Datenschutz in Österreich – aus deutscher Sicht

oesterreich 01
Fachbeitrag

Nachdem Grundzüge des österreichischen Datenschutzrechts in diesem Blog vorgestellt wurden, sollen der wesentliche Unterschied zu Deutschland und die Entwicklungen durch die Datenschutz-Grundverordnung näher beleuchtet werden.

Über den Autor

Im Rahmen des internationalen PRIVACY EUROPE-Netzwerkes für Datenschutzspezialisten absolvierte unser Autor ein kurzes Secondment bei der Wiener Kanzlei Preslmayr Rechtsanwälte, um die Verbindung zu intensivieren und den gegenseitigen Wissensaustausch zu fördern. Dr. Klaus zu Hoene, Berater bei der intersoft consulting services AG, arbeitete im Herbst einen Monat in Wien, nachdem Christian Kern im Sommer einen Monat im Hamburger Büro der intersoft consulting services AG verbracht hatte.

Der wesentliche Unterschied

Zunächst möchte ich mich bei Herrn Rechtsanwalt Dr. Rainer Knyrim und bei Rechtsanwalt Dr. Gerald Trieb für den freundlichen Empfang und den intensiven fachlichen Austausch danken.

Wie Christian Kern in seinem Beitrag herausgearbeitet hat, besteht der wesentlich Unterschied zwischen den Rechtsordnungen in der Kontrolle des Datenschutzes. In Österreich setzt man vor allem auf die Meldepflicht bei der Verarbeitung personenbezogener Daten. Soweit eine Datenanwendung (so der österreichische Terminus) meldepflichtig ist, müssen der Zweck der Datenanwendung, die Rechtsgrundlage, die Angabe ob ein Tatbestand der Vorabkontrollpflicht erfüllt ist, die Betroffenen, die verarbeiteten Datenarten, etwaige Übermittlungen und die implementierten Datensicherheitsmaßnahmen an das Datenverarbeitungsregister („DVR“) gemeldet werden. Soweit eine Datenanwendung vorabkontrollpflichtig ist, darf sie erst nach einer Prüfung durch die Datenschutzbehörde in Betrieb genommen werden.

In Deutschland setzt man dagegen auf Eigenkontrolle, weil die Verantwortlichen, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten bestellen muss, der die Verarbeitung kontrolliert. Bestimmte Arten der Verarbeitung sind ebenfalls vorabkontrollpflichtig, aber die Vorabkontrolle wird vom Datenschutzbeauftragten durchgeführt, der ein Protokoll über die Kontrolle erstellt. Der Datenschutzbeauftragte ist Teil des Unternehmens und wird – entgegen einem häufigen Missverständnis im europäischen Ausland – nicht von der Aufsichtsbehörde in das Unternehmen entsandt.

Neue Entwicklungen

Mit der Datenschutz-Grundverordnung hält nun das Institut des Datenschutzbeauftragten auch in Österreich Einzug. Größere Unternehmen erwägen vorwiegend aus Haftungsgründen einen Datenschutzbeauftragten zu bestellen, Behörden müssen einen bestellen. Es war interessant mit den österreichischen Kollegen nachzuvollziehen, welche praktischen Konsequenzen auf Unternehmen und Behörden zukommen. Mit diesen Konsequenzen sind verantwortliche Stellen in Deutschland natürlich eher vertraut.

Im Gegenzug wird die Meldepflicht abgeschafft. Insofern gewinnt auch in Österreich die Eigenkontrolle mehr Bedeutung. Das interne Verfahrensverzeichnis ist ebenfalls ein Mittel der Eigenkontrolle. Wenn Verfahren der Datenverarbeitung dokumentiert werden, verschaffen sich die verantwortlichen Personen im Unternehmen einen Überblick über das Ausmaß und die besonderen Risiken der Verarbeitung. Es entfällt lediglich der Schritt, die Verfahren zu melden, wie auch auf der Homepage der Datenschutzbehörde ausgeführt wird:

„Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig. Ab diesem Zeitpunkt entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde und es obliegt einem datenschutzrechtlichen Auftraggeber (künftig: „dem für die Verarbeitung Verantwortlichen“) unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.“

Bei der Auslegung der neuen Vorschriften stehen die österreichischen Kollegen natürlich vor denselben Herausforderungen wie wir in Deutschland. Wegen der unterschiedlichen Datenschutzsysteme der beiden Länder gibt es hier und da durchaus Unterschiede bei der Sicht auf die Verordnung. Das hat die Diskussion so interessant gemacht.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

2 Kommentare zu diesem Beitrag

  1. Über die Frage, ob die DVR-Meldepflicht abgeschafft wird, hat bereits der Unionsgesetzgeber im Sinne der Abschaffung entschieden, da die DSGVO schlicht und einfach – anders als die RL 95/46/EG – keine entsprechende Meldepflicht mehr vorsieht.

    Dies kann man inzwischen bereits auf der Website der DSB nachlesen: https://www.dsb.gv.at/meldung-beim-dvr

    Zitat: „Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig. Ab diesem Zeitpunkt entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde und es obliegt einem datenschutzrechtlichen Auftraggeber (künftig: „dem für die Verarbeitung Verantwortlichen“) unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.“

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.