Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Nr. 71/72
Dezember 2012

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Mit 19. September 2012 trat gem. BGBl. II 2012/306 vom 18. September 2012 eine weitere Novelle der der Standard- und Muster-Verordnung 2004 (StMV 2004) in Kraft. Damit wurde die mit  BGBl. II 2004/312 erlassene Verordnung bereits zum vierten Mal novelliert. Die Novelle 2012 enthält einerseits Erweiterungen bestehender Standardanwendungen und andererseits werden neue Standardanwendungen eingeführt.

So etwa wurde die Standardanwendung „SA024 Patientenverwaltung und Honorarabrechnung“ weiterentwickelt und durch die neue Standardanwendung „SA024 Patienten-/Klientenverwaltung und Honorarabrechnung der Gesundheitsdiensteanbieter“ ersetzt.

Durch die Erweiterung der Standardanwendung „SA032 Videoüberwachung“ umfasst diese nun die zusätzlichen Sub-Anwendungen „G. Verwaltungsgebäude öffentlicher Rechtsträger“, „H. Rechenzentren“ und „I. Parkgaragen und -plätze“. Dadurch unterliegen die gegenständlichen Videoüberwachungen nicht mehr der Meldepflicht gem. § 17 Abs. 1 DSG 2000, sofern die Speicherdauer 72h nicht übersteigt (§ 50b Abs. 2 DSG 2000).

Weiters wurde eine neue Datenanwendung „SA033 Datenübermittlung im Konzern“ eingeführt. Diese umfasst die Sub-Anwendungen „A. Konzernweite Kontakt- und Termindatenbank“, „B. Karrieredatenbank“, „C. Verwaltung von Bonus- und Beteiligungsprogrammen eines Konzerns“ und „D. Technische Unterstützung“. Dadurch unterliegen die gegenständlichen Datenanwendungen – wie etwa ein Telefonbuch oder Terminkalender im Konzernintranet sowie der konzerninterne Helpdesk aber auch die konzerninterne Bewerbung von Mitarbeitern bei anderen Konzernunternehmen – nicht mehr der Meldepflicht gem. § 17 Abs. 1 DSG 2000, vorausgesetzt die Datenverwendung erfolgt im Rahmen der Standardanwendung.

Waren bis dato im DSG 2000 Datenübermittlungen zwischen einzelnen Konzernunternehmungen den selben materiellen Voraussetzungen und formellen Meldepflichten unterlegen, wie jene zwischen nichtverbundenen Unternehmungen – mangels Fehlens eines „Konzernprivilegs“ in dem Sinne, dass die gesellschaftsrechtlich verflochtenen Gesellschaften als ein Auftraggeber iSd § 4 Z 4 DSG 2000 eingestuft werden können – so wurde nunmehr ein Konzernprivileg eingeführt.

Nichts desto trotz ist als Voraussetzung für die Anwendbarkeit dieser Konzernanwendungen bei Datenübermittlungen in Konzerngesellschaften, die in Drittländern angesiedelt sind, das Vorhandensein ausreichender Garantien in Bezug auf die Einhaltung der Datenschutzrechtlichen Grundsätze der Europäischen Datenschutzrichtlinie notwendig. Das bedeutet, dass der jeweilige Drittstaat entweder ein der Europäischen Datenschutzrichtlinie angemessenes Schutzniveau aufweist oder mit dieser Konzernunternehmung entsprechende vertragliche Regelungen getroffen werden (z.B. Standardvertragsklauseln der EU).

Des Weiteren wurden an den Anwendungen „SA011 Wählerevidenz, Wählerverzeichnisse und Stimmlisten“, „SA012 Europa-Wählerevidenz und Wählerverzeichnisse“ und „SA021 Statistik der Wirtschaftskammerorganisation“ Verbesserungen vorgenommen sowie die neuen Anwendungen „SA034 Unterstützungsbekundungen einer Europäischen Bürgerinitiative“ und „SA035 Transparenz von Medienkooperationen sowie von Werbeaufträgen und Förderungen an Medieninhaber eines periodischen Mediums“ eingeführt.

Die Secur-Data hat in dieser Ausgabe die wohl wichtigsten Neuerungen der StMV 2004 für Sie zusammengefasst. Wir wünschen Ihnen eine interessante Lektüre, frohe Weihnachten und einen guten Rutsch in ein erfolgreiches 2013!

Verordnung des Bundeskanzlers über
Standard- und Musteranwendungen nach dem Datenschutzgesetz 2000
(Standard- und Muster-Verordnung 2004 - StMV 2004)

Allgemeines

Erfolgt eine Datenverwendung iSd § 4 Z 8 DSG 2000 im Rahmen einer Standardanwendungen gem. Anlage 1 StMV 2004 so unterliegt diese gem. § 17 Abs. 2 Z 6 DSG 2000 nicht der Meldepflicht. Jeder Auftraggeber iSd § 4 Z 4 DSG 2000 einer Standardanwendung hat jedoch gem. § 23 Abs. 1 DSG 2000 „jedermann auf Anfrage mitzuteilen, welche Standardanwendungen“ er betreibt und diese weiters gem. § 23 Abs. 2 DSG 2000 „der Datenschutzkommission bei Ausübung ihrer Kontrollaufgaben gemäß § 30 offenzulegen“ (§ 23 Abs. 2 DSG 2000).

Auch Daten iSd § 4 Z 1 DSG 2000 aus Standardanwendungen unterliegen den Betroffenenrechten gem. den §§ 26 - 28 DSG 2000 (Auskunftsrecht, Recht auf Richtigstellung oder Löschung und Widerspruchsrecht) und sind auf Ansuchen des Betroffenen entspre-chend zu beauskunften, richtig zu stellen oder zu löschen.

Die StMV 2004 umfasst in der Anlage 1 sämtliche Standardanwendungen – diese sind gem. § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig, sowie in der Anlage 2 sämtliche Musteran-wendungen – diese unterliegen der Melde-pflicht gem. § 17 Abs. 1 DSG 2000.

 

Die Novelle 2012 der StMV 2004

I) Neue Standardanwendungen

An dieser Stelle gehen wir auf die neuen Standardanwendungen ein, die mit der gegenständlichen Novelle eingeführt wurden. Weitere Details zur jeweiligen Standardanwendung sind der Anlage 1 der StMV 2004 zu entnehmen.

1. SA033 Datenübermittlung im Konzern

Für viele Unternehmen stellt die Einführung dieser Standardanwendung wohl die interessanteste Änderung dar, da dadurch die entsprechenden Datenanwendungen nun nicht mehr zu melden sind, sofern die Datenverwendung im Rahmen der Standardanwendung erfolgt.

Die Standardanwendung „SA033 Datenübermittlung im Konzern“ umfasst folgende vier Sub-Anwendungen (A. - D.):


A. Konzernweite Kontakt- und Termindatenbank

Der Zweck dieser Sub-Anwendung ist wie folgt festgelegt: „Verarbeitung von Daten der Mitarbeiter des Auftraggebers, eines österreichischen Konzernunternehmens, zur Führung einer Kontaktdatenbank, Übermittlung dieser Daten an andere Konzernunternehmen weltweit sowie Führung einer konzernweiten Termindatenbank.“

Für den Betroffenenkreis „Arbeitnehmer, arbeitnehmerähnliche Personengruppen, Leiharbeitnehmer, freie Dienstnehmer, Lehrlinge, Volontäre und Ferialpraktikanten“, der der erste von zwei Betroffenenkreisen ist, sind folgende Datenarten vorgesehen:

  • 1. Personalnummer
  • 2. Name
  • 3. Geschlecht
  • 4. Titel und Anrede
  • 5. Berufliche Anschrift
  • 6. Organisatorische Zuordnung im Betrieb (einschließlich Beginn und Ende)
  • 7. Funktion gegenüber den Kunden und Geschäftspartnern
  • 8. Telefon- und Faxnummer und andere zur Adressierung im Betrieb erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben
  • 9. Informationen zur Verfügbarkeit des Betroffenen
  • 10. Informationen zur Weiterleitung von Nachrichten bei Abwesenheit
  • 11. Für diese Daten sind Übermittlungen an folgende Empfängerkreise (weltweit) vorgesehen:
  • 12. Andere Konzernunternehmen weltweit (nur Datenarten 1 - 6 und 8 - 9)
  • 13. Natürliche und juristische Personen, die mit dem Betroffenen beruflich korrespondieren (Datenarten 1 - 5 und 7 - 10)

Für den Betroffenenkreis „Ehemalige Beschäftigte“ sind folgende Datenarten vorgesehen:

  • 14. Ehemalige Personalnummer
  • 15. Name
  • 16. Telefon- und Faxnummer und andere zur Adressierung erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben
  • 17. Informationen zur Weiterleitung von Nachrichten nach Ende des Arbeitsverhältnisses

Für diese Daten umfasst die Standardanwendung keine Übermittlungen. Weitere Details siehe Anlage 1 StMV 2004.


