|
Datenschutzagenden werden beim Bund konzentriert, mehr als 120 Gesetze an EU-Recht angepasst
Wien (pk) - Der Verfassungsausschuss des Nationalrats hat am 11. April ein umfangreiches Datenschutzpaket
gebilligt. Neben einer Neuformulierung des Grundrechts auf Datenschutz, einer Konzentration der Datenschutzagenden
beim Bund und einer Ausweitung des Zuständigkeitsbereichs der Datenschutzbehörde ist u.a. auch eine Anpassung
von 120 Materiengesetzen an die ab 25. Mai geltende EU-Datenschutzgrundverordnung (DSGVO) bzw. die neue Datenschutz-Richtlinie
für die Bereiche Innere Sicherheit und Justiz vorgesehen. Die Beschlüsse erfolgten mit unterschiedlichen
Mehrheiten, einzelne Teile wurden auch einstimmig beschlossen.
Kritisch wurde von der Opposition insbesondere das so genannte Materien- Datenschutz-Anpassungsgesetz 2018 beurteilt.
Die SPÖ kritisierte nicht nur die späte Vorlage der Sammelnovelle an den Nationalrat, sondern auch die
zum Teil kurzen Begutachtungsfristen im Vorfeld. Selbst der Datenschutzrat sei nicht in der Lage gewesen, die Vorschläge
umfassend zu bewerten, beklagte Walter Bacher und sprach angesichts von insgesamt 128 Gesetzesänderungen von
einer Zumutung für die Abgeordneten. NEOS-Abgeordneter Nikolaus Scherak stößt sich vor allem an
einer für das Innenministerium geltenden Sonderbestimmung.
Seitens der Koalitionsparteien räumte Harald Stefan (FPÖ) ein, dass es sich um ein umfangreiches Paket
handle und wohl nicht alle Auswirkungen abschätzbar seien. Angesichts des vor der Tür stehenden 25. Mai
warnt er aber vor Verzögerungen: "Die Zeit läuft!". Eva-Maria Himmelbauer hob hervor, dass
das hohe Datenschutzniveau in Österreich beibehalten werde. Ihr zufolge sind auch viele Stellungnahmen aus
dem Begutachtungsverfahren in die Gesetzesnovellen eingeflossen. Nicht an der Sitzung teilnehmen konnte aus gesundheitlichen
Gründen der zuständige Minister Josef Moser.
Weniger umstritten als das Materien-Datenschutz-Anpassungsgesetz ist das so genannte Datenschutz-Deregulierungsgesetz.
Schon im vergangenen Jahr wollte die damalige rot-schwarze Koalition die Datenschutzagenden beim Bund konzentrieren
und das verfassungsrechtlich abgesicherte Grundrecht auf Datenschutz neu formulieren. Da die notwendige Zweidrittelmehrheit
fraglich schien, wurde das Vorhaben allerdings kurzfristig abgeblasen und im Parlament lediglich eine abgespeckte
Novelle zum Datenschutzgesetz beschlossen, um dieses in Einklang mit den neuen EU-Vorgaben zu bringen. Nun wurden
die ursprünglichen Pläne auf Basis eines gemeinsamen Antrags von SPÖ, ÖVP und FPÖ wieder
aufgegriffen. Die Opposition fordert allerdings noch Nachbesserungen und spricht sich insbesondere für ein
Verbandsklagerecht aus.
Gemäß den Bestimmungen des Drei-Parteien-Antrags ( 189/A) wird künftig ausschließlich der
Bund für allgemeine Angelegenheiten des Datenschutzes zuständig sein. Die Kompetenz der Länder für
den Schutz manueller personenbezogener Dateien entfällt. Außerdem wird das verfassungsrechtlich abgesicherte
Grundrecht auf Datenschutz neu und verständlicher formuliert. Am bestehenden Schutzniveau ändert sich
nichts. In Anlehnung an die DSGVO sind allerdings nur noch natürliche Personen – und keine juristischen –
vom Grundrecht umfasst.
Wie bisher werden Eingriffe in das Grundrecht auf Datenschutz, das unter anderem Auskunfts- und Löschungsrechte
umfasst, nur unter engen Voraussetzungen möglich sein. Etwa bei ausdrücklicher Einwilligung des Betroffenen,
bei berechtigtem Interesse eines anderen oder wenn öffentliches Interesse vorliegt. Wann letzteres genau der
Fall ist, muss – in den jeweiligen Materiengesetzen – gesetzlich geregelt sein. Außerdem gilt stets der Grundsatz,
dass Grundrechtsbeschränkungen verhältnismäßig sein müssen und auf das notwendige Maß
zu beschränken sind (Datenminimierung).
