Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 2007

Ausgabe Nr. 51 Februar 2007
Ausgabe Nr. 52/53 September 2007
Andere Jahrgänge

DSG-Info-Service Nr. 51
Februar 2007

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Der Europarat hat mit Unterstützung der Europäischen Union den 28. Jänner zum "Tag des Datenschutzes" erklärt, um das Bewusstsein der europäischen Bürger zum Datenschutz zu stärken. Dieses Datum wurde deshalb gewählt, weil am 28. Jänner 1981 die Datenschutzkonvention des Europarates beschlossen wurde.

In der vorliegenden Ausgabe unseres DSG-Info-Service geben wir einen Überblick über die Aktivitäten, die aus Anlass des Datenschutztages zu beobachten waren. Weiters analysieren wir das Regierungsprogramm und stellen dort vorgefundene Datenschutz-relevante Aussagen vor.

28. Jänner - Tag des Datenschutzes

Aktivität der DSK

Auf der Internetseite der DSK unter der Adresse http://www.dsk.gv.at/ findet man einen kurzen Hinweis auf den Tag des Datenschutzes, weiters kann man einen Folder zum Tag des Datenschutzes herunterladen, der in Papierform u.a. auch beim DVR erhältlich ist.

Dieser Folder gibt mit den Abschnitten

  • Datenschutz in Österreich
  • Die Datenschutzkommission
  • Ihre Rechte
  • Wo Sie zu Ihrem Recht kommen
  • Wie Sie zu Ihrem Recht kommen
  • Anmerkungen zu Direktmarketing, Gesetzgebung/Gerichtsbarkeit sowie Videoüberwachung
  • Kontaktinformationen

einen knappen Überblick über den Datenschutz in Österreich und ist als gelungen zu bezeichnen.

Aktivitäten anderer Länder

Über einen Link, den die DSK zum Europarat eingerichtet hat, kann man die Aktivitäten anderer Länder - auch solcher, die nicht der EU angehören - nachlesen.

  • Albanien hat eine Informationsveranstaltung zur Datenschutz-Sensibilisierung gemeldet.
  • Belgien hat den Online-Zugriff auf das Register angekündigt.
  • Deutschland hat in verschiedenen Ländern unterschiedliche Aktivitäten, darunter ein Datenschutz-Spiel, angekündigt.
  • Estland hat eine Konferenz "Protection of personal Data and E-society" angekündigt.
  • Frankreich hat eine Informations-Website angekündigt.
  • Griechenland hat eine Pressekonferenz sowie Seminare in vielen Schulen angekündigt.
  • Irland will vor allem junge Leute zwischen 12 und 18 ansprechen.
  • Island feiert das 25-jährige Bestehen des nationalen Datenschutzgesetzes und will die lokale Presse für Datenschutzthemen interessieren.
  • Italien will mit Erinnerungsstücken wie T-Shirts auf Datenschutzthemen hinweisen.
  • Kroatien hat eine Podiumsdiskussion in Fernsehen und Radio angekündigt.
  • Lettland will mit einer Pressekonferenz auf neue Lehrpläne mit Datenschutzschwerpunkten hinweisen.
  • Litauen hat eine Pressekonferenz, Medienarbeit sowie einen Tag der Offenen Tür angekündigt.
  • Luxemburg hat eine Website angekündigt.
  • Malta hat Unterrichtsmaterial und Fernsehsendungen für Schüler angekündigt.
  • Mazedonien hat einen Tag der Offenen Tür bei der Datenschutzbehörde angekündigt.
  • Monaco hat ein Pressefrühstück angekündigt.
  • Niederlande hat eine neue Website der Datenschutzbehörde fertiggestellt und setzt einen weiteren Schwerpunkt auf Kinderfernsehprogramme.
  • Polen hat eine große Konferenz mit Mitgliedern des Parlaments und der Universitäten angekündigt.
  • Portugal informiert alle Schüler zwischen 10 und 15 und hat einen jährlich zu vergebenden Preis für Datenschutz-Abhandlungen geschaffen.
  • Rumänien hat Fernseh- und Radiosendungen sowie Zeitungsartikel angekündigt.
  • Schweiz hat eine Diskussion mit Wirtschaftsexperten, Medienexperten und Datenschutzexperten angekündigt.
  • Slowakei hat eine hervorragend besetzte Diskussionsrunde in einer beliebten Fernsehsendung angekündigt.
  • Slowenien will in einer Diskussion an der juristischen Fakultät der Uni Laibach die Grenzen zwischen privat und öffentlich sowie zwischen Datenschutz und Terrorabwehr ausloten.
  • Spanien hat einen Tag der Offenen Tür bei der Datenschutzbehörde angekündigt.
  • Tschechien hat eine viermonatige Kampagne über Schulen und Medien angekündigt.
  • Ungarn hat einen Tag der Offenen Tür beim Parlamentskommissar für Datenschutz sowie zahlreiche Schulveranstaltungen angekündigt.

Dieser Auszug aus den Aktivitäten zeigt ein buntes Bild, und es ist zu hoffen, dass Österreich einige Ideen aus anderen Ländern übernimmt, etwa um den Datenschutz besser an den Schulen zu platzieren.

Datenschutzpolitik in Österreich

In der Regierungserklärung, wie sie im Nationalrat vorgetragen wurde, findet sich kein Datenschutzthema.

Im ausführlichen Regierungsprogramm, das schriftlich auf der Website des Bundeskanzleramtes vorliegt, findet sich ein einziges primäres Datenschutzthema: die Videoüberwachung. Wir erlauben uns, die betreffende Passage ungekürzt zu zitieren:

In gewissen Bereichen, wie Überwachung von Plätzen und Kriminalitäts-Hot-Spots hat sich die bereits im Sicherheitspolizeigesetz geregelte Videoüberwachung als sinnvoll erwiesen. Neben diesen sinnvollen gesetzlichen Regelungen werden taugliche Rechtsgrundlagen für Videoüberwachung durch Private im öffentlichen Raum geschaffen, damit sowohl dem Rechtsstaat wie auch dem Grundrecht auf Datenschutz und Privatsphäre entsprochen wird und diese Materialien für die Verfolgung von Straftaten verwendet werden können. Dies auch im Hinblick auf bereits bestehende Kooperationen, z.B. mit öffentlichen Transportunternehmen wie den ÖBB oder den Wiener Linien.

Dazu ist anzumerken, dass bisher tatsächlich das Fehlen einer brauchbaren Rechtsgrundlage Haupthindernis dafür war, dass eine Videoüberwachungsanlage erfolgreich beim DVR gemeldet werden konnte.

Sehr wohl werden Datenschutzthemen auch an anderer Stelle im Regierungsprogramm erwähnt, aber nicht näher erläutert:

Datenaustausch bei Migration bzw. Rücküberführung (Seite 7).

One Stop Shop für Sozialhilfe (Seite 34; in Anbetracht des Naheverhältnisses zu sensiblen medizinischen Daten mit besonderer Sorgfalt zu prüfen):

Gemeinsame Anlaufstelle für alle Angelegenheiten der Sozialhilfe und des Arbeitsmarktes: Im Sinne der rascheren Abwicklung und der Vereinfachung für die KundInnen sollen die Leistungen der Sozialhilfe, der Arbeitslosenunterstützung, der Notstandshilfe etc. organisatorisch auf eine einzige Stelle ("One Stop Shop") mit einem einheitlichen Außenauftritt konzentriert werden. ... Voraussetzung ist, dass jene Behörden, die den One Stop Shop führen, über einen umfassenden Datenzugriff, insbesondere auf Daten der Finanzverwaltung bzw. der Sozialversicherungsträger (Krankenfürsorgeanstalten), verfügen. ...

Datenaustausch im Sozialbereich zur Koordination von Leistungen (Seite 111).

Ausweitung der e-card (Seite 116):

Ausbau der integrierten Versorgung: ... Unterstützung integrierter Versorgungsformen durch ausgeweitete Anwendungen der e-card und der "Elektronischen Gesundheitsakte" unter Wahrung der PatientInnenrechte und des Datenschutzes. ...

e-Medikation (Seite 118):

Medikamente: ... Die e-Medikation Datenbank (Arzneimittelsicherheitsgurt) und das e-Rezept werden für verschreibende und abgebende Stellen flächen-deckend eingeführt. ...

Anmerkung: Damit ist folgende Dienstleistung der Apotheken gemeint: Ihre Apotheke legt für Sie eine persönliche Datenbank im Computer an. Darin werden alle Ihre Medikamente erfasst - auch solche, die von verschiedenen Ärzten verschrieben wurden, und solche, die Sie rezeptfrei selbst kaufen. Die Apotheke hat dann sämtliche Informationen betreffend Ihre Medikamente "per Knopfdruck" griffbereit. Auf Wunsch erhalten Sie einen genauen Einnahmeplan mit Anweisungen zur richtigen Anwendung. Das ist besonders für ältere oder pflegebedürftige Menschen eine wertvolle Hilfe. Auch etwaige Wechselwirkungen, d.h. Unverträglichkeiten verschiedener Arzneimittel untereinander, werden damit sichergestellt und können besprochen werden. Wenn gewünscht, werden Sie von Ihrer Apotheke auch an die termingerechte Weiterverschreibung Ihrer Medikamente erinnert.

Konsumentenrechte (Seite 148):

Zivilrecht: ... Die digitalen Rechte der Konsumenten sind unbeschadet der weiteren Verantwortlichkeit für Rechtsverletzungen entsprechend den techno-logischen Weiterentwicklungen unserer Zeit umzusetzen und der Datenschutz im gegebenen Zusammenhang zu verbessern. ...

DSG-Info-Service Jahrgang 2007

Ausgabe Nr. 51 Februar 2007
Ausgabe Nr. 52/53 September 2007
Andere Jahrgänge

DSG-Info-Service Nr. 52/53
September 2007

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Im DSG-Info-Service vom September 2006 haben wir eine Reihe von notwendigen Änderungen im Datenschutzbereich aufgezählt und den Datenschutzbericht 2005 vorgestellt.

Der damals von der DSK als dringlich angemerkte Änderungsbedarf wurde bis heute nicht in Angriff genommen. Neu ist lediglich der Datenschutzbericht, den die DSK vor kurzem veröffentlicht hat und den wir zum Gegenstand der vorliegenden Ausgabe unseres DSG-Info-Service machen. Wir haben nur einen knappen Überblick über die angerissenen Themen geplant, denn bei Interesse hat der Leser Zugriff auf den Volltext des Berichts, trotzdem ist auch heuer wieder eine Doppelnummer entstanden.

Als positiv ist anzumerken, dass der Datenschutzbericht innerhalb von drei Monaten nach dem Abschluss-Stichtag bereits vorliegt.

Datenschutzbericht 2005-2007

vorgelegt von der Datenschutzkommission
Berichtszeitraum 1. Juli 2005 bis 30. Juni 2007

Im Volltext nachzulesen unter http://www.dsk.gv.at/Datenschutzbericht2007.pdf 

Abschnitte 1 bis 3: Personelle und organisatorische Fragen

Personelles

In den Abschnitten 1 bis 3 des Berichts werden die Mitarbeiter der Kommission sowie deren Organe und der Personalbedarf beschrieben. Die DSK wird durch eine Geschäftsstelle mit zwei Referaten - einerseits das Büro der DSK, andererseits das Datenverarbeitungsregister (DSK) - unterstützt. Organisatorisch ist die Geschäftsstelle als Abteilung im Verfassungsdienst des Bundeskanzleramtes eingerichtet, wobei dem Bundeskanzleramt zwar die Dienstaufsicht, nicht hingegen eine Weisungsbefugnis zusteht. Zum Nachweis einer krassen personellen Unterbesetzung wird unter anderem im Vergleich mit den Datenschutzbehörden anderer europäischer Länder die Schlussfolgerung gezogen, der Geschäftsstelle der DSK müssten 40 Mitarbeiter zur Verfügung stehen (heutiger Stand: 20 Mitarbeiter).

