

Die Richtlinie (EU) 2016/680 ist im nationalen Recht nicht umgesetzt.

Die Richtlinie (EU) 2016/680 ist im nationalen Recht umgesetzt.

 

Ziel 3: Einheitliche Kompetenz in den allgemeinen Angelegenheiten des Schutzes personenbezogener Daten

 

Beschreibung des Ziels:

Die zwischen Bund und Ländern geteilte Gesetzgebungskompetenz soll beim Bund konzentriert werden.

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

-       Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr. Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit solche Daten von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen Personen, die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, verwendet werden, sind diese Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzbehörde, der Datenschutzrat oder Gerichte mit der Vollziehung betraut werden.

-       Landessache ist die Gesetzgebung in Angelegenheiten des Schutzes manueller Dateien.

Bundessache ist die Gesetzgebung und die Vollziehung in allgemeinen Angelegenheiten des Schutzes personenbezogener Daten.

 

Ziel 4: Angepasstes Grundrecht auf Datenschutz

 

Beschreibung des Ziels:

Das Grundrecht auf Datenschutz soll im Lichte der Vorgaben der DSGVO angepasst und verständlicher ausgestaltet werden. Juristische Personen sind von der DSGVO nicht umfasst. Der Schutz juristischer Personen soll daher im neuen Grundrecht nicht mehr enthalten sein.

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

Das Grundrecht auf Datenschutz ist komplex ausgestaltet, entspricht nicht der Terminologie der DSGVO und geht – etwa hinsichtlich des Schutzes juristischer Personen – über die DSGVO hinaus. Die Drittwirkung des Grundrechts ist nicht ausdrücklich geregelt und ergibt sich nur durch Interpretation des Grundrechts.

Das neue Grundrecht auf Datenschutz ist verständlicher und übersichtlicher ausgestaltet, entspricht der Terminologie der DSGVO, schützt nur natürliche Personen und ordnet die Drittwirkung des Grundrechts ausdrücklich an.

 

Ziel 5: Regelung von Datenverarbeitungen zu spezifischen Zwecken

 

Beschreibung des Ziels:

Die Datenverarbeitungen zu spezifischen Zwecken (zB zum Zweck der wissenschaftlichen Forschung und Statistik oder die Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen) sollen verständlicher ausgestaltet und an die Terminologie der DSGVO angepasst werden.

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

Die im DSG 2000 geregelten besonderen Verwendungszwecke von Daten sind komplex ausgestaltet und entsprechen nicht der Terminologie der DSGVO.

Die Datenverarbeitungen zu spezifischen Zwecken sind im nationalen Recht übersichtlicher geregelt und entsprechen der Terminologie der DSGVO.

 

Ziel 6: Regelung der Bildverarbeitung

 

Beschreibung des Ziels:

Der mit der DSG-Novelle 2010 in das DSG 2000 eingefügte 9a. Abschnitt (§§ 50a ff DSG 2000) sieht ausführliche Regelungen für die Videoüberwachung vor. Einige der im 9a. Abschnitt enthaltenen Sonderregelungen für Videoüberwachungen (zB das besondere Auskunftsrecht, die Schlüsselhinterlegung und die Unterscheidung zwischen einer digitalen und einer analogen Aufzeichnung) haben sich in der Praxis nicht bewährt. Das DSG 2000 soll aufgehoben werden und die Bildverarbeitung im DSG neu geregelt werden, wobei auf die Erfahrungen mit der Videoüberwachung zurückgegriffen werden soll. Es sollen alle Bildaufnahmen durch Verantwortliche des privaten Bereichs diesen Bestimmungen unterliegen, sofern diese nicht ohnehin aufgrund von Art. 2 Abs. 2 lit. c DSGVO ("Haushaltsausnahme") vom Anwendungsbereich ausgenommen sind und auch nicht andere Gesetze hierzu Besonderes vorsehen.

Im Übrigen entspricht die Ausgestaltung der Videoüberwachung im DSG 2000 nicht der Terminologie der DSGVO.

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

Die Videoüberwachung ist im DSG 2000 geregelt. Einige der Sonderregelungen für Videoüberwachungen haben sich in der Praxis nicht bewährt.

