9. April 2019
Die niedersächsische Landesregierung hat am 03.04.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19). Hintergrund des Antrages ist, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Niedersachsen gibt in seinem Antrag an, dass laut einer Studie des Verbands Bitkom nur etwa ein Viertel der deutschen Unternehmen angeben, die DSGVO vollständig umgesetzt zu haben. Eine der größten Hürden sei die hohe Rechtsunsicherheit, welche sich durch die Flut von Anfragen bei den Datenschutzbehörden abzeichne.
Insbesondere kleine und mittlere Unternehmen sowie ehrenamtliche Einrichtungen seien in ihrem Arbeitsalltag stärker durch die Anforderungen der DSGVO eingeschränkt und müssen entlastet werden. Das Land Niedersachsen schlägt deshalb vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle wird nicht gemacht. Diese Forderung könnte jedoch dem Missverständnis zu Grunde liegen, dass viele kleinere Unternehmen oder Verbände denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Sollte die Schwelle angehoben werden, besteht eventuell die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht verpflichtend sind.
Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“.
Außerdem verlangt die niedersächsische Landesregierung, insbesondere für KMUs gesetzlich auszuschließen, dass Datenschutzverstöße wettbewerbsrechtlich abgemahnt werden können. Die Geltendmachung von Datenschutzverstößen durch zugelassene Verbraucherschutzvereinigungen nach dem Unterlassungsklagegesetz soll laut des Antrags jedoch davon unberührt bleiben.
Schließlich möchte Niedersachsen eine Ausnahmeregelung bzw. Erleichterung für die vorübergehende Datennutzung zu Erprobungs- und Testzwecken erwirken. „Der Bundesrat bittet die Bundesregierung vor diesem Hintergrund zu prüfen, ob und wie Ausnahmen bzw. Erleichterungen für die Verarbeitung personenbezogener Daten für Erprobungs- und Testzwecke in die datenschutzrechtlichen Bestimmungen implementiert werden können und dies entsprechend umzusetzen.“
12. Juni 2018
Die Verpflichtung für die Benennung eines Datenschutzbeauftragten folgt aus Art. 37 DSGVO. Interessant ist hier insb. Abs. 1 lit. c), wonach ein Datenschutzbeauftragter zu benennen ist, wenn „die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“
In einer Arztpraxis spielen Gesundheitsdaten eine wichtige Rolle. Um die Patienten angemessen behandeln zu können, ist es unabdingbar die Krankengeschichte und sonstige persönliche und medizinische Informationen einzuholen. Es stellt daher eine Haupttätigkeit eines Arztes und somit eine Kerntätigkeit im Sinne des Gesetzes dar.
Für die Bestimmung, ob ein Datenschutzbeauftragter bestellt werden muss, kommt es somit vorallem darauf an, ob eine „umfangreiche“ Verarbeitung vorliegt. Der Begriff „umfangreich“ ist in der DSGVO selbst nicht weiter definiert, findet allerdings in Art. 35 DSGVO, im Rahmen der Datenschutz-Folgenabschätzung, weitere Verwendung. In Erwägungsgrund 91 heißt es hierzu u.a.: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Daraus lässt sich schließen, dass bei vielen Gemeinschaftspraxen eine Bestellung notwendig sein wird. Gemäß § 38 BDSG (neue Fassung) ist dieses Erfordernis bei einer Beschäftigungszahl von 10 Personen in einer Praxis erfüllt.
9. Juni 2017
Mit dem Entwurf des Datenschutz-Anpassungsgesetzes 2018 zur Datenschutz-Grundverordnung (DSGVO) wird das veraltete Melde- und Genehmigungssystem der österreichischen Datenschutzbehörden durch ein Selbstvewertungssystem abgelöst. Aus Unternehmensperspektive wird der Fokus fortan vermehrt auf datenschutzrechtlichen Compliancefragen liegen. Die Datenschutzbehörde wird dabei die Kontroll- und Sanktionsfunktion zur Einhaltung der datenschutzrechtlichen Vorgaben wahrnehmen. Besonders auffallend ist bei dem österreichischen Entwurf, im Vergleich zu anderen Unionsländern, dass ein nur zurückhaltender Gebrauch von den Öffnungsklauseln gemacht wird. Damit erfüllt der Entwurf zwar einerseits nur die Minimalvorgaben der DSGVO, andererseits ist er damit aus europäischer Perspektive durchaus zielführend, da er zu einem einheitlichen Datenschutzrecht beiträgt.