Die Kommission setzt sich aus folgenden Personen zusammen:

Mitglieder:

Dr. Anton SPENLING, Vorsitzender (richterliches Mitglied)
Dr. Waltraut KOTSCHY (geschäftsführendes Mitglied)
Dr. Ludwig STAUDIGL
Mag. Helmut HUTTERER
Mag. Daniela ZIMMER
Dr. Claudia ROSENMAYR-KLEMENZ

Ersatzmitglieder:

Dr. Gerhard KURAS, stv. Vorsitzender (richterliches Ersatzmitglied)
Dr. Eva SOUHRADA-KIRCHMAYER (stv. geschäftsführendes Mitglied)
Dr. Klaus HEISSENBERGER
Dr. Michaela BLAHA
Mag. Joachim PREISS (bis 31. Jänner 2007)
Mag. Gerda HEILEGGER (seit 4. Mai 2007)
Mag. Huberta MAITZ-STRASSNIG

Die Geschäftsstelle der DSK in der Hofburg umfasst 8,5 Planstellen und die Geschäftsstelle am Sitz des DVR umfasst 11,65 Planstellen.

Eine interessante Aussage ist in nachstehendem Absatz über die Geschäftsstelle in der Hofburg zu lesen:

Weiters besorgt eine halbe A/a Planstelle seit 1. Juli 2006 eigentliche DVR-Aufgaben, da es sich als rationeller erwiesen hat, die Genehmigungsverfahren im internationalen Datenverkehr nach dem "onestop-shop"-Prinzip zu führen, d.h. gemeinsam mit dem diesbezüglichen Registrierungsverfahren.

Dies ist vorbehaltlos zu bejahen, da bei genehmigungspflichtigen Datenanwendungen der Genehmigungsbescheid Voraussetzung für die Registrierung ist und umgekehrt die eingereichte Registrierung Voraussetzung für eine Behandlung des Genehmigungsantrags durch die DSK ist, was in der Praxis zu Problemen geführt hat.

Unserer Meinung nach sollte das onestop-shop-Prinzip durch eine Aktualisierung der DVRV legalisiert werden.

Abschnitt 4: Geschäftsgang der DSK

Individualbeschwerden

Im Berichtszeitraum wurden 242 Individualbeschwerden erledigt, davon 45 mit formloser Erledigung, 41 mit Zurückweisung, 54 mit zumindest teilweise erfolgreicher (aus Sicht des Beschwerdeführers) Erledigung. 102 Fälle waren erfolglos.

Die durchschnittliche Erledigungsdauer der Beschwerden lag zwischen 5 und 7 Monaten, im ersten Halbjahr 2007 bei 6 Monaten. Schwerpunkte der Beschwerden waren die Verwendung von Bonitätsdaten bei Inkassobüros oder Kreditauskunfteien sowie die Datenverwendung bei kriminalpolizeilichen Ermittlungen.

Internationaler Datenverkehr

Es wurden 72 Genehmigungen nach § 13 DSG 2000 (internationaler Datenverkehr) erledigt. In welchem Ausmaß Genehmigungen erteilt oder abgelehnt wurden, ist leider nicht dokumentiert.

In diesem Zusammenhang erläutert die DSK, dass besonders in jenen Fällen, wo österreichische Töchter eines internationalen Konzern mit Sitz in Übersee, wo das Verständnis für Datenschutz europäischer Prägung gering ist, erheblichen Klärungsbedarf verursachen.

Entscheidungen im Registrierungsverfahren

Die Zahl der Entscheidungen der DSK im Registrierungsverfahren betrug 79 Fälle. Es wird darauf verwiesen, dass die DSK ja nur in seltenen Fällen zur Entscheidung gezwungen ist, im Regelfall erledigt das DVR die Registrierungen selbständig.

Die Notwendigkeit von bescheidmäßigen Erledigungen gab es vor allem im Zusammenhang mit Videoüberwachungen. Auf dieses Thema wird weiter unten nochmals eingegangen.

Sonstige Geschäftsfälle

Es wurden 287 Ombudsmannverfahren erledigt. Dazu wird angemerkt, dass die Formfreiheit dieses Verfahrens eine besonders rasche Erledigung von Anliegen der Bürger ermöglicht, und obwohl hier keine unmittelbar durchsetzbaren Entscheidungen fallen, wird in fast allen Fällen ein zufriedenstellendes Ergebnis für den Beschwerdeführer erzielt. Daher wird für eine allfällige Novellierung des DSG angeregt, das Ombudsmann-Verfahren zwingend vor einer Auskunftsbeschwerde nach § 31 DSG vorzuschalten, wodurch sich die Erledigungsdauer insgesamt mit Sicherheit senken ließe.

Es wurden 613 Rechtsauskünfte vom Büro der DSK erteilt, Auskünfte durch das DVR im Zusammenhang mit dem Registrierungsverfahren nicht mitgezählt.

Es wurden 12 Genehmigungen nach §§ 46 und 47 DSG 2000 (Forschung und Statistik bzw. spezielle Weiterverwendungsarten von Adressdaten) erledigt. In welchem Ausmaß Genehmigungen erteilt oder abgelehnt wurden, ist leider nicht dokumentiert.

Weiters waren 35 Beschwerden vor dem Verwaltungs- oder Verfassungsgericht zu bearbeiten und wurden 72 Fälle mit Auskunftsansuchen an das Schengen-Informationssystem abgewickelt.

Abschnitt 5: Kritische Anmerkungen zur Organisationsstruktur

Es werden nachstehende kritische Anmerkungen zur Personal- und Organisationsstruktur gemacht: Das Beschwerdeverfahren und die Beratungstätigkeit in Datenschutzangelegenheiten sind mit dem derzeitigen Personalstand zu bewältigen. An den Aktivitäten der Art. 29 Gruppe kann nur oberflächlich teilgenommen werden. Die Prüfung von Datenanwendungen als Kontroll-Instanz wird in schwerwiegendem Maße vernachlässigt.

