Wien. Die geplante komplette Neufassung des Datenschutzgesetzes ist vorerst abgesagt – die nötige Zweidrittelmehrheit erscheint den Regierungsparteien derzeit nicht realistisch. Der Verfassungsausschuss hat nun eine adaptierte Novelle an das Plenum des Nationalrats weitergeleitet. Es soll noch weitere Anpassungen geben, etwa für Wissenschafter.
Da das von der Regierung geschnürte Gesetzespaket an der notwendigen Zweidrittelmehrheit im Nationalrat zu scheitern drohte, haben sich SPÖ und ÖVP auf eine Novellierung des geltenden Gesetzes ohne Verfassungsänderungen verständigt, berichtet die Parlamentskorrespondenz: Die österreichischen Datenschutzbestimmungen sollen damit in Einklang mit den neuen EU-Vorgaben gebracht werden.
Die abgespeckte Version wurde gestern vom Verfassungsausschuss des Hohen Hauses mit SP-VP-Mehrheit gebilligt, damit kann die Beschlussfassung noch vor der parlamentarischen Sommerpause erfolgen. In Kraft treten soll die Novelle wie geplant im Mai 2018.
Kritik an der Vorgangsweise
Massive Kritik an der Vorgangsweise kommt von der Opposition. Es sei nicht seriös, eine Gesetzesvorlage bereits während der Begutachtungsphase im Nationalrat einzubringen und dann kurzfristig auch noch einen umfangreichen gesamtändernden Abänderungsantrag vorzulegen, waren sich Grüne, FPÖ, Neos und Team Stronach einig.
Abseits von inhaltlichen Bedenken sei gar keine Zeit geblieben, die nunmehr vorgenommenen Adaptierungen zu prüfen. Die Oppositionsparteien konnten sich aber weder mit der Forderung nach Absetzung des Datenschutzgesetzes von der Tagesordnung noch mit einem Vertagungsantrag durchsetzen.
Seitens der Koalitionsparteien versicherten Eva-Maria Himmelbauer und Harald Troch, dass im vorgelegten Abänderungsantrag einige im Begutachtungsverfahren vorgebrachte Einwände berücksichtigt wurden. Als Beispiel nannte Himmelbauer, dass bestehende Einwilligungserklärungen weiter gelten werden, sofern sie der EU-Datenschutz-Grundverordnung entsprechen. Die rasche Beschlussfassung ist ihrer Meinung nach notwendig, damit die Unternehmen genügend Zeit haben, sich auf die neue Rechtslage einzustellen.
Um Wissenschaft und Forschung nicht zu behindern, sind laut Himmelbauer noch Änderungen geplant, wobei Kanzleramtsminister Thomas Drozda auf Verhandlungen zu entsprechenden Materiengesetzen verwies. In diesem Zusammenhang fassten die Abgeordneten mit S-V-G-Mehrheit auch eine so genannte Ausschussfeststellung, mit der sie das Vorhaben bekräftigten, von einschlägigen „Öffnungsklauseln“ der EU-Datenschutzverordnung Gebrauch zu machen.
Konkret geht es ihnen um praxisnahe Regelungen für Datenverarbeitungen für Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, die im öffentlichen Interesse liegen. Als Beispiel werden etwa biologische Proben- und Datensammlungen genannt.
So sieht der neue Datenschutz aus
Mit der Novellierung des Datenschutzgesetzes wird der neuen Datenschutz-Grundverordnung der EU (DSGVO) Rechnung getragen und eine neue EU-Datenschutz-Richtlinie für den Bereich der Inneren Sicherheit umgesetzt. Zudem werden Erfahrungen in der Praxis mit den geltenden Datenschutzbestimmungen berücksichtigt und etwa die Regelungen betreffend Videoüberwachungen adaptiert, heißt es.
Die ursprüngliche Regierungsvorlage hatte zudem vorgesehen, die verfassungsrechtlichen Kompetenzbestimmungen zu adaptieren und das Grundrecht auf Datenschutz abgestimmt auf die EU-Terminologie – ohne Einbeziehung juristischer Personen – neu zu formulieren. Davon haben die beiden Regierungsparteien aufgrund der fraglichen Zweidrittelmehrheit nun jedoch Abstand genommen. Damit bleibt die Zuständigkeit für den Schutz manueller personenbezogener Dateien in der Zuständigkeit der Länder.
Opposition kritisiert geschlossen Vorgangsweise
Eingeleitet wurde die Debatte von Albert Steinhauser (Grüne). Allein schon die Vorgangsweise mache es den Grünen unmöglich, dem Gesetz zuzustimmen, sagte er. Man habe viel zu wenig Zeit gehabt, um zu eruieren, welche der im Rahmen der Begutachtung vorgebrachten Bedenken nun in den Abänderungsantrag eingeflossen sind. Inhaltlich kritisierte Steinhauser unter anderem, dass keine Verbandsklagen möglich sind. Zudem sei es auch nicht zulässig, parallel zur Beschwerde bei der Datenschutzkommission ein Zivilrechtsverfahren zu führen.
