EU-Datenschutz-Grundverordnung (DSGVO): Das österreichische Datenschutzgesetz - DSG
Überblick
Lesedauer: 3 Minuten
Die Datenschutz-Grundverordnung ist zwar als EU-Verordnung in jedem EU-Mitgliedstaat unmittelbar anwendbar, sie enthält jedoch zahlreiche Öffnungsklauseln und lässt dem nationalen Gesetzgeber gewisse Spielräume. Zur Durchführung dieser Öffnungsklauseln und Spielräume wurden in Österreich (neben Anpassungen in zahlreichen Materiengesetzen) zwei Novellen des Datenschutzgesetzes (das „Datenschutz-Anpassungsgesetz 2018“ und das „Datenschutz-Deregulierungs-Gesetz 2018“) beschlossen.
Das Datenschutz-Anpassungsgesetz 2018 wurde im BGBl I Nr. 120/2017 kundgemacht, das Datenschutz-Deregulierungs-Gesetz 2018 im BGBl I Nr. 24/2018. Beide sind am 25.5.2018 in Kraft getreten. Seit diesem Zeitpunkt sind daher sowohl die Regelungen der Datenschutz-Grundverordnung als auch des (angepassten) österreichischen Datenschutzgesetzes zu beachten.
Welche wesentlichen Regelungen enthält das österreichische Datenschutzgesetz zur Durchführung der Datenschutz-Grundverordnung? [1]
- Anwendungsbereich:
Klargestellt wird, dass die Regelungen der DSGVO und des österreichischen Datenschutzgesetzes nur auf personenbezogene Daten natürlicher Personen anzuwenden sind. Unverändert bleibt jedoch das Grundrecht auf Datenschutz (§ 1 DSG). - Erleichterung beim Recht auf Berichtigung und Löschung:
Kann die Berichtigung oder Löschung von automationsunterstützt verarbeiteten personenbezogenen Daten nicht unverzüglich erfolgen, weil diese aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden kann, so ist die Verarbeitung der betreffenden personenbezogenen Daten bis zu diesem Zeitpunkt einzuschränken. - Einschränkung beim Recht auf Auskunft:
Das Recht auf Auskunft der betroffenen Person besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts-oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.
Das Recht auf Auskunft der betroffenen Person besteht gegenüber einem hoheitlich tätigen Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen dann nicht, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird. - Regelungen zur Zulässigkeit der Verarbeitung personenbezogener Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen
- Altersgrenze für die Einwilligung eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft: 14. Lebensjahr.
- Präzisierungen zum Datenschutzbeauftragten: Geheimhaltungsverpflichtung, Aussageverweigerungsrecht
- Datengeheimnis:
- Der Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiter müssen personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten, oder zugänglich gewordenen personenbezogenen Daten besteht.
- Mitarbeiter dürfen personenbezogene Daten nur aufgrund einer ausdrücklichen Anordnung ihres Arbeitgebers übermitteln. Der Verantwortliche und der Auftragsverarbeiter haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses einzuhalten.
- Der Verantwortliche und der Auftragsverarbeiter müssen die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses belehren.
- Datenverarbeitungen zu spezifischen Zwecken:
- Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke
- Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von betroffenen Personen,
- Freiheit der Meinungsäußerung und Informationsfreiheit,
- Verarbeitung personenbezogener Daten im Katastrophenfall
- Verwarnung durch die Datenschutzbehörde:
Die Datenschutzbehörde wird den Katalog der Geldbußen nach der DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit der DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnungen Gebrauch machen. - Datenschutzrat:
Der Datenschutzrat, der zu Fragen von grundsätzlicher Bedeutung für den Datenschutz Stellung nimmt, die einheitliche Fortentwicklung des Datenschutzes fördert und die Bundesregierung in rechtspolitischer Hinsicht bei datenschutzrechtlich relevanten Vorhaben berät, bleibt erhalten und wurde um zusätzliche Mitglieder erweitert. - Datenschutzbehörde:
Die Datenschutzbehörde wurde als nationale Aufsichtsbehörde im Sinne der DSGVO eingerichtet. Nähere Regelungen zu deren Organisation, Aufgaben und Befugnissen wurden erlassen. - Rechtsbehelfe, Haftung und Sanktionen:
- Beschwerde an die Datenschutzbehörde
- Beschwerde an das Bundesverwaltungsgericht
- Vertretung von betroffenen Personen
- Haftung und Recht auf Schadenersatz
- Allgemeine Bedingungen für die Verhängung von Geldbußen (diese können auch gegen eine juristische Person verhängt werden)
- Verwaltungsstrafbestimmung für die Regelungen des DSG
- Datenverarbeitung in Gewinn- oder Schädigungsabsicht
- Erlassung der „Black und White-List“ zur Datenschutz-Folgenabschätzung durch Verordnung der Datenschutzbehörde.
- Fortführung des Datenverarbeitungsregisters zu Archivzwecken bis zum 31.12.2019.
- Klarstellung, dass nach dem DSG 2000 erteilte Zustimmungen aufrecht bleiben, sofern sie den Vorgaben der DSGVO entsprechen.
- Ein strafbarer Tatbestand, der vor dem 25.5.2018 verwirklicht wurde, ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren.
[1] Der vierte Abschnitt des zweiten Hauptstücks (§§ 31-34) sowie das dritte Hauptstück des Datenschutzgesetzes dienen der Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L119 vom 4.5.2016 S. 89.
Stand: 28.04.2023