BUNDESGESETZBLATT

FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2018

Ausgegeben am 15. Mai 2018

Teil I

24. Bundesgesetz:

Datenschutz-Deregulierungs-Gesetz 2018

(NR: GP XXVI IA 189/A AB 98 S. 21. BR: AB 9948 S. 879.)

24. Bundesgesetz, mit dem das Datenschutzgesetz geändert wird (Datenschutz-Deregulierungs-Gesetz 2018)

Der Nationalrat hat beschlossen:

Das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I Nr. 165/1999, zuletzt geändert durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 11:

„§ 11.

Verwarnung durch die Datenschutzbehörde“

2. § 4 Abs. 1 lautet:

„(1) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.“

3. § 4 Abs. 5 lautet:

„(5) Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem hoheitlich tätigen Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen dann nicht, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird.“

4. Dem § 4 werden folgende Abs. 6 und 7 angefügt:

„(6) Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.

(7) Soweit manuell, dh. nichtautomatisiert geführte Dateisysteme für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gelten sie als Datenverarbeitungen im Sinne der DSGVO und dieses Bundesgesetzes.“

5. In § 5 Abs. 3 erster Satz wird nach dem Ausdruck „im öffentlichen Bereich“ der Klammerausdruck „(in Formen des öffentlichen Rechts eingerichtet, insbesondere auch als Organ einer Gebietskörperschaft)“ eingefügt.

6. In § 5 Abs. 5 wird der Ausdruck „Abs. 3“ durch den Ausdruck „Abs. 4“ ersetzt.

7. § 9 samt Überschrift lautet:

„ Freiheit der Meinungsäußerung und Informationsfreiheit

              § 9. (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl. Nr. 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§ 31 MedienG) zu beachten.

(2) Soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, finden von der DSGVO die Kapitel II (Grundsätze), mit Ausnahme des Art. 5, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Art. 28, 29 und 32, Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, keine Anwendung. Von den Bestimmungen dieses Bundesgesetzes ist in solchen Fällen § 6 (Datengeheimnis) anzuwenden.“

8. § 11 samt Überschrift lautet:

„Verwarnung durch die Datenschutzbehörde

§ 11. Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“

9. In § 12 Abs. 3 Z 2 entfällt die Wortfolge „und kein gelinderes geeignetes Mittel zur Verfügung steht“.

10. In § 12 Abs. 4 Z 3 wird nach der Wortfolge „von mittels Bildaufnahmen gewonnenen personenbezogenen Daten“ die Wortfolge „ohne ausdrückliche Einwilligung und für das Erstellen von Persönlichkeitsprofilen“ eingefügt.

11. In § 14 Abs. 1, § 15 Abs. 3, Abs. 5 Z 1 und 2, Abs. 6, 7 und 8, § 16 Abs. 3 Z 2 und § 69 Abs. 7 wird jeweils die Bezeichnung „Bundeskanzleramt“ durch die Bezeichnung „Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz“ ersetzt; in § 16 Abs. 5 wird die Bezeichnung „Bundeskanzleramtes“ durch die Bezeichnung „Bundesministeriums für Verfassung, Reformen, Deregulierung und Justiz“ ersetzt.

12. In § 15 Abs. 1 Z 5, § 16 Abs. 5, § 19 Abs. 2 und 3 sowie § 23 Abs. 1 wird jeweils die Bezeichnung „Bundeskanzler“ durch die Bezeichnung „Bundesminister für Verfassung, Reformen, Deregulierung und Justiz“ ersetzt.

13. In § 15 Abs. 5 Z 1 wird das Wort „entsendenden“ durch das Wort „entsendende“ und das Wort „schriftliche“ durch „schriftlichen“ ersetzt.

14. Der Einleitungsteil des § 26 Abs. 1 lautet:

„Unbeschadet des § 5 Abs. 3 sind Verantwortliche des öffentlichen Bereichs alle Verantwortlichen,“

15. In § 28 wird der Beistrich nach dem Wort „einzureichen“ durch ein „und“ ersetzt und entfällt die Wortfolge „und das Recht auf Schadenersatz gemäß § 29 in Anspruch zu nehmen.“

16. In § 30 Abs. 3 entfällt die Wortfolge „und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegen stehen“

17. § 30 Abs. 5 lautet:

„(5) Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden.“

18. In § 32 Abs. 1 Z 1 wird die Wortfolge „Durchführungsvorschriften zur Richtlinie (EU) 2016/680 vom“ durch die Wortfolge „der Durchführungsvorschriften zur Richtlinie (EU) 2016/680“ ersetzt.