B. Karrieredatenbank

Diese Sub-Anwendung dient insbesondere der konzerninternen Personalvermittlung und umfasst für den Betroffenenkreis „Arbeitnehmer, arbeitnehmerähnliche Personengruppen, Leiharbeitnehmer, freie Dienstnehmer, Lehrlinge, Volontäre und Ferialpraktikanten“ folgende Datenarten:

  1. Personalnummer
  2. Name
  3. Geschlecht
  4. Titel und Anrede
  5. Geburtsdatum
  6. Lichtbild
  7. Anschrift
  8. Organisatorische Zuordnung im Betrieb (einschließlich Beginn und Ende)
  9. Telefon- und Faxnummer und andere zur Adressierung erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben
  10. Qualifikationen (Ausbildung, Kurse)
  11. Sprachkenntnisse
  12. Dienstzeugnisse und Empfehlungen
  13. Karrierewünsche/Gehaltsvorstellungen

Für diese Daten (alle) sind Übermittlungen an folgende Empfängerkreise (weltweit) vorgesehen:

  1. Andere Konzernunternehmen weltweit, die innerhalb des Konzerns nach neuen Mitarbeitern suchen
  2. Beratungsunternehmen, die den Auftraggeber oder andere Konzernunternehmen in Personalangelegenheiten beraten und dafür Zugang zur Datenanwendung erhalten


C. Verwaltung von Bonus- und Beteiligungsprogrammen eines Konzerns

Diese umfasst für den Betroffenenkreis „Arbeitnehmer, arbeitnehmerähnliche Personengruppen, Leiharbeitnehmer, freie Dienstnehmer und Lehrlinge (auch ehemalige Beschäftigte)“ folgende Datenarten:

  1. Personalnummer
  2. Name
  3. Geschlecht
  4. Titel und Anrede
  5. Organisatorische Zuordnung im Betrieb (einschließlich Beginn und Ende)
  6. Telefon- und Faxnummer und andere zur Adressierung im Betrieb erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben
  7. Wohnadresse
  8. Private Telefon- und Faxnummer und andere zur Adressierung erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben
  9. Brutto- und Nettoentgelt (Daten des Gehaltszettels)
  10. Sonstige Leistungen des Auftraggebers, die für die Berechnung von Bonusansprüchen oder Beteiligungen erheblich sind (zB Sachleistungen, die neben dem Gehalt erbracht werden)
  11. Daten zur Teilnahme an Bonus- und Beteiligungsprogrammen (Zustimmung des Mitarbeiters, Genehmigung des Arbeitgebers und der zuständigen Konzernstellen, Höhe der Beteiligung)
  12. Bankverbindung
  13. Daten zur Besteuerung

Für diese Daten (alle) sind Übermittlungen an folgende Empfängerkreise (weltweit) vorgesehen:

  1. Konzernunternehmen, die mit der Verwaltung des Bonus- und Beteiligungsprogramms betraut sind, zur Prüfung der Anspruchsberechtigung und Auszahlung
  2. Steuerbehörden in Staaten, in denen die Betroffenen oder Konzernunternehmen im Zusammenhang mit dem Bonus- und Beteiligungsprogramm steuerpflichtig sind
  3. Banken zur Abwicklung des Zahlungsverkehrs


D. Technische Unterstützung

Diese Sub-Datenanwendung dient insbesondere der Abwicklung von Helpdesk Leistungen und umfasst für den Betroffenenkreis „Arbeitnehmer, arbeitnehmerähnliche Personengruppen, Leiharbeitnehmer, freie Dienstnehmer, Lehrlinge, Volontäre und Ferialpraktikanten“ folgende Datenarten:

  1. Personalnummer
  2. Name
  3. Geschlecht
  4. Titel und Anrede
  5. Organisatorische Zuordnung im Betrieb (einschließlich Beginn und Ende)
  6. Telefon- und Faxnummer und andere zur Adressierung im Betrieb erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben
  7. Dem Betroffenen zugeteilte technische Ausstattung (Hardware, Software, Notebooks, Mobiltelefone etc.)
  8. Kostenstelle und sonstige Daten zur Abrechnung von Leistungen
  9. Problemstellung und Lösung (sowie die Nummer des Auftrages, Datum des Auftrages, Datum der Problembehebung etc.)

Für diese Daten (alle) sind Übermittlungen an folgende Empfängerkreise (weltweit) vorgesehen:

  1. Andere Konzernunternehmen oder externe Unternehmen, die mit der Erbringung von Helpdesk-Diensten betraut sind
  2. Konzernunternehmen, die mit der Beschaffung von technischer Ausstattung für den Konzern betraut sind
  3. Externe Unternehmen, die mit der Lieferung, Reparatur oder Wartung von technischer Ausstattung betraut sind


2. SA034 Unterstützungsbekundungen einer Europäischen Bürgerinitiative

Diese neue Standardanwendung dient gem. Anlage 1 StMV 2004 dem Zweck der „Sammlung von Unterstützungsbekundungen für eine Europäische Bürgerinitiative, Übermittlung der gesammelten Unterstützungsbekundungen an die zuständige Behörde und Prüfung der Unterstützungsbekundungen durch die Bundeswahlbehörde, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten“.

Für den Betroffenenkreis „Personen, die eine Europäische Bürgerinitiative unterzeichnen“ sieht die Anwendung folgende Datenarten vor:

  • 1. Name
  • 2. Hauptwohnsitz oder ständiger Wohnsitz (im Ausland)
  • 3. Geburtsdatum
  • 4. Geburtsort
  • 5. Staatsangehörigkeit
  • 6. Art und Nummer des Ausweispapiers/persönliche Identifikationsnummer (soweit erforderlich)
  • 7. Datum der Unterstützungsbekundung
  • 8. Unterschrift
  • 9. Daten über die unterstützte Europäische Bürgerinitiative (zB Bezeichnung/Gegenstand der Bürgerinitiative, wichtigste Ziele der Bürgerinitiative, Registernummer der Europäischen Kommission, Datum der Registrierung, Internetadresse der Bürgerinitiative im Register der Europäischen Kommission)
  • 10. Daten aus der zentralen Evidenz gemäß § 22b des Paßgesetzes 1992, BGBl. Nr. 839/1992 (soweit zur Überprüfung der Identität und zum Zweck der Vermeidung von Doppelbekundungen erforderlich)

Weiters umfasst die Anwendung den Betroffenenkreis „Organisatoren“, dem die folgende Datenart zugeordnet ist:

  • 11. Datenarten gemäß dem Anhang der Verordnung (EU) Nr. 211/2011 (zB Bezeichnung der geplanten Bürgerinitiative, Gegenstand der Bürgerinitiative, Name, Postanschrift, E-Mail, Geburtsdaten, Staatsangehörigkeit der Mitglieder des Bürgerausschusses, Datum der Registrierung)

Für diese Daten sind Übermittlungen an folgende Empfängerkreise vorgesehen:

  1. Bundeswahlbehörde, Bundeswahlleiter gemäß § 6 EBIG oder sonst gemäß Art. 8 Abs. 1 der Verordnung (EU) Nr. 211/2011 in Betracht kommende Behörde eines anderen Mitgliedstaates der Europäischen Union (Datenarten 1 - 9 und 11)
  2. Verfassungsgerichtshof (hinsichtlich der Übermittlung durch die Bundeswahlbehörde) (Datenarten 1 - 9 und 11)
  3. Europäische Kommission (Datenart 11)


3. SA035 Transparenz von Medienkooperationen sowie von Werbeaufträgen und Förderungen an Medieninhaber eines periodischen Mediums

Die Zweckdefinition dieser neuen Standardanwendung beinhaltet folgenden Text:

„Förderung der Transparenz bei Medienkooperationen sowie bei der Erteilung von Werbeaufträgen und der Vergabe von Förderungen an Medieninhaber eines periodischen Druckwerks gem. § 1 Abs. Z 5 des Mediengesetzes […] oder eines periodischen elektronischen Mediums gem. § 1 Z 5a MedienG […] [sowie] […] in Zusammenhang mit der Umsetzung der §§ 2 und 4 des Medienkooperations- und -förderungs-Transparenzgesetzes.“

Die gegenständliche Standardanwendung sieht für den Betroffenenkreis „Personen, denen Aufträge gemäß § 2 Abs. 1 Z 1 und 2 MedKF-TG erteilt wurden“ folgende Datenarten vor:

  • 1. Name des jeweiligen periodischen Mediums
  • 2. Gesamthöhe des jeweils innerhalb eines Quartals für die erfolgten Veröffentlichungen zu leistenden Entgelts gemäß § 2 MedKF-TG
  • 3. Keine oder keine maßgeblichen Aufträge nach § 2 Abs. 4 MedKF-TG

Weiters umfasst die Anwendung den Betroffenenkreis „Medieninhaber eines periodischen Mediums, welchen Förderungen gemäß § 4 Abs. 1 MedKF-TG gewährt wurden“ mit folgenden Datenarten:

  • 4. Name des Förderungsempfängers
  • 5. Gesamtsumme der jeweils innerhalb eines Quartals gewährten Förderungen gemäß § 4 MedKF-TG
  • 6. Keine oder keine maßgeblichen Förderungen nach § 4 Abs. 2 MedKF-TG

Für diese Daten (alle) sind Übermittlungen an den folgenden Empfängerkreis vorgesehen:

  1. KommAustria, elektronisch im Wege einer Webschnittstelle (Web-Interface) gemäß § 2 Abs. 3 und § 4 Abs. 1 MedKF-TG.

 

II) Änderungen bestehender Standardanwendungen

Mit der Novelle 2012 der StMV 2004 wurden nicht nur neue Standardanwendungen eingeführt, sondern auch bestehende Standardanwendungen geändert bzw. erweitert. Auf diese Änderungen wird im Folgenden eingegangen.


SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse

Der Zweck dieser Standardanwendung wurde um folgende Textpassage erweitert:

„Verwendung und Evidenthaltung von personenbezogenen Daten von Bewerbern, wenn diese Daten vom Betroffenen angegeben wurden.“

Der Zweck lautet nun wie folgt:

„Verarbeitung und Übermittlung von Daten für Lohn-, Gehalts-, Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten. Diese Anwendung kann von jedem Auftraggeber vorgenommen werden, der Arbeitnehmer in privatrechtlichen Dienstverhältnissen beschäftigt, mit Ausnahme der Bediensteten, die unter die speziellen Anwendungen der Dienstgeber des öffentlichen Bereiches fallen; Verwendung und Evidenthaltung von personenbezogenen Daten von Bewerbern, wenn diese Daten vom Betroffenen angegeben wurden.“

Weitere Änderungen wurden nicht vorgenommen.


SA011 Wählerevidenz, Wählerverzeichnisse und Stimmlisten

Diese Standardanwendung, welche drei Sub-Anwendungen aufweist (A., B. und C.), wurde stellenweise geändert, wobei an dieser Stelle nur die wesentlichsten Änderungen aufgegriffen werden.