Besonders auffällig ist, dass sich die DSK weitgehend vom Gesetzesbegutachtungsverfahren ausgeschlossen sieht, während sogar die (ausdrücklich erwähnte) ARGE Daten in diese Verfahren regelmäßig eingebunden wird.

Die Aufteilung der Dienststellen an zwei Standorte verhindert Synergieeffekte und eine fachliche Kommunikation.

Reform-Modell Staatsreform

In Abschnitt 5.3.2 wird breiter Raum den Vorstellungen einer neuen Bundesverfassung gewidmet, nach denen die DSK aufzulösen und ihre Agenden auf die neu zu schaffenden Verwaltungsgerichte zu übertragen ist. Diese (naturgemäß ablehnenden) Aussagen sind zwar von politischem Interesse, für die praktische Arbeit unseres Kundenkreises sind sie im Moment noch ohne Auswirkungen, sodass im Rahmen unseres DSG-Info-Service nicht näher darauf eingegangen wird.

Abschnitt 6: Interessante Detailaussagen

Einzelne interessante Verfahrensergebnisse werden besonders hervorgehoben. Die Entscheidungen sind darüber hinaus auch im RIS nachzulesen.

Abgrenzung Auftraggeber/Dienstleister

Ein Inkassounternehmen ist deswegen selbst Auftraggeber und daher auskunftspflichtig, weil es die Daten jedes Inkassofalles unter Berufung auf abgabenrechtliche Buchführungspflichten über den Abschluss hinaus mehrere Jahre aufbewahrt.
Anmerkung: über die Rechtmäßigkeit dieser Datenanwendung war nicht zu entscheiden.

Keine Auskunft über Mitarbeiter

Wenn Auskunft über die "verfügbaren Informationen über die Herkunft der Daten" erteilt wird, so ist die Benennung einzelner Mitarbeiter darin nicht inkludiert, da der Auskunftswerber daraus keinen Vorteil für die Rechtsverfolgung gewinnen kann. Sollte allerdings der Auskunftswerber ein besonderes Interesse an dieser Personenauskunft belegen können (zB wenn der Verdacht besteht, dass ein Mitarbeiter persönliche Interessen verfolgt), ist diese Frage anders zu beurteilen.

Internet-Logdaten,
sequentielle Datenbestände

Logfiles von Internetverbindungen sind dann personenbezogene Daten, wenn feststellbar ist, von welcher Person die Zugriffe gemacht wurden, etwa durch Abgleich mit der Log-in-Informationen. Es handelt sich dabei nicht um Protokolldaten im Sinne von § 14 DSG 2000, da sie keine Kontrolle über die Zulässigkeit des Zugriffs auf Datenanwendungen ermöglichen. Diese Logdaten unterliegen daher grundsätzlich der Auskunftspflicht. Sollte der Suchaufwand in sequentiellen Logdaten unverhältnismäßig sein, könnte der Auftraggeber die Auskunft gem. § 26 Abs. 2 DSG 2000 verweigern. Der Auftraggeber ist also nur insoweit verpflichtet, über sequentielle Datenbestände Auskunft zu erteilen, als der dafür erforderliche Aufwand im Rahmen jenes Aufwandes liegt, den der Auftraggeber für Suchen für eigene Zwecke (zB zum Nachweis einer unzulässigen Internetnutzung) in Kauf nehmen würde.

Hingegen wurde eine Auskunftspflicht über den eigenen E-Mail-Account eines Mitarbeiters verneint, da der Mitarbeiter hinsichtlich seiner eigenen E-Mails einen auftraggeberähnlichen Status besitzt und er ohnehin seine eigenen Maildaten abfragen kann. Dies gilt allerdings nicht für Aufzeichnungen darüber, wer auf die Postfächer des Mitarbeiters zugegriffen hat.

Gesetzgebung

Grundsätzlich werden alle Verhandlungsdokumente von National- und Bundesrat auf der Homepage des Parlaments veröffentlicht. Nun hat sich eine in einem derartigen Dokument namentlich genannte Person mit einer Beschwerde an die DSK gewandt. Die DSK musste ihre Unzuständigkeit erklären, da das Dokument dem Bereich "Gesetzgebung" zuzuordnen ist.

Die Parlamentsdirektion hat die Löschung der Anfrage zunächst abgelehnt, mittlerweile aber eine Anonymisierung vorgenommen.

Die DSK regt nun an, in Analogie zum justizinternen Rechtsschutzverfahren gem. §§ 83 ff GOG idF BGBl I 2004/128 auch ein Rechtsschutzverfahren für die Staatsgewalt "Gesetzgebung" einzuführen.

Verwendung der SV-Nummer

In vier Fällen wurde gegen die Verwendung der SV-Nummer von Schülern für Zwecke von Schülerevidenzen protestiert, die im Bildungsdokumentationsgesetz bzw. der zugehörigen Verordnung geregelt sind. Davon wurden drei Beschwerden abgewiesen, da der Zweck der Verarbeitung im BildDokG ausreichend festgelegt ist und somit dem Grundsatz der Zweckbegrenzung nach Art. 6(1)b der DS-RL entspricht. (Der vierte Fall hatte nur deshalb Erfolg, weil die betreffende Schule überhaupt nicht reagiert hatte.)

Hingegen wurde es als unzulässig erachtet, dass Lehrer für Zwecke der elektronischen Anmeldung zu Fortbildungsveranstaltungen an einem Pädagogischen Institut ihre Sozialversicherungsnummer angeben müssen, obwohl der Landesschulrat - als Betreiber des PI - die SV-Nummern ohnehin kennt.

Dazu wird weiters angemerkt, dass diese Verwendung der SV-Nummer ohnehin nicht mehr zeitgemäß ist, da im Rahmen des E-Governmentgesetzes datenschutzrechtskonforme Identifikationsroutinen verfügbar sind.

Beschränkung der Auskunftspflicht

In Fällen des § 26 Abs. 2 und 5 DSG 2000 ist eine Beschränkung der Auskunftspflicht vorgesehen, sodass in diesem Bereich Auskünfte in der Regel mit dem Zusatz "Im übrigen werden keine der Auskunftspflicht unterliegenden Daten verarbeitet" abschließt.

