Datenschutz Symbol
Datenschutzbeauftragte sind zukünftig auch für Gemeinden verpflichtend. Sie sind nur gegenüber dem Bürgermeister berichtspflichtig.
Foto: Shutterstock/wsf-s

Was Gemeinden für den Datenschutz tun müssen

29. November 2017
Die im Frühjahr 2016 von der EU verabschiedete Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Österreich in Geltung. Trotz der direkten Anwendbarkeit der Verordnung hat Österreich von den sogenannten „Öffnungsklauseln“ Gebrauch gemacht und im Nationalrat wurde mit dem Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018) – welches ebenfalls am 25. Mai 2018 in Kraft tritt – ergänzende nationale Bestimmungen beschlossen. Für Gemeinden ergeben sich daraus einige Veränderungen.

Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) erfasst jede Verarbeitung personenbezogener Daten, wobei personenbezogene Daten all jene Informationen sind, welche sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.



Der persönliche Anwendungsbereich der DSGVO erstreckt sich auf sogenannte „Verantwortliche“ sowie „Auftragsverarbeiter“ (siehe dazu unten).



Daraus folgt, dass die DSGVO jedenfalls auch den Bereich der öffentlichen Verwaltung mit Ausnahme jener Behörden, die „zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ zuständig sind, erfasst.



Gemeinden unterliegen daher jedenfalls dem Anwendungsbereich der DSGVO.

Leitende Grundsätze für die Verarbeitung personenbezogener Daten



Jede Gemeinde muss folglich personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben sowie in einer für die jeweils betroffene Person nachvollziehbaren Weise – also transparent – verarbeiten. Auch dürfen personenbezogene Daten nur für den jeweils festgelegten Zweck verwendet werden und muss die jeweilige Verarbeitung im Hinblick auf den jeweiligen Verwendungszweck verhältnismäßig sein (Stichwort: „Datenminimierung“). Darüber hinaus müssen die personenbezogenen Daten jedenfalls sachlich richtig und soweit möglich auf dem neuesten Stand sein. Wesentlich ist zudem, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie dies für jenen Zweck, für den sie verarbeitet werden, erforderlich ist. Schließlich sind personenbezogene Daten jedenfalls in einer Art und Weise zu verarbeiten, welche eine angemessene Sicherheit derselben gewährleistet.[1]

Einführung neuer gesetzlicher Begriffe



Weiters werden durch die DSGVO neue gesetzliche Definitionen in das System der österreichischen Rechtsordnung integriert. Eine Person, auf die sich die personenbezogenen Daten beziehen, wird nunmehr als „betroffene Person“ (bislang: Betroffener) bezeichnet; eine Person oder Behörde, welche über die Verarbeitung von personenbezogenen Daten entscheidet, trägt nun die Bezeichnung „Verantwortlicher“ (früher: Auftraggeber) und jene Person, welche die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet, wird als „Auftragsverarbeiter“ (früher: Dienstleister) bezeichnet.[2]

Zwingende Bestellung eines Datenschutzbeauftragten für Gemeinden



Auch müssen der jeweilige Verantwortliche und der jeweilige Auftragsverarbeiter, sofern die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, einen Datenschutzbeauftragten bestellen.



Gemeinden sind daher verpflichtet, eine fachlich geeignete Person mit dieser Aufgabe zu betrauen. Dabei ist zu beachten, dass der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird und er bei der Ausübung seiner Tätigkeit jedenfalls weisungsfrei ist.[3]



Zudem ergibt sich aus den gesetzlichen Bestimmungen, dass der jeweilige Datenschutzbeauftragte nur gegenüber dem jeweiligen höchsten Organ berichtspflichtig ist, was bei Gemeinden der Bürgermeister ist.

Sanktionen bei Nichtumsetzung der datenschutzrechtlichen Bestimmungen



Was die Verhängung von Strafen wegen der Nichteinhaltung von Datenschutzbestimmungen anbelangt, ist generell festzuhalten, dass durch die DSGVO eine massive Erhöhung der Strafdrohung bewirkt wird.



Der österreichische Gesetzgeber hat jedoch ausdrücklich in § 30 Abs. 5 Datenschutz-Anpassungsgesetz 2018 normiert, dass gegenüber Behörden und öffentlichen Stellen keine Geldbußen verhängt werden dürfen. Im Umkehrschluss bedeutet das aber, dass auch gegen Gemeinden im Rahmen der Privatwirtschaftsverwaltung und gegen gemeindeeigene Betriebe sehr wohl Geldbußen verhängt werden können.



Ungeachtet dessen ist zu berücksichtigen, dass von dieser Regelung Schadenersatzansprüche nicht erfasst sind. Dementsprechend können Personen, welche durch die Nichteinhaltung von Datenschutzbestimmungen einen Schaden erlitten haben, ihre Ansprüche mittels zivilrechtlicher Klage geltend machen.



Überdies wird darauf verweisen, dass bei Verstößen die Datenschutzbehörde Beschwerdeverfahren einleiten kann.

Gemeindeinterne Vorbereitungen bis zum Geltungsbeginn am 25. Mai 2018



Alle verantwortlichen Personen in den Gemeinden (insbesondere der jeweilige Bürgermeister) sollten – soweit noch nicht erfolgt - den verbleibenden Zeitraum bis zum Geltungsbeginn der DSGVO am 25. Mai 2018 dazu nutzen um die notwendigen Schritte möglichst zeitnah einzuleiten.



Dabei ist zu berücksichtigen, dass neben rechtlichen Aspekten, jedenfalls auch technische und organisatorische Fragen geklärt werden müssen (Stichwort: Datenschutzbeauftragter), wozu aufgrund der Komplexität regelmäßig auch externe Berater von Gemeinden beigezogen werden (Stichwort: Datenschutz- Audit).



von Martin Fischer, Partner der Brand Rechtsanwälte GmbH. Sein Aufgabenschwerpunkt liegt unter anderem in allen Bereichen des Öffentlichen Rechtes, einschließlich des Gemeinderechts.



[1] vgl. dazu Art. 5 DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten



[2] vgl. dazu Art. 4 DSGVO: Begriffsbestimmungen



[3] vgl. dazu Art. 38 DSGVO