Datenschutzgesetz

Aus Datencockpit
Wechseln zu:Navigation, Suche

Das österreichische Datenschutz-Anpassungsgesetz 2018

In Durchführung der DSGVO und Umsetzung der Datenschutzrichtlinie für den Bereich Polizei und Justiz (DSRL-PJ) [1] wurde vom österreichischen Gesetzgeber das Datenschutz-Anpassungsgesetz 2018 [2] verabschiedet, das am 25. Mai 2018 in Kraft treten soll.

Kernstück des Datenschutz-Anpassungsgesetzes 2018 ist das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG). Dabei wurde das bestehende DSG 2000 der einfachgesetzlichen Bestimmungen entkleidet, die Verfassungsbestimmungen (insbes. das Grundrecht auf Datenschutz nach § 1) bleiben bestehen.

Das (neue) DSG gliedert sich in 5 Hauptstücke. Das 1. Hauptstück normiert die Durchführung der Datenschutz-Grundverordnung und ergänzende Regelungen, das 2. Hauptstück regelt die Organe (des Datenschutzes), das 3. Hauptstück die Umsetzung der DSRL-PJ, das 4. Hauptstück die besonderen Strafbestimmungen und das 5. Hauptstück die Schlussbestimmungen.

Für Verantwortliche und Auftragsverarbeiter relevant ist v.a. das 1. Hauptstück, das sich in drei Abschnitte gliedert.

Der 1. Abschnitt enthält allgemeine Bestimmungen (bspw. zum Datenschutzbeauftragten oder zum Datengeheimnis).

Der 2. Abschnitt regelt die Datenverarbeitungen zu spezifischen Zwecken (wie bspw. für Zwecke der wissenschaftlichen Forschung und Statistik oder für die Verwendung im Beschäftigungskontext).

Der 3. Abschnitt regelt die Bildverarbeitung (vormals „Videoüberwachung“).

Weitere wesentliche Eckpunkte sind:

  • Die Datenschutzbehörde wird als Aufsichtsbehörde mit allen Befugnissen (einschließlich der Verhängung von Geldbußen) nach der DSGVO und der DSRL-PJ eingerichtet.
  • Geldbußen können auch direkt gegen juristische Personen verhängt werden und nicht nur gegenüber dem verantwortlichen Beauftragten (§ 9 des Verwaltungsstrafgesetzes 1991 – VStG); gegen Behörden und öffentliche Stellen können keine Geldbußen verhängt werden.
  • Die Datenschutzbehörde entscheidet über alle Beschwerden verbindlich (d.h. auch über solche, bei denen nach derzeitiger Rechtslage der Zivilrechtsweg zu beschreiten ist; vgl. dazu § 32 DSG 2000).
  • Gegen verbindliche Entscheidungen der Datenschutzbehörde steht der Rechtszug an das Bundesverwaltungsgericht uneingeschränkt offen.
  • Betroffene können sich von Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, die im Bereich des Datenschutzes tätig sind, vor der Datenschutzbehörde und vor dem Bundesverwaltungsgericht vertreten lassen; diese Einrichtungen, Organisationen oder Vereinigungen können für Betroffene auch das Recht auf Schadenersatz gerichtlich geltend machen; ein Einschreiten der Einrichtungen, Organisationen oder Vereinigungen ohne Mandat (d.h. ohne Bevollmächtigung) ist nicht vorgesehen.
  • Es werden – neben den Geldbußen nach der DSGVO – auch Verwaltungsübertretungen normiert, die von der Datenschutzbehörde mit Geldstrafe bis zu 50 000 Euro zu ahnden sind.
  • Die von der Datenschutzbehörde zu führenden Listen (Notwendigkeit der Durchführung einer Datenschutz-Folgeabschätzung, Anforderungen an Zertifizierungsstellen, Kriterien für die Akkreditierung einer Stelle) sind in Form einer Verordnung im BGBl. kundzumachen und können bereits vor dem 25. Mai 2018 kundgemacht werden (sie treten jedoch nicht vor diesem Datum in Kraft).

Die Übergangsbestimmungen (§ 69 DSG) regeln folgende wesentliche Sachverhalte:

  • Das DVR bleibt zu Archivzwecken bis Ende 2019 bestehen, es dürfen jedoch keine inhaltlichen Änderungen vorgenommen werden [3]; eine öffentliche Einsicht bleibt bis zu diesem Zeitpunkt weiter möglich.
  • Registrierungen im DVR werden gegenstandslos, am 25. Mai 2018 anhängige Registrierungsverfahren nach §§ 17 ff DSG 2000 gelten mit diesem Tag als eingestellt.
  • Verfahren nach den §§ 13, 46 und 47 DSG 2000 sind fortzuführen, sofern die Genehmigung nach dem DSG oder der DSGVO erforderlich ist; anderenfalls gelten sie als eingestellt.
  • Zum Zeitpunkt des Inkrafttretens des DSG bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum DSG 2000 anhängige Verfahren sind nach den Bestimmungen des DSG und der DSGVO fortzuführen, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt.

