• An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
Start Aktuelles Datenschutz-AnpassungsG (Entwurf) seit 12.5.2017 verfügbar

Bitte lesen Sie vorab unsere Information zu Datenschutz bei Social Plugins und informieren Sie sich über den Datenschutz. Wenn Sie mit der Datenermittlung und Weitergabe nicht einverstanden sind, dann nutzen sie das Social Plugin nicht. Danke.

Datenschutz-AnpassungsG (Entwurf) seit 12.5.2017 verfügbar

377 Tage vor Geltung der DSGVO gibt es in Österreich einen Entwurf:

./. Geldbußen für Unternehmen (Führungs- position, Überwachungsverpflichtungen)
./. keine Geldbußen für öffentliche Stellen und Behörden
./. Datenschutzbeauftragter nicht ausgeweitet
./. Videoüberwachung gesondert geregelt
./. ArbVG gilt im Beschätigungskontext als Norm iSd Art 88 DSGVO

 

 

 

Umsetzung der DSGVO in Österreich / Entwurf des AnpassungsG ist seit 12.5.2017 verfügbar
Implentation of GDPR in Austria / Draft of the act implementing GDPR is available as of May 12th, 2017 (german version!)

Das Datenschutz-Anpassungsgesetz 2018, welches das DSG 2000 (und Verordnungen) aufhebt, regelt die Umsetzung der DSGVO und der RL 680/2016 (justizieller Bereich).
The Data Protection Implementation act 2018 that declares the DPA 2000 (and regulations) void, includes the implementation of GDPR and the directive 680/2016.

Das Gesetz stellt eine Mindestumsetzung dar, es wird aber in den Erläuterungen darauf hingewiesen, dass in Materiengesetzen Änderungen oder Anpassungen erforderlich sein können.  
The act is a minimal implemenation; however in the commentary it is mentioned, that in individual laws amendments or changes might be necessary.

 

Dr. Thomas Schweiger, LL.M. (Duke) www.dataprotect.at
Rechtsanwalt / Attorney-at-law                                www.it-recht.at

SMP Schweiger Mohr & Partner Rechtsanwälte OG
4020 Linz – Huemerstraße 1 / Kaplanhofstraße 1 – www.s-m-p.at
(FN 37294w, LG Linz, RAK für Oberösterreich)

Inhalt

1. Grundrecht auf Datenschutz / fundamental right to data protection

1. Löschung (zeitlich) / Erasure (timely)

2. Datenschutzbeauftragter (DSB) / Data Protection Officer (DPO)

3. Datengeheimnis / Data Confidentiality

4. Datenschutzbehörde / Data Protection Authority

5. Beschwerden an die Datenschutzbehörde / Complaints to the Data Protection Authority

6. Verbandsklagemöglichkeit / Possibility for a Class Action

7. Schadenersatz natürlicher Personen / Damages of Natural Persons

8. Verhängung von Geldbußen / Imposition of Monteary Fines

9. Datenschutzrat / Data Protection Council

10. Datenverarbeitung zu spezifischen Zwecken / Data Protection for Specific Purposes

11. Datenverarbeitung im Beschäftigungskontext / Processing in the Context of Employment

12. Bildverarbeitung (Videoüberwachung) / Picture Processing (Video Surveillance)

13. Umsetzung der RL 680/2016 / Transformation of Directive 680/2016

14. Schutz Privater / Protection of Private Persons

15. Datenverarbetiung in Gewinn oder Schädigungsabsicht / Use of Data with the Intention to make a Profit or to Cause Harm

 

 

 

1.      Grundrecht auf Datenschutz / fundamental right to data protection

Das Gesetz schreibt – in § 1 - ein Grundrecht auf Datenschutz vor; es handelt sich um eine Verfassungsbestimmung.
The act determines – in § 1 - a fundamental right of data protection; it is a constitutional provision.

Dieses Grundrecht umfasst einen Anspruch jeder natürlichen Person

o   auf Geheimhaltung der sie betreffenden personenbezogenen Daten,

o   auf Auskunft über die Verarbeitung solcher Daten sowie

o   auf Richtigstellung unrichtiger Daten und

o   auf Löschung unzulässigerweise verarbeiteter Daten.

This human right includes a right of any natural person

  • to keeping secret his/her personal data
  • of access regarding the processing of such data and
  • to rectifiction of incorrect data and
  • to erasure of any data unlawfully processed.

