Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven

Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven
Hans G. Zeger, ARGE DATEN Wien, NH Danube City, 22. Oktober 2013 ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / Fax.: 01 / Mail Verein: Mail persönlich: WWW-Verein: Zertifizierung: e-commerce: WWW-DSG2000: DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2000-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: elektronische Kopie der Veranstaltungsunterlagen: ARGE DATEN

Aktivitäten der ARGE DATEN
Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: Besucher/Monat - Newsletter: rund Abonnenten - 2012: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen - 2012: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder - aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG Diese Datenschutzthemen bewegen die Österreicher: - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 28%  - Beruf: 11%  - Persönliches und Privatleben: 10%  - Behörden und Verwaltung: 10%  - Konsumentendaten/Adressenverlage: 8%  - Gesundheit und Soziales: 7%  - Internet und Telekombetreiber: 7%  - Bildung und Ausbildung: 5%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 15%  Ausgewertet wurden rund 600 Datenschutzfälle der letzten fünf Jahre ,,,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2012)‏ ARGE DATEN 2

Ausbildungsreihe der ARGE DATEN
Betrieblicher Datenschutzbeauftragter Ausbildungsreihe der ARGE DATEN Modul I: Datenschutz Grundlagen Modul II: Datenverwendung im Unternehmen Oktober 2013 / 26. März 2014 Modul III: Datenschutz und IT-Sicherheit 5. November 2013 / 8. April 2014 Modul IV: Datenschutz Praxis / international Oktober 2013 / 27. März 2014 Modul V: Datenschutzfragen identifizieren 6. November 2013 / 9. April 2014 Warum ein "betrieblicher Datenschutzbeauftragter"? Viele Unternehmen, insbesondere ab einer Größe von 50 Mitarbeitern, haben sich dazu entschlossen die Position eines "betrieblichen Datenschutzbeauftragten" zu schaffen. Dies hat sowohl ablauf- als auch aufbauorganisatorische Vorteile. Durch die Schaffung dieser Position ergibt sich für alle Mitarbeiter eine klar dokumentierte Zuständigkeit für Datenschutzfragen, die meist komplexer rechtlicher, technischer oder organisatorischer Art sind und nicht unmittelbar einzelnen Abteilungen, wie der IT- oder der Rechts-Abteilung zugeordnet werden können. Damit kann auch Koordination und Durchsetzung der notwendigen Datenschutzmaßnahmen erleichtert werden. Der Datenschutzbeauftragte kann leichter Fristen und Verpflichtungen, die sich aus dem Datenschutzgesetz ergeben, wie die Registrierungspflichten (§ 17 DSG 2000), die Maßnahmen zur Datensicherheit (§ 14 DSG 2000), die Mitarbeiterschulung (§ 15 DSG 2000) oder den zeitgerechten Abschluss von Dienstleistervereinbarungen (§ 10 DSG 2000) koordinieren und überwachen. Für Mitarbeiter, Kunden und Lieferanten ergibt sich eine eindeutige Kompetenzstelle für alle Datenschutzprobleme, unabhängig davon welche Geschäftsbereiche diese betreffen. Gerade Datenschutzfragen enthalten potentiellen Konfliktstoff, der durch eine rasche und effiziente Klärung offener Fragen professionell beseitigt werden kann. Die Reihe wird mit einem Zertifikat abgeschlossen ARGE DATEN 3

Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern. - ARGE DATEN 4

Geplanter Seminarablauf
Grundlagen DSG 2000 / Privatsphäre Videoüberwachung / Spezialregelungen Genehmigung / Registrierung Informationspflichten & Betroffenenrechte Sicherheit / Strafbestimmungen - EU-Neuordnung Datenschutz / Ausblick ARGE DATEN 5

Grundlagen des DSG 2000 ARGE DATEN Die wichtigsten Begriffe Zustimmung
Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung - ARGE DATEN 6

Entwicklung zum DSG 2000 ARGE DATEN DSG 2000 - Grundlagen
1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995 EG-Datenschutzrichtlinie 95/46/EG 1999 Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Wichtige Änderungen zum DSG 2000 (Auswahl) 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009 DSG Novelle 2010 (BGBl. I Nr. 133/2009) 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) 2013 DSG Novelle 2013 (BGBl. I Nr. 57/2013) 2013 DSG Novelle 2014 (BGBl. I Nr. 83/2013) 20?? EU - Neuordnung des Datenschutzes Entwicklung des Datenschutzes in Österreich Eine vollständige Übersicht findet sich unter Änderungen zum DSG 2000 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009 DSG Novelle 2010 (BGBl. I Nr. 133/2009) u.a. Regelung der Videoüberwachung 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) Abschaffung der Datenschutzkommission, Überführung der Agenden der Kommission in den Bundesverwaltungsgerichtshof 2013 DSG Novelle 2013 (BGBl. I Nr. 57/2013) Anpassung der Datenschutzkommission an die Unabhängigkeitsanforderungne nach dem EUGH-Urteil 2013 DSG Novelle 2014 (BGBl. I Nr. 83/2013) Regelung der Kompetenzen der Datenschutzbehörde (1. Instanz) und der Datenschutzagenden des Bundesverwaltungsgerichtshofs (2. Instanz) 2013 Novelle der Datenschutzangemessenheits-Verordnung (BGBl. II Nr. 150/ DSAV-Novelle 2013) 2013 Datenschutzanpassungs-Verordnung 2013 (BGBl. II Nr. 213/2013) ARGE DATEN 7

Umsetzung der EU-Richtlinie "Datenschutz" (1995)
DSG Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten "Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (Datenschutzrichtlinie 95/46/EG)‏ Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern Art. 1 Gegenstand der Richtlinie (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes. Das DSG 2000 wurde am im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999), Inkrafttreten am Übergangsfristen (internationaler Datenverkehr, manuelle Datenanwendungen, die der Meldepflilcht unterliegen), (Anpassung der Rechtsgrundlagen besonder Datenanwendungen § 17 Abs. 3 Z 1 bis 3)‏ Es wurden Spezialbestimmungen, wie Informationspflicht, Informationsverbundsysteme und automatisierte Entscheidung geschaffen ARGE DATEN

DSG 2000 § 1 (Verfassungsbestimmung):
DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen - EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge) DSG 2000 § 1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten")‏ Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg Geplante - praxisnahe - Änderung in Novelle 2010 wegen Parteienstreit nicht durchgeführt: „(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten.“ ARGE DATEN 9

"Daten" ("personenbezogene Daten")
DSG Grundlagen DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten, IP-Adressen, ), ... Datenbegriff sehr allgemein gehalten: in D und LUX spezielle Datenschutz-Regelungen für Bild- und Tondaten (EU-Bericht Umsetzung DS-Richtlinie, 2003)‏, in Ö nunmehr auch zur Videoüberwachung DSG 2000 § 4 Z 1 "Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." DSK K /16-DSK/00 "Daten betreffend Verwandtschaftsverhältnisse und Wohnungsnutzung gehören zur Privatsphäre des einzelnen. Insbesondere Angaben über Verwandtschaftsverhältnisse gehören schon zu einem sehr intimen und höchstpersönlichen Lebensbereich und bilden wegen möglicher Schlussfolgerungen auf 'rassische und ethnische Herkunft' einer Person geradezu einen Grenzfall zum besonders schutzwürdigen Bereich der sensiblen Daten" (RIS)‏ DSG 2000 § 4 Z 3 "Betroffener" Unter Personengemeinschaft wären unter anderem Familien, Bürgerinitiativen, Betriebsräte, Wohngemeinschaften oder Hausgemeinschaften zu verstehen ARGE DATEN 10

Personenbezogene Daten
DSG Grundlagen Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 (1) direkt personenbezogene Daten sind Daten, die unmittelbar einsichtig mit einer Person verknüpft sind (Daten, die zur Personenidentifikation dienen) Name, Geburtsdatum, Wohnanschrift und dazu in direkter Verbindung: Personalnummer, SV-Nummer, persönliche Merkmale und Eigenschaften, Zugehörigkeiten zu bestimmten Gruppen und Bereichen, bestimmte Qualifikationen und Rechte (2) direkt personenbezogene Daten sind Daten, die mit (1) verknüpft sind Daten, etwa in relationalen Datenbanksystemen, die über eine eindeutige Kennung mit einer Person verbunden werden können (Buchungsinformationen, Produktionsinformationen, Kommunikations- und Konsumdaten, ...)‏ (3) direkt personenbezogene Daten sind Daten, die mit hoher Wahrscheinlichkeit mit (1) verknüpft sind, generierte Daten, Daten, die ein Auftraggeber durch Berücksichtigung von Zusatzinformationen oder eigenen Erhebungen einer bestimmten Person zuordnen kann (4) indirekt personenbezogene Daten sind Daten, die ein Auftraggeber zwar nicht mehr legalerweise einer Person zuordnen kann, jedoch andere Stellen oder Auftraggeber. (5) sensible Daten sind bestimmte abschließend aufgezählte Datenarten ( DSG2000 §4 Z2)‏ (6) besonders schutzwürdige Daten: österreichische Sonderformulierung für sensible Daten + Daten aus der Strafrechtspflege, Informationsverbundsystemen und zur Beurteilung der Kreditwürdigkeit von Personen ARGE DATEN 11

DSG 2000 § 4 Z 2 ("sensible" Daten)
DSG Grundlagen DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch", Sozialberatung DSG 2000 § 4 Z 2 "sensible Daten" ("besonders schutzwürdige Daten"): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; Der Begriff „sensible Daten“ wurde in der EU-Richtlinie abschließend definiert und kann durch Österreich weder eingeengt, noch erweitert werden. Zusätzliche Sonderregelung in Österreich: "besonders schutzwürdige" Daten enthalten neben den sensiblen Daten Daten im Zusammenhang mit der Strafrechtspflege, der Beurteilung der Kreditwürdigkeit oder die in Form von Informationsverbundsystemen betrieben werden, werden in der EU- Richtlinie nicht als sensible Daten eingestuft, sie werden jedoch im DSG 2000 unter besonderen Schutz gestellt. Sie nehmen damit eine Zwischenstellung zwischen sensiblen und „normalen“ Daten ein. Biometrische Daten (Fingerabdruck, Augenfarbe, ...) werden nur dann als sensible Daten einzustufen sein, wenn sie Rückschlüsse auf den Gesundheitszustand erlauben. Das Problem kann eine Kombination einzelner, für sich allein nicht sensibler biometrischer Daten sein, z.B. die Kombination Körpergewicht/Körpergröße erlaubt sehr wohl Rückschlüsse auf den Gesundheitszustand. ARGE DATEN 12

DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung
DSG Grundlagen DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG 2000 § 4 Z 4 "Auftraggeber" 4. "Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;" DSG 2000 § 4 Z 5 "Dienstleister" „5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);“ K /002-DSK/2001 "..sondern auch Personengemeinschaften, welchen es zwar an einer eigenen Rechtspersönlichkeit mangelt, die aber durch ihre Bezeichnung sowie die gemeinsamen Ziele und Aufgaben der Mitglieder eine hinlänglich unterscheidbare Entität sind." (RIS)‏ ARGE DATEN 13

DSG 2000 § 4 Z 8 " Verwenden von Daten"
DSG Grundlagen DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" DSG 2000 § 4 Z 7 ,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 " Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" DSG 2000 §4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind" DSG 2000 §4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)" ARGE DATEN 14

Entscheidung OGH 6Ob148/00h "Abgrenzung Akten und Datei"
DSG Grundlagen Entscheidung OGH 6Ob148/00h "Abgrenzung Akten und Datei" Unter Datei sind daher Übersichts-Karteien und Listen, nicht aber Akteninhalte und Aktenkonvolute zu verstehen. OGH-Spruch: Daten in Akten unterliegen nicht dem Datenschutzgesetz (!) DSK K /005-DSK/2002 ("Personalakte")‏ "Der Personalakt selbst ist ein Konvolut verschiedener Papieraktenstücke und wird zwar wohl nach einem Suchbegriff geordnet aufbewahrt, hat aber keinen fest strukturierten Inhalt." Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000, Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrechts (Personalakte) DSK und OGH-Entscheidungen zu Papierakten werden als Richtlinien- und DSG widrig kritisiert (u.a. Mayer-Schönberger, Datenschutz und Papierakten) DSK K /005-DSK/2002 ("Personalakte")‏ "Der Personalakt selbst ist ein Konvolut verschiedener Papieraktenstücke und wird zwar wohl nach einem Suchbegriff geordnet aufbewahrt, hat aber keinen fest strukturierten Inhalt. Ein Gutachten, das darin auf Grund bestimmter individueller Umstände, wie hier einer Stellenbewerbung der im Akt beschriebenen Person, einliegt, enthält wiederum im wesentlichen schriftlich niedergelegte, eigenständige Schlussfolgerungen des Sachverständigen, die definitionsgemäß weder strukturiert noch ihrem (Daten-) Inhalt nach vorhersehbar sein müssen. DSK K /015-DSK/2003 ("Indexdatei der Polizei") "Die Datensammlung bei Namensakten ist nach dem Suchbegriff "Anfangsbuchstabe des Familiennamens" geordnet und weist eine durch die KanzlO-BG vorgegebene innere Struktur in der Form auf, dass innerhalb der Karteikarte Familien- und Vorname, allenfalls Geburtsdatum und Anschrift sowie alle Geschäftszahlen mit Betreffangabe aufgelistet sind, die sich auf ein und denselben Betroffenen beziehen...(RIS)‏ Karteikarte Familien- und Vorname, allenfalls Geburtsdatum und Anschrift sowie alle Geschäftszahlen mit Betreffangabe aufgelistet OGH 6Ob148/00h "Obwohl das Gesetz dies weder im § 1 DSG idgF noch in den Begriffsbestimmungen des § 4 DSG ausdrücklich zum Ausdruck bringt, ist es nach der systematischen und teleologischen Interpretation nicht zweifelhaft, dass das Recht auf Datenschutz gemäß § 1 leg cit nur solche personenbezogenen Daten betreffen kann, die in einer Datei aufscheinen, also nach der gesetzlichen Begriffsdefinition in einer strukturierten Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind." (RIS)‏ ARGE DATEN 15

DSG 2000 § 4 Z 9 "Verarbeiten von Daten"
DSG Grundlagen DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Entscheidung DSK K /16-DSK/00 "technisch unabhängig" Übermittlung ist unabhängig von der technischen Methode DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers" DSK K /16-DSK/00 "‘Übermittelt’ im Sinne von § 21 Abs 2 AsylG werden Daten dann, wenn Sie von einem österreichischen Staatsorgan jedwedem amtlichen Organ des Herkunftsstaates, insbesondere innerstaatlichen Behörden, diplomatischen, berufskonsularischen oder honorarkonsularischen Vertretungen, in irgendeiner Form personenbezogen mitgeteilt werden." (RIS)‏ ARGE DATEN 16

Entscheidung OGH 4 Ob 221/06p ("GE ...bank")
DSG Grundlagen DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf der Zustimmung in § 8 bzw. § 9 geregelt Entscheidung OGH 4 Ob 221/06p ("GE ...bank") OGH 4 Ob 28/01y ("Creditanstalt") OGH 4 Ob 179/02f ("BA-CA") Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen aus Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ... OGH 4Ob28/01y ("Creditanstalt"): Relevante Passage: "Der Kontoinhaber ist damit einverstanden, dass die Bank alle im Zusammenhang mit der Eröffnung und Führung des Kontos/Depots stehenden Daten an eine zentrale Evidenzstelle und/oder an Gemeinschaftseinrichtungen von Kreditunternehmungen übermitteln kann." RIS-Kommentar: "Eine wirksame Zustimmung zur Verwendung nichtsensibler Daten liegt nur vor, wenn der Betroffene weiß, welche seiner Daten zu welchem Zweck verwendet werden. Diesem Erfordernis wird eine Vertragsbestimmung nicht gerecht, die als Empfänger "eine zentrale Evidenzstelle und/oder Gemeinschaftseinrichtungen von Kreditunternehmungen" nennt So kann für sich allein durchaus klaren und verständlichen Klauseln die Sinnverständlichkeit fehlen, wenn zusammenhängende Regelungen und ihre nachteiligen Effekte deshalb nicht erkennbar werden, weil die einzelnen Teile an versteckten oder nur schwer miteinander in Zusammenhang zu bringenden Stellen, etwa in verschiedenen Klauseln, geregelt sind." siehe auch: Widerruf ist sofort wirksam: § 8 DSG 2000 Abs. 1 Z 2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt (Analog DSG 2000 §9 Z 6 für sensible Daten)‏ ARGE DATEN 17

Die geklagten Klauseln werden durchwegs aufgehoben
DSG Grundlagen OGH 4 Ob 221/06p ("GE ...bank") AK klagt Vielzahl von AGB-Klauseln Datenschutzbestimmungen betreffen: - Entbindung vom Bankgeheimnis (OGH  unzulässig in den AGB's, hat jedoch ausdrücklich zu erfolgen) - Zustimmung zur Datenaustausch mit Auskunftsdiensten (OGH  Stellen sind ausdrücklich zu benennen, nicht ausreichend in AGB's, Daten sind zu spezifizieren, Zweifel ob im vorliegenden Fall überhaupt berechtigt) - OGH: Aus Pflicht zur Bonitätsprüfung kann keine Datenweitergabe an Auskunftsdienste abgeleitet werden - Zustimmung zu Werbezwecken (OGH  Widerrufsmöglichkeit muss in derselben Klausel wie Zustimmung sein, ansonsten Irreführungsmöglichkeit) - Übermittlung an andere Unternehmen zu Werbezwecken (OGH  Unternehmen, Daten und Zwecke müssen vollständig angeführt sein) Die geklagten Klauseln werden durchwegs aufgehoben OGH 4 Ob 221/06p ("GE ...bank"): Pflicht der Bank zur Bonitätsprüfung bedeutet noch keine Erlaubnis zur Dateneinholung bei Auskunftsdiensten ohne Zustimmung, sondern bloß dass sich die Bank um eine Zustimmung bemühen muss und wenn sie nicht gegeben wird, die Kreditvergabe verweigern muss. Aus der OGH-Entscheidung: "Eine Bestimmung in allgemeinen Geschäftsbedingungen, durch die der Kunde sogar dem Austausch von Bonitätsinformationen mit nur beispielsweise genannten Auskunftsstellen zustimme, sei intransparent, weil sie die Tragweite der Einwilligung nicht erkennen lasse. Eine wirksame Zustimmung könne nur vorliegen, wenn der Betroffene wisse, welche seiner Daten zu welchem Zweck von wem verwendet werden sollen. Die Zustimmung zur Einholung von der Beklagten „notwendig erscheinenden" Informationen sowie zur Übermittlung der seitens des Kreditgebers angefragten Daten sei gleichfalls intransparent. Der Einwand der Beklagten, sie sei zur Bonitätsprüfung verpflichtet, könne nur bewirken, dass sie sich um die erforderlichen Zustimmungen bemühen und bei deren Verweigerung die Kreditvergabe ablehnen müsse. Ein überwiegendes und berechtigtes Interesse, mit nicht genannten Auskunftsstellen nicht angeführte Bonitätsdaten auszutauschen, ergebe sich daraus nicht Dem Einwand der Beklagten, die Klausel enthalte eine wirksame Entbindung vom Bankgeheimnis, ist die nunmehr ständige Rechtsprechung des Obersten Gerichtshofs entgegenzuhalten. Danach reicht die Aufnahme einer entsprechenden Klausel in - regelmäßig nicht unterfertigte - Allgemeine Geschäftsbedingungen nicht für eine wirksame Entbindung vom Bankgeheimnis aus (4 Ob 28/01y = SZ 74/52; 4 Ob 179/02f = SZ 2002/153). Es besteht auch im vorliegenden Fall kein Anlass, von dieser Auffassung abzugehen. Das Gebot der Schriftlichkeit bedeutet, dass der Kunde das die Zustimmungserklärung enthaltende Schriftstück unterfertigen muss. Die geforderte Ausdrücklichkeit bedingt, dass die Entbindungserklärung klar und deutlich im unterfertigten Schriftstück enthalten ist (4 Ob 179/02f = SZ 2002/153 mN). Angesichts der besonderen Bedeutung des Bankgeheimnisses muss sichergestellt sein, dass auch ein Kunde, der das Schriftstück nur oberflächlich studiert, die Entbindungserklärung zur Kenntnis nimmt und sie im Bewusstsein ihrer Bedeutung unterzeichnet. Diese vorformulierte Zustimmungserklärung widerspricht dem Transparenzgebot nach § 6 Abs 3 KSchG. Sie lässt weder erkennen, auf welches Unternehmen sich die Einwilligung bezieht (die in Klausel 31 angeführten Unternehmen können es nicht sein, weil sich darunter einige befinden, die ganz offenkundig keine Bankgeschäfte betreiben), noch ist ersichtlich, welcher Art die zu bewerbenden Produkte sind, noch auch welchen Kommunikationsmitteln der Kreditnehmer durch seine Erklärung zustimmen soll. Es bleibt daher völlig offen, mit welchen Werbemaßnahmen welchen Unternehmens der Kreditnehmer aufgrund dieser Klausel zu rechnen hat. Es kann daher auch nicht abgeschätzt werden, mit welcher Beeinträchtigung er rechnen muss." ARGE DATEN 18

Was ist eine gute Zustimmungserklärung?
DSG Grundlagen Was ist eine gute Zustimmungserklärung? - grundsätzlich gilt Formfreiheit auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich - Willenserklärung Art wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei Geschäftsleuten Empfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen - Kenntnis der Sachlage Aufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann) - konkreter Fall Pauschalzustimmungen, ohne besonderen Zweck sind unzulässsig - Widerrufshinweis gesetzlich nicht vorgeschrieben, OGH tendiert jedoch dazu - ARGE DATEN 19

Die wichtigsten Begriffe (§ 4 DSG Z ...)
DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z ...) Verwenden von Daten Z 8 Auftraggeber Z 4 Daten- anwendung Z 7 Übermitteln Verarbeiten Z 9 Z 12 Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen, ... Dienstleister Z 5 Auftrag Novelle 2010: Geänderte Begriffsdefinitionen § 4 DSG 2000 Z 4 Auftraggeber: nunmehr konsequent auf das "Verwenden von Daten" (Z8) abgestimmt Z 5 Dienstleister: Klarstellung, nur solange auftragsgemäße Datenverwendung [SWIFT?] Z 7 Datenanwendung: Alternativbegriff "Datenverarbeitung" gestrichen. Z 8 Verwenden von Daten: nicht mehr mit Datenanwendung verknüpft [manuelle Dateien, Internet/Soziale Netze?] Z 9 Verarbeiten von Daten: nicht mehr an Auftraggeber- oder Dienstleistereigenschaft gebunden [manuelle Dateien, Internet/Web2.0?] Z 10 Ermitteln: gestrichen Z 11 Überlassen von Daten: Klarstellung, dass zur Überlassung ein Vertragsverhältnis zwischen Auftraggeber und Dienstleister erforderlich ist Z 12 Übermitteln von Daten: nicht mehr an das Vorhandensein einer Datenanwendung gebunden [manuelle Dateien, Internet/Soziale Netze?] Ausdehnung der Gültigkeit der Begriffe auf Datenanwendungen und manuelle Dateien (Abs. 2) ARGE DATEN 20

Grundsätze der Verwendung von Daten (§ 6ff)
DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) /010-DSK/2001 ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren Umsetzung der Datenschutzkonvention des Europarates Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)‏ Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (§ 6 Abs. 1 Z 2)‏ Daten müssen für den Zweck der Datenanwendung wesentlich sein (§ 6 Abs. 1 Z 3)‏ Verwendung muss im Ergebnis sachlich richtig sein (§ 6 Abs. 1 Z 4) DS-RL Art. 6 lit. d: Verwendung muss "sachlich richtig" sein Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (§ 6 Abs. 1 Z 4)‏ Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (§ 6 Abs. 1 Z 5)‏ Selbstregulierung: § 6 Abs. 4 "Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat." Bisher wenig genutzt, bekanntes Beispiel: Adressenverlage "Fair-Data" ARGE DATEN 21

DSK K /010-DSK/2001 "Der Beschwerdeführer, der als Sicherheitswachebeamter auch eine Gewerbeberechtigung als Berufsdetektiv anstrebte, rügte die (nicht-strukturierte) Datenermittlung bzw. Datenübermittlung zwischen Gewerbebehörde und verschiedenen Dienststellen im Zuge der gewerberechtlichen Zuverlässigkeitsprüfung. 'Wesentlichkeitsgrundsatz', des DSG 2000 ist jedenfalls zu betonen, dass die Bundespolizeidirektionen nur die unbedingt notwendigen Informationen weitergeben dürfen. Andererseits dürfen die Bundespolizeidirektionen nicht durch eine übertrieben restriktive Handhabung des § 336 a Abs. 2 GewO die Kompetenz der Gewerbebehörden zur selbständigen Beurteilung der 'gewerberechtlichen Zuverlässigkeit' schmälern. Daraus ergibt sich, dass es zwar unzulässig ist, Daten, die in keinem sachlichen Zusammenhang mit dem Kriterium der Zuverlässigkeit im Hinblick auf eine bestimmte angestrebte Gewerbeberechtigung stehen, der Gewerbebehörde zu übermitteln, es aber zum Pflichtenkreis der Sicherheitsbehörde gehört, der Gewerbebehörde auch nicht weiter verfolgte Anzeigen/Verdachtsmomente betreffend 'einschlägige' Delikte zur Kenntnis zu bringen." (RIS)‏ Entscheidungspraxis der DSK tendiert dazu Übermittlungswünsche zu bejahen sobald ihre Notwendigkeit denkmöglich ist , siehe K /13-DSK/00 "Datenübermittlung von AK an ÖGB": "Die Beschwerdeführerin bringt zwar vor, dass für die gewerkschaftliche Tätigkeit alternative Informationsmöglichkeiten in Frage gekommen wären, legt damit aber den Begriff der ‘erforderlichen Daten’ nach Ansicht der Datenschutzkommission zu eng aus. Sinn und Zweck der Bestimmung ist es, den freiwilligen Berufsvereinigungen, gerade in betriebsbezogenen Konfliktfällen, einen Rückgriff auf die - viel umfassenderen - Mitgliederdatenbestände der Arbeiterkammern zu ermöglichen, insbesondere dadurch direkte Informationen an die Betroffenen richten zu können." (RIS)‏ ARGE DATEN 22

Grundlage einer rechtmäßigen Datenverwendung
DSG Grundlagen Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss ein berechtigter Zweck für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7ff) Die Datenanwendung muss den Registrierungserfordernissen entsprechen (§§ 16ff) Beispiele: Warndatei von Risikopatienten in einem Krankenhaus Dürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden? Bank als Veranstaltungsvermittler und "JugendClub"-Betreiber Dreistufiges Konzept (a) Es muss eine Rechtsgrundlage für eine Datenanwendung geben (§ 7 Abs.1): "... von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt ..." Die Zulässigkeit ist gegeben, wenn der Grundrechtseingriff auf das erforderliche Maß beschränkt bleibt, mit den gelindesten Mitteln erfolgt und gemäß der Grundsätze nach § 6 erfolgt. Diese Rechtsgrundlage ist nicht durch die Zustimmung des Betroffenen ersetzbar. Die Anforderungen von Treu und Glauben müssen erfüllt sein (§ 6)‏ (b) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten geben (§§ 7-9) Eine der zulässigen Rechtsgrundlagen kann die Zustimmung des Betroffenen sein oder auch eine ausdrückliche gesetzliche Ermächtigung zur Datenerhebung (c) Die Datenanwendung muss den Registrierungsanforderungen entsprechen (§§ 16ff, Ausnahmen beachten)‏ Weitere Beispiele bei denen die Voraussetzungen für die Datenverwendung diskussionswürdig sind: - Verwendung von Telefonbuchdaten für Datenhandel - Personendaten in einer Konkursmasse / auf ersteigertem Computer ARGE DATEN 23

DSG Grundlagen Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden? (1) Rechtsgrundlage Die Verwendung von personenbezogenen Daten muss für ein legitimes Ziel (Gesetz, Vertrag, ...) erforderlich sein. (2) Eignung Die Verwendung von Daten muss geeignet sein um das bestimmte, konkrete Ziel (Zweck) tatsächlich zu erreichen. (3) Erforderlichkeit Es gibt keine alternative (weniger invasive) Lösung zur Erreichung des bestimmten Ziels (Zweckes). (4) Verhältnismäßigkeit Die Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte). - ARGE DATEN

Grundlage ist § 47 DSG 2000 "Datenverwendung zu Verständigungszwecken"
DSG Grundlagen Entscheidung zu DSG 2000 § 7 DSK K /8-DSK/00 ("Eigenwerbung") Zum Zwecke der "Eigenwerbung" dürfen auch Daten aus anderen Verwendungszwecken des Datenverarbeiters benutzt werden Die DSK geht davon aus, dass kein schutzwürdiges Interesse (Geheimhaltungsinteresse) verletzt wird. Das Vermerken von Spenden in einer Patientendatei wäre jedoch nach Ansicht der DSK unzulässig. Verwendung nicht uneingeschränkt zulässig, muss mit ursprünglichem Zweck grundsätzlich vereinbar sein Grundlage ist § 47 DSG 2000 "Datenverwendung zu Verständigungszwecken" DSK K /8-DSK/00 "Ein ehemaliger Patient einer öffentlichen Krankenanstalt erhob Beschwerde, weil seine, aus dem ADV-Aufnahmebuch der Krankenanstalt stammenden Daten zur Versendung eines Spendenaufrufs an ihn selbst verwendet worden waren. Die Verwendung der Daten 'Name' und 'Adresse' des Patienten zum Zweck eines Spendenaufrufs (für eine Spendenaktion im Rahmen des Krankenhauses, deren Erlös zum Wohl der Patienten verwendet werden soll) erfolgt zu einem - mit dem Zweck der ursprünglichen Ermittlung der Daten kompatiblen - und der ursprünglichen Datenverarbeitung angelagerten Zweck, nämlich der Verwendung im Rahmen einer Art 'Eigenwerbung' der Krankenanstalt." (RIS)‏ ARGE DATEN 25

Zwecke und Geschäftsbereiche
Auswertung von Girokonten zur Anbahnung von Bausparverträgen (OGH 4 Ob 114/91) Ausgangslage - eine sektorale Bausparkasse hat den ihr zugerechneten Banken vorgeschlagen, die Girokonten nach "Fremdbausparverträgen" bzw. "Nichtbausparern" zu analysieren und diese gezielt bezüglich eines Abschlusses eines Bausparvertrages anzusprechen - eine Datenübermittlung an die Bausparkasse fand nicht statt - die Bausparkasse stellte ein Auswertungstool zur Verfügung Entscheidung des OGH - unzulässige Datenverwendung - die Führung von Girokonten und die Vermittlung von Verträgen (hier: Bausparverträgen) sind als zwei getrennte Geschäftsbereiche anzusehen RIS Rechtssätze zu OGH 4 Ob 114/9: "Der Wahrung des Bankgeheimnisses und des Datenschutzes kommt gerade im Kreditwesen große Bedeutung zu; im Zweifel ist dem Schutz des Kunden durch das Bankgeheimnis und der vertraulichen Behandlung personenbezogener Daten gegenüber dem eigenen Geschäftsinteresse (Provisionsinteresse) der Vorrang zu geben." (DSG § 1; KWG 1979 § 23; UWG § 1 C2)‏ "Es ist nicht zulässig, Kundendaten einem Dritten zum Zweck eines Datenvergleiches zu übermitteln, um herauszufinden, wer von den eigenen Kunden noch nicht Kunde des Dritten ist." (DSG § 3 Z 4; DSG § 3 Z 9; DSG § 18)‏ "Die allgemeine Erklärung, daß die Daten "zum Zweck des bankinternen Informationssystems" verarbeitet würden, enthält eine Zustimmung zur Verarbeitung für "andere Aufgabengebiete" im Sinne des § 3 Z 9 DSG nicht." (DSG § 3 Z 9)‏ "Wer einer Bank im Rahmen des Giroverkehrs Daten anvertraut, soll aber mangels besonderer Vereinbarung nicht gewärtigen müssen, daß die Bank diese Daten (wenn sie sie auch nicht an einen Dritten weitergibt) zum Zweck der Vermittlung von Bausparverträgen vornehmlich im Interesse eines Dritten (und im eigenen Provisionsinteresse) verwendet." (DSG § 3 Z 9)‏ "Die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers soll nicht nur für den öffentlichen Bereich des DSG (zweiter Abschnitt: §§ 6 bis 16) Geltung haben; nunmehr kommt dem "Aufgabengebiet auch im privaten Bereich so weit Bedeutung zu, als von einem Rechtsträger unterschiedliche Tätigkeitsbereiche besorgt werden (zB Buchclub/Versicherungsgeschäft). In jedem Fall sollen die Betroffenen bei der Ermittlung davon ausgehen können, daß die Daten nur für einen bestimmten Tätigkeitsbereich des Rechtsträgers Verwendung finden." (DSG § 3 Z 9)‏ [Anm. die zitierten Bestimmungen beziehen sich auf Stand Urteilsverkündung, und sind zum Teil verändert, z.B. § 23 KWG seit § 38 BWG, die DSG- Bestimmungen beziehen sich auf DSG78] ARGE DATEN 26

Zwecke und Geschäftsbereiche
Fallbeispiel Bankkonto Welche Daten dürfen Banken bei Girokontoeröffnung erheben? - nach BWG verpflichtet: Identität des Antragstellers (Name, Adresse, Geburtsdatum, Ausweis) - aus Kontaktgründen sinnvoll: Telefonnummer, -Adresse - auf Grund spezifischer Angebote möglich: Dienstgeber Welche weiteren Daten erheben Banken? (Studie bei 19 Instituten) - SV-Nummer (5), Familienstand(13), Zahl der Kinder(6), Beruf/Beschäftigungsart(14), Wohnungsart(3), Bildung(2), PKW- Besitz(2) - nur 4 Institute stellen keine über den Zweck hinausgeehnde Fragen - Maximalvariante: ein Institut verlangte detaillierte Haushaltsrechnung Unter der Bezeichnung "Finanzanalyse" und "Haushaltsrechnung" verlangte ein Kreditinstitut folgende Daten (ausschnittsweise): Vermögensangaben: - Grundbesitz (Wohnnutzfläche, Grundbuchdaten, Baujahr, Verkehrswert, Versicherungssumme)‏ - Lebensversicherung (Polizzennummer, Versicherungsanstalt, Laufzeit, Rückkaufswert)‏ - Wertpapiere (Depotinstitut, Depotnummer, Kurswert)‏ - Spar- und Giroeinlage (Institut, Saldo)‏ - Bausparen (Bausparkasse, Vertragnummer, Guthaben)‏ - Beschreibung und Wert der sonstigen Vermögenswerte - Kredite und Leasingvereinbarungen (Institute, Kreditarten, offener Saldo, Laufzeit)‏ Haushaltsrechnung: - Beruf, Berufsausbildung, Wohnart, Arbeitgeber, Zahl der Personen im Haushalt - Nettoeinkommen aus Erwerbstätigkeit, aus Kapitalvermögen, aus Vermietung/Verpachtung, aus Nebenerwerb - Einkünfte aus Wohnbeihilfe, Familienbeihilfe, Alimente - Höhe der Zahlungen für Miete, Wohnungskredit, Betriebskosten, Heizung, Strom, Kommunikation, Telefonkosten, Kirchenbeiträge, monatlicher Lebensaufwand für Ernährung, Bekleidung und Freizeit - PKW-Versicherung, Treibstoff, PKW-Wartung, PKW-Leasing, öffentliche Verkehrsmittel - Haushalts-, Lebens-, Kranken/Unfall- oder sonstige Versicherungen - eigene Ausbildungskosten, Ausbildungskosten für Kinder und Partner ARGE DATEN 27

DSG Grundlagen Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) - Rechtsgrundlage / gesetzliche Verpflichtungen - Zustimmung des Betroffenen - zur Wahrung lebenswichtiger Interessen - überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit - indirekt personenbezogene Daten (EU-Konformität??) - zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben? soweit mit ursprünglicher Veröffentlichung vereinbar? Wann dürfen Daten verwendet werden? (sind Geheimhaltungsinteressen nicht verletzt) - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung besteht (§8 Abs. 1 Z1)‏ - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Wahrung eines wichtigen öffentlichen Interesses besteht (§9 Z3)‏ - Betroffener hat zugestimmt/Widerrufsrecht (§8 Abs. 1 Z2, §9 Z6)‏ - lebenswichtige Interessen des Betroffenen (§8 Abs. 1 Z3, §9Z7)‏ - zulässigerweise veröffentlichte Daten (§8 Abs. 2, §9 Z1) - indirekt personenbezogene Daten (§8 Abs. 2, §9 Z2) - überwiegende berechtigte Interessen des Aufftraggebers oder Dritter sind zu wahren (§8 Abs.1 Z4, nur bei nichtsensiblen Daten!)‏ - im öffentlichen Bereich: wesentliche Voraussetzung für gesetzlich übertragene Aufgabe (§8 Abs.3 Z1)‏ - im öffentlichen Bereich: in Erfüllung der Amtshilfe (§8 Abs.3 Z2, §9 Z4) - im öffentlichen Bereich: ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat [behördliche Tätigkeit] (§ 8 Abs 3 Z 6) - Wahrung lebenswichtiger Interessen eines Dritten (§8 Abs.3 Z3, §9 Z8)‏ ARGE DATEN 28

