2. Grundbegriffe und Definitionen des Datenschutzgesetzes - Facultas

2. Grundbegriffe und Definitionen des Datenschutzgesetzes - Facultas

Datenschutz_Umbruch 06.07.2015 10:25 Uhr Seite 5 2. Grundbegriffe und Definitionen des Datenschutzgesetzes 2.1 Entwicklung und Struktur des Datens...

127KB Sizes 0 Downloads 4 Views

Datenschutz_Umbruch

06.07.2015

10:25 Uhr

Seite 5

2. Grundbegriffe und Definitionen des Datenschutzgesetzes 2.1 Entwicklung und Struktur des Datenschutzrechts Das erste Datenschutzgesetz in Österreich war das auf einer Regierungsvorlage aus dem Jahr 19751) basierende Datenschutzgesetz vom 18. Oktober 1978, („DSG“)2), das am 1. 1. 1980 in Kraft trat. Es beinhaltete in § 1 bereits das Grundrecht auf Datenschutz, trennte aber den privaten und den öffentlichen Bereich sehr streng. Das DSG wurde mehrmals novelliert und es war ursprünglich auch geplant, die Anpassung des DSG an die Europäische Datenschutzrichtlinie3) durch eine weitere Novelle des DSG vorzunehmen. In den Vorbereitungen zur Erarbeitung dieser Novelle wurde aber mehrfach der Wunsch geäußert, die Zweiteilung des DSG in einen öffentlichen und einen privaten Bereich aufzugeben. Dieser Wunsch konnte nur in Form eines neuen Datenschutzgesetzes verwirklicht werden, wobei allerdings die Zweigleisigkeit zumindest im Rechtsschutz (Datenschutzbehörde im öffentlichen Bereich, ordentliche Gerichte im privaten Bereich) im Wesentlichen aufrechterhalten wurden. Dieses neue und aktuelle Datenschutzgesetz 20004) („DSG 2000“) versucht, bewährte Regelungsstrukturen des alten DSG grundsätzlich aufrechtzuerhalten.5) Das DSG 2000 trat am 1. 1. 2000 in Kraft. Die Datenschutzrichtlinie für elektronische Kommunikation6) wurde im Telekommunikationsgesetz 2003 (TKG 2003) umgesetzt und regelt spezifische Inhalte im Zusammenhang mit dem Internet, wie Cookies, Logfiles und dem Abhören von Telefongesprächen. Art 4 dieser Richtlinie wurde im Sommer 2013 mit der EU-Verordnung 2013/6117) einer Konkretisierung unterzogen, die detaillierte Regelungen dahingehend beinhaltet, innerhalb welcher Zeiträume die national zuständige Behörde (in Österreich die Datenschutzbehörde) und alle individuell Betroffenen von einer Verletzung des Schutzes personenbezogener Daten („Data Breach“) zu informieren sind. Diese Verordnung bestimmt Mindestinhalte, die solche Verständigungen beinhalten müssen, und beinhaltet in ihren beiden Anhängen 1

) 72 BlgNR 14. GP vom 17. 12. 1975. ) Bundesgesetz vom 18. Oktober 1978 über den Schutz personenbezogener Daten (Datenschutzgesetz – DSG), BGBl 1978/565. 3 ) RL 95/46/EG des Europäischen Parlaments und des Rates v 23. 11. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. 10. 1995, ABl L 1995/281, 31. 4 ) Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl 1999/165. 5 ) RV zum DSG 2000, 1613 BlgNR, XX. GP, Lehner, Das Datenschutzgesetz 2000, in Bauer/Reimer (Hrsg), Handbuch Datenschutzrecht, 121 ff. 6 ) RL 2002/57/EG v 12. 7. 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl L 2002/201, 37. 7 ) VO (EU) 2013/611 der Kommission v 24. 6. 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2013/173. 2

5

Datenschutz_Umbruch

06.07.2015

10:25 Uhr

Seite 1

1. Schnelleinstieg – die wichtigsten Fragen im Überblick Hinweis

Die folgenden Fragen sind die wichtigsten und häufigsten, die sich ein Unternehmen stellen muss, wenn es Datenverarbeitung betreibt. Sie dienen als Hilfe für einen Schnelleinstieg in das entsprechende Kapitel dieses Buches.

1.1 Was beinhaltet die EU-Datenschutzreform und wie kann ich mich darauf vorbereiten? Die EU-Datenschutzreform soll den bestehenden Datenschutz weiterentwickeln und das bestehende österreichische Datenschutzgesetz 2000 durch eine direkt anwendbare EU-Datenschutz-Grundverordnung ersetzen. Die bisherigen Entwürfe zeigen, dass es sich um eine Evolution des bekannten und bestehenden Datenschutzrechts handelt, aber – bis auf wenige Punkte – um keine Revolution. Allerdings werden sich die Strafen dramatisch erhöhen. Die neue Rechtslage wird voraussichtlich frühestens 2017 anzuwenden sein. ➜ Lesen Sie in Kap 2.2., was die EU-Datenschutzreform beinhaltet und wie Sie sich schon jetzt in der Praxis darauf vorbereiten können.

1.2 Besteht Meldepflicht der Datenverarbeitung beim Datenverarbeitungsregister? Nach dem Datenschutzgesetz sind nur ganz bestimmte Standardanwendungen nicht meldepflichtig. Viele Datenanwendungen, insb Datenübermittlungen im Konzern oder Konzerndatenbanken, sind meldepflichtig. Die Meldung muss überdies immer aktuell gehalten werden, worauf viele Unternehmen vergessen, da sie der Meinung sind, dass eine einmalige Meldung beim Datenverarbeitungsregister für immer genügt. ➜ Lesen Sie in Kap 3, wie Sie eine Meldung über DVR-Online einbringen oder abfragen können.

1.3 Ist die Verarbeitung und Übermittlung von Kunden- und Mitarbeiterdaten zulässig? Die Verarbeitung und Übermittlung von Kunden- und Mitarbeiterdaten an Konzerngesellschaften oder andere Unternehmen in Österreich, der EU und weltweit bzw Einspielung dieser Daten in Konzerndatenbanken sind – unabhängig von der Meldepflicht – nur unter bestimmten Voraussetzungen und oft nur mit Zustimmung der Betroffenen zulässig und müssen unter Umständen sogar vorher genehmigt werden. ➜

