Kontakt   |    Sitemap   |    Impressum   |    Site Search:   

 

DSG-Info-Service Nr. 86
Jänner 2017

Eine ausdruckbare Version ist als PDF-Datei verfügbar.

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Knapp vor Weihnachten – am 16. Dezember 2016 – hat die Artikel 29-Gruppe ihre ersten Leitlinien veröffentlicht, die über Details zur Auslegung der ab 25. Mai 2018 in Kraft tretenden Europäischen Datenschutz-Grundverordnung (EU-DSGVO) informieren sollen. Die Artikel 29-Gruppe will mit diesen Leitlinien das Verständnis der DSGVO fördern. Grundsätzlich sind diese Leitlinien rechtlich nicht verbindlich; die EU-Institutionen sind frei, ihren Empfehlungen zu folgen. Sie dienen aber als Orientierungshilfe sowohl für die nationalen Aufsichtsbehörden als auch für Unternehmen

Die Artikel 29-Gruppe wird mit Inkrafttreten der DSGVO durch den europäischen Datenschutzausschuss ersetzt, wobei die Zusammensetzung dieses Gremiums nahezu gleich bleibt. So besteht der Ausschuss aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaates, dem Europäischen Datenschutzbeauftragten (EDSB) und einem Vertreter der Europäischen Kommission

Aktuell behandeln die Leitlinien und die gemeinsam mit diesen veröffentlichten FAQs folgende Themen

1. Leitlinie „Datenübertragbarkeit“ (Art. 20 DSGVO)

Artikel 20 „Recht auf Datenübertragbarkeit“ lautet wie folgt:

(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und

b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

(2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

(3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

(4) Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Der auf Art. 20 bezugnehmende Erwägungsgrund 68 lautet wie folgt:

Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte nicht gelten, wenn die Verarbeitung auf einer anderen Rechtsgrundlage als ihrer Einwilligung oder eines Vertrags erfolgt. Dieses Recht sollte naturgemäß nicht gegen Verantwortliche ausgeübt werden, die personenbezogenen Daten in Erfüllung ihrer öffentlichen Aufgaben verarbeiten. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer ihm übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung einer ihm übertragenen öffentlichen Gewalt erfolgt, erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Ist im Fall eines bestimmten Satzes personenbezogener Daten mehr als eine betroffene Person tangiert, so sollte das Recht auf Empfang der Daten die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt lassen. Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen dieses Rechts gemäß dieser Verordnung nicht berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind. Soweit technisch machbar, sollte die betroffene Person das Recht haben, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden.

Die ursprüngliche Intention dieser Regelung war, dass der Betroffene ohne besondere Schwierigkeiten von einem sozialen Medium zu einem anderen wechseln kann. In der endgültigen Fassung der DSGVO wurde aber die Wirkung dieser Bestimmung ausgedehnt. Damit hat der Betroffene, der dem Verantwortlichen Daten zur Verfügung stellt, das Recht, seine Daten in einem gängigen und maschinenlesbaren Format zu erhalten bzw. ohne Behinderung an einen anderen Auftraggeber weiterzugeben, sofern folgende Voraussetzungen gegeben sind:

  • Die Verarbeitung erfolgte auf Basis einer vorherigen Zustimmung des Betroffenen gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a oder beruht auf einem Vertrag gem. Art. 6 Abs. 1 lit. b und
  • die Verarbeitung erfolgte mithilfe automatisierter Verfahren.

Bei Vorliegen der beiden nachfolgenden Ausnahmetatbestände sind die Bestimmungen des Art. 20 nicht anzuwenden, und zwar, wenn

  • die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Auftraggeber übertragen wurde (Art. 20 Abs. 3 S 2)
  • die Offenlegung personenbezogener Daten die Rechte an geistigem Eigentum in Zusammenhang mit der Verarbeitung dieser personenbezogener Daten verletzen würde (Art. 20 Abs. 4).

Die Leitlinie der Art. 29-Gruppe versucht nun, folgende Bestimmungen klarzulegen, was aber in vielen Fällen nicht gelingt:

  • Das Recht auf Datenübertragbarkeit umfasst nur jene Daten, die vom Betroffenen zur Verfügung gestellt worden sind (zB E-Mail-Adresse, Benutzername, Alter usw.) sowie auch jene Daten, die er durch seine Handlungen erzeugt hat (zB Pulsfrequenzdaten von Smart Watches, Verkehrsdaten, Standortdaten, Stromverbrauche, die mit Smart Meter erfasst worden sind, usw.). Das Recht auf Datenübertragung umfasst jedoch nicht jene Daten, die das Ergebnis der weiteren Verarbeitung durch den Verantwortlichen sind (zB Berechnung von Bonitätsmerkmalen, Kaufprofilen usw.).
  • Als Werkzeuge für die Übermittlung der Daten an den Betroffenen selbst empfehlen die Leitlinien den direkten Download, für die Übertragung an einen anderen Verantwortlichen die Verwendung eines API (Application Programming Interface). Auch die Möglichkeit einer Datenübertragung auf Wunsch des Betroffenen an einen vertrauenswürdigen Dritten soll möglich sein.
  • Die Leitlinie stellt klar, dass der Verantwortliche für die Handhabung der Daten durch den Betroffenen selbst oder einen anderen Verantwortlichen nicht verantwortlich ist. Der andere Verantwortliche ist auch für die Einhaltung der Datenschutzgrundsätze des Art. 5 verantwortlich.
  • Das Recht des Betroffenen auf Datenübertragbarkeit schränkt seine anderen Rechte nicht ein.
  • Als überzogen ist die Forderung zu werten, dass sowohl der abgebende als auch der empfangende Verantwortliche Werkzeuge zur Verfügung stellen sollen, die es dem Betroffenen ermöglichen, seine Daten von den Daten anderer Betroffener zu trennen.
  • Die Betroffenen sind über ihre Rechte auf Datenübertragbarkeit — wie in Art. 13 Abs. 2 lit. b und Art. 14 Abs. 2 lit. c gefordert — zu informieren.
  • Weiters empfiehlt die Art. 29-Gruppe, dass der Verantwortliche den Betroffenen auf das Bestehen des Rechts auf Datenübertragbarkeit vor Auflösung eines Kontos (zB Facebook-Account) informiert. Dieser kann dann seine personenbezogenen Daten zwischenspeichern und entweder auf seine eigenen Geräte oder an einen anderen Provider übertragen, bevor der Vertrag ausläuft.
  • In Bezug auf die Identitätsprüfung weist die Art. 29-Gruppe darauf hin, dass in der DSGVO keine besonderen Bestimmungen enthalten sind und empfiehlt die Einführung eines Authentifizierungsprozesses. Ansonsten bleiben die Ausführungen in dieser Hinsicht diffus.
  • Der Verantwortliche hat die Datenübertragung an den Betroffenen längstens innerhalb eines Monats durchzuführen; in Ausnahmefällen und bei hoher Komplexität wird eine Frist von drei Monaten zugestanden. Jedenfalls muss der Verantwortliche innerhalb eines Zeitraums von einen Monat reagieren, auch wenn er – aus welchen Gründen immer – der Datenübertragung an den Betroffenen nicht nachkommt. Empfohlen wird die Definition eines Zeitraumes für die Datenübertragung durch den Verantwortlichen und die Bekanntgabe an den Betroffenen.
  • Die Leitlinie verlangt, dass auch Metadaten gesammelt werden. Als Beispiel wird angeführt, dass es nicht genügt, einem Betroffenen zB PDF-Versionen seines E-Mail-Accounts zu übermitteln, sondern dass dies in einem Format erfolgen muss, das die Wiederverwendbarkeit dieser Daten sicherstellt.
  • In Bezug auf die technischen Anforderungen der Datenübertragbarkeit ermutigt die Art. 29-Gruppe die Interessenvertreter der Industrie und der Wirtschaftsverbände zur Zusammenarbeit bei Herstellung von entsprechenden Lösungen.
  • Last but not least fordert die Leitlinie, dass sich die Verantwortlichen um die Datensicherheit bei den Betroffenen kümmern sollen.

2. Leitlinie „Datenschutzbeauftragter“ (Art. 37 bis 39 DSGVO)

Art. 37 „Benennung eines Datenschutzbeauftragten“ lautet wie folgt:

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

(2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

(3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.

(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Art. 38 „Stellung des Datenschutzbeauftragten“ lautet wie folgt:

(1) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

(2) Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.

(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.

(4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

(5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.

(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Art. 39 „Aufgaben des Datenschutzbeauftragten“ lautet wie folgt:

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

d) Zusammenarbeit mit der Aufsichtsbehörde;

e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Der auf die Art. 37 bis 39 bezugnehmende Erwägungsgrund 97 lautet wie folgt:

In Fällen, in denen die Verarbeitung durch eine Behörde – mit Ausnahmen von Gerichten oder unabhängigen Justizbehörden, die im Rahmen ihrer justiziellen Tätigkeit handeln –, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.

Die Leitlinie der Art. 29-Gruppe versucht, aus den langatmigen und teilweise schwammigen Bestimmungen der Art. 37 bis 39 Klarheit zu einzelnen in der DSGVO verwendeten Begriffen zu gewinnen. Das gelingt jedoch nicht immer.

