Informationen und Tipps zur EU Datenschutz Grundverordnung (DSGVO)

Die Datenschutzbehörde (DSB) in Österreich

Sep 13, 2017/Conrad Lienhardt/DSGVO

Wer oder was ist die Datenschutzbehörde in Österreich?

Auf der Website der Datenschutzbehörde (www.dsb.gv.at) steht dazu lakonisch: Die Datenschutzbehörde (vormals Datenschutzkommission) sorgt für die Einhaltung des Datenschutzes in Österreich. Mehr erfährt man auf der Startseite nicht.

Der Blick ins Impressum liefert unter Offenlegung gemäß § 25 Mediengesetz für den Newsletter geringfügig mehr Informationen: Die Datenschutzbehörde ist eine Bundesbehörde und ein Staatsorgan der Republik Österreich (§§ 35 ff DSG 2000). Sie ist die unabhängige Datenschutz-Kontrollstelle gemäß Art 8 Abs. 3 GRC und Art 28 Abs. 1 Richtlinie 95/46/EG. Mit anderen Worten, die Informationen auf der Website zur Datenschutzbehörde sind wenig aussagekräftig.

Auf Anfrage hin teilt das Bundeskanzleramt weiters mit: Die Datenschutzbehörde ist eine weisungsfreie Behörde, die auch die innerdienstlichen Aufgaben selbständig ordnet.

Die Aufgaben der Datenschutzbehörde

In Abschnitt 7, §§ 35-38 des DSG 2000 wird die Organisation und Unabhängigkeit der Datenschutzbehörde geregelt.    Nachdem das DSG 2000 seine Wirksamkeit mit 24.5.2018 verlieren wird, scheint der Blick in das Datenschutzgesetz - DSG, das jenes ablösen wird, zielführender. In Abschnitt 2 §§18-23 DSG werden jene Aufgaben und Befugnisse geregelt, mit denen sich die Datenschutzbehörde spätestens ab 25.5.2018 konfrontiert sehen wird.

Die Aufgaben der Datenschutzbehörde laut DSG

§21 Abs. 1-3 regelt die Aufgaben der Datenschutzbehörde (DSB). Was sich hier findet, beschränkt sich im Wesentlichen auf Beratungspflichten gegenüber Nationalrat, Bundesrat, Bundesregierung etc. pp. Dann gibt es Veröffentlichungspflichten. Im Vergleich zu den doch umfangreichen Aufgaben, die der Datenschutzbehörde nach DSGVO zukommen, nimmt sich der Umfang im DSG sehr bescheiden aus.

  1. Die Datenschutzbehörde berät die Ausschüsse des Nationalrates und des Bundesrates, die Bundesregierung und die Landesregierungen auf deren Ersuchen über legislative und administrative Maßnahmen. Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen sowie von Verordnungen im Vollzugsbereich des Bundes, die Fragen des Datenschutzes unmittelbar betreffen, anzuhören.
  2. Die Datenschutzbehörde hat die Listen nach Art. 35 Abs. 4 und 5 DSGVO im Wege einer Verordnung im Bundesgesetzblatt kundzumachen.
  3. Die Datenschutzbehörde hat die nach Art. 57 Abs. 1 lit. p DSGVO festzulegenden Kriterien im Wege einer Verordnung kundzumachen. Sie fungiert zugleich als einzige nationale Akkreditierungsstelle gemäß Art. 43 Abs. 1 lit. a DSGVO.

Die Aufgabe der Datenschutzbehörde laut DSGVO

Um einen Einblick in die umfassenden Aufgaben der Datenschutzbehörde zu bekommen, muss man Art. 57 DSGVO nachschlagen. Hier finden sich folgende zentrale Aufgaben:

Absatz. 1 formuliert (Auswahl): 

Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet:

  •   das Überwachen und Durchsetzen der DSGVO
  •   die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;
  •   im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;
  •   die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;
  •   auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
  •   sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
  •   mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;
  •   Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
  •   maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
  •   Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen;
  •   eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist;
  •   Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten;
  •   die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen;
  •   die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen;
  •   gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen;
  •  

 In den Abschnitten 2-4 wird festgelegt:

  •   Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
  •   Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich.
  •   Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

Die Befugnisse der Datenschutzbehörde

Die Befugnisse der Datenschutzbehörde laut DSG

Umfangreicher als die Aufgaben sind im DSG die Befugnisse in §22 ausgestaltet.  Die Befugnisse erstrecken sich auf Aufklärungsverlangen, Einschau in Datenverarbeitung und Unterlagen, also auf eine Kontrollfunktion, bei der der Verantwortliche, bzw. Auftragsverarbeiter zur Mitwirkung und Unterstützung verpflichtet ist.  Aufschlussreich ist die Formulierung,  dass die Kontrolltätigkeit […] unter möglichster Schonung der Rechte des Verantwortlichen oder des Auftragsverarbeiters und Dritter auszuüben [ist]. (Abs. 1)

Es werden weiters in Abs. 2 das Zutrittsrecht zu den Räumen der Datenverarbeitung und die Möglichkeit Kopien — für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß — anzufertigen, geregelt. (Abs. 2)

Abs. 3 formuliert eine erstaunliche, weitere Regelung:

Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden;

Ausgenommen sind Tatbestände, die mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, sanktioniert sind. (Wortlaut)

Dazu kommen im Abs. 4 sog. Abhilfebefugnisse. Die Datenschutzbehörde kann die Weiterführung der Datenverarbeitung mit Bescheid, Bezug nehmend auf das österr. Verwaltungsverfahrensgesetz, teilweise oder gänzlich untersagen. Kommt ein Verantwortlicher oder Auftragsverarbeiter der Verpflichtung nicht fristgerecht nach, kann die Datenschutzbehörde nach Art. 83 Abs. 5 DSGVO vorgehen.

Der Datenschutzbehörde wird die Möglichkeit eingeräumt, Geldstrafen gegen natürliche und juristische Personen zu verhängen. ( Abs. 5)

Schließlich wird im Abs. 6 das Vertretungsrecht im Fall einer Schadensersatzlage geregelt. Parteistellung zugestanden und der Datenschutzbehörde auf Antrag des Einbringungsgerichts entsprechende Feststellungen mit Bescheid eingeräumt.

Die Befugnisse der Datenschutzbehörde laut DSGVO

Um die Aufgaben erfüllen zu können, werden der Datenschutzbehörde umfangreiche Befugnisse eingeräumt. Diese umfassen Untersuchungsbefugnisse, wie bspw. Datenschutzprüfungen durchzuführen, Zertifizierungen zu überprüfen etc. und sog. Abhilfebefugnisse. Letztere erstrecken sich vom bloßen Warnen, über ein Verwarnen zur Anweisung rechtswidriges Verarbeitungsvorgänge u.a. zu unterlassen, bis hin zur vorübergehenden oder gar endgültigen Beschränkung der Verarbeitung, bzw. gar einem Verbot.

Dazu kommen Genehmigungsbefugnisse und Beratungsbefugnisse.

In Abs. 5 sind die EU Mitgliedsstaaten aufgefordert, Rechtsvorschriften zu erlassen, die der Aufsichtsbehörde erlauben, Verstöße gegen die DSGVO den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen. Gerade in Bezug auf diesen Abschnitt darf man gespannt darauf sein, ob sich das davon abweichende DSG in Österreich letztlich als EU-rechtskonform erweisen wird.

Die Datenschutzbehörde in Österreich ist herausgefordert

Als besondere Herausforderung für die Datenschutzbehörde in Österreich dürften die Zumutungen des Art. 57 (1) DSGVO gelten. Bislang ist nicht ersichtlich, dass die Datenschutzbehörde sonderliche Anstrengungen unternimmt, um die DSGVO bekannt zu machen, Verantwortliche und Auftragsverarbeiter zu sensibilisieren und Informationen für betroffene Unternehmen, Organsiationen oder Vereine bereitszustellen.

Es stellt sich in diesem Zusammenhang auch die Frage, wer für entsprechende Versäumnisse der Datenschutzbehörder bei der Erfüllung des gesetzlichen Auftrags Verantwortung trägt, bzw. zur Verantwortung gezogen werden kann.

Es bestehen berechtigte Zweifel, ob die Datenschutzbehörde wie bislang mit 27 Mitarbeiter*innen ein Auslangen finden wird, um die deutlich umfangreicheren Aufgaben, die ihr durch die DSGVO zukommen, erfüllen zu können. Es gibt aber keine Informationen darüber, wie die Datenschutzbehörde das zu bewältigen denkt.

Für Unternehmen stellt sich daher die Frage, wie zügig Beschwerden künftig bearbeitet und entschieden werden können, d.h. wie effektiv und effizient die Anwendung der DSGVO durch die Aufsichtsbehörde (Datenschutzbehörde) erfolgen wird.

 
fokus-signatur

Dr. Conrad Lienhardt
Unternehmensberater
Schwerpunkt: Kundenzentriertes, rechtskonformes Marketing

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
E-Mail

 

Der Gesetzestext der DSGVO, EU-Lex

 

DSGVO Assessment

Reduzieren Sie Ihr Risiko. Sorgen Sie vor und nutzen Sie unser Angebot eines

DSGVO Assessments

Für weitere Auskünfte und Informationen erreichen Sie uns telefonisch unter

0699/15 31 67 76   oder  per E-Mail

Hinweis:

Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.

Datenschutz-Grundverordnung (DSGVO / GDPR) - fokus.genba unterstützt Sie - Compliance 

Tags: DSBDatenschutzbehördeÖsterreich

2 Kommentare

Benutzerwertungen
5 Stern:
 
 (0)
4 Stern:
 
 (2)
3 Stern:
 
 (0)
2 Stern:
 
 (0)
1 Stern:
 
 (0)
2 Bewertungen
Durschn. Benutzerwertung:
4.0 stars
(4.0)

Kommentar von: Robert Sachsinger [Besucher]

Robert Sachsinger
4 stars

Wenn zu den Aufgaben der österr. Datenschutzbehörde die Beratumg des nationalen Parlaments, der Regierung u.a. über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung zählt, dann bin ich doch sehr verwundert, dass sich die Datenschutzbehörde zu den wohl EU rechtswidrigen Gesetzesnovellen nicht zu Wort meldet.
Wo bleibt die Unabhängigkeit der Behörde, wenn sie nur zuliefert und kuscht?

Könnten Sie dazu diesen Beitrag updaten oder einen neuen Beitrag verfassen?

Kommentar von: Fritz Niedermühlbüchler [Besucher]

Fritz Niedermühlbüchler
4 stars

Ein interessanter Artikel.
Soweit ich weiß, ist die Datenschutzbehörde in Österreich eine eher sehr kleine Behörde von etwa zwei Dutzend MitarbeiterInnen. Ich kann mir nicht vorstellen, dass das künftig wesentlich mehr werden. Wie bitte will man dort dieser Fülle an Aufgaben und der Verantwortungen entsprechen und gerecht werden? Das ist die programmierte Überforderung.
Ich befürchte, dass es wie bisher weitergehen wird. Jedenfalls bin ich gespannt.


Formular wird geladen...