Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 2001

Ausgabe Nr. 29 April 2001
Ausgabe Nr. 30/31 September 2001
Ausgabe Nr. 32 Dezember 2001
Andere Jahrgänge

DSG-Info-Service Nr. 29
April 2001

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Nach der Übersiedlung des Datenverarbeitungsregisters Anfang 2001 wurde am 28. März 2001 der nächste Modernisierungsschritt im Bereich der Datenschutzkommission vollzogen.

Der Internetauftritt des Bundeskanzleramts – und damit auch der Einrichtungen der DSK – wurde komplett überarbeitet und auch mit einer leichter zu merkenden Adresse

 http://www.bka.gv.at/

versehen. Mit dieser Nummer unseres DSG-Info-Sercice informieren wir Sie darüber, wie Sie das neue Angebot am besten nutzen können.

&nb

Internet-Portal der Datenschutzkommission

Datenschutz-Homepage

Der Einstieg in die Datenschutzseite des Bundeskanzleramtes erfolgt über

http://www.dsk.gv.at/
(korrigiert Mai 2004)

Es werden insbesondere folgende Hauptpunkte behandelt:

  • Datenschutzkommission
  • Registrierung
  • Rechtsquellen
  • Datenschutzberichte
  • Musterverträge

Darüber hinaus gibt es auch eine nahezu vollständige englischsprachige Version der Datenschutz-Homepage und ausführliches Begleitmaterial (Impressum, Navigationsanweisungen, weiterführende Hyperlinks).

Im Vergleich zum bisherigen Internet-Auftritts der DSK ist das Ergebnis höchst erfreulich ausgefallen.

Abschnitt Datenschutzkommission

Hier sind die Menüpunkte

  • Aufgaben der DSK
  • Entscheidungen der DSK
  • Kontakt mit der DSK und
  • Schengen

aufzurufen.

Die Aufgaben sind prägnant herausgearbeitet und mit dem entsprechenden Gesetzestext untermauert.

Unter Entscheidungen findet man einen Hyperlink, der auf den entsprechenden Teil des RIS (Rechtsinformationssystem des Bundes) verweist. Somit sind zwar alle im RIS veröffentlichten Entscheidungen auffindbar, es gibt aber weder eine thematische Aufbereitung noch einen Suchindex.

Unter Kontakt findet man Anschrift, Telefon- und Faxnummer sowie die E-Mail-Anschrift der DSK.

Unter Schengen findet man Hinweise zur Einreise nach Österreich und Berichte der gemeinsamen Kontrollinstanz.

Abschnitt Registrierung

Hier sind die Menüpunkte

  • Meldung beim Datenverarbeitungsregister
  • DVR-Nummer
  • Meldeformulare und
  • Kontakt mit dem DVR

aufzurufen.

Unter Meldung findet man Hilfestellungen zur Beurteilung, ob eine Datenanwendung meldepflichtig ist, Hinweise zur Durchführung des Meldeverfahrens und allgemeine Angaben über das Datenverarbeitungsregister, alles untermauert durch Verweise auf die entsprechenden Gesetzes- oder Verordnungstexte.

Unter DVR-Nummer findet man Angaben, was die DVR-Nummer ist, wann man sie führen muss und welche Auskünfte man dazu beim DVR einholen kann.

Unter Meldeformulare kann man die vier im Meldeverfahren vorgesehenen Formulare herunterladen, und zwar wahlweise in den Formaten PDF (zum Ausdrucken) oder  WORD (zum Ausfüllen direkt mit der Textverarbeitung am Computer).

Unter Kontakt findet man Anschrift, Telefon- und Faxnummer sowie die E-Mail-Anschrift des DVR.

Abschnitt Rechtsquellen

Hier sind die Menüpunkte

  • Gesetze
  • Verordnungen 
  • EU-Recht 
  • OECD
  • Europarat
  • Außer Kraft sowie
  • Das RIS im Internet

aufrufbar.