Wird dies vom Auskunftswerber bestritten, so sind der DSK sämtliche Daten offenzulegen, und es obliegt dann der DSK die Beurteilung, ob die vollständige inhaltliche Auskunft anzuordnen oder zu verweigern ist.

Bonitätsdaten

Zahlreiche Eingaben betrafen die Verwendung von Bonitätsdaten. In vielen Fällen wurde zurecht Beschwerde erhoben, etwa wenn begründete Bestreitungen oder sogar gerichtliche Feststellungen, dass eine Forderung nicht bestehe, nicht vermerkt wurden.

Da häufig trotz bestehender Ratenvereinbarungen Inkassofälle mit voller Höhe an Kreditauskunfteien weitergemeldet wurden, fordert die DSK Inkassobüros auf, unbezahlte Forderungen nur in tatsächlich offener Höhe an eine Kreditauskunftei weiterzugeben. Darüber hinaus regt die DSK an, dass - in analoger Weise zu § 151 GewO für die Adressverlage - genaue Regelungen über die Zulässigkeit der Ermittlung von Bonitätsdaten, deren Quellen und Aufbewahrungsfristen sowie deren Qualitätssicherung in die §§ 118 und 152 GewO eingearbeitet werden sollten, da derzeit größte Rechtsunsicherheit besteht.

Lohnzettel auf Kontoauszügen

Eine Pensionsversicherungsanstalt hat Überweisungen derart vorgenommen, dass auf den Bank-Kontoauszügen Daten wie "Befreit von Rezeptgebühren" und "Gilt als Pensionistenausweis" aufscheinen, und begründet das mit ihrer Verpflichtung, Lohnzettel auszustellen. Dies ist unzulässig, und innerhalb einer Frist von 6 Monaten sind nun die Funktionen "Lohnzettel" und "Pensionistenausweis" zu trennen, sodass keine Daten an die Banken übermittelt werden, die über die Angaben der Pensionsauszahlung hinausreichen.

Dynamisch vergebene IP-Adressen

Im Zusammenhang mit Urheberrechtsfragen wurden durch eine Musikverwertungsgesellschaft IP-Adressen von Nutzern von Filesharing-Plattformen ermittelt und ein gerichtlicher Beschluss auf die Bekanntgabe der Stammdaten jener Nutzer erwirkt, denen die ermittelten IP-Adressen zum fraglichen Zeitpunkt zugeordnet war.

Im Falle von dynamisch vergebenen IP-Adressen kann der Internetprovider diesen Auftrag nur dann erteilen, wenn er Protokolle über den Verbindungsaufbau in das Internet auswertet, da mehrere Benutzer hintereinander ein- und dieselbe IP-Adresse zugeordnet erhalten.

Dazu stellt die DSK fest, dass lt. § 99 TKG 2003 Verkehrsdaten - außer in besonders gesetzlich geregelten Fällen - nach Abschluss der technischen und organisatorischen Abwicklung einer Verbindung im Netz zu löschen oder zu anonymisieren sind. Für Verrechnungszwecke ist die vergebene dynamische IP-Adresse nicht erforderlich, daher ist eine Speicherung gem. § 99 Abs. 2 TKG 2003 nicht zulässig. Statische IP-Adressen hingegen können gleichzeitig auch Stammdaten sein.

Anmerkung: Die daraus resultierende Ungleichbehandlung von Nutzern statischer und dynamischer IP-Adressen wird wohl im Zusammenhang mit der geplanten "Vorratsdatenspeicherung" wieder bereinigt werden.

Abschnitt 7: Internationale Zusammenarbeit

Zur Zusammenarbeit mit anderen Datenschutzkontrollstellen werden folgende Themenkomplexe angesprochen; eine nähere Erörterung dieser Themen würde leider den Umfang unseres DSG-Info-Service erheblich sprengen.

  • Flugpassagierdaten und "No fly"-Listen
  • SWIFT-Spiegelung in den USA
  • Elektronischer Gesundheitsakt
  • Binding Corporate Rules (Anmerkung: hier sind nach wie vor keine in der Praxis tauglichen Hilfsmittel verfügbar)
  • RFID
  • Datenschutz und Internet
  • Terrorbekämpfung
  • Europol
  • Schengen
  • Zollinformationssystem
  • Polizeizusammenarbeit
  • Eurodac

Abschnitt 8: Datenverarbeitungsregister

Statistik

Im Berichtszeitraum wurden 3.377 DVR-Nummern neu vergeben, 7.277 Datenanwendungen gemeldet, 4.424 Datenanwendungen tatsächlich registriert. Es wurden 2.271 Verbesserungsaufträge erteilt und 2.016 Registrierungsnachweise versandt. Darüber hinaus wurden 3.800 sonstige Anliegen (E-Mail-Beanwortungen, Registerauskünfte, Fristverlängerungen u.dgl.) gezählt.

Richtigstellungen

Richtigstellungen des Register gem. § 22 DSG 2000 wurden mangels freier Ressourcen weitgehend vernachlässigt.

Ausfüllmuster

Wie schon im vergangenen Bericht werden Ausfüllmuster für bestimmte Gruppen von Auftraggebern angekündigt und die Interessensvertreter animiert, daran mitzuarbeiten. Ausfüllmuster erweisen sich als flexibler als Musteranwendungen, die durch Verordnung erlassen werden müssen.

