Umsetzungsbarometer zum
Datenschutz-Deregulierungs-Gesetz 2018 von der Industriellenvereinigung.
Grundrecht reparieren
Es wird nun klargestellt, dass nur Daten natürlicher Personen vom Datenschutz umfasst sind. Die
strengen Datenschutzregeln sind daher auf Daten juristischer Personen nicht anzuwenden (§ 4 Abs 1).
Achtung: Aufgrund der gescheiterten 2/3-Mehrheit, ist die Klarstellung nur einfachgesetzlich erfolgt.
Anm: Da die § 1 bis 3 DSG 2000 unverändert bleiben, ergeben sich mE auch aus diesen Bestimmungen die darin genannten Rechte für die juristischen Personen; das Recht auf Schadenersatz (Art 82) steht "jeder Person" und nicht nur "jeder betroffenen Person" zu, sodass auch juristische Personen davon umfasst sein können. Hier gibt es mE noch Klärungsbedarf durch die Behörden.
keine Doppelbestrafung
Die bisherige Regelung erlaubt in Ausnahmefällen eine Doppelbestrafung von juristischer und natürlicher
Person. Diese Möglichkeit wurde gestrichen: Wenn das Unternehmen (selbst) gestraft wird, darf es keine parallele Bestrafung des Vorstandes/ GF geben (§ 30 Abs 3).
kein Verknüpfen des ArbVG mit den Strafen der DSGVO
Die Verknüpfung zwischen Arbeits- und Datenschutzrecht (§ 11) wurde gänzlich gestrichen.
Schutz von Betriebs- und Geschäftsgeheimnissen
Einem Auskunftsersuchen muss nicht Folge geleistet werden, wenn dadurch Betriebs- und Geschäftsgeheimnisse gefährdet wären (§ 4 Abs 6).
Anm: Beim Recht, eine Datenkopie zu erhalten, ist dies bereits in der DSGVO so geregelt, denn das Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen, und eine Beeinträchtigung wird bei einer Auskunft auf Ebene der Datenkategorien nicht gegeben sein.
kein Goldplating bei Verbandsklagen
Die bisher vorgesehene Möglichkeit von Verbänden (zB VKI) – neben Datenschutzverletzungen – auch auf
Schadenersatz klagen zu können, stellt Gold Plating dar und wurde wieder gestrichen (§ 28).
Anm: In § 28 DSG (idF DSAG 2018) war die Verbandsklage für Schadenersatzforderungen mE gar nicht vorgesehen.
verhältnismäßige Strafen
Es wird klargestellt, dass die Datenschutzbehörde bei der Verhängung der Strafen auf die Verhältnismäßigkeit
achten muss (§ 11).
Anm: Die Verhältnismäßigkeit ist in Art 83 (1) DSGVO als Grundsatz für die Verhängung von Geldbußen explizit genannt; dabei handelt es sich mE um eine Klarstellung.
Verwarnen statt strafen
Ebenfalls wird klargestellt, dass die Datenschutzbehörde – insbesondere bei erstmaligen Verstößen – zuerst
verwarnt (§ 11).
Anm: Die Verwarnung gibt es auch im Sanktionskatalog des Art 58 (2), und daher ist diese Bestimmung mE nur eine Klarstellung bzw. ein programmatischer Ansatz (siehe auch den Blogeintrag:
keine Rückwirkung
Ein Tatbestand, der vor dem Inkrafttreten des DSG 2018 verwirklicht wurde, ist nun nach jener Rechtslage zu beurteilen,
die für den Täter in ihrer Gesamtauswirkung günstiger ist ( § 69 Abs 5).
Kommentar schreiben