Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 2000

Ausgabe Nr. 25/26 Jänner 2000
Ausgabe Nr. 27 August 2000
Ausgabe Nr. 28 Dezember 2000
Andere Jahrgänge

DSG-Info-Service Nr. 25/26
Jänner 2000

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Das Bundesgesetzblatt Teil II vom 30. Dezember 1999 enthält drei wichtige Verordnungen, die nach dem Inkrafttreten des DSG 2000 mit 1. Jänner überhaupt erst die Tätigkeit des Datenverarbeitungsregisters ermöglichen (DVRV 2000 und Registrierungsüberleitungsverordnung) bzw. die Gleichwertigkeit der Datenverarbeitungen in Drittstaaten neu definieren (DSAV).

Da diese Verordnungen, gleichzeitig mit dem DSG 2000, bereits ab 1. Jänner 2000 gelten, und aufgrund unseres Bestrebens nach Aktualität, halten Sie erstmalig eine Doppelnummer unseres DSG-Info-Service in Händen.

Der Text der drei neuen Verordnungen liegt bei. Darüber hinaus kann der genaue Wortlaut des DSG 2000 sowie der drei beschriebenen Verordnungen auch über unsere Homepage jederzeit abgerufen werden, genauso wie auch der Wortlaut der EU-Richtlinie.

Datenschutzgesetz 2000 und zugehörige Verordnungen treten in Kraft

Die Entstehungsgeschichte des DSG 2000 kann in Ausgabe 24 unseres DSG-Info-Service nachgelesen werden.

Aufgrund der neuen Rechtslage mußten insbesondere nachstehende Verordnungen erlassen werden bzw. sind solche noch zu erarbeiten:

Vor allem war eine neue Datenverarbeitungsregister-Verordnung (DVRV 2000) zu erlassen, die die bestehende DVR-VO 1987, BGBl. Nr. 260/1987 ablöst. Diese Verordnung stellt eine wesentliche Voraussetzung für die Geschäftstätigkeit des Datenverarbeitungsregisters dar und wurde mit BGBl. Teil II Nr. 520 vom 30. Dezember 1999 veröffentlicht.

Weiters war eine Datenschutzangemessenheits-Verordnung (DSAV) zu erlassen, die die Gleichwertigkeit des Datenschutzes in Drittstaaten bestätigt und somit die Voraussetzungen für den internationalen Datenverkehr ohne Zustimmung der Datenschutzkommission herstellt. Die Verordnung wurde mit BGBl. Teil II Nr. 521 vom 30. Dezember 1999 veröffentlicht und löst die bis zum 31. Dezember 1999 geltende Gleichwertigkeits-Verordnung 1980, BGBl. 612 vom 18. Dezember 1980 ab.

Mit BGBl. Teil II Nr. 522 vom 30. Dezember 1999 wurde eine Registrierungs-Überleitungsverordnung erlassen. Diese Verordnung erklärt provisorisch die Standardverarbeitungen laut Standard-Verordnung, BGBl. Nr. 261/1987 in der Fassung BGBl. II Nr. 241/1997, als Musterverarbeitungen im Sinne des DSG 2000 und ermöglicht so deren Registrierung. Dies ist deshalb notwendig, weil die neue Standard-Verordnung und die neue Muster-Verordnung noch nicht erlassen wurden.

Datenverarbeitungsregister-Verordnung 2000 - DVRV

Allgemeines

Die Verordnung umfaßt 19 Paragraphen, wobei die für das Registrierungsverfahren wesentlichen Bestimmungen des DSG 2000 weitgehend wiederholt werden.

§ 5 Form und Inhalt der Meldungen

Anstelle der bisherigen zwei Formblätter werden nun vier Formblätter aufgelegt:
(1)    Angaben zum Auftraggeber
(2)    Meldung einer Datenanwendung
(3)    Meldung einer Musteranwendung
(4)    Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen

 Es ist vorgesehen, daß man sich diese Formblätter bei Bedarf einfach aus dem Internet-Bereich des Bundeskanzleramtes (Verfassungsdienst) herunterlädt. Die Adressen hiefür sind:

http://www.dsk.gv.at/dvrform1.doc 
bis
DVRFORM4.DOC
(korrigiert Mai 2004)

Diese Formblätter sind zwar derzeit schon in einer ersten Version verfügbar, bedürfen aber offensichtlich noch einer Endredaktion und Qualitätssicherung. Da sich aber am grundsätzlichen Inhalt der Formblätter nichts mehr ändern wird, legen wir sie zur Kenntnisnahme dieser Ausgabe unseres DSG-Info-Service bei.

Für den Kenner der bisher gültigen Formblätter sind die Blätter 1 und 2 relativ bekannt als „Meldung" und „Einlagebogen". An neuen Fragestellungen treten auf:

  • automationsunterstützte oder manuelle Datenanwendung;

  • Verwendung sensibler Daten;

  • Verwendung strafrechtlich relevanter Daten;

  • Vorliegen eines Kreditinformationssystems;

  • Teilnahme an einem Informationsverbundsystem;

  • Daten über Betreiber und Rechtsgrundlage des Informationsverbundsystems.

