Gesetz

Das österreichische Ausführungsgesetz zur DSGVO

Mit Inkrafttreten der Datenschutz-Grundverordnung („DSGVO“) am 25. Mai 2018 sind nationale Gesetzgeber dazu angehalten, ihre nationalen Rechtsvorschriften an die Systematik der DSGVO anzupassen. Zwar ist die DSGVO – anders als eine Richtlinie, die zuerst in österreichisches Recht umgesetzt werden muss –  in allen Mitgliedstaaten unmittelbar geltendes Recht. Durch die darin enthaltenen 69 bereichsspezifischen „Öffnungsklauseln“ ermöglicht der europäische Gesetzgeber den einzelnen Mitgliedstaaten, spezielle Vorschriften zu schaffen. Der österreichische Gesetzgeber hat von diesem Recht mit dem am 31. Juli 2017 vom Nationalrat beschlossenen Datenschutz-Anpassungsgesetz 2018, welches das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten („DSG“) erlässt und das alte Datenschutzgesetz 2000 aufhebt, Gebrauch gemacht. Das DSG wird zusammen mit der DSGVO am 25. Mai 2018 in Kraft treten.

Das ändert sich mit dem DSG

Die wesentlichen Eckpunkte des Gesetzes sind die Beibehaltung des Grundrechts auf Datenschutz, die Datenverarbeitung zu spezifischen Zwecken (zB wissenschaftliche Forschung und Statistik oder die Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen) und zur Bildverarbeitung, welche verständlicher ausgestaltet und an die Terminologie der DSGVO angepasst wurden.

Auch sieht das neue DSG eine Erweiterung der technischen und organisatorischen Maßnahmen vor, die Verantwortliche und Auftragsverarbeiter zu beachten haben. So normiert das DSG in § 50 eine Protokollierungspflicht aller Verarbeitungsvorgänge, sodass die Zulässigkeit der Verarbeitung nachvollzogen und überprüft werden kann.

Weiters hat der österreichische Gesetzgeber von der Öffnungsklausel im Zusammenhang mit der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten Gebrauch gemacht, um der Problematik der Verwendung von Whistleblowing Hotlines zu begegnen und, um diese zulässig zu machen.

Eine weitere Neuerung der DSGVO ist der Wegfall der Melde- und Genehmigungspflicht. Dafür stärkt das neue DSG die Befugnisse der Datenschutzbehörde als Aufsichtsbehörde hinsichtlich der Überprüfung von Datenverarbeitungen und räumt ihr ein Einschau- und Betretungsrecht ein. Ferner regelt das DSG die Kompetenz der Datenschutzbehörde – neben dem von der DSGVO vorgesehenen Strafmaß – Verwaltungsstrafen von bis zu EUR 50.000 gegen natürliche und juristische Personen zu verhängen.

Entscheidende Vorarbeiten für das DSG und die DSGVO sind schon jetzt notwendig

Im Gegensatz zum deutschen Anpassungsgesetz ist das österreichische DSG gut lesbar und übersichtlich gestaltet. In vielen Teilen wurden jedoch Vorschriften der DSGVO übernommen. Die größten Anpassungen erfolgten im 2. Hauptstück des DSG und betreffen die Datenschutzbehörde und den Datenschutzrat.

Gemeinsam ist beiden Vorschriften, dass sowohl die DSGVO als auch das DSG angemessene Sicherheitsmaßnahmen auf dem Stand der Technik im Hinblick auf ihre Risiken und den Schutz von personenbezogenen Daten fordern. Angesichts der weitreichenden Auswirkungen werden sich Unternehmen daher vor allem vor der Herausforderung sehen, einen unternehmensweiten Compliance-Prozess ins Leben zu rufen, der sich über viele Monate erstrecken kann.

Führungskräfte sollten daher die verbliebene Zeit dazu nutzen, die unternehmensinternen Praktiken, Datenanwendungen sowie die organisatorischen und technischen Sicherheitsmaßnahmen zu erfassen, zu prüfen und in einem Verarbeitungsverzeichnis darzulegen. Gegebenenfalls sind auch zusätzliche Verträge mit anderen Verantwortlichen oder Auftragsverarbeitern abzuschließen. Der Umsetzungsaufwand hängt dabei von der bisherigen unternehmensinternen Datenschutzpraktik ab und kann viel Zeit in Anspruch nehmen, wenn Ihr Unternehmen dem Datenschutz bisher wenig Beachtung geschenkt hat.

<<< zurück zur Startseite