Tagungsbericht: DS-GVO ante portas – Zum Stand der Vorarbeiten im Zuge der Datenschutz-Grundverordnung

VO (EU) 2016/679; Datenschutzanpassungsgesetz 2018

Tagungsbericht, Datenschutzrecht, DS-GVO, DSG 2018, Datenschutz-Anpassungsgesetz 2018, Vorarbeiten, Öffnungsklauseln, Entstehungsgeschichte, Datenschutz-Grundverordnung, Recht und IT

1. Der Rahmen

Nach der Tagung im April 2017 zum Thema "Der/die Datenschutzbeauftragte"¹ stand schon zum zweiten Mal die Einführung der DS-GVO² im Mittelpunkt des Thementages "Recht und IT" am 1. 6. 2017. Fast genau ein Jahr vor Geltung der Grundverordnung war die Tagung dem Stand der Vorarbeiten gewidmet.³ Vor vollem Haus wurde die gesamte Bandbreite des Datenschutzes durch die Vortragenden den Anwesenden bewusst gemacht.

Nach der Eröffnung durch Univ.-Prof.ⁱⁿ Mag.^a Dr.ⁱⁿ Elisabeth Staudegger (Universität Graz) und der Begrüßung durch Bezirksvorsteher Peter Mayr aus Graz führte Assoz. Prof. Mag. Dr. Christian Bergauer (Universität Graz) durch den ersten Teil der Tagung. Ao. Univ.-Prof. Dr. Dietmar Jahnel (Universität Salzburg) informierte das zahlreich erschienene Publikum über die Neuerungen der DS-GVO. Im Anschluss wurden die 69 Öffnungsklauseln der Verordnung von Mag. Dr. Lukas Feiler, SSCP, CIPP/E (Baker & McKenzie/Diwok Hermann Petsche Rechtsanwälte LLP & Co KG Wien) erläutert. Einblicke in die legistische Entstehung des Ministerialentwurfs des Datenschutz-Anpassungsgesetzes 2018 gewährte Mag. Dr. Gerhard Kunnert (stv Leiter der Datenschutzlegistik im BKA-Verfassungsdienst), während im zweiten Teil des Tages Mag.^a Dr.ⁱⁿ Ludmila Georgieva (Ständige Vertretung Österreichs bei der EU) den Entstehungsprozess der Verordnung aus Brüsseler Sicht ausführte. Die künftigen Aufgabengebiete der Datenschutzbehörde erläuterte Mag. Dr. Matthias Schmidl (stv. Leiter der DSB). MMag.^a Dr.ⁱⁿ Waltraud Kotschy (Data Protection Compliance Consulting) rundete das hochkarätige Vortragendenpanel ab und beleuchtete in ihrem Vortrag den Wandel, den das Datenschutzrecht bis heute durchgemacht hat. Im Anschluss diskutierten die Vortragenden noch weitere spannende Fragen zum Datenschutz.

2. Neuerungen durch die DS-GVO - Kritik und Anregungen aus den Rechtswissenschaften

Prof. Jahnel erläuterte in seinem Vortrag die diversen Neuerungen der DS-GVO, welche von der Ausgestaltung des Transparenzprinzips bis hin zum Datenschutzbeauftragten tiefgreifende Änderungen enthält. Für den Vortragenden war die genaue Ausgestaltung des Rechtsschutzes von besonderem Interesse, da auch eine parallele Ausführung dessen denkbar sei.

Im Hinblick auf den zum Tagungszeitpunkt in der Diskussion stehenden Ministerialentwurf zum Datenschutz-Anpassungsgesetz 2018⁴ begrüßte Prof. Jahnel die darin enthaltene Verfassungsänderung, welche eine dringend notwendige Kompetenzbereinigung enthält, sowie eine Neugestaltung des Grundrechts auf Datenschutz. Auch die Neugestaltung der Videoüberwachung wurde als gelungen bewertet.

