Verfassungsausschuss leitet adaptierte Novelle an das Plenum weiter
Wien (pk) - Die komplette Neufassung des Datenschutzgesetzes ist vorerst abgesagt. Da das von der Regierung
geschnürte Gesetzespaket an der notwendigen Zweidrittelmehrheit im Nationalrat zu scheitern drohte, haben
sich SPÖ und ÖVP auf eine Novellierung des geltenden Gesetzes ohne Verfassungsänderungen verständigt.
Die österreichischen Datenschutzbestimmungen sollen damit in Einklang mit den neuen EU-Vorgaben gebracht werden.
Die abgespeckte Version wurde am 26.06. vom Verfassungsausschuss des Hohen Hauses mit SP-VP-Mehrheit gebilligt,
damit kann die Beschlussfassung noch vor der parlamentarischen Sommerpause erfolgen. In Kraft treten soll die Novelle
wie geplant im Mai 2018.
Massive Kritik an der Vorgangsweise kommt von der Opposition. Es sei nicht seriös, eine Gesetzesvorlage bereits
während der Begutachtungsphase im Nationalrat einzubringen und dann kurzfristig auch noch einen umfangreichen
gesamtändernden Abänderungsantrag vorzulegen, waren sich Grüne, FPÖ, NEOS und Team Stronach
einig. Abseits von inhaltlichen Bedenken sei gar keine Zeit geblieben, die nunmehr vorgenommenen Adaptierungen
zu prüfen. Die Oppositionsparteien konnten sich aber weder mit der Forderung nach Absetzung des Datenschutzgesetzes
von der Tagesordnung noch mit einem Vertagungsantrag durchsetzen.
Seitens der Koalitionsparteien versicherten Eva-Maria Himmelbauer und Harald Troch, dass im vorgelegten Abänderungsantrag
einige im Begutachtungsverfahren vorgebrachte Einwände berücksichtigt wurden. Als Beispiel nannte Himmelbauer,
dass bestehende Einwilligungserklärungen weiter gelten werden, sofern sie der EU-Datenschutz-Grundverordnung
entsprechen. Die rasche Beschlussfassung ist ihrer Meinung nach notwendig, damit die Unternehmen genügend
Zeit haben, sich auf die neue Rechtslage einzustellen.
Um Wissenschaft und Forschung nicht zu behindern, sind laut Himmelbauer noch Änderungen geplant, wobei Kanzleramtsminister
Thomas Drozda auf Verhandlungen zu entsprechenden Materiengesetzen verwies. In diesem Zusammenhang fassten die
Abgeordneten mit S-V-G-Mehrheit auch eine so genannte Ausschussfeststellung, mit der sie das Vorhaben bekräftigten,
von einschlägigen "Öffnungsklauseln" der EU-Datenschutzverordnung Gebrauch zu machen. Konkret
geht es ihnen um praxisnahe Regelungen für Datenverarbeitungen für Archivzwecke, wissenschaftliche oder
historische Forschungszwecke oder statistische Zwecke, die im öffentlichen Interesse liegen. Als Beispiel
werden etwa biologische Proben- und Datensammlungen genannt.
Mit der Novellierung des Datenschutzgesetzes wird der neuen Datenschutz-Grundverordnung der EU (DSGVO) Rechnung
getragen und eine neue EU-Datenschutz-Richtlinie für den Bereich der Inneren Sicherheit umgesetzt. Zudem werden
Erfahrungen in der Praxis mit den geltenden Datenschutzbestimmungen berücksichtigt und etwa die Regelungen
betreffend Videoüberwachungen adaptiert.
Die ursprüngliche Regierungsvorlage ( 1664 d. B.) hatte zudem vorgesehen, die verfassungsrechtlichen Kompetenzbestimmungen
zu adaptieren und das Grundrecht auf Datenschutz abgestimmt auf die EU-Terminologie – ohne Einbeziehung juristischer
Personen – neu zu formulieren. Davon haben die beiden Regierungsparteien aufgrund der fraglichen Zweidrittelmehrheit
nun jedoch Abstand genommen. Damit bleibt die Zuständigkeit für den Schutz manueller personenbezogener
Dateien in der Zuständigkeit der Länder.