Was ist eine zulässige Veröffentlichung?
DSG Veröffentlichung Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen - ist im DSG 2000 Spezialfall der Datenübermittlung - die Veröffentlichung muss rechtlich zulässig sein Beispiele für bedenkliche Veröffentlichungen: - Altersjubilare in der Gemeindezeitung genannt - Daten von Privathaushalten in einer Tourismusbroschüre angegeben (Kaprun) - Ehrentafel aller eingemeindeten Bürger - Teilnehmerlisten von Kongressen/Seminaren - Klassenbilder im Schuljahresbericht - Veröffentlichen von lokalen (Amateur-)Sportergebnissen mit Name, Adresse und Geburtsdatum im Internet - Zusammenstellung persönlicher Daten durch Personensuchmaschinen - Verwendung ungesicherter ("erratbarer") URLs bei Postzustellung DSK neigt zu einer - unverständlicher Weise - extensiven Interpretation des Begriffs "Veröffentlichung": alles, was kurz öffentlich zugänglich war, etwa eine Aussage vor Gericht oder in einer öffentlichen Gemeinderatssitzung soll für unbestimmte Zeit öffentlich verfügbar sein dürfen und unterliegt keinen schutzwürdigen Interessen des Datenschutzgesetzes Beispiele DSK-Entscheidungen: K /0017-DSK/2008: Gemeinde hat Bürgerdaten an Zeitung weiter gegeben. Beschwerde abgewiesen, da es sich um ein "öffentliches" Bauverfahren handelt! K /0004-DSK/2008: Gemeinde hat Inhalt einer Gemeinderatssitzung an Zeitung weiter gegeben. Beschwerde abgewiesen, da die Gemeinderatssitzung öffentlich zugänglich gewesen wäre. ARGE DATEN 29

ARGE DATEN DSG 2000 - Veröffentlichung Beispiel Verwendung Mailadresse
OGH-Entscheidung 6 Ob 167/06m Ausgangslage - WK-Obmann des Fachverbands Werbung klagt, weil seine auf der Webseite des Verbands veröffentlichte Mailadresse im Zusammenhang mit der "Robinsonliste" genannt wird - Mailadresse diene bloß für Fachverbandsmitglieder, nicht für Beschwerden von Konsumenten Entscheidung - kein Schutzinteresse, da Adresse von Betroffenen selbst mehrfach veröffentlicht wurde und ein sachlicher Zusammenhang zwischen der Robinsonliste, die in den Verantwortungsbereich des Fachverbands fällt und dem Obmann besteht aus dem OGH-Urteil 6 Ob 167/06m: "Es entspricht aber ebenso ständiger Rechtsprechung, dass der Schutz der Privatsphäre auf der einen Seite mit dem Informationsinteresse der Allgemeinheit und dem Schutz der Meinungsäußerungsfreiheit auf der anderen Seite abzuwägen ist; das Informationsbedürfnis der Öffentlichkeit wird dabei zur Verneinung der Rechtswidrigkeit einer Namensnennung führen, wenn der Namensträger selbst sachlichen Anlass zur Nennung gegeben hat (1 Ob 36/86 = SZ 59/182 ua). Ob tatsächlich ein solcher Anlass gegeben war, ist ebenso Einzelfallbeurteilung wie das Ergebnis der Interessenabwägung (vgl 6 Ob 306/98p = EFSlg ; 6 Ob 42/05b)." "Nach den Feststellungen der Vorinstanzen waren die private Handynummer und die private -Adresse des Klägers auf den jedermann zugänglichen Websites der Wirtschaftskammer Österreich ersichtlich; Publikationen des Klägers enthielten - zumindest fallweise - ausdrückliche Aufforderungen zur Kontaktaufnahme. Für einen unbeteiligten Betrachter und jeden Konsumenten entstand dadurch der Eindruck, der Kläger als Obmann des Fachverbands Werbung und Marktkommunikation lade auch ihn in Belangen des Fachverbands zur Kontaktaufnahme ein; zu diesen Belangen gehört auch die Führung der Robinsonliste." "Berücksichtigt man den von den Vorinstanzen festgestellten Umgang des Klägers mit seiner privaten Handy-Nummer und seiner privaten -Adresse, sind allerdings keine derartigen überwiegenden schutzwürdigen Geheimhaltungsinteressen erkennbar. Der Kläger argumentiert selbst auch lediglich damit, dass „massenweise übermittelte E- mails von Antragstellern an eine öffentliche Einrichtung nichts im Privathaushalt eines Funktionärs zu suchen" hätten; zur Interessenabwägung nimmt er inhaltlich jedoch nicht konkret Stellung." (RIS-Rechtssatz)‏ ARGE DATEN 30

DSK K121.224 ("Nationalrat, Parlament")
DSG Abgrenzung Zuständigkeit DSK K ("Nationalrat, Parlament") Ausgangslage - im Zuge einer parlamentarischen Anfragebeantwortung wurde eine Person (kein Politiker) namentlich genannt - Anfragebeantwortung wurde auf Website des Parlaments nicht anonymisiert veröffentlicht Entscheidung - keine Zuständigkeit der DSK gegeben - DSK nur bei Vollziehung der Gesetze ("öffentlicher Bereich" § 5 DSG 2000) und - teilweise - für private Datenverarbeiter zuständig - Datenschutzverletzung betrifft Gesetzgebung für Gesetzgebung, aber auch Justiz keine Zuständigkeit des DSG 2000, Gerichte haben jedoch vergleichbare Bestimmungen im GOG § 5 DSG Öffentlicher und privater Bereich (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Abs. 2) durchgeführt werden. (2) Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber, 1. die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere auch als Organ einer Gebietskörperschaft, oder 2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig sind. (3) Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes. ebenfalls relevant: K /005-DSK/ Aufnahme eines unvollständig anonymisierten Beschlusstextes (Urteil) in die RIS-Datenbank OGH-Urteil 9ObA116/98v - Im Urteil wird die Mobiltelefonnummer vollständig angegeben Weitere Beispiele: NR-Abgeordneter veröffentlicht (nicht anonymisiert) Brief einer Frau auf seiner Homepage ARGE DATEN 31

Besondere Bestimmungen
Videoüberwachung Informationsverbundsystem Wissenschaft und Forschung Verständigung / Adressenverlage automatisierte Einzelentscheidung - ARGE DATEN 32

Videoüberwachung - Hintergrund
DSG Novelle Videoüberwachung Videoüberwachung - Hintergrund (DSG 2000 § 50a ff) - keine offiziellen Statistiken über Umfang der Videoüberwachung in Österreich (Schätzung: Standorte mit Kameras) - keine Zahlen im staatlichen oder staatsnahen Bereich vorhanden - staatliche Videoüberwachung teilweise in SPG ("Gefahrenabwehr") und StPO ("Lauschangriff") geregelt - sonstige Videoüberwachungen sind personenbezogene Datenaufzeichnung und Teil des DSG 2000 ("bestimmbare" Personen) - spezifisches Problem: es werden vorrangig Personen erfasst, die NICHT unter den Aufzeichnungszweck fallen - ARGE DATEN 33

Videoüberwachung - Definition
DSG Novelle Videoüberwachung Videoüberwachung - Definition (DSG 2000 § 50a Abs 1) Videoüberwachung ist definiert durch: - systematische und fortlaufende Feststellung von Ereignissen - betreffen bestimmte/überwachte Objekte oder Personen - Nutzung technischer Bildaufnahme- und Bildübertragungsgeräte Hinweis! Nicht jede Bildaufzeichnung fällt unter die Definition der Videoüberwachung! - einzelne Fotos/kurze Filme mit Digitalkameras oder Handykameras ("Touristenaufnahmen") - Aufnahmen aus fahrenden Autos heraus - Überwachung ohne identifizierende Absicht (technische Überwachungen, "Panoramakameras", "Hirsch-TV") Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 1 (neu): (1) Videoüberwachung im Sinne dieses Abschnittes bezeichnet die systematische, insbesondere fortlaufende Feststellung von Ereignissen, die ein bestimmtes Objekt (überwachtes Objekt) oder eine bestimmte Person (überwachte Person) betreffen, durch technische Bildaufnahme- oder Bildübertragungsgeräte. Für derartige Überwachungen gelten die folgenden Absätze, sofern nicht durch andere Gesetze Besonderes bestimmt ist. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) § 50a Abs. 1 enthält zunächst eine Definition der Videoüberwachung. Dass dies mit „systematischer“ Erfassung von Ereignissen umschrieben wurde, soll klarstellen, dass durch eine Summe von Verwendungsschritten (vgl. § 4 Z 7) das Ergebnis „Überwachung“ verwirklicht werden soll. Aufnahmen etwa aus rein touristischen oder künstlerischen Beweggründen aber auch Filmen für ausschließlich familiäre oder persönliche Tätigkeiten (vgl. § 45, zB bei einem Kindergeburtstag) fallen damit nicht darunter, sehr wohl aber auch gezieltes Fotografieren. Überwachtes Objekt oder überwachte Person ist jene Person, Gegenstand oder Ort, auf die sich die systematische Erfassung von Ereignissen intentional richtet. Sofern Videoüberwachungen für ausschließlich persönliche und familiäre Tätigkeiten überhaupt denkbar sind (zB Bildüberwachung von Babys), fallen diese nicht unter die Bestimmungen des § 50a. Entgegen dem Judikat K /0002-DVR/2009 der Datenschutzkommission vom 8. Mai 2009 ist aber davon auszugehen, dass der eng gefasste Wortlaut des § 45 [Datenanwendung für private Zwecke, Anm.] die Überwachung von Einfamilienhäusern und dazu gehörigen Grundstücken nicht umfasst und überdies neben potenziellen Einbrechern auch andere Personen (Besucher, allfällige Hausangestellte wie etwa Reinigungspersonal) davon betroffen sein können. Derartige Datenanwendungen fallen daher unter § 50a. ARGE DATEN 34

Videoüberwachung - zulässige Zwecke
DSG Novelle Videoüberwachung Videoüberwachung - zulässige Zwecke (DSG 2000 § 50a Abs. 2) Auswertung und Übermittlung zulässig, - zum Schutz eines überwachten Objekts oder einer überwachten Person - Erfüllung rechtlicher Sorgfaltspflichten einschließlich der Beweissicherung Einschränkungen - Persönlichkeitsschutz nach § 16 ABGB ist zu beachten - Höchstpersönliche Lebensbereiche dürfen nur bedingt aufgezeichnet werden (Abs. 5) - Mitarbeiterüberwachung ist nur bedingt zulässig (Abs. 5) Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 2 (neu): (2) Für Videoüberwachung gelten die §§ 6 und 7, insbesondere der Verhältnismäßigkeitsgrundsatz (§ 7 Abs. 3). Rechtmäßige Zwecke einer Videoüberwachung, insbesondere der Auswertung und Übermittlung der dabei ermittelten Daten, sind jedoch vorbehaltlich des Abs. 5 nur der Schutz des überwachten Objekts oder der überwachten Person oder die Erfüllung rechtlicher Sorgfaltspflichten, jeweils einschließlich der Beweissicherung, im Hinblick auf Ereignisse nach Abs. 1. Persönlichkeitsrechte nach § 16 ABGB bleiben unberührt. [zur Information: Allgemeines bürgerliches Gesetzbuch (ABGB) I. Aus dem Charakter der Persönlichkeit - Angeborne Rechte § 16. Jeder Mensch hat angeborne, schon durch die Vernunft einleuchtende Rechte, und ist daher als eine Person zu betrachten. Sclaverey oder Leibeigenschaft, und die Ausübung einer darauf sich beziehenden Macht, wird in diesen Ländern nicht gestattet.] ARGE DATEN 35

Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor!
DSG Novelle Videoüberwachung Videoüberwachung - zulässiger Einsatz I (DSG 2000 § 50a Abs. 3) - im lebenswichtigen Interesse des Betroffenen (Abs. 3 Z 1) [Intensivstation, ...??] - Verhalten, das öffentlich wahrgenommen werden will (Abs. 3 Z 2) [öffentlicher Vortrag/Straßensänger, Teilnehmer einer Kundgebung, ...??] - Betroffener hat Überwachung selbst ausdrücklich zugestimmt (Abs. 3 Z 3) Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor! Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 3 (neu): (3) Ein Betroffener ist durch eine Videoüberwachung dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn 1. diese im lebenswichtigen Interesse einer Person erfolgt, oder 2. Daten über ein Verhalten verarbeitet werden, das ohne jeden Zweifel den Schluss zulässt, dass es darauf gerichtet war, öffentlich wahrgenommen zu werden, oder 3. er der Verwendung seiner Daten im Rahmen der Überwachung ausdrücklich zugestimmt hat. ARGE DATEN 36

Videoüberwachung - zulässiger Einsatz IIa
DSG Videoüberwachung Videoüberwachung - zulässiger Einsatz IIa (DSG 2000 § 50a Abs. 4, 5) - berechtigte Annahme Objekt oder Person könnte Ziel oder Ort eines gefährlichen Angriffs werden (Abs. 4 Z 1) [siehe OGH-Judikatur, allgemeine Angst/Vorsorge dürfte nicht reichen, aber Standardanwendungen für Trafikanten, Bankfilialen, Juweliere, Tankstellen, eigene Wohnzwecke genutzte private Grundstücke, internationale Organisationen, Verwaltungsgebäude öffentlicher Rechtsträger, Parkgaragen und - plätze, Rechenzentren,weiterhin Einzelgenehmigung erforderlich: u.a. Supermärkte, sonstige Geschäftslokale, Betriebsstätten] - Rechtsvorschriften oder gerichtliche Entscheidungen auferlegen dem Auftraggeber besondere Sorgfaltspflichten zum Schutz von Personen/Objekten (Abs. 4 Z 2) [Tankstellen, Straßentunnel-Sicherheitsgesetz–STSG, ÖFB/Vereinsstatuten, ...] Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 4,5 (neu): (4) Ein Betroffener ist darüber hinaus durch eine Videoüberwachung ausschließlich dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn sie nicht im Rahmen der Vollziehung hoheitlicher Aufgaben erfolgt und 1. bestimmte Tatsachen die Annahme rechtfertigen, das überwachte Objekt oder die überwachte Person könnte das Ziel oder der Ort eines gefährlichen Angriffs werden, oder 2. unmittelbar anwendbare Rechtsvorschriften des Völker- oder des Gemeinschaftsrechts, Gesetze, Verordnungen, Bescheide oder gerichtliche Entscheidungen dem Auftraggeber spezielle Sorgfaltspflichten zum Schutz des überwachten Objekts oder der überwachten Person auferlegen, oder 3. sich die Überwachung in einer bloßen Echtzeitwiedergabe von das überwachte Objekt/die überwachte Person betreffenden Ereignisse erschöpft, diese also weder gespeichert (aufgezeichnet) noch in sonst einer anderen Form weiterverarbeitet werden (Echtzeitüberwachung), und sie zum Zweck des Schutzes von Leib, Leben oder Eigentum des Auftraggebers erfolgt. (5) Mit einer Videoüberwachung nach Abs. 4 dürfen nicht Ereignisse an Orten festgestellt werden, die zum höchstpersönlichen Lebensbereich eines Betroffenen zählen. Weiters ist die Videoüberwachung zum Zweck der Mitarbeiterkontrolle an Arbeitsstätten untersagt. ARGE DATEN 37

Videoüberwachung - zulässiger Einsatz IIb
DSG Novelle Videoüberwachung Videoüberwachung - zulässiger Einsatz IIb (DSG 2000 § 50a Abs. 4, 5) - bloße Echtzeitüberwachung (keine Aufzeichnung/Speicherung) zum Schutz von Leib/Leben oder Eigentum des Auftraggebers (Abs. 4 Z 3) ["verlängertes Auge": Monitore bei Hauseingängen, Garagen] Absolute Beschränkungen zu den Fällen Abs. 4 Z 1-3: - keine Überwachung höchstpersönlicher Lebensbereiche [kein ToilettenTV, Privatwohnungen, Umkleidekabinen, Umkleideräume??, Krankenbetten??, Gräber??, Betstätten??] - nicht zum Zweck der Mitarbeiterkontrolle [laut EB gemeint: Leistungskontrolle] Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) zur (DSG-Novelle 2010): § 50a Abs. 5 verbietet die Durchführung von Überwachungen auf Grundlage des Abs. 4 an Orten, die dem höchstpersönlichen Lebensbereich zuzurechnen sind. Solche Orte sind etwa Privatwohnungen, Umkleide- oder WC-Kabinen. Ausdrücklich verboten ist auch die gezielte Videoüberwachung zur Kontrolle von Mitarbeiterinnen und Mitarbeitern an Arbeitsstätten, da hier davon ausgegangen werden kann, dass hier auf Grund der Eingriffstiefe stets ein gelinderes Mittel zur Kontrolle von Mitarbeiterinnen und Mitarbeitern gefunden werden kann. Dieses Verbot schließt nicht die Überwachung von Objekten an Arbeitsstätten (Überwachung von Kassenräumen, Überwachung gefährlicher Maschinen zum Schutz der Mitarbeiterinnen und Mitarbeiter) aus, da derartige Überwachungen nicht auf die Leistungskontrolle von Arbeitnehmerinnen und Arbeitnehmern gerichtet sind. ARGE DATEN 38

Wesentlich ist das Vorliegen einer "dringenden Gefahr"
DSG Novelle Videoüberwachung Videoüberwachung - Beispiel einer Begründung (nach DSG 2000 § 50a Abs. 4) Rechtsgrundlagen: "§§ 344, 353 ff ABGB (Eigentumsschutz), Hausrecht, Verkehrssicherungspflichten und Vertragshaftung, § 80 StPO, Veranstaltungsgesetz des jeweiligen Bundeslandes, Satzungen des ÖFB und der Bundesliga, Lizenzbestimmungen und Sicherheitsbestimmungen der Bundesliga" (aus der Registrierung DVR FK Austria Wien AG / Ausfüllmuster - Videoüberwachung in Stadien) Wesentlich ist das Vorliegen einer "dringenden Gefahr" §§ 344, 353 ff ABGB: Rechtsmittel zur Erhaltung des Besitzstandes: a) bey dringender Gefahr; § 344 ABGB: "Zu den Rechten des Besitzes gehört auch das Recht, sich in seinem Besitze zu schützen, und in dem Falle, daß die richterliche Hülfe zu spät kommen würde, Gewalt mit angemessener Gewalt abzutreiben. (§. 19). Uebrigens hat die politische Behörde für die Erhaltung der öffentlichen Ruhe, so wie das Strafgericht für die Bestrafung öffentlicher Gewaltthätigkeiten zu sorgen." § 353 ff ABGB: Definition des Eigentumsbegriffs ARGE DATEN 39

Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde")
DSG Novelle Videoüberwachung Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde") (DSG 2000 § 50a Abs. 6) - an Behörden und Gerichte bei Verdacht einer von Amts wegen gerichtlich bedrohten strafbaren Handlung [keine Privatanklagedelikte, Zivilverfahren, Verwaltungsübertretungen] - an Sicherheitsbehörden nach SPG § 53 Abs. 5 [Behörden entscheiden über Notwendigkeit] - Durchsetzungsbefugnisse zur Herausgabe von Beweismitteln bleiben bestehen [kein Entschlagungsgrund wegen DSG 2000 § 50a] Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 6 (neu): (6) Schutzwürdige Geheimhaltungsinteressen Betroffener sind auch dann nicht verletzt, wenn durch Videoüberwachung aufgezeichnete Daten über eine Verwendung entsprechend den Abs. 2 bis 4 hinaus in folgenden Fällen übermittelt werden: 1. an die zuständige Behörde oder das zuständige Gericht, weil beim Auftraggeber der begründete Verdacht entstanden ist, die Daten könnten eine von Amts wegen zu verfolgende gerichtlich strafbare Handlung dokumentieren, oder 2. an Sicherheitsbehörden zur Ausübung der diesen durch § 53 Abs. 5 des Sicherheitspolizeigesetzes – SPG, BGBl. Nr. 566/1991, eingeräumten Befugnisse, auch wenn sich die Handlung oder der Angriff nicht gegen das überwachte Objekt oder die überwachte Person richtet. Die Befugnisse von Behörden und Gerichten zur Durchsetzung der Herausgabe von Beweismaterial und zur Beweismittelsicherung sowie damit korrespondierende Verpflichtungen des Auftraggebers bleiben unberührt. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) zur (DSG-Novelle 2010): § 50a Abs. 6 regelt den Umgang mit so genannten „Zufallstreffern“, wenn also im Rahmen einer Videoüberwachung zufällig relevante Ereignisse aufgezeichnet werden, die außerhalb des Zwecks bzw. der Zulässigkeit nach den Abs. 2 und 3 liegen. Eine Verwertung solcher Aufnahmen aus freier Entscheidung des Auftraggebers ist zum einen nur dann zulässig, wenn bei ihm der begründete (dh durch objektiv nachvollziehbare Tatsachen belegte) Verdacht entstanden ist, die gefilmten Ereignisse könnten im Zusammenhang mit von Amts wegen zu verfolgenden gerichtlich strafbaren Handlungen stehen. Zum anderen ist die Herausgabe von Daten aus einer Videoüberwachung an Sicherheitsbehörden zulässig, wenn diese die Daten gemäß § 53 Abs. 5 SPG verwenden dürfen (zB zur Abwehr eines gefährlichen Angriffs oder zur Personenfahndung). Regelmäßig wird ein derartiger begründeter Verdacht durch einen entsprechenden Hinweis Dritter entstehen. ARGE DATEN 40

Videoüberwachung - Verwertungsverbote
DSG Novelle Videoüberwachung Videoüberwachung - Verwertungsverbote (DSG 2000 § 50a Abs. 7) - Videodaten dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen werden [Verbot von Face- Recognition, unklar: Verbot von Bewegungsanalysen, von Abgleich mit Bedrohungsmustern] - kein systematisches Durchsuchen nach sensiblen Auswahlkriterium [etwa: Hautfarbe, Geschlecht, ...] Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 7 (neu): (7) Mit einer Videoüberwachung gewonnene Daten von Betroffenen dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen und nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) zur (DSG-Novelle 2010): § 50a Abs. 7 verbietet zunächst einen automationsunterstützten Abgleich der durch Videoüberwachung gewonnenen Daten mit anderen Bilddaten. So wird insbesondere eine automationsunterstützte Suche nach „unerwünschten Personen“ ausgeschlossen, welche die Gefahr einer Diskriminierung in sich birgt. Auch eine Suche innerhalb des Videomaterials nach sensiblen Kriterien im Sinn des § 4 Abs. 1 Z 2 (zB Hautfarbe) ist unzulässig. Verstöße gegen diese Bestimmung können nach § 52 Abs. 2 Z 6 geahndet werden. ARGE DATEN 41

Videoüberwachung - Regeln zur Verwendung der Daten
DSG Novelle Videoüberwachung Videoüberwachung - Regeln zur Verwendung der Daten (DSG 2000 § 50b) - Jede Datenverwendung ist zu protokollieren (Ausnahme Echtzeitüberwachung) (Abs. 1) [Erweiterung der Protokollpflicht des § 14 DSG 2000] [zur Dauer der Aufbewahrung der Protokolldaten wird keine Aussage gemacht, § 14 geht von drei Jahren aus] - nicht dem ursprünglichen Zweck entsprechende Daten sind nach 72 Stunden zu löschen Längere Aufbewahrungszeiten sind auf begründeten Antrag möglich (Abs. 2) Neue Bestimmungen (DSG-Novelle 2010) § 50b (neu): Besondere Protokollierungs- und Löschungspflicht § 50b. (1) Jeder Verwendungsvorgang einer Videoüberwachung ist zu protokollieren. Dies gilt nicht für Fälle der Echtzeitüberwachung. (2) Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutz- oder Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 6 benötigt werden, spätestens nach 72 Stunden zu löschen. § 33 Abs. 2 AVG gilt. Eine beabsichtigte längere Aufbewahrungsdauer ist in der Meldung anzuführen und zu begründen. In diesem Fall darf die Datenschutzkommission die Videoüberwachung nur registrieren, wenn dies aus besonderen Gründen zur Zweckerreichung regelmäßig erforderlich ist. ARGE DATEN 42

Videoüberwachung - Meldepflicht I
DSG Novelle Videoüberwachung Videoüberwachung - Meldepflicht I (DSG 2000 § 50c) Abgestufte Meldepflicht - keine Meldepflicht bei Echtzeitüberwachung, bei Aufzeichnung auf analogem Speichermedium (Abs. 2) [konvertieren würde aber zu Meldepflicht führen!] - keine Meldepflicht bei den sonstigen Ausnahmen nach § 17 Abs. 2 und 3 DSG 2000, insbesondere bei Standardanwendungen SA032 (Abs. 2) - vereinfachte Meldepflicht bei Verschlüsselung der Videodaten und Hinterlegung des Schlüssels bei der DSK (Abs. 1) Neue Bestimmungen (DSG-Novelle 2010) § 50c (neu): Meldepflicht und Registrierungsverfahren § 50c. (1) Videoüberwachungen unterliegen der Meldepflicht gemäß den §§ 17 ff. Sofern der Auftraggeber nicht in der Meldung zusagt, die Videoüberwachungsdaten zu verschlüsseln und unter Hinterlegung des einzigen Schlüssels bei der Datenschutzkommission sicherzustellen, dass eine Auswertung der Videoaufzeichnungen nur im begründeten Anlassfall durch eine bestimmte Stelle stattfindet, unterliegen sie der Vorabkontrolle (§ 18 Abs. 2). Bestimmte Tatsachen im Sinn von § 50a Abs. 4 Z 1 müssen bei Erstattung der Meldung glaubhaft gemacht werden. Soweit gemäß § 96a des Arbeitsverfassungsgesetzes 1974 – ArbVG, BGBl. Nr. 22, Betriebsvereinbarungen abzuschließen sind, sind diese im Registrierungsverfahren vorzulegen. (2) Eine Videoüberwachung ist über § 17 Abs. 2 und 3 hinaus von der Meldepflicht ausgenommen 1. in Fällen der Echtzeitüberwachung oder 2. wenn eine Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt. (3) Mehrere überwachte Objekte oder überwachte Personen, für deren Videoüberwachung derselbe Auftraggeber eine gesetzliche Zuständigkeit oder rechtliche Befugnis (§ 7 Abs. 1) hat, können auf Grund ihrer gleichartigen Beschaffenheit oder ihrer räumlichen Verbundenheit in einer Meldung zusammengefasst werden, wenn sich diese auf die gleiche Rechtsgrundlage stützt. ARGE DATEN 43

Videoüberwachung - Meldepflicht II
DSG Novelle Videoüberwachung Videoüberwachung - Meldepflicht II (DSG 2000 § 50c) - alle anderen Fälle unterliegen der Vorabkontrolle (Abs. 2) Mehrere gleichartige Standorte und Überwachungsgründe können in einer Meldung zusammen gefasst werden (Abs.3) - ARGE DATEN 44

Videoüberwachung - Kennzeichnungspflicht
DSG Novelle Videoüberwachung Videoüberwachung - Kennzeichnungspflicht (DSG 2000 § 50d) - jede Videoüberwachung ist zu kennzeichnen (Abs. 1) [umfasst auch nicht registrierungspflichtige] - der Auftraggeber muss aus der Kennzeichnung eindeutig erkennbar sein, es sei denn er ist dem Betroffenen bereits bekannt (Abs. 1) - Kennzeichnung muss so erfolgen, dass potentiell Betroffene der Überwachung ausweichen können (Abs. 1) - keine Kennzeichnungspflicht beim Vollzug hoheitlicher Aufgaben, die unter die Ausnahmen nach § 17 Abs. 3 DSG 2000 fallen (Abs. 2) [Keine sonstige Ausnahme von der Kennzeichnung für Private (etwa zur verdeckten Observation)] Geänderte Bestimmungen (DSG-Novelle 2010) § 50d (neu): Information durch Kennzeichnung § 50d. (1) Der Auftraggeber einer Videoüberwachung hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Auftraggeber eindeutig hervorzugehen, es sei denn, dieser ist den Betroffenen nach den Umständen des Falles bereits bekannt. Die Kennzeichnung hat örtlich derart zu erfolgen, dass jeder potentiell Betroffene, der sich einem überwachten Objekt oder einer überwachten Person nähert, tunlichst die Möglichkeit hat, der Videoüberwachung auszuweichen. (2) Keine Kennzeichnungsverpflichtung besteht bei Videoüberwachungen im Rahmen der Vollziehung hoheitlicher Aufgaben, die nach § 17 Abs. 3 von der Meldepflicht ausgenommen sind. ARGE DATEN 45

Videoüberwachung - Auskunftsrecht
DSG Novelle Videoüberwachung Videoüberwachung - Auskunftsrecht (DSG 2000 § 50e Abs. 1) besonderes Auskunftsrecht notwendig, da Videoüberwachung als indirekt personenbezogene Daten vom Auskunftsrecht nach § 26 DSG 2000 ausgenommen wäre Auskunft ist zu erteilen, wenn Antragsteller - Zeitraum und Ort der Überwachung möglichst genau benannt hat - seine Identität geeignet nachgewiesen hat Auskunft ist zu geben (a) Kopie der Aufzeichnung in einem "üblichen technischen Format" (b) alle anderen Daten analog § 26 DSG 2000 Geänderte Bestimmungen (DSG-Novelle 2010) § 50e (neu): Auskunftsrecht § 50e. (1) Abweichend von § 26 Abs. 1 ist dem Auskunftswerber, nachdem dieser den Zeitraum, in dem er möglicherweise von der Überwachung betroffen war, und den Ort möglichst genau benannt und seine Identität in geeigneter Form nachgewiesen hat, Auskunft über die zu seiner Person verarbeiteten Daten durch Übersendung einer Kopie der zu seiner Person verarbeiteten Daten in einem üblichen technischen Format zu gewähren. Alternativ kann der Auskunftswerber eine Einsichtnahme auf Lesegeräten des Auftraggebers verlangen, wobei ihm auch in diesem Fall die Ausfolgung einer Kopie zusteht. Die übrigen Bestandteile der Auskunft (verfügbare Informationen über die Herkunft, Empfänger oder Empfängerkreise von Übermittlungen, Zweck, Rechtsgrundlagen sowie allenfalls Dienstleister) sind auch im Fall der Überwachung schriftlich zu erteilen, wenn nicht der Auskunftswerber einer mündlichen Auskunftserteilung zustimmt. (2) § 26 Abs. 2 ist mit der Maßgabe anzuwenden, dass in dem Fall, dass eine Auskunft wegen überwiegender berechtigter Interessen Dritter oder des Auftraggebers nicht in der in Abs. 1 geregelten Form erteilt werden kann, der Auskunftswerber Anspruch auf eine schriftliche Beschreibung seines von der Überwachung verarbeiteten Verhaltens oder auf eine Auskunft unter Unkenntlichmachung der anderen Personen hat. (3) In Fällen der Echtzeitüberwachung ist ein Auskunftsrecht ausgeschlossen.” ARGE DATEN 46

Videoüberwachung - Auskunftsrecht II
DSG Novelle Videoüberwachung Videoüberwachung - Auskunftsrecht II (DSG 2000 § 50e Abs. 2,3) Ausnahmen von der Auskunftspflicht - wenn berechtigte Interessen des Auftraggebers oder Dritter der Ausfolgung einer Kopie entgegenstehen, ist ersatzweise - Beschreibung seines Verhaltens auszufolgen oder - Kopie unter Unkenntlichmachung anderer Personen - bei Echtzeitüberwachung kein Auskunftsanspruch DSK beschränkt das Auskunftsrecht auf ausgewertete Daten (K /0014-DSK/2010) derzeit VwGH-Beschwerdeverfahren gegen DSK- Beschränkung aus der DSK-Entscheidung K /0014-DSK/2010: "Im Ergebnis hat die Datenschutzkommission daher das Bestehen eines Auskunftsrechts aus nicht-ausgewerteten Videoaufzeichnungen überhaupt verneint, indem sie eine Analogie zur Ausnahme vom Auskunftsanspruch bei Vorliegen indirekt personenbezogener Daten (§ 29 DSG 2000) gezogen hat. Wenn nun § 50e DSG 2000 keinen weitergehenden Auskunftsanspruch als § 26 DSG 2000 normiert, sondern lediglich die Modalitäten bei der Ausübung des Auskunftsrechts aus Videoüberwachungen näher regelt ,also wie die Bilddaten selbst bekannt zu geben sind, sieht die Datenschutzkommission keinen Anlass, von ihrer bisherigen Rechtsprechung abzuweichen, zumal die dort angeführten Argumente für die Ausnahme vom Auskunftsrecht durch die Änderung der Rechtslage mit der DSG-Novelle 2010 nicht entkräftet werden. Für diese Ansicht sprechen auch die EB zur RV (472 d.B., XXIV. GP), wenn dort – wohl in Kenntnis der oben ausführlich zitierten Judikatur der Datenschutzkommission – ausgeführt wird, dass § 50e das Auskunftsrecht für Videoüberwachung lediglich „modifiziert“, also keinen neuen Auskunftsanspruch schaffen soll. Eine andere Auslegung kann dem Gesetzgeber -gerade in Kenntnis der Rechtssprechung der DSK - nicht unterstellt werden. Die Anwendbarkeit von § 50e DSG 2000 setzt also voraus, dass überhaupt ein Auskunftsanspruch besteht, was iS der genannten Rechtsprechung nur hinsichtlich ausgewerteter Videoaufzeichnungen der Fall wäre. Wenn dagegen allenfalls ins Treffen geführt wird, dass diese Rechtsprechung der Datenschutzkommission mit der dem DSG 2000 zugrunde liegenden Richtlinie 95/46/EG nicht vereinbar sei, so wird auf Art. 13 RL verwiesen, wonach die Mitgliedsstaaten Ausnahmen ua. vom Auskunftsrecht iSd Art. 12 RL vorsehen können, die notwendig sind, um die Rechte und Freiheiten anderer Personen zu wahren (lit. g). Nichts anderes soll die Rechtsprechung der Datenschutzkommission bewirken. Es soll nicht allein aufgrund eines Auskunftsbegehrens dem Auftraggeber die Kenntnis über die erfassten – anderen - Personen gegeben werden. Da im konkreten Fall eine Auswertung nicht vorgenommen wurde, war die Beschwerde mangels Bestehen eines Auskunftsanspruchs im Bezug auf die Bilddaten selbst, gemäß § 26 DSG 2000 (iVm § 50e DSG 2000) abzuweisen." ARGE DATEN 47

Videoüberwachung - Prüfschema
DSG Novelle Videoüberwachung Videoüberwachung - Prüfschema (DSG 2000 §§ 50a ff) - Liegt Videoüberwachung im Sinne des Gesetzes vor? - Besteht zur Datenaufzeichnung ein berechtigter Zweck im Sinne des DSG 2000? (1) Eignung? (wird überhaupt Ziel erreicht?) (2) Erforderlichkeit? (Alternativen?) (3) Verhältnismäßigkeit? (Abwägung der Eingriffstiefe) - Besteht ein zulässiger Verwendungsgrund I - III? - Bestehen Ausnahmen von der Registrierungspflicht? - Handelt es sich um eine vorabkontrollpflichtige Registrierung? - Welche Informationspflichten (bzw. Ausnahmen davon)? - Wie kann ich die Auskunftspflicht organisieren? - ARGE DATEN 48

Was ist ein Informationsverbundsystem (IVS)? (§ 50)
DSG Spezialregelungen Was ist ein Informationsverbundsystem (IVS)? (§ 50) gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: 103 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private Suche im Online-DVR: Spezialregelung, die in Hinblick auf folgende Fälle/Beispiele geschaffen wurde: - Kreditschutzevidenzen, gemeinsame Versicherungsevidenzen - Reiseveranstaltungs- und Reservierungssysteme - Gesundheitsverbund - gemeinsame Mitarbeiter- oder Lieferantenverwaltung - Bewerberdatenbank, Besucher - Branchenwünsche: Warndatei der Versandunternehmen, Telekom-Unternehmen öffentlich-rechtliche Beispiele: - Zentrales Waffenregister (BMI)‏ - Europol Informationssystem (Europol)‏ - Vollzugsverwaltung der Justizanstalten (BMJ)‏ - Informationsstelle im Katastrophenfall (MAG Wien)‏ - Missbrauchsopferdatenbank (Land OÖ)‏ - Tiroler Sozialverwaltung (Land Tirol)‏ privat-rechtliche Beispiele: - Kreditschutzverband von 1870 und Dataline Datenverarbeitungs GmbH: Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes - Reed Messe Salzburg GmbH: Ausstellerdatenbank PRISM, Besucherdatenbank - Siemens AG (CP RS ) (Deutschland ): International Development Database ('IDD'), Mr. Ted (Bearbeitung von Bewerbungen)‏ - Verband der Versicherungsunternehmen Österreichs: Kraftfahrzeug- Zulassungsevidenz ARGE DATEN 49

Registrierung von Warndateien bei Banken
DSG Spezialregelungen Registrierung von Warndateien bei Banken DSK K /021-DSK/2001 erging ursprünglich an vier Banken "Musterbescheid" Genehmigung mit Auflagen erteilt I Eintragung von Kunden nur zulässig bei - vertragswidrig ausgestellten Schecks - vertragswidrig genutzter Bankomat- oder Kreditkarte - Aufkündigung einer Kontoverbindung + - Fälligstellung eines Kredits + - Einleitung der Rechtsverfolgung + + Forderung übersteigt EUR Informationspflicht des Betroffenen VOR Eintragung Grund der Warneintragung ist Betroffenen bekannt zu geben - ARGE DATEN 50

