Knapp vor dem datenschutzrechtlichen D-Day hat die bereits dritte Sammelnovelle den Nationalrat passiert. Das Paket mit 100 (!) Gesetzesanpassungen erntete wieder große Kritik von der Opposition. Ein Hauptpunkt war, dass wie in Österreich seit Jahrzehnten leider immer wieder gelebt, aus Anlass der Gesetzgebung auch materienfremde Themen mit geregelt wurden. Nach einem Abänderungsantrag der Opposition wurden letztendlich die umstrittenen, nicht datenschutzrelevanten Gesetzespassagen entfernt. Neben den formalen Kritikpunkten wurde darüber hinaus auch die Zurverfügungstellung von Gesundheitsdaten im Zusammenhang mit ELGA kritisiert. Dieser Kritikpunkt ist in dieser Härte nicht nachvollziehbar, da durch die Änderung des Gesundheitstelematikgesetzes 2012 keine neuen Übermittlungsmöglichkeiten geschaffen wurden. Die Novelle schreibt lediglich die bestehenden, erheblichen öffentlichen Interessen als Rechtsgrundlage für die Verwendung von ELGA fest und passt die Terminologie des Gesetztes damit an die DSGVO an.

Zusätzlich wurden auch – zu Recht – der durch die Umsetzung der und Vorbereitung auf die DSGVO für Kleinunternehmer entstehende Aufwand sowie die allgemeine Rechtsunsicherheit kritisiert. Diese beiden Punkte stehen angesichts der Europäischen Verordnung nicht im Einflussbereich des österreichischen Parlaments. Dieses hat freilich aber im Umsetzungsprozess der DSGVO selbst nicht gerade geglänzt und damit der österreichischen Wirtschaft das Leben schwerer gemacht, als notwendig (siehe etwa hier und hier). So gesehen muss das fast als Selbstkritik verstanden werden.

Allgemein beschäftigt sich die Sammelnovelle mit den Bereichen Gesundheit, Finanzen und Verkehr. Der Großteil der Änderungen stellt sicher, dass auch in den nationalen Gesetzen Begriffe entsprechend den Definitionen des Art 4 DSGVO verwendet werden und ersetzt die alten Verweise auf das DSG 2000 durch die entsprechenden Stellen in der Verordnung. Die Novelle umfasst dabei eine Reihe von Materiengesetzen, die vom Anti-Doping-Gesetz bis zum Mutterschutz reichen. Bestimmungen über die Haushaltführung des Bundes, das Führerscheinregister und die Transparenzdatenbank werden DSGVO-konform umgestaltet. In Zeiten der allgemeinen Verunsicherung rund um die weitere Zulässigkeit von öffentlichen Registern – wie auch dem Whois Verzeichnis der nic.at – ist es eine Wohltat, dass das Patentregister ausdrücklich weiterhin uneingeschränkt einsehbar bleiben soll. Der Entwurf stellt darüber hinaus ebenso sicher, dass Angehörige der Gesundheits- und Pflegeberufe weiterhin notwendige Aufzeichnungen und Dokumentationen führen können. Insgesamt ist die inhaltliche Kritik an der Sammelnovelle also nicht wirklich überzeugend. Tatsächlich wurden vor allem technische Themen-Anpassungen vorgenommen.

Von allen Seiten wurde das „beraten statt strafen“ Prinzip begrüßt, das bei erstmaliger Verfehlung noch keine gravierenden Maßnahmen vorsieht. Die dafür zuständige Datenschutzbehörde wird von jetzt an nicht nur für den Schutz der Daten verantwortlich sein, sondern im Sinne einer einheitlichen Anwendung zu einer Aufsicht- und Strafbehörde zusammengefasst.

In Sachen Kompetenz bekommt auch das Außenministerium weitere Agenden: die gemeinsame Verarbeitung personenbezogener Daten durch den Integrationsfonds, das AMS und für die Grundversorgung von Flüchtlingen wird ihm zugeordnet.

Weitere Änderungen durch das Datenschutz-Deregulierungs-Gesetz 2018

Zusätzlich zu den Anpassungen in den Materiengesetzen wurden auch durchaus bemerkenswerte Änderungen im Datenschutzanpassungsgesetz vorgenommen. Die wichtigste betrifft die Verankerung der Ausnahme für Medienunternehmen. Wie bereits von der Regierung angekündigt, finden durch die neue Bestimmung viele Kapitel der DSGVO auf Verarbeitung von personenbezogenen Daten zu journalistischen Zwecken keine Anwendung. Zusätzlich ist die Datenschutzbehörde ausdrücklich angewiesen, den Schutz des Redaktionsgeheimnisses nach § 31 MedienG gegenüber den Medieninhabern, Herausgebern und weiteren Medienmitarbeitern zu beachten. Dadurch soll vor allem investigativer Journalismus geschützt werden.

Darüber hinaus findet sich das bereits viel diskutierte “beraten statt strafen” Prinzip nun auch im DSG selbst wieder. Die neue Bestimmung gibt vor, dass die Datenschutzbehörde insbesondere bei erstmaligen Verstößen von der Möglichkeit der Verwarnung Gebrauch zu machen hat. Interessanterweise wurde durch den neuen Paragraphen aber ein anderer Verweis überschrieben: Erst bei direktem Vergleich des alten und neuen Textes fällt auf, dass damit der inhaltlich unrichtige Stehsatz, dass das Arbeitsverfassungsgesetz, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Beschäftigtenkontext im Sinne der DSGVO ist, überschrieben wurde. Tatsächlich enthält das ArbVG aber keine datenschutzrechtlichen Bestimmungen. Daher ist der ins Leere führende Verweis tatsächlich entbehrlich. Spannender ist die Frage, ob mit der Löschung das Thema Arbeitnehmerdatenschutz erledigt ist, oder hier speziellere Gesetzesinitiativen zu erwarten sind.

23.5.2018, Autoren: Axel Anderl, Felix Hörlsberger, Nino Tlapak, Dominik Schelling / www.dorda.at