Opposition kritisiert geschlossen Vorgangsweise
Eingeleitet wurde die Debatte von Albert Steinhauser (G). Allein schon die Vorgangsweise mache es den Grünen
unmöglich, dem Gesetz zuzustimmen, sagte er. Man habe viel zu wenig Zeit gehabt, um zu eruieren, welche der
im Rahmen der Begutachtung vorgebrachten Bedenken nun in den Abänderungsantrag eingeflossen sind. Inhaltlich
kritisierte Steinhauser unter anderem, dass keine Verbandsklagen möglich sind. Zudem sei es auch nicht zulässig,
parallel zur Beschwerde bei der Datenschutzkommission ein Zivilrechtsverfahren zu führen.
Es sei schwierig, in die inhaltliche Diskussion einzusteigen, da man nicht wisse, welche Bedenken aufgegriffen
wurden, meinte auch FPÖ-Abgeordneter Harald Stefan. Angesichts des heiklen Themas plädierte er eindringlich
dafür, "nichts übers Knie zu brechen". Schließlich würden die neuen Datenschutzbestimmungen
einen riesigen Aufwand für die Unternehmen auslösen. Mit etwas Geduld hätte man bessere Regelungen
finden können, ist Stefan überzeugt.
Von einem "untragbaren Zustand" sprach NEOS-Abgeordneter Nikolaus Scherak. Wenn man jedes Mal so vorgehe,
könne man sich das Begutachtungsverfahren generell sparen, meinte er und beklagte, dass viele eingelangte
Stellungnahmen nicht berücksichtigt wurden. Scherak bezweifelt unter anderem, dass es verfassungskonform ist,
dass eine Behörde so hohe Strafen verhängen kann wie nunmehr die Datenschutzbehörde.
Er könne dem Gesetz nicht guten Gewissens zustimmen, weil er nicht wisse, was im Kleingedruckten drinnen steht,
schloss sich Christoph Hagen vom Team Stronach dem Reigen der Kritiker an. Daher müsse seine Fraktion das
Gesetz ablehnen.
Um den österreichischen Forschungsstandort sorgt sich die Wissenschaftssprecherin der Grünen, Sigrid
Maurer. Den Grünen sei Datenschutz ein wesentliches Anliegen, sie fürchtet allerdings enorme Nachteile
für österreichische WissenschaftlerInnen und ForscherInnen gegenüber ausländischen Forschungseinrichtungen,
vor allem im Bereich der Medizin. So könnten bestehende Bio-Datenbanken ohne entsprechende Gesetzesänderungen
nicht mehr im selben Umfang weitergeführt werden.
SPÖ und ÖVP: Rasche Beschlussfassung ist notwendig
Eva-Maria Himmelbauer (V) und Harald Troch (S) ließen die Einwände der Opposition nicht gelten.
Die Unternehmen bräuchten ausreichend Zeit, um sich auf die neue Rechtslage vorzubereiten, sagte Himmelbauer.
Auch Troch hält es angesichts der Verantwortung, die der Nationalrat gegenüber Unternehmen und KonsumentInnen
hat, für in Ordnung, "dass in dieser Frage Gas gegeben wird". "Wir machen Nägel mit Köpfen."
Sowohl Troch als auch Himmelbauer versicherten, dass etliche im Begutachtungsverfahren geäußerte Bedenken
in den gesamtändernden Abänderungsantrag eingeflossen sind. Was die Frage wissenschaftlicher Datenbanken
betrifft, soll laut Himmelbauer über den Sommer weiter verhandelt werden. Man sei bestrebt, keine Hürden
aufzubauen.
Auch insgesamt zeigte sich Himmelbauer mit dem Gesetzentwurf zufrieden. Gerade bei sensiblen Daten würden
die Rechte der betroffenen Personen gestärkt. Für Unternehmen bringt das Gesetz ihr zufolge eine Änderung
in der Systematik: Sie werden in Zukunft mehr Eigenverantwortung haben. Bei sensiblen Daten sei eine Risikoanalyse
in Form einer Folgenabschätzung erforderlich. Mit 10 Mio. € bis 20 Mio. € bzw. 2% bis 4% des weltweiten Umsatzes
sehe die EU-Datenschutzverordnung durchaus abschreckende Strafen vor.
Kanzleramtsminister Thomas Drozda hielt in Richtung Abgeordneter Maurer fest, dass materienspezifische Angelegenheiten
in den entsprechenden Materiengesetzen geregelt werden sollen. Zum Thema Verbandsklagen merkte er an, dass der
Gesetzentwurf eine "Verbandsklage light" enthalte. So werde im §28 die Vertretung von Personen in
bestimmten Fällen geregelt.
Pflicht zur Ernennung von Datenschutzbeauftragten
Da die EU-Datenschutz-Grundverordnung unmittelbare Wirkung entfaltet, werden im Datenschutzgesetz nur jene Bereiche
geregelt, die einer Präzisierung bzw. detaillierter Ausführungsbestimmungen bedürfen oder aus anderen
Gründen erforderlich sind. Die Regelungsspielräume, die die EU einräumt, werden dabei den Erläuterungen
zufolge nur sparsam genutzt, da diese in den meisten Fällen nicht allgemeine Angelegenheiten des Datenschutzes,
sondern spezifische Gesetzesmaterien betreffen. Die Regierung behält sich allerdings vor, bei Bedarf entsprechende
Änderungen der Materiengesetze in die Wege zu leiten. Ausdrücklich beteuert wird, dass das etablierte
österreichische Datenschutzniveau durch die neue Rechtslage nicht abgesenkt wird.
Direkt in der Datenschutz-Grundverordnung geregelt sind etwa die Pflicht zur Ernennung eines Datenschutzbeauftragten
und zur Durchführung von Datenschutz-Folgenabschätzungen, wobei die Bestimmungen sowohl die öffentliche
Hand als auch den privaten Sektor betreffen. Demnach müssen etwa öffentliche Behörden und Stellen,
die Datenverarbeitungen durchführen, sowie Unternehmen, in denen Datenverarbeitungen zur Kerntätigkeit
zählen, in jedem Fall einen Datenschutzbeauftragten benennen. In diesem Sinn sieht das neue Datenschutzgesetz
für jedes Bundesministerium zumindest einen – weisungsfreien – Datenschutzbeauftragten vor. Aufgabe der Datenschutzbeauftragten
ist es insbesondere, die interne Einhaltung der geltenden Datenschutzbestimmungen zu überwachen.
Was die Datenschutz-Folgenabschätzungen betrifft, kann die Datenschutzbehörde zur Unterstützung
von Unternehmen Positiv- bzw. Negativ-Listen erstellen. Damit soll ersichtlich werden, bei welchen Datenverarbeitungen
eine derartige Folgenabschätzung jedenfalls erforderlich ist und in welchen Fällen eine solche als nicht
nötig erachtet wird.
Sonderregelungen für Medien und wissenschaftliche Zwecke
Weiterhin spezifische Regelungen – mit etlichen Ausnahmen von den allgemeinen Datenschutzbestimmungen – wird es
für bestimmte Datenverarbeitungen geben. Das betrifft etwa die Verarbeitung von Daten für wissenschaftliche,
statistische und archivarische Zwecke, die Bereitstellung von Adressdaten zur Benachrichtigung und Befragung von
Personen, die Verarbeitung personenbezogener Daten im Katastrophenfall und die Verarbeitung von Daten für
journalistische, literarische und künstlerische Zwecke. Damit will man zum einen der besonderen Bedeutung
der Meinungs- und Informationsfreiheit Rechnung tragen und zum anderen die Arbeit von WissenschaftlerInnen und
ForscherInnen unterstützen. Nicht zuletzt geht es um praxisnahe Regelungen für pseudonymisierte Daten
und Registerdaten sowie für schon bestehende biologische Proben- und Datensammlungen, wie in der Ausschussfeststellung
ausdrücklich festgehalten wird. Für die Verarbeitung von Mitarbeiterdaten in Unternehmen sind weiter
die Bestimmungen des Arbeitsverfassungsgesetzes maßgeblich.
Sonderbestimmungen für Videoüberwachungen
Adaptiert werden auch die Sonderbestimmungen für Videoüberwachungen, die sowohl für Unternehmen
(z.B. Verkehrsbetriebe) als auch für Privatpersonen gelten. Nicht alle der 2010 eingeführten Regelungen
hätten sich in der Praxis bewährt, wird in den Erläuterungen festgehalten. Als Beispiel werden etwa
die derzeitige Unterscheidung zwischen digitalen und analogen Aufzeichnungen und das besondere Auskunftsrecht genannt.
Auch eine Meldepflicht wird es unter Bedachtnahme auf die neue EU-Verordnung nicht mehr geben.