Neu eingefügt in das Datenschutzgesetz wird eine Bestimmung, die das Auskunftsrecht von BürgerInnen gegenüber
der öffentlichen Verwaltung begrenzt, wenn dadurch die Erfüllung gesetzlich übertragener Aufgaben
gefährdet ist. Außerdem werden einige weitere Klarstellungen, etwa in Zusammenhang mit Systemen zum
Abgleich verarbeiteter Bilddaten, vorgenommen. Ein strafbarer Datenschutz-Tatbestand, der vor dem Inkrafttreten
des Gesetzes erfolgt ist, ist dem Drei-Parteien-Antrag zufolge nach der für den Täter günstigeren
Rechtslage zu beurteilen.
Datenschutzbehörde wird auch für Parlamentsverwaltung zuständig sein
Neu ist darüber hinaus die Ausweitung der Zuständigkeit der Datenschutzbehörde auf den Bereich
der Parlamentsverwaltung sowie auf Verwaltungsangelegenheiten des Rechnungshofs, der Volksanwaltschaft und des
Verwaltungsgerichtshofs. Ein diesbezüglicher Beschluss wurde auf Basis eines gemeinsamen Antrags ( 188/A)
von Nationalratspräsident Wolfgang Sobotka (ÖVP) und seinen beiden Amtskolleginnen Doris Bures (SPÖ)
und Anneliese Kitzmüller (FPÖ) einstimmig gefasst. Damit wird der Datenschutzbehörde eine nachprüfende
Kontrolle von Entscheidungen des Nationalratspräsidenten sowie der anderen genannten Institutionen in Datenschutzangelegenheiten
ermöglicht. Bisher war diese Kontrollmöglichkeit auf die obersten Organe der Vollziehung – Bundespräsident,
MinisterInnen und Mitglieder der Landesregierungen – beschränkt.
Weiterhin nicht zuständig ist die Datenschutzbehörde für den Bereich der Gesetzgebung. Auch die
Datenschutz-Grundverordnung gilt hierfür nicht. Bei einschlägigen Datenverarbeitungen ist aber jedenfalls
das Grundrecht auf Datenschutz zu berücksichtigen, wie in einer mehrheitlich gefassten Ausschussfeststellung
ausdrücklich festgehalten wird. Das betrifft auch die Tätigkeit parlamentarischer MitarbeiterInnen und
Klubs, wenn diese die Mitglieder des Nationalrats und des Bundesrats bei der Erfüllung ihrer Aufgaben unterstützen.
Gegen die Ausschussfeststellung stimmte lediglich die Liste Pilz.
Mehr als 120 Gesetze werden an neue EU-Vorgaben angepasst
Mit den Stimmen der Koalitionsparteien passierte das 143 Seiten starke Materien-Datenschutz-Anpassungsgesetz 2018
( 65 d.B.) den Ausschuss. Mit der von der Regierung vorgelegten Sammelnovelle werden mehr als 120 Gesetze, angefangen
vom Bundesarchivgesetz bis zum Weingesetz, an die EU-Datenschutz-Grundverordnung bzw. an die neue EU-Datenschutz-Richtlinie
für die Bereiche Innere Sicherheit und Justiz angepasst. Auch wenn die DSGVO unmittelbare Geltung erlangt,
bedarf sie in vielen Bereichen der Durchführung in innerstaatliches Recht, heißt es dazu in den Erläuterungen.
Vorgenommen werden in diesem Sinn etwa terminologische Anpassungen und Konkretisierungen. Außerdem werden
Regelungsspielräume ("Öffnungsklauseln") genutzt. Ein neuer Datenverbund ist für den Schulbereich
in Aussicht genommen.
Eine eigene Sammelnovelle liegt für den Bereich Wissenschaft und Forschung vor, mit der sich der Forschungsausschuss
kommenden Montag befassen wird. Dabei geht es auch um die Frage, inwieweit ForscherInnen Zugang zu von der öffentlichen
Hand gesammelten Daten bekommen sollen.