Die auf Basis des DSG 2000 erlassenen Verordnungen (Standard- und Muster-Verordnung 2004 – StMV 2004, Datenverarbeitungsregister-Verordnung 2012 – DVRV 2012 und die Datenschutzangemessenheits-Verordnung – DSAV, BGBl. II Nr. 521/1999) treten mit Ablauf des 24. Mai 2018 außer Kraft.

Fußnoten[Bearbeiten]

  1. Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates – Datenschutzrichtlinie-Polizei Justiz (DSRL-PJ), ABl. Nr. L 119 vom 04.05.2016 S. 89.
  2. BGBl. I Nr. 120/2017.
  3. Die Datenschutzbehörde stellt eine technische Schnittstelle zur Verfügung, über welche registrierte Datenanwendungen in einem technisch üblichen Format heruntergeladen und weiterbearbeitet werden können.

Die Änderungen vom April 2018: Datenschutz-Deregulierungs-Gesetz 2018

Am 20. April 2018 wurden folgende Änderungen beschlossen:

Beide Änderungen sind in der aktuellen Version eingearbeitet.

Weitere relevante Gesetzesmaterien

Bundesgesetzblatt

Jahrgang 2017 Ausgegeben am 25. Mai 2018 Teil I
XXX. Bundesgesetz: Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)
StF: BGBl. I Nr. 165/1999 (NR: GP XX RV 1613 AB 2028 S. 179. BR: 5992 AB 6034 S. 657.)
[(CELEX-Nr.: 395L0046)]

Der Nationalrat hat beschlossen:

Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)[Bearbeiten]

Erläuterungen Allgemeiner Teil

Hauptgesichtspunkte des Entwurfs:

Das geltende Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, setzt die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, in innerstaatliches Recht um.

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, beschlossen. Die Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2016 in Kraft getreten, tritt am 25. Mai 2018 in Geltung und hebt mit 25. Mai 2018 die Richtlinie 95/46/EG auf.

Wenngleich die DSGVO unmittelbare Geltung erlangt, bedarf sie in zahlreichen Bereichen der Durchführung ins innerstaatliche Recht (zB die Errichtung der Aufsichtsbehörde nach Art. 51 Abs. 1 iVm Art. 54 Abs. 1 lit. a DSGVO). Darüber hinaus enthält die DSGVO auch Regelungsspielräume („Öffnungsklauseln“), die fakultativ von den Mitgliedstaaten genutzt werden können. Während die notwendige Durchführung der DSGVO überwiegend im neuen Datenschutzgesetz (DSG) erfolgt, werden Öffnungsklauseln nur zu einem geringen Teil direkt im neuen DSG geregelt bzw. handelt es sich um Regelungsspielräume, die im neuen DSG bewusst nicht geregelt werden, da die DSGVO bereits eine Grundregel enthält, die – als allgemeiner Ansatz – grundsätzlich auch im nationalen Recht übernommen werden soll (zB Art. 8 Abs. 1 DSGVO hinsichtlich der Altersgrenze für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft). Der überwiegende Teil der Öffnungsklauseln fällt jedoch nicht in den Bereich der allgemeinen Angelegenheiten des Datenschutzes, deshalb werden diese nicht im neuen DSG geregelt. Jedoch kann – soweit erforderlich – in spezifischen Materiengesetzen eine entsprechende Festlegung erfolgen (zB Art. 23 und 88 DSGVO).

Aus diesen Gründen sind umfassende Änderungen im innerstaatlichen Datenschutzrecht erforderlich, die durch die Erlassung eines neuen DSG vorgenommen werden sollen. Dabei sollen – entsprechend der allgemeinen unionsrechtlichen Vorgaben für Rechtsakte in Verordnungsform – nur die unbedingt erforderlichen Regelungen der Verordnung im innerstaatlichen Recht durchgeführt werden, da die Verordnung in allen sonstigen Teilen ohnedies unmittelbar gilt und ein darüber hinausgehendes Abschreiben von Teilen der Verordnung im Hinblick auf das unionsrechtliche Transformationsverbot nicht zulässig wäre. Hinsichtlich der ausnahmsweise zulässigen Transformation wird auf den Erwägungsgrund 8 der DSGVO verwiesen: Wenn in der DSGVO Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.

Weiters ist im DSG 2000 auch der Rahmenbeschluss 2008/977/JI über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABl. Nr. L 350 vom 27.11.2008 S. 60, umgesetzt. Dieser Rahmenbeschluss wird durch die – am gleichen Tag wie die DSGVO beschlossene – Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89, aufgehoben. Die Richtlinie (EU) 2016/680 bedarf einer Umsetzung ins innerstaatliche Recht. Nachdem der Rahmenbeschluss bisher im DSG 2000 umgesetzt ist, soll die Richtlinie auch im neuen DSG in einem eigenen Hauptstück geregelt werden. Dabei soll im Rahmen der Umsetzung – soweit möglich – auf die zum Teil wortgleichen Regelungen in der DSGVO sowie auf die Durchführungsregelungen zur DSGVO (zB hinsichtlich der Einrichtung der Datenschutzbehörde) verwiesen werden und damit eine möglichst schlanke Umsetzung der Richtlinie erreicht werden. Weiters soll das für diesen Bereich bisher im DSG 2000 festgelegte und innerstaatlich langjährig etablierte Datenschutzniveau im Rahmen der vorzunehmenden Richtlinienumsetzung nicht abgesenkt werden. Wie auch schon nach der geltenden Rechtslage sollen die einschlägigen materienspezifischen Regelungen zu Datenverarbeitungen (leges speciales) den allgemeinen Regelungen des neuen DSG vorgehen.

Neben der Durchführung bzw. Umsetzung der beiden Unionsrechtsakte soll auch weiterhin ein Grundrecht auf Datenschutz in angepasster Form im DSG verankert werden. Die Mitgliedstaaten können gemäß Art. 6 Abs. 2 DSGVO spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften der DSGVO in Bezug auf die Verarbeitung zur Erfüllung von Art. 6 Abs. 1 lit. c und e DSGVO beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX der DSGVO. In diesem Rahmen sollen die im DSG 2000 geregelten besonderen Verwendungszwecke von Daten (zB §§ 47 bis 48a DSG 2000) und Regelungen zur Videoüberwachung (vgl. §§ 50a bis 50e DSG 2000) ins neue DSG aufgenommen und im Zuge dessen an die geänderten Erfordernisse angepasst werden. Im Rahmen dieser Vorgaben der DSGVO können auch spezifische Datenverarbeitungen in Materiengesetzen geregelt werden; bestehende Regelungen müssen – soweit sie den Vorgaben der DSGVO nicht entsprechen – angepasst werden. Eine allgemeine Festlegung der Kriterien für die Zulässigkeit von Datenverarbeitungen – wie sie bisher in §§ 8 und 9 DSG 2000 geregelt ist –, erscheint im Lichte der unmittelbaren Geltung der DSGVO und vor dem Hintergrund des Transformationsverbots jedoch nicht mehr zulässig.

Darüber hinaus enthält die DSGVO in Kapitel IX „Vorschriften für besondere Verarbeitungssituationen“. Für diese Verarbeitungssituationen können die Mitgliedstaaten grundsätzlich spezifischere Vorschriften erlassen. Neben der Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 85 DSGVO) umfasst dies etwa auch die Datenverarbeitung im Beschäftigungskontext (Art. 88 DSGVO). Die letztgenannte Bestimmung sieht die Möglichkeit vor, durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten vorzusehen.

Weitere Änderungen betreffen die Kompetenzrechtslage auf dem Gebiet des Datenschutzes. Die derzeitige Einschränkung der Gesetzgebungszuständigkeit des Bundes auf den Schutz personenbezogener Daten im automationsunterstützten Datenverkehr soll nun im neuen DSG entfallen. Dadurch soll der Bund in die Lage versetzt werden, die DSGVO und die Richtlinie (EU) 2016/680 einheitlich und vollständig, also auch hinsichtlich manueller personenbezogener Dateien durchzuführen bzw. umzusetzen. Mit Inkrafttreten des neuen DSG soll das DSG 2000 samt den darauf beruhenden Verordnungen aufgehoben werden.

Kompetenzgrundlage:

Der vorliegende Entwurf stützt sich auf Art. 10 Abs. 1 Z 1 B-VG.

Besonderheiten des Normerzeugungsverfahrens:

Der Entwurf kann gemäß Art. 44 Abs. 1 B-VG vom Nationalrat nur in Anwesenheit von mindestens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen beschlossen werden und bedarf überdies gemäß Art. 44 Abs. 2 B-VG der in Anwesenheit von mindestens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen zu erteilenden Zustimmung des Bundesrates.

Erläuterungen Besonderer Teil

Zu Artikel 1 (Änderung des Bundes-Verfassungsgesetzes)

Zu den Z 1 bis 3:

Im Sinne der Konzentration aller Kompetenzbestimmungen im B-VG sollen die derzeit in § 2 DSG 2000 enthaltenen kompetenzrechtlichen Regelungen in das B-VG in modifizierter Form integriert werden.

Die bisherige Kompetenzrechtslage auf dem Gebiet des Datenschutzes erwies sich vor allem seit Inkrafttreten der Richtlinie 95/46/EG, die sowohl für automationsunterstützt als auch für konventionell (manuell) in einer Datei geführte Datenanwendungen gilt, als unzweckmäßig. Infolge der zwischen Bund und Ländern geteilten Gesetzgebungskompetenz musste diese Richtlinie durch das DSG 2000 und eigene Datenschutzgesetze der Länder umgesetzt werden, wobei der den Ländern – in Folge der Vorgaben der Richtlinie und des Grundrechts auf Datenschutz gemäß § 1 DSG 2000 – verbliebene Gestaltungsspielraum äußerst gering war.

Die bisher in § 2 Abs. 1 DSG 2000 enthaltene Einschränkung der Gesetzgebungszuständigkeit des Bundes auf den Schutz personenbezogener Daten im automationsunterstützten Datenverkehr soll nun im neuen DSG entfallen. Dadurch soll der Bund in die Lage versetzt werden, die DSGVO und die Richtlinie (EU) 2016/680 einheitlich und vollständig, also auch hinsichtlich manueller personenbezogener Dateien durchzuführen bzw. umzusetzen.

Durch die Einschränkung auf allgemeine Angelegenheiten des Schutzes personenbezogener Daten soll die Zuständigkeit zur Erlassung von auf einen bestimmten Gegenstand bezogenen datenschutzrechtlichen Regelungen – wie bisher auch – unberührt bleiben. Die allgemeinen Angelegenheiten des Schutzes personenbezogener Daten werden auf den neuen Kompetenztatbestand in Art. 10 Abs. 1 Z 13 gestützt im neuen DSG geregelt; hingegen sollen die spezifischen datenschutzrechtlichen Regelungen weiterhin auf die Kompetenztatbestände der jeweiligen Materie gestützt werden (materienspezifischer Datenschutz als Annexmaterie).

Weiters können auch spezifische bundesgesetzliche Datenverarbeitungen als datenschutzrechtliche Annexmaterie erlassen werden (zB datenschutzrechtliche Regelungen im Gesundheitstelematikgesetz 2012 (GTelG 2012), BGBl. I Nr. 111/2012, und im Transparenzdatenbankgesetz 2012 (TDBG 2012), BGBl. I Nr. 99/2012).

Die landesgesetzlichen Vorschriften in den allgemeinen Angelegenheiten des Datenschutzes in Bezug auf den nicht-automationsunterstützten Datenverkehr treten außer Kraft; davon umfasst sind folgende Landesgesetze bzw. Teile von Landesgesetzen: Burgenländisches Datenschutzgesetz (Bgld. DSG), LGBl. Nr. 87/2005; Kärntner Informations- und Statistikgesetz (K-ISG), LGBl. Nr. 70/2005; NÖ Datenschutzgesetz, LGBl. 0901-2; Oö. Auskunftspflicht-, Datenschutz- und Informationsweiterverwendungsgesetz, LGBl. Nr. 46/1988; Salzburger Gesetz über Auskunftspflicht, Dokumentenweiterverwendung, Datenschutz, Landesstatistik und Geodateninfrastruktur (ADDSG- Gesetz), LGBl. Nr. 73/1988; Steiermärkisches Datenschutzgesetz (StDSG), LGBl. Nr. 39/2001; Tiroler Datenschutzgesetz 2014 (TDSG 2014), LGBl. Nr. 158/2013; Vorarlberger Landes-Datenschutzgesetz, LGBl. Nr. 19/2000; Wiener Datenschutzgesetz (Wr. DSG), LGBl. Nr. 125/2001.

Zudem soll auch die Vollziehung des Datenschutzrechts zur Gänze beim Bund liegen und von diesem in unmittelbarer Bundesverwaltung (Art. 102 Abs. 2 B-VG) vollzogen werden können. Keine Vollziehung des Datenschutzrechts stellt die bloße Verarbeitung von personenbezogenen Daten durch Länder und Gemeinden als Verantwortliche dar (so zutreffend auch Ennöckl, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung [2014], 339 ff, 341). Da es für die faktische Handhabung personenbezogener Daten durch Behörden insofern keiner allgemeinen datenschutzrechtlichen Vollzugskompetenz, sondern lediglich einer Zuständigkeit aus einem „Materiengesetz“ bedarf, und der Vollzug des DSG bzw. der DSGVO ausschließlich bei der unabhängigen Aufsichtsbehörden liegen soll, hat § 2 Abs. 2 DSG 2000 keine Entsprechung im künftigen DSG.

Artikel 2 (Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG))[Bearbeiten]

3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei