Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 1997

Ausgabe Nr. 17 März 1997
Ausgabe Nr. 18 Juni 1997
Ausgabe Nr. 19 September 1997
Ausgabe Nr. 20 Dezember 1997
Andere Jahrgänge

DSG-Info-Service Nr. 17
März 1997

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Alle zwei Jahre berichtet der Datenschutzrat das politische Gremium, das sich mit Datenschutzanliegen befaßt an die Bundesregierung. Gemeinsam mit dem Bericht der Datenschutzkommission, dem Bericht des Datenverarbeitungsregisters und einer Stellungnahme der Bundesregierung zu den vorgenannten Berichten bildet das Gesamtkonvolut den "Datenschutzbericht" an das Parlament.

Vor kurzem wurde der Datenschutzbericht 1995 dem Parlament vorgelegt, der den Zeitraum 1. Juli 1994 bis 30. Juni 1995 abdeckt. Wir haben aus diesem Grund die vorliegende Ausgabe unseres DSG-Info-Service diesem Datenschutzbericht gewidmet.

Datenschutzbericht 1995

Personalia (per 30. Juni 1995)

Datenschutzrat

<dl><dt>Vorsitzender:</dt><dd>Vizepräsident des Bundesrates Walter Strutzenberger</dd><dd> </dd><dt>2 Stellvertretende Vorsitzende:</dt><dd>MinR Dr. Harald Wögerbauer</dd><dd>MinR Dipl.-Ing. Dr. Herwig Raab</dd><dd> </dd><dt>13 Mitglieder und 17 Ersatzmitglieder</dt></dl>

 

Datenschutzkommission

<dl><dt>Vorsitzender:</dt><dd>Vizepräsident des OGH Hon.-Prof. Dr. Helmut Gamerith</dd><dd>(Stv.: HR des OGH Dr. Gustav Maier) </dd><dd> </dd><dt>Vertreter des Bundes:</dt><dd>ORat Dr. Viktor Kreuschitz</dd><dd>(Stv.: MR Dr. Waltraut Kotschy)</dd><dd> </dd><dt>Vertreter der Länder:</dt><dd>OSen.-Rat Dr. Harald Helmreich</dd><dd>HR Hon.-Prof. Dr. Willibald Liehr</dd><dd>(Stv.: Sen.-Rat Dr. Herbert Vesely,</dd><dd>HR Dr. Ludwig Staudigl)</dd></dl>

 

Büro von DSK und DSR

Das gemeinsame Büro von DSK und DSR verfügt über

  • 5 A-wertige Planstellen (Juristen),
  • 1 Informatiker (Sondervertrag),
  • 1 B-wertige Stelle,
  • 1 C-wertige Stelle und
  • 1 D-wertige Stelle.

Drei weitere Planstellen auf Sachbearbeiterebene (Juristen oder Informatiker) werden seit Jahren gefordert. Dem entgegnet die Bundesregierung, daß durch die Neufassung des Datenschutzgesetzes eine Aufgabenverlagerung erfolgen könnte, voraussichtlich aber ein zusätzlicher Arbeitsanfall für den Geschäftsapparat von DSK und DSR entstehen wird.

Datenverarbeitungsregister

Das Datenverarbeitungsregister verfügt über

  • 2 A-wertige Planstellen,
  • 6 B/b-wertige Planstellen,
  • 7 C/c-wertige Planstellen und
  • 4 d-Bedienstete.

Im Jahre 1980 verfügte das DVR noch über 2 A-Stellen, 7 B-Stellen, 3 C-Stellen und 16 D-Stellen.

Tätigkeiten

Datenschutzrat

Im Berichtszeitraum trat der Datenschutzrat zu 14 Sitzungen zusammen, darüberhinaus gab es 5 Ausschußsitzungen. Es wurden zu 319 Gesetzen und Verordnungen 52 Einwendungen und 33 sonstige Bemerkungen angebracht. Dabei wurden vor allem folgende Problembereiche aufgegriffen:

  • Generalklauseln, die anstelle von ausdrücklichen gesetzlichen Ermittlungs oder Übermittlungsermächtigungen treten;
  • Verwendung der Sozialversicherungsnummer auch in Bereichen, die mit dem Sozialversicherungs und Gesundheitswesen nichts zu tun haben;
  • Kleinkreditevidenz der Banken und andere Branchen-Verbundsysteme;
  • Lauschangriff und Rasterfahndung.

In bezug auf das bis Oktober 1998 zu novellierende Datenschutzgesetz zeigt der DSR folgende wichtige Punkte auf:

  • Einbeziehung der nicht-automationsunterstützt verarbeiteten Daten;
  • Verbot automatisierter Einzelentscheidungen;
  • Ausweitung der Befugnisse der Kontrollbehörde auf den privaten Bereich und Rechtsdurchsetzung im privaten Bereich;
  • Informationsverbundsysteme, wie z.B. Kreditevidenz;
  • Datenschutzrechtliche Rollenverteilung bei dezentralen bzw. verteilten Datenbanken und im Internet;
  • Archive, wissenschaftliche Forschungen und Medien.

 

Datenschutzkommission

Im Berichtszeitraum hat die DSK in 57 Sitzungen 666 Geschäftsfälle erledigt, davon betrafen die Hälfte (325 Stück) den Internationalen Datenverkehr. Hingegen waren nur 12 Verfahren gem. § 50 DSG abzuwickeln, das sind Verwaltungsstrafverfahren, wo die DSK als zweite Instanz fungiert.

Aus den ansonsten aufgegriffenen Problemkreisen seien an dieser Stelle folgende angemerkt:

  • Übermittlung von Auszügen aus der Wählerevidenz an politische Parteien; dabei wird angemerkt, daß die Parteien nach derzeitiger Rechtslage keiner ausdrücklichen Einschränkung in der Verwendung dieses Adressenmaterials unterliegen;
  • Die Zulässigkeit des Geburtsdatums als Identifikationsmerkmal bei behördlichen Schriftstücken wurde bejaht, die des Berufes hingegen nicht;
  • Datenübermittlungen aus öffentlichen Listen (im Anlaßfall: Ärzteliste) dürfen nicht um nicht-öffentliche Daten (Privatadresse) ergänzt weitergegeben werden;
  • Vertrauliche Daten dürfen auch dann nicht innerhalb einer Dienststelle unverschlossen an den Betroffenen weitergereicht werden, wenn allfällige Dritte zur Wahrung des Dienstgeheimnisses verpflichtet sind;
  • Eine (öffentliche) Dienststelle, die für eine andere als Amtssachverständige fungiert, ist im Falle der Automationsunterstützung nicht Dienstleister, sondern Auftraggeber und somit auskunftspflichtig.

 

Datenverarbeitungsregister

In den Berichtszeitraum fiel die Umstrukturierung der Standardverarbeitungen im öffentlichen Bereich mit zwei neuen und vier aktualisierten Standards (siehe BGBl. 400/1996 bzw. unser DSG-Info-Service, Ausgabe 16 vom Dezember 1996).

Die Standardverarbeitungen "Abgabenverwaltung der Länder" und "Abgabenverwaltung des Bundes" waren nur dreimal bzw. sechsmal in Anspruch genommen worden, deren Abschaffung somit zweckmäßig.
Das DVR führt aus, daß bis Ende 1994 sämtliche Eingaben verfilmt wurden, ab diesem Zeitpunkt nur mehr jene aus dem öffentlichen Bereich und nur mehr so lange, bis das vorhandene Filmmaterial aufgebraucht ist (voraussichtlich Mitte 1996).

Es wurden 7.190 Erstmeldungen registriert, 6.554 aus dem privaten und 636 aus dem öffentlichen Bereich. Per 30. Juni 1995 waren 67.082 private und 5.440 öffentliche Auftraggeber registriert.

Das Schwergewicht der Neuregistrierungen liegt derzeit bei Notaren, Rechtsanwälten und Ärzten. Hingegen moniert das DVR, daß mit 1.495 nur 31,7% der 4.707 eingetragenen Wirtschaftstreuhänder registriert sind.

Das Schwergewicht der Folgemeldungen im privaten Bereich betraf Namens bzw. Anschriftsänderungen, hingegen erfolgen nur wenige inhaltliche Überarbeitungen der Registrierungen. Das DVR regt in diesem Zusammenhang die Möglichkeit einer amtswegigen Berichtigung von Namens bzw. Anschriftsänderungen an.

Im Schnitt hat jeder öffentliche Rechtsträger vier, jeder private zwei Datenverarbeitungen registriert. 11 Auftraggeber haben mehr als 100 Datenverarbeitungen registriert, Spitzenreiter ist der Landesschulrat für Oberösterreich mit 871 (Aufgrund der Datenschutzverordnung des Unterrichtsministeriums müssen alle Landesschulräte die Datenverarbeitungen aller ihnen unterstehenden Schulen melden).

Die Standardverarbeitungen 9101 bis 9104 (Kundenverkehr, Lieferantenverkehr, Personalverwaltung und Finanzbuchhaltung) wurden jeweils zwischen 5.000 und 6.000 mal gemeldet, die Mitgliederverwaltung (9106) hingegen nur 550 mal. Seit Inkrafttreten der Standardverordnung im Jahre 1987 wurden 3.709 Mitgliederverwaltungen gemeldet, das sind bei einer Anzahl von 88.702 Vereinen gerade 4%.

Die Möglichkeit der Einsichtnahme in das Register wird zunehmend von der Bevölkerung angenommen. Das Interesse im öffentlichen Bereich betrifft speziell Bundesdienststellen, allen voran das Bundesheer, und den Magistrat der Stadt Wien, speziell den Stadtschulrat für Wien.

Im privaten Bereich werden besonders häufig die Meldungen der Katholischen Kirche und jene der politischen Parteien eingesehen, gefolgt von jenen der Adressenverlage.

In Zusammenarbeit mit Vertretern von Ämtern bzw. Berufsgruppen und Branchen wurde ein umfangreicher Katalog von Ausfüllhilfen erarbeitet, der den Auftraggebern die Wahrnehmung ihrer Meldepflicht wesentlich erleichtert.

Als Novellierungsbedarf sieht das DVR folgende Problembereiche:

  • Adreßverlage und Direktwerbeunternehmen agieren zunehmend vom Ausland aus, der Broker im Inland ist nur mehr "Briefträger" und somit nicht mehr auskunftspflichtig;
  • Berücksichtigung der neuen Technologien;
  • Ergänzung der Standardverarbeitungen um mittlerweile hinzugekommene gesetzliche Erfordernisse (UID-Nummer, Übermittlungen aus der Personalverwaltung an das Finanzamt);
  • Erweiterung der Standardverarbeitung "Kundenverkehr" um Interessenten;
  • Standardverarbeitung "Benutzerkennzeichen" auch für den privaten Bereich.

DSG-Info-Service Jahrgang 1997

Ausgabe Nr. 17 März 1997
Ausgabe Nr. 18 Juni 1997
Ausgabe Nr. 19 September 1997
Ausgabe Nr. 20 Dezember 1997
Andere Jahrgänge

DSG-Info-Service Nr. 18
Juni 1997

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

In unserem DSG-Info-Service Nummer 9 aus dem Jänner 1995 haben wir erstmalig den ISDN-Richtlinienentwurf der Europäischen Kommission vorgestellt.

Am 12. September 1996 hat der Rat der Europäischen Union den Gemeinsamen Standpunkt Nr. 57/96 verabschiedet. Die Veröffentlichung im Amtsblatt erfolgte am 24. Oktober 1996 unter Nummer 96/C 315/06.

Am 16. Jänner 1997 verabschiedete das Europäische Parlament in zweiter Lesung zehn Änderungsanträge zu dieser Richtlinie. Sollte in den Änderungsanträgen kein unüberwindliches Hindernis enthalten sein, ist damit zu rechnen, daß diese Richtlinie in den nächsten Tagen endgültig verabschiedet wird. Da sie sich mit dem Datenschutz in Telekommunikationsnetzen befaßt, wird sie im allgemeinen kurz bezeichnet als

ISDN-Datenschutzrichtlinie

Allgemeines

Nach der Datenschutzrichtlinie, die einen Meilenstein des europäischen Datenschutzrechtes darstellt und die wir zuletzt in der Ausgabe 14 unseres DSG-Info-Service vorgestellt haben, folgt mit der ISDN-Richtlinie ein weiterer Meilenstein, der seine Bedeutung vor allem aus dem Umstand bezieht, daß erstmals bereichsspezifische Ergänzungen zur allgemeinen Datenschutzrichtlinie erarbeitet wurden.

Merkwürdigerweise ist nicht einmal der Name für die neue Richtlinie unstrittig. Der bisherige Arbeitstitel, der auch im gemeinsamen Standpunkt beibehalten wurde, lautete: Richtlinie des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, insbesondere im Dienstintegrierenden digitalen Telekommunikationsnetz (ISDN) und in digitalen Mobilfunknetzen.

Auf Wunsch des Europäischen Parlaments soll der erläuternde Zusatz ab dem Wort insbesondere ersatzlos wegfallen. Für den Wert der Richtlinie ist dieser Änderungsantrag wohl ohne Belang, es fällt allerdings die sichtbare Legitimation weg, diese Richtlinie umgangssprachlich einfach als ISDN-Richtlinie zu bezeichnen. In Wahrheit entstand der Begriff ISDN-Richtlinie schon 1986, als das Europäische Parlament in einer Entschließung die Kommission aufforderte, Vorschläge zu unterbreiten, wie zweckmäßigerweise vorgegangen werden sollte, um in dem im Entstehen begriffenen europaweiten ISDN-Netz ein einheitliches und den gesteigerten technischen Möglichkeiten dieses neuen Systems angemessenes Niveau des Datenschutzes zu gewährleisten."

Ein weiterer Änderungsantrag des Europäischen Parlaments betrifft die im Erwägungsgrund 7 des gemeinsamen Standpunktes aufgeworfene Frage nach dem Subsidiaritätsprinzip; das Europäische Parlament hingegen meint, daß das Subsidiaritätsprinzip nicht anwendbar ist, da sich die Telekommunikationsnetze und Telekommunikationsdienste meist nicht auf einen Staat beschränken.

Interessant ist die Fristsetzung für die Umsetzung der Richtlinie mit 24. Oktober 1998. Dies ist genau der Tag, an dem auch die Datenschutzrichtlinie umgesetzt sein muß. Auf diese Weise wird - sicherlich gewollt - der Konnex zwischen den beiden Richtlinien betont.

Von der Substanz her sind die Ausführungen in unserem DSG-Info-Service Nr. 9 nach wie vor zutreffend, wenngleich manche angeführte Artikelnummer nicht mehr paßt.

Änderungen durch das Europäische Parlament

Neben den oben angedeuteten Änderungen der Bezeichnung der Richtlinie und mancher Erwägungsgründe sind insbesondere folgende Punkte von Interesse:

Verstärkter Schutz juristischer Personen

Im Artikel 12 Unerbetene Anrufe" ist ein Verbot unerwünschter Anrufe durch Automaten (Voice-Mail-Systeme) oder durch Fernkopierer (Telefax) für Zwecke des Direktmarketings ausgesprochen.

Im 3. Absatz erlaubt der gemeinsame Standpunkt den Mitgliedstaaten, dieses Verbot auf natürliche Personen zu beschränken. Das Europäische Parlament hat nunmehr diesen 3. Absatz eliminiert, sodaß auch juristische Personen in diesem Bereich vollen Schutz erhalten.

Kostenlose Nichteintragung in Teilnehmerverzeichnisse

Der gemeinsame Standpunkt hat in Artikel 11 Teilnehmerverzeichnisse", Absatz 2, den Mitgliedstaaten offengelassen, den Betreibern zu gestatten, für die Nichteintragung in die Teilnehmerverzeichnisse eine Gebühr zu verlangen, die allerdings nicht prohibitiv sein darf. Das ist eine klare Schlechterstellung seit jenem Entwurf, den wir in unserem DSG-Info-Service Nr. 9 vorgestellt haben.

Dieser Absatz 2 ist nunmehr vom Europäischen Parlament abgelehnt worden. Die Nichteintragung wird daher, sofern die Richtlinie in der vom Parlament angenommenen Form erlassen wird, gebührenfrei sein. [Anmerkung des Autors: diese Gebührenfreiheit ist derzeit in Österreich nicht gegeben]

Verschiedene Autoren bemängeln in diesem Zusammenhang nicht zu Unrecht, daß eine Differenzierung notwendig wäre, für welche Art von Teilnehmerverzeichnis die Nichteintragung gewünscht wird. Da ein Verzeichnis auf Datenträger (CD-ROM) selektives Suchen - im Vergleich zum Telefonbuch oder einer Auskunftsstelle - wesentlich erleichtert, scheint es durchaus zweckmäßig, speziell die Nichteintragung in solche Datenträger zu verlangen.

Sonstige Einzelfragen

Geltungsbereich

Die Richtlinie betont in Erwägungsgrund Nr. 8: Zu diesen neuen Diensten zählen das interaktive Fernsehen und Video auf Abruf". In Artikel 2 Abs d besagt die Richtlinie: Telekommunikationsdienste sind Dienste, die ganz oder teilweise in der Übertragung und Weiterleitung von Signalen über das Telekommunikationsnetz bestehen, mit Ausnahme von Hör- und Fernsehfunk." Es muß sich wohl erst zeigen, wo in diesem Bereich die Grenzziehung zwischen Telekommunikation und Rundfunk/Fernsehen anzusiedeln ist.

Sicherheit

Artikel 4 Abs 2 der Richtlinie lautet nunmehr: Besteht ein besonderes Risiko der Verletzung der Netzsicherheit, muß der Betreiber eines öffentlich zugängliche Telekommunikationsdienstes die Teilnehmer über dieses Risiko und über mögliche Abhilfen einschließlich deren Kosten unterrichten.

In der Version von 1994 war noch die Verpflichtung enthalten, in diesem Fall dem Teilnehmer eine Verschlüsselungsmöglichkeit anzubieten. Damit schwächt die EU-Richtlinie eine Empfehlung des Europarates vom Februar 1995 entscheidend ab, die ausdrücklich Verschlüsselungsmethoden erwähnt.

Vertraulichkeit

Die Richtlinie betont in Artikel 5 die Vertraulichkeit:

Die Mitgliedstaaten stellen durch innerstaatliche Vorschriften die Vertraulichkeit der mit öffentlichen Telekommunikationsnetzen und öffentlich zugänglichen Telekommunikationsdiensten erfolgenden Kommunikation sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Kommunikationen durch andere Personen als die Benutzer, wenn keine Einwilligung der betroffenen Benutzer vorliegt, es sei denn, diese Personen seien gemäß Artikel 14 Absatz 1 dazu ermächtigt.

Der erwähnte Artikel 14 Absatz 1 legalisiert Beschränkungen im Sinne der öffentlichen Sicherheit, der Strafverfolgung und der Verfolgung des unzulässigen Gebrauchs von Telekommunikationssystemen.

Anrufweiterschaltung

War im Entwurf von 1994 noch die Weiterschaltung der Anrufe zu einem anderen Teilnehmer an dessen Zustimmung gebunden, so ist nunmehr jedem Teilnehmer die Möglichkeit zu bieten, eine Anrufweiterschaltung auf ihr Endgerät abzustellen.

Aus nicht ganz einsichtigen Gründen ist die Bestimmung entfernt worden, daß der Anrufer erkennen muß, ob sein Anruf direkt beim gerufenen Teilnehmer entgegengenommen wird oder zu einem anderen Teilnehmer weitergeleitet wurde. Diese Frage ist dann von Bedeutung, wenn man z.B. einen Arzt oder einen Anwalt sprechen will, das Gespräch aber zu einer anderen Person weitergeleitet ist, die der Erwartung des Klienten nicht entspricht.

Einzelgebührennachweis

Artikel 7 lautet:

(1) Die Teilnehmer haben das Recht, Rechnungen ohne Einzelgebührennachweis zu erhalten.

(2) Die Mitgliedstaaten wenden innerstaatliche Vorschriften an, um das Recht der Teilnehmer, Einzelgebührennachweise zu erhalten, und das Recht anrufender Benutzer auf Vertraulichkeit miteinander in Einklang zu bringen, indem sie beispielsweise sicherstellen, daß diesen Benutzern und Teilnehmern ausreichende Alternativen für die Kommunikation oder die Zahlung zur Verfügung stehen.

Offenbar kann der Teilnehmer selbst entscheiden, ob er einen Einzelgebührennachweis will oder nicht. Interessant ist aber die Variante, daß ein Benutzer direkt zahlen kann, damit der Teilnehmer ein bestimmtes Gespräch nicht auf seiner Rechnung vorfindet. Es wird sich zeigen, wie das geregelt wird.

DSG-Info-Service Jahrgang 1997

Ausgabe Nr. 17 März 1997
Ausgabe Nr. 18 Juni 1997
Ausgabe Nr. 19 September 1997
Ausgabe Nr. 20 Dezember 1997
Andere Jahrgänge

DSG-Info-Service Nr. 19
September 1997

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Mit Verordnung des Bundeskanzlers, BGBl. II Nr. 241/1997, wurde die Standard-Verordnung, BGBl. Nr. 261/1987, zuletzt geändert durch die Verordnung des Bundeskanzlers BGBl. Nr. 400/1996 (s. DSG-Info-Service Ausgabe Nr. 16), neuerlich geändert. Die erst 1996 erlassene Standardverarbeitung 9214 Personalverwaltung des Bundes" wurde erweitert, und darüber hinaus wurde eine neue Standardverarbeitung 9215 Inventarverarbeitung" definiert.

Bedauerlicherweise wurde auch diesmal die Neufassung der Standardverordnung in bezug auf den Privaten Bereich, an der seit 1994 gearbeitet wird, nicht abgeschlossen.

Änderung der Standardverordnung

9214 Personalverwaltung des Bundes

Die Standardregistrierung wurde im wesentlichen beibehalten. Im Vergleich zur Vorversion ist nur das Bundeskanzleramt in Ausübung der gesetzlichen Mitwirkungskompetenzen in Personalangelegenheiten gem. § 274a BDG 1979" als Übermittlungempfänger weggefallen.

Sollten daher im Bundesbereich aus diesem Titel Datenflüsse zum Bundeskanzleramt vorkommen, so sind diese ab sofort durch die Standardregistrierung nicht mehr gedeckt. Inwieweit das in der Praxis von Bedeutung ist, wurde von uns bisher noch nicht näher untersucht.

Unverändert geblieben ist hingegen der Übermittlungsempfänger Bundesministerium für Finanzen" mit der selben Zweckwidmung Mitwirkungskompetenzen in Personalangelegenheiten", wie sie nun beim Bundeskanzleramt weggefallen ist.

Darüberhinaus wurde ein neuer Übermittlungsempfänger Pensionskassen für alle Anwartschaftsberechtigten gem. § 3 Abs 2 des Pensionsvorsorgegesetzes, BGBl. I Nr. 64/1997" definiert.

9215 Inventarverwaltung

Die neue Standardverarbeitung richtet sich an die Wirtschaftsstellen aller öffentlichen Auftraggeber. Abgedeckt sind die Führung von Inventarverzeichnissen, die Unterstützung des Sachgüteraustausches sowie damit zusammenhängende Nebenaufzeichnungen über Lieferanten, Anschaffungskosten etc.

Rechtsgrundlagen sind das Bundeshaushaltsgesetz (BHG), BGBl. Nr. 213/1986, die Bundeshaushaltsverordnung (BHV) 1989, BGBl. Nr. 570/1989, sowie

  • Verordnungen und Richtlinien zum Bundeshaushaltsgesetz
  • Richtlinien für die Verwaltung der beweglichen Sachen bei Bundesdienststellen (Inventar- und Materialrichtlinien - RIM) entsprechend § 58 Abs. 5 BHG, Erlaß des BMF Zl. 66.000-20/45)
  • sonstige haushalts- und finanzrechtliche Regelungen des Bundes
  • haushalts- und finanzrechtliche Regelungen der Länder und Selbstverwaltungskörper

Die Datenverarbeitung selbst wäre keiner besonderen Erwähnung wert, wären nicht die vier letztgenannten Rechtsgrundlagen in einem Maße unbestimmt, wie es bisher noch nicht vorgekommen ist. Mit Interesse ist eine gewisse Abkehr vom bisher gepflogenen Prinzip auf die Abstützung der Datenverarbeitungen öffentlicher Auftraggeber auf gesetzliche Ermächtigungen (§ 6 DSG, 1. Halbsatz) hin zur Abstützung auf wesentliche Voraussetzungen (§ 6 DSG, 2. Halbsatz) zur Erfüllung gesetzlich übertragener Aufgaben zu vermelden.

Desgleichen ist die Verallgemeinerung der verzeichneten Datenarten bemerkenswert. Eine Datenart Telefon-, Faxnummer und andere zur Adressierung erforderliche Informationen, die sich durch die moderne Kommunikationstechniken ergeben" gab es bis dato in keiner Standardverarbeitung und wohl auch kaum in einer individuellen Registrierung. Eine Datenart Daten zum Inventarstück (Zubehör ja/nein, Seriennummer, Geschäftszahlen, Beschreibung u.ä.) erlaubt wohl, eine Fülle von Daten mitlaufen zu lassen. Im konkreten Fall ist das mit Sicherheit harmlos, da es sich hier um kaum sehr sensible personenbezogene Daten handeln kann, aber die Beispielwirkung einer solchen Formulierung sollte nicht unterschätzt werden. Nach unseren Erfahrungen mit der Datenschutzkommission wäre es bis dato unmöglich gewesen, eine Datenart-Beschreibung mit u.ä." zu relativieren, nunmehr sollte es aber unter Hinweis auf die Verordnung des BKA möglich sein, auch derart verallgemeinerte Datenarten zu registrieren.

Datenschutzbericht 1995 des Datenschutzrates

Bereits im DSG-Info Nr. 17 haben wir den Datenschutzbericht 1995 vorgestellt. Wir greifen dieses Thema nochmals auf und stellen einige Teile aus jenem Berichtsteil, den der Datenschutzrat vorgelegt hat, vor. Konkreter Anlaß hiefür ist der oben (siehe Standardverarbeitung 9215 Inventarverwaltung) bereits angemerkte Trend zur oberflächlichen Auslegung des Datenschutzgesetzes, wie er sich auch in der Verflachung der Qualität der Standardregistrierungen zeigt.

Determinierung von Ermittlungs- und Übermittlungsermächtigungen

In den Stellungnahmen zu verschiedenen Gesetzesentwürfen mußte der Datenschutzrat regelmäßig kritisch feststellen, daß ausdrückliche gesetzliche Ermittlungs- oder Übermittlungsermächtigungen entweder nur in Form von Generalklauseln verfaßt wurden, die also die generelle Übermittlung nicht näher definierter Daten zuließen, oder daß solche Ermächtigungen zwar bestimmte Datenarten aufzählten, diese Aufzählung jedoch eine beispielsweise Aufzählung ist. Der Datenschutzrat forderte laufend eine bessere Präzisierung der Datenarten, der Betroffenenkreise und der Ermittlungsempfänger, etwa in Form einer taxativen Aufzählung oder einer präziseren Umschreibung der Inhalte.

Notwendigkeit der Ermittlung oder Übermittlung

Im Zusammenhang mit Ermittlungs- und Übermittlungsbestimmungen in den geprüften Gesetzesentwürfen war gemäß Art. 8 Abs. 2 EMRK auch die Notwendigkeit der Ermittlung oder Übermittlung bestimmter Informationen zu prüfen. Nur wenn diese Daten im Hinblick auf § 1 Abs. 1 und 2 DSG in Verbindung mit Art. 8 Abs. 2 EMRK notwendig sind, sie also zur Wahrung berechtigter Interessen eines anderen dienen oder auf Grund von Gesetzen notwendig sind, war der durch die Ermittlung oder Übermittlung verbundene Eingriff in das Grundrecht auf Datenschutz verfassungsrechtlich unbedenklich. In einigen Fällen mußte der Datenschutzrat die Frage der verfassungsrechtlichen Bedenklichkeit der Bestimmungen aufwerfen.

Europäische Menschenrechtskonvention, Art. 8

(1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs

(2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist.

Datenschutz und Kreditunternehmungen

Da die im Banken- und Versicherungsbereich praktizierte Vorgangsweise, brancheninterne Daten anzulegen, die Negativdaten über Kunden enthalten, und diese Daten anderen Unternehmen der Branche für die Beurteilung von Kredit- bzw. Versicherungsanträgen zur Verfügung zu stellen, datenschutzrechtlich problematisch ist, befaßt sich der Datenschutzrat in einer eigenen Arbeitsgruppe mit diesem Thema.

Im Hinblick auf den durch das Privatinsolvenzgesetz in Hinkunft teilweise zwingenden Forderungsverzicht bei Überschuldung eines privaten Haushaltes fordern die Banken die gesetzliche Regelung einer Kleinkreditevidenz, um damit zwingend eine ausreichende Basis für eine umfassende Bonitätsbeurteilung zu schaffen.

Es wird Aufgabe des Datenschutzrates sein, darüber zu diskutieren, ob und wie solche Informationsverbundsysteme datenschutzrechtlich grundrechtskonform gestaltet werden können. Hiebei stehen die datenschutzrechtliche Rolle des Betreibers eines solchen Informationssystems, die effiziente Kontrolle solcher Systeme und die Wahrung der Rechte des Betroffenen (Information, Auskunft, Richtigstellung. Löschung) im Vordergrund.

Da auf Grund der geschilderten Entwicklungen der Gesetzesentwurf über die Einrichtung einer Kleinkreditevidenz politische Priorität zu genießen scheint, meint der Datenschutzrat, daß zunächst eine bereichsspezifische datenschutzkonforme Regelung abzuwarten ist, bevor weitere Gespräche über ähnliche Informationsverbundsysteme - etwa über Versicherungen - fortgesetzt werden.

DSG-Info-Service Jahrgang 1997

Ausgabe Nr. 17 März 1997
Ausgabe Nr. 18 Juni 1997
Ausgabe Nr. 19 September 1997
Ausgabe Nr. 20 Dezember 1997
Andere Jahrgänge

DSG-Info-Service Nr. 20
Dezember 1997

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

In Ausgabe Nr. 7 unseres DSG-Info-Service haben wir die Datenschutzbestimmungen des Fernmeldegesetzes (FG) 1993 erläutert. Mit Inkrafttreten des Telekommunikationsgesetzes (TKG), BGBl. II Nr. 100/1997 im August 1997 trat das FG 1993 außer Kraft.