Lesen Sie dazu weiter in Kap 4 und 5. 1

Datenschutz_Umbruch

06.07.2015

10:25 Uhr

Seite 6

2. Grundbegriffe und Definitionen des Datenschutzgesetzes

Musterverständigungen, die für eine Verständigung der Datenschutzbehörde und der Betroffenen zu verwenden sind. Um mit der technischen Entwicklung nachzukommen, wurde im Jahr 2008 ein Ministerialentwurf der Novellierung des DSG präsentiert.8) Geplant waren Vereinfachungen der Formulierung des Grundrechts, die ausschließliche Kompetenz des Bundes, um die Zersplitterung in Bundes- und Landesdatenschutzgesetze zu beenden, die Einführung eines betrieblichen Datenschutzbeauftragten und die Regelung der Videoüberwachung durch Private. Aufgrund der politischen Situation und der Auflösung des Parlaments wurde diese Novelle nie beschlossen. Im Juni 2009 wurde die Novellierung des DSG nochmals in Angriff genommen.9) Eine Einigung hinsichtlich der geplanten Vereinfachung der Verfassungsbestimmung und der Klärung der Kompetenz konnte aufgrund des Fehlens einer Mehrheit für Verfassungsänderungen nicht erreicht werden. Auffallend war, dass der betriebliche Datenschutzbeauftragte in diesem 2. Entwurf fehlte.10) Dafür kam mit der endgültigen Beschlussfassung überraschend die Data Breach Notification Duty in die DSG-Novelle 2010,11) die mit 1. 1. 2010 in Kraft getreten ist.12) Diese DSG-Novelle brachte erstmals präzise Regeln zur Videoüberwachung in §§ 50a ff,13) eine Stärkung der Position der Datenschutzkommission,14) die Vorbereitung für das elektronische Meldeverfahren beim Datenverarbeitungsregister,15) sowie die vorgenannte Informationspflicht beim Datenmissbrauch (Data Breach Notification Duty) in § 24 Abs 2a.16) Die Einführung des elektronischen Melde- und Abfragesystems DVR-Online, das 2011 bereits im Testbetrieb lief, wurde Ende 2011 durch eine Gesetzesänderung im Budgetbegleitgesetz 2012 (BGBl I Nr 2011/112) aufgrund technischer Probleme auf 1. 9. 2012 verschoben.17) Zur Einführung von DVR-Online wurde begleitend die Datenverarbeitungsregister-Verordnung 2012 (DVRV 2012) erlassen.18) Im Sommer 2012 war eine weitere Novelle19) des Datenschutzgesetzes geplant, mit der Regelungen zum betrieblichen Datenschutzbeauftragen eingeführt werden hätten sollen (DSG-Novelle 2012). Dieser Entwurf liegt aber nach wie vor aus politischen Gründen auf Eis. 8 ) www.parlament.gv.at/PAKT/VHG/XXIII/ME/ME_00182/fnameorig_106408.html (letzter Zugriff: 20. 10. 2011). 9 ) www.parlament.gv.at/PAKT/VHG/XXIV/ME/ME_00062/fnameorig_158877.html (letzter Zugriff: 20. 10. 2011). 10 ) Siehe Näheres in Kap 12. 11 ) Knyrim/Leissler, Die Datenschutzgesetznovelle 2010 – ein Überblick, ecolex 2010, 29; Jahnel, DSG-Novelle 2010; Werdegang und Neuerungen bei den Begriffsbestimmungen, in Jahnel (Hrsg), Datenschutzrecht Jahrbuch 2010, 11 ff. 12 ) BGBl I 2009/133. 13 ) Siehe Näheres in Kap 8. 14 ) Siehe Näheres in Kap 11. 15 ) Siehe Näheres in Kap 3. 16 ) Siehe Näheres in Kap 11.1.3. sowie Knyrim, Die Entwicklung des Datenschutzrechts 2010 bis 2014, Compliance Praxis 4/2012, 20 17 ) Siehe Näheres in Kap 3 sowie Knyrim/Pawelka, Datenverarbeitungsregister Online: Anleitung und erster Erfahrungsbericht, Compliance Praxis 2/2013, 36. 18 ) BGBl II Nr 2012/257, geändert durch die Datenschutzanpassungs-Verordnung 2013, BGBl II 2013/213. 19 ) ME 397 BlgNR 24. GP.

6

Datenschutz_Umbruch

06.07.2015

10:25 Uhr

Seite 7

2.1 Entwicklung und Struktur des Datenschutzrechts

Mit Urteil vom 16.10.2012 wurde Österreich vom EuGH wegen der mangelnden Unabhängigkeit der Datenschutzkommission verurteilt (C-614/10). Diese mangelnde Unabhängigkeit wurde mit der DSG-Novelle 201320) behoben, mit der § 37 Abs 2 und § 38 Abs 2 angepasst wurden, die DSK als selbstständige Dienstbehörde und Personalstelle eingerichtet und das Unterrichtungsrecht des Bundeskanzlers (etwas) eingeschränkt wurde. Weiters wurden mit § 61 Abs 9 die Dienstverhältnisse aller Bediensteten der DSK gesetzlich vom Bundeskanzleramt auf die „neue“ DSK als Personalstelle übernommen. Diese Änderungen traten mit 1. 5. 2013 in Kraft (§ 60 Abs 6a). 2013 wurde auch die Datenschutzangemessenheits-Verordnung unerwartet nach über einem Jahrzehnt novelliert und die Liste der gleichgestellten Drittstaaten mit dieser aktualisiert.21) Weitaus umfangreichere Änderungen brachte die DSG-Novelle 201422) mit sich, mit der die ehemalige Datenschutzkommission in die Datenschutzbehörde umgebaut wurde und Datenschutzverfahren in die Systematik der neuen Verwaltungsgerichtsbarkeit eingebettet wurden. Im Wesentlichen wurden im Zuge dieser Novelle die Bestimmungen des DSG zur Datenschutzkommission gänzlich neu gefasst und mit diesen die „neue“ Datenschutzbehörde eingerichtet (§§ 36 und 37), deren Führung neu besetzt wurde.23) Mit den §§ 38 bis 40 wurden neue Regelungen in Bezug auf das Verfahren in Datenschutzangelegenheiten sowie den Instanzenzug und die Erhebung von Rechtsmitteln eingeführt. In § 39 wurde vorgesehen, dass in Beschwerdeverfahren gegen Bescheide der Datenschutzbehörde oder wegen ihrer Säumnis nach Art 130 Abs 1 Z 1 oder Z 3 B-VG ein Senat zuständig ist (Art 135 Abs 1 B-VG). Aufgrund dieser Regelungen ist seit 1. 1. 2014 nun auch im Datenschutzrecht die Erhebung eines ordentlichen Rechtsmittels, der Beschwerde an das Bundesverwaltungsgericht, sowie eine Säumnisbeschwerde bei Untätigkeit der Datenschutzbehörde möglich. Gegen Erkenntnisse des Bundesverfassungsgerichts kann im Anschluss unter bestimmten Umständen Revision an den VwGH erhoben werden (§ 40 Abs 1).24) Durch Bündelung der Ressourcen der 25 Mitarbeiterinnen und Mitarbeiter und durch deren außergewöhnliches Engagement gelang es der neuen Datenschutzbehörde, seit ihrer Schaffung am 1.1.2014 einen Großteil des Rückstandes im Datenverarbeitungsregister aufzuarbeiten.25) Eine der Herausforderungen des Datenschutzrechts im 21. Jahrhundert ist es, mit der rasanten Entwicklung der Technik mitzuhalten. Das DSG versucht dabei – mit Ausnahme der Videoüberwachung, zu der es mittlerweile einen eigenen Abschnitt gibt26) – möglichst technikneutral zu bleiben, und es zeigt sich, dass bei vielen neuen Entwicklungen – zB

20

) BGBl I Nr 2013/57. ) Änderung der Datenschutzangemessenheits-Verordnung (DSAV-Novelle 2013), BGBl II Nr 2013/150. 22 ) BGBl I Nr 2013/83. Siehe dazu Jahnel, Die DSG-Novellen 2013 und 2014, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2014, 329. 23 ) Das bisherige geschäftsführende Mitglieder der Datenschutzkommission, Dr. Eva SouhradaKirchmayer, wurde Richterin am neu eingerichteten Bundesverwaltungsgericht mit Zuständigkeitsbereich ua für Datenschutzrecht, zur Leiterin der neuen Datenschutzbehörde wurde Frau Dr. Andrea Jelinek ernannt – siehe ein Interview mit ihr in Dako 2014, 2. 24 ) Siehe dazu Kap 11.4. 25 ) Jelinek, Editorial zum Newsletter der Datenschutzbehörde, DSB Newsletter 1/2015, 1. 26 ) Siehe Kap 8. 21

7

Datenschutz_Umbruch

06.07.2015

10:25 Uhr

Seite 8

2. Grundbegriffe und Definitionen des Datenschutzgesetzes

IT-Forensik,27) Social Media,28) Bring Your Own Device,29) Cloud Computing30) oder Big Data,31) die in diesem Buch behandelt werden, die allgemeinen Regeln angewandt werden können, um zu datenschutzkonformen Lösungen zu gelangen. Dasselbe zeigt sich bei den vielen technischen Spezialthemen, die im Rahmen dieses Buches nicht weiter erörtert werden können, wie etwa Smart Metering,32) Pay-As-You-Drive Versicherung,33) Telemetriedaten von Kraftfahrzeugen,34) mit Kameras bestückte Drohnen,35) Kameras im Auto („Dashcams“)36) oder am Körper („Bodycams“), wobei hier allenfalls noch spezielle sektorspezifische oder technische Rechtsgrundlagen zu beachten sind.37) Auch die EU-Datenschutzreform wird diesen Ansatz der Technikneutralität weiter beibehalten, siehe dazu das nächste Unterkapitel.

2.2 Das künftige EU-Datenschutzrecht Der Versuch, das Datenschutzrecht durch die Datenschutzrichtlinie38) europaweit zu harmonisieren, ist nur teilweise geglückt. Die unterschiedliche Umsetzung, Handhabung und Interpretation der Datenschutzrichtlinie in den einzelnen Mitgliedstaaten hat dazu geführt, dass von einer Freiheit des Datenverkehrs – auch wenn eine solche Freiheit natürlich immer unter dem Licht des Grundrechts auf Datenschutz stehen muss – nach wie vor in der EU nicht gesprochen werden kann.39) Massive Kritik von Seiten der Unternehmen als auch von Konsumentenschutzorganisationen an der Richtlinie und deren Umsetzung in den einzelnen Mitgliedstaaten hat dazu geführt, dass die für Datenschutz zuständige Kommissarin Viviane Reding im Jahr 2010 angekündigt hat, die Datenschutzrichtlinie zu über-

27

) Siehe Kap 9.6. ) Siehe Kap 9.5. 29 ) Siehe Kap 9.7. 30 ) Siehe Kap 7.3.2. 31 ) Siehe Kap 10.6. 32 ) Siehe dazu Schrott, Einführung intelligenter Messgeräte („Smart Meter“) im Zusammenhang mit Datenschutz und Datensicherheit, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2014, 163; Knyrim/Trieb, Smart metering under EU data protection law, International Data Privacy Law, 2011, Vol. 1, No. 2, 121; Knyrim/Trieb, Smart Metering NEU – die Änderungen durch die ElWOG Novelle 2013, ecolex 2013, 1123. 33 ) Brandl/Pfaffeneder, Datenschutzrechtliche Aspekte der Pay-As-You-Drive Versicherung, Schrott, Einführung intelligenter Messgeräte („Smart Meter“) im Zusammenhang mit Datenschutz und Datensicherheit, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2014, 191. 34 ) Hänold, Entschließung der 88. Konferenz der Datenschutzbeauftragten zum Datenschutz im Kraftfahrzeug, ZD-Aktuell 2014, 04390. 35 ) Knyrim/Kern, Drohnen – Fliegen im rechtsfreien Raum?, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2014, 207. 36 ) Knyrim/Trieb, Videokameras in Autos – vom Teufelszeug zum Beweismittel, ZD 2014, 547, Thiele, Videoüberwachung aus Fahrzeugen – Datenschutzrechtliches zu Dashcams, in Jahnel (Hrsg), Datenschutzrecht Jahrbuch 2014, 235 sowie den Newsletter Nr 1/2015, 1 der DSBeh. 37 ) Stoklas, Datenschutzrechtliche Hürden beim Einsatz von Schulterkameras durch private Sicherheitsdienste, ZD-Aktuelle 2014, 04388. 38 ) Siehe FN 3. 39 ) Näher dazu: Souhrada-Kirchmayer, Das Gesamtkonzept für den Datenschutz in der Europäischen Union, in Jahnel (Hrsg), Datenschutzrecht Jahrbuch 2011, 33 ff. 28

8

Datenschutz_Umbruch

06.07.2015

10:25 Uhr

Seite 9

2.2 Das künftige EU-Datenschutzrecht

arbeiten.40) Tatsächlich hat Reding am 25. 1. 2012 einen Entwurf für ein völlig neues EUDatenschutzregime vorgelegt.41)

2.2.1 Status und Zeithorizont für die Einführung Der Vorschlag von Reding vom Jänner 2012 wurde in der Folge zunächst intensiv im Europäischen Parlament behandelt. Es kam dabei zu einer in der Geschichte des Europäischen Parlaments einzigartigen Lobbying-Aktion verschiedenster europäischer und globaler Lobbyisten, die dazu führte, dass durch EU-Abgeordnete exakt 3.999 Änderungsanträge zum Entwurf der Europäischen Kommission eingebracht wurden. Daraus wurde – insbesondere unter der Federführung des europäischen Abgeordneten Jan Philipp Albrecht (Vertreter der deutschen „Grünen“-Fraktion im EP) – ein neuer Text mit Änderungsvorschlägen erstellt, der schließlich im Plenum des Europäischen Parlaments am 12.3.2014 mit deutlicher Mehrheit angenommen wurde.42) Seit der Beschluss des Europäischen Parlaments gefasst wurde, waren alle Augen auf den Europäischen Rat gerichtet, der seinerseits zu einem Textvorschlag kommen musste. Bei den Ratsverhandlungen wurde hinter den Kulissen heftig versucht, die politischen Positionen der einzelnen Mitgliedsstaaten einzubringen, wobei vor allem die großen Mitgliedsstaaten wie etwa Deutschland versuchen, ihre Positionen durchzusetzen, um möglichst den bestehenden nationalen Rechtsbestand über den künftigen EU-Text fortschreiben zu können. Am 15. Juni 2015 wurde schließlich im Rat dessen Verhandlungsposition beschlossen und dessen Textversion der EU-Datenschutzreform veröffentlicht.43) Diese vom Rat veröffentlichte Verhandlungsposition zeigt allerdings, dass der Rat den ursprünglichen Entwurf der EU-Kommission offensichtlich an einigen wichtigen Stellen – siehe dazu in den nachfolgenden Unterkapiteln – aufweichen möchte, indem gezielt wichtige Textpassagen gestrichen oder durch teils schwammigere oder andere Textpassagen ersetzt wurden. Dies ist insofern befremdlich, als Vertreter der Mitgliedstaaten – insbesondere aus Deutschland – regelmäßig in der Öffentlichkeit betonen, wie wichtig ihnen ein möglichst hohes Datenschutzniveau sei. Wenn man zu Jahresanfang 2015 auf die Startseite der neu besetzten Europäischen Kommission unter http://ec.europa.eu/index_de.htm ging, stand dort in großen Lettern zu 40 ) Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Gesamtkonzept für den Datenschutz in der Europäischen Union, COM(2010) 609, http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_de.pdf. 41 ) Der Entwurf ist mit sämtlichen Materialien unter http://ec.europa.eu/justice/newsroom/ data-protection/news/120125_en.htm abrufbar. Siehe zum Entwurf für die Verordnung die kritischen Artikel von Hornung, Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf, ZD 3/2012, 99 sowie zahlreiche weitere Beiträge in der ZD seit 2012 und Kuner, The European Commission’s Proposed Data Protection regulation: A Copernican Revolution in European Data Protection Law, Privacy & Security Law Report, 11 PLVR 06, 02/06/2012, weiters auch Knyrim/Trieb, Das künftige EU-Datenschutzrecht –Neue Anforderungen an die unternehmerische Compliance, Compliance Praxis 2/2014, 30 und Knyrim, Entwurf der neuen EU-Datenschutz-Grundverordnung, in Scholz/Funk (Hrsg), Jahrbuch DGRI 2012, 25 (2013). 42 ) Die offizielle Textgegenüberstellung zwischen Kommissionsvorschlag und geändertem Text findet sich auf: http://tinyurl.com/qybcmjb. 43 ) Der Ratstext findet sich unter: http://data.consilium.europa.eu/doc/document/ST-95652015-INIT/en/pdf.

9

Datenschutz_Umbruch

06.07.2015

10:25 Uhr

Seite 10

2. Grundbegriffe und Definitionen des Datenschutzgesetzes

lesen: „Ein Neubeginn: Das Arbeitsprogramm 2015“. Darunter stand: „Die Kommission und ihre Prioritäten“, dabei drei fast bildfüllende Kästchen: Im ersten stand „Arbeitsplätze, Wachstum, Investitionen“, im zweiten „Digitaler Binnenmarkt“ und im dritten „Energieunion und Klimaschutz“. Klickte man auf das zweite Kästchen, kam man auf eine neue Seite, auf der die Ziele aufgelistet standen. Als erstes stand dort „Rascher Abschluss der Verhandlungen über gemeinsame EU-Datenschutzvorschriften“. Zum ersten Mal in der Geschichte der Europäischen Union ist damit Datenschutzrecht zu einer der Top Drei politischen Prioritäten der Kommission geworden. Der neue EU-Kommissionspräsident Jean-Claude Juncker will die Reform 2015 abschließen. Da, wie oben ausgeführt, die Texte von Kommission und Europäischen Parlament schon seit längerem fertig sind, und der Europäische Rat die Verhandlungen über seinen Text am 15. Juni 2015 zu Ende gebracht hatte, begann noch im Juni 2015 der sog „Trilog“ von Kommission, Rat und Parlament, in dem die drei Positionen zu einem endgültigen Text zusammengeführt werden, den dann der Europäische Rat und das Europäische Parlament final beschließen. Ob dies tatsächlich noch 2015 geschehen wird, bleibt abzuwarten, Insider gehen eher vom ersten Halbjahr 2016 aus. Klar ist aber, dass Kommissionspräsident Juncker nicht einem Thema wie Datenschutzrecht ein derartiges politisches Gewicht verleihen würde, wenn er sich nicht ziemlich sicher wäre, dass er die Reform jedenfalls – und auch möglichst in dem von ihm selbst vorgegebenen Zeitrahmen – abschließen kann. Andernfalls würde er sich selbst in seinen politischen Erfolgen in Frage stellen. Dementsprechend viel politischen Druck üben er und die Kommission vermutlich auch auf ein rasches Finalisieren aus. Der ursprüngliche Entwurf der EU-Kommission sah in Art 91 Z 2 vor, dass die Datenschutzreform zwei Jahre nach Beschlussfassung und Publikation im Amtsblatt der Europäischen Union in Kraft tritt, was seitens des Europäischen Parlaments und des Rates nicht abgeändert wurde. Somit würde, wenn die Reform tatsächlich 2015 fertig verhandelt ist, nach derzeitigem Plan das neue EU-Datenschutzrecht Ende 2017/Anfang 2018 in Kraft treten. Den österreichischen Unternehmen und Behörden, die Daten verarbeiten, steht somit nicht mehr viel Zeit zur Verfügung, sich zunächst überhaupt einmal auf ein gutes bis sehr gutes Datenschutzniveau zu bringen, um dann – insbesondere im Hinblick auf die drohenden, horrenden Strafen – die „Perfektion“ zu erreichen, um diesen Strafen ohne Angst in die Augen sehen zu können. In Anbetracht der Tatsache, dass es in Österreich immer noch zahlreiche Unternehmen und öffentliche Einrichtungen gibt, die Datenschutzrecht gar nicht, kaum oder nur dort, wo es „absolut unvermeidbar“ ist, betreiben, wird es für viele ein „böses Erwachen“ geben.

2.2.2 Künftige Strafhöhe Wie im vorigen Absatz gesagt, drohen durch das EU-Datenschutzrecht künftig horrende Strafen. Liegt der Strafrahmen nach dem DSG 2000 derzeit bei lächerlichen € 25.000,– Maximalstrafe,44) sieht der Entwurf der Kommission Geldbußen von € 250.000,– bis € 1 Mio. oder alternativ (je nach dem, was höher ist) im Fall eines Unternehmens bis zu einem Betrag von 0,5 % bis 2 % des weltweiten Jahresumsatzes vor. Dem Europäischen Parlament sind diese Strafen offensichtlich zu niedrig und es forderte daher 44

) Siehe Kapitel 11.4.3.

10