  • Eine verpflichtende Bestellung eines Datenschutzbeauftragten gem. Art. 37 ist in nachstehenden Fällen verpflichtend, und zwar für
  • Behörden oder öffentliche Stellen mit Ausnahme von Gerichten, soweit sie gerichtlich tätig sind (Art. 37 Abs. 1 lit. a)
  • Unternehmen sowie Auftragsverarbeiter, wenn deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Betroffenen erforderlich macht (Art. 37 Abs. 1 lit. b)
  • Unternehmen sowie Auftragsverarbeiter, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 besteht (Art. 37 Abs. 1 lit. c)
  • Die Art. 29-Gruppe empfiehlt die Benennung eines Datenschutzbeauftragten auf freiwilliger Basis, selbst wenn dies nach den Bestimmungen der DSGVO nicht verpflichtend ist. In diesem Fall gelten allerdings ebenfalls die in den Art. 37 bis 39 enthaltenen Bestimmungen.
  • Die Leitlinie stellt klar, dass der Datenschutzbeauftragte bei Nicht-Konformität mit den Bestimmungen der DSGVO nicht verantwortlich ist. Nach Meinung der Art. 29-Gruppe stellt die DSGVO klar, dass der Verantwortliche bzw. Auftragsverarbeiter dafür verantwortlich ist, dass die Verarbeitung in Übereinstimmung mit den Bestimmungen der DSGVO erfolgt, und dass dieser das auch nachweisen können muss.
  • Die Leitlinie empfiehlt den Entscheidungsprozess, ob nun ein Datenschutzbeauftragter ernannt wird oder nicht, zu dokumentieren.
  • Es wird festgestellt, dass die DSGVO die Begriffe „Behörde“ und „öffentliche Stelle“ nicht definiert und daher die jeweils nationale Rechtslage entscheidend ist.
    So definiert § 4 Z 1 IWG in Österreich den Begriff „öffentliche Stelle“ wie folgt:

1. öffentliche Stelle:

a) der Bund,

b) bundesgesetzlich eingerichtete Selbstverwaltungskörperschaften,

c) Einrichtungen auf bundesgesetzlicher Grundlage wie Stiftungen, Privatstiftungen, Fonds und Anstalten sowie sonstige Körperschaften des öffentlichen Rechts, die
— zu dem besonderen Zweck gegründet wurden, im Allgemeininteresse liegende Aufgaben zu erfüllen, die nicht gewerblicher Art sind und
— zumindest teilrechtsfähig sind und
— überwiegend vom Bund, von anderen Einrichtungen auf bundesgesetzlicher Grundlage oder von sonstigen öffentlichen Stellen (Art. 2 Z 1 der Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors, ABl. Nr. L 345 vom 31. 12. 2003 S. 90) finanziert werden oder hinsichtlich ihrer Leitung der Aufsicht durch diese unterliegen oder deren Verwaltungs-, Leitungs- oder Aufsichtsorgan mehrheitlich aus Mitgliedern besteht, die vom Bund, von anderen Einrichtungen auf bundesgesetzlicher Grundlage oder von sonstigen öffentlichen Stellen (Art. 2 Z 1 der Richtlinie 2003/98/EG) ernannt worden sind,

d) Unternehmungen im Sinne des Art. 126b Abs. 2 B-VG, des Art. 127 Abs. 3 B-VG und des Art. 127a Abs. 3 B-VG, die
— zu dem besonderen Zweck gegründet wurden, im Allgemeininteresse liegende Aufgaben zu erfüllen, die nicht gewerblicher Art sind und
— überwiegend von Bund, Ländern, Gemeinden oder anderen Einrichtungen auf bundes- oder landesgesetzlicher Grundlage finanziert werden oder hinsichtlich ihrer Leitung der Aufsicht durch diese unterliegen oder deren Verwaltungs-, Leitungs- oder Aufsichtsorgan mehrheitlich aus Mitgliedern besteht, die von Bund, Ländern, Gemeinden oder anderen Einrichtungen auf bundes- oder landesgesetzlicher Grundlage ernannt worden sind, wobei das Erfordernis der Gemeindeeinwohnerzahl von 10.000 für Unternehmungen gemäß Art. 127a Abs. 3 B-VG unbeachtlich ist,

e) Verbände, die sich überwiegend aus zwei oder mehreren öffentlichen Stellen gemäß lit. a bis d zusammensetzen.

  • Als Beispiel für den Begriff „Kerntätigkeit“ führt die Leitlinie ein Spital an, das Gesundheitsdaten verarbeitet, sowie ein privates Sicherheitsunternehmen, das eine Anzahl von privaten Geschäftszentren und öffentliche Plätze per Video überwacht. Bei diesen beiden Beispielen ist jedenfalls die Benennung eines Datenschutzbeauftragten erforderlich.
    Andererseits bedarf es keiner Benennung eines Datenschutzbeauftragten aufgrund von Verarbeitungen aus dem Bereich der Lohn- und Gehaltsverrechnung, da es sich dabei um eine sogenannte Hilfs- und Nebentätigkeit handelt.
  • Unter dem Begriff „umfangreich“ führt die Leitlinie als zu berücksichtigende Faktoren an:
  • Anzahl der Betroffenen
  • Datenmenge und/oder Umfang der Datenarten
  • Dauer oder Konstanz der Verarbeitung
  • Geografische Reichweite der Verarbeitungstätigkeiten

Als Beispiele für „umfangreiche Verarbeitung“ werden genannt:

  • Die regelmäßige Verarbeitung von Patientendaten durch ein Spital
  • Die Verarbeitung von Reisedaten von Personen durch ein öffentlichen Transportunternehmen (zB Tracking per Netzkarten)
  • Verarbeitung von Geodaten von Kunden einer internationalen Fastfood-Kette in Echtzeit für statistische Zwecke durch einen Auftragsverarbeiter, der auf die Erbringung dieser Dienstleistung spezialisiert ist
  • Regelmäßige Verarbeitung von Kundendaten durch eine Versicherungsgesellschaft oder eine Bank
  • Die Verarbeitung von personenbezogenen Daten für verhaltensorientierte Werbung („behavioural advertising“) durch eine Suchmaschine
  • Die Verarbeitung von Inhalts-, Verkehrs- und Standortdaten durch einen Telefon- oder Internet Service Provider

Als Beispiele für „nicht umfangreiche Verarbeitung“ werden genannt:

