Nationaler Handlungsspielraum trotz DSGVO

Ungefähr ein Jahr bevor die Datenschutz-Grundverordnung (DSGVO) in Geltung tritt wurde am vergangenen Freitag das "Datenschutz-Anpassungsgesetz 2018" offiziell in seine sechswöchige Begutachtung geschickt. Grundsätzlich soll die DSGVO für ein harmonisiertes Datenschutzrecht in der EU sorgen. Zahlreiche sogenannte "Öffnungsklauseln" räumen den Mitgliedsstaaten aber nationale Spielräume ein. Daneben besteht zusätzlicher nationaler Handlungsbedarf, weil neben den DSGVO-Öffnungsklauseln auch die Richtlinie (EU) 2016/680 einer Umsetzung ins innerstaatliche Recht bedarf. Diese Richtlinie sieht Sondernormen für Datenverarbeitungsvorgänge durch Sicherheitsbehörden zum Zweck der Strafverfolgung vor und soll in einem eigenen Hauptstück im Datenschutz-Anpassungsgesetz 2018 umgesetzt werden.

Aus Unternehmenssicht maßgeblich ist die Frage, ob und in wie weit Österreich von den DSGVO-Öffnungsklauseln Gebrauch macht. Dies legt der sich nunmehr in Begutachtung befindende Entwurf des Datenschutz-Anpassungsgesetz 2018 offen. Abseits der Richtlinienumsetzung und struktureller Anpassungen der Datenschutzbehörde finden sich im Begutachtungsentwurf die folgenden Regelungen:

"Verbandsverantwortung" statt Haftung der Geschäftsführung

Wie inzwischen bekannt ist, drohen durch die DSGVO hohe Strafen von bis zu 20 Mio. Euro bzw 4% des Jahresumsatzes. Nach dem Konzept des österreichischen Verwaltungsstrafrechts würden diese Strafen, vorbehaltlich der Bestellung eines Verantwortlichen Beauftragten, persönlich für die Geschäftsleitung des von einer Strafe betroffenen Unternehmens wirken. Eine Verbandsverantwortung für verwaltungsstrafrechtliche Vergehen ist im österreichischen Rechtssystem nur ausnahmsweise vorgesehen (bspw § 99d des Bankwesengesetzes). Der vorliegende Begutachtungsentwurf sieht nun vor, dass unter der DSGVO verhängte Strafen über juristische Personen verhängt werden können, wenn die der Strafe zugrunde liegende Verfehlung durch deren verantwortliche Personen verursacht wurde.

Die DSGVO sieht grundsätzlich die Verhängung der Strafen durch die Aufsichtsbehörden vor. Der Begutachtungsentwurf weicht davon nicht ab, sondern räumt diese Kompetenz in klärender Weise der Datenschutzbehörde ein. Mit Blick auf das österreichische Verfassungsrecht interessant ist in diesem Zusammenhang ein vor dem Verfassungsgerichtshof aktuell anhängiges Verfahren, in welchem die Verfassungskonformität der der Finanzmarktaufsicht eingeräumten Strafkompetenz geprüft wird.

Videoüberwachung neu

Die DSGVO beinhaltet zur Videoüberwachung keine spezifischen Vorschriften. Die mit der DSG-Novelle 2010 dazu eingeführten Spezialnormen sollen durch den Gesetzesentwurf in "modernisierter" Form beibehalten werden. Dabei beabsichtigt der Gesetzgeber einen markanten Schritt weiterzugehen: Der Anwendungsbereich des relevanten sechsten Abschnitts des vorliegenden Entwurfs umfasst allgemein "Bildaufnahmen". Das bedeutet, künftig unterliegen auch Fotos diesen Kautelen. Allerdings soll – wohl als Gegengewicht – eine weitgreifende Ausnahme für den privaten Bereich geschaffen werden: Die Bildaufnahme soll dann zulässig sein, wenn sie eine privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen abstellt. Der Urlaubsschnappschuss bleibt folglich erlaubt.

Beschwerdemöglichkeiten und Schadenersatz

Neben den drohenden Bußgeldzahlungen sieht die DSGVO bereits weitreichende Möglichkeiten vor, wie die Betroffenen gegen Datenschutzverstöße vorgehen können. Zum einen wird ihnen ein verwaltungsrechtliches Beschwerderecht eingeräumt. Dieses bedarf naturgemäß der Einbettung in nationale Verwaltungsstrukturen und wird im Begutachtungsentwurf abgebildet. Gegen Bescheide der Datenschutzbehörde und für den Fall, dass diese ihren Ermittlungspflichten nicht zeitgerecht nachkommt, besteht die Möglichkeit Beschwerde an das Bundesverwaltungsgericht zu erheben. Beibehalten wird die Senatsbesetzung, dh fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer bleiben in diesen Verfahren involviert.

Interessant ist die –bereits durch die DSGVO europaweit vorgesehene – Klagemöglichkeit für materielle und immaterielle Schäden infolge von Datenschutzverstößen. Immateriellen Schadenersatz kennt das österreichische Zivilrecht nur ausnahmsweise. Sachlich zuständig sind die Landesgerichte; örtlich besteht eine Wahlmöglichkeit zwischen Wohnort des Betroffenen und gewöhnlichen Aufenthaltsort des Beklagten (des Verantwortlichen bzw des Auftragsverarbeiters).

Sonstiges

Wesensprinzip der DSGVO ist die verstärkte "Accountability" (Rechenschaftspflicht) des Verantwortlichen. Aufgrund der in der DSGVO vorgesehenen Verpflichtung zur Führung eines unternehmensinternen Verzeichnisses über die Datenverarbeitungsvorgänge im Unternehmen entfällt künftig die Verpflichtung zur Meldung der Datenverarbeitungsvorgänge im Datenverarbeitungsregister. Dieses wird für eine Übergangsfrist bis Ende 2019 noch für Archivzwecke zur Verfügung stehen. Offene Registrierungsverfahren werden mit Inkrafttreten des Datenschutz-Anpassungsgesetzes 2018 eingestellt.

Zwar tritt auch die Standard- und Musterverordnung 2004 außer Kraft, doch hat die Datenschutzbehörde künftig sog "Black and White Lists" zu erstellen. Demgemäß sollen per Verordnung Listen erstellt werden, die bestimmen für welche Verarbeitungsarten jedenfalls eine Datenschutz-Folgenabschätzung durchzuführen ist und für welche dieses Risk Assessment nicht erforderlich ist.

Rechtskräftige Akte, wie etwa Genehmigungsbescheide für internationale Datentransfers, behalten grundsätzlich ihre Gültigkeit. Allerdings gilt es zukünftig dennoch deren Übereinstimmung mit den Regelungen der DSGVO zu überprüfen.

Im Übrigen ist vorgesehen, dass das Grundrecht auf Datenschutz im Verfassungsrang verankert bleibt und Drittwirkung entfaltet (auch zwischen Bürgern und nicht nur im Verhältnis zwischen Bürgern und Staat gilt). Es erstreckt sich allerdings künftig nur noch auf natürliche und nicht mehr, wie bisher, auch auf juristische Personen.