Der 25. Mai 2018 rückt unaufhaltsam näher. Nicht nur die Datenschutz-Grundverordnung (DSGVO) kommt dann zur Anwendung, sondern auch die zahlreichen neuen nationalen Datenschutzgesetze der Mitgliedstaaten, die Gebrauch von den Öffnungsklauseln der DSGVO machen und den dadurch gewährten Regelungsspielraum für Konkretisierungen und Spezifizierungen mehr oder weniger extensiv ausschöpfen. Im Folgenden werfen wir einen Blick nach Österreich in das Datenschutz-Anpassungsgesetz 2018.
Der Inhalt im Überblick
Datenschutz-Anpassungsgesetz (DSG 2018)
Einwilligung Minderjähriger
Österreich traut bereits den 14-jährigen zu, datenschutzkonform in sogenannte Dienste der Informationsgesellschaft einzuwilligen (§ 4 Abs. 4 DSG 2018), wohingegen nach der DSGVO einwilligungsfähig erst ist, wer das 16. Lebensjahr erreicht hat (Art. 8 Abs. 1 DSGVO).
Beschäftigtendatenschutz
Die Mitgliedstaaten können gemäß Art. 88 Abs. 1 DSGVO durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen. In Spezifizierung dieser Öffnungsklausel regelt § 11 DSG 2018 unter Verweis auf das Arbeitsverfassungsgesetz, dass soweit die Verarbeitung personenbezogener Daten im Beschäftigtenkontext geregelt ist, eine Vorschrift im Sinne des Art. 88 Abs. 1 DSGVO darstellt. Zudem erfolgt der Hinweis, dass die dem Betriebsrat zustehenden Befugnisse unberührt bleiben.
Keine Verbandsklagen in Österreich
Im Gegensatz zum deutschen Gesetzgeber (siehe § 2 UKLAG) ist in Österreich keine Verbandsklage vorgesehen. Das Recht der Betroffenen ist nach § 28 DSG n. F. darauf beschränkt, eine gemeinnützige Einrichtung, Organisation oder Vereinigung zu beauftragen, in seinem Namen eine Beschwerde bei der Datenschutzbehörde einzureichen und Schadensersatz (§ 29 DSG 2018) geltend zu machen.
Eingeschränktes Recht auf Löschung
Auch in Bezug auf die Regelungen zur Löschung besteht ein nicht unerheblicher Unterschied zwischen dem DSG 2018 und der Datenschutz-Grundverordnung. Artikel 17 Absatz 1 DSGVO fordert unter den dort geregelten Voraussetzungen eine unverzügliche Löschung der betreffenden personenbezogenen Daten. Dagegen hält § 4 Abs. 2 DSG 2018 eine unverzügliche Löschung für entbehrlich, wenn dies aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden kann. In diesem Fall ist die Verarbeitung der betreffenden personenbezogenen Daten mit der Wirkung nach Art. 18 Abs. 2 DSGVO bis zu diesem Zeitpunkt einzuschränken. Zu Recht wird diese Vorschrift als nicht mit Art. 17 Abs. 1 DSGVO vereinbar kritisiert. Im Übrigen bleibt unklar, wie lange die eingeschränkte Verarbeitung bis zur Löschung andauern darf. Es dürfte wahrscheinlich sein, dass der EuGH die Vorschrift in einem künftigen Verfahren aufheben wird.
Videoüberwachung
Unter dem weiten Begriff der Bildaufnahmen (§§ 12 f. DSG 2018) fallen sowohl akustische Informationen als auch Fotos. Im Regelfall ist eine Bildaufnahme nur zulässig, soweit der Betroffene zur Bildaufnahme ausdrücklich eingewilligt hat oder ein überwiegendes Interesse des Verantwortlichen besteht und der Grundsatz der Verhältnismäßigkeit gewahrt wird.
Ausdrücklich verboten ist eine Videoüberwachung für den höchstpersönlichen Lebensbereich, zum Zweck der Mitarbeiterkontrolle sowie der automationsunterstützte Abgleich von Aufzeichnungen mit anderen Bilddaten. Neu im österreichischen Datenschutz ist die Auskunftspflicht über die Identität des Verantwortlichen (§ 13 Abs. 7 DSG 2018), die dann greift, wenn die im Rahmen der Kennzeichnung bereitgestellten Informationen gemäß § 13 Abs. 5 DSG 2018 nicht ausreichend sind.
Datenschutzbeauftragter
Das DSG 2018 geht hinsichtlich der Bestellung eines Datenschutzbeauftragten (§ 5 DSG 2018) grundsätzlich nicht über die Vorgaben der DSGVO hinaus – mit Ausnahme des Zeugnisverweigerungsrechts und der Verschwiegenheitspflicht des Datenschutzbeauftragten.
Top oder Flop?
Es bleibt festzuhalten, dass das DSG 2018 nur ein eingeschränktes Verbandsklagerecht kennt. Die Aufweichung des Rechts des Betroffenen zur unverzüglichen Löschung wird voraussichtlich vor dem EuGH nicht Bestand haben. Bedauerlich ist, dass Österreich die Reform des Datenschutzrechts nicht dazu genutzt hat, eine mit Deutschland vergleichbare weitreichende Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen einzuführen.
und es soll davor noch geändert werden, zB wir die juristische Person aus dem Anwendungsbereich des § 1 (1) DSG entfernt u auch der § 30 (5) DSG (keine Geldstrafen gg Behörden u öff Stellen) soll uU eingeschränkt werden. dataprotect.at/2018/03/26/juristische-person-wird-aus-dem-schutzbereich-des-dsg-entfernt
Zitat:
„Das DSG 2018 geht hinsichtlich der Bestellung eines Datenschutzbeauftragten (§ 5 DSG 2018) grundsätzlich nicht über die Vorgaben der DSGVO hinaus – mit Ausnahme des Zeugnisverweigerungsrechts und der Verschwiegenheitspflicht des Datenschutzbeauftragten.“
Wobei das Zeugnisverweigerungsrecht, ähnlich des BDSG (neu) § 6, Abs.6 nur gilt, wenn der DSB für eine Person tätig ist, die diesem unterliegt.