Die EU-Datenschutzgrundverordnung ("DSGVO") wird bekanntlich ab 25. Mai 2018 über Nacht in allen Mitgliedstaaten unmittelbar anwendbar werden und bringt einen kompletten Regimewechsel: Das neue System setzt auf die Eigenverantwortung der Unternehmen durch Selbstkontrolle statt behördliche Vorprüfung. Die Datenschutzbehörde wird künftig nur mehr als ex-post Kontroll- und Straforgan tätig werden. Um den Druck zur Einhaltung der neuen Bestimmungen zu erhöhen, sieht die DSGVO bei Verstößen Strafen von 2 bis 4 % des weltweiten Konzernumsatzes bzw 10 bis 20 Millionen Euro vor. Damit besteht bei allen Unternehmen ein großer Anpassungsbedarf der internen Abläufe, um durch sorgsame Umsetzung und Planung das Damoklesschwert der Strafen zu verhindern.

Knapp ein Jahr vor dem entscheidenden Stichtag wurde nun der im Hinblick auf die schon überfällige Vorbereitung dringend erwartete erste Entwurf über die Anpassung der österreichischen Datenschutzbestimmungen an die DSGVO veröffentlicht ("DSG neu"). Mit dem neuen Gesetz werden sowohl einige der bestehenden Sonderbestimmungen des österreichischen Datenschutzgesetzes DSGVO-konform angepasst als auch gleichzeitig die in der Verordnung für nationale Abweichungen vorgesehenen Öffnungsklauseln maßvoll ausgenutzt. Die DORDA Datenschutzexperten – Axel Anderl, Felix Hörlsberger, Nino Tlapak und Dominik Schelling – haben den Entwurf des neuen Datenschutzgesetzes bereits einer ersten umfassenden Analyse unterzogen:

Überraschenderweise nutzt der österreichische Gesetzgeber die Öffnungsklauseln der DSGVO und daraus resultierenden Regelungsspielräume (vorerst) bewusst sehr sparsam aus. Im Interesse der Harmonisierung des europäischen Datenschutzes ist diese ausdrücklich postulierte Zurückhaltung jedenfalls zu begrüßen, da eine Verschärfung der Mindestvorgaben der DSGVO Nachteile (wieder) für den Wettbewerbsstandort Österreich bewirkt hätten. Allerdings sehen die Materialen zum Entwurf vor, dass spezifische Abweichungen in Materiengesetzen folgen könnten. Es wird sich also erst zeigen, ob der Gesetzgeber die Zurückhaltung aufrecht erhält, oder es quasi durch die Hintertüre zu einer Verschärfung und Zersplitterung durch materienspezifische Sonderregelungen kommt. Jedenfalls positiv ist, dass im neuen Entwurf einige alte und nicht mehr zeitgemäße Ansätze, die bisher den in Österreich aktiven Unternehmen Zusatzaufwände bereitet haben, weggefallen sind oder – wie etwa bei der Videoüberwachung – praxisnah neuformuliert wurden.

Die sieben wichtigsten Punkte des neuen Entwurfs im Detail:

  1. Daten juristischer Personen unterliegen nicht mehr dem Datenschutz

Das DSG neu umfasst nur mehr personenbezogene Daten natürlicher Personen. Ein zusätzliches, paralleles Regime für die Aufrechterhaltung des Schutzes juristischer Personen ist offenbar und zum Glück nicht mehr geplant. Diese Abkehr von dieser österreichischen Tradition (auch in Europa ein Unikum) haben wir so erwartet. Das macht auch Sinn, da dieser Schutz in der Praxis etwas gekünstelt war. Die wirklich spannenden Unternehmensdaten sind entweder öffentlich zugänglich (zB Unternehmenskennzahlen) oder eher Know-How und Geschäftsgeheimnis. Hier hat das Datenschutzregime nie wirklich gepasst und war der Sonderschutz nach UWG oder eine zivilrechtliche Absicherung (Geheimhaltungsvereinbarungen) naheliegender. Wir gehen davon aus, dass Know-How und Geschäftsgeheimnisse zukünftig flankierend mit der noch umzusetzenden EU GeheimnisschutzRL abgedeckt und geschützt sein werden. Aber Vorsicht: Nichts ändert sich dort, wo tatäschlich personenbezogene Daten natürlicher Personen durch Unternehmen verarbeitet werden, wie zB Daten von Mitarbeitern oder Kunden. Diese unterliegen unter dem Gesichtspunkt der Zuordnung zur natürlichen Person ebenso wie die Daten eines Einzelunternehmers als natürliche Person weiter dem Datenschutzregime.

