Bundesgesetz über den Schutz personenbezogener Daten
aus Wikipedia, der freien Enzyklopädie
| Basisdaten | |
|---|---|
| Kurztitel: | Datenschutzgesetz 2000 |
| Abkürzung: | DSG 2000 |
| Art: | Bundesgesetz |
| Geltungsbereich: | Österreich |
| Rechtsmaterie: | Datenschutzrecht |
| BGBl: | BGBl 165/1999 |
| Inkrafttreten am: | 1.1.2000 |
| 1) Bitte beachten Sie den Hinweis zur geltenden Gesetzesfassung! | |
Das Bundesgesetz über den Schutz personenbezogener Daten (DSG 2000) regelt den Schutz personenbezogener Daten in Österreich. Als solche gelten etwa E-Mail-Anschrift, Geburtsdatum oder Telefonnummer. Diese oder ähnliche Angaben dürfen ohne vorherige Zustimmung des Betroffenen nur in speziellen Fällen weitergegeben werden. Die Österreichische Datenschutzkommission ist durch dieses Gesetz eingerichtet.
[Bearbeiten] Definitionen (§ 4)
- Personenbezogene Daten sind Angaben zu Personen, deren Identität bestimmt oder zumindest bestimmbar sind.
- Nur indirekt Personenbezogen sind Daten bei denen der Personenbezug der Daten vom Auftraggeber, Dienstleister oder Empfänger mit rechtlich zulässigen Mitteln nicht bestimmt werden kann.
- Sensible Daten sind gesetzlich definiert: Daten über rassische oder ethische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben.
- Zustimmung ist die gültige, ohne Zwang abgegebene Willenserklärung der betroffenen Person zur konkreten Verwendung der Daten "in Kenntnis der Sachlage". Diese kann schriftlich, mündlich oder auch schlüssig abgegeben werden (keine Formvorschrift).
[Bearbeiten] Räumlicher Anwendungsbereich
Die Bestimmungen sind in Österreich anzuwenden.
Darüber hinaus auf die Verwendung von Daten im Ausland, soweit in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung eines Auftraggebers (§ 3).
[Bearbeiten] Öffentliche - Private Daten
Laut § 1 DSG 2000 hat jedermann Anspruch auf Geheimhaltung personenbezogener Daten. Eine öffentliche Verfügbarkeit dieser Daten schliesst diesen Anspruch jedoch aus. Im öffentlich-Rechtlichen Bereich (Gerichte, Ämter usw.) besteht jedoch eine gewisse Auskunftspflicht (siehe Amtshilfe, Vollzugshilfe).
[Bearbeiten] Datensicherheit
Datensicherheitsmaßnahmen sind organisatorische-, schulungs- und technische Massnahmen zur Datensicherheit, um eine ordnungsgemäße Datenverwendung zu sichern, die Daten vor Zerstörung oder Verlust sowie gegen den Zugang Unbefugte zu verhindern.
[Bearbeiten] Datengeheimnis (Verschwiegenheitspflicht)
Das Datengeheimnis des § 15 DSG 2000 verpflichtet Auftraggeber, Dienstleister und ihre Mitarbeiter Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht.
Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses zum Auftraggeber oder Dienstleister einhalten werden.
[Bearbeiten] Einrichtungen nach dem DSG
[Bearbeiten] Datenverarbeitungsregister
Vergibt die DVR-Nr. In Österreich besteht grundsätzlich Meldepflicht jeder Datenanwendung, allerdings mit einer Reihe von Ausnahmen im Einzelfall.
siehe auch Datenverarbeitungsregister
[Bearbeiten] Datenschutzkommission
Die Datenschutzkommission besteht aus sechs weisungsfreien Mitgliedern. Die Geschäftsstelle der Datenschutzkommission ist im Bundeskanzleramt eingerichtet.
siehe auch Datenschutzkommission
[Bearbeiten] Kontrollbefugnisse der Datenschutzkommission
Die Kontrollbefugnisse ergeben sich aus § 30 DSG 2000:
- Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters an die Datenschutzkommission wenden.
