News.Advisory.

Datenschutz-Anpassungsgesetz 2018

Seit 12. Mai 2017 liegt der Ministerialentwurf für das Datenschutz-Anpassungsgesetz 2018 vor. Mit diesem Entwurf soll das österreichische Datenschutzgesetz (DSG 2000) an die Datenschutzgrundverordnung (DSGVO) angepasst werden. Rechtskräftige Entscheidungen der Datenschutzbehörde, die auf dem DSG 2000 beruhen, behalten ihre Gültigkeit.

Geltungsbereich

Das Datenschutz-Anpassungsgesetz 2018 (DS-APG 2018) dient der Ausübung des Gestaltungsspielraums, den die DSGVO den EU-Mitgliedstaaten durch „Öffnungsklauseln“ einräumt. Mit dem Anpassungsgesetz wird zudem die EU-Richtlinie 2016/680, die den Datenschutz in Zusammenhang mit der Datenverarbeitung durch Strafverfolgungs- und -vollstreckungsbehörden sowie zu Zwecken der Sicherheitspolizei und des Staatsschutzes regelt, umgesetzt. Entgegen den Erwartungen, sieht der Entwurf keine Anwendung auf personenbezogene Daten juristischer Personen vor.

Einschränkung der Datenverarbeitung statt Datenlöschung

Der Entwurf sieht eine klarstellende Regelung bezüglich Berichtigung oder Löschung von personenbezogenen Daten vor. Demnach kann eine Einschränkung der Datenverarbeitung anstelle einer Datenlöschung bzw. -berichtigung vorgenommen werden, sofern die sofortige Löschung bzw. Berichtigung nicht möglich ist, sondern – aus wirtschaftlichen oder technischen Gründen –  nur zu bestimmten Zeitpunkten erfolgen kann. Dies könnte beispielweise bei Datensicherungen auf Back-Up-Bändern der Fall sein.

Besondere Verarbeitungszwecke

Mit diesem Entwurf haben die Verarbeitungen personenbezogener Daten zum Zweck der wissenschaftlichen Forschung und Statistik, der Benachrichtigung und Befragung von betroffenen Personen, der Freiheit der Meinungsäußerung und Informationsfreiheit und im Katastrophenfall eigene Regelungen gefunden, die im Wesentlichen gleich wie die geltenden Datenschutzbestimmungen sind.

Keine Bestimmungen zur  Datenschutz-Folgenabschätzung und zur Bestellung des Datenschutzbeauftragten

Der vorliegende Entwurf enthält keine Sonderregelungen zu Neuerungen der DSGVO wie zur Datenschutz-Folgenabschätzung oder einer besonderen Pflicht zur Bestellung eines Datenschutzbeauftragten. Offen bleibt zunächst, ob die Regelungen des ABGB zur Handlungsfähigkeit minderjähriger Personen als nationale Sonderregelung zu Art 8 DSGVO zu betrachten sind. Der Entwurf stellt lediglich klar, dass das Arbeitsverfassungsgesetz (ArbVG) eine spezifische nationale Vorschrift im Sinne Art 88 DSGVO ist.

Einstellung des DVR und Aufhebung der Standard- und Musterverordnung 2004

Die Rechtsgrundlagen für das DVR werden aufgehoben und der Betrieb eingestellt. Bis Ende 2019 wird das DVR allerdings fortgeführt und für Archivzwecke zur Verfügung stehen. Die Unternehmen werden durch die DSGVO dazu verpflichtet, anstelle der Meldungen bzw. Registrierungen im DVR, ihre Verarbeitungstätigkeiten selbstständig zu dokumentieren (Verzeichnis der Verarbeitungstätigkeiten). Ebenso wie die DVR-Verordnung wird die Standard- und Musterverordnung 2004 (StMV 2004) mit 25.05.2018 außer Kraft treten.

Geldbußen

Zusätzlich zu den bereits festgelegten Strafen in einer Höhe von bis zu 4 Prozent des Jahreskonzernumsatzes oder 20 Mio. Euro, sind Verwaltungsstrafen in Höhe von bis zu EUR 50.000 vorgesehen. Sowohl die Strafen nach der DSGVO als auch die ergänzenden Verwaltungsstrafen können direkt gegen eine juristische Person verhängt werden.

Bilddaten statt Videoüberwachung

Für Bildaufnahmen und zugehörige akustische Informationen wurden besondere Anforderungen hinsichtlich Zulässigkeit der Erschaffung, Übermittlung und der sicheren Verarbeitung definiert. Der Anwendungsbereich umfasst allgemein "Bildaufnahmen", womit künftig auch Fotos diesen Vorgaben unterliegen. Hierbei ist eine weitgreifende Ausnahme für den privaten Bereich vorgesehen.

Fazit

Der vorliegende Entwurf hat einige Bestimmungen von bestehenden Regelungen des DSG 2000 übernommen und stellt eine Mindestumsetzung dar. Die durch „Öffnungsklauseln“ eingeräumte Möglichkeit nationale Anpassungen, Konkretisierungen und Spezifizierungen vorzunehmen, wird im Entwurf äußerst zaghaft eingesetzt. Es bleibt daher abzuwarten, ob der Gesetzgeber das nationale Datenschutzrecht wiederum „zersplittert“ und ob im Rahmen des Begutachtungsverfahrens und dem parlamentarischen Gesetzwerdungsprozess doch noch mutigerer Gebrauch von Öffnungsklauseln gemacht wird.

Grant Thornton unterstützt Kunden

Grant Thornton hat sich auf die Implementierung von Datenschutzsystemen spezialisiert und dazu eine eigene Methodologie entwickelt. Unsere 20 an der Donau-Universität Krems zertifizierten „Geprüften Datenschutzbeauftragten“ beraten und unterstützen Ihr Unternehmen.