Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Nr. 74
Oktober 2013

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Mit dem vorliegenden DSG-Info-Service wollen wir Sie über Neuerungen im österreichischen Datenschutzrecht informieren. Zusätzlich behandeln wir den aktuellen Diskussionsstand der EU-Datenschutzgrundverordnung, die sich nach wie vor im Entwurfsstadium befindet, in Bezug auf einige für die österreichische Wirtschaft wichtige Bestimmungen.

1. Novellierung der Datenschutzangemessenheits-Verordnung

Die Verordnung des Bundeskanzlers über den angemessenen Datenschutz in Drittstaaten aus dem Jahr 1999 (DSAV, BGBl II 521/1999) wurde mit der Datenschutzangemessenheits-Novelle 2013 (DSAV-Nov 2013, BGBl II 150/2013) vom 4. Juni 2013 geändert. Mit BGBl II 213/2013 vom 19. Juli 2013 erfolgte eine nochmalige Änderung: Aufgrund der DSG-Nov 2014, BGBl I 83/2013 musste der in § 1 Abs. 1 und 2 der DSAV noch enthaltene Begriff „Datenschutzkommission“ auf „Datenschutzbehörde" geändert werden.

In der DSAV wird festgehalten, in welche Drittstaaten eine Datenübermittlung ohne vorherige Genehmigung der Datenschutzkommission (ab 1. Jänner 2014: Datenschutzbehörde) zulässig ist. Die Prüfkompetenz über den angemessenen Datenschutz in Drittstaaten war ursprünglich bei den einzelnen EU-Mitgliedstaaten angesiedelt; sie „wanderte“ aber mit Inkrafttreten der Richtlinie 95/46/EG zur EU-Kommission. Mit der DSAV-Nov 2013 werden nun — aus welchen Gründen auch immer, für den Autor jedenfalls nicht nachvollziehbar — die ohnehin verbindlichen Entscheidungen der EU-Kommission aus den letzten Jahren nochmals in Verordnungsform wiedergegeben.

Derzeit ist aufgrund der DSAV die Übermittlung und Überlassung von Daten aus Datenanwendungen in folgende Staaten ohne Genehmigung der DSK (bzw. ab 1. Jänner 2014 Datenschutzbehörde) erlaubt:

     

  1. Schweiz,
  2. Argentinien,
  3. Guernsey,
  4. Insel Man,
  5. Jersey,
  6. Färöer Inseln,
  7. Andorra,
  8. Uruguay,
  9. Neuseeland.

Darüber hinaus ist auch die Übermittlung und Überlassung von Daten aus Datenanwendungen in nachfolgende weitere Drittstaaten unter Beachtung der angeführten Voraussetzungen genehmigungsfrei:

     

  1. Vereinigte Staaten von Amerika, entsprechend der Entscheidung 2000/520/EG der Kommission gemäß der Richtlinie 95/46/EG über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl. Nr. L 215 vom 25.08.2000 S. 7, in der Fassung der Berichtigung ABl. Nr. L 115 vom 25.04.2001 S. 14,
  2. Kanada, entsprechend der Entscheidung 2002/2/EG der Kommission gemäß der Richtlinie 95/46/EG über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet, ABl. Nr. L 2 vom 04.01.2002 S. 13,
  3. Israel, entsprechend dem Beschluss 2011/61/EU der Kommission gemäß der Richtlinie 95/46/EG über die Angemessenheit des Datenschutzniveaus im Staat Israel im Hinblick auf die automatisierte Verarbeitung personenbezogener Daten, ABl. Nr. L 27 vom 01.02.2011 S. 39.

Zur Erinnerung: Die Übermittlung und Überlassung von Daten aus Datenanwendungen an Empfänger in die derzeit 28 EU-Mitgliedstaaten sowie jene des Europäischen Wirtschaftsraumes — das sind Norwegen, Island und Luxemburg — ist bekanntlich gem. § 12 Abs. 1 DSG genehmigungsfrei.

