Mit einem „Last Minute“-Abänderungsantrag wurde bei der Nationalratssitzung am 20.04.2018 das eigentlich bereits zur Beschlussfassung finalisierte Datenschutz-Deregulierungsgesetz 2018 erneut angepasst. Das LIT Digital Transformation and Law Lab wird die neue Rechtslage umfassend untersuchen.Vorab die wichtigsten Änderungen im Überblick:

• Als wichtigste Änderung wurde das Primat der Verwarnung vor Strafe bei erstmaligem Verstoß beschlossen (§ 11 Datenschutzgesetz [DSG]), welche als klare Handlungsanweisung an die Datenschutzbehörde zu verstehen ist. Unternehmen werden demnach nicht bei erstmaligen oder geringfügigen Verstößen mit der Strafdrohungen des Art 83 DS-GVO konfrontiert sein. Fraglich ist jedoch, ob diese „Erleichterung“ vom Gesetzgeber auch für große, international agierende Konzerne mit Sitz in Österreich, die demnach im Anwendungsbereich des DSG agieren, intendiert war. Die Vorgabe „Verwarnung vor Strafe“ ist nicht nur auf kleine und mittelständische Unternehmen, sondern gleichermaßen auch auf große Datenverarbeitungskonzerne anzuwenden, die mit der hohen Strafdrohung eigentlich getroffen werden sollten.

• Die Rechte der Betroffenen wurden eingeschränkt, weil eine auf Art 15 DS-GVO gestützte Auskunft nur dann erteilt werden muss, wenn dadurch nicht Geschäfts- oder Betriebsgeheimnisse gefährdet sind (§ 4 Abs 6 DSG).

• Eine Bestrafung des Vertreters oder des verantwortlichen Beauftragten gemäß § 9 VStG ist ausgeschlossen, wenn für den selben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wurde.

• Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden (§ 30 Abs 5 DSG).

• Prima vista im Hinblick auf das österreichische Datenschutz-Grundrecht problematisch ist die einfachgesetzliche „Klarstellung“, dass sich alle Bestimmungen der DS-GVO ausschließlich auf natürliche Personen beziehen sollen. Da das Datenschutz-Grundrecht gemäß § 1 DSG nach wie vor unverändert in Geltung steht, ist im normativen Kontext mit der DS-GVO klärungsbedürftig, ob bzw in welchem Ausmaß juristische Personen nach wie vor Träger dieses Grundrechts sind.

• Die DS-GVO soll zu weiten Teilen nicht auf Medienunternehmen anwendbar sein, soweit Verarbeitungen zu journalistischen Zwecken durchgeführt werden.

• Ebenso wurde eine bisweilen geforderte klagsweise Geltendmachung von Schadenersatzansprüchen durch „Datenschutz-NGOs“ nicht etabliert. Solche NGOs können daher nicht im Namen der betroffenen Personen Schadenersatzforderungen geltend machen.

Vorerst sollte daher mit den neuen Regelungen vor allem Unternehmern die Sorge vor dem 25.05.2018, an dem die DS-GVO wirksam wird, etwas genommen sein. Zu klären wird allerdings sein, wie diese neuen Regelungen jeweils konkret zu verstehen sind und ob sie in allen Aspekten mit der DS-GVO vereinbar sind.

Die Autoren Mag. Stefanie Bair und Mag. Philipp Leitner, LL.B. sind Dissertanten am LIT im Bereich Digitale Transformation des Rechts.

[Bild © http://www.emaxit.at/DSGVO, öffnet eine externe URL in einem neuen Fenster]