A. Wählerevidenz, Erstellung von Wählerverzeichnissen und Stimmlisten

Beim Betroffenenkreis „In der Wählerevidenz der Gemeinde eingetragene Österreicher mit Hauptwohnsitz im Inland“, dies ist der erste von zwei, wurden die folgenden Datenarten neu eingefügt:

  • 3. Buchstaben-/Ziffernkombination
  • 15. Unterstützungserklärungen sowie Unterschriften für Volksabstimmungen, Volksbefragungen und Volksbegehren aufgrund bundes- oder landesgesetzlicher Bestimmungen
  • 17. Amtswegige Zustellung einer Wahlkarte (§ 9 Abs. 4 Wählerevidenzgesetz 1973)
  • 18. Nichtigkeit einer Briefwahlstimme (zB gemäß § 90 Abs. 1 NRWO)

Beim Betroffenenkreis „In der Wählerevidenz der Gemeinde eingetragene Österreicher mit Hauptwohnsitz im Ausland“ wurden die folgenden Datenarten neu eingefügt:

  • 33. E-Mail-Adresse
  • 41. Unterstützungserklärungen sowie Unterschriften für Volksabstimmungen, Volksbefragungen und Volksbegehren aufgrund bundes- oder landesgesetzlicher Bestimmungen
  • 43. Amtswegige Zustellung einer Wahlkarte
  • 44. Nichtigkeit einer Briefwahlstimme (zB gemäß § 90 Abs. 1 NRWO)

Weiters wurde der Übermittlungsempfängerkreis Nr. 13 „Behörden, die Pässe, andere Lichtbildausweise oder Urkunden ausstellen, zur Prüfung der Identität von Antragstellern von Wahlkarten (§ 39 Abs. 1 NRWO)“ hinzugefügt.
Zwecks weiterer Details, insbesondere betreffend die Neuerungen bei den Sub-Anwendungen „B. Evidenz der vom Wahlrecht ausgeschlossenen Personen“ sowie „C. Unionsbürgerevidenz“ siehe bitte Anlage 1 der StMV 2004.


SA012 Europa-Wählerevidenz und Wählerverzeichnisse

Auch diese Standardanwendung, welche zwei Sub-Anwendungen aufweist (A. und B.), wurde stellenweise geändert, wobei an dieser Stelle nur die wesentlichsten Änderungen aufgegriffen werden.

A. Europa-Wählerevidenz und Erstellung der Wählerverzeichnisse

Beim Betroffenenkreis „In der Europa-Wählerevidenz der Gemeinde eingetragene Österreicher sowie sonstige Unionsbürger mit Hauptwohnsitz in Österreich“, dies ist der einzige, wurden die folgenden Datenarten neu eingefügt:

  • 11. E-Mail-Adresse
  • 23. Amtswegige Zustellung einer Wahlkarte
  • 24. Nichtigkeit einer Briefwahlstimme

Weiters wurde der Übermittlungsempfängerkreis Nr. 10 „Behörden, die Pässe, andere Lichtbildausweise oder Urkunden ausstellen, zur Prüfung der Identität von Antragstellern von Wahlkarten (§ 27 Abs. 1 EuWO)“ hinzugefügt.

Zwecks weiterer Details, insbesondere betreffend die Neuerungen der Sub-Anwendung „B. Evidenz der vom Wahlrecht ausgeschlossenen Personen“ siehe bitte Anlage 1 der StMV 2004.


SA021 Statistik der Wirtschaftskammerorganisation

Diese Standardanwendung wurde ebenfalls stellenweise geändert, wobei an dieser Stelle nur die wesentlichsten Änderungen aufgegriffen werden.

Der Zweck der Anwendung wurde mit der Novelle geändert auf: „Erstellung von Statistiken im Sinne des § 71 des Wirtschaftskammergesetzes 1998 (WKG), BGBl. I Nr. 103/1998, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenz) in dieser Angelegenheit.“

Des Weiteren umfasst die Standardanwendung nun die folgende Rechtsgrundlage, wobei vor der Novelle keine angeführt war:
„Rechtsgrundlagen der Anwendung sind insbesondere die folgenden Gesetze (in der geltenden Fassung) und die folgende Verordnung (EG): WKG; Bundesstatistikgesetz 2000, BGBl. I Nr. 163/1999; Verordnung (EG) Nr. 177/2008 zur Schaffung eines gemeinsamen Rahmens für Unternehmensregister für statistische Zwecke und zur Aufhebung der Verordnung (EWG) Nr. 2186/93, ABl. Nr. L 61 vom 5.03.2008 S. 6.“

Weiters wurden beim Betroffenenkreis „Mitglieder und sonstige Arbeitgeberbetriebe“, dies ist der einzige, die folgenden Datenarten neu eingefügt:

  • 5. Adresse und NUTS-Code (Verordnung (EG) Nr. 1059/2003); Objektnummer und -status gemäß dem Gebäude- und Wohnungsregister-Gesetz (GWR-Gesetz), BGBl. I Nr. 9/2004
  • 22. Demographische Daten (Status, Gründungsdatum, Zugangsdatum etc.) samt Änderungen
  • 23. Typ der Registereinheit samt Änderungen (rechtliche Einheit, örtliche Einheit, Unternehmen, Unternehmensgruppe)
  • 24. Typ der Einheit (Mehrbetriebsunternehmen, Einbetriebsunternehmen, ARGE etc.)
  • 25. Daten zur Verbindung mit anderen Unternehmen bzw. Einheiten (zB Zugehörigkeit zu einer Unternehmensgruppe, ausländische Beteiligungen)
  • 26. Umsatzsteuermeldung
  • 27. Verpflichtung zur Bilanzerstellung
  • 28. Qualität der Fremdregisterdaten

Zwecks weiterer Details, insbesondere betreffend die Änderung von bestehenden Datenarten, siehe bitte Anlage 1 der StMV 2004.


SA024 Patienten-/Klientenverwaltung und Honorarabrechnung der Gesundheitsdiensteanbieter (vormals: SA024 Patientenverwaltung und Honorarabrechnung)

Die Standardanwendung SA024 wurde grundlegend geändert. Die alte Bezeichnung „SA024 Patientenverwaltung und Honorarabrechnung“ wurde durch die neue „SA024 Patienten-/Klientenverwaltung und Honorarabrechnung der Gesundheitsdiensteanbieter“ ersetzt.

Die Standardanwendung SA024 wurde im Zuge der Novelle 2012 in folgende zwei Sub-Anwendungen (A. und B.) aufgeteilt:

A. Patientenverwaltung und Honorarabrechnung der Ärzte, Zahnärzte und Dentisten

Diese Sub-Anwendung dient insbesondere der „Führung von Patientenkarteien zur Dokumentation gemäß § 51 Ärztegesetz 1998 […] und §§ 19 und 57 Zahnärztegesetz (ZÄG)“ sowie der „Erstellung von medizinischen Gutachten und Honorarverrechnung durch Ärzte, Zahnärzte und Dentisten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten“.

Die Sub-Anwendung umfasst den Betroffenenkreis „Patienten (auch Probanden und beruflich strahlenexponierte Personen, die einer ärztlichen Untersuchung unterzogen wurden)“, dem 41 Datenarten zugeordnet sind, darunter folgende (Auszug):

  • 1. Patientennummer, Protokollnummer
  • 2. Namen, frühere Namen (Namensteile)
  • 23. Medizinischer Zustand der Person bei Übernahme der Beratung oder Behandlung
  • 24. Besondere Risikofaktoren, zB Allergien, tätigkeitsbedingte Einflüsse, familiäre Disposition, ausgeübte Tätigkeit, Kategorie A/B/andere
  • 26. Vorgeschichte der Erkrankung und dazugehörige Befunde
  • 27. Angaben zur ärztlichen bzw. zahnärztlichen Untersuchung (Familien- und Eigenanamnese; Berufsanamnese auf Grundlage der tatsächlichen Arbeitsvorgänge und -bedingungen; allgemeine klinische Untersuchung; Laboruntersuchungen; weitere Teiluntersuchungen)
  • 28. Diagnosen (auch Fremddiagnosen) zu Behandlungsbeginn und bei Beendigung
  • 29. Gutachtliche Äußerungen des Auftraggebers (zB gegenüber Arbeitgeber)
  • 30. Gesundheitliche Beurteilung (Ergebnis der ärztlichen bzw. zahnärztlichen Untersuchung/Kontrolluntersuchung), Zeugnisse im Sinne des § 36 AllgStrSchV
  • 31. Krankheitsverlauf
  • 35. Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen
  • 38. Daten zur Abrechnung von Honoraren, Medikamenten und Laboruntersuchungen
  • 40. Daten zur Abrechnung der Gebühren oder Entgelte für Sachverständigen- und Gutachtertätigkeit
  • 41. Zustimmung des Betroffenen zur Teilnahme an Gesundheitspilotprojekten, strukturierten Gesundheitsversorgungsprogrammen (zB Disease Management Programmen) und Vorsorge- und Früherkennungsprogrammen (zB Nationales Brustkrebsfrüherkennungsprogramm)

Die Sub-Anwendung umfasst weiters die Betroffenenkreise „Arbeitgeber (auch Bewilligungsinhaber)“ und „Kontaktperson (nach Angabe des Patienten oder Probanden) oder gesetzlicher Vertreter des Patienten oder Probanden“.

Es sind Übermittlungen an 11 verschiedene Empfängerkreise vorgesehen. Nähere Details sind der Anlage 1 StMV 2012 zu entnehmen.


B. Patienten-/Klientenverwaltung und Honorarabrechnung anderer freiberuflich tätiger Gesundheitsdiensteanbieter

Diese Sub-Anwendung dient insbesondere folgendem Zweck: „Führung von Patienten-/Klientenkarteien zur Dokumentation, Erstellung von Gutachten […] und Honorarverrechnung im Rahmen der freiberuflichen Berufsausübung […] einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten“.

