Entwurf

Erläuterungen

Allgemeiner Teil

Mit der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt) (im Folgenden: DGA-Verordnung) wird darauf abgezielt, das Vertrauen in den Datenaustausch und die Datenverfügbarkeit zu erhöhen sowie technische Hindernisse bei der Weiterverwendung von Daten zu überwinden. Ebenso unterstützt wird die Einrichtung und Entwicklung gemeinsamer europäischer Datenräume in strategischen Bereichen, die sowohl private als auch öffentliche Akteure in Bereichen wie Gesundheit, Umwelt, Energie, Landwirtschaft, Mobilität, Finanzen, verarbeitende Industrie, öffentliche Verwaltung und Kompetenzen einbeziehen. Die DGA-Verordnung trat am 23. Juni 2022 in Kraft und gilt nach Ablauf einer Nachfrist von 15 Monaten seit 24. September 2023. Mit diesem Bundesgesetz werden notwendige Begleitregelungen zur Durchführung der DGA-Verordnung erlassen.

Die DGA-Verordnung sieht Folgendes vor:

1.     Bedingungen für die Weiterverwendung von geschützten Daten, die im Besitz öffentlicher Stellen sind

Darunter fallen Daten über geschäftliche Geheimnisse (Betriebsgeheimnisse, Berufsgeheimnisse und Unternehmensgeheimnisse); Daten, die statistischer Geheimhaltung unterliegen; Daten, die dem Schutz geistigen Eigentums Dritter unterliegen und personenbezogene Daten. Die DGA-Verordnung enthält keine Bestimmungen über den Zugang zu Daten und verpflichtet öffentliche Stellen daher nicht, bestimmte Daten zur Weiterverwendung zur Verfügung zu stellen. Dies ergibt sich jeweils aus anderen unionsrechtlichen oder nationalen Regelungen. Für die Erfüllung und Überwachung der Aufgaben der DGA-Verordnung sind in jedem Mitgliedstaat nationale Behörden, eine Zentrale Informationsstelle (ZIS) und eine oder mehrere zuständige Stelle(n) zu benennen.

2.     einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;

Anbieter von Datenvermittlungsdiensten sollen Vertrauen in die Datenwirtschaft schaffen und damit die Bereitschaft Daten zu teilen, im öffentlichen und privaten Bereich fördern. Datenvermittler unterliegen einer Anmeldepflicht und einer Reihe von Bedingungen, die sie zur Erbringung Ihrer Dienstleistungen erfüllen müssen. Die DGA-Verordnung unterscheidet drei Arten von Datenvermittlungsdiensten:

-       Dienste, die Kontakt zu Dateninhabern und Datennutzern vermitteln, um zwischen beiden eine Geschäftsbeziehung zum Zweck des Datenaustausches herzustellen,

-       Dienste, die Betroffene mit potenziellen Datennutzern in Verbindung bringt und damit betroffenen Personen die Ausübung ihrer Rechte nach der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO) ermöglicht,

-       Datengenossenschaften, mit dem Ziel, die Position von Einzelpersonen oder Unternehmen hinsichtlich der Weiterverwendung ihrer Daten zu stärken.

3.     einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten und

Datenaltruismus steht für die freiwillige Bereitschaft von Individuen oder Organisationen, ihre persönlichen Daten zum Wohle anderer oder für das Gemeinwohl zur Verfügung zu stellen, ohne hiefür ein Entgelt zu verlangen oder zu erhalten, das über eine Entschädigung für die ihnen durch die Bereitstellung ihrer Daten entstandenen Kosten hinausgeht. Datenaltruistische Organisationen müssen sich in ein Register eintragen lassen und bestimmte Anforderungen erfüllen, um anerkannt zu werden.

4.     einen Rahmen für die Einsetzung eines Europäischen Dateninnovationsrats.

Zur erfolgreichen Umsetzung der DGA-Verordnung wird ein Europäischer Dateninnovationsrat (engl. European Data Innovation Board, EDIB) in Form einer Expertengruppe eingerichtet. Dieser hat eine wichtige Beratungs- und Unterstützungsfunktion für die Europäische Kommission bei der Entwicklung zukünftiger Rechtsgrundlagen, Leitlinien (insbesondere zu „gemeinsamen europäischen Datenräumen“) oder Maßnahmen für die Interoperabilität im Kontext der Umsetzung der Europäischen Datenstrategie, ebenso wie bei der Koordinierung nationaler Verfahren und Strategien.

Kompetenzgrundlage:

Die Kompetenz des Bundes zur Erlassung dieses Bundesgesetzes gründet einerseits auf der Zivilrechtskompetenz (Art. 10 Abs. 1 Z 6 B-VG), andererseits auf der Organisationskompetenz, wonach die Regelungskompetenz für öffentliche Stellen im Bundesbereich dem Bund und jene für öffentliche Stellen im Landes- und Gemeindebereich den Ländern zukommt.

Besonderer Teil

Zu § 1:

§ 1 nennt die unionsrechtlichen Vorschriften zu deren Durchführung das gegenständliche Gesetz dient und gibt damit den Geltungsbereich an.

Zu § 2:

Die DGA-Verordnung enthält in ihrem Art. 2 eine Vielzahl an Begriffsbestimmungen für den Bereich der Daten-Governance, die aufgrund des Rechtscharakters der DGA-Verordnung unmittelbar anwendbar sind. Aufgrund von Überschneidungen mit Begrifflichkeiten aus anderen Regelungsmaterien wird klargestellt, dass für das vorliegende Vorhaben die Begriffsbestimmungen an die Definitionen der DGA-Verordnung anzugleichen sind.

Zu § 3:

Art. 13 und Art. 23 der DGA-Verordnung verpflichten die Mitgliedstaaten zur Benennung zuständiger Behörden. Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen ist die für Angelegenheiten der Digitalisierung zuständige Bundesministerin oder der für Angelegenheiten der Digitalisierung zuständige Bundesminister. Die zuständige Behörde ist gemäß ErwG 44 für die Überwachung der Einhaltung der Anforderungen der DGA-Verordnung durch die Anbieter von Datenvermittlungsdiensten verantwortlich. Zur Schaffung eines vertrauenswürdigen Umfelds und als Grundlage einer vertrauenswürdigen Datenweitergabe soll gemäß ErwG 38 in der gesamten EU ein Anmeldeverfahren eingeführt werden. Die Anmeldung soll an die zuständige Behörde jenes Mitgliedstaates gerichtet werden, in dem ein Anbieter von Datenvermittlungsdiensten seine Hauptniederlassung hat oder in dem sich sein gesetzlicher Vertreter befindet (ErwG 39). Durch die Anmeldung soll der Anbieter den Betrieb in jedem Mitgliedstaat aufnehmen können, sodass die Anmeldung eine Wirkung für die gesamte EU entfaltet.

Die zuständige Behörde muss den Anforderungen des Art. 26 der DGA-Verordnung entsprechen. Diese muss über angemessene finanzielle und personelle Mittel verfügen, um die ihr übertragenen Aufgaben erfüllen zu können, einschließlich der erforderlichen Fachkenntnisse und Ressourcen. Die für Datenvermittlungsdienste zuständige Behörde und die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde müssen dieselben Anforderungen erfüllen und werden beide von der für Angelegenheiten der Digitalisierung zuständigen Bundesministerin oder vom für Angelegenheiten der Digitalisierung zuständige Bundesminister wahrgenommen. Art. 26 der DGA-Verordnung gibt strukturelle Anforderungen an die zuständigen Behörden sowie deren Leitungsebene und Mitarbeiterinnen und Mitarbeiter vor.

Die Behörde soll gemäß Art. 13 der DGA-Verordnung bei der Wahrnehmung ihrer Aufgaben von allen Anbietern von Datenvermittlungsdiensten unabhängig sowie transparent und unparteiisch sein. Die Befugnisse und Zuständigkeiten der zuständigen Behörde lassen die Befugnisse anderer Fachbehörden, insbesondere der Datenschutzbehörde, der Bundeswettbewerbsbehörde und der für Cybersicherheit zuständigen Behörde unberührt.

Es soll jedoch eine enge Zusammenarbeit und Austausch von Informationen vorgesehen werden, sodass die Entscheidungen, die bei der Anwendung der Verordnung getroffen werden, konsistent sind. Die Pflicht zur engen Zusammenarbeit der Behörden und Austausch von Informationen, die für die Wahrnehmung ihrer Aufgaben in Bezug auf Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen erforderlich sind, ist in den Art. 13 Abs. 3 und 23 Abs. 3 der DGA-Verordnung verankert. Die Bestimmungen in diesem Bundesgesetz konkretisieren daher die Bestimmungen der DGA-Verordnung für die Zusammenarbeit zwischen der zuständigen Behörde, der Bundeswettbewerbsbehörde und der Datenschutzbehörde.

Gemäß Abs. 2 haben Anbieter von Datenvermittlungsdiensten oder datenaltruistischen Organisationen der zuständigen Behörde Aufzeichnungen oder Unterlagen vorzulegen oder zur Einsicht bereitzuhalten, Auskünfte zu erteilen und jede sonst erforderliche Unterstützung zu gewähren, die für die Entscheidung über eine Beschwerde gemäß Art. 27 der DGA-Verordnung erforderlich ist. Die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden sind gemäß Art. 24 der DGA-Verordnung befugt, von den anerkannten datenaltruistischen Organisationen alle Informationen zu verlangen, die nötig sind, um die Einhaltung der Anforderungen des Kapitels IV der DGA-Verordnung zu überprüfen. Jede Anforderung von Informationen muss in angemessenem Verhältnis zur Wahrnehmung dieser Aufgabe stehen und begründet sein. Vor dem Hintergrund datenschutzrechtlicher Bestimmungen handelt es sich im Anmeldeverfahren insbesondere um Angaben zum Namen, Rechtsstatus, der Anschrift und Website, Kontaktpersonen, der Tätigkeitsbeschreibung und -aufnahme (Art. 11 Abs. 6 DGA-Verordnung). Für die Überwachung der Tätigkeiten eines Datenvermittlungsdienstes werden Angaben und Auskünfte gemäß Art. 12 der DGA-Verordnung von der zuständigen Behörde verarbeitet. Für datenaltruistische Organisationen sind für eine Datenverarbeitung die Eintragungsanforderungen gemäß Art. 18 und Art. 19 Abs. 4 der DGA-Verordnung maßgeblich. Dies umfasst insbesondere Angaben zum Namen, dem Rechtsstatus, der Satzung, den Einnahmequellen, der Anschrift und Website, Kontaktpersonen und dem Tätigkeitsfeld der betreffenden datenaltruistischen Organisation.

Darüber hinaus haben datenaltruistische Organisationen Transparenzanforderungen gemäß Art. 20 der DGA-Verordnung zu erfüllen und auf Anfrage der zuständigen Behörde zu übermitteln. Dies umfasst Aufzeichnungen über die Verarbeitung personenbezogener Daten durch betreffende datenaltruistische Organisationen, den Zeitpunkt und die Dauer der Datenverarbeitung, den Zweck und etwaig erhobene Gebühren. Ebenso ist jährlich ein Tätigkeitsbericht vorzulegen, insbesondere in welcher Weise die Zwecke von allgemeinem Interesse, zu denen die Daten gesammelt wurden und eine Zusammenfassung der Ergebnisse der erlaubten Datenverarbeitung. Überdies wird gemäß Art. 25 der DGA-Verordnung ein europäisches Einwilligungsformular für Datenaltruismus vorgelegt. Dieses ermöglicht, dass betroffene Personen gemäß der Verordnung (EU) 2016/679 ihre Einwilligung zu einem bestimmten Datenverarbeitungsvorgang erteilen und widerrufen können.

Die Abs. 3 bis 6 sind den §§ 208 und 209 Abs. 1 Telekommunikationsgesetz 2021, BGBl. I Nr. 190/2021 (TKG 2021) nachgebildet. Demnach sind Betriebs- oder Geschäftsgeheimnisse Tatsachen kommerzieller oder technischer Art, die nur einem eng begrenzten, im Wesentlichen geschlossenen Personenkreis bekannt und für andere nicht oder nur schwer zugänglich sind. Der Berechtigte muss an der Geheimhaltung jedenfalls ein schutzwürdiges wirtschaftliches und objektiv berechtigtes Interesse haben.

Zusätzlich wird die zentrale Beauftragung der Bundesrechenzentrum GmbH für das gemäß Art. 17 DGA zu führende nationale öffentliche Register der anerkannten datenaltruistischen Organisationen entsprechend der bestehenden Prozesse vorgesehen. Dadurch soll erreicht werden, dass die einzelnen Umsetzungsschritte bestmöglich aufeinander abgestimmt werden.

Zu § 4:

Die für Angelegenheiten der Digitalisierung zuständige Bundesministerin oder der für Angelegenheiten der Digitalisierung zuständige Bundesminister ist zentrale Informationsstelle gemäß Art. 8 DGA-Verordnung. Da ihr oder ihm im Bereich der zentralen Informationsstelle insbesondere strategische und koordinierende Aufgaben zukommen, bedient sie oder er sich bei der Erfüllung bestimmter, aus der DGA-Verordnung resultierender operativer Aufgaben der Bundesanstalt Statistik Österreich. Die Bundesanstalt Statistik Österreich hat sich an die Vorgaben der für Angelegenheiten der Digitalisierung zuständigen Bundesministerin oder des für Angelegenheiten der Digitalisierung zuständige Bundesministers zu halten.

Die Aufgaben der Bundesanstalt Statistik Österreich umfassen die Befüllung und Wartung der Bestandsliste, die Implementierung eines automationsunterstützten Antragsmanagements für Antragsteller und deren Beratung, die Beratung und Unterstützung von Zuständigen Stellen und Öffentlichen Stellen und eine jährliche Qualitätssicherung der Datenbestände der Bestandsliste. Außerdem übermittelt die Bundesanstalt Statistik Österreich einen jährlichen Bericht an die für Angelegenheiten der Digitalisierung zuständige Bundesministerin oder den für Angelegenheiten der Digitalisierung zuständige Bundesminister.

Die für Angelegenheiten der Digitalisierung zuständige Bundesministerin oder der für Angelegenheiten der Digitalisierung zuständige Bundesminister ist ermächtigt, durch Verordnung nähere Bestimmungen zur ordnungsgemäßen Erfüllung der Aufgaben durch die Bundesanstalt Statistik Österreich gemäß Art. 8 Abs. 2 der DGA-Verordnung zu treffen. Dies umfasst insbesondere die Möglichkeit nähere Regelungen zu technischen Einzelheiten bei der Führung der Bestandsliste, insbesondere in Zusammenhang mit der Veröffentlichung von Daten (etwa konkrete Datenformate oder Verfahrensabläufe) festzulegen. Ebenso können, sofern dies zweckmäßig erscheint, in dieser Verordnung organisatorische Festlegungen hinsichtlich der Kommunikation und Formen der Zusammenarbeit mit öffentlichen und zuständigen Stellen und die Einrichtung gesonderter Informationskanäle getroffen werden.

Die Bundesanstalt Statistik Österreich fungiert als Auftragsverarbeiter gemäß Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, zuletzt berichtigt durch ABl. Nr. L 74 vom 04.03.2021 S. 35 (im Folgenden: DSGVO) und ist zur Einhaltung der Pflichten gemäß Art. 28 Abs. 3 lit. A bis h DSGVO verpflichtet.

Die zentrale Informationsstelle soll von den Mitgliedstaaten als Informations- und Anlaufstelle für diejenigen dienen, die die Weiterverwendung von Daten beabsichtigen. Laut ErwG 26 sollte diese sektorübergreifend angelegt sein und erforderlichenfalls sektorale Regelungen ergänzen. Des Weiteren soll die zentrale Informationsstelle Anfragen oder Anträge in Bezug auf die Weiterverwendung von Daten auf automatischem Wege übermitteln können, wobei allerdings für ausreichende menschliche Aufsicht gesorgt werden soll. Die zentrale Informationsstelle soll über eine Bestandsliste verfügen, die einen Überblick über alle verfügbaren Datenressourcen liefert und einschlägige Informationen mit einer Beschreibung der verfügbaren Daten enthält. Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grundsätzlich keine personenbezogenen Daten, sondern ausschließlich Metadaten. Um bestehende Synergien zu nutzen, wird vorgesehen die Bestandsliste mit data.gv.at zu verknüpfen und darüber die zu den verfügbaren Datensätzen zugehörigen Metadaten öffentlich zu machen. Die Bestandsliste muss ebenso eine Anbindung an das europäische Datenportal data.europa.eu zur Verfügung stellen. Eine bestehende Schnittstellenanbindung zum europäischen Datenportal ist bereits über data.gv.at gegeben. Im europäischen Vergleich werden in der Regel bestehende Datenportale wie data.gv.at für die Umsetzung der zentralen Informationsstelle genutzt.

Zu § 5:

Die Mitgliedstaaten haben gemäß Art. 7 der DGA-Verordnung zuständige Stellen zur Unterstützung der öffentlichen Stellen zu benennen. Es kann sich dabei um eigens neu eingerichtete, als auch um bereits bestehende öffentliche Stellen oder deren interne Dienste handeln. Laut ErwG 26 können die zuständigen Stellen dazu befugt werden den Zugang zur Weiterverwendung von Daten der in Art. 3 Abs. 1 der DGA-Verordnung genannten Datenkategorien zu gewähren, sofern ihnen hierzu auf der Grundlage des sektoralen Unionsrechts oder des nationalen Rechts der Auftrag erteilt wurde.

Die zentrale Aufgabe der zuständigen Stellen ist die öffentlichen Stellen bei deren Aufgabenwahrnehmung zu unterstützen. Diese Stellen sollten öffentliche Stellen mit moderner Technik unterstützen, etwa Technik zur optimalen Strukturierung und Speicherung der Daten, damit die Daten leicht zugänglich, interoperable, übertragbar und durchsuchbar werden, wobei bewährte Verfahren für die Datenverarbeitung sowie bestehende Regulierungs- und Technikstandards und sichere Datenverarbeitungsumgebungen zu berücksichtigen sind, die es ermöglichen, Daten unter Wahrung des Datenschutzes und der Privatsphäre zu analysieren.

Die Unterstützungstätigkeiten werden in Art. 7 Abs. 4 der DGA-Verordnung konkretisiert:

-       Technische Unterstützung durch Bereitstellung einer sicheren Verarbeitungsumgebung für die Gewährung des Zugangs zur Weiterverwendung von Daten (lit. a)

-       Beratung und technische Unterstützung bei der Strukturierung und Speicherung (lit. b)

-       Technische Unterstützung bei der Umsetzung von Schutzvorkehrungen, wie etwa der Anonymisierung und Pseudonymisierung personenbezogener Daten (lit. c)

-       Unterstützung bei der Einholung von Einwilligung oder Erlaubnis zur Weiterverwendung oder der Erlaubnis der Dateninhaber (lit. d)

-       Unterstützung öffentlicher Stellen bei der Beurteilung von Zusagen (lit. e)

Zuständige Stellen sind zur Zusammenarbeit mit der Zentralen Informationsstelle und mit der Bundesanstalt Statistik Österreich verpflichtet.

Als zuständige Stelle können nur Stellen benannt werden, die bereits befugt sind den Zugang zur Weiterverwendung von Daten von öffentlichen Stellen zu ermöglichen. Aus der bestehenden Rechtsgrundlage ergibt sich auch wer die Entscheidung über die Gewährung des Zugangs zu Daten zu treffen hat. In der Regel ist dies die jeweilige öffentliche Stelle selbst. Oftmals ist es notwendig, dass diese Stellen der zuständigen Stelle Informationen zu den Daten zur Verfügung stellen. Da zuständige Stellen auch mit den notwendigen rechtlichen Befugnissen zur Erfüllung ihrer Aufgaben ausgestattet sein müssen, wir daher eine Mitwirkungspflicht für die öffentlichen Stellen normiert.

Die für Angelegenheiten der Digitalisierung zuständige Bundesministerin oder der für Angelegenheiten der Digitalisierung zuständige Bundesminister kann mit Verordnung eine oder mehrere zuständige Stellen für Daten aus einem oder mehreren Verwaltungsbereichen festlegen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten (der in Art. 3 Abs. 1 genannten Datenkategorien) Verwaltungsbereichen gewähren oder verweigern, unterstützen.

Zu § 6:

Der vorliegende Gesetzesentwurf ist kein genuin nationales Gesetzesvorhaben, sondern werden damit die flankierenden Maßnahmen zu einer unmittelbar anwendbaren unionsrechtlichen Verordnung erlassen. Daneben sind die bereits (ohnedies) bestehenden Verpflichtungen nach der DSGVO (und dem Datenschutzgesetz [DSG], BGBl. I Nr. 165/1999, in der Fassung BGBl. I Nr. 2/2023) zu beachten. Weiters nimmt die Verordnung selbst in mannigfaltiger Weise auf die DSGVO und das Grundrecht auf Datenschutz Bezug und trifft maßgebliche Vorkehrungen zum Schutz personenbezogener Daten. Aufgrund der Behandlung von personenbezogenen Daten in Bezug auf die Antragsteller, Beschwerdeführer, Datenvermittler, datenaltruistische Organisationen und Dritter ist die gesetzliche Verankerung der Datenverarbeitung unabdingbar. Es wird klargestellt, dass die zuständige Behörde, die zentrale Informationsstelle und zuständige Stellen als datenschutzrechtliche Verantwortliche zu betrachten sind.

Personenbezogene Daten werden im Zuge von Anträgen auf Weiterverwendung von Daten sowie der Registrierung von Datenvermittlungsdiensten und datenaltruistischen Organisationen verarbeitet. Bei diesen Antrags- und Registrierungsdaten handelt es sich konkret um Vor- und Familiennamen, Anschrift, E-Mail-Adresse und sonstige Daten der Antragsteller, die zur Abwicklung des Antragsmanagements notwendig sind. Nur diese Daten werden verarbeitet und gespeichert, und zwar ausschließlich zum Zweck der Bearbeitung und Abwicklung des Antrags.

Personenbezogene Daten, bei denen es sich um Antrags- und Registrierungsdaten handelt, sind unverzüglich zu löschen, sofern sie zur Wahrnehmung der festgelegten Befugnisse und Aufgaben nicht mehr erforderlich sind. Dies ist insbesondere dann der Fall, wenn Anbieter von Datenvermittlungsdiensten oder datenaltruistische Organisationen ihre Tätigkeiten eingestellt haben und dies der zuständigen Behörde mitgeteilt haben und kein laufendes Beschwerdeverfahren, in welchem die personenbezogenen Daten benötigt werden, anhängig ist.

Zu § 7:

Die Bestimmung enthält die Regelungen über die Sanktionen im Fall von Verstößen gegen die einschlägigen Verhaltensanweisungen und Handlungspflichten der DGA-Verordnung. Gemäß Art. 34 der DGA-Verordnung müssen Vorschriften über Sanktionen, die bei Zuwiderhandlung der der österreichischen Rechtshoheit unterliegenden Anbieter von Datenvermittlungsdiensten gegen die DGA-Verordnung zu verhängen sind, erlassen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen getroffen werden.

Der Grundsatz der „doppelten Bindung“ des österreichischen Gesetzgebers ist auch bei der Sanktionierung von unmittelbar anwendbarem Unionsrecht zu beachten. Die hinreichende Deutlichkeit eines (Verwaltungs-) Straftatbestandes ist für einen Rechtsunterworfenen am ehesten dadurch erkennbar, dass in der Strafvorschrift die von ihr sanktionierte Bestimmung des Unionsrechts genau angeführt wird (vgl. Öhlinger/Potacs, EU-Recht und staatliches Recht [2017], S. 174).

Die Strafbestimmungen folgen im Aufbau dem Ansatz der Verordnung, zwischen Anbietern von Datenvermittlungsdiensten und anerkannten datenaltruistischen Organisationen zu differenzieren.

Zu § 8:

Art. 34 Abs. 1 der Verordnung verlangt explizit, dass die Sanktionen „wirksam, verhältnismäßig und abschreckend“ sind. Bei der Bemessung der Höhe einer zu verhängenden Geldstrafe sind insbesondere folgende Umstände zu berücksichtigen:

Art, Schwere und Umfang des Verstoßes;

Maßnahmen, die der Anbieter von Datenvermittlungsdiensten oder die anerkannte datenaltruistische Organisation zur Minderung oder Behebung des durch den Verstoß bedingten Schadens ergreifen;

frühere Verstöße des Anbieters von Datenvermittlungsdiensten oder der anerkannten datenaltruistischen Organisation;

die durch den Verstoß bedingten finanziellen Gewinne oder Verluste des Anbieters von Datenvermittlungsdiensten oder der anerkannten datenaltruistischen Organisation, sofern diese Gewinne oder Verluste zuverlässig festgestellt werden können;

sonstige erschwerende oder mildernde Umstände im jeweiligen Fall.

Zur Höhe einer von einer Verwaltungsbehörde verhängten Geldstrafe ist auf die Rechtsprechung des Verfassungsgerichtshofes hinzuweisen, derzufolge sich die Höhe der angedrohten Sanktion im Ergebnis als taugliches Mittel für die Abgrenzung des gerichtlichen Strafrechts und des Verwaltungsstrafrechts erweist und der Gesetzgeber durch Art. 91 B-VG nicht verpflichtet ist, Verfahren über die Verhängung hoher Geldstrafen angesichts deren spezifischer Funktion im gerichtlichen Strafrecht und im Verwaltungsstrafrecht in die Zuständigkeit der ordentlichen (Straf-)Gerichte zu übertragen (vgl. VfSlg. 20.231/2017).

Es wird daher ein abgestufter Katalog an Sanktionen in Höhe von EUR 10.000, EUR 20.000 und EUR 100.000 vorgesehen. Im Hinblick auf den Grad des Verschuldens genügt zur Strafbarkeit fahrlässiges Verhalten (vgl. § 5 Abs. 1 und 1a VStG).

Abs. 1:

Für die Anmeldung von Anbietern von Datenvermittlungsdiensten gelten die einschlägigen Bestimmungen von Art. 11 DGA-Verordnung. Für den Fall, dass diesen Mitteilungspflichten nicht nachgekommen wird, ist eine Geldstrafe in Höhe von bis zu EUR 10.000 vorgesehen.

Ebenso in Höhe von bis zu EUR 10.000 sind datenaltruistische Organisationen zu bestrafen, wenn diese ihre Aufzeichnungen nicht ordnungsgemäß, vollständig und genau im Sinne des Art. 20 DGA-Verordnung, und eingehender im Wege eines delegierten Rechtsakts zu erlassenden Bestimmungen gem. Art. 22 DGA-Verordnung, führen.

Abs. 2:

Datenvermittlungsdienste erfüllen eine neutrale Rolle in Bezug auf die zwischen Dateninhabern oder betroffenen Personen und Datennutzern weitergegebenen Daten. Ein Datenvermittlungsdienst verwendet daher gemäß Art. 12 lit. a DGA-Verordnung die Daten, für die er Datenvermittlungsdienste erbringt, für keine anderen Zwecke, als sie den Datennutzern zur Verfügung zu stellen. Werden diese Bedingungen für die Erbringung von Datenvermittlungsdiensten gemäß Art. 12 der DGA-Verordnung nicht eingehalten, ist eine Geldstrafe in Höhe von bis zu EUR 20.000 vorgesehen.

Der Schweregrad des Verstoßes ist stets im Einzelfall und angesichts des Charakters der Datennutzung zu bewerten, etwa wäre gegebenenfalls eine Prüfung im Lichte der möglichen Verletzung von Geschäftsgeheimnissen oder des geistigen Eigentums von Dateninhabern vorzunehmen. Ein allenfalls darüberhinausgehender Verstoß insbesondere im Zusammenhang mit der Verarbeitung personenbezogener Daten ist im Zusammenhang mit der DSGVO zu prüfen und von der Datenschutzbehörde zu ahnden.

Gemäß Art. 18 DGA-Verordnung sind von anerkannten datenaltruistischen Organisationen unionsrechtlich vorgegebene Eintragungsanforderungen einzuhalten. Für den Fall eines Verstoßes gegen diese administrativen und operativen Vorgaben und in Einklang mit den Bestimmungen von Art. 34 DGA-Verordnung ist ebenso eine Geldstrafe in Höhe von bis zu EUR 20.000 zu verhängen.

Abs. 3:

Entsprechend der DGA-Verordnung darf eine natürliche oder juristische Person, der das Recht auf Weiterverwendung nicht personenbezogener Daten gewährt wurde, Daten nur in solche Drittländer übertragen, die die Anforderungen von Art. 5 Abs. 10, 12 und 13 der DGA-Verordnung erfüllen.

Bestimmte Kategorien nicht personenbezogener Daten, die im Besitz öffentlicher Stellen sind, können für die Zwecke dieses Artikels als hochsensibel gelten, wenn die Übertragung dieser Daten in Drittländer Ziele des Gemeinwohls der Union, beispielsweise in den Bereichen Sicherheit und öffentliche Gesundheit, gefährden könnte oder die Gefahr einer erneuten Identifizierung anhand nicht personenbezogener, anonymisierter Daten birgt. Die Europäische Kommission ist befugt delegierte Rechtsakte zur Ergänzung des DGA durch Festlegung besonderer Bedingungen für die Übertragung dieser Daten in Drittländer zu erlassen.

Angesichts unionsrechtlich vorgegebener Bedingungen und insbesondere im Falle hochsensibler Daten gemäß DGA-Verordnung, sind diesbezügliche Verwaltungsübertretungen als besonders kritisch einzustufen und daher mit der höchsten Geldstrafe dieses Bundesgesetzes, in Höhe von bis zu EUR 100.000, zu bestrafen.

Anerkannte datenaltruistische Organisation haben gemäß Art. 21 DGA-Verordnung besondere Regeln zum Schutz der Rechte und Interessen betroffener Personen und Dateninhaber im Hinblick auf deren Daten einzuhalten. Für die Tätigkeit von anerkannten datenaltruistischen Organisationen liegt in der Regel die Einwilligung betroffener Personen oder Dateninhaber zur Verarbeitung sensibler personenbezogener Daten vor. Dies umfasst etwa die Einhaltung eines angemessenen Sicherheitsniveaus für die Speicherung und Verarbeitung von Daten und Schutzmaßnahmen zur Vermeidung einer unbefugten Übertragung, des unbefugten Zugriffs oder der unbefugten Nutzung von Daten. Für den Fall der Nicht-Einhaltung von Art. 21 DGA-Verordnung und insbesondere im Zusammenhang mit der Verarbeitung von sensiblen Daten sind diesbezügliche Verwaltungsübertretungen als besonders kritisch einzustufen und entsprechend streng mit Geldstrafe in Höhe von bis zu EUR 20.000 zu ahnden.

Zu § 9:

Um die Offenheit, Transparenz und grundsätzlichen Zielsetzungen der DGA-Verordnung zu unterstützen sowie eine Entlastung von zusätzlich Hürden zu schaffen, wird von der Einhebung von den ansonsten anfallenden Gebühren gemäß dem Gebührengesetz 1957, BGBl. Nr. 267/1957 ("Stempel und Rechtsgebühren") abgesehen.

Zu § 10:

Da das DZG an mehreren Stellen auf andere Bundesgesetze verweist, stellt § 10 Abs. 1 klar, dass diese jeweils in der geltenden Fassung anzuwenden sind (Abs. 1).

Ungeachtet der in diesem Bundesgesetz verwendeten personenbezogenen Bezeichnungen sind die Bestimmungen dieses Bundesgesetzes für alle Geschlechter gleichermaßen anwendbar (Abs. 2).

Zu § 11:

Die Vollzugszuständigkeit richtet sich nach dem Bundesministeriengesetz.

Zu § 12:

Wie bereits oben erwähnt gilt die Verordnung seit dem 24. September 2023 unmittelbar in jedem Mitgliedstaat. § 11 regelt das Inkrafttreten dieses Bundesgesetzes.