Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 1998

Ausgabe Nr. 21 Mai 1998
Ausgabe Nr. 22 September 1998
Andere Jahrgänge

DSG-Info-Service Nr. 21
Mai 1998

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Mit erheblicher Verspätung hat nun das Bundeskanzleramt den Entwurf für das Datenschutzgesetz 1998 zur Begutachtung vorgelegt.

Zur Erinnerung: am 24. Oktober 1995 trat die „Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" in Kraft. Innerhalb von 3 Jahren, somit bis spätestens Oktober 1998, muß das Österreichische Datenschutzgesetz an diese Richtlinie angepaßt werden.

In den Nummern 14 und 15 unseres DSG-Info-Service haben wir die EU-Richtlinie erläutert und auch den wesentlichen Novellierungsbedarf herausgestrichen. Wie wir in der vorliegenden Nummer ausführen, kann der nun vorliegende Entwurf leider nicht als besonders geglückt bezeichnet werden.

Zum vertieften Verständnis der folgenden Ausführungen ist es hilfreich, den Text und die 72 Erwägungsgründe der EU-Datenschutzrichtlinie zu kennen. Der Richtlinientext war unserem DSG-Info, Ausgabe Nr. 14, beigelegt. Darüberhinaus kann der Richtlinientext inklusive Erwägungsgründe über unsere Homepage http://www.secur-data.at jederzeit abgerufen werden.

Auch der nunmehrige Entwurf ist an dieser Stelle abzurufen.

Entwurf zum Datenschutzgesetz 1998

Schutz der Daten juristischer Personen

Das EU-Datenschutzrecht bezieht sich ausschließlich auf die Daten natürlicher Personen. Juristische Personen sind mit gutem Grund nicht enthalten, weil Fragen wie Geschäftsgeheimnisse von einer völlig anderen Qualität sind als Daten über das Privatleben und nicht sinnvoll in das selbe Regelungswerk passen.

Da auch die meisten anderen EU-Mitgliedstaaten ihr Datenschutzrecht nur auf natürliche Personen erstrecken (dies gilt insbesondere für Deutschland), stellt die Einbeziehung der Daten juristischer Personen, wie vom österreichischen Entwurf vorgesehen, eine überflüssige Fleißaufgabe dar.

Wettbewerbsnachteile für unsere Wirtschaft sind vorprogrammiert, und völlig unausgegoren ist die Frage des Vorgehens beim internationalen Datenverkehr. Der Entwurf sieht vier Klassen von Datenempfängern vor: solche im Inland, solche in EU-Mitgliedstaaten, solche in Drittländern mit vergleichbarem Schutzniveau und solche in anderen Drittländern. Dabei wird stillschweigend davon ausgegangen, daß EU-Mitgliedstaaten grundsätzlich ein vergleichbares Schutzniveau bieten, doch genau das ist nicht der Fall.

Einbeziehung der manuellen Daten

Die Einbeziehung der manuellen Datensammlungen in den Datenbegriff und somit in den Geltungsbereich des Datenschutzgesetzes ist grundsätzlich gelungen.

Dennoch ist festzuhalten, daß die Begriffsbestimmungen der EU-Richtlinie klarer und eindeutiger sind als jene des österreichischen Entwurfs. Eine Angleichung wäre zu begrüßen.

Verarbeitung sensibler Daten

Die EU-Richtlinie untersagt in Artikel 8 ausdrücklich personenbezogene Daten, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben". In diesem Zusammenhang sind diverse Ausnahmebestimmungen vorgesehen, die im wesentlichen auf folgende Tatbestände zurückzuführen sind:

  • Ausdrückliche Einwilligung oder öffentliche Bekanntmachung der Daten durch den Betroffenen;
  • Datenverarbeitungen im Rahmen des Arbeitsrechts;
  • Datenverarbeitungen zum Schutz lebenswichtiger Interessen des Betroffenen;
  • Datenverarbeitungen im Rahmen des Gesundheitswesens (medizinisches Personal);
  • Datenverarbeitungen von nicht-kommerziellen Organisationen im Rahmen ihrer rechtmäßigen Tätigkeiten und unter Wahrung des geschlossenen Mitglieder- bzw. Betroffenenkreises.

