Österreichischer Entwurf zum Datenschutz-Anpassungsgesetz im Interesse eines unionseinheitlichen Datenschutzrechts

Mit dem Entwurf des Datenschutz-Anpassungsgesetzes 2018 zur Datenschutz-Grundverordnung (DSGVO) wird das veraltete Melde- und Genehmigungssystem der österreichischen Datenschutzbehörden durch ein Selbstvewertungssystem abgelöst. Aus Unternehmensperspektive wird der Fokus fortan vermehrt auf datenschutzrechtlichen Compliancefragen liegen. Die Datenschutzbehörde wird dabei die Kontroll- und Sanktionsfunktion zur Einhaltung der datenschutzrechtlichen Vorgaben wahrnehmen. Besonders auffallend ist bei dem österreichischen Entwurf, im Vergleich zu anderen Unionsländern, dass ein nur zurückhaltender Gebrauch von den Öffnungsklauseln gemacht wird. Damit erfüllt der Entwurf zwar einerseits nur die Minimalvorgaben der DSGVO, andererseits ist er damit aus europäischer Perspektive durchaus zielführend, da er zu einem einheitlichen Datenschutzrecht beiträgt.

Vor dem Hintergrund der Nutzung der eingeräumten Öffnungsklauseln war insbesondere bisher unklar, inwieweit  Österreich diese Gestaltungsspielräume im Hinblick auf eine Pflicht der Unternehmen zur Bestellung eines Datenschutzbeauftragten wahrnehmen wird. Mit der Vorlage des Entwurfes wird nun deutlich, dass sich daraus keine weiter reichenden Verpflichtungen zur Bestellung eines externen Datenschutzbeauftragten, als durch die DSGVO nach Maßgabe des Art. 37 Abs. 5 und 7 DSGVO ohnehin vorgegeben, ergeben. Grund dafür ist wohl auch, dass die Wirtschaftskammer sich bisher vehement dagegen ausgesprochen hatte, dass weitere Belastungen für Unternehmen geschaffen werden. Dies bedeuted jedoch nicht, dass die Unternhemen, die nach der DSGVO nicht verpflichtet sind einen Datenschutzbeauftragten zu bestellen, zukünftg nicht auch trotzdem die datenschutzrechtlichen Vorgaben einhalten müssen. Vielmehr tragen dabei die Verantwortlichen das Risiko, dass Verstöße gegen die DSGVO zu horrenden Bußgeldern führen können. Aus diesem Grund ist den Unternehmen durchaus zu raten, sich bei der unternehmensinternen Implementierung, bzw. bei der Anpassung der bestehenden datenschutzrechtlichen Standards an die DSGVO, von fachkundigen Datenschutzbeauftragten unterstützen zu lassen. Nennenswert ist in diesem Zusammenhang auch die für die Datenschutzbeauftragten geltende Verschwiegenheitspflicht und das Aussageverweigerungsrecht nach § 5 des Entwurfes. Danach ist der Datenschutzbeauftragte, wenn er nicht bereits an berufliche Geheimhaltungsregelungen gebunden ist, bei der Erfüllung seiner Aufgaben stets an Geheimhaltung und Vertraulichkeit gebunden. Soweit ihn die betroffene Person nicht davon befreit, ist er damit auch zur Verschwiegenheit über die Identität der betroffenen Person und über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet.

In § 19 des Entwurfes wird klargestellt, dass die Datenschutzbehörde Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweiten Konzernumsatzes verhängen kann. Danach können erstens Geldbußen gegen das Unternehmen selbst, als juristische Person verhängt werden, wenn eine Person, die eine Führungsposition innerhalb des Unternehmens innehat, gegen Datenschutzrecht verstößt. Zweitens können Geldbußen gegen das Unternehmen wegen Überwachungs-und Kontrollversagen verhängt werden, d.h., wenn eine Führungskraft ihren Aufsichtspflichten nicht nachgekommen ist und dadurch ein Verstoß durch eine für das Unternehmen tätige Person ermöglicht wurde. Dies ist zum Beispiel dann der Fall, wenn ein Mitarbeiter eines Unternehmens Datenschutzrecht aufgrund der fehlenden Implementierung eines Datenschutz-Kontroll- oder -Managementsystems, verletzt. Drittens kann nach § 19 des Entwurfes auch ein für den Datenschutzbereich Verantwortlicher persönlich bestraft werden. Da die DSGVO jedoch nur das Unternehmen bestrafen will, ist diese Regelung nicht datenschutzrechtskonform ausgestaltet. Die Konformität mit der DSGVO versucht der Entwurf jedoch wieder herzustellen, indem er vorsieht, dass die Datenschutzbehörde in dem Fall von einer Bestrafung der natürlichen Person absehen kann, wenn gegen das Unternehmen bereits eine Strafe verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen. Letzteres ist dann der Fall, wenn dem Beauftragten kein persönlicher Vorwurf gemacht werden kann.

Der für den Datenschutzbereich Verantwortliche ist jedoch nicht mit dem Datenschutzbeauftragten gleichzusetzen. Letzterer wird nach dem Entwurf nicht durch die Auferlegung von Geldbußen zur Verantwortung gezogen, wenn das Unternehmen gegen Datenschutzrecht verstößt.

Nach § 76 des Entwurfes wird die datenschutzbehördliche Meldepflicht von (automatisierten) Systemen durch die Pflicht zur Führung eines internen Verfahrensverzeichnisses ersetzt. Die Konsequenz daraus ist, dass das von der Datenschutzbehörde geführte Datenverarbeitungsregister (DVR) abgeschafft wird. Im DVR anhängige Registrierungsverfahren sind damit, ab dem 25.5.2018, als eingestellt zu betrachten. Nach dem Entwurf ist das datenschutzbehördliche DVR jedoch bis zum 31.12.2019 zu Archivzwecken fortzuführen. Die bis dahin mögliche Abrufbarkeit der Informationen im DVR, als auch die Tatsache, dass die in dem Verfahrensverzeichnis anzugebenden Informationen nahezu identisch mit den Informationen für die DVR-Meldungen sind, veranlassen jedoch dazu, dazu zu raten, dass Meldungen in das DVR weiterhin vorgenommen werden sollten. Vor diesem Hintergrund ist insbesondere darauf hinzuweisen, dass die Meldepflicht im DVR bis zum 24.5.2018 weiterhin besteht und daher jede nicht vorgenommene Meldung eines Systems bis zum 24.5.2017 eine Strafe in Höhe von 10.000 Euro nach sich ziehen kann.

Zusammenfassend wird der Stellenwert, den Österreich dem Datenschutz beimisst, bereits durch § 1 Abs. 1, dem österreichischen Grundrecht auf Datenschutz, als die den Entwurf anführende Regelung, deutlich hervorgehoben. Darüber hinaus wird dieser Stellenwert nun auch an anderen Stellen des weitestgehend DSGVO-konformen österreichischen Datenschutz-Anpassungsgesetz 2018, darunter u.a. mit den damit einhergehenden drakonischen Bußgeldern nochmals hervorgehoben und gesichert. Aus europäischer Perspektive erscheint dies, insbesondere auch aufgrund der minimalen Nutzung der DSGVO-Öffnungsklauseln, die zu einem unionseinheitlichen Datenschutzrecht beiträgt, begrüßenswert.