Datenschutz-Anpassungsgesetz

Am 31.07.2017 wurde das Datenschutz-Anpassungsgesetz im Bundesgesetzblatt veröffentlicht - BGBl I 120/2017


Da keine Verfassungsmehrheit zustande gekommen ist musste der Entwurf des Datenschutz-Anpassungsgesetz noch einmal vor der Beschlussfassung im Parlament abgeändert werden.

 

Das Grundrecht auf Datenschutz § 1 (1) DSG konnte mangels der gesetzlich dafür notwendigen Mehrheit von 2/3 im Parlament nicht abgeändert werden.

 

Der Titel des neuen Gesetzes lautet (ab 25.05.2018):

 

 

"Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG)"

 

Die ersten drei Paragraphen des DSG 2000 bleiben unverändert, und sind sohin in die Version des neuen DSG "mit hinein zu lesen" und danach folgt ab § 4 das (neue) DSG.

 

Das DSG hat daher in Hinkunft (ab 25.05.2018) 70 Paragraphen, wobei sich viele dabei mit den Organen wie Datenschutzrat und Datenschutzbehörde (§§ 14 bis 23 DSG) bzw. der Aufsichtsbehörde (Datenschutzbehörde)  (§§  31 bis 35 DSG) und der Umsetzung der VO 680/2016 (siehe 3. Hauptstück, §§ 36 bis 61 DSG: "Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des polizeilichen Staatschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzuges") beschäftigen.

 

Die Öffnungsklausel betreffend Kinder wurde ausgenutzt, und das Alter mit 14 Jahren festgelegt (siehe § 4 (4) DSG); ebenso wurde festgelegt, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können (siehe § 30 (5) DSG).

 

Eine besondere Regelung (Präzisierung) ist für Bildverarbeitungen (z.B. Videoüberwachungen) enthalten, bei der z.B. die "Standard-Speicherfrist" mit 72 Stunden festgelegt ist. (siehe § 12 DSG)

 

Weiters wird das Arbeitsverfassungsgesetz (ArbVG) - mit den Bestimmungen zur kollektiven Willensbildung in Unternehmen mit Betriebsrat = Betriebsvereinbarungen) zur "datenschutzrechtlichen" Norm iSd Art. 88 DSGVO, dh Datenverarbeitung im Beschäftigungskontext erklärt.

 

Die Geldbuße soll primär das Unternehmen selbst (siehe § 30 DSG) und nicht die Geschäftsführer, Vorstände oder die verantwortlich beauftrage Person gem. § 9 VStG treffen, und zwar insbes. dann, wenn kein Internes Kontrollsystem (dh keine Datenschutz-Dokumentation und kein Datenschutz-Management) vorhanden ist. . 

 

 

Microsoft Windows 10 - datenschutzwidrig

Freitag, der 13. für Microsoft Windows

mehr lesen

Auskunft & Betriebs- und Geschäftsgeheimnis

Können Betriebs- und Geschäftsgeheimnisse des Verantwortlichen Grenzen für das Auskunftsrecht bringen?

mehr lesen 0 Kommentare

TOMs nach Art 32 DSGVO - ein Überblick

Technische und organisatorische Maßnahmen iSd Art 32 DSGVO (TOMs) & Datensicherheitsmaßnahmen des § 54 DSG

mehr lesen 0 Kommentare

Sozialversicherungsnummer - Verwendung als eindeutiges Kennzeichen?

 

Der Sachverhalt:

 

Ein Unternehmen (eine Versicherung) versandte Schreiben an Versicherungsnehmer, in denen diese gebeten wurden, die Sozialversicherungsnummer bekannt zu geben, damit diese Kunden „eindeutig identifiziert werden können.“

 

Die Datenschutzbehörde nahm diese zum Anlass nach einer Meldung durch eine betroffene Person, die von der Versicherung dieses Schreiben erhielt, die Versicherung zu einer Stellungnahme aufzufordern.