- Die Datenschutzkommission ist berechtigt, Räume des Auftraggebers oder Dienstleisters zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, Verarbeitungen durchzuführen und Kopien von Datenträgern herzustellen.
- Die Datenschutzkommission kann zur Herstellung des rechtmäßigen Zustandes Empfehlungen aussprechen, für deren Befolgung eine angemessene Frist gesetzt werden kann.
- Wird einer solchen Empfehlung nicht innerhalb der gesetzten Frist entsprochen, kann die Datenschutzkommission ua ein Verfahren zur Überprüfung der Registrierung einleiten, Strafanzeige nach § 51 oder 52 erstatten, Klage vor dem zuständigen Gericht nach § 32 Abs 5 erheben.
Gegen Bescheide der Datenschutzkommission ist kein Rechtsmittel zulässig. Die Anrufung des Verwaltungsgerichtshofes ist zulässig.
[Bearbeiten] Datenschutzrat
Der Datenschutzrat ist beim Bundeskanzleramt eingerichtet. Er berät die Bundesregierung und die Landesregierungen auf deren Ersuchen in rechtspolitschen Fragen des Datenschutzes.
[Bearbeiten] Die wesentlichen materiellen Pflichen
[Bearbeiten] Grundrecht auf Datenschutzrecht
Alle Pflichten, die sich aus dem Datenschutzrecht ergeben, sind letztlich ausfluß des Grundrechts auf Datenschutzrecht. Dieses steht in § 1 DSG 2000 im Verfassungsrang und lautet:
Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Indirekt ergibt sich daraus ganz "grob" gesprochen der Ansatz des Datenschutzrechts, dass Daten an sich nicht verwendet werden sollen, außer es liegt eine Ausnahme vor, die dies zulässt. Die Lösung datenschutzrechtlicher Probleme ist somit immer eine Suche nach Ausnahmen, um herauszufinen, ob die Verwendung von Daten zulässig ist oder nicht.
[Bearbeiten] Zulässigkeit der Datenverwendung und Datenübermittlung, Nichtverletzung der schutzwürdigen Geheimhaltungsinteressen
§ 7 Abs 1 DSG 2000 bestimmt, dass Daten grundsätzlich nur dann verarbeitet werden, dürfen, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
Eine Übermittlung von Daten ist nach § 7 Abs 2 DSG 2000 nur dann zulässig, wenn diese
1. aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen
und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche
Zuständigkeit oder rechtliche Befugnis - soweit diese nicht
außer Zweifel steht - im Hinblick auf den Übermittlungszweck
glaubhaft gemacht hat und
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen
Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
Die Zulässigkeit einer Datenverwendung setzt nach § 7 Abs 3 überdies voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.
Viele Unternehmen übersehen, dass auch innerhalb eines Konzerns Datenübermittlung zwischen Konzerngesellschaften unter diese Bestimmung fallen, da es kein "Konzernprivileg" im Datenschutzrecht gibt und Konzerngesellschaften (etwa die Mutter- und Tochtergesellschaft oder zwei Schwester-GmbH's) datenschutzrechtlich wie "Dritte" zu behandeln sind (und daher uU durch solche Übermittlungen auch DVR-Meldepflichten ausgelöst werden können).
Die oben beschriebenen, in § 7 Abs 1 enthaltenn "schutzwürdigen Geheimhaltungsinteressen" der Betroffenen sind bei Verwendung nicht-sensibler Daten nach § 8 Abs 1 dann nicht verletzt, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung
zur Verwendung der Daten besteht oder
2. der Betroffene der Verwendung seiner Daten zugestimmt hat,
wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit
der weiteren Verwendung der Daten bewirkt, oder
3. lebenswichtige Interessen des Betroffenen die Verwendung
erfordern oder
4. überwiegende berechtigte Interessen des Auftraggebers oder
eines Dritten die Verwendung erfordern. Dies ist etwa der Fall, wenn die Daten zur Vertragserfüllung notwendig sind.