  1. Keine über die DSGVO hinausgehende Pflicht für Privatunternehmen, einen Datenschutzbeauftragten zu bestellen

Der österreichische Gesetzgeber macht vorerst nicht von der Möglichkeit Gebrauch, Unternehmen über das Mindestmaß der DSGVO hinaus zur Bestellung eines Datenschutzbeauftragten zu verpflichten. Dies wäre zB nach gewissen Größenkriterien des Unternehmens oder – wie es in Deutschland kommen wird – der datenverarbeitenden Mitarbeiter möglich gewesen. Es bleibt daher beim Abstellen auf das schwammige Kriterium der Sensitivität der Kerntätigkeit des Verantwortlichen. Wenn ein Datenschutzbeauftragter notwendig ist, treffen ihn nach dem DSG Neu weitere, strenge Verschwiegenheitspflichten.

  1. Keine Ausführungsbestimmungen zur Dokumentation der Verarbeitungstätigkeiten und zur Datenschutz-Folgenabschätzung

Diese beiden Regelungskreise sind das Kernstück der DSGVO: Statt der bisherigen Behördenmeldung müssen die Unternehmen ab 25.5.2018 ihre Verarbeitungen proaktiv intern dokumentieren und – sofern eine potentiell kritische Verarbeitung durchgeführt wird – eigenverantwortlich eine Folgenabschätzung durchführen. Diese zentralen Punkte werden im DSG Neu gar nicht erwähnt. Allerdings wird die Datenschutzbehörde systemkonform zur Erlassung von Black and White Lists (konkrete Auflistungen jener Datenverarbeitungsvorgänge, die eine Folgenabschätzung erfordern oder eben nicht) ermächtigt. Auch wenn wir erwarten, dass zumindest der Großteil der bisherigen Standardverarbeitungen von der Pflicht zur Erstellung einer Folgeabschätzung ausgenommen sein wird, wird die Veröffentlichung solcher Listen aufgrund der erforderlichen EU-weiten Abstimmung der Datenschutzbehörden noch dauern.

  1. Datenschutzbehörde kann Geldbußen direkt gegen juristische Personen verhängen

Nach dem Entwurf sollen die exorbitanten Geldstrafen (bis zu EUR 20 Mio oder 4% des Konzernumsatzes) primär gegen juristische Personen verhängt werden Daneben kann die Behörde die Geldbußen auch gegen natürliche Personen (in der Praxis Geschäftsführung, Vorstand oder ein bestellter verwaltungsstrafrechtlicher Vertreter; nicht der Datenschutzbeauftragte) aussprechen. Sofern keine besonderen Umstände vorliegen, ist allerdings nur auf die juristische Person zuzugreifen. Diese Regelungstechnik löst aber nicht das Problem, wenn ein Einzelunternehmer tätig wird: Hier gibt es keine juristische Person, die zur Abfederung der drohenden Millionenstrafen herangezogen werden kann. Es bleibt offen, ob diese Strafenregime und Haftungskonstrukt einer verfassungsrechtlichen Überprüfung standhalten.

