Datenschutz macht bekanntlich keinen Halt vor Ländergrenzen und doch existieren bekanntlich teilweise erhebliche Unterschiede in der Art der Ausgestaltung des Datenschutzes und dem Umfang der datenschutzrechtlichen Anforderungen, die an ein Unternehmen in den verschiedenen Ländern gestellt werden.
Der Inhalt im Überblick
Gleichlauf per Richtlinie?
Auch innerhalb der Europäischen Union gibt es, trotz der seit dem Jahre 1995 existierenden Datenschutzrichtlinie (95/46/EG) erhebliche Unterschiede in den einzelnen Mitgliedsstaaten. Dieses ist nicht zuletzt darauf zurück zu führen, dass die Datenschutzrichtlinie selbst grundsätzlich keine direkte Wirkung in den Mitgliedsstaaten entfaltet, sondern als solche erst in innerstaatliches Recht transformiert werden muss. Hierzu haben alle Mitgliedsstaaten eigene Datenschutzgesetzte erlassen, bzw. angepasst.
Auch lässt die Richtlinie viele Bereiche für eine nähere Bestimmung durch die umsetzenden Mitgliedsstaaten offen. Eine vollständige Harmonisierung in diesem Bereich wird es daher erst durch die derzeit in der Umsetzung befindliche Datenschutz-Grundverordnung geben.
Das Österreichische Datenschutzgesetz
Aufgrund der Vielzahl von Kundenanfragen, die insbesondere den erforderlichen Datenschutz bei Niederlassungen in Österreich betreffen, haben wir hier einmal kurz die wesentlichen Unterschiede und Regelungen des österreichischen Datenschutzrechts im Verhältnis zum Deutschen Datenschutzrecht als Überblick zusammen getragen. Ein gutes Informationsangebot bietet auch die österreichische Datenschutzbehörde auf ihrer Website.
Basis des österreichischen Datenschutzrechts ist das österreichische Datenschutzgesetz aus dem Jahre 2000 (DSG 2000, veröffentlicht im BGBl. I Nr. 165/1999).
Daneben existieren, wie im deutschen Datenschutzrecht auch, diverse Spezial- und Sondergesetze.
Grundrecht auf Datenschutz
Wie in Deutschland mit dem Urteil dem Volkszählungsurteil des BVerfG begründet, sieht auch das österreichische Recht das Recht auf Datenschutz als ein Grundrecht. Allerdings ist dieses, anders als im Deutschen Datenschutzrecht, als sog. „Jedermann-Grundrecht“, § 1 Abs. 1 DSG 2000, ausgestaltet und erfasst daher nach einhelliger Überzeugung
- natürlichen Personen und
- juristische Personen (also explizit auch Unternehmen).
Zusätzlich wurde speziell das Grundrecht auf Datenschutz in Österreich als sog. Grundrecht mit unmittelbarer Drittwirkung ausgestaltet. Dies hat zur Folge, dass nicht nur der Staat, sondern auch alle in ihm lebenden Bürger dieses Recht im Umgang untereinander beachten und befolgen müssen.
In der Bundesrepublik Deutschland kennen wir dagegen nur das Prinzip der mittelbaren Drittwirkung, bei dem die Grundrechte im Privatbereich lediglich über sog. offen formulierte Rechtsvorschriften (unbestimmte Rechtsbegriffe) bei der Rechtsanwendung und -auslegung Berücksichtigung finden und nur den Staat direkt binden.
Grundsatz des DSG 2000
Entsprechend der Vorgaben der Europäischen Datenschutzrichtlinie und vergleichbar mit dem Deutschen Datenschutzgesetz, lässt das DSG 2000 ebenfalls nur dann Eingriffe in das Grundrecht auf Datenschutz zu, wenn
- die Datenerhebung,-Verarbeitung oder –Nutzung durch Gesetz erlaubt ist,
- und eine umfassende Interessenabwägung ein überwiegendes Interesse eines Anderen an der Datenerhebung, -verarbeitung oder -nutzung begründet,
- oder der Betroffene seine Einwilligung gegeben hat.
Über die Einhaltung der Datenschutzvorschriften wacht die österreichische Datenschutzbehörde.
Das Datenverarbeitungsregister
Gemäß Art. 18 der EU-Datenschutzrichtlinie besteht grundsätzlich eine Meldepflicht für Vorgänge der automatisierten Datenverarbeitung. Hiervon können Ausnahmen gemacht werden, wenn
- nach dem Recht der Staaten die Bestellung eines Datenschutzbeauftragten vorgesehen ist,
- oder Ausnahmeregelungen gem. Art. 18 Abs. 2 EU-DSRiLi geschaffen wurden.
Anders als in Deutschland, sieht das DSG 2000 keine Bestellung eines Datenschutzbeauftragten vor, sondern geht davon aus, dass grundsätzlich jedes Verfahren, bei dem personenbezogene Daten erhoben, verarbeitet oder genutzt werden, meldepflichtig sind, § 17 DSG 2000. Hierzu führt die österreichische Datenschutzbehörde ein seit dem 01.09.2012 auch online zugängliches Register. Dieses wurde durch Österreich bereits zum 01.01.1980 eingeführt. Hier hat jeder Datenverarbeiter seine Verfahren über ein Online-Formular zu melden.
Vereinfachtes Meldeverfahren
Zur Vereinfachung existieren Regelungen zur sog. vereinfachten Meldung von Standardverfahren. Diese sind definiert in der Standard- und Musterverordnung StMV 2004, veröffentlicht im BGBl II Nr. 2004/312.
Vorabkontrolle
Bei besonders sensiblen Daten oder strafrechtlich relevanten Daten sowie bei sog. Informationsverbundsystemen und Videoüberwachung, existiert zudem die Notwendigkeit einer behördlichen Vorabkontrolle des Verfahrens vor dessen Inbetriebnahme.
Der Verstoß gegen die Pflicht zur Meldung von datenschutzrechtlich relevanten Verfahren an das Datenschutzregister kann mit einem Ordnungsgeld von 0 bis 10.000 € pro nicht gemeldeter Verarbeitung geahndet werden.
Datenexport
Der Datenexport bzw. die Datenübermittlung richtet sich nach §§ 12 f. DSG 2000. Ähnlich wie in Deutschland unterliegen Datenexporte in das EU/EWR-Ausland in Österreich keiner zusätzlichen Beschränkung und sind nicht Genehmigungspflichtig.
Anders liegt der Fall jedoch bei Datenexporten in das sog. Nicht-EU-Ausland. Hier sehen §§ 12, 13 DSG 2000 grundsätzliche eine Genehmigungspflicht vor, wenn nicht eine Ausnahme besteht (§ 12 Abs. 3). Anerkannte Ausnahme ist hier derzeit z.B. die Wahrung eines angemessenen Datenschutzniveaus durch eine Zertifizierung des Empfängers/Dienstleisters nach Safe Harbor.
Im Gegensatz zur Deutschen Datenschutzpraxis, erkennen die Österreichischen Datenschutzbehörden jedoch nicht schon den Abschluss von EU-Standardverträgen als Voraussetzung für eine genehmigungsfreie – da durch die EU vorab genehmigte – Datenübermittlung an. Dies hat zur Folge, dass eine Datenweitergabe auf Basis von EU-Standardverträgen immer der vorherigen Genehmigung der Aufsichtsbehörden bedarf.
Verstöße hiergegen können Strafen von 0 bis 10.000 € nach sich ziehen, § 52 Abs. 2 DSG 2000.
Data Breach Notification
Auch das österreichische Datenschutzgesetz sieht Verfahren vor, wie im Falle einer Datenschutzpanne zu verfahren ist. Hier wird allerdings, anders als im Deutschen Datenschutzrecht, nur eine Information der Betroffenen und keine Information der Datenschutzbehörde erwartet, § 24 Abs. 2a DSG 2000.
Videoüberwachung
Das DSG 2000 enthält in §§ 50a ff. sehr differenzierte Regelungen zum datenschutzkonformen Betrieb einer Videoüberwachung, die jeweils im Einzelfall geprüft werden müsen. Videoüberwachungen sind neben der bestehenden Meldepflicht, im Unterschied zu den deutschen Regelungen, immer durch die Datenschutzbehörde vorab zu überprüfen.
Fazit
Solange die EU-Datenschutz-Grundverordnung nicht umgesetzt ist, muss sich ein international tätiges Unternehmen mit Niederlassungen in verschiedenen EU-Ländern mit zum Teil sehr unterschiedlichen Datenschutzanforderungen auseinandersetzen. Was in einem Land nicht gemeldet werden muss, ist in einem anderen EU-Mitgliedsstaat meldepflichtig.
Hallo,
ich betreibe eine Homepage in Österreich. Muss ich mich in das Datenverarbeitungsregister auch eintragen, wenn ich nur einen Newsletter betreibe, bei dem nur die Eingabe der E-Mail Adresse Pflicht ist? Sowohl Vor- als auch Nachname sind optional. Zudem betreibe ich keinen Shop und habe kein Gewerbe angemeldet. Derzeit ist es eine reine Blog Seite.
Danke und schöne Grüße,
Markus
Grundsätzlich ist im österreichischen Datenschutzrecht jedes automatisierte Verfahren, in welchem personenbezogene Daten verarbeitet werden, meldepflichtig. Ausnahmen davon werden in § 17 Abs. 2 DSG 2000 und der sog. Anlage 1 zur Standard- und Muster-Verordnung 2004 – StMV 2004 ausdrücklich geregelt. Nach § 17 Abs. 2 Ziffer 3. und 4. DSG 2000 ist eine Meldepflicht dann nicht gegeben, wenn ausschließlich indirekt personenbezogene Daten erhoben werden, oder eine rein persönliche Nutzung durch eine natürliche Person erfolgt. Ein genereller Ausschluss der Meldepflicht einer Newsletteranwendung ist nach der StMV 2004 allerdings nicht vorgesehen.
Bitte haben Sie aber Verständnis dafür, dass wir die Frage, ob Sie als privater Blogbetreiber mit Ihrem Newsletter allerdings unter diese Ausnahmetatbestände falle, in diesem Rahmen nicht werden klären können. Insoweit bedarf es einer eingehenden Beurteilung der Materie. Ferner sind wir nicht berechtigt, in diesem Format konkreten Rechtsrat zu gewähren. Um die Frage für Sie abschließend und rechtssicher klären zu können, wenden Sie sich bitte an einen entsprechend spezialisierten Anwalt.
Alles klar, danke für Ihre Mühe!