Unter Gesetze findet man das DSG 2000, den § 268 GewO (Direktmarketing) und den § 101 TKG (Unerbetene Anrufe).

Unter Verordnungen findet man die Datenverarbeitungsregister-Verordnung (DVRV 2000), die Datenschutzangemes­sen­heits-Verordnung (DSAV ) sowie die Standard- und Musterverordnung (StMV).

Unter EU-Recht findet man die Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Datenschutzrichtlinie“) und die Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation („ISDN-Richtlinie“ oder „Telekom-Datenschutzrichtlinie“).

Unter OECD wird auf die Seite der OECD verwiesen, weil dort Datenschutz-Guide­lines veröffentlicht sind. Gleiches gilt für die Seite Europarat.

Unter Außer Kraft wird das DSG 1978 in seiner zuletzt gültigen Form angeboten.  Damit ist diese Information zweifellos unkomplett, es fehlen jedenfalls die Verordnungen zum DSG 1978 sowie die im ersten Halbjahr 2000 geltende Überleitungs-Verordnung.

Das RIS im Internet bietet nur einen Verweis auf das Rechtsinformationssystem, das vom Bundeskanzleramt bereitgestellt wird.

Abschnitt Datenschutzberichte

In diesem Abschnitt sind derzeit nur die Datenschutzberichte 1995 und 1997 abzurufen. Diese Berichte waren aufgrund des DSG 1978 alle zwei Jahre von der DSK vorzulegen.  Offensichtlich ist der Datenschutzbericht 1999 (Zeitraum: 1. Juli 1997 bis 30. Juni 1999) überfällig.

Abschnitt Musterverträge

In diesem Abschnitt wird ein Entwurf eines datenschutzkonformen Dienstleistervertrages angeboten. Es handelt sich offenbar um eine überarbeitete Version des Vertragsmuster in Anhang V/2 in Dohr/Pollirer/Weiss, Datenschutzgesetz in der ab 1988 geltenden Fassung.

Fehlende Punkte

Der gesamte Komplex der Übermittlung bzw. Überlassung von Daten in die USA wird auf der Homepage mit keiner Silbe erwähnt. Dies ist ein Punkt, wo die DSK seit langem säumig ist.

Wie bereits in Ausgabe 28 unseres DSG-Info ausgeführt, war die DSK verpflichtet, bis spätestens 23. November 2000 die Entscheidung der Kommission im Bundesgesetzblatt zu veröffentlichen.

Da dies nicht erfolgt ist, hat jedermann das Recht, sich unmittelbar auf die Entscheidung der Kommission zu beziehen und die Übermittlung bzw. Überlassung von Daten in die USA damit zu rechtfertigen, sofern der Datenempfänger sich diesem Regulativ unterworfen hat. Umso unverständlicher ist es, dass der Text der Safe Harbour-Entscheidung der Kommission ebensowenig auf der Homepage der DSK auffindbar ist wie das Verzeichnis jener Organisationen, die sich in den USA dem Regulativ bereits unterworfen haben.

Deshalb führen wir hier als Serviceleistung jene 37 Organisationen an, die derzeit in der Safe Harbour-Liste enthalten sind.

 

Safe Harbour-Liste per 19. April 2001

Quelle: http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list

 

