Die Nebel lichten sich ...
Das Datenschutz-DeregulierungsG 2018 ändert das DSG noch bevor es am 25.05.2018 in Kraft tritt in einigen Punkten ....
Zuerst Verwarnung und erst dann eine Geldbuße - eine Vorgabe für die DSB
§ 11 DSG wird vor In-Kraft-Treten durch die Änderungen im Datenschutz-DeregulierungsG 2018 (beschlossen im NR am 20.4.2018) geändert, und lautet nun (ab 25.05.2018) wie folgt:
Verwarnung durch die Datenschutzbehörde
§ 11. Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.
Heise titelt dazu am 25.04.2018: Keine Strafen: Österreich zieht neuem Datenschutz die
Zähne
epicenter-works twitter dazu: https://twitter.com/epicenter_works/status/988801972726894592
It-rechtsanwalt.com twittert ebenfalls: https://twitter.com/RA_Steinle/status/988855213464391680
Prof. Niko Härting jedoch sieht die Sache etwas differenzierter und offensichtlich auch positiver, denn er verweist darauf, dass Österreich versucht, Geschäftemacherei mit DSGVO-Abmahnungen zu unterbinden: https://twitter.com/nhaerting/status/988819834128556032,
Art 58 Abs 2 DSGVO sieht – neben Geldbußen - auch andere Sanktionen für Verstöße gegen die Bestimmungen der DSGVO vor; diese sind u.a.:
1. Warnung, dass beabsichtigte Verarbeitungsvorgänge nicht gesetzeskonform sind
2. Verwarnung bei einem Verstoß
3. Anweisung, einem Antrag einer betroffenen Person zu entsprechen
4. Anweisung, einen Verarbeitungsvorgang auf bestimmt Weise und innerhalb eines bestimmten Zeitraumes in Einklang mit der DSGVO zu bringen
5. Anweisung, betroffene Personen von einem Datenschutzvorfall zu verständigen
6. Verhängung einer Beschränkung oder eines Verbotes bezüglich einer Verarbeitung
7. Anordnung der Löschung, Einschränkung oder Unterrichtung von Empfängern bei Löschung
Im Regierungsprogramm der Bundesregierung (https://www.bundeskanzleramt.gv.at/documents/131008/569203/Regierungsprogramm_2017–2022.pdf/b2fe3f65-5a04-47b6-913d-2fe512ff4ce6 ) findet sich auf Seite 81 bereits eine programmatische Zielsetzung zum Datenschutz und zu Geldstrafen in diesem Zusammenhang, die nun auch in den § 11 DSG aufgenommen wurde:
Schaffung umfassender Rechtssicherheit für die Chancen der Digitalisierung und den Einsatz neuer Systeme; dieser Rechtsrahmen soll innovative, neue Geschäftsmodelle und Technologien im Sinne der gesellschaftlichen Entwicklung ermöglichen und gleichzeitig die Datenautonomie/-hoheit des Bürgers und Konsumenten sicherstellen (z.B. Blockchain-Technologie, künstliche Intelligenz, autonomes Fahren etc.)
− Weiterentwicklung des österreichischen Datenschutzregimes
− Bestehende Rechtsunsicherheiten bereinigen
− Beratungs- und Auskunftsfunktion der Datenschutzbehörde für Bürger und Unternehmer stärken und verstärkt Verwarnungen einsetzen, bevor gestraft wird
Diese Regelung in § 11 DSG bedeutet nicht, dass die DSB nicht berechtigt ist, auch Geldbußen iSd § 30 (in Umsetzung des Art 83 DSGVO) zu verhängen, aber gehalten ist, die Verhältnismäßigkeit des Art 83 (1) „wirksam, verhältnismäßig und abschreckend“ im Detail zu beachten; auch ErwG 150 S 4 ist dafür maßgebend: „Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen.“
Es bleibt abzuwarten, die die DSB diese Vorgaben in der Praxis umsetzen wird.
Kommentar schreiben