Eine vergleichbare Bestimmung gab es bis dato im österreichischen DSG nicht. Im jetzigen Entwurf ist diese Frage nicht geschlossen geregelt. In § 3 Abs 2 (Definition der „sensiblen Daten") findet sich eine Definition dieser speziellen Datenarten, und die Detailregelungen sind über das ganze DSG verstreut:

  • § 5 Abs 2 befaßt sich mit der Publizierbarkeit solcher Daten,
  • § 6 Abs 2 mit der Zulässigkeit der Ermittlung und Verarbeitung,
  • § 6 Abs 4 Z 1 mit der Notwendigkeit einer ausdrücklichen Zustimmung,
  • § 7 Abs 1 Z 2 und Z 4 mit der Zustimmung zur Übermittlung,
  • § 15 Abs 2 mit der Vorabkontrolle,
  • § 29 Abs 1 mit dem Schadenersatz,
  • § 43 Abs 2 mit der Zurverfügungstellung für den Adressenhandel.

Nichtsdestotrotz gibt es in § 41 allgemeine Bestimmungen über die Zulässigkeit der Verwendung sensibler Daten, die sogar den Rang einer Verfassungsbestimmung haben. Es wäre zu empfehlen, analog zur Richtlinie sämtliche Bestimmungen über die sensiblen Daten zusammenzufassen, d.h. also den § 41 entsprechend auszubauen, schon allein aus Gründen der Übersichtlichkeit und Transparenz.

Unterrichtung des Betroffenen

Die EU-Richtlinie sieht in Abschnitt IV eine sehr weitreichende Unterrichtung des Betroffenen bei der Erhebung und Weitergabe von Daten vor. Es sind unmißverständliche Bestimmungen, bei denen allerdings fraglich ist, ob sie überhaupt in wirtschaftlicher Weise umgesetzt werden können.

Demgegenüber ist der österreichische Entwurf (§ 21) deutlich entschärft und läuft insbesondere darauf hinaus, zumindest bei Standardverarbeitungen auf die Information des Betroffenen zu verzichten. Es ist zu bezweifeln, daß die österreichische Regelung die Prüfung durch die EU-Gerichtsbarkeit übersteht.

Hier ist neuerlich anzumerken, daß die Diskrepanz zwischen EU-Richtlinie und DSG-Entwurf vor allem durch die Einbeziehung juristischer Personen in den Datenschutz überhaupt erst notwendig wird, denn die Information natürlicher Personen über die Verwendung deren Daten wird wohl leichter durchsetzbar sein als eine universelle Information aller Firmenkunden.

Widerspruchs- und Sperr-Rechte

Artikel 14 der Richtlinie regelt das Widerspruchsrecht des Betroffenen gegen die Speicherung seiner Daten. Insbesondere ist der Betroffene ausdrücklich darauf aufmerksam zu machen, daß er die Weiterverwendung seiner Anschrift durch Werbeunternehmen untersagen darf.

Im österreichischen Entwurf ist diese Regelung über die Werbeunternehmen nicht enthalten, sondern es gibt unter § 43, der sich mit der Weitergabe von Adressen befaßt, den Passus „... soweit gesetzlich nicht ausdrücklich anderes vorgesehen ist ...". In diesem Sinne ist das genannte Widerspruchsrecht in § 268 der Gewerbeordnung „ausgelagert".

Merkwürdig ist am österreichischen Entwurf der § 25, der die sonstigen Bestimmungen des Widerspruchsrechtes regelt. Der Betroffene kann gegen die Verwendung seiner Daten aus Geheimhaltungsinteressen Widerspruch erheben, sodaß die Daten binnen 4 Wochen gelöscht werden müssen bzw. nicht mehr übermittelt werden dürfen. Bei einem Widerspruch gegen die Veröffentlichung der Daten gibt es hingegen keine Frist.

Automatisierte Einzelentscheidungen

Das Verbot automatisierter Einzelentscheidungen im Artikel 15 der Richtlinie soll durch § 45 des österreichischen Entwurfs realisiert werden. Während aber die Richtlinie automatisierte Entscheidungen zum Zwecke der „Bewertung einzelner Aspekte der Person, wie beispielsweise ihre berufliche Leistungsfähigkeit, ihre Kreditwürdigkeit, ihre Zuverlässigkeit oder ihres Verhaltens" untersagt bzw. erschwert, bezieht sich der Entwurf ausschließlich auf die Beurteilung von „Eigenschaften, Fähigkeiten oder Lebensverhältnissen". Dies ist offensichtlich nur ein Teilaspekt der in der Richtlinie festgehaltenen Tatbestände.

Gänzlich entfallen sind die in der Richtlinie sehr wohl vorgesehenen Ausnahmebestimmungen, z.B. für solche Entscheidungsverfahren, die durch Gesetz vorgesehen sind, oder solche, die sich aus der Vertragserfüllung im Interesse des Betroffenen ergeben.

Internationaler Datenverkehr

Wie schon bei der Frage der juristischen Personen angemerkt, treten mit dem Entwurf des DSG 1998 zwei weitere Klassen des Internationalen Datenverkehrs auf: EU-Staaten mit gleichwertigem Schutzniveau und solche ohne gleichwertiges Schutzniveau, wobei der ganze Fragenkomplex noch sehr unausgegoren wirkt.

§ 10 regelt die genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland, insbesondere Daten natürlicher Personen an Mitgliedstaaten. § 11 regelt die genehmigungspflichtige Übermittlung und Überlassung.

Besonders zu erwähnen ist § 10 Abs 1, 2. Satz. Demnach ist jede Dienstleistung in einem Mitgliedstaat ohne Genehmigung zulässig, auch dann, wenn der Mitgliedstaat kein adäquates Schutzniveau bietet, was in bezug auf die Daten juristischer Personen ja die Regel sein wird.

DSG-Info-Service Jahrgang 1998

Ausgabe Nr. 21 Mai 1998
Ausgabe Nr. 22 September 1998
Andere Jahrgänge

DSG-Info-Service Nr. 22
September 1998

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Österreich hat es nicht geschafft, die EU-Richtlinie 95/46/EG „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" rechtzeitig, somit bis zum 24. Oktober 1998, in ein neues Datenschutzgesetz umzusetzen.

Damit sind wir aber in guter Gesellschaft. Deutschland etwa ist gleichermaßen säumig, und auch die von der EU einzurichtenden Gremien sind bis dato nicht bestellt. Allerdings steht die EU in diesem Zusammenhang nicht unter Termindruck, denn erst in drei Jahren ist der erste Bericht über die Durchführung der Richtlinie fällig.

Mit dieser Ausgabe unseres DSG-Info stellen wir die interessante Frage, inwieweit trotz fehlender gesetzlicher Umsetzung die Bestimmungen der EU-Datenschutzrichtlinie Rechtskraft erlangen. Der Richtlinientext war unserem DSG-Info, Ausgabe Nr. 14, beigelegt. Darüberhinaus kann der Richtlinientext inklusive Erwägungsgründe über unsere Homepage

http://www.secur-data.at

jederzeit abgerufen werden.

Andwendbarkeit der EU-Datenschutzrichtlinie

Was ist eine Richtlinie?

Art. 189 EWG-Vertrag

[Die angebrachten Hervorhebungen sind nicht Bestandteil des EWG-Vertragswerkes.]

Zur Erfüllung ihrer Aufgaben und nach Maßgabe dieses Vertrages erlassen der Rat und die Kommission Verordnungen, Richtlinien und Entscheidungen, sprechen Empfehlungen aus oder geben Stellungnahmen ab.
Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Die Richtlinie ist für jeden Mitgliedstaat, an den sie gerichtet wird, hinsichtlich des zu erreichenden Ziels verbindlich, überläßt jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel.
Die Entscheidung ist in allen ihren Teilen für diejenigen verbindlich, die sie bezeichnet.
Die Empfehlungen und Stellungnahmen sind nicht verbindlich.

Es ist somit klar festzuhalten, daß sich die Richtlinie nicht unmittelbar an die Betroffenen richtet, sondern die Mitgliedstaaten verpflichtet, innerhalb der in der jeweiligen Richtlinie gesetzten Frist die notwendigen legistischen Maßnahmen zu setzen.

Geschieht dies nicht oder verspätet, so liegt eine Verletzung des EWG-Vertrages vor, wogegen der Europäische Gerichtshof angerufen werden kann.

Art. 191 EG-Vertrag

Die Verordnungen werden im Amtsblatt der Gemeinschaft veröffentlicht. Sie treten zu dem durch sie festgelegten Zeitpunkt oder andernfalls am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft.
Die Richtlinien und Entscheidungen werden denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam.

Im Falle der Datenschutzrichtlinie erfolgte die Bekanntmachung am 24. Oktober 1995 im Amtsblatt. Das ist somit auch der Zeitpunkt des Inkrafttretens. Für die Umsetzung wurde in der Richtlinie eine Frist von 3 Jahren festgesetzt.

Unmittelbare Anwendbarkeit

Dr. Stadler führt in Die EG und Österreich (Manz, 1989) aus:

Es ist im Sinne des „effet utile" überwiegende Meinung in Lehre und Rechtsprechung nationaler Gerichte sowie des EuGH, daß nicht innerhalb der Frist umgesetzte, inhaltlich genügend bestimmte Richtlinien unmittelbar Rechte (aber keine Pflichten) des Einzelnen gegenüber dem Mitgliedstaat begründen können, dh der Einzelne kann sich bei gemeinschaftswidrigem Verhalten eines Mitgliedstaates bereits unmittelbar auf die Richtlinie berufen.

Da also ohne gesetzliche Grundlage keine Pflichten des Einzelnen automatisch entstehen, ist nun in bezug auf die Datenschutzrichtlinie abzuwägen, welche der dort festgelegten Rechte der Betroffene nunmehr geltend machen kann, ohne daß daraus einem anderen Betroffenen - dem Auftraggeber im Sinne des DSG - neue Pflichten erwachsen.

Betroffenenrechte der EU-Richtlinie

Qualität der Daten

Artikel 6 der Richtlinie normiert die Anforderungen an die Qualität der Daten (Verarbeitung nach Treu und Glauben, Zweckbindung, Aktualität, Behaltedauer).

Da die Qualitätsanforderungen vom Auftraggeber der Datenverarbeitung erfüllt werden müssen, bietet die Richtlinie keine über das derzeitige DSG hinausgehende Handhabe zu deren Durchsetzung.

Zulässigkeit der Verarbeitung

Artikel 7 der Richtlinie normiert die Voraussetzungen zur Verarbeitung personenbezogener Daten (Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Interessen, berechtigte Interessen des Auftraggebers).

Diese Zulässigkeitskriterien sind vom Auftraggeber der Datenverarbeitung zu erfüllen, somit bietet die Richtlinie keine über das DSG hinausgehende Handhabe.

Besondere Kategorien personenbezogener Daten

Die Richtlinie stellt mit Artikel 8 personenbezogene Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben unter besonderen Schutz.

Im bestehenden DSG wird ein vergleichbarer Schutz nur mittelbar geboten. Vor allem geschieht dies in Form des allgemeinen Grundrechts, das in der Verfassungsbestimmung in § 1 (1) festgelegt ist:

Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit er daran ein schutzwürdiges Interesse, insbesondere im Hinblick auf Achtung seines Privat- und Familienlebens, hat.