  • die Verarbeitung von Patientendaten durch einen Arzt
  • die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten
  • Unter dem Begriff „umfangreiche, regelmäßige und systematische Überwachung“ von betroffenen Personen führt die Leitlinie unter Bezugnahme auf Erwägungsgrund 24 an, dass unter diesem Begriff unmissverständlich alle Formen von Tracking und Profiling im Internet einschließlich der Profilbildung für verhaltensorientierte Werbung zu verstehen sind. Weiters wird betont, dass der Begriff „Überwachen“ nicht auf Onlineumgebungen und Onlinetracking beschränkt ist, sondern dass diese nur als Beispiele herangezogen wurden.
    Der Begriff „regelmäßige Verarbeitung“ wird wie folgt interpretiert:
  • laufend oder in bestimmten Intervallen für eine spezielle Periode
  • wiederkehrend oder mehrmals zu bestimmten Zeitpunkten
  • dauernd oder periodisch stattfindend
  • Der Begriff „systematische Verarbeitung“ wird wie folgt interpretiert:
  • einem System folgend
  • vereinbarungsgemäß, organisiert oder methodisch
  • Teil eines generellen Plans zur Datenermittlung
  • Teil einer Strategie
  • Als Beispiele für eine „regelmäßige und systematische Überwachung“ werden angeführt:
  • Telekommunikationsnetzwerke
  • Telekommunikationsprovider
  • E-Mail-Werbung
  • Profiling und Scoring für Zwecke der Risikoanalyse (zB zur Überprüfung der Kreditwürdigkeit, Festlegung von Versicherungsprämien, Betrugsprävention, Aufdeckung von Geldwäsche)
  • Standort-Tracking (zB durch mobile Apps, Kundenbindungsprogramme, verhaltensorientierte Werbung, Wellness-, Fitness- und Gesundheitsdaten durch tragbare Geräte, Videoüberwachung, fest angeschlossene Geräte wie Smart Meter, Smart Cars und Heimautomatisierung)
  • Die Leitlinie weist darauf hin, dass Art. 37 sowohl für den „Verantwortlichen“ als auch für den „Auftragsverarbeiter“ gilt. In manchen Fällen muss aber nur der Verantwortliche, in anderen Fällen nur der Auftragsverarbeiter und in wieder anderen Fällen müssen beide einen Datenschutzbeauftragten benennen. Als Beispiele werden angeführt:
  • Ein kleines Familienunternehmen, das Haushaltsgeräte in einer einzigen Stadt verkauft und dazu die Dienstleistungen eines Auftragsverarbeiters in Anspruch nimmt, der Webanalysen und Unterstützung bei targeted advertising („zielgerichtete Werbung“) und Marketing anbietet, benötigt keinen Datenschutzbeauftragten, da seine Aktivitäten – geringe Kundenanzahl und relativ eingeschränkte Aktivitäten – als „nicht umfangreich“ einzustufen sind. Der Auftragsverarbeiter dagegen, der seine Dienstleistungen vielen Kunden anbietet, führt „umfangreiche Verarbeitungen“ durch und benötigt daher einen Datenschutzbeauftragten.
  • Ein mittlerer Ziegelproduzent, der seine Gesundheitsvorsorge für die Mitarbeiter an einen externen Gesundheitsdiensteanbieter auslagert, benötigt keinen Datenschutzbeauftragten. Der Gesundheitsdiensteanbieter dagegen, der eine große Anzahl ähnlicher Kunden betreut, benötigt einen Datenschutzbeauftragten.
  • Gem. Art. 37 Abs. 2 kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern dieser „von jeder Niederlassung aus leicht erreicht werden kann“. Diese „leichte Erreichbarkeit“ ist im Zusammenhang mit den Aufgaben des Datenschutzbeauftragten als Kontaktperson für die Betroffenen, für die Aufsichtsbehörden, aber auch für die interne Organisation zu sehen. Er muss in der Lage sein, effizient mit den Betroffenen und den Aufsichtsbehörden kommunizieren zu können.
    Diese Voraussetzungen betreffen auch einen Datenschutzbeauftragten, der gem. Art 37 Abs.3 für mehrere Behörden oder öffentliche Stellen tätig wird: Der Verantwortliche muss sich vergewissern, dass der Datenschutzbeauftragte seine Aufgaben effizient wahrnehmen kann, ungeachtet dessen, dass er für mehrere Behörden und öffentliche Stellen tätig ist.
  • Der Datenschutzbeauftragte unterliegt gem. Art. 38 Abs. 5 der Geheimhaltungspflicht der EU oder des jeweiligen Mitgliedsstaates.
  • Hinsichtlich der beruflichen Qualifikation und Fähigkeiten des Datenschutzbeauftragten bietet die Leitlinie außer allgemeinen Floskeln keine weiterführenden Erkenntnisse.
  • Die Leitlinie betont, dass die Position des Datenschutzbeauftragten auch auf Basis eines Dienstleistungsvertrages (Werkvertrag) mit einer natürlichen Person oder einem Unternehmen wahrgenommen werden kann. Wird die Funktion durch ein externes Unternehmen wahrgenommen, so muss sichergestellt sein, dass jeder Mitarbeiter dieses Unternehmens alle Anforderungen des Abschnitt 4 DSGVO abdecken kann (Abschnitt 4 umfasst die Art. 37 bis einschließlich 39). Vor allem ist es notwendig, dass keiner dieser Mitarbeiter in einem Interessenskonflikt mit dem Verantwortlichen steht. Es ist weiters wichtig, dass für die extern bestellten Datenschutzbeauftragten auch die Schutzmaßnahmen der DSGVO – keine ungerechte Kündigung des Dienstleistungsvertrages, keine ungerechte Kündigung eines einzelnen Mitarbeiters dieses Unternehmens – Geltung haben.
  • Gem. Art. 37 Abs. 7 müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.
  • Die Leitlinie empfiehlt dem Verantwortlichen, dass er den Datenschutzbeauftragten schon frühzeitig in alle Fragen der Datenverarbeitung einbezieht, vor allem bei der gem. Art 35 vorgeschriebenen Datenschutz-Folgenabschätzung. Darüber hinaus ist es wichtig, dass der Datenschutzbeauftragte als „Diskussionspartner“ innerhalb der Organisation angesehen wird. Bei Nicht-Übereinstimmung mit den Empfehlungen des Datenschutzbeauftragten sollte der Verantwortliche die Gründe dokumentieren.
  • In Bezug auf die gem. Art. 38 Abs. 2 geforderte Zurverfügungstellung der erforderlichen Ressourcen durch den Verantwortlichen oder Auftragsverarbeiter führt die Leitlinie folgendes an:
  • Aktive Unterstützung des Datenschutzbeauftragten durch die Führungskräfte (z.B. Vorstandsebene)
  • Ausreichend Zeit zur Wahrnehmung der Pflichten des Datenschutzbeauftragten, besonders in Fällen, wo der Datenschutzbeauftragte auch andere Aufgaben im Unternehmen wahrnimmt
  • Ausreichende Unterstützung in Bezug auf Finanzmittel, Infrastruktur (Büro und Ausstattung) sowie bei Notwendigkeit auch Mitarbeiter
  • Bekanntmachung der Benennung eines Datenschutzbeauftragten an alle Mitarbeiter
  • Bereitstellung der nötigen Zugriffsmöglichkeiten auf andere interne Dienste wie HR, Recht, IT, Sicherheit usw.
  • Regelmäßige Schulungen, um sein Wissen aktuell zu halten
  • Abhängig von der Größe und der Struktur der Organisation kann es auch notwendig sein, ein Datenschutz-Team einzurichten.
  • Gem. Art. 38 Abs. 3 ist sicherzustellen, dass der Datenschutzbeauftragte weisungsfrei arbeiten kann und auf Grund seiner Tätigkeit weder gekündigt werden kann noch sonstige Nachteile erleidet. Das bedeutet aber laut Leitlinie nicht, dass er über seine Aufgaben gem. Art. 39 hinaus über Entscheidungskompetenz verfügt.
  • Laut DSGVO sind Sanktionen gegen den Datenschutzbeauftragten aufgrund der Wahrnehmung seiner Aufgaben verboten. Diese Bestimmung schießt jedoch nicht arbeitsrechtliche oder strafrechtliche Folgen bei anderen Vergehen aus.
  • Zur in Art. 38 Abs. 6 enthaltenen Forderung der Sicherstellung, dass der Datenschutzbeauftragte bei der Wahrnehmung anderer Aufgaben keinem Interessenskonflikt ausgesetzt sein sollte, enthält die Leitlinie nur Gemeinplätze.
  • In Bezug auf die in Art. 39 Abs. 1 lit b enthaltene Bestimmung, dass der Datenschutzbeauftragte die Einhaltung der DSGVO überwachen soll (Monitoring), stellt die Art. 29-Gruppe klar, dass der Datenschutzbeauftragte nicht für die Nicht-Konformität mit der DSGVO verantwortlich ist, sondern allein der Verantwortliche oder der Auftragsverarbeiter.
  • Die Leitlinie weist darauf hin, dass die Durchführung einer Datenschutz-Folgenabschätzung Aufgabe des Verarbeiters und nicht des Datenschutzbeauftragten ist. Sie führt aber an, dass der Datenschutzbeauftragte dabei eine wichtige und wertvolle Rolle spielen kann, indem er den Verantwortlichen bei der Durchführung dieser Aufgabe unterstützt, und zwar bei der Beantwortung folgender Fragen:
  • Muss eine Datenschutz-Folgenabschätzung durchgeführt werden oder nicht?
  • Welche Methode soll verfolgt werden?
  • Soll die Datenschutz-Folgenabschätzung intern oder extern durchgeführt werden?
  • Welche Sicherheitsmaßnahmen (einschließlich technischer und organisatorischer Maßnahmen) sollen angewendet werden, um die Risken in Bezug auf die Rechte und Freiheiten natürlicher Personen zu entschärfen?
  • Wurde die Datenschutz-Folgenabschätzung ordnungsgemäß durchgeführt und stehen die Schlussfolgerungen in Einklang mit der DSGVO?
  • Die in Art. 39 Abs. 2 enthaltene Bestimmung, wonach der Datenschutzbeauftragte bei der „Erfüllung seiner Aufgaben den mit der Verarbeitung verbundenen Risken gebührend Rechnung trägt“, bedeutet laut Leitlinie, dass der Datenschutzbeauftragte auch bei seiner Tätigkeit einen risikobasierten Ansatz verfolgt. Das heißt, dass er sich schwerpunktmäßig auf jene Bereiche konzentriert, bei denen hohes Risiko gegeben ist.

Die Leitlinie stellt außerdem klar, dass das gem Art. 30 Abs. 1 und 2 zu führende „Verfahrensverzeichnis“ vom Verantwortlichen oder Auftragsverarbeiter zu führen ist, aber nicht vom Datenschutzbeauftragten. Es spricht andererseits aber nichts dagegen, dass der Verantwortliche oder Auftragsverarbeiter den Datenschutzbeauftragten mit der Führung der Verfahrensverzeichnisse beauftragt.

3. Leitlinie „Zuständigkeit der federführenden Aufsichtsbehörde“ (Art. 56 DSGVO)

Art. 56 „Zuständigkeit der federführenden Aufsichtsbehörde“ lautet wie folgt:

(1) Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.

(2) Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.

(3) In den in Absatz 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat oder nicht.

(4) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung.

(5) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall gemäß den Artikeln 61 und 62.

(6) Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung.

Die auf Art. 56 Bezug nehmenden Erwägungsgründe 124, 125, 126, 127 und 128 lauten wie folgt:

(124) Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union statt und hat der Verantwortliche oder der Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat oder hat die Verarbeitungstätigkeit im Zusammenhang mit der Tätigkeit einer einzigen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat bzw. wird sie voraussichtlich solche Auswirkungen haben, so sollte die Aufsichtsbehörde für die Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters oder für die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters als federführende Behörde fungieren. Sie sollte mit den anderen Behörden zusammenarbeiten, die betroffen sind, weil der Verantwortliche oder Auftragsverarbeiter eine Niederlassung im Hoheitsgebiet ihres Mitgliedstaats hat, weil die Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet hat oder weil bei ihnen eine Beschwerde eingelegt wurde. Auch wenn eine betroffene Person ohne Wohnsitz in dem betreffenden Mitgliedstaat eine Beschwerde eingelegt hat, sollte die Aufsichtsbehörde, bei der Beschwerde eingelegt wurde, auch eine betroffene Aufsichtsbehörde sein. Der Ausschuss sollte — im Rahmen seiner Aufgaben in Bezug auf die Herausgabe von Leitlinien zu allen Fragen im Zusammenhang mit der Anwendung dieser Verordnung — insbesondere Leitlinien zu den Kriterien ausgeben können, die bei der Feststellung zu berücksichtigen sind, ob die fragliche Verarbeitung erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat und was einen maßgeblichen und begründeten Einspruch darstellt.

