Zum Entwurf der EU-Datenschutzgrundverordnung ("DSG-VO")

Die fortschreitende Digitalisierung hat dazu geführt, dass eine EU-weite Novellierung der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten notwendig wurde.

Ab Mai 2018 soll deshalb die derzeit geltende Datenschutzrichtlinie 95/46/EG ersetzt werden durch die neue Datenschutz-Grundverordnung (kurz: DSG-VO).

Ziel dieser Verordnung ist gemäß ihrem Artikel 1 die Stärkung der Datenschutzrechte natürlicher Personen sowie die Erleichterung des freien Verkehrs personenbezogener Daten im digitalen Binnenmarkt.

Als in der EU unmittelbar anwendbare Verordnung wird die DSG-VO in allen Mitgliedstaaten der EU, somit auch in Österreich, direkt anwendbar sein. Daher wird die DSG-VO auch das derzeitige österreichische Datenschutzgesetz (DSG 2000) ersetzen. Löschungen personenbezogener Daten haben künftig im Einklang mit den Bestimmungen der neuen DSG-VO zu erfolgen (vgl. Stolz, Gleiches Recht für alle?, jusIT 2015, Seite 242).

Nur dort, wo in der Verordnung ausdrücklich festgehalten ist, dass nationale Regelungen zulässig sind (zB bei der internen Behördenorganisation oder in spezifischen Rechtsgebieten wie dem Arbeitnehmerdatenschutz oder Datenschutz im Bereich der Sozialversicherung), wird es dann noch nationale Regelungen geben (Knyrim, Die Datenschutz-Grundverordnung: Entwicklung und Anwendungsbereich (Teil I), Dako 2015/21, 33).

Die DSG-VO nimmt also ungeachtet ihres Charakters als EU-Verordnung keine gänzliche Vollharmonisierung des Datenschutzrechts vor, sondern enthält insgesamt 69 Öffnungsklauseln, welche nationalstaatliche Regelungen ermöglichen bzw. in manchen Fällen zwingend vorsehen. Die DSG-VO kann daher als "hinkende Verordnung" bezeichnet werden.

Von manchen Öffnungsklauseln muss jeder Mitgliedstaat Gebrauch machen (obligatorische Öffnungsklauseln), während es bei anderen Öffnungsklauseln jedem Mitgliedstaat überlassen ist, ob er die geschaffene Regelungskompetenz in Anspruch nimmt (fakultative Öffnungsklauseln). Auf den Gebieten der Öffentlichen Sicherheit, Landesverteidigung, Unabhängigkeit der Justiz und wichtigen Ziele des allgemeinen Interesses sind etwa Ausnahmen erlaubt (Feiler, Öffnungsklauseln in der Datenschutz-Grundverordnung - Regelungsspielraum des österreichischen Gesetzgebers, jusIT 2016, Seite 210).

Pflichten des „für die Verarbeitung Verantwortlichen“

Der im österreichischen DSG 2000 verankerte Begriff des "Auftraggebers" wird durch den sperrigen Terminus des "für die Verarbeitung Verantwortlichen" ersetzt (Artikel 4 Abs 5 DS-GVO). Damit wird schon begrifflich auf die datenschutzrechtliche Verantwortung hingewiesen. Verantwortliche trifft künftig eine Reihe an Informations- und Auskunftspflichten. Artikel 11 DSG-VO führt etwa eine Verpflichtung zur Bereitstellung transparenter, leicht zugänglicher und verständlicher Informationen ein. Demnach sind die Verantwortlichen künftig verpflichtet, geeignete Maßnahmen zu treffen, um betroffenen Personen Informationen im Hinblick auf die Verarbeitung personenbezogener Daten erteilen zu können und Mitteilungen in verständlicher und leicht zugänglicher Form zu gestalten (Artikel 12 Abs 1 DSG-VO-"Transparenzgebot"). Verantwortliche haben ihre Identitäts- und Kontaktdaten, den Zweck der Datenverarbeitung und die Dauer der Datenspeicherung auch ohne Nachfragen des Betroffenen zu erteilen, soweit dies die Rechte des Betroffenen und zwar das Recht auf Auskunft, Löschung, Widerspruch sowie das Beschwerderecht an die Aufsichtsbehörde betrifft (Art 14 DS-GVO) (Stolz, Gleiches Recht für alle?, jusIT 2015, Seite 242).

Rechte der betroffenen Personen

Die neue DSG-VO geht mit einer wesentlichen Erweiterung der Betroffenenrechten einher, die dem Datenverantwortlichen neue Informations- und Handlungspflichten auferlegen.

