Über den Sommer hat das Bundeskanzleramt geplante Änderungen im Datenschutzrecht zur Diskussion gestellt.

Datenschutzbeauftragter

Unternehmen, aber auch öffentliche Stellen können einen Datenschutzbeauftragten bestellen. Das ist grundsätzlich sinnvoll. Alleine die Bestellung ist freiwillig. Dazu kommt, dass quasi als Zuckerl künftig mit der Bestellung die Auftraggeber (das Unternehmen) mit ihren Datenanwendungen nicht mehr der Meldepflicht unterliegen. Das gilt auch für die Fälle der Vorabkontrolle, also insbesondere bei sensible Daten und Bewertungssysteme (z.B. Bonitätsauskünfte von Wirtschaftsauskunftsdiensten).

Die Beseitigung der Meldepflicht bei Bestellung eines Datenschutzbeauftragten stellt einen massiven Bruch  im System des österreichischen Datenschutzrechts dar. Ohne Meldung wird die Datenanwendung auch nicht im Datenverarbeitungsregister (DVR) eingetragen und es wird keine DVR-Nummer vergeben. Erst die Meldung zum DVR hat bisher Art und Umfang der Datenanwendung definiert. Statt dem soll jetzt der Datenschutzbeauftragte ein „Verzeichnis der Datenanwendungen des Auftraggebers führen“. Gerade auch der Wegfall der Vorabkontrolle, die ja ohnehin nur bei besonders schwerwiegenden Eingriffen vorgesehen ist, macht das Datenschutzgesetz weiter zahnlos. Selbstverständlich werden gerade kritische Verarbeiter das als  Anreiz sehen Datenschutzbeauftragte zu bestellen und sich damit der staatlichen Aufsicht nahezu vollständig zu entziehen.

Eine fachliche Kontrolle der Eignung des Datenschutzbeauftragten ist nicht vorgesehen. Es soll auch nicht überprüft werden, ob ein Datenschutzbeauftragter seinen Verpflichtungen nachkommt. Der Datenschutzbeauftragte muss sich bei Verstößen gegen das Datenschutzgesetz an den Auftraggeber, – also das eigene Unternehmen wenden – und auf die Missstände hinweisen. Ändert sich nichts an der Situation besteht keine Verpflichtung des Datenschutzbeauftragten das an die Datenschutzkommission zu melden!

Auch bisher litt die Datenschutzkommission schon an einem Kompetenzmangel, um Datenschutzverletzungen aktiv zu bekämpfen. Durch die Aushöhlung der Meldepflicht und die Beseitigung der Vorabkontrolle bei Bestellung eines Datenschutzbeauftragten wird der Datenschutz weiter ausgehöhlt und praktisch „privatisiert“.

Videoüberwachung

Schon kurz nach der Einführung der neuen Regelungen zur privaten Videoüberwachung werden diese weitgehend entkräftet, indem die Verpflichtung zur Vorabkontrolle entfällt. Bei der Vorabkontrolle überprüft die Datenschutzkommission, ob eine Videoüberwachung überhaupt nach der Gesetzeslage in der vorliegenden Form erlaubt ist. Das entfällt künftig. Statt dem ausufernden Wildwuchs bei der privaten Videoüberwachung schärfer entgegen zu treten, wird die bisher schon bestehende Schutzlücke vor ausufernder und rechtswidrige privater Videoüberwachung vergrößert und der letzte Rest aufsichtsrechtlicher Kontrolle entsorgt. Künftig gilt, wo kein Kläger- dort kein Richter. Den Betroffenen bleibt damit nur noch der in der Regel steinige Weg einer gerichtlichen Klage.