Informationsverbundsysteme

Im Berichtszeitraum wurden neue Verbund-systeme gemeldet:

  • Führerscheinregister (inkl. Fahrschulen, Fahrprüfungen, Sachverständigenwesen, Untersuchungsstellen)
  • Österreichisches Zentrales Vertretungsregister (ÖZVV)
  • Patientenverfügungsregister des österreichischen Notariats
  • Div. landesgesetzliche Verbundsysteme, zB in den Bereichen Jugendwohlfahrt oder Sozialhilfewesen (für Bezirksverwaltungsbehörden oder die Ämter der Landesregierungen)

Anhang: Videoüberwachung, Fragen und Leitlinien

Aus dem Anhang, der allein schon 5 Seiten umfasst, werden lediglich ein paar interessante Aussagen aufgegriffen, die den privaten Videoeinsatz betreffen:

Bilddaten sind dann personenbezogene Daten, wenn die Kameraeinstellung grundsätzlich erlaubt, die aufgenommenen Personen zu erkennen. Digitale Bildaufzeichnungen sind jedenfalls meldepflichtig; analoge Aufzeichnungen nur dann, wenn sie als "Datei" organisiert sind.

Eine Überwachung zum Zweck der Verhinderung und Verfolgung von strafbarem Verhalten unterliegt der Vorabkontrolle und kann nicht als Anwendung für rein private oder familiäre Tätigkeiten gewertet werden; eine Babyphon-Anwendung hingegen ist als privat anzusehen, und falls sich darauf zu-fällig strafrelevante Sachverhalte finden, könnten diese "voraussichtlich nach § 54 Abs 2 DSG 2000 als Beweismaterial herangezogen werden". Anmerkung: diese Ausführung halten wir für extrem schwammig.

Es ist eine Interessensabwägung anhand des berechtigten Zwecks (zB Schutz des Eigentums gegen Vandalismus oder Diebstahl, Schutz der Mitarbeiter gegen Gefahren, die von Menschen oder Sachen ausgehen, Schutz anderer Personen gegen strafrechtliches Verhalten oder sonstige Gefahren, Werbung für einen Veranstaltungsort durch Veröffentlichung mit "Webcam", Babyphon) der Videoüberwachung vorzunehmen.

Private Auftraggeber dürfen nur im nicht-öffentlichen Raum überwachen, dh. in Orten, für das sie ihr Hausrecht geltend machen können, wobei zu unterscheiden ist zwischen dem Eigenschutz (Schutz der Personen, die dem Auftraggeber angehören, zB Mitarbeiter) und dem Verantwortungsschutz (Schutz von Personen, für die Verantwortungspflichten bestehen, zB Gäste).

Individualbeschwerden

Im Berichtszeitraum wurden 263 Individualbeschwerden erledigt, die Zahl der noch nicht erledigten Fälle konnte von 60 auf 36 abgearbeitet werden, wovon ein Fall älter als 1 Monat ist. 

Ein großer Anteil davon sind Beschwerden wegen eines Verstoßes gegen das Auskunftsrecht, wobei die DSK folgende Wertung vornimmt:

Die Auskunft unterblieb vielmehr regelmäßig auf Grund von Untätigkeit, schlechter Organisation, Unkenntnis der Rechtslage (und mangelnder Bereitschaft, sich zu informieren) oder „Geheimniskrämerei“. Viele Beschwerden hätten mit etwas mehr Kunden- oder Bürgerfreundlichkeit der datenschutzrechtlichen Auftraggeber vermieden werden können.

In vielen Fällen wurden nur die Datenarten statt der Dateninhalte beauskunftet. Interessant ist weiters folgende Feststellung der DSK:

Im Berichtszeitraum ereigneten sich mehrere Fälle, in denen Betroffene gleichzeitig mit der Auskunft auch die Löschung der Daten verlangten. Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen dürfen Daten über den Betroffenen, der das Auskunftsverlangen stellt, für einen Zeitraum von vier Monaten keinesfalls gelöscht werden. Falls der Betroffene Beschwerde an die Datenschutzkommission erhebt, gilt das Löschungsverbot bis zum rechtskräftigen Abschluss des Verfahrens (§ 26 Abs. 7 DSG 2000). Wer Daten vorsätzlich zu früh löscht, macht sich nach § 52 Abs. 1 Z 4 DSG 2000 strafbar (Verwaltungsübertretung mit Geldstrafe bis zu 18.890 Euro).

Diese Rechtsansicht der DSK ist insofern merkwürdig, als die Frist zur Erfüllung des Löschungsantrags nur 8 Wochen beträgt und das DSG über das Verhalten in Kollisionsfällen mit dem Löschungsverbot nichts aussagt. Nach unserer Ansicht sollte der Wunsch des Betroffenen vorrangig respektiert werden. Eine rechtlich korrekte Lösung des Kollisionsfalls könnte unseres Erachtens derart aussehen, dass eine komplette Kopie der personenbezogenen Daten des Betroffenen gesichert werden, mit deren Hilfe das weitere Auskunftsverfahren abgewickelt werden kann; gegen eine Eliminierung der Daten aus dem Produktionsbestand kann danach nichts eingewendet werden. Alternativ könnte man den Betroffenen zugleich mit der Auskunftserteilung um eine Erklärung ersuchen, dass die Auskunft zufriedenstellend war, sodass die Freigabe der Löschung vom Betroffenen selbst erteilt wird.

Internationaler Datenverkehr

Es wurden 19 Genehmigungen nach § 13 DSG 2000 (internationaler Datenverkehr) erledigt, die Zahl der unerledigten Fälle stieg von 19 auf 34, wovon wiederum 20 älter als 6 Monate sind. In welchem Ausmaß Genehmigungen erteilt oder abgelehnt wurden, ist leider nicht dokumentiert.

Entscheidungen im Registrierungsverfahren

Die Zahl der Entscheidungen der DSK im Registrierungsverfahren wird für die Jahre 2002 bis 2004 mit 770 geschätzt, im ersten Halbjahr 2005 wurden 3 Fälle begonnen und 2 erledigt.

In diesem Zusammenhang erläutert die DSK, dass

  • derzeit keinerlei gemeinsame Auffassung hinsichtlich jener Gründe besteht, aus welchen in Konzernen z.B. Personaldaten zulässigerweise an andere (ausländische) Konzernmitglieder übermittelt werden dürfen;

  • die komplexe Materie immer wieder für in sich widersprüchliche Anträge sorgt, die von den Mitarbeitern der Geschäftsstelle der DSK in mühevoller Kleinarbeit richtig gestellt werden müssen;

  • die Beteiligung großer internationaler Konzerne mit wenig Kenntnis der deutschen Sprache und geringem Wissen über europäisches Recht zusätzliche Komplikationen schafft;

  • die schwierige Kommunikation zwischen der DSK, dem vertretenden Anwalt, dem Antragsteller und dessen Partnern im Ausland häufig zu beträchtlichen Verzögerungen führt.