(125) Die federführende Behörde sollte berechtigt sein, verbindliche Beschlüsse über Maßnahmen zu erlassen, mit denen die ihr gemäß dieser Verordnung übertragenen Befugnisse ausgeübt werden. In ihrer Eigenschaft als federführende Behörde sollte diese Aufsichtsbehörde für die enge Einbindung und Koordinierung der betroffenen Aufsichtsbehörden im Entscheidungsprozess sorgen. Wird beschlossen, die Beschwerde der betroffenen Person vollständig oder teilweise abzuweisen, so sollte dieser Beschluss von der Aufsichtsbehörde angenommen werden, bei der die Beschwerde eingelegt wurde.

(126) Der Beschluss sollte von der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden gemeinsam vereinbart werden und an die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters gerichtet sein und für den Verantwortlichen und den Auftragsverarbeiter verbindlich sein. Der Verantwortliche oder Auftragsverarbeiter sollte die erforderlichen Maßnahmen treffen, um die Einhaltung dieser Verordnung und die Umsetzung des Beschlusses zu gewährleisten, der der Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters im Hinblick auf die Verarbeitungstätigkeiten in der Union von der federführenden Aufsichtsbehörde mitgeteilt wurde.

(127 Jede Aufsichtsbehörde, die nicht als federführende Aufsichtsbehörde fungiert, sollte in örtlichen Fällen zuständig sein, wenn der Verantwortliche oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat hat, der Gegenstand der spezifischen Verarbeitung aber nur die Verarbeitungstätigkeiten in einem einzigen Mitgliedstaat und nur betroffene Personen in diesem einen Mitgliedstaat betrifft, beispielsweise wenn es um die Verarbeitung von personenbezogenen Daten von Arbeitnehmern im spezifischen Beschäftigungskontext eines Mitgliedstaats geht. In solchen Fällen sollte die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit unterrichten. Nach ihrer Unterrichtung sollte die federführende Aufsichtsbehörde entscheiden, ob sie den Fall nach den Bestimmungen zur Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden gemäß der Vorschrift zur Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden (im Folgenden „Verfahren der Zusammenarbeit und Kohärenz“) regelt oder ob die Aufsichtsbehörde, die sie unterrichtet hat, den Fall auf örtlicher Ebene regeln sollte. Dabei sollte die federführende Aufsichtsbehörde berücksichtigen, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat, damit Beschlüsse gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter wirksam durchgesetzt werden. Entscheidet die federführende Aufsichtsbehörde, den Fall selbst zu regeln, sollte die Aufsichtsbehörde, die sie unterrichtet hat, die Möglichkeit haben, einen Beschlussentwurf vorzulegen, dem die federführende Aufsichtsbehörde bei der Ausarbeitung ihres Beschlussentwurfs im Rahmen dieses Verfahrens der Zusammenarbeit und Kohärenz weitestgehend Rechnung tragen sollte.

(128) Die Vorschriften über die federführende Behörde und das Verfahren der Zusammenarbeit und Kohärenz sollten keine Anwendung finden, wenn die Verarbeitung durch Behörden oder private Stellen im öffentlichen Interesse erfolgt. In diesen Fällen sollte die Aufsichtsbehörde des Mitgliedstaats, in dem die Behörde oder private Einrichtung ihren Sitz hat, die einzige Aufsichtsbehörde sein, die dafür zuständig ist, die Befugnisse auszuüben, die ihr mit dieser Verordnung übertragen wurden.

Auf insgesamt 11 Seiten (!) versucht die Leitlinie der Art. 29-Gruppe Klarheit und Rechtssicherheit in Bezug auf die Definition der federführenden Aufsichtsbehörde zu schaffen. Das gelingt ihr aber auch in dieser umfangreichen Darstellung keineswegs, wie ja überhaupt das über eineinhalb Jahre diskutierte „One-Stop Shop-Prinzip“, das die zentrale Zuständigkeit einer einzelnen Aufsichtsbehörde gewährleisten sollte, gründlich misslungen ist.

  • Die Leitlinie führt aus, dass die Bestimmung der federführenden Aufsichtsbehörde nur dann notwendig ist, wenn der Verantwortliche eine grenzüberschreitende Verarbeitung durchführt. Als grenzüberschreitend gilt eine Verarbeitung dann, wenn sie in mehr als einem EU-Mitgliedstaat durchgeführt wird oder die Verarbeitung erhebliche Auswirkungen auf Betroffene in mehr als einem Mitgliedsstaat hat.
  • Über den Begriff „erhebliche Auswirkungen“ erfolgt eine langatmige semantische Auseinandersetzung unter Zuhilfenahme des Oxford English Dictionary! Schlussendlich werden folgende Faktoren zur Interpretation dieser Wortfolge genannt:
  • Wenn die Verarbeitung
  • Schaden, Verlust oder Gefahr für den Betroffenen verursacht oder wahrscheinlich verursacht,
  • tatsächliche Auswirkungen in Bezug auf die Einschränkung von Rechten oder dem Vorenthalten von Möglichkeiten hat,
  • die Gesundheit, das Wohlbefinden oder die Psyche des Betroffenen beeinträchtigt oder wahrscheinlich beeinträchtigt,
  • die finanzielle oder wirtschaftliche Lage des Betroffenen beeinträchtigt oder wahrscheinlich beeinträchtigt,
  • natürliche Personen diskriminiert oder ungerecht behandelt,
  • Analysen von „sensiblen Daten“ oder anderen Daten vornimmt, die in die Privatsphäre eingreifen, insbesondere in Bezug auf Daten von Kindern,
  • erhebliche Verhaltensveränderungen von natürlichen Personen hervorruft oder wahrscheinlich hervorruft,
  • Peinlichkeiten oder negative Folgen einschließlich Rufschädigung verursacht,
  • umfangreiche personenbezogene Daten umfasst.
  • Durch diese Aufzählung wird keine Unterstützung bei der zu klärenden Frage erreicht. Die angeführten Faktoren sind zu unbestimmt.
  • Die Art. 29-Gruppe versucht anschließend, den in Art. 56 verwendeten Begriff „Hauptniederlassung“ („Main Establishment“) zu erläutern. Nach diesen Ausführungen ist es notwendig, dass der Verantwortliche festlegt, in welchem Mitgliedsstaat er seine „Zentrale“ („Hauptniederlassung“) eingerichtet hat. Diese ist jene Unternehmenseinheit innerhalb der EU, die die Entscheidungen über Zwecke und Mittel für die Verarbeitung personenbezogener Daten trifft. Es wird darauf hingewiesen, dass es auch „mehrere Hauptniederlassungen“ geben kann [Anmerkung: Da es „die eine“ grenzüberschreitende Verarbeitung in einer Unternehmensgruppe nicht geben wird, wird auch die durch das One-Stop-Shop-Prinzip erwartete administrative Erleichterung und vor allem eine homogene Spruchpraxis nicht erreicht werden].
  • Die Leitlinie nennt folgende Faktoren, die zur Bestimmung der „Hauptniederlassung“ heranzuziehen sind:
  • Wo werden die Entscheidungen über den Zweck und die Mittel der Verarbeitung schlussendlich getroffen?
  • Wo werden Entscheidungen über Geschäftsaktivitäten, die eine Datenverarbeitung mit sich bringen, getroffen?
  • Wo liegt die Macht, Entscheidungen effektiv umzusetzen?
  • Wo sitzt der Direktor (bzw. die Direktoren) mit der gesamten Managementverantwortung für die grenzüberschreitende Verarbeitung?
  • Wo ist das Unternehmen des Verantwortlichen oder Auftragsverarbeiters registriert, sofern das in einem einzigen Mitgliedsstaat erfolgt ist?

Die Art. 29-Gruppe führt aus, dass die DSGVO keine Auswahl des „günstigsten Gerichtsstandes“ erlaubt. Das bedeutet, dass die Aufsichtsbehörde oder letztendlich der Europäische Datenschutzausschuss („European Data Protection Board“ oder kurz EDPB) im Falle, dass die tatsächliche Entscheidungsgewalt nicht in der vom Unternehmen angegebenen Hauptniederlassung liegt, nach objektiven Kriterien und Lokalaugenschein festlegen kann, dass die Hauptniederlassung in einem anderen Mitgliedstaat liegt.

In einem eigenen Anhang I werden Kriterien zusammengefasst, mit deren Hilfe die „federführende Aufsichtsbehörde“ identifiziert werden kann:

I. Führt der Verantwortliche oder Auftragsverarbeiter eine grenzüberschreitende Verarbeitung durch?

a. Ja, und das Unternehmen ist in einem einzigen Mitgliedsstaat ansässig und verarbeitet personenbezogene Daten nur an diesem Standort, die Verarbeitung beeinflusst aber wahrscheinlich Betroffene in mehr als einem Mitgliedsstaat.
In diesem Fall ist die federführende Aufsichtsbehörde jene des Mitgliedsstaates dieser Niederlassung.

b. Ja, weil der Verantwortliche und/oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedsstaat hat und personenbezogene Daten in Zusammenhang mit Aktivitäten zumindest einiger dieser Niederlassungen verarbeitet.
In diesem Fall ist bei Punkt II fortzufahren.

