Das neue Datenschutzgesetz ab 25. Mai 2018: Schutzumfang und wichtigste Regelungen auf einen Blick

13/12/2017

Mit dem Datenschutz-Anpassungsgesetz 2018 soll der Datenschutz in Österreich an die Standards der europäischen Datenschutz-Grundverordnung („DSGVO“) angepasst werden. Das neue Datenschutzgesetz 2018 („DSG 2018“) wird von österreichischen Datenschutzexperten jedoch heftig kritisiert. 

Das DSG 2018: ein schwer lesbares und unübersichtliches Gesetzeswerk

Der Versuch Österreichs, eine Vorreiterrolle in der nationalen Umsetzung der DSGVO einzunehmen, ist alles andere als gelungen. Dies ist zumindest in Österreich dem Umstand geschuldet, dass der Gesetzgeber mit Blick auf die Neuwahlen im Herbst 2017 das ehrgeizige Vorhaben verfolgte, noch in der laufenden Legislaturperiode das neue Gesetz zu beschließen. Zeitliche Effizienz hatte offenbar Vorrang vor inhaltlicher Qualität.Das Ergebnis ist ein schwer lesbares und unübersichtliches Gesetzeswerk. Experten fordern  dessen Novellierung noch vor seinem Inkrafttreten.

„Hinkender“ Charakter der DSGVO als Anlass für DSG 2018

Dass der österreichische Gesetzgeber überhaupt ein neues Gesetz erlassen musste, ist dem „hinkenden“ Charakter der DSGVO zu verdanken. Als hinkende Verordnung werden Verordnungen der EU bezeichnet, die ausdrücklich oder auch implizit Durchführungsbefugnisse für die Unionsorgane oder die Mitgliedstaaten vorsehen. Im Gegensatz zu einer „herkömmlichen“ Verordnung, welche den Mitgliedstaaten keine Rechtsetzungskompetenz einräumt, enthält die DSGVO sogenannte Öffnungsklauseln. Mit diesen Öffnungsklauseln gibt die Verordnung dem nationalen Gesetzgeber die Kompetenz, bestimmte Bereiche durch nationale Regelungen zu konkretisieren. Die Umsetzung dieser Öffnungsklauseln erfolgte in Österreich durch das DSG 2018. Das DSG 2018 erweitert aber den Anwendungsbereich der DSGVO in einer Weise, wie das aus Sicht der Autoren auch der Charakter der „hinkenden“ Verordnung nicht zulässt.

Der Schutzumfang des DSG 2018: Überschießend und unionsrechtswidrig? 

a) Die DSGVO schützt ausschließlich die personenbezogenen Daten von natürlichen Personen. Damit sind Daten, die sich auf juristische Personen beziehen, nach dem Wortlaut der DSGVO explizit ausgenommen. Im Gegensatz dazu sieht aber § 1 DSG 2018 ein Grundrecht auf Datenschutz vor, das „jedermann“, d.h. auch juristischen Personen, zusteht. Diese im Verfassungsrang stehende Bestimmung geht auf das (bis 24. Mai 2018 geltende) Datenschutzgesetz 2000 zurück und wurde in das neue DSG 2018 übernommen. Der Grund dafür war, dass der österreichische Gesetzgeber die notwendige Zweidrittelmehrheit für eine Änderung des § 1 DSG 2018 nicht zustande gebracht hat und daher das DSG 2018 nicht im Gleichklang zur DSGVO auf den Schutz von Daten natürlicher Personen einschränken konnte. 

b) Damit erweitert das DSG 2018 den Schutzumfang der DSGVO. Das DSG 2018 könnte somit unionsrechtswidrig sein. Österreichische Datenschutzexperten stellen sich daher berechtigt die Frage, in welchem Verhältnis diese Verfassungsbestimmung mit der DSGVO steht. Gehen die Bestimmungen der DSGVO den österreichischen Verfassungsbestimmungen vor, sodass der Schutz auf die Daten natürlicher Personen einzuschränken ist? Oder darf sich Österreich zu einem „Inselstaat“ innerhalb der EU entwickeln, in dem die Daten juristischer Personen doch geschützt werden, obwohl das sonst nirgendwo in der EU der Fall ist? 

c) Aus der Sicht der Autoren sprechen einige Gründe dafür, dass der Schutzumfang des DSG 2018 überschießend ist. Die DSGVO sagt in Art. 1: „Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten…“ Der Wortlaut der DSGVO bezieht sich daher ausschließlich auf natürliche Personen. Europarecht steht über österreichischem Verfassungsrecht. Letzteres muss dem Gemeinschaftsrecht entsprechen, gegebenenfalls angepasst werden.1 Auch hat die DSGVO klar die Intention, Rechtsvorschriften in Europa zu vereinheitlichen und „Insellösungen“ zu unterbinden. Aus diesem Grunde hat man auch eine Verordnung gewählt, die ohne weitere Umsetzungsakte in allen Mitgliedstaaten direkt anwendbar ist. Mehrere Erwägungsgründe der DSGVO machen deutlich, dass es dem Normgeber klar auf eine einheitliche Rechtslage in Europa ankam.2

d) Gerhard Kunnert, stv. Abteilungsleiter im Bundeskanzleramt-Verfassungsdienst (Abt. V/3 – Datenschutzlegistik), ging bei einem Vortrag im Rahmen des it-law.at Symposiums „Datenschutzrecht zwischen Anspruch und Wirklichkeit“ am 22. November 2017 davon aus, dass Österreich einen Schutz von Daten juristischer Personen durchaus beibehalten könne. Er begründete dies damit, dass es das Europarecht nicht verbiete, dass Österreich neben dem Grundrecht auf Datenschutz für natürliche Personen laut DSGVO auch ein Grundrecht auf Datenschutz für juristische Personen einführt oder beibehält. Dem ist die Schlussfolgerung aus Punkt c) oben entgegenzuhalten. Kunnert räumte aber im Rahmen seines Vortrags ein, dass die neue Bundesregierung den Schutz auf natürliche Personen einschränken werde (müssen), um den Einklang mit der DSGVO herzustellen. Ob die dafür notwendige Mehrheit für die Änderung von Verfassungsgesetzen erreicht werden wird, ist fraglich.

e) Eckhard Riedl, Leiter der Datenschutzabteilung (V/3) im Bundeskanzleramt-Verfassungsdienst und Ersatzmitglied des Datenschutzrats, argumentiert berechtigt, dass die unionsrechtlichen Regelungen dem innerstaatlichen Recht – egal welchen Rangs – vorangehen. Nationale Verfassungsbestimmungen, wie die des DSG 2018, würden daher von der DSGVO verdrängt werden.3 Ob sich diese Rechtsansicht auch zukünftig etablieren wird, ist noch nicht abschließend geklärt. Letztlich wird dieses „Dilemma“ entweder durch die Gerichte mittels Auslegung zu klären sein oder der neu gewählte Nationalrat nimmt noch vor Inkrafttreten des DSG 2018 eine Reparatur vor.

f) Zusammenfassend kann daher festgehalten werden, dass sich wieder einmal eine „österreichische Situation“ etabliert hat, die den Standort Österreich in einem zweifelhaften Licht erscheinen lässt. Österreich hatte bislang schon den Ruf, in datenschutzrechtlicher Hinsicht „schwierig“ zu sein.  

Die wesentlichen Regelungen im DSG 2018 auf einen Blick 

Neben einigen Regelungen zur Behördenorganisation enthält das DSG 2018 Regelungen, die für die Wirtschaft und Unternehmen sowie deren Geschäftsführung wichtig sind. Hervorzuheben sind vor allem folgende Neuerungen:  

  • Bildverarbeitung: Die bisherigen Regelungen zur Videoüberwachung werden in einen eigenen Abschnitt übernommen und weiter ausgestaltet. Im Gegensatz zur bisherigen Rechtslage sind davon nun sowohl Bild- als auch Fotoaufnahmen umfasst. Demnach ist das Aufnehmen oder Fotografieren von Privatpersonen unter § 12 DSG 2018 insbesondere dann zulässig, wenn berechtigte Interessen des Aufnehmenden (z.B. Schutz von Personen und Sachen) oder eine Einwilligung des Aufgenommenen bestehen. 
  • Senkung des einwilligungsfähigen Alters von Kindern: Das notwendige Alter von Kindern zur Einwilligung in eine Datenverarbeitung wird auf 14 Jahre herabgesetzt. Diese Neuerung hat vor allem im Zusammenhang mit Onlineshops und sozialen Medien wesentliche Bedeutung.
  • Löschung von Dateien oder Datenbanken: Die DSGVOsieht vor, dass Daten auf Antrag und wenn sie für die Vertragserfüllung nicht mehr gebraucht werden oder berechtigte Interessen zur weiteren Verarbeitung nicht mehr bestehen, gelöscht werden müssen. Begrüßenswert ist eine Abfederung dieses Grundsatzes für den Umgang mit automationsunterstützten Daten, die aus wirtschaftlichen oder technischen Grünen nicht sofort gelöscht werden können. Hier gibt der österreichische Gesetzgeber den datenverarbeitenden Unternehmen die Möglichkeit, die Daten nicht mehr zu verarbeiten und erst später zu löschen. 
  • Arbeitsrechtliche Schutznormen: Mit § 11 DSG 2018 werden die datenschutzrechtlichen Regelungen in arbeitsrechtlichen Vorschriften (z.B. §§ 96, 96a ArbVG) zu Schutznormen nach der DSGVO. Es stellt sich daher die Frage, ob ein Nicht-Abschluss einer Betriebsvereinbarung über die Arbeitnehmerdatenverarbeitung nach §§ 96, 96a ArbVG mit dem DSGVO Höchststrafrahmen von bis zu EUR 20 Mio. bestraft werden könnte. Darauf gibt das DSG 2018 keine eindeutige Antwort; die Strafbarkeit ist aber nur dann gegeben, wenn Österreich die Europäische Kommission bis zum 25. Mai 2018 davon verständigt. Bislang ist eine solche Notifikation jedoch unterblieben.
  • Rolle der Datenschutzbehörde: Nach dem neuen DSG 2018 ist die Datenschutzbehörde berechtigt, die Räume, in welchen die Datenverarbeitungen vorgenommen werden, zu betreten, die Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen und Kopien von Datenträgern herzustellen. Unverändert bleibt die Rolle der Datenschutzbehörde als die Behörde, die die Geldbußen nach der DSGVO und dem DSG 2018 gegenüber juristischen und natürlichen Personen verhängt. So kann die Geldbuße gegen juristische Personen verhängt werden, wenn eine natürliche Person in führender Position den Verstoß verursacht hat.
  • Strafen: Zu den DSGVO-Strafen (bis zu 4% des weltweiten Umsatzes oder EUR 20.000.000,00, je nachdem, was höher ist) sieht das DSG 2018 zusätzlich Verwaltungsstrafen in Höhe von EUR 50.000 vor und legt die Bedingungen für die Verhängung fest. So kann die Verwaltungsstrafe in Höhe von EUR 50.000 nur verhängt werden, sofern die Tat nicht bereits nach der DSGVO zu bestrafen ist. Diese Strafe kann sowohl gegen natürliche als auch juristische Personen verhängt werden.