Für sensible Daten enthält § 9 DSG 2000 eine abschließende Aufzählung, wann die schutzwürdigen Geheimhaltungsinteressen nicht verletzt sind.
Artikel über Key Issues im Datenschutzrecht zum Download
[Bearbeiten] Datenschutzgrundsätze
§ 6 DSG 2000 enthält verschiedene Grundsätze, nach denen Datenverarbeitung erfolgen muss, etwa den Grundsatz von Treu und Glauben, das Zweckbindungsprinzip, das Wesentlichkeitsprinzip, das Sachlichkeits- und Aktualitätsprinzip und das Anonymisierungsprinzip.
[Bearbeiten] Weitere materielle Pflichten
Bei jeder Datenanwendung muss ua auch die Einhaltung der Datensicherheitsmaßnahmen (§ 14), des Datengeheimnisses (§ 15) und der Sonderbestimmungen beachtet werden, siehe bei den jeweiligen Überschriften in diesem Beitrag.
[Bearbeiten] Die formellen Pflichten
[Bearbeiten] Meldepflicht beim DVR
Jeder Auftraggeber hat vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission (Einzubringen direkt beim DVR) mittels eines Formulars zu erstatten.
Formulare zum Download auf der Webseite der Datenschutzkommission unter Registrierung - Meldeformulare
Es gibt eine Reihe von Ausnahmen zur Meldepflicht, die wichtiste liegt vor, wenn die Datenanwendung einer Standardanwendung der Standard- und Musterverordnung entspricht.
Die Aufgabe eines Auftraggebers ist somit vor allem, zu prüfen, ob die durchgeführten Datenawendungen im Hinblick auf die Menge der Datenarten und die Empfänger(kreise) der Daten Rahmen der Standardanwendungen bleiben (dann besteht keine Meldepflicht) oder über diese Hinausgehen.
Die Meldungen sind aktuell zu halten. Bei Nichtmeldung oder Nichtaktuellhaltung droht eine Verwaltungsstrafe bis EUR 9.445,-- (§ 52 Abs 2 DSG 2000) und es kann der "Verfall" von Datenträgern und Programmen ausgesprochen werden (d.h. diese dürfen nicht mehr verwendet werden). Der Versuch ist strafbar.
Eine Umfassende Erklärung zu den Meldepflormularen siehe bei Knyrim, Praxishandbuch Datenschutzrecht (Verlag Manz), 25ff.
[Bearbeiten] Vorabkontrollpflichtige Datenanwendungen
Der Vollbetrieb einer meldepflichtigen Datenanwendung darf unmittelbar nach Abgabe der Meldung aufgenommen werden (§ 18 Abs 1).
Meldepflichtige Datenanwendungen, die weder einer Musteranwendung siehe Standard- und Musterverordnung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie
1. sensible Daten enthalten oder
2. strafrechtlich relevante Daten im Sinne des § 8 Abs. 4
enthalten oder
3. die Auskunftserteilung über die Kreditwürdigkeit der
Betroffenen zum Zweck haben oder
4. in Form eines Informationsverbundsystems durchgeführt werden
sollen,
erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission aufgenommen werden.
[Bearbeiten] Genehmigung für internationalen Datenverkehr durch DSK
Die Übermittlung und Überlassung von Daten an Empfänger in Mitgliedstaaten der Europäischen Union ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen (§ 12 Abs 1).
Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz (§ 12 Abs 2). Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird durch Verordnung des Bundeskanzlers festgestellt. Aufgrund einer Datenschutz-Angemessenheits-Verordnung sowie EU-Entscheidungen sind dies Argentinien, Canada, Schweiz, Guernsey, Isle of Man sowie US-Unternehmen, die sich den Bestimmungen der "Safe-Harbor" - Vereinbarung unterworfen haben.
Darüberhinaus ist nach § 12 Abs 3 DSG 2000 der Datenverkehr ins Ausland dann genehmigungsfrei, wenn
1. die Daten im Inland zulässigerweise veröffentlicht wurden oder
2. Daten, die für den Empfänger nur indirekt personenbezogen
sind, übermittelt oder überlassen werden oder
3. die Übermittlung oder Überlassung von Daten ins Ausland in
Rechtsvorschriften vorgesehen ist, die im innerstaatlichen
Recht den Rang eines Gesetzes haben und unmittelbar anwendbar
sind, oder
4. Daten aus Datenanwendungen für private Zwecke (§ 45) oder für
publizistische Tätigkeit (§ 48) übermittelt werden oder
5. der Betroffene ohne jeden Zweifel seine Zustimmung zur
Übermittlung oder Überlassung seiner Daten ins Ausland gegeben
hat oder
6. ein vom Auftraggeber mit dem Betroffenen oder mit einem
Dritten eindeutig im Interesse des Betroffenen abgeschlossener
Vertrag nicht anders als durch Übermittlung der Daten ins
Ausland erfüllt werden kann oder
7. die Übermittlung zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen vor ausländischen Behörden
erforderlich ist und die Daten rechtmäßig ermittelt wurden,
oder
8. die Übermittlung oder Überlassung in einer Standardverordnung
(§ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2)
ausdrücklich angeführt ist oder
9. es sich um Datenverkehr mit österreichischen Dienststellen im
Ausland handelt oder
10. Übermittlungen oder Überlassungen aus Datenanwendungen
erfolgen, die gemäß § 17 Abs. 3 von der Meldepflicht
ausgenommen sind.
Alle anderen Datenübermittlungen oder Datenüberlassungen sind nach § 13 DSG 2000 von der Datenschutzkommission vorher mittels Bescheid zu genehmigen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen.
Die Genehmigung ist, wenn im Empfängerstaat ein generell geltenden angemessenen Datenschutzniveaus fehlt, dann zu genehmigen, wenn für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten Einzelfall angemessener Datenschutz besteht; oder der Auftraggeber glaubhaft macht, daß die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden.
Typischer Weise geschieht dies unter Zuhilfenahme der "Standardvertragsklauseln" der EU, die zwischen Sender und Empfänger der Daten unterzeichnet werden und dann bei der Datenschutzkommission mit dem Genehmigungsantrag mitgesandt werden.
Gerade in internationalen Konzernen ist die Genehmigung der verschiedensten Datenströme aufgrund des Fehlens eines "Konzernprivilegs" zur Zeit- und Kostenintensiven Aufgabe gewachsen, was auf Kritik derselben stößt. Jüngste Entwicklung ist die Einführung sogenannter "Verbindlicher Unternehmensvorschriften" ("Binding Corporate Rules" - BCR's), die ein einheitliches Datenschutzniveau schaffen sollen und dadurch eine Verbesserung bei den Genehmigungsverfahren.
Zum internationalen Datenverkehr siehe ausführlich bei Knyrim, Praxishandbuch Datenschutzrecht, 115ff sowie die downloadbare Checkliste und Fachartikel über Standarvertragsklauseln und internationalen Datenverkehr.
[Bearbeiten] Genehmigung von Informationsverbundssystemen durch DSK
Ein Informationsverbundsystem ist laut § 4 Z 13 DSG 2000 die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, daß jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden. Typischer Fall ist etwa, dass in einem Konzern mehrere Konzerngesellschaften in dieselbe Datenbank (etwa Kunden-, CRM-, Mitarbeiterdatenbank) hineinarbeiten.
Für ein Informationsverbundsystem ist nach § 50 DSG 2000 ein Betreiber zu bestellen.
