Datenschutz auch für juristische Personen nach dem 25.05.2018?
Dr. Riedl, der Legist im Bundeskanzleramt, der u.a. das Datenschutz-Anpassungsgesetz 2018, mit dem das Datenschutzgesetz 2000 geändert wird, maßgeblich „mitentworfen“ hat, vertritt in einem Interview in der Datenschutz-Konkret 4/2017, S. 75 die Meinung, dass der Datenschutz in Österreich für juristische Personen bestehen bleibt.
Diese Ansicht stützt er darauf, dass § 1 (1) DSG (Verfassungsbestimmung: Grundrecht auf Datenschutz) im neuen Datenschutzgesetz (es heißt ab 25.5.2018 wirklich so, und nicht mehr Datenschutzgesetz 2000) nicht geändert wurde.
Die ersten drei Paragraphen des DSG 2000 bleiben unverändert, und das Datenschutz-Anpassungsgesetz 2018 novelliert nur die Paragraphen des DSG 2000 ab § 4. Geändert wird auch der Titel des Gesetzes, denn es heißt in Zukunft: „Bundesgesetz zum Schutz personenbezogener Daten natürlicher Personen“.
Aus dem Titel wäre daher mE abzuleiten, dass das Wort „Jedermann“, das weiterhin unverändert in § 1 (1) DSG enthalten ist, daher in seiner Bedeutung, die mittels Auslegung zu ermitteln ist, eingeschränkt wird, und ab 25.5.2018 so auszulegen ist, dass es „natürliche Person“ heißt, da ja auch im Titel des Gesetzes zum Ausdruck kommt, dass der Schutz der natürlichen Personen bei der Verarbeitung personenbezogener Daten vom Datenschutzgesetz umfasst sein soll (und eben nichts anderes damit gemeint sein kann).
Andererseits hat auch das Argument von Dr. Riedl etwas für sich, dass man durch eine einfachgesetzliche Reglung (ein Bundesgesetz) eine verfasssungsrechtliche Regelung (das Grundrecht auf Datenschutz) nicht einfach ändern kann bzw. dessen Bedeutung reduzieren kann, sodass sich der „Träger des Grundrechts nicht ändern“ (Riedl in DaKo 4/2017, S. 75) kann. Nach dieser Schlussfolgerung wäre die juristische Person weiterhin vom Schutz des Datenschutzgesetzes umfasst.
Entgegenzusetzen ist dieser Auslegung jedoch, dass im DSG 2000 in § 4 Z 3 der „Betroffene“ definiert wird, und zwar als „jede vom Auftraggeber (Z 4) verschiedene juristische oder natürliche Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden“.
Das Grundrecht auf Datenschutz in § 1 (1) DSG, welches „jedermann“ gewährt wird, wird daher im subjektiven Anwendungsbereich der verfassungsrechtlichen Norm des § 1 (1) DSG in einer einfachgesetzlichen Norm, nämlich § 4 Z 3 DSG näher definiert. Ab 25.5.2018 ändert sich das, da § 4 DSG geändert wird und in Art 4 Z 1 DSGVO festgelegt ist, dass personenbezogene Daten alle Informationen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.
Daher könnte man auch den Schluss ziehen, dass „jedermann“ iSd § 1 (1) DSG ab 25.05.2018 nur die in Art 4 Z 1 DSGVO definierten „betroffenen Personen“, dh identifizierte und identifizierbare natürliche Personen sind.
Es mag dahingestellt bleiben, ob Dr. Riedl Recht hat oder Recht behalten wird, dass die juristischen Personen (in Österreich) unter dem Schutz des Datenschutzgesetzes stehen. Vielmehr stellt sich die Frage der praktischen Auswirkungen:
1. Gehört eine juristische Person in die Kategorien der Betroffenen iSd § 30 (1) lit c DSGVO und ist diese daher ins Verzeichnis von Verarbeitungstätigkeiten aufzunehmen?
Nein, denn „betroffene Person“ iSd DSGVO ist ausschließlich eine natürliche Person, deren personenbezogene Daten verarbeitet werden, und eben nicht die juristische Person. Diese sind daher nicht als „Betroffene“ im Rahmen der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten zu identifizieren.
2. Sind gegenüber juristischen Personen die Informationspflichten gem. Art 13 oder 14 DSGVO zu erfüllen?
Art 13 und 14 DSGVO befinden sich in Kapitel III der DSGVO, welches mit „Rechte der betroffenen Personen“ betitelt ist. „Betroffene Personen“ iSd DSGVO sind natürliche Personen (siehe Art 4 Z 1 DSGVO).
Auch in Art 13 und Art 14 DSGVO wird explizit auf „betroffene Personen“ Bezug genommen, und die Informationspflicht wird durch die Erhebung der Daten „bei der betroffenen Person“ bzw. „nicht bei der betroffenen Person“. Von den Verpflichtungen sind daher nur natürliche Personen umfasst.
3. Haben juristische Personen Betroffenenrechte iSd Art 15 ff. DSGVO, z.B. Recht auf Auskunft, Einschränkung, Löschung, Berichtigung oder Datenübertragbarkeit?
Auch in den Bestimmungen, die die Rechte der betroffenen Personen beschreiben, wird immer explizit auf die betroffenen Personen (iSd Art 1 Z 2 DSGVO) Bezug genommen, weil es dort immer heißt „Die betroffene Person hat das Recht …“ .
Daraus ist zu schließen, dass diese Rechte den juristischen Personen nicht zukommen.