Im Anschluss an den Vortrag diskutierte der Vortragende noch mit den Anwesenden über die Reichweite der Geltung der DS-GVO für juristische Personen. Mit der Entscheidung Schecke ⁵ des EuGH sind gem Art 8 der Charta der Grundrechte der Europäischen Union (GRC) juristische Personen dann geschützt, wenn deren Bezeichnung auf einen Namen einer natürlichen Person zurückgeht. Jahnel merkte an, dass laut VfGH die Berufung auf die GRC direkt möglich und daher diese Entscheidung zu beachten sei. Auf die Frage, ob auch eine Gesellschaft mit zehn und mehr Gesellschaftern diesen Schutz genieße, merkte Prof. Jahnel an, dass dies aus der Entscheidung nicht herauszulesen sei, da es sich um eine Einzelfallentscheidung gehandelt habe. Auch die Frage nach der datenschutzrechtlichen Ausnahme der Anwendung der DS-GVO für das landesrechtliche Abgabenwesen, welche nicht unionsrechtlich geregelt ist, wurde gestellt. Der Vortragende bejahte diese Ausnahme und wies auf die weiterhin bestehende Anwendbarkeit des verfassungsrechtlich verankerten Grundrechts auf Datenschutz hin, welches gerade in solchen Fällen zur Anwendung gelangen soll.

3. Die 69 Öffnungsklauseln der DS-GVO - Regelungsspielräume der nationalen Gesetzgeber ⁶

Dr. Feiler wies eingangs auf den Vorschlag der Europäischen Kommission hin, welcher 26 Durchführungsverordnungen für die Kommission und drei Öffnungsklauseln (ÖK) für die Mitgliedstaaten enthielt. Im Laufe des Verhandlungsprozesses hat sich dieses Verhältnis dramatisch gedreht, sodass am Ende 69 ÖK und zwei Durchführungsverordnungen übrig blieben. Dieser Umstand trage nach Feiler nicht unbedingt zur Rechtsklarheit und Einheitlichkeit bei. Diese ÖK ließen sich unterschiedlich einordnen, so sei eine Kategorisierung in obligatorische und fakultative möglich, aber auch in echte und unechte ÖK.

Eine Gruppe bilden jene Klauseln, die Spielräume für die nationale Gesetzgebung vorsehen. So können die Mitgliedstaaten in Art 4 Z 7 DS-GVO Verantwortliche durch nationale Regelungen festlegen oder gem Art 35 Abs 10 leg cit Ausnahmen von der Pflicht zur Datenschutz-Folgenabschätzung normieren.

Die Verarbeitung von strafrechtlich relevanten Daten durch Private bedürfe gem Art 10 DS-GVO einer eigenen nationalen Rechtsgrundlage, was für den Vortragenden va im Hinblick auf firmeninterne Whistleblower Hotlines großer Konzerne notwendig wäre. Andernfalls könnte Verdachtsmomenten, etwa im Fall der Untreue, nicht nachgegangen werden. Auch im Falle der Videoüberwachung könnten sich hier Schwierigkeiten ergeben, wenn Straftaten aufgezeichnet werden. Gestaltungsmöglichkeiten eröffnet die Grundverordnung auch im Bereich der Betroffenenrechte. Nach Art 17 Abs 3 lit b können Ausnahmen von der Löschverpflichtung für den Fall der Vorratsdatenspeicherung vorgesehen werden.

Der Vortragende erläuterte, dass für die Einwilligung im Fall von Kindern in jedem Mitgliedstaat eine andere Altersgrenze zwischen 13 und 16 Jahren vorgesehen werden kann. Dabei wird die Frage nach dem Aufenthaltsort der jungen Nutzerinnen und Nutzer künftig Probleme bereiten, ebenso wie die Frage, welche konkrete Altersgrenze nun eigentlich anzuwenden ist.

Ebenfalls große Spielräume gewähre die Verordnung bei der Ausgestaltung der Aufsichtsbehörden, wobei jedoch genügend Ressourcen zur Verfügung zu stellen sind. Ein Beispiel hierfür seien die Hausdurchsuchungen, wo die Bandbreite von einer vorherigen Ankündigung bis hin zu streng geheimen und überraschenden Durchsuchungsmaßnahmen reicht.

