Bevor die DSGVO rund zwei Jahre nach ihrem Inkrafttreten in wenigen Tagen anwendbar sein wird, nehmen sowohl die EU als auch die österreichische Regierung noch einen letzten (?) Feinschliff vor. Die Anpassung der Verordnung selbst durch den EU Gesetzgeber ebenso wie die neue Sammelnovelle bezüglich der Umsetzung der DSGVO in Österreich ernten dabei – erneut und nur teilweise berechtigt – viel Kritik.
Umfangreiche Anpassung der DSGVO ein Monat vor der Anwendbarkeit
Knapp vor dem Inkrafttreten der DSGVO hat der EU Gesetzgeber in einem 386 Seiten langem Dokument eine Anpassung für alle Sprachfassungen herausgebracht. In der Regel werden mit solchen Dokumenten nur offensichtliche Rechtsschreib- und Verweisfehler ausgebessert. So wurde im konkreten Fall die deutsche Fassung an gängige juristische Terminologien angepasst (wie "gewöhnlicher Aufenthaltsort" statt nur "Aufenthaltsort"). Bei genauer Betrachtung fällt aber auf, dass stellenweise in allen Sprachfassungen die gleichen Passagen abgeändert wurden. Damit wird klar, dass mit dem Dokument nicht nur bloß stilistische Verbesserungen, sondern zum Teil auch inhaltliche Anpassungen vorgenommen wurden. Einige davon sind durchaus zu begrüßen: So wurden die Begriffe in Zusammenhang mit der Akkreditierung und dem Zertifizierungsverfahren in den unterschiedlichen Gesetzesstellen vereinheitlicht, was zu einem besseren Verständnis der bislang nicht harmonisierten Regelungen führt. Die wichtigsten Änderungen haben wir für Sie zusammengefasst:
Verarbeitung statt Maßnahmen mit diskriminierender Wirkung
Der ErwG 71 präzisiert für Verantwortliche, welche Maßnahmen sie bei Profiling zum Schutz der Betroffenen treffen müssen:
"…sollte der für die Verarbeitung Verantwortliche […] personenbezogene Daten in einer Weise sichern, […] dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, […] zu diskriminierenden Wirkungen oder zu Maßnahmen einer Verarbeitung kommt, die eine solche Wirkung haben."
Der Ersatz des Wortes "Maßnahmen" durch "Verarbeitung" verleiht dem Satz einen neuen Sinn. Während "Maßnahmen" ein weiter Begriff ist und sehr umfassend verstanden werden kann, bezieht sich "Verarbeitung" rein auf den Umgang mit personenbezogenen Daten. Auffallend ist, dass dieser Tausch in allen Sprachfassungen vorgenommen wurde. Damit kann es sich hierbei also um keinen bloßen Übersetzungsfehler handeln, sondern wurde hier bewusst über alle Sprachfassungen ein neuer, engerer Begriff gewählt.
Wo kann die betroffene Person klagen?
In ErwGr 145 wird die Möglichkeit des Betroffenen erläutert, gegen Verantwortliche Klage zu erheben:
"Bei Verfahren gegen Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft […] in dem die betroffene Person ihren Aufenthaltsort hat wohnt…"
Auch hier wird in der neuen Sprachfassung ein weitaus engerer Begriff gewählt. Diese Änderung wurde aber nur in der deutschen Fassung vorgenommen. Es handelt sich hier also wohl um eine bewusste Klarstellung und Annäherung an das englische Dokument, das "reside" verwendet. Diesem Begriff kommt das deutsche "wohnen" näher.
Grundsätzlich…
Art 25 regelt die Technikgestaltung und datenfreundliche Voreinstellungen. Der zweite Absatz bezieht sich auf die diesbezüglichen Pflichten des Verantwortlichen:
"Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden."
