Deutschland versus Österreich. Was verbindet, was trennt uns?

Datenschutzgesetze im Vergleich

Regina Mühlich ist Inhaberin der Managementberatung AdOrga Solutions. Sie ist anerk. und gepr. Sachverständige für IT und Datenschutz, Datenschutz-Auditorin und Datenschutzbeauftragte sowie Qualitätsmanagementbeauftragte und Projektmanagerin. Sie war über 20 Jahre in internationalen Unternehmen als COO, Leiterin Projekt-, Qualitätsmanagement und Konzerndatenschutzbeauftragte tätig.
Daten machen nicht vor Ländergrenzen halt. Auch hier gilt: verschiedene Länder, unterschiedliche Vorgaben. Wie groß ist eigentlich der Unterschied zwischen Deutschland und Österreich?

Der Datenschutz macht keinen Halt vor Ländergrenzen. Es existieren teilweise erhebliche Unterschiede in der Ausgestaltung der Datenschutzgesetze und den rechtlichen Anforderungen bei den einzelnen Ländern.

Auch wenn die Schreibweise in Deutschland und Österreich die gleiche ist, so unterscheiden sich die Gesetze doch in einigen Punkten.
Auch wenn die Schreibweise in Deutschland und Österreich die gleiche ist, so unterscheiden sich die Gesetze doch in einigen Punkten.
Foto: Marco2811 - Fotolia.com

International tätige Unternehmen müssen sich mit den Anforderungen der verschiedenen Mitgliedsstaaten der EU-Länder auseinandersetzen. Solange die Datenschutz-Grundverordnung nicht umgesetzt ist, müssen die Unternehmen die länderspezifischen einzelnen Anforderungen einhalten. Was in einem Land nicht gemeldet werden muss, ist in einem anderen EU-Land meldepflichtig - was in einem Land unter bestimmten Umständen erlaubt ist, ist in einem anderen Land nicht gestattet.

Das Datenschutzgesetz 2000 regelt den Schutz personenbezogener Daten in Österreich. Das DSG 2000 setzte die Richtlinie 95/46/EG in nationales Recht um und wurde 2005 grundlegend novelliert. 2014 wurde die Datenschutzkommission durch die Datenschutzbehörde abgelöst.

Wie in Deutschland regeln auch in Österreich den Datenschutz die Bundesländer beziehungsweise die Landesverwaltungen. So sprechen Österreich und Deutschland auch von "personenbezogenen Daten". Die Definition von Betroffenen ist allerdings unterschiedlich und dies ist meines Erachtens der größte Unterschied zwischen den beiden nationalen Datenschutzgesetzen:

  • Das Bundesdatenschutzgesetz (BDSG) schützt gemäß § 3 (1) personenbezogene Daten von natürlichen Personen (Betroffene): "Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person."

  • Das DSG 2000 ist weiter gefasst: Gemäß § 4 Pkt. 3. sind "Betroffene [……] deren Identität bestimmt oder bestimmbar ist". Betroffene sind nicht nur natürliche Personen, sondern auch juristische Personen und Personengemeinschaften.

Ein weiterer großer Unterschied besteht außerdem - neben der unterschiedlichen Definition des Betroffenen - in der betrieblichen Zuständigkeit beziehungsweise Verantwortlichkeit: Das DSG 2000 kennt, wie einige andere EU-Länder auch, keinen betrieblichen Datenschutzbeauftragten. Über die Einhaltung des Datenschutzes wacht die österreichische Datenschutzbehörde. Das DSG 2000 geht davon aus, dass grundsätzlich jedes Verfahren, bei dem personenbezogene Daten erhoben, verarbeitet und genutzt werden, meldepflichtig (§ 17 DSG 2000) ist. Die österreichische Datenschutzbehörde führt hier ein öffentlich zugängliches Register und über ein Online-Portal kann jeder Datenverarbeiter sein Verfahren melden.

Die Datenübermittlung richtet sich nach § 12 f DSG 2000. Datenexporte unterliegen ähnlich wie in Deutschland in die EU beziehungsweise in das EWR-Ausland keiner zusätzlichen Beschränkung und sind nicht genehmigungspflichtig. Dagegen besteht bei Datenübermittlung in Drittländer grundsätzlich eine Genehmigungspflicht (§§ 12, 13 DSG 2000).

Die Rechte des Betroffenen sind fast identisch. In Deutschland ist der Betroffene noch zu benachrichtigen, in Österreich ist das Auskunftsrecht dagegen detaillierter.

Die Begrifflichkeiten bei der Datensicherheit sind ebenfalls unterschiedlich: so spricht das BDSG von "Technischen und Organisatorischen Maßnahmen" (§ 9 BDSG nebst Anlage); das DSG 2000 im § 14 von Datensicherheitsmaßnahmen. Grundsätzlich ist die Zwecksetzung in beiden Datenschutzgesetzen ähnlich.

Zusammenfassung

Der Unterschied zwischen den beiden nationalen Gesetzen ist eher klein. Generell kann man sagen, dass BDSG und DSG 2000 mehr Gemeinsamkeiten als Unterschiede haben. Das DSG 2000 ist in seinen Formulierungen detaillierter und konkreter. Hier ist aber zu bedenken, dass das BDSG ein Auffanggesetz ist, das hinter den geltenden Spezialgesetzen zurücksteht. Diese vorrangigen Gesetze können den Datenschutz ausweiten oder ihn zugunsten anderer Interessen einschränken. So genießen beispielsweise Rechtsvorschriften des Bundes oder der Länder, aber auch Tarifverträge oder Betriebsvereinbarungen, Vorrang vor dem BDSG. (bw)