Von einem „untragbaren Zustand“ sprach Neos-Abgeordneter Nikolaus Scherak. Wenn man jedes Mal so vorgehe, könne man sich das Begutachtungsverfahren generell sparen, meinte er und beklagte, dass viele eingelangte Stellungnahmen nicht berücksichtigt wurden. Scherak bezweifelt unter anderem, dass es verfassungskonform ist, dass eine Behörde so hohe Strafen verhängen kann wie nunmehr die Datenschutzbehörde.
Die Regierungsparteien ließen die Einwände der Opposition nicht gelten. Die Unternehmen bräuchten ausreichend Zeit, um sich auf die neue Rechtslage vorzubereiten, so ihre Argumentation. Gerade bei sensiblen Daten würden die Rechte der betroffenen Personen gestärkt.
Für Unternehmen bringe das Gesetz eine Änderung in der Systematik: Sie werden in Zukunft mehr Eigenverantwortung haben. Bei sensiblen Daten sei eine Risikoanalyse in Form einer Folgenabschätzung erforderlich. Mit 10 Mio. € bis 20 Mio. € bzw. 2% bis 4% des weltweiten Umsatzes sehe die EU-Datenschutzverordnung durchaus abschreckende Strafen vor.
Kanzleramtsminister Thomas Drozda hielt fest, dass materienspezifische Angelegenheiten in den entsprechenden Materiengesetzen geregelt werden sollen. Zum Thema Verbandsklagen merkte er an, dass der Gesetzentwurf eine „Verbandsklage light“ enthalte. So werde im §28 die Vertretung von Personen in bestimmten Fällen geregelt.
Pflicht zur Ernennung von Datenschutzbeauftragten
Da die EU-Datenschutz-Grundverordnung unmittelbare Wirkung entfaltet, werden im Datenschutzgesetz nur jene Bereiche geregelt, die einer Präzisierung bzw. detaillierter Ausführungsbestimmungen bedürfen oder aus anderen Gründen erforderlich sind, heißt es weiter.
Die Regelungsspielräume, die die EU einräumt, werden dabei den Erläuterungen zufolge nur sparsam genutzt, da diese in den meisten Fällen nicht allgemeine Angelegenheiten des Datenschutzes, sondern spezifische Gesetzesmaterien betreffen. Die Regierung behält sich allerdings vor, bei Bedarf entsprechende Änderungen der Materiengesetze in die Wege zu leiten. Ausdrücklich beteuert wird, dass das etablierte österreichische Datenschutzniveau durch die neue Rechtslage nicht abgesenkt werde.
Direkt in der Datenschutz-Grundverordnung geregelt sind etwa die Pflicht zur Ernennung eines Datenschutzbeauftragten und zur Durchführung von Datenschutz-Folgenabschätzungen, wobei die Bestimmungen sowohl die öffentliche Hand als auch den privaten Sektor betreffen.
Demnach müssen etwa öffentliche Behörden und Stellen, die Datenverarbeitungen durchführen, sowie Unternehmen, in denen Datenverarbeitungen zur Kerntätigkeit zählen, in jedem Fall einen Datenschutzbeauftragten benennen. In diesem Sinn sieht das neue Datenschutzgesetz für jedes Bundesministerium zumindest einen – weisungsfreien – Datenschutzbeauftragten vor.
Aufgabe der Datenschutzbeauftragten ist es insbesondere, die interne Einhaltung der geltenden Datenschutzbestimmungen zu überwachen.
Was die Datenschutz-Folgenabschätzungen betrifft, kann die Datenschutzbehörde zur Unterstützung von Unternehmen Positiv- bzw. Negativ-Listen erstellen. Damit soll ersichtlich werden, bei welchen Datenverarbeitungen eine derartige Folgenabschätzung jedenfalls erforderlich ist und in welchen Fällen eine solche als nicht nötig erachtet wird.
Sonderregelungen für Medien und wissenschaftliche Zwecke
Weiterhin spezifische Regelungen – mit etlichen Ausnahmen von den allgemeinen Datenschutzbestimmungen – wird es für bestimmte Datenverarbeitungen geben. Das betrifft etwa die Verarbeitung von Daten für wissenschaftliche, statistische und archivarische Zwecke, die Bereitstellung von Adressdaten zur Benachrichtigung und Befragung von Personen, die Verarbeitung personenbezogener Daten im Katastrophenfall und die Verarbeitung von Daten für journalistische, literarische und künstlerische Zwecke.
Damit will man zum einen der besonderen Bedeutung der Meinungs- und Informationsfreiheit Rechnung tragen und zum anderen die Arbeit von WissenschaftlerInnen und ForscherInnen unterstützen, heißt es. Nicht zuletzt gehe es um praxisnahe Regelungen für pseudonymisierte Daten und Registerdaten sowie für schon bestehende biologische Proben- und Datensammlungen, wie in der Ausschussfeststellung ausdrücklich festgehalten wird. Für die Verarbeitung von Mitarbeiterdaten in Unternehmen sind weiter die Bestimmungen des Arbeitsverfassungsgesetzes maßgeblich.
