Wien. Der lang erwartete österreichische Entwurf zum neuen Datenschutzgesetz wurde vergangenen Freitag bekannt gemacht: Der Gesetzgeber sieht in seiner Umsetzung der DSGVO der EU Strafen bis zu 20 Millionen Euro vor.
Die EU-Datenschutzgrundverordnung (DSGVO) wird ab 25. Mai 2018 über Nacht in allen Mitgliedstaaten unmittelbar anwendbar werden und bringt einen kompletten Regimewechsel: Das neue System setzt auf die Eigenverantwortung der Unternehmen durch Selbstkontrolle statt Vorabprüfung durch die Behörden.
Die Datenschutzbehörde werde künftig nur als ex-post Kontroll- und Straforgan tätig werden. Um den Druck zur Einhaltung der neuen Bestimmungen zu erhöhen, sieht die DSGVO bei Verstößen Strafen von 2% bis 4% des weltweiten Konzernumsatzes bzw. 10 bis 20 Millionen Euro vor. Damit besteht bei allen Unternehmen ein großer Anpassungsbedarf der internen Abläufe, um durch sorgsame Umsetzung und Planung das Damoklesschwert der Strafen zu verhindern, heißt es bei Dorda.
Mit der Regierungsvorlage sind einige alte österreichspezifische Regelungen, die bisher den heimischen Unternehmen Zusatzaufwände bereitet haben, weggefallen. Zugleich nutzt der Entwurf die Öffnungsklauseln vorerst nur sehr maßvoll. Axel Anderl, Partner und Leiter des IT/IP Desk sowie Co-Leiter des Datenschutzteams bei Wirtschaftskanzlei Dorda: „Die Zurückhaltung ist im Sinne des (Voll-)Harmonisierungsgedankens zu begrüßen, da eine exzessive Ausnutzung von Öffnungsklauseln erneut Nachteile für den Wettbewerbsstandort Österreich hätte bewirken können.“
Allerdings behalten die Materialen zum Entwurf vor, dass weitere Abweichungen in spezifischen Materiengesetzen folgen können. Anderl: „Es bleibt abzuwarten und zu hoffen, dass der Gesetzgeber seine Zurückhaltung beibehält. Wenn nicht, droht eine Zersplitterung datenschutzrechtlicher Bestimmungen durch materienspezifischen Datenschutz.“
Daten juristischer Personen nicht geschützt
Dem DSG Neu unterliegen nur mehr Daten natürlicher Personen – juristische Personen sind also nicht mehr geschützt. Damit werde ein jahrelanges österreichisches Unikum aufgegeben. Es sei zu erwarten, dass Unternehmensdaten künftig sachgerecht verstärkt durch die noch umzusetzende EU GeheimnisschutzRL geschützt sein werden.
Die Umsetzung des Strafenregimes
Um das verfassungsrechtliche Problem der Verhängung exorbitanter Geldstrafen zu lösen, wurde auf einen aus dem BWG bekannten Kniff zurückgegriffen: Analog zu § 99d BWG kann das Unternehmen unter gewissen Voraussetzungen direkt bestraft werden. Daneben kann die DSB die Geldbußen auch gegen die Verantwortlichen nach § 9 VStG verhängen, dh grundsätzlich gegen die vertretungsbefugten Organe (Geschäftsführung, Vorstand, dafür bestellter verwaltungsstrafrechtlicher Vertreter; nicht Datenschutzbeauftragter).
Gleichzeitig normiert der Entwurf einen Vorrang der Bestrafung des Unternehmens. Diese Regelungstechnik löst aber nicht das Problem, wenn ein Einzelunternehmer tätig wird: Hier gibt es keine juristische Person, die zur Abfederung der drohenden Millionenstrafen herangezogen werden kann. Felix Hörlsberger, Partner und Co-Leiter des Datenschutzteams: „Es bleibt daher abzuwarten, ob diese Geldstrafen in der nun angestrebten Form verfassungsrechtlich zulässig sind.“
Videoüberwachung, keine Sonderbestimmungen für Datenschutzbeauftragte
Im DSG Neu wurden zudem die Sonderbestimmungen für einige schon bisher im österreichischen Gesetz enthaltene besondere Arten von Datenverarbeitungen (zB Videoüberwachung) praxisnah überarbeitet.
Überdies sehe der neue Entwurf (bewusst zurückhaltend) keine Sonderbestimmungen zum viel diskutierten Datenschutzbeauftragten vor: Damit wird es keine über die Voraussetzungen der DSGVO hinausgehende Pflicht zur Bestellung eines solchen Organs geben. Es kommt diesbezüglich insbesondere auf die Sensibilität der Kerntätigkeit des Unternehmens an.
Unternehmen in der Pflicht
Zum nach der DSGVO ab Mai 2018 von allen Unternehmen vorab zu erstellenden Verfahrensverzeichnis und zur bei potentiell kritischen Verarbeitungen durchzuführenden Datenschutz-Folgenabschätzung schweigt der Entwurf des DSG Neu, so die Dorda-Spezialisten.
Allerdings werde die Datenschutzbehörde zur Erlassung von Black and White Lists (konkrete Auflistungen jener Datenverarbeitungsvorgänge, die keine oder eine Folgenabschätzung erfordern) ermächtigt. Diese werden in der Praxis dringend erwartet, da sie größere Klarheit hinsichtlich der sonst sehr schwammigen Kriterien der DSGVO bringen können, heißt es.
Zweidrittelmehrheit im Nationalrat erforderlich
Aufgrund der notwendigen Verfassungsänderungen (insb. neue Formulierung des Grundrechts auf Datenschutz und Verschiebung der Datenschutzkompetenzen zum Bund) ist für die Beschlussfassung im Parlament eine 2/3-Mehrheit erforderlich.
Es bleibe zu hoffen, dass die Parteien trotz der derzeit stürmischen innenpolitischen Lage die notwendigen Bestimmungen im Sinne der österreichischen Wirtschaft rasch umsetzen. Da das neue Regime mit seinen weitreichenden Änderungen per 25.5.2018 über Nacht schlagend wird, bedarf es einer entsprechenden Vorlaufzeit für die Unternehmen für die Umstellung ihrer Prozesse zur Herstellung der Datenschutz-Compliance.
Um hier rechtssicher agieren zu können, sei Gewissheit hinsichtlich der rechtlichen Rahmenbedingungen unbedingt notwendig. Je später der finale Text des Gesetztes verabschiedet und damit fixiert wird, desto größer werde der Zeitdruck und die Unsicherheit bei den Unternehmen. Im Hinblick auf das ebenso neue, sehr strenge Strafenregime sei hier also auf eine Rücksichtnahme auf die vitalen Interessen der Unternehmen zu hoffen.
Link: Dorda
