Das Grundrecht auf Datenschutz des § 1 DSG schützt ab 1.1.2020 nur mehr die natürliche Person.
Bereits im Entwurf zum DatenschutzG (Datenschutzanpassungsgesetz) im Jahr 2017 war vorgesehen, dass auch § 1 DSG geändert wird, und der Bezug auf „jedermann“ entfernt wird. Dieses „jedermann“ in § 1 DSG (Grundrecht auf Datenschutz) bringt in Österreich mit sich, dass die „juristische Person“ und nicht nur die natürliche Person (=Betroffener iSd DSGVO) sich auf das Datenschutzrecht berufen kann.
Mangels Verfassungsmehrheit kam diese Änderung im Jahr 2017 nicht zustande, und die §§ 1 bis 3 des DSG (nach dem 25.05.2018) sind textlich unverändert und vom DSG 2000 „übriggeblieben“.
In einer Regierungsvorlage, mit der mehrere verfassungsrechtliche Bestimmungen geändert werden sollen, soll nun auch das DatenschutzG (noch einmal nach dem Datenschutz-DeregulierungsG 2018) geändert werden.
Artikel 5 Änderung des Datenschutzgesetzes
Das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I Nr. 165/1999, zuletzt geändert durch das DatenschutzDeregulierungs-Gesetz 2018, BGBl. I Nr. 24/2018, wird wie folgt geändert:
1. Im Inhaltsverzeichnis entfallen die Einträge zu den §§ 2, 3, 60 und 61.
2. (Verfassungsbestimmung) § 1 lautet:
„§ 1. (1) Jede natürliche Person hat Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten und, nach Maßgabe gesetzlicher Bestimmungen, das Recht auf Auskunft über die Verarbeitung solcher Daten sowie auf Richtigstellung unrichtiger Daten und auf Löschung unzulässigerweise verarbeiteter Daten.
(2) Beschränkungen des Anspruchs auf Geheimhaltung sind nur mit Einwilligung der betroffenen Person, im lebenswichtigen Interesse der betroffenen Person oder einer anderen natürlichen Person, im öffentlichen Interesse, und zwar nur aufgrund einer gesetzlichen Grundlage, im berechtigten Interesse des Verantwortlichen oder eines Dritten, aufgrund eines Vertrages oder einer rechtlichen Verpflichtung zulässig. Beschränkungen müssen notwendig und verhältnismäßig und, insbesondere im Hinblick auf den Zweck, die verarbeiteten Daten und die Art der Verarbeitung, für die betroffene Person vorhersehbar sein. Im Rahmen hoheitlicher Tätigkeiten dürfen Beschränkungen nur aufgrund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind, vorgesehen werden.
(3) Das Grundrecht auf Datenschutz verpflichtet auch Private.“
3. (Verfassungsbestimmung) Die §§ 2 und 3 samt Überschriften entfallen.
Durch diese Änderung wird sichergestellt, dass nur mehr natürliche Personen sich auf das Grundrecht auf Datenschutz berufen können, und die juristische Person wird aus dem Schutzbereich der §§ 1 bis 3 DSG „entfernt“.
In den Erläuterungen findet man dazu folgende Erklärung (Hervorhebungen durch den Verfasser):
In § 1 soll das Grundrecht auf Datenschutz im Verfassungsrang verankert werden.
Das bereits in § 1 DSG 2000 in der Stammfassung verankerte Grundrecht und Art. 8 Abs. 2 EMRK dienen hierbei als Basis.
Jedoch soll die komplexe Formulierung des Grundrechts, die in der Praxis zahlreiche Fragestellungen aufgeworfen hat, vermieden werden und eine verständlichere Ausgestaltung der Voraussetzungen für einen Eingriff in das Grundrecht erfolgen, wobei das bestehende Schutzniveau grundsätzlich beibehalten und an die unionsrechtlichen Vorgaben angepasst werden soll.
Im Vergleich zur Ausgestaltung des Grundrechts auf Datenschutz in der Regierungsvorlage zum DatenschutzAnpassungsgesetz 2018 (1664 d. B. XXV. GP) werden Klarstellungen dahingehend vorgenommen, dass die Wahrnehmung der Nebenrechte (Recht auf Auskunft sowie auf Richtigstellung unrichtiger Daten und auf Löschung unzulässigerweise verarbeiteter Daten) nach Maßgabe einer gesetzlichen Grundlage erfolgen kann und die Eingriffstatbestände jenen der DSGVO entsprechen.
Die DSGVO gewährleistet zudem keinen Datenschutz für juristische Personen; demgemäß soll das Grundrecht auch nur natürliche Personen umfassen.
Weiterhin beibehalten werden soll die Drittwirkung des Grundrechts, die nun in Abs. 3 ausdrücklich geregelt wird.
Darüber hinaus soll der Anwendungsbereich keine maßgeblichen Änderungen erfahren. So sollen etwa auch weiterhin die Datenverarbeitungen der Gesetzgebung vom Grundrecht auf Datenschutz – wie im Übrigen auch grundsätzlich von § 4 Abs. 1 – umfasst sein. Soweit keine Datenverarbeitung zu Verwaltungszwecken erfolgt, ist jedoch die Kontrolltätigkeit der Datenschutzbehörde aufgrund des Grundsatzes der Gewaltentrennung ausgeschlossen. Grundsätzlich Gleiches soll für die Gerichtsbarkeit gelten.
Im Grundrecht soll auf das Recht auf Löschung unzulässigerweise verarbeiteter Daten abgestellt werden. Zwar kennt die DSGVO auch ein Recht auf Beschränkung (statt Löschung); dies erscheint jedoch nicht in jedem Fall als gleichwertige Alternative zum Löschungsrecht und muss daher – als Teilrecht des Löschungsrechts – nicht gesondert im Grundrecht angeführt werden.
Eine gesetzliche Grundlage nach § 1 Abs. 2 ist ein Gesetz oder ein gesetzesrangiger Staatsvertrag, der unmittelbar anwendbar ist. Die gesetzliche Grundlage muss ausreichend präzise – also für jedermann vorhersehbar – sein. Ein Gesetz, das die Verarbeitung personenbezogener Daten regelt, hat gemäß den Vorgaben des Art. 8 Abs. 2 der Richtlinie (EU) 2016/680 zumindest die Ziele der Verarbeitung, die personenbezogenen Daten, die verarbeitet werden sollen, und die Zwecke der Verarbeitung zu enthalten. Datenverarbeitungen im Rahmen hoheitlicher oder schlicht hoheitlicher Tätigkeiten benötigen eine gesonderte gesetzliche Grundlage (§ 1 DSG und Art. 18 B-VG).
Beschränkungen des Geheimhaltungsanspruchs sind mit Einwilligung der betroffenen Person oder im lebenswichtigen Interesse der betroffenen Person oder einer anderen natürlichen Person zulässig.
Die „Einwilligung“ in § 1 Abs. 2 soll der „Einwilligung“ nach Art. 4 Z 11 DSGVO entsprechen. Eine Einwilligung der betroffenen Person ist demnach jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Darüber hinaus können – wie auch in Art. 6 Abs. 1 DSGVO vorgesehen – Beschränkungen im öffentlichen Interesse aufgrund einer gesetzlichen Grundlage, im berechtigten Interesse des Verantwortlichen oder eines Dritten, aufgrund eines Vertrages (einschließlich vorvertraglicher Maßnahmen) oder einer rechtlichen Verpflichtung erfolgen.
Diese Beschränkungsmöglichkeiten sollen grundsätzlich gleichrangig sein. Für Eingriffe im öffentlichen Interesse ist jedenfalls eine gesetzliche Grundlage erforderlich. Auch Gesetze, die eine Interessenabwägung zugunsten oder zulasten Privater vornehmen, können im öffentlichen Interesse liegen.
Beschränkungen des Geheimhaltungsanspruchs aufgrund eines berechtigten Interesses benötigen hingegen nicht zwingend eine gesetzliche Grundlage.
Besondere gesetzliche Regelungen zur Einwilligung (zB § 17 Abs. 2 des E-Government-Gesetzes, BGBl. I Nr. 10/2004) ebenso wie das absolute Verbot einer Einwilligung (zB § 67 des Gentechnikgesetzes (GTG), BGBl. Nr. 510/1994) bleiben weiterhin zulässig.
Auch bei Beschränkungen des Rechts auf Auskunft über die Verarbeitung personenbezogener Daten sowie auf Richtigstellung unrichtiger Daten und auf Löschung unzulässigerweise verarbeiteter Daten müssen notwendig und verhältnismäßig sein. Überdies sind die Vorgaben des Art. 23 DSGVO zu beachten.
Auch im Falle einer zulässigen Verarbeitung von vom Abs. 1 umfassten Daten darf der Eingriff in das Grundrecht jeweils nur dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).
Im Übrigen sind auch ohne ausdrückliche Anordnung die Vorgaben des Art. 8 Abs. 2 der Charta der Grundrechte der Europäischen Union, ABl. C 83 vom 30.3.2010 S. 389, zu beachten. Zu Z 3 (§§ 2 und 3): Infolge der Kompetenzverschiebung soll § 2 entfallen.
Der räumliche Anwendungsbereich ergibt sich bereits unmittelbar anwendbar aus Art. 3 DSGVO.
Die Bestimmung des § 1 DSG (neu) und die Aufhebung der §§ 2 und 3 DSG tritt erst mit 1.1.2020 in Kraft.
Kommentar schreiben