Das Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) wurde in Deutschland gerade auf den Weg gebracht. Nun hat Nachbarland Österreich den Entwurf eines Anpassungsgesetzes (Datenschutzgesetz – DSG) zur Datenschutz-Grundverordnung (DSGVO) vorgelegt, um deren Öffnungsklauseln auszufüllen.
Der Inhalt im Überblick
Grundrecht auf Datenschutz
Der Entwurf betont die hohe Bedeutung, die Österreich dem Datenschutz zumisst, indem an oberster Stelle in § 1 das Grundrecht auf Datenschutz statuiert wird:
„Jede natürliche Person hat Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten auf Auskunft über die Verarbeitung solcher Daten sowie auf Richtigstellung unrichtiger Daten und auf Löschung unzulässigerweise verarbeiteter Daten“ (Abs. 1).“
Eine Kontroverse bestand darin, ob und wie Österreich die von der DSGVO eingeräumten Gestaltungsspiele für die Mitgliedsstaaten insbesondere im Hinblick auf Regelungen zum Datenschutzbeauftragten nutzt.
Datenschutzbeauftragter in Österreich
§ 5 DSG-Entwurf regelt eine Verschwiegenheitspflicht und ein Aussageverweigerungsrecht für Datenschutzbeauftragte – anders als die DSGVO, aber ähnlich wie in § 6 des deutschen DSAnpUG-EU (jedenfalls für Datenschutzbeauftragte in öffentlichen Stellen).
Verschwiegenheitspflicht für den Datenschutzbeauftragten
Der Datenschutzbeauftragte und die für ihn tätigen Personen (z.B. Mitarbeiter des Datenschutzbeauftragten) sind gemäß § 5 Abs. 1 DSG-Entwurf – soweit sie nicht besonderen Geheimhaltungsregelungen unterliegen (z.B. für Ärzte, Rechtsanwälte oder Notare oder für öffentliche Bedienstete allgemein die Amtsverschwiegenheit) – bei der
Erfüllung der Aufgaben in jedem Fall an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Insbesondere sind sie damit auch zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit sie nicht davon durch die betroffene Person entbunden werden.
Aussageverweigerungsrecht
Um das originäre Aussageverweigerungsrecht nicht zu unterlaufen, steht gemäß § 5 Abs. 2 DSG-Entwurf auch dem Datenschutzbeauftragten dieses zu, wenn von dem Aussageverweigerungsrecht Gebrauch gemacht wird. Das heißt, die Entscheidung über die Inanspruchnahme oder Nichtinanspruchnahme dieses Rechts liegt jeweils bei der Person, der das gesetzliche Aussageverweigerungsrecht zusteht. Zugunsten Letzterer bestehende Beschlagnahmeverbote (vgl. § 157 Abs. 2 StPO) müssen auf den Datenschutzbeauftragten erstreckt werden, um eine Umgehung zu verhindern.
Reichweite der Bestellpflicht
Die Gretchenfrage, wie groß die Reichweite einer Pflicht der Unternehmen zur Bestellung eines Datenschutzbeauftragten in Österreich ausfallen wird, scheint nun ziemlich eindeutig zu sein: Soweit erkennbar ergeben sich aus dem österreichischen DSG-Entwurf keine weiter reichenden Verpflichtungen zur Bestellung eines externen Datenschutzbeauftragten.
Offenbar konnten sich die Wirtschaftsverbände durchsetzen, die als Folge einer allzu weit verstandenen Bestellpflicht unzumutbare Belastungen für das Gros der Unternehmen befürchteten.
Beratung oftmals sinnvoll
Aber dieser Sieg könnte sich als trügerisch erweisen. Das künftige Zusammenspiel zwischen europäischen und nationalen Vorschriften trägt zu einer Verkomplizierung des Datenschutzrechts bei. Selbstverständlich müssen auch alle Unternehmen, die nach der DSGVO nicht verpflichtet sind einen Datenschutzbeauftragten zu bestellen, gleichwohl alle datenschutzrechtlichen Anforderungen erfüllen. Dabei tragen dann die Verantwortlichen das Risiko, dass Verstöße gegen die DSGVO mit einem hohen Bußgeld geahndet oder sie anderweitig haftbar gemacht werden. Auch ohne Bestellpflicht ist es für viele Unternehmen deshalb sinnvoll, auf fachkundigen, datenschutzrechtlichen Rat bei der Umsetzung der DSGVO zurückgreifen.
