Austriakischer Datenschutz
Der Gesetzgebungsprozess war mühsam, aber die Umsetzung der DSGVO in Österreich steht. Dass die öffentliche Hand von allen Strafen ausgenommen wird, ist ein verheerendes Signal. Und in Zukunft droht eine Rechtszersplitterung in einzelnen Materiengesetzen.
Wien – Trotz des Grundgedankens der Vollharmonisierung des Datenschutzrechts in Europa besteht aufgrund der mehr als 70 (!) Öffnungsklauseln der DSGVO Gestaltungsspielraum für die EUMitgliedstaaten. Daher wird es auch nach dem 25. Mai weiterhin 28 nationale Datenschutzgesetze geben, die die DSGVO umsetzen, konkretisieren und Sonderbestimmungen vorsehen können.
Im österreichischen Gesetzgebungsprozess haben sich die alte und neue Regierung nicht mit Ruhm bekleckert: In einem überfälligen, dann wegen des Koalitionsbruchs übereiligen Gesetzgebungsverfahren mit verkürzter Begutachtung und währenddessen vorgenommener Änderungen wurde das bisherige Datenschutzgesetz (DSG) im Juni 2017 umfassend novelliert. Damit sollten die notwendigen Begleitgesetze und Öffnungsklauseln zur DSGVO zum Stichtag 25. 5. 2018 implementiert werden. Allerdings konnten Verfassungsbestimmungen mangels entsprechenden Mehrheit nicht angepasst werden. Die Novelle litt daher unter strukturellen Mängeln und verursachte Unklarheiten.
Das wollte die neue Regierung mit einer weiteren Novelle im April sanieren. Es wiederholte sich das gleiche Schauspiel, diesmal unter verkehrten politischen Vorzeichen. Wieder konnte die Verfassungsmehrheit nicht erzielt werden, und die Novelle wurde kurzfristig geändert angenommen. Erneut hat zulasten der Wirtschaft Partei- über Sachpolitik gesiegt.
Inhaltlich steht damit aber das neue Datenschutzregime. Dabei sind folgende österreichische Besonderheiten hervorzuheben:
Daten juristischer Personen unterliegen nicht der DSGVO: Zwar konnte die Verfassungsbestimmung für den Schutz juristischer Personen nicht entfernt werden, das novellierte DSG sieht aber ausdrücklich vor, dass der Anwendungsbereich der DSGVO auf personenbezogene Daten natürlicher Personen beschränkt ist. Für Daten juristischer Personen bleibt ein rudimentärer, im Umfang unklarer Grundschutz.
Senkung des Zustimmungsalters von Kindern auf 14 Jahre: Der Gesetzgeber hat die von der DSGVO unverbindlich vorgegebene Altersgrenze von 16 Jahren zur Erteilung einer Einwilligungserklärung praxisnah gesenkt.
Die Datenschutzbehörde kann Datenverarbeitungen jederzeit überprüfen, die entsprechende Dokumentation über die DSGVO-Compliance verlangen und „Einschau“halten – auch ohne konkreten Verdacht.
Neuregelungen zur „Bildverarbeitung“: Die Sonderbestimmungen betreffen jede Feststellung von Ereignissen, auch wenn kein Überwachungszweck – wie bei der klassischen Videoüberwachung – verfolgt wird. Damit ist auch das Anfertigen von Fotografien erfasst. In der Regel ist eine Bildaufnahme nach dem DSG nur zulässig, wenn die abgebildete Person eine Einwilligung erteilt hat oder berechtigte Interessen die Aufnahme rechtfertigen (etwa Schutz und Überwachung von privatem und öffentli- chem Raum durch Überwachungskameras).
Die Datenschutzbehörde kann die exorbitanten Geldbußen (bis zu 20 Millionen Euro oder vier Prozent des Konzernjahresumsatzes) direkt gegen juristische Personen – also die Gesellschaft – verhängen. Unter „besonderen Umständen“können auch natürliche Personen – Geschäftsführung, Vorstand oder ein verwaltungsstrafrechtlicher Vertreter, aber nicht der Datenschutzbeauftragte – bestraft werden. In der zweiten DSG-Novelle hat der Gesetzgeber klargestellt, dass die Datenschutzbehörde primär die Unternehmen anzuleiten und zu verwarnen und bei Geldstrafen verhältnismäßig vorzugehen hat. Dies entspricht der verwaltungsstrafrechtlichen Praxis und ist keine Verwässerung, sondern es wird Selbstverständliches im Einklang mit der DSGVO erklärt. Einrichtungen, die „in Vollziehung der Gesetze tätig werden“, sind – unabhängig davon, ob sie als Behörde oder privatwirtschaftlich organisiert sind – von den Strafen ausgenommen. Damit hat der Gesetzgeber eine für die öffentliche Hand günstige Öffnungsklausel der DSGVO ausgenutzt. Das ist zwar zulässig, aber die Signalwirkung ist verheerend und wird durch den dafür in dem Bereich verpflichtenden Datenschutzbeauftragten nicht aufgewogen.
Die im DSG explizit eingefügte Anleitungspflicht sowie den verhältnismäßigen Umgang mit Strafen hat der Gesetzgeber nun auch in einem Entwurf einer Novelle des Verwaltungsstrafrechts verankert. Damit geht in allen Bereichen die Tendenz weg vom bloß strafenden Behördenapparat hin zu einem modernen Dienstleister für Unternehmer und Bürger. Eine weitere geplante Änderung im VStG setzt die allgemeine verwaltungsstrafrechtliche Verschuldensvermutung bei einer drohenden Geldbuße von mehr als 50.000 Euro aus. Damit wären DSGVOVerstöße nie erfasst, und die Datenschutzbehörde müsste immer zumindest Fahrlässigkeit nachweisen. Außerdem soll zukünftig für „gleichartige Verwaltungsübertretungen“nur eine Strafe verhängt und damit das Kumulationsprinzip abgeschafft werden.
Auch wenn nun der DSGRahmen steht, droht eine Zersplitterung der datenschutzrechtlichen Regelungen in besonderen Materiengesetzen. So gibt es bereits konkrete Entwürfe zu Sonderdatenschutzgesetzen, etwa bei Wissenschaft und Forschung oder im Finanzbereich. Weiters hat der Nationalrat im April mit dem Materien-Datenschutz-Anpassungsgesetz, das mehr als 120 (!) Gesetze betrifft, neben bloßen terminologischen Änderungen und Konkretisierungen auch Öffnungsklauseln der DSGVO ausgenutzt. Die Gefahr bleibt, dass weitere Änderungen statt im zentralen DSG in Materiengesetzen (versteckt) nachgeschoben werden. Das würde zu einer kaum handzuhabenden Rechtszersplitterung führen.
AXEL ANDERL ist Managing Partner bei Dorda Rechtsanwälte, leitet das IT/IPTeam der Kanzlei und ist Coleiter der Datenschutzgruppe. DOMINIK SCHELLING ist Rechtsanwaltsanwärter bei Dorda. axel.anderl@dorda.at, dominik.schelling@dorda.at