Informationsverbundsysteme sind nach § 17 Abs 2 Z 4 DSG 2000 vom DVR vorab zu genehmigen.
[Bearbeiten] Schriftlicher Dienstleistervertrag beim Outsourcing
§ 11 Abs 2 DSG 2000 bestimmt, dass Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der Dienstleisterpflichten zum Zweck der Beweissicherung schriftlich festzuhalten sind.
Diese Pflicht wird häufig übersehen, auch lange Outsourcing- Verträge oder Service-Level-Agreements enthalten oft keinerlei Bestimmungen zum Datenschutzrecht.
Die Datenschutzkommission stellt auf ihrer Webseite einen Mustervertrag zum Download zur Verfügung.
[Bearbeiten] Verpflichtung zum Datengeheimnis
Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Siehe dazu oben zum Datengeheimnis.
Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum Auftraggeber oder Dienstleister einhalten werden (§ 15 Abs 2).
Die vertragliche Verpflichtung kann etwa im Dienstvertrag, aber auch in einem gesonderten Dokument, etwa einer Geheimhaltungserklärung oder einer vom Mitarbeiter zu unterschreibenden "Privacy Policy" erfolgen.
[Bearbeiten] Die einzelnen Rechte
[Bearbeiten] Recht auf Geheimhaltung
Ergibt sich aus dem Grundrecht in § 1 DSG 2000.
[Bearbeiten] Recht auf Auskunft
Laut § 26 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben.
Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen.
Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind.
Das Unternehmen hat einem Auskunftsbegehren innerhalb von acht Wochen nachzukommen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.
Hier kann man ein Muster der Arbeiterkammer herunterladen.
Bei Nichterledigung oder nicht vollständiger/ordentlicher Erledigung seines Auskunftsbegehrens kann sich der Betroffene bei der Datenschutzkommission beschweren. Die Beschwerde ist "formlos" etwa schriftlich oder per E-Mail an die DSK möglich. Kontaktdaten DSK. Statistiken über das Ansteigen von Beschwerden bei der Datenschutzkommission im Datenschutzbericht 2005 der Datenschutzkommission.
[Bearbeiten] Recht auf Richtigstellung oder Löschung
Laut § 27 muss jeder Auftraggeber Daten korrigieren oder löschen wenn:
- ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
- auf begründeten Antrag des Betroffenen
Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.
[Bearbeiten] Sonderbestimmungen
[Bearbeiten] Verwendung im familiären Rahmen
Nach § 45 DSG 2000 dürfen natürlichen Personen Daten für ausschließich persönliche oder familiäre Tätigkeiten verarbeiten, wenn sie ihnen vom Betroffenen selbst mitgeteilt wurden oder ihnen sonst rechtmäßigerweise, insbesonder in Übereinstimmung mit § 7 Abs 2 zugekommen sind. Für andere Zwecke dürfen solche Daten nur mit Zustimmung des Betroffenen übermittelt werden.
OGH-Entscheidung zur Verwendung "eigener Daten" zum Download
[Bearbeiten] Statistische Datenerhebungen
§ 46 DSG 2000 enthält Sonderbestimmungen für wissenschaftliche Forschung und Statistik.
[Bearbeiten] Adressverzeichnisse
Sonderbestimmungen für Adressverlage in § 151 GewO.
[Bearbeiten] Kein Datenschutzbeauftragter in Österreich
Dass österreichische Datenschutzgesetz sieht im Gegensatz zum deutschen Datenschutzrecht keinen betrieblichen Datenschutzbeauftragten vor. Die EU-Datenschutzrichtlinie 95/46/EG enthält in Art. 18 Abs. 2 mehrere unterschiedliche Möglichkeiten für die Mitgliedsstaaten, die Meldepflicht zu vereinfachen. Der Datenschutzbeauftragte ist eine Option, die in Österreich nicht eingesetzt wurde.
