Logo ÖV - Österreichische Vereinigung für gewerblichen Rechtsschutz und Urheberrecht
Aktuell

Das DSG neu - Ein Überblick über praxisrelevante Neuerungen03.11.2017

Von Rechtsanwältin Dr. Sonja Dürager, bpv Hügel Rechtsanwälte GmbH

Die EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, kurz „DSGVO“) wurde als eine „hinkende“ Verordnung verabschiedet. Diese verlangt daher von den Mitgliedsstaaten nicht nur verwaltungsrechtliche Durchführungsmaßnahmen, sondern gewährt dem nationalen Gesetzgeber in vielen materiell rechtlichen Bereichen Spielräume und erlaubt konkretere Regelungen, welche die Verordnung inhaltlich natürlich nicht ändern dürfen. Die Befürchtung, dass durch einen europaweiten „Fleckerlteppich“ an Datenschutzvorschriften der digitale Binnenmarkt in der Ausschöpfung seines Potentials behindert werden könnte, ist damit fürs Erste einmal nicht beseitigt. 

Das österreichische Datenschutz-Anpassungsgesetz 2018 wurde am 31.7.2017 im Bundesgesetzblatt kundgemacht. Ab seinem Inkrafttreten am 25. Mai 2018 wird dieses „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (im Folgenden „DSG 2018“) gelten. Österreich hat von den 69 Öffnungsklauseln der DSGVO nicht mehr als unbedingt notwendig Gebrauch gemacht, wobei meiner Meinung nach bei einzelnen fakultativen Öffnungsklauseln eine nationale Konkretisierung von Vorteil hätte sein können. Erwähnt sei etwa die Regelung zum „Profiling“[1]. In Artikel 22 DSGVO hat es der europäische Gesetzgeber den Mitgliedsstaaten überlassen, Ausnahmetatbestände aus dem Verbot des „Profiling“ zu schaffen. Dieser verwendet aber auslegungsbedürftige Rechtsbegriffe (zB kann die Frage aufkommen, was wiegt so schwer gegenüber der betroffenen Person wie die Entfaltung von rechtlichen Wirkungen), was es für den Anwender erschwert, die Einordnung einer Maßnahme („Entscheidung“ – gemäß DSGVO) unter dieses Verbot subsumieren zu können. Es wären Adaptierungen dieser Bestimmung hilfreich gewesen. So wäre es nach meiner Meinung etwa für die Marketingbranche ein Gewinn, wenn hinsichtlich der Anwendung von „Sinus-Milieus“[2] für bedarfsorientierte Werbung mehr Klarheit geschaffen worden wäre.

Nichtsdestotrotz hat der österreichische Gesetzgeber diverse andere Themen in Ausnutzung des ihm eingeräumten Spielraums geregelt und sind auch sonst einige Besonderheiten im Datenschutzgesetz 2018 erwähnenswert.

1)     Die juristische Person

Entgegen dem nunmehrigen Titel des Gesetzes hat sich Österreich hinsichtlich des Schutzumfangs noch nicht vom Schutz von Daten juristischen Personen verabschiedet. Hervorzuheben ist daher die Beibehaltung eines allgemein gehaltenen „österreichischen“ Grundrechts auf Datenschutz, und zwar sowohl für natürliche als auch weiterhin für juristische Personen. So wurde das DSG 2018 ohne eine Zweidrittelmehrheit im Nationalrat beschlossen, die allerdings notwendig gewesen wäre, um den Anwendungsbereich des § 1 DSG 2000, der als Verfassungsbestimmung in das Datenschutzrecht Eingang gefunden hat, auf natürliche Personen einzuschränken. Die Verfassungsbestimmungen des DSG 2000 bleiben daher weiterhin aufrecht.

