Lang erwartete Regierungsvorlage zum neuen Datenschutzgesetz veröffentlicht
Foto: DORDA Rechtsanwälte GmbH
Foto: DORDA Rechtsanwälte GmbH
Der österreichische Entwurf zum neuen Datenschutzgesetz wurde am Freitag, den 12.5.2017, bekannt gemacht
Öffnungsklauseln wurden vorerst nur moderat ausgenutzt. Neu ist u.a., dass Daten juristischer Personen nicht mehr geschützt sind, es keine nationalen Sonderbestimmungen für Datenschutzbeauftragte gibt und die Strafen in der Höhe von bis zu 20 Millionen Euro direkt gegen Unternehmen – auch Einzelunternehmer -verhängt werden können.
Die EU-Datenschutzgrundverordnung („DSGVO“) wird ab 25. Mai 2018 über Nacht in allen Mitgliedstaaten unmittelbar anwendbar werden und bringt einen kompletten Regimewechsel: Das neue System setzt auf die Eigenverantwortung der Unternehmen durch Selbstkontrolle statt Vorabprüfung durch die Behörden. Die Datenschutzbehörde wird künftig nur als ex-post Kontroll- und Straforgan tätig werden. Um den Druck zur Einhaltung der neuen Bestimmungen zu erhöhen, sieht die DSGVO bei Verstößen Strafen von 2 bis 4 % des weltweiten Konzernumsatzes bzw. 10 bis 20 Millionen Euro vor. Damit besteht bei allen Unternehmen ein großer Anpassungsbedarf der internen Abläufe, um durch sorgsame Umsetzung und Planung das Damoklesschwert der Strafen zu verhindern.
Auch wenn die DSGVO grundsätzlich eine EU-weite Vollharmonisierung anstrebt, sieht sie eine Reihe an Öffnungsklauseln vor. Diese ermöglichen den nationalen Staaten, im engen Rahmen eigene Akzente zu setzen und Bestimmungen näher zu spezifizieren. Im Hinblick auf die schon überfällige Vorbereitung der Unternehmen auf das neue Regime wurde daher der österreichische Entwurf des neuen Datenschutzgesetzes als noch fehlendes Element des neuen Systems schon dringend erwartet.
Der Entwurf wurde jüngst veröffentlicht und liegt seit Freitag, 12.5.2017 vor:
Mit der Regierungsvorlage sind einige alte österreichspezifische Regelungen, die bisher den heimischen Unternehmen Zusatzaufwände bereitet haben, weggefallen. Zugleich nutzt der Entwurf die Öffnungsklauseln vorerst nur sehr maßvoll. Axel Anderl, Partner und Leiter des IT/IP Desk sowie Co-Leiter des Datenschutzteams bei DORDA: "Die Zurückhaltung ist im Sinne des (Voll-)Harmonisierungsgedankens zu begrüßen, da eine exzessive Ausnutzung von Öffnungsklauseln erneut Nachteile für den Wettbewerbsstandort Österreich hätte bewirken können." Allerdings behalten die Materialen zum Entwurf vor, dass weitere Abweichungen in spezifischen Materiengesetzen folgen können. Anderl: "Es bleibt abzuwarten und zu hoffen, dass der Gesetzgeber seine Zurückhaltung beibehält. Wenn nicht, droht eine Zersplitterung datenschutzrechtlicher Bestimmungen durch materienspezifischen Datenschutz."
Daten juristischer Personen nicht geschützt
Dem DSG Neu unterliegen nur mehr Daten natürlicher Personen – juristische Personen sind also nicht mehr geschützt. Damit wird das jahrelange österreichische Unikum aufgegeben. Es ist zu erwarten, dass Unternehmensdaten künftig sachgerecht verstärkt durch die noch umzusetzende EU GeheimnisschutzRL geschützt sein werden.
