Jüngst treten verstärkt Irritationen rund um den Anwendungsbereich des DSG Neu (und der DSGVO) auf. Ursache ist der überhastete Gesetzgebungsprozess, in dem mangels verfassungsrechtlicher Mehrheit statt der kompletten Neufassung das "Umsetzungsgesetz" in das alte DSG 2000 gepackt wurde (siehe den entsprechenden Bericht des DORDA Datenschutzteams hier). Aus diesem Grund wurde die Reform an die unverändert gelassenen §§ 1 bis 3 angeschlossen. Der weite, im Verfassungsrang stehende § 1 DSG 2000 sieht daher weiterhin das Grundrecht auf Datenschutz für jedermann – also auch juristische Personen – vor. Doch bedeutet das in der Praxis tatsächlich, dass juristische Personen weiterhin vollumfänglich dem DSG oder gar dem DSGVO Regime unterliegen?
Hier ist einiges klarzustellen: Die DSGVO schützt ausdrücklich nur personenbezogene Daten natürlicher Personen. Das hinsichtlich der vielen Öffnungsklauseln als Umsetzungsgesetz erlassene DSG Neu sieht keine abweichende Bestimmung vor, die den Schutz national auch auf juristische Personen ausweiten würde. Auch den Regierungsmaterialien ist kein Ansatz zu entnehmen, dass durch die eigenwillige Regelungstechnik ein weitergehender Schutz gewollt wäre. Mittlerweile wird jedoch aufgrund des unveränderten Grundrechts auf Datenschutz teilweise die Ansicht vertreten, dass auch Daten juristischer Personen voll von der DSGVO und dem DSG Neu geschützt sein sollen. Das ist nach Ansicht der DORDA Datenschutzexperten allerdings unvertretbar. Es ist vielmehr eine differenzierte Betrachtung geboten:
Wie der Verfassungsdienst des Bundeskanzleramts in seiner inzwischen weit verbreiteten Einschätzung richtigerweise festhält, erfasst das unveränderte Grundrecht auf Datenschutz in § 1 DSG Neu zwar "jedermann" und damit auch juristische Personen. Daher ist aufgrund der unmittelbaren Drittwirkung des Grundrechts auf Datenschutz auch die Verarbeitung von Daten identifizierbarerer juristischer Personen idR nur mit überwiegenden berechtigten Interessen, auf Basis einer gesetzlichen Grundlage oder mit Einwilligung zulässig (siehe § 1 Abs 2 DSG Neu).
Dennoch sind die einfachgesetzlichen Bestimmungen des DSG Neu und auch die DSGVO – entgegen der Einschätzung des Verfassungsdienstes – nicht (auch nicht analog) auf Daten juristischer Personen anwendbar! So mangelt es dazu an einer ausdrücklichen gesetzlichen Grundlage. Außerdem sind auf Basis eines Grundrechts alle sonstigen gesetzlichen Bestimmungen nicht ohne weiteres anwendbar – dies gerade auch vor dem Hintergrund, dass die DSGVO unmittelbar gilt und als (Sekundär-)Rechtsakt der EU dem österreichischen Verfassungsrecht im Stufenbau der Rechtsordnung übergeordnet ist. Betroffene juristische Personen könnten sich sohin "nur" direkt auf das Grundrecht auf Datenschutz, nicht aber automatisch auch auf die sonstigen Regelungen des DSG Neu oder der DSGVO stützen.