Recht auf Löschung („Recht auf Vergessenwerden“)

Das Recht auf Löschung wird von der Europäischen Kommission als eines der Kernrechte der Datenschutzreform betrachtet. Die DSG-VO sieht demnach explizit ein Recht auf Löschung vor. Gemäß Artikel 17 DSG-VO hat der Betroffene das Recht, bei Vorliegen bestimmter Gründe von dem für die Verarbeitung Verantwortlichen die Löschung von ihn betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen. Adressaten der Löschungsverpflichtung sind nicht nur Suchmaschinenbetreiber, sondern sämtliche für die Verarbeitung Verantwortliche. Sind dies Unternehmer, so haben sie bei Vorliegen der Voraussetzungen des Artikel 17 DSG-VO die Daten ihrer Kunden zu löschen (Stolz, Gleiches Recht für alle?, jusIT 2015, Seite 242).

Laut Artikel 17 Abs 1 DSG-VO ist der für die Verarbeitung Verantwortliche verpflichtet, personenbezogene Daten ohne ungebührliche Verzögerung zu löschen, sofern die Daten für den Zweck, für den sie erhoben wurden, nicht mehr notwendig sind. Diese Bestimmung ist dem derzeitigen Datenschutzgesetz nicht fremd, da auch § 6 Abs 1 Z 5 DSG 2000 vorsieht, dass Daten, sobald sie für die Zwecke der Datenanwendung nicht mehr benötigt werden, zu löschen sind, zumal sie ansonsten als unzulässig verarbeitete Daten gelten können (Stolz, Gleiches Recht für alle?, jusIT 2015, Seite 243). Eine Weiterverwendung von Daten ist nur dann zulässig, wenn diese mit dem ursprünglichen Ermittlungszweck nicht unvereinbar ist (Dohr/Pollirer/Weiss/Knyrim, DSG-Kommentar2 § 6, 93).

Die betroffene Person hat zudem die Möglichkeit, seine einst erteilte Einwilligung zu widerrufen. Voraussetzung dafür ist, dass der Betroffene diese Einwilligung gemäß Artikel 6 Abs 1 lit a DSG-VO unmissverständlich und für einen oder mehrere genau festgelegte(n) Zweck(e) erteilt hat (Stolz, Gleiches Recht für alle?, jusIT 2015, Seite 243).

Eine Löschung ist dann nicht vorzunehmen, wenn die Speicherung der Daten zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist bzw. wenn die Verarbeitung der Erfüllung einer rechtlichen Verpflichtung dient oder sie zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder als Ausüben öffentlicher Gewalt erfolgt; weiters aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche, statistische und historische Zwecke (Stolz, Gleiches Recht für alle?, jusIT 2015, Seite 243)

Auskunftsrecht

Ebenso wie der derzeit geltende § 26 DSG 2000 sieht auch die DSG-VO in Artikel 15 ein Auskunftsrecht des Betroffenen vor, nach welchem dieser auf Verlangen über die Art, den Inhalt und die Zwecke der von ihm erhobenen Daten zu informieren ist. Mit der Einführung der neuen DSG-VO wird der Umfang der mit dem Auskunftsrecht einhergehenden Auskunftspflicht des Verantwortlichen über das derzeit geltende Maß weitgehend ausgedehnt.

NEU: Widerspruchsrecht bei einwilligungsloser Verarbeitung zur Wahrung berechtigter Interessen

Die betroffene Person hat auch das Recht, einen Widerspruch gemäß Artikel19 Abs 1 DSG-VO einzulegen. Dieses Widerspruchsrecht betrifft jene Fälle, in denen der Betroffene zwar keine ausdrückliche Einwilligung zur Verarbeitung ihn betreffender Daten erteilt hat, die Verarbeitung jedoch rechtmäßig ist, um zB lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen (Artikel 6 Abs 1 lit d DSG-VO) oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (Artikel 6 Abs 1 lit e DSG-VO). Der Widerspruch hat zur Folge, dass der Verantwortliche die personenbezogenen Daten nicht mehr verarbeiten darf, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die gegenüber den Interessen der betroffenen Person überwiegen. Der Verantwortliche hat daher in Form einer Interessenabwägung festzustellen, ob die Verarbeitung allenfalls gerechtfertigt ist. Ein weiterer Löschungsgrund liegt vor, wenn die Daten unrechtmäßig verarbeitet wurden oder eine rechtliche Verpflichtung zur Löschung der Daten für den Verantwortlichen besteht (Stolz, Gleiches Recht für alle?, jusIT 2015, Seite 243).

NEU: Recht auf Einschränkung der Verarbeitung

Ein Betroffener kann nunmehr vom Verantwortlichen unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung seiner Daten verlangen.

Mit diesem Recht wollte der europäische Gesetzgeber jenen Konstellationen Rechnung tragen, in denen eine sofortige Löschung entweder schutzwürdige Interessen des Verantwortlichen an der andauernden Speicherung unbillig beschneiden oder aber den Interessen der betroffenen Person selbst zuwiderlaufen würde.