  1. Über DSGVO hinausgehende Verwaltungsstrafen als Auffangtatbestand

Nach dem DSG neu unterliegen einige weniger gravierende Verstöße gegen datenschutzrechtliche Bestimmungen, sofern sie nicht bereits nach der DSGVO zu bestrafen sind, subsidiär einer (im Verhältnis zum DSGVO Regime maßvollen) Verwaltungsstrafe von bis zu EUR 50.000,-. Nach den erläuternden Bemerkungen zum Entwurf sollen damit im wesentlichen die Besonderheiten der österreichischen Umsetzung pönalisiert werden.

  1. Neuformulierte Regelungen für besondere Datenverarbeitungen

Für einige schon bisher im österreichischen Gesetz enthaltene besondere Arten von Datenverarbeitungen werden die Sonderbestimmungen im wesentlichen aufrechterhalten und DSGVO-konform ausgestaltet. Dabei sind für die Praxis insbesondere folgende Bereiche spannend:

  • Keine Neuerungen beim Datenschutz von Mitarbeiterdaten: Das Arbeitsverfassungsgesetz (ArbVG) wird im DSG neu pauschal zum Spezialbeschäftigtendatenschutzgesetz erklärt. In dieser Hinsicht geht der Gesetzgeber davon aus, dass keine neuen/strengeren Bestimmungen erforderlich sind. Das ist angesichts der zwangsläufigen innergemeinschaftlichen Disharmonie, wenn die Mitgliedstaaten von dieser Öffnungsklausel übermäßig Gebrauch machen würden, ein zu begrüßender Ansatz.
  • Neuregelungen der Videoüberwachung ("Bildverarbeitung"): Eine Bildverarbeitung erfasst nun jede Feststellung von Ereignissen; sie muss nicht mehr systematisch und fortlaufend sein und keinen Überwachungszweck mehr verfolgen. Diese Sonderbestimmungen haben im Vergleich zur Videoüberwachung alt daher nun einen wesentlich erweiterten Anwendungsbereich. Sie erfassen nach den erläuternden Bemerkungen nun etwa auch das Anfertigen von Fotografien zu beruflichen Zwecken. Dafür wurden die zulässigen Ausnahmen der Durchführung an die Praxis angepasst und erweitert und ermöglichen sowohl den Schutz und Überwachung von privatem und öffentlichem Raum. Private Überwachungen zur Identifikation von Personen bleiben aber verpönt

  • DVR aufgelassen, Verfahren eingestellt

Aufgrund des Wegfalls der generellen Meldepflicht wird das Datenverarbeitungsregister nur noch bis zum 31.12.2019 zu Archivzwecken fortgeführt. Das soll die Übernahme der Daten für die unternehmensinternen Verzeichnisse ermöglichen. Nach dem 25.5.2018 sind aber keine neuen Eintragungen oder Änderungen mehr möglich. Parallel werden alle Registrierungs- und Genehmigungsverfahren eingestellt, außer die Genehmigung ist auch nach der DSGVO weiterhin erforderlich.

Im Anbetracht des großen Zeitdrucks der Unternehmen mit den Vorbereitungsmaßnahmen bleibt zu hoffen, dass sich die Parteien trotz der derzeit stürmischen innenpolitischen Lage im Sinne der österreichischen Wirtschaft rasch auf die Beschlussfassung der österreichischen Begleitbestimmungen einigen. So bedarf es einer entsprechenden Vorlaufzeit für die Unternehmen zur Umstellung ihrer Prozesse und Herstellung der Datenschutzcompliance. Um hier rechtssicher agieren zu können, ist eine Gewissheit über die rechtlichen Rahmenbedingungen unbedingt notwendig. Je später der finale Text des Gesetztes verabschiedet und damit fixiert wird, desto größer der Zeitdruck und die Unsicherheit bei den Unternehmen. Im Hinblick auf das ebenso neue, sehr strenge Strafenregime ist hier also auf eine Rücksichtnahme auf die vitalen Interessen der Unternehmen zu hoffen. Dafür wird ein breiter überparteilicher Schulterschluss notwendig sein, da aufgrund der notwendigen Verfassungsänderungen eine 2/3 Mehrheit im Parlament erforderlich ist.