Ergänzende Gesetzesänderungen und Abänderungsanträge
Ergänzt bzw. adaptiert wurde das Datenschutzpaket heute durch einen Ausschussantrag und zwei Abänderungsanträge,
die zum Teil von ÖVP und FPÖ, zum Teil auch mit Unterstützung der SPÖ eingebracht wurden. Damit
wird unter anderem sichergestellt, dass auch für Verfahren vor den Verwaltungsgerichten, dem Verwaltungsgerichtshof
und dem Verfassungsgerichtshof ein spezifischer datenschutzrechtlicher Rechtsschutz gilt, wobei die Bestimmungen
den Regelungen für Gerichte nachgebildet sind. Zudem geht es um die Nutzung von Daten der Wählerevidenz
durch Parteien für Wahlwerbezwecke und die Übermittlung personenbezogener Daten im Falle eines Rechtshilfeansuchens
aus Drittländern bzw. internationaler Organisationen. Zudem wird den Strafvollzugsbehörden – unter bestimmten
Auflagen – ausdrücklich gestattet, Daten für im öffentlichen Interesse liegende Archiv- und Forschungszwecke
sowie für statistische Zwecke zur Verfügung zu stellen.
Darüber hinaus fassten die Abgeordneten zwei Ausschussfeststellungen. Neben der erwähnten Klarstellung
zur Frage der Datenverarbeitung im Bereich der Gesetzgebung geht es um die Beurteilung der Kreditwürdigkeit
durch Banken. Die Abgeordneten gehen mit Verweis auf die laut Datenschutz-Grundverordnung durchzuführende
Interessensabwägung davon aus, dass es angesichts der Bedeutung von Bonitätsprüfungen, etwa für
den Verbraucherschutz, nicht möglich sein wird, der Aufnahme in einschlägige Datenbanken grundsätzlich
zu widersprechen. Einen ausdrücklichen gesetzlichen Ausschluss des Widerspruchsrechts halten sie daher nicht
für erforderlich.
In Kraft treten sollen die allermeisten Bestimmungen des Datenschutzpakets gemeinsam mit dem im Vorjahr beschlossenen
Datenschutz-Anpassungsgesetz 2018 am 25. Mai (siehe auch Parlamentskorrespondenz Nr. 803/2017). Ab diesem Tag ist
auch die neue EU-Datenschutz-Grundverordnung anzuwenden.
Grundrecht auf Datenschutz gilt nicht mehr für juristische Personen
Im Rahmen der Debatte hob Eva Maria Himmelbauer (ÖVP) hervor, dass die EU-Verordnung einen einheitlichen Datenschutzstandard
in allen EU-Ländern bringt. Dass das Grundrecht auf Datenschutz künftig nicht mehr juristische Personen
umfasst, begründete sie nicht zuletzt damit, dass man auch im Bereich des Datenschutzes nicht notwendiges
"Gold Plating" vermeiden wolle. Durch die Zusammenführung der Kompetenzen brauche es für den
Datenschutzbereich nicht mehr ein Bundesgesetz und neun Ländergesetze. Himmelbauer wies außerdem darauf
hin, dass durch die Datenschutzgesetz-Novelle sichergestellt sei, dass private Unternehmen, die lediglich in einem
Teilbereich in öffentlichem Auftrag tätig sind, keinen Datenschutzbeauftragten bestellen müssen.
Als Beispiel nannte sie Autowerkstätten, die Pickerl-Überprüfungen durchführen.
Opposition fordert Verbandsklagerecht
Nicht durchsetzen konnte sich die Opposition mit einem Abänderungsantrag zum Datenschutz-Deregulierungsgesetz.
ÖVP-Abgeordnete Himmelbauer sagte aber zu, die Anliegen bis zum Plenum zu prüfen. SPÖ, Liste Pilz
und NEOS geht es unter anderem darum, Datenschutz-Organisationen ein Verbandsklagerecht einzuräumen und zwei
Ziffern – betreffend das Arbeitsverfassungsgesetz und betreffend den Ausschluss von Geldbußen im Falle der
Vollziehung von Gesetzen – wieder aus der Gesetzesnovelle zu streichen. Mit der Streichung solle einer Reihe von
Einwendungen betroffener Einrichtungen Rechnung getragen werden, heißt es dazu in den Erläuterungen.
Außerdem vermisst die Oppositon einen bisher im Gesetz verankerten Passus, wonach die Verarbeitung besonders
sensibler Daten wie ethnische Herkunft, Religion, sexuelle Orientierung und politische Einstellung sowie genetische
und biometrische Daten grundsätzlich untersagt bzw. nur unter bestimmten Voraussetzungen zulässig ist.