Derzeit (DSG 2000) ist nicht nur die natürliche Person, sondern auch die juristische Person vom Datenschutzrecht in Österreich umfasst; dies ändert sich. Nach dem 25.5.2018 können sich nur mehr natürliche Personen auf das Datenschutzgesetz berufen.

Currently (DPA 2000) not only the natural, but also legal entities are covered by data protection law in Austria; this changes. After May 25th, 2018 only natural persons can rely on the Data Protection Act.

§ 1 (2) DSG (neu) beschreibt unter welchen Voraussetzungen, ein Eingriff in das Recht auf Datenschutz zulässig ist. Diese Bestimmung bezieht sich sohin auf Art. 6 DSGVO.
§ 1 (2) DPA (new) determines under which conditions an intervention in the right of data protection is permissible. This provision relates to Art. 6 GDPR.

Folgende Möglichkeiten für den Eingriff (die Beschränkung) sind vorgesehen:

  • Einwilligung der betroffenen Person,
  • lebenswichtiges Interesse der betroffenen Person,
  • öffentliches Interesse, und zwar nur aufgrund einer gesetzlichen Grundlage, oder
  • überwiegendes berechtigtes Interesse eines anderen

 

The following possibilities for intervention (constraint) are set forth:

  • consent of the data subject,
  • vital interests of the data subject,
  • public interest, in fact only on a legal basis, or
  • overriding legitimate interest of another person.

 

Diese Beschränkungen müssen notwendig und verhältnismäßig und, insbesondere im Hinblick auf den Zweck, die verarbeiteten Daten und die Art der Verarbeitung, für die betroffene Person vorhersehbar sein.

The constraints shall be necessary and adequate, and shall be foreseeable for the data subject especially with regard to the purpose, the data processed and the way of processing.

 

Bemerkenswert in diesem Zusammenhang, dass in Art. 6 (a) DSGVO insgesamt 6 (sechs) Möglichkeiten der Rechtsmäßigkeit einer Verarbeitungstätigkeit vorgesehen sind, aber im Entwurf nur 4 (vier) Beschränkungen des Grundrechts auf Datenschutz vorgesehen sind.

It has to be noted in this respect that Art. 6 (A) GDPR has 6 (six) possibilities for lawfulness of data processing and this draft only determines 4 (four) constraints of the fundamental right of data protection.

 

§ 1 (2) DSG (neu) umfasst folgende Gründe der Rechtmäßigkeit aus Art. 6 (1) DSGVO nicht:

  • Vertragserfüllung (Art. 6 (1) b DSGVO)
  • Erfüllung einer rechtlichen Verpflichtung, derer der Verantwortliche unterliegt (Art. 6 (1) c DSGVO)

§ 1 (2) DPA (new) does not include the following grounds of lawfulness of Art. 6 (1) GDPR:

  • performance of a contract (Art 6 (1) b GDPR)
  • compliance with a legal obligation to which the controller is subject (Art. 6 (1) c GDPR)

 

Des weiteren beschränkt § 1 (2) DSG (neu) die Rechtsmäßigkeit der Verarbeitung im öffentlichen Interesse auf Verarbeitungen auf gesetzlicher Basis. Dies ist aufgrund Art 6 (2) DSGVO möglich, da den Mitgliedstaaten die Möglichkeit gegeben wird, spezifische Vorschriften beizubehalten oder einzuführen, die derartige Verarbeitungen präziser bestimmen.

Additionally § 1 (2) DPA (new) restricts the lawfulness of data processing in the public interest to data processing on legal basis. This is possible based on Art. 6 (2) GDPR, because this offers a possibility for the Member States to maintain or introduce more specific provisions with regard to such processing activities.

1.      Löschung (zeitlich) / Erasure (timely)

§ 3 DSG (neu) legt fest, dass eine Löschung, die wirtschaftlich oder technisch nicht unverzüglich möglich ist, zu einem späteren Zeitpunkt erfolgen kann.
§ 3 DPA (new) determines that erasure that is economically or technically not immediately possible can be done at a later date.

2.      Datenschutzbeauftragter (DSB) / Data Protection Officer (DPO)

Das neue DSG erweitert den Anwendungsbereich des Datenschutzbeauftragten (DSB) nicht; die diesbezüglichen Bestimmungen finden sich ausschließlich in der DSGVO.
The new DPA does not enlarge the applicability of the Data Protection Officer (DPO); the relevant provisions are laid down in GDPR only.

