Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 2002

Ausgabe Nr. 33 März 2002
Ausgabe Nr. 34 September 2002
Ausgabe Nr. 35 Oktober 2002
Andere Jahrgänge

DSG-Info-Service Nr. 33
März 2002

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Im Amtsblatt L 201/37 vom 31. Juli 2002 hat die EU eine Richtlinie über den Datenschutz bei elektronischer Kommunikation veröffentlicht.

Wie bereits in Ausgabe 34 unseres DSG-Info-Service angekündigt, stellen wir diese neue Richtlinie unseren Kunden vor. Die Richtlinie ist auch bereits auf unserer Homepage

www.secur-data.at

nachzulesen.

Auf Grund der umfangreichen Materie geben wir eine Doppelnummer des DSG-Info heraus.

Datenschutzrichtlinie für elektronische Kommunikation

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates
vom 12. Juli 2002
über die Verarbeitung personenbezogener Daten
und den Schutz der Privatsphäre
in der elektronischen Kommunikation

Erwägungsgründe

Die Richtlinie führt 49 Erwägungsgründe an, die im Detail auf unserer Homepage nachgelesen werden können.

Bereits im ersten Erwägungsgrund wird die neue Richtlinie in den Zusammenhang mit der EU-Datenschutzrichtlinie (95/46/EG) gestellt, und in Erwägungsgrund 4 wird ein Zusammenhang mit der Richtlinie 97/66/EG über den Datenschutz in der Telekommunikation hergestellt.

In Erwägungsgrund 48 wird dargelegt, dass auf die Erfahrungen der Datenschutzgruppe gem. Artikel 29 der Richtlinie 95/46/EG zurückgegriffen wurde und wird.

Artikel 1
Geltungsbereich und Zielsetzung

Die neue Richtlinie wird als Detaillierung der Datenschutzrichtlinie dargestellt. Darüber hinaus werden aber ausdrücklich die berechtigten Interessen von Teilnehmern geregelt, die juristische Personen sind.

Artikel 2
Begriffsbestimmungen

Es gelten die Begriffsbestimmun­gen der Datenschutzrichtlinie (95/46/EG) sowie der Rahmenrichtlinie 2002/21/EG, sodass nur wenige Begriffe zu definieren sind.

Die Definition der Begriffe (a) „Nutzer“, (d) „Nachricht“, (e) „Anruf“, (f) „Einwilligung“ und (h) „elektronische Post“ weicht nicht vom Sprachverständnis ab, sodass wir diese Definitionen nicht wiedergeben.

(b) „Verkehrsdaten“ bezeichnet Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden.

(c) „Standortdaten“ bezeichnet Daten, die in einem elektronischen Kommunikationsnetz verarbeitet werden und die den geografischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben.

Anmerkung dazu: In Erwägungsgrund 14 ist der Begriff der Standortdaten näher erläutert: Standortdaten können sich beziehen auf den Standort des Endgeräts des Nutzers nach geografischer Länge, Breite und Höhe, die Übertragungsrichtung, den Grad der Genauigkeit der Standortinformationen, die Identifizierung des Netzpunktes, an dem sich das Endgerät zu einem bestimmten Zeitpunkt befindet, und den Zeitpunkt, zu dem die Standortinformationen erfasst wurden.

(g) „Dienst mit Zusatznutzen“ bezeichnet jeden Dienst, der die Bearbeitung von Verkehrsdaten oder anderen Standortdaten als Verkehrsdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder die Fakturierung dieses Vorgangs erforderliche Maß hinausgeht.

Anmerkung dazu: Erwägungsgrund 18 nennt als Dienste mit Zusatznutzen beispielsweise die Beratung hinsichtlich der billigsten Tarifpakete, Navigationshilfen, Verkehrsinformationen, Wettervorhersage oder touristische Informationen.

Artikel 3
Betroffene Dienste

Im wesentlichen gilt die Richtlinie für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Gemeinschaft.

Artikel 4
Betriebssicherheit

Der Betreiber muss unter Berücksichtigung des Standes der Technik und der Kosten die Sicherheit der Dienste gewähren.

Besteht ein besonderes Risiko der Verletzung der Netzsicherheit, muss der Betreiber darüber und über Abhilfemöglichkeiten informieren.

Artikel 5
Vertraulichkeit der Kommunikation

Dies ist eine fundamentale Datenschutzbestimmung, daher zitieren wir ungekürzt:

(1) Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt, es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind. Diese Bestimmung steht – unbeschadet des Grundsatzes der Vertraulichkeit – der für die Weiterleitung einer Nachricht erforderlichen technischen Speicherung nicht entgegen.

(2) Absatz 1 betrifft nicht das rechtlich zulässige Aufzeichnen von Nachrichten und der damit verbundenen Verkehrsdaten, wenn dies im Rahmen einer rechtmäßigen Geschäftspraxis zum Nachweis einer kommerziellen Transaktion oder einer sonstigen geschäftlichen Nachricht geschieht.

(3) Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Anmerkung dazu: Die in Absatz 3 genannte Richtlinie ist die Datenschutzrichtlinie vom 24. Oktober 1995, nachzulesen auf unserer Homepage. Diese Richtlinie ist in Österreich durch das DSG 2000 umgesetzt.

Artikel 6
Verkehrsdaten

Grundsätzlich sind Verkehrsdaten zu löschen oder zu anonymisieren, sobald sie nicht mehr benötigt werden.

Die Datenverwendung für Abrechnungszwecke ist innerhalb der Frist zulässig, in der Rechnungen angefochten oder Zahlungen eingefordert werden können. Der Teilnehmer oder Nutzer hat ein Auskunftsrecht über diese Daten und die Dauer der Datenhaltung.