 

Die Stellungnahme:

Die Versicherung erläuterte, dass sie u.a. Lebens- und Unfallversicherungen anbiete und diese Zwecke sind in unmittelbaren Zusammenhang mit sozialversicherungsrechtlichen Sachverhalten. Bei der Sparte Lebensversicherung ist die Verwendung notwendig, damit man diese mit den übermittelten Listen über die verstorbenen Personen abgleichen könne. Im Bereich der Unfallversicherung basiert der gesamte Datenaustausch im Gesundheitsbereich über das Kennzeichen der Sozialversicherungsnummer. Überdies sei man gem. FM-GwG verpflichtet, die Identität zweifelsfrei festzustellen.

 

 

Die Entscheidung der Datenschutzbehörde (vom 28.06.2017) als „Empfehlung“:

 

V** AG möge von der Verwendung der Sozialversicherungsnummer zur eindeutigen Identifizierung von Versicherungsnehmern außerhalb von sozialversicherungsrechtlichen Sachverhalten absehen.

 

 

Die Grundlage der Empfehlung der Datenschutzbehörde:

 

1. Die Sozialversicherungsnummer ist ohne Zweifel ein personenbezogenes Datum im Sinne des § 4 Z 1 DSG 2000, an dem der Versicherte ein schutzwürdiges Geheimhaltungsinteresse hat. […]

 

2. § 31 Abs. 4 ASVG gibt den Zweck der Sozialversicherungsnummer klar vor. Demnach darf diese nur zur Verwaltung personenbezogener Daten im Rahmen der der Sozialversicherung gesetzlich übertragenen Aufgaben verwendet werden. Auch § 460d ASVG hält fest, dass die Versicherungsnummer nach § 31 Abs. 4 Z 1 ASVG in der elektronischen Datenverarbeitung für Zwecke der Sozialversicherung und des Arbeitsmarktservices verwendet werden kann. Die zitierten Bestimmungen des ASVG sind in diesem Zusammenhang als die spezielleren Normen (lex specialis) im Vergleich zu § 6 FM-GwG anzusehen. § 6 FM-GwG verlangt zwar, die Identität eines Kunden festzustellen, normiert jedoch, dass dies bei natürlichen Personen etwa „durch die persönliche Vorlage eines amtlichen Lichtbildausweises zu erfolgen [hat]“ (§ 6 Abs. 2 Z 1 FM-GwG). Auf die Sozialversicherungsnummer wird hingegen nicht Bezug genommen.

 

3. Auch nach der Rechtsprechung der Datenschutzbehörde darf die Sozialversicherungsnummer nicht als „genereller Identifikator“ verwendet werden, d.h. in Zusammenhängen, die mit sozialversicherungsrechtlichen Sachverhalten nichts zu tun haben; eine solche Verwendung wurde von der Datenschutzbehörde und der ehemaligen Datenschutzkommission bereits wiederholt als unzulässig erachtet (vgl. dazu bspw. die Empfehlung vom 23. Mai 2014, GZ DSB-D213.131/0002-DSB/2014).

 

4. Soweit die V** AG im Rahmen der Lebens- bzw. Unfallversicherung und damit in tatsächlichem Zusammenhang mit sozialversicherungsrechtlichen Sachverhalten tätig wird, ist die Verwendung der Sozialversicherungsnummer daher dann nicht zu beanstanden, wenn dies für den Verkehr mit Sozialversicherungsträgern erforderlich ist (etwa zu Abrechnungszwecken).

Wird die V** AG jedoch in anderen Bereichen bzw. Versicherungszweigen tätig, wo dieser Zusammenhang nicht gegeben ist, so ist die Verwendung der Sozialversicherungsnummer nicht zulässig bzw. entspräche deren dortige Verwendung jener als allgemeinem Identifikator. Ist die Verwendung bereits gesetzlich nicht erlaubt, so kann dieser Mangel auch nicht durch eine Zustimmung im Einzelfall saniert werden.