Zwar sind entsprechende Bestimmungen der Datenschutz-Grundverordnung ohnehin direkt wirksam, die Oppositionsparteien
plädieren dennoch für eine explizite Aufnahme in das Datenschutzgesetz. Gleichzeitig soll festgeschrieben
werden, dass die DSGVO Vorrang vor dem im Gesetz verankerten Grundrecht auf Datenschutz hat, sollte sich ein Widerspruch
zwischen den Normen ergeben. Mit einem Verbandsklagerecht wäre Österreich Vorreiter in Europa, sagte
NEOS-Abgeordneter Scherak.
Was das Materien-Datenschutz-Anpassungsgesetz betrifft, ist laut Scherak noch offen, ob seine Fraktion der Sammelnovelle
im Plenum zustimmen wird. Im Ausschuss lehnte er das Gesetzespaket vorerst jedenfalls ab. Als Grund nannte er den
Umstand, dass im Zuständigkeitsbereich des Innenministeriums das Widerspruchsrecht gegen die Verarbeitung
von Daten zur Gänze gestrichen wurde. Das ist seiner Meinung nach EU-rechtswidrig. Man könnte das Ganze
auch anders regeln und dem Innenministerium beispielsweise die Datenverarbeitung vorläufig gestatten bis eine
Beschwerde rechtlich geklärt sei, meinte er.
Bildung: Datenverbund in Schulen nach Hochschulvorbild
Das Materien-Datenschutz-Anpassungsgesetz 2018 besteht aus insgesamt 128 Artikeln. Mittels Änderungen im Bildungsdokumentationsgesetz
soll etwa die Weiterführung des bewährten Datenverbundes der Universitäten und Pädagogischen
Hochschulen – erweitert um Fachhochschulen, Fachhochschul-Studiengänge sowie Privatuniversitäten – ermöglicht
werden. Dazu kommt die gesetzliche Verankerung eines "Austrian Higher Education Systems Network" für
gemeinsame Studien und Programme.
Außerdem wird die Novellierung des Bildungsdokumentationsgesetzes zum Anlass genommen, auch im Bereich der
Schulen einen dem universitären und hochschulischen Bereich nachgebildeten Datenverbund zu implementieren.
Damit soll etwa bei Schulwechseln und Schuleintritten ein direkter Austausch schülerbezogener Daten stattfinden
können, der bisher nicht möglich war. Die Regelungen dafür sollen mit 1. September 2018 in Kraft
treten.
Arbeit und Soziales: Ergänzende Regelungen für Aufbewahrungsfristen
Neben einer Anpassung datenschutzrechtlicher Begrifflichkeiten und Bestimmungen an die DSGVO geht es im Bereich
Arbeit, Soziales und Konsumentenschutz in Einzelfällen um eine Konkretisierung der Regelungen für Aufbewahrungsfristen.
So soll etwa im Zusammenhang mit Aufgaben des Arbeitsmarktservice sichergestellt werden, dass die Daten entsprechend
dem Bedarf der Behörde ausreichend lange verarbeitet werden dürfen. Längere Fristen als die generelle
von sieben Jahren können sich – beispielsweise im Zusammenhang mit Rechtsansprüchen – auch aus anderen
Rechtsvorschriften ergeben bzw. sind etwa bei Förderungen aus Bundesmitteln erforderlich. Vorgesorgt werden
soll auch für eine Fristverlängerung zur Aufbewahrung von Daten bei Insolvenzen, zum Beispiel in Fällen
der Rückforderung des Insolvenz-Entgelts.
Finanzen: Bewährte Verwaltungspraxis bei Abgabenverfahren wird beibehalten
Im Bereich Finanzen geht es insbesondere darum, die bewährte Verwaltungspraxis bei Abgabenverfahren und die
Regeln für Finanzstrafverfahren mit den neuen EU-Vorgaben in Einklang zu bringen. Zu diesem Zweck werden auch
Öffnungsklauseln für nationale Regelungsspielräume genutzt.
Inneres und Justiz: Besondere Bestimmungen für Verarbeitung biometrischer Daten
Zahlreiche Anpassungen erfolgen im Bereich Inneres. Im Hinblick auf die Rechtmäßigkeit der Datenverarbeitung
werden etwa die jeweiligen Zwecke konkretisiert, Verantwortliche für die Informationsverbundsysteme im Sinne
der Unionsvorschriften definiert und Protokollierungsvorschriften verankert. Außerdem trägt der Entwurf
dem Umstand Rechnung, dass für biometrische Daten besondere Vorschriften gelten. Bei der Verarbeitung erkennungsdienstlicher
Daten wie Fingerabdrücken werden in diesem Sinn spezifische grundrechtsschützende Maßnahmen zu
Gunsten der betroffenen Person verankert.