2. EU-Verordnung Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation)

Die EU-VO Nr. 611/2013 vom 24. Juni 2013, die mit 25. August 2013 in Kraft getreten ist, verpflichtet die Betreiber öffentlich zugänglicher Kommunikationsdienste, bei Datenschutzverstößen (unbefugter Zugriff durch Dritte, Datenverlust oder Datendiebstahl) die national zuständigen Datenschutzbehörde zu informieren. Sofern eine „Beeinträchtigung“ personenbezogener Daten oder der Privatsphäre der Betroffenen anzunehmen ist, muss der Betreiber diese außerdem direkt kontaktieren.

Im Sinne der EU-Richtlinie 2002/58/EG sind Telekommunikationsdiensteanbieter sowie Internetzugangsanbieter derartige Betreiber öffentlich zugänglicher Kommunikationsdienste. Diese Interpretation wird aber von mehreren Mitgliedstaaten zu eng gesehen. Nach ihrer Meinung unterliegen alle Dienste der Informationsgesellschaft, das sind zB Webshops, Online-Auktionshäuser, Suchmaschinen, Webmail-Dienste, Informationsdienste (zB zu Wetter, Verkehrshinweise), Chatrooms, Webportale usw. dieser Regelung.

Nach den neuen Vorschriften muss das von der „Datenpanne“ betroffene Unternehmen den Vorfall unverzüglich, d.h. innerhalb von 24 Stunden, an die zuständige nationale Behörde — das ist in Österreich derzeit die Datenschutzkommission bzw. ab 1. Jänner 2014 die neugeschaffene Datenschutzbehörde — melden. Eine Ergänzung oder Aktualisierung dieser Benachrichtigung, deren Inhalt in Anhang 1 der Verordnung detailliert vorgeschrieben ist, kann noch bis spätestens drei Tage nach der Erstmeldung erfolgen. Bei Verletzungen der Sicherheit bzw. der Netzintegrität muss unabhängig davon gem. § 16a Abs. 5 TKG 2003 eine Meldung an die RTR-GmbH (https://egov.rtr.at) gemacht werden.

Der Betreiber muss zusätzlich die Betroffenen direkt informieren, wenn personenbezogene Daten oder die Privatsphäre von Teilnehmern durch den Vorfall „wahrscheinlich“ beeinträchtigt wurden. Als Grundlage für diese Beurteilung benennt die Richtlinie folgende Kriterien:

     

  • Art und Inhalt der Daten: Finanzielle Informationen; sensible Daten iSd § 4 Z 2 DSG 2000 (Art. 8 der EU-RL 95/46/EG) sowie u.a. Standort-, E-Mail- oder Einzelverbindungsdaten;
  • Folgen der Datenschutzverletzung: Insbesondere Identitätsdiebstahl, Betrug, physische oder psychische Schädigungen, Demütigungen und Rufschädigung;
  • Umstände der Datenschutzverletzung: Datendiebstahl, Kenntnis des Betreibers über unbefugten Datenbesitz eines Dritten.

Die EU-VO bedarf keiner Umsetzung in den Mitgliedstaaten, sondern entfaltet unmittelbare Wirkung.

Bei der „Regelungswut“ der EU-Kommission ist nach Meinung des Autors damit zu rechnen, dass in Zukunft die o.a. Pflichten, die wie ausgeführt derzeit nur für Telekommunikationsanbieter gelten, Eingang in die geplante EU-Datenschutzgrundverordnung finden werden und dann allgemein gelten.

3. Stand der Diskussion über einige für die österreichische Wirtschaft wichtige Artikel der EU-Datenschutzgrundverordnung

Bis dato sind nach Medienberichten mehr als 5.000 Änderungswünsche zu allen Bereichen des Entwurfs der EU-Datenschutzgrundverordnung eingegangen. Das Europäische Parlament muss sich mit dieser Flut an Änderungsanträgen auseinandersetzen. Wir dürfen Sie über den Stand der Diskussion einiger wichtiger Artikel per Mitte Juni 2013 informieren.

Art 4. Abs. 1 — Juristische Personen:

Ursprünglicher Text per 25. Jänner 2012:

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck

(1) „betroffene Person“ eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa mittels Zuordnung zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind; ...

Kompromissvorschlag per Mitte Juni 2013:

„Personenbezogene Daten“ bedeutet jede Information, die sich auf eine direkt oder indirekt bestimmbare natürliche Person („Betroffener“) bezieht; eine bestimmbare Person ist eine, die direkt oder indirekt bestimmbar ist, insbesondere mittels Zuordnung zu Identifizierungsmerkmalen, wie Namen, Kennnummer, Standortdaten, Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Anmerkungen: Inhaltlich enthält dieser Kompromissvorschlag keine Neuerungen: Die Daten juristischer Personen sind — anders als im österreichischen DSG 2000 — in der Datenschutzgrundverordnung kein „Schutzobjekt“.

Diese Bestimmung stellt eine Ungleichbehandlung zwischen Kapitalgesellschaften (AG, GmbH) und Einzelunternehmen dar, da die gewerblichen Schutzrechte bzw. Urheberrechte nur dann den Schutz von Geschäfts- und Betriebsgeheimnissen bieten, wenn entsprechende Schutzrechte beantragt wurden und etwa ein Patent angemeldet ist (Formal-schutz). Der Anwendungsbereich der Wirtschaftsdaten ist in der Praxis wesentlich weiter und daher ist aus Sicht der österreichischen Wirtschaft die Beibehaltung des Datenschutzes auch für die juristischen Personen notwendig.

Auch auf Grund der Rechtsprechung des EGMR unterliegen juristische Personen dem Schutz des Art. 8 EMRK. Auch die RL 95/46/EG verbietet keinesfalls den Schutz von juristischen Personen. Last but not least würden die juristischen Personen auch die Betroffenenrechte — Auskunft, Richtigstellung, Löschung — verlieren.

Art 4. Abs. 8 — Ausdrückliche Zustimmung:

Ursprünglicher Text per 25. Jänner 2012:

(8) „Einwilligung der betroffenen Person“ jede ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte explizite Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

Kompromissvorschlag per Mitte Juni 2013:

(8) „Einwilligung der betroffenen Person“ jede ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

Anmerkungen: Die Zustimmungserklärung enthält nicht mehr das Wort „explizite“ (im österreichischen DSG 2000 „ausdrücklich“). Eine „explizite“ Zustimmung ist nur mehr — so wie auch im § 9 Z 6 DSG 2000 — bei der „Verarbeitung besonderer Kategorien von personenbezogenen Daten“ (entspricht dem Begriff „sensible Daten“ iSd § 4 Z 2 DSG 2000) notwendig.

Art. 7 Abs. 4 — Nichtigkeit der Zustimmung bei „erheblichem Ungleichgewicht“:

Ursprünglicher Text per 25. Jänner 2012:

Einwilligung

...

4. Die Einwilligung bietet keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht.

Kompromissvorschlag per Mitte Juni 2013:

entfällt

Anmerkungen: Ursprünglich sollte auch eine ohne Zwang abgegebene Zustimmungserklärung mit Nichtigkeit bedroht sein, wenn zwischen Partnern ein erhebliches Ungleichgewicht besteht. Damit wäre zB für einen Unternehmer die Einholung einer Zustimmungserklärung de facto nicht mehr rechtswirksam möglich gewesen.

Art. 35 Abs. 1 — Verpflichtende Bestellung eines Datenschutzbeauftragen:

Ursprünglicher Text per 25. Jänner 2012:

Benennung eines Datenschutzbeauftragten

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten...

Kompromissvorschlag per Mitte Juni 2013:

1. Der für die Verarbeitung Verantwortliche (das ist iSd § 4 Z 4 DSG 2000 der „Auftraggeber“) kann oder, wenn es durch die Union oder durch ein Gesetz des Mitgliedstaates gefordert wird, muss einen Datenschutzbeauftragten benennen.

Anmerkungen: Die derzeitige Textierung sieht nun die Bestellung eines Datenschutzbeauftragen auf freiwilliger Basis vor, allerdings kann der nationale Gesetzgeber die verpflichtende Bestellung eines Datenschutzbeauftragten normieren.

Im ursprünglichen Entwurf war die Bestellung eines Datenschutzbeauftragten für Betriebe ab 250 Mitarbeitern verpflichtend vorgesehen. Diese Grenze ist für österreichische Verhältnisse deutlich zu hoch angesetzt; die (nicht verabschiedete) DSG-Novelle 2008 sah noch eine verpflichtende Bestellung ab 20 Vollzeitbeschäftigten vor. Dieses Vorhaben war allerdings heftig umstritten und dürfte mit zum Scheitern der Novelle beigetragen haben. Im deutschen Bundesdatenschutzgesetz wurde dagegen die verbindliche Bestellung des betrieblichen Datenschutzbeauftragten, bei ähnlichen Grenzziehungen wie in der österreichischen Novelle 2008, verbindlich festgelegt.

Der aktuelle Kompromissvorschlag verlegt die Entscheidung über diese Thematik wieder in die Verantwortung der Mitgliedstaaten. Wieweit sie diese wahrnehmen werden, bliebe abzuwarten.



DSG-Info-Service Nr. 73
Mai 2013

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Mit vorliegendem DSG-Info-Service dürfen wir Sie über zwei kürzlich beschlossene Datenschutzgesetz-Novellen informieren, und zwar:

  • Am 1. Mai 2013 trat gem. BGBl. I 57/2013 vom 17. April 2013 die Datenschutzgesetz-Novelle 2013 in Kraft, und

  • am 1. Jänner 2014 wird gem. BGBl. I 83/2013 vom 23. Mai 2013 die Datenschutzgesetz-Novelle 2014 in Kraft treten.

Zu den beiden Datenschutzgesetz-Novellen im Einzelnen:

1. Die Datenschutzgesetz-Novelle 2013

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 16. Oktober 2012 in der Rechtssache C-614/10, Europäische Kommission gegen Republik Österreich, festgestellt, dass die Republik Österreich gegen ihre Verpflichtungen aus Art. 28 Abs. 1 UAbs. 2 der Datenschutzrichtlinie 95/46/EG, die wie folgt lautet:

„Artikel 28

Kontrollstelle

(1) Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“

verstoßen hat.

Konkret hat der EuGH eine Vertragsverletzung aufgrund mangelnder Unabhängigkeit der Datenschutzkommission festgestellt, und zwar in folgenden drei Punkten:

     

  • Das geschäftsführende Mitglieder der Datenschutzkommission ist ein der Dienstaufsicht unterliegender Bundesbediensteter (Anmerkung: das derzeit geschäftsführende Mitglied der Datenschutzkommission ist Beamtin im Bundeskanzleramt)
  • Die Geschäftsstelle der Datenschutzkommission ist dem Bundeskanzleramt eingegliedert und
  • Der Bundeskanzler verfügt über ein unbedingtes Recht, sich über alle Gegenstände der Geschäftsführung der Datenschutzkommission zu unterrichten.

Um drohende Sanktionen wegen Verletzung des Unionsrechtes zu vermeiden, war der österreichische Gesetzgeber gezwungen, umgehend einen rechtskonformen Zustand herzustellen. Der vom Bundeskanzleramt im Dezember 2012 vorgelegte Entwurf einer Datenschutzgesetz-Novelle 2013 enthält ausschließlich entsprechende Änderungen der vom EuGH kritisierten Bestimmungen. Der Entwurf einer Datenschutzgesetz-Novelle 2013 wurde am 21. März 2013 im Nationalrat und am 5. April 2013 im Bundesrat angenommen und enthält folgende Bestimmungen:

     

  • Die bisher gegebenen organisatorische Verzahnung der Datenschutzkommission mit dem Bundeskanzleramt und die damit vom EuGH befürchtete Parteilichkeit wird durch die Datenschutzgesetz-Novelle 2013 dadurch behoben, dass die Datenschutzkommission künftig als Dienstbehörde und Personalstelle eingerichtet wird und dass die Bediensteten nur mehr den Weisungen der/des Vorsitzenden der Datenschutzkommission (Anmerkung: Das ist das richterliche Mitglieder der Datenschutzkommission) unterstehen.
    Durch diese Regelung wird klargestellt, dass die Bediensteten der Geschäftsstelle der Datenschutzkommission nunmehr Bedienstete der Datenschutzkommission sind und ausschließlich der Dienstaufsicht sowie der fachlichen Weisung der/des Vorsitzenden der Datenschutzkommission unterstehen. Auch das geschäftsführende Mitglied unterliegt als Bediensteter/Bedienstete der Datenschutzkommission ebenso ausschließlich der Dienstaufsicht sowie der fachlichen Weisung der/des Vorsitzenden der Datenschutzkommission, ist jedoch als Mitglied der Datenschutzkommission in Ausübung des Amtes gem. § 37 Abs. 1 DSG 2000 unabhängig und an keine Weisungen gebunden.
  • Weiters wurde das Unterrichtungsrecht des Bundeskanzlers nunmehr dahingehend eingeschränkt, dass die/der Vorsitzende der Datenschutzkommission dem Unterrichtungsrecht nur insoweit zu entsprechen hat, als diese nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutzrichtline 95/46/EG widerspricht.