Besonderes Kopfzerbrechen bereitet laut Dr. Feiler das Arbeitnehmerdatenschutzrecht, das gem Art 88 den Mitgliedstaaten überlassen wurde. Der Verweis auf das ArbVG im ME wird vom Vortragenden kritisch gesehen. Ebenfalls problematisch sei, dass die ÖK ohne Kollisionsrecht eingeführt werden, denn Art 4 der RL 46/95/EG⁷ werde außer Kraft treten. Wenn diese Lücke planmäßig war, dann dürfen die Mitgliedstaaten eigene Regelungen treffen, andernfalls ist keine Regelungskompetenz gegeben.

Aus dem Publikum wurde die Frage nach Erleichterungen für Ein-Personen-Unternehmen gestellt. Der Vortragende antwortete, dass die DS-GVO keine gesonderten Ausnahmen vorsehe und auch der nationale Gesetzgeber keine Gestaltungsmöglichkeiten habe.

4. Was bleibt vom DSG 2000?

Besondere Einblicke hinter die Kulissen der Entstehung des ME zum Datenschutz-Anpassungsgesetz 2018 gewährte Dr. Kunnert, der zunächst die Notwendigkeit eines nationalen Anpassungsgesetzes trotz der unmittelbaren Anwendbarkeit der DS-GVO erläuterte. Einerseits ließen die ÖK viele Fragen offen, andererseits sei die Grundverordnung nicht automatisch vollzugsfähig. Wichtig sei auch die formale Festlegung der Aufsichtsbehörde inkl Detailfragen, wie zB die konkrete Anschrift. Der Vortragende stellte jedoch auch klar, dass die Datenschutzbehörde (DSB) weiterhin als Aufsichtsbehörde fungieren wird.

Für die Klärung der Frage des räumlichen Anwendungsgebiets sieht Dr. Kunnert kein Pouvoir für eine nationale Regelung in der Grundverordnung. In Arbeitsrechtssachen sei bewusst die Minimalvariante gewählt worden. Der Hinweis auf das ArbVG solle vor allem klarstellen, dass mit einer Betriebsvereinbarung Präzisierungen und Konkretisierungen möglich seien. Die Einbindung der RL (EU) 2016/680⁸ (iwF JI-RL) über die Verarbeitung strafrechtlich relevanter Daten durch Behörden in das neue Datenschutzgesetz diene dem Ziel der möglichst einheitlichen Anwendung und Auslegung der in Österreich geltenden Datenschutzbestimmungen.

5. Brussels inside: Die DS-GVO und die Arbeiten dazu aus Brüsseler Sicht

Dr.ⁱⁿ Georgieva erläuterte in ihrem Vortrag den Werdegang der DS-GVO in Brüssel und die Verhandlungen aus der Sicht Österreichs. Österreich hatte sich sehr aktiv in den Verhandlungsprozess eingebracht und schlussendlich als einziger Mitgliedstaat gegen die DS-GVO gestimmt, um ein Zeichen gegen die Absenkung des hohen österreichischen Datenschutzniveaus zu setzen.

Die Ausgangssituation hat sich seit der RL 95/46/EG wesentlich geändert, so gaben Art 8 GRC und Art 16 AEUV einen neuen primärrechtlichen Rahmen für den Schutz personenbezogener Daten in Europa. Auch der alltägliche Umgang mit Daten hat sich seither verändert, Smartphones lösten das Festnetz ab und soziale Medien verbreiteten sich rasant. Da die DS-RL 95/46/EG als nicht mehr adäquat empfunden wurde, wurde laut der Vortragenden schon 2009 die Modernisierung ins Auge gefasst, 2012 lag dann der erste Vorschlag vor. Vor allem die Unternehmen wollten eine modernere Ausgestaltung, weg von als bürokratisch empfundenen Registerpflichten und diesbezüglichem Verwaltungsaufwand. Diesen Wünschen wurde mit dem risikobasierten Ansatz und dem One-stop-shop-Prinzip auch nachgekommen. Im Gegenzug wurde der Strafrahmen erhöht und die Verantwortung für die Daten in die Hände der Unternehmen gelegt. Dr.ⁱⁿ Georgieva erklärte, dass sich aus dem risikobasierten Ansatz die fehlenden Ausnahmen für Klein- und Kleinstunternehmen ergeben, da mit modernen Hoch-Technologien auch kleine Entitäten riesige Mengen an Daten verarbeiten können.