Die Sub-Anwendung umfasst den Betroffenenkreis „Patienten/Klienten des Auftraggebers sowie Patienten/ Klienten von zuweisenden Gesundheitsdiensteanbietern“, dem 33 Datenarten zugeordnet sind, darunter folgende (Auszug):

  • 1. Patienten-/Klientennummer, Protokollnummer
  • 2. Namen, frühere Namen (Namensteile)
  • 16. Inanspruchnahme des Auftraggebers (Anlass, Datum, Art und Anzahl der Beratungen/Behandlungen/Therapieeinheiten)
  • 18. Zustand der Person bei Übernahme der Beratung oder Behandlung
  • 19. Anamnese (Familien- und Eigenanamnese, Berufsanamnese)
  • 20. Vorbehandlungen
  • 21. Diagnosen (auch Fremddiagnosen) zu Behandlungsbeginn und bei Beendigung
  • 22. Besondere Risikofaktoren (zB tätigkeitsbedingte Einflüsse, familiäre Disposition, ausgeübte Tätigkeit)
  • 23. Gutachtliche Äußerungen des Auftraggebers (zB gegenüber Auftraggebern von Gutachten)
  • 24. Behandlungs-/Beratungsverlauf, besondere Vorkommnisse während der Behandlung
  • 26. Angaben über Art, Umfang und Methoden (der beratenden, diagnostischen und therapeutischen Leistungen sowie der Pflege)
  • 28. Daten zur Abrechnung von Honoraren, vereinbartes Honorar und sonstige weitere Vereinbarungen im Rahmen des Behandlungsvertrags
  • 31. Konsultationen von Berufskollegen sowie von Angehörigen anderer Gesundheitsberufe oder sonstiger relevanter Berufe gemäß § 30 Abs. 1 Z 6 MuthG

Die Sub-Anwendung umfasst weiters die Betroffenenkreise „Arbeitgeber“ und „Kontaktperson (nach Angabe des Patienten/Klienten) oder gesetzlicher Vertreter des Patienten/Klienten“.

Es sind Übermittlungen an 6 verschiedene Empfängerkreise vorgesehen. Nähere Details sind der Anlage 1 StMV 2012 zu entnehmen.


SA032 Videoüberwachung

Bei diese Standardanwendung, die in mehrere Sub-Anwendungen unterteilt ist, wurden einerseits die bestehende Sub-Anwendungen A. - F. geändert, andererseits wurden die neuen Sub-Anwendungen G. - I. eingeführt.

Änderungen der Sub-Anwendungen A. - F.


A. Bank

Bei dieser Sub-Anwendung, die die Videoüberwachung im Bank-Bereich regelt, wurden die Übermittlungsempfänger geändert. Diese lauten nun wie folgt:

  1. Zuständige Behörde bzw. zuständiges Gericht (zur Sicherung aus Beweisgründen in Strafrechtssachen) gemäß §§ 80 bzw. 109 ff StPO iVm §§ 7, 8 und § 50a Abs. 6 Z 1 DSG 2000
  2. Sicherheitsbehörden (zu sicherheitspolizeilichen Zwecken) gemäß § 53 Abs. 5 SPG iVm § 50a Abs. 6 Z 2 DSG 2000
  3. Gerichte (zur Sicherung von Beweisen in Zivilrechtssachen) gemäß §§ 384 ff ZPO iVm §§ 7 und 8 Abs. 3 Z 5 DSG 2000
  4. Kontoinhaber (im Rahmen der Verkehrssicherungspflichten, Vertragshaftung und ähnliche Rechtsgründe) gemäß §§ 7 Abs. 2 und 8 Abs. 1 Z 4 DSG 2000
  5. Kontoführende Bank (im Rahmen der Verkehrssicherungspflichten, Vertragshaftung und ähnliche Rechtsgründe) gemäß §§ 7 Abs. 2 und 8 Abs. 1 Z 4 DSG 2000
  6. Versicherungen (ausschließlich zur Abwicklung von Versicherungsfällen) gemäß §§ 7 und 8 Abs. 1 Z 4, 8 Abs. 3 Z 4 und 5 DSG 2000.


B. Juwelier, Handel mit Antiquitäten und Kunstgegenständen, Gold- und Silberschmied

Bei dieser Sub-Anwendung, die die Videoüberwachung in den titelmäßig genannten Bereichen regelt, wurden die Übermittlungsempfänger geändert. Diese lauten nun wie folgt:

  1. Zuständige Behörde bzw. zuständiges Gericht (zur Sicherung aus Beweisgründen in Strafrechtssachen) gemäß §§ 80 bzw. 109 ff StPO iVm §§ 7, 8 und § 50a Abs. 6 Z 1 DSG 2000
  2. Sicherheitsbehörden (zu sicherheitspolizeilichen Zwecken) gemäß § 53 Abs. 5 SPG iVm § 50a Abs. 6 Z 2 DSG 2000
  3. Gerichte (zur Sicherung von Beweisen in Zivilrechtssachen) gemäß §§ 384 ff ZPO iVm §§ 7 und 8 Abs. 3 Z 5 DSG 2000
  4. Versicherungen (ausschließlich zur Abwicklung von Versicherungsfällen) gemäß §§ 7 und 8 Abs. 1 Z 4, 8 Abs. 3 Z 4 und 5 DSG 2000


C. Trafik

Bei dieser Sub-Anwendung wurden analog zur Sub-Anwendung B. die gleichen Änderungen bei den Übermittlungsempfängern vorgenommen, weshalb diese ident lauten.

Weiters wurde der Zweck der Sub-Anwendung um folgende Textpassage erweitert: „[…] sowie des im Außenbereich an der Hausmauer oder Fassade der Trafik angebrachten Tabakwarenautomaten („Zigarettenautomaten“) […]“
Der Zweck lautet nun wie folgt:

„Verschlüsselte Videoüberwachung der Trafik sowie des im Außenbereich an der Hausmauer oder Fassade der Trafik angebrachten Tabakwarenautomaten („Zigarettenautomaten“) zum Zweck des Eigenschutzes (Schutz des Eigentums und Schutz der Mitarbeiter des Auftraggebers) und des Verantwortungsschutzes (Wahrnehmung von Verkehrssicherungspflichten, Vertragshaftung gegenüber Kunden etc.) sowie zum Zweck der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens, soweit hievon der Aufgabenbereich des Auftraggebers betroffen ist, mit ausschließlicher Auswertung in dem durch den Zweck definierten Anlassfall, wobei sich die Zulässigkeit der Videoüberwachung nach § 50a DSG 2000 richtet.“


D. Tankstelle

Bei dieser Sub-Anwendung wurden analog zur Sub-Anwendung B. die gleichen Änderungen bei den Übermittlungsempfängern vorgenommen, weshalb diese ident lauten. Es wurden keine weiteren Änderungen vorgenommen.


E. Bebautes Privatgrundstück (samt Hauseingang und Garage)

Bei dieser Sub-Anwendung wurden analog zur Sub-Anwendung B. die gleichen Änderungen bei den Übermittlungsempfängern vorgenommen, weshalb diese ident lauten. Es wurden keine weiteren Änderungen vorgenommen.


F. Ausländische Vertretungsbehörden und Internationale Organisationen

Auch bei dieser Sub-Anwendung wurden analog zur Sub-Anwendung B. die gleichen Änderungen bei den Übermittlungsempfängern vorgenommen, weshalb diese ident lauten. Es wurden keine weiteren Änderungen vorgenommen.


Die neuen Sub-Anwendungen G. - I.

Die folgenden Sub-Anwendungen wurden in der Standardanwendung „SA032 Videoüberwachung“ ergänzt.


G. Verwaltungsgebäude öffentlicher Rechtsträger

Der Zweck dieser neuen Sub-Anwendung wurde wie folgt festgelegt:

„Verschlüsselte Videoüberwachung des Einganges samt Zutrittsbereich zu einem ausschließlich vom öffentlichen Rechtsträger mit Parteienverkehr als Auftraggeber genutzten Verwaltungsgebäude oder des separaten Einganges samt Zutrittsbereich zu einem räumlich abgegrenzten, vom öffentlichen Rechtsträger mit Parteienverkehr genutzten Gebäudeteil (zB Haushälfte, Stockwerk) in einem nicht ausschließlich nur vom Auftraggeber genutzten Verwaltungsgebäude sowie der Fassade eines Verwaltungsgebäudes, das im Eigentum eines öffentlichen Rechtsträgers als Auftraggeber der Videoüberwachung steht oder bei welchem dieser für Beschädigungen der Fassade des Verwaltungsgebäudes einzustehen hat, sowie von Amtskassen zum Zweck des Eigentumsschutzes und des Verantwortungsschutzes, der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens, soweit hievon der Aufgabenbereich des Auftraggebers betroffen ist, mit ausschließlicher Auswertung in dem durch den Zweck definierten Anlassfall, wobei sich die Zulässigkeit der Videoüberwachung nach § 50a DSG 2000 richtet.“

Die Betroffenenkreise mitsamt Datenarten sind wie bei allen Sub-Anwendungen der gegenständlichen Standardanwendung festgelegt, nämlich wie folgt: Der Betroffenenkreis „Personen, welche sich im videoüberwachten Bereich aufhalten“ ist der erste von zwei und umfasst folgende Datenarten:

  1. Bilddaten der Betroffenen (Aussehen, Verhalten)
  2. Ort der Bildaufzeichnung (Räumlichkeit, Standort der Kamera)
  3. Zeit der Bildaufzeichnung (Datum, Uhrzeit, Beginn/Ende der Bildaufzeichnung)

Der zweite Betroffenenkreis heißt „Im Rahmen der Videoüberwachung aufgenommene Personen, welche im Anlassfall identifiziert werden“ und umfasst folgende Datenarten:

4. Bilddaten der Betroffenen (Aussehen, Verhalten)
5. Ort der Bildaufzeichnung (Räumlichkeit, Standort der Kamera)
6. Zeit der Bildaufzeichnung (Datum, Uhrzeit, Beginn/Ende der Bildaufzeichnung)
7. Identität der Betroffenen, soweit aus der Aufzeichnung für den Auswertenden erkennbar
8. Rolle der Betroffenen (z.B. Täter, Opfer, Zeuge), soweit aus der Aufzeichnung erkennbar

Die Übermittlungsempfänger wurden analog zur Sub-Anwendung B. festgelegt, weshalb diese ident lauten. Weitere Details sind der Anlage 1 der StMV 2004 zu entnehmen.