  1. Adar International, Inc.
  2. Audits & Surveys Worldwide
  3. CapitalVenue
  4. Crew Tags Int'l
  5. Cybercitizens First
  6. Data Services, Inc.
  7. Decision Analyst, Inc.
  8. E-lection.com (LDE Inc.)
  9. e2 Communications, Inc.
  10. enfoTrust networks
  11. Entertainment Software Rating Board
  12. Genetic Technologies, Inc.
  13. HealthMedia, Inc.
  14. Hewlett Packard 
  15. Market Measures Interactive, L.P.
  16. Mediamark Research, Inc.
  17. Naviant Marketing Solutions, Inc.
  18. NOP Automotive, Inc.
  19. Numerical Algorithms Group, Inc.
  20. Oak Technology
  21. Pharmaceutical Product Development, Inc.
  22. Privacy Leaders
  23. Qpass Inc.
  24. Responsys
  25. Software 2010 LLC
  26. SonoSite, Inc.
  27. Strategic Marketing Corporation
  28. The Dun & Bradstreet Corporation
  29. The USERTRUST Network L.L.C.
  30. TRUSTe
  31. United Information Group (c/o ASW)
  32. USERFirst 
  33. USERTrust Inc.
  34. USinternetworking, Inc.
  35. WellMed, Inc
  36. World Research, Inc. dba Survey.com
  37. WorldChoiceTravel.com, Inc.

 

 

DSG-Info-Service Jahrgang 2001

Ausgabe Nr. 29 April 2001
Ausgabe Nr. 30/31 September 2001
Ausgabe Nr. 32 Dezember 2001
Andere Jahrgänge

DSG-Info-Service Nr. 30/31
September 2001

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Die Kommission der Europäischen Gemeinschaften hat Standardvertragsklauseln verfasst und per 3. September 2001 in Kraft gesetzt, bei deren Einhaltung die Einhaltung des Datenschutzes bei Übermittlungen in Drittländer als garantiert anzusehen ist.

Im Detail kann die Entscheidung der Kommission sowohl in deutscher wie in englischer Sprache auf der Internetseite der Datenschutzkommission 

http://www.dsk.gv.at/
(korrigiert Mai 2004)

nachgelesen werden.

Eine analoge Entscheidung der Kommission über Standardvertragsklauseln bei Dienstleistungen in Drittländern ist noch in Arbeit.

Aufgrund der Bedeutung der Vertragsklauseln haben wir eine umfangreichere Ausgabe erarbeitet, sodass Sie diesmal wieder eine Doppelnummer in Händen halten.

Standardvertragsklauseln

im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau gewährleisten

Bedeutung der Klauseln

Datenübermittlungen in Drittstaaten sind auf Grund von §§ 12 und 13 DSG nur dann zulässig, wenn ein angemessenes Schutzniveau gewährleistet ist. Die Datenschutzkommission (DSK) prüft dieses Schutzniveau, bevor sie einen Bescheid zur Genehmigung der Datenübermittlung erlässt.

 Bei voller Berücksichtigung der von der Kommission empfohlenen Standardvertragsklauseln in der Vertragsbeziehung zwischen Auftraggeber und Datenempfänger ist die DSK an die Entscheidung der Kommission gebunden.

Die Standardklauseln sind aber nur eine Variante, ein angemessenes Schutzniveau herbeizuführen. Alternativ können auch individuelle Datenschutzvereinbarungen ge­trof­fen werden, doch ist dann der DSK gegenüber nachzuweisen, dass das damit erzielte Schutzniveau angemessen ist, bevor die DSK einen Genehmigungsbescheid erlassen kann.

Klausel 1
Begriffsbestimmungen

Es werden die Begriffsbestimmungen der Richtlinie 95/46/EG vom 24. Oktober 1995 übernommen und die Begriffe Datenexporteur und Datenimporteur definiert.

Klausel 2
Einzelheiten der Übermittlung

In einer Anlage 1 sind die Kategorien (Datenarten) und Übermittlungszwecke aufzuführen.

Klausel 3
Drittbegünstigtenklausel

Die Betroffenen können ihre Rechte sowohl individuell als auch durch Sammelorganisationen bei beiden Vertragspartnern durchsetzen. Da diese Klausel auch Ansatzpunkt der Schadenersatzklausel (Nr. 6) ist, wird sie im vollen Wortlaut wiedergegeben:

Die betroffenen Personen können diese Klausel und die Klausel 4 Buchstaben b), c) und d), Klausel 5 Buchstaben a), b), c) und e), Klausel 6 Absätze 1 und 2 sowie Klauseln 7, 9 und 11 als Drittbegünstigte geltend machen. Die Parteien haben keine Einwände dagegen, dass die betroffenen Personen, sofern sie dies wünschen und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtungen vertreten werden.