Registrierung von Warndateien bei Banken
DSG Spezialregelungen Registrierung von Warndateien bei Banken Genehmigung mit Auflagen erteilt II Bekanntgabe der Durchsetzung der Betroffenenrechte unverzügliche Eintragung begründeter Bestreitung der Forderung ist vorzusehen vollständige Bezahlung der Forderung ist unverzüglich einzutragen bei unbegründeter Forderung ist unverzügliche Löschung vorzunehmen Löschung nach 3 Jahren nach vollständiger Bezahlung der Schuld, ansonsten nach 7 Jahren nach Tilgung der Schuld Überprüfung der Richtigkeit muss mindestens einmal jährlich erfolgen Analog DSK-Bescheid K /0002-DVR/2007 zur Konsumentenkreditevidenz (KKE) Auflagen im Rahmen der Konsumentenkreditevidenz (KKE) (DSK K /0002-DVR/2007) - Zweck der Liste: nicht zwangsläufig negativ, sondern Information über den Kreditstatus einer Person - Bagatellgrenze: Eintrag erst ab Kredithöhe von 300 Euro - Informationspflicht vor Eintragung: .) dass einer der Gründe vorliegt, die zu einer Eintragung in die KKE führen .) Zweck und Auftraggeber der Datenanwendung .) Empfängerkreis .) mögliche Rechtsbehelfe - Aktualisierungspflicht: Datensätze in der KKE, die sich auf einen Zahlungsanstand beziehen, mindestens einmal jährlich, alle anderen Datensätze spätestens alle drei Jahre auf ihre Richtigkeit und Aktualität überprüft werden - Beschränkung des Empfängerkreises: Kreditinstitute, kreditgewährende Versicherungsunternehmen und Leasinggesellschaften mit Sitz in einem Mitgliedstaat des europäischen Wirtschaftsraums (EWR) - Löschungsverpflichtung: .) unberechtigte Einträge sind unverzüglich zu löschen .) Ablehnungen von Kreditanträgen sind nach sechs Monaten zu löschen .) zurück gezahlte Kredite ohne Zahlungsanstand: 90 Tage nach Zahlung der letzten Rate .) bei Zahlungsanständen bei der Rückzahlung: fünf Jahre nach vollständiger Zurückzahlung des Kredites .) bei Tilgung oder sonstigen schuldenbefreienden Ereignissen (etwa Konkurs- /Ausgleichsverfahren): sieben Jahre nach dem "schuldenbefreienden Ereignis" ARGE DATEN 51

Ausgangslage: bisher: seit 9/2012: ARGE DATEN
DSG 2000 StmV Informationsverbund Ausgangslage: - Konzern gibt für alle Töchter ein gemeinsames Mitarbeiterverzeichnis heraus - Enthält z.B. Name, Dienstort, berufliche Telefon- und - Adresse - Konzern hat mehrere Töchter (eigenständige Auftraggeber) in Österreich bisher: - es liegt gemeinsame Verwendung von Daten in einer DA vor  melde- und vorabkontrollpflichtiger Informationsverbund  liegt Datenverarbeitung im Ausland, kann zusätzlich Genehmigung für internationalen Datenverkehr erforderlich sein seit 9/2012: - Standardanwendung SA033 mit mehreren definierten zulässigen Zwecken - ARGE DATEN 52

definierte Standard-Anwendungen:
DSG 2000 StmV Informationsverbund definierte Standard-Anwendungen: - konzernweite Kontakt- und Termindatenbank - Karrieredatenbank (freiwillige Teilnahme erforderlich) - Verwaltung von Bonus- und Beteiligungsprogrammen (z.B. Stock-Options für Mitarbeiter, ...) - technische Unterstützung (für Mitarbeiter) Konsequenzen: - keine Melde- und/oder Genehmigungspflicht (auch nicht, wenn Verarbeitung in Land ohne gleichwertigem Datenschutz erfolgt) - Umfang der Datenanwendung darf Standard nicht überschreiten - Datensicherheit muss gewährleistet sein: Entwurf bezieht sich direkt auf Standardvertragsklauseln der EG-Richtlinie - ARGE DATEN 53

Verwendung von Daten für Wissenschaft und Forschung (§ 46)
DSG Spezialregelungen Verwendung von Daten für Wissenschaft und Forschung (§ 46) - Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind - effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend Folgende Daten dürfen verwendet werden: - öffentlich zugängliche Daten (Abs. 1 Z 1) - Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2) - indirekt personenbezogene Daten (Abs. 1 Z 3) - gemäss gesetzlicher Vorschriften (Abs. 2 Z 1) - mit Zustimmung des Betroffenen (Abs. 2 Z 2) - Weitere Verwendungsmöglichkeit mit Genehmigung der DSK/DSBh (Abs. 2 Z 3) DA's für wissenschaftliche und statistische Zwecke liegen dann vor, wenn die Ergebnisse nicht personenbezogen sind (Abs. 1)‏ Genehmigung durch DSK (Abs. 2 Z 3) , wenn folgende Bestimmungen gemeinsam zutreffen: + Einholung der Zustimmung des Betroffenen unmöglich/unwirtschaftlich und + öffentliches Interesse der Verwendung ist gegeben und + fachliche Eignung des Antragstellers ist gegeben Es dürfen auch sensible Daten verwendet werden (!)‏ - wichtiges öffentliches Interesse der Verwendung ist gegeben und - verwendende Personen unterliegen gesetzlicher Verschwiegenheitspflicht Sonstige rechtliche Verwendungsbeschränkungen, wie etwa urheberrechtliche Beschränkungen können durch eine Genehmigung der DSK nicht aufgehoben werden. Auch bei berechtigter wissenschaftlicher/statistischer Verarbeitung muss der Personenbezug ab dem Zeitpunkt entfernt werden, ab dem dieser nicht mehr für die Verarbeitung notwendig ist. ARGE DATEN 54

Verwendung von Daten für Wissenschaft und Forschung (§ 46) II
DSG Spezialregelungen Verwendung von Daten für Wissenschaft und Forschung (§ 46) II DSK K /002-DSK/2001 ("öffentliches Interesse") von öffentlicher Hand geförderte Forschung liegt immer im öffentlichen Interesse DSK K /003-DSK/2003 ("Leiharbeit und Neue Selbständige") Verwendung von Personendaten (inkl. SV-Nummer) aus SVA, dem HV, den Gebietskrankenkassen und dem BMWA nach Vorlage eines Verwendungskonzepts genehmigt DSK K /006-DSK/2003 ("Suizidforschung") Die Verwendung der Daten Verstorbener fällt nicht in den Genehmigungsbereich der DSK DSK K /002-DSK/2001: "Das öffentliche Interesse an der Durchführung eines Forschungsauftrages kann durch die Förderung durch Stellen des Bundes, eines Landes und einer Gemeinde als gegeben angenommen werden." (RIS)‏ DSK K /003-DSK/2003: "Die Datenschutzkommission erteilt gemäß § 46 Abs 3 Datenschutzgesetz 2000, BGBl I Nr. 165/1999 idF BGBl I 136/2001 (DSG 2000), die Genehmigung zur Verwendung personenbezogener Daten des Hauptverbands der Sozialversicherungsträger der gewerblichen Wirtschaft ( in der Folge: SVA) und der Gebietskrankenkassen für Zwecke der wissenschaftllichen Forschung und Statistik nach Maßgabe der folgenden Bedingungen und Auflagen: 1) Die Verwendung ist nur für Zwecke der Durchführung der sozialwissenschaftlichen Grundlagenstudie mit dem Titel 'Leiharbeit und neue selbständige in Österreich' in Auftrag gegeben vom Bundesministerium für Wirtschaft und Arbeit (in der Folge: BMWA) zulässig..... 5) Die vorliegende Genehmigung zur Datenverwendung umfasst nicht die allfällige Übermittlung einschließlich der Veröffentlichung von Forschungsergebnissen in personenbezogener Form; dies gilt auch für die Übermittlung solcher Daten an den zivilrechtlichen Auftraggeber des gegenständlichen Forschungsprojekts. Eine derartige Verwendung von Daten ist nur zulässig, wenn sie im konkreten Einzelfall den Bestimmungen des 2. Abschnitts des DSG entspricht. Die Übermittlung der verwendeten Daten in personenbezogener Form allein auf der Grundlage einer allfälligen vertraglichen Vereinbarung mit dem zivilrechtlichen Auftragsgeber des Forschungsprojekts ist nicht zulässig.."(RIS)‏ DSK K /3-DSK/00: "Die Durchführung von Forschungen zum Thema der Zwangsarbeit in der NS-Zeit liegt in einem wichtigen öffentlichen Interesse, insbesondere da die Erforschung und objektive Aufarbeitung der NS-Vergangenheit dem Ansehen Österreichs in der Welt nützlich sein wird." (RIS)‏ ARGE DATEN 55

DSG 2000 - Spezialregelungen
Bereitstellung von Adressen zu Verständigungs- /Befragungszwecken [inkl. Werbung] (§ 47) Grundsätzlich gilt: auch die Übermittlung von Adressen ist durch Betroffenen zustimmungspflichtig Ausnahme: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen UND - Verwendung der Daten desselben Auftraggebers (Z 1) oder - bei Benachrichtigung/Befragung durch Dritte, wenn daran öffentliches Interesse besteht (Z 2 lit. a) oder - der Betroffene nach entsprechender Information keinen Widerspruch eingelegt hat (Z 2 lit. b) Weitere Möglichkeiten mit Genehmigung der DSK/DSBh Verwendungsbeschränkung der Adressen! Löschungspflicht (!) nach Verwendung Grundsätzlich bedarf auch die Übermittlung der Adressdaten der Zustimmung des Betroffenen Adressdaten sind keine "freien" Daten, es gelten die Verarbeitungsvoraussetzungen des DSG2000 Grundsätzliche Verwendungs- und Übermittlungsmöglichkeiten: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen und Verwendung der Daten desselben Auftraggebers (Z1) oder bei Benachrichtigung/Befragung durch Dritte, wenn daran öffentliches Interesse besteht (Z2 lit. a) oder der Betroffene nach entsprechender Information keinen Widerspruch eingelegt hat (Z2 lit. b)‏ Weitere Verwendungsmöglichkeiten mit Genehmigung der DSK (Abs. 3) - Benachrichtigung/Befragung im Interesse des Betroffenen (Z1) - bei wichtigem öffentlichen Benachrichtigungsinteresse (Z2) - zu wissenschaftlichen bzw. statistischen Zwecken (Z3)‏ Verwendungsbeschränkung der Daten: Die Verwendung ist zulässig nur für den Benachrichtigungs/Befragungszweck! ARGE DATEN 56

ARGE DATEN DSG 2000 - Spezialregelungen
Sonderbestimmungen zu Adressenverlagen / Werbung - § 151 GewO1994 ("Listenprivileg" der Adressenverlage) - § 107 TKG 2003 (Werbeverbot Telefon/Fax/ /SMS) GewO-Bestimmung ist Weitergabeermächtigung - Inhaber von Kunden/Interessentenlisten dürfen nur bestimmte Daten ohne Zustimmung des Betroffenen weitergeben - auf Widerspruchsmöglichkeit muss hingewiesen werden - zulässige Datenarten: Namen, Geschlecht, Titel, akademischer Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung, Zugehörigkeit zu Kunden-/Interessentendatei - gesetzliche Sperrliste ("Robinsonliste") ist von Adressverlagen zu beachten! - Löschungsanspruch gegenüber gewerblichen Adressenverlagen! Zugehörigkeitsinformation - enthält die eigentlich marketingrelavante Information - es handelt sich um eine unbestimmte Formulierung, die von den Unternehmen großzügig interpretiert wird. - durch geeignete Gliederung können leicht Interessensprofile erstellt werden Beachtung des Widerspruchshinweises: In einer Studie wurden 2004 Datenschutzerklärungen von eCommerce- WebSites untersucht: - 69 (2%) hatten korrekten Hinweis, - 890 (23%) gaben bekannt, keine Daten weiter zu geben (75%!!) brachten keinen Widerspruchshinweis Wie kommen Adressverlage zu den Daten? - Analyse der Warenkörbe (bei Einkäufen mit Kundenkarten): Modeartikel, Kindernahrung, Hygieneartikel, ... - Vergleichsanalyse bestimmter Regionen/Orte, geht bis Häuserblockebene - Reaktion der Betroffenen auf bisherige Direktmail-Zusendungen - Kombination in welchen Geschäften Person einkauft ARGE DATEN 57

Automatisierte Einzelentscheidungen (§ 49)
DSG Spezialregelungen Automatisierte Einzelentscheidungen (§ 49) "niemand darf einer rechtlichen Folge oder ihn beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich automationsunterstützt erfolgt" Automatisierte Einzelentscheidungen sind zulässig: - wenn gesetzlich vorgesehen - wenn automationsunterstützte Entscheidungen im Sinne des Betroffenen sind - wenn ausreichende Maßnahmen getroffen werden, die die Interessen des Betroffenen berücksichtigen (etwa ein "Einspruchsrecht") Informationsrecht des Betroffenen über logischen Ablauf der Entscheidungsfindung § 49 (1) Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens. (2) Abweichend von Abs. 1 darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn 1. dies gesetzlich ausdrücklich vorgesehen ist oder 2. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages ergeht und dem Ersuchen des Betroffenen auf Abschluss oder Erfüllung des Vertrages stattgegeben wurde oder 3. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen - beispielsweise die Möglichkeit, seinen Standpunkt geltend zu machen - garantiert wird. (3) Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen. § 26 Abs. 2 bis 10 gilt sinngemäß. Beispiele: - psychologische Tests - Führerscheinprüfung - Onlinebonitätsprüfung der Mobilkom-Firmen - Online-Bestellung mit automatisierter Kundenbewertung - computergestützte Prüfungen ARGE DATEN 58

Schutz der Privatsphäre
Übersicht Anti-Stalking-Bestimmung § 107a StGB § 1328a ABGB Beispiele Entscheidungen - ARGE DATEN 59

Bestimmungen zum Schutz der Privatsphäre
Schutz der Privatsphäre - Übersicht Bestimmungen zum Schutz der Privatsphäre • EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) • StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) • § 1 DSG 2000 (Geheimhaltung Daten) • § 16 ABGB (angeborene Rechte) • StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) • TKG 2003 § 93 (Kommunikationsgeheimnis) • MedienG § 7ff (Bloßstellung) • UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung) • Regelungen für einzelne Berufsgruppen (siehe Anhang) • ABGB § 1328a (Bloßstellung) • StGB § 107a (Anti-Stalking-Bestimmung) Europäische Menschenrechtskonvention [StF BGBl. Nr. 210/1958, ] Artikel 8 - Recht auf Achtung des Privat- und Familienlebens (1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs. (2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist. Staatsgrundgesetz vom 21. Dezember 1867 Artikel 9. Das Hausrecht ist unverletzlich. […] Artikel 10. Das Briefgeheimnis darf nicht verletzt und die Beschlagnahme von Briefen, außer dem Falle einer gesetzlichen Verhaftung oder Haussuchung, nur in Kriegsfällen oder auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze vorgenommen werden. Artikel 10a. Das Fernmeldegeheimnis darf nicht verletzt werden. Ausnahmen von der Bestimmung des vorstehenden Absatzes sind nur auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze zulässig. [Ergänzung des StGG ] [Staatsgrundgesetz vom 21. December 1867, über die allgemeinen Rechte der Staatsbürger für die im Reichsrathe vertretenen Königreiche und Länder. StF: RGBl. Nr. 142/1867, Art. 10a wurde mit Novelle 1974 eingeführt (BGBl. Nr. 8/1974)] Allgemeines Persönlichkeitsrecht im ABGB § 16. Jeder Mensch hat angeborene, schon durch die Vernunft einleuchtende Rechte, und ist daher als eine Person zu betrachten. Sclaverey oder Leibeigenschaft, und die Ausübung einer darauf sich beziehenden Macht, wird in diesen Ländern nicht gestattet. ARGE DATEN 60

ARGE DATEN Schutz der Privatsphäre - Übersicht StGB §§ 118 ff, 302,
§ 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen §118a Widerrechtlicher Zugriff auf ein Computersystem §119 Verletzung des Telekommunikationsgeheimnisses §119a Missbräuchliches Abfangen von Daten §120 Missbrauch von Tonaufnahme- oder Abhörgeräten §121 Verletzung von Berufsgeheimnissen §122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses §123 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses §124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands §302 Missbrauch der Amtsgewalt §310 Verletzung des Amtsgeheimnisses TKG 2003 – Kommunikationsgeheimnis § 93. (1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche. (2) Zur Wahrung des Kommunikationsgeheimnisses ist jeder Betreiber und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen von Nachrichten und der damit verbundenen Verkehrs- und Standortdaten sowie die Weitergabe von Informationen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer ist unzulässig. Dies gilt nicht für die Aufzeichnung und Rückverfolgung von Telefongesprächen im Rahmen der Entgegennahme von Notrufen und die Fälle der Fangschaltung sowie für eine technische Speicherung, die für die Weiterleitung einer Nachricht erforderlich ist. (4) Werden mittels einer Funkanlage, einer Telekommunikationsendeinrichtung oder mittels einer sonstigen technischen Einrichtung Nachrichten unbeabsichtigt empfangen, die für diese Funkanlage, diese Telekommunikationsendeinrichtung oder den Anwender der sonstigen Einrichtung nicht bestimmt sind, so dürfen der Inhalt der Nachrichten sowie die Tatsache ihres Empfanges weder aufgezeichnet noch Unbefugten mitgeteilt oder für irgendwelche Zwecke verwertet werden. Aufgezeichnete Nachrichten sind zu löschen oder auf andere Art zu vernichten. Mediengesetz § 7. (1) Wird in einem Medium der höchstpersönliche Lebensbereich eines Menschen in einer Weise erörtert oder dargestellt, die geeignet ist, ihn in der Öffentlichkeit bloßzustellen, so hat der Betroffene gegen den Medieninhaber (Verleger) Anspruch auf eine Entschädigung für die erlittene Kränkung. Der Entschädigungsbetrag darf Euro nicht übersteigen; im übrigen ist § 6 Abs. 1 zweiter Satz anzuwenden. […] Urheberrechtsgesetz § 77. (1) Briefe, Tagebücher und ähnliche vertrauliche Aufzeichnungen dürfen weder öffentlich vorgelesen noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Verfassers oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden. […] § 78. (1) Bildnisse von Personen dürfen weder öffentlich ausgestellt noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Abgebildeten oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden. […] § 87. (2) Auch kann der Verletzte in einem solchen Fall eine angemessene Entschädigung für die in keinem Vermögensschaden bestehenden Nachteile verlangen, die er durch die Handlung erlitten hat. […] (inmaterieller Schadenersatz)‏ Ärztegesetz § 54. (1) Der Arzt und seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet. […] Rechtsanwaltsordnung § 9. […] (2) Der Rechtsanwalt ist zur Verschwiegenheit über die ihm anvertrauten Angelegenheiten und die ihm sonst in seiner beruflichen Eigenschaft bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse seiner Partei gelegen ist, verpflichtet. Er hat in gerichtlichen und sonstigen behördlichen Verfahren nach Maßgabe der verfahrensrechtlichen Vorschriften das Recht auf diese Verschwiegenheit. […] Beamten-Dienstrechtsgesetz § 46. (1) Der Beamte ist über alle ihm ausschließlich aus seiner amtlichen Tätigkeit bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit, der umfassenden Landesverteidigung, der auswärtigen Beziehungen, im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts, zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist, gegenüber jedermann, dem er über solche Tatsachen nicht eine amtliche Mitteilung zu machen hat, zur Verschwiegenheit verpflichtet (Amtsverschwiegenheit). […] ARGE DATEN 61

§ 107a StGB Beharrliche Verfolgung / Stalking
Schutz der Privatsphäre - §107a StGB § 107a StGB Beharrliche Verfolgung / Stalking - Delikt: beharrliche Verfolgung, gegeben wenn - räumliche Nähe gesucht (Abs. 2 Z 1) oder - Kontaktaufnahme mittels Telekommunikation, sonstige Kommunikationsmittel oder über Dritte (Abs. 2 Z 2) oder - Verwendung personenbezogener Daten zur Bestellung von Waren und Diensten (Abs. 2 Z 3) oder - Verwendung personenbezogener Daten um Dritte zur Kontaktaufnahme zu veranlassen (Abs. 2 Z 2) - Strafrahmen bis zu einem Jahr § 107a StGB Beharrliche Verfolgung "(1) Wer eine Person widerrechtlich beharrlich verfolgt (Abs. 2), ist mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. (2) Beharrlich verfolgt eine Person, wer in einer Weise, die geeignet ist, sie in ihrer Lebensführung unzumutbar zu beeinträchtigen, eine längere Zeit hindurch fortgesetzt 1. ihre räumliche Nähe aufsucht, 2. im Wege einer Telekommunikation oder unter Verwendung eines sonstigen Kommunikationsmittels oder über Dritte Kontakt zu ihr herstellt, 3. unter Verwendung ihrer personenbezogenen Daten Waren oder Dienstleistungen für sie bestellt oder 4. unter Verwendung ihrer personenbezogenen Daten Dritte veranlasst, mit ihr Kontakt aufzunehmen." Bisherige Entscheidungen: - oft dient die Bestimmung als Begründung für einen Exekutionsanspruch (z.B. dass jemand sich einer/m bestimmten Person/Ort nicht nähern darf) Jahr Anfall Verurteilungen Freisprüche Diversionen Einstellungen EV ARGE DATEN 62

§ 1328a ABGB Privatsphärebestimmung
Schutz der Privatsphäre - §1328a ABGB § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel - Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Privatsphärebestimmung seit § 1328a ABGB Abs. 2: "(2) Abs. 1 ist nicht anzuwenden, sofern eine Verletzung der Privatsphäre nach besonderen Bestimmungen zu beurteilen ist. Die Verantwortung für Verletzungen der Privatsphäre durch Medien richtet sich allein nach den Bestimmungen des Mediengesetzes, BGBl. Nr. 341/1981, in der jeweils geltenden Fassung." Literatur zum § 1328a ABGB - Helmich - „Schadenersatz bei Eingriffen in die Privatspähre“ ecolex , S. 888 - Karner/Koziol - „Der Ersatz ideellen Schadens im österreichischen Recht und seine Reform“ 15. ÖJT Band II/1, Manz 2003, S. 101ff. - Lein - „Das Zivilrechtsänderungsgesetz 2004“ JAP 2003/2004, S. 122 OGH 4Ob150/08z Rechtssatz Der Schutz des § 1328a ABGB kommt auch Personen zu, die in der Öffentlichkeit bekannt sind. Wer seine privaten Lebensumstände „öffentlich gemacht" hat, indem er etwa ein Interview gibt, in dem auch private Aspekte erörtert werden, oder indem er sich „outet", kann sich nicht auf eine Verletzung seiner Privatsphäre berufen, wenn diese Umstände in der Öffentlichkeit weiter erörtert werden. ARGE DATEN 63

Drei Verletzungsarten
Schutz der Privatsphäre - §1328a ABGB Änderungen durch § 1328a Immaterieller Schadenersatz Auffangtatbestand für bisher nicht erfasste Verletzungen Drei Verletzungsarten Eingreifen (Eindringen in die Privatsphäre) Offenbaren an Dritte (nicht nur Öffentlichkeit) Verwerten (wirtschaftlicher Vorteil durch Kenntisse aus Privatsphäre) Voraussetzungen für Schadenersatz nach § 1328a Rechtswidrigkeit Verschulden (leichte Fahrlässigkeit genügt) Erheblicher Eingriff Der § 1328a ist grundsätzlich als allgemeiner Auffangtatbestand konzipiert, d.h. speziellere Regelungen, z.B. im Mediengesetz und im DSG 2000 gehen dieser Bestimmung vor. Insbesondere die in der Praxis sehr bedeutenden Fälle der Verletzung der Privatsphäre durch Medien sind vom Geltungsbereich des § 1328a explizit ausgenommen. Wenn also nach dem Mediengesetz kein Anspruch auf Entschädigung besteht, kann auch der § 1328a nicht als Anspruchsgrundlage herangezogen werden. Eingreifen: direktes und unmittelbares rechtswidriges Eindringen in die Privatsphäre eines anderen Offenbaren: Weitergabe von privaten Informationen an andere oder die Öffentlichkeit Verwerten: Erlangen eines wirtschaftlichen Vorteils aus privaten Umständen eines anderen Voraussetzung für den Zuspruch einer Entschädigung ist immer die Rechtswidrigkeit des Verhaltens und das Verschulden des Schädigers. Bezüglich der Rechtswidrigkeit ist eine umfassende Interessensabwägung vorzunehmen. Beim Verschulden genügt bereits leichte Fahrlässigkeit. Rechtssatz (OGH 6Ob103/07a): Der höchstpersönliche Lebensbereich stellt den Kernbereich der geschützten Privatsphäre dar und ist daher einer den Eingriff rechtfertigenden Interessenabwägung regelmäßig nicht zugänglich. Dieser höchstpersönliche Kernbereich ist nicht immer eindeutig abgrenzbar, es ist aber davon auszugehen, dass jedenfalls die Gesundheit, das Sexualleben und das Leben in und mit der Familie dazu gehören. ARGE DATEN 64

Höhe des Schadenersatzes
Schutz der Privatsphäre - §1328a ABGB Höhe des Schadenersatzes keine grundsätzliche Beschränkung der Entschädigungshöhe Orientierung am Medienrecht keine Untergrenze wie im ursprünglichen Entwurf vorgesehen Ausnahmen Veröffentlichungen in Medien sind nicht erfasst ( Mediengesetz) Betriebs- und Geschäftsgeheimnisse sind ausgenommen ( §§ StGB) speziellere Regelungen gehen vor (z.B. § 33 DSG 2000) Die Höhe der Entschädigung, die grundsätzlich zugesprochen werden kann ist nicht beschränkt, allerdings wird in den erläuternden Bemerkungen zum ursprünglichen Entwurf auf den § 7 Abs. 1 Mediengesetz verwiesen, nach dem die Entschädigung einen Betrag von EUR nicht übersteigen darf. Da oft gerade Verletzungen der Privatsphäre durch Massenmedien besonders gravierend sind, ist anzunehmen, dass Entschädigungen nach dem § 1328a ABGB kaum über dieser Grenze liegen werden. Im ursprünglichen Entwurf war eine Untergrenze für die Entschädigung von EUR vorgesehen. Diese wurde in die endgültige Fassung nicht übernommen. Die Untergrenze war im Vorfeld von einigen Experten kritisiert worden, weil dadurch u.U. die Situation entstehen hätte können, dass die Entschädigung höher als der tatsächliche Schaden ausfällt. Andererseits muss angemerkt werden, dass eine solche Untergrenze insbesondere in Fällen, in denen viele Personen gleichzeitig von einem Eingriff betroffen wären, zu einer besonders abschreckenden Wirkung geführt hätte, die solche Eingriffe bereits im Vorfeld verhindern hätte können. ARGE DATEN 65

Beispiele für Eingriffe in die Privatsphäre
Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Weitergeben von privat mitgeteilten Geheimnissen Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Gerichtsurteilen Bedrängen durch Kontaktaufnahmeversuche ( , Telefonate, ...) Die oben genannten Beispiele sind teilweise auch in den erläuternden Bemerkungen zum Entwurf angeführt. Es ist dazu allgemein anzumerken, dass sich der § 1328a ABGB auf den Ersatz immaterieller Schäden bezieht und insofern unabhängig von eventuell in anderen Gesetzen vorgesehenen (Verwaltungs-) Strafbestimmungen zu sehen ist. So sind beispielsweise im TKG oder im DSG für verschiedene Tatbestände sowohl strafrechtliche als auch verwaltungsstrafrechtliche Sanktionen vorgesehen. Unabhängig von deren Anwendung könnten Betroffene bei entsprechendem Nachweis den Ersatz immaterieller Schäden verlangen. ARGE DATEN 66

ARGE DATEN Entscheidungen zur Privatsphäre
Entscheidungen zum Schutz der Privatsphäre OGH 6Ob2401/96y Videoüberwachung eines Wohnhauses OGH 7Ob89/97g "Überwachung" durch Kameraattrappen (siehe auch analog OGH 6Ob6/06k) OGH 8Ob108/05y Videoüberwachung eines Konkurrenten  OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen" ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen werden) OGH 8ObA136/00h "Arbeitnehmerfoto im Internet" Stellt ein Dienstgeber das Foto eines Arbeitnehmers ohne Rückfrage ins Internet und weigert er sich dieses zu entfernen, bildet dieses Verhalten einen Verstoß gegen den Bildnisschutz (§ 78 UrhG), der nicht mit der Treuepflicht des Dienstnehmers gerechtfertigt werden kann BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog ("Cyberstalking") (begründet auf § 1328a ABGB) Rechtssatz zu OGH 6Ob2401/96y Der Schutz der Privatsphäre eines Mieters vor solchen Maßnahmen endet auch nicht an der inneren Wohnungstüre, es ist ihm durchaus ein berechtigtes Interesse daran zuzubilligen, dass das Betreten oder Verlassen der Wohnung durch ihn, seine Mitbewohner oder Gäste nicht lückenlos überwacht und aufgezeichnet wird. Dem Hauseigentümer hingegen ist nicht nur zum Schutz seiner eigenen Person, wenn er selbst eine Wohnung in dem Miethaus bewohnt, sondern auch zum Schutz seines Eigentums und seiner Mieter ein berechtigtes Interesse an größtmöglicher Sicherheit vor unbefugtem Eindringen und vor Sachbeschädigungen zuzubilligen. Rechtssatz zu OGH 7Ob89/97g Gemäß § 16 ABGB hat jeder Mensch angeborene, schon durch die Vernunft einleuchtende Rechte und ist daher als eine Person zu betrachten. Diese Bestimmung wird heute allgemein nicht als bloßer Programmsatz, sondern als Zentralnorm der Rechtsordnung angesehen. Sie anerkennt die Persönlichkeit als Grundwert. Aus ihr wird - ebenso wie aus anderen durch die Rechtsordnung geschützten Grundwerten (Art 8 MRK, § 1 DSG 2000, § 77 UrhG ua) - das jedermann angeborene Persönlichkeitsrecht auf Achtung seines Privatbereiches und seiner Geheimsphäre abgeleitet. Entscheidend für den jeweiligen Schutz ist eine Güter und Interessenabwägung. […] Rechtssatz zu OGH 4Ob150/08z Der Schutz des § 1328a ABGB kommt auch Personen zu, die in der Öffentlichkeit bekannt sind. Zur „Privatsphäre" zählen auch private, das Familienleben betreffende Umstände, die nicht für eine weitere Öffentlichkeit bestimmt sind. Wer seine privaten Lebensumstände „öffentlich gemacht" hat, indem er etwa ein Interview gibt, in dem auch private Aspekte erörtert werden, oder indem er sich „outet", kann sich nicht auf eine Verletzung seiner Privatsphäre berufen, wenn diese Umstände in der Öffentlichkeit weiter erörtert werden. OGH 8Ob155/06m Beharrliche Kontaktaufnahme mit Ex-Freundin per , Telefonate, (Unterlassungsanspruch nach § 382g Abs 1 EO, begründet auf § 107a StGB und § 1328a ABGB) ARGE DATEN 67

ARGE DATEN Entscheidungen zur Privatsphäre
Videoüberwachung Konkurrent OGH 8Ob108/05y Ausgangslage - für die Zustellung einer Klage war festzustellen, ob sich der Beklagte regelmäßig an einer bestimmten Adresse (Haus der Mutter) aufhielt - vor dem Haus wurde in einem parkenden Auto eine versteckte Kamera installiert, die Hauseingang und Garagenzufahrt filmte (von öffentlichen Flächen einsehbar) OGH-Entscheidung - Anliegen grundsätzlich legitim, Videoüberwachung trotzdem unzulässig - Videoüberwachung jedoch überschießend, gelindere Mittel sind vorzuziehen, auch wenn sie Zusatzkosten verursachen - spricht von "Überwachungsdruck" durch automatisierte Aufzeichnung - Privatsphäre auch im öffentlichen Raum gegeben - Problem der unbeteiligen Dritten - unerheblich, wieviel Personen tatsächlich Einschau in Aufzeichnungen nehmen Rechtssatz zu OGH 8Ob108/05y "Systematische, verdeckte, identifizierende Videoüberwachung stellt immer einen Eingriff in das geschützte Recht auf Achtung der Geheimsphäre dar. Die Videoaufzeichnung ist identifizierend, wenn sie auf Grund eines oder mehrere Merkmale letztlich einer bestimmten Person zugeordnet werden kann. Steht ein Eingriff in die Privatsphäre fest (hier: durch systematische, identifizierende Videoüberwachung), trifft den Verletzer die Behauptungs- und Beweislast dafür, dass er in Verfolgung eines berechtigten Interesses handelte und dass die gesetzte Maßnahme ihrer Art nach zur Zweckerreichung geeignet war. Entspricht er dieser Behauptungs- und Beweislast, kann der Beeinträchtigte behaupten, dass die Maßnahme nicht das schonendste Mittel zur Zweckerreichung darstellt. Stellt sich dabei heraus, dass die Maßnahme nicht das schonendste Mittel war, erübrigt sich die Vornahme einer Interessenabwägung." ARGE DATEN 68

Genehmigung / Registrierung
Besondere Dienstleisterverpflichtungen Registrierung von Datenanwendungen Internationaler Datenverkehr Safe Harbour Kontrollbefugnisse DSK - ARGE DATEN 69

DSG 2000 - Kontrollbefugnisse
Konzept der Vorabkontrolle (DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSK/DSBh - DA's die sensible Daten verwenden - DA's die in Form eines Informationsverbundsystems betrieben werden - registrierungspflichtige Videoüberwachungen - DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden Voraussetzung der Vorabkontrolle (§ 18): Bestimmte Datenanwendungen unterliegen der Vorabkontrolle durch die DSK. Bei diesen Datenanwendungen darf dann erst nach ihrer Genehmigung mit der Verarbeitung begonnen werden (§ 20). DA ist meldepflichtig (z.B. keine Standardanwendung) DA ist keine Musteranwendung DA betrifft nicht innere Angelegenheiten anerkannter Kirchen und Religionsgesellschaften + es trifft zumindest eine der Bedingungen zu - DA enthält sensible Daten - DA enthält strafrechtlich relevante Daten - DA dient der Auskunftserteilung über die Kreditwürdigkeit - DA wird in Form eines Informationsverbundsystems geführt Vorabkontrolle ermöglicht die Prüfung der Datenanwendung ohne Vorliegen von Verdachtsmomenten (§ 30). Die DSK kann Auflagen zum Betrieb der Datenanwendung erteilen (§ 21). Die Heranziehung von Dienstleistern bei vorabkontrollpflichtigen Datenanwendungen öffentlich-rechtlicher Auftraggeber ist der DSK mitzuteilen (§ 10). ARGE DATEN 70

Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)
DSG Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) - Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut - Geeignete Vereinbarungen sind zu treffen - Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"]  wie bei Cloud-Computing umsetzen? - Meldepflicht an DSK/DSBh bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), jedoch keine Meldepflicht bei verbundenen Unternehmen - Subdienstleister nur mit Billigung des Auftraggebers Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000) Mustervereinbarung siehe: ftp://ftp.freenet.at/privacy/muster/dsgdl01.html Bereiche, bei denen Dienstleistung vermutet werden kann (sofern extern vergeben)‏ Soft- und Hardwarewartung Operating Call-Center Internet-Provider (Access & Content)‏ Shopping-Mall Betreiber Statistik/Studien Steuerberatung/Unternehmensberater Heranziehung von Gutachtern Notfallsrechenzentren/externe Archivierung Datenerfassung Es wird empfohlen alle bestehenden Lieferantenbeziehungen in Hinblick auf datenschutzrelevante Dienstleistung zu überprüfen! ARGE DATEN 71

Registrierung von Datenanwendungen (§§ 16ff)
DSG Registrierung und Genehmigung Registrierung von Datenanwendungen (§§ 16ff) - Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17) - Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) - Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) - Registrierung ist kostenlos (§ 53) - Registrierung soll Transparenz sichern (§ 16) - Jedermann kann Einsicht in Registrierung nehmen (§ 16) - Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19) Dies bedeutet auch, dass bei registrierungsfreien Datenanwendungen KEINE DVR- Nummer geführt werden muss. Dies kann zu Unklarheiten bei Betroffenen über den tatsächlichen Auftraggeber bei Unternehmen führen, die zwar eine DVR-Nummer haben, aber eine Marketingaussendung unter "Berufung" auf die Standardanwendung SA022 "Kundenbetreuung" durchführen. Bisherige Ausnahmen (persönliche und publizistische Verarbeitungen) wurden erheblich ausgeweitet Weiters existieren Musteranwendungen, die die Registrierung zwar nicht ersetzen, jedoch erleichtern sollen. MA001 Personentransport- und Hotelreservierung MA002 Zutrittskontrollsysteme MA003 KFZ-Zulassung durch beliehene Unternehmen MA004 Teilnahme am Informationsverbundsystem MA005 Teilnahme am Informationsverbundsystem FundInfo.at ARGE DATEN 72

Registrierungsfreiheit (§ 17)
DSG Registrierung und Genehmigung Registrierungsfreiheit (§ 17) - Standardanwendungen - DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.) - Führung öffentlich einsehbarer, gesetzlich vorgesehener Register - ausschließlich indirekt personenbezogene Daten - persönliche Datenanwendungen - publizistische Datenanwendungen - manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen - bestimmte DA‘s der Republik Österreich - DA für Zwecke der Strafverfolgung Folgende Datenanwendungen sind nicht zu registrieren (§ 17)‏ - nicht-automatisierte ("manuelle") Datenanwendungen, die nicht der Vorabkontrolle unterliegen - DA enthält ausschließlich (!) schon vorher veröffentlichte Daten (Abs. 2 Z 1)‏ - DA dient zum Führen gesetzlich vorgesehener öffentlich einsehbarer Register (Abs. 2 Z 2)‏ Beispiele: Grundbuch, Firmenbuch, auch Melderegister - DA enthält nur indirekt personenbezogene Daten (Abs. 2 Z 3)‏ - bei persönlichen DA's (Abs. 2 Z 4)‏ - für publizistische Zwecke (Abs. 2 Z 5)‏ - bei Standardanwendungen (Abs. 2 Z 6) Beispiel: SA022 Kundenbetreuung/Marketing, SA001Rechnungswesen/Logistik, SA002 Personalverwaltung - bestimmte Datenanwendungen der Republik Österreich (Abs. 3): Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich (Abs. 3 Z 1) Sicherung der Einsatzbereitschaft des Bundesheeres (Abs. 3 Z 2) Sicherung der Interessen der umfassenden Landesverteidigung (Abs. 3 Z 3) Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Ö oder der EU (Abs. 3 Z 4) Vorbeugung, Verhinderung und Verfolgung von Straftaten (Abs. 3 Z5)‏ Die Ausnahmetatbestände des Abs. 3 stellen keine generellen Ausnahmen für alle DA's bestimmter Behörden dar ARGE DATEN 73