 

 

Fazit:

 

1.  Die Datenschutzbehörde hat wiederholt ausgesprochen, dass die Sozialversicherungsnummer außerhalb des sozialversicherungsrechtlichen Kontextes (z.B. Abrechnung bei Lebens- und Unfallversicherung) nicht zulässigerweise verarbeitet werden darf. Eine andere Verwendung derselben ist daher rechtswidrig.

2. Auch nach der DSGVO wird sich daran nichts ändern, insbes. da die DSGVO festlegt, dass „auch […] Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren“ als Gesundheitsdaten und damit Daten besonderer Kategorie iSd Art 9 DSGVO sind, die besonderen Bestimmungen in der Verarbeitung der Daten unterliegen.

 

3. Wenn die DSGVO mit 25.05.2018 in Kraft tritt, werden nur die potentiellen Sanktionen sehr viel schwerwiegender, da die Geldbußen auf das 800-fache (20 Mio € oder 4 % des Jahresumsatzes, was immer höher ist) ansteigen.

0 Kommentare

Vortrag zur DSGVO auf der Schallaburg

mehr lesen 0 Kommentare

Datenschutz-Frühstück am 28.09.2017

mehr lesen 0 Kommentare

OVI-News - DSGVO

mehr lesen

Vortrag bei der Fachgruppentagung "Finanzdienstleister" der Wirtschaftskammer Niederösterreich

mehr lesen

Bleibt der Datenschutz für juristische Personen nach dem 25.05.2018 in Österreich bestehen?

 

Datenschutz auch für juristische Personen nach dem 25.05.2018?

Dr. Riedl, der Legist im Bundeskanzleramt, der u.a. das Datenschutz-Anpassungsgesetz 2018, mit dem das Datenschutzgesetz 2000 geändert wird, maßgeblich „mitentworfen“ hat, vertritt in einem Interview in der Datenschutz-Konkret 4/2017, S. 75 die Meinung, dass der Datenschutz in Österreich für juristische Personen bestehen bleibt.

Diese Ansicht stützt er darauf, dass § 1 (1) DSG (Verfassungsbestimmung: Grundrecht auf Datenschutz) im neuen Datenschutzgesetz (es heißt ab 25.5.2018 wirklich so, und nicht mehr Datenschutzgesetz 2000) nicht geändert wurde.

 

Die ersten drei Paragraphen des DSG 2000 bleiben unverändert, und das Datenschutz-Anpassungsgesetz 2018 novelliert nur die Paragraphen des DSG 2000 ab § 4. Geändert wird auch der Titel des Gesetzes, denn es heißt in Zukunft: „Bundesgesetz zum Schutz personenbezogener Daten natürlicher Personen“.

 

Aus dem Titel wäre daher mE abzuleiten, dass das Wort „Jedermann“, das weiterhin unverändert in § 1 (1) DSG enthalten ist, daher in seiner Bedeutung, die mittels Auslegung zu ermitteln ist, eingeschränkt wird, und ab  25.5.2018 so auszulegen ist, dass es „natürliche Person“ heißt, da ja auch im Titel des Gesetzes zum Ausdruck kommt, dass der Schutz der natürlichen Personen bei der Verarbeitung personenbezogener Daten vom Datenschutzgesetz umfasst sein soll (und eben nichts anderes damit gemeint sein kann).

 

Andererseits hat auch das Argument von Dr. Riedl etwas für sich, dass man durch eine einfachgesetzliche Reglung (ein Bundesgesetz) eine verfasssungsrechtliche Regelung (das Grundrecht auf Datenschutz) nicht einfach ändern kann bzw. dessen Bedeutung reduzieren kann, sodass sich der „Träger des Grundrechts nicht ändern“ (Riedl in DaKo 4/2017, S. 75) kann. Nach dieser Schlussfolgerung wäre die juristische Person weiterhin vom Schutz des Datenschutzgesetzes umfasst.

 

Entgegenzusetzen ist dieser Auslegung jedoch, dass im DSG 2000 in § 4 Z 3 der „Betroffene“ definiert wird, und zwar als „jede vom Auftraggeber (Z 4) verschiedene juristische oder natürliche Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden“.

 

Das Grundrecht auf Datenschutz in § 1 (1) DSG, welches „jedermann“ gewährt wird, wird daher im subjektiven Anwendungsbereich der verfassungsrechtlichen Norm des § 1 (1) DSG in einer einfachgesetzlichen Norm, nämlich § 4 Z 3 DSG näher definiert. Ab 25.5.2018  ändert sih das, da § 4 DSG geändert wird und  in Art 4 Z 1 DSGVO festgelegt ist, dass personenbezogene Daten alle Informationen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.

Daher könnte man auch den Schluss ziehen, dass „jedermann“ iSd § 1 (1) DSG ab 25.05.2018 nur die in Art 4 Z 1 DSGVO definierten „betroffenen Personen“, dh identifizierte und identifizierbare natürliche Personen sind.

 

Es mag dahingestellt bleiben, ob Dr. Riedl Recht hat oder Recht behalten wird, dass die juristischen Personen (in Österreich) unter dem Schutz des Datenschutzgesetzes stehen. Vielmehr stellt sich die Frage der praktischen Auswirkungen:

 

 

 

1.       Gehört eine juristische Person in die Kategorien der Betroffenen iSd § 30 (1) lit c DSGVO und ist diese daher ins Verzeichnis von Verarbeitungstätigkeiten aufzunehmen?

 

Nein, denn „betroffene Person“ iSd DSGVO ist ausschließlich eine natürliche Person, deren personenbezogene Daten verarbeitet werden, und eben nicht die juristische Person. Diese sind daher nicht als „Betroffene“ im Rahmen der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten zu identifizieren.

 

 

 

2.       Sind gegenüber juristischen Personen die Informationspflichten gem. Art 13 oder 14 DSGVO zu erfüllen?

Art 13 und 14 DSGVO befinden sich in Kapitel III der DSGVO, welches mit „Rechte der betroffenen Personen“ betitelt ist. „Betroffene Personen“ iSd DSGVO sind natürliche Personen (siehe Art 4 Z 1 DSGVO).

 

Auch in Art 13 und Art 14 DSGVO wird explizit auf „betroffene Personen“ Bezug genommen, und die Informationspflicht wird durch die Erhebung der Daten „bei der betroffenen Person“ bzw. „nicht bei der betroffenen Person“. Von den Verpflichtungen sind daher nur natürliche Personen umfasst.

 

 

 

3.       Haben juristische Personen Betroffenenrechte iSd Art 15 ff. DSGVO, z.B. Recht auf Auskunft, Einschränkung, Löschung, Berichtigung oder Datenübertragbarkeit?

 

Auch in den Bestimmungen, die die Rechte der betroffenen Personen beschreiben, wird immer explizit auf die betroffenen Personen (iSd Art 1 Z 2 DSGVO) Bezug genommen, weil es dort immer heißt „Die betroffene Person hat das Recht …“ .

 

Daraus ist zu schließen, dass diese Rechte den juristischen Personen nicht zukommen.

 

 

 

4.       Gehört eine juristische Person in die Kategorien von Empfängern im Verzeichnis von Verarbeitungstätigkeiten?

 

Ja, aber das ist nicht davon abhängig, ob die juristische Person im Österreich in Anwendungsumfang des Grundrechtes auf Datenschutz fällt, denn jede Empfängerkategorie (unabhängig ob es sich um natürliche oder juristische Personen handelt) ist ins Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.

 

 

 

5.       Sind die Auswirkungen von Verarbeitungsvorgängen auf juristische Personen im Rahmen der Datenschutz-Folgenabschätzung zu bewerten und zu berücksichtigen?

 

Nein, denn in Art. 35 DSGVO ist explizit die Rede von „Risiko für Rechte und Freiheiten natürlicher Personen“; die juristischen Personen bzw. deren Daten fallen nicht in eine Kategorie, die im Rahmen einer Datenschutz-Folgenabschätzung zu berücksichtigen sind. Wenn daher Risiken auf diese (personenbezogenen) Daten wirken, dann ist dies nicht im Rahmen der DSFA gem. Art 35 DSGVO zu berücksichtigen.

 

 

 

6.       Ist von einem Unternehmen ein Datenschutzbeauftragter zu bestellen, wenn Daten von juristischen Personen verarbeitet werden?

 

Insbes. die Verarbeitung von Art. 9 Daten (besondere Datenkategorien) kann die Verpflichtung auslösen, einen Datenschutzbeauftragten zu bestellen. Die Art. 9 Daten beziehen sich jedoch ausschließlich auf die persönlichen Verhältnisse natürlicher Personen, und es mE auszuschließen, dass die (besonderen) Datenkategorien des Art. 9 DSGVO juristische Personen betreffen können.

 

Anders ist dies bei Art 10 Daten, denn in Österreich besteht die Möglichkeit, dass juristische Personen direkt als „Täter“ iSd VerbandsverantwortlichkeitsG strafrechtlich oder auch Unternehmen im Rahmen von Kartellstrafen bzw. auch bei Datenschutzverletzungen oder auch bei Verletzungen des Bankwesengesetz verfolgt werden. Dann wenn „umfangreiche Verarbeitungen“ von derartigen Daten von juristischen Personen erfolgt, dann könnte man argumentieren, dass in diesem Fall ein Datenschutzbeauftragter zu bestellen ist. Wenn jedoch derartige Daten „umfangreich“ verarbeitet werden, dann ist vermutlich auch die „umfangreiche Verarbeitung“ von derartigen Daten natürlicher Personen umfasst, sodass aus diesem Grund ein DSB zu bestellen sein wird.

 

Wenn die Kerntätigkeit i in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, dann sind damit betroffene Personen iSd Art 4 Z 1 DSGVO gemeint, nämlich natürliche Personen. Die regelmäßige und systematische Überwachung von juristischen Personen löst keine Verpflichtung zur Bestellung eines DSB aus, wenn nicht auch natürliche Personen betroffen sind.

 

 

 

7.       Was ist bei Übermittlungen von personenbezogenen Daten von juristischen Personen in Drittländer zu beachten?

 

Die Übermittlung von personenbezogenen Daten in Drittländer ist nur unter bestimmten in der DSGVO festgelegten Voraussetzungen zulässig. In diesen Bestimmungen wird nicht auf betroffene Personen explizit Bezug genommen, sondern „nur“ auf personenbezogene Daten. Die „personenbezogenen Daten“ sind jedoch (ebenfalls) in Art 1 Z 2 DSGVO definiert, und ist dort festgelegt, dass dies Daten von identifizierten bzw. identifizierbaren natürlichen Personen sind.

 

Wenn daher in den Bestimmungen zur Datenübermittlung von „personenbezogenen Daten“ dir Rede ist, dann sind das Daten von natürlichen Personen, aber nicht von juristischen Personen.

 

 

 

8.       Fazit:

 

Selbst wenn juristische Personen (in Österreich) weiter unter dem Schutz des Datenschutzgesetzes stehen sollten, dann sind die Auswirkungen auf das Datenschutz-Managementsystem, insbes. das Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, Erfüllung von Informationspflichten oder auch Betroffenenrechte als äußerst gering einzuschätzen.

 

 

 

Veranstaltungen mit dataprotect in der nächsten Woche

mehr lesen

28.09.2017: Datenschutz-Frühstück - DSGVO: Auswirkungen auf Marketing

mehr lesen