Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 1999

Ausgabe Nr. 23 März 1999
Ausgabe Nr. 24 September 1999
Andere Jahrgänge

DSG-Info-Service Nr. 23
März 1999

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Die Regierungsvorlage für das schon lange überfällige novellierte Datenschutzgesetz ist am 18. Februar 1999 im Nationalrat eingelangt. Sie wurde am 24. März 1999 dem Verfassungsausschuß zugewiesen, steht bei dessen nächster Sitzung am 8. April aber noch nicht auf der Tagesordnung.

In Anbetracht des geplanten Inkrafttretens per Jahresanfang 2000 trägt das Datenschutzgesetz nunmehr die Bezeichnung Datenschutzgesetz 2000 — DSG.

Der genaue Wortlaut der Regierungsvorlage kann über unsere Homepage http://www.secur-data.at jederzeit abgerufen werden, genauso wie auch der Wortlaut der EU-Richtlinie. Sollte der Leser darüber hinaus auch an den Erläuterungen interessiert sein, mit denen die Regierungsvorlage dem Parlament übergeben wurde, so ist dies über die Seite des Parlaments http://www.parlinkom.gv.at/ möglich, von dort weiter über „parlamentarische Materialien" und „Gesetzesvorschläge" zu „Regierungsvorlagen".

Regierungsvorlage zum Datenschutzgesetz 2000

Schutz der Daten juristischer Personen

Das EU-Datenschutzrecht bezieht sich ausschließlich auf die Daten natürlicher Personen. Die Regierungsvorlage umfaßt, ebenso wie das bestehende Datenschutzgesetz, auch die Daten juristischer Personen. Auf die damit einhergehende Problematik haben wir mit DSG-Info Nr. 21 bereits hingewiesen.

Nach dem DSG 2000 sind Datenübermittlungen und Datenüberlassungen in EU-Länder generell genehmigungsfrei, auch dann, wenn im Empfängerland kein Datenschutz für juristische Personen besteht, hingegen wird für Übermittlungen und Überlassungen in Drittländer die Genehmigung gefordert.

Begründet wird diese Situation u.a. mit dem kostensparenden Effekt im Zusammenhang mit nicht mehr erforderlichen Anträgen an die Datenschutzkommission.

Einbeziehung der manuellen Daten

Die Einbeziehung der manuellen Datensammlungen in den Datenbegriff und somit in den Geltungsbereich des Datenschutzgesetzes ist nur teilweise gelungen und ist seit dem Erstentwurf zum DSG 1998 schwächer ausgeprägt.

Es ist festzuhalten, daß die Begriffsbestimmung „Verarbeitung" der EU-Richtlinie auch manuelle Datenbestände umfaßt und somit unter Schutz stellt:

Art. 2: Im Sinne dieser Richtlinie bezeichnet der Ausdruck ...
... b): „Verarbeitung personenbezogener Daten" („Verarbeitung") jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten; ...

Der Begriff „Datenanwendung" des DSG 2000 umfaßt hingegen nur solche Abläufe, die zumindest zu einem Teil maschinell und programmgesteuert ablaufen:

§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe: ...
... 7. „Datenanwendung" (früher: „Datenverarbeitung"): die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung); ...

Da auf diesen Begriffen die restlichen Bestimmungen der Richtlinie bzw. des DSG aufbauen, ergibt sich, daß wesentliche Punkte der EU-Richtlinie, die auch für manuelle Daten zu gelten haben, im DSG einfach nicht geregelt sind. Der folgende Punkt über die sensiblen Daten ist gleich ein gutes Beispiel für diesen Mangel.

Verarbeitung sensibler Daten

Die EU-Richtlinie untersagt in Artikel 8 ausdrücklich die Verarbeitung personenbezogener Daten, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben".

Eine entsprechende Definition „sensible Daten" wurde im § 4 Z. 2 der Regierungsvorlage eingebaut.

Das eigentliche Verarbeitungsverbot findet sich in § 9 der Regierungsvorlage:

Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung sensibler Daten ausschließlich dann nicht verletzt, wenn ... (es folgen 13 Ausnahmetatbestände, die in etwa den Intentionen der Richtlinie folgen). Da der Verwendungsbegriff der Regierungsvorlage erheblich vom Verarbeitungsbegriff der Richtlinie abweicht, fehlt der Regierungsvorlage die Einbeziehung manueller Datenbestände gerade in diesem sensiblen Bereich.

Andererseits geht der Schutz sensibler Daten über die Richtlinie hinaus: § 18 der Regierungsvorlage sieht eine Vorabkontrolle vor Aufnahme einer Datenanwendung in gewissen Fällen vor:

(2) Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften betreffen, dürfen, wenn sie
1. sensible Daten enthalten oder ...
erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission nach den näheren Bestimmungen des § 20 aufgenommen werden.

Diese Vorabkontrolle wird von der Richtlinie nicht zwingend gefordert, sondern allgemein für Verarbeitungen mit spezifischen Risiken für die Rechte und Freiheiten der Betroffenen vorgesehen (Art. 20).

Unterrichtung des Betroffenen

Die EU-Richtlinie sieht in Abschnitt IV eine sehr weitreichende Unterrichtung des Betroffenen bei der Erhebung und Weitergabe von Daten vor, und zwar in Artikel 10 betreffend die eigentliche Datenerhebung beim Betroffenen selber und in Artikel 11 in bezug auf andere Fälle, insbesondere in bezug auf die Aufnahme von Datenübermittlungen.

Dieser Punkt ist in § 24 Regierungsvorlage nur teilweise gelöst, insbesondere fehlt die Information über die Datenübermittlungen. Die Erläuterungen zur Regierungsvorlage erklären dies damit, daß die Information des Betroffenen und die Registrierung beim DVR einander ergänzen und somit gemeinsam dem Betroffenen die gewünschten Informationen geben.

Etwas überraschend wirkt § 24 Abs. 4:
Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind.

D.h., gerade jene Datenverarbeitungen, die nicht im DVR registriert werden müssen, entziehen sich auch jeder Kontrolle durch den Betroffenen. Nicht meldepflichtig sind entsprechend § 17 Abs. 2 unter anderem Datenanwendungen, die einer Standardanwendung entsprechen (Z. 6). Das ist rund die Hälfte aller derzeit im DVR registrierten Datenverarbeitungen.

Besondere Verwendungsarten von Daten

In Artikel 15 hält die EU-Richtlinie ein grundsätzliches Verbot von

automatisierten Einzelentscheidungen

fest und regelt die möglichen Ausnahmetatbestände. Die Regierungsvorlage trägt diesem Verbot in § 49 Abs. 1 Rechnung:

Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.

Ausnahmen sind in Abs. 2 festgelegt, wenn dies gesetzlich ausdrücklich vorgesehen ist oder wenn im Rahmen des Abschlusses oder der Erfüllung eines Vertrages dem Ersuchen des Betroffenen stattgegeben wurde oder bei sonstigen geeigneten Maßnahmen zur Wahrung der berechtigten Interessen des Betroffenen.

Nicht durch die EU-Richtlinie direkt begründet ist der § 50 der Regierungsvorlage über die

Informationsverbundsysteme,

also über Systeme, die von mehreren Betreibern gemeinsam betrieben werden. Unter diesen Begriff fallen harmlose Buchungssysteme genauso wie extrem sensible Systeme zur Verbrechensbekämpfung oder der Kreditkataster. Gemäß § 18 Abs. 2 unterliegen Informationsverbundsysteme einer Vorabkontrolle durch die Datenschutzkommission vor Aufnahme ihres Betriebes.

DSG-Info-Service Jahrgang 1999

Ausgabe Nr. 23 März 1999
Ausgabe Nr. 24 September 1999
Andere Jahrgänge

DSG-Info-Service Nr. 24
September 1999

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Im Bundesgesetzblatt Teil I Nr. 165 vom 17. August 1999 wurde das Datenschutzgesetz 2000 veröffentlicht. Das neue Gesetz tritt am 1. Jänner 2000 in Kraft. Da es die Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr darstellt, wird ab diesem Zeitpunkt die EU-Datenschutzrichtlinie nicht mehr direkt anwendbar sein (siehe unser DSG-Info Nummer 22).

Der Nationalrat hat die Regierungsvorlage vom 18. Februar 1999 zwar nicht unverändert beschlossen, die Aussagen unseres DSG-Info-Service Nr. 23 gelten aber vollinhaltlich auch für den beschlossenen Gesetzestext, sodaß wir eine Wiederholung Ihnen und uns ersparen können.