Es wird eine Verschwiegenheitsverpflichtung für DSBs normiert (§ 4) und gibt es eine Sonderbestimmung für den DSB im öffentlichen Bereich (§ 5).
A provision regarding secrecy for DPOs is included (§ 4) and there is a special provision regarding DPOs in the public sector (§ 5).

 

3.      Datengeheimnis / Data Confidentiality

Die Bestimmung zum Datengeheimnis (dzt. § 15 DSG) wird wieder ins DSG aufgenommen (§ 6).
The provision regarding Confidentiality of Data (cur. § 15 DPA) is inculded in the DPA again (§ 6).

In § 6 (2) ist vorgesehen, dass Mitarbeiter personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln dürfen.
In § 6 (2) it is determined that employees shall transmit personal data only based on an explicit instruction of the employer.

§ 6 (3) normiert, dass Mitarbeiter über die Anordnungen zur Übermittlung und die Folgen der Verletzung des Datengeheimnisses zu belehren sind
§ 6 (3) sets forth that employees need to be told about the instructions for transmission and the consequences of a breach of the data confidentiality.

 

4.      Datenschutzbehörde / Data Protection Authority

Der zweite Abschnitt des Gesetzes (§§ 7 bis 12) befasst sich mit der Datenschutzbehörde.
The second segment of the act (§§ 7 to 12) covers the data protection authority.

5.      Beschwerden an die Datenschutzbehörde / Complaints to the Data Protection Authority

In § 13 findet sich das Recht auf Beschwerde (bei der Datenschutzbehörde) und in § 14 werden begleitende Maßnahmen im Beschwerdeverfahren geregelt und in § 15 wird die Parteienstellung für derartige Verfahren festgelegt. § 16 behandelt das Recht auf Beschwerde an das Bundesverwaltungsgerichdt.
In § 13 the right of complaint (at the data protection authority) is covered and in § 14 accompanying measures in the complaint proceedings are determined and in § 15 the treating of persons as parties in such proceedings is laid down. § 16 covers the right of complaint to the “Bundesverwaltungs-gericht” (Federal Administrative Court).

 

6.      Verbandsklagemöglichkeit / Possibility for a Class Action

In § 17 legt fest, dass Organisationen, die zu Datenschutzzwecken gegründet wurden, die Rechte der natürlichen Personen gem. §§13 bis 16 sowie auch das Recht auf Schadenersatz (§ 18) wahrnehmen können. Dies setzt Art. 80 (1) DSGVO um.
§ 17 determines that originations that have been founded for reasons of data protection are able to exercise the rights of natural persons according to §§ 13 to 16 and the right to claim damages (§ 18). This provision implements Art. 80 (2) GDPR.

7.      Schadenersatz natürlicher Personen / Damages of Natural Persons

§ 18 regelt das Recht der natürlichen Personen, bei Verletzungen den materiellen oder immateriellen Schaden (siehe Art. 82 (1) DSGVO) ersetzt zu erhalten und verweist auf die Bestimmungen des bürgerlichen Rechts. Die Bestimmung schafft einen Klägergerichtsstand beim Landesgericht.   
§ 18 lays down the right of natrual persons to claim material and non-material damages (see Art. 82 (1) GDPR) when a breach occurs and refers to the provisions of the civil law. The provision determines a special forum at the Court of First Instance (Landesgericht) of the claimant.

8.      Verhängung von Geldbußen / Imposition of Monteary Fines

§ 19 beschäftigt sich mit allgemeinen Bestimmungen zur Verhängung von Geldbußen. Nach § 19  DSG (neu) ist es möglich, dass Geldbußen gegen juristische Personen verhängt werden und zwar wegen direkter Begehung der Verletzung durch „Personen in Führungspositionen“ (Abs 1) und Verletzung von Überwachungspflichten, die die Tat durch andere Personen in der Organisation ermöglicht haben (Abs 2). Durch diese Bestimmung werden die Bestimmungen des GmbHG bzw. des AktG zum Internen Kontrollsystem (IKS) gewissermaßen in das DSG „importiert“, und wird letztendlich eine Verbandsverantwortlichkeit geschaffen. Die Möglichkeit der Verhängung von Geldbußen gegen juristische Personen orientiert sich an § 99d Bankwesengesetz.      
§ 19 deals with the general conditions of imposition of (monetary) fines. According to § 19 DPA (new) it is possible, that fines are imposed on legal entities, when “people in leading positions” (para 1) committed the breach or breach by other persons in the organisation has been made possible due to breach of supervisory duties (para 2). By this provision the internal the provisions regarding the supervisory organsiational system of the GmbHG and AktG is imported to the DPA and a responsibility of the organisation is determined. The possibility of the imposition of fines against legal entities is geared to § 99d of the Banking Sector Act (BWG).