Artikel mit kritischer Anmerkung zum Thema Datenschutzbeauftragter zum Download
Auch wenn es keine Verpflichtung zur Einsetzung eines betrieblichen Datenschutzbeauftragen gibt, ist es vor allem in größeren Unternehmen durchaus üblich - und sinnvoll - eine bestimmte Person mit Agenden des Datenschutzrechts zu befassen, um etwa die Einhaltung formaler Pflichten wie Melde- und Genehmigungspflichten, die Abarbeitung von Auskunftsanfragen nach § 26 sicherzustellen und eine "Schnittstelle" zum Betriebsrat in Fragen der Personaldatenverarbeitung zu haben.
[Bearbeiten] Arbeitnehmerdatenschutz
§§ 96 und 96a ArbVG enthalten Bestimmungen ua über Personaldatensysteme, Personalbeurteilungssysteme, Personalüberwachungssysteme. Derartige Systeme können betriebsratspflichtig sein.
Ein typischer Fall für eine Betriebsratspflicht ist die betriebliche Videoüberwachung von Mitarbeitern, die überdies beim DVR vorab zugenehmigen ist, wenn die Videobilder digital gespeichert werden.
Ein anderer Fall, in dem sowohl Betriebsratspflicht als auch Melde- und Genehmigungspflichten bei DVR und DSK ausgelöst werden können, ist die Einführung von Whistleblowing-Systemen.
Ausführlicher Fachartikel zum Thema Whistleblowing zum Download
[Bearbeiten] Schadenersatz und Strafen
[Bearbeiten] Schadenersatz
Schadenersatz ist nach § 33 DSG 2000 auf dem Zivilrechtsweg einzuklagen. OGH-Entscheidung zu § 33 zum Download
[Bearbeiten] Strafgerichtliche Strafbestimmungen
- § 51 DSG 2000: Datenverwendung in Gewinn- und Schädigungsabsicht: Bis 1 Jahr Freiheitsstrafe!
- Straftatbestände des "Computerstrafrechts" im StGB, zB § 126a StGB Datenbeschädigung bis 5 Jahren Freiheitsstrafe!
[Bearbeiten] Verwaltungsstrafbestimmungen
- bis EUR 18.890 Geldstrafe für vorsätzlichen oder widerrechtlichen Zugang zu einer Datenanwendung, vorsätzliche Verletzung des Datengeheimnisses oder wenn entgegen einem rechtskräftigem Urteil oder Bescheid Daten verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder wenn Daten vorsätzlich entgegen § 26 Abs 7 DSG 2000 gelöscht werden.
- bis EUR 9.445 Geldstrafe für Nichterfüllung der Meldepflicht, Datenübermittlung ins Ausland ohne Genehmigung der Datenschutzkommission, Verletzung von Offenlegungs- oder Informationspflichten, gröbliches Außerachtlassen von Sicherheitsmaßnahmen.
Der Versuch ist strafbar. In allen Fällen kann der "Verfall" von Datenträgern und Programmen ausgesprochen werden (d.h. diese dürfen nicht mehr verwendet werden).
Zuständig für die Entscheidung ist die Bezirksverwaltungsbehörde.
[Bearbeiten] Literatur
- Dohr, Pollirer, Weiss: DSG, Kommentar. Loseblattsammlung (Verlag Manz, Wien)
- Knyrim: Praxishandbuch Datenschutzrecht, Leitfaden für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen, Outsourcen, Werben uvm.. Verlag Manz, Wien, 1. Auflage 2003
[Bearbeiten] Siehe auch
- Bundesdatenschutzgesetz (Deutschland)
- Bundesgesetz über den Datenschutz (Schweiz)
[Bearbeiten] Weblinks
- Text des Bundesgesetzes über den Schutz personenbezogener Daten
- Literatur zum österreichischen Datenschutzrecht
 |
Bitte beachten Sie den Hinweis zu Rechtsthemen! |