Das Grundrecht auf Datenschutz besteht prinzipiell aus dem Recht auf Geheimhaltung, dem Recht auf Auskunft, Richtigstellung und Löschung. Diese Betroffenenrechte sind in der DSGVO geregelt. Es ist daher nach meiner Meinung die Frage offen, ob es Betroffenenrechte von juristischen Personen gibt und ob deren Verletzung nach dem Sanktionsregime der DSGVO zu ahnden ist. § 30 Abs 1 DSG 2018 würde zumindest normieren, dass bei einem Verstoß gegen die DSGVO und des § 1 DSG 2018 Geldbußen verhängt werden können. Da die Verletzung von § 1 DSG 2018 allerdings keinen Tatbestand nach Art 83 DSGVO verwirklicht, könnte die relevante Strafbestimmung allenfalls nur § 62 DSG 2018 sein; an dieser Stelle wird jedoch § 1 DSG 2000 auch nicht separat als Verwaltungsübertretung genannt.

2)     Altersgrenze

Die DSGVO legt einen speziellen Fokus auf den Schutz der Jugendlichen und Kinder vor Risiken, die aus dem Internet drohen. Dort wird auch geregelt, dass die Verarbeitung von Daten von Kindern bis Vollendung des sechzehnten Lebensjahres im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft, die diesen gemacht werden, nur mit Einwilligung des Trägers der elterlichen Verantwortung zulässig ist. Tatsache ist aber, dass genau für diese Altersgruppe die Online-(Gratis)-Dienste eine tragende Rolle spielen. So gehen 93% der 9- bis 16-Jährigen nach einer bereits 2011 von EU Kids Online veröffentlichten Studie (http://eprints.lse.ac.uk/39351/1/EU_kids_online_final_report_%5BLSERO%5D.pdf) zumindest wöchentlich online, 60% jeden Tag oder fast jeden Tag. Diese Prozent-Zahlen sind heute wohl eher höher anzusetzen. Dieser „Entmündigung“ der „Generation Z“ ist Österreich entgegen getreten und hat die Altersgrenze, wie das Art 8 Abs 1 DSGVO den Mitgliedstaaten einräumt, ABGB-konform auf 14 Jahre herabgesetzt. Allerdings bleiben die praktischen Schwierigkeiten, wie Altersverifikation und Feststellung der elterlichen Verantwortung, meiner Meinung nach bestehen.

3)     Verbandsverantwortung

§ 30 Abs 3 DSG 2018 regelt die Verbandsverantwortung für Datenschutzverstöße und bestimmt daher, angelehnt an die Bestimmung des § 99d BWG, dass die Behörde gegen die juristische Person vorgehen kann, wenn der Verstoß durch Personen begangen wurde, die entweder als Organ der juristischen Person gehandelt haben, und eine Führungsposition aufgrund der Vertretungsbefugnis und der Befugnis, Entscheidungen für die juristische Person zu treffen, oder einer Kontrollbefugnis innehaben.

Über die Bestimmung des § 30 DSG 2018 bleibt daher ein Rückgriff von juristischen Personen auf die natürliche Person „Organträger“, für deren Verhalten der Verband verantwortlich gemacht wird, möglich, selbst wenn aus Überlegungen nach Maßgabe des § 879 ABGB ein Rückgriff auf die natürliche Person wohl ausgeschlossen sein würde. § 11 VbVG sieht dagegen vor, dass für Sanktionen und Rechtsfolgen, die den Verband auf der Grundlage des Verbandsverantwortlichkeitsgesetzes treffen, ein Rückgriff auf Entscheidungsträger oder Mitarbeiter ausgeschlossen ist. Eine solche Regelung mit Klarstellungsfunktion wäre im vorliegenden Zusammenhang zielführend gewesen.