19. In § 36 Abs. 1 wird das Wort „militärische“ durch das Wort „militärischen“ ersetzt.

20. § 36 Abs. 2 Z 7 lautet:

„7.

„zuständige Behörde“

a)

eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, die nationale Sicherheit, den Nachrichtendienst oder die militärische Eigensicherung zuständig ist, oder

b)

eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zum Zweck der nationalen Sicherheit, des Nachrichtendienstes oder der militärischen Eigensicherung übertragen wurde;“

21. § 44 Abs. 2 erster Satz entfällt.

22. § 45 Abs. 7 entfällt.

23. In § 49 Abs. 1 wird der Ausdruck „Abs. 2 lit. c“ durch den Ausdruck „Abs. 2 lit. d“ ersetzt.

24. Dem § 49 wird folgender Abs. 3 angefügt:

„(3) Jeder Auftragsverarbeiter hat ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten zu führen, das Folgendes enthält:

1.

Name und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie eines etwaigen Datenschutzbeauftragten,

2.

die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,

3.

gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, wenn vom Verantwortlichen entsprechend angewiesen, einschließlich der Identifizierung des Drittlandes oder der internationalen Organisation,

4.

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 54 Abs. 1.“

25. In § 56 Abs. 1 entfällt das Wort „der“ und wird das Wort „personenbezogener“ durch das Wort „personenbezogenen“ ersetzt.

26. In § 56 Abs. 1 entfällt der zweite Satz.

27. In § 64 Abs. 2 wird das Wort „Diese“ durch das Wort „Dieses“ ersetzt.

28. In § 68 wird vor der Wortfolge „der Bundeskanzler“ die Wortfolge „der Bundesminister für Verfassung, Reformen, Deregulierung und Justiz sowie“ eingefügt.

29. Dem § 69 Abs. 5 wird folgender Satz angefügt:

„Ein strafbarer Tatbestand, der vor dem Inkrafttreten dieses Bundesgesetzes verwirklicht wurde, ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren.“

30. In § 70 erhalten die Abs. 1 und 2 die Absatzbezeichnungen „(7)“ und „(8)“.

31. Die Abs. 2 bis 7 des § 60 erhalten die Absatzbezeichnungen „(1)“ bis „(6)“ und werden nach der Paragraphenbezeichnung des § 70 eingereiht.

32. Paragraphenüberschrift und Paragraphenbezeichnung des § 60 entfallen.

33. Dem § 70 wird folgender Abs. 9 angefügt:

„(9) Das Inhaltsverzeichnis, § 4 Abs. 1, 5 bis 7, § 5 Abs. 3 erster Satz und Abs. 5, § 9 samt Überschrift, § 11 samt Überschrift, § 12 Abs. 3 Z 2 und Abs. 4 Z 3, § 14 Abs. 1, § 15 Abs. 1 Z 5, Abs. 3, Abs. 5 Z 1 und 2, Abs. 6, 7 und 8, § 16 Abs. 3 Z 2 und Abs. 5, § 19 Abs. 2 und 3, § 23 Abs. 1, § 26 Abs. 1, § 28, § 30 Abs. 3 und 5, § 32 Abs. 1 Z 1, § 36 Abs. 1 und 2 Z 7, § 44 Abs. 2, § 49 Abs. 1 und 3, § 56 Abs. 1, § 64 Abs. 2, § 68 sowie § 69 Abs. 5 und 7 in der Fassung des Bundesgesetzes BGBl. I Nr. 24/2018 treten mit 25. Mai 2018 in Kraft. Gleichzeitig tritt § 45 Abs. 7 in der Fassung vor der Novelle BGBl. I Nr. 24/2018 außer Kraft. § 70 Abs. 1 bis 8 in der Fassung des Bundesgesetzes BGBl. I Nr. 24/2018 tritt mit dem auf die Kundmachung folgenden Tag in Kraft. Soweit sich die im Bundesgesetz BGBl. I Nr. 24/2018 getroffenen Anordnungen auf durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, geschaffene Vorschriften beziehen, gehen die Regelungen des Bundesgesetzes BGBl. I Nr. 24/2018 jenen des Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 120/2017, vor.“

Van der Bellen

Kurz