Ratifikation des Protokolls zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten
Vereinfachte wirkungsorientierte Folgenabschätzung
|
Einbringende Stelle: |
BMEIA |
|
|
Vorhabensart: |
Über- oder zwischenstaatliche Vereinbarung |
|
|
Laufendes Finanzjahr: |
2022 |
|
|
Inkrafttreten/Wirksamwerden: |
2023 |
|
Vorblatt
Problemanalyse
Das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, BGBl. Nr. 317/1988 (SEV Nr. 108; im Folgenden: Übereinkommen) stammt im Kern aus den 1980er Jahren und entspricht nicht mehr den technischen und gesellschaftlichen Anforderungen an ein modernes Datenschutzrecht. Des Weiteren korreliert das Übereinkommen nicht mehr mit dem seit 25. Mai 2018 in Geltung stehenden unionsrechtlichen Datenschutzregime und ist ein Beitritt derzeit nur für Staaten möglich. Zur Modernisierung und Stärkung der Anwendung des Übereinkommens wurde auf Europaratsebene ein entsprechendes Änderungsprotokoll ausverhandelt und anlässlich der 128. Ministertagung am 18. Mai 2018 vom Ministerkomitee des Europarats angenommen (Protokoll zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, SEV Nr. 223; im Folgenden: Protokoll).
Das Protokoll wurde am 10. Oktober 2018 in Straßburg zur Unterzeichnung aufgelegt und unter anderem von Österreich unterzeichnet. Art. 37 zufolge tritt es drei Monate nach Ratifikation durch sämtliche Vertragsstaaten des Übereinkommens in Kraft. Sollte dies binnen fünf Jahren nicht erfolgen, tritt es, soweit es von zumindest 38 Vertragsstaaten des Übereinkommens ratifiziert wurde, in Bezug auf diese Vertragsstaaten mit 11. Oktober 2023 in Kraft. Mit Stand 11. März 2022 wurde das Protokoll von 17 Vertragsstaaten (darunter zwölf EU-Mitgliedstaaten) ratifiziert und von 27 weiteren Vertragsstaaten unterzeichnet.
Ziel(e)
Die Modernisierung des Übereinkommens durch das Protokoll zielt insbesondere darauf ab, eine Anpassung an die gesellschaftlichen und technischen Veränderungen sicherzustellen, wobei im Hinblick auf die teils parallel laufenden Arbeiten am neuen EU-Datenschutzrechtsrahmen auf die Gewährleistung von Kohärenz zwischen beiden Rechtsregimen geachtet wurde. Mit dem Inkrafttreten des Protokolls wird das Übereinkommen im Wesentlichen an den gewandelten unionsrechtlichen Datenschutzrechtsrahmen – die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) sowie die Datenschutz-Richtlinie für den Strafverfolgungsbereich (Richtlinie (EU) 2016/680) – angeglichen. Überdies wird es der EU ermöglicht, dem Übereinkommen beizutreten.
Inhalt
Das Vorhaben umfasst hauptsächlich folgende Maßnahme(n):
Das bestehende Übereinkommen wird durch ein Änderungsprotokoll modernisiert und an das geänderte unionsrechtliche Datenschutzregime angepasst. Die wesentlichen Inhalte des Protokolls sind:
- Annäherung der Vorschriften des Übereinkommens an den neuen EU-Datenschutzrechtsrahmen (etwa Stärkung und Erweiterung der datenschutzrechtlichen Betroffenenrechte, Nachschärfung der Pflichten des Verantwortlichen);
- Wegfall der Möglichkeit, bestimmte Bereiche (z. B. nationale Sicherheit oder Verteidigung) durch Erklärung vollständig vom Übereinkommen auszunehmen, bei gleichzeitiger Ausweitung der Beschränkungsmöglichkeiten in diesen Bereichen;
- Schaffung einer Beitrittsmöglichkeit für internationale Organisationen (einschließlich der EU);
- Begünstigung grenzüberschreitender Datenflüsse zwischen Vertragsstaaten;
- Stärkung und Ausbau der Aufsichtsbehörden und Schaffung eines Kooperationsmechanismus;
- Stärkung des Beratenden Ausschusses des Europarates als Aufsichtsorgan.
Die Ratifikation des Protokolls ist Voraussetzung für dessen Inkrafttreten in Bezug auf Österreich. Da mit dem Protokoll das Übereinkommen im Wesentlichen an den unionsrechtlichen Datenschutzrechtsrahmen angeglichen wird, sind keine materiellen Änderungen des innerstaatlichen Datenschutzrechts erforderlich.
Beitrag zu Wirkungsziel oder Maßnahme im Bundesvoranschlag
Das Vorhaben hat keinen direkten Beitrag zu einem Wirkungsziel.
Aus der gegenständlichen Maßnahme ergeben sich keine finanziellen Auswirkungen auf den Bund, die Länder, die Gemeinden oder auf die Sozialversicherungsträger
Anmerkungen zu sonstigen, nicht wesentlichen Auswirkungen:
Da die Kooperation zwischen den EU-Mitgliedstaaten bereits auf Basis der Datenschutz-Grundverordnung sowie der Datenschutz-Richtlinie für den Strafverfolgungsbereich erfolgt, ist durch den im Protokoll vorgesehenen Kooperationsmechanismus im Hinblick auf die übrigen Vertragsstaaten des Übereinkommens auch auf der Ebene der Aufsichtsbehörde (Datenschutzbehörde) kein Mehraufwand zu erwarten.
Verhältnis zu den Rechtsvorschriften der Europäischen Union
Mit dem Protokoll wird das Übereinkommen im Wesentlichen an den geänderten unionsrechtlichen Datenschutzrechtsrahmen angeglichen. Die EU-Mitgliedstaaten wurden mit Beschluss (EU) 2019/682 des Rates vom 9. April 2019 zur Ratifikation des Protokolls im Interesse der Union ermächtigt.
Besonderheiten des Normerzeugungsverfahrens
Erfüllungsvorbehalt gemäß Art. 50 Abs. 2 Z 4 B-VG.
Datenschutz-Folgenabschätzung gem. Art. 35 EU-Datenschutz-Grundverordnung
Da das Protokoll keine Ermächtigung zur Verarbeitung personenbezogener Daten enthält, sondern lediglich Rahmenbedingungen für die Verarbeitung personenbezogener Daten aufgrund anderer Rechtsgrundlagen festlegt, ist die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und § 52 DSG iVm Art. 35 DSGVO im Zusammenhang mit der Ratifikation des Protokolls nicht erforderlich.
Diese Folgenabschätzung wurde mit der Version 5.12 des WFA – Tools erstellt (Hash-ID: 1959834577).