4)     Verhängung der Strafe durch die DSB

Die Datenschutzbehörde soll nach § 11 Abs 5 DSG 2018 die exorbitanten Geldbußen der DSGVO verhängen können. Abzuwarten ist, ob diese Kompetenz der Behörde aus verfassungsrechtlicher Sicht haltbar sein wird. So sei auf das derzeit anhängige Verfahren vor dem VfGH, wo es um die Prüfung der Verfassungsmäßigkeit der Strafkompetenz der FMA geht, verwiesen. Dort nimmt in diesem Zusammenhang das Bundesverwaltungsgericht an, dass aufgrund der Höhe der Strafdrohung in § 99d BWG der Gesetzgeber eine Sanktion vorgesehen hat, die nach den Anforderungen des Art 91 B-VG in den Kernbereich der Strafgerichtsbarkeit fällt und daher nicht als Verwaltungsstrafe unter der nachprüfenden Kontrolle eines Verwaltungsgerichts normiert werden dürfte (vgl BVwG 24.11.2016, W210 2138108-1). Bei Strafdrohungen in Höhe von bis zu EUR 20 Millionen oder 4 % des konzernweiten Jahresumsatzes könnte wohl auch von einer solchen in den Kernbereich der Strafgerichtsbarkeit fallenden Strafdrohung gesprochen werden.

5)     Klagen beim Landesgericht

Für Klagen auf Ersatz von Schaden, der aus einer Verletzung der DSGVO oder der §§ 1 und 2 DSG entstanden ist, sind ausschließlich die mit Zivilrechtssachen betrauten Landesgerichte, in dessen Sprengel der Kläger seinen Sitz hat, zuständig.

6)     Bildaufnahmen

§ 12ff DSG 2018 regelt nunmehr in Erweiterung der bisherigen Spezialregelungen zur Videoüberwachung auch die bloße Verarbeitung von Lichtbildern („Bildaufnahme“) als Sondertatbestand. Dies ist deshalb zulässig ist, weil Art 6 Abs 2 DSGVO spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften über die Rechtmäßigkeit der Verarbeitung einschließlich besonderen Verarbeitungssituation erlaubt.

Im Prinzip wurden die Bestimmungen aus dem DSG 2000 nur weiterentwickelt und auf diverse neue Technologien oder nicht weniger heikle aber praktisch relevante Aufnahmen angewendet. Der Anwendungsbereich dieser Bestimmung soll nämlich nunmehr umfassender sein und nicht mehr nur auf den Überwachungszweck abstellen. Er soll daher neben der klassischen Videoüberwachungsanlage auch Anwendungen, wie „Action-Cams“ oder Wildkameras, sowie private Bildaufnahmen (zB das bloße Anfertigen von Fotos durch einen Berufsdetektiv oder aber auch Bilder, bei denen es nur um die Abbildung einer Person – ohne diese überwachen zu wollen – geht), erfassen.

Unterschieden wird zwischen der bloßen Aufnahme von Bildern und dem Übermitteln derselben. Unter der Aufnahme wird das Feststellen von Ereignissen verstanden, wobei „Ereignis“ nach den Materialien weit verstanden werden soll und „Aufnahme“ als Verarbeitungstätigkeit nicht konkretisiert wird. Interessant wird diese Begriffskombination im Zusammenhang mit der proklamierten Technologieneutralität der DSGVO werden, da dann wohl auch das bloße kurzzeitige technisch notwendige Speichern im Cache darunter fallen würde.

Beibehalten wird in § 12 Abs 2 Z 4 DSG 2018 die Konstellation der „überwiegenden berechtigten Interessen“ des Verantwortlichen oder eines Dritten im Einzelfall, welche die Verarbeitung zulässig machen können. Damit wird zumindest für die Bildaufnahme wieder ein höherer Maßstab bei der Abwägung der Interessen des Verantwortlichen und des Betroffenen, als ihn nunmehr die DSGVO kennt, eingeführt; diese verlangt nach Art 6 Abs 1 lit f DSGVO bloß, dass kein Interesse einer betroffenen Person die berechtigten Interessen des Verantwortlichen überwiegt, womit ein Gleichstand genügt.

