www.ovi.at > Aktuelles

Datenschutz-Deregulierungsgesetz - Entwarnung beim Datenschutz angesagt?

Kurz vor Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 hat der österreichische Nationalrat am 20. April 2018 das Datenschutz-Deregulierungsgesetz 2018 beschlossen, das zeitgleich mit der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft tritt. Geht es nach so mancher internationalen und nationalen Medienberichterstattung, wurden dem Datenschutz durch das neue Datenschutz-Deregulierungsgesetz 2018 die Zähne gezogen.

Die gefürchteten Strafen in Höhe von bis zu € 20 Mio. oder 4% des jährlichen weltweiten Jahresumsatzes müssten nicht gefürchtet werden, alle bisher schon getroffenen Vorbereitungen wären umsonst. Doch was hat es tatsächlich mit den Änderungen auf sich?


Eines vorweg: Das Datenschutz-Deregulierungsgesetz 2018 bringt einige erleichternde und wohltuende Klarstellungen für Unternehmen, aber es entbindet sie keinesfalls von den Verpflichtungen der DSGVO, auch wenn die Sanktionen für Erstverstöße milder ausfallen sollten.

Erst Verwarnung, dann Geldbuße

Die DSGVO sieht bei Verstößen drastische Strafen vor, die "wirksam, verhältnismäßig und abschreckend" sein müssen, wobei die Strafhöhe bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes betragen kann, dies mit dem Ziel, dem Datenschutz seitens der Unternehmen erhöhte Aufmerksamkeit zu verleihen. Dass insbesondere Klein- und Mittelbetriebe für geringfügige Datenschutzverletzungen mit Millionenstrafen zu rechnen gehabt hätten, galt bisher schon als unwahrscheinlich. Im Datenschutz-Deregulierungsgesetz wurde nun folgender Passus aufgenommen, das "insbesondere bei erstmaligen Verstößen die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen wird." 


Daraus abzuleiten, dass Österreich damit unionsrechtswidrig dem Datenschutz die Zähne ziehen würde, wie es Medienberichten zu entnehmen war, können namhafte Datenschutzexperten nicht beipflichten.  Tatsächlich handle es sich dabei um eine bloße Klarstellung des Telos der DSGVO, so der Datenschutzexperte Felix Hörlsberger von Dorda Rechtsanwälte .

Die Verwarnung gibt es auch im Sanktionskatalog des Art 58 (2) DSGVO und daher ist diese Bestimmung nur eine Klarstellung bzw. ein programmatischer Ansatz, argumentiert auch Datenschutzexperte RA Dr. Thomas Schweiger . Das ist jedenfalls kein Freibrief dafür, Datenschutzbestimmungen zu missachten.  „Diese Regelung in § 11 DSG bedeutet ja nicht, dass die Datenschutzbehörde nicht berechtigt ist, auch Geldbußen iSd § 30 (in Umsetzung des Art 83 DSGVO) zu verhängen. Sie ist aber gehalten, die Verhältnismäßigkeit des Art 83 (1) „wirksam, verhältnismäßig und abschreckend“ im Detail zu beachten“, so Schweiger. Es entspricht überdies dem österreichischen Verwaltungsstrafrecht , das insbesondere bei Ersttätern unter Beachtung der gesamten Umstände des Einzelfalles  auch eine bloße Ermahnung in Betracht zu ziehen ist.


Ernste und schwerwiegende Verstöße können und werden geahndet werden, so Hörlsberger. Sohin sei weder die in den vergangenen Monaten oft übertriebene Hysterie vor übermäßigen Strafen, noch die medial verbreitete Verharmlosung angebracht. In der Praxis ändert sich daher durch die "Datenschutzderegulierung" relativ wenig, meint auch RA Mag. Markus Dörfler im Standard . Der Verantwortliche – also der, der über Zwecke und Mittel der Datenverarbeitung entscheidet – muss die gesetzliche Pflichtübung absolvieren. Er muss (in fast jedem Fall) ein Verzeichnis der Verarbeitungstätigkeiten erstellen, mit seinen Auftragsverarbeitern einen schriftlichen Vertrag (oder elektronisch dokumentierten) Vertrag abschließen und die betroffenen Personen – also diejenigen, deren Daten verarbeitet werden – über die Verarbeitung ihrer personenbezogenen Daten informieren. Sollte der Verantwortliche diese Pflichtübung nicht erfüllen, wird er wohl auch hier mit einer (auch empfindlichen) Strafe rechnen müssen. Im Übrigen sei auch eine Verwarnung eine Strafe.

 

Straffreiheit für Datenschutzverstöße von Mitarbeitern?

Medienberichten zufolge können für Verstöße von Mitarbeitern unterhalb der Führungsebene nun Unternehmen nicht mehr belangt werden, es sei denn, ein Versagen der internen Kontrolle wird nachgewiesen. Auch das ist nach Ansicht von Dr. Thomas Schweiger  so nicht korrekt, da § 30 (2) DSG auch nach dem Datenschutz-DeregulierungsG unverändert bleibt.


„Ein Verstoß gegen die datenschutzrechtlichen Vorschriften durch Mitarbeiter indiziere ja geradezu, dass das Kontrollsystem, welches im Unternehmen eingerichtet ist, nicht ausreichend ist, um Verstöße zu verhindern“, so Schweiger. Das Unternehmen muss die Maßnahmen, die getroffen wurden, konkret darlegen und auch nachweisen, und diese müssen angemessen iSd Art 32 DSGVO sein. Das Unternehmen muss nachweisen, dass das Kontrollsystem ausreichend ist, und der Verstoß den „Einzelfall“ darstellt, der passiert ist, und nicht vorhersehbar und nicht kontrollierbar ist. Gelingt dieser Nachweis nicht, dann war das eingerichtete Kontrollsystem (oder die Maßnahmen zur „Überwachung und Kontrolle“ iSd § 30 (2) DSG) nicht ausreichend, und diese haben die Tatbegehung durch Mitarbeiter ermöglicht. Das Unternehmen setzt sich den Sanktionsdrohungen des Art 58 (2) DSGVO und damit auch – nach Maßgabe des § 11 DSG – auch Geldbußen aus.

 

Keine Doppelbestrafung

Wenn das Unternehmen als juristische Person bereits bestraft wurde, können die handelnden Personen als Organe nicht mehr belangt werden. Schweiger weist jedoch darauf hin, „dass der „bestrafte Täter“ jedoch ident sein muss. Während bei anderen Verwaltungsstrafen die nach außen zur Vertretung befugte Person (Geschäftsführer, Vorstand) oder der/die verantwortlich Beauftragte nach § 9 Abs 3 VStG bestraft wird ist es nach dem DSG an sich vorrangig die juristische Person selbst.“
Zudem wurde ein Rückwirkungsverbot eingeführt: Was vor dem 25. Mai passiert ist, darf nicht nach dem strengeren neuen DSGVO-Regelwerk geahndet werden. Dies ist jedoch auch schon nach Art 15 Abs 4 DSGVO möglich, wenn die Datenkopie Rechte dritter Personen – und das schließt den Verantwortlichen mit ein - verletzt.

Keine Strafen für öffentliche Stellen

Weiters wurde im Deregulierungsgesetz nun eine ergänzende Klarstellung vorgesehen, dass an Behörden für Verstöße keine Geldbußen verhängt werden können. In der Novelle wurden nun "öffentliche Stellen" und privatrechtlich agierende Stellen mit "gesetzlichem Auftrag" von Geldbußen ausgenommen.

 

Journalistenprivileg

Keine Anwendung findet die DSGVO auf Journalisten zur Sicherung der Medienfreiheit, soweit Verarbeitungen zu journalistischen Zwecken durchgeführt werden.

 

Kein Schutz juristischer Personen

Im Datenschutzgesetz wird nunmehr klargestellt, dass die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) sowie des Datenschutzgesetzes für die Verarbeitung personenbezogener Daten natürlicher Personen – nicht juristischer Personen – gelten.

 

Schutz von Betriebs- und Geschäftsgeheimnissen

Unternehmen können das Auskunftsrecht eines Kunden verweigern, wenn dadurch Geschäfts- oder Betriebsgeheimnisse gefährdet sind (§ 4 Abs 6 DSG).

 

Beschränkung gemeinnütziger Datenschutz-Organisationen

Betroffene können gemeinnützige Datenschutz-Organisationen zwar beauftragen, in ihrem Namen Beschwerde einzureichen und die Rechte vor den Behörden durchzusetzen. Entfallen ist jedoch die Möglichkeit der gemeinnützigen Organisationen, im Namen des Betroffenen dessen Schadenersatzansprüche geltend zu machen. Schadenersatz müssen die Betroffenen jeweils einzeln geltend machen.

Zurück
FACEBOOK

ÖVI

Österreichischer Verband der Immobilienwirtschaft
Mariahilfer Straße 116/2.OG/2 - 1070 Wien

Wir verwenden Cookies zur Benutzerführung und Webanalyse, die dabei helfen, diese Webseite zu verbessern. Bitte wählen Sie hier Ihre Cookie-Einstellungen.

Mehr über die genutzten Cookies erfahren