Aus dem Publikum wurde die Frage nach Guidelines der Artikel 29-Datenschutzgruppe zum Thema Zertifizierung gestellt. Die Vortragende wies darauf hin, dass diese bis 2018 veröffentlicht werden sollen.

6. 25. 5. 2018 in der Datenschutzbehörde - eine Simulation

Der Vortrag von Dr. Schmidl beinhaltete eine Zeitreise zum 25. 5. 2018, um die künftigen Aufgabengebiete der DSB zu veranschaulichen. Vorausgesetzt war, dass die Datenschutzbehörde als österreichische Aufsichtsbehörde gesetzlich festgelegt ist. Neu hinzu kämen dabei ua ein formelles Anhörungsrecht in Bundessachen sowie die Genehmigung der von Branchenverbänden ausgearbeiteten Verhaltensregeln gem Art 40 Abs 5 DS-GVO. Zusammengefasst kommen auf die Behörde sieben neue Tätigkeiten zu, fünf sind in der einen oder anderen Form schon bekannt. Zur Bewältigung dieser Umstellung hat sich die DSB Expertise aus einer ähnlich organisierten Behörde geholt - der Finanzmarktaufsicht. Diese hat ebenfalls hohe Strafen zu verhängen, ist bundesweit zuständig, mit Sitz in Wien und operiert mit begrenzten personellen Ressourcen. In diesem Zusammenhang bejahte der Vortragende mit Nachdruck die Frage nach dem Auslangen der personellen Ressourcen für die zukünftigen Aufgabengebiete, da sechs neue Planstellen hinzukämen und die Führung des Datenverarbeitungsregisters wegfalle. Insgesamt zeigte sich im Vortrag Dr. Schmidls, dass die DSB gut vorbereitet und pragmatisch dem 25. 5. 2018 entgegenblickt.

7. Vom DSG zur DS-GVO: Datenschutz im Wandel

Dr.ⁱⁿ Kotschy präsentierte in ihrem Vortrag ihre Thesen zur DS-GVO sowie zur JI-RL. Aus österreichischer Sicht habe die Revolution der DS-GVO in Bezug auf die Rechtsdurchsetzung stattgefunden, jedoch sei das Recht in der Substanz gleich geblieben. Ein zentraler Aspekt sei jedenfalls die Einheitlichkeit des Datenschutzregimes, welches durch die DS-GVO und die JI-RL zu zersplittern drohe. Das DSG 2000 ist ein Ombudsgesetz, das für alle gleichermaßen gilt, inkl der Parlamente, der Justiz und der Geheimdienste. Die Zweiteilung der Rechtsgrundlage sorgte in der WP29-Gruppe für heftige Diskussionen, wobei diese Vorgehensweise in der Erklärung Nr 21 zum Vertrag von Lissabon vorgezeichnet wurde. Unter dem Aspekt der einheitlichen Interpretation plädierte Dr.ⁱⁿ Kotschy dafür, Art 6 Abs 4 DS-GVO als Grundlage für die JI-RL zu sehen; in diesem Sinne wäre die JI-RL dann als Ausführungsinstrument zu Art 6 Abs 4 DS-GVO zu verstehen.

Aus dem Publikum wurde die Frage gestellt, ob die Verknüpfung von DS-GVO und JI-RL nicht dogmatisch ausgeschlossen sei. Die Vortragende antwortete, dass die DS-GVO trotzdem als Wertungsmaßstab berücksichtigt werden solle. Dr.ⁱⁿ Georgieva fügte dem noch hinzu, dass die Abgrenzung zwischen JI-RL und DS-GVO eine strittige Frage sei, jedenfalls solle die Anwendung der Richtlinie restriktiv gehandhabt werden, da diese ein privilegiertes Regime darstelle.

8. Abschlusspanel mit Podiumsdiskussion

Zum Auftakt der Diskussion wurde von Prof. Staudegger die Frage nach dem freien Datenverkehr gestellt, welcher immerhin im Titel der DS-GVO neben dem Schutz der personenbezogenen Daten genannt sei. Der Digitale Binnenmarkt und die Data (driven) Economy seien schließlich ein erklärtes Ziel der EU.