§ 19 (5) DSG (neu) legt fest, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können; damit wird die Möglichkeit des Art 83 (7) DSGVO ausgenützt. Wie schon von einigen Kommentatoren angemerkt, betrifft diese jedoch öffentliche Unternehmen nicht, sodass gegen diese Geldbußen verhängt werden können.
§ 19 (5) DPA (new) determines that no fines may be imposed on public authorities and bodies; the possibility of Art 83 (7) GDPR is used.  As several commentators already mentioned this does not apply to public entities and monetary fines may be imposed on them.

 

9.      Datenschutzrat / Data Protection Council

Abschnitt 4 (§§ 20 bis 24) behandelt den Datenschutzrat als Beratungsgremium.
Part 4 (§§ 20 to 24) deals with the Data Protection Council as consulting committee.

10. Datenverarbeitung zu spezifischen Zwecken / Data Protection for Specific Purposes

Abschnitt 5 (§§ 25 bis 29) beschäftigt sich mit “Datenverarbeitung zu spezifischen Zwecken”.
Part 5 (§§ 25 to 29) covers „data processing for specific purposes“.

 

11. Datenverarbeitung im Beschäftigungskontext / Processing in the Context of Employment

Für Unternehmen ist dabei mE § 29 DSG (neu) wesentlich. Diese Bestimmung regelt die Anwendbarkeit der bisherigen Bestimmungen des Arbeitsverfassungsgesetzes (ArbVG) als Vorschrift im Sinne des Art. 88 DSGVO (Datenverarbeitung im Beschäftigungskontext).
For legal entities § 29 DPA (new) is relevant. This provision deals with the applicability of the current provisions of the Labor Relations Act (ArbVG) as rule according to Art. 88 GDPR (processing in the context of employment).

 

12. Bildverarbeitung (Videoüberwachung) / Picture Processing (Video Surveillance)

§§ 30 bis 33 befassen sich mit “Bildverarbeitung” und bringen spezifische Regelungen zu Videoüberwachungen in Österreich, die sich an den bisherigen Regelungen der §§ 50a ff DSG orientieren.
§§ 30 to 33 cover „picture processing“ and deal with specific regulations regarding CCTV in Austria, that are similar the current provisions of §§ 50a ff. DPA.

 

13. Umsetzung der RL 680/2016 / Transformation of Directive 680/2016

Das dritte Hauptstück befasst sich mit der Umsetzung der RL 680/2016. (§§ 34 bis 68)
The third main part covers the transformation of directive 680/2016. (§§ 34 to 68)

14.  Schutz Privater / Protection of Private Persons

§ 69 DSG (neu) führt – basierend auf der bisherigen Bestimmung des § 52 - Tatbestände zum Schutz Privater (siehe Art. 6 Abs. 2 und 3 sowie Art. 23 DSGVO und Kapitel IX der DSGVO iVm Erwägungsgrund 10) ein bzw. behält diese bei, insbes. zB wird die Verletzung des Datengeheimnisses (§ 6) unter Strafe gestellt.
§ 69 DPA (new) implements or keeps – based on the current provision of § 52  – provisions regarding the protection of private persons (see Art. 6 Abs. 2 and 3 and Art. 23 DSGVO and chapter IX of GDPR and remark 10), especially e.g. an imposition of a fine for the breach of data confidentiality (§ 6).

 

15. Datenverarbetiung in Gewinn oder Schädigungsabsicht / Use of Data with the Intention to make a Profit or to Cause Harm

§ 70 beschäftigt sich mit „Datenverarbeitung in Gewinn- oder Schädigungsabsicht“ und entspricht dem bisherigen § 51 DSG.
§ 70 covers “Use of Data with the Intention to make a Profit or to Cause Harm” and corresponds with the current § 51 DPA.

 

 

 

 

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow