Aufgrund länderübergreifender Umstände wie ein weltweites Roll-Out oder weil der deutsche Datenschutzbeauftragte auch die datenschutzrechtlichen Agenden in Österreich mitkoordinieren soll, kommen deutsche Unternehmen, sei es als Mutterunternehmen oder als anderweitig für Österreich verantwortliches Konzernunternehmen, immer häufiger in die Situation, sich mit österreichischem Datenschutzrecht zu beschäftigen. Dieser Beitrag soll einen praxisrelevanten Überblick über die wichtigsten Besonderheiten des betrieblichen Datenschutzes in Österreich im Vergleich zur deutschen Situation geben.
Der Inhalt im Überblick
Über den Autor
Im Rahmen des internationalen PRIVACY EUROPE-Netzwerkes für Datenschutzspezialisten kam es diesen Sommer zum ersten personellen Austausch, um die Verbindung zu intensivieren und den gegenseitigen Wissensaustausch zu fördern. Christian Kern, Rechtsanwaltsanwärter bei der Wiener Kanzlei Preslmayr Rechtsanwälte, verbrachte einen Monat in Hamburg bei der intersoft consulting services AG und gibt in diesem Beitrag einen Schnellüberblick über die österreichische Datenschutzrechtslage.
Gesetze
Wichtigste Rechtsquelle ist das Datenschutzgesetz 2000 (DSG 2000). Daneben finden sich datenschutzrechtlich relevante Regelungen unter anderem
- in § 107 Telekommunikationsgesetz 2003 („Spam“),
- in den §§ 5-8 E-Commerce-Gesetz (Kommerzielle Kommunikation),
- den §§ 91, 96 und 96a Arbeitsverfassungsgesetz (Betriebsvereinbarungen) und
- und § 151 Gewerbeordnung 1994 (Direktmarketing).
Einen guten Überblick gibt auch die Website der österreichischen Datenschutzbehörde („DSB“).
Begrifflichkeiten
Obwohl sowohl das BDSG als auch das DSG 2000 die Richtlinie 95/46/EG umsetzen, gibt es einige begriffliche Unterschiede, die bei der Kommunikation mit österreichischen Behörden oder Kollegen, gekannt werden sollten (alle Definitionen im Detail in § 4 DSG 2000):
- Verantwortliche Stelle = Auftraggeber
- Auftragsdatenverarbeitung/Auftragsdatenverarbeiter = Dienstleistung/Dienstleister
- Übermitteln = Weitergabe von Daten an andere als den Betroffenen, den Auftraggeber oder einen Dienstleister
- Überlassen = Weitergabe von Daten an einen Dienstleister
- Besondere Arten personenbezogener Daten = sensible Daten
Datenverwendung
Die Regelungen betreffend die Grundsätze der Datenverwendung entsprechen im Wesentlichen denen des BDSG. So unterliegt jede Datenverwendung den Grundsätzen der Rechtmäßigkeit, der Zweckbindung, der Notwendigkeit bzw. Sparsamkeit und der Aktualität. Eine Verwendung von personenbezogenen Daten ist zudem nur zulässig, wenn die „schutzwürdigen Geheimhaltungsinteressen“ des Betroffenen nicht verletzt werden. Dies ist bei der Verwendung nicht-sensibler Daten z.B. der Fall, wenn eine gesetzliche Ermächtigung oder Verpflichtung besteht, Daten nur indirekt personenbezogen verwendet werden, Daten zulässigerweise bereits veröffentlicht wurden, der Betroffene der Verwendung zugestimmt hat oder wenn überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern. Wichtigster Anwendungsfall der überwiegenden berechtigten Interessen ist auch hier die Vertragserfüllung. Bei der Verwendung sensibler Daten sind die schutzwürdigen Geheimhaltungsinteressen dann nicht verletzt, wenn z.B. der Betroffene die Daten selbst veröffentlicht hat, die Daten nur in indirekt personenbezogener Form verwendet werden, der Betroffene seine ausdrückliche Zustimmung erteilt hat oder die Verwendung zur Entsprechung der Rechte und Pflichten im Bereich des Arbeitsrechts notwendig ist.
Meldewesen
Entgegen dem System des BDSG gibt es in Österreich weder einen (verpflichtenden) Datenschutzbeauftragten noch die Pflicht zur Führung eines Verfahrensverzeichnisses. Dagegen wurde in Österreich zu Publizitätszwecken das primäre Konzept der Richtlinie 95/46/EG – die Meldepflicht von Datenanwendungen – durch Einrichtung des Datenverarbeitungsregisters („DVR“) bei der DSB umgesetzt. Auftraggeber (die meldepflichtige Datenanwendungen betreiben) müssen sich registrieren und bekommen eine „DVR-Nummer“ zugeteilt. Diese muss auch auf dem Briefpapier und im Impressum geführt werden. Das DVR ist öffentlich zugänglich und steht jedermann zur Recherche offen.
Vor Aufnahme einer Datenverarbeitung muss ein Auftraggeber die beabsichtigte Datenanwendung an das DVR melden. Die Meldung muss den Auftraggeber, den Zweck der Datenanwendung, die Rechtsgrundlage, die Angabe ob ein Tatbestand der Vorabkontrollpflicht erfüllt ist, die Betroffenen, die verarbeiteten Datenarten, etwaige Übermittlungen und die implementierten Datensicherheitsmaßnahmen enthalten. Der Vollbetrieb einer solchen Datenanwendung darf unmittelbar nach Abgabe der Meldung aufgenommen werden. Im Regelfall erfolgt eine automatische Registrierung.
Werden dagegen sensible oder strafrechtlich relevante Daten verarbeitet oder handelt es sich um eine Videoüberwachung, ist die Datenanwendung vorabkontrollpflichtig und darf erst nach einer Prüfung durch die DSB in Betrieb genommen werden.
Wichtigste Ausnahme von der Meldepflicht (neben der Verarbeitung von ausschließlich veröffentlichten Daten, indirekt bezogenen Daten oder zu privaten Zwecken) sind die sogenannten „Standardanwendungen“. In der Standard- und Muster-Verordnung 2004 sind verschiedene Anwendungen aufgelistet, die vom Gesetzgeber als derart geläufig und oft vorkommend qualifiziert wurden, dass der Betroffene davon ausgehen kann, dass ein Unternehmen diese Betreibt. Lassen sich die Zwecke, die Betroffenengruppen, alle Datenarten und die Übermittlungsempfänger einer (geplanten) Datenanwendung unter eine dieser Standardanwendungen subsumieren, ist die Datenanwendung nicht meldepflichtig.
Bei Standardanwendungen ist jedoch Vorsicht geboten, eine Befreiung von der Meldepflicht besteht nicht, wenn auch nur ein Datum über die Standardanwendung hinausgeht. Zudem erlaubt die Verordnung nur wenige Übermittlungen, sodass in solchen Fällen regelmäßig aufgrund der Übermittlung (bspw. an die Konzernmutter) Meldepflicht bestehen wird.
Dienstleister
Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen. Diese müssen ausreichend Gewähr für eine sichere und rechtmäßige Verarbeitung bieten. Zudem haben die Dienstleister die Pflichten gemäß § 11 DSG 2000 einzuhalten. Über Vereinbarungen die über diese gesetzlichen Pflichten hinausgehen sowie bei Überlassungen an ausländische Dienstleister muss ein schriftlicher Vertrag geschlossen werden. Das von der DSB zur Verfügung gestellte Muster eines solchen Dienstleistervertrages finden Sie hier.
Internationaler Datenverkehr (in Drittstaaten)
Gerade bei internationalen Konzernen ist es keine Seltenheit, dass verschiedene Unternehmensdaten, wie z.B. Mitarbeiter-, Kunden-, Lieferanten- oder Marketingdaten, an unterschiedliche Stellen im Konzern übermittelt oder dass Dienstleister herangezogen werden sollen (z.B. Hosting, Support, Software-as-a-Service). Werden Daten in „Drittstaaten“, d.h. in Staaten außerhalb des EWR und ohne Angemessenheitsbeschluss, übermittelt oder überlassen, muss bei dem Empfänger ein adäquates Datenschutzniveau sichergestellt werden. Dafür bieten sich vorrangig, wie in Deutschland, die von der Europäischen Kommission herausgegebenen Standardvertragsklauseln an.
Im Gegensatz zu Deutschland, muss in Österreich ein internationaler Datentransfer jedoch grundsätzlich von der DSB genehmigt werden. Zum Zweck des Nachweises des adäquaten Datenschutzniveaus werden dem Antrag auf Übermittlung oder Überlassung auch die Standardvertragsklauseln angeschlossen. Die Angaben im Antrag müssen exakt mit der gemeldeten Datenanwendung und den Angaben in Appendix 1 der Standardvertragsklauseln (sowie allenfalls einer Betriebsvereinbarung) übereinstimmen. Der Datentransfer darf erst nach Genehmigung durchgeführt werden.
Praxisrelevante Ausnahmen von der Genehmigungspflicht gibt es nur wenige; so z.B. die Zustimmung „ohne jeden Zweifel“ des Betroffenen oder wenn „ein mit dem Betroffen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der der Daten erfüllt werden kann“. Dabei ist eine Zustimmung nicht immer tauglich, besonders wenn verhindert werden soll, dass der Transfer durch Widerruf eingestellt werden muss.
Für internationale Projekte sollte daher immer ausreichend Zeit für dieses Genehmigungsverfahren eingeplant werden.
Sanktionen
Neben den strafrechtlichen Folgen sind vor allem die Verwaltungsstrafbestimmungen des § 52 DSG 2000 von praktischer Relevanz:
- Mit Geldstrafe von bis zu EUR 10.000,00 sind z.B. Verstöße gegen die Meldepflicht oder Übermittlungen in Drittstaaten ohne Genehmigung zu ahnden.
- Mit Geldstrafe von bis zu EUR 25.000,00 ist z.B. das vorsätzliche Übermitteln in Verletzung des Datengeheimnisses zu ahnden.
Zusammenfassung und Ausblick
Das österreichische DSG 2000 und das deutsche BDSG folgen richtlinienkonform den denselben Grundsätzen, divergieren jedoch stark in vielen Bereichen der praktischen Relevanz. Die ab 2018 geltende Datenschutzgrundverordnung verfolgt das Ziel die Vielfalt dieser unterschiedlichen Umsetzungsvarianten in den einzelnen Mitgliedsstaaten zu harmonisieren und damit ein einheitliches europäisches Datenschutzrecht zu schaffen. Aufgrund der lokalen Besonderheiten, die sich einerseits aus verwandten Gesetzen wie arbeitsrechtlichen Sonderbestimmungen ergeben sowie aus den Öffnungsklauseln resultieren werden, wird dieses Ziel dennoch nicht zu 100 % erreicht werden können. Die Auseinandersetzung mit den länderspezifischen Besonderheiten und die Beratung durch lokale Experten bleiben daher auch in Zukunft unumgänglich.
Gratuliere zu dem gelungenen Beitrag. Würde diesen gerne in meinem Blog datenschutzbeauftragter.co.at veröffentlichen. Ginge das in Ordnung?
Suchmaschinen werten Ihre Seite ab, wenn Sie Content kopieren. Schreiben Sie besser eine Einleitung und verlinken Sie den Beitrag.