Prof. Jahnel führte dazu aus, dass dahinter die Grundidee des Binnenmarktes stünde, Daten sollten innerhalb der Mitgliedstaaten frei fließen können. Dies sei aber mit der Datenschutz-RL 95/46/EG nicht gelungen, auch die DS-GVO lasse Zweifel an der Erreichung dieses Ziels aufkommen. Für Dr. Feiler kommt darin zum Ausdruck, dass Daten eine Ware seien. Allerdings habe die DS-GVO dazu eine feindliche Haltung, die zum Teil auch als praxisfern bezeichnet werden könne, wie etwa aus dem Koppelungsverbot bei der Einwilligung ersichtlich sei. Dr. Feiler gab zu bedenken, dass dies momentan einen egalitären Effekt auf die Privatsphäre habe, denn jeder könne mit seinen Daten "bezahlen". Geld sei aber eine begrenzte Ressource. Er sei zuversichtlich, dass man in der Praxis Geschäftsmodelle weiterentwickeln werde, um Daten weiterverwenden zu können. Dr.ⁱⁿ Kotschy wies zu Beginn auf die Öffnung des Zweckbindungsgrundsatzes hin. Die RL 95/46/EG hatte den Zweck, die Freiheit des Datenverkehrs zu ermöglichen, da Waren und Daten gemeinsam die Grenze überqueren müssten. Früher habe man eine Genehmigung hierfür gebraucht. Daten als Ersatz für Geld werden von ihr aber kritisch bewertet, im Übrigen müsse man die Auswirkungen der DS-GVO auf große Player abwarten. Für Dr. Schmidl bestehen Ähnlichkeiten zum Wasserrecht, welches einerseits die Nutzung und andererseits den Schutz des Wassers regelt. Der Schutz personenbezogener Daten beruhe auf den Grundrechten, welche jedoch eingeschränkt werden könnten. Das Gleichgewicht müsse von der Behörde gewährleistet werden. Für Dr.ⁱⁿ Georgieva ist klar, dass auf Grundrechte nicht verzichtet werden könne, auch wenn man kein Geld zur Verfügung habe. Der Zwang, seine Privatsphäre zu verkaufen, wurde von ihr ebenfalls kritisch gesehen. Im Übrigen habe Estland den Ratsvorsitz; man versuche gerade, die Freiheit des Datenverkehrs als "5. Freiheit" der EU zu verankern.

Im Anschluss stellte Prof. Staudegger durchaus provokant den Wert des Datenschutzes zur Diskussion. Prof. Jahnel betonte, dass dieser - wenngleich in Teilen kritikwürdig - doch grundsätzlich wertvoll sei. Art 6 DS-GVO sei überaus verständlich formuliert und mit globaler Wirkung ausgestattet. Dr. Feiler sieht den Datenschutz ebenso insgesamt sehr positiv, da damit ein europäisches Zeichen in die Welt getragen werde. Dr.ⁱⁿ Kotschy fügte hinzu, dass die Einheitlichkeit zwar durch die 69 ÖK leide, aber der gemeinsame Vollzug zu gemeinsamen Vorgehensweisen und Angleichungen zwinge. Dr. Schmidl sah den vorläufigen Endpunkt einer seit 40 Jahren andauernden Entwicklung, die DS-GVO fuße schließlich auf der 1981 verabschiedeten Datenschutzkonvention des Europarats. Dr.ⁱⁿ Kotschy ergänzte, dass ihrer Erfahrung nach Europa eine Vorreiter- und Vorbildrolle für andere Staaten einnehme, kommen doch im Europarat aufgrund des Datenschutzes immer mehr Beobachterstaaten wie Japan oder Südkorea hinzu. Und Dr.ⁱⁿ Georgieva wies schließlich auf die Einzigartigkeit von Art 8 GRC in der Welt hin. Im Europarat wurden die Konventionsverhandlungen extra bis zur Fertigstellung der DS-GVO unterbrochen, so überragend sei die Vorbildwirkung. Dies sei auch während der Verhandlungen immer wieder betont worden. Zum Abschluss des Thementages herrschte also unter den Vortragenden jedenfalls bezüglich der globalen Vorbildrolle des Europäischen Datenschutzes, für den ab Mai 2018 eine neue Ära beginnt, ungetrübte Einigkeit.