Ende Mai 2018 tritt die neue EU-Datenschutz Grundverordnung in Kraft und mit ihr auch die Änderungen des österreichischen Datenschutzgesetzes. Das neue Datenschutzrecht zielt auf den besseren Schutz personenbezogener Daten im digitalen Zeitalter. Zum neuen Datenschutzrecht veranstaltete der Fachbereich Öffentliches Recht, Völker- und Europarecht der Universität Salzburg am 1. Februar 2018 in der Salzburger Edmundsburg eine Tagung mit Vortragenden aus Wissenschaft und Praxis.

Erörtert wurden dabei sowohl Grundlagen als auch wesentliche Einzelfragen der teils neuen, teils erweiterten Verpflichtungen.

Bis zum 24. Mai 2018 gelten die derzeitigen Regelungen des österreichischen Datenschutzgesetzes 2000. Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DS- GVO) in Kraft und mit ihr auch die Änderungen des österreichischen Datenschutzgesetzes (DSG). Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen Geldstrafen in der Höhe von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des weltweiten Jahresumsatzes.

Die Datenschutz-Grundverordnung ist zwar als EU-Verordnung in jedem Mitgliedsland unmittelbar anwendbar, sie enthält aber Öffnungsklauseln und lässt dem nationalen  Gesetzgeber gewisse Spielräume. Dafür wurde in Österreich das Datenschutz-Anpassungsgesetz 2018, eine Novelle des Datenschutzgesetzes 2000, beschlossen.

Daten sind das neue Gold, die neue Währung. Viele Dienstleistungen und Produkte sind heute nur mehr zu bekommen, wenn man dafür Daten überlässt. Bei Google, Facebook oder Amazon ist das besonders augenfällig. Zur Bewältigung der Fragen, die sich aus der fortschreitenden Digitalisierung ergeben, war ein neuer geeigneter Gesetzesrahmen erforderlich. Darauf verwies der Rechtswissenschaftler und Vizerektor der Universität Salzburg Professor Rudolf Feik in seinen Begrüßungsworten.   Mit dem Grundrecht auf Datenschutz beschäftigten sich Professor Reinhard Klaushofer und Professor Benjamin Kneihs (beide Universität Salzburg). Was sind die unterschiedlichen Schutzbereiche und wo liegen die Schranken? Ist das Grundrecht auf Datenschutz auf natürliche Personen beschränkt oder gilt es auch für juristische Personen? Das waren diskutierte Fragen.

Professor Dietmar Jahnel (Universität Salzburg) gab einen allgemeinen Überblick über das künftig geltende Datenschutzrecht. Obwohl er es eindeutig als Verbesserung gegenüber der derzeitigen Gesetzeslage betrachtet, ortet er etliche Problempunkte, etwa in Begriffsbest

immungen. Es fehlt zum Beispiel eine Definition dafür, was mit „umfangreicher“ Verarbeitungstätigkeit gemeint ist. Genau dieses Kriterium aber macht einen wesentlichen Unterschied bei der Umsetzung der neuen rechtlichen Schritte aus. Ein Kernelement des neuen Datenschutz-Regimes sind die erweiterten Informationspflichten.

Betroffene Personen müssen in Zukunft besser über die Nutzung ihrer Daten informiert werden. Denn nur wenn bekannt ist, was mit den eigenen Daten passiert, können Gegenmaßnahmen ergriffen und Betroffenenrechte ausgeübt werden. Professor Daniel Ennöckl (Universität Wien) legte Art, Zeitpunkt und Umfang der Informationsverpflichtung dar.  Völlig neu ist ab Mai 2018 im Datenschutzrecht die Verpflichtung zur Führung eines Datenverarbeitungsverzeichnisses. Wer muss ein Verzeichnis führen? Was muss ein Verzeichnis enthalten? Wie muss es aussehen? Welche Folgen kann die Nichteinhaltung haben? Zu diesen Fragen referierte Universitätsassistent Sebastian Krempelmeier (Universität Salzburg).

Er gelangte zu dem Ergebnis, dass die Verzeichnungsführungspflicht nicht nur Behörden, öffentliche Stellen und große Unternehmen trifft, sondern auch für die allermeisten kleinen und mittleren Unternehmen (KMUs) gelten werde. Neu in der  EU-Datenschutz-Grundverordnung ist auch das Instrument der Datenschutz- Folgenabschätzung. Das heißt, es ist zu prüfen, ob und in welchem Ausmaß eine (beabsichtigte) Verarbeitung von personenbezogenen Daten Risiken für die Rechte und Freiheiten der Betroffenen zur Folge hat. Wann besteht ein hohes Risiko im Sinne der Datenschutz-Grundvorordnung und damit die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung? Kriterien dafür arbeitete Dr. Waltraud Kotschy vom Ludwig Boltzmann Institut für Menschenrechte in Wien heraus.

Einen technischen Blick auf Datensicherheitsmaßnahmen warf Professor Bernhard Collini- Nocker vom Fachbereich Computerwissenschaften der Universität Salzburg. Dabei lieferte er Einblicke in die IT-Sicherheitsforschung. Die EU-Datenschutz-Grundverordnung sieht in gewissen Fällen die Benennung eines betrieblichen Datenschutzbeauftragten zwingend vor.  Seine Aufgabe ist es, auf die Einhaltung des Datenschutzes einzuwirken. Er ist in der Ausübung seiner Fachkunde weisungsfrei und unabhängig von Vorgesetzten. Wann konkret aber muss ein Datenschutzbeauftragter bestellt werden? Trifft diese Pflicht nur Behörden und öffentliche Stellen, die personenbezogene Daten verarbeiten oder auch private Unternehmen?

Zu diesen Fragen brachte DI Dr. Bernhard Horn von der Österreichischen Nationalbank seine praktischen Kenntnisse und Erfahrungen als Datenschutzexperte der Österreichischen Nationalbank ein. Abschließend beschäftigte sich Dr. Andrea Jelinek, die Leiterin der Datenschutzbehörde, mit den Sanktionen, die bei Verletzungen der künftigen datenschutzrechtlichen Verpflichtungen drohen. Sie reichen von Verwarnungen bis hin zu hohen Geldbußen, im Extremfall bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des weltweiten Jahresumsatzes. Eine Vorabliste von Verstößen samt dazugehörigen Strafhöhen werde es seitens der Datenschutzbehörde nicht geben, sagte Jelinek. Eine solche Liste wäre der Einhaltung des Datenschutzrechts abträglich.  

Die Veranstaltung „Das neue Datenschutzrecht“ in der Salzburger Edmundsburg war der Auftakt einer künftig alljährlichen Veranstaltung des Fachbereichs Öffentliches Recht, Völker- und Europarecht der Universität Salzburg. Im Rahmen seines Profils „Räume und Identitäten“ forscht der Fachbereich in den nächsten Jahren verstärkt zu aktuellen  Problemen des gesellschaftlichen und wirtschaftlichen Lebens.  

Das Publikum setzte sich aus VertreterInnen der Landes- und Gemeindeverwaltung, der Gerichtsbarkeit, führender Rechtsanwaltskanzleien, namhafter Unternehmen und diverser Interessenvertretungen zusammen. Die Tagung war bis auf den letzten Platz ausgebucht. Die Ergebnisse werden in einem Sammelband veröffentlicht.  

Univ. Prof. Dr. Benjamin Kneihs
Leiter des Fachbereichs Öffentliches Recht, Völker- und Europarecht
Universität Salzburg | Kapitelgasse 5-7 | A-5020 Salzburg
t: +43 662 8044 3611
E-Mail an Univ. Prof. Dr. Benjamin Kneihs