Klausel 4
Pflichten des Datenexporteurs

Die Pflichten des Exporteurs umfassen insbesondere die Information des Betroffenen. Wegen ihrer Bedeutung wird die Klausel 4 in vollem Wortlaut wiedergegeben:

Der Datenexporteur verpflichtet sich und garantiert:

(a)       dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermitt­lung, durch ihn entsprechend den einschlägigen Vorschriften des Mitgliedstaates, in dem der Datenexporteur ansässig ist, erfolgt ist bzw. bis zum Zeitpunkt der Übermittlung erfolgen wird (gegebenenfalls einschließlich der Mitteilung an die zuständige Stelle dieses Mitgliedstaats), und dass sie nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;

(b)       dass die betroffene Person, sofern die Übermittlung besondere Datenkategorien einbe­zieht, davon in Kenntnis gesetzt worden ist oder vor der Übermittlung wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau bietet; 

(c)        dass er den betroffenen Personen auf Anforderung eine Kopie dieser Klauseln, wie sie vereinbart wurden, zur Verfügung stellt und

(d)       Anfragen der Kontrollstelle bezüglich der Verarbeitung einschlägiger personenbezo­gener Daten durch den Datenimporteur sowie Anfragen betroffener Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten durch den Datenimporteur innerhalb eines angemessenen Zeitraums und in zumutbarem Maße beantwortet.

Klausel 5
Pflichten des Datenimporteurs

Die Pflichten des Importeurs umfassen vor allem die eigentlichen Datenschutzbestimmungen im Umgang mit den Daten. Deshalb wird Klausel 5 in vollem Wortlaut wiedergegeben:

Der Datenimporteur verpflichtet sich und garantiert:

(a)       dass er seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtungen unmöglich machen und dass er im Fall einer Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien auswirkt, die die Klauseln bieten, den Datenexporteur und die Kontrollstelle des Landes, in dem der Datenexporteur ansässig ist, hiervon informieren wird. In einem solchen Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/ oder vom Vertrag zurücktreten.

(b)       dass er die personenbezogenen Daten verarbeitet in Übereinstimmung mit den verbindlichen Datenschutzgrund­sätzen der Anlage 2 oder        
dass er, falls sich die Parteien durch Ankreuzen des entsprechenden Kästchens weiter unten ausdrücklich damit einverstanden erklärt haben und vorausgesetzt, dass die Verbindlichen Datenschutzgrundsätze der Anlage 3 beachtet werden, die Daten in jeder anderen Hinsicht verarbeitet in Übereinstimmung mit:

  • den einschlägigen nationalen Rechtsvorschriften (in der Anlage zu diesen Klauseln) zum Schutz der Grundrechte und -freiheiten natürlicher Personen, insbesondere des Rechts auf Schutz der Privatsphäre, im Hinblick auf die Verarbeitung personenbezogener Daten, die in dem Land, in dem der Datenexporteur ansässig ist, auf die für die Verarbeitung Verantwortlichen anzuwenden sind oder
  • den einschlägigen Bestimmungen in Entscheidungen der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, mit denen festgestellt wird, dass ein Drittland nur für bestimmte Tätigkeitsbereiche ein angemessenes Schutzniveau gewährleistet, vorausgesetzt, dass der Datenimporteur in diesem Drittland ansässig ist und nicht unter diese Bestimmungen fällt, sofern diese Bestimmungen dergestalt sind, dass sie auf die Übermittlung anwendbar sind.