Fortgeschrieben werden demgegenüber u.a. das grundsätzliche Verbot der Videoüberwachung für
den höchstpersönlichen Lebensbereich (außer bei ausdrücklicher Einwilligung), das Verbot der
Videoüberwachung zum Zweck der Mitarbeiterkontrolle, das Verbot des automationsunterstützten Abgleichs
von Aufzeichnungen mit anderen Bilddaten und die Kennzeichnungspflicht. Überdies wird eine Auskunftspflicht
über die Identität des Verantwortlichen (Eigentümer oder Nutzungsberechtigter einer überwachten
Liegenschaft) eingeführt. Die neuen Bestimmungen gelten künftig außerdem für alle Bildaufnahmen
– und damit auch für Fotografien –, wobei private Videos und Fotos alleine schon aufgrund der Datenschutz-Grundverordnung
ausgenommen sind ("Haushaltsausnahme").
Datenschutz im Bereich der Inneren Sicherheit
Der Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei, des polizeilichen Staatsschutzes,
des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung
und des Maßnahmenvollzugs ist künftig – in Umsetzung der neuen EU-Richtlinie zum Bereich Innere Sicherheit
– ein eigenes Hauptstück gewidmet. Unter anderem sind in diesem Zusammenhang Informations- und Auskunftsrechte
für betroffene Personen, das Recht auf Berichtigung unrichtiger Daten sowie Meldepflichten im Falle von Datenschutzverletzungen
geregelt. Werden neue Dateisysteme angelegt, ist die Datenschutzbehörde vorab zu konsultieren.
Geldbußen und Verwaltungsstrafen
Die Datenschutzbehörde wird künftig sowohl als Aufsichtsbehörde gemäß der EU-Datenschutz-Grundverordnung
als auch als Aufsichtsbehörde gemäß der EU-Datenschutz-Richtlinie zur Inneren Sicherheit fungieren.
In diesem Sinn wird ihr auch die Einhebung der in Artikel 83 verankerten Geldbußen für Verstöße
gegen die EU-Verordnung obliegen. Die Strafen für Unternehmen richten sich zum Teil nach dem Umsatz und können,
je nach Schwere des Vergehens, bis zu mehreren Millionen Euro betragen. Zufließen sollen die Einnahmen aus
den Geldbußen dem Bund. Bei Gefahr in Verzug ist es, wie schon bisher, möglich, die Weiterführung
einer Datenverarbeitung mit Bescheid zu untersagen.
Spezielle Verwaltungsstrafen sieht das Gesetz bei Verstößen gegen das Datengeheimnis sowie gegen die
besonderen Bestimmungen zu Bildverarbeitungen und anderen spezifischen Datenverarbeitungen vor. Sie sollen dann
zur Anwendung kommen, wenn die Datenschutz-Grundverordnung oder andere nationale Verwaltungsstrafbestimmungen nicht
greifen. Demnach drohen Personen, die sich vorsätzlich widerrechtlichen Zugang zu Daten verschaffen oder ihnen
anvertraute Daten unberechtigt weiterleiten oder unzulässige Videoaufzeichnungen machen, Geldstrafen bis zu
50.000 €. Auch der Versuch ist strafbar.
Beibehalten wurde darüber hinaus der bereits bestehende Straftatbestand der Datenverarbeitung in Gewinn- oder
Schädigungsabsicht: Wer ihm beruflich zugängliche Daten widerrechtlich verwertet, obwohl die Betroffenen
an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse haben, kann zu einer Freiheitsstrafe bis zu einem
Jahr oder zu einer Geldstrafe bis zu 720 Tagsätzen verurteilt werden.
Weitgehend unverändert geblieben sind schließlich auch das Beschwerdeverfahren vor der Datenschutzbehörde
und dem Bundesverwaltungsgericht, die Bestimmungen über den Datenschutzrat und die Regelung des Datengeheimnisses.
Nach EU-Recht nicht mehr zulässig ist hingegen eine allgemeine Festlegung der Kriterien für die Zulässigkeit
von Datenverarbeitungen, wie sie derzeit noch im Datenschutzgesetz enthalten ist. Auch das Datenverarbeitungsregister
wird in Anbetracht des Entfalls der entsprechenden Meldepflichten künftig nicht mehr geführt.
|