Sonstige Geschäftsfälle

Es wurden 215 Ombudsman-ähnliche Verfahren erledigt, die Zahl der noch nicht erledigten Fälle stieg von 49 auf 67, wovon 29 älter als 6 Monate sind.

Es wurden 293 Rechtsauskünfte erteilt.

Es wurden 19 Genehmigungen nach §§ 46 und 47 DSG 2000 (Forschung und Statistik bzw. spezielle Weiterverwendungsarten von Adressdaten) erledigt, zwei unerledigte Fälle sind bereits älter als 6 Monate. In welchem Ausmaß Genehmigungen erteilt oder abgelehnt wurden, ist leider nicht dokumentiert.

Es wurden 14 Prüfungen von Datenanwendungen abgeschlossen, zwei sind noch nicht abgeschlossen, wovon ein Fall älter als 6 Monate ist.

Es waren 44 Beschwerden vor dem Verwaltungs- oder Verfassungsgericht zu bearbeiten, wobei beim Verwaltungsgerichtshof derzeit Säumnisbeschwerden die Spitze halten.

Es wurden 50 Fälle mit Auskunftsansuchen an das Schengen-Informationssystem abgewickelt, vier sind noch offen.

Bedauerlicherweise gibt der Bericht keine Auskunft über die Zahl der eingereichten und erledigten Registrierungen von Datenanwendungen, sondern nur von „Geschäftsfällen“, über deren statistische Zusammensetzung nichts bekannt ist. Fest steht nur, dass im Berichtszeitraum 4.000 neue DVR-Nummern vergeben und 4.400 Registrierungsnachweise ausgestellt wurden.

Weitere Vorhaben

Das DVR kündigt an, künftig wieder Muster von Datenanwendungen gemeinsam mit Interessensvertretungen auszuarbeiten und als Serviceleistung anzubieten.

Interessante Detailaussagen

DVR-Nummer als Gütesiegel

Interessant ist folgende Beobachtung des DVR, die wir hier im vollen Wortlaut wiedergeben:

Weiters zeigt die Praxis, dass die Führung einer DVR-Nummer sowohl aus der Sicht der Auftraggeber als auch aus Sicht der Betroffenen oft als ein „Qualitätssiegel“ betrachtet wird. Besitzt ein Auftraggeber nun keine DVR-Nummer, weil er ausschließlich Standardanwendungen vornimmt, wenden sich des Öfteren Betroffene an das Register und unterstellen einem solchen Auftraggeber die Verletzung seiner datenschutzrechtlichen Pflichten. Es bedarf in diesen Fällen jeweils der Aufklärung über die neue Rechtslage. Dies zeigt, dass über die Verleihung eines Gütesiegels anderer Art nachgedacht werden sollte.

Informationsverbundsysteme

Zum Berichtszeitpunkt waren folgende Informationsverbundsysteme registriert:

Amt der Niederösterreichischen Landesregierung, Wasserdatenverbund Niederösterreich

  • Modul Abwasserentsorgung
  • Modul Messstellen/Hydrologie
  • Modul Siedlungswasserwirtschaft
  • Modul Umwelthygiene/Trinkwasser
  • Modul Verdachtsflächen/Deponien
  • Modul Wasserbau
  • Modul Wasserrecht
  • Modul Wasserversorgung

Amt der Tiroler Landesregierung

  • TISO Tiroler Informationssystem Sozialverwaltung

Bundesministerium für Finanzen

  • Register der Abgabenpflichtigen (Dokumentationsregister) der Abgabenbehörden, über die Identität der Abgabenpflichtigen und der Klassifizierung ihrer Tätigkeit

Bundesministerium für Inneres

  • Asylwerberinformationssystem (AIS)
  • Betreuungsinformationssystem
  • Evidenthaltung von ausgeschriebenen und widerrufenen Personenfahndungen
  • Evidenthaltung von pass- und/oder waffenrechtlichen Informationen
  • Fahndung nach Feuerwaffen, Banknoten und Dokumenten, die nach dem 1. 12. 1997 zur Fahndung ausgeschrieben wurden
  • Fahndung nach sonstigen Sachen
  • Kraftfahrzeug-Fahndung (KFZ-Fahndung)
  • Kriminalpolizeilicher Aktenindex (KPA)
  • Zentrale Fremdeninformationsdatei (FID)
  • Zentrales Identitätsdokumentenregister
  • Zentrales Waffenregister

Bundesministerium für Justiz

  • Automationsunterstützte Führung der Vollzugsverwaltung in den Justizanstalten

BrassRing LLC (USA)

  • Global Track – Bewerberdatenbank (American Express)

Bundesrechenzentrum IT Solutions GmbH

  • fundamt.gv.at

Eli Lilly and Company (USA)

  • MyElvis Adreßdatenbank (Directory)

Hauptverband der Sozialversicherungsträger

  • SV-DB Österreichische Sozialversicherungs-Datenbank

Hypo Alpe Adria Bank AG

  • Hypo Risikobewertung

Kreditschutzverband von 1870 und Dataline Datenverarbeitungs GmbH

  • Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten

Landeskrankenanstalten-Betriebsgesellschaft – KABEG Management LKH Villach

  • Patientenindex zwischen Landeskrankenanstalten und anderen öffentlichen Krankenanstalten

Lubrizol Corporation (USA)

  • Lubrizol – Global Human Resources Information System

Niederösterreichische Gebietskrankenkasse – Kompetenzzentrum Kinderbetreuungsgeld