Der Verantwortliche hat auch weiterhin – mit speziellen Ausnahmen – die Bildaufnahmen zu kennzeichnen. Gestrichen wurde hingegen die Möglichkeit zur Hinterlegung des Schlüssels für eine verschlüsselte Aufnahme. Weiters ist auch die Sonderregelung zum Auskunftsrecht des Betroffenen entfallen. Dieses  wird sich künftig nach den allgemeinen Vorgaben der DSGVO richten.

7)     Arbeitnehmerdatenschutz

Die DSGVO hat in Artikel 88 dem nationalen Gesetzgeber die Option eingeräumt, spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten zur Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext umzusetzen, und zwar entweder durch Rechtsvorschriften oder durch Kollektivvereinbarungen. Österreich hat von dieser Öffnungsklausel insoweit Gebrauch gemacht, als generell auf das Arbeitsverfassungsgesetz (ArbVG) verwiesen wird. So ist „das ArbVG, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art 88 DSGVO“.

Es behandelt zwar auch das Arbeitsverfassungsgesetz Themen mit einer datenschutzrechtlichen Relevanz, allerdings werden diese nicht unbedingt parallel gelöst. So entsteht in der Praxis immer wieder ein Auseinanderfallen der Regelungsregime bei Fragen der Kontrolle und Überwachung von Mitarbeitern (sogenannte „Kontrollmaßnahmen“ nach § 96 ArbVG), was in den letzten Jahren etwa die Behandlung von Whistleblowing-Hotlines als einer der zwingenden Mitbestimmung des Betriebsrates unterliegende Maßnahme gezeigt hat. Es wurden daher bereits in der Vergangenheit Diskussionen über das Verhältnis Datenschutz- und Arbeitsverfassungsrecht geführt. Unter anderem wurde die Meinung vertreten, dass nach der „Trennungsthese“ (angewendet aus dem Verhältnis Individualarbeits- und Betriebsverfassungsrecht) die datenschutzrechtliche Zulässigkeit unabhängig von der betriebsverfassungsrechtlichen Komponente zu beurteilen ist, und daher die Zulässigkeit einer Maßnahme nach Datenschutzrecht nichts über die Legitimität einer Maßnahme nach Arbeitsverfassungsrecht aussagt und umgekehrt. Der Gesetzgeber hat mit § 11 DSG 2018 vor allem die Kompetenzgrundlage geschaffen, mit kollektivvertraglichen Regelungen Datenschutzthemen zu regeln. Maßstab für den nötigen Inhalt dieser Regelungen müssen die Art 5 ff der DSGVO sein, da mit der Betriebsvereinbarung letztlich nichts anderes als eine Rechtsgrundlage für die Datenverarbeitung geschaffen wird. Nebenbei bleibt allerdings der Arbeitgeber für die Einhaltung der Datenschutzvorschriften verantwortlich und hat daher etwa eine Datenschutzfolgenabschätzung für eine in einer Betriebsvereinbarung zu regelnde Datenverarbeitung vorzunehmen. Es bleibt daher abzuwarten, wie sich dieses meiner Meinung nach über den Generalverweis in § 11 DSG 2018 nicht geregelte Spannungsverhältnis zwischen Datenschutzrecht und Arbeitsverfassungsrecht auflösen wird.

8)     Weitergeltung der Zustimmungserklärungen

Im § 69 Abs 9 DSG 2018 ist geregelt, dass nach dem DSG 2000 erteilte Zustimmungen aufrecht bleiben, sofern sie den Vorgaben der DSGVO entsprechen. Daraus muss der Schluss gezogen werden, dass auch für Verarbeitungstätigkeiten, die bereits vor dem 25.5.2018 aufgenommen wurden, es möglich sein kann, noch einmal eine Zustimmung einholen zu müssen, um weiterhin rechtskonform Daten verarbeiten zu können. Es müsste dann wohl auch eine Information der Betroffenen erfolgen, die nach Art 13 und 14 DSGVO inhaltlich über die bisher verlangten Kriterien hinausgeht. Dabei geht etwa die „Art 29-Datenschutzgruppe“ in einer Stellungnahme (WP 187) zur früheren Rechtslage davon aus, dass eine rechtswirksame informierte Zustimmung die detaillierte Information des Betroffenen verlangt.

