Datenschutz-Anpassungsgesetz 2018 (12.5.2017) / Stellungnahme bis 23.06.2017 möglich

DSGVO - Umsetzung in Österreich

Datenschutz in Österreich Data Protection in Austria

Posten Sie Kommentare .. ich werde diese in die Stellungnahme einfließen lassen / Umsetzung der DSGVO in Österreich / Entwurf des AnpassungsG ist seit 12.5.2017 verfügbar / Implentation of GDPR in Austria / Draft of the act implementing GDPR is available as of May 12th, 2017 (german version!)

https://www.parlament.gv.at/PAKT/VHG/XXV/ME/ME_00322/fname_635512.pdf

 


Grundrecht auf Datenschutz

 

Das Gesetz schreibt – in § 1 - ein Grundrecht auf Datenschutz vor; es handelt sich um eine Verfassungsbestimmung.
The act determines – in § 1 - a fundamental right of data protection; it is a constitutional provision.

 

Dieses Grundrecht umfasst einen Anspruch jeder natürlichen Person

 

o   auf Geheimhaltung der sie betreffenden personenbezogenen Daten,

 

o   auf Auskunft über die Verarbeitung solcher Daten sowie

 

o   auf Richtigstellung unrichtiger Daten und

 

o   auf Löschung unzulässigerweise verarbeiteter Daten.

 

This human right includes a right of any natural person

 

·         to keeping secret his/her personal data

 

·         of access regarding the processing of such data and

 

·         to rectifiction of incorrect data and

 

·         to erasure of any data unlawfully processed.

 

Derzeit (DSG 2000) ist nicht nur die natürliche Person, sondern auch die juristische Person vom Datenschutzrecht in Österreich umfasst; dies ändert sich. Nach dem 25.5.2018 können sich nur mehr natürliche Personen auf das Datenschutzgesetz berufen.

 

Currently (DPA 2000) not only the natural, but also legal entities are covered by data protection law in Austria; this changes. After May 25th, 2018 only natural persons can rely on the Data Protection Act.

 

§ 1 (2) DSG (neu) beschreibt unter welchen Voraussetzungen, ein Eingriff in das Recht auf Datenschutz zulässig ist. Diese Bestimmung bezieht sich sohin auf Art. 6 DSGVO.
§ 1 (2) DPA (new) determines under which conditions an intervention in the right of data protection is permissible.
This provision relates to Art. 6 GDPR.

 

Folgende Möglichkeiten für den Eingriff (die Beschränkung) sind vorgesehen:

 

·         Einwilligung der betroffenen Person,

 

·         lebenswichtiges Interesse der betroffenen Person,

 

·         öffentliches Interesse, und zwar nur aufgrund einer gesetzlichen Grundlage, oder

 

·         überwiegendes berechtigtes Interesse eines anderen

 

 

 

The following possibilities for intervention (constraint) are set forth:

 

·         consent of the data subject,

 

·         vital interests of the data subject,

 

·         public interest, in fact only on a legal basis, or

 

·         overriding legitimate interest of another person.

 

 

 

Diese Beschränkungen müssen notwendig und verhältnismäßig und, insbesondere im Hinblick auf den Zweck, die verarbeiteten Daten und die Art der Verarbeitung, für die betroffene Person vorhersehbar sein.

 

The constraints shall be necessary and adequate, and shall be foreseeable for the data subject especially with regard to the purpose, the data processed and the way of processing.

 

 

 

Bemerkenswert in diesem Zusammenhang, dass in Art. 6 (a) DSGVO insgesamt 6 (sechs) Möglichkeiten der Rechtsmäßigkeit einer Verarbeitungstätigkeit vorgesehen sind, aber im Entwurf nur 4 (vier) Beschränkungen des Grundrechts auf Datenschutz vorgesehen sind.

 

It has to be noted in this respect that Art. 6 (A) GDPR has 6 (six) possibilities for lawfulness of data processing and this draft only determines 4 (four) constraints of the fundamental right of data protection.

 

 

 

§ 1 (2) DSG (neu) umfasst folgende Gründe der Rechtmäßigkeit aus Art. 6 (1) DSGVO nicht:

 

·         Vertragserfüllung (Art. 6 (1) b DSGVO)

 

·         Erfüllung einer rechtlichen Verpflichtung, derer der Verantwortliche unterliegt (Art. 6 (1) c DSGVO)

 

§ 1 (2) DPA (new) does not include the following grounds of lawfulness of Art. 6 (1) GDPR:

 

·         performance of a contract (Art 6 (1) b GDPR)

 

·         compliance with a legal obligation to which the controller is subject (Art. 6 (1) c GDPR)

 

 

 

Des weiteren beschränkt § 1 (2) DSG (neu) die Rechtsmäßigkeit der Verarbeitung im öffentlichen Interesse auf Verarbeitungen auf gesetzlicher Basis. Dies ist aufgrund Art 6 (2) DSGVO möglich, da den Mitgliedstaaten die Möglichkeit gegeben wird, spezifische Vorschriften beizubehalten oder einzuführen, die derartige Verarbeitungen präziser bestimmen.

 

Additionally § 1 (2) DPA (new) restricts the lawfulness of data processing in the public interest to data processing on legal basis. This is possible based on Art. 6 (2) GDPR, because this offers a possibility for the Member States to maintain or introduce more specific provisions with regard to such processing activities.

 

Geldbußen

 

§ 19 beschäftigt sich mit allgemeinen Bestimmungen zur Verhängung von Geldbußen. Nach § 19  DSG (neu) ist es möglich, dass Geldbußen gegen juristische Personen verhängt werden und zwar wegen direkter Begehung der Verletzung durch „Personen in Führungspositionen“ (Abs 1) und Verletzung von Überwachungspflichten, die die Tat durch andere Personen in der Organisation ermöglicht haben (Abs 2). Durch diese Bestimmung werden die Bestimmungen des GmbHG bzw. des AktG zum Internen Kontrollsystem (IKS) gewissermaßen in das DSG „importiert“, und wird letztendlich eine Verbandsverantwortlichkeit geschaffen. Die Möglichkeit der Verhängung von Geldbußen gegen juristische Personen orientiert sich an § 99d Bankwesengesetz.      
§ 19 deals with the general conditions of imposition of (monetary) fines. According to § 19 DPA (new) it is possible, that fines are imposed on legal entities, when “people in leading positions” (para 1) committed the breach or breach by other persons in the organisation has been made possible due to breach of supervisory duties (para 2). By this provision the internal the provisions regarding the supervisory organsiational system of the GmbHG and AktG is imported to the DPA and a responsibility of the organisation is determined. The possibility of the imposition of fines against legal entities is geared to § 99d of the Banking Sector Act (BWG).

 

§ 19 (5) DSG (neu) legt fest, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können; damit wird die Möglichkeit des Art 83 (7) DSGVO ausgenützt. Wie schon von einigen Kommentatoren angemerkt, betrifft diese jedoch öffentliche Unternehmen nicht, sodass gegen diese Geldbußen verhängt werden können.
§ 19 (5) DPA (new) determines that no fines may be imposed on public authorities and bodies; the possibility of Art 83 (7) GDPR is used.  As several commentators already mentioned this does not apply to public entities and monetary fines may be imposed on them.

 

Datengeheimnis / Videoüberwachung

 

Die Bestimmung zum Datengeheimnis (dzt. § 15 DSG) wird wieder ins DSG aufgenommen (§ 6).
The provision regarding Confidentiality of Data (cur. § 15 DPA) is inculded in the DPA again (§ 6). 

 

In § 6 (2) ist vorgesehen, dass Mitarbeiter personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln dürfen.            
In § 6 (2) it is determined that employees shall transmit personal data only based on an explicit instruction of the employer.

 

§ 6 (3) normiert, dass Mitarbeiter über die Anordnungen zur Übermittlung und die Folgen der Verletzung des Datengeheimnisses zu belehren sind  
§ 6 (3) sets forth that employees need to be told about the instructions for transmission and the consequences of a breach of the data confidentiality.

 

 

§§ 30 bis 33 befassen sich mit “Bildverarbeitung” und bringen spezifische Regelungen zu Videoüberwachungen in Österreich, die sich an den bisherigen Regelungen der §§ 50a ff DSG orientieren.
§§ 30 to 33 cover „picture processing“ and deal with specific regulations regarding CCTV in Austria, that are similar the current provisions of §§ 50a ff. DPA.

 

 

Für Unternehmen ist dabei mE § 29 DSG (neu) wesentlich. Diese Bestimmung regelt die Anwendbarkeit der bisherigen Bestimmungen des Arbeitsverfassungsgesetzes (ArbVG) als Vorschrift im Sinne des Art. 88 DSGVO (Datenverarbeitung im Beschäftigungskontext).
For legal entities § 29 DPA (new) is relevant. This provision deals with the applicability of the current provisions of the Labor Relations Act (ArbVG) as rule according to Art. 88 GDPR (processing in the context of employment).