Datenschutz-Anpassungsgesetz Justiz 2018 - DS-AGJ 2018
Vereinfachte wirkungsorientierte Folgenabschätzung
|
Einbringende Stelle: |
Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz |
|
|
Vorhabensart: |
Bundesgesetz |
|
|
Laufendes Finanzjahr: |
2018 |
|
|
Inkrafttreten/ Wirksamwerden: |
2018 |
|
Vorblatt
Problemanalyse
Am 27. April 2016 wurde die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, in der Folge kurz "DSGVO"), ABl. Nr. L 119 vom 4. Mai 2016 S. 1, beschlossen. Sie gilt ab dem 25. Mai 2018 und ist unmittelbar anwendbar.
Die DSGVO nimmt die Tätigkeit der Justiz nicht generell von ihrem sachlichen Anwendungsbereich aus; sie sieht aber partielle Ausnahmen vor. Keine Anwendung findet die DSGVO nach Artikel 2 Abs. 2 lit d jedoch auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Für diesen Bereich wurde am 27. April 2016 die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89, (in der Folge kurz "DS-RL") beschlossen.
Die DSGVO enthält zahlreiche sogenannte "Öffnungsklauseln", also fakultative Regelungsspielräume, die den Mitgliedstaaten im sachlichen Anwendungsbereich der Verordnung abweichende oder in bestimmten Bereichen den Schutzbereich der DSGVO einschränkende nationale Regelungen gestatten. In diesem Sinn eröffnet Art. 23 DSGVO die Möglichkeit, durch Rechtsvorschriften der Union oder der Mitgliedstaaten die Pflichten und Rechte gemäß den Art. 12 bis 22 und 34 DSGVO gesetzlich zu beschränken, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt. Solche Beschränkungen sind überdies nur zur Sicherstellung bestimmter, in den in Art. 23 Abs. 1 lit. a bis j DSGVO angeführter Schutzzwecke zulässig, so etwa zum Schutz der Unabhängigkeit der Justiz und zum Schutz von Gerichtsverfahren (lit. f), zur Sicherstellung der Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe (lit. g), zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen (lit. i) und zur Sicherstellung der Durchsetzung zivilrechtlicher Ansprüche (lit. j). Die in den Art. 12 bis 22 und 34 DSGVO angeführten Datenschutzrechte des Einzelnen, die in obigem Sinn gesetzlich eingeschränkt werden können, betreffen etwa das Recht auf Auskunft und Information, auf Berichtigung und Löschung, auf Einschränkung der Verarbeitung und auf Widerspruch gegen die Verarbeitung.
Die Umsetzung des durch die Öffnungsklauseln eingeräumten gesetzgeberischen Gestaltungsspielraums soll in den spezifischen justiziellen Materiengesetzen erfolgen, (i) weil dies die speziellen und von privatrechtlichen Datenanwendungen abweichenden Zwecke der Datenverarbeitung im Zusammenhang mit der Tätigkeit der ordentlichen Gerichtsbarkeit erfordern, um die Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren gewährleisten zu können, und (ii) um den besonderen Verfahrenszwecken der durch die Rechtsanwälte und Notare geführten Archive, Verzeichnisse und Register (insbesondere Urkundenarchiv, Treuhandregister, ÖZVV und ÖZTR) sowie dem Schutz der berufsrechtlichen Verschwiegenheitspflichten und der Sicherstellung des geordneten Ablaufs von Disziplinarverfahren Rechnung zu tragen. Darüber hinaus bestehen derzeit in der gerichtlichen Praxis strittige datenschutzrechtliche Fragen, die durch gesetzgeberische Maßnahmen auf eine klare gesetzliche Basis gestellt werden sollen.
Die für den Bereich des Strafrechts geltende Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (im Folgenden: DS-RL), ABl. Nr. L 119 vom 4.5.2016 S. 89, wurde durch das Datenschutz-Anpassungsgesetz 2018 und die darin vorgesehenen Änderung im Datenschutzgesetz (DSG) idF BGBl. I Nr. 120/2017 umgesetzt. In dessen 3. Hauptstück finden sich explizite Regelungen zur Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie zum Zweck der nationalen Sicherheit, des Nachrichtendienstes und der militärischen Eigensicherung (§§ 36 ff). Wie im Bericht des Verfassungsausschusses 1761 BlgNR XXV. GP S. 18 ausdrücklich klargestellt, gehen die einschlägigen materienspezifischen Regelungen zu Datenverarbeitungen als leges speciales den allgemeinen Regelungen des 3. Hauptstücks des DSG vor. Die bestehenden datenschutzrechtlichen Regelungen der Strafprozeßordnung 1975 (StPO) sind daher in erster Linie an die Terminologie der DS-RL (bzw. des DSG) anzugleichen. Ferner soll eine Kriminalpolizei, Staatsanwaltschaft und Gericht gleichermaßen umfassende gesetzliche Grundlage für die grundsätzliche Zulässigkeit der Datenverarbeitung direkt in der StPO verankert und die Akteneinsicht zu wissenschaftlichen Zwecken an die europarechtlichen Vorgaben angepasst werden. Der bestehende (subsidiäre) Rechtsschutz des Gerichtsorganisationsgesetzes (GOG) auch weiterhin sowohl im strafgerichtlichen als auch staatsanwaltschaftlichen Bereich bestehen bleiben. Schließlich sollen die Voraussetzungen für die Datenweiterleitung an Drittstaaten, internationale Organisationen und private Empfänger in Drittstaaten klargestellt werden.
Das der Evidenthaltung strafgerichtlicher Verurteilungen dienende Strafregister unterliegt den unmittelbar anwendbaren Vorschriften der DSGVO. Das Strafregistergesetz 1968 (StRegG) ist daher in erster Linie terminologisch an die Vorgaben der DSGVO anzupassen. Ebenso sind Adaptierungen im Hinblick auf den Rechtsschutz gegen Aufnahmen in das Strafregister und im Zusammenhang mit der Übermittlung von Strafregisterdaten zu wissenschaftlichen Zwecken vorgesehen. Um die dem StRegG (im Einklang mit dem TilgG) wesensimmanenten Schutzzwecke nicht zu unterlaufen, soll ferner klargestellt werden, dass Auskünfte nach der DSGVO ausschließlich in Form einer Strafregisterbescheinigung ergehen sollen.
Letztlich erfordert das neue Datenschutzregime auch die Schaffung von gesetzlichen Grundlagen für die Verarbeitung von besonderen Kategorien personenbezogener Daten im Bereich des Strafvollzugs. Zugleich werden die Aufgaben und Pflichten der gemeinsamen Verantwortlichen aufgeteilt und die Bestimmungen betreffend die Datenübermittlung an Drittländer oder internationale Organisationen und betreffend die unabhängigen Aufsichtsbehörden umgesetzt.
Ziel(e)
- Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts)
- Sicherung eines hohes Datenschutzniveaus für natürliche Personen
- Zulässigkeit der Verwendung der zwingend erforderlichen Daten im Zivil- und Strafverfahren sowie im Strafvollzug unter gleichzeitiger Gewährleistung eines effizienten Rechtsschutzes
- Sicherung der Unabhängigkeit der Justiz und des Schutzes von Gerichtsverfahren
- Aufrechterhaltung des (subsidiären) Rechtsschutzes des Gerichtsorganisationsgesetzes im gerichtlichen und staatsanwaltschaftlichen Bereich
Inhalt
Das Vorhaben umfasst hauptsächlich folgende Maßnahme(n):
- Anpassung terminologischer Änderungen durch die DSGVO / DS-RL
- Schaffung von gesetzlichen Grundlagen für die notwendigen Datenverarbeitungen
- Klärung von in der gerichtlichen Praxis strittigen datenschutzrechtlichen Fragen in Gerichtsverfahren
- Klarstellung der Voraussetzungen für die Datenweiterleitung an Drittstaaten, internationale Organisationen und private Empfänger in Drittstaaten
Beitrag zu Wirkungsziel oder Maßnahme im Bundesvoranschlag
Das Vorhaben trägt dem Wirkungsziel "Gewährleistung der Rechtssicherheit und des Rechtsfriedens (durch Vorschläge zur Anpassung und Weiterentwicklung des Rechtssystems im Hinblick auf die gesellschaftlichen und wirtschaftlichen Bedürfnisse)" der Untergliederung 13 Justiz im Bundesvoranschlag des Jahres 2018 bei.
Finanzielle Auswirkungen auf den Bundeshaushalt und andere öffentliche Haushalte:
Finanzielle Auswirkungen sind lediglich im Zusammenhang mit den Änderungen im StRegG zu erwarten. Unmittelbar aufgrund der DSGVO entstehende finanzielle Auswirkungen sind der DSGVO zuzurechnen und daher für das nationale Gesetz nicht zu berücksichtigen, zumal im StRegG auch keine derartigen Regelungen enthalten sind bzw. lediglich Verweise auf die DSGVO vorgenommen werden. Dasselbe gilt für den Fall, dass zur Durchführung der DSGVO Änderungen im DSG und darauf aufbauend Anpassungen im StRegG vorgenommen wurden: Allfällig damit verbundene Mehraufwendungen ergeben sich aus der Novellierung des DSG und sind nicht Gegenstand dieses Vorhabens.
Bloße terminologische Anpassungen an die Begrifflichkeiten der DSGVO haben von vornherein keine finanziellen Auswirkungen zur Folge. Auch bei der expliziten Festlegung der Funktion des Verantwortlichen sowie des Auftragsverarbeiters hinsichtlich des Strafregisters handelt es sich lediglich um eine Klarstellung bzw. Anpassung an die neuen europarechtlichen Vorgaben und werden dadurch keine inhaltlichen Änderungen und somit keine Kosten bewirkt.
Betreffend die Einschränkung der Betroffenenrechte bei den Regelungen in Bezug auf den Rechtsschutz gegen Aufnahmen in das Strafregister, die Strafregisterbescheinigungen sowie die Übermittlung von Strafregisterdaten zu wissenschaftlichen Zwecken handelt es sich lediglich um vollzugsvereinfachende Abweichungen von der DSGVO im Rahmen der europarechtlichen Vorgaben. Damit soll auch Doppelgleisigkeiten entgegengewirkt sowie eine effizientere Verwaltung gefördert werden.
Da die Pflichten gegenüber dem Betroffenen nach der DSGVO den Verantwortlichen treffen, sollen künftig Anträge, die gegen Aufnahmen in das Strafregister gerichtet sind, bei der Landespolizeidirektion Wien einzubringen sein, die hierüber zu entscheiden hat. In Anbetracht der Tatsache, dass auf Basis interner Aufzeichnungen des Bundesministeriums für Inneres in den vergangenen Jahren lediglich im Durchschnitt acht Anträge pro Jahr gestellt wurden (2017:12; 2016: 9; 2015: 9; 2014: 8; 2013: 6; 2012: 6), ist diesbezüglich einerseits für die Landespolizeidirektion Wien lediglich mit einem vernachlässigbaren Mehraufwand sowie für das Bundesministerium für Inneres mit einem geringen Minderaufwand zu rechnen. Dasselbe gilt für den teilweisen Zuständigkeitsübergang hinsichtlich Beschwerden gegen Bescheide gemäß § 8 sowie § 10 Abs. 4 StRegG von den Landesverwaltungsgerichten auf die Datenschutzbehörde, der sich jedoch ebenfalls unmittelbar aus der DSGVO bzw. dem DSG ergibt. Durch die Abschaffung der Parallelstruktur ist mit einem geringfügig geringerem Arbeitsanfall bei den Landesverwaltungsgerichten zu rechnen, der jedoch nicht einschätzbar ist und somit nicht zahlenmäßig festgelegt werden kann.
Die im Vergleich zur geltenden Rechtslage geänderte Protokollierungsdauer wird einmalig Programmierarbeiten erforderlich machen. Die konkrete Höhe der Kosten kann noch nicht abschließend festgelegt werden. Die Bedeckung dieser Kosten wird gemäß BFG/BFRG im Detailbudget 11.04.04 (UG 11 - Inneres) erfolgen. Dem gegenüber steht eine derzeit nicht bezifferbare Ausgabenminderung im Hinblick auf die mit der Verkürzung der Speicherdauer verbundene Verringerung des notwendigen Speicherplatzes.
Darüber hinaus bedingt der vorliegende Entwurf keine finanziellen Auswirkungen.
Verhältnis zu den Rechtsvorschriften der Europäischen Union
Dieses Vorhaben steht im Einklang mit der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4. Mai 2016 S. 1 und der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89.
Besonderheiten des Normerzeugungsverfahrens
Keines
Diese Folgenabschätzung wurde mit der Version 4.7 des WFA – Tools erstellt (Hash-ID: 1396107483).