II. Identifizierung der federführenden Aufsichtsbehörde

In Zusammenhang mit I b: Betrifft der Fall einen Verantwortlichen oder Auftragsverarbeiter?

a. Falls nur ein Verantwortlicher betroffen ist, identifiziert der Verantwortliche den Ort seiner Hauptniederlassung in der EU.

i. Die Aufsichtsbehörde dieses Mitgliedsstaates ist federführend für die zu prüfende Datenverarbeitung.

ii. Es sei denn, Entscheidungen über die Zwecke und Mittel der Verarbeitung werden in einer anderen Niederlassung in der EU getroffen. Die federführende Aufsichtsbehörde wird dann diesem Land zugemessen.

b. Wenn der Fall sowohl einen Verantwortlichen und einen Auftragsverarbeiter umfasst:

i. Zu prüfen ist, ob der Verantwortliche in der EU niedergelassen ist und sich dem One-Stop-Shop-System unterworfen hat.

ii. Der Ort der federführenden Aufsichtsbehörde des Verantwortlichen ist zu identifizieren. Diese dient dann als federführende Aufsichtsbehörde sowohl für den Verantwortlichen als auch für den Auftragsverarbeiter.

iii. Die für den Auftragsverarbeiter zuständige Aufsichtsbehörde ist als betroffene Behörde anzusehen.

c. Wenn der Fall nur einen Auftragsverarbeiter umfasst:

i. Der Ort der Hauptniederlassung in der EU ist zu identifizieren.

ii. Falls es keine Hauptniederlassung in der EU gibt, sind die Niederlassungen in der EU zu identifizieren, an denen Datenverarbeitungen durchgeführt werden. Anschließend ist zu bestimmen, wo die hauptsächlichen Verarbeitungsaktivitäten stattfinden.

III. Identifizierung der betroffenen Aufsichtsbehörden

Welche anderen Aufsichtsbehörden sind „betroffene Behörden“?

Eine Aufsichtsbehörde kann „betroffen“ sein, wenn der Verantwortliche/Auftragsverarbeiter in ihrem Land eine Niederlassung hat ODER wenn Betroffene in ihrem Land wesentlich Betroffene oder wahrscheinlich Betroffene sind ODER bei Eingehen einer Beschwerde.

Im Interesse der Wirtschaft – vor allem der digitalen Wirtschaft – bleibt zu hoffen, dass die Europäische Kommission und jene Stellen, die in den Mitgliedstaaten für die Umsetzung der DSGVO verantwortlich sind, mit den Interpretationen der Art. 29-Gruppe sorgfältig umgehen werden.

Ausdruckbare Version


DSG-Info-Service Nr. 87
Mai 2017

Eine ausdruckbare Version ist als PDF-Datei verfügbar.

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist am 25. Mai 2016 in Kraft getreten und mit 25. Mai 2018 für alle EU-Mitgliedstaaten verpflichtend anzuwenden. Grundsätzlich ist eine EU-Verordnung unmittelbar anwendbar, die DSGVO enthält jedoch insgesamt 69 Öffnungs­klauseln und Regelungs­spiel­räume, die von den Mitglied­staaten in einigen Fällen obliga­torisch und in den meisten Fällen fakul­tativ genutzt werden können. Dadurch ist der nationale Gesetz­geber verpflichtet bzw. berechtigt, einzelne Punkte der DSGVO durch ein Begleit­gesetz zu konkretisieren.

Am 12. Mai 2017 wurde der Entwurf zum bereits für Herbst 2016 versprochenen „Datenschutz-Anpassungs­gesetz 2018“ verlautbart. Da die Begutachtungs­frist am 23. Juni 2017 endet und anschließend die ent­spre­chenden Verhand­lungen beginnen, ist mit großer Wahrschein­lichkeit nicht mehr mit dem Inkraft­treten dieses Gesetzes in der laufenden Legislatur­periode zu rechnen.

Der Entwurf des neuen Datenschutz­gesetzes verfolgt das Ziel, nur die unbedingt erforderlichen Regelungen der DSGVO im innerstaat­lichen Recht durchzu­führen.

Gleichzeitig mit der DSGVO wurde auch die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personen­bezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvoll­streckung sowie zum freien Datenverkehr beschlossen. Diese Richtlinie muss in inner­staat­liches Recht umgesetzt werden, was ebenfalls durch den gegen­ständ­lichen Entwurf (drittes Haupt­stück des neuen Datenschutz­gesetzes) erfolgen soll.

Nachstehend werden die wichtigsten Punkte des DSG in Kurzform behandelt:

 

Datenschutz-Anpassungsgesetz 2018

Artikel 1
(Verfassungsbestimmung)

Änderung des Bundes-Verfassungsgesetzes

Das Bundes-Verfassungsgesetz — B-VG, BGBl. Nr. 1/1930, zuletzt geändert durch das Bundesverfassungs­gesetz BGBl. I Nr. 62/2016, wird wie folgt geändert:

1. […]

2. […]

3. Dem Art. 151 wird folgender Abs. 60 angefügt:
„(60) Art. 10 Abs. 1 Z 13 und Art. 102 Abs. 2 in der Fassung des Bundes­gesetzes BGBl. I Nr. xxx/2017 treten mit 25. Mai 2018 in Kraft. Gleich­zeitig treten in Geltung stehende landes­gesetzliche Vorschriften in allgemeinen Angelegen­heiten des Schutzes personen­bezogener Daten im nicht-automations­unter­stützten Daten­verkehr außer Kraft.“

FAZIT: Mit dieser Bestimmung werden die — an und für sich bedeutungs­losen — landes­gesetzlichen Bestim­mungen zum Schutz personen­bezogener Daten im nicht-automations­unter­stützten (manuellen) Daten­verkehr außer Kraft gesetzt. Der Bund ist nunmehr allein zuständig für den Datenschutz, sowohl für automations­unterstützt als auch für manuell geführte Daten­anwendungen. Betroffen sind von dieser Änderung nachfolgende Landes­gesetze:

  1. Gesetz vom 7. Juli 2005 über Auskunftspflicht, Datenschutz und Statistik des Landes (Kärntner Informations- und Statistik­gesetz – K-ISG)
  2. Niederösterreichisches Datenschutzgesetz (NÖ DSG)
  3. Landesgesetz über die Auskunftspflicht, den Datenschutz und die Weiterverwendung von Informationen öffentlicher Stellen (Oö. Auskunfts­pflicht-, Daten­schutz- und Informations­weiter­verwendungs­gesetz)
  4. Salzburger Gesetz über Auskunfts­pflicht, Dokumenten­weiter­verwendung, Datenschutz, Landes­statistik und Geodaten­infra­struktur – ADDSG-Gesetz
  5. Gesetz vom 20. März 2001 über den Schutz personenbezogener Daten in nicht automa­tions­unter­stützt geführten Dateien (Steiermärkisches Datenschutzgesetz – StDSG)
  6. Vorarlberger Landes-Datenschutzgesetz
  7. Gesetz über den Schutz personenbezogener Daten (Wiener Datenschutzgesetz – Wr. DSG)
  8. Gesetz vom 6. November 2013 über den Schutz personenbezogener Daten im nicht­automa­tions­unter­stützten Daten­verkehr (Tiroler Datenschutz­gesetz 2014 – TDSG 2014)
  9. Gesetz vom 30. Juni 2005 über den Schutz personen­bezogener Daten bei nicht automations­unter­stützt geführten Dateien (Burgen­ländisches Daten­schutz­gesetz – Bgld DSG)

Die Umsetzung der DSGVO erfolgt in insgesamt fünf Hauptstücken mit insgesamt 77 Paragraphen und bleibt somit ein „schlankes“ Gesetz.

 

Artikel 2

Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
(Datenschutzgesetz — DSG)

1. HAUPTSTÜCK
GRUNDRECHT AUF DATENSCHUTZ

§ 1 Grundrecht auf Datenschutz

§ 1. (Verfassungsbestimmung) (1) Jede natürliche Person hat Anspruch auf Geheim­haltung der sie betreffenden personen­bezogenen Daten, auf Auskunft über die Verar­beitung solcher Daten sowie auf Richtig­stellung unrich­tiger Daten und auf Löschung unzulässiger­weise verarbei­teter Daten.

(2) Beschränkungen sind nur mit Einwilligung der betroffenen Person, in dessen lebens­wichtigem Interesse, im öffentlichen Interesse, und zwar nur aufgrund einer gesetz­lichen Grund­lage, oder im über­wiegenden berechtigten Interesse eines anderen zu­lässig. Diese Beschrän­kungen müssen notwendig und verhältnis­mäßig und, insbesondere im Hinblick auf den Zweck, die verarbei­teten Daten und die Art der Verarbeitung, für die betroffene Person vorher­sehbar sein. Im Rahmen hoheit­licher Tätig­keiten dürfen Beschränkungen nur aufgrund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschen­rechte und Grund­frei­heiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen not­wendig sind, vorge­sehen werden.

(3) Das Grundrecht auf Datenschutz verpflichtet auch Private.

FAZIT: Das Grundrecht auf Datenschutz wurde somit von Österreich neu formuliert. Die Bestimmungen des Art. 6 Abs. 1 f DSGVO werden ausgehebelt und die Bestimmungen des § 8 Abs. 1 Z 4 DSG 2000 aufge­nommen (s. untenstehenden Vergleich)! Damit wird die Verwendungs­möglichkeit von personen­bezogenen Daten — zB für Big-Data-Anwen­dungen — sehr eingeengt. Für die Inkraft­setzung dieser Bestimmung ist jeden­falls eine Zwei­drittel­mehrheit im Parlament erforderlich. Die Frage der EU-Konformität wird noch zu prüfen sein.

Der Schutz juristischer Personen ist im neuen Grundrecht nicht mehr enthalten!

Art. 6 Abs. 1 f DSGVO: (1) Die Verarbeitung ist nur recht­mäßig, wenn mindestens eine der nach­stehenden Bedingungen erfüllt ist:
[…]
f) die Verarbeitung ist zur Wahrung der berechtigten Inter­essen des Verant­wortlichen oder eines Dritten erfor­derlich, sofern nicht die Inter­essen oder Grund­rechte und Grund­frei­heiten der betroffenen Person, die den Schutz personen­bezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

§ 8 Abs. 1 Z 4 DSG 2000: (1) Schutzwürdige Geheim­haltungs­interessen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
[…]
4. über­wiegende berechtigte Interessen des Auftrag­gebers oder eines Dritten die Verwendung erfordern.