  • Informationsverbundsystem Kinderbetreuungsgeld

Österreichische Kardiologische Gesellschaft

  • Herzschrittmacher-Register

Reed Messe Salzburg GmbH

  • Ausstellerdatenbank PRISM
  • Besucherdatenbank

Verband der Versicherungsunternehmen Österreichs

  • Kraftfahrzeug-Zulassungsevidenz

Meldegesetz und Wählerevidenz

Eine interessante Problematik wurde im Zusammenhang mit Auskunftssperren aus dem Meldegesetz aufgezeigt: Eine Auskunftssperre kann verhängt werden, wenn Personen z.B. nach dem Erhalt gefährlicher Drohungen an eine unbekannte, d.h. nicht zu beauskunftende Adresse, ziehen. In der Wählerevidenz bleiben diese Adressen nach wie vor zugänglich und sind bei der öffentlichen Einsicht in die Wählerlisten auch auffindbar. Die DSK bemängelt dabei, dass Bürger, die eine derartige melderechtlichen Auskunftssperre gemäß § 18 Abs. 2 Meldegesetz 1991 (MeldeG), BGBl. Nr. 9/1992, in Anspruch nehmen, oft nicht auf die rechtlichen Grenzen der Auskunftssperre hingewiesen wurden.

Bonitätsprüfungen

Es wird auf die Problematik hingewiesen, dass ein Unternehmen behauptet, Bonitätsauskünfte von befugten Gewerbebetrieben lediglich einzuholen (und bei der Entscheidung über den Vertragsabschluss einzubeziehen), aber Bonitätsdaten nicht selbst zu speichern. Daher ist es häufig nicht möglich, im Wege eines Auskunftsbegehrens an die bei der Prüfung verwendeten Bonitätsdaten in Erfahrung zu bringen.

Anmerkung: Zur bestmöglichen Erfüllung der Auskunftspflicht sollte daher jeder Auftraggeber die tatsächlich eingeholten Bonitätsprüfungsinhalte in irgendeiner Form aufbewahren.

Jahresbericht 2004

vorgelegt von der Art. 29 Datenschutzgruppe

Im Volltext nachzulesen unter
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/8th_annual_report_de.pdf 

Der Bericht wird von Peter Schaar, Vorsitzender der Art. 29 Datenschutzgruppe, vorgelegt und enthält 5 Abschnitte.

1. Die Aufgaben der Art. 29 Datenschutzgruppe

Hauptthemen sind der internationale Datenverkehr (und hier wieder die Flugpassagierdaten), die Einhaltung der Datenschutzrichtlinie, Internet und Telekommunikation, Schengen, Genetische Daten sowie Videoüberwachung.

Zum Thema Videoüberwachung gibt es eine offizielle Stellungnahme der Art. 29 Datenschutzgruppe (WP 89) und einen Hinweis, dass „die Mitgliedstaaten unbedingt Richtlinien für die Tätigkeiten von Herstellern, Dienstleistern, Vertreibern und Wissenschaftlern  im Hinblick auf die Entwicklung von Technologien, Software und technischen Systemen in Übereinstimmung mit den in diesem Papier erwähnten Grundsätzen herausgeben müssen“.

2. Die wichtigsten Entwicklungen in den Mitgliedstaaten

Pro Staat wird über den Stand der Umsetzung, spezifische Einzelfragen und interessante Judikatur berichtet.

Als Kuriosum wird eine Gerichtsentscheidung aus Belgien gehandelt, dass das Objekt einer Videoüberwachung nicht der Kassenmitarbeiter, sondern die Kassa sei, sodass in diesem Fall nicht das Datenschutzgesetz greift, sehr wohl aber das Abkommen über die Videoüberwachung von Arbeitnehmern.

3. Aktivitäten der Europäischen Union und der Gemeinschaft

Eine Analyse der Handhabung des Datenschutzes in der Schweiz und damit der Angemessenheit im Sinne der Datenschutzrichtlinie konnte positiv abgeschlossen werden. Nach dem Schweizer Datenschutzgesetz ist der Export von Daten in Länder, die die Konvention 108 des Europarats nicht ratifiziert haben, nur zulässig, wenn diese Länder einen gleichwertigen Schutz wie das Schweizer Datenschutzgesetz bieten.

Mit dem „Safe Harbor“ in den USA gibt es gewisse Schwierigkeiten, sodass ein Verbesserungsbedarf beim US-Handelsministerium eingemahnt wird, damit künftig keine Unternehmen auf die Safe-Harbor-Liste gelangen, die keine öffentlich verfügbare Datenschutzpolitik vorweisen können. Weiters wird die mangelhafte Transparenz der Website mit der Safe-Harbor-Liste gerügt.

Zum bekannten Fluggastdaten-Problem sind die unterschiedlichen Standpunkte von Art. 29 Gruppe, Rat und Parlament festgehalten, was unter anderem auch dazu geführt hat, dass das Europäische Parlament ein Verfahren beim Europäischen Gerichtshof eingeleitet hat.

4. Wichtigste Entwicklungen im EWR

Es wird ein überblicksartiger Bericht über Gesetzgebungen in Island, Liechtenstein und Norwegen vorgestellt, soweit durch diese Gesetze Datenschutzfragen berührt sind.

In Liechtenstein wird die Einführung einer Krankenversicherungskarte betrieben. Vorerst sind nur administrative Daten vorgesehen, eine künftige Speicherung von Gesundheitsdaten wird an eine Zustimmung des Betroffenen gebunden.

In Norwegen hat die Datenschutzbehörde ein personenspezifisches Patientenregister mit zentraler Erfassung des Gesundheitszustandes jedes einzelnen Bürgers strikt abgelehnt.

Eine serienweise Untersuchung der Mitarbeiter einer Sicherheitsfirma auf Rauschmittel wurde von der Datenschutzbehörde trotz Vorliegens einer Zustimmung abgelehnt, da die Freiwilligkeit auf Sorge um den Arbeitsplatz beruhen könnte.

DSG-Info-Service Jahrgang 2007

Ausgabe Nr. 51 Februar 2007
Ausgabe Nr. 52/53 September 2007
Andere Jahrgänge

Kompetenzbereich Datensicherheit

2010 Secur-Data. All Rights Reserved.