NEU: Recht auf Unbetroffenheit von rechtsverbindlichen Entscheidungen mit Grundlage in automatisierten Datenprozessen

Artikel 22 Abs. 1 DSG-VO beinhaltet ein zuvor nicht dagewesenes Betroffenenrecht, das insbesondere im Zusammenhang mit der Erstellung von Nutzerprofilen und der Zusammenarbeit mit Auskunfteien zukünftig eine bedeutende Rolle spielen wird. Diese Bestimmung verbietet es, ausschließlich automatisierte Verarbeitungsprozesse zur Entscheidungsgrundlage für die Begründung oder Ablehnung rechtlicher Beziehungen mit betroffenen Personen zu machen, und gewährt diesen insofern das Recht, von derartigen Entscheidungen unberührt zu bleiben. Erfolgt dennoch eine Entscheidung, die auf automatisch erhobenen Daten beruht, so soll dem Betroffenen ein Anfechtungsrecht zustehen.

Mit der Einführung dieser Bestimmung sollten Prozesse unterbunden werden, in denen Verantwortliche in Zusammenarbeit mit anderen datenverarbeitenden Institutionen automatisch Informationen über konkrete Betroffene einholen, um auf Basis dieser Informationen sodann über den zukünftigen Umgang mit der betroffenen Person zu entscheiden.

Anwendungsbereich der DSG-VO

Der sachliche Anwendungsbereich gem Artikel 2 DSG-VO wird sich im Vergleich zur derzeitigen Rechtslage in Österreich reduzieren, da die Datenverarbeitung in Artikel 4 Abs 1 DSG-VO so definiert ist, dass diese nur die Datenverarbeitung natürlicher Personen betrifft, nicht jedoch von Unternehmen.

Unternehmen (juristische Personen, Personengemeinschaften) werden sich daher künftig nicht mehr auf den Schutz des Datenschutzrechts berufen können. Es wird daher der Schutz von Unternehmensdaten verstärkt über das Berufs- und Geschäftsgeheimnis erfolgen müssen. Diese Einschränkung bedeutet natürlich nicht, dass die Verarbeitung der Arbeitnehmerdaten durch das Unternehmen nicht mehr geschützt ist (die Arbeitnehmer sind ja natürliche Personen), sondern eben nur, dass die Verarbeitung von Unternehmensdaten durch ein anderes Unternehmen nicht mehr unter das Datenschutzrecht fallen wird (Knyrim, Die Datenschutz-Grundverordnung: Entwicklung und Anwendungsbereich (Teil I), Dako 2015/21, 34)

Der örtliche Anwendungsbereich der DSG-VO ist gemäß Artikel 3 DSG-VO zunächst die Europäische Union.

Die DSG-VO gilt einerseits für das Verarbeiten von personenbezogenen Daten für Tätigkeiten einer Niederlassung in der EU. Dabei macht es keinen Unterschied, ob es sich um die Niederlassung eines Verantwortlichen oder eines Dienstleisters handelt.

Andererseits werden vom örtlichen Anwendungsbereich der DSG-VO auch Verantwortliche oder Dienstleister umfasst, die keinen physischen Sitz oder ihre Aktivitäten innerhalb der EU haben oder durchführen. Die DSG-VO soll daher auch auf solche Datenverarbeitungen anwendbar sein, die von Verantwortlichen außerhalb der Europäischen Union an Betroffene innerhalb der Union erbracht werden. Diese Erweiterung des Anwendungsbereichs ist offensichtlich dazu gedacht, die großen US-Anbieter wie etwa Google und Facebook dem europäischen Datenschutzrecht zu unterwerfen. Für österreichische Unternehmen und Bürger hätte dies den Vorteil, dass sie, wenn sie solche Services von US-Anbietern nutzen, direkt die Einhaltung der europäischen Datenschutzregeln verlangen könnten (Knyrim, Die Datenschutz-Grundverordnung: Entwicklung und Anwendungsbereich (Teil I), Dako 2015/21, 34)

Künftige Strafen

Die DSG-VO sieht im Falle eines Verstoßes hohe, zum Teil horrende Strafen vor. Liegt der Strafrahmen nach dem österreichischen DSG 2000 derzeit noch bei bescheidenen € 25.000, so sieht der Verordnungsentwurf des Rates Geldbußen von € 250.000 bis € 1,000.000 oder im Fall eines Unternehmens 0,5 % bis 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor.

Gem Artikel 79 DS-GVO-E werden diese Strafen von der Aufsichtsbehörde (in Österreich somit von der Datenschutzbehörde und nicht mehr wie bisher von den Bezirksverwaltungsbehörden) verhängt. Die Höhe der zu verhängenden Sanktionen hat sich gemäß Artikel 79 DSG-VO an dem konkreten Verstoß, an der Schwere und der Vorsätzlichkeit oder Fahrlässigkeit oder etwa auch an den Maßnahmen zur Schadensminderung zu orientieren.

Unternehmer als Verantwortliche sollten sich daher auch angesichts dieses Strafrahmens intensiv um die Einhaltung der datenschutzrechtlichen Bestimmungen bemühen (Knyrim, Die Datenschutz-Grundverordnung: Entwicklung und Anwendungsbereich (Teil I), Dako 2015/21, 34).