H. Rechenzentren

Der Zweck dieser neuen Sub-Anwendung wurde wie folgt festgelegt:
„Verschlüsselte Videoüberwachung von Rechenzentren (Serverräume sowie Systemkomponenten von Rechenzentren), die sich in speziell gesicherten Räumlichkeiten getrennt vom Bürobereich befinden, zum Zweck des Eigentumsschutzes und des Verantwortungsschutzes, der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens, soweit hievon der Aufgabenbereich des Auftraggebers betroffen ist, mit ausschließlicher Auswertung in dem durch den Zweck definierten Anlassfall, wobei sich die Zulässigkeit der Videoüberwachung nach § 50a DSG 2000 richtet.“

Die Betroffenenkreise mitsamt Datenarten sowie die Übermittlungsempfänger wurden analog zur Sub-Anwendung G. festgelegt, weshalb diese ident lauten. Weitere Details sind der Anlage 1 der StMV 2004 zu entnehmen.


I. Parkgaragen und -plätze

Der Zweck dieser neuen Sub-Anwendung wurde wie folgt festgelegt:
„Verschlüsselte Videoüberwachung der vom Auftraggeber betriebenen Parkgaragen und -plätze (insbesondere des Einganges und des Zutrittsbereiches, der Kassen und Automaten, der Stiegenhäuser sowie der Parkdecks) zum Zweck des Eigentumsschutzes und des Verantwortungsschutzes, der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens, soweit hievon der Aufgabenbereich des Auftraggebers betroffen ist, mit ausschließlicher Auswertung in dem durch den Zweck definierten Anlassfall, wobei sich die Zulässigkeit der Videoüberwachung nach § 50a DSG 2000 richtet.“

Die Betroffenenkreise mitsamt Datenarten sowie die Übermittlungsempfänger wurden analog zur Sub-Anwendung G. festgelegt, weshalb diese ident lauten. Weitere Details sind der Anlage 1 der StMV 2004 zu entnehmen.


III) Resümee

Durch den Entfall entsprechender Meldungen, ersparen sich nicht nur viele Auftraggeber Verwaltungsaufwand, sondern auch das DVR und die DSK.



DSG-Info-Service Nr. 70
September 2012

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

 

Mit 1. September 2012 trat gem. BGBl. II 257/2012 die neue Datenverarbeitungsregister-Verordnung (DVRV 2012) in Kraft. Die DVRV 2002 tritt gleichzeitig außer Kraft.

Die Bestimmungen der neuen Verordnung bringen in Zusammenhang mit dem Meldeverfahren von Datenanwendungen gem. § 17 DSG 2000 grundlegende Änderungen mit sich.

Mit 1. September 2012 nahm die Internetanwendung DVR-Online den Dienst als Plattform für Meldungen an das DVR und das Abrufen von DVR-Auszügen auf. Sämtliche Meldungen müssen gem. § 17 Abs. 1a DSG 2000 über diese neue Online-Plattform erstattet werden.

Ausgenommen sind lediglich manuelle Datenanwendungen, die weiterhin per E-Mail bzw. Briefpost gemeldet werden dürfen.
Automationsgestützte Datenanwendungen dürfen über diesen Weg nur noch bei einem längeren technischen Ausfall der Internetanwendung erfolgen. Für die Erstattung von Meldungen wird eine Signaturkarte (z.B. frei geschaltete e-Card) benötigt. Alternativ ist die Authentifizierung mittels Handysignatur möglich.

Durch diesen Schritt soll u.a. die Transparenz bei der Datenverwendung erhöht werden. Durch DVR-Online lassen sich die Meldungen rascher bearbeiten und registrieren. Durch die Online-Einsicht lässt sich eine unterlassene Meldung einfacher feststellen und Details einer Datenverwendung (z.B. Zweck, Datenarten oder Übermittlungen) rascher einsehen.

Die Secur-Data hat in dieser Ausgabe die wohl wichtigsten Punkte betreffend die DVRV 2012 für Sie zusammengefasst.

 

Verordnung des Bundeskanzlers über das bei der
Datenschutzkommission eingerichtete Datenverarbeitungsregister
(Datenverarbeitungsregister-Verordnung 2012)

Allgemeines

Die Datenschutzkommission (DSK) ist gem. § 2 DVRV 2012 zur Führung des Datenverarbeitungsregisters gem. § 16 Abs. 1 DSG 2000 beauftragt. Die gegenständliche Verordnung regelt die Einrichtung und die Führung des Datenverarbeitungsregisters sowie den damit verbundenen Zugang für Meldungen, die Einsichtnahme in das Register sowie die Durchführung von Registrierungen.

Das Register umfasst gem. § 4 DVRV 2012 insbesondere die registrierten Meldungen über Auftraggeber und Datenanwendungen sowie den zugehörigen Registrierungsakt. Zu letzterem zählen die ausgefüllten Online-Meldeformulare/Formblätter, Beilagen, Unterlagen in Zusammenhang mit Verbesserungsaufträgen, Genehmigungsbescheide der DSK gem. § 13 DSG 2000 sowie Bescheide der DSK über Auflagen, die anlässlich eines Prüfungsverfahrens erteilt wurden.

 

DVR-Online und DVRV 2012 im Detail

1. Zugang zum Datenverarbeitungsregister
Gem. § 5 DVRV 2012 erfolgt der Zugang via Internet über die Plattform DVR-Online, die unter dvr.dsk.gv.at erreicht werden kann. Hier lassen sich gem. § 6 DVRV 2012 auch gemeldete Datenanwendungen einsehen und ein Registerauszug ausheben.
Die Online-Plattform umfasst weiters auch ein Verzeichnis der Informationsverbundsysteme, das ebenfalls eingesehen werden kann. Während diese Unterlagen öffentlich einsehbar sind, lässt sich ein Registrierungsakt gem. § 6 Abs. 2 DVRV 2012 nur dann einsehen, wenn der Einsichtwerber glaubhaft macht, dass er Betroffener ist.

2. Meldungen an das Datenverarbeitungsregister
Unter der oben angeführten Internetadresse ist die Internetanwendung DVR-Online erreichbar, wo sich einerseits öffentlich zugängliche Unterlagen ohne Login einsehen lassen. Andererseits lassen sich mit Login – hierfür ist eine Signaturkarte oder Handysignatur erforderlich – Meldungen an das DVR durchführen.
Die Websites www.handy-signatur.at und www.buergerkarte.at stellen nähere Informationen betreffend die Signatur bereit.
Auf DVR-Online sind gem. § 7 DVRV 2012 sämtliche Meldungen mittels Online-Formularen und zugehörigen elektronischen Beilagen (Upload von Dateien) einzureichen. Analog sind auch Verbesserungsaufträge über die Plattform zu bearbeiten. Meldungen via E-Mail oder in Papierform sind seit 1. September 2012 unzulässig und nur bei einer längeren Störung der Online-Plattform als „Ersatzweg“ zulässig.

3. Identifizierung und Authentifizierung bei DVR-Online
Die Anmeldung zu DVR-Online erfolgt gem. § 14 DVRV 2012 mittels Bürgerkarte oder über das Unternehmensserviceportal. Die Handy-Signatur ist ebenfalls möglich.

4. Online-Formulare auf DVR-Online
In den Anlagen 1 - 4 der DVRV 2012 werden die Inhalte (Felder der Eingabemaske) der Online-Formulare von DVR-Online beschrieben, die analog zu den früheren Formblättern im Word-Format bzw. in Papierform aufgebaut sind. Die Online-Formulare im Detail:

„Angaben zum Auftraggeber“

Dieses Online-Formular umfasst gem. DVRV 2012 Anlage 1 folgende Inhalte:

  1. Angabe, ob Erst-, Änderungs- oder Streichungsmeldung
  2. DVR-Nummer (sofern vorhanden)
  3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
  4. Rechtsgrundlagen des Auftraggebers im Sinne des § 7 Abs. 1 DSG 2000
  5. Nummer des Registers bei Auftraggebern, die aufgrund ihrer Tätigkeit in einem öffentlichen Register eingetragen sind (sofern vorhanden)
  6. Name oder sonstige Bezeichnung und Anschrift des Vertreters eines Auftraggebers, der keine Niederlassung in der Europäischen Union hat
  7. Name, Anschrift und E-Mail-Adresse eines allfälligen Zustellungsbevollmächtigten
  8. Name und Telefonnummer des allfälligen Sachbearbeiters beim Auftraggeber
  9. Angaben über die Beilagen zur Meldung

„Meldung einer Datenanwendung“

Dieses Online-Formular umfasst gem. DVRV 2012 Anlage 2 folgende Inhalte:

  1. Angabe, ob Neu-, Änderungs- oder Streichungsmeldung (bei Streichungsmeldung verkürztes DVR-Online-Formular möglich)
  2. DVR-Nummer (sofern eine solche bereits zugeteilt wurde)
  3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
  4. Name, Anschrift und E-Mail-Adresse eines allfälligen Zustellungsbevollmächtigten
  5. Name und Telefonnummer des allfälligen Sachbearbeiters beim Auftraggeber
  6. Bezeichnung und Zweck der Datenanwendung
  7. allgemeine Angaben zur Datenanwendung betreffend:
    a) besondere Rechtsgrundlagen der Datenanwendung, soweit sich diese nicht bereits aus den allgemeinen Rechtsgrundlagen des Auftraggebers ergeben
    b) Zugehörigkeit zum öffentlichen oder privaten Bereich
    c) Vorliegen automationsunterstützter oder manueller Datenanwendung
    d) Anwendbarkeit der Vorabkontrolle:

    • aa) Verwendung von sensiblen Daten
    • bb) Verwendung von strafrechtlich relevanten Daten
    • cc)  Vorliegen eines Kreditinformationssystems
    • dd) Teilnahme an einem Informationsverbundsystem
    • ee) Videoüberwachung (gemäß § 50c DSG 2000)

  8. im Falle, dass die Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt:
    a) Bezeichnung des gesamten Informationsverbundsystems
    b) Rechtsgrundlagen des gesamten Informationsverbundsystems, soweit sich diese nicht bereits aus den Angaben zu Punkt 7a) ergeben und
    c) Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Betreibers
  9. besondere Angaben zum Inhalt der Datenanwendung:
    a) die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten
    b) im Falle von beabsichtigten Übermittlungen:

    • aa) die Kreise der Betroffenen
    • bb) die zu übermittelnden Datenarten
    • cc) die zugehörigen Empfängerkreise einschließlich Angaben über allfällige ausländische Empfängerstaaten sowie Zugehörigkeit der Übermittlungsempfänger zum gleichen Informationsverbundsystem
    • dd) die Rechtsgrundlagen der Übermittlungen

  10. Geschäftszahlen der Bescheide der Datenschutzkommission, mit welchen Auflagen, Bedingungen oder Befristungen gemäß § 21 Abs. 2 DSG 2000 erteilt wurden (diese sind vom Datenverarbeitungsregister anlässlich der Registrierung einzutragen)
  11. soweit eine Genehmigung der Datenschutzkommission für Datenübermittlungen oder Überlassungen ins Ausland notwendig ist, die Geschäftszahl der Genehmigung durch die Datenschutzkommission
  12. Angaben über die Beilagen zur Meldung

„Meldung einer Musteranwendung“

Dieses Online-Formular umfasst gem. DVRV 2012 Anlage 3 folgende Inhalte:

  1. Angabe, ob Neu-, Änderungs- oder Streichungsmeldung
  2. DVR-Nummer (sofern eine solche bereits zugeteilt wurde)
  3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
  4. Bezeichnung der Musteranwendung
  5. Angaben über die Beilagen zur Meldung


„Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“

Dieses Online-Formular umfasst gem. DVRV 2012 Anlage 4 in Bezug auf die Datenanwendung Angaben darüber, ob

  1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festgelegt ist,
  2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter gebunden ist,
  3. jeder Mitarbeiter über seine nach dem DSG 2000 und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten belehrt wurde,
  4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters, in denen Daten und Programme verwendet werden, geregelt wurde und Maßnahmen gegen den Zutritt Unbefugter ergriffen wurden,
  5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte geregelt ist,
  6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festgelegt ist und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abgesichert ist,
  7. Protokoll geführt wird, damit Verwendungen von Daten, wie insbesondere Änderungen, Abfragen und Übermittlungen von Daten, auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
  8. zur Erleichterung der Kontrolle und Beweissicherung eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen geführt wird.


Mit DVR-Online wurde ein Meilenstein für raschere Meldungsabwicklung und Registereinsicht gesetzt, womit auch höhere Transparenz geschaffen wird. DVR-Online steht weltweit via Internet zur Verfügung.

 

 

DSG-Info-Service Nr. 68/69
Juni 2012

 

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

 

Wie wir Sie bereits in unserer Ausgabe Nr. 66 / 67 informiert haben, hat die Europäische Kommission im Jänner dieses Jahres einen Entwurf für ein Gesamtkonzept für den Datenschutz in der EU verfasst.

Die zuständige EU-Justizkommissarin und Vizepräsidentin der EU-Kommission, Viviane Reding, ließ den Entwurf mit der Bezeichnung „Vorschlag für VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverord­nung) (Text von Bedeutung für den EWR) {SEK(2012) 72 endgültig} {SEK(2012) 73 endgültig}“ („Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)“) am 25. Jänner 2012 veröffentlichen.

Grund für eine solche Verordnung sind die neuen vielfältigen Herausforderungen für den Datenschutz, in erster Linie bedingt durch die Dynamik iZm Internetanwendungen mitsamt den modernen Technologien wie soziale Netzwerke oder Cloud Computing. Die Verordnung verfolgt Lösungsansätze und gibt Ziele vor, um die bestehenden Datenschutzvorschriften entsprechend zu ändern und auf die heutigen datenschutzrechtlichen Anforderungen anzupassen. Die Europäische Datenschutzverordnung soll an die Stelle der Richtlinie 95/46/EG treten, wobei die wohl die wichtigste Änderung in der Tatsache liegt, dass anstelle einer Richtlinie nunmehr eine Verordnung vorliegt.

Richtlinien sind gem. Art. 288 Abs. 3 EG-Vertrag für jeden Mitgliedstaat, an den sie gerichtet sind, nur hinsichtlich des zu erreichenden Zieles verbindlich, während die Wahl der Form und der Mittel den innerstaatlichen Stellen überlassen bleibt.

Verordnungen gem. Art. 288 Abs. 2 EG-Vertrag haben dagegen allgemeine Geltung und sind in allen Teilen verbindlich und gelten unmittelbar in jedem Mitgliedstaat.

Datenschützer wie auch Arbeitnehmervertreter, etwa AK und GPA, äußern am gegenständlichen Entwurf erste Kritik. Die Secur-Data nahm am 24. April an der AK Informationsveranstaltung „Die neue Europäische Datenschutzverordnung“ teil und hält für Sie die wichtigsten Kritikpunkte weiter unten fest.

Weiters greifen wir in dieser Ausgabe die letzten beiden Novellierungen des TKG 2003 auf. Diese umfassen die Vorratsdatenspeicherung, welche auf der EU-Richtlinie 2006/24/EG beruht und die seit 1. April 2012 von Telekommunikationsbetreibern vorzunehmen ist, sowie Verbesserungen für Telekommunikationskunden wie z.B. Vertrags- und Kostentransparenz und in Bezug auf den Datenschutz.

Die Secur-Data hat für Sie die wichtigsten Neuigkeiten zusammengefasst.

 

AK Informationsveranstaltung
„Die neue Europäische Datenschutzverordnung“

Zur Veranstaltung

Vor dem Hintergrund des weiter oben genannten Verordnungsentwurfes für ein Gesamtkonzept für den Datenschutz in der EU fand am 24. April 2012 im AK Bildungszentrum in Wien 4, Theresianumgasse 16-18, die Veranstaltung „Die neue Europäische Datenschutzverordnung“ statt.

Die Abgeordnete des Europäischen Parlaments und stellvertretende Vorsitzende im Ausschuss für Recht, Evelyn Regner, referierte über die aktuelle Datenschutz-Diskussion im Europäischen Parlament.

Gerda Heilegger von der AK Wien, Abteilung Sozialpolitik, trug zu rechtlichen Aspekten rund um die Arbeitnehmerbelange vor. Im Rahmen der Veranstaltung fand eine Diskussion statt, an der u. a. Joe Weidenholzer, Abgeordneter des Europäischen Parlaments und Mitglied im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, teilnahm.

Wir haben nachstehend die wichtigsten genannten Kritikpunkte am gegenständlichen Verordnungsentwurf für Sie festgehalten.

Kritikpunkte

1. Der betriebliche Datenschutzbeauftragte

Im Entwurf der Datenschutzverordnung ist die Einrichtung eines betrieblichen Datenschutzbeauftragten für Betriebe mit einer Größe von 250 oder mehr Mitarbeitern verpflichtend vorgesehen, sofern im Betrieb personenbezogene Daten verarbeitet werden.

Weil ca. 99 % der Unternehmen in Österreich weniger als 250 Mitarbeiter beschäftigen, kritisieren Regner und Weidenholzer, dass diese Grenze viel zu hoch liegt, da dadurch die Mehrheit der Unternehmen und deren Beschäftigte schlechter gestellt werden. Daher schlagen Regner und Weidenholzer eine Grenze von 50 Mitarbeitern vor. In Österreich besteht bekanntlich derzeit keine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten.

Im Vergleich dazu ist derzeit in Deutschland gem. § 4f Abs. 1 BDSG (Bundesdatenschutzgesetz) ein Beauftragter für den Datenschutz im nicht-öffentlichen Bereich dann zu bestellen, wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. In diesem Kontext lassen sich die Bestimmung des Verordnungsentwurfes in Deutschland als erhebliche Verschlechterung des Datenschutzes einstufen. Kritisiert wird, dass für den Fall einer solchen Verschlechterung in der Verordnung keine Regelungen vorgesehen sind.

Weiters kritisieren die Abgeordneten, dass der gegenständliche Verordnungsentwurf keine konkreten Befugnisse des betrieblichen Datenschutzbeauftragten definiert und dessen Mindestausbildung nicht festlegt.

2. Das one-stop-shop-Prinzip

Der Verordnungsentwurf sieht vor, dass die Datenschutzbehörde jenes Landes für ein  Unternehmen zuständig ist, in dem sich die Hauptniederlassung befindet – etwa die Konzernzentrale. Nach dem one-stop-shop-Prinzip ist diese für das gesamte Unternehmen, d.h. auch Niederlassungen bzw. Konzernunternehmen in anderen EU-Mitgliedstaaten zuständig. Dem sollen insbesondere Kooperationsvereinbarungen zwischen den einzelnen Datenschutzbehörden zugrunde liegen.

Regner und Weidenholzer kritisieren, dass dadurch insbesondere große Unternehmen die Möglichkeit haben, ihren Hauptsitz in einen EU-Mitgliedstaat zu legen, in dem die verfügbaren Ressourcen der Datenschutzbehörden ein weniger rasches Entscheiden und Handeln erwarten lassen.

Zudem wird von den Kritikern höherer Administrationsaufwand auf Seite der Datenschutzbehörden vermutet, da die Datenschutzbehörden in einem Land nun die Anlaufstelle auch für Belange aus den anderen Mitgliedstaten sind.

Wie die Rechtsdurchsetzung innerhalb dieses one-stop-shop-Konzeptes in der Praxis erfolgen soll, ist nach Meinung der Abgeordneten eine offene Frage, wobei die Zusammenarbeit und der Austausch unter den Datenschutzbehörden nur relativ abstrakt geregelt sind und rechtlich „zerfließen“. Heilegger befürchtet in diesem Kontext Verzögerungen im Ablauf, Verteuerungen und verschlechterte Rechtsdurchsetzung.

3. Sonstige Kritik

Heilegger kritisiert, dass der Verordnungsentwurf keine Meldung bzw. Publizität von Datenanwendungen bei einem Register vorsieht, so wie es derzeit durch das DSG 2000 geregelt ist. Dadurch hätten u.a. Betriebsräte keine Möglichkeit mehr, bei der Behörde Informationen über Datenanwendungen einzuholen, um diese etwa iZm Arbeitnehmerbelangen zu prüfen.