Das neue Formblatt 3 (Meldung einer Musteranwendung) ermöglicht die einfachere Meldung von Musteranwendungen, ähnlich wie aufgrund des alten DSG die Standardanwendungen gleich en bloc auf dem Meldebogen eingetragen werden konnten.

An „neuen" Punkten tritt nur die Fragestellung nach dem Vorliegen eines Informationsverbundsystems auf, ohne daß weiterführende Fragen in dieser Richtung erfolgen. Desgleichen wird nicht nach manuellen und automationsunterstützten Anwendungen gefragt. Warum diese Abweichung zu dem Formular 2 besteht, ist nicht nachvollziehbar.

Das neue Formblatt 4 soll die ergriffenen Datensicherheitsmaßnahmen in allgemeiner Weise dokumentieren. Da es sich um eine fragebogenartige Erhebung handelt, die nur mit Ja oder Nein zu beantworten ist und die keine Angaben Auftraggeber-spezifischer Sicherheitsdetails erfordert, besteht kein Sicherheitsrisiko für den Auftraggeber, wenn dieses Blatt publik werden sollte.

§ 9 Prüfungs- und Verbesserungsverfahren

Analog zu § 20 DSG 2000 wird die Prüfungskompetenz der Datenschutzkommission beim Meldeverfahren detailliert erörtert. Insbesondere kann bei Gefahr im Verzug wegen wesentlicher Gefährdung schutzwürdiger Geheimhaltungsinteressen des Betroffenen die Weiterführung per Bescheid provisorisch untersagt werden, bis (spätestens nach der Prüffrist von zwei Monaten) das Registrierungsverfahren abgeschlossen ist.

Bei Datenanwendungen, die gem. § 18 Abs. 2 DSG 2000 der Vorabkontrolle unterliegen, ist mit der DSK Einvernehmen herzustellen, ob die Verarbeitung bereits aufgenommen werden darf.

§ 13 Verzeichnis der Informationsverbundsysteme

Vom Datenverarbeitungsregister wird ein Verzeichnis aller Informationsverbundsysteme geführt, das folgende Angaben enthält:

  • Bezeichnung und Zweck des Verbund-systems;

  • Rechtsgrundlagen des Systems;

  • Angaben über den Betreiber;

  • Liste der teilnehmenden Auftraggeber;

  • Daten des Meldeblattes der Datenanwendung, umgelegt auf das Gesamtsystem;

  • Auflagen, die die Datenschutzkommission mit Bescheid erteilt hat.

Diese Daten sind vom Register aus den individuellen Meldungen der Teilnehmer am Verbundsystem zu erstellen.

§ 17 Übergangsbestimmungen für Registrierungen

Bestehende Registrierungen gelten auch als Registrierungen im Sinne des DSG 2000, wobei bestehende Standardanwendungen als Musteranwendungen im Sinne des DSG 2000 gelten. Hiebei erfolgt eine Umnumerierung derart, daß die Standards des privaten Bereichs nunmehr M001 bis M006 heißen und die Standards des öffentlichen Bereichs M007 bis M017.

§ 18 Übergangsbestimmungen für Meldungen

Das Verfahren über Meldungen, die noch vor Inkrafttreten des DSG 2000 erstattet wurden und noch nicht erledigt sind, ist nach den neuen Bestimmungen fortzuführen.

Allerdings dürfen unbeschadet der Bestimmungen über die Vorabkontrolle die den Meldungen zugrundeliegenden Datenverarbeitungen jedenfalls bis zur Erledigung des Verfahrens fortgeführt werden.

Es wird nochmals betont, daß bereits früher bestehende Datenverarbeitungen, für die aber erst ab Inkrafttreten des DSG 2000 Meldepflicht besteht, längstens bis zum 1. Jänner 2003 weitergeführt werden dürfen. Dies betrifft nicht nur meldepflichtige manuelle Datenverarbeitungen – nunmehr als Datenanwendungen bezeichnet – , sondern auch z.B. die Textverarbeitung; es war geplant, für diese eine Standardverarbeitung im Sinne des DSG 2000 vorzusehen, doch die Standardverordnung wurde noch nicht erlassen.

Registrierungs-Überleitungsverordnung

Allgemeines

Diese Verordnung erklärt die aufgrund der Standard-Verordnung (vor 2000) bestehenden Standardverarbeitungen zu Musteranwendungen im Sinne des DSG 2000 und tritt spätestens mit 30. Juni 2000 außer Kraft.

Dies ist für neu vorzunehmende Meldungen von Belang. Bestehende Meldungen sind davon nicht betroffen, da diese in § 18 DVRV geregelt sind (siehe oben).

§ 2 Übermittlungen

Die entsprechend der Standardverordnung vorgesehenen Übermittlungen sind nur dann zulässig, wenn dafür eine Rechtsgrundlage gem. §§ 6 bis 9 DSG 2000 besteht. In der Praxis bedeutet diese Bestimmung, daß die Musterverarbeitung nicht als Freibrief für beliebige Übermittlungen an den dort genannten Empfängerkreis betrachtet werden darf, sondern vielmehr der Zweck der Übermittlung zu beachten ist.

Datenschutzangemessenheits-Verordnung

Allgemeines

Da im DSG 2000 die Datenschutzgesetze der einzelnen EU-Mitgliedstaaten grundsätzlich als dem österreichischen Recht gleichwertig eingestuft werden, sind abweichend von der vor 2000 geltenden Gleichwertigkeitsverordnung nur mehr Drittstaaten zu berücksichtigen.

Da im übrigen Norwegen den Status der Gleichwertigkeit verloren hat, werden derzeit nur die Schweiz und Ungarn als gleichwertig anerkannt.

§ 2 Einschränkungen im öffentlichen Bereich

Keine Ausnahme von der Genehmigungspflicht durch die Datenschutzkommission besteht bei der Übermittlung und Überlassung von Daten in die als gleichwertig anerkannten Staaten, wenn die Datenweitergabe für Zwecke der staatlichen Zusammenarbeit auf dem Gebiet der Bekämpfung von Straftaten erfolgt. In diesen Fällen ist zu prüfen, ob gem. § 12 Abs. 3 DSG 2000 Genehmigungsfreiheit besteht.

§ 3 Dienstleisterpflichten

§ 3 betont zunächst die Selbstverständlichkeit, daß nur Daten aus rechtmäßigen Datenverarbeitungen übermittelt oder überlassen werden dürfen.

In bezug auf ausländische Dienstleister wird eine schriftliche Zusage des ausländischen Dienstleisters gefordert, die die Einhaltung der Dienstleisterpflichten gemäß § 11 Abs. 1 DSG 2000 sicherstellt. Diese Verpflichtung entfällt, wenn entsprechende Gesetze im Ausland bestehen, die den Dienstleister entsprechend binden.

Unverständlich ist, daß die Frage, ob ein Drittstaat entsprechend gleichwertige Dienstleisterverpflichtungen hat, vom Auftraggeber abzuklären ist und nicht auch gleich in der Angemessenheitsverordnung geklärt wird.

Gleichwertigkeit von Norwegen

In bestehenden gültigen Bescheiden aufgrund der Rechtslage vor dem DSG 2000 hat die Datenschutzkommission stets auf die Gleichwertigkeit des Datenschutzes von Norwegen hingewiesen und insofern ausdrücklich Norwegen aus Genehmigungsbescheiden ausgenommen.

Da die Übergangsbestimmungen verlangen, bis 1. Jänner 2003 die Genehmigung für den internationalen Datenverkehr neu zu beantragen, ist wohl davon auszugehen, daß bis zu diesem Termin Datenübermittlungen nach Norwegen, die schon vor 2000 bestanden haben, auch ohne Genehmigung zulässig sind. Ein entsprechender Hinweis in der Angemessenheitsverordnung wäre hilfreich gewesen.

Verordnung im Sinne von § 13 Abs. 7 DSG 2000

Die vom DSG 2000 vorgesehene Verordnungsermächtigung wurde bisher nicht in Anspruch genommen.

Der Bundeskanzler könnte Erleichterungen für bestimmte Kategorien des Datenverkehrs mit Drittstaaten verordnen, wenn der Drittstaat zwar kein generell geltendes angemessenes Schutzniveau erreicht, aber für die in der Verordnung zu nennenden Kategorien dennoch ein angemessener Datenschutz besteht.

Mit Hilfe einer derartigen Verordnung – sie könnte durchaus in die Datenschutzangemessenheits-Verordnung eingearbeitet werden – könnte insbesondere der internationale Datenverkehr mit den USA auf Basis des „Sicherer Hafen-Prinzips" erleichtert werden.

Standardverordnung und Musterverordnung

Die vom DSG 2000 vorgesehene Standardverordnung ist leider nicht zeitgerecht fertig geworden.

Im Begutachtungsverfahren wurde aber schon ein Entwurf für eine Standardverordnung 2000 bekannt, der folgende Datenanwendungen vorgesehen hat:

  • Kundenverkehr (ohne sensible Daten)

  • Lieferantenverkehr (ohne sensible Daten)

  • Finanzbuchhaltung

  • Korrespondenz (ohne sensible Daten)

  • Verwaltung von Benutzerkennzeichen

  • Abgabenverwaltung der Gemeinden und Gemeindeverbände

  • Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts

  • Geschworenen- und Schöffenverzeichnis

  • Europa-Wählerevidenz und Wählerverzeichnisse

  • Inventarverwaltung der öffentlichen Auftraggeber

Der Entwurf für die Musterverordnung sah folgende Datenanwendungen vor:

  • Kundenverkehr (mit sensiblen Daten)

  • Lieferantenverkehr (mit sensiblen Daten)

  • Korrespondenz (mit sensiblen Daten)

  • Personentransport- und Hotelreservierung

  • Mitgliederverwaltung

  • Personalverwaltung der privaten Auftraggeber

  • Personalverwaltung des Bundes

  • Personenstandsbücher

  • Staatsbürgerschaftsevidenz

  • Melderegister

  • Wählerevidenz, Wählerverzeichnisse und Stimmlisten

Zum Teil sind die neuen Musterverarbeitungen durch die Registrierungs-Überleitungsverordnung bereits etabliert, wenngleich nicht in jenem überarbeiteten Umfang, der im Begutachtungsverfahren bekannt wurde.

Ausfüllhilfen für die Meldung

Im Datenschutzbericht 1997 – über das Internet einzusehen unter

http://www.dsk.gv.at/ds97.pdf
(korrigiert Mai 2004)

– berichtet das Datenverarbeitungsregister unter anderem auch über Ausfüllhilfen, die für häufiger auftretende Datenanwendungen vorbereitet wurden. Derzeit liegen diese Behelfe beim DVR in Papierform auf, und es ist zu hoffen, daß sie – nach einer Überarbeitung im Sinne des DSG 2000 – auch über das Internet zu beziehen sind.

Auch in der noch dem DSG 1978 entsprechenden Form können diese Hilfen sehr wertvoll sein bei der Erhebung der in einer Anwendung auftretenden Betroffenenkreise, Datenarten und Übermittlungsempfänger.

Für den öffentlichen Bereich wurden mit Stichtag Juni 1997 15 Auftraggeberkreise mit insgesamt 142 Datenanwendungen ausgewiesen.

Für den privaten Bereich wurden mit Stichtag Juni 1997 nachstehende 38 Auftraggeberkreise mit insgesamt 69 Datenanwendungen ausgewiesen:

  • Adressenverlag (eigenes Adressenangebot; Listbroking)

  • Apotheke (Personalverwaltung; Rezeptabrechnung mit der Pharmazeutischen Gehaltskasse Österreichs)

  • Arbeitseingliederungseinrichtungen

  • Ärzte (Abrechnung Hausapotheke; Honorarabrechnung; Medikamentendatei; Patientenverwaltung)

  • Autohaus (Gewährleistungsabwicklung; Kundenkartei)

  • Beherbergungsbetriebe (Gästedatei)

  • Betriebsberatung (Betriebsdatei für Bilanzanalysen und Planungsrechnungen)

  • Betriebsrat (Dienstnehmerdatei)

  • Bibliotheken (Bücherverwaltung; Leserverwaltung)

  • Evangelische Pfarrgemeinde (Gemeindeumlageabrechnung)

  • Fahrschulen (Kandidatenlisten)

  • Gewerkschaftliche Einrichtungen (Werbe- und Öffentlichkeitsarbeit)

  • Handelsagentur (Vermittlungsdatei)

  • Hausverwaltung (Mietzins- und Betriebskostenabrechnung)

  • Immobilienmakler (Vermittlungsdatei)

  • Inkassobüro (Klienten und Schuldner)

  • Investmentgesellschaft

  • Krankentransportunternehmen

  • Leasinggesellschaft

  • Markt- und Meinungsforscher (Statistische Aufbereitung von Erhebungsdaten)

  • Maschinen- und Betriebshilfering (Verrechnung der Hilfeleistungen der Mitglieder; Verwaltung von Stammdaten)

  • Notar (Exekutionsanträge; Klagen wegen Geldleistungen; Beurkundungsregister; Fremdgeld; Gerichtskommissionsregister; Geschäftsregister; Honorarabrechnung; Klientendatei; Selbstberechnung der Grunderwerbsteuer und Eintragungsgebühr; Urkundenerrichtung; Testamentsregister; Treuhandregister)

  • Optiker (Abrechnung mit Sozialversicherungsträgern; Kundendatei)

  • Personalberater (Bewerberdaten)

  • Politische Parteien (Mitgliederverwaltung; Wählerbetreuung)

  • Preisagenturen (Produkt- und Dienstleistungsvermittlungsdatei)

  • Rauchfangkehrer (Heizanlagen)

  • Rechtsanwalt (Exekutionsanträge; Klagen wegen Geldleistungen; Aktenverwaltung; Fremdgeldabrechnung; Klienten- und Gegnerdatei; Leistungserfassung; Selbstberechnung der Grunderwerbsteuer und Eintragungsgebühr)

  • Soziale Einrichtungen (Abrechnung der Sozialbetreuung; Essen auf Rädern)

  • Spedition (Zollanmeldungsabwicklung)

  • Vermögensberater

  • Versicherungsgeschäft (Versicherungsvertragsverwaltung)

  • Versicherungsmathematiker (Erstellung von versicherungs- und finanzmathematischen Gutachten)

  • Werbung (Werbeaussendung)

  • Wirtschaftstreuhänder/Steuerberater (Finanzbuchhaltung der Klienten; Klientendatei; Leistungserfassung; Personalverwaltung der Klienten)

  • Zahnarzt und Dentist (Honorarabrechnung)

  • Zivilingenieure/Vermessungswesen (Erstellung von Teilungsplänen)

  • Sonstige Ausfüllhilfen für Auftraggeber des privaten Bereiches (Abwicklung von Ausgleichen und Konkursen als Ausgleichs-/Masseverwalter; INTRASTAT-Meldungen)

DSG-Info-Service Jahrgang 2000

Ausgabe Nr. 25/26 Jänner 2000
Ausgabe Nr. 27 August 2000
Ausgabe Nr. 28 Dezember 2000
Andere Jahrgänge

DSG-Info-Service Nr. 27
August 2000

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Am 1. Juli 2000 trat wie vorgesehen die neue Verordnung über Standard- und Musteranwendungen in Kraft (siehe BGBl. II Nr. 201 vom 30. Juni 2000). Die Interimslösung der Registrierungs-Über­leitungs­ver­ord­nung (siehe DSG-Info vom Jänner 2000) trat damit ebenso außer Kraft wie die bisherige Standard-Verordnung BGBl. Nr. 261/1987 in der Fassung BGBl. II Nr. 241/1997.

Bedingt durch den erheblichen Umfang der neuen Verordnung kann sie nicht dem vorliegenden DSG-Info beigelegt werden. Wir verweisen aber auf unsere Internet-Homepage – http://www.secur-data.at – wo der Gesetzestext und sämtliche Verordnungen sowie die EU-Richtlinie jederzeit eingesehen werden können.

Standard- und Musterverordnung (StMV 2000)
tritt in Kraft

Die Verordnung enthält einen Hauptteil mit verordnungstechnischem Inhalt und drei Anlagen, die die eigentliche Substanz enthalten:

(1)      Anlage 1 enthält die nicht meldepflichtigen Standardanwendungen.

(2)      Anlage 2 enthält die vereinfacht zu meldenden Musteranwendungen.

(3)      Anlage 3 regelt die Überleitung der bisher registrierten Musteranwendungen (inklusive der noch aufgrund des DSG 1978 gemeldeten Standardanwendungen) auf die neuen Standard- und Musteranwendungen.

Text- und Bilddateien (§ 2 Abs. 1)

„Die (...) Standard- oder Musteranwendungen umfassen auch Datenverwendungen in Form von freien Texten oder maschinlesbaren Bilddateien, also auch die automationsunterstützte Erstellung und Archivierung solcher Textdokumente“

Damit wurde die Notwendigkeit umgangen, Datenanwendungen wie „Textverarbeitung“ separat zu registrieren oder zu eigenen Standardanwendungen zu erheben. Diese Notwendigkeit ergab sich dadurch, daß Textverarbeitungen seit Inkrafttreten des DSG 2000 nicht mehr von der Meldepflicht ausgenommen sind.

Schwierig wird die Situation somit nur in Fällen, wo in einer Textverarbeitung personenbezogene Daten verwendet werden, die von ihrem Inhalt her keiner Standardanwendung zugeordnet werden können. In diesem Fall ist daher insbesondere darauf zu achten, daß auch dann, wenn überhaupt nur eine Textverarbeitung betrieben wird, eine passende Musteranwendung oder eine rudimentäre Individualanwendung gemeldet wird.

Der Normalfall, wo die Korrespondenz primär den Kunden- oder Lieferantenkreis umfaßt, ist jedenfalls durch die Standardanwendungen SA01 und SA22 ausreichend abgedeckt.

Interessant ist – bei Zutreffen einer Standard- oder Musteranwendung – die Freistellung von Bilddaten vor allem unter dem Hintergrund, daß z.B. in der Musteranwendung MA002 (Zutrittskontrollsystem) ausdrücklich die Datenart „Lichtbild des Betroffenen“ aufscheint. Eigentlich ist diese Datenart somit doppelt erlaubt.

Übermittlungsbefugnisse (§ 2 Abs. 2)

Es wird ausdrücklich betont, daß die in den Standard- und Musteranwendungen vorgesehenen Übermittlungen nur dann tatsächlich erlaubt sind, wenn dafür eine Rechtsgrundlage gemäß den §§ 6-9 DSG 2000 besteht.

Damit ist klargestellt, daß die Standard- und Musteranwendungen selbst nicht die Rechtsgrundlage für Übermittlungen darstellen.

Anlage 1 – Standardanwendungen

Die Anlage 1 legt nachstehende 24 Standardanwendungen fest:

  • SA001 Rechnungswesen und Logistik
  • SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse
  • SA003 Mitgliederverwaltung
  • SA004 Abgabenverwaltung der Gemeinden und Gemeindeverbände
  • SA005 Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
  • SA006 Geschworenen- und Schöffenverzeichnisse
  • SA007 Verwaltung von Benutzerkennzeichen
  • SA008 Personenstandsbücher
  • SA009 Staatsbürgerschaftsevidenz
  • SA010 Melderegister
  • SA011 Wählerevidenz, Wählerverzeichnisse und Stimmlisten
  • SA012 Europa-Wählerevidenz und Wählerverzeichnisse
  • SA013 Personalverwaltung des Bundes und der bundesnahen Rechtsträger
  • SA014 Inventarverwaltung der öffentlichen Auftraggeber
  • SA015 Personalverwaltung der Länder, Gemeinden und Gemeindeverbände
  • SA016 Mitglieder- und Funktionärsdatenverwaltung der Wirtschaftskammerorganisation
  • SA017 Verwaltung von Entsendungsdaten der Wirtschaftskammerorganisation
  • SA018 Wirtschaftskammerorganisation: Betreuung von Mitgliedern, künftigen Mitgliedern und Interessenten im In- und Ausland
  • SA019 Präsenz- und Zivildienstbefreiungen von Mitarbeitern in Mitgliedsunternehmen der Wirtschaftskammer
  • SA020 Lehrstellenbörse der Wirtschaftskammer
  • SA021 Statistik der Wirtschaftskammerorganisation
  • SA022 Kundenbetreuung und Marketing für eigene Zwecke
  • SA023 KFZ-Zulassung durch Behörden
  • SA024 Patientenverwaltung und Honorarabrechnung

Im Vergleich zum ersten Entwurf, den wir im DSG-Info Ausgabe 25 vorgestellt haben, und auch zum bisherigen Stand an Musteranwendungen fallen insbesondere drei wesentliche Änderungen auf:

(1)      Die Anwendungen Kundenverkehr, Lieferantenverkehr und Finanzbuchhaltung wurden zusammengeführt in eine integrierte Anwendung Rechnungswesen und Logistik und eine neue Anwendung Kundenbetreuung und Marketing.

(2)      Die Personalverwaltung wurde nun doch zum Standard erhoben.

(3)      Es wurde darauf verzichtet, Anwendungen doppelgleisig als Standard oder als Muster vorzusehen, je nachdem, ob sensible Daten vorkommen können. Wo es sinnvoll war, wurden Standardanwendungen verordnet.

Speziell die beiden letzten Punkte dürften dem Datenverarbeitungsregister und den Unternehmen eine erhebliche Arbeitserleichterung bringen, denn es hätte andernfalls jeder Betrieb, der auch nur einen einzigen Mitarbeiter anstellt, auch registrieren müssen.

Anlage 2 – Musteranwendungen

Die Anlage 2 legt 3 Musteranwendungen fest:

  • MA001 Personentransport- und Hotelreservierung
  • MA002 Zutrittskontrollsystem
  •  MA003 KFZ-Zulassung durch beliehene Unternehmen

MA001 ist nur für die Touristikbranche von Interesse, MA003 nur für Versicherungen, die eine Zulassungsstelle betreiben, und bildet genau die gesetzliche Regelung ab.

Somit dürfte für den Leser vor allem die MA002 von Interesse sein:

MA002 Zutrittskontrollsystem

Als Zweck der Anwendung ist im Muster definiert: „Kontrolle der Berechtigung des Zutritts zu Gebäuden und abgegrenzten Bereichen durch den Eigentümer oder Benutzungsberechtigten mit Hilfe von Anlagen, die personenbezogene Daten automationsunterstützt ermitteln und speichern, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenz) in dieser Angelegenheit.

Als betroffener Personenkreis sind die Zutrittsberechtigten genannt, im wesentlichen mit den Datenarten Name, Lichtbild, Zutrittscode, Berechtigungscode, Gültigkeitsdauer und Sicherheitsstufe.

Hingegen fällt auf, daß keine Aufzeichnungen über die tatsächlich erfolgten Zutritte vorgesehen sind, sodaß diese Anwendung für Hochsicherheitsbereiche nicht geeignet ist.

Anlage 3 – Überleitung der bereits gemeldeten Musteranwendungen

Die aus dem DSG 1978 stammenden Standardanwendungen 9101 bis 9106, 9201, 9206 bis 9215 bzw. die gleichwertigen Musteranwendungen M001 bis M017 werden wie folgt den neuen Anwendungen zugeordnet:

  • 9101 und 9102 bzw. M001 und M002 (alt) werden zu SA001 Rechnungswesen und Logistik sowie zu SA022 Kundenbetreuung und Marketing.
  • 9103 bzw. M003 (alt) wird zu SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse.
  • 9104 bzw. M004 (alt) wird zu SA001.
  • 9105 bzw. M005 (alt) wird zu M001 Personentransport- und Hotelreservierung.
  •  9106 bzw. M006 (alt) wird zu SA003 Mitgliederverwaltung.

Die Fortsetzung für den Öffentlichen Bereich wird nur in gekürzter Form dargestellt:

  • 9201 bzw. M007 wird SA004
  • 9206 bis 9215 bzw. M008 bis M017 werden zu SA005 bis SA014.

DSG-Info-Service Jahrgang 2000

Ausgabe Nr. 25/26 Jänner 2000
Ausgabe Nr. 27 August 2000
Ausgabe Nr. 28 Dezember 2000
Andere Jahrgänge

DSG-Info-Service Nr. 28
Dezember 2000

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Das Jahr 2000 hat zumindest für den Datenschutz in Österreich bedeutsame Änderungen mit sich gebracht: ein neues Gesetz, neue Standardanwendungen und andere begleitende Verordnungen. Man kann sagen: kein Stein blieb auf dem anderen.

Auch für das Jahr 2001 sind umwälzende Änderungen zu erwarten. Das Datenverarbeitungsregister befindet sich bereits mitten in der Übersiedlung in ein neueres – schöneres – Domizil. Auf Grund der auf europäischer Ebene politisch gefallenen Entscheidung zugunsten des „safe harbour“-Prinzips im Datenaustausch mit den USA wird eine entsprechende österreichische Verordnung kommen müssen.

Wir wünschen unseren Datenschutzkunden wie auch allen anderen Lesern ein gesegnetes Weihnachtsfest und viel Erfolg im kommenden Jahr. Bei Anliegen in Datenschutzfragen stehen wir auch weiterhin mit Rat und Tat zur Verfügung.

Datenverarbeitungsregister übersiedelt

Bis Ende 1999 war das Datenverarbeitungsregister als Dienststelle des Österreichischen Statistischen Zentralamtes eingerichtet und im Bereich der Alten Universität – genau: Bäckerstraße 20 – untergebracht. Seit 1. Jänner 2000 untersteht das Datenverarbeitungsregister der Datenschutzkommission, die wiederum beim Bundeskanzleramt eingerichtet ist.

 Mit Wirkung per 1. Jänner 2001 erhält das Register nunmehr eine neue Heimstätte in einem neu adaptierten Bundesamtsgebäude in der Hohenstaufengasse 3, wo das Untergeschoß entsprechend eingerichtet wurde.

Man beachte, daß die im Internet unter

www.austria.gv.at/regierung/VD/V3.htm
(Anmerkung Mai 2004: Adresse veraltet)

von der Datenschutzkommission veröffentlichten Registrierungsformulare derzeit noch die alten Anschriften, Faxnummern und E-Mail-Anschriften tragen. Da an gleicher Stelle nach wie vor ein Hinweis auf die schon lang nicht mehr bestehende Bundesministerin für Frauenangelegenheiten und Verbraucherschutz zu finden ist, bestehen offenbar keine Tendenzen, den Internet-Auftritt der Datenschutzkommission zu aktualisieren.

Die neue Anschrift lautet somit:

Datenverarbeitungsregister
Hohenstaufengasse 3
1010 Wien

 Eine Änderung der Parteienverkehrszeiten wurde nicht bekanntgegeben, somit gelten nach wie vor von 8 bis 12 Uhr.

Die Telefonnummer ist künftig ebenfalls jene des Bundeskanzleramtes:

(01) 53115

mit den Durchwahlmöglichkeiten:

            Fax 4016
            Sekretariat 4042 und 4043
            Fr. AR Susanne Cil 4047
            Fr. Sylvia Hacek 4019
            Hr. AD Alfred Lang 4028
            Fr. Christine Navacchi 4024

Als E-Mail-Adresse ist insbesondere für Einreichungen von Formularen zu verwenden:

dvrpost(at)bka.gv.at

Datenverkehr mit den USA
„Safe Harbour-Prinzip“

Am 26. Juli 2000 hat die Kommission gem. der Richtlinie 95/46/EG (Datenschutzrichtlinie) eine Entscheidung gefällt, unter welchen Umständen ein angemessenes Schutzniveau bei Übermittlungen personenbezogener Daten in die USA erfüllt ist. Entscheidungen – als eine Form des Rechtsinstrumentariums der EU – richten sich mit unmittelbarer Wirkung an die Mitgliedstaaten und sind bindend. Diese Entscheidung ist im Amtsblatt Nr. L 215 vom 25. August 2000 veröffentlicht.

Grundsätze des „sicheren Hafens“ zum Datenschutz (Anhang I)

Die genannten Grundsätze wurden am 21. Juli 2000 vom US-Handelsministerium beschrieben und umfassen u.a. die Prinzipien

  • Informationspflicht des Betroffenen;
  • Wahlmöglichkeit des Betroffenen bei Datenverwendung außerhalb des ursprünglichen Zweckes;
  • Weitergabe an Dritte nur, wenn diese die Informationspflicht und Wahlmöglichkeit einhalten;
  • Sicherheitsvorkehrungen;
  • Datenintegrität und Verwendung nur für den genehmigten Zweck;
  • Auskunftsrecht;
  • Wirksame Durchsetzungsmechanis­men zur Einhaltung der Grundsätze.

Einzelfragen (Anhang II)

Als Beilage zu den Grundsätzen besteht eine Liste „Häufig gestellte Fragen (FAQ)“, die zu Einzelfällen detailliertere Positionen bezieht, etwa zu den „sensiblen Daten“, zur Pressefreiheit, zu Kontrollverfahren, zum Auskunftsverfahren, zu „Datenverarbeitungen im Auftrag“ (entspricht den österreichischen „Dienstleistungen“), zu Reisedaten und Flugreservierungen und vielem mehr.

Selbstzertifizierung

Keine Organisation ist gezwungen, die Grundsätze einzuhalten. In den Genuß der Erleichterungen im Datenverkehr kommen aber nur Organisationen, die sich eindeutig und öffentlich verpflichtet haben, die Grundsätze einzuhalten. Darüber hinaus muß die Organisation einer Kontrollinstanz unterworfen sein.

Kontrollinstanzen (Anhang VII)

Als staatliche Einrichtungen in den USA, die berechtigt sind, im Fall der Nichtbeachtung der Grundsätze Beschwerden zu prüfen sowie Abhilfe und Schadenersatz zu erwirken, gelten

  • die Federal Trade Commission und
  • das US-Verkehrsministerium.

Die Leistungen dieser Einrichtungen werden unabhängig von Nationalität und Wohnsitz des Beschwerdeführers erbracht.

Durchsetzungsmechanismen
(Anhang III)

Im Anhang III wird ein Überblick über die vorhandenen Durchsetzungsmechanismen dargestellt.

Im kommerziellen Bereich ist in der Regel die Federal Trade Commission (FTC) zuständig. Bereits in der bisherigen Praxis wurden Datenverwendungen, die dem bekanntgegebenen Zweck zuwiderlaufen, als „irreführende Praxis“ verfolgt (Geldstrafe, Unterlassungsklage etc.).

Für Finanzinstitute, Betreiber von Telekommunikationsnetzen, Luftverkehrsunternehmen und Fleischwarenproduzenten gelten abweichende Zuständigkeiten, die im einzelnen erläutert werden.

Memorandum über Entschädigungen (Anhang IV)

Im Anhang IV der Kommissionsentscheidung wird eine Stellungnahme wiedergegeben, in der die amerikanische Rechtslage zu den Fragen

  • Schadenersatz für Verletzung der Privatsphäre;
  • ausdrückliche rechtliche Ermächtigungen;
  • Auswirkungen von Fusionen und Übernahmen auf die übernommenen Verpflichtungen entsprechend dem Prinzip des sicheren Hafens

ausführlich dargelegt wird.

Schreiben der FTC (Anhang V)

In einem Schreiben vom 14. Juli 2000 erläutert die FTC ihre rechtlichen Befugnisse und wie einige ausgewählte Datenschutzverletzungen geregelt wurden. Die Darstellungen sind klar und verständlich, merkwürdigerweise sogar mit Namensnennung der inkriminierten Organisationen.

Schreiben des US-Verkehrsministeriums (Anhang VI)

In dem Schreiben erklärt sich das Ministerium insbesondere dafür zuständig, die Einhaltung der eingegangenen Verpflichtungen durch Luftverkehrsgesellschaften sicherzustellen. In der Folge wird erläutert, wie sich die Rechtslage darstellt. Die Weitergabe von Daten ist an sich nicht verboten, sollte sich aber eine US-Luftfahrtgesellschaft entsprechend dem „Safe Harbour“ verpflichten, so würden wiederholte gravierende Verletzungen der Verpflichtung Zweifel an Betriebstauglichkeit der Gesellschaft bewirken, mit allen entsprechenden Folgen bis zum Entzug der Betriebsgenehmigung.

Verantwortung der Mitgliedstaaten
(Artikel 3)

Die Kontrollbehörden der Mitgliedstaaten können die Datenübermittlung an Organisationen in den USA aussetzen, die zwar den Grundsätzen beigetreten sind, bei denen aber eine der in Anhang VII genannte staatliche Einrichtung feststellt, daß die Grundsätze nicht eingehalten werden, oder wenn Grund zur Annahme besteht, daß die Grundsätze trotz Verpflichtung verletzt werden.

Diese Aussetzung ist zu beenden, sobald sichergestellt ist, daß die Grundsätze eingehalten und umgesetzt werden.

Die Kommission ist über alle Entscheidungen hinsichtlich Aussetzung und deren Aufhebung unverzüglich zu informieren.

Verantwortung der Kommission
(Artikel 4)

Die Kommission wird die Entscheidung über die Gültigkeit der Safe Harbour-Grundsätze im Lichte neuer Erfahrungen jederzeit überarbeiten und nach drei Jahren den Ausschuß gem. Artikel 31 DS-RL informieren.

Umsetzung in Österreich

Nach Artikel 5 der Entscheidung haben die Mitgliedstaaten innerhalb von 90 Tagen nach Kenntnisnahme der Entscheidung alle für ihre Umsetzung erforderlichen Maßnahmen zu ergreifen. Da die Entscheidung im Amtsblatt vom 25. August 2000 veröffentlicht ist, ist diese Frist am 23. November abgelaufen. Anzuführen ist, daß sich auch die Safe Harbour-Grundsätze – so wie auch die DS-RL – ausschließlich auf personenbezogene Daten natürlicher Personen beziehen.

Bis dato ist die für die Umsetzung der in dieser Entscheidung geregelten Maßnahmen zuständigen Datenschutzkommission noch nicht tätig geworden, so ist nicht einmal ein Verordnungsentwurf bekannt geworden, der die Safe Harbour-Grundsätze praxisgerecht für den Auftraggeber umsetzt.

In Frage kommt unseres Erachtens sowohl eine Verordnung nach § 12 Abs. 2 DSG wie auch eine Verordnung nach § 13 Abs. 7 DSG bzw. eine einfache Kundmachung nach § 55 Abs. 2 DSG. Alle diese Varianten setzen allerdings voraus, daß eine Institiution definiert ist – z.B. die FTC –, die eine Liste jener Empfänger führt, die sich der Regelung unterworfen haben.

Es fällt schwer, Empfehlungen abzugeben, wie derzeit Datenübermittlungen in die USA zu registrieren sind. Man könnte evtl. versuchen, als Übermittlungsempfänger „XXX in den USA entsprechend der Entscheidung der Kommission, Amtsblatt Nr. L 215 vom 25.8.2000“ zu registrieren und abwarten, ob die Registrierung beeinsprucht wird oder nicht.

DSG-Info-Service Jahrgang 2000

Ausgabe Nr. 25/26 Jänner 2000
Ausgabe Nr. 27 August 2000
Ausgabe Nr. 28 Dezember 2000
Andere Jahrgänge

Kompetenzbereich Datensicherheit

2010 Secur-Data. All Rights Reserved.