(c)        dass er alle sachdienlichen Anfragen, die sich auf die von ihm durchgeführte Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, beziehen und die der Datenexporteur oder die betroffenen Personen an ihn richten, unverzüglich und genau bearbeitet und bei allen Anfragen der zuständigen Kontrollstelle mit dieser kooperiert und die Feststellung der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten respektiert;

(d)       dass er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur  Prüfung zur Verfügung stellt; die Prüfung wird vom Datenexporteur oder einem vom Datenexporteur gegebenenfalls in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt, dessen Mitglieder unabhängig sind und über die erforderlichen Qualifikationen verfügen;

(e)       dass er den betroffenen Personen auf Anfrage eine Kopie der Vertragsklauseln zur Verfügung stellt und die Stelle benennt, die für Beschwerden zuständig ist.

Klausel 6
Haftung

In dieser Klausel vereinbaren die Parteien, gesamtschuldnerisch für Schäden der Betroffenen zu haften. Die Beweislast, dass keiner der Vertragspartner für die Schäden verantwortlich ist, trifft die Vertragspartner.

Merkwürdigerweise betrifft die Haftung nur Verletzungen der Klausel 3. Ob damit automatisch die in Klausel 3 angesprochenen Teile der Klausel 4 und 5 inkludiert sind, ist unklar.

Im genauen Wortlaut lautet Klausel 6:

1.         Die Parteien vereinbaren, dass betroffene Personen, die durch eine Verletzung der Bestimmungen in Klausel 3 Schaden erlitten haben, berechtigt sind, von den Parteien Schadensersatz für den erlittenen Schaden zu verlangen. Die Parteien vereinbaren, dass sie nur von der Haftung befreit werden können, wenn sie nachweisen, dass keine von ihnen für die Verletzung dieser Bestimmungen verantwortlich ist.

2.         Der Datenexporteur und der Datenimporteur vereinbaren, dass sie gesamtschuldne­risch für Schäden der betroffenen Personen haften, die durch eine Verletzung im Sinne von Absatz 1 entstehen. Im Falle einer Verletzung dieser Bestimmungen kann die betroffene Person gegen den Datenexporteur oder den Datenimporteur oder beide gerichtlich vorgehen.

3.         Die Parteien vereinbaren, dass, wenn eine Partei haftbar gemacht wird für eine Verletzung im Sinne von Absatz 1 durch die andere Partei, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist*.

[*Die Verwendung von Absatz 3 ist den Parteien freigestellt.]

Klausel 7
Schlichtungsverfahren und Zuständigkeit

Absatz 1 gibt der betroffenen Person das Recht, einen Streitfall einer unabhängigen Schlichtungsstelle oder einem Gericht beim Sitz des Datenexporteurs zu unterbreiten.

Laut Absatz 2 kann nach Absprache zwischen dem Betroffenen und den Vertragspartnern auch ein Schiedsgericht eingesetzt werden, sofern der Schiedsspruch auf Grund des New Yorker Übereinkommens im Land der Parteien exekutierbar ist. Absatz 3 bietet Rechtsbehelfe gegen einen Schiedsspruch. Näheres zum Schiedsgericht findet sich in dem bei Manz in Druck befindlichen Kommentar zum DSG 2000 von Dohr/Pollirer/Weiss, und zwar als Anmerkung zu § 33.

Klausel 8
Zusammenarbeit mit Kontrollstellen

Die Parteien verpflichten sich, eine Kopie dieses Vertrages bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das nationale Recht es so vorsieht.

Dies bedeutet, dass der Vertrag der DSK vorgelegt bzw. beim Registrierungsakt archiviert wird.

Klausel 9
Kündigung der Klauseln

Die Parteien vereinbaren, dass sie durch die Kündigung dieser Klauseln, wann, unter welchen Umständen und aus welchen Gründen auch immer sie erfolgt, nicht von den Verpflichtungen und/oder Bestimmungen dieser Klauseln in bezug auf die Verarbeitung der übermittelten Daten befreit werden.

Klausel 10
Anwendbares Recht

Für diese Klauseln gilt das Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist.

Klausel 11
Änderung des Vertrags

Die Parteien verpflichten sich, den Wortlaut dieser Klauseln, wie sie vereinbart wurden, nicht zu ändern.

Diese Klausel ist insofern schwer verständlich, als eine Vertragsänderung nicht von vornherein ausgeschlossen werden kann und in Klausel 9 ja auch eine Kündigung vorgesehen ist.

Der Zweck der Klausel 11 dürfte darin liegen, dass vor einer Vertragsänderung die geplante Neufassung mit der Kontrollstelle – in Österreich also mit der DSK – abzustimmen sein wird.

ANLAGE 1 zu den Standardvertragsklauseln

Diese Anlage ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Datenexporteur

Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind)

Die Identität des Datenexporteurs ist im Formblatt 1 des DVR ausreichend dokumentiert.

Datenimporteur

Der Datenimporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind)

Eine genauere Beschreibung des Übermittlungsempfängers ist im bisher üblichen Registrierungsverfahren nicht vorgesehen.

Betroffene Personen

Die übermittelten personenbezogenen Daten beziehen sich auf folgende Kategorien von betroffenen Personen (bitte erläutern)

Der betroffene Personenkreis ist im Formblatt 2 des DVR ausreichend dokumentiert.

Übermittlungszwecke

Die Übermittlung ist zu folgenden Zwecken erforderlich (bitte angeben)

Die Übermittlungszwecke sind im Formblatt 2 des DVR als „Rechtsgrundlage der Übermittlung“ angeführt.

Kategorien übermittelter Daten

Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte angeben)

Die Datenkategorien sind im Formblatt 2 des DVR aufgelistet.

Sensible Daten (gegebenenfalls)

Die übermittelten personenbezogenen Daten gehören zu folgenden Kategorien sensibler Daten (bitte angeben)

Eine gesonderte Markierung der sensiblen Datenarten ist im Formblatt 2 nicht vorgesehen. Sehr wohl ist aber in Punkt 8.1 anzukreuzen, ob überhaupt sensible Daten vorkommen.

Empfänger

Die übermittelten personenbezogenen [Daten fehlt] dürfen nur folgenden Empfängern oder Kategorien von Empfängern bekannt gemacht werden (bitte angeben)

Eine derartige Festlegung, was der Übermittlungsempfänger mit den Daten machen darf, ist aus österreichischer Sicht neu. Durch eine derartige Bindung rückt der Übermittlungsvertrag in die Nähe eines Dienstleistungsvertrages.

Aufbewahrungszeitraum

Die übermittelten personenbezogenen Daten dürfen nur (bitte angeben): ........ (Monate/Jahre) aufbewahrt werden.

Hier stellt sich die grundsätzliche Frage der Durchsetzung von Aufbewahrungsfristen. Kein Problem sollten Datenbestände bereiten, die unverändert aufbewahrt werden. Sobald aber Daten in Datenbanken eingefügt werden, kann eine Aufbewahrungsfrist nur durchgesetzt werden, wenn jeder Datensatz sein Ablaufdatum trägt und überdies die Software entsprechende Vorkehrungen besitzt.

ANLAGE 2 zu den Standardvertragsklauseln
Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 1

(Auszüge)

1) Zweckbindung

Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zu verwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie übermittelt werden.

2) Datenqualität und –verhältnismäßigkeit

Die Daten müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein. Sie müssen angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiterverarbeitet werden, nicht exzessiv sein.

3) Transparenz

Die betroffenen Personen müssen Informationen über die Zweckbestimmungen der Verarbeitung und die Identität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies erforderlich ist, um eine angemessene Verarbeitung sicherzustellen, und sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden.

4) Sicherheit und Vertraulichkeit

Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung zu treffen, beispielsweise gegen den unzulässigen Zugriff auf Daten. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.

5) Recht auf Zugriff, Berichtigung, Löschung und Widerspruch

Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffene Person das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall das Recht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlage aufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvoll­ständig oder unrichtig sind. Die betreffende Person muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können.

6) Beschränkung der Weiterübermittlung

Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutz bietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidung fällt (nachstehend: Weiter­übermittlung), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfüllt ist:

(nicht abgedruckt; siehe http://www.dsk.gv.at/ [korrigiert Mai 2004])

7) Besondere Datenkategorien

(nicht abgedruckt; siehe http://www.dsk.gv.at/ [korrigiert Mai 2004])

8) Direktmarketing

Werden Daten zum Zwecke des Direktmarketings verarbeitet, müssen wirksame Verfahren vorgesehen sein, die der betroffenen Person jederzeit die Möglichkeit des „Opt-out“ geben, so dass sie sich gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann.

9) Automatisierte Einzelentscheidungen

Die betroffenen Personen haben das Recht, keiner Entscheidung unterworfen zu werden, die allein auf der automatisierten Datenverarbeitung beruht, wenn keine anderen Maßnahmen zur Wahrung der berechtigten Interessen der Person nach Artikel 15 Absatz 2 der Richt­linie 95/46/EG ergriffen werden. Erfolgt die Übermittlung mit dem Ziel, eine automatisierte Einzelentscheidung im Sinne von Artikel 15 der Richtlinie 95/46/EG, d.h. eine Entscheidung, die rechtliche Folgen für die Person nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens usw., zu treffen, so muss die natürliche Person das Recht haben, die Gründe für diese Entscheidung zu erfahren.

ANLAGE 3 zu den Standardvertragsklauseln
Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 2

(nicht abgedruckt; siehe [http://www.dsk.gv.at [korrigiert Mai 2004])

DSG-Info-Service Jahrgang 2001

Ausgabe Nr. 29 April 2001
Ausgabe Nr. 30/31 September 2001
Ausgabe Nr. 32 Dezember 2001
Andere Jahrgänge

DSG-Info-Service Nr. 32
Dezember 2001

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Nach zwei Jahren Erfahrung mit dem neuen Datenschutzrecht liegt nun der erste Novellierungsentwurf vor. Er betrifft nicht das Gesetz selber, vielmehr hat das Bundeskanzleramt den Entwurf einer neuen Daten­verarbeitungsregister-Verordnung zur Begutachtung versandt.

In dieser Ausgabe unseres DSG-Info wollen wir nicht den Entwurfstext erläutern – da ist es besser, die endgültige Verordnung abzuwarten –, sondern die großen Ziele und die damit verbundenen Probleme.

Entwurf einer neuen
Datenverarbeitungsregister-Verordnung

Zielsetzung

Elektronische Registerführung

Der Verordnungsentwurf nennt die elektronische Registerführung als primäres Ziel der Verordnung. Eine Einsichtnahme in den aktuellen Datenbestand des Registers soll über Internet möglich sein.

Diese Zielsetzung ist nur schrittweise zu erreichen.

Registrierungsnachweis

Anstelle des bisherigen Registerauszuges, der ein Verzeichnis aller Datenanwendungen enthielt, aber über deren Inhalt nichts offenlegte, soll künftig nach erfolgter Registrierung eine bestätigte Kopie der gemeldeten und registrierten Anwendung erstellt werden.

Problempunkte

Derzeitiger Registerinhalt in Papierform

Während derzeit nur ein Verzeichnis aller Anwendungen elektronisch im Register geführt wird, soll es künftig der gesamte Registerinhalt sein. Somit wird während einer längeren Übergangszeit ein Teil der Meldungen in Papierform vorhanden sein und ein Teil bereits elektronisch.

Bearbeitungsnummer

Aus der bisherigen Bearbeitungsnummer ging das Datum des Einlangens einer Meldung beim Register hervor.

Künftig ist keine Bearbeitungsnummer mehr vorgesehen. Unserer Meinung nach muss auf andere Weise sichergestellt werden, dass der Auftraggeber umgehend eine Eingangsbestätigung erhält. Der Auftraggeber benötigt einen Nachweis des Eingangszeitpunktes, da zu diesem Zeitpunkt die Meldung als erstattet gilt.

In den Begleitnotizen zum Verordnungsentwurf ist festgehalten, dass ein Auftraggeber seine künftige DVR-Nummer telefonisch bei der DSK erfragen kann. Ob damit der gewünschte Einsparungseffekt erzielbar ist, scheint fraglich.

Registerauszüge

Registerauszüge in der derzeit bekannten Form sind nicht mehr vorgesehen. In den Begleitnotizen zum Verordnungsentwurf ist aber festgehalten, dass diese auf Anfrage im Einzelfall erstellt werden können.

Rechtsnachfolge

Es ist vorgesehen, dass man im Zuge einer Rechtsnachfolge zwar die DVR-Nummer, nicht aber die Anwendungen des Rechtsvorgängers übernehmen kann.

Worin die Verwaltungsvereinfachung liegt, wenn der Rechtsnachfolger das gesamte Meldeverfahren nochmals durchläuft, ist nicht zu erkennen. Immerhin kann eine Rechtsnachfolge unter Beibehaltung der Registernummer ja überhaupt nur dann erfolgen, wenn der Rechtsnachfolger noch gar nicht registriert ist.

Da bei einer simplen Namensänderung eines Auftraggebers lediglich das Formblatt 1 ausgefüllt wird, kann es nicht darum gehen, ob in den Formblättern 2 und 3 – dort sind die Anwendungen beschrieben – der aktuelle Name des Auftraggebers aufscheint.

Softwareauswahl

Die Verordnung sieht keine verbindliche Auswahl der für die Registermeldungen zulässigen Software vor. Da die Formulare im Word-Format herunterladbar sind, ist es evident, dass dieses Format zulässig ist. Es kann aber nicht Aufgabe der DSK sein, einen bestimmten Softwarehersteller zu favorisieren.

Die der Meldung beizulegenden Dokumente werden in der Regel nicht im Word-Format vorliegen, sondern als eingescannte Urkunden. Es ist zu hoffen, dass – anders als bisher – dem Register die wichtigsten bildverarbeitenden Programme zur Verfügung stehen, um alle Formate entziffern zu können.

Schließlich sollte die Online-Meldung mit einem geringen Datenvolumen erfolgen, sodass – ebenfalls anders als bisher – im Register die wichtigsten Pack-Entpack-Programme verfügbar sein müssen.

Somit bleibt noch die Frage, in welcher Form das Register seine Rückantworten versenden wird. Sinnvollerweise sollte jeder Auftraggeber seine Bestätigung genau in jenem Format erhalten, das er selber verwendet hat, aber das ist u.M.n nicht administrierbar.

Informationsverbundsysteme

Im Verordnungsentwurf sind erstmals konkrete Angaben zu finden, in welcher Form die Eintragungen über Informationsverbundsysteme im Register aussehen sollen.

Interessant ist in diesem Zusammenhang, dass die DSK ein Verzeichnis über die am Verbundsystem teilnehmenden Auftraggeber führt, in das – wie in sonstige Registerunterlagen – Einsicht genommen werden kann. Neben allfälligen Auflagen für die Führung des Informationsverbundsystems kann die DSK auch die Eintragung weiterer Angaben in das Register anordnen.

Safe Harbour-Liste per 9. Dezember 2001

Quelle: http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list

 vgl. auch DSG-Info Nr. 29, April 2001

in der Online-Version nicht abgedruckt

DSG-Info-Service Jahrgang 2001

Ausgabe Nr. 29 April 2001
Ausgabe Nr. 30/31 September 2001
Ausgabe Nr. 32 Dezember 2001
Andere Jahrgänge

Kompetenzbereich Datensicherheit

in Kooperation mit

2019 Secur-Data. All Rights Reserved.