Die Bildverarbeitung ist in überarbeiteter Form geregelt und an die DSGVO angepasst.

 

Maßnahmen

 

Maßnahme 1: Erlassung eines neuen Datenschutzgesetzes (DSG)

Beschreibung der Maßnahme:

Das DSG 2000 soll aufgehoben werden, da es den Vorgaben der DSGVO nicht entspricht.

Erlassung eines neuen Datenschutzgesetzes (DSG), mit welchem die durchzuführenden Bestimmungen der DSGVO geregelt und die Richtlinie (EU) 2016/680 umgesetzt wird.

Im Bereich der Durchführung der DSGVO umfasst dies insbesondere die Erlassung von Regelungen zum Datenschutzbeauftragten sowie die Errichtung der Datenschutzbehörde als Aufsichtsbehörde und Festlegung der Rechtsbehelfe, Haftung und Sanktionen.

Im Bereich der Umsetzung der Richtlinie (EU) 2016/680 sollen insbesondere der Anwendungsbereich, die Grundsätze der Datenverarbeitung, die Verarbeitung besonderer Kategorien personenbezogener Daten, die Rechte der betroffenen Person, die Pflichten des Verantwortlichen, die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen und die Datenschutzbehörde als Aufsichtsbehörde geregelt werden.

 

Umsetzung von Ziel 1, 2

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

Die Durchführung der DSGVO im nationalen Recht fehlt.

Die Umsetzung der Richtlinie (EU) 2016/680 im nationalen Recht fehlt.

Das DSG 2000 ist aufgehoben.

Die durchzuführenden Bestimmungen der DSGVO sind im neuen DSG geregelt.

Die Richtlinie (EU) 2016/680 ist im neuen DSG umgesetzt.

 

Maßnahme 2: Schaffung einer Kompetenzbestimmung

Beschreibung der Maßnahme:

Im Sinne der Konzentration aller Kompetenzbestimmungen im B-VG sollen die derzeit in § 2 DSG 2000 enthaltenen kompetenzrechtlichen Regelungen in das B-VG in modifizierter Form integriert werden. Das DSG 2000 soll aufgehoben werden, da es nicht den Vorgaben der DSGVO entspricht. Die bisher in § 2 Abs. 1 DSG 2000 enthaltene Einschränkung der Gesetzgebungszuständigkeit des Bundes auf den Schutz personenbezogener Daten im automationsunterstützten Datenverkehr soll im neuen DSG entfallen. Dadurch soll der Bund in die Lage versetzt werden, die DSGVO und die Richtlinie (EU) 2016/680 einheitlich und vollständig, also auch hinsichtlich manueller personenbezogener Dateien durchzuführen bzw. umzusetzen.

 

Umsetzung von Ziel 3

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

§ 2 Abs. 1 DSG 2000 regelt, dass die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr Bundessache ist. Die Vollziehung solcher Bundesgesetze steht nach Abs. 2 dem Bund zu. Soweit solche Daten von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen Personen, die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, verwendet werden, sind diese Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzbehörde, der Datenschutzrat oder Gerichte mit der Vollziehung betraut werden.

Die Länder haben entsprechende Gesetze in Angelegenheiten des Schutzes manueller Dateien erlassen.

Die allgemeinen Angelegenheiten des Schutzes personenbezogener Daten sind als Kompetenztatbestand in Art. 10 Abs. 1 B-VG enthalten.

Die Vollziehung des Datenschutzrechts liegt zur Gänze beim Bund und kann von diesem in unmittelbarer Bundesverwaltung (Art. 102 Abs. 2 B-VG) vollzogen werden.

 

Maßnahme 3: Schaffung eines neuen Grundrechts auf Datenschutz

Beschreibung der Maßnahme:

Mit der Aufhebung des DSG 2000 entfällt auch das Grundrecht auf Datenschutz. Im neuen DSG soll deshalb ein Grundrecht auf Datenschutz geschaffen werden, das inhaltlich auf dem in § 1 DSG 2000 geregelten Grundrecht basiert, jedoch verständlicher ausgestaltet und an die Terminologie der DSGVO angepasst ist sowie nur natürliche Personen schützt.

 

Umsetzung von Ziel 4

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

Das Grundrecht auf Datenschutz ist in § 1 DSG 2000 geregelt. Es schützt auch juristische Personen. Die Drittwirkung des Grundrechts ist nicht ausdrücklich angeordnet, sondern ergibt sich aus der Interpretation des Grundrechts.

Das Grundrecht auf Datenschutz ist in § 1 DSG geregelt. Es schützt nur natürliche Personen, entspricht der Terminologie der DSGVO und gilt auch unter Privaten.

 

Maßnahme 4: Schaffung von Regelungen zu Datenverarbeitungen zu spezifischen Zwecken

Beschreibung der Maßnahme:

Die Verarbeitung zum Zweck der wissenschaftlichen Forschung und Statistik, die Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen, die Freiheit der Meinungsäußerung und Informationsfreiheit, die Verarbeitung personenbezogener Daten im Katastrophenfall und die Verarbeitung personenbezogener Daten im Beschäftigungskontext sollen verständlicher ausgestaltet und an die Terminologie der DSGVO angepasst werden.

 

Umsetzung von Ziel 5

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

Im DSG 2000 sind im 8. Abschnitt (§§ 45 ff DSG 2000) besondere Verwendungszwecke von Daten geregelt. Diese Regelungen entsprechen nicht den Vorgaben der DSGVO.

Im neuen DSG sind Datenverarbeitungen zu spezifischen Zwecken geregelt. Diese Regelungen sind an die DSGVO, insbesondere an die neue Terminologie, angepasst.

 

Maßnahme 5: Schaffung von Regelungen zur Bildverarbeitung

Beschreibung der Maßnahme:

Nach der Aufhebung des DSG 2000 und der im 9a. Abschnitt des DSG 2000 geregelten Videoüberwachung soll die Bildverarbeitung im neuen DSG geregelt werden. Dies zielt darauf ab, grundsätzlich alle Bildaufnahmen durch Verantwortliche des privaten Bereichs (so zB auch das Anfertigen von Fotografien) diesen Bestimmungen unterliegen zu lassen, sofern diese nicht ohnehin aufgrund von Art. 2 Abs. 2 lit. c DSGVO ("Haushaltsausnahme") vom Anwendungsbereich ausgenommen sind und auch nicht andere Gesetze hierzu Besonderes vorsehen.

 

Umsetzung von Ziel 6

 

Wie sieht Erfolg aus:

 

Ausgangszustand Zeitpunkt der WFA

Zielzustand Evaluierungszeitpunkt

Die Videoüberwachung ist im 9a. Abschnitt des DSG 2000 geregelt.

Das DSG 2000 – und damit der 9a. Abschnitt zur Videoüberwachung – ist aufgehoben.

Im neuen DSG ist die Bildverarbeitung geregelt. Sie entspricht der Terminologie der DSGVO und regelt grundsätzlich alle Bildaufnahmen durch Verantwortliche des privaten Bereichs, die nicht der "Haushaltsausnahme" unterliegen.

 

Abschätzung der Auswirkungen

 

Finanzielle Auswirkungen für alle Gebietskörperschaften und Sozialversicherungsträger

 

Finanzielle Auswirkungen für den Bund

 

– Ergebnishaushalt

 

in Tsd. €

2017

2018

2019

2020

2021

Personalaufwand

0

647

990

1.010

1.030

Betrieblicher Sachaufwand

0

226

347

353

361

Aufwendungen gesamt

0

873

1.337

1.363

1.391

 

Aus dem Vorhaben ergeben sich keine finanziellen Auswirkungen für Länder, Gemeinden und Sozialversicherungsträger.

Auswirkungen auf die Verwaltungskosten für Bürger/innen und für Unternehmen

Auswirkungen auf die Verwaltungskosten für Bürger/innen

 

Das Vorhaben hat keine wesentlichen Auswirkungen auf die Verwaltungslasten für Bürger/innen.

 

Erläuterung:

Die Regelungen zur Videoüberwachung (9a. Abschnitt des DSG 2000) sollen in überarbeiteter Form als Bildverarbeitung auch im neuen DSG enthalten sein. Diese Bildverarbeitungen betreffen neben Unternehmen (zB Wiener Linien) auch Bürger (zB Überwachung des Eigenheims, Einsatz einer Action-Cam). Die im DSG 2000 vorgesehene Meldepflicht für Videoüberwachungen entfällt bereits aufgrund der DSGVO.

Die Kennzeichnung wird vom DSG 2000 weitgehend übernommen, allerdings für Bildaufnahmen mit privatem Dokumentationsinteresse, die vor allem Bürger betrifft, ausgenommen. Derartige Bildverarbeitungen unterliegen jedoch auch bisher nicht dem Anwendungsbereich des 9a. Abschnittes des DSG 2000 und sind damit bisher schon von der Kennzeichnung ausgenommen.

Neu ist hingegen die Auskunftspflicht über die Identität des Verantwortlichen (Eigentümer oder Nutzungsberechtigter einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht). Es werden jedoch nur wenige derartige Fälle der Auskunftspflicht (ca. 50 Fälle pro Jahr für Bürger) erwartet. Die Dauer der Auskunftspflicht wird mit 30 Minuten angenommen. Es ergeben sich daher keine wesentlichen Auswirkungen für Bürger.

 

Auswirkungen auf die Verwaltungskosten für Unternehmen

 

Das Vorhaben hat keine wesentlichen Auswirkungen auf die Verwaltungslasten für Unternehmen.

 

Erläuterung:

Die Regelungen zur Videoüberwachung (9a. Abschnitt des DSG 2000) sollen in überarbeiteter Form als Bildverarbeitung auch im neuen DSG enthalten sein. Diese Bildverarbeitungen betreffen auch Unternehmen (zB Wiener Linien). Die im DSG 2000 vorgesehene Meldepflicht für Videoüberwachungen entfällt bereits aufgrund der DSGVO.

Die Kennzeichnung wird vom DSG 2000 weitgehend übernommen; es entstehen keine neuen zusätzlichen Kosten.

Neu ist hingegen die Auskunftspflicht über die Identität des Verantwortlichen (Eigentümer oder Nutzungsberechtigter einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht). Es werden jedoch nur wenige derartige Fälle der Auskunftspflicht (ca. 100 pro Jahr für Unternehmen) erwartet. Die Dauer der Auskunftspflicht wird mit 30 Minuten angenommen. Es ergeben sich daher keine wesentlichen Auswirkungen für Unternehmen.

Unternehmen

Sonstige wesentliche Auswirkungen

 

Vom DSG 2000 weitgehend übernommen wurde das Datengeheimnis. Dieses hat auch Auswirkungen auf Unternehmen, die personenbezogene Datenverarbeitungen betreiben, soweit eine Belehrung der Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses erfolgen muss. Nachdem jedoch schon bisher im DSG 2000 derartige Belehrungspflichten vorgesehen sind (und diese grundsätzlich weitgehend gleich bleiben), ergeben sich nur hinsichtlich neuer Belehrungen Auswirkungen für Unternehmen (ca. 8.000 betroffene Unternehmen).

 

Sonstige wesentliche Auswirkungen

 

Betroffene Gruppe

Anzahl der Betroffenen

Quelle/Erläuterung

Unternehmen, die Datenverarbeitungen vornehmen und neue Belehrungen vornehmen müssen

8.000

 

Anhang

 

Detaillierte Darstellung der finanziellen Auswirkungen

 

Bedeckung

 

in Tsd. €

2017

2018

2019

2020

2021

Auszahlungen/ zu bedeckender Betrag

 

874

1.337

1.363

1.391

 

in Tsd. €

Betroffenes Detailbudget

Aus Detailbudget

2017

2018

2019

2020

2021

gem. BFRG/BFG

10.01.04 Dienststellen und ausgegliederte Bereiche

 

0

874

1.337

1.363

1.391

 

Erläuterung der Bedeckung

Die vom Entwurf vorgesehenen Aufwände sollen aus dem Detailbudget des Bundeskanzleramtes bedeckt werden.