Weiters hat der österreichische Gesetzgeber im Erstentwurf zum DSG Neu durch Abänderung § 1 DSG 2000 ausdrücklich auch beabsichtigt, mit dem Grundrecht auf Datenschutz nur natürliche Personen zu erfassen. Diese Verfassungsänderung konnte lediglich aufgrund des kurzfristigen Gesetzgebungsverfahrens und der realpolitischen Situation nicht umgesetzt werden. Dennoch ist klar ersichtlich, dass auch der historische Gesetzgeber keine Anwendbarkeit der DSGVO oder des DSG Neu für Daten juristischer Personen beabsichtigt hat. Nicht nur fehlt – wie ausgeführt – jede Ausführungsgesetzgebung oder gesetzlichen Anordnung. Im Gegenteil soll das DSG Neu lediglich die DSGVO – wo notwendig – durchführen (siehe ausdrücklich in § 64 DSG Neu) und gerade nicht ihren Anwendungsbereich erweitern. Der vom Gesetzgeber geäußerte Telos geht also in genau die entgegengesetzte Richtung, als nun vom Verfassungsschutz suggeriert. Tatsächlich würde eine – ohne Rechtsgrundlage erfolgende – analoge Anwendung des DSG Neu oder der DSGVO spätestens bei den Strafbestimmungen des neuen Datenschutzregimes scheitern. Aufgrund des Analogieverbots im (Verwaltungs-)Strafrecht sind diese Bestimmungen jedenfalls nicht auf Verstöße betreffend Daten juristischer Personen anwendbar. Tatsächlich ist § 1 DSG Neu willentlich seinem einfachgesetzlichen Anwendungsbereich entzogen und verbleibt nur als nicht durchsetzbare Grundrechtshülle sowie als Mahnmal gegen verspätete, dann überhastete Gesetzgebungsinitiativen.
Es bleibt dennoch zu hoffen, dass der neue Nationalrat dieses Thema rasch saniert und die Verfassungsbestimmungen im DSG Neu noch vor dem Inkrafttreten des Gesetzes wie eigentlich geplant aufhebt, damit sich Unternehmen auf die "echte" DSGVO-Umsetzung konzentrieren können.
ERSTER ENTWURF ZUR ePRIVACY VERORDNUNG VOM EU PARLAMENT VERABSCHIEDET
Überraschenderweise hat das EU-Parlament letzte Woche im Schnellverfahren den ersten Entwurf der ePrivacy-Verordnung verabschiedet. Erst am Montagabend kam dieser Punkt kurzfristig auf die Agenda für die Abstimmung im Plenum am Donnerstag. Voraussichtlich soll die ePrivacy-Verordnung als kleine Schwester der DSGVO nun doch gleichzeitig mit dieser ab 25.5.2018 anwendbar sein. Für die betroffenen Unternehmen bringt das insoweit eine Erleichterung, als die notwendigen Umsetzungsmaßnahmen zur Berücksichtigung der ePrivacy-Verordnung gleichzeitig mit der DSGVO erfolgen können. Allerdings stehen die abschließenden Verhandlungen zwischen Parlament und den Vertretern der EU-Mitgliedsstaaten im Ministerrat noch aus und können hier noch (deutliche) Abweichungen erfolgen. Es ist also fraglich, ob der ambitionierte Zeitplan gehalten werden kann und ob der Entwurf tatsächlich schon der Weisheit letzter Schluss darstellt.
Inhaltlich sieht der Verordnungsentwurf nicht nur für Kommunikations- und Internetanbieter, sondern für alle elektronischen Dienste (darunter auch Websites und zB Newsletter), ergänzende, strenge (Datenschutz-)Bestimmungen vor. Die Kernaussage der ePrivacy-Verordnung, wonach alle Verarbeitungen von Userdaten und Zugriffe auf das Endgerät des Nutzers nur mit dessen Einwilligung erfolgen dürfen, ist aber noch heftig umstritten. Trotz begleitendem Lobbying (Argument: die Finanzierung digitaler Angebote sei gefährdet) hat das EU Parlament gegenüber dem ersten Vorschlag auch noch zahlreiche Verschärfungen vorgenommen. Insbesondere der Einsatz von Cookies und ähnlichen Tracking-Technologien soll deutlich strikter reguliert werden, als dies im liberaleren Kommissionsentwurf vorgesehen war. Dennoch soll die Möglichkeit zur Einholung der Cookie-Einwilligung über Browsereinstellungen grundsätzlich erhalten bleiben. Das wäre eine Erleichterung im Vergleich zur derzeit notwendigen Zustimmung über die auch designmäßig nicht ansprechenden Banner. Insgesamt misst der abgeänderte Entwurf dem Einwilligungserfordernis sowie vorkonfigurierten Privatsphäre-Einstellungen der Nutzer (Privacy by Default) aber deutlich höhere Bedeutung bei. Hierzu zählt auch der Einsatz von End-to-End Verschlüsselungslösungen für Kommunikationsdaten.
Für die endgültige Einigung zwischen Ministerrat und Parlament wird es also noch einige Hürden zu überwinden geben.