Zum anderen erfordert das DSG an mehreren Stellen die Vornahme einer Abwägung zwischen den Interessen des Betroffenen auf Geheimhaltung und den Interessen des Auftraggebers zur Datenverarbeitung, Übermittlung und Überlassung. Als Beispiel sei § 17 (1) zitiert:

Daten dürfen von einem ... Rechtsträger nur ermittelt und verarbeitet werden, soweit Inhalt und Zweck der Datenverarbeitung in seinem berechtigten Zweck gedeckt sind und hiebei schutzwürdige Interessen des Betroffenen, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, nicht verletzt werden.

Diese Interessensabwägung ist grundsätzlich immer vorzunehmen, auch dann, wenn die Datenverarbeitung formal richtig beim DVR registriert ist.

Hier bietet unserer Meinung nach auch das bestehende Gesetz genügend Handhaben, die Rechte des Betroffenen aufgrund der Richtlinie zu wahren. Es geht nämlich nur mehr um die authentische Interpretation des schutzwürdigen Interesses, und die wird ab sofort nicht schwächer sein dürfen, als es die Richtlinie und speziell der Artikel 8 über die besonderen Datenkategorien fordert.

Information des Betroffenen

In den Artikeln 10 und 11 der Richtlinie wird die zwingende Information des Betroffenen bei der Erhebung personenbezogener Daten geregelt. Eine äquivalente Bestimmung kennt das DSG derzeit nicht, daher scheint eine Durchsetzung der Richtlinie derzeit nicht möglich.

Auskunftsrecht des Betroffenen

Das Auskunftsrecht ist in Artikel 12 der Richtlinie geregelt. Ein im wesentlichen gleiches Auskunftsrecht bietet auch heute schon das DSG - mit folgenden Einschränkungen:

  • keine Auskünfte über den logischen Aufbau der Verarbeitung;
  • keine unmittelbare Wirkung von Richtigstellung oder Löschung auf Dritte, denen die Daten übermittelt wurden.

Diese Teile der Richtlinie sind aufgrund der derzeitigen Rechtslage nicht exekutierbar.

Widerspruchsrecht des Betroffenen

Im Artikel 14 der Richtlinie ist festgelegt, daß zumindest in folgenden Fällen der Betroffenen jederzeit Widerspruch gegen die Verarbeitung seiner Daten erheben kann:

  • Verarbeitung im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt, sofern keine ausdrückliche gesetzliche Basis dafür vorliegt;
  • Verarbeitung zur Verwirklichung berechtigter Interessen des Auftraggebers, die die Interessen des Betroffenen überwiegen; wieder nur, sofern keine anderslautende gesetzliche Bestimmung vorhanden ist;
  • Weitergabe von Daten für Zwecke der Direktwerbung.

Der erste Fall sollte keine Schwierigkeiten bereiten, da Verarbeitungen zur Ausübung öffentlicher Gewalt grundsätzlich nur auf gesetzlicher Basis möglich sind.

Der zweite Fall spricht wieder die Interessenabwägung an. Sofern diese zu Gunsten des Betroffenen ausgeht, ist der Widerspruch auch schon aufgrund des bestehenden DSG erfolgreich.

Der dritte Fall mit der Direktwerbung ist in der Gewerbeordnung (§ 268 GewO 1994) geregelt. Nach diesem Gesetz kann der Betroffene verlangen, daß innerhalb von vier Wochen alle seine Daten gelöscht werden.

Automatisierte Einzelentscheidungen

Im Artikel 15 der Richtlinie wird festgelegt, daß keine Person einer rechtliche Folgen nach sich ziehenden oder sie erheblich beeinträchtigenden Entscheidung unterworfen werden darf, die ausschließlich auf automatisiertem Weg getroffen wird.

Eine gleichwertige Bestimmung ist dem DSG derzeit fremd, dieser Punkt kann also - zumindest einem anderen Auftraggeber als der Republik gegenüber - schwer durchgesetzt werden.

(wird fortgesetzt)

DSG-Info-Service Jahrgang 1998

Ausgabe Nr. 21 Mai 1998
Ausgabe Nr. 22 September 1998
Andere Jahrgänge

Kompetenzbereich Datensicherheit

2010 Secur-Data. All Rights Reserved.