DSG 2000 Anpassung an DSGVO
Noch knapp 13 Monate bis zum Inkrafttreten der DSGVO in Österreich. Und obwohl die Zeit zur Umsetzung der DSGVO für Unternehmen schön langsam knapp wird, ist derzeit in Österreich weit und breit kein Entwurf für ein Anpassungsgesetz des DSG 2000 in Sicht.
DSG 2000 Anpassung: Interner Entwurf kursiert in Koalitionskreisen
Am Rande des Europäischen Datenschutztages (Februar 2017) war zu hören, dass ein interner Entwurf des Bundeskanzleramts vorliege, welcher vorerst einmal innerhalb der Regierungskoalition diskutiert werden sollte. Ein Ergebnis dieser Diskussion, geschweige denn, ein Ministerialentwurf für eine Begutachtung sind weder angekündigt noch abzusehen.
Dabei unterstrich im April 2016 der damalige BM Dr Ostermayer in einer schriftlichen parlamentarischen Anfragebeantwortung betreffend der Unternehmerpflichten im Datenschutz (Datenschutz-Grundverordnung – DSGVO) noch, dass es notwendig sein werde, nach Abschluss des unions-rechtlichen Legislativprozesses, so rasch wie möglich einen Ministerialentwurf für einen Gesetzestext zu erarbeiten.
Die Datenschutzgrundverordnung liegt seit Mai 2016 vor. Seitdem ist nicht viel passiert.
Neues, deutsches BDSG kurz vor Beschlussfassung
Ganz anders die Situation in Deutschland. Hier gab es im November 2016 einen Entwurf des zuständigen Innenministeriums zur Anpassung des BDSG an die DSGVO. Im Februar 2017 beschloss die deutsche Bundesregierung den Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU). Im März beschäftigte sich der deutsche Bundesrat mit dem Gesetzespaket. Dem Vernehmen nach soll das neue BDSG bzw das DSAnpUG-EU noch im April verabschiedet werden.
Die in Deutschland vorgelegten Entwürfe wurden im Rahmen der Begutachtung heftig zerpflückt und mehrmals überarbeitet. Zahlreiche Sachverständige hatten Gelegenheit ihre meist sehr kritischen Stellungnahmen abzugeben. Kritisiert wurden vor allem die zu weit gehende Einschränkung von Betroffenenrechten, die Beschneidung der Kompetenzen der Aufsichtsbehörden, teilweise unklare Rechtsbegriffe (die teils von der Terminologie der DSGVO abweichen) und die schlechte Lesbarkeit des Gesetzestextes. auf Kritik. Es wurde in diesem Zusammenhang die Befürchtung geäußert, dass bis zu der erforderlichen und zeitaufwändigen Klärung grundsätzlicher Rechtsfragen vor dem Europäischen Gerichtshof viel Rechtsunsicherheit bei allen Beteiligten entstünde. Deutsche Datenschutzbehörden ließen verlauten, dass sie das geplante Datenschutzgesetz nicht anwenden würden, weil sie es in Teilen für europarechtswidrig halten würden.
Absehbare Datenschutz-Entwicklungen in Österreich
Jurist Markus Kastelitz schreibt in seinem Blogbeitrag über den aktuellen Stand der DSG 2000 Anpassung, dass koalitionsintern gerüchteweise u.a. über das datenschutzrechtliche „Verbandsklagerecht“ sowie die Höhe von Verwaltungsstrafen diskutiert werde. Vom Anwendungsbereich des neuen Datenschutzgesetzes seien zukünftig nur mehr natürliche Personen als „Betroffene“ umfasst und Geldbußen sollen auch gegen eine juristische Person als strafbare Person („Verbandsverantwortlichkeit“; vgl. das Kartellrecht) verhängt werden können. Diese Reglung soll Geschäftsführer und verantwortliche Vorstandmitglieder bei möglichen Geldbußen in Millionenhöhe vor der Privatinsolvenz schützen. Ein schwacher Trost für kleine und mittlere Unternehmen.
Angesichts der aktuellen Situation ist wohl auch absehbar, dass in Österreich ein Anpassungsgesetz erst im Herbst 2017 vorliegen wird. Spannend wird es, sollte es zu vorgezogenen Nationalratswahlen kommen. Dann droht entweder ein Husch-Pfusch-Gesetz oder gar keines. Das würde dann wohl bedeuten, dass die DSGVO unmittelbar in Österreich gelten würde.
Folgen für Unternehmen
Unternehmen sind gut beraten, mit ihren Projekten zur Anpassung bestehender Datenschutzmaßnahmen an die DSGVO nicht länger zuzuwarten. Auch wenn die im Zuge der DSG 2000 Anpassung erstellten, Österreich-spezifischen Datenschutzregelungen noch nicht absehbar sind, bittet die mit 25. Mai 2018 geltende DSGVO genügend Anhaltspunkte, um wesentliche Bausteine eines professionellen Datenschutz Managements wie Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung, Prozesse zur Erfüllung der Betroffenenrechte oder Meldung von Datenschutzverletzungen sowie die Bestellung eines Datenschutzbeauftragten zu planen und umzusetzen.