Die vorliegende Ausgabe unseres DSG-Info-Service stellt die datenschutzrechtlichen Teile (das ist im wesentlichen der Abschnitt 12) des TKG 1997 vor.

Datenschutzbestimmungen des Telekommunikationsgesetzes 1997

Allgemeines

Das TKG umfaßt folgende 15 Abschnitte:
1. Allgemeines
2. Infrastruktur, Eigentumsrechte
3. Telekommunikationsdienste
4. Universaldienst
5. Wettbewerbsregulierung
6. Frequenzen
7. Adressierung und Numerierung
8. Schutz der Nutzer
9. Funkanlagen und Endgeräte
10. Verfahren, Gebühren
11. Aufsichtsrechte
12. Fernmeldegeheimnis, Datenschutz
13. Strafbestimmungen
14. Behörden
15. Übergangs- und Schlußbestimmungen

Datenschutzbestimmungen finden sich vor allem im Abschnitt 12, der zusätzlich auch das Fernmeldegeheimnis definiert.

Abschnitt 12 Fernmeldegeheimnis, Datenschutz

§ 87 legt allgemeine Regelungen wie die ausdrückliche Bezugnahme auf das Datenschutzgesetz und auf die Strafprozeßordnung fest. Darüber hinaus sind die in Abs. 3 normierten Begriffsbestimmungen deshalb von Interesse, weil hier zugleich eine Aufzählung aller Datenarten vorgenommen wird, die im Zusammenhang mit dem TKG zu beachten sind:

§ 87. (3) In diesem Abschnitt bezeichnet der Begriff

1. "Betreiber" Anbieter von öffentlichen Telekommunikationsdiensten im Sinne des 3. Abschnittes;

2. "Teilnehmer" eine natürliche oder juristische Person, die mit einem Anbieter eines öffentlichen Telekommunikationsdienstes einen Vertrag über die Inanspruchnahme dieser Dienste geschlossen hat;

3. "Benutzer" eine natürliche Person, die einen öffentlichen Telekommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst zwangsläufig abonniert zu haben;

4. "Stammdaten" alle personenbezogenen Daten, die für die Begründung, die Abwicklung, Änderung oder Beendigung der Rechtsbeziehungen zwischen dem Benutzer und dem Anbieter von Telekommunikationsdiensten oder zur Erstellung und Herausgabe von Teilnehmerverzeichnissen erforderlich sind; dies sind:
a) Familienname und Vorname,
b) akademischer Grad,
c) Adresse,
d) Teilnehmernummer,
e) Bonität;

5. "Vermittlungsdaten" alle personenbezogenen Daten, die sich auf Teilnehmer und Benutzer beziehen und für den Aufbau einer Verbindung oder für die Verrechnung von Entgelten erforderlich sind; dies sind:
a) aktive und passive Teilnehmernummern,
b) Anschrift des Teilnehmers,
c) Art des Endgerätes,
d) Gebührencode,
e) Gesamtzahl der für den Abrechnungszeitraum zu berechnenden Einheiten,
f) Art, Datum, Zeitpunkt und Dauer der Verbindung,
g) übermittelte Datenmenge,
h) andere Zahlungsinformationen, wie Vorauszahlung, Ratenzahlung, Sperren des Anschlusses oder Mahnungen;

6. "Inhaltsdaten" die Inhalte übertragener Nachrichten.

§ 88 betrifft das Fernmeldegeheimnis und ist somit keine unmittelbare Datenschutzbestimmung. § 89 betrifft Technische Einrichtungen zur Überwachung des Fernmeldeverkehrs nach den Bestimmungen der StPO.

§ 90 betrifft die Sicherheit des Netzbetriebes und verpflichtet den Betreiber ausdrücklich zur Einhaltung der Datensicherheitsmaßnahmen im Sinne des § 21 DSG.

§ 91 Datenschutz - Allgemeines

§ 91, der in der Folge vollinhaltlich abgedruckt wird, orientiert sich am derzeitigen DSG bzw. an der noch umzusetzenden EU-Datenschutzrichtlinie und zeigt keine Bestimmungen, deren Lektüre besonders überrascht.

§ 91. (1) Stammdaten, Vermittlungsdaten und Inhaltsdaten dürfen nur für Zwecke der Besorgung eines Telekommunikationsdienstes ermittelt oder verarbeitet werden.

(2) Die Übermittlung von im Abs. 1 genannten Daten darf nur erfolgen, soweit das für die Erbringung jenes Telekommunikationsdienstes, für den diese Daten ermittelt und verarbeitet worden sind, durch den Betreiber erforderlich ist. Sonstige Übermittlungen dürfen nur auf Grund einer vorherigen schriftlichen Zustimmung der Betroffenen erforderlich ist. Sonstige Übermittlungen dürfen nur auf Grund einer vorherigen schriftlichen Zustimmung der Betroffenen erfolgen. Die Zustimmung gilt nur dann als erteilt, wenn sie ausdrücklich als Antwort auf ein Ersuchen des Betreibers gegeben wurde. Die Betreiber dürfen die Bereitstellung ihrer Dienste nicht von einer solchen Zustimmung abhängig machen.

(3) Der Betreiber ist verpflichtet, den Teilnehmer darüber zu informieren, welche personenbezogenen Daten er ermitteln und verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Diese Information hat in geeigneter Form, insbesondere im Rahmen allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz bleibt unberührt.

§ 92 - Stammdaten

§ 92, der in der Folge vollinhaltlich abgedruckt wird, bezieht sich auf die Stammdaten; der Umfang der Stammdaten ist weiter oben unter § 87 nachzulesen.

§ 92. (1) Stammdaten dürfen von Betreibern nur für folgende Zwecke ermittelt und verarbeitet werden:

1. Abschluß, Durchführung, Änderung oder Beendigung des Vertrages mit dem Teilnehmer;

2. Verrechnung der Entgelte und

3. Erstellung von Teilnehmerverzeichnissen, auch gemäß § 26.

(2) Stammdaten sind spätestens nach Beendigung der Rechtsbeziehungen mit dem Teilnehmer vom Betreiber zu löschen. Ausnahmen sind nur soweit zulässig, als diese Daten noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflichtungen zu erfüllen.

§93 - Vermittlungsdaten

§ 93, der in der Folge vollinhaltlich abgedruckt wird, bezieht sich auf die Vermittlungsdaten; der Umfang der Vermittlungsdaten ist weiter oben unter § 87 nachzulesen.

§ 93. (1) Vermittlungsdaten dürfen grundsätzlich nicht gespeichert werden und sind vom Betreiber nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren.

(2) Sofern dies für Zwecke der Verrechnung von Entgelten erforderlich ist, hat der Betreiber Vermittlungsdaten bis zum Ablauf jener Frist zu speichern, innerhalb derer die Rechnung rechtlich angefochten werden oder der Anspruch auf Zahlung geltend gemacht werden kann. Diese Daten sind im Streitfall der entscheidenden Einrichtung sowie der Schlichtungsstelle unverkürzt zur Verfügung zu stellen. Wird ein Verfahren über die Höhe der Entgelte eingeleitet, dürfen die Daten bis zur endgültigen Entscheidung über die Höhe der Entgelte nicht gelöscht werden. Der Umfang der gespeicherten Vermittlungsdaten ist auf das unbedingt notwendige Minimum zu beschränken.

(3) Die Verarbeitung von Vermittlungsdaten darf nur durch solche Personen erfolgen, die mit der Besorgung jener Aufgaben betraut sind, für die Daten ermittelt und verarbeitet werden dürfen.

(4) Dem Betreiber ist es außer in den gesetzlich besonders geregelten Fällen untersagt, einen Teilnehmeranschluß über die Zwecke der Verrechnung hinaus nach den von diesem Anschluß aus angerufenen Teilnehmernummern auszuwerten. Mit Zustimmung des Teilnehmers darf der Betreiber die Daten zur Vermarktung für Zwecke der eigenen Telekommunikationsdienste verwenden.

Der folgende § 94 regelt den Entgeltnachweis. Dem Teilnehmer ist auf Antrag gegen Kostenersatz ein detaillierterer Entgeltnachweis, bis hin zum Einzelentgeltnachweis, auszufertigen. Hier ist anzumerken, daß die gerufene Teilnehmernummer nicht in voller Länge, gerufene Notrufnummern überhaupt nicht ausgewiesen werden dürfen. Im übrigen gelten für die Daten des Entgeltnachweises die selben Bestimmungen wie für die Vermittlungsdaten.

§ 95 - Inhaltsdaten

§ 95, der in der Folge vollinhaltlich abgedruckt wird, bezieht sich auf die Inhaltsdaten; diese Daten sind der sensibelste Teil sämtlicher anfallender Daten, deshalb ist ein Speicherungsverbot vorgesehen, das nur solche Fälle ausnimmt, wo die Speicherung einen wesentlichen Bestandteil des Dienstes darstellt (z.B. Mailbox).

§ 95. (1) Inhaltsdaten dürfen -- sofern die Speicherung nicht einen wesentlichen Bestandteil des Telekommunikationsdienstes darstellt ! grundsätzlich nicht gespeichert werden. Sofern aus technischen Gründen eine kurzfristige Speicherung erforderlich ist, hat der Betreiber nach Wegfall dieser Gründe die gespeicherten Daten unverzüglich zu löschen.

(2) Der Betreiber hat durch technische und organisatorische Vorkehrungen sicherzustellen, daß Inhaltsdaten nicht oder nur in dem aus technischen Gründen erforderlichen Mindestausmaß gespeichert werden. Sofern die Speicherung des Inhaltes Dienstmerkmal ist, sind die Daten unmittelbar nach der Erbringung des Dienstes zu löschen.

 [wird fortgesetzt]

DSG-Info-Service Jahrgang 1997

Ausgabe Nr. 17 März 1997
Ausgabe Nr. 18 Juni 1997
Ausgabe Nr. 19 September 1997
Ausgabe Nr. 20 Dezember 1997
Andere Jahrgänge

Kompetenzbereich Datensicherheit

in Kooperation mit

2019 Secur-Data. All Rights Reserved.