Sonderbestimmungen für Videoüberwachungen
Adaptiert werden auch die Sonderbestimmungen für Videoüberwachungen, die sowohl für Unternehmen (z.B. Verkehrsbetriebe) als auch für Privatpersonen gelten. Nicht alle der 2010 eingeführten Regelungen hätten sich in der Praxis bewährt, wird in den Erläuterungen festgehalten.
Als Beispiel werden etwa die derzeitige Unterscheidung zwischen digitalen und analogen Aufzeichnungen und das besondere Auskunftsrecht genannt. Auch eine Meldepflicht wird es unter Bedachtnahme auf die neue EU-Verordnung nicht mehr geben.
Fortgeschrieben werden demgegenüber u.a. das grundsätzliche Verbot der Videoüberwachung für den höchstpersönlichen Lebensbereich (außer bei ausdrücklicher Einwilligung), das Verbot der Videoüberwachung zum Zweck der Mitarbeiterkontrolle, das Verbot des automationsunterstützten Abgleichs von Aufzeichnungen mit anderen Bilddaten und die Kennzeichnungspflicht.
Überdies wird eine Auskunftspflicht über die Identität des Verantwortlichen (Eigentümer oder Nutzungsberechtigter einer überwachten Liegenschaft) eingeführt. Die neuen Bestimmungen gelten künftig außerdem für alle Bildaufnahmen – und damit auch für Fotografien –, wobei private Videos und Fotos alleine schon aufgrund der Datenschutz-Grundverordnung ausgenommen sind („Haushaltsausnahme“).
Datenschutz im Bereich der Inneren Sicherheit
Der Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei, des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs ist künftig – in Umsetzung der neuen EU-Richtlinie zum Bereich Innere Sicherheit – ein eigenes Hauptstück gewidmet.
Unter anderem sind in diesem Zusammenhang Informations- und Auskunftsrechte für betroffene Personen, das Recht auf Berichtigung unrichtiger Daten sowie Meldepflichten im Falle von Datenschutzverletzungen geregelt. Werden neue Dateisysteme angelegt, ist die Datenschutzbehörde vorab zu konsultieren.
Geldbußen und Verwaltungsstrafen
- Die Datenschutzbehörde wird künftig sowohl als Aufsichtsbehörde gemäß der EU-Datenschutz-Grundverordnung als auch als Aufsichtsbehörde gemäß der EU-Datenschutz-Richtlinie zur Inneren Sicherheit fungieren. In diesem Sinn wird ihr auch die Einhebung der in Artikel 83 verankerten Geldbußen für Verstöße gegen die EU-Verordnung obliegen.
- Die Strafen für Unternehmen richten sich zum Teil nach dem Umsatz und können, je nach Schwere des Vergehens, bis zu mehreren Millionen Euro betragen. Zufließen sollen die Einnahmen aus den Geldbußen dem Bund.
- Bei Gefahr in Verzug ist es, wie schon bisher, möglich, die Weiterführung einer Datenverarbeitung mit Bescheid zu untersagen.
- Spezielle Verwaltungsstrafen sieht das Gesetz bei Verstößen gegen das Datengeheimnis sowie gegen die besonderen Bestimmungen zu Bildverarbeitungen und anderen spezifischen Datenverarbeitungen vor. Sie sollen dann zur Anwendung kommen, wenn die Datenschutz-Grundverordnung oder andere nationale Verwaltungsstrafbestimmungen nicht greifen. Demnach drohen Personen, die sich vorsätzlich widerrechtlichen Zugang zu Daten verschaffen oder ihnen anvertraute Daten unberechtigt weiterleiten oder unzulässige Videoaufzeichnungen machen, Geldstrafen bis zu 50.000 €. Auch der Versuch ist strafbar.
- Beibehalten wurde darüber hinaus der bereits bestehende Straftatbestand der Datenverarbeitung in Gewinn- oder Schädigungsabsicht: Wer ihm beruflich zugängliche Daten widerrechtlich verwertet, obwohl die Betroffenen an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse haben, kann zu einer Freiheitsstrafe bis zu einem Jahr oder zu einer Geldstrafe bis zu 720 Tagsätzen verurteilt werden.
- Weitgehend unverändert geblieben sind schließlich auch das Beschwerdeverfahren vor der Datenschutzbehörde und dem Bundesverwaltungsgericht, die Bestimmungen über den Datenschutzrat und die Regelung des Datengeheimnisses.
- Nach EU-Recht nicht mehr zulässig ist hingegen eine allgemeine Festlegung der Kriterien für die Zulässigkeit von Datenverarbeitungen, wie sie derzeit noch im Datenschutzgesetz enthalten ist. Auch das Datenverarbeitungsregister wird in Anbetracht des Entfalls der entsprechenden Meldepflichten künftig nicht mehr geführt.
Link: Parlament
