Inhalt der DSG-Novelle 2010

Der vermutliche Inhalt der letzten Donnerstag im Nationalrat beschlossenen DSG-Novelle ist Folgender:

- "Aufhänger" der Novelle in der Öffentlichkeit sind spezielle Regeln zur Videoüberwachung. Im Prinzip ändert sich am bisherigen Verfahren nicht viel, Videoüberwachung bliebt grundsätzlich vorab-genehmigungspflichtig bei der Datenschutzkommission, außer - und das ist originell - die Videoüberwachung erfolgt mittels analoger Aufzeichnung (misten Sie daher Ihren alten VHS-Videorekorder wieder aus!) oder die Videobilder werden verschlüsselt und der einzige Schlüssel wird bei der Datenschutzkommission deponiert (die Idee einer "trusted third party" ist an sich gut, man hat in der Regierungsvorlage aber dazu nur noch schnell einen Halbsatz eingefügt, ohne auch nur ansatzweise die näheren rechtlichen und technischen Umstände dieser Hinterlegung - und der allfälligen Herausgabe - festzulegen). Wenig "spaßig" für Unternehmen wird das Auskunftsrecht über Videos sein, das Unternehmen verpflichtet, auf Verlangen auch die Videobilder "in einem üblichen technischen Format" auszuhändigen.

- Von der Öffentlichkeit weitgehend unbemerkt, ist meines Erachtens der eigentliche "Knaller" der Novelle der neue § 24 Abs 2a DSG 2000 mit dem Österreich - soweit ersichtlich - als eines der ersten Länder in Europa nach Deutschland eine sogenannte "Data Breach Notification Duty" einführt, eine Informationspflicht der Betroffenen bei Brüchen des Datengeheimnis. Die Bestimmung lautet in der Regierungsvorlage so:
"Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert."
Dies bedeutet, dass künftig jedes Unternehmen, dessen Kunden-, Lieferanten oder Mitarbeiterdaten verloren gehen oder gestohlen werden (zB Laptop oder USB-Stick) oder gehackt werden, überlegen muss, ob es die Betroffenen informieren muss, um einen Schaden zu verhindern. In der vor wenigen Wochen in Deutschland eingeführten ähnlichen Bestimmung wird näher ausgeführt, dass diese Information bis hin zu "mindestens halbseitigen Inseraten in mindestens zwei bundesweit erscheinenden Tageszeitungen" erfolgen muss, wenn es sich um einen Massendatenverlust handelt.
Bitte beachten Sie im österreichischen Text in den Ausnahmeregelungen im 2. Satz die interessante sprachliche Wendung: "einerseits ... oder ... andererseits", mit der man uns Datenschutzjuristen offensichtlich eine Freude machen wollte. Wir werden schön streiten können, ob das "oder" auch wirklich als "oder" zu verstehen ist oder eigentlich ein "und" sein sollte.

- Das Meldeverfahren soll durch Umstellung auf ein elektronisches Online-Meldeverfahren beschleunigt werden, das bis 1.1.2012 umgesetzt sein soll.

- Die Position der Datenschutzkommission wird durch eine Vielzahl von Regelungen etwas gestärkt, die DSK erhält die Möglichkeit, aktiver und schneller (bei Gefahr im Verzug) Datenverarbeitungen und deren Registrierung zu prüfen und zu untersagen.

- Die Strafen werden geringfügig erhöht, die Maximalstrafe wegen Datenschutzverstößen beträgt nun EUR 25.000,--. Interessant ist eine neue Verwaltungsstrafe in § 52 Abs 2a, laut der "mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht." Wie diese Verschränkung von Exekutive und Jurisdiktion bei einer an sich vor den Zivilgerichten abzuhandelnden Löschungsklage aufzulösen ist, werden wir in unserem Taschenkommentar enträtseln versuchen, vielleicht lässt es sich mit einem "einerseits ... oder ... andererseits" lösen.

- Völlig unklar ist derzeit, ob die Verfassungsbestimmungen, ua eine Abänderung des Wortlauts des Grundrechts auf Datenschutz in § 1 - demnächst noch "Nachbeschlossen" werden oder erst längerfristig mit gemeinsamen anderen unerledigten Themen erledigt werden. Themen, die im Datenschutz Regelungsbedarf haben sind ua der betriebliche Datenschutzbeauftragte (siehe oben den Link zum Verfassungsausschuss, in dem dies ausdrücklich festgehalten wurde), die Frage der Zulässigkeit der Mitarbeiterdatenverarbeitung und -überwachung im Betrieb, die Privatsphäre im Internet und viele mehr, die in dem letzte Woche beschlossenen Text fehlen.

- Zusammenfassend ist die groß angekündigte DSG-Novelle 2010 wie gesagt ein leider nur kleiner Schritt in der Entwicklung des Datenschutzrechts. Dies zur Enttäuschung jener, die sich in den letzten 2 Jahren intensiv mit der Novelle auseinandergesetzt haben und jetzt nur Brocken von dem umgesetzt sehen, an dem sie gearbeitet haben. Es ist ein Schritt in die richtige Richtung, aber eben nur einer und weitere werden folgen müssen.

- Um der evolutionären Entwicklung doch noch etwas Brisanz zu verleihen, hat man ihr - wie befürchtet - Rasanz mitgegeben: Das Inkrafttretensdatum wurde anscheinend nicht nach hinten verschoben, laut Abänderungsantrag beließ man es mit 1. Jänner 2010. Ein wenig erfreuliches Weihnachtsgeschenk: Zuerst bastelt man 2 Jahre an der Novelle, dann gibt man dem Volk exakt 3 Wochen (!) Zeit, um sich auf so Nebensächlichkeiten wie eine Data Breach Notification Duty einzustellen! Es bleibt zu hoffen, dass das Bundesgesetzblatt mit dem endgültigen Text wenigsten noch vor dem Inkrafttreten erscheint...