Absatz 3 ermöglicht es dem Betreiber, die Verkehrsdaten bei vorliegender Zustimmung des Nutzers bzw. Teilnehmers für Zwecke der Vermarktung oder der Bereitstellung von Zusatzdiensten zu verarbeiten. Diese Einwilligung kann jederzeit zurückgezogen werden.

Artikel 7
Einzelgebührennachweis

Durch innerstaatliche Vorschriften ist das Recht auf Einzelgebührennachweise für den Teilnehmer mit dem Recht auf Vertraulichkeit anderer Nutzer in Einklang zu bringen.

Artikel 8
Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung

Dieser Artikel ist relativ umfangreich (6 Absätze), im wesentlichen muss es dem Anrufer und dem Angerufenen (das ist wohl nur bei Rufumleitungen interessant) möglich sein, seine Rufnummer gebührenfrei geheim zu halten. Weiters muss es möglich sein, Anrufe mit unterdrückter Rufnummer abzuweisen.

Artikel 9
Andere Standortdaten als Verkehrsdaten

Dieser Artikel stellt im Zusammenhang mit Mobiltelefonen eine ganz wesentliche Datenschutzbestimmung dar und wird hier ungekürzt wiedergegeben:

(1) Können andere Standortdaten als Verkehrsdaten in Bezug auf die Nutzer oder Teilnehmer von öffentlichen Kommunikationsnetzen oder öffentlich zugänglichen Kommunikationsdiensten verarbeitet werden, so dürfen diese Daten nur im zur Bereitstellung von Diensten mit Zusatznutzen erforderlichen Maß und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden, wenn sie anonymisiert wurden oder wenn die Nutzer oder Teilnehmer ihre Einwilligung gegeben haben. Der Diensteanbieter muss den Nutzern oder Teilnehmern vor Einholung ihrer Einwilligung mitteilen, welche Arten anderer Standortdaten als Verkehrsdaten verarbeitet werden, für welche Zwecke und wie lange das geschieht, und ob die Daten zum Zwecke der Bereitstellung des Dienstes mit Zusatznutzen an einen Dritten weitergegeben werden. Die Nutzer oder Teilnehmer können ihre Einwilligung zur Verarbeitung anderer Standortdaten als Verkehrsdaten jederzeit zurückziehen.

(2) Haben die Nutzer oder Teilnehmer ihre Einwilligung zur Verarbeitung von anderen Standortdaten als Verkehrsdaten gegeben, dann müssen sie auch weiterhin die Möglichkeit haben, die Verarbeitung solcher Daten für jede Verbindung zum Netz oder für jede Übertragung einer Nachricht auf einfache Weise und gebührenfrei zeitweise zu untersagen.

(3) Die Verarbeitung anderer Standortdaten als Verkehrsdaten gemäß den Absätzen 1 und 2 muss auf das für die Bereitstellung des Dienstes mit Zusatznutzen erforderliche Maß sowie auf Personen beschränkt werden, die im Auftrag des Betreibers des öffentlichen Kommunikationsnetzes oder öffentlich zugänglichen Kommunikationsdienstes oder des Dritten, der den Dienst mit Zusatznutzen anbietet, handeln.

Artikel 10
Ausnahmen

In zwei Fällen ist trotz Rufnummernunterdrückung die Nummer des Anrufers anzuzeigen:

a) zur Rückverfolgung belästigender Anrufer;

b) anschlussbezogen für Betreiber von Notfallsnummern anerkannter Einrichtungen (Ambulanzdienste, Feuerwehr) und Strafverfolgungsbehörden.

Artikel 11
Automatische Anrufweiterschaltung

Jedem Teilnehmer ist die Möglichkeit einzuräumen, Anrufweiterschaltungen, die von dritter Seite zu seinem Anschluss geschaltet wurden, auf einfache Weise gebührenfrei aufzuheben.

Artikel 12
Teilnehmerverzeichnisse

Dieser Artikel gilt für natürliche Personen. Der Schutz juristischer Personen ist „durch einzelstaatliche Rechtsvorschriften in ausreichendem Maße“ vorzusehen.

Vor Aufnahme in ein Teilnehmerverzeichnis ist der Teilnehmer nicht nur über dessen Zweck, sondern insbesondere auch über die Nutzungsmöglichkeiten der in elektronischen Verzeichnissen enthaltenen Suchfunktionen zu informieren. Dies gilt auch für Verzeichnisse, die nicht unmittelbar öffentlich im Zugriff sind, sondern über Auskunftsdienste.

Der Teilnehmer hat weiters das Recht zu entscheiden, ob und allenfalls auch welche seiner Daten in ein öffentliches Verzeichnis aufgenommen werden.

Weiters können die Mitgliedstaaten verlangen, dass eine zusätzliche Einwilligung der Teilnehmer einzuholen ist, falls ein öffentliches Verzeichnis nicht nur anhand des Namens abrufbar ist. Anmerkung dazu: Wenn diese Anregung in Österreich aufgegriffen wird, so resultiert daraus zwischen den derzeit möglichen Geheimhaltungsstufen „Geheimnummer“ einerseits und „nicht geheimer Anschluss“ andererseits auch noch eine Zwischenstufe „Name und Anschrift dürfen nicht bekannt gegeben werden“.

Artikel 13
Unerbetene Nachrichten

Dieser Artikel stellt eine zentrale Schutzbestimmung dar und wird ungekürzt abgedruckt:

(1) Die Verwendung von automatischen Anrufsystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post für die Zwecke der Direktwerbung darf nur bei vorheriger Einwilligung der Teilnehmer gestattet werden.

(2) Ungeachtet des Absatzes 1 kann eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung gemäß der Richