LANDTAG STEIERMARK
XVII. GESETZGEBUNGSPERIODE


EZ/OZ: 2515/1

Selbstständiger Antrag von Abgeordneten (§ 21 GeoLT)

eingebracht am 08.06.2018, 09:52:03


Landtagsabgeordnete(r): LTAbg. Lukas Schnitzer (ÖVP), LTAbg. Johannes Schwarz (SPÖ), LTAbg. Barbara Riener (ÖVP)
Fraktion(en): ÖVP, SPÖ
Zuständiger Ausschuss: Verfassung
Regierungsmitglied(er): Landeshauptmann Hermann Schützenhöfer
Beilagen: StDSG 2018.docx

Betreff:
Steiermärkisches Datenschutzgesetz 2018

Das geltende Steiermärkische Datenschutzgesetz – StDSG, LGBl. Nr. 39/2001, zuletzt in der Fassung LGBl. Nr. 146/2013, setzt die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 vom 23.11.1995, S. 31, in Angelegenheiten des Schutzes personenbezogener Daten bei nicht automationsunterstützt geführten Dateien, soweit keine Zuständigkeit des Bundes besteht, in innerstaatliches Recht um.

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4.5.2016, S. 1, beschlossen. Die Datenschutz-Grundverordnung ist am 25. Mai 2016 in Kraft getreten, tritt am 25. Mai 2018 in Geltung und hebt gleichzeitig die Richtlinie 95/46/EG auf.

Wenngleich die Datenschutz-Grundverordnung unmittelbare Geltung erlangt, bedarf sie in zahlreichen Bereichen der Durchführung in das innerstaatliche Recht (z.B. hinsichtlich der Errichtung einer Aufsichtsbehörde). Darüber hinaus enthält die Datenschutz-Grundverordnung auch Regelungsspielräume („Öffnungsklauseln“), die fakultativ von den Mitgliedstaaten genutzt werden können.

Entsprechend der allgemeinen unionsrechtlichen Vorgaben für Rechtsakte in Verordnungsform dürfen nur die unbedingt erforderlichen Regelungen der Verordnung im innerstaatlichen Recht durchgeführt werden, da diese in allen sonstigen Teilen unmittelbar gilt und ihr Inhalt innerstaatlich nicht wiedergegeben werden darf (Transformationsverbot).

Die erforderliche Durchführung der Datenschutz-Grundverordnung bezüglich allgemeiner Angelegenheiten des Schutzes personenbezogener Daten erfolgte auf Bundesebene durch das Datenschutz-Anpassungsgesetz 2018 (BGBl. I Nr. 120/2017). Die darin vorgesehenen Anpassungen im Datenschutzgesetz (DSG) treten mit 25. Mai 2018 in Kraft. Die zwischen Bund und Ländern geteilte Kompetenz zur Gesetzgebung bleibt unverändert bestehen (vgl. § 2 Abs. 1 und § 4 Abs. 5 DSG). Zur Regelung der allgemeinen Angelegenheiten des Datenschutzes bei nicht automationsunterstützt geführten Dateien („manuelle Daten“) besteht die Zuständigkeit des Landes für jene Angelegenheiten, in denen die Zuständigkeit zur Gesetzgebung Landessache ist. Auch hierfür sind Regelungen zur Durchführung der Datenschutz-Grundverordnung notwendig, die mit diesem Landesgesetz geschaffen werden sollen.

Eine wichtige Neuerung stellt die verpflichtende Bestellung einer/eines Datenschutzbeauftragten für öffentliche Stellen als Verantwortliche dar. Es ist sicherzustellen, dass die/der Datenschutzbeauftragte bezüglich der Ausübung ihrer/seiner Aufgaben keine Weisungen erhalten darf (Art. 38 Abs. 3 Datenschutz-Grundverordnung). Nach Art. 20 Abs. 1 B-VG besteht eine Weisungshierarchie zwischen den obersten Organen des Bundes und der Länder und den auf Zeit gewählten oder ernannten berufsmäßigen Organen. Art. 20 Abs. 2 B-VG sieht eine Ausnahme aus dem Weisungszusammenhang nur durch einfaches Gesetz vor. Daher muss die Weisungsfreistellung entsprechend Art. 20 Abs. 2 B-VG durch einfaches Gesetz vorgenommen werden, die gegenüber allen Organen wirkt. Durch das StDSG 2018 werden des Weiteren die Verschwiegenheitspflichten sowie das Aussageverweigerungsrecht der/des Datenschutzbeauftragten definiert.

Mit Inkrafttreten des StDSG 2018 wird das StDSG aufgehoben.

Zu den Bestimmungen im Detail:

Zu § 1 (Geltungsbereich):

§ 1 legt den Anwendungsbereich des Gesetzes beschränkt auf manuell geführte Dateisysteme (1. Abschnitt) in Angelegenheiten, in denen die Gesetzgebung Landessache ist, sowie die Stellung der/des Datenschutzbeauftragten fest.

 

Zu § 2 (Anwendungsbereich):

§ 2 regelt den Anwendungsbereich des Gesetzes in organisatorischer Hinsicht.

 

Zu § 3 (Anwendung des Datenschutzgesetzes):

§ 6 DSG regelt das Datengeheimnis mangels einer expliziten Regelung in der Datenschutz-Grundverordnung. Mitarbeiterinnen/Mitarbeiter dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung ihrer Dienstgeberin ihres Dienstgebers übermitteln. Verantwortliche und Auftragsverarbeiterinnen/Auftragsverarbeiter dürfen Anordnungen zur Übermittlung von personenbezogenen Daten nur erteilen, soweit dies zulässig ist.

Der 2. und 3. Abschnitt des 1. Hauptstückes des DSG (§§ 7 bis 13 DSG) regelt die Datenverarbeitung zu spezifischen Zwecken, insbesondere für die wissenschaftliche Forschung oder die publizistische Tätigkeit (Medienprivileg). Im 2. Abschnitt ist die Datenschutzbehörde als Genehmigungsbehörde für die Datenverwendung im Rahmen wissenschaftlicher Forschung und Statistik (§ 7 Abs. 3 DSG) sowie bei der Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von betroffenen Personen (§ 8 Abs. 3 DSG) vorgesehen. Im Sinne einer einheitlichen Verwaltungspraxis soll – wie bisher – die Datenschutzbehörde diese Agenden auch im Anwendungsbereich dieses Gesetzes wahrnehmen (Art. 97 Abs. 2 B-VG).

Der 3. Abschnitt des 2. Hauptstückes des DSG (§§ 24 bis 30 DSG) regelt den Rechtsschutz, insbesondere die Beschwerde an die Datenschutzbehörde. Die Wahrnehmung dieser Aufgaben soll auch im Bereich des Landes durch die Datenschutzbehörde erfolgen (Art. 97 Abs. 2 B-VG). Im Sinne der Einheitlichkeit des Rechtsschutzes in Angelegenheiten des Datenschutzes wird von der Möglichkeit des Rechtszuges an das Bundesverwaltungsgericht (Art. 131 Abs. 5 B-VG) Gebrauch gemacht.

 

Zu § 4 (Strafbestimmungen):

§ 4 regelt die Verwaltungsstrafbestimmungen. Für die Wahrnehmung der Aufgaben als Verwaltungsstrafbehörde soll auch im Bereich des Landes die Datenschutzbehörde zuständig sein. Gegen Entscheidungen der Datenschutzbehörde soll der Rechtszug an das Bundesverwaltungsgericht möglich sein (Art. 97 Abs. 2 B-VG).

Die Strafbestimmungen richten sich gegen den widerrechtlichen Zugang zu manuell geführten Dateisystemen. Darüber hinaus soll – wie bereits im Steiermärkischen Datenschutzgesetz – auch das Datengeheimnis (§ 6 DSG) in das StDSG 2018 aufgenommen werden, vor allem wenn die personenbezogenen Daten zur Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke anvertraut wurden. Ebenso ist zu bestrafen, wer sich unter der Vortäuschung falscher Tatsachen im Katastrophenfall vorsätzlich personenbezogene Daten beschafft.

§ 4 soll zur Anwendung kommen, wenn die Tat nicht einen Tatbestand nach Art. 83 Datenschutz-Grundverordnung verwirklicht oder nach anderen Verwaltungsstrafbestimmungen nicht mit strengerer Strafe bedroht ist. Ein Absehen von der Bestrafung für die in § 4 vorgesehenen Strafen ist unter den im Verwaltungsstrafgesetz 1991 (VStG) vorgesehenen Voraussetzungen möglich (vgl. § 45 Abs. 1 VStG).

 

Zu § 5 (Stellung der/des Datenschutzbeauftragten):

Die Voraussetzungen für die Bestellung einer/eines Datenschutzbeauftragten werden in Art. 37 Datenschutz-Grundverordnung unmittelbar anwendbar festgelegt und dürfen daher nicht in das DSG übernommen werden. Nach Art. 37 Abs. 1 Datenschutz-Grundverordnung benennen die/der Verantwortliche und die Auftragsverarbeiterin/der Auftragsverarbeiter auf jeden Fall eine Datenschutzbeauftragte/einen Datenschutzbeauftragten, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Bereits im Hinblick auf die Befristung bedarf es keiner zusätzlichen Abberufungsregelung, zumal sich die Möglichkeit der Abberufung aufgrund der Nichterfüllung bereits aus der Datenschutz-Grundverordnung ergibt.

Die/Der Datenschutzbeauftragte und die Geschäftsstelle sind – soweit sie nicht besonderen Geheimhaltungsregelungen unterliegen (z.B. für öffentliche Bedienstete allgemein die Amtsverschwiegenheit) – bei der Erfüllung ihrer/seiner Aufgaben in jedem Fall an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Insbesondere sind sie damit auch zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit sie nicht davon durch die betroffene Person befreit werden.

Um das originäre Aussageverweigerungsrecht nicht zu unterlaufen, liegt die Entscheidung über die Inanspruchnahme oder Nichtinanspruchnahme dieses Rechts jeweils bei der Person, der das gesetzliche Aussageverweigerungsrecht zusteht. Zugunsten Letzterer bestehende Beschlagnahmeverbote (vgl. § 157 Abs. 2 StPO) müssen auf die Datenschutzbeauftragte/den Datenschutzbeauftragten erstreckt werden, um eine Umgehung zu verhindern. Die Verschwiegenheitspflicht der/des Datenschutzbeauftragten gilt nicht gegenüber der Datenschutzbehörde.

Art. 38 Abs. 3 Datenschutz-Grundverordnung legt fest, dass die/der Verantwortliche und die Auftragsverarbeiterin/der Auftragsverarbeiter sicherzustellen haben, dass die/der Datenschutzbeauftragte bei der Erfüllung ihrer/seiner Aufgaben keine Weisungen bezüglich der Ausübung dieser Aufgaben erhält. Im Bereich der Behörden oder öffentlichen Stellen besteht gemäß Art. 20 Abs. 1 B-VG eine Weisungshierarchie zwischen den obersten Organen des Bundes und der Länder und den auf Zeit gewählten oder ernannten berufsmäßigen Organen. In einem untrennbaren Zusammenhang mit Art. 20 Abs. 1 B-VG steht Art. 20 Abs. 2 B-VG, der eine Ausnahme aus dem Weisungszusammenhang nur durch einfaches Gesetz vorsieht. Die Weisungsfreistellung ist daher entsprechend verankert. Hinsichtlich der Grenzen des gemäß Art. 20 Abs. 2 B-VG vorzusehenden Unterrichtungsrechts wird auf Art. 38 Abs. 3 Datenschutz-Grundverordnung verwiesen.

Die Bestimmung findet auch auf Datenschutzbeauftragte Anwendung, die vor Inkrafttreten dieses Gesetzes entsprechend der Bestimmungen der Datenschutz-Grundverordnung bestellt worden sind.

 

Zu §§ 6 und 7 (Verweise und EU-Recht):

§ 6 enthält die Verweise zu Bundesgesetzen und Unionsrecht, § 7 enthält einen Durchführungshinweis.

 

Zu §§ 8 und 9 (Inkrafttreten und Außerkrafttreten):

Das Inkrafttreten des StDSG 2018 und die Aufhebung des StDSG mit 25. Mai 2018 wird mit dem Inkrafttreten des DSG bzw. der DSGVO notwendig.


Es wird daher der

Antrag

gestellt:

Der Landtag wolle beschließen:


Unterschrift(en):
LTAbg. Lukas Schnitzer (ÖVP), LTAbg. Johannes Schwarz (SPÖ), LTAbg. Barbara Riener (ÖVP)