News Update: Datenschutzgesetz

Aufgrund des stark anwachsenden Projektgeschäfts in den letzten Monaten blieb leider keine Zeit für einen neuen Newsletterbeitrag. Das schlechte Gewissen hat mich geplagt und deshalb nehme ich mir heute Zeit, Sie über aktuelle Entwicklungen beim Datenschutzgesetz zu informieren.

Entwurf zum Datenschutz -Deregulierungsgesetz-2018

Am 22.03.2018 wurden von Abgeordneten des Nationalrats ein Antrag für ein Bundesgesetz zur Änderung des Bundes-Verfassungsgesetzes und des Datenschutzgesetzes eingebracht (Datenschutz-Deregulierungsgesetz 2018).

Die wichtigsten Änderungen betreffen die Herausnahme der juristischen Personen aus dem Grundrecht des Datenschutzes, welches somit ab 25. Mai 2018, EU-konform, nur mehr für natürliche Personen gilt. Ausdrücklich geregelt wird, dass das Grundrecht auf Datenschutz  auch Private verpflichtet. Die bisherigen Verfassungsbestimmungen bzgl Zuständigkeit und räumlichem Anwendungsbereich fallen weg bzw werden durch die entsprechende DSGVO-Bestimmung geregelt.

Bei den Durchführungsbestimmungen soll es zu einem Wegfall des Rechts auf Auskunft (Art 15 DSGVO) kommen, wenn durch die Auskunft die Erfüllung einer dem hoheitlich tätigen Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird. Diese Regelung sieht stark nach der Verankerung des „Amtsgeheimnisses“ im Datenschutzgesetz aus.

Die Befugnisse des Betriebsrats nach dem Arbeitsverfassungsgesetz sollen im Datenschutzgesetz klarer geregelt werden, insbes Überwachungsbefugnisse, Informationspflichten des Betriebsinhabers, zustimmungspflichtige Maßnahmen und Betriebsvereinbarungen sowie  Mitwirkungsrechte in Bezug auf die Personalvertretung bleiben, soweit sie die Verarbeitung personenbezogener Daten im Beschäftigungskontext betreffen, unberührt.

Im nächsten Schritt kommt es zu Beratungen im Verfassungsausschuss. In welcher Form der Antrag tatsächlich Rechtskraft erlangt wird sich im Laufe der nächsten Wochen zeigen.

Entwurf zur Datenschutz-Folgenabschätzung

Ebenfalls im Netz zu finden war ein Entwurf zur Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung („White-List“). Über den Urheber des Entwurfs ist mir derzeit noch nichts bekannt.

Der vorliegende White-List-Entwurf umfasst ua Verarbeitungsvorgänge wie

  • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
  • Personalverwaltung für privatrechtliche Dienstverhältnisse
  • Kundenbetreuung und Marketing für eigene Zwecke
  • Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdienstanbieter und Apotheker
  • Rechts- und Beratungsberufe
  • Organisation von Veranstaltungen.
  • u.a.m

Nach Art 35 Pkt 4 DSGVO ist die Datenschutzbehörde darüber hinaus verpflichtet eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.

Gerichtssachverständige und Datenschutzgesetz

Die Umsetzung des durch die Öffnungsklauseln der DSGVO eingeräumten gesetzgeberischen Gestaltungsspielraums erfolgt in den spezifischen Materiengesetzen, den Datenschutz-Anpassungsgesetzen. Einen der Entwürfe, nämlich den zum Datenschutz-Anpassungsgesetz Justiz 2018, habe ich mir rausgepickt, um hinsichtlich der Stellung von Sachverständigen bei der Verarbeitung von personenbezogenen Daten für ein Gericht, mehr Informationen zu erlangen.

Entsprechende Reglungen finden sich in den Änderungen zum Gerichtsorganisationsgesetz (GOG) des Gesetzesentwurfs. Festgelegt wird, dass die Gerichte im Rahmen ihrer justiziellen Tätigkeit die hiefür erforderlichen personenbezogenen Daten verarbeiten dürfen. Dabei umfasst die justizielle Tätigkeit, alle Tätigkeiten, die zur Erfüllung der Aufgaben in Angelegenheiten der ordentlichen Gerichtsbarkeit erforderlich sind.

Den Erläuterungen zum Gesetzesentwurf ist ferner zu entnehmen, dass auch die Befundaufnahme und Gutachtenserstattung der gerichtlich bestellten Sachverständigen Teil des gerichtlichen Beweisverfahrens ist und somit in diesem Umfang zur justiziellen Tätigkeit der Gerichte gehört. Damit sollten die für Gerichte im Rahmen der justiziellen Tätigkeiten geltenden Ausnahmen, wie keine Aufsicht der Datenschutzbehörde über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen oder keine Benennung eines Datenschutzbeauftragten erforderlich, auch für Sachverständige im Rahmen ihrer Gerichtstätigkeit ihre Wirksamkeit entfalten,

Das Recht auf Auskunft und Information ist laut den Erläuterungen zum Entwurf für Sachverständige nur eingeschränkt gegeben. Ihnen stehen Akteneinsichtsrechte nur soweit zu, als sie auch Parteistellung haben (zB Gebührenbestimmung des Sachverständigen) oder ein rechtliches Interesse dartun können. Die verarbeiteten Daten der Parteien sollen nicht oder nur im unbedingt nötigen Ausmaß für andere Personen zugänglich sein. Hier könnten sich in der Praxis bei der Übersendung von Akteninhalten zur Erstellung von Befund und Gutachten offene Fragen ergeben.

Das eine generelle Zuordnung der Befundaufnahme und Gutachtenserstattung der gerichtlich bestellten Sachverständigen zur justiziellen Tätigkeit der Gerichte nicht allgemein auf Zustimmung stößt, ist einer Stellungnahme der Datenschutzbehörde zum Entwurf zu entnehmen. Die Datenschutzbehörde betont, dass die Frage, ob Sachverständige und Dolmetscher justizielle Tätigkeiten ausüben, sie daher einem Gericht „im Rahmen der justiziellen Tätigkeit“ zuzurechnen sind, im Einzelfall zu klären sein wird.

Es bleibt also spannend. Und wir bleiben am Ball. Versprochen. Und das schlechte Gewissen wird dafür sorgen, dass Versprechen auch gehalten werden.