Weiters kritisiert Heilegger das vorgesehene Konzernprivileg. Durch dieses sollen Übermittlungen an Konzernunternehmen zulässig sein, sobald der Auftraggeber einseitig eine entsprechende Richtlinie in der Organisation verankert hat.

Regner und Weidenholzer kritisieren auch die hohe Anzahl von delegierten Rechtsakten, die als Ausführungsverordnungen vorgesehen sind (Sonder-Verwaltungsverfahren nach der EU-VO), deren Notwendigkeit es zu hinterfragen gilt. Einerseits werden dadurch sowohl Komplexität als auch Aufwand erhöht, andererseits  leidet darunter die Transparenz.

Ausblick

Während der vorliegende Vorschlag von allen 27 EU-Mitgliedstaaten akzeptiert werden muss, sind noch viele Fragen offen, weshalb eine rasche Umsetzung nicht zu erwarten ist.

Datenschutzexperten rechnen mit etwa 2 bis 3 Jahren, bis die Mitgliedstaaten die Verordnung annehmen, sofern keine größeren Änderungen vorgenommen werden, die diese Dauer erstrecken.

Wir werden Sie jedenfalls in dieser Angelegenheit auf dem Laufenden halten.

 

Novellierung des TKG 2003
(Telekommunikationsgesetz 2003)

Zur Novellierung

Mit dem Bundesgesetzblatt BGBl. I Nr. 102/2011 vom 21. November 2011 nahm der Gesetzgeber wesentliche Änderungen des TKG 2003 vor. So werden etwa dem Telekommunikationskunden mehr Rechte eingeräumt – insbesondere Informationsrechte, höhere Transparenz und Schutz vor überhöhten Telekommunikationsrechnungen. Darüber hinaus enthält diese Novelle auch Verbesserungen im Bereich des Datenschutzes für die Nutzer, die von allen „Diensten der Informationsgesellschaft“ zu gewährleisten sind. Die wichtigste Verbesserung betrifft die Verwendung von „Cookies“. Damit werden die als „Telekomreformpaket“ der EU bezeichneten Richtlinien 2009/140/EG zur Änderung der Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und –dienste, weiters die Richtlinie 2002/19/EG über den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie deren Zusammenschaltung und die Richtlinie 2002/20/EG über die Genehmigung elektronischer Kommunikationsnetze und -dienste (Rahmenrichtlinie) sowie 2009/136/EG zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und die Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz umgesetzt. Weiters werden mit dieser Novelle die erforderlichen begleitenden Regelungen zur Verordnung (EG) Nr. 1201/2009 zur Einrichtung des Gremiums Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) und des Büros erlassen.

Im Zuge der Novelle erlangt auch die RTR (Rundfunk und Telekom Regulierungs-GmbH) mehr Rechte. So verfügt diese nun über das Recht, mittels Verordnung den Detaillierungsgrad, Inhalte sowie die Form der Inhalte in Bezug auf Telekommunikationsverträge und Änderungen von Verträgen (einschließlich AGB) zu bestimmen.

Weiters hat der Gesetzgeber mit dem Bundesgesetzblatt BGBl. I Nr. 27/2011 vom 18. Mai 2011 die mit 1. April 2012 in Kraft getretene und viel diskutierte Vorratsdatenspeicherung erlassen. Damit wird die EU-Richtlinie 2006/24/EG über die „Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden“ in nationales Recht umgesetzt. Die Vorratsdatenspeicherung schreibt den Betreibern vor, die in § 102a TKG 2003 bestimmten Daten aus dem Telekommunikationssystem, darunter Daten betreffend die Nutzung eines Dienstes, für die Dauer von sechs Monaten zu speichern.

An dieser Stelle greifen wir für Sie die wesentlichsten Änderungen der beiden Novellen auf.

Änderungen

Verkürzte Mindestvertragsdauer

Die anfängliche Mindestvertragsdauer für Kommunikationsdienste mit Verbrauchern (z.B. Mobilfunkvertrag) ist nun gem. § 25d Abs. 1 TKG 2003 (Mindestvertragsdauer) auf max. 24 Monate beschränkt. Höhere Bindefristen sind somit unzulässig.

Bessere Informationen vor Vertragsabschluss

Gem. § 25b TKG 2003 (Besondere Informationspflichten) hat der Betreiber von öffentlichen Kommunikationsdiensten (Provider) vor dem Vertragsabschluss über die wesentlichen Merkmale des Vertrages iSv § 25 Abs. 4 und 5 TKG 2003 in klarer Form zu informieren bzw. die Informationen zugänglich zu machen. § 25 Abs. 4 und 5 TKG 2003 geben die Mindestinhalte der Allgemeine Geschäftsbedingungen und der Entgeltbestimmungen vor, wozu etwa folgende Inhalte zählen: „Information über die Möglichkeiten der Rufnummernanzeige und Unterdrückung“, „Informationen über Einschränkungen im Hinblick auf den Zugang zu oder die Nutzung von Diensten“, „zugesicherte Dienstqualität“, „Informationen über vom Unternehmen zur Messung und Kontrolle des Datenverkehrs eingerichteten Verfahren“, „Arten der angebotenen Wartungsdienste und der verfügbaren Kundendienste“, „alle vom Betreiber auferlegten Beschränkungen für die Nutzung der von ihm zur Verfügung gestellten Endeinrichtungen“, „sofern eine Verpflichtung nach § 69 Abs. 2 TKG 2003 besteht, die Möglichkeit des Teilnehmers sich zu entscheiden, ob seine personenbezogenen Daten in ein Teilnehmerverzeichnis aufgenommen werden sollen und gegebenenfalls die betreffenden Daten“, „Bestimmungen über die Intervalle der periodischen Rechnungslegung, die drei Monate nicht überschreiten dürfen“ und „Einzelheiten über einmalige, regelmäßig wiederkehrende und variable Entgelte“. Zudem hat die RTR in diesem Kontext nun das Recht, mittels Verordnung den Detaillierungsgrad, Inhalte sowie die Form der Inhalte zu bestimmen.

Bessere Information bei Vertragsänderungen

Gem. § 25 Abs. 2 bis 3 TKG 2003 ist der „wesentliche Inhalt [..] nicht ausschließlich begünstigender Änderungen“ der AGB (Allgemeine Geschäftsbedingungen) oder von Entgelten dem Teilnehmer mindestens einen Monat vor Inkrafttreten schriftlich mitzuteilen, wie etwa durch ein eigenes Schreiben oder auf der Rechnung. Auch hier hat die RTR nun das Recht, mittels Verordnung den Detaillierungsgrad, Inhalte sowie die Form der Inhalte zu bestimmen.

Datendienste-Sicherheitssperre eingeführt

Gem. § 29 Abs. 2 TKG 2003 können neben Mehrwertnummern nun auch Datendienste gesperrt werden. Die Sperre hat einmal pro Jahr entgeltfrei möglich zu sein.

Rechnungseinspruchs-Frist verlängert

Gem. § 71 Abs. 1 bis 1a TKG 2003 hat ein Teilnehmer, sofern dieser die Richtigkeit der ihm verrechneten Entgelte für einen Kommunikationsdienst bezweifelt, nun eine Frist von drei Monaten, um gegen eine Rechnung des Telekommunikationsdienstanbieters schriftlich Einspruch zu erheben.

Wahlrecht auf Rechnung in Papierform oder elektronischer Form

§ 100 Abs. 1 TKG 2003 räumt dem Teilnehmer bei Vertragsabschluss das Recht ein, zwischen einer Rechnung in elektronischer oder Papierform zu wählen. Die Ausstellung der Rechnungen in Papierform hat unentgeltlich zu erfolgen und darf vertraglich nicht ausgeschlossen werden. Erfolgt der Einzelentgeltnachweis in elektronischer Form, so hat der Teilnehmer das Recht, diesen auf gesondertes Verlangen entgeltfrei in Papierform zu erhalten.

Kostenkontrolle als Schutz vor hohen
Telekommunikationsrechnungen

In § 25a TKG 2003 wird die Kostenbeschränkung geregelt. Gem. § 25a Abs. 1 TKG 2003 ist die Regulierungsbehörde befugt, den Telekommunikationsbetreibern mittels Verordnung Verpflichtungen iZm der Bereitstellung von Möglichkeiten der Kostenkontrolle iSv Kostentransparenz aufzuerlegen. Gem. § 25a Abs. 2 TKG 2003 kann die Regulierungsbehörde etwa folgende Aspekte regeln:

  • Detaillierungsgrad und Form der Einrichtungen zur Kostenbeschränkung bzw. Kontrolle
  • Schwellenwerte, ab denen z.B. unentgeltliche Warnhinweise über den Verbrauch von vertraglichen Freieinheiten zu erfolgen haben
  • Einrichtung kostenfreier Dienste-Sperren bei ungewöhnlichen oder übermäßigen Verbraucherverhalten          

Die Regulierungsbehörde hat währenddessen die technischen Möglichkeiten sowie die Art des Teilnehmerverhältnisses und des Dienstes insofern zu berücksichtigen, dass die Teilnehmer die Möglichkeit haben, ihre Ausgaben zu kontrollieren und zu steuern. Das Ziel ist es, die Verbraucher vor übermäßigem Entgeltanfall zuverlässig zu schützen.

Datensicherheitsmaßnahmen

§ 95 Abs. 1 und 3 TKG 2003 verpflichtet jeden Betreiber eines öffentlichen Kommunikationsdienstes zur Erlassung von Datensicherheitsmaßnahmen iSd § 14 DSG 2000, sowie gem. Abs. 2 den Nutzer bei Bestehen eines besonderen Risikos der Verletzung der Vertraulichkeit sowie über mögliche Maßnahmen zur Risikominimierung inkl. der damit verbundenen Kosten zu informieren.

Sicherheitsverletzungen

§ 95a TKG 2003 enthält Regelungen in Bezug auf die sogenannte „Data Breach Notification Duty“, so wie sie auch im § 24 Abs. 2a DSG 2000 enthalten ist.