 

2. HAUPTSTÜCK
DURCHFÜHRUNG DER DATENSCHUTZ-GRUNDVERORDNUNG UND ERGÄNZENDE REGELUNGEN

1. Abschnitt
Allgemeine Bestimmungen

§ 2 Anwendungsbereich

Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teil­weise automati­sierte Verarbeitung personen­bezogener Daten sowie für die nicht­automa­tisierte Verarbeitung personen­bezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifi­scheren Bestimmungen des 3. Haupt­stücks dieses Bundes­gesetzes vorgehen.

FAZIT: Das DSG gilt somit nicht nur für ganz oder teil­weise automatisierte Verarbei­tungen personen­bezogener Daten, sondern auch für die nicht automati­sierte Verarbeitung personen­bezogener Daten, die in einem Datei­system gespeichert sind. Damit fallen auch manuelle Daten in struktu­rierter Form, die nach mindestens einem Such­kriterium zugäng­lich sind, unter die Bestim­mungen der DSGVO. So würde zB eine Handkartei, die nach aufstei­genden Nummern oder Namen geordnet ist, als Datei gelten, nicht jedoch Akten oder Akten­samm­lungen sowie ihre Deck­blätter, die nicht nach bestimmten Kriterien strukturiert sind.

§ 3 Durchführungsbestimmung

Kann die Berichtigung oder Löschung von automations­unterstützt verarbei­teten personen­bezogenen Daten nicht unverzüglich erfolgen, weil diese aus wirtschaft­lichen oder technischen Gründen nur zu bestimmten Zeit­punkten vorge­nommen werden kann, so ist die Verarbei­tung der betreffenden personen­bezogenen Daten mit der Wirkung nach Art. 18 Abs. 2 DSGVO bis zu diesem Zeitpunkt einzu­schränken.

FAZIT: Während Art. 17 Abs. 1 DSGVO eine unverzüg­liche Löschung verlangt, eröffnet diese Bestim­mung durch die Über­nahme des § 27 Abs. 6 DSG 2000 die — durchaus begrüßens­werte — Möglichkeit, aus wirt­schaft­lichen oder techni­schen Gründen die Löschung nur zu bestimmten Zeit­punkten vorzu­nehmen. Aller­dings müssen diese Daten bis zur Löschung gesperrt werden. Ob diese durchaus zu begrüßende Bestimmung EU-konform ist, ist fraglich.

§ 27 Abs. 6 DSG 2000: (6) Wenn die Löschung oder Richtig­stellung von Daten auf ausschließ­lich automations­unterstützt lesbaren Daten­trägern aus Gründen der Wirtschaft­lichkeit nur zu bestimmten Zeit­punkten vorge­nommen werden kann, sind bis dahin die zu löschenden Daten für den Zugriff zu sperren und die zu berichti­genden Daten mit einer berichti­genden Anmerkung zu versehen.

§ 4 Gemeinsame Bestimmungen zu den Datenschutzbeauftragten

FAZIT: Der Entwurf enthält – einer wesent­lichen Forderung der WKÖ entsprechend – keine über die Be­stim­mun­gen der DSGVO hinaus­gehende Verpflich­tung, für weitere Fälle verpflich­tend einen Datenschutz­beauftragten zu benennen. Somit wird vom österrei­chischen Gesetz­geber die in Art. 37 Abs. 4 DSGVO enthaltene fakultative Öffnungs­klausel nicht in Anspruch genommen. Die Bestimmung legt in Abs. 1 fest, dass die in Art. 38 Abs. 5 DSGVO normierte Geheim­haltungs­pflicht des Datenschutz­beauftragten auch für dessen Mitar­beiter gilt und enthält in den Erläu­terungen eine ergänzende Bestimmung, nämlich die, dass diese Geheim­haltungs­pflicht NICHT gegenüber der DSB gilt! Weiters enthält diese Bestimmung auch ein Aussage­verweigerungs­recht des Daten­schutz­beauftragten.

§ 5 Datenschutzbeauftragter im öffentlichen Bereich

FAZIT: Enthält zusätzliche Sonder­bestimmungen für den DSB im Öffentlichen Bereich. Demnach ist ein Daten­schutz­beauf­tragter im Wirkungs­bereich jeden Ministe­riums zu benennen. Im Gegensatz zu den Bestim­mungen des Art. 7 Abs. 6 DSGVO darf jedoch diese Funktion nicht extern vergeben, sondern nur mit internen Mitarbei­tern besetzt werden.

§ 6 Datengeheimnis

(1) Der Verantwort­liche, der Auftrags­verarbeiter und ihre Mitarbei­ter — das sind Arbeit­nehmer (Dienstnehmer) und Personen in einem arbeit­nehmer­ähnlichen (dienst­nehmer­ähnlichen) Verhält­nis — haben personen­bezogene Daten aus Daten­verarbei­tungen, die ihnen ausschließ­lich auf Grund ihrer berufsm­äßigen Beschäfti­gung anver­traut wurden oder zugäng­lich geworden sind, unbe­schadet sonstiger gesetz­licher Ver­schwiegen­heits­pflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Über­mittlung der anver­trauten oder zugänglich gewor­denen personen­bezogenen Daten besteht (Daten­geheimnis).

(2) Mitarbeiter dürfen personen­bezogene Daten nur auf Grund einer ausdrück­lichen Anordnung ihres Arbeit­gebers (Dienst­gebers) über­mitteln. Der Verant­wort­liche und der Auftrags­verar­beiter haben, sofern eine solche Verpflich­tung ihrer Mitar­beiter nicht schon kraft Gesetzes besteht, diese vertrag­lich zu verpflichten, personen­bezogene Daten aus Daten­verar­beitungen nur aufgrund von Anord­nungen zu über­mitteln und das Daten­geheimnis auch nach Beendigung des Arbeits­verhält­nisses (Dienst­verhält­nisses) zum Verant­wort­lichen oder Auftrags­verar­beiter einzuhalten.

(3) Der Verantwortliche und der Auftragsverarbeiter haben die von der Anord­nung be­troffenen Mitar­beiter über die für sie geltenden Über­mittlungs­anordnungen und über die Folgen einer Verletzung des Daten­geheim­nisses zu belehren.

(4) Unbeschadet des verfassungs­rechtlichen Weisungs­rechts darf einem Mitar­beiter aus der Verwei­gerung der Befolgung einer Anordnung zur unzu­lässigen Daten­über­mittlung kein Nach­teil erwachsen.

(5) Ein zugunsten eines Verant­wortlichen bestehendes gesetz­liches Aussage­verwei­gerungs­recht darf nicht durch die Inan­spruch­nahme eines für diesen tätigen Auf­trags­verar­beiter, insbe­sondere nicht durch die Sicher­stellung oder Beschlag­nahme von automations­unter­stützt verar­beiteten Doku­menten, umgangen werden.

FAZIT: Nachdem die DSGVO keine ausdrück­liche Regelung für ein verpflich­tendes Daten­geheimnis enthält, wurden die Bestim­mungen des § 15 DSG 2000 nahezu wört­lich über­nommen. Ausdrücklich wird normiert, dass Verant­wortliche und Auftrags­verarbeiter ihre Mitarbeiter über die für sie geltenden Über­mittlungs­anordnungen zu belehren haben.

 

2. Abschnitt
Datenschutzbehörde

§ 7 Einrichtung

FAZIT: Legt die DSB als einzige nationale Aufsichts­behörde gem. Art. 51 DSGVO fest. Es gibt keine Ände­rungen im Vergleich zur bishe­rigen organisa­torischen Struktur.

§ 8 Unabhängigkeit

(1) Die Datenschutzbehörde ist eine Dienstbehörde und Personalstelle.

(2) Der Leiter darf für die Dauer seines Amtes keine Tätigkeit ausüben, die

  1. Zweifel an der unabhängigen Ausübung seines Amtes oder seiner Unbefangenheit hervorrufen könnte,
  2. ihn bei der Erfüllung seiner dienstlichen Aufgaben behindert oder
  3. wesentliche dienstliche Interessen gefährdet.

Er ist verpflichtet, Tätigkeiten, die er neben seiner Tätigkeit als Leiter der Daten­schutz­behörde ausübt, unverzüglich dem Bundes­kanzler zur Kenntnis zu bringen.

(3) Der Bundes­kanzler kann sich beim Leiter der Daten­schutz­behörde über die Gegen­stände der Geschäfts­führung unter­richten. Dem ist vom Leiter der Daten­schutz­behörde nur insoweit zu ent­sprechen, als dies nicht der völligen Unab­hängig­keit der Aufsichts­behörde im Sinne von Art. 52 DSGVO widerspricht.

FAZIT: Enthält die Vorgaben für die Unab­hängig­keit der DSB. Inwieweit diese durch die Bestim­mungen des Abs. 3 voll­inhalt­lich gegeben ist, ist nach wie vor strittig.

§ 9 Leiter der Datenschutzbehörde

FAZIT: Normiert Bestellung, Anforderungs­kriterien und Ausschließungs­gründe sowie die Enthebung.

§ 10 Aufgaben

(1) Die Datenschutz­behörde berät die Ausschüsse des National­rates und des Bundes­rates, die Bundes­regierung und die Landes­regierungen auf deren Ersuchen über legis­lative und admini­strative Maßnahmen. Die Datenschutz­behörde ist vor Erlassung von Bundes­gesetzen sowie von Verord­nungen im Vollzugs­bereich des Bundes, die Fragen des Daten­schutzes unmittel­bar betreffen, anzuhören.