Mit dem Begriff "grundsätzlich" wird normalerweise angezeigt, dass eine Bestimmung im Regelfall gelten soll, aber nicht abschließend ist. So werden (begründete) Ausnahmen ermöglicht. Durch die (nur in der deutschen Fassung!) vorgenommene Streichung des Begriffs "grundsätzlich" wird das Erfordernis der Implementierung geeigneter technischer und organisatorischer Maßnahmen final formuliert und werden Ausnahmen und Umgehungen abgeschnitten. Obwohl diese Änderung bei bloßer Betrachtung der deutschen Fassung gravierend erscheint, zeigt der Vergleich mit den anderen Sprachfassungen, dass dort bereits seit Anbeginn ähnlich strenge Formulierungen gewählt waren. Hier wurde – wenn auch mit großer Wirkung – eine sprachliche Unfeinheit der deutschen Fassung behoben. Der liberalere Ansatz hätte bei europarechtskonformer Auslegung unter Berücksichtigung der anderen Sprachdokumente so und so nicht gehalten.
Löschung der Kopien von personenbezogenen Daten
Art 28 regelt die Beziehung zum Auftragsverarbeiter und legt bestimmte Pflichten fest, die in einem Vertrag oder anderem Rechtsinstrument vorgesehen werden müssen. Abs 3 lit g, der die Löschungspflicht präzisiert, wurde wie folgt ergänzt:
"…nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, […]"
Die auf den ersten Blick erweiterte Löschungspflicht ist wiederum eine Angleichung an die übrigen Sprachfassungen, da sie offensichtlich in der deutschen vergessen wurde. In der Praxis ist diese Änderung aber nicht wirklich kritisch, da die Auftragsverarbeitungsvereinbarungen die naheliegende Löschung der Kopien in den meisten Fällen ohnehin berücksichtigen.
"Datenschutzfremde" Vorhaben in der österreichischen Sammelnovelle "versteckt"
Knapp vor dem datenschutzrechtlichen D-Day hat die bereits dritte Sammelnovelle den Nationalrat passiert. Das Paket mit 100 (!) Gesetzesanpassungen erntete wieder große Kritik von der Opposition. Ein Hauptpunkt war, dass wie in Österreich seit Jahrzehnten leider immer wieder gelebt, aus Anlass der Gesetzgebung auch materienfremde Themen mit geregelt wurden. Nach einem Abänderungsantrag der Opposition wurden letztendlich die umstrittenen, nicht datenschutzrelevanten Gesetzespassagen entfernt. Neben den formalen Kritikpunkten wurde darüber hinaus auch die Zurverfügungstellung von Gesundheitsdaten im Zusammenhang mit ELGA kritisiert. Dieser Kritikpunkt ist in dieser Härte nicht nachvollziehbar, da durch die Änderung des Gesundheitstelematikgesetzes 2012 keine neuen Übermittlungsmöglichkeiten geschaffen wurden. Die Novelle schreibt lediglich die bestehenden, erheblichen öffentlichen Interessen als Rechtsgrundlage für die Verwendung von ELGA fest und passt die Terminologie des Gesetztes damit an die DSGVO an.
Zusätzlich wurden auch – zu Recht – der durch die Umsetzung der und Vorbereitung auf die DSGVO für Kleinunternehmer entstehende Aufwand sowie die allgemeine Rechtsunsicherheit kritisiert. Diese beiden Punkte stehen angesichts der Europäischen Verordnung nicht im Einflussbereich des österreichischen Parlaments. Dieses hat freilich aber im Umsetzungsprozess der DSGVO selbst nicht gerade geglänzt und damit der österreichischen Wirtschaft das Leben schwerer gemacht, als notwendig (siehe etwa hier und hier). So gesehen muss das fast als Selbstkritik verstanden werden.