Der genaue Wortlaut des neuen Gesetzes kann über unsere Homepage http://www.secur-data.at jederzeit abgerufen werden, genauso wie auch der Wortlaut der EU-Richtlinie. Einzelheiten des Gesetzwerdungsverfahrens, einschließlich der Debattenbeiträge im Plenum des Nationalrats, kann der Leser auf den Seiten des Parlaments http://www.parlinkom.gv.at/ verfolgen, indem er von dort weiter über „parlamentarische Materialien", „Gesetzesvorschläge" und „Regierungsvorlagen" die Nummer 1613 der Beilagen sucht.

Datenschutzgesetz 2000 beschlossen

Zur Entstehungsgeschichte

Die Stammfassung des DSG wurde unter Nummer 565 am 18. Oktober 1978 im Bundesgesetzblatt veröffentlicht und trat am 1. Jänner 1980 in Kraft. Das heute gültige DSG geht im wesentlichen auf die Novelle Nummer 370/1986 zurück, die am 1. Juli 1987 in Kraft getreten ist. Eine genauere Auflistung aller Novellierungen seit diesem Zeitpunkt erscheint an dieser Stelle entbehrlich, da das bestehende DSG mit dem Inkrafttreten des DSG 2000 am 1. Jänner kommenden Jahres außer Kraft tritt.

Die EU-Richtlinie zum Datenschutz (genaue Bezeichnung: Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) wurde am 23. November 1995 im Amtsblatt der Europäischen Gemeinschaften unter Nummer L 281/31 veröffentlicht. Binnen 3 Jahren war eine Umsetzung in das nationale österreichische Recht vorzunehmen.

Ein erster Entwurf zu einem neuen „DSG 1998" wurde im März 1998 vom Bundeskanzleramt vorgelegt (siehe DSG-Info Nummer 21). Für eine fristgerechte Umsetzung bis zum Termin 24. Oktober 1998 erwies sich die Zeit als zu knapp, sodaß zu diesem Termin die EU-Richtlinie unmittelbar anwendbar wurde.

Das mittlerweile auf „DSG 2000" umbenannte Gesetzeswerk wurde am 18. Februar 1999 dem Nationalrat als Regierungsvorlage zugestellt. Am 24. März 1999 wurde die Materie dem Verfassungsausschuß zugewiesen, der sie in den Sitzungen am 9. Juni und 1. Juli 1999 behandelte. Am 13. Juli 1999 wurde das Gesetz vom Plenum des Nationalrates verabschiedet. In der Sitzung des Bundesrates vom 29. Juli 1999 wurde beschlossen, keinen Einspruch gegen das Gesetz zu erheben. In der Folge konnte das Gesetz am 17. August 1999 im Bundesgesetzblatt veröffentlicht werden.

Übergangsbestimmungen (§61)

Bestehende Meldungen und Registrierungen

Aufgrund des derzeitigen DSG bestehende Meldungen und Registrierungen gelten im DSG 2000 weiter als Meldung gemäß § 17 und Registrierung gemäß § 21.

Übermittlungen in das Ausland

Genehmigungsbescheide der Datenschutzkommission sind vor dem 1. Jänner 2003 neu zu beantragen. Der Sinn dieser Bestimmung ist zwar nicht ganz verständlich, sie wird aber dadurch entschärft, daß ein großer Teil der heute genehmigungspflichtigen Datenübermittlungen in das Ausland nach der neuen Rechtslage genehmigungsfrei sein wird.

Manuelle Datenanwendungen

Gemäß § 58 iVm den §§ 17 und 18 besteht für manuelle Dateien nur dann eine Meldepflicht, wenn sie einer Vorabkontrolle unterliegen; dies gilt für sensible Daten, strafrechtlich relevante oder die Kreditwürdigkeit betreffende Daten und für Informationsverbundsysteme. Sofern derartige Datenbestände schon vor dem 1. Jänner 2000 bestehen, sind sie bis zum 1. Jänner 2003 zu melden.

Datenschutzkommission

Die aufgrund des derzeitigen DSG bestellte Datenschutzkommission bleibt für einen Zeitraum von 6 Monaten ab Inkrafttreten des DSG 2000 im Amt - also bis 30. Juni 2000 - und übernimmt die erweiterten Agenden gemäß §§ 35ff.

Datenverarbeitungsregister

Organisatorische Änderung

Das Register war bisher beim Statistischen Zentralamt eingerichtet, nunmehr wird es bei der Datenschutzkommission eingerichtet. Anders als bisher werden künftig die Meldungen auch auf automationsunterstütztem Weg möglich sein.

Standardverarbeitungen und Musteranwendungen

Standardverarbeitungen werden künftig nicht mehr meldepflichtig sein. Somit ist es auch fraglich, ob es zukünftig Standardverarbeitungen für jene Anwendungen gibt, die sensible Daten enthalten und gemäß § 18 der Vorabkontrolle durch die DSK unterliegen. Davon betroffen ist unserer Meinung nach die derzeitige Standardverarbeitung „Personalverwaltung", die den neuen Kriterien nicht entspricht, da sie sensible Daten enthält (Religion, Gewerkschaftszugehörigkeit). Da diese Standardanwendung aber weit verbreitet und auch offensichtlich zweckmäßig ist, bleibt zu hoffen, daß es im Verordnungswege entsprechende Erleichterungen geben wird.

Weiters kann der Bundeskanzler künftig auch Musteranwendungen verordnen. Wesentlicher Unterschied zu Standardanwendungen ist die Meldepflicht, die bei Standardanwendungen ja künftig nicht mehr besteht. Abgesehen vom Vorteil, keine individuellen Einlagebögen ausfüllen zu müssen, unterliegen Musteranwendungen nicht der Vorabkontrolle lt. § 18 Abs. 2.

Richtigstellung von Amts wegen

Künftig kann das Register auch von Amts wegen richtiggestellt werden. Bisher wurde, sofern aufgrund einer amtlichen Verlautbarung eine Firmenwortlautänderung bekannt wurden, der Auftraggeber aufgefordert, eine Korrekturmeldung vorzunehmen.

Wegfall der Registergebühr

Es ist keine Registrierungsgebühr mehr zu entrichten. Darüber hinaus ist festgelegt, daß die Eingaben im Registrierungsverfahren von Stempelgebühren und Verwaltungsabgaben befreit sind. Es bleibt zu hoffen, daß ohne ausdrückliche Nennung auch die Bescheide der DSK unter diese Regelung fallen.

Dienstleistungen

Vertragsverhältnis

Eine interessante Neuerung stellt die Verantwortung des Auftraggebers für den in Anspruch genommenen Dienstleister dar. Der Auftraggeber hat mit dem Dienstleister Vereinbarungen zu treffen, die eine ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten (§ 10). Die Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister sind zum Zweck der Beweissicherung schriftlich festzuhalten, wofür der Dienstleister verantwortlich ist (§ 11).

Arten der Dienstleistung

Anders als im bestehenden Gesetz umfassen künftig Dienstleistungen nicht nur die unmittelbare automationsunterstützte Verarbeitung von Daten, sondern jegliche Verwendung von Daten zur Herstellung eines aufgetragenen Werkes. In diesem Sinne fallen z.B. künftig Berater, selbständige Buchhalter, selbständige Vertreter und Druckereien unter den neuen Dienstleister-Begriff. Aus diesem Grund wird die Zahl der zu meldenden Datenübermittlungen künftig geringer sein als heute.

Datensicherheitsmaßnahmen (§ 14)

Protokollierungspflicht

Das DSG 2000 weist im Vergleich zu heute eine interessante Neuerung auf. Der Auftraggeber hat nämlich Protokoll über die tatsächlich durchgeführten Verwendungsvorgänge zu führen, damit die Datenverwendung, insbesondere Änderungen, Abfragen und Übermittlungen, „im notwendigen Ausmaß nachvollzogen werden können". Darüber hinaus ist eine Dokumentation über die getroffenen Datensicherheitsmaßnahmen für Zwecke der Beweissicherung zu führen. Diese Dokumentationen und Protokolle sind drei Jahre aufzubewahren.

Da die im DSG 2000 genannten Datensicherheitsmaßnahmen unter Berücksichtigung des Standes der Technik, der erwachsenden Kosten und der Art der zu schützenden Daten zu treffen sind, ist im Einzelfall über die Erfordernisse zu befinden.

Meldung

Allgemeine Angaben über die getroffenen Sicherheitsmaßnahmen sind bei der Meldung dem DVR bekanntzugeben (§ 19 Abs. 1 Z.7 DSG 2000).

DSG-Info-Service Jahrgang 1999

Ausgabe Nr. 23 März 1999
Ausgabe Nr. 24 September 1999
Andere Jahrgänge

Kompetenzbereich Datensicherheit

2010 Secur-Data. All Rights Reserved.