(2) Die Datenschutz­behörde hat die Listen nach Art. 35 Abs. 4 und 5 DSGVO im Wege einer Verord­nung kundzumachen.

(3) Die Datenschutz­behörde hat die nach Art. 57 Abs. 1 lit. p DSGVO festzu­legenden Kriterien im Wege einer Verord­nung kundzumachen. Sie fungiert zugleich als einzige nationale Akkredi­tierungs­stelle gemäß Art. 43 Abs. 1 lit. a DSGVO.

FAZIT: Die Aufgaben der Datenschutz­behörde (DSB) ergeben sich unmittelbar aus der DSGVO. Nach Art. 35 Abs. 4 und 5 DSGVO hat die DSB im Wege einer Verord­nung sowohl eine „Whitelist“ für jene Fälle von Verar­beitungen, für die KEINE Datenschutz-Folgen­abschätzung durchzu­führen ist, sowie eine „Blacklist“ für jene Verar­beitungen, für die eine Datenschutz-Folgen­abschätzung VERPFLICHTEND durchzu­führen ist, zu erlassen.

Die DSB wird einzige nationale Akkreditierungs­stelle für Zertifizierungs­stellen, die ein Datenschutz­gütesiegel verleihen, und legt auch die Krite­rien für diese Stellen fest.

§ 11 Befugnisse

FAZIT: In den Erläute­rungen wird ausdrück­lich auf die Regelung zum Kumulations­verbot in Art. 83 Abs. 3 DSGVO hingewiesen sowie auf die in Art. 83 iVm ErwG 148 vorgesehene Möglich­keit, anstelle einer Geldbuße eine Verwarnung zu erteilen. Konkretisiert wird die Vorgehens­weise bei der Über­prüfung von Datenverar­beitungen und das Einschau- und Kontroll­recht. Weiters werden die Bestimmungen über die Ver­schwiegenheits­regelungen der DSB festgelegt. Diese Pflicht besteht auch gegenüber Gerichten und Ver­waltungs­behörden, ausgenommen bei Verdacht einer straf­baren Handlung nach den §§ 118a (Wider­recht­licher Zugriff auf ein Computer­system), 119 (Verletzung des Tele­kommunikations­geheim­nisses), 119a (Miss­bräuch­liches Abfangen von Daten), 126a (Daten­beschädigung), 126b (Störung der Funktions­fähig­keit eines Computer­systems), 126c (Miss­brauch von Computer­programmen oder Zugangs­daten), 148a (Betrü­gerischer Daten­verarbeitungs­miss­brauch, „Computer­betrug“) oder § 278a (Kriminelle Organi­sation) sowie von Ver­brechen, für die eine Freiheits­strafe, deren Höchst­maß 5 Jahre übersteigt, vorge­sehen ist.

Der DSB obliegt im Rahmen ihrer Zuständig­keit die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen.

§ 12 Tätigkeitsbericht und Veröffentlichung von Entscheidungen

FAZIT: Konkretisierung der Verpflichtung der DSB zur Erstellung jährlicher Tätigkeitsberichte mit Fälligkeitsdatum 31. März.

 

3. Abschnitt
Rechtsbehelfe, Haftung und Sanktionen

§ 13 Beschwerde an die Datenschutzbehörde

FAZIT: Enthält das Recht der betroffenen Person auf Beschwerde, wenn sie der Ansicht ist, dass die sie betreffende Verarbeitung gegen die DSGVO oder gegen das erste und zweite Hauptstück des DSG verstößt, sowie die Grundsätze des Verfahrens wie bereits in § 31 Abs. 3, 4, 7 und 8 DSG 2000 vorgesehen. Die DSB erhält außerdem die ausdrückliche Möglichkeit, Amtssachverständige im Verfahren beiziehen zu können.

§ 14 Begleitende Maßnahmen im Beschwerdeverfahren

FAZIT: Legt weitere verfahrensrechtliche Regelungen im Verfahren vor der DSB fest und regelt die Bescheide der DSB auf Basis der bisherigen Bestimmungen des § 38 DSG 2000.

§ 15 Verantwortliche des öffentlichen und des privaten Bereichs

FAZIT: Betrifft den öffentlichen Bereich und behandelt Parteistellung und Rechtsmittellegitimation.

§ 16 Beschwerde an das Bundesverwaltungsgericht

FAZIT: Regelt den Rechtszug von der DSB zum Bundesverwaltungsgericht auf Basis des § 39 DSG 2000.

§ 17 Vertretung von betroffenen Personen

FAZIT: Konkretisiert die Vorgaben des Art. 80 Abs. 1 DSGVO in Bezug auf die Möglichkeit von Verbands­klagen. Im Entwurf ist eine antrags­lose Möglich­keit der Verbands­beschwerde nicht vorge­sehen. Der öster­reichi­sche Geset­zgeber hat somit die Öffnungs­klausel des Art. 80 Abs. 2 DSGVO nicht in Anspruch genommen. Das bedeutet, dass die auf Daten­schutz speziali­sierten Organisa­tionen („NGOs“) ohne konkrete Beauf­tragung der betroffenen Person weder das Recht haben, eine Beschwerde bei der DSB einzu­bringen, noch das Klage­recht wahr­nehmen können.

§ 18 Haftung und Recht auf Schadenersatz

FAZIT: Konkretisiert die in Art. 82 DSGVO geregelte Haftung sowie das Recht auf materi­ellen und immateri­ellen Schaden­ersatz und legt als zustän­diges Gericht die Landes­gerichte fest.

§ 19 Allgemeine Bedingungen für die Verhängung von Geldbußen

FAZIT: Enthält die Verhängung von Geldbußen gegen juristische Personen in Analogie zu den Bestimmungen des § 99d BWG. Primär haftet das Unternehmen und nicht derjenige, der das Unternehmen nach außen hin vertritt (Geschäfts­führer oder Vorstand). Die DSB kann von der Bestrafung eines Verantwort­lichen nach § 9 VStG Abstand nehmen, wenn bereits eine Geldbuße gegen juristische Personen verhängt wurde. Einzel­unter­nehmen hilft diese Bestimmung allerdings nicht!

Die Öffnungsklausel des Art. 83 Abs. 7 DSGVO wird in Anspruch genommen, somit werden gegen Behörden und öffentliche Stellen KEINE Geldbußen verhängt.

 

4. Abschnitt
Datenschutzrat

Einrichtung und Aufgaben

§§ 20 — 24

FAZIT: Enthält die Regelungen zum DSR, die fast zur Gänze von den derzeit geltenden Bestimmungen der §§ 35, 41 bis 44 DSG 2000 übernommen wurden.

 

5. Abschnitt
Datenverarbeitung zu spezifischen Zwecken

§ 25 Verarbeitung zum Zweck der wissenschaftlichen Forschung und Statistik

FAZIT: Übernimmt die Bestimmungen des § 46 DSG 2000.

§ 26 Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von betroffenen Personen

FAZIT: Übernimmt die Bestimmungen des § 47 DSG 2000.

§ 27 Freiheit der Meinungsäußerung und Informationsfreiheit

FAZIT: Übernimmt die Bestimmungen des § 48 DSG 2000 für publi­zistische Tätig­keiten und erweitert die Geltung dieser Bestim­mungen auch auf Verarbei­tungen zu wissen­schaft­lichen, künstlerischen und litera­rischen Zwecken.

§ 28 Verarbeitung personenbezogener Daten im Katastrophenfall

FAZIT: Übernimmt die Bestimmungen des § 48a „Verwendung von Daten im Katastrophenfall“.

§ 29 Verarbeitung personenbezogener Daten im Beschäftigungskontext

Das Arbeitsverfassungsgesetz (ArbVG), BGBl. Nr. 22/1974, ist eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.

FAZIT: Damit ist das Thema eines eigenen Mitarbeiter-Datenschutzgesetzes vorerst vom Tisch.

 

6. Abschnitt
Bildverarbeitung

§ 30 Zulässigkeit der Bildaufnahme

(1) Eine Bildaufnahme im Sinne dieses Abschnittes bezeichnet die durch Verwen­dung techni­scher Einrich­tungen zur Bild­verar­beitung vorge­nommene Fest­stellung von Ereig­nissen im öffent­lichen oder nicht-öffent­lichen Raum zu privaten Zwecken. Zur Bild­auf­nahme gehören auch dabei mit­verar­beitete akustische Informa­tionen. Für eine derartige Bild­aufnahme gilt dieser Abschnitt, soweit nicht durch andere Gesetze Beson­deres bestimmt ist.

(2) Eine Bildaufnahme ist unter Berücksichtigung der Vorgaben gemäß §§ 32 und 33 zulässig, wenn

  1. sie im lebenswichtigen Interesse einer Person erforderlich ist,
  2. die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat,
  3. sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder
  4. im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnis­mäßig­keit gegeben ist.

(3) Eine Bildaufnahme ist gemäß Abs. 2 Z 4 insbesondere dann zulässig, wenn

  1. sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegen­schaften, die ausschließlich vom Verantwort­lichen genutzt werden, dient, und räumlich nicht über die Liegen­schaft hinaus­reicht, mit Ausnahme einer zur Zweck­erreichung allenfalls unvermeid­baren Einbeziehung öffent­licher Verkehrs­flächen,
  2. sie für den vorbeu­genden Schutz von Personen oder Sachen an öffentlich zugäng­lichen Orten, die dem Hausrecht des Verantwort­lichen unterliegen, aufgrund bereits erfolgter Rechts­ver­letzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungs­poten­zials erforder­lich ist und kein gelinderes geeig­netes Mittel zur Verfügung steht, oder
  3. sie ein privates Dokumentations­interesse verfolgt, das nicht auf die identifi­zierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittel­baren Identifi­zierung solcher Personen eignen, gerichtet ist.