Die Umsetzung des Strafenregimes
Um das verfassungsrechtliche Problem der Verhängung exorbitanter Geldstrafen zu lösen, wurde auf einen aus dem BWG bekannten Kniff zurückgegriffen: Analog zu § 99d BWG kann das Unternehmen unter gewissen Voraussetzungen direkt bestraft werden. Daneben kann die DSB die Geldbußen auch gegen die Verantwortlichen nach § 9 VStG verhängen, dh grundsätzlich gegen die vertretungsbefugten Organe (Geschäftsführung, Vorstand, dafür bestellter verwaltungsstrafrechtlicher Vertreter; nicht Datenschutzbeauftragter). Gleichzeitig normiert der Entwurf einen Vorrang der Bestrafung des Unternehmens. Diese Regelungstechnik löst aber nicht das Problem, wenn ein Einzelunternehmer tätig wird: Hier gibt es keine juristische Person, die zur Abfederung der drohenden Millionenstrafen herangezogen werden kann. Felix Hörlsberger, Partner und Co-Leiter des Datenschutzteams: "Es bleibt daher abzuwarten, ob diese Geldstrafen in der nun angestrebten Form verfassungsrechtlich zulässig sind."
Videoüberwachung, keine Sonderbestimmungen für Datenschutzbeauftragte
Im DSG Neu wurden zudem die Sonderbestimmungen für einige schon bisher im österreichischen Gesetz enthaltene besondere Arten von Datenverarbeitungen (zB Videoüberwachung) praxisnah überarbeitet.
Überdies sieht der neue Entwurf (bewusst zurückhaltend) keine Sonderbestimmungen zum viel diskutierten Datenschutzbeauftragten vor: Damit wird es keine über die Voraussetzungen der DSGVO hinausgehende Pflicht zur Bestellung eines solchen Organs geben. Es kommt diesbezüglich insbesondere auf die Sensibilität der Kerntätigkeit des Unternehmens an.
Unternehmen in der Pflicht
Zum nach der DSGVO ab Mai 2018 von allen Unternehmen vorab zu erstellenden Verfahrensverzeichnis und zur bei potentiell kritischen Verarbeitungen durchzuführenden Datenschutz-Folgenabschätzung schweigt der Entwurf des DSG Neu. Allerdings wird die Datenschutzbehörde zur Erlassung von Black and White Lists (konkrete Auflistungen jener Datenverarbeitungsvorgänge, die keine oder eine Folgenabschätzung erfordern) ermächtigt. Diese werden in der Praxis dringend erwartet, da sie größere Klarheit hinsichtlich der sonst sehr schwammigen Kriterien der DSGVO bringen können.
2/3 Mehrheit zur Umsetzung erforderlich
Aufgrund der notwendigen Verfassungsänderungen (insb. neue Formulierung des Grundrechts auf Datenschutz und Verschiebung der Datenschutzkompetenzen zum Bund) ist für die Beschlussfassung im Parlament eine 2/3-Mehrheit erforderlich. Es bleibt zu hoffen, dass die Parteien trotz der derzeit stürmischen innenpolitischen Lage die notwendigen Bestimmungen im Sinne der österreichischen Wirtschaft rasch umsetzen. Da das neue Regime mit seinen weitreichenden Änderungen per 25.5.2018 über Nacht schlagend wird, bedarf es einer entsprechenden Vorlaufzeit für die Unternehmen für die Umstellung ihrer Prozesse zur Herstellung der Datenschutz-Compliance. Um hier rechtssicher agieren zu können, ist Gewissheit hinsichtlich der rechtlichen Rahmenbedingungen unbedingt notwendig. Je später der finale Text des Gesetztes verabschiedet und damit fixiert wird, desto größer wird der Zeitdruck und die Unsicherheit bei den Unternehmen. Im Hinblick auf das ebenso neue, sehr strenge Strafenregime ist hier also auf eine Rücksichtnahme auf die vitalen Interessen der Unternehmen zu hoffen.
Die Datenschutzexperten von DORDA Rechtsanwälte (allen voran die beiden Partner und Leiter der Praxisgruppe Datenschutz Axel Anderl und Felix Hörlsberger) stehen für Rückfragen zur Verfügung. Auf dorda.at sind weitere aktuelle Informationen zur neuen Datenschutzgrundverordnung und begleitenden Maßnahmen zu finden.
Quelle: OTS