4. Gehört eine juristische Person in die Kategorien von Empfängern im Verzeichnis von Verarbeitungstätigkeiten?
Ja, aber das ist nicht davon abhängig, ob die juristische Person im Österreich in Anwendungsumfang des Grundrechtes auf Datenschutz fällt, denn jede Empfängerkategorie (unabhängig ob es sich um natürliche oder juristische Personen handelt) ist ins Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.
5. Sind die Auswirkungen von Verarbeitungsvorgängen auf juristische Personen im Rahmen der Datenschutz-Folgenabschätzung zu bewerten und zu berücksichtigen?
Nein, denn in Art. 35 DSGVO ist explizit die Rede von „Risiko für Rechte und Freiheiten natürlicher Personen“; die juristischen Personen bzw. deren Daten fallen nicht in eine Kategorie, die im Rahmen einer Datenschutz-Folgenabschätzung zu berücksichtigen sind. Wenn daher Risiken auf diese (personenbezogenen) Daten wirken, dann ist dies nicht im Rahmen der DSFA gem. Art 35 DSGVO zu berücksichtigen.
6. Ist von einem Unternehmen ein Datenschutzbeauftragter zu bestellen, wenn Daten von juristischen Personen verarbeitet werden?
Insbes. die Verarbeitung von Art. 9 Daten (besondere Datenkategorien) kann die Verpflichtung auslösen, einen Datenschutzbeauftragten zu bestellen. Die Art. 9 Daten beziehen sich jedoch ausschließlich auf die persönlichen Verhältnisse natürlicher Personen, und es mE auszuschließen, dass die (besonderen) Datenkategorien des Art. 9 DSGVO juristische Personen betreffen können.
Anders ist dies bei Art. 10 Daten, denn in Österreich besteht die Möglichkeit, dass juristische Personen direkt als „Täter“ iSd VerbandsverantwortlichkeitsG strafrechtlich oder auch Unternehmen im Rahmen von Kartellstrafen bzw. auch bei Datenschutzverletzungen oder auch bei Verletzungen des Bankwesengesetz verfolgt werden. Dann wenn „umfangreiche Verarbeitungen“ von derartigen Daten von juristischen Personen erfolgt, dann könnte man argumentieren, dass in diesem Fall ein Datenschutzbeauftragter zu bestellen ist. Wenn jedoch derartige Daten „umfangreich“ verarbeitet werden, dann ist vermutlich auch die „umfangreiche Verarbeitung“ von derartigen Daten natürlicher Personen umfasst, sodass aus diesem Grund ein DSB zu bestellen sein wird.
Wenn die Kerntätigkeit i in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, dann sind damit betroffene Personen iSd Art. 4 Z 1 DSGVO gemeint, nämlich natürliche Personen. Die regelmäßige und systematische Überwachung von juristischen Personen löst keine Verpflichtung zur Bestellung eines DSB aus, wenn nicht auch natürliche Personen betroffen sind.
7. Was ist bei Übermittlungen von personenbezogenen Daten von juristischen Personen in Drittländer zu beachten?
Die Übermittlung von personenbezogenen Daten in Drittländer ist nur unter bestimmten in der DSGVO festgelegten Voraussetzungen zulässig. In diesen Bestimmungen wird nicht auf betroffene Personen explizit Bezug genommen, sondern „nur“ auf personenbezogene Daten. Die „personenbezogenen Daten“ sind jedoch (ebenfalls) in Art 1 Z 2 DSGVO definiert, und ist dort festgelegt, dass dies Daten von identifizierten bzw. identifizierbaren natürlichen Personen sind.
Wenn daher in den Bestimmungen zur Datenübermittlung von „personenbezogenen Daten“ dir Rede ist, dann sind das Daten von natürlichen Personen, aber nicht von juristischen Personen.
8. Fazit:
Selbst wenn juristische Personen (in Österreich) weiter unter dem Schutz des Datenschutzgesetzes stehen sollten, dann sind die Auswirkungen auf das Datenschutz-Managementsystem, insbes. das Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, Erfüllung von Informationspflichten oder auch Betroffenenrechte als äußerst gering einzuschätzen.
Kommentar schreiben
Dr. Emmerich Lakatha (Freitag, 08 März 2019 17:33)
Typisch Österreichisch: Es sollen einheitliche Regelungen geschaffen werden, Österreich fällt aus dem Rahmen. Die einzig richtige Lösung wäre, dass der Gesetzgeber einschreitet.
Dr. Emmerich Lakatha (Samstag, 09 März 2019 23:46)
§ 1/Datenschutzgesetz stellt auf das schutzwürdige Interesse ab. " Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind."
Vereine sind juristische Personen, deren Daten aus dem öffentlichen Vereinsregister und auch aus ihrem Internetauftritt allgemein verfügbar sind. Somit besteht für sie im Rahmen ihrer allgemeinen Zugänglichkeit kein schutzwürdiges Interesse. Darf deshalb ein Verein Listen der Vereine mit gleichen Interessen ungefragt führen oder veröffentlichen? Etwa eine Liste aller Sportvereine im 18. Wiener Gemeindebezirk? Und was ist mit einer aus dem Netz oder Telefonbuch erstellten Liste aller Sportlehrer des 18. Bezirks?
Sie werden mit Recht sagen, dass hier nicht der richtige Ort einer Rechtsberatung ist. Da muss ich mich wohl selber durchbeißen. Das angeführte Beispiel soll nur aufzeigen, dass die Interessenslage von natürlichen und juristischen Personen verschieden ist.
Vereine sind juristische Personen, deren Daten aus dem öffentlichen Vereinsregister und auch aus ihrem Internetauftritt allgemein verfügbar sind. Somit besteht für sie im Rahmen ihrer allgemeinen Zugänglichkeit kein schutzwürdiges Interesse.