Datenschutz – Allgemeines

Die wohl wichtigste Datenschutzbestimmung des § 96 TKG 2003 ist die in Abs. 3 enthaltene Forderung, wonach die Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten nur dann zulässig ist, wenn der Teilnehmer oder der Nutzer (= Betroffene iSd § 4 Z 3 DSG 2000) seine Einwilligung dazu erteilt hat. Diese Regelung betrifft grundsätzlich auch die sogenannten „Cookies“. Diese Bestimmung betrifft vor allem jene Unternehmen – vor allem aus der Werbewirtschaft –, die Internetverkehrsdaten zum Zwecke des „Behavioral Targeting“ für User Tracking verwenden. Erwägungsgrund 66 der Richtlinie 2009/136/EG (als E-Privacy- oder auch als Cookie-Richtlinie bezeichnet) enthält jedoch im vorletzten Absatz folgende Bestimmung: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“.

Diese Formulierung wurde trotz Intervention der WKÖ allerdings in den § 96 Abs. 3 nicht übernommen, findet sich jedoch – fast wortgleich – in den Erläuterungen zu diesem Paragraph, und zwar: „Wenn dies technisch durchführbar ist, kann die Einwilligung des Nutzers zur Verarbeitung über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“. Daraus kann abgeleitet werden, dass ein Nutzer, der in seinen Browsereinstellungen das Setzen von Cookies zulässt, die erforderliche Einwilligung erteilt. Will der Nutzer keine Cookies mehr akzeptieren, so kann er ja jederzeit die Einstellungen entsprechend anpassen. Diese Auslegung ist allerdings in Datenschutzkreisen nicht unstrittig.

Vorratsdatenspeicherung

Gem. § 102a TKG 2003 sind Provider (Anbieter öffentlicher Kommunikationsdienste) zur verdachtsunabhängigen Speicherung von Vorratsdaten für die Dauer von sechs Monaten verpflichtet. Der ausschließliche Zweck liegt in der Ermittlung, Feststellung und Verfolgung von Straftaten. Die Speicherpflicht betrifft gem. § 102a Abs. 5 TKG 2003 „nur [..] jene Daten [die] gemäß Abs. 2 bis 4, [..] im Zuge der Bereitstellung der betreffenden Kommunikationsdienste erzeugt oder verarbeitet werden“.

Folgende Daten haben die Provider gem. § 102a Abs. 2 bis 4 TKG 2003 iZm den genannten Diensten auf Vorrat zu speichern:

Internet-Zugangsdienste

Gem. § 102a Abs. 2 TKG 2003 obliegt Providern von Internet-Zugangsdiensten unter anderem die Speicherung folgender Daten:

  • Name, Anschrift und Teilnehmerkennung des Teilnehmers
  • Datum und Uhrzeit der Zuteilung und des Entzugs einer öffentlichen IP-Adresse
  • bei Internetzugang mittels Wählanschluss (dial up): Rufnummer des anrufenden Anschlusses
  • eindeutige Kennung des Anschlusses, über den der Internet-Zugang erfolgt

Öffentliche Telefondienste einschließlich
Internet-Telefondienste

Gem. § 102a Abs. 3 TKG 2003 obliegt Providern von öffentlichen Telefondiensten unter anderem die Speicherung folgender Daten:

  • Teilnehmernummer oder andere Kennung des anrufenden und des angerufenen Anschlusses
  • Teilnehmernummer, an die ein Anruf umgeleitet wird
  • Name und Anschrift des anrufenden und des angerufenen Teilnehmers
  • Beginn und Dauer eines Kommunikationsvorganges
  • Art des Dienstes (Anrufe, Zusatzdienste und Mitteilungs- und Multimediadienste)
  • Mobilteilnehmerkennung (IMSI) des anrufenden und des angerufenen Anschlusses
  • Mobilfunkgerätekennung (IMEI) des anrufenden und des angerufenen Anschlusses
  • Standortkennung (Cell-ID) bei Beginn einer Verbindung

Unter „andere Kennung“ fällt etwa die teilnehmerbezogene IP-Adresse oder SIP-Adresse.

Der Begriff „Anrufe“ inkludiert Sprachtelefonie, Sprachspeicherdienst, Konferenzschaltungen und Datenabrufungen.

„Zusatzdienste“ schließt Rufweiterleitung und Rufumleitung ein.

Der Begriff „Mitteilungsdienste und Multimediadienste“ umfasst auch Kurznachrichtendienste (SMS) sowie erweiterte Nachrichtendienste (EMS) und Multimediadienste (MMS).

E-Mail-Dienste

Gem. § 102a Abs. 4 TKG 2003 obliegt Providern von E-Mail-Diensten unter anderem die Speicherung folgender Daten:

  • Teilnehmerkennung, die dem Teilnehmer zugewiesen ist
  • Name und Anschrift des Teilnehmers
  • bei E-Mail-Versand: E-Mail-Adresse und die öffentliche IP-Adresse des Absenders sowie die E-Mail-Adresse eines jeden Empfängers
  • bei E-Mail-Empfang: E-Mail-Adresse des Absenders und des Empfängers der Nachricht sowie die öffentliche IP-Adresse der letztübermittelnden Kommunikationsnetzeinrichtung
  • bei An- und Abmeldung beim E-Mail-Dienst: Datum, Uhrzeit, Teilnehmerkennung und öffentliche IP-Adresse

Unter „Anmeldung bzw. Abmeldung bei einem E-Mail Dienst“ sind zu verstehen:

  • Login / Logout bei einem Webmaildienst
  • Userauthentifizierung beim Zugriff auf das Postfach (z.B. via IMAP oder POP)


Sonstiges, Erläuterungen

Hinsichtlich der Speicherdauer sieht die RL 2006/24/EG eine Frist von min. sechs Monaten und max. zwei Jahren ab dem Zeitpunkt des Kommunikationsvorganges vor. Der österreichische Gesetzgeber hat sich mit einer Aufbewahrungsdauer von sechs Monate somit für die Umsetzung des Mindestmaßes entschieden.

Betreffend die IP-Adresse trifft die Speicherpflicht jenen Internet Access Provider, dem die Verwaltung der öffentlichen IP-Adressen von den IP-Adressverwaltungsinstitutionen (für Europa ist dies RIPE NCC) zugewiesen ist.

Die Speicherpflicht bezieht sich nur auf zugewiesene öffentliche IP-Adressen, nicht aber auf interne Adressen (etwa gem. RFC 1918, RFC 1631, RFC 2663, RFC 3022).

Die Speicherpflicht betrifft jene Daten, die vom jeweiligen Betreiber für die Erbringung seiner eigenen Dienste erzeugt bzw. verarbeitet werden. Bei den auf Vorrat zu speichernden Daten handelt es sich um solche, die beim Kommunikationsdienste-Betreiber bereits vorhanden sind – mit Hilfe oder ohne Hilfe automationsunterstützter Verfahren. Der reine Durchlauf von Daten ist hierbei nicht gemeint, da dies im Sinne der RL 2006/24/EG weder unter das Erzeugen noch Verarbeiten von Daten fällt. Unter reines Durchführen fällt etwa der Betrieb eines MPLS (Multiprotocol Label Switching) Netzwerkes.

Ausgenommen von der Speicherpflicht sind Spam-E-Mails, die vom Betreiber vor der Zustellung in ein Postfach herausgefiltert werden, da hierbei kein vollständiger Kommunikationsvorgang stattfindet. Wird das Spam-E-Mail allerdings in das Empfänger-Postfach zugestellt, gilt die Speicherpflicht.

Ausgenommen von der Speicherpflicht sind gem. § 102a Abs. 6 TKG 2003 Anbieter, die iSv § 34 KOG (KommAustria-Gesetz) als kleine Anbieter einzustufen sind, da für diese die Investition in ein entsprechendes Speichersystem unverhältnismäßig hoch wäre.

Die Speicherpflicht betrifft auch nicht die Inhalte der Kommunikation, wie E-Mail-Inhalt oder aufgerufene Webseites. Erfasst werden aber die Betreffzeile des E-Mails und bestimmte Informationen zu Newsgroup-Diensten oder Chaträumen, wie z.B. IRC-Channels.

Ab dem Ende der sechsmonatigen Speicherpflicht hat der Betreiber gem. § 102a Abs. 8 TKG 2003 innerhalb von einen Monat die Vorratsdaten zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen (z.B. Ermittlungsverfahren).

Pro und Contra

Während der Staat mit der Vorratsdatenspeicherung über ein Werkzeug zur Verfolgung bzw. Prävention von Kriminalität verfügt, kritisieren Datenschützer, dass durch Missbrauch der Daten Bewegungsabläufe, Bekanntschaften-Profile und Interessensprofile von Menschen möglich sind, was als Eingriff in die Privatsphäre einzustufen ist. Bereits die theoretische Möglichkeit einer zweckfremden Verwendung sehen viele Datenschützer als einen solchen Eingriff.

Zudem werden die Investitionskosten für die Speicherung kritisiert, die für die Provider anfallen.

Die Befürworter der Vorratsdatenspeicherung betonen, dass für die Verfolgung von Internetkriminalität, wie etwa Datendiebstahl, Verbreitung illegaler Inhalte oder Urheberrechtsverletzungen, klassische Ermittlungsinstrumente nicht ausreichen.

Die deutsche SPD hebt hervor, dass die Vorratsdatenspeicherung auch ein erforderliches Mittel zur Verfolgung von Telefonbetrügern ist (z.B. „Enkeltrickbetrüger“).

In diesem Sinne lässt sich hoffen, dass die Vorratsdaten ausschließlich zu ihrem bestimmten Zweck, der Straffverfolgung, verwendet werden und zu einer höheren Aufklärungsquote beitragen.

Jedenfalls hat Österreich mit der Novellierung des TKG 2003 der Umsetzungspflicht der EU-Richtlinie 2006/24/EG Folge geleistet. Ob die Bestimmungen der Richtlinie aufgrund der anhaltenden Diskussion zwischen Befürwortern und Gegnern künftig abgeändert werden, bleibt abzuwarten. Die Secur-Data hält Sie auf dem Laufenden.

 

 

Kompetenzbereich Datensicherheit

in Kooperation mit

2019 Secur-Data. All Rights Reserved.