Ziele der Änderungen im Justizbereich sind die Sicherung eines hohen Datenschutzniveaus für natürliche
Personen, aber auch die Zulässigkeit der Verwendung der zwingend erforderlichen Daten im Zivil- und Strafverfahren
sowie im Strafvollzug unter gleichzeitiger Gewährleistung eines effizienten Rechtsschutzes. Neben der Sicherung
der Unabhängigkeit der Justiz und des Schutzes von Gerichtsverfahren soll der subsidiäre Rechtsschutz
des Gerichtsorganisationsgesetzes im gerichtlichen und staatsanwaltschaftlichen Bereich aufrecht erhalten werden.
Der Gesetzentwurf umfasst überdies Maßnahmen zur Klärung von in der gerichtlichen Praxis strittigen
datenschutzrechtlichen Fragen im Zivilverfahrensrecht. Umgesetzt werden etwa auch Bestimmungen zur Datenübermittlung
an Drittländer oder internationale Organisationen und betreffend die unabhängigen Aufsichtsbehörden
wie die Datenschutzbehörde.
Digitales und Wirtschaft: Eingeschränkte Auskunftspflicht der Wettbewerbsbehörde
Anpassungen im Bereich Digitales und Wirtschaft finden sich im Entwurf etwa beim E-Government-Gesetz. Bei der Zurechnung
der Datenverarbeitung zu einem bestimmten staatlichen Tätigkeitsbereich tritt in der Registrierung die Stammzahlenregisterbehörde
an die Stelle des Datenverarbeitungsregisters. Im Rahmen des Wettbewerbsrechts müsse die Bundeswettbewerbsbehörde
langfristig Akten aufbewahren können, außerdem soll eine laut Entwurf notwendige Einschränkung
des Auskunftsrechts vorgenommen werden, beispielsweise in Bezug auf Ermittlungen zu kartellrechtlichen Verstößen.
Zuständigkeitsbereiche Bundeskanzleramt und öffentlicher Dienst
Um Konkretisierungen und terminologische Anpassungen an die DSGVO geht es auch in den legistischen Zuständigkeitsbereichen
des Bundeskanzleramts (BKA) und beim öffentlichen Dienst. Im Rahmen der Nutzung einer Öffnungsklausel
wird etwa bei letzterem die Zulässigkeit der Verarbeitung und Übermittlung von personenbezogenen Daten
im Beschäftigungskontext normiert. In den Bereich des BKA fallen legistische Umsetzungen beispielsweise im
Archivgesetz und im Statistikgesetz, aber auch Anpassungen für eine Kinderbetreuungsgeld-Datenbank. Festgehalten
wird hier insgesamt auch, dass das bisherige Datenschutzniveau keinesfalls unterschritten werden soll.
Im Bereich Landwirtschaft und Umwelt erfolgen ebenso Anpassungen der Begrifflichkeiten sowie Klarstellungen im
Abfallwirtschaftsgesetz. Im Weingesetz schließlich werden etwa Rechte und Pflichten der Auftragsverarbeiter
und gemeinsam Verantwortlichen definiert und ausdrücklich festgelegt, dass Daten über durchgeführte
Verarbeitungsvorgänge drei Jahre lang aufzubewahren sind.
Datentransfer nach Südkorea und Japan soll vereinfacht werden
Zu Beginn der Sitzung hatte der Verfassungsausschuss einstimmig einen Bericht von Justiz- und Reformminister Josef
Moser über aktuelle EU-Vorhaben auf dem Gebiet des Datenschutzes und des Vergaberechts ( III-101 d.B.) genehmigt.
Daraus geht unter anderem hervor, dass die EU-Kommission bestrebt ist, Datenübermittlungen – nach dem Vorbild
des EU-US Privacy Shield und ähnlichen Vereinbarungen mit Kanada und der Schweiz – auch in andere Drittländer
zu vereinfachen. Aktuell laufen etwa Gespräche mit Japan und Südkorea. Weiters geplant sind eine neue
Datenschutz-Verordnung für EU-Institutionen, die Überarbeitung der Datenschutzkonvention des Europarats
sowie eine Überarbeitung der EU-Richtlinie zur Förderung sauberer und energieeffizienter Straßenfahrzeuge.
Der Generalsekretär des Justizministeriums Christian Pilnacek erwartet durch die geplante Datenschutz-Verordnung
für EU-Institutionen sowie die neue Europarats-Konvention keinen unmittelbaren Einfluss auf das österreichische
Datenschutzregime.
|