    Juristische Personen können für Verstöße gegen die DSGVO und zusätzlich gegen das DSG 2018 dann abgestraft werden, wenn der Verstoß durch eine natürliche Person in einer Führungsposition begangen wurde oder wenn mangelnde Überwachung oder Kontrolle durch eine Person in Führungsposition die Begehung der Verstöße ermöglicht hat. Die Bestrafung eines Verantwortlichen gemäß § 9 des Verwaltungsstrafgesetzes  ist ausdrücklich angesprochen. Damit normiert das DSG 2018 in bestimmten Fällen auch eine persönliche Haftung von Geschäftsführern und Vorstandsmitgliedern oder verantwortlichen Beauftragten für die Strafen nach der DSGVO. Von der Bestrafung von Geschäftsführern oder verantwortlichen Beauftragten kann die Datenschutzbehörde jedoch absehen, wenn für denselben Verstoß eine Geldbuße gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen.

Neben diesen Regelungen sieht das DSG 2018 eine Reihe weiterer Neuerungen vor, die aber vor allem die Datenverarbeitung zu spezifischen Zwecken (z.B. wissenschaftliche oder historische Forschungszwecke) (§§ 7 DSG 2018), den Datenschutzrat (§§ 14 DSG 2018) und die Datenschutzbehörde (§§ 18 DSG 2018) betreffen.

Übrigens: Die Autoren beschränken sich in diesem Beitrag bewusst auf die Beleuchtung jener Punkte, die für die Wirtschaft und Unternehmen wesentlich sind.

Fazit: Nur das Notwendigste geregelt, noch viele Fragen offen

Österreich hat sich in der nationalen Umsetzung der DSGVO bewusst zurückgehalten und das Notwendigste geregelt. Dennoch lässt das neue DSG 2018 viele Fragen offen, welche die Gerichte allenfalls klären müssten oder der neu gewählte Nationalrat entschließt sich, das DSG 2018 noch vor dem 25.5.2018 zu novellieren. Für die Reparatur der Verfassungsbestimmungen im neuen DSG 2018 wird eine Zweidrittelmehrheit im Parlament benötigt. Ob die Gesetzesreparatur vor dem 25.5.2018 vorgenommen werden kann, hängt nicht nur von den derzeit noch andauernden Koalitionsverhandlungen zwischen ÖVP und FPÖ, sondern auch von der Bereitschaft der Oppositionsparteien ab. 

1Walter/Mayer/Kucko-Stadlmayer, Bundesverfassungsrecht, 10. Auflage, RZ 246/7
2Vgl. bspw. Erwägungsgründe: 1, 2, 3, 4, 7, 9, 10, 11, 13, 14, die alle den Schutz von Daten natürlicher Personen betonen.
3Rainer Knyrim/Alexander Maurer, Der Datenschutz für die juristische Person bleibt bestehen, Dako 2017/48 (75).

Autoren

Das Photo von Johannes Juranek
Johannes Juranek
Partner
Wien