Deutschland BDSG vs. Österreich DSG 200 – großer Unterschied?
Das Datenschutzgesetz 2000 (DSG 2000) regelt den Schutz personenbezogener Daten in Österreich. Das DSG 2000 setzte die Richtlinie 95/46/EG (Datenschutzrichtlinie) in nationales Recht um und wurde 2005 grundlegend novelliert. 2014 wurde die Datenschutzkommission durch die Datenschutzbehörde abgelöst.
Wie in Deutschland regeln auch in Österreich den Datenschutz die Bundesländer bzw. die Landesverwaltungen.
So sprechen Österreich und Deutschland auch von „personenbezogenen Daten“. Die Definition von Betroffenen ist allerdings unterschiedlich und dies ist meines Erachtens der größte Unterschied zwischen den beiden nationalen Datenschutzgesetzen:
Das BDSG (Bundesdatenschutzgesetz) schützt gemäß § 3 (1) personenbezogene Daten von natürlichen Personen (Betroffene): „Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“
Das DSG 2000 ist weiter gefasst: Gemäß § 4 Pkt. 3. sind „Betroffene [……] deren Identität bestimmt oder bestimmbar ist“. Betroffene sind nicht nur natürliche Personen, sondern auch juristische Personen und Personengemeinschaften.
Ein weiterer Unterschied besteht außerdem – neben der unterschiedlichen Definition des Betroffenen – in der betrieblichen Zuständigkeit bzw. Verantwortlichkeit: Das DSG 2000 kennt, wie einige andere EU-Länder auch, keinen (betrieblichen) Datenschutzbeauftragten. Über die Einhaltung des Datenschutzes wacht die österreichische Datenschutzbehörde.
Das DSG 2000 geht davon aus, dass grundsätzlich jedes Verfahren, bei dem personenbezogene Daten erhoben, verarbeitet und genutzt werden, meldepflichtig (§ 17 DSG 2000) ist. Die österreichische Datenschutzbehörde führt hier ein öffentlich zugängliches Register und über ein Online-Portal kann jeder Datenverarbeiter sein Verfahren melden.
Die Datenübermittlung richtet sich nach § 12 f DSG 2000. Datenexporte unterliegen ähnlich wie in Deutschland in die EU bzw. in das EWR-Ausland keiner zusätzlichen Beschränkung und sind nicht genehmigungspflichtig. Dagegen besteht bei Datenübermittlung in Drittländer grundsätzlich eine Genehmigungspflicht (§§ 12, 13 DSG 2000).
Die Rechte des Betroffenen sind fast ident. In Deutschland ist der Betroffene noch zu benachrichtigen, in Österreich ist das Auskunftsrecht dagegen detaillierter.
Die Begrifflichkeiten bei der Datensicherheit sind ebenfalls unterschiedlich: so spricht das BDSG von „Technischen und Organisatorischen Maßnahmen“ (§ 9 BDSG nebst Anlage); das DSG 2000 im § 14 von Datensicherheitsmaßnahmen. Grundsätzlich ist die Zwecksetzung in beiden Datenschutzgesetzen ähnlich.
Zusammenfassung:
Der Unterschied zwischen den beiden nationalen Gesetzen ist eher klein. Generell kann man sagen, dass das BDSG und DSG 2000 mehr Gemeinsamkeiten als Unterschiede haben.
Das DSG 2000 ist in seinen Formulierungen detaillierter und konkreter. Hier ist aber zu bedenken, dass das BDSG ein Auffanggesetz ist, das hinter den geltenden Spezialgesetzen zurücksteht. Diese vorrangigen Gesetze können den Datenschutz ausweiten oder ihn zugunsten anderer Interessen einschränken. So genießen beispielsweise Rechtsvorschriften des Bundes oder der Länder, aber auch Tarifverträge oder Betriebsvereinbarungen, Vorrang vor dem BDSG.
Fazit:
Der Datenschutz macht keinen Halt vor Ländergrenzen. Es existieren teilweise erhebliche Unterschiede in der Ausgestaltung der Datenschutzgesetze und den rechtlichen Anforderungen bei den einzelnen Ländern. Was in einem Land nicht gemeldet werden muss, ist in einem anderen EU-Land meldepflichtig – was in einem Land (unter bestimmten Umständen) erlaubt ist, ist in einem anderen Land nicht gestattet.
International tätige Unternehmen müssen sich mit den Anforderungen der verschiedenen Mitgliedsstaaten der EU-Länder auseinandersetzen. Solange die Datenschutz-Grundverordnung (DSGVO) noch nicht gültig ist – ab 25. Mai 2018 ist sie EU-weit anzuwenden – müssen die Unternehmen die länderspezifischen einzelnen Anforderungen einhalten.