Vor dem Hintergrund der Nutzung der eingeräumten Öffnungsklauseln war insbesondere bisher unklar, inwieweit Österreich diese Gestaltungsspielräume im Hinblick auf eine Pflicht der Unternehmen zur Bestellung eines Datenschutzbeauftragten wahrnehmen wird. Mit der Vorlage des Entwurfes wird nun deutlich, dass sich daraus keine weiter reichenden Verpflichtungen zur Bestellung eines externen Datenschutzbeauftragten, als durch die DSGVO nach Maßgabe des Art. 37 Abs. 5 und 7 DSGVO ohnehin vorgegeben, ergeben. Grund dafür ist wohl auch, dass die Wirtschaftskammer sich bisher vehement dagegen ausgesprochen hatte, dass weitere Belastungen für Unternehmen geschaffen werden. Dies bedeuted jedoch nicht, dass die Unternhemen, die nach der DSGVO nicht verpflichtet sind einen Datenschutzbeauftragten zu bestellen, zukünftg nicht auch trotzdem die datenschutzrechtlichen Vorgaben einhalten müssen. Vielmehr tragen dabei die Verantwortlichen das Risiko, dass Verstöße gegen die DSGVO zu horrenden Bußgeldern führen können. Aus diesem Grund ist den Unternehmen durchaus zu raten, sich bei der unternehmensinternen Implementierung, bzw. bei der Anpassung der bestehenden datenschutzrechtlichen Standards an die DSGVO, von fachkundigen Datenschutzbeauftragten unterstützen zu lassen. Nennenswert ist in diesem Zusammenhang auch die für die Datenschutzbeauftragten geltende Verschwiegenheitspflicht und das Aussageverweigerungsrecht nach § 5 des Entwurfes. Danach ist der Datenschutzbeauftragte, wenn er nicht bereits an berufliche Geheimhaltungsregelungen gebunden ist, bei der Erfüllung seiner Aufgaben stets an Geheimhaltung und Vertraulichkeit gebunden. Soweit ihn die betroffene Person nicht davon befreit, ist er damit auch zur Verschwiegenheit über die Identität der betroffenen Person und über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet.
In § 19 des Entwurfes wird klargestellt, dass die Datenschutzbehörde Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweiten Konzernumsatzes verhängen kann. Danach können erstens Geldbußen gegen das Unternehmen selbst, als juristische Person verhängt werden, wenn eine Person, die eine Führungsposition innerhalb des Unternehmens innehat, gegen Datenschutzrecht verstößt. Zweitens können Geldbußen gegen das Unternehmen wegen Überwachungs-und Kontrollversagen verhängt werden, d.h., wenn eine Führungskraft ihren Aufsichtspflichten nicht nachgekommen ist und dadurch ein Verstoß durch eine für das Unternehmen tätige Person ermöglicht wurde. Dies ist zum Beispiel dann der Fall, wenn ein Mitarbeiter eines Unternehmens Datenschutzrecht aufgrund der fehlenden Implementierung eines Datenschutz-Kontroll- oder -Managementsystems, verletzt. Drittens kann nach § 19 des Entwurfes auch ein für den Datenschutzbereich Verantwortlicher persönlich bestraft werden. Da die DSGVO jedoch nur das Unternehmen bestrafen will, ist diese Regelung nicht datenschutzrechtskonform ausgestaltet. Die Konformität mit der DSGVO versucht der Entwurf jedoch wieder herzustellen, indem er vorsieht, dass die Datenschutzbehörde in dem Fall von einer Bestrafung der natürlichen Person absehen kann, wenn gegen das Unternehmen bereits eine Strafe verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen. Letzteres ist dann der Fall, wenn dem Beauftragten kein persönlicher Vorwurf gemacht werden kann.
Der für den Datenschutzbereich Verantwortliche ist jedoch nicht mit dem Datenschutzbeauftragten gleichzusetzen. Letzterer wird nach dem Entwurf nicht durch die Auferlegung von Geldbußen zur Verantwortung gezogen, wenn das Unternehmen gegen Datenschutzrecht verstößt.
Nach § 76 des Entwurfes wird die datenschutzbehördliche Meldepflicht von (automatisierten) Systemen durch die Pflicht zur Führung eines internen Verfahrensverzeichnisses ersetzt. Die Konsequenz daraus ist, dass das von der Datenschutzbehörde geführte Datenverarbeitungsregister (DVR) abgeschafft wird. Im DVR anhängige Registrierungsverfahren sind damit, ab dem 25.5.2018, als eingestellt zu betrachten. Nach dem Entwurf ist das datenschutzbehördliche DVR jedoch bis zum 31.12.2019 zu Archivzwecken fortzuführen. Die bis dahin mögliche Abrufbarkeit der Informationen im DVR, als auch die Tatsache, dass die in dem Verfahrensverzeichnis anzugebenden Informationen nahezu identisch mit den Informationen für die DVR-Meldungen sind, veranlassen jedoch dazu, dazu zu raten, dass Meldungen in das DVR weiterhin vorgenommen werden sollten. Vor diesem Hintergrund ist insbesondere darauf hinzuweisen, dass die Meldepflicht im DVR bis zum 24.5.2018 weiterhin besteht und daher jede nicht vorgenommene Meldung eines Systems bis zum 24.5.2017 eine Strafe in Höhe von 10.000 Euro nach sich ziehen kann.
Zusammenfassend wird der Stellenwert, den Österreich dem Datenschutz beimisst, bereits durch § 1 Abs. 1, dem österreichischen Grundrecht auf Datenschutz, als die den Entwurf anführende Regelung, deutlich hervorgehoben. Darüber hinaus wird dieser Stellenwert nun auch an anderen Stellen des weitestgehend DSGVO-konformen österreichischen Datenschutz-Anpassungsgesetz 2018, darunter u.a. mit den damit einhergehenden drakonischen Bußgeldern nochmals hervorgehoben und gesichert. Aus europäischer Perspektive erscheint dies, insbesondere auch aufgrund der minimalen Nutzung der DSGVO-Öffnungsklauseln, die zu einem unionseinheitlichen Datenschutzrecht beiträgt, begrüßenswert.