Mit der Datenschutzgesetz-Novelle 2013 ist die Gewährleistung der völligen Unabhängigkeit der Datenschutzkommission im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutzrichtlinie 95/46/EG und im Sinne des Urteils des EuGH vom 16. Oktober 2012 in der Rechtssache C-614/10 nunmehr sichergestellt.

 

2. Datenschutzgesetz-Novelle 2014

Mit der Verwaltungsgerichtsbarkeitsnovelle 2012, BGBl. I 51/2012 wurde die Schaffung eines Bundesverwaltungsgerichtes sowie von Verwaltungsgerichten in den Bundesländern sowie die Auflösung von unabhängigen Verwaltungsbehörden – darunter auch der Datenschutzkommission – mit 1. Jänner 2014 beschlossen.

Um den unionsrechtlichen Vorgaben zu entsprechen, soll daher auf nationaler Ebene mit 1. Jänner 2014 eine neue Kontrollstelle im Sinne des Art. 28. Abs. 1 der Datenschutzrichtlinie 95/46/EG eingerichtet werden. Dies soll in Form einer „Datenschutzbehörde“ geschehen. Nachdem diese neue Datenschutzbehörde als monokratische Behörde eingerichtet werden soll, entfällt die Einbindung folgender Mitglieder der derzeit noch als „Kollegialbehörde“ eingerichteten Datenschutzkommission:

  • zwei Mitglieder auf Vorschlag der Länder
  • ein Mitglied auf Vorschlag der Wirtschaftskammer Österreich
  • ein Mitglied auf Vorschlag der Bundeskammer für Arbeiter und Angestellte

Damit entfällt die Einbindung der Länder und der Sozialpartner. Um die Expertise und die Erfahrung aus diesen Bereichen weiterhin zu nutzen, wird zur Unterstützung der Datenschutzbehörde ein „Fachbeirat“ mit zwei von den Ländern und je einem aufgrund von Vorschlägen der Wirtschaftskammer Österreich und der Bundeskammer für Arbeiter und Angestellte bestelltes Mitglied eingerichtet. Die Mitglieder werden vom Leiter der Datenschutzbehörde für die Dauer von fünf Jahren bestellt.

Die Tätigkeit des Fachbeirates soll zudem die Abgabe von Empfehlungen für generelle Prüfschwerpunkte, die Erstattung von Vorschlägen zur Gewährleistung einheitlicher Vorgehensweisen und Prüfstandards und die Vorlage von Gutachten zu Fragen von grundsätzlicher Bedeutung für den Datenschutz umfassen. Ein Einsichtsrecht in laufende Verfahren und in personenbezogene Daten soll damit nicht verbunden sein. Die Datenschutzbehörde soll auch an die Beratung, die Empfehlungen und Vorschläge sowie Gutachten des Fachbeirates nicht gebunden sein, da nach Ansicht des Gesetzgebers damit die von Art. 28 der Datenschutz-Richtlinie 95/46/EG geforderte völlige Unabhängigkeit der Kontrollstelle nicht beeinträchtigt wird.

Die neue Datenschutzbehörde soll die derzeit von der Datenschutzkommission wahrgenommenen Aufgaben gem. Art. 28 der Datenschutzrichtlinie 95/46/EG übernehmen. Im Einzelnen umfassen diese Aufgaben:

  • Kontrollbefugnisse nach § 30 DSG 2000 („Ombudsmannverfahren“)
  • Beschwerdeverfahren nach § 31 DSG 2000 sowie begleitende Maßnahmen nach § 31a DSG 2000
  • Führung des Datenverarbeitungsregisters (§§ 16ff DSG 2000)
  • Meldung von Informationsverbundsystemen nach § 50 DSG 2000
  • Genehmigung für die Übermittlung von Daten in das Ausland (§ 13 DSG 2000)
  • Mitteilung der Heranziehung eines Dienstleisters (§ 10 Abs. 2 DSG 2000)
  • Genehmigungen im Bereich der wissenschaftlichen Forschung und Statistik (§ 46 DSG 2000)
  • Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen (§ 47 DSG 2000)
  • Aufgaben bei der Verwendung von Daten im Katastrophenfall (§ 48a DSG 2000)
  • Aufgaben im Bereich der Videoüberwachung (im Zusammenhang mit der Aufbewahrungsdauer nach § 50b DSG 2000)
  • Schlüsselhinterlegung nach § 50c DSG 2000
  • Mitteilungspflichten an andere Mitgliedsstaaten der EU und an die Europäische Kommission (§ 54 DSG 2000)
  • Beantwortung bei Anfragen von Bürgern zum Datenschutz
  • Weiters soll die neue Datenschutzbehörde auch alle in anderen Bundesgesetzen vorgesehenen Aufgaben der Datenschutzkommission übernehmen, so insbesondere jene nach § 129 Gaswirtschaftsgesetz 2011, BGBl. I 107/2011, und § 83 Elektrizitätswirtschafts- und ‑organisationsge­setz 2010, BGBl. I 110/2010, die Aufgaben als Nationale Kontrollinstanz nach § 14 EU-Polizeikooperationsgesetz, BGBl. I 132/2009, als Stammzahlenregisterbehörde nach § 7 E-Government-Gesetz, BGBl. I 10/2004, und als Registerbehörde nach der E-Government-Bereichsabgrenzungsverordnung, BGBl. II 289/2004, sowie die Kontrollaufgaben nach § 8 Zollrechts-Durchführungsgesetz, BGBl. 659/1994, und diverse Aufgaben nach dem Telekommunikationsgesetz 2003, BGBl. I 70/2003.
  • Wahrnehmung der Aufgaben im internationalen bzw. EU-Bereich (insbesondere die Vertretung in der Art. 29-Datenschutzgruppe und ihren Untergruppen, Vertretung in den gemeinsamen Kontrollinstanzen Schengen, Europol und Zollinformationssystem sowie der Konsolidierungsgruppe von Eurodac) und die sonstigen Kooperationen mit anderen Datenschutzbehörden.

Das aufgrund der Verwaltungsgerichtsbarkeitsnovelle 2012 neu zu schaffende Bundesverwaltungsgericht soll im Bereich der Rechtsprechung Bescheide der neuen Datenschutzbehörde überprüfen können. Dies betrifft vor allem Bescheide über Beschwerden wegen Verletzung von Betroffenenrechten nach § 31 DSG 2000.

Beim Bundesverwaltungsgericht wird ein Senat, bestehend aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitnehmer und aus dem Kreis der Arbeitgeber eingerichtet werden.

Da beim Bundesverwaltungsgericht kein Anwaltszwang besteht und Eingaben überdies gebührenfrei sind, ist mit einer entsprechend hohen Anzahl von Verfahren zu rechnen.

Die erst mit der Datenschutzgesetz-Novelle 2010 erfolgte Bestimmung, wonach der Datenschutzrat auch von der Datenschutzkommission Auskünfte und Berichte sowie Einsicht in Unterlagen verlangen darf, entfällt wieder. Nach Meinung des Verfassers wird durch diese Einschränkung die Abwertung des Datenschutzrates noch mehr verdeutlicht.

Die Datenschutzgesetz-Novelle 2014 tritt gleichzeitig mit der Verwaltungsgerichtsbarkeitsnovelle 2012 zum 1. Jänner 2014 in Kraft.

 

Kompetenzbereich Datensicherheit

in Kooperation mit

2019 Secur-Data. All Rights Reserved.