Allgemein beschäftigt sich die Sammelnovelle mit den Bereichen Gesundheit, Finanzen und Verkehr. Der Großteil der Änderungen stellt sicher, dass auch in den nationalen Gesetzen Begriffe entsprechend den Definitionen des Art 4 DSGVO verwendet werden und ersetzt die alten Verweise auf das DSG 2000 durch die entsprechenden Stellen in der Verordnung. Die Novelle umfasst dabei eine Reihe von Materiengesetzen, die vom Anti-Doping-Gesetz bis zum Mutterschutz reichen. Bestimmungen über die Haushaltführung des Bundes, das Führerscheinregister und die Transparenzdatenbank werden DSGVO-konform umgestaltet. In Zeiten der allgemeinen Verunsicherung rund um die weitere Zulässigkeit von öffentlichen Registern – wie auch dem Whois Verzeichnis der nic.at – ist es eine Wohltat, dass das Patentregister ausdrücklich weiterhin uneingeschränkt einsehbar bleiben soll. Der Entwurf stellt darüber hinaus ebenso sicher, dass Angehörige der Gesundheits- und Pflegeberufe weiterhin notwendige Aufzeichnungen und Dokumentationen führen können. Insgesamt ist die inhaltliche Kritik an der Sammelnovelle also nicht wirklich überzeugend. Tatsächlich wurden vor allem technische Themen-Anpassungen vorgenommen.
Von allen Seiten wurde das "beraten statt strafen" Prinzip begrüßt, das bei erstmaliger Verfehlung noch keine gravierenden Maßnahmen vorsieht. Die dafür zuständige Datenschutzbehörde wird von jetzt an nicht nur für den Schutz der Daten verantwortlich sein, sondern im Sinne einer einheitlichen Anwendung zu einer Aufsicht- und Strafbehörde zusammengefasst.
In Sachen Kompetenz bekommt auch das Außenministerium weitere Agenden: die gemeinsame Verarbeitung personenbezogener Daten durch den Integrationsfonds, das AMS und für die Grundversorgung von Flüchtlingen wird ihm zugeordnet.
Weitere Änderungen durch das Datenschutz-Deregulierungs-Gesetz 2018
Zusätzlich zu den Anpassungen in den Materiengesetzen wurden auch durchaus bemerkenswerte Änderungen im Datenschutzanpassungsgesetz vorgenommen, über die wir bereits berichtet haben (siehe hier). Die wichtigste betrifft die Verankerung der Ausnahme für Medienunternehmen. Wie bereits von der Regierung angekündigt, finden durch die neue Bestimmung viele Kapitel der DSGVO auf Verarbeitung von personenbezogenen Daten zu journalistischen Zwecken keine Anwendung. Zusätzlich ist die Datenschutzbehörde ausdrücklich angewiesen, den Schutz des Redaktionsgeheimnisses nach § 31 MedienG gegenüber den Medieninhabern, Herausgebern und weiteren Medienmitarbeitern zu beachten. Dadurch soll vor allem investigativer Journalismus geschützt werden.
Darüber hinaus findet sich das bereits viel diskutierte "beraten statt strafen" Prinzip nun auch im DSG selbst wieder. Die neue Bestimmung gibt vor, dass die Datenschutzbehörde insbesondere bei erstmaligen Verstößen von der Möglichkeit der Verwarnung Gebrauch zu machen hat. Interessanterweise wurde durch den neuen Paragraphen aber ein anderer Verweis überschrieben: Erst bei direktem Vergleich des alten und neuen Textes fällt auf, dass damit der inhaltlich unrichtige Stehsatz, dass das Arbeitsverfassungsgesetz, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Beschäftigtenkontext im Sinne der DSGVO ist, überschrieben wurde. Tatsächlich enthält das ArbVG aber keine datenschutzrechtlichen Bestimmungen. Daher ist der ins Leere führende Verweis tatsächlich entbehrlich. Spannender ist die Frage, ob mit der Löschung das Thema Arbeitnehmerdatenschutz erledigt ist, oder hier speziellere Gesetzesinitiativen zu erwarten sind.