Die wichtigste Musteranwendung bei Unternehmen
DSG Standardanwendungen Die wichtigsten Standardanwendungen für Unternehmen (gem. StMV 2004, StF BGBl. II Nr. 312/2004) SA001 Rechnungswesen und Logistik ("Buchhaltung") SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse ("Mitarbeiterverwaltung") + "Bewerberdaten" (NEU seit ) SA007 Verwaltung von Benutzerkennzeichen SA022 Kundenbetreuung und Marketing für eigene Zwecke SA032 Videoüberwachung für bestimmte Branchen SA033 Datenübermittlung in Konzernen Die wichtigste Musteranwendung bei Unternehmen MA002 Zutrittskontrollsysteme Standardanwendung für Vereine SA003 Mitgliederverwaltung Hinweis! Registrierungsfreiheit besteht bei einer Standardanwendung nur, wenn alle Teile der Standardanwendung mit der eigenen Datenanwendung übereinstimmen oder die eigene Datenanwendung weniger Daten verwendet: Zweck, Betroffenenkreise, Datenarten, Empfängerkreise bei Übermittlungen Standard- und Muster-Verordnung 2004 – StMV 2004 Stammfassung: BGBl. II Nr. 312/2004 Änderungen: BGBl. II Nr. 255/2009 BGBl. II Nr. 152/2010, BGBl. II Nr. 105/2011, BGBl. II Nr. 306/2012 letzte Änderung 2011/03/30: BGBl. II Nr. 306/ Novelle zur Standard- und Muster-Verordnung 2004 – StMV 2004 Diverse Änderungen, insbesondere zur Konzerndatenverarbeitung und Videoüberwachung ARGE DATEN 74

Registrierungsverfahren (seit 1.9.2012)
DSG Registrierung Registrierungsverfahren (seit ) (DSG 2000 § 17 Abs. 1a) - Meldungen haben über Internetanwendung zu erfolgen - Authentifizierung erfolgt durch Bürgerkarte, Handy- Signatur oder USP - -Meldung und nicht-elektronische Meldung bei manuellen Dateien und bei längerem technischen Ausfall der Internetanwendung möglich - Details sind in der Verordnung des BKA nach § 16 Abs. 3 geregelt (DSG 2000 § 19 Abs. 3a) - Erklärung des Auftraggebers ob es sich um vorabkontrollpflichtige Datenanwendung handelt Geänderte Bestimmungen (DSG-Novelle 2010) § 17 Abs. 1a (neu): “(1a) Die Meldung ist in elektronischer Form im Wege der vom Bundeskanzler bereit zu stellenden Internetanwendung einzubringen. Die Identifizierung und Authentifizierung kann insbesondere durch die Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes, BGBl. I Nr. 10/2004) erfolgen. Nähere Bestimmungen über die Identifizierung und Authentifizierung sind in die gemäß § 16 Abs. 3 zu erlassende Verordnung aufzunehmen. Eine Meldung in Form von oder in nicht-elektronischer Form ist für manuelle Dateien sowie bei einem längeren technischen Ausfall der Internetanwendung zulässig.” § 19 Abs. 1 Z 3a (neu): “3a. die Erklärung, ob die Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 oder § 50c Abs. 1 zweiter Satz genannten Tatbestände für die Vorabkontrollpflicht erfüllt, und” ARGE DATEN 75

Registrierungsverfahren II
DSG Registrierung Registrierungsverfahren II (DSG 2000 § 19 Abs. 2) - Möglichkeit der Meldung befristeter oder durch bestimmte Bedingungen/Auflagen beschränkte Datenanwendungen [etwa Testbetrieb] - Auflagen, Bedingungen und Befristungen müssen jedoch ausreichend bestimmt sein Die Prüf- und Verbesserungsbestimmungen §§ DSG wurden neu formuliert, § 22a (Überprüfungsverfahren) ist völlig neu. Geänderte Bestimmungen (DSG-Novelle 2010) Die bisherigen Abs. 2 und 3 des § 19 werden zu Abs. 3 und 4. Abs. 2 wird in § 19 eingefügt (neu): “(2) Der Auftrageber kann bei Einbringung der Meldung oder danach bis zum Abschluss des Registrierungsverfahrens zusagen, dass er sich beim Betrieb der Datenanwendung bestimmten Auflagen oder Bedingungen unterwerfen oder die Datenanwendung nur befristet betreiben wird. Eine derartige Zusage wird für den Auftraggeber mit der Registrierung durch die Datenschutzkommission rechtsverbindlich. Eine Registrierung darf nur erfolgen, wenn die zugesagte Auflage, Bedingung oder Befristung derart bestimmt ist, dass sie auch von der Datenschutzkommission nach § 21 Abs. 2 ausgesprochen werden könnte.” ARGE DATEN 76

Registrierungsverfahren III
DSG Registrierung Registrierungsverfahren III (DSG 2000 § 20 "Prüfungs- und Verbesserungsverfahren") - nicht vorabkontrollpflichtige Datenanwendungen sind nur mehr automationsunterstützt auf Vollständigkeit und Plausibilität zu prüfen (Abs. 1) - bei formalen Fehlern Möglichkeit der Verbesserung, wenn diese nicht erfolgen, gilt Meldung als nicht eingebracht (Abs. 2) - Vorabkontrollpflichtige Datenanwendungen und jene die nicht mittels Internetanwendung eingebracht wurden, sind binnen zwei Monaten auf Mangelhaftigkeit nach § 19 Abs. 4 zu prüfen, allenfalls ist Verbesserungsauftrag zu erteilen (Abs. 3) - Verbesserungsauftrag hemmt Registrierungsverfahren (es gelten die Fristen nach AVG) Geänderte Bestimmungen (DSG-Novelle 2010) § 20 (geändert): “Prüfungs- und Verbesserungsverfahren § 20. (1) Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers nicht einen der Tatbestände des § 18 Abs. 2 Z 1 bis 4 erfüllen, sind nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren. (2) Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung festgestellt, so ist dem Auftraggeber die Möglichkeit zur Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen, dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung erfolgt oder er auf der Einbringung der unverbesserten Meldung besteht. Im letztgenannten Fall kann der Einbringer die Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung der Datenschutzkommission übermitteln, welche die Meldung auf Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen hat. (3) Meldungen, die der Auftraggeber als vorabkontrollpflichtig bezeichnet hat oder von diesem zulässigerweise nicht im Wege der Internetanwendung (§ 17 Abs. 1a) eingebracht wurden, sind auf Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen. (4) Ergibt die Prüfung nach § 19 Abs. 4 eine Mangelhaftigkeit der Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung unter Setzung einer angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist auf die Rechtsfolgen einer Nichtbefolgung nach Abs. 5 hinzuweisen. (5) Wird dem Verbesserungsauftrag nicht entsprochen, ist die Registrierung der Meldung durch eine schriftliche Mitteilung abzulehnen. In die Mitteilung sind aufzunehmen: 1. die Punkte, in denen der Verbesserungsauftrag nicht erfüllt wurde und 2. der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei der Datenschutzkommission ein Antrag gestellt werden kann, über die Ablehnung mit Bescheid abzusprechen. Nach Absendung der Mitteilung erstattete Verbesserungen sind nicht zu berücksichtigen. ARGE DATEN 77

Registrierungsverfahren IV
DSG Registrierung Registrierungsverfahren IV (DSG 2000 § 20 "Prüfungs- und Verbesserungsverfahren" - Fortsetzung) - Wenn Verbesserungsauftrag nicht entsprochen, Mitteilung der Registrierungsablehnung. Es kann Bescheid beantragt werden [bis : bescheidmäßige Ablehnung] - Beginn der Verarbeitung: a) wenn nicht vorabkontrollpflichtig: sofort nach Meldung b) wenn vorabkontrollpflichtig und ... - keine Reaktion der DSK/DSBh: nach zwei Monaten - ausdrückliche Genehmigung durch DSK/DSBh innerhalb Frist von zwei Monaten ohne Auflagen: ab Zeitpunkt der Genehmigung - Reaktion der DSK/DSBh dass Prüfung "dauert": sobald DSK/DSBh Prüfung abgeschlossen hat (gilt AVG) - Verbesserungsauftrag der DSK/DSBh: sobald DSK/DSBh Verbesserungsauftrag ausdrücklich genehmigt hat (gilt AVG) - ARGE DATEN 78

Registrierungsverfahren V
DSG Registrierung Registrierungsverfahren V (DSG 2000 § 21 "Registrierung") Eintragung im Datenverarbeitungsregister, wenn - Plausibilitätsprüfung fehlerfrei oder - Prüfung auf Mangelhaftigkeit fehlerfrei oder - nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung zwei Monate vergangen sind oder - aufgetragene Verbesserungen vorgenommen wurden Es können bei vorabkontrollpflichtigen Anwendungen Auflagen, Bedingungen oder Befristungen ausgesprochen werden Auftraggeber ist von Registrierung geeignet zu verständigen [bis : schriftlich] Geänderte Bestimmungen (DSG-Novelle 2010) § 21 (geändert): Registrierung § 21. (1) Meldungen gemäß § 19 sind in das Datenverarbeitungsregister einzutragen, wenn 1. das Prüfungsverfahren nach § 20 Abs. 1 keinen Fehler ergeben hat oder 2. das Prüfungsverfahren nach § 20 Abs. 2 und 3 keine Mangelhaftigkeit der Meldung ergeben hat oder 3. nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung bei der Datenschutzkommission zwei Monate verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 Abs. 4 erteilt wurde oder 4. der Auftraggeber die aufgetragenen Verbesserungen (§ 20 Abs. 2 und 4) vorgenommen hat. Die in der Meldung enthaltenen Angaben über Datensicherheitsmaßnahmen sind im Register nicht ersichtlich zu machen. (2) Bei Datenanwendungen, die gemäß § 18 der Vorabkontrolle unterliegen, können auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen, Bedingungen oder Befristungen für die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur Wahrung der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig ist. (3) Der Auftraggeber ist von der Durchführung und vom Inhalt der Registrierung in geeigneter Weise zu verständigen. (4) Jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer zuzuteilen. (5) Hat die automationsunterstützte Prüfung nach § 20 Abs. 1 keine Fehlerhaftigkeit der Meldung ergeben, so ist in die Registrierung ein Vermerk aufzunehmen, dass der Meldungsinhalt nur automationsunterstützt geprüft wurde. ARGE DATEN 79

Registrierungsverfahren VI
DSG Registrierung Registrierungsverfahren VI (DSG 2000 § 22 "Richtigstellung und Rechtsnachfolge") - Änderungen/Streichungen von Amts wegen oder durch Antrag des Auftraggebers möglich - Änderungen sind sieben Jahre ersichtlich zu machen - Einträge sind zu streichen, wenn Rechtsgrundlage fehlt, Befristungen abgelaufen sind oder eine Datenanwendung nicht mehr benötigt wird - amtswegige Änderungen und Streichungen sind mit Mandatsbescheid zu verfügen [bis : Bescheid] - Rechtsnachfolger kann einzelne oder alle Datenanwendungen übernehmen, kann auch DVR-Nummer übernehmen [Ausgliederungen, Konkursverfahren, ...] Geänderte Bestimmungen (DSG-Novelle 2010) § 22 (geändert): Richtigstellung des Registers und Rechtsnachfolge § 22. (1) Streichungen aus dem Register und sonstige Änderungen des Registers sind auf Grund einer Änderungsmeldung des registrierten Auftraggebers oder von Amts wegen in den Fällen des Abs. 2, des § 22a Abs. 2 und des § 30 Abs. 6a vorzunehmen. Derartige Änderungen sind für die Dauer von sieben Jahren ersichtlich zu machen. (2) Gelangen der Datenschutzkommission aus amtlichen Verlautbarungen Änderungen in der Bezeichnung oder der Anschrift des Auftraggebers zur Kenntnis, so sind die Eintragungen von Amts wegen zu berichtigen. Ergibt sich aus einer amtlichen Verlautbarung der Wegfall der Rechtsgrundlage des Auftraggebers, ist dieser von Amts wegen aus dem Register zu streichen. Außerdem ist eine registrierte Datenanwendung zu streichen, wenn eine Befristung des Betriebes (§ 19 Abs. 2, § 21 Abs. 2) abgelaufen ist oder der Datenschutzkommission zur Kenntnis gelangt, dass die Datenanwendung dauerhaft nicht mehr betrieben wird. (3) Berichtigungen oder Streichungen nach Abs. 2 sind ohne weiteres Ermittlungsverfahren durch Mandatsbescheid (§ 38) zu verfügen. (4) Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne oder alle registrierten Meldungen des Rechtsvorgängers übernehmen, wenn er innerhalb von sechs Monaten nach Wirksamkeit der Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung gegenüber der Datenschutzkommission abgibt. Dem Rechtsnachfolger kann auf Antrag auch die Registernummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat.” ARGE DATEN 80

DSG 2000 - Internationaler Datenverkehr
Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungsfreiheit (EU: "Datenexport") - innergemeinschaftlicher Datenverkehr - gleichwertige Datenschutzgesetzgebung - im Inland zulässigerweise veröffentlichte Daten - notwendige Grundlage zur Vertragserfüllung mit Betroffenen - persönliche oder publizistische DA‘s - mit Zustimmung des Betroffenen - wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen - bei Akten und Dokumenten (Entscheidung DSK K /13- DSK/00 "gegenseitige Information zu Waffenexporten") - Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt Verordnung des Bundeskanzlers!) Genehmigungsfrei im innergemeinschaftlichen Datenverkehr (EU-weit), sofern die Datenverarbeitungen dem Recht der Europäischen Gemeinschaft unterliegen (Abs. 1) (gilt auch für Daten juristischer/sonstiger Personen)‏ in Ländern mit gleichwertigen Datenschutzgesetzgebungen (Abs. 2)‏ im Inland zulässigerweise veröffentlichte Daten (Abs. 3 Z 1)‏ aus persönlichen oder publizistischen Datenanwendungen (Abs. 3 Z 4)‏ aufgrund der Zustimmung des Betroffenen (Abs. 3 Z 5)‏ als notwendige Grundlage zur Erfüllung eines mit dem Betroffenen abgeschlossenen Vertrages (Abs. 3 Z 6)‏ Weitere Gründe für einen genehmigungsfreien Datenverkehr indirekt personenbezogene Daten (Abs. 3 Z 2)‏ innerstaatliche Vorschriften verlangen Datenverkehr (Abs. 3 Z 3)‏ als notwendige Grundlage zur Erfüllung eines im Interesse des Betroffenen abgeschlossenen Vertrages (Abs. 3 Z 6)‏ notwendig zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gegenüber ausländischen Behörden (Abs. 3 Z 7)‏ bei Standard- und Musterverordnungen (Abs. 3 Z 8)‏ Datenverkehr mit österreichischen Dienststellen im Ausland (Abs. 3 Z 9)‏ wenn keine Meldepflicht gem. §17 Abs. 3 ("öffentliche Sicherheit") besteht (Abs. 3 Z 10)‏ zur Wahrung eines wichtigen öffentlichen Interesses (Abs. 4 Z 1)‏ zur dringlichen Wahrung eines lebenswichtigen Interesses einer Person (Abs. 4 Z 2)‏ ARGE DATEN 81

Genehmigungsfrei (weil gleichwertig)
DSG Internationaler Datenverkehr Genehmigungsfrei (weil gleichwertig) - gleichwertig auf Grund EWR-Verträge Island, Norwegen, Liechtenstein - gleichwertig gem. Kommissionsentscheidung Schweiz ( ), Kanada ( ) Argentinien ( ), Australien ( ) Israel ( ), Uruguay ( ) Neuseeland ( ) Andorra, Färöer Islands, Guernsey, Isle of Man, Jersey - USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen) bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber um den Datenschutz zu kümmern Aktueller Stand der gleichwertigen Länder: transfers/adequacy/index_en.htm (STAND: 2/2013)‏ Suchbegriffe: "Commission decisions adequacy protection personal data third countries" auf EG-Standardvertragsklauseln: Version 1 (2001): ftp://ftp.freenet.at/privacy/ds-eu/eg-standardvertragsklauseln-1.pdf Version 2 (2004): ftp://ftp.freenet.at/privacy/eu-ds/eu-standardvertragsklauseln-2.pdf Wichtige Vertragselemente der Standardvertragsklauseln Auswahlhaftung des Datenexporteurs: muss sich von der Fähigkeit des Importeurs bei der Einhaltung der Datenschutzbestimmungen überzeugen bei Datenschutzverletzungen: zuständig ist das Gericht, in dem Land in dem der Datenexporteur seinen Sitz hat Durchsetzungfrist bei Datenschutzrechten: ein Monat Einsetzbarkeit der Standardvertragsklauseln in Österreich nur beschränkt gegeben: Genehmigung durch DSK trotzdem erforderlich. ARGE DATEN 82

Was bedeutet "Safe Harbour"?
DSG Internationaler Datenverkehr Was bedeutet "Safe Harbour"? In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG), nach Beitritt verbindlich FTC (Federal Trade Commission, Bundeshandelskommission) bzw US-Verkehrsministerium (bei Luftfahrtgesellschaften) überwachen Einhaltung Liste mit Teilnehmern veröffentlicht, Stand Oktober 2013: ca Organisationen, inkl. nicht aktueller Einträge Beitritt kann auf bestimmte Datengruppen beschränkt werden: Online- Daten, Offline-Daten, HR-Daten (Personaldaten), manuell verarbeitete Daten, Finanzdaten, ... Beratungsfirma Galexia, Australien äußerte 2008 Bedenken an der Funktionsfähigkeit des Systems Unterlagen zur EU-Entscheidung "über die Angemessenheit des Datenschutzes in den USA": lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=de&n umdoc=32000D0520&model=guichett Liste der Unternehmen, die den "Safe Harbour" - Richtlinien beigetreten sind: Auszug aus der Liste der Unternehmen, die sich zu "Safe Harbour" verpflichtet haben: - Amazon.com Inc, google, facebook, Yahoo - Novartis Pharmaceuticals Corporation, Baxter International Inc. - Hewlett Packard, Microsoft Corporation, Oracle Corporation - Marriott International, Inc. - Procter & Gamble Company - Dun & Bradstreet Corporation Bekannte Internetanbieter, die nicht dem Abkommen beigetreten sind: - ebay, automattic(wordpress) Branchenstatistik (Beispiele, Stand 10/2013): Biotechnologie (132), EDV-Ausstattung/Computer & Peripherals (83), Informationsdienste/Information Services (1089)‏, Telekommunikation- Dienstleister/Telekommunication Services (245), Hotels (12), Pharmazie (215) Link zum kritischen Galexia-Bericht (2008): _harbor_fact_or_fiction.pdf ARGE DATEN 83

zentrale Grundsätze des "Safe Harbour"
DSG Internationaler Datenverkehr zentrale Grundsätze des "Safe Harbour" - INFORMATIONSPFLICHT (entspricht: DSG 2000 § 24) - WAHLMÖGLICHKEIT (DSG 2000 § 28 "Widerspruch") - WEITERGABE (DSG 2000 u.a. § 8f "Verwendung") - SICHERHEIT (DSG 2000 § 14) - DATENINTEGRITÄT (DSG 2000 § 6 "Grundsätze") - AUSKUNFTSRECHT (DSG 2000 § 26f) - DURCHSETZUNG (DSG 2000 § 30ff) Sonstige Bestimmungen zu "Safe Harbour" formuliert in den Frequently Asked Questions im Anhang der Entscheidung der EU-Kommission vom - Sensible Daten (FAQ1) - Ausnahmen für Journalisten (FAQ2) - ISP-Haftung bei Weiterleitung (FAQ3) - Investmentbanken und Wirtschaftsprüfer (FAQ4) - Funktionsweise der Selbstzertifizierung (FAQ6) + Selbstkontrolle (FAQ7) - Durchführung der Auskunft (FAQ8) (orientiert sich an OECD-Empfehlung 1980) - Verwendung von Personaldaten (FAQ9) - Schiedsverfahren und Durchsetzung (FAQ11) - Verwendung von Reisedaten (FAQ12) ARGE DATEN 84

Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11) - Betroffene können sich direkt beschweren - Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt (BBBOnline, TRUSTe, ...) - ebenso Beschwerden der EU-Mitgliedsstaaten - Fortgesetzte Missachtungen sind zu veröffentlichen - Sanktionen: öffentliche Bekanntmachung ("Pranger") Löschung betreffender Daten Entschädigung für Personen Streichung von der Liste "safe harbour" sonstige Auflagen - ARGE DATEN 85

Internationaler Datenverkehr II (§§ 12, 13, 55) Genehmigungspflicht
DSG Internationaler Datenverkehr Internationaler Datenverkehr II (§§ 12, 13, 55) Genehmigungspflicht in allen anderen Fällen besteht Genehmigungspflicht (§ 13) die Genehmigung hat die DSK/DSBh zu erteilen: - die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2) - im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [z.B. Verwendung von EU Mustervereinbarungen] - Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2) - Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2) - seit sind vor erteilte Genehmigungen zu erneuern (sofern weiterhin Genehmigung erforderlich) - ARGE DATEN 86

Datenschutzaufsicht (§§ 35-40)
DSG Kontrollbestimmungen Datenschutzaufsicht (§§ 35-40) bis : Datenschutzkommission (DSK) - Oberste Kontrollbehörde [jedoch nicht für alle Bereiche] - als "unabhängige" Instanz eingerichtet (Form eines Tribunals) - 6 Mitglieder + 6 Ersatzmitglieder - Geschäftsapparat: 20 Personen, davon 11 A-Beamte (lt. DSK-Bericht 2009), EU-Schnitt: 45 Personen! (Verteilung: 11,5 MA für DVR, 8,5 MA für alles andere) - EuGH hat für Österreich mangelnde Unabhängigkeit der DSK festgestellt, in DSG-Novelle 2013 saniert ab : Datenschutzbehörde (DSBh) - Kontrollbehörde erster Instanz (Verwaltungseinrichtung) - Beschwerde- und Aufsichtsstelle (zweite Instanz): Teil des "Bundesverwaltungsgerichtshofs" Zusammensetzung DSK (§ 36 DSG 2000) 1 richterliches Mitglied (Vorsitz, Vorschlag des OGH), 2 Ländervertreter, 1 Bundesvertreter, 1 Vertreter der Wirtschaftskammer, 1 Vertreter der Arbeiterkammer + je ein Ersatzmitglied Personelle Zusammensetzung Mitglieder Stand 10/2013: * Dr. Anton SPENLING, Vorsitzender (richterliches Mitglied) * Dr. Eva SOUHRADA-KIRCHMAYER, geschäftsführendes Mitglied (seit ) * Mag. Helmut HUTTERER (Vertretung Land) * Dr. Claudia ROSENMAYR-KLEMENZ (Vertretung WKO) * Dr. Klaus Heissenberger (Vertretung Land) * Mag. Daniela ZIMMER (Vertretung Arbeiterkammer) Besetzung des Büros der Datenschutzkommission im Europa-Vergleich unterdurchschnittlich (Position 27 von 31 untersuchten Ländern, DSK-Bericht 2007), nicht einmal 50% der durchschnittlichen Planposten wird erreicht (Ö 20 Planposten, EU- Schnitt: 45 Planposten) ARGE DATEN 87

Organisationsänderungen der DSK
DSG Aufsicht - Organisationsnovellen Organisationsänderungen der DSK - Schaffung des Bundesverwaltungsgerichtshofes BVGH, Auflösung der Behörden mit "richterlichem" Einschlag (DSG-Novelle ) - Entscheidung des EuGH wegen mangelnder Unabhängigkeit der DSK (EuGH Rs C-614/10, DSG-Novelle ) - Schaffung einer Behörde, die die Aufgaben der DS-Richtlinie 95/46/EG erledigt (DSG-Novelle 2014) Konsequenzen - Mit wird aus bisheriger "Datenschutzkommission" Datenschutzbehörde Entscheidungen als Verwaltungsbehörde (+Beirat) - BVGH wird zur Beschwerdeinstanz (bisherige Tätigkeit der DSK), statt Kommission vermutlich Senat - Kommission (bis ) und Behörde (ab ) mit eigenem Budget, Beschränkung der Informationsrechte des Bundeskanzlers und Unvereinbarkeitsregeln für die Mitglieder - ARGE DATEN 88

Kontrollbefugnisse der DSK/DSBh I
DSG Kontrollbefugnisse Kontrollbefugnisse der DSK/DSBh I (DSG 2000 § 22a "Überprüfung der Meldepflicht") - DSK/DSBh kann jederzeit Erfüllung der Meldepflicht prüfen - bei Verdacht einer Verletzung der Meldepflicht ist ein Berichtigungsverfahren durch Datenverarbeitungsregister durchzuführen - DSK/DSBh kann Verbesserungsaufträge erteilen, wenn nicht entsprochen wird, dann ist Streichung möglich - Streichung kann auch nur Teile einer Datenanwendung/Meldung umfassen - wird der Aufforderung der Nachmeldung nicht entsprochen, dann ist Verarbeitung mit Bescheid zu untersagen und Anzeige bei der zuständigen Behörde zu erstatten Geänderte Bestimmungen (DSG-Novelle 2010) § 22a (neu): “Verfahren zur Überprüfung der Erfüllung der Meldepflicht § 22a. (1) Die Datenschutzkommission kann jederzeit die Erfüllung der Meldepflicht durch einen Auftraggeber prüfen. Dies gilt sowohl für die Mangelhaftigkeit einer registrierten Meldung im Sinn des § 19 Abs. 4 als auch für die rechtswidrige Unterlassung von Meldungen. (2) Bei Vorliegen des Verdachtes der Nichterfüllung der Meldepflicht infolge Mangelhaftigkeit einer registrierten Meldung (Abs. 1) oder Unterlassung der Meldung, die über die Fälle des § 22 Abs. 2 hinausgeht, ist ein Verfahren zur Berichtigung des Datenverarbeitungsregisters durchzuführen. Das Verfahren wird durch begründete Verfahrensanordnung eingeleitet, die dem meldepflichtigen Auftraggeber mit einem Auftrag zur Verbesserung (§ 20 Abs. 4) oder einer Aufforderung zur Nachmeldung (§ 17 Abs. 1) innerhalb gesetzter Frist zuzustellen ist. (3) Wird einem im Verfahren nach Abs. 2 erteilten Verbesserungsauftrag nicht entsprochen, so ist die Streichung der Meldung mit Bescheid der Datenschutzkommission zu verfügen. Die Streichung kann sich, wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Herstellung des rechtmäßigen Zustandes ausreichend ist, auch nur auf Teile der Meldung beschränken. (4) Wird einer im Verfahren nach Abs. 2 erteilten Aufforderung zur Nachmeldung nicht entsprochen und die Unterlassung einer Meldung entgegen § 17 Abs. 1 erwiesen, so ist mit Bescheid der Datenschutzkommission der weitere Betrieb der Datenanwendung, soweit er vom Registerstand abweicht, zu untersagen und gleichzeitig Anzeige nach § 52 Abs. 2 Z 1 an die zuständige Behörde zu erstatten. (5) Ergibt das Verfahren nach Abs. 2 alleine die Unangemessenheit oder die Nichteinhaltung von nach § 19 Abs. 1 Z 7 erklärten Datensicherheitsmaßnahmen, so ist dies mit Bescheid festzustellen und gleichzeitig eine angemessene Frist zur Herstellung ausreichender Datensicherheit zu setzen. Der Auftraggeber hat innerhalb dieser Frist der Datenschutzkommission die getroffenen Maßnahmen mitzuteilen. Sind diese nicht ausreichend, so ist die Streichung der Datenanwendung zu verfügen. (6) Die Einleitung und der Stand eines Berichtigungsverfahrens nach Abs. 2 ist bei registrierten Meldungen im Datenverarbeitungsregister bis zur Einstellung oder bis zur Herstellung eines rechtmäßigen Zustandes durch Maßnahmen nach den Abs. 3 bis 6 geeignet anzumerken.” ARGE DATEN 89

Kontrollbefugnisse der DSK/DSBh II
DSG Kontrollbefugnisse Kontrollbefugnisse der DSK/DSBh II (DSG 2000 § 22a "Überprüfung der Meldepflicht" - Fortsetzung) - DSK/DSBh kann auch bei Fehlen von Sicherheitsmaßnahmen die Streichung einer Datenanwendung verfügen - Berichtigungsverfahren sind im DVR ersichtlich zu machen ("geeignet anzumerken") Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) der DSG-Novelle 2010: Zu Art. 2 Z 40 (§ 22a samt Überschrift): Durch diese Bestimmung soll das bisher (im geltenden § 22 Abs. 4) nur wenig geregelte Verfahren zur Überprüfung der Meldepflicht insbesondere im Hinblick auf die Befugnisse der Datenschutzkommission neu geregelt werden. Dies stellt auch einen Ausgleich für den Entfall der Detailprüfung bei nicht vorabkontrollpflichtigen Datenanwendungen dar. Abs. 1 ermöglicht in diesem Sinn eine jederzeitige Überprüfung der Erfüllung der Meldepflicht durch die Datenschutzkommission (vgl. auch die vorgeschlagenen § 30 Abs. 2a, § 31a Abs. 1 sowie § 32 Abs. 7, die „Impulse“ für derartige Überprüfungen setzen sollen). Wenn diese „interne“ Prüfung den Verdacht einer Nichterfüllung der Meldepflicht erhärtet, so ist ein Verfahren zur Berichtigung des Datenverarbeitungsregisters durchzuführen, welches durch begründete Verfahrensanordnung (also nicht durch Bescheid) eingeleitet wird. Freilich können nicht nur Mängel innerhalb registrierter Meldungen (§ 19 Abs. 4), die in der Regel (außer die Mangelhaftigkeit tritt erst nachträglich durch Änderungen der Rechtslage ein; s. dazu die Übergangsbestimmung für Videoüberwachung in § 61 Abs. 6) eigentlich schon im Zuge des Registrierungsverfahrens hätten hervorkommen müssen (in verfahrensrechtlicher Terminologie „nova reperta“), ein solches Berichtigungsverfahren erforderlich machen, sondern auch Fälle, in denen eine Meldung zur Gänze oder teilweise unterlassen wurde, eine Datenanwendung also gar nicht oder in einer nicht (mehr) dem Echtbetrieb entsprechenden Form registriert ist. Je nachdem, welcher der beiden Fälle vorliegt, ist auch das Berichtigungsverfahren zu führen bzw. abzuschließen. Der erste Fall (Mangel nach § 19 Abs. 3), den Abs. 3 regelt, führt, sofern keine auftragsgemäße Verbesserung erfolgt, – analog der Ablehnung nach § 20 Abs. 5 – zur Streichung der Datenanwendung, im zweiten Fall (Abs. 4) wird die Datenanwendung untersagt. Eine solche Untersagung hat freilich – wie grundsätzlich jeder Bescheid (vgl. Walter/Mayer, Verwaltungsverfahrensrecht, [2003] 8. Aufl., Rz. 481 ff) – objektive Grenzen, nämlich den Sachverhalt und die Rechtslage, auf die sie sich bezieht. Wird also zB eine Datenanwendung, die zunächst mangels Meldung untersagt wurde, auf Grund einer nachträglich erstatteten Meldung registriert, so wird die Untersagung gegenstandslos. Die Abs. 5 regelt den Sonderfall, dass sich als Ergebnis des Berichtigungsverfahrens bloß Mängel bei den Datensicherheitsmaßnahmen ergeben. Bei Gefahr im Verzug ist schon während des noch anhängigen Berichtigungsverfahrens eine Bescheiderlassung nach § 30 Abs. 6a möglich. ARGE DATEN 90

Möglichkeiten der Kontrolle durch DSK/DSBh:
DSG Kontrollbefugnisse Möglichkeiten der Kontrolle durch DSK/DSBh: (a) vor Aufnahme einer Datenanwendung (Vorabkontrolle, § 18) (b) bei begründetem Verdacht einer Verletzung der Datenschutz-Bestimmungen ("Ombudsverfahren" § 30) [im Wesentlichen wie bisher] (c) Im Zuge von Beschwerdeverfahren Betroffener (§ 31, 31a) (d) DSK/DSBh kann jederzeit Meldepflicht prüfen (DSG Novelle 2010: § 22a) [Gesetzgeber hofft laut EB zu Novelle 2010 nunmehr praktikable Kontrollmöglichkeiten für DSK/DSBh geschaffen zu haben] - ARGE DATEN 91

Informationspflichten & Betroffenenrechte
Recht auf Geheimhaltung (§ 1ff) Informationsrecht (§ 24) Recht auf Auskunft (§ 26) Recht auf Berichtigung & Löschung (§ 27) Recht auf Widerspruch (§ 28) - Recht auf Widerruf (§ 8, 9) ARGE DATEN 92

Entscheidungen zu § 1 DSG 2000
DSG Grundlagen Entscheidungen zu § 1 DSG 2000 DSK K / K ("Geburtsdatum") Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht DSK K /0015-DSK/2012 ("Geburtstagsabfragen") Schon die Abfrage des Geburtsdatums zum Zwecke des Glückwunsches durch den Bürgermeister ist unzulässig, wenn nicht gesetzlich geregelt. OGH 11Os109/01 ("allgemeine Verfügbarkeit") Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde DSK K /002-DSK/2003: "Das belangte Organ hat den Beschwerdeführer dadurch, dass es über ihn in der Rubrik 'Stellung im Haushalt' die Eintragung 'Haushaltsvorstand' gespeichert hat, in seinem Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG in Verbindung mit § 6 DSG verletzt." (RIS)‏ DSK K /14-DSK/00: "Schreiben Privater oder Firmen oder Institutionen, die den Direktor und die Kollegenschaft betreffen, werden, je nach Inhalt und Bedeutung, im Konferenzzimmer oder Sozialraum zur allgemeinen Kenntnisnahme ausgehängt. Auf Grund der allgemein gehaltenen Adressierung scheint die gewählte Vorgangsweise des BRG durch Aushang im Konferenzzimmer, das prinzipiell nur der Lehrerschaft zugänglich ist, als durchaus angemessen." (RIS)‏ DSK K /003-DSK/2002: ("SV-Auskunft") Auskunft über Beschäftigung im Rahmen eines Unterhaltsverfahrens ist unzulässig, wenn nicht vorher Betroffener befragt wurde ("gelindeste Mittel") "..zuerst der Unterhaltspflichtige zu befragen ist und nur dann, wenn dies nicht zum Ziel führt, der Arbeitgeber oder der zuständige Sozialversicherungsträger zur Auskunft heranzuziehen ist. Dies entspricht auch dem datenschutzrechtlichen Grundsatz, wonach stets das gelindeste zum Ziel führende Mittel anzuwenden ist, wenn durch die Ermittlung (oder Übermittlung) von Daten in die schutzwürdigen Geheimhaltungsinteressen einer Person eingegriffen wird. " ARGE DATEN 93

Offenlegung nicht-meldepflichtiger Datenanwendungen (§ 23)
DSG Informationspflicht Offenlegung nicht-meldepflichtiger Datenanwendungen (§ 23) - Mitteilung - auf Anfrage - welche Standardanwendungen betrieben werden (Abs. 1) - Offenlegung der Standardanwendungen gegenüber DSK/DSBh bei Prüfungen (Abs. 2) Offenlegungspflicht (§ 25) Offenlegung anlässlich von Übermittlungen und Mitteilungen an Betroffene - Identität des Auftraggebers - bei registrierungspflichtigen DAs die DVR-Nummer des Auftraggebers - ARGE DATEN 94

Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL)
DSG Informationspflicht Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder - bei mangelnder Erreichbarkeit der Betroffenen oder - bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Informationspflicht ist "Bringschuld" des Auftraggebers! Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden (z.B. Adressenverlagen / Informationsdiensten) Betroffene sind aus Anlass der Ermittlung zu informieren über Zweck der DA Namen/Adresse des Auftraggebers Notwendige weitere Informationen sind in geeigneter Weise zu geben: Widerspruchsrechte gegen Übermittlungen rechtliche Verpflichtung zur Beantwortung von Fragen Verarbeitung in einem Informationsverbundsystem, ohne gesetzlichen Auftrag Werden Daten nicht direkt beim Betroffenen ermittelt, entfällt die Informationspflicht: bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder bei mangelnder Erreichbarkeit der Betroffenen oder bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind [persönliche DA, publizistische DA, indirekt pesonenbezogene Daten, DA zum Schutz der Verfassung/Einsatzbereitschaft/Landesverteidigung/Strafverfolgung] ARGE DATEN 95

Informationspflicht ARGE DATEN DSG 2000 - Informationspflicht
(DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch - wenn Betroffenen Schaden droht - Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. Geänderte Bestimmungen (DSG-Novelle 2010) § 24 Abs. 2a (neu): “(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.” [Ursprüngliche Version des Beamtenentwurfs (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden, hat er darüber unverzüglich die Betroffenen zu informieren.] ARGE DATEN 96

Betroffenenrecht - Auskunft (§ 26) I
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) I Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...) Auskunftsbegehren kann mit Zustimmung des Auftraggebers mündlich gestellt werden (Abs. 1)‏ Auskunft kann mit Zustimmung des Betroffenen mündlich erteilt werden (Abs. 1)‏ Hinweis! Auskunftspflicht trifft auch auf nicht registrierte Verarbeitungen zu! umfasst also auch Standardanwendungen, persönliche Datenanwendungen oder DAs für publizistische Tätigkeit Typische geeignete Identitätsnachweise: bei Kundenbeziehungen: Stammdatenvergleich, Unterschriftenvergleich ohne Kundenbeziehung: Antwort eingeschrieben bzw. eingeschrieben/eigenhändig zusenden Ausweisdokument vorlegen (Kopie)‏ ARGE DATEN 97