Eine nachträgliche Informationserteilung würde aber im Prinzip der Regelung des Art 13 DSGVO widersprechen, weil dieser anordnet, dass die Information bereits mit Erhebung erteilt werden muss. Wenn die Erhebung aber bereits vor dem 25.5.2018 stattgefunden hat, war die DSGVO noch nicht anwendbar; eine Rückwirkung dieser Bestimmung wird von der DSGVO nicht angeordnet. Es besteht für diese Regelung daher wohl noch Klärungsbedarf.

9)     Datenschutz im Bereich Innere Sicherheit

Hervorzuheben ist noch, dass das Datenschutzgesetz im 3. Hauptstück auch die „Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“ in innerstaatliches Recht umsetzt. Diese spezielleren Regelungen gehen den Regelungen des DSGVO vor. Hier finden Vorschriften betreffend die Rechtmäßigkeit der Verarbeitung sowie der Weiterverwendung ebenso wie die Betroffenenrechte (Information, Auskunft, Löschung) Eingang. Ferner wird den Sicherheitsbehörden die Pflicht auferlegt, ein Verarbeitungsverzeichnis im Sinne des Art 30 DSGVO zu führen, wobei explizit die Pflicht zur Dokumentation von „Profiling“ und der Rechtsgrundlage dafür hervorgehoben wird.

10)  Verwaltungsstrafbestimmungen

Abschließend regelt das DSG 2018 auch noch verwaltungsrechtliche Strafbestimmungen für solche Tatbestände, die nicht von Art 83 DSGVO erfasst sind, und zwar wie folgt:

·        der rechtswidrige Zugang zu einer Datenverarbeitung;

·        die Weitergabe von Daten in Verletzung des Datengeheimnisses – das im Übrigen mangels Vorgaben in der DSGVO, in § 6 DSG 2018 als Pendantbestimmung zum DSG 2000 geregelt wird;

·        das Verschaffen von Daten unter Täuschung; die Verweigerung einer behördlichen Einschau;

·        die rechtswidrige Bildverarbeitung nach dem DSG 2018.

Die angedrohte Strafhöhe beträgt bis zu EUR 50.000,00 und entfernt sich damit doch deutlich von den sehr hohen Geldbußen der DSGVO.

Beitrag Rechtsanwältin Dr. Sonja Dürager, von bpv Hügel Rechtsanwälte GmbH



[1] Profiling ist nach Art 4 Z 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

[2] Sinus-Milieus sind eine von SINUS Markt‐und Sozialforschung GmbH entwickelte Gesellschafts- und Zielgruppen-Typologie, die Menschen nach ihrer Lebensauffassung und Lebensweise in Zielgruppen einteilt, die für Produktentwicklung, Strategie, Positionierung, Kommunikation, Mediaplanung wertvolle Informationen liefern (vgl Informationen zu den Sinus-Milieus, https://www.sinus-institut.de/veroeffentlichungen/downloads/).

zurück

Kalender
Mehr
Mitglied werden

Nutzen Sie die Vorteile einer Mitgliedschaft bei der ÖVMitgliedsvorteile

Aufsätze und Entscheidungen mit Anmerkungen von Experten
jährlich 6 HefteAbo Bestellung bei ManzEditorial/Inhalt aktuelle Ausgabe

ÖBl-Seminar

09.04.2025
WKO, Rudolf Sallinger Saal, Wiedner Hauptstraße 63, 1040 WienMehrBericht vergangenes Seminar