(4) Unzulässig ist

  1. eine Bildaufnahme ohne ausdrück­liche Einwilli­gung der betroffenen Person in deren höchst­persön­lichen Lebens­bereich,
  2. eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern,
  3. der automations­unterstützte Abgleich von mittels Bild­auf­nahmen gewonnenen personen­bezogenen Daten mit anderen personen­bezogenen Daten oder
  4. die Auswertung von mittels Bildaufnahmen gewonnenen personen­bezogenen Daten anhand von besonderen Kategorien personen­bezogener Daten (Art. 9 DSGVO) als Auswahl­kriterium.

FAZIT: Die Bestimmungen schließen nunmehr auch weitere Videoanwendungen wie zB Action-Cams und Wildkameras sowie den Freizeitbereich ein sowie grundsätzlich ALLE Bildaufnahmen, so zB auch das Anfertigen von Foto­grafien zu beruf­lichen Zwecken. Es gilt der Verhältnis­mäßig­keits­grund­satz, wobei die Persönlichkeits­rechte des § 16 ABGB unberührt bleiben. Von den Bestimmungen des Abs. 3 Z 2 sind die in der StMV 2004 enthaltenen Video­über­wachungen für Banken, Juweliere, Handel mit Anti­qui­täten und Kunst­gegen­ständen, Gold- und Silber­schmiede, Trafiken, Tankstellen, bebaute Privat­grund­stücke (samt Haus­ein­gang und Garage), Rechen­zentren sowie Park­garagen und -plätze umfasst. Ent­fallen ist die allgemeine Rege­lung der Auskunft der betroffenen Person. Die Zulässig­keit der Bild­verar­beitung iSd DSGVO wird auch weiter­hin nicht behandelt.

§ 31 Zulässigkeit der Übermittlung der Bildaufnahme

Im Wege einer zulässigen Bildaufnahme ermittelte personen­bezogene Daten dürfen im erforder­lichen Ausmaß über­mittelt werden, wenn für die Über­mittlung eine der Voraus­setzungen des § 30 Abs. 2 Z 1 bis 4 gegeben ist. § 30 Abs. 4 gilt sinngemäß.

FAZIT: Bei Bild­aufnahmen, die eine strafbare Handlung dokumentieren, dürfen diese auch an die zuständige Behörde oder das zustän­dige Gericht über­mittelt werden.

§ 32 Besondere Datensicherheitsmaßnahmen

(1) Der Verantwortliche hat dem Risiko des Eingriffs angepasste geeignete Daten­sicher­heits­maß­nahmen zu ergreifen und dafür zu sorgen, dass der Zugang zur Bild­auf­nahme und eine nach­trägliche Verän­derung derselben durch Unbe­fugte ausges­chlossen ist.

(2) Der Verantwortliche hat – außer in den Fällen einer Echtzeit­überwachung – jeden Verarbeitungs­vorgang zu protokollieren.

(3) Aufgenommene personenbezogene Daten sind vom Verantwortlichen zu löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzlich vorgesehene Aufbewahrungspflicht besteht. Eine länger als 72 Stunden andauernde Aufbe­wahrung muss verhältnis­mäßig sein und ist gesondert zu proto­kollieren und zu begründen.

(4) Die Abs. 1 bis 3 finden keine Anwendung auf Bild­auf­nahmen nach § 30 Abs. 3 Z 3.

FAZIT: Enthält die Bestimmung, entsprechende Sicherheits­maßnahmen vorzunehmen (zB. Verschlüsselung) sowie die Protokollierungs­pflicht jedes Verarbeitungsvorganges. Die Aufbewahrungsdauer ist mit 72 Stunden begrenzt, wobei die Bestimmungen des § 33 Abs. 2 AVG diese kurze Speicherdauer etwas mildern. Jeden­falls wird bei einer längeren Speicherdauer nach den Bestim­mungen des Art. 5 Abs. 2 („Rechen­schafts­pflicht“) eine Begründung zu doku­mentieren sein.

§ 33 Kennzeichnung

FAZIT: Wie § 50d DSG 2000 fordert auch § 33 eine entsprechende Kenn­zeichnung der Bildaufnahme. Dieser kann am wirk­samsten mittels eines Pikto­gramms nach DIN 33450, das auch die Bekannt­gabe des Verant­wort­lichen enthält, nachge­kommen werden.

Piktogramm Videoüberwachung nach DIN 33450

 

3. HAUPTSTÜCK
VERARBEITUNG PERSONENBEZOGENER DATEN FÜR ZWECKE DER SICHERHEITSPOLIZEI, DES POLIZEILICHEN STAATSSCHUTZES, DES MILITÄRISCHEN EIGENSCHUTZES, DER AUFKLÄRUNG UND VERFOLGUNG VON STRAFTATEN, DER STRAFVOLLSTRECKUNG UND DES MASSNAHMENVOLLZUGS

§§ 34 bis 68 enthalten die nationalen Umsetzungs­bestim­mungen zur Richtlinie 2016/680 zum Schutz natür­licher Personen bei der Verar­beitung personen­bezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Straf­voll­streckung sowie zum freien Daten­verkehr und zur Aufhebung des Rahmen­beschlusses 2008/977/JI des Rates.

 

4. HAUPTSTÜCK
BESONDERE STRAFBESTIMMUNGEN

§ 69 Verwaltungsstrafbestimmung

(1) Sofern die Tat nicht einen Tatbestand nach Art. 83 DSGVO verwirklicht oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 50 000 Euro zu ahnden ist, wer

  1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenverarbeitung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält,
  2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 6) übermittelt, insbesondere Daten, die ihm gemäß §§ 25 oder 26 anvertraut wurden, vorsätzlich für andere unzulässige Zwecke verarbeitet,
  3. sich unter Vortäuschung falscher Tatsachen vorsätzlich personenbezogene Daten gemäß § 28 verschafft,
  4. eine Bildverarbeitung entgegen den Bestimmungen des 6. Abschnittes des 2. Hauptstücks betreibt oder
  5. die Einschau gemäß § 11 Abs. 2 verweigert.

(2) Der Versuch ist strafbar.

(3) Gegen juristische Personen können bei Verwaltungsübertretung nach Abs. 1 und 2 Geldbußen nach Maßgabe des § 19 verhängt werden.

(4) Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungs­geräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegen­stände mit einer Verwaltungs­über­tretung nach Abs. 1 in Zusammen­hang stehen.

(5) Die Datenschutzbehörde ist zuständig für Entscheidungen nach Abs. 1 bis 4.

FAZIT: Der österreichische Gesetzgeber nimmt die in Art. 6 Abs. 2 und 3 sowie Art. 23 DSGVO und Kapi­tel IX der DSGVO iVm ErwG 10 enthaltene Möglich­keit, spezifi­schere Vor­schriften zum Schutz Privater zu erlassen, in Anspruch und sanktio­niert bestimmte Verstöße gegen die Bestim­mungen des DSG und der DSGVO mit einer Geldstrafe von max. EUR 50.000,00.

§ 70 Datenverarbeitung in Gewinn- oder Schädigungsabsicht

§ 70. Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrecht­mäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewähr­leisteten Anspruch zu schädigen, personen­bezogene Daten, die ihm ausschließlich auf Grund seiner berufs­mäßigen Beschäftigung anver­traut oder zugänglich geworden sind oder die er sich wider­rechtlich verschafft hat, selbst benützt, einem anderen zugäng­lich macht oder veröffent­licht, obwohl der Betroffene an diesen Daten ein schutz­würdiges Geheim­haltungs­interesse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheits­strafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen zu bestrafen.

FAZIT: Mit dieser Bestimmung wurde § 51 DSG 2000 nahezu wortgleich übernommen.

 

5. HAUPTSTÜCK
SCHLUSSBESTIMMUNGEN

§ 76 Übergangs- und Schlussbestimmungen

(1) […]

(2) Das von der Datenschutzbehörde geführte Daten­verarbeitungs­register ist von der Daten­schutz­behörde bis zum 31. Dezember 2019 zu Archiv­zwecken fortzu­führen. Es dürfen keine Eintra­gungen und Änderungen im Daten­verarbeitungs­register vorge­nom­men werden. Registrierungen im Daten­verarbeitungs­register werden gegen­stands­los. Jedermann kann in das Register Einsicht nehmen. In den Registrie­rungs­akt ein­schließ­lich darin allen­falls enthaltener Genehmigungs­bescheide ist Einsicht zu gewäh­ren, wenn der Einsichts­werber glaubhaft macht, dass er eine betroffene Person ist, und soweit nicht über­wiegende schutz­würdige Geheimhaltungs­interessen des Verantwort­lichen (Auftrag­gebers) oder anderer Personen entgegen­stehen.

(3) […]

FAZIT: Mit 25. Mai 2018 wird das Daten­verarbeitungs­register (DVR) zwar eingestellt, allerdings bis 31. Dezember 2019 zu Archiv­zwecken weiter­geführt. Das ermöglicht dem Verant­wortlichen, auf allfällige Meldungen zurück­zugreifen, die im eigenen Firmen­archiv nicht mehr auffindbar sind.

Ausdruckbare Version


 

Kompetenzbereich Datensicherheit

2010 Secur-Data. All Rights Reserved.