Betroffenenrecht - Auskunft (§ 26) II
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7) Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich Kostenlose Auskunft ist jedenfalls zu erteilen (Abs. 6), wenn: Auskunft aktuellen Datenbestand betrifft und im laufenden Jahr noch keine Auskunft zum selben Aufgabengebiet des Auftraggebers erfolgte In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden (Abs. 6)‏ bei höheren tatsächlichen Kosten kann davon abgewichen werden Führt die Auskunft zu einer Löschung oder Richtigstellung, sind die Kosten auf jeden Fall zu ersetzen. Ergänzungen begründen noch keine Kostenforderung Löschungsverbot von 4 Monaten nach Einlangen der Auskunft (Abs. 7)‏ Bei Beschwerde vor der DSK/DSBh Löschungsverbot bis zum Abschluss des rechtskräftigen Verfahrens ARGE DATEN 98

Auskunftsrecht ist "Holschuld" des Betroffenen!
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a. - Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste - überwiegende Interessen des Auftraggebers oder Dritter - aus therapeutischen Gründen (Gesundheitszustand) - formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung, ... Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten tatsächliche Kosten oder pauschalierter Ersatz Auskunftsrecht ist "Holschuld" des Betroffenen! Gründe für Auskunftsverweigerung wenn Daten dem Betroffenen aus anderen Quellen bekannt sind (Kontoauszug, Online abrufbar, ...) überwiegende berechtigte Interessen des Auftraggebers überwiegende berechtigte Interessen eines Dritten überwiegende öffentliche Interessen wenn Betroffener nicht mitwirkt , insbesondere Kosten nicht bezahlt werden oder kein geeigneter Identitäsnachweis möglich ist wenn ein erforderlicher Kostenersatz nicht geleistet wird zum Schutz des Betroffenen ("Therapeutisches Privileg")‏ Auskunftsrecht steht in Verfassungsrang und kann daher nicht ohne weiters gesetzlich eingeschränkt werden. ARGE DATEN 99

Auskunftspflicht - Änderungen DSG-Novelle 2010
DSG Betroffenenrechte Auskunftspflicht - Änderungen DSG-Novelle 2010 (DSG 2000 § 26) - Dienstleister müssen bei Auskunftsbegehren binnen zwei Wochen den tatsächlichen Auftraggeber bekannt geben Auskunftsfrist für Auftraggeber bleibt bei 8 Wochen ab Einlangen beim Dienstleister! (Abs. 10) - Verbesserung bei den Auskunftsrechten gesetzlich einsehbarer Datenanwendungen (z.B. Grundbuch, ...) Auskunftsrecht unterliegt grundsätzlich dem Materiengesetz, für davon nicht erfasste Teile gilt jedoch das DSG 2000 (Abs. 8) Geänderte Bestimmungen (DSG-Novelle 2010) § 26 Abs. 8 (geändert): “(8) In dem Umfang, in dem eine Datenanwendung für eine Person oder Personengemeinschaft hinsichtlich der zu ihr verarbeiteten Daten von Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das Verfahren der Einsichtnahme (einschließlich deren Verweigerung) gelten die näheren Regelungen des Gesetzes, das das Einsichtsrecht vorsieht. In Abs. 1 genannte Bestandteile einer Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch nach diesem Bundesgesetz geltend gemacht werden.” § 26 Abs. 10 (geändert): “(10) Ergibt sich eine Auftraggeberstellung auf Grund von Rechtsvorschriften, obwohl die Datenverarbeitung für Zwecke der Auftragserfüllung für einen Dritten erfolgt (§ 4 Abs. 1 Z 4 letzter Satz), kann der Auskunftswerber sein Auskunftsbegehren zunächst auch an denjenigen richten, der die Herstellung des Werkes aufgetragen hat. Dieser hat dem Auskunftswerber, soweit ihm dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse des tatsächlichen Auftraggebers mitzuteilen, damit der Auskunftswerber sein Auskunftsrecht gemäß Abs. 1 gegen diesen geltend machen kann. Wird ein Auskunftsbegehren an einen Dienstleister gerichtet und lässt dieses erkennen, dass der Auskunftswerber ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Dienstleister das Auskunftsbegehren unverzüglich an den Auftraggeber weiterzuleiten und dem Auskunftswerber mitzuteilen, dass in seinem Auftrag keine Daten verwendet werden. Der Auftraggeber hat innerhalb von acht Wochen ab Einlangen des Auskunftsbegehrens beim Dienstleister dem Auskunftswerber Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, von einer Auskunftserteilung abzusehen. Wird jedoch in weiterer Folge das Ersuchen direkt an den Auftraggeber gestellt, so hat dieser nach Abs. 5 vorzugehen. Für Betreiber von Informationsverbundsystemen gilt jedoch ausschließlich § 50 Abs. 1.” ARGE DATEN 100

DSK K121.017/0009-DSK/2005 ("Prüfungsdaten")
DSG Auskunftsrechte DSK K /0009-DSK/2005 ("Prüfungsdaten") Ausgangslage - Betroffener nahm an (Berufsqualifikations-)Prüfung teil - hatte umfangreiche Angaben zur Person zu machen - Test wurde negativ beurteilt - Einsicht in Beurteilung brachte schwere Mängel - Auskunft gem. DSG wurde verweigert, da diese nur "persönliche Daten", aber nicht Leistungsdaten erfasse DSK-Entscheidung - Auskunftsrecht wurde verletzt - Auskunft über Prüfungsdaten, die als Excel-Sheet vorliegen ist zu erteilen - ausschließlich auf Papier angefertigte Fallbeispiele unterliegen nicht der Auskunftspflicht - die persönlichen Daten des Prüfers sind nicht zu beauskunften DSK K /0009-DSK/2005 Das ausschließlich in Papierform vorliegende Anmeldeformular sowie die ebenfalls ausschließlich in Papierform aufbewahrten, vom Beschwerdeführer während seiner Prüfung angefertigten Fallbeispiele unterliegen gemäß der angeführten Rechtsprechung nicht der Pflicht zur Auskunftserteilung, weshalb die Beschwerde diesbezüglich abzuweisen war. Auch hinsichtlich der Verweigerung der Auskunftserteilung über den Namen und die Adresse des Assessors hat die Beschwerdegegnerin das Auskunftsrecht des Beschwerdeführers aus zwei Gründen nicht verletzt: Zum Einen steht dem Auskunftsanspruch des Beschwerdeführers der Geheimhaltungsanspruch des jeweiligen Assessors in Bezug auf seine personenbezogenen Daten (und dazu zählen Name und Adresse) gemäß § 1 Abs. 1 DSG 2000 entgegen (der Beschwerdeführer hat im Übrigen auch nicht dargetan, welchen Wert eine Weitergabe dieser Daten des Assessors für ihn hätte, was in einer Interessenabwägung gemäß § 1 Abs. 2 DSG 2000 zu seinen Gunsten hätte ausschlagen können), zum Anderen ist Name und Adresse des Assessors gar nicht Gegenstand des ursprünglichen Auskunftsbegehrens des Beschwerdeführers vom 21. Dezember 2004, in dem es ihm lediglich um die Beauskunftung „allfälliger Bewertungen durch Assessoren“, nicht aber um deren Identität selbst gegangen ist. Die Beschwerde war daher auch im Hinblick auf die Daten des Assessors als unbegründet abzuweisen. Wohl aber hat die Beschwerdegegnerin das Auskunftsrecht des Beschwerdeführers gemäß § 26 DSG 2000 dadurch verletzt, dass sie die in elektronischer Form vorhandenen Daten, das sind aus Sicht der Datenschutzkommission jedenfalls die Ergebnisse des Computertests sowie der gesamte Inhalt des über den Prüfungstag aufgenommenen Excel-Sheets, nicht beauskunftet hat. Die in diesen Aufzeichnungen über den Beschwerdeführer geführten Daten sind personenbezogene Daten iSd DSG 2000 (§ 4 Z 1) und der RL 95/46 (Art. 2 lit.a): Der verwendete Begriff „personenbezogene Daten bezieht sich nach der Definition des Art. 2 lit. a (der RL 95/46) auf alle Informationen über eine bestimmte oder bestimmbare natürliche Person“ (EuGH C-101/01). ARGE DATEN 101

Betroffenenrecht - Löschung/Richtigstellung (§ 27)
DSG Betroffenenrechte Betroffenenrecht - Löschung/Richtigstellung (§ 27) - grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen - Betroffene können Richtigstellungsantrag stellen - Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen, Location-Based-Services, Smartphone-Daten) Wachsende Bedeutung der Bestimmung - Telekomdienste, Internet Service Provider - Logistik (Postzustellung, Paketzustellung)‏ - Verkehrsüberwachung (Maut, Section-Control)‏ Richtigstellungspflicht des Auftraggebers (Abs. 1)‏ Aus eigenem, sobald ihm die Unrichtigkeit der Daten bzw. Unzulässigkeit der Verarbeitung bekannt wurden (Z1)‏ auf begründeten Antrag des Betroffenen (Z2)‏ Frist zur Löschung/Richtigstellung: 8 Wochen (Abs. 4)‏ unvollständige Daten sind zu berichtigen, soweit es zum Zweck der Datenanwendung notwendig ist (Abs. 1)‏ nicht benötigte Daten entsprechen unzulässig verarbeiteten Daten und sind zu löschen (Abs. 1)‏ Ausnahme: die Archivierung der Daten ist rechtlich zulässig und der Zugang besonders geschützt Beweis der Richtigkeit liegt beim Auftraggeber (Abs. 2) Ausnahmen: gesetzlich anders angeordnet (!) Daten stammen ausschließlich vom Betroffenen ARGE DATEN 102

Entscheidungen zu DSG 2000 § 27
DSG Betroffenenrechte Entscheidungen zu DSG 2000 § 27 DSK K /0008-DSK/2005 ("Verständigung") - Antragsteller ist über Ergebnis des Löschungsbegehrens auch dann zu verständigen, wenn die Löschung verweigert wird VfGH B 1590/03-10 ("Polizei-Daten") - bei Wegfall der Rechtsgrundlage einer Anzeige (hier § 209 StGB, "gleichgeschlechtliche Unzucht") sind die Daten zu Löschen und nicht zu ergänzen - Aufhebung der DSK-Entscheidung K /0007-DSK/2003 - VfGH rügt auch mangelhafte Interessensabwägung durch die DSK DSK K /0008 -DSK/2007 ("Krankengeschichte") - kein Löschungsanspruch falscher Diagnosen, da Datenanwendung nicht Fakten, sondern die medizinische Experten-Meinung dokumentiert, daher auch kein Anspruch auf Bestreitungsvermerk (!) Rechtssatz zu DSK K /0008 -DSK/2007: Daten in einer Datenanwendung haben gemäß § 6 Abs. 1 Z 4 DSG 2000 grundsätzlich dem Anspruch auf Richtigkeit zu genügen. Das Gebot der Datenrichtigkeit ist allerdings nach der zitierten Bestimmung mit dem Verwendungszweck der Daten verknüpft, das heißt Maßstab für die die Datenrichtigkeit ist der Zweck der Datenanwendung. Liegt dieser alleine in der Dokumentation von Meinungen bzw. Beurteilungen – dazu zählen auch Befunde und Gutachten von Personen mit bestimmtem Sachverstand, z.B. Ärzten , so sind die Daten aus datenschutzrechtlicher Sicht richtig, wenn sie diese Meinung oder Beurteilung korrekt wiedergeben. Weitere Entscheidungen zu § 27 "Löschung" DSK K /003-DSK/2002: "Können die verwendeten Daten aber den angesprochenen Zweck gar nicht erfüllen, so gibt es auch keine Notwendigkeit, sie nach Beendigung des Strafverfahrens weiter zu speichern." (RIS)‏ ARGE DATEN 103

Betroffenenrecht - Widerruf / Widerspruch
DSG Betroffenenrechte Betroffenenrecht - Widerruf / Widerspruch freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9) Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich - Widerspruchsrecht besteht auch bei gegebener Zustimmung! - in internen DA's: Widerspruch bei überwiegenden, schutzwürdigen Gründen - Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung  vom Widerspruch betroffene Daten sind zu löschen  Hinweis! eine Gewerbeberechtigung ist keine gesetzliche Anordnung im Sinne des DSG Bei Widerruf wurden keine Fristen festgelegt, ist unverzüglich umzusetzen. Widerruf kann erhoben werden, wenn der Betroffene selbst einer Verwendung zugestimmt hat. (DSG 2000 § 8 Abs. 1 Z 2): Bewirkt die Unzulässigkeit der weiteren Verwendung der Daten. Widerspruch: Löschung/Nichtverwendung innerhalb von 8 Wochen nicht bei indirekt personenbezogenen Daten Widerspruch kann eingelegt werden, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und die Geheimhaltungsinteressen in einer besonderen Situation überwiegen (DSG 2000 § 28 Abs. 1). Das Widerspruchsrecht bezieht sich nicht auf indirekt personenbezogene Daten (§ 29)‏ Ziel der DS-RL war es, dann Widerspruch zu ermöglichen, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und nicht im Interesse des Betroffenen ist. ARGE DATEN 104

Widerspruchsrecht (§ 28)
DSG Betroffenenrechte Widerspruchsrecht (§ 28) - Widerspruchsrecht bezieht sich auf "öffentlich zugängliche Datenanwendungen" (Abs. 2) - Übernahme der Löschungsregeln aus § 27: Vorgangsweise bei Löschung (siehe § 27 Abs. 4) wenn wirtschaftlich geboten ist auch eine vorläufige Sperre und spätere Löschung möglich (siehe § 27 Abs. 6) Kein Widerspruchsrecht (Beispiel): - § 7 Abs. 5 Verbraucherkreditgesetz (VKrG) schließt Widerspruchsrecht bei Informationsverbundsystemen der Banken aus [gemeint sind KKE und Warndatei der Banken] "unsaubere" Lösung: Dateien sind gesetzlich nicht angeordnet, trotzdem kein Widerspruchsrecht Geänderte Bestimmungen (DSG-Novelle 2010) § 28 Abs. 3 (neu): “(3) § 27 Abs. 4 bis 6 gelten auch in den Fällen der Abs. 1 und 2.” [Anm: Die zitierten Bestimmungen aus § 27 Abs. 4 bis 6: (4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird. (5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in § 26 Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen nach Auffassung des Auftraggebers berechtigt ist. Die gemäß Abs. 4 erforderliche Mitteilung an den Betroffenen hat in allen Fällen dahingehend zu lauten, daß die Überprüfung der Datenbestände des Auftraggebers im Hinblick auf das Richtigstellungs- oder Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4. (6) Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern aus Gründen der Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind bis dahin die zu löschenden Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer berichtigenden Anmerkung zu versehen.] ARGE DATEN 105

Entscheidungen Widerspruch
DSG Betroffenenrechte Entscheidungen Widerspruch OGH 6Ob195/08g - Löschung nach § 28 Abs. 2 DSG 2000 voraussetzungslos und unbegründet bei öffentlich zugänglichen Dateien möglich - Wirtschaftsauskunftsdienste betreiben öffentliche Dateien - Öffentlichkeitsbegriff: "größerer, durch geringe Zahl und indivduelle Merkmale nicht eingeschränkter Personenkreis", Kostenpflicht kein Kriterium für (Nicht-)Öffentlichkeit, ebenso kein Kriterium ist (Nicht-)Abrufbarkeit über Internet siehe auch DSK K /0011-DSK/2005 - Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftsdiensten - Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde Rechtssatz zu OGH 6Ob195/08g: Rechtssatz: "Das Widerspruchsrecht des § 28 Abs 2 DSG ist nicht darauf eingeschränkt, dass sich der Widersprechende gegen seine Aufnahme als Person in die Datei wenden muss. Es stehe ihm auch frei, den Widerspruch nur gegen die Aufnahme bestimmter Datensätze zu erheben und als bloßes Minus die Löschung bloß eines Teils der Eintragung zu begehren." Beisatz: Schutzwürdige Interessen des Beklagten werden dadurch nicht beeinträchtigt, trifft diesen doch keine Pflicht, die um den vom Löschungsbegehren betroffenen Datensatz reduzierte Eintragung in seiner Datei zu belassen. Rechtssatz: § 28 Abs 1 DSG 2000 stellt auf den Sonderfall ab, dass die Datenanwendung zwar zulässig ist, eine aus der spezifischen Situation des Betroffenen heraus vorgenommene Interessenabwägung aber zu Gunsten des Betroffenen ausfällt. Der Rechtsweg des Betroffenen bei Nichtbeachtung des Widerspruchs führt im Fall eines Auftraggebers des öffentlichen Bereichs über die Datenschutzkommission zu den Gerichtshöfen des öffentlichen Rechts; im privaten Bereich sind für die Durchsetzung des Widerspruchsrechts die ordentlichen Gerichte berufen. Ein Widerspruch steht nur bei Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen zu, die sich aus einer besonderen Situation ergeben müssen. Nach § 28 Abs 2 DSG kann der Betroffene gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei jederzeit auch ohne Begründung seines Begehrens Widerspruch erheben. Rechtssatz: Ziel des Datenschutzrechts ist es, den Rechtsschutz der natürlichen oder juristischen Person oder Personengemeinschaft zu gewährleisten, deren Daten verwendet werden. Das Datenschutzgesetz ist allein auf den Schutz des Betroffenen ausgerichtet. Beisatz: Der Gesetzgeber stellt das Löschungsrecht ausschließlich in das Belieben des Betroffenen. Auf eine Dartuung eines besonderen Geheimhaltungsinteresses oder objektiv schutzwürdiger Interessen kommt es nicht an. ARGE DATEN 106

Beschwerdeverfahren vor DSK/DSBh (§ 31)
DSG Kontrollbefugnisse Beschwerdeverfahren vor DSK/DSBh (§ 31) - bei allen Auskunftsverfahren nach § 26, zusätzlich bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (§ 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (§ 50 Abs. 1) (§ 31 Abs. 1) - Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (§ 31Abs. 2) Geänderte Bestimmungen (DSG-Novelle 2010) § 31 (geändert): § 31. (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht. (2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet. (3) Die Beschwerde hat zu enthalten: 1. die Bezeichnung des als verletzt erachteten Rechts, 2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner), 3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird, 4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt, 5. das Begehren, die behauptete Rechtsverletzung festzustellen und 6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist. (4) Einer Beschwerde nach Abs. 1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs. 2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen. (5) Die der Datenschutzkommission durch § 30 Abs. 2 bis 4 eingeräumten Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs. 1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach § 30 Abs. 5. ARGE DATEN 107

Beschwerdeverfahren vor Gericht (§ 32)
DSG Kontrollbefugnisse Beschwerdeverfahren vor Gericht (§ 32) - Gerichtszuständigkeit: gegenüber Rechtsträgern die Datenanwendungen "nicht in Vollziehung der Gesetze" betreiben (Abs. 1) - Klarstellung der Gerichtszuständigkeit bei Einstweiligen Verfügungen (Abs. 4) - Möglichkeit der Nebenintervention der DSK/DSBh bei Zivilklagen, jetzt "Einschreiter" (Abs. 6) - Gericht kann DSK/DSBh auf Überprüfung nach DSG 2000 §§ 22 und 22a ersuchen (Abs. 7) Zivilgerichte: zuständige 16 Landesgerichte: LG Eisenstadt, Feldkirch, Zivilrechtssachen Graz, Innsbruck, Klagenfurt, Korneuburg, Krems a/d Donau, Leoben, Linz, Ried/Innkreis, Salzburg, St. Pölten, Steyr, Wels, Zivilrechtssachen Wien, Wr. Neustadt ( Geänderte Bestimmungen (DSG-Novelle 2010) § 32 Abs. 1 (geändert): “(1) Ansprüche wegen Verletzung der Rechte einer Person oder Personengemeinschaft auf Geheimhaltung, auf Richtigstellung oder auf Löschung gegen natürliche Personen, Personengemeinschaften oder Rechtsträger, die in Formen des Privatrechts eingerichtet sind, sind, soweit diese Rechtsträger bei der behaupteten Verletzung nicht in Vollziehung der Gesetze tätig geworden sind, auf dem Zivilrechtsweg geltend zu machen.” § 32 Abs. 4 (geändert): “(4) Für Klagen und Anträge auf Erlassung einer einstweiligen Verfügung nach diesem Bundesgesetz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat.” § 32 Abs. 6 (geändert): “(6) Die Datenschutzkommission hat, wenn ein Einschreiter (§ 30 Abs. 1) es verlangt und es zur Wahrung der nach diesem Bundesgesetz geschützten Interessen einer größeren Zahl von natürlichen Personen geboten ist, einem Rechtsstreit auf Seiten des Einschreiters als Nebenintervenient (§§ 17 ff ZPO) beizutreten.” § 32 Abs. 7 (neu): “(7) Anlässlich einer zulässigen Klage nach Abs. 1, die sich auf eine nach Ansicht des Gerichts meldepflichtige Datenanwendung bezieht, kann das Gericht die Datenschutzkommission um Überprüfung nach den §§ 22 und 22a ersuchen. Die Datenschutzkommission hat das Gericht vom Ergebnis der Überprüfung zu verständigen. Dieses ist sodann vom Gericht auch den Parteien bekannt zu geben, sofern das Verfahren noch nicht rechtskräftig beendet ist.” ARGE DATEN 108

Weitere Bestimmungen ARGE DATEN Sicherheit Schadenersatz
Strafbestimmungen DSG 2000 - ARGE DATEN 109

Sicherheitsbestimmungen (§ 14)
DSG Sicherheit Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden rechtlich-organisatorische Sicherheitsmaßnahmen - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Protokollierungspflicht MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“ ARGE DATEN 110

Verpflichtung zum Datengeheimnis (§ 15)
DSG Verschwiegenheit Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheits-maßnahmen für Mitarbeiter (§ 14 Abs. 6) Liste sonstige Verschwiegenheitspflichten siehe Anhang (Auswahl) ARGE DATEN 111

Schadenersatz (§ 33) ARGE DATEN
DSG Kontroll- & Strafbestimmungen Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen Schuldhaftes Handeln = Vorsatz oder fahrlässiges Handeln DSG 2000: „§ 33. (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.“ Mögliche Beispiele: rechtswidriger Eintrag in Negativliste (OGH 6 Ob 275/05t )‏ Aushang der Hausverwaltung von Zahlungsrückständen im Hausflur öffentliche Bekanntgabe des Kirchenaustritts durch Pfarrer deponierte Personalakten mit abschätzigen Bemerkungen auf einem Parkplatz Übermittlung persönlicher Daten an Arbeitgeber (z.B. Bezug von Pornos, Ergebnisse von Beschwerde- und Verwaltungsverfahren) ARGE DATEN 112

LG Innsbruck 12 Cg 72/10h ("Mehrkosten")
DSG Schadenersatz LG Innsbruck 12 Cg 72/10h ("Mehrkosten") Ausgangslage - Diverse Firmen (Mobilunternehmen, Möbelhaus, Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab LG-Entscheidung - Verwendete Daten stammen aus Exekutionsdatenbank der Justiz - abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren, ...) ,- Euro immaterieller Schadenersatz wegen Kreditschädigung - mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt - Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35) LG Innsbruck 12 Cg 72/10h Die beklagte Partei ist schuldig, dem Kläger binnen 14 Tagen zu Handen der Klagsvertreterin einen Betrag von EUR 3.330,35 samt 4 % Zinsen aus EUR 3.331,40 vom bis sowie 4 % Zinsen aus EUR 3.330,35 ab dem zu bezahlen und die mit EUR 1.448,80 (darin enthalten EUR 316,-- Barauslagen und EUR 188,80 USt) bestimmten Verfahrenskosten zu ersetzen. ... Durch die rechtswidrige und schuldhafte Verwendung der Bonitätsdaten des Klägers sei diesem ein Schaden durch erhöhte Mobilfunkgebühren bis Mai 2009 in Höhe von EUR 2.274,35 entstanden, weiters ein Schaden durch Mehrkosten, weil er einen Kinderwagen nicht online bei der Firma Eduscho sondern in der Folge bei der Firma Kika im August 2008 kaufen habe müssen in Höhe von EUR 56,-- und weiters habe der Kläger Strafporto in Höhe von EUR 1,05 bezahlen müssen, da der Beklagte einen an den Kläger adressierten Brief wegen Auskunft nach dem Datenschutzgesetz nicht frankiert habe, obwohl er hiezu nach dem Datenschutzgesetz verpflichtet gewesen wäre. Weiters begehrte der Kläger eine angemessene Entschädigung in Höhe von EUR 1.000,-- für die erlittene Kränkung, weil durch die öffentliche zugängliche rechtswidrige Verwendung der über den Kläger gespeicherten Datensätze und Übermittlung derselben an verschiedene Personen schutzwürdige Geheimhaltungsinteressen des Klägers vom Beklagten verletzt worden seien und der Kläger gegenüber mehreren Firmen bloßgestellt worden sei. ARGE DATEN 113

OGH 6 Ob 247/08d ("Bonitätsinformationen")
DSG Schadenersatz OGH 6 Ob 247/08d ("Bonitätsinformationen") Ausgangslage - Betroffener wurde bei angeblich unzulässiger Mülldeponierung gefilmt - privater Wachdienst forderte 100,- Euro "Entschädigung", Forderung wurde Inkassodienst übergeben - nach Weigerung der Zahlung wurde Zahlungsanstand an Wirtschaftsauskunftsdienst gemeldet - Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts OGH-Entscheidung - Eintrag ohne vorherige Verständigung ist rechtswidrig - Eintragung geeignet die Kreditwürdigkeit zu beschädigen - auch wenn kein unmittelbarer Schaden nachweisbar, besteht Anspruch gem. § 33 DSG 2000 - Betrag von 750,- Euro in Hinblick auf geringe Zahl der Datenübermittlungen angemessen ZRS Wien 53Cg106/07h (Entscheidung vom OGH bestätigt) "Gemäß §33 Abs. 1 DSG hat der Auftraggeber, der Daten schuldhaft entgegen den Bestimmungen des DSG verwendet, dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in §18 abs. 2 Z1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines betroffenen in einer Weise evrletzt, die einer Eignung zur Bloßstellung gemäß §7 Abs. 1 Mediengesetz gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. ... Im §6 Abs. 1 Z 1 DSG ist der Grundsatz verankert, dass Daten nur nach Treu und Glauben verwendet werdendürfen. Dieser Grundsatz erfordert eine entsprechende Benachrichtigung des Betroffenen, um ihm die Möglichkeit zu geben, sich gegen eine seiner Meinung nach nicht gerechtfertigte Datenverwendung zur Wehr zu setzen. Eine derartige Verständigung ist im vorliegenden Fall nicht erfolgt. Die Aufnahme der hier in Rede stehenden Eintragung in die Datenbank der Beklagten ist somit rechtswidrig erfolgt (6 Ob 275/05t). ... Die hier in Rede stehenden Daten wurden nur in geringem Umfang verwendet. ... Eine solche Eintragung ist geeignet, das berufliche Fortkommen zu gefährden oder zu beeinträchtigen, weil potenzielle Geschäftspartner mit Sicherheit Personen, deren Kreditwüdigkeit in Frage steht, meiden. Unter Berücksichtigung dieser Umstände erscheint die vom Kläger begehrte Schadenersatzleistung [750,- Euro, Anm.] für die mit der gesetzwidrigen Eintragung in die Zahlungsverhaltensdatenbank verbundene Bloßstellung als angemessen." ARGE DATEN 114

Gewinn- oder Schädigungsabsicht (§ 51)
DSG Strafbestimmungen Gewinn- oder Schädigungsabsicht (§ 51) - Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer ... - widerrechtlich ihm zugängliche Daten benutzt oder - Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder - widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär Geänderte Bestimmungen (DSG-Novelle 2010) § 51 Abs. 1 entfällt die Absatzbezeichnung “(1)”. Die Wortfolge “in der Absicht, sich einen Vermögensvorteil zu verschaffen oder einem anderen einen Nachteil zuzufügen” wird durch die Wortfolge “mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen” ersetzt. Neue Bestimmung: § 51 Datenverwendung in Gewinn- oder Schädigungsabsicht Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. ARGE DATEN 115

DSG-Strafbestimmung als totes Recht?
DSG Strafbestimmungen DSG-Strafbestimmung als totes Recht? Anzeigen Gerichtsverfahren Urteile BAZ 20 ST 11 BG 13 LG 0 BAZ+ST BAZ 5 ST Quelle: Auskünfte des BMJ auf parlamentarische Anfragen BAZ = Bezirksstaatsanwaltschaft, ST = Staatsanwaltschaft bei Landesgericht, BG = Bezirksgericht, LG = Landesgericht, Zahlen umfassen die jeweils anhängigen Verfahren eines Jahres, können auch aus Vorjahren stammen bzw. ins nachfolgende Jahr "mitgenommen" werden Verurteilungen nach dem DSG 2003 LG Linz Freiheitsstrafe über 1 bis 3 Monate 2004 LG Feldkirch teilbedingte Verurteilung 2009 LG für Strafsachen Wien Geldstrafe über 60 bis 120 Tagessätze BAZ - ST - BG - LG 1 Urteile BG 10 LG 1 ARGE DATEN 116

Hier ist Vorsatz Voraussetzung für die Tatverfolgung
DSG Strafbestimmungen Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten) Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Hier ist Vorsatz Voraussetzung für die Tatverfolgung Missbrauch der Amtsgewalt StGB § 302. (1) Ein Beamter, der mit dem Vorsatz, dadurch einen anderen an seinen Rechten zu schädigen, seine Befugnis, im Namen des Bundes, eines Landes, eines Gemeindeverbandes, einer Gemeinde oder einer anderen Person des öffentlichen Rechtes als deren Organ in Vollziehung der Gesetze Amtsgeschäfte vorzunehmen, wissentlich mißbraucht, ist mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. (2) Wer die Tat bei der Führung eines Amtsgeschäfts mit einer fremden Macht oder einer über- oder zwischenstaatlichen Einrichtung begeht, ist mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. Ebenso ist zu bestrafen, wer durch die Tat einen Euro übersteigenden Schaden herbeiführt. Verletzung des Amtsgeheimnisses StGB § 310. (1) Ein Beamter oder ehemaliger Beamter, der ein ihm ausschließlich kraft seines Amtes anvertrautes oder zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. (2) Ebenso ist zu bestrafen, wer als Mitglied eines Ausschusses gemäß Art. 53 B-VG bzw. eines nach Art. 52a B-VG eingesetzten ständigen Unterausschusses oder als zur Anwesenheit bei deren Verhandlungen Berechtigter ein ihm in vertraulicher Sitzung zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (2a) Ebenso ist zu bestrafen, wer - sei es auch nach seinem Ausscheiden aus dem Amt oder Dienstverhältnis - als Organwalter oder Bediensteter des Europäischen Polizeiamtes (Europol), als Verbindungsbeamter oder als zur Geheimhaltung besonders Verpflichteter (Art. 32 Abs. 2 des Europol-Übereinkommens, BGBl. III Nr. 123/1998) eine Tatsache oder Angelegenheit offenbart oder verwertet, die ihm ausschließlich kraft seines Amtes oder seiner Tätigkeit zugänglich geworden ist und deren Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (3) Offenbart der Täter ein Amtsgeheimnis, das verfassungsgefährdende Tatsachen (§ 252 Abs. 3) betrifft, so ist er nur zu bestrafen, wenn er in der Absicht handelt, private Interessen zu verletzen oder der Republik Österreich einen Nachteil zuzufügen. Die irrtümliche Annahme verfassungsgefährdender Tatsachen befreit den Täter nicht von Strafe. ARGE DATEN 117

Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln]
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] - widerrechtliches Verschaffen eines Zugangs zu einer DA - widerrechtliches Weiterbenutzen eines Zugangs zu einer DA - Übermittlung unter Verletzung des Datengeheimnisses - Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids - widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK/DSBh Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! Zuständig für Anzeigen ist jene Bezirksverwaltungsbehörde in deren Sprengel der Datenverarbeiter seinen Aufenthalt oder Sitz hat Das sind die Bezirkshauptmannschaften bzw. in den Städten mit eigenem Statut die Magistrate Berufungsinstanz ist der Unabhängige Verwaltungssenat (UVS)‏ Verantwortlichkeit des Auftraggebers ist u.a im VstG § 9 geregelt Vor 2000 gab es rund 30 Verfahren/Jahr bei den Landeshauptleuten, die Regierungsvorlage 2000 rechnete in Zukunft mit 10fachem Anfall an Anzeigen/Verfahren, tatsächlich dürfte die jährliche Zahl an Strafverfahren zurück gegangen sein. Aktuelle Zahlen werden von der DSK/DSBh nicht publiziert. ARGE DATEN 118

DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder 2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder 3. Verstoß gegen Zusagen an oder Auflagen der DSK/DSBh (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder 4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder 5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder Geänderte Bestimmungen (DSG-Novelle 2010) § 52 DSG 2000 Verwaltungsstrafbestimmung (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder 2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder 3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder 4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht. (2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt oder 2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzkommission gemäß § 13 Abs. 1 eingeholt zu haben oder 3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene Zusagen oder von der Datenschutzkommission gemäß § 13 Abs. 1 oder § 21 Abs. 2 erteilte Auflagen verstößt oder 4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24, 25 oder 50d verletzt oder 5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt oder ARGE DATEN 119

DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist nicht löscht. ARGE DATEN 120

Verfallbestimmungen § 52 Abs. 4
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu seit 2010] Verfallbestimmungen § 52 Abs. 4 Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) (2a) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht. (3) Der Versuch ist strafbar. (4) Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen. (5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzkommission eingerichtete Bezirksverwaltungsbehörde zuständig. EU-Vorschlag: erhebliche Erhöhung der Strafen, bis 1 Mio Euro bzw. 1-2% eines Konzernumsatzes ARGE DATEN 121

EU-Neuordnung Datenschutz
Aufgaben des DSB EU-Neuordnung Datenschutz - ARGE DATEN 122

Warum Datenschutzbeauftragter (DSB) ?
- derzeit gesetzlich nicht verpflichtend vorgesehen - freiwillig kann ein Datenschutzbeauftragter von Organisationen immer eingerichtet werden - Verantwortung bleibt bei der Geschäftsführung, im Schadensfall wird aber die Haftung reduziert sein - EU-weit geht Trend zum Datenschutzbeauftragten - DSG-Novelle 2012 plant(e?) freiwilligen DSB, bei Entfall von Registrierungspflichten Entwurf der DSG-Novelle 2008 sah DSB in Betrieben ab 20 MA mit IT-Tätigkeit vor, nicht bei Behörden, wurde letztlich nicht umgesetzt Aus dem Entwurf der DSG-Novelle 2012 (derzeit nicht umgesetzt): Ausnahmen von der Meldepflicht: § 17 .. Abs. 7. der Kontrolle eines an die Datenschutzkommission gemeldeten Datenschutzbeauftragten (§ 17a) für die Dauer seiner aufrechten Bestellung unterliegen. Datenschutzbeauftragter § 17a. (1) Auftraggeber (§ 4 Z 4) können eine natürliche Person für einen Zeitraum von mindestens drei Jahren zum Datenschutzbeauftragten bestellen. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Postens nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt. Der Datenschutzbeauftragte darf in Erfüllung seiner Aufgaben nicht gekündigt oder sonst benachteiligt werden. (2) Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach der Art der verwendeten Daten und dem Umfang und Zweck der Verwendung. (3) Der Auftraggeber hat umgehend nach der Bestellung den Namen und die beruflichen Kontaktdaten der zum Datenschutzbeauftragten bestellten Person sowie die Dauer der Bestellung der Datenschutzkommission mitzuteilen. Von der Datenschutzkommission ist eine Liste der Auftraggeber, welche Datenschutzbeauftragte bestellt haben, mit den zugehörigen Namen, den beruflichen Kontaktdaten der bestellten Personen und der Dauer der Bestellung im Internet zur allgemeinen Einsichtnahme zu veröffentlichen und aktuell zu halten. (4) Der Datenschutzbeauftragte hat die Einhaltung der Vorschriften dieses Bundesgesetzes beim Auftraggeber zu überwachen und ein Verzeichnis der Datenanwendungen des Auftraggebers zu führen, in welches betroffene Personen auf Verlangen Einsicht nehmen können, und auf diese Weise sicherzustellen, dass die Rechte der betroffenen Personen durch die Verarbeitung nicht beeinträchtigt werden. Weiters hat er den Auftraggeber, die Bediensteten oder die Arbeitnehmer und die Personalvertretung oder den Betriebsrat in Belangen des Datenschutzes zu beraten. Betroffene können sich jederzeit an den Datenschutzbeauftragten wenden. ARGE DATEN 123

Datenschutzbeauftragter (§ 17a Entwurf)
aus dem Entwurf einer DSG Novelle aus 2012 Datenschutzbeauftragter (§ 17a Entwurf) - kann freiwillig eingesetzt werden, bei Einsetzung Entfall der Meldepflichten - muss natürliche Person sein, Mindestbestelldauer von 3 Jahre, Wiederbestellung möglich - Auftraggeber hat notwendige Mittel bereit zu stellen, im ersten Jahr sind mindestens 40 Stunden der Arbeitszeit für Ausbildung bereit zu stellen, danach 20 Stunden pro Jahr - muss Datenschutzkommission gemeldet werden, ist weisungsfrei - kann nicht gekündigt werden, Enthebung nur möglich, wenn Pflichten nicht erfüllt werden können - Fachkunde erforderlich, obliegt Dokumentationspflichten und Überwachung der Einhaltung der DSG-Vorschriften - Datenschutzverletzungen sind vom DSB zu beheben, wo das nicht geht, ist der Auftraggeber zu informieren Aus dem Entwurf der DSG-Novelle 2012 (derzeit nicht umgesetzt): „Datenschutzbeauftragter § 17a. Fortsetzung (5) Der Datenschutzbeauftragte ist vom Auftraggeber über das Vorhaben, neue Datenanwendungen einzusetzen, rechtzeitig zu unterrichten. Wird ihm ein Verdacht einer Verletzung datenschutzrechtlicher Vorschriften bekannt, hat er auf die Herstellung eines rechtmäßigen Zustandes hinzuwirken. Ist ihm dies aus Eigenem nicht möglich, hat er den Auftraggeber von dem Verdacht in Kenntnis zu setzen. (6) Der Auftraggeber hat den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. (7) Der Datenschutzbeauftragte ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er hat jedoch datenschutzbezogene Anregungen entgegenzunehmen und die Ablehnung von Anregungen zu begründen. (8) Dem Datenschutzbeauftragten sind im ersten Jahr seiner ununterbrochenen Tätigkeit zumindest 40 Stunden und in jedem folgenden Jahr zumindest 20 Stunden an Arbeitszeit zum Erwerb von Fachkenntnissen und zur Fort- und Weiterbildung auf dem Gebiet des Datenschutzes zur Verfügung zu stellen. Die Kosten für die erforderliche Fort- und Weiterbildung sind vom Auftraggeber zu tragen. (9) Der Datenschutzbeauftragte unterliegt dem Datengeheimnis (§ 15). Er ist insbesondere zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird. (10) Die Bestellung des Datenschutzbeauftragten lässt die Verantwortung des Auftraggebers für die Einhaltung der Bestimmungen dieses Bundesgesetzes unberührt.“ ARGE DATEN 124

Typische Aufgaben des Datenschutzbeauftragten (heute)
Datenschutzbeauftragter Typische Aufgaben des Datenschutzbeauftragten (heute) - Durchführen der Registrierung von Datenanwendung, Überwachen deren Aktualität - Einholen von Genehmigungen für den internationalen Datenverkehr - Abschluss der Dienstleistervereinbarungen und Überwachen deren Einhaltung - Kontrolle von Zustimmungserklärungen auf DSG - Konformität - Beratung bei Abschluss von Dienststellen- /Betriebsvereinbarungen - Internes und externes "Lobbying" (Entwicklung von Konzernpositionen, Kontaktpflege zu Aufsichtsbehörden) - ARGE DATEN 125

Typische Aufgaben des Datenschutzbeauftragten II
Datenschutzbeauftragter Typische Aufgaben des Datenschutzbeauftragten II - Beratung/Information von Betriebs-/Dienststellenleitung, Mitarbeiter und Betriebsrat/Personalvertretung - Entwicklung einer organisationsweiten Privacy-Policy - laufende Schulung in Datenschutzmaßnahmen und Verbesserung der Awareness zum Datenschutz - Erarbeitung von Vorschlägen zur Verbesserungen gem. § 14 DSG 2000 (Sicherheitsmaßnahmen) - Überwachung der Einhaltung der Informationspflichten - effiziente Umsetzung der subjektiven Betroffenen-Rechte: - Recht auf Auskunft - Recht auf Löschung und Aktualisierung - Recht auf Widerspruch - ARGE DATEN 126

Organisatorische und fachliche Einordnung des Datenschutzbeauftragten
Datenschutzbeauftragter Organisatorische und fachliche Einordnung des Datenschutzbeauftragten + rechtliches und informationstechnisches Fachwissen + direkte Berichtspflicht an Geschäftsführung + als eigene Stabstelle eingerichtet + in die Entwicklung von Geschäftsprozessen und Projekten systematisch eingebunden (nicht nur "Spaßverderber") + eigenes Budget - Einordnung in einem langen Hierarchieweg - IT-Leiter ist gleichzeitig Datenschutzbeauftragter - Sicherheitsverantwortlicher ist gleichzeitig Datenschutzbeauftragter - ausschließlich technisches oder rechtliches Fachwissen - ARGE DATEN 127

Datenschutzbeauftragter
Organisatorische und fachliche Einordnung des Datenschutzbeauftragten II +/- Einbindung des DSB in Revisions- oder Rechtsabteilung +/- Auslagerung der Datenschutzagenden an externe Berater +/- betrieblicher Datenschutzbeauftragter als Teilzeittätigkeit Wo der Datenschutzbeauftragte fehlt, hat die Geschäftsführung diese Aufgaben zu übernehmen - ARGE DATEN 128

Fahrplan zu einem neuen EU-Datenschutzrecht
EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht Kommissionsmitteilung Konzept Datenschutzrecht - bis europaweites Konsultationsverfahren Entwurf einer EU-Verordnung Datenschutz - bis Ende 2012 Konsultationsverfahren in Europäischem Parlament und im Rat Abstimmung im LIBE-Ausschuß des EU-Parlaments (mehrfach verschoben) - bis Beginn 2014 (??) abstimmungsfähiger Endentwurf - Eckpfeiler der Neuregelung - verpflichtender Datenschutzbeauftragter für alle öffentlichen Einrichtungen und für Unternehmen mit Unternehmensgegenstand personenbezogene Datenverarbeitung (in Diskussion: Unternehmen ab 250 MA) Informationen zur weiteren Entwicklung der EU-Verordnung: ARGE DATEN 129

Fahrplan zu einem neuen EU-Datenschutzrecht II
EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht II - Eckpfeiler der Neuregelung (Fortsetzung) - Entfall von Meldepflichten, weitreichende interne Dokumentations- und Folgeabschätzungspflichten - "doppeltes" One-Stop-Shop-System: a) je Auftraggeber ist nur eine Aufsichtsstelle zuständig (Hauptsitz des Auftraggebers, statt bisher für jede Niederlassung die jeweilige nationale Behörde) b) jeder Betroffene kann sich für alle EU-Auftraggeber an seine nationale Aufsichtsbehörde wenden - Einführung neuer "Prinzipien": a) Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen werden") b) Förderung technischer Datenschutzmaßnahmen ("Privacy by Design") c) Privatsphäreeinstellungen sollen Standard werden ("Privacy by Default") - ARGE DATEN 130

Fahrplan zu einem neuen EU-Datenschutzrecht III
EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht III - Eckpfeiler der Neuregelung (Fortsetzung) - Schaffung von Datenportabilität - neue Kategorien sensibler Daten (z.B. "Gendaten") - Klagsbefugnis für Verbände - Vereinfachungen im internationalen Datentransfer - ARGE DATEN 131

Ich danke für Ihre Aufmerksamkeit
- ARGE DATEN 132

Onlineinformation ARGE DATEN http://www.argedaten.at/
Weitere Datenschutzeinrichtungen - Weitere Rechtsinformationen - Entscheidungen finden sich im RIS: - (Datenschutzkommission)‏ - (OGH-Entscheidungen)‏ Technische Informationen - Bundesamt fuer Sicherheit in der Informationstechnik (BSI) - CERT - Online-Sicherheitsstatus - DFN Cert - Security-Server - Informationstechnik-Koordination (BKA Wien) ARGE DATEN 133

Anhang ARGE DATEN Verschwiegenheitspflichten Cybercrime
Kommentar zu Entwurf DSG-Novelle 2012 DVR-Meldung (Online-Verfahren) - Standard- und Musteranwendungen ARGE DATEN

Geheimnis- und Verschwiegenheitspflichten (Auswahl)
DSG Verschwiegenheit Geheimnis- und Verschwiegenheitspflichten (Auswahl) - Amtsgeheimnis (StGB § 310) - Bankwesengesetz (§ 38) - Ziviltechnikergesetz (§ 15) - Ärztegesetz (§ 54) - Glückspielgesetz (§ 51) - Hebammengesetz (§ 7) - Psychologengesetz (§ 14) - Tierärztegesetz (§ 23) - Gesundheits- und Krankenpflegegesetz (§ 6) - Sanitätergesetz (§ 6) - Wirtschaftstreuhandberufsgesetz (§ 91) - Detektive (§ 130 Abs. 5 GewO) Grundsätzlich gilt das DSG 2000 subsidiär Welche Geheimhaltungserklärung gilt? Beauftragt ein Auftraggeber (ein für personenbezogene Daten Verantwortlicher), wie eine Bank, ein Spital oder ein Steuerberater für einzelne Datenverarbeitungsschritte einen Dienstleister, dann ist eine Dientsleistungsvereinbarung gemäß § 10 DSG abzuschließen. Wesentlicher Bestandteil dieser Vereinbarung ist die Verpflichtung des Dienstleisters, seinerseits seine Mitarbeiter zur Einhaltung der Verschwiegenheit gem. § 15 DSG zu verpflichten. Grundsätzlich gilt das DSG 2000 subsidiär. Das heisst, es wirkt für jene Bereiche personenbezogener Daten, die nicht von den fachspezifischen oder berufsspezifischen Geheimhaltungsbestimmungen erfasst sind. Sind also die berufsspezifischen Bestimmungen weitreichend genug definiert, könnte im konkreten Dienstleistungsfall auf eine Geheimhaltungsvereinbarung gemäß DSG verzichtet werden. Der umgekehrte Fall ist nicht möglich! ARGE DATEN

"alte" Strafbestimmungen zum Geheimnisbruch
Cybercrime - Übersicht "alte" Strafbestimmungen zum Geheimnisbruch - § 126a StGB Datenbeschädigung - § 148a StGB Betrügerischer Datenverarbeitungsmissbrauch - § 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen - § 119 Verletzung des Telekommunikationsgeheimnisses - § 120 Mißbrauch von Tonaufnahme- oder Abhörgeräten - § 121 Verletzung von Berufsgeheimnissen - § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses - § 123 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses - § 124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands "Amts"-Bestimmungen - Schutz des Behörden"geheimnisses" (StGB §§ 302, 310), nur bedingt anwendbar: § 301 "Verbotene Veröffentlichung" - geringerer Strafrahmen § 126a StGB Datenbeschädigung Schädigung durch Verändern, Löschen oder sonst Unbrauchbarmachen von Daten Strafrahmen: 6 Monate, bei Schaden über = 2 Jahre, bei Schaden über = 6 Monate bis 5 Jahre § 148a StGB Betrügerischer Datenverarbeitungsmissbrauch Eingriffe in die Ergebnisse einer Datenverarbeitung Strafrahmen: 6 Monate, bei gewerbsmäßiger Durchführung oder bei Schaden über = 3 Jahre, bei Schaden über = 1 bis 10 Jahre "Amts"-Bestimmungen - Verbotene Veröffentlichung § 301 StGB - Missbrauch der Amtsgewalt § 302 StGB - Verletzung des Amtsgeheimnisses § 310 StGB ARGE DATEN

ARGE DATEN Cybercrime - Übersicht
Bedeutung der bisherigen Computerstrafbestimmungen Zahl der Verurteilungen Jahr Datenbeschädigung Computerbetrug Cybercrime § 126a § 148a sonstige Angezeigte Delikte: Jahr Datenbeschädigung Computerbetrug Cybercrime § 126a § 148a sonstige Cybercrime-Bestimmungen (sonstige): §§ 118a, 119a, 126b, 126c und 225a StGB Quellen: Zahlen gemäß jährlichem Sicherheitsbericht des BMI / BMJ, diverse parlamentarische Anfragebeantwortungen Stand: ARGE DATEN

Straf-Bestimmungen zum Geheimnisbruch Strafbarkeit des Versuches § 15. (1) Die Strafdrohungen gegen vorsätzliches Handeln gelten nicht nur für die vollendete Tat, sondern auch für den Versuch und für jede Beteiligung an einem Versuch. (2) Die Tat ist versucht, sobald der Täter seinen Entschluß, sie auszuführen oder einen anderen dazu zu bestimmen (§ 12), durch eine der Ausführung unmittelbar vorangehende Handlung betätigt. (3) Der Versuch und die Beteiligung daran sind nicht strafbar, wenn die Vollendung der Tat mangels persönlicher Eigenschaften oder Verhältnisse, die das Gesetz beim Handelnden voraussetzt, oder nach der Art der Handlung oder des Gegenstands, an dem die Tat begangen wurde, unter keinen Umständen möglich war. Verletzung des Telekommunikationsgeheimnisses § 119. (1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. Mißbrauch von Tonaufnahme- oder Abhörgeräten § 120. (1) Wer ein Tonaufnahmegerät oder ein Abhörgerät benützt, um sich oder einem anderen Unbefugten von einer nicht öffentlichen und nicht zu seiner Kenntnisnahme bestimmten Äußerung eines anderen Kenntnis zu verschaffen, ist mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Ebenso ist zu bestrafen, wer ohne Einverständnis des Sprechenden die Tonaufnahme einer nicht öffentlichen Äußerung eines anderen einem Dritten, für den sie nicht bestimmt ist, zugänglich macht oder eine solche Aufnahme veröffentlicht. (2a) Wer eine im Wege einer Telekommunikation übermittelte und nicht für ihn bestimmte Nachricht in der Absicht, sich oder einem anderen Unbefugten vom Inhalt dieser Nachricht Kenntnis zu verschaffen, aufzeichnet, einem anderen Unbefugten zugänglich macht oder veröffentlicht, ist, wenn die Tat nicht nach den vorstehenden Bestimmungen oder nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen. (3) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. Betrügerischer Datenverarbeitungsmißbrauch § 148a. (1) Wer mit dem Vorsatz, sich oder einen Dritten unrechtmäßig zu bereichern, einen anderen dadurch am Vermögen schädigt, daß er das Ergebnis einer automationsunterstützten Datenverarbeitung durch Gestaltung des Programms, durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten oder sonst durch Einwirkung auf den Ablauf des Verarbeitungsvorgangs beeinflußt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer die Tat gewerbsmäßig begeht oder durch die Tat einen 3 000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu drei Jahren, wer durch die Tat einen 50 000 Euro übersteigenden Schaden herbeiführt, mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. ARGE DATEN

Neue "cybercrime"-Bestimmungen (seit 1.10.2002)
Cybercrime - Übersicht Neue "cybercrime"-Bestimmungen (seit ) - § 118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"] - § 119a Missbräuchliches Abfangen von Daten - § 126b Störung der Funktionsfähigkeit eines Computersystems [DOS-Attacken] - § 126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"] - § 225a Datenfälschung von EU beschlossen (2006) - Aufbewahrungspflicht für Telekom- und Internetdaten - in Österreich nicht fristgerecht umgesetzt (Stand: ) Europarat - Convention on Cybercrime ( ) - bisher erst 4 Ratifizierungen (5 sind für Inkrafttreten erforderlich) - von Österreich unterfertigt, aber nicht ratifiziert, jedoch defacto umgesetzt (Stand: 10/2012) Anmerkungen zu den neuen Bestimmungen Grundsätzlich ist zu beachten, dass bei Strafbestimmungen ganz allgemein immer Vorsatz und Gewinn/Schädigungsabsicht gegeben sein müssen - Widerrechtlicher Zugriff auf ein Computersystem (§ 118a)‏ Sonderregelung zu Briefgeheimnis (§ 118)‏ Soll den Bereich "HACKEN" regeln, wobei bisher "akademisches" Hacken, ohne Verletzung einer der "alten" Delikte nicht strafbar war PROBLEMPUNKT: "überwinden spezifischer Sicherheitseinrichtungen" - Missbräuchliches Abfangen von Daten (§ 119a)‏ Analog zu den Bestimmungen des Briefgeheimnisses und des Telekommunikationsgeheimnisses sollen Eingriffe in den Datenverkehr ganz allgemein erfasst werden - Störung der Funktionsfähigkeit eines Computersystems (§ 126b)‏ Soll "Denial-of-Service"-Attacken regeln - Missbrauch von Computerprogrammen oder Zugangsdaten (§ 126c)‏ Soll "Cracker"-Programme und ähnliche Tools unter Strafe stellen PROBLEMPUNKT: Praktisch alle Cracker- und Hacker-Tools werden auch für Audit- und Monitoring-Maßnahmen eingesetzt - Datenfälschung (§ 225a)‏ Soll Urkundenfälschung im Datenverkehr abdecken Info Europarat - Convention on Cybercrime =16/03/04&CL=GER ARGE DATEN

Neue Straf-Bestimmungen (Fortsetzung)‏ Strafbarkeit des Versuches § 15. (1) Die Strafdrohungen gegen vorsätzliches Handeln gelten nicht nur für die vollendete Tat, sondern auch für den Versuch und für jede Beteiligung an einem Versuch. (2) Die Tat ist versucht, sobald der Täter seinen Entschluß, sie auszuführen oder einen anderen dazu zu bestimmen (§ 12), durch eine der Ausführung unmittelbar vorangehende Handlung betätigt. (3) Der Versuch und die Beteiligung daran sind nicht strafbar, wenn die Vollendung der Tat mangels persönlicher Eigenschaften oder Verhältnisse, die das Gesetz beim Handelnden voraussetzt, oder nach der Art der Handlung oder des Gegenstands, an dem die Tat begangen wurde, unter keinen Umständen möglich war. Widerrechtlicher Zugriff auf ein Computersystem § 118a (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem verletzt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. (3) Wer die Tat als Mitglied einer kriminellen Vereinigung begeht, ist mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. Verletzung des Telekommunikationsgeheimnisses § 119. (1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Missbräuchliches Abfangen von Daten § 119a (1) Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystems übermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetische Abstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach § 119 mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Mißbrauch von Tonaufnahme- oder Abhörgeräten § 120. (1) Wer ein Tonaufnahmegerät oder ein Abhörgerät benützt, um sich oder einem anderen Unbefugten von einer nicht öffentlichen und nicht zu seiner Kenntnisnahme bestimmten Äußerung eines anderen Kenntnis zu verschaffen, ist mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Ebenso ist zu bestrafen, wer ohne Einverständnis des Sprechenden die Tonaufnahme einer nicht öffentlichen Äußerung eines anderen einem Dritten, für den sie nicht bestimmt ist, zugänglich macht oder eine solche Aufnahme veröffentlicht. (2a) Wer eine im Wege einer Telekommunikation übermittelte und nicht für ihn bestimmte Nachricht in der Absicht, sich oder einem anderen Unbefugten vom Inhalt dieser Nachricht Kenntnis zu verschaffen, aufzeichnet, einem anderen Unbefugten zugänglich macht oder veröffentlicht, ist, wenn die Tat nicht nach den vorstehenden Bestimmungen oder nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen. (3) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. Datenbeschädigung § 126a. (1) Wer einen anderen dadurch schädigt, daß er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer durch die Tat an den Daten einen 3 000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen 50 000 Euro übersteigenden Schaden herbeiführt oder die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. Störung der Funktionsfähigkeit eines Computersystems § 126b Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Missbrauch von Computerprogrammen oder Zugangsdaten § 126c (1) Wer ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a) oder einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder 2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, mit dem Vorsatz herstellt, einführt, vertreibt, veräußert oder sonst zugänglich macht, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1 genannte Computerprogramm oder die damit vergleichbare Vorrichtung oder das Passwort, der Zugangscode oder die damit vergleichbaren Daten in der in den §§ 118a, 119, 119a, 126a oder 126b bezeichneten Weise gebraucht werden. Besteht die Gefahr eines solchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt worden, so ist er nicht zu bestrafen, wenn er sich in Unkenntnis dessen freiwillig und ernstlich bemüht, sie zu beseitigen. Datenfälschung § 225a Wer durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten falsche Daten mit dem Vorsatz herstellt oder echte Daten mit dem Vorsatz verfälscht, dass sie im Rechtsverkehr zum Beweis eines Rechtes, eines Rechtsverhältnisses oder einer Tatsache gebraucht werden, ist mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. ARGE DATEN

Weitere nicht verwendete Seiten
- ARGE DATEN

ARGE DATEN DSK K120.981/0002-DSK/2005 ("Auskunftsumfang")
DSG Auskunftsrechte DSK K /0002-DSK/2005 ("Auskunftsumfang") Einem Interessenten wurde von Telering ein Vertragshandy unter Hinweis auf "Bonitätsinformationen" verweigert. Der Betroffene ersuchte beim KSV von 1870 um Auskunft gem. § 26 DSG 2000 Auskunft wurde über gespeicherte Daten gegeben, nicht jedoch über Herkunft und Datenweitergabe. Argumentiert wurde mit Schutz des Betriebsgeheimnisses des KSV von 1870 und Geheimhaltungsinteressen Dritter DSK-Entscheidung: Auskunftsinteresse höher zu bewerten als Geheimhaltungsinteresse Dritter (Informanten, Empfänger) und des Datenverarbeiters VwGH 2005/06/0111 hat Entscheidung bestätigt "..., dass eine Auskunft über die Datenherkunft die vom Beschwerdegegner [KSV1870, Anm.] im Ergebnis ins Treffen geführten Angaben, die er als unter sein Betriebs- und Geschäftsgeheimnis fallend erachtet, gar nicht zu umfassen braucht. Es ist, um den zuvor gestellten Anforderungen an eine Auskunft zu genügen, lediglich hinsichtlich jeder Datenart - soweit noch verfügbar, also zumindes die letzten drei Jahre umfassend - deren konkrete Quelle anzugeben. Dazu sind Angaben wie zB "Selbstauskunft", "Telefonbuch", "Firmenbuch", "X-Bank", die der Beschwerdegegener zum Teil onehin in allgemeiner Form (dh ohne Zuordnung zu einer Datenart) schon gemacht hat, völlig ausreichend." (DSK-Bescheid)‏ "Zur Rechtsverfolgung in einer für den Betroffenen so entscheidenden Frage wie seiner Bonität, kann es notwendig sein, übermittelte Bonitätsinformationen zu berichtigen, weshalb der Auftraggeber dem Betroffenen grundsätzlich immer die einzelnen Empfänger zu benennen hat, um ihm eine solche Berichtigung zu ermöglichen." (DSK- Bescheid)‏ DSK sieht keine Auskunftspflicht zum Bonitätsbewertungsverfahren Kann im Widerspruch zu Auskunft über automatisierte Einzelentscheidungen (§ 49 DSG 2000) stehen. ARGE DATEN 142

Entscheidungen Widerspruch II
DSG Betroffenenrechte Entscheidungen Widerspruch II OGH Ob41/09m (KSV-Entscheidung) - Öffentlichkeitsbegriff: auf Grund der Prüfung im Einzelfall ob ein Auskunftsanspruch vorliegt, liegt keine öffentliche Datei vor - im konkreten Fall keine öffentliche Datei, daher keine Anwendung des § 28 Abs. 2 DSG 2000 OGH Ob41/10p (KSV-Entscheidung) - Löschung: Im Falle der Löschungspflicht nach § 28 Abs. 2 dürfen auch keine internen Kopien gemacht werden Rechtssatz zu OGH 6Ob195/08g; 6Ob156/09y; 6Ob41/09m; 6Ob247/08d; 6Ob41/10p; 6Ob2/10b; 6Ob112/10d: Rechtssatz: "Die materiellen Voraussetzungen des Widerspruchsrechts nach § 28 Abs 2 DSG sind lediglich die nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei. § 152 Abs 1 GewO sieht nur ein Verbot der Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, für Gewerbetreibende, die das freie Gewerbe der Auskunftei über Kreditverhältnisse führen, vor. Keinesfalls kann die Bestimmung als gesetzlicher Auftrag zur Datensammlung verstanden werden." Entscheidungstext OGH Ob 41/09m: Die Entgeltpflicht ist ebenso wenig Hindernis für eine öffentlich zugängliche Datei iSd § 28 Abs 2 DSG wie das Erfordernis der Behauptung eines entsprechenden rechtlichen Interesses durch anfragende Personen. Entscheidungstext OGH Ob 41/10p: Für die öffentliche Zugängigkeit einer Datei ist nicht erforderlich, dass „jedermann" im wörtlichen Sinne Einsicht in eine bestimmte Datei nehmen kann. ARGE DATEN 143

Was wurde nicht geregelt? (Auszug)
DSG Novelle Anmerkungen Was wurde nicht geregelt? (Auszug) - betrieblicher Datenschutzbeauftragter [war im ersten Novellen-Entwurf enthalten] - Schaffung verbesserter Schutz veröffentlichter Daten [war in Regierungsvorlage als Änderung des § 8 Abs. 2 enthalten] - Sicherung der Unabhängigkeit der DSK (derzeit läuft EU-Vertragsverletzungsverfahren) - kollektive Interventionsrechte bei massenhaften Datenmissbrauch vorsehen (z.B. Verletzung der Informationspflicht) - Auditing datenschutzkonformer Datenanwendung Nicht realisierte Bestimmung: § 8 Abs. 2 lautet: „Schutzwürdige Geheimhaltungsinteressen gelten als nicht verletzt, wenn indirekt personenbezogene Daten verwendet werden oder zulässigerweise veröffentlichte Daten in einer mit dem ursprünglichen eindeutig erkennbaren Veröffentlichungszweck vereinbaren Weise verwendet wurden. Das Recht, gegen die Verwendung zulässigerweise veröffentlichter Daten gemäß § 28 Abs. 2 Widerspruch zu erheben, bleibt unberührt.“ ARGE DATEN 144

Übergangsbestimmungen / todo - Novelle 2010
DSG Novelle Übergangsbestimmung Übergangsbestimmungen / todo - Novelle 2010 (DSG 2000 § 61) - vor unbefristet registrierte Videoüberwachungen bleiben rechtmäßig (Abs. 6) - vor befristet registrierte Videoüberwachungen bleiben rechtmäßig bis Fristablauf, längstens jedoch bis (Abs. 6) - Verordnung des Bundeskanzlers zur Führung des DVR (§16 Abs. 3 DSG 2000) hat bis zu erfolgen (inkl. Anpassung der Meldeformulare + Online Registrierungsmöglichkeit) (Abs. 8) Ende Dezember wurde Frist auf 1. September 2012 verlängert! Geänderte Bestimmungen (DSG-Novelle 2010) § 61 Abs. 6 (geändert, inhaltlich neue Bedeutung): “(6) Videoüberwachungen, die vor dem Inkrafttreten der §§ 50a bis 50e registriert wurden, bleiben in ihrer registrierten Form rechtmäßig, wenn sie den am 31. Dezember 2009 geltenden datenschutzrechtlichen Bestimmungen genügen und die Datenschutzkommission keine Befristung verfügt hat. Hat die Datenschutzkommission hingegen eine Befristung einer solchen Videoüberwachung verfügt, bleibt diese bis zum Ablauf der Befristung, längstens aber bis zum 31. Dezember 2012 rechtmäßig.” § 61 Abs. 8 (neu): “(8) Die Verordnung nach § 16 Abs. 3 ist vom Bundeskanzler nach Maßgabe der technischen Möglichkeiten des Datenverarbeitungsregisters bis spätestens 1. Jänner 2012 neu zu erlassen. Bis zum Inkrafttreten dieser Verordnung sind die §§ 16 bis 22, § 30 Abs. 3 und 6 sowie § 40 Abs. 1 (letzterer mit Ausnahme des Verweises auf § 31a Abs. 3) in der Fassung vor dem Bundesgesetz BGBl. I Nr. 133/2009 anzuwenden; § 22a, § 30 Abs. 2a und 6a, § 31a Abs. 1 und 2 sowie § 32 Abs. 7 sind bis dahin nicht anzuwenden. § 31 Abs. 3 in der Fassung vor dem Bundesgesetz BGBl. I Nr. 133/2009 ist bis dahin zusätzlich weiter anzuwenden. Die Erklärung, ob eine Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 genannten Tatbestände erfüllt (§ 19 Abs. 1 Z 3a), ist der Datenschutzkommission bei im Zeitpunkt des Inkrafttretens der neuen Verordnung nach § 16 Abs. 3 registrierten Datenanwendungen anlässlich der ersten über eine Streichung hinausgehenden Änderungsmeldung zu melden, die nach diesem Zeitpunkt erstattet wird. Eine Meldung allein im Hinblick auf § 19 Abs. 1 Z 3a ist nicht erforderlich.” ARGE DATEN 145

Novelle 2010 sollte keine Änderung bringen
DSG Videoüberwachung DSK-Entscheidung Videoüberwachung ("Gemeindebau-Überwachung") Ausgangslage - Wiener Wohnen beantragte Videoüberwachung in Stiegenhäusern, Eingangsbereichen, Aufzügen, Müllplätzen und Garagen DSK-Entscheidung (nach alten Bestimmungen) - Videoüberwachung fällt unter personenbezogene Datenverarbeitung ("bestimmbare" Personen) - Teilstattgebung: Aufzüge, Müllplätze, Garagen - Stiegenhäuser und Eingangsbereiche abgelehnt, weil zu weitgehender Eingriff in Privatsphäre und keine schwerwiegende Vorfälle gegeben - Auftrag zur Evaluierung: Vergleich mit nicht überwachten, ähnlichen Anlagen - 1. Befristung bis , Genehmigung 2009 unbefristet verlängert Novelle 2010 sollte keine Änderung bringen Verlautbarung der DSK: Die Registrierung wurde zeitlich beschränkt bis 31. Dezember 2009 verfügt mit u.a. folgenden Einschränkungen und Auflagen: Die beantragte Videoüberwachung von Hauseingängen und Stiegenhäusern darf nicht stattfinden, da dieser Bereich für die Privatsphäre bedeutsam ist und diesbezüglich keine wesentlichen Schadensfälle im Antrag ausgewiesen waren. Die Videoüberwachung von anderen Bereichen (Garagen, Müllräume, Aufzüge) wurde antragsgemäß genehmigt, allerdings mit der Maßgabe, dass keinesfalls Wohnungseingänge von der Videoüberwachung mit erfasst sein dürfen, da dies einen unverhältnismäßigen Eingriff in die Privatsphäre darstellen würde. Weitere Auflagen betreffen die Speicherdauer und technische und organisatorische Datensicherheitsvorkehrungen. Die Weiterverwendung von Daten aus der Videoüberwachung ist - entsprechend derm Zweck der Videoüberwachung - zur Ausforschung der Verursacher von Vandalismusschäden erlaubt; sonst nur soweit eine gesetzliche Verpflichtung zur Ausfolgung des Bildmaterials, z.B. an Strafverfolgungsbehörden, besteht. Für den Zeitraum bis zum 31. Dezember 2009 müssen von Wiener Wohnen Aufzeichnungen über Vandalismus-Schadensfälle in den Wohnhausanlagen mit Videoüberwachung und in vergleichbaren Wohnhausanlagen ohne Videoüberwachung geführt und der Datenschutzkommission vorgelegt werden, damit nach diesem Beobachtungszeitraum darüber entschieden werden kann, ob Videoüberwachung überhaupt ein geeignetes Mittel zur Bekämpfung von Vandalismusschäden ist und daher der damit verbundene Eingriff in das Grundrecht auf Datenschutz gerechtfertigt ist. (GZ fehlt / lt. Auskunft bei DSK wegen Arbeitsüberlastung / 08/09/26) ARGE DATEN 146

Novelle 2010 sollte keine Änderung bringen
DSG Videoüberwachung DSK K /0003-DVR/2005 ("Video") Ausgangslage - Villach beantragt Videoüberwachung an Orten mit besonderer Kriminalitätsgefährdung DSK-Entscheidung - Videoüberwachung ist als Verwendung personenbezogener Daten anzusehen - Stadtverwaltung ist berechtigt, erkennbare Straftaten anzuzeigen (ebenso wie andere Personen oder Organe) - Recht zur Anzeige bedeutet keine Verpflichtung zur Überwachung - die Stadtverwaltung hat zur Videoüberwachung keine ausreichende Rechtsgrundlage - Genehmigung war daher zu versagen Novelle 2010 sollte keine Änderung bringen DSK /0003-DVR/2005 Zusammenfassend ist festzuhalten, dass für die Datenanwendung „Videoüberwachung an öffentlichen Orten, an denen zu befürchten ist, dass es zu gefährlichen Angriffen gegen Leben, Gesundheit oder Eigentum von Menschen kommen wird; Ermittlung personenbezogener Daten Anwesender mit Bild- und Tonaufzeichnungsgeräten zur Vorbeugung gefährlicher Angriffe und Aufklärung strafrechtlich relevanter Sachverhalte“ eine geeignete Rechtsgrundlage nicht namhaft gemacht werden konnte. ARGE DATEN 147

Informationsverbundsystem (NEU)
DSG Novelle Spezialregelungen Informationsverbundsystem (NEU) (DSG 2000 § 50) - Klarstellung, das Auskunftsbegehren abgesehen von Frist (12 Wochen) wie sonstige Auskunft nach § 26 DSG zu behandeln ist (Abs. 1) [bisher: entspricht Entscheidungspraxis der DSK/DSBh] - Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) - Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Geänderte Bestimmungen (DSG-Novelle 2010) § 50 Abs. 2 (geändert): “(2) Durch entsprechenden Rechtsakt können auch weitere Auftraggeberpflichten, insbesondere auch die Vornahme der Meldung des Informationsverbundsystems, auf den Betreiber übertragen werden. Allein für die Übertragung der Meldepflicht ist die Vorlage von Vollmachten nach § 10 AVG nicht erforderlich. Soweit der Pflichtenübergang nicht durch Gesetz angeordnet ist, ist er gegenüber Dritten nur wirksam, wenn er – auf Grund einer entsprechenden Meldung an die Datenschutzkommission – aus der Registrierung im Datenverarbeitungsregister ersichtlich ist.” § 50 Abs. 2a (neu): “(2a) Wird ein Informationsverbundsystem auf Grund einer Meldung von zumindest zwei Auftraggebern registriert, so können Auftraggeber, die in der Folge die Teilnahme an dem Informationsverbundsystem anstreben, die Meldung im Umfang des § 19 Abs. 1 Z 3 bis 7 auf einen Verweis auf den Inhalt der Meldung eines bereits registrierten Auftraggebers beschränken, wenn sie eine Teilnahme im genau gleichen Umfang anstreben.” ARGE DATEN 148

Neue Probleme und Unklarheiten der Novelle
DSG Novelle Anmerkungen Neue Probleme und Unklarheiten der Novelle - Missglückte Definition der "Videoüberwachung" (§ 50a Abs. 1) - nicht definierter Begriff der "gewonnenen Daten" bei Videoaufzeichnung (§ 50a Abs. 7) - Beschwerdestelle zum Video-Auskunftsrecht nicht geregelt, Auskunftsrecht in Summe inpraktikabel (§ 50e) - keine Definition des Datenformates für Videoauskunft (§ 50e Abs. 1) [wäre Sache einer Verordnung] - Einführung und unzureichende Definition neuer Rollen: "Verfügungsbefugter" und "Auftraggeber der Untersuchung" (§ 46 "Wissenschaft und Forschung") - ARGE DATEN 149

Beschwerdeverfahren vor DSK/DSBh
DSG Novelle Kontrollbefugnisse Beschwerdeverfahren vor DSK/DSBh (DSG 2000 § 31) Korrektur/Präzisierung der Zuständigkeiten der DSK/DSBh - bei allen Auskunftsverfahren nach § 26, zusätzlich bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (DSG2000 § 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (DSG2000 § 50 Abs. 1) (Abs. 1) [bisher: nur Auskunftsbegehren nach § 26] - Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (Abs. 2) [bisher: allgemein "Beschwerden gegen Auftraggeber des öffentlichen Rechts"] Geänderte Bestimmungen (DSG-Novelle 2010) § 31 (geändert): § 31. (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht. (2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet. (3) Die Beschwerde hat zu enthalten: 1. die Bezeichnung des als verletzt erachteten Rechts, 2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner), 3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird, 4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt, 5. das Begehren, die behauptete Rechtsverletzung festzustellen und 6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist. (4) Einer Beschwerde nach Abs. 1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs. 2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen. (5) Die der Datenschutzkommission durch § 30 Abs. 2 bis 4 eingeräumten Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs. 1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach § 30 Abs. 5. ARGE DATEN 150

Beschwerdeverfahren vor DSK/DSBh II
DSG Novelle Kontrollbefugnisse Beschwerdeverfahren vor DSK/DSBh II (DSG 2000 § 31 - Fortsetzung) - sehr detaillierte Bestimmungen über Beschwerdeinhalt (Abs. 3), vorzulegende Dokumente (Abs. 3,4), Verfahrensverlauf (Abs. 7,8) [bisher: entspricht bisheriger - problematischer - Verfahrenspraxis der DSK/DSBh] [Anmerkung: DSK/DSBh erhält eine Art AVG "light"] - Kontrollbefugnisse nach § 30 im Rahmen eines Beschwerdeverfahrens ausdrücklich festgehalten (Abs. 5,6) [entspricht bisheriger Verfahrenspraxis der DSK/DSBh] - Recht auf Feststellungsbescheid wird ausdrücklich ausgeschlossen (Abs. 8) [entspricht bisheriger - problematischer - Verfahrenspraxis der DSK/DSBh] Insgesamt wurde das Beschwerdeverfahren für Laien komplizierter und bürokratischer Geänderte Bestimmungen (DSG-Novelle 2010) § 31 (Fortsetzung) (6) Im Fall der Einbringung einer zulässigen Beschwerde nach Abs. 1 oder 2 ist ein auf Grund einer Eingabe nach § 30 Abs. 1 über denselben Gegenstand eingeleitetes Kontrollverfahren durch eine entsprechende Information (§ 30 Abs. 7) zu beenden. Die Datenschutzkommission kann aber dennoch auch während der Anhängigkeit des Beschwerdeverfahrens von Amts wegen nach § 30 Abs. 2 vorgehen, wenn ein begründeter Verdacht einer über den Beschwerdefall hinausgehenden Verletzung datenschutzrechtlicher Verpflichtungen besteht. § 30 Abs. 3 bleibt unberührt. (7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen. (8) Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den §§ 26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des Verfahrens vor der Datenschutzkommission durch Reaktionen gegenüber dem Beschwerdeführer gemäß § 26 Abs. 4 oder § 27 Abs. 4 die behauptete Rechtsverletzung nachträglich beseitigen. Erscheint der Datenschutzkommission durch derartige Reaktionen des Beschwerdegegners die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzkommission das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.” ARGE DATEN 151

Beschwerdeverfahren vor DSK/DSBh III (NEU)
DSG Novelle Kontrollbefugnisse Beschwerdeverfahren vor DSK/DSBh III (NEU) (DSG 2000 § 31a "Begleitende Maßnahmen") - Klarstellung: Recht der DSK/DSBh auf Überprüfung der Registrierung (Abs. 1) - Möglichkeit bei Beschwerden die Weiterführung einer Datenanwendung nach § 30 Abs. 6a zu untersagen ("Gefahr in Verzug") (Abs. 2) - Ist die Richtigkeit von Daten strittig, ist für die Dauer des Verfahrens ein Bestreitungsvermerk anzubringen (Abs. 3) - DSK/DSBh hat Bestreitungsvermerk auf Antrag des Beschwerdeführers mit Mandatsbescheid anzuordnen (Abs. 3) - Klarstellung: Regelung der Offenlegung bei Beschwerde- verfahren zu Daten, die der besonderen Geheimhaltung aus öffentlichen Interessen unterliegen (Abs. 4) Geänderte Bestimmungen (DSG-Novelle 2010) § 31a (neu): “Begleitende Maßnahmen im Beschwerdeverfahren § 31a. (1) Sofern sich eine zulässige Beschwerde nach § 31 Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, kann die Datenschutzkommission die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorgehen. (2) Macht der Beschwerdeführer im Rahmen einer Beschwerde nach § 31 Abs. 2 eine wesentliche Beeinträchtigung seiner schutzwürdigen Geheimhaltungsinteressen durch die Verwendung seiner Daten glaubhaft, so kann die Datenschutzkommission nach § 30 Abs. 6a vorgehen. (3) Ist in einem Verfahren nach § 31 Abs. 2 die Richtigkeit von Daten strittig, so ist vom Beschwerdegegner bis zum Abschluss des Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls hat dies die Datenschutzkommission auf Antrag des Beschwerdeführers mit Mandatsbescheid anzuordnen. (4) Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder Löschungsrechts gegenüber der Datenschutzkommission auf die §§ 26 Abs. 5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit der Geheimhaltung die geschützten öffentlichen Interessen in ihrem Verfahren zu wahren. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten Daten gegenüber dem Betroffenen nicht gerechtfertigt war, ist die Offenlegung der Daten mit Bescheid aufzutragen. Gegen diese Entscheidung der Datenschutzkommission kann die belangte Behörde Beschwerde an den Verwaltungsgerichtshof erheben. Wurde keine derartige Beschwerde eingebracht und wird dem Bescheid der Datenschutzkommission binnen acht Wochen nicht entsprochen, so hat die Datenschutzkommission die Offenlegung der Daten gegenüber dem Betroffenen selbst vorzunehmen und ihm die verlangte Auskunft zu erteilen oder ihm mitzuteilen, welche Daten bereits berichtigt oder gelöscht wurden. Die ersten beiden Sätze gelten in Verfahren nach § 30 sinngemäß.” ARGE DATEN 152

Kontrollbefugnisse der DSK/DSBh III
DSG Novelle Kontrollbefugnisse Kontrollbefugnisse der DSK/DSBh III (DSG 2000 § 30) - Eingaben erlauben DSK/DSBh eine Überprüfung der Meldepflicht nach §§ 22 und 22a (Abs. 2a) [bisher: nur allgemein "Überprüfung der Datenanwendung"] - Ausweitung der Weitergabebefugnisse von Ermittlungsergebnissen der DSK/DSBh bei bestimmten (Cybercrime-)Strafdaten (Abs. 5) - Erweiterte Befugnisse der DSK/DSBh zur Durchsetzung von Maßnahmen und Empfehlungen (Abs. 6, 6a) - Möglichkeit Weiterführung einer Datenanwendung per Mandatsbescheid zu untersagen ("Gefahr in Verzug") (Abs. 6a) [kann als "Datenschutzpolizei" interpretiert werden, bisher: nur Anzeige- und Klagsbefugnisse??, Wirtschaftsauskunftsdienste??] Geänderte Bestimmungen (DSG-Novelle 2010) § 30 Abs. 2a (neu): “(2a) Sofern sich eine zulässige Eingabe nach Abs. 1 oder ein begründeter Verdacht nach Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, kann die Datenschutzkommission die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorgehen.” § 30 Abs. 5 (geändert) : “(5) Informationen, die der Datenschutzkommission oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Dazu zählt auch die Verwendung für Zwecke der gerichtlichen Rechtsverfolgung durch den Einschreiter oder die Datenschutzkommission nach § 32. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach den §§ 51 oder 52 dieses Bundesgesetzes, einer strafbaren Handlung nach den §§ 118a ["Widerrechtlicher Zugriff auf ein Computersystem", Anm.], 119 ["Verletzung des Telekommunikationsgeheimnisses", Anm.], 119a ["Missbräuchliches Abfangen von Daten", Anm.], 126a bis 126c ["Datenbeschädigung/126a", "Störung der Funktionsfähigkeit eines Computersystems/126b", "Missbrauch von Computerprogrammen oder Zugangsdaten/126c", Anm.], 148a ["Betrügerischer Datenverarbeitungsmißbrauch", Anm.] oder § 278a ["Kriminelle Organisation", Anm.] des Strafgesetzbuches, BGBl. Nr. 60/1974, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach § 76 der Strafprozessordnung, BGBl. Nr. 631/1975, zu entsprechen ist.” ARGE DATEN 153

ARGE DATEN DSG 2000 - Novelle 2010 - Kontrollbefugnisse
Geänderte Bestimmungen (DSG-Novelle 2010) § 30 Abs. 6 (geändert): “(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission, sofern nicht Maßnahmen nach den §§ 22 und 22a oder nach Abs. 6a zu treffen sind, Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere 1. Strafanzeige nach §§ 51 oder 52 erstatten, oder 2. bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben, oder 3. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzkommission entsprochen wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzkommission der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.” § 30 Abs. 6a (neu): “(6a) Liegt durch den Betrieb einer Datenanwendung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen (Gefahr im Verzug) vor, so kann die Datenschutzkommission die Weiterführung der Datenanwendung mit Bescheid gemäß § 57 Abs. 1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl. Nr. 51, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Wird einer Untersagung nicht sogleich Folge geleistet, ist Strafanzeige nach § 52 Abs. 1 Z 3 zu erstatten. Nach Rechtskraft einer Untersagung nach diesem Absatz ist ein Berichtigungsverfahren nach § 22a Abs. 2 formlos einzustellen. Die Datenanwendung ist im Umfang der Untersagung aus dem Register zu streichen.” ARGE DATEN 154

Bestimmungen zur DSK/DSBh
DSG Kontrollbefugnisse Bestimmungen zur DSK/DSBh - Berichtspflicht der DSK/DSBh gegenüber Bundeskanzler (DSG 2000 § 38 Abs. 2) - Vorsitzender fertigt Beschlüsse der DSK/DSBh aus (DSG § 39 Abs. 5) - Klarstellung welche Bescheide das geschäftsführende DSK/DSBh-Mitglied ausfertigen darf (DSG 2000 § 40 Abs. 1) - Klarstellung der Beschwerdemöglichkeiten gegen Bescheide der DSK/DSBh (DSG 2000 § 40 Abs. 1,2) Geänderte Bestimmungen (DSG-Novelle 2010) § 38 Abs. 2 wird der folgende Satz angefügt: “Er [der Bundeskanzler, Anm.] hat das Recht, sich jederzeit über alle Gegenstände der Geschäftsführung der Datenschutzkommission beim Vorsitzenden und dem geschäftsführenden Mitglied zu unterrichten.” § 39 Abs. 5 (neu): “(5) Beschlüsse der Datenschutzkommission werden vom Vorsitzenden ausgefertigt.” § 40 Abs. 1 und 2 (geändert): “(1) Gegen Bescheide, die das geschäftsführende Mitglied der Datenschutzkommission gemäß § 22 Abs. 3, § 30 Abs. 6a oder § 31a Abs. 3 in Verbindung mit § 38 Abs. 1 erlassen hat, ist die Vorstellung an die Datenschutzkommission gemäß § 57 Abs. 2 AVG zulässig. Eine Vorstellung gegen einen gemäß § 22 Abs. 3 ergangenen Bescheid hat aufschiebende Wirkung. (2) Gegen Bescheide der Datenschutzkommission ist kein Rechtsmittel zulässig. Sie unterliegen nicht der Aufhebung oder Abänderung im Verwaltungsweg. Auftraggeber des öffentlichen Bereichs haben in Verfahren vor der Datenschutzkommission stets Parteistellung. Die Anrufung des Verwaltungsgerichtshofes durch die Parteien des Verfahrens ist zulässig. Dies gilt jedoch nicht für Auftraggeber des öffentlichen Bereichs als Beschwerdegegner im Verfahren nach § 31, es sei denn es ist durch besondere gesetzliche Regelung die Möglichkeit einer Amtsbeschwerde (Art. 131 Abs. 2 B-VG) vorgesehen.” ARGE DATEN 155

Bereitstellung von Adressen zu Verständigungszwecken
DSG Novelle Spezialregelungen Bereitstellung von Adressen zu Verständigungszwecken - Klarstellung, wer Antrag zur zusätzlichen Datennutzung an DSK/DSBh stellen darf: Auftraggeber, der Adressendaten verarbeitet (DSG 2000 § 47 Abs. 4) [entspricht bisheriger Entscheidungspraxis der DSK/DSBh] Automatisierte Einzelentscheidungen - Klarstellung, das Auskunft über "logischen Ablauf der automatisierten Entscheidungsfindung" wie sonstige Auskunft nach § 26 DSG 2000 zu behandeln ist (DSG 2000 § 49 Abs. 3) [entspricht bisheriger Entscheidungspraxis der DSK/DSBh] Geänderte Bestimmungen (DSG-Novelle 2010) § 47 Abs. 4 wird nach der Wortfolge “Die Datenschutzkommission hat” die Wortfolge “auf Antrag eines Auftraggebers, der Adressdaten verarbeitet,” eingefügt ARGE DATEN 156

Sonstige Änderungen in der Registrierung
DSG Novelle Registrierung Sonstige Änderungen in der Registrierung - Führung des Datenverarbeitungsregisters dient nur mehr der Information der Betroffenen (DSG 2000 §16 Abs. 1) [bisher: auch Prüfung der Rechtmäßigkeit] - Meldepflicht für manuelle Dateien integriert (DSG 2000 §17 Abs. 1) [wie bisher: nur für vorabkontrollpflichtige Anwendungen] Geänderte Bestimmungen (DSG-Novelle 2010) § 17 Abs. 1 (geändert): “(1) Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken (Änderungsmeldung). Für manuelle Dateien besteht eine Meldepflicht nur, soweit die Inhalte zumindest einen der Tatbestände des §18 Abs. 2 Z1 bis 3 erfüllen.” [Information: §18 Abs. 2 Z1 bis 3: (2) Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie 1. sensible Daten enthalten oder 2. strafrechtlich relevante Daten im Sinne des § 8 Abs. 4 enthalten oder 3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben oder 4. in Form eines Informationsverbundsystems durchgeführt werden sollen, erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission nach den näheren Bestimmungen des § 20 aufgenommen werden.] ARGE DATEN 157

Wissenschaftliche Forschung und Statistik
DSG Novelle Spezialregelungen Wissenschaftliche Forschung und Statistik (DSG 2000 §46) - Klarstellung: Verwendung auch öffentlich zugänglicher Daten zulässig (Abs. 2) [bisher: "nicht öffentlich zugänglich"] - Änderungen im Ablauf der Datenweitergabe: statt "übermitteln" sensibler Daten, werden sie nun "ermittelt", statt "Empfänger" wird der - nicht definierte - Begriff "Auftraggeber der Untersuchung" eingeführt (Abs. 3) [Anmerkung: die Lösung scheint missglückt] - Klarstellung: Antrag an DSK/DSBh erfordert Erklärung des Verfügungsberechtigten über die Daten, dass Daten bereit gestellt werden oder die Vorlage eines entsprechenden Exekutionstitels (Abs. 3a) [bisher: konnte die Situation entstehen, dass DSK/DSBh zwar Nutzung der Daten genehmigt, aber diese trotzdem nicht bereit gestellt wurden] Geänderte Bestimmungen (DSG-Novelle 2010) § 46 Abs. 3a (neu): “(3a) Einem Antrag nach Abs. 3 ist jedenfalls eine vom Verfügungsbefugten über die Datenbestände, aus denen die Daten ermittelt werden sollen, oder einem sonst darüber Verfügungsbefugten unterfertigte Erklärung anzuschließen, dass er dem Auftraggeber die Datenbestände für die Untersuchung zur Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der Exekutionsordnung – EO, RGBl. Nr. 79/1896) vorgelegt werden.” ARGE DATEN 158

Veröffentlichung im Internet
DSG Veröffentlichung Veröffentlichung im Internet Website SexQueen Diane Zugriffsstatistik zu Website: Zugriffsdaten: ARGE DATEN 159

Veröffentlichung im Internet II
DSG Veröffentlichung Veröffentlichung im Internet II Website Zugriffsstatistik zu Website: Zugriffsdaten: ARGE DATEN 160

geplante Novelle DSG 20?? Diverse Änderungen ARGE DATEN
- vereinfachter Zugang des Nationalrates, Bundesrates, Landesparlamente zu sensiblen Daten [§9] - automatisierte Registrierung mit Bürgerkartesoll möglich werden (nur mehr Plausibilitätskontrollen) [§§17,20] - Erweiterungen der Prüfrechte der DSK/DSBh bei fehlerhaften Registrierungen [§22a] - Beschwerden der Betroffenen werden stärker formalisiert [§31] - Tätigkeit bei DSK/DSBh wird ausdrücklich als Nebenjob verankert [§36] Entwurfstext DSG 2010: ftp://ftp.freenet.at/privacy/gesetze/dsg-novelle-2010-entwurf.pdf Begutachtungsverfahren: Stellungnahme der ARGE DATEN ftp://ftp.freenet.at/privacy/gesetze/dsg-novelle-2010.pdf Diverse aktuelle Artikel und Diskussionen Votum Separatum DSR zu DSG-Novelle 2008 ftp://ftp.freenet.at/privacy/gesetze/votum-seperatum-dsg-novelle-2008.pdf ARGE DATEN 161

Entwicklungsperspektiven Datenschutz
Ausblick Datenschutz Entwicklungsperspektiven Datenschutz Neudefinition des Begriffs "veröffentlichte" Daten notwendig Grenzen der Nutzungsmöglichkeiten veröffentlichter Daten Entwicklung von Datenschutzstandards / Selbstregulierung ÖNORM/Verbraucherrat hat bei ARGE DATEN Datenschutzleitlinie in Auftrag gegeben Schleswig-Holstein hat mit Datenschutzsiegel Anfang gemacht, ISO arbeitet an Datenschutzstandards, ebenso W3C-Konsortium Privacy Enhancing Technologies (PET) Techniken, die die Überwachung und Einhaltung von Datenschutz erleichtern: Anonymisierungstechniken, Blocktechniken (Cookies, PopUp, ...) Zukunftsperspektive Datenflusskontrolle? Leichtere Nachvollziehbarkeit von Datenweitergaben (SMS-Verständigung, Webportal, ...) Besonders in Diskussion bei elektronischer Krankenakte Werbung und Datenschutz Es besteht die Tendenz Daten und Datenschutz durch Rabatte und sonstige Preisnachlässe "abzukaufen". Problem des "Öffentlichkeitsbegriffs" Insbesondere im Zusammenhang mit dem Internet werden Informationen weiter verbreitet, die zwar über öffentliche Plattformen verteilt werden, jeodch nur für einen begrenzten Personenkreis vorgesehen sind. Für diese Informationen müsste ein Begriff der "beschränkten" Öffentlichkeit geschaffen werden bzw. Verwertungsverbote geschaffen werden. Vergleichbar den Anti-Diskriminierungsbestimmungen im Zusammenhang mit der Verweigerung der Anstellung wegen religiöser oder weltanschaulicher Meinungen, Herkunft oder Geschlecht. Analog sollte ein Verbot der Verwendung von Daten zu anderen Zwecken, als sie ursprünglich veröffentlicht wurden, geschaffen werden. ARGE DATEN 162

Entwicklungsperspektiven Datenschutz II
Ausblick Datenschutz Entwicklungsperspektiven Datenschutz II Datenschutzdiskussion in Deutschland Ergebnis diverser Datenschutzskandale sind eine Reihe von Gesetzesänderungen zum BDSG - künftig nur mehr OptIn bei Listbroking und Adressenhandel (statt heutiger Widerspruchslösung) - Erhöhung der Strafgelder - Gewinnabschöpfungsmöglichkeiten bei Datenmissbrauch (insbesondere bei den "Abzockseiten" im Internet) - Informationspflicht der Betroffenen bei Datenpannen - genaue Regeln zur Zulässigkeit des Scorings - Beschränkungen bei Übermittlungen an Auskunfteien - Schutz vor heimlicher Ortung (soll Teil eines Telekommunikationsdatenschutzgesetzes werden) Vorschläge lösten bei der Jahrestagung ( ) der "Deutschen Gesellschaft für Datenschutz und Datensicherheit" sehr kontroversielle Debatten und Reaktionen aus. ARGE DATEN 163

Entscheidungen zu DSG2000 § 26
DSG Betroffenenrechte Entscheidungen zu DSG2000 § 26 DSK K /0007-DSK/2004 ("Empfängerkreise") bei fehlender Protokollierungspflicht (Empfängerkreise bei der DVR- Registrierung angegeben) besteht lt. DSK kein Anspruch auf Auskunft der tatsächlichen Empfänger: Entscheidung vom VfGH aufgehoben DSK K /00005-DSK/2004 ("Identitätsnachweis") Bei Zweifel an der Identität des Auskunftssuchenden muss eine Kopie eines Personaldokuments vorgelegt werden DSK K /010-DSK/2003 (" -Daten") Auch -Verkehr ist als Datenanwendung iS des DSG anzusehen und unterliegt der Auskunftspflicht DSK K /0002-DSK/2008 ("Umfang") Auskunft ist über alle Daten zu geben, mit denen ein Antragsteller identifiziert werden kann (Name, Geburtsdatum), die Anschrift zählt nicht zu den Idenitätsdaten, da sie sich jederzeit ändern kann Ergänzende Anmerkungen DSK K /0007-DSK/2004 ("Empfängerkreise") Empfängerkreis oft weitschweifig und nichtssagend: "alle Direktmarketing- betreibenden Unternehmen", dürfte nicht EU-konform sein Weitere Entscheidungen DSK K /010-DSK/2002 ("Mitwirkung")‏ Mitwirkungspflicht des Betroffenen inkludiert keine Beweislast, dass Daten vorhanden sind oder diese missbraucht wurden DSK K /016-DSK/2002 ("Datengeheimnis")‏ Daten- und Bankgeheimnis sind keine ernsthaften Auskunftsverweigerungsgründe, gemeinsame Auskunftsbegehren sind möglich. DSK K /016-DSK/2002 ("Beschwerdefrist")‏ Beschwerde bei mangelhafter Auskunft kann nach Erteilung der Auskunft, noch vor Ablauf der 8-Wochenfrist eingebracht werden ARGE DATEN 164

DSK K120.940/0008-DSK/2005 ("Weitergabe an Medien")
DSG Rechtsdurchsetzung DSK K /0008-DSK/ ("Weitergabe an Medien") Ausgangslage - berufliche Daten des Betroffenen werden in Medien veröffentlicht (Ärztefunktionär, Anwesenheit, Entlohnung) - Arzt in einer öffentlich-rechtlichen Einrichtung tätig, Zuständigkeit der DSK gegeben - Beschwerde gegen Dienstgeber Entscheidung - Datenschutzverletzung liegt vor - Beschwerde abgewiesen, da der Betroffene nicht bewiesen konnte, dass einer der Beschwerdegegner die Daten weitergegeben hat! DSK K /0008-DSK/2005 Das Ermittlungsverfahren hat ergeben, dass eine Vielzahl von Stellen im Besitz der Daten des Beschwerdeführers war und daher als potentielle Übermittler von Daten des Beschwerdeführers in Frage kommen könnten. Das Ermittlungsverfahren hat jedoch keinen einigermaßen brauchbaren Hinweis ergeben - der durch weitere Ermittlungshandlungen hätte überprüft werden können -, welche Stelle die in Rede stehenden Daten an Medien weitergegeben haben könnte. Bei diesem Ergebnis des Ermittlungsverfahrens, in dem nicht einmal mit Wahrscheinlichkeit festgestellt werden konnte, welche Stelle (geschweige denn: welche Person) eine Datenweitergabe vorgenommen hat, wäre es auch unbillig, einer der in Pkt. 2 genannten Stellen die gerügte Datenweitergabe zuzurechnen. Dies gilt auch angesichts des Grundsatzes, dass ein Auftraggeber für mangelhafte Datensicherheit und daher auch für eine aus seinem Bereich erfolgte Datenweitergabe verantwortlich ist, zumal im vorliegenden Fall nicht ausgeforscht werden kann, welchen der Beschwerdegegner diese Verantwortung treffen würde. Da im Ermittlungsverfahren die behauptete Datenweitergabe an Medien durch einen der Beschwerdegegner [nicht, Anm.] erwiesen werden konnte, liegt eine den Beschwerdegegnern zurechenbare Verletzung im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG 2000 nicht vor, weshalb die Beschwerde zur Gänze abzuweisen war. Beschwerdegegner: 1. das Amt der Kärntner Landesregierung (Erstbeschwerdegegner) 2. die Kärntner Landeskrankenanstalten-Betriebsgesellschaft in Klagenfurt (Zweitbeschwerdegegnerin)‏ und 3. das Direktorium des Landeskrankenhauses T*** (Drittbeschwerdegegner)‏ ARGE DATEN 165

DSK K211.593/0011-DSK/2005 ("Empfehlung")
DSG Kontrollbestimmungen DSK K /0011-DSK/2005 ("Empfehlung") Ausgangslage - Betroffener untersagt Wirtschaftsauskunftsdienst Weitergabe ihn betreffender Daten - Wirtschaftsauskunftsdienst gibt weiter, dass eine Beauskunftung untersagt wurde DSK-Entscheidung - der Betroffene hat Widerspruchsrecht gem § 28 DSG 2000 - auch die Auskunft, dass Datenweitergabe untersagt wird, ist unzulässig und hat in Zukunft zu unterbleiben - da Wirtschaftsauskunftsdienste gesetzlich nicht angeordnet sind, ist eine Datenweitergabe nur mit Zustimmung des Betroffenen zulässig - die Schutzinteressen der Betroffenen sind höher als die Informationsinteressen Dritter zu bewerten DSK K /0011-DSK/2005 Dem Einschreiter kommt daher hinsichtlich seiner Eintragung in die Wirtschaftsdatenbank das Widerspruchsrecht nach § 28 Abs. 2 DSG 2000 zu. Die vom Einschreiter begehrte „Auskunftssperre“ für seine Daten stellt gegenüber dem Löschungsanspruch ein Minus dar und steht ihm daher ebenfalls zu. Hat ein Betroffener von seinem Widerspruchsrecht nach § 28 Abs. 2 DSG 2000 zu Recht Gebrauch gemacht, hat der Auftraggeber die vom Widerspruch umfassten Daten zur Gänze zu löschen (bzw. im vorliegenden Fall zu sperren). Die „ersatzweise“ Verarbeitung und Übermittlung des Hinweises auf den Widerspruch („Wunsch“) des Betroffenen ist gesetzlich nicht vorgesehen und stellt eine Aushöhlung des auf volle Löschung (oder entsprechend dem Antrag des Betroffenen auf eine Sperrung) gerichteten Widerspruchsrechts dar. Sie ist daher nach Auffassung der Datenschutzkommission rechtswidrig. Daher war entsprechend § 30 Abs. 6 DSG dem Verein H die vorliegende Empfehlung zur Herstellung des rechtmäßigen Zustandes zu erteilen. Eine Frist von zwei Wochen ist angesichts des lediglich geringfügigen Änderungsbedarfs bei der Eintragung des Einschreiters für die Umsetzung angemessen. Auf die oben zitierten Rechtsfolgen des § 30 Abs. 6 DSG 2000 für den Fall der Nichtbefolgung dieser Empfehlung wird aufmerksam gemacht. ARGE DATEN 166

Kontrollbefugnisse der DSK/DSBh (§ 30)
DSG Kontrollbestimmungen Kontrollbefugnisse der DSK/DSBh (§ 30) - Recht auf Prüfung und auf Einschau beim Auftraggeber / Dienstleister - Auftraggeber hat Prüfung zu unterstützen - Recht auf Zutritt zu Datenverarbeitungsanlagen - Schonung der Rechte des Auftraggebers/Dritter - Verwertung im Zusammenhang mit Verletzung von Datenschutzbestimmungen ansonsten: Beweisverwertungsverbot und Verschwiegenheit gegenüber Gerichten und Verwaltungsbehörden jedoch: Ausnahmen vom Beweisverwertungsgebot Reaktionsmöglichkeiten der DSK/DSBh: - Empfehlungen an Auftraggeber, bei Nichteinhaltung: Überprüfung der Registrierung - Anzeige gem. §51 / 52 DSG 2000 - im privaten Bereich Klage beim zuständigen Gericht DSK/DSBh kann bei begründetem Verdacht einer Rechtsverletzung die Datenanwendung prüfen (Abs. 2)‏ DSK/DSBh kann dazu Einschau begehren und Unterlagen verlangen (Abs. 2)‏ Auftraggeber/Dienstleister haben die notwendige Unterstützung (Einschau/Unterlagen) zu leisten (Abs. 4)‏ DSK/DSBh ist Zutritt zu den Datenverarbeitungen zu gewähren (Verständigung des Inhabers notwendig) (Abs. 4)‏ Prüfung hat unter möglichster Schonung der Rechte des Auftraggebers/Dienstleisters und Dritter zu erfolgen (Abs. 5)‏ Beweisverwertungsverbot Es dürfen die bekanntgewordenen Informationen ausschließlich zur Kontrolle datenschutzrechtlicher Vorschriften verwendet werden (inkl. strafbare Handlungen gem. §51f des DSG2000)‏ Pflicht zur Verschwiegenheit gegenüber Gerichten und Verwaltungsbehörden, Abgabebehörden werden ausdrücklich erwähnt (!)‏ Es bestehen jedoch Ausnahmen vom Beweisverwertungsgebot bei folgenden Verdachtsmomenten: Verbrechen gem. §278a StGB (kriminelle Organisation) Verbrechen mit Freiheitsstrafe im Höchstausmaß von mehr als 5 Jahren ARGE DATEN 167

ARGE DATEN DSK K211.505/002-DSK/2004 ("Mandatsbescheid")
DSG Kontrollbestimmungen DSK K /002-DSK/2004 ("Mandatsbescheid") Ausgangslage - Unternehmen kündigt an eine Liste von zahlungsunwilligen Konsumenten zu betreiben - kann über das Internet gegen Bezahlung abgerufen werden - Firmen werden aufgefordert zahlungsunwillige Personen zu melden DSK-Entscheidung - System zur Beurteilung der Bonität geeignet, daher besonders schutzwürdig - Auftrag Betrieb und Ankündigung mit sofortiger Wirkung zu unterlassen (Mandatsbescheid gem. § 57 AVG) - wenn zugesichert wird, dass Betrieb erst nach Registrierung erfolgt, ist Mandatsbescheid aufzuheben DSK K /002-DSK/2004 Auf Grund der Anzeige in der Zeitschrift K, in welcher der Anschein erweckt wurde, dass die Datenanwendung 'TTT' bereits in Betrieb sei, war die Datenschutzkommission zunächst verpflichtet, gegen den Vorstellungswerber, der auf Grund der Angaben auf der Homepage als Auftraggeber von 'TTT' in Betracht kam, ein Verfahren nach § 22 Abs. 4 DSG einzuleiten. In einem derartigen Verfahren konnte ein Bescheid gemäß § 20 Abs. 2 DSG 2000 bei Auslegung dieser Bestimmung nach ihrem Ziel und Zweck auch ohne Vorliegen einer Registermeldung ergehen, da es sonst dem Auftraggeber entgegen den Intentionen dieser Bestimmung möglich wäre, durch gesetzwidriges Unterlassen einer Meldung auch einen Untersagungsbescheid der Datenschutzkommission unmöglich zu machen, der eben jene Interessen schützen soll, zu deren Schutz Meldepflicht und Vorabkontrolle dienen. Diese Vorgangsweise war für die Datenschutzkommission wiederum deshalb geboten, weil der Vorstellungswerber durch sein Inserat den Anschein hervorgerufenen hat, 'TTT' sei bereits in Betrieb. Da eine entsprechende Meldung der Datenschutzkommission nicht vorlag, bestand daher der Verdacht der Begehung einer Verwaltungsübertretung nach § 52 Abs. 2 Z 1 DSG Die in dem Inserat beschriebene Funktionsweise, wonach vom Vorstellungswerber Daten betreffend die Inanspruchnahme von Rechten nach dem Fernabsatz- und Konsumentenschutzgesetz verarbeitet und übermittelt werden sollten, hat darüber hinaus den Verdacht nahe gelegt, dass diese Daten den Kunden von 'TTT' als Entscheidungsgrundlage für den Abschluss von Verträgen mit den Betroffenen dienen sollten und damit die Datenanwendung im Sinn von § 18 Abs. 2 Z 3 DSG 2000 als Grundlage der Auskunftserteilung über Hinweise auf die Kreditwürdigkeit der Betroffenen dienen könnten. Weiters bestand auf Grund des Inserateinhalts die Möglichkeit, dass ein Informationsverbundsystem (§ 4 Z 13 bzw. § 50 DSG 2000) vorliege. Damit war eine wesentliche Gefährdung von Geheimhaltungsinteressen der Betroffenen indiziert. Es gehört allerdings zum Wesen eines Mandatsbescheides, dass dieser ohne Ermittlungsverfahren nach den §§ 37 ff AVG erlassen wird und daher die in ihm getroffenen Sachverhaltsannahmen, welche nur vorläufigen Charakter haben. ARGE DATEN 168

ARGE DATEN DSG 2000 - SA022 - Abgrenzung
SA022 Kundenbetreuung und Marketing eigene Zwecke Betroffenenkreis I: eigene Kunden / Interessenten, die selbst an Auftraggeber herangetreten sind - relativ umfassend und großzügig, u.a. Kaufverhalten, Betreuungsdaten, Kaufkraftklassifizierung, elektronische Kommunikations-/Kontaktdaten Betroffenenkreis II: zugekaufte Interessentendaten, eigene Ermittlungen - beschränkter Datenumfang: Name/Anschrift, öffentlich zugängliche werberelevante Daten, Zugehörigkeit zu Interessentenklasse, Antwortverhalten auf Werbeaktivitäten - nicht enthalten: elektronische Kommunikations-/Kontaktdaten, Kaufkraftklassifizierung und ähnliches  individuelle Registrierung erforderlich! - ARGE DATEN 169

Datenverarbeitungsregister (DVR) (§§ 16ff)
DSG Registrierung und Genehmigung Datenverarbeitungsregister (DVR) (§§ 16ff) Zeitpunkt der Registrierungspflicht / wann ist zulässiger Beginn der Verarbeitung? (§ 18) - Beginn der Verarbeitung mit Tag der Registrierungsmeldung (gilt für "normale" DAs) oder - nach Abschluss der Vorabkontrolle, wenn keine Einwände erhoben werden, 2 Monate nach Meldung (gilt für DAs, die der "Vorabkontrolle" unterliegen) - Datenverarbeitungsregister ist Teil der DSK/DSBh (§ 16) - lt. DSK-Bericht 2007 gibt es keine Möglichkeit die Zahl der Auftraggeber festzustellen - Auftraggeber, die keine DVR-Nummer benötigen, müssen die Identität in anderer Weise offen legen (§ 25) aus dem DSG 2000 §§ 16ff, besonders §18 Grundsätzlich gilt: Beginn der Verarbeitung ab Abgabe der Meldung Ausnahme: Verarbeitungsbeginn erst nach Abschluss der Vorabkontrolle: DA's, die sensible Daten enthalten DA enthält strafrechtlich relevante Daten (gerichtlich und verwaltungsrechtlich)‏ DA hat Zweck der Auskunftserteilung über Kreditwürdigkeit DA in einem Informationsverbundsystem geführt Prüfungsfrist sind zwei Monate (§ 20 Abs. 1)‏ Wird ein Verbesserungsauftrag erteilt, ist eine angemessene Nachfrist zu setzen (§ 20 Abs. 1)‏ bei wesentlicher Gefährung von Geheimhaltungsinteressen kann eine DA vorläufig untersagt werden (§ 20 Abs. 2)‏ Bei DA's, die der Vorabkontrolle unterliegen, ist bei Verbesserungsaufträgen gleichzeitig mitzuteilen, ob Verarbeitung aufgenommen werden darf (§ 20 Abs. 3)‏ wird Verbesserungsauftrag nicht fristgerecht entsprochen, dann hat die DSK den Antrag abzulehnen (§ 20 Abs. 4) ARGE DATEN 170

ARGE DATEN DSG 2000 - Registrierung und Genehmigung
Registrierungspflicht besteht bei Videoüberwachung - jedenfalls bei Aufzeichnung, - jedenfalls bei Absicht der Personenidentifikation - nicht bei "privaten" Überwachungen (DSK-Position) VwGH 2007/05/ (DSK K /0004-DSK/2007) private "Verkehrsüberwachung" - Anrainer hatte Radaranlage installiert und Schnellfahrer gefilmt und zur Anzeige gebracht - wollte von DSK Bescheid über die Notwendigkeit einer Registrierung, fürchtete "Vergeltung" durch angezeigte Autofahrer - DSK lehnte ab, VwGH bestätigte, verwies auf Registrierungsverfahren Aus dem VwGH-Erkenntnis 2007/05/0220-3: "Der Beschwerdeführer wolle sein Vorhaben [einer privaten Verkehrsüebrwachung, Anm.] nur dann umsetzen, wenn dieses keine meldepflichtige Datenanwendung sei. Durch eine Registrierung einer solchen Datenanwendung würde der Beschwerdeführer nämlich jederzeit durch Einsicht in das DVR identifizierbares Zielobjekt jedes von den Polizeibehörden bestraften Schnellfahrers im gegenständlichen örtlichen Bereich, dies selbst dann, wenn er nicht einmal Anzeiger ist. ... Der Verwaltungsgerichtshof hat erwogen: Jede Datenanwendung muss somit zur Eintragung in das Datenverarbeitungsregister gemeldet werden, soweit nicht eine ausdrückliche Ausnahme nach den Abs. 2 oder 3 des § 17 DSG besteht. Ein Verfahren zur Feststellung, ob eine bestimmte Datenanwendung meldepflichtig ist oder nicht, ist im DSG nicht vorgesehen. Mangels einer ausdrücklichen gesetzlichen Grundlage für die begehrte Feststellung kommt im Beschwerdefall nur die Erlassung eines auf allgemeinen Verfahrensgrundsätzen beruhenden Feststellungsbescheides in Betracht. Derartige Feststellungsbescheide können nach ständiger Rechtsprechung des Verwaltungsgerichtshofes von Verwaltungsbehörden nur im Rahmen ihrer örtlichen und sachlichen Zuständigkeit und nur dann erlassen werden, wenn die Feststellung entweder im öffentlichen Interesse oder im rechtlichen Interesse einer Partei liegt und die Verwaltungsvorschriften nicht anderes bestimmen. ARGE DATEN 171

ARGE DATEN Thema Video Videodaten kein Teil des Bankgeheimnisses
Ausgangslage - In einer Bankfiliale wird einer Kundin das Handy gestohlen. Dieb wird gefilmt, Bankangestellter lässt durchblicken, das es sich vermutlich um einen Bankkunden handelt. - Bezirksgericht fordert Bank auf Name und Adresse bekannt zu geben und Videoaufzeichnung herauszugeben OGH-Entscheidung 13Os89/07y - Bekanntgabe von Namen und Adresse unzulässig (schützt Bankgeheimnis) - Herausgabe der Videoaufzeichnungen zulässig Prüfschema Videoüberwachung - Schritt I: Kann das Ziel durch andere Maßnahmen erreicht werden? - Schritt II: Abwägung der Schwere des Persönlichkeitseingriffs gegenüber dem angestrebten Schutz - Nebenprobleme: Aufzeichnung/keine Aufzeichnung, digital/nicht digital, identifizierende Absicht/nicht identifzierende Absicht Rechtssatz zu OGH 13Os89/07y "Rechtssatz: Nach § 38 Abs 1 BWG dürfen (ua) Kreditinstitute sowie für diese tätige Personen Geheimnisse, die ihnen ausschließlich auf Grund der Geschäftsverbindung mit Kunden oder auf Grund des § 75 Abs 3 BWG anvertraut oder zugänglich gemacht worden sind, nicht offenbaren oder verwerten (Bankgeheimnis). Die Verpflichtung zur Wahrung des Bankgeheimnisses besteht gemäß § 38 Abs 2 Z 1 BWG (ua) nicht im Zusammenhang mit eingeleiteten gerichtlichen Strafverfahren gegenüber den Strafgerichten. Die verfahrensrechtliche Durchführung der Durchbrechung des Bankgeheimnisses regelt § 145a StPO [seit : §§109ff, Anm.]. Nach Abs 1 Z 1 dieser Bestimmung sind Kredit- oder Finanzinstitute und für sie tätige Personen, soweit sie das Bankgeheimnis gemäß § 38 Abs 2 Z 1 BWG nicht zu wahren haben und dies zur Aufklärung eines Verbrechens oder eines Vergehens, das in die Zuständigkeit des Gerichtshofes erster Instanz fällt, erforderlich erscheint, verpflichtet, die Stammdaten, also den Namen, sonstige ihnen bekannte Daten über die Identität des Inhabers einer Geschäftsverbindung sowie dessen Anschrift bekannt zu geben." StPO neu seit : "§ 116. (1) Auskunft über Bankkonten und Bankgeschäfte ist zulässig, wenn sie zur Aufklärung eines Verbrechens oder eines Vergehens, das in die Zuständigkeit des Landesgerichts fällt (§ 31 Abs. 2 bis 4), erforderlich erscheint." ARGE DATEN 172

Ziel ist die Schaffung "fairer" Vereinbarungen mit Betroffenen
DSG Grundlagen Ziele neuer Datenschutzregelungen: Datenverarbeitungen sind allgegenwärtig Datenverarbeitungen haben für die Betroffenen transparent zu sein Sowohl öffentlich-rechtliche, als auch privat-rechtliche Datenverarbeitungen können in Grundrechte eingreifen Wesentlich ist der Schutz der Privatsphäre, nicht die Regulierung der Verarbeitungsform Ziel ist die Schaffung "fairer" Vereinbarungen mit Betroffenen Ziele alter Datenschutzregelungen Eindämmen der Datenverarbeitungen Datenverarbeitungen müssen registriert werden Elektronische Datenverarbeitung wird als "gefährlicher" als konventionelle Datensammlungen eingestuft Ein staatlicher "Big Brother" muss verhindert werden Einzelne Verarbeitungsschritte müssen gesondert geregelt werden Wenige Personen haben Zugang zur EDV ARGE DATEN 173

keine Inititativen zur Änderung der Richtlinie empfohlen
EU-Richtlinie Umsetzungsstand 1. EU-Bericht zur Umsetzung (5/03) - freier Datenverkehr ist gewährleistet - Widerspruch zwischen hohem rechtlichen Schutzniveau und Wahrnehmung durch Bevölkerung - derzeitige Harmonisierung für international tätige Unternehmen ungeeignet - fehlerhafte Umsetzung in einer Fülle von Punkten (Zulässigkeit der Verarbeitung, Information der Betroffenen, sensible Daten) - generell lückenhafte Befolgung durch Datenverarbeiter keine Inititativen zur Änderung der Richtlinie empfohlen Weitere Punkte des Berichts: - generell zu geringe Kontrollressourcen der Datenschutzbehörden - Förderung von Technologien, die den Datenschutz verbessern (Privacy Enhancing Technologies - PETs)‏ Die Art. 29-Gruppe ortet einen "Flickenteppich" an Informationspflichten und empfiehlt im WP100 einheitliche Informationspflichten ARGE DATEN 174

Die Grenzen des aktuellen Datenschutzes
Ausblick Datenschutz Die Grenzen des aktuellen Datenschutzes technische Entwicklung - Internet-Problemstellungen derzeit nur unzureichend abgedeckt - Spam- und Wurmverbreitung ( -Verkehr) - social engineering und social hacking (z.B. "phishing") - User-Tracking erlaubt eine Permanentkontrolle des Benutzerverhaltens - Grenzen zwischen den Rollen "Betroffener", "Auftraggeber" und "Dienstleister" verschwimmen grundrechtlich - leere Staatskassen und Terrorangst führen dazu, dass die erforderliche Interessensabwägung immer seltener gemacht werden - im Sozial- und Gesundheitsbereich (Effizienzsteigerung, ...) - bei öffentlicher Sicherheit (Videoüberwachung, Vorratsdatenspeicherung, Biometrie, RFID-Reisepässe, DNA-Massenscreening, ...) Zu den technischen Grenzen siehe auch im Datenschutzbericht der Datenschutzkommission: Hier wird insbesondere beklagt, dass die Entwicklung der Internet-Technologien und der daraus resultierenden Missbrauchsformen zuwenig im Datenschutzgesetz berücksichtigt sind. ARGE DATEN 175

Bisher unterlagen Übermittlungen im Notfall der Interessensabwägung
TSUNAMI-Bestimmung Sonderbestimmungen zur Datenweitergabe im Katastrophenfall (seit ) - neu geschaffener §48a DSG 2000 - Ermächtigung öffentlich-rechtlicher Auftraggeber Daten zur Hilfeleistung im Katastrophenfall zu verwenden - dürfen in Form eines Informationsverbundes verwendet werden - Weitergabe an Hilfsorganisationen und nahe Angehörige zulässig - Übermittlung der Daten Angehöriger nur in "pseudonymisierter" Form - Übermittlung ins Ausland zulässig - Übermittlung erkennungsdienstlicher Daten nur bei vermutlich verstorbenen Personen Bisher unterlagen Übermittlungen im Notfall der Interessensabwägung Die Bestimmung stellt einen rechtssystematischen Systembruch dar, von dem fraglich ist, ob sie EU-konform ist Bisherige Möglichkeiten der Datenweitergabe ohne Zustimmung des Betroffenen: Schon die Verfassungsbestimmung §1 DSG 2000 enthält im Absatz 2 zwei Ausnahmeregeln: Eine Verwendung von Daten durch Dritte ist zulässig, wenn dies (1) "im lebenswichtigen Interesse des Betroffenen" erfolgt oder (2) "zur Wahrung überwiegender berechtigter Interessen des anderen". Beide Bestimmungen waren im Anlassfall erfüllt, wenn der Verdacht bestand, der Betroffene sei unter den Flutwellenopfern ("lebenswichtiges Interesse") oder etwa durch die Abwesenheit des Betroffenen für die Angehörigen die Gefahr entstand, dass Wohnung, Arbeitsplatz oder Kredit wegen fehlender Informationen oder Zahlungen verloren gingen ("überwiegende Interessen"). Auch §7 Abs. 2 Z3 erlaubt die Datenweitergabe unter Berücksichtigung einer Abwägung: "durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden", §8 präzisiert: Abs.1 Z3 (bei "lebenswichtigen Interessen des Betroffenen") und Z4 ("wenn überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern"). Selbst sensible Daten (wie Gesundheitsdaten) können unter bestimmten Ausnahmebedingungen, weitergegeben werden. §9 Z7 sieht die Datenweitergabe ohne Zustimmung des Betroffenen vor, wenn seine "Zustimmung nicht rechtzeitig eingeholt werden kann", was bei Vermissten typischer Weise der Fall ist. Auch die Datenweitergabe von Reisebüros, Fluglinien oder Hotels wäre durch die bestehenden Bestimmungen rechtlich abgedeckt ARGE DATEN 176

ARGE DATEN TSUNAMI-Bestimmung
„Verwendung von Daten im Katastrophenfall § 48a. (1) Auftraggeber des öffentlichen Bereiches sind im Katastrophenfall ermächtigt, Daten zu verwenden, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist. Zu diesem Zweck sind auch Hilfsorganisationen (Abs. 6) nach Maßgabe der ihnen zukommenden Aufgaben und rechtlichen Befugnis ermächtigt, Daten zu verwenden. Wenn dies zur raschen Bewältigung der Katastrophe notwendig ist, darf eine Datenverwendung in Form der Teilnahme an einem Informationsverbundsystem erfolgen. Wer rechtmäßig über Daten verfügt, darf diese an Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen übermitteln, sofern diese die Daten zur Bewältigung der Katastrophe für die genannten Zwecke benötigen. Die Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt werden. (2) Eine Überlassung oder Übermittlung von Daten in das Ausland ist zulässig, soweit dies für die Erfüllung der in Abs. 1 genannten Zwecke notwendig ist. Wenn dies zur raschen Bewältigung der Katastrophe notwendig ist, darf eine Datenverwendung durch Auftraggeber des öffentlichen Bereichs und Hilfsorganisationen in Form der Teilnahme an einem Informationsverbundsystem, an dem auch ausländische Auftraggeber beteiligt sind, erfolgen. Die Übermittlung erkennungsdienstlicher und sensibler Daten zu Identifizierungszwecken an ein derartiges System darf erst stattfinden, wenn auf Grund von Erhebungen konkrete Anhaltspunkte dafür vorliegen, dass die vermisste Person verstorben sein dürfte. Daten, die für sich allein den Betroffenen strafrechtlich belasten, dürfen nicht übermittelt werden, es sei denn, dass diese zur Identifizierung im Einzelfall unbedingt notwendig sind. Die Übermittlung von Daten Angehöriger darf nur in pseudonymisierter Form erfolgen. Daten dürfen in Staaten ohne angemessenes Datenschutzniveau nur übermittelt oder überlassen werden, wenn der Auftraggeber auf Grund schriftlicher Vereinbarungen mit dem Empfänger oder auf Grund schriftlicher Zusagen des Empfängers oder, wenn dies nach den Umständen nicht oder nicht in angemessener Zeit möglich ist, durch Erteilung von Auflagen an den Empfänger davon ausgehen kann, dass die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Eine Übermittlung oder Überlassung hat dann zu unterbleiben, wenn Grund zur Annahme besteht, dass der Empfänger nicht für den gebotenen Schutz der Geheimhaltungsinteressen der Betroffenen Sorge tragen oder ausdrückliche datenschutzrechtliche Auflagen des Auftraggebers missachten werde. Während der Dauer der Katastrophensituation entfällt im Hinblick auf § 12 Abs. 3 Z 3 die Genehmigungspflicht. Die Datenschutzkommission ist von den veranlassten Übermittlungen und Überlassungen und den näheren Umständen des Anlass gebenden Sachverhaltes jedoch unverzüglich zu verständigen. Die Datenschutzkommission kann zum Schutz der Betroffenenrechte Datenübermittlungen oder - überlassungen untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in das Grundrecht auf Datenschutz durch die besonderen Umstände der Katastrophensituation nicht gerechtfertigt ist. (3) Auf Grund einer konkreten Anfrage eines nahen Angehörigen einer tatsächlich oder vermutlich von der Katastrophe unmittelbar betroffenen Person sind Auftraggeber ermächtigt, dem Anfragenden Daten über die Reise in das und aus dem Katastrophengebiet, Aufenthaltsdaten im Katastrophengebiet sowie Daten über den Stand der Ausforschung von betroffenen Personen zu übermitteln, wenn der Angehörige folgende Daten bekannt gibt: 1. Vor- und Zuname, Geburtsdatum sowie Wohnadresse der tatsächlich oder vermutlich von der Katastrophe betroffenen Person und 2. seinen Vor- und Zunamen, sein Geburtsdatum, seine Wohnadresse und sonstige Erreichbarkeit sowie seine Angehörigeneigenschaft zur betroffenen Person. Bestehen Zweifel an der Angehörigeneigenschaft und können diese durch Überprüfungen nicht ausgeräumt werden, ist ein Nachweis der Identität und Angehörigeneigenschaft notwendig. (4) Über Abs. 3 hinaus dürfen nahen Angehörigen von Auftraggebern des öffentlichen Bereiches und Hilfsorganisationen Daten einschließlich sensibler Daten über tatsächlich oder vermutlich unmittelbar von der Katastrophe betroffene Personen nur übermittelt werden, wenn sie ihre Identität und ihre Angehörigeneigenschaft nachweisen und die Auskunft zur Wahrung ihrer Rechte oder jener der betroffenen Person erforderlich ist. Die Sozialversicherungsträger sind verpflichtet, die Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen bei der Überprüfung der Daten gemäß Abs. 3 und der Angehörigenbeziehung zu unterstützen. Behörden sind ermächtigt, die zur Überprüfung dieser Angaben notwendigen Daten im Wege der Amtshilfe zu ermitteln und für diesen Zweck zu verwenden. (5) Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder, Ehegatten und Lebensgefährten der Betroffenen zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter denselben Voraussetzungen wie nahe Angehörige dann erhalten, wenn sie eine besondere Nahebeziehung zu der von der Katastrophe tatsächlich oder vermutlich unmittelbar betroffenen Person glaubhaft machen. (6) Eine Hilfsorganisation im Sinne dieser Bestimmung ist eine allgemein anerkannte gemeinnützige Organisation, die statuten- oder satzungsgemäß das Ziel hat, Menschen in Notsituationen zu unterstützen und von der angenommen werden kann, dass sie in wesentlichem Ausmaß eine Hilfeleistung im Katastrophenfall erbringen kann. (7) Alle Datenverwendungen sind im Sinne des § 14 Abs. 2 Z 7 zu protokollieren. (8) Die Zulässigkeit von Datenverwendungen auf der Grundlage anderer in den §§ 8 und 9 genannter Tatbestände bleibt unberührt.“ ARGE DATEN 177

Das zentrale Dokument ist die FAQ-Liste!
DSG Internationaler Datenverkehr Vereinbarung "Safe Harbour" ist eine Dokumentensammlung, bestehend aus: - Annex I: allgemeinen Grundsätzen der FTC - Annex II: FAQ-Liste (die eigentlichen "Grundsätze") - Annex III: Erklärung über Durchsetzungsmechanismen - Annex IV: Memorandum bezüglich Entschädigungen - Annex V: Schreiben der FTC - Annex VI: Schreiben des US-Verkehrsministeriums - Annex VII: Liste der befugten Organisationen Das zentrale Dokument ist die FAQ-Liste! aus "GRUNDSÄTZE DES „SICHEREN HAFENS“ ZUM DATENSCHUTZ VORGELEGT VOM AMERIKANISCHEN HANDELSMINISTERIUM AM 21. JULI 2000": "Die USA verwenden einen sektoralen Ansatz, der auf einer Mischung von Rechtsvorschriften, Verordnungen und Selbstregulierung basiert. Angesichts dieser Unterschiede fühlen sich viele US-Organisationen verunsichert bezüglich der Auswirkung des seitens der EU geforderten „Angemessenheits-Standards“ für die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten. Um diese Unsicherheit auszuräumen und einen berechenbareren Rahmen für solche Datenübermittlungen zu schaffen, legt das Handelsministerium unter seiner gesetzlichen Autorität, internationalen Handel zu pflegen, zu fördern und zu entwickeln, dieses Papier und sogenannte Häufig Gestellte Fragen - FAQs („die Grundsätze“) vor. Die Grundsätze wurden in Absprache mit der Industrie und der breiten Öffentlichkeit entwickelt, um den Handel zwischen der Europäischen Union und den Vereinigten Staaten zu erleichtern. Sie sind ausschließlich für den Gebrauch durch US-Organisationen bestimmt, die personenbezogene Daten aus der Europäischen Union erhalten, um sich für den „sicheren Hafen“ und die daraus erwachsende Vermutung der „Angemessenheit“ des Datenschutzes zu qualifizieren." ARGE DATEN 178

zentrale Grundsätze des "Safe Harbour"
DSG Internationaler Datenverkehr zentrale Grundsätze des "Safe Harbour" - INFORMATIONSPFLICHT (entspricht: DSG 2000 §24) - WAHLMÖGLICHKEIT (DSG 2000 §28 "Widerspruch") - WEITERGABE (DSG 2000 u.a. §8f "Verwendung") - SICHERHEIT (DSG 2000 §14) - DATENINTEGRITÄT (DSG 2000 §6 "Grundsätze") - AUSKUNFTSRECHT (DSG 2000 §26f) - DURCHSETZUNG (DSG 2000 §30ff) Umfang der Regelung: - Online- und Offline-Daten, manuelle Daten, Personaldaten (Human Ressource Daten) INFORMATIONSPFLICHT: Die Organisation muss Privatpersonen darüber informieren, zu welchem Zweck sie die Daten über sie erhebt und verwendet, wie sie die Organisation bei eventuellen Nachfragen oder Beschwerden kontaktieren können, an welche Kategorien von Dritten die Daten weitergegeben werden und welche Mittel und Wege sie den Privatpersonen zur Verfügung stellt, um die Verwendung und Weitergabe der Daten einzuschränken. WAHLMÖGLICHKEIT: Die Organisation muss Privatpersonen die Möglichkeit geben zu wählen ("opt out"), ob ihre personenbezogenen Daten (a) an Dritte 1 weitergegeben werden sollen oder (b) für einen Zweck verwendet werden sollen, der mit dem ursprünglichen oder dem nachträglich von der betreffenden Person genehmigten Erhebungszweck unvereinbar ist. AUSKUNFTSRECHT: Privatpersonen müssen Zugang zu den personenbezogenen Daten haben, die eine Organisation über sie besitzt, und sie müssen die Möglichkeit haben, diese zu korrigieren, zu ändern oder zu löschen, wenn sie falsch sind, es sei denn, die Belastung oder die Kosten für die Gewährung des Zugangs würden in dem jeweiligen Fall in einem Missverhältnis zu den Nachteilen für den Betroffenen stehen, oder Rechte anderer Personen als des Betroffenen würden verletzt. DURCHSETZUNG: [bleibt für europäische Verhältnisse vage] Für einen effektiven Schutz der Privatsphäre müssen Mechanismen geschaffen werden, die die Einhaltung der Grundsätze des sicheren Hafens gewährleisten, Rechtsbehelfe für Betroffene vorsehen, bei deren Daten die Grundsätze nicht eingehalten wurden, sowie Sanktionen für die Organisation, die die Grundsätze nicht befolgt. ARGE DATEN 179

Sonstige Bestimmungen zu "Safe Harbour" (formuliert in den Frequently Asked Questions) - Sensible Daten (FAQ1) - Ausnahmen für Journalisten (FAQ2) - ISP-Haftung bei Weiterleitung (FAQ3) - Investmentbanken und Wirtschaftsprüfer (FAQ4) - Funktionsweise der Selbstzertifizierung (FAQ6) + Selbstkontrolle (FAQ7) - Durchführung der Auskunft (FAQ8) (orientiert sich an OECD-Empfehlung 1980) - Verwendung von Personaldaten (FAQ9) - Schiedsverfahren und Durchsetzung (FAQ11) - Verwendung von Reisedaten (FAQ12) Weitere Bestimmungen: FAQ5: Rolle von Datenschutzbehörden FAQ10: Datenverarbeitung im Auftrag (Dienstleistung)‏ FAQ14: Arzneimittel und Medizinprodukte FAQ15: Daten aus öffentlichen Registern / öffentlich zugängliche Daten FAQ6 Selbstzertifizierung: Um sich selbst zu zertifizieren, muss die Organisation dem US-Handelsministerium (oder einer von diesem benannten Stelle) ein von einem leitenden Mitarbeiter im Namen der Organisation unterzeichnetes Schreiben vorlegen, das mindestens folgende Angaben enthält: 1. Name der Organisation, Postanschrift, -Adresse, Telefon- und Faxnummer; 2. Beschreibung der Tätigkeit der Organisation im Zusammenhang mit personenbezogenen Daten aus der EU; und 3. Beschreibung der Geschäftsbedingungen für den Datenschutz der Organisation, die folgende Angaben umfassen muss: a) Ort, an dem diese Beschreibung von der Öffentlichkeit eingesehen werden kann; b) Tag, an dem diese Vorkehrungen in Kraft gesetzt wurden; c) Kontaktstelle, die für die Bearbeitung von Beschwerden, Auskunftsersuchen und anderen Angelegenheiten des sicheren Hafens zuständig ist; d) die gesetzliche Aufsichtsbehörde, die über Beschwerden gegen die Organisation wegen unlauteren oder irreführenden Geschäftsgebarens und wegen Verletzung von datenschutzrechtlichen Vorschriften entscheidungsbefugt ist (und im Anhang zu den Grundsätzen aufgeführt ist); e) die Bezeichnungen aller Datenschutzprogramme, an denen die Organisation teilnimmt; f) die Art der anlassunabhängigen Kontrolle (z. B. intern oder extern)* und g) das unabhängige Schiedsverfahren zur Behandlung ungelöster Beschwerdefälle. ARGE DATEN 180

Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11) - Betroffene können sich direkt beschweren - Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt (BBBOnline, TRUSTe, ...) - ebenso Beschwerden der EU-Mitgliedsstaaten - Fortgesetzte Missachtungen sind zu veröffentlichen - Sanktionen: öffentliche Bekanntmachung Löschung betreffender Daten Entschädigung für Personen Streichung von der Liste "safe harbour" sonstige Auflagen FAQ11: Schiedsverfahren und Durchsetzungsprinzip Missachtet eine Organisation fortgesetzt die Grundsätze, verliert sie ihren Status als „sicherer Hafen“ und die damit verbundenen Vorteile. Eine fortgesetzte Missachtung liegt vor, wenn sich eine Organisation, die sich gegenüber dem US-Handelsministerium oder einer von ihm beauftragten Stelle selbst zertifiziert hat, weigert, der endgültigen Entscheidung eines staatlichen Kontrollorgans oder eines Selbstregulierungsorgans zu folgen, oder wenn von einer solchen Stelle festgestellt wird, dass die Organisation so häufig gegen die Grundsätze verstößt, die es einzuhalten vorgibt, dass diese Behauptung nicht mehr glaubwürdig ist. In diesen Fällen, muss die Organisation das dem Handelsministerium oder einer von ihm beauftragten Stelle unverzüglich mitteilen. Die Unterlassung dieser Mitteilung kann nach dem "False Statements Act" strafrechtlich verfolgt werden. Jede Mitteilung über die fortgesetzte Missachtung der Grundsätze des „sicheren Hafens“ wird in das öffentliche Verzeichnis der dem „sicheren Hafen“ beigetretenen Organisationen aufgenommen, das das US-Handelsministerium (oder eine von ihm beauftragte Stelle) führt, unabhängig davon, ob die Mitteilung durch die Organisation selbst, durch ein Selbstregulierungsorgan oder ein staatliches Kontrollorgan erfolgt. Das geschieht jedoch erst, nachdem die 30-tägige Frist abgelaufen ist, in der die betroffene Organisation Gelegenheit hat zu reagieren. Aus der öffentlichen Liste des US- Handelsministeriums oder einer von ihm beauftragten Stelle lässt sich also ersehen, welche Organisationen als „sicherer Hafen“ anerkannt sind und welche diese Anerkennung verloren haben. Eine Organisation, die sich einer Selbstregulierungsorganisation anschließt, um sich erneut als sicherer Hafen zu qualifizieren, muss dieser Selbstregulierungsorganisation ihre frühere Teilnahme am „sicheren Hafen“ vollständig offenbaren. ARGE DATEN 181

Entscheidungen zu DSG2000 ARGE DATEN
DSG Registrierung und Genehmigung Entscheidungen zu DSG2000 DSK K /009-DSK/2003 ("falsche DVR-Nummer") Die Verwendung einer falschen DVR-Nummer verletzt keine subjektiven Rechte, sondern ist nur eine Verwaltungsübertretung [steht im Gegensatz zu den EU-Bemühungen nach Transparenz für die Bürger] DSK K /009-DSK/2003: Ein berufstätig Studierender erhielt eine Zusendung der AK / ÖH mit der DVR-Nummer der AK. Sein Auskunftsbegehren wurde bei der AK mit den Hinweis beantwortet, keine Daten zu haben. Im Zuge des Beschwerdeverfahrens wurde "festgestellt", dass ÖH-Daten im Zuge eines Kooerationsabkommens an einen AK-Dienstleister weitergegeben wurden. Ein Abgleich mit den AK-Daten erfolgte nicht. weiteres Beispiel ONE/NEWS-Werbeaktion ONE-Kunden erhalten ein persönlich adressiertes NEWS-Heft ohne Angabe der DVR- Nummer (und auch ohne Angabe von ONE)‏ Argumentation 1 von NEWS: Daten stammen aus Telefonbuch -> erwies sich als nicht haltbar Argumentation 2 von NEWS/ONE: ONE ist Auftraggeber der Werbeaktion und NEWS ist Dienstleister für die Durchführung. ONE wollte Kunden nur interessantes Angebot machen. DVR-Nummer muss nicht geführt werden. Argumentation formal möglich, jedoch muss stattdessen der Auftraggeber im Schreiben genannt werden [was im konkreten Fall nicht gegeben war] ARGE DATEN 182

Entscheidungen zu DSG2000 §1(Geheimhaltung)
DSG Grundlagen Entscheidungen zu DSG2000 §1(Geheimhaltung) OGH 11Os109/01 ("allgemeine Verfügbarkeit") Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde DSK K / K ("Geburtsdatum") Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht DSK K /32-DSK/00 ("Lehrerliste") Weitergabe einer Lehrerliste an Postbediensteten ist zulässig, da Dienststelle der Lehrer veröffentlicht wird DSK K /004-DSK/2003: "Auf Grund der Beschwerde des M (Beschwerdeführer) vom 14. März 1998 gegen die Bundespolizeidirektion Wien (belangtes Organ) wegen Verletzung im Grundrecht auf Datenschutz wird gemäß §§ 14 und 36 Abs. 1 Z. 1 des Datenschutzgesetzes, BGBl Nr. 565/1978 idF BGBl Nr. 632/1994 (DSG), sowie gemäß §31 Abs. 2 des Datenschutzgesetzes 2000, BGBl 1 Nr.165/1999 (DSG 2000) entschieden: Die Bundespolizeidirektion Wien hat den Beschwerdeführer dadurch, dass 1. das Bundespolizeikommissariat Z am 17 Oktober 1990 in einem Bericht den Vermerk 'Bemerkt wird, dass M ha. Zur Zahl: Ges x Verd. der Psychose, Einweisung SMV, vorgemerkt ist' aufgenommen hat und dieser Bericht unaufgefordert an das Bezirkspolizeikommissariat U und weiter an das Verkehrsamt gesendet wurde, 2. das Bezirkskommissiariat U am 19.März 1997 dem Magistratischen Bezirksamt XY in Wien mitgeteilet hat, es würden in der Evidenz des Polizeichefarztes Vormerkungen aufscheinen, im Grundrecht auf Datenschutz gemäß § 1 Abs. 1 DSG verletzt. 3. BPD Wien hat nach Eintritt der Rechtskraft dieses Bescheides den Akt Zl. Ges x des Bezirkspolizeikommissiariats Z sowie sämtliche Aktenstücke in den Akten Rh y (ebensfalls Bezirkspolizeikommissiariat Z) und lll Entz. z. (Verkehrsamt), welche aus Übermittlungen aus dem vorzitierten Ges-Akt resultieren, unverzüglich zu vernichten. DSK K /32-DSK/00: "Ein Bediensteter der Post ließ sich unter dem Vorwand, diese Daten 'für postalische Zwecke' zu benötigen, eine Liste der an einer Schule tätigen Lehrer schicken, verwendete die Daten aber anschließend dazu, um für einen anderen privaten Auftraggeber Werbesendungen zu adressieren. ... Die Daten der inkriminierten 'Lehrerliste' sind Daten, die lediglich eine Information darüber enthalten, dass durch Namen (einschl. Titel) bezeichnete bestimmte Personen die öffentliche Funktion eines Lehrers an einer bestimmten öffentlichen Schule (mit Schuladresse) ausüben. Es handelt sich hiebei um Daten an welchen iSd § 1 Abs. 1 DSG kein schutzwürdiges Geheimhaltungsinteresse behauptet werden kann, da diese Daten jedermann unschwer zugänglich sind (wie hier Jahrbücher, in sonstigen Fällen auch Amtskalender, Internetpräsentationen, usw.)." (RIS)‏ ARGE DATEN 183

DSK K /0005-DSK/2005: "Die übermittelten Daten betrafen zwar nicht den Kern des Privatlebens des Beschwerdeführers aber seine berufliche Tätigkeit außerhalb seiner universitären Lehr- und Forschungsverpflichtung. § 8 Abs 3 Z 6 DSG 2000 (Daten, die ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand haben) kann daher nicht zur Anwendung kommen. Eine wesentliche Voraussetzung für die Wahrnehmung einer der Beschwerdegegnerin gesetzlich übertragenen Aufgabe gemäß § 8 Abs 3 Z 4 DSG 2000 liegt nicht vor, wenn schutzwürdige Daten an ein Medienunternehmen oder dessen Mitarbeiter übermittelt werden." DSK K /004-DSK/2002: "Im Beschwerdefall steht fest, dass der Amtsarzt Bedenken hinsichtlich der Sehkraft des Beschwerdeführers und damit seiner Tauglichkeit zum Lenken von Kraftfahrzeugen... hatte. Das Lenken von Kraftfahrzeugen stellt eine an sich gefährliche Tätigkeit dar, für die der Gesetzgeber nicht ohne Grund den Nachweis gesundheitlicher Eignung fordert. Durch Teilnahme einer körperlich un- oder mindertauglichen Person am Straßenverkehr als Lenker eines Kraftfahrzeugs wird eine Gefahr hervorgerufen, die das Leben und die körperliche Unversehrtheit des Betroffenen bedroht. Damit war eine Situation gegeben, in der lebenswichtige Interessen des Betroffenen selbst die Übermittlung von Daten an die zuständige Führerscheinbehörde zulässig machten, um den noch nicht völlig klargestellten Sachverhalt zumindest einer Überprüfung unterziehen zu können." (RIS-Leitsatz)‏ Anmerkung zu K /004-DSK/2002: Diese Entscheidung ist mittlerweile insoweit obsolet, als die Datenweitergabe nur mehr bei tatsächlich festgestellten Beeinträchtigungen zulässig ist und nicht wenn Beeinträchtigungen zu befürchten sind. Weiters sind beigebrachte ärztliche Privatgutachten zu berücksichtigen bzw. ihre Nichtberücksichtigung zu begründen. DSK K /22-DSK/00: "Der Beschwerdeführer, ein Exekutivbeamter, befand sich wegen des Abstellens eines Autowracks auf öffentlichem Gut im Streit mit einer Gemeinde. Deren Bürgermeister veranlasste eine Datenübermittlung per Fax betreffend gegen den Beschwerdeführer erstattete Verwaltungsstrafanzeigen unter anderem an die Redaktion einer lokalen Wochenzeitung. ... Zusätzlich musste das belangte Organ erkannt haben, dass schutzwürdige Geheimhaltungsinteressen des Beschwerdeführers durch eine Datenübermittlung an ein Medienunternehmen oder dessen Mitarbeiter (§ 1 Abs 1 Z 6 und 11 MedienG) in besonderem Maße gefährdet wurden." (RIS)‏ ARGE DATEN 184

OGH 4 Ob 179/02f ("BA-CA") ARGE DATEN DSG 2000 - Grundlagen
Die kritisierten Datenschutz-Bestimmungen - AGB's Z26 / Z27 - Weitergabe an Kleinkreditevidenz/Warndateien / KSV1870 - Weitergabe an sonstige Einrichtungen zur Risikobeurteilung (Refinanzierungsgeber, Einlagen- und Anlegerentschädigungseinrichtungen, ...) - Entbindung vom Bankgeheimnis Die wichtigsten Punkte der Entscheidung - Hinweis auf Widerruf wesentlicher Teil der Zustimmung - besondere Informationspflicht in der Abgrenzung zustimmungspflichtiger Datenübermittlungen von anderen - Entbindung vom Bankgeheimnis muss auch bei oberflächlicher Kenntnisnahme klar und eindeutig sein - Widerspruch zu Treu und Glauben (§ 6 DSG 2000) OGH 4 Ob 179/02f ("BA-CA"): insgesamt wurden 11 Punkte aufgehoben Relevante Passage: "Z 26 Abs 1: Der Kunde erklärt sich einverstanden, dass das Kreditinstitut nachstehende Daten an die Kleinkreditevidenz und die Warnliste, die derzeit beim Kreditschutzverband von 1870 eingerichtet sind, übermittelt: Name, Anschrift, Geburtsdatum, Höhe der Verbindlichkeit, Rückführungsmodalitäten, Schritte des Kreditinstituts im Zusammenhang mit der Fälligstellung und der Rechtsverfolgung sowie den Missbrauch von Zahlungsverkehrsinstrumenten. Zweck der Übermittlung ist die Verwahrung, Zusammenführung und Weitergabe der vorstehend angeführten Daten durch den Empfänger an andere Kreditinstitute, Leasinggesellschaften und andere Finanzinstitute und Versicherungsunternehmen zur Wahrung ihrer Gläubigerschutzinteressen. Abs 2: Der Kunde erklärt sich auch damit einverstanden, dass den Kunden oder ein mit ihm konzernmäßig verbundenes Unternehmen betreffende Daten, die dem Kreditinstitut im Rahmen der Geschäftsverbindung mit dem Kunden bekannt geworden und zur Beurteilung der aus Geschäften mit der jeweils betroffenen Person oder Gesellschaft entstehenden Risken notwendig oder zweckmäßig sind (insbesondere Bilanzdaten), an - (potentielle) Konsortial-/Risikopartner des Kreditinstituts zur Risikobeurteilung im Rahmen des Konsortialgeschäfts, - Refinanzierungsgeber des Kreditinstituts, denen gegenüber die Forderungen des Kreditinstituts gegen den Kunden als Sicherheit dienen sollen (insbesondere Österreichische Nationalbank, Österreichische Kontrollbank AG, Europäische Zentralbank, Europäische Investitionsbank), zur Beurteilung der bestellten Sicherheiten, - Einlagen- und Anlegerentschädigungseinrichtungen des Fachverbandes, dem das Kreditinstitut angehört, im Rahmen eines Frühwarnsystems zur Beurteilung allfälliger von diesen Einrichtungen abzudeckenden Risken weitergegeben werden. Z 27: In den in Z 26 genannten Fällen entbindet der Kunde das Kreditinstitut ausdrücklich auch vom Bankgeheimnis." ARGE DATEN 185

weitere Zuständigkeiten (für Betroffene)
DSG Einrichtungen weitere Zuständigkeiten (für Betroffene) - Magistrat / Bezirkshauptmannschaft (formlos) Anzeigen gem. § 52 DSG 2000 (jedoch keine Parteienstellung) - EU-Kommission (formlos) Beschwerde wegen EU-Vertragsverletzung: bei Verdacht der nicht EU-konformen Umsetzung der Datenschutz-Richtlinie durch den Gesetzgeber - US/FTC bzw. Luftfahrtbehörde (formlos) Bei allen Verstößen gegen die "safe harbour" Vereinbarung Weitere Beschwerdemöglichkeit - sonstige nationale Datenschutzaufsichtsbehörden in der EU (Niederlassungsprinzip) ARGE DATEN 186

OGH 6 Ob 275/05t ("Verdienstentgang")
DSG Schadenersatz OGH 6 Ob 275/05t ("Verdienstentgang") Ausgangslage - Anwalt gelangte wegen Verzug der Rückzahlung eines Bürgschaftskredits auf UKV-Liste der Banken - Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang ,- EUR) - Anwalt forderte von Bank Schadenersatz in Höhe von EUR OGH-Entscheidung - Eintrag ohne vorherige Verständigung unzulässig - OGH beruft sich ausdrücklich auf DSK-Bescheid K /021- DSK/2001 - Schadenersatz besteht daher zu Recht (zugesprochen EUR) - Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen OGH 6 Ob 275/05t Verständigungspflicht der Bank vor Eintragung in die Warnliste: Die sogenannte "Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten" (in dieser Entscheidung Warnliste) dient - worauf schon ihre Bezeichnung hinweist - dem Gläubigerschutz. Ihr Zweck liegt in der Auskunftserteilung über die Kreditwürdigkeit eines Bankkunden oder seines Bürgen. Als Informationsverbundsystem im Sinn der §§ 4 Z 13 und 50 DSG wie auch aufgrund ihres Zwecks (§ 18 Abs 2 Z 3 DSG) unterliegt sie der Vorabkontrolle durch die Datenschutzkommission (§ 18 Abs 2 DSG). Im Rahmen dieser Vorabkontrolle erteilte die Datenschutzkommission Auflagen nach §21 Abs 2 DSG (konsolidierte Fassung der Bescheide K /016-DSK/2001 und K /021- DSK/2001). Danach muss vor der Eintragung eines Schuldners oder dessen Bürgen in die Warnliste der Auftraggeber (die Bank) den betreffenden Kunden und seinen Bürgen im Fälligstellungsschreiben oder im Kontoaufkündigungsschreiben ausdrücklich darauf hinweisen, dass er die Warnliste eingetragen wird, sollte innerhalb der gesetzlichen Zahlungsfrist keine vollständige Zahlung erfolgen oder keine andere Vereinbarung getroffen werden Dass die Veranlassung der Aufnahmen in die Warnliste ohne vorhergehende Information dem im § 6 Abs 1 Z 1 DSG verankerten Grundsatz von Treu und Glauben widerspricht, wurde bereits ausgeführt. Der Beklagte zeigt in seiner Rekursbeantwortung zutreffend auf, dass die gesetzwidrige Aufnahme in die Warnliste im vorliegenden Fall geeignet ist, ihn in der Öffentlichkeit bloßzustellen. Jemanden bloßzustellen bedeutet, Tatsachen aus seinem höchstpersönlichen Lebensbereich (wozu auch die Daten nach § 18 Abs 2 Z 1 bis 3 DSG gehören, siehe Dohr/Pollirer/Weiss, Datenschutzrecht² § 33 Seite 227) zu enthüllen, die ihn aus der Sicht Dritter herabsetzen und sein Ansehen untergraben. Dies ist bei einer gegen das Datenschutzgesetz verstoßenden Aufnahme eines Rechtsanwalts in die Warnliste der Banken der Fall. Die dadurch verbreitete Annahme, der Betroffene sei als Rechtsanwalt kreditunwürdig, untergräbt sein Ansehen bei Klienten und unter Kollegen und ist geeignet, seinen Ruf nachhaltig zu schädigen und sogar seine wirtschaftliche Existenz zu gefährden. ARGE DATEN 187

... aber es gilt, nach der Novelle ist vor der Novelle ...
DSG Novelle Anmerkungen Was wurde nicht geregelt? II Auditing datenschutzkonformer Datenanwendung Fehlende Regelungen auf Grund neuer technologischer und sozialer Entwicklungen [z.B. neue Rollendefinitionen erforderlich]: - Web2.0/Soziale Netze - RFID (Radio Frequency IDentification) - biometrische Daten - Cloud Computing - Online Services, wie Patientendatenverwaltung - Scoringmethoden - Ubiquitous Computing ("Web der Dinge") - Personenortung - ...?? - ... aber es gilt, nach der Novelle ist vor der Novelle ... ARGE DATEN 188

Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven

Ähnliche Präsentationen

Präsentation zum Thema: "Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback

Anmelden

Anmeldung über soziales Netzwerk:

Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven

Ähnliche Präsentationen

Präsentation zum Thema: "Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback