06.04.2017

Österreich: Gerüchte über das DSGVO-Anpassungsgesetz (Updates)

Es schwirren derzeit einige Gerüchte über das künftige österreichische "DSGVO-Anpassungsgesetz" herum, die ich hier kurz festhalten will (Disclaimer: Es liegt in der Natur von Gerüchten, dass diese "fake news" sein können - also Achtung):
  • FAKTUM: Österreich hat als einziger EU-Mitgliedsstaat gegen die DSGVO gestimmt (pdf). Es folgen die Gerüchte ...
  • Eine Absenkung des Schutzniveaus (siehe zum deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU hier und aktuell auch hier sowie hier) ist wohl nicht zu erwarten (über bereits in der DSGVO vorgesehene "Flexibilisierungen" hinaus). 
  • Die LegistInnen im BKA (in Österreich die Abkürzung für das zuständige Bundeskanzleramt) haben einen internen Entwurf, der nur "das Notwendigste" regelt, fertiggestellt; dieser ist nicht veröffentlicht und liegt dem Koalitionspartner zur internen Stellungnahme und Abklärung vor.
  • Es wird koalitionsintern u.a. über das darin vorgesehene datenschutzrechtliche "Verbandsklagerecht" heiß diskutiert, ebenso über die Höhe von Verwaltungsstrafen (siehe u.a. Art 83 Abs 7 DSGVO) und die Umsetzung der JI-RL (EU) 2016/680.
  • Vom Anwendungsbereich sind nur mehr natürliche Personen umfasst (bislang sind in Ö auch juristische Personen [und Personengemeinschaften] als "Betroffene" umfasst).
  • Geldbußen können auch gegen eine juristische Person als strafbare Person verhängt werden ("Verbandsverantwortlichkeit"; vgl. das Kartellrecht) - dies soll Geschäftsführer bzw. Vorstandsmitglieder davor schützen, nach Verhängung einer "saftigen" Geldbuße Privatinsolvenz beantragen zu müssen ...
  • Last but not least: Angeblich soll erst im Herbst 2017 eine Regierungsvorlage veröffentlicht werden (wobei BM Drozda Anderslautendes angekündigt hat: "ein Entwurf für ein neues österreichisches Datenschutzgesetz bereits [liege vor], dieses mit dem Koalitionspartner abgestimmt werde und voraussichtlich noch im ersten Halbjahr 2017 beschlossen werden könne")  - es bliebe dann wenig Zeit, bereits laufende Umsetzungsprojekte an etwaige "Austriaca" anzupassen ...
  • Update 1: Habe gerade gehört, dass es eventuell doch schneller gehen könnte und die Begutachtung demnächst starten soll - eine parlamentarische Beschlussfassung vor dem Herbst ist aber unwahrscheinlich.
  • Anmerkung zum DSB: Alle die von einer Überwälzung auf den künftig gem. Art 37 Abs 1 lit a-c DSGVO verpflichtend zu bestellenden Datenschutzbeauftragten als verantwortlichen Beauftragten (§ 9 VStG) "geträumt" haben, sollten sich Folgendes überlegen: Der DSB darf bei Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten (Art 38 Abs 3 DSGVO; "Weisungsfreiheit"). Ob man im Unternehmen einen rechtlich weisungsfrei gestellten DSB mit einer Anordnungsbefugnis gem. § 9 Abs 4 VStG haben möchte, sollte man sich gut überlegen, zudem mit der Solidarhaftung gem. § 9 Abs 7 VStG. Dagegen spricht auch, dass der Verantwortliche verantwortlich ist (Art 5 Abs 2 DSGVO) und Art 39 DSGVO die Aufgaben des DSB mehr in der Beratung sieht als in jener des"Haftungsprellbocks". Lesenswert zur Frage, wer eine Strafe zur tragen hat, hier von RA Dr. Schweiger.
Update: Siehe zum aktuellen Stand hier.