DSGVO: ENTWURF DES BEGLEITGESETZES LIEGT VOR

In zahlreichen Unternehmen laufen die Vorbereitungen auf die am 25. Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung (DSGVO) auf Hochtouren. Zumindest ein Puzzle auf dem Weg dahin fehlte bisher – genauer gesagt eines, das aus 69 Teilen besteht.

So viele Öffnungsklauseln, die vom österreichischen Gesetzgeber mit Inhalt befüllt werden müssen (bzw. dürfen), sieht die DSGVO vor. Der Entwurf wurde auch deshalb mit Spannung erwartet, weil es kaum Anhaltspunkte gab, wie der Gesetzgeber die ihm eröffneten Gestaltungsspielräume nutzen wird. Seit dem 12.5.2017 liegt nunmehr der Entwurf, mit dem das Datenschutzgesetz „neu“ erlassen und das DSG 2000 aufgehoben werden soll, vor.

1. DSG Neu – Kein Schutz personenbezogener Daten von juristischen Personen

Unklar war bisher, wie künftig mit einer österreichischen Besonderheit umgegangen werden wird: Welche Regelungen werden die bisher vom DSG 2000 erfassten personenbezogene Daten von juristischen Personen erfahren? Verbindliche Antworten wird es zwar erst in ein paar Monaten geben, folgt man aber dem vorliegenden Entwurf, lautet die Antwort: Keine. Personenbezogene Daten von juristischen Personen werden künftig– datenschutzrechtlich – nicht mehr geschützt. Juristische Personen werden sich nunmehr ausschließlich auf die sich aus ABGB, UWG, StGB etc. ergebenden Möglichkeiten stützen müssen, um ihre „personenbezogenen Daten“ zu schützen. Insbesondere vertragliche Regelungen, die diesen Schutz widerspiegeln, werden somit zunehmen. Vor allem Vertragsstrafen dürften somit mehr als bisher in den Fokus rücken. Auch die vertragliche Übernahme von Bestimmungen des DSG Neu im Rechtsverkehr zwischen juristischen Personen erscheint im Einzelfall überlegenswert. Abgesehen davon ist es schon überraschend, wie schnell ein auf juristische Personen anwendbares Grundrecht (!) der (Rechts)Geschichte angehört.

2. Was ist NEU?

Der österreichische Gesetzgeber scheint die sich aus den Öffnungsklauseln der DSGVO ergebenden Regelungsspielräume nur eingeschränkt nutzen zu wollen. Mit anderen Worten: Zwar lässt der vorliegende  Entwurf die (einstweilige) Wertung zu, dass detailliertere Regelungen in Materiengesetzen folgen dürften. Dennoch ist der Entwurf von einer unübersehbaren Zurückhaltung, was die Ausnützung der durch die Öffnungsklauseln gegebenen Gestaltungsspielräume betrifft, geprägt. Er orientiert sich sehr an den Vorgaben der DSGVO. Dennoch bzw damit im Einklang stehend, zeichnen sich – abgesehen vom Ausschluss juristischer Personen vom Datenschutzrecht im bisherigen gesetzlichen Kontext gesehen – folgende Tendenzen ab:

2.1. Datenschutzbeauftragter

Die sich im Entwurfsstadium befindende nationale Neuregelung geht, was die Verpflichtung zur Bestellung eines Datenschutzbeauftragten betrifft, nicht über die Mindestvorgaben DSGVO hinaus. Das ist zu begrüßen. Leider wird sich die Notwendigkeit dieser Bestellung weiterhin am unbestimmten Rechtsbegriff der „Kerntätigkeit“ des Unternehmens orientieren.

2.2. Passivlegitimation von juristischen Personen –Geldbußen

Hier bleibt der Entwurf bei bereits aus dem VStG und diversen Materiengesetzen „Altbekanntem“: Die Geldbußen richten sich primär gegen die jeweilige juristische Person, bei Vorliegen besonderer Umstände können auch Entscheidungsträger (insbesondere Organe juristischer Personen) belastet werden. Inwieweit sich diese Privilegierung von Einzelunternehmern gegenüber juristischen Personen verfassungsrechtlich rechtfertigen lässt, bleibt jedoch abzuwarten. Eine Gleichstellung des Datenschutzbeauftragten mit dem Verantwortlichen im Sinne des § 9 Abs 2 VStG sieht der Entwurf nicht vor.

2.3. Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung

Es wird bekanntlich kein Datenverarbeitungsregister mehr geben – Unternehmen müssen vielmehr ab 25.5.2018 ihre Verarbeitungsprozesse intern dokumentieren und ggf eigenständig analysieren, welche Gefahren mit den Verarbeitungsprozessen für die betroffenen personenbezogenen Daten von natürlichen Personen einhergehen. Die Datenschutzbehörde ist jedoch berechtigt, Datenverarbeitungsvorgänge, die besonders risikogeneigt sind und deshalb einer Folgenabschätzung bedürfen, zu statuieren. Einzelheiten hierzu lässt jedoch auch der vorliegende Entwurf offen. Interessant wird insbesondere sein, ob bzw inwieweit die Datenschutzbehörde die bisherigen Standardanwendungen von der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung ausnehmen wird.

2.4. Verwaltungsstrafen nach dem DSG NEU

Begrüßenswert ist, dass der österreichische Gesetzgeber eher „geringfügige“ Verstöße gegen das neue DSG nicht den Sanktionsmaßstäben der DSGVO unterwerfen möchte. Die in Bedacht genommene Verwaltungsstrafe iHv bis zur EUR 50.000,– ist im Verhältnis zu dem nach der DSGVO in Betracht kommenden Strafrahmen sehr niedrig.

2.5. Bildverarbeitung – Videoüberwachung

Eine Bildaufnahme liegt nunmehr bereits vor, wenn durch Verwendung technischer Einrichtungen zur Bildverarbeitung (eingeschlossen ggf mitverarbeitete akustische Informationen) eine Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken vorgenommen wird. Ein Überwachungszweck wird nicht mehr gefordert. Der somit eröffnete weite Schutzbereich wird jedoch durch diverse Ausnahmetatbestände wieder eingegrenzt: Ganz dem Zeitgeist „innere Sicherheit“ folgend, gilt das insbesondere für den (vorbeugenden) Schutz von Personen und Sachen im privaten Raum und an öffentlich zugänglichen Orten