Die Datenschutzbehörde (DSB) in Österreich

Wer oder was ist die Datenschutzbehörde in Österreich?

Auf der Website der Datenschutzbehörde (www.dsb.gv.at) steht dazu lakonisch: Die Datenschutzbehörde (vormals Datenschutzkommission) sorgt für die Einhaltung des Datenschutzes in Österreich. Mehr erfährt man auf der Startseite nicht.

Der Blick ins Impressum liefert unter Offenlegung gemäß § 25 Mediengesetz für den Newsletter geringfügig mehr Informationen: Die Datenschutzbehörde ist eine Bundesbehörde und ein Staatsorgan der Republik Österreich (§§ 35 ff DSG 2000). Sie ist die unabhängige Datenschutz-Kontrollstelle gemäß Art 8 Abs. 3 GRC und Art 28 Abs. 1 Richtlinie 95/46/EG. Mit anderen Worten, die Informationen auf der Website zur Datenschutzbehörde sind wenig aussagekräftig.

Auf Anfrage hin teilt das Bundeskanzleramt weiters mit: Die Datenschutzbehörde ist eine weisungsfreie Behörde, die auch die innerdienstlichen Aufgaben selbständig ordnet.

Die Aufgaben der Datenschutzbehörde

In Abschnitt 7, §§ 35-38 des DSG 2000 wird die Organisation und Unabhängigkeit der Datenschutzbehörde geregelt.    Das DSG 2000 wurde in Folge der DSGVO mit 25.5.2018 durch das Datenschutzgesetz - DSG ablöst. Dort finden sich erstmals eine ausführlichere Auskunft. In Abschnitt 2 §§18-23 DSG werden die Aufgaben und Befugnisse geregelt.

Die Aufgaben der Datenschutzbehörde laut DSG

§21 Abs. 1-3 regelt die Aufgaben der Datenschutzbehörde (DSB). Was sich hier findet, beschränkt sich im Wesentlichen auf Beratungspflichten gegenüber Nationalrat, Bundesrat, Bundesregierung etc. pp. Dann gibt es Veröffentlichungspflichten. Im Vergleich zu den doch umfangreichen Aufgaben, die der Datenschutzbehörde nach DSGVO zukommen, nimmt sich der Umfang im DSG sehr bescheiden aus.

Die Aufgabe der Datenschutzbehörde laut DSGVO

Um einen Einblick in die umfassenden Aufgaben der Datenschutzbehörde zu bekommen, muss man Art. 57 DSGVO nachschlagen. Hier finden sich folgende zentrale Aufgaben:

Absatz. 1 formuliert (Auswahl): 

Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet:

•   das Überwachen und Durchsetzen der DSGVO
•   die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;
•   im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;
•   die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;
•   auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
•   sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
•   mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;
•   Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
•   maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
•   Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen;
•   eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist;
•   Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten;
•   die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen;
•   die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen;
•   gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen;
•   …

 In den Abschnitten 2-4 wird festgelegt:

•   Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
•   Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich.
•   Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

Die Befugnisse der Datenschutzbehörde

Die Befugnisse der Datenschutzbehörde laut DSG

Umfangreicher als die Aufgaben sind im DSG die Befugnisse in §22 ausgestaltet.  Die Befugnisse erstrecken sich auf Aufklärungsverlangen, Einschau in Datenverarbeitung und Unterlagen, also auf eine Kontrollfunktion, bei der der Verantwortliche, bzw. Auftragsverarbeiter zur Mitwirkung und Unterstützung verpflichtet ist.  Aufschlussreich ist die Formulierung,  dass die Kontrolltätigkeit […] unter möglichster Schonung der Rechte des Verantwortlichen oder des Auftragsverarbeiters und Dritter auszuüben [ist]. (Abs. 1)

Es werden weiters in Abs. 2 das Zutrittsrecht zu den Räumen der Datenverarbeitung und die Möglichkeit Kopien — für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß — anzufertigen, geregelt. (Abs. 2)

Abs. 3 formuliert eine erstaunliche, weitere Regelung:

Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden;

Ausgenommen sind Tatbestände, die mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, sanktioniert sind. (Wortlaut)

Dazu kommen im Abs. 4 sog. Abhilfebefugnisse. Die Datenschutzbehörde kann die Weiterführung der Datenverarbeitung mit Bescheid, Bezug nehmend auf das österr. Verwaltungsverfahrensgesetz, teilweise oder gänzlich untersagen. Kommt ein Verantwortlicher oder Auftragsverarbeiter der Verpflichtung nicht fristgerecht nach, kann die Datenschutzbehörde nach Art. 83 Abs. 5 DSGVO vorgehen.

Der Datenschutzbehörde wird die Möglichkeit eingeräumt, Geldstrafen gegen natürliche und juristische Personen zu verhängen. ( Abs. 5)

Schließlich wird im Abs. 6 das Vertretungsrecht im Fall einer Schadensersatzlage geregelt. Parteistellung zugestanden und der Datenschutzbehörde auf Antrag des Einbringungsgerichts entsprechende Feststellungen mit Bescheid eingeräumt.

Die Befugnisse der Datenschutzbehörde laut DSGVO

Um die Aufgaben erfüllen zu können, werden der Datenschutzbehörde umfangreiche Befugnisse eingeräumt. Diese umfassen Untersuchungsbefugnisse, wie bspw. Datenschutzprüfungen durchzuführen, Zertifizierungen zu überprüfen etc. und sog. Abhilfebefugnisse. Letztere erstrecken sich vom bloßen Warnen, über ein Verwarnen zur Anweisung rechtswidriges Verarbeitungsvorgänge u.a. zu unterlassen, bis hin zur vorübergehenden oder gar endgültigen Beschränkung der Verarbeitung, bzw. gar einem Verbot.

Dazu kommen Genehmigungsbefugnisse und Beratungsbefugnisse.

In Abs. 5 sind die EU Mitgliedsstaaten aufgefordert, Rechtsvorschriften zu erlassen, die der Aufsichtsbehörde erlauben, Verstöße gegen die DSGVO den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen. Gerade in Bezug auf diesen Abschnitt darf man gespannt darauf sein, ob sich das davon abweichende DSG in Österreich letztlich als EU-rechtskonform erweisen wird.

Die Datenschutzbehörde in Österreich ist herausgefordert

Als besondere Herausforderung für die Datenschutzbehörde in Österreich dürften die Zumutungen des Art. 57 (1) DSGVO gelten. Bislang ist nicht ersichtlich, dass die Datenschutzbehörde sonderliche Anstrengungen unternimmt, um die DSGVO bekannt zu machen, Verantwortliche und Auftragsverarbeiter zu sensibilisieren und Informationen für betroffene Unternehmen, Organsiationen oder Vereine bereitszustellen.

Es stellt sich in diesem Zusammenhang auch die Frage, wer für entsprechende Versäumnisse der Datenschutzbehörder bei der Erfüllung des gesetzlichen Auftrags Verantwortung trägt, bzw. zur Verantwortung gezogen werden kann.

Es bestehen berechtigte Zweifel, ob die Datenschutzbehörde wie bislang mit 27 Mitarbeiter*innen ein Auslangen finden wird, um die deutlich umfangreicheren Aufgaben, die ihr durch die DSGVO zukommen, erfüllen zu können. Es gibt aber keine Informationen darüber, wie die Datenschutzbehörde das zu bewältigen denkt.

Für Unternehmen stellt sich daher die Frage, wie zügig Beschwerden künftig bearbeitet und entschieden werden können, d.h. wie effektiv und effizient die Anwendung der DSGVO durch die Aufsichtsbehörde (Datenschutzbehörde) erfolgen wird.

Folgende Beiträge könnten Sie auch interessieren:

Der Gesetzestext der DSGVO, EU-Lex