Das australische Datenschutzrecht wird bereits seit einiger Zeit einer umfassenden Evaluation unterzogen. Noch vor der Vorstellung des Berichts zum bereits im Dezember 2019 angekündigten Review des Privacy Act 1988 wurde im Dezember 2022 der Privacy Legislation Amendment (Enforcement and Other Measures) Act 2022 erlassen. Dieser enthält Änderungen des Privacy Act 1988, des Australian Communications and Media Authority Act 2005 und des Australian Information Commissioner Act 2010. Das Gesetz trat direkt am Tag nach dem Erhalt der Königlichen Zustimmung am 13.12.2022 in Kraft. Als spezifischer Anlass für den (besonders zügigen) Erlass des Amendment Act dürfte eine Reihe von Datenskandalen gelten. Betroffen waren dabei u. a. der Krankenversicherer Medibank, das TK-Unternehmen Optus, die University of Western Australia und die Immobiliengruppe LJ Hooker. Unser geschäftsführender Gesellschafter PD Dr. Christian L. Geminn gibt einen Überblick hier und in ZD-Aktuell 2023, 01052.
1. Erweiterter Bußgeldrahmen
Zunächst geht mit dem Amendment Act eine Erweiterung des Bußgeldrahmens einher, der die australische Datenschutzaufsichtsbehörde (das Office of the Australian Information Commissioner – OAIC) zumindest indirekt stärkt. Die maximale Höhe von Bußgeldern wurde von 2.000 „Penalty Units“ (1 Einheit entspricht derzeit 275 AUD = ca. 177 EUR; vor dem 1.1.2023 waren es 222 AUD) auf 2,5 Mio. AUD (ca. 1,6 Mio. EUR) für Nicht-Unternehmen und auf 50 Mio. AUD (ca. 32 Mio. EUR) für Unternehmen gesteigert. Kann dem Datenschutzverstoß direkt oder indirekt ein monetärer Vorteil zugeordnet werden, so kann das Bußgeld sogar auf den dreifachen Wert dieses Vorteils steigen. Kann dieser Vorteil vom Gericht nicht beziffert werden, so kann das Bußgeld bis zu 30 % des bereinigten Umsatzes des Unternehmens im fraglichen Zeitraum (max. 12 Monate) betragen (s. section 13G – die Regelung bezieht sich auf schwere und/oder wiederholte Verstöße).
2. Erweiterte Befugnisse des Office of the Australian Information Commissioner
Der Amendment Act schafft zudem neue Befugnisse zur Informationsweitergabe für das OAIC und die Australian Communications and Media Authority (ACMA) an andere Behörden – auch an ausländische Datenschutzbehörden und verwandte Behörden (sec. 33A). Weitergegeben werden dürfen grds. alle Informationen und Dokumente, die das OAIC in Ausübung seiner Befugnisse erlangt hat – zumindest, sofern davon auszugehen ist, dass die empfangende Stelle über ausreichende Möglichkeiten zur Sicherung der Informationen oder Dokumente verfügt.
Aber auch die Öffentlichkeit kann nun informiert werden, sofern die Veröffentlichung von Informationen im öffentlichen Interesse liegt (sec. 33B). Die Veröffentlichung muss jedoch gegen gegenläufige Rechte und Auswirkungen zB auf laufende Untersuchungen des OAIC abgewogen werden.
Hinzu tritt eine Stärkung der Befugnisse des OAIC im Kontext der Untersuchung und Behebung von Datenpannen. So kann das OAIC nun zB nach dem Eingang einer Beschwerde von einem Datenverarbeiter ein externes und unabhängiges Review seiner Verarbeitungstätigkeiten sowie getroffener Abhilfemaßnahmen verlangen (subsec. 32 (1AAA)). Der Review-Bericht ist dem OAIC in Kopie auszuhändigen. Zudem kann eine Bekanntgabe von Informationen über eine Datenpanne gegenüber den Betroffenen angeordnet werden (sec. 52A). Vor allem aber kann das OAIC bereits beim Verdacht einer Datenpanne nun von den betroffenen Datenverarbeitern und auch Dritten Informationen und Dokumente anfordern, die die Datenpanne selbst oder ihre Umstände sowie Abhilfemaßnahmen betreffen, oder aber eine Befragung anordnen (sec. 26WU). Das dahinterstehende und nunmehr gestärkte Notifiable-Data-Breaches-System gilt bereits seit dem 22.2.2018 und wurde durch den Privacy Amendment (Notifiable Data Breaches) Act 2017 etabliert, indem u. a. die sec. 26WA ff. in den Privacy Act 1988 eingefügt wurden.
Ebenfalls erweitert wurden die Möglichkeiten zur Bewertung der Verarbeitungstätigkeiten von Datenverarbeitern in Bezug auf ihre Übereinstimmung mit den Australien Privacy Principles, wobei auch Dritte nun bei Bedarf zur Informationsweitergabe an das OAIC verpflichtet werden können (sec. 33C). Erhält ein Datenverarbeiter eine Aufforderung, sich zu seinem Verhalten gegenüber der OAIC zu erklären, so muss dieser nun innerhalb von vierzehn Tagen mit einer Erklärung mit vorgegebenem Mindestinhalt auf diese Aufforderung reagieren (sec. 52A).
Bei Zuwiderhandlungen drohen Strafen iHv bis zu 60 Penalty Units; bei wiederholter Zuwiderhandlung bis zu 300 Penalty Units (sec. 66).
3. Erweiterte Extraterritorialität
Schließlich sollen mit dem Gesetz auch die Möglichkeiten eingeschränkt werden, sich dem australischen Datenschutzrecht zu entziehen. Hierzu wurde eines der beiden Erfordernisse beseitigt, die bislang (kumulativ) vorliegen mussten, damit ein „Australian link“ vorliegt, infolge dessen der Anwendungsbereich des Privacy Act 1988 auch extraterritorial eröffnet ist: „the personal information was collected or held by the organisation or operator in Australia or an external Territory, either before or at the time of the act or practice“ (par. 5B(3)(c) aF). Nunmehr ist ausreichend, wenn die Voraussetzung „carries on business in Australia or an external Territory“ vorliegt (par. 5B(3)(b)). Damit wurde eine Art. EWG_DSGVO Artikel 3 Abs. EWG_DSGVO Artikel 3 Absatz 2 DS-GVO vergleichbare Regelung geschaffen und den Realitäten der digitalen Plattformökonomie Rechnung getragen. Auch diese Ausweitung des Geltungsbereichs des Privacy Act 1988 bedeutet letztlich eine Stärkung des OIAC.
4. Ausblick
Das OAIC hat die Verabschiedung des Amendment Act in einem Statement begrüßt. Die Stellung des OAIC hat sich durch den erheblich erweiterten Bußgeldrahmen und die ebenfalls signifikant erweiterten Befugnisse bedeutend verbessert. Es bleibt jedoch abzuwarten, in welchem Ausmaß die Behörde von ihren neuen Möglichkeiten dann auch tatsächlich praktischen Gebrauch machen wird. Die Hoffnung scheint zunächst zu sein, dass bereits der neue Bußgeldrahmen für viele Datenverarbeiter einen ausreichenden Ansporn bietet, ihre Datenschutz-Compliance zu verbessern.