Nachdem Grundzüge des österreichischen Datenschutzrechts in diesem Blog vorgestellt wurden, sollen der wesentliche Unterschied zu Deutschland und die Entwicklungen durch die Datenschutz-Grundverordnung näher beleuchtet werden.
Der Inhalt im Überblick
Über den Autor
Im Rahmen des internationalen PRIVACY EUROPE-Netzwerkes für Datenschutzspezialisten absolvierte unser Autor ein kurzes Secondment bei der Wiener Kanzlei Preslmayr Rechtsanwälte, um die Verbindung zu intensivieren und den gegenseitigen Wissensaustausch zu fördern. Dr. Klaus zu Hoene, Berater bei der intersoft consulting services AG, arbeitete im Herbst einen Monat in Wien, nachdem Christian Kern im Sommer einen Monat im Hamburger Büro der intersoft consulting services AG verbracht hatte.
Der wesentliche Unterschied
Zunächst möchte ich mich bei Herrn Rechtsanwalt Dr. Rainer Knyrim und bei Rechtsanwalt Dr. Gerald Trieb für den freundlichen Empfang und den intensiven fachlichen Austausch danken.
Wie Christian Kern in seinem Beitrag herausgearbeitet hat, besteht der wesentlich Unterschied zwischen den Rechtsordnungen in der Kontrolle des Datenschutzes. In Österreich setzt man vor allem auf die Meldepflicht bei der Verarbeitung personenbezogener Daten. Soweit eine Datenanwendung (so der österreichische Terminus) meldepflichtig ist, müssen der Zweck der Datenanwendung, die Rechtsgrundlage, die Angabe ob ein Tatbestand der Vorabkontrollpflicht erfüllt ist, die Betroffenen, die verarbeiteten Datenarten, etwaige Übermittlungen und die implementierten Datensicherheitsmaßnahmen an das Datenverarbeitungsregister („DVR“) gemeldet werden. Soweit eine Datenanwendung vorabkontrollpflichtig ist, darf sie erst nach einer Prüfung durch die Datenschutzbehörde in Betrieb genommen werden.
In Deutschland setzt man dagegen auf Eigenkontrolle, weil die Verantwortlichen, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten bestellen muss, der die Verarbeitung kontrolliert. Bestimmte Arten der Verarbeitung sind ebenfalls vorabkontrollpflichtig, aber die Vorabkontrolle wird vom Datenschutzbeauftragten durchgeführt, der ein Protokoll über die Kontrolle erstellt. Der Datenschutzbeauftragte ist Teil des Unternehmens und wird – entgegen einem häufigen Missverständnis im europäischen Ausland – nicht von der Aufsichtsbehörde in das Unternehmen entsandt.
Neue Entwicklungen
Mit der Datenschutz-Grundverordnung hält nun das Institut des Datenschutzbeauftragten auch in Österreich Einzug. Größere Unternehmen erwägen vorwiegend aus Haftungsgründen einen Datenschutzbeauftragten zu bestellen, Behörden müssen einen bestellen. Es war interessant mit den österreichischen Kollegen nachzuvollziehen, welche praktischen Konsequenzen auf Unternehmen und Behörden zukommen. Mit diesen Konsequenzen sind verantwortliche Stellen in Deutschland natürlich eher vertraut.
Im Gegenzug wird die Meldepflicht abgeschafft. Insofern gewinnt auch in Österreich die Eigenkontrolle mehr Bedeutung. Das interne Verfahrensverzeichnis ist ebenfalls ein Mittel der Eigenkontrolle. Wenn Verfahren der Datenverarbeitung dokumentiert werden, verschaffen sich die verantwortlichen Personen im Unternehmen einen Überblick über das Ausmaß und die besonderen Risiken der Verarbeitung. Es entfällt lediglich der Schritt, die Verfahren zu melden, wie auch auf der Homepage der Datenschutzbehörde ausgeführt wird:
„Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig. Ab diesem Zeitpunkt entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde und es obliegt einem datenschutzrechtlichen Auftraggeber (künftig: „dem für die Verarbeitung Verantwortlichen“) unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.“
Bei der Auslegung der neuen Vorschriften stehen die österreichischen Kollegen natürlich vor denselben Herausforderungen wie wir in Deutschland. Wegen der unterschiedlichen Datenschutzsysteme der beiden Länder gibt es hier und da durchaus Unterschiede bei der Sicht auf die Verordnung. Das hat die Diskussion so interessant gemacht.
Über die Frage, ob die DVR-Meldepflicht abgeschafft wird, hat bereits der Unionsgesetzgeber im Sinne der Abschaffung entschieden, da die DSGVO schlicht und einfach – anders als die RL 95/46/EG – keine entsprechende Meldepflicht mehr vorsieht.
Dies kann man inzwischen bereits auf der Website der DSB nachlesen: https://www.dsb.gv.at/meldung-beim-dvr
Zitat: „Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig. Ab diesem Zeitpunkt entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde und es obliegt einem datenschutzrechtlichen Auftraggeber (künftig: „dem für die Verarbeitung Verantwortlichen“) unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.“
Vielen Dank für den wertvollen Hinweis. Wir haben den Beitrag entsprechend geändert.