 

Laufende Auswirkungen – Personalaufwand

 

 

2017

2018

2019

2020

2021

Körperschaft

Aufw.
(Tsd. €)

VBÄ

Aufw.
(Tsd. €)

VBÄ

Aufw.
(Tsd. €)

VBÄ

Aufw.
(Tsd. €)

VBÄ

Aufw.
(Tsd. €)

VBÄ

Bund

 

 

647,09

 

990,06

16,00

1.009,86

16,00

1.030,05

16,00

 

Es wird darauf hingewiesen, dass der Personalaufwand gem. der WFA-Finanziellen Auswirkungen-VO valorisiert wird.

 

 

 

 

2017

2018

2019

2020

2021

Maßnahme / Leistung

Körpersch.

Verwgr.

VBÄ

VBÄ

VBÄ

VBÄ

VBÄ

Zusätzliche Aufwendungen der Datenschutzbehörde für Stellungnahmen, Beratung, Verfahrenstätigkeit

Bund

VB-VD-Höh. Dienst 3 v1/1-v1/3; a

 

 

6,00

6,00

6,00

Zusätzliche Aufwendungen der Datenschutzbehörde für Stellungnahmen und Akkreditierungen

Bund

VB-VD-Gehob. Dienst3 v2/1-v2/3; b

 

 

5,00

5,00

5,00

Zusätzliche Aufwendungen der Datenschutzbehörde für Verwaltungsstrafsachen

Bund

VB-VD-Gehob. Dienst3 v2/1-v2/3; b

 

 

2,00

2,00

2,00

Zusätzliche Aufwendungen der Datenschutzbehörde für Verwaltungsstrafsachen (technischer Bereich)

Bund

VB-VD-Fachdienst v3; c; h1, p1

 

 

3,00

3,00

3,00

 

 

 

2017

2018

2019

2020

2021

Maßnahme / Leistung

Körpersch.

Anzahl

Aufw. €

Anzahl

Aufw. €

Anzahl

Aufw. €

Anzahl

Aufw. €

Anzahl

Aufw. €

Zusätzliche Aufwendungen der Datenschutzbehörde für Stellungnahmen, Beratung, Verfahrenstätigkeit

Bund

 

 

6

51.066,20

 

 

 

 

 

 

Zusätzliche Aufwendungen der Datenschutzbehörde für Stellungnahmen und Akkreditierungen

Bund

 

 

5

35.897,18

 

 

 

 

 

 

Zusätzliche Aufwendungen der Datenschutzbehörde für Verwaltungsstrafsachen

Bund

 

 

2

35.897,18

 

 

 

 

 

 

Zusätzliche Aufwendungen der Datenschutzbehörde für Verwaltungsstrafsachen (technischer Bereich)

Bund

 

 

3

29.805,83

 

 

 

 

 

 

 

Zur Methode der Berechnung des Personalaufwands:

Zumal der Personalmehraufwand von insgesamt 16 VBÄ (aufgeteilt auf unterschiedliche Verwendungsgruppen) im Jahr 2018 erst mit einschließlich Mai 2018 schlagend wird, wurde für das Jahr 2018 die Berechnung des Personalaufwands mittels Eingabe der finanziellen Auswirkungen pro Mitarbeiter vorgenommen. Dabei wurden auf Basis der im WFA-Tool hinterlegten Werte für die jeweiligen Verwendungsgruppen die Kosten für den Personalaufwand für den Zeitraum von Mai bis Dezember 2018 (acht Monate) anteilig eingetragen.

Für die Folgejahre ab einschließlich 2019 erfolgt die Berechnung mittels Eingabe der (ganzjährig) benötigten VBÄ.

 

Bereits auf dem DSG 2000 beruhende finanzielle Aufwendungen (zB die Einrichtung der Datenschutzbehörde und des Datenschutzrates) werden für das neue Gesetz nicht berechnet, da die Regelungen in diesen Fällen grundsätzlich nur fortgeschrieben werden und – wie aus den Übergangsregelungen ersichtlich ist – keine Neueinrichtung erfolgt.

Die Datenschutzbehörde wird durch das DSG nicht neu eingerichtet, sondern aus dem DSG 2000 übernommen. In diesem Sinne sind nur die durch das neue DSG hinzukommenden Aufgaben und Befugnisse (zB die Zuständigkeit zur Verhängung von Geldbußen) zu berechnen. Die darüber hinaus aufgrund der DSGVO vorgesehenen Aufgaben und Befugnisse, die der Datenschutzbehörde unmittelbar durch die DSGVO neu auferlegt werden, sind nicht einzubeziehen. Aus den gleichen Gründen ist auch der Entfall des Meldeverfahrens beim Datenverarbeitungsregister (DVR) nicht einzubeziehen. Den Tätigkeitsbericht hat die Datenschutzbehörde bereits nach dem DSG 2000 vorzulegen, wodurch sich ebenfalls keine neuen Aufwendungen ergeben. Das Verfahren vor der Datenschutzbehörde sowie dem Bundesverwaltungsgericht wurde auch aus dem DSG 2000 übernommen und verursacht damit keine neuen Aufwendungen, die dem DSG zuzurechnen sind.

Allgemein wird angemerkt, dass sich – zusätzlich zu dem oben genannten Aufwand durch das neue DSG – finanzielle Auswirkungen auch unmittelbar aufgrund der DSGVO ergeben (zB im Hinblick auf neue Aufgaben und Befugnisse der Datenschutzbehörde), die zu einem erhöhten personellen Aufwand bei der Datenschutzbehörde führen; dieser zusätzliche Aufwand ist bei der Berechnung der Wirkungsfolgen des nationalen Gesetzes nicht zu berücksichtigen.

Der Datenschutzrat wird nicht neu eingerichtet, sondern vom DSG 2000 mit leichten Modifikationen weitgehend unverändert übernommen und verursacht daher keine neuen Aufwendungen.

Weiters ist im DSG 2000 auch der Rahmenbeschluss 2008/977/JI umgesetzt. Dieser Rahmenbeschluss wird durch die Richtlinie (EU) 2016/680 aufgehoben. Finanzielle Aufwendungen für die zuständige Behörde ergeben sich im Bereich der Richtlinie (EU) 2016/680 insbesondere durch die verpflichtende Bestellung eines Datenschutzbeauftragten sowie durch die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Sowohl beim Datenschutzbeauftragten als auch bei der Datenschutz-Folgenabschätzung ist anzumerken, dass den zuständigen Behörden diese Pflicht weitgehend schon unmittelbar durch die DSGVO auferlegt wird und damit durch das nationale Gesetz kein maßgeblicher zusätzlicher Mehraufwand entsteht. Die konkrete Höhe der Aufwendungen und der benötigten Mitarbeiter ist im Vorfeld nicht allgemein quantifizierbar, da nicht abschätzbar ist, welche Behörden mehrere Datenschutzbeauftragte bestellen werden.

Die Bestellung von Datenschutzbeauftragten erfolgt nicht aufgrund des neuen DSG, sondern unmittelbar aufgrund der DSGVO und ist daher in die Berechnung nicht einzubeziehen.

 

Laufende Auswirkungen – Arbeitsplatzbezogener betrieblicher Sachaufwand

 

Körperschaft (Angaben in €)

2017

2018

2019

2020

2021

Bund

 

226.483,23

346.519,55

353.449,93

360.518,93

 

 

Angaben zur Wesentlichkeit

 

Nach Einschätzung der einbringenden Stelle sind folgende Wirkungsdimensionen vom gegenständlichen Vorhaben nicht wesentlich betroffen im Sinne der Anlage 1 der WFA-Grundsatzverordnung.

 

Wirkungs­dimension

Subdimension der

Wirkungsdimension

Wesentlichkeitskriterium

Verwaltungs- kosten

Verwaltungskosten für Bürgerinnen und Bürger

Mehr als 1 000 Stunden Zeitaufwand oder über 10 000 € an direkten Kosten für alle Betroffenen pro Jahr

Verwaltungs- kosten

Verwaltungskosten für Unternehmen

Mehr als 100 000 € an Verwaltungskosten für alle Betroffenen pro Jahr

 

Diese Folgenabschätzung wurde mit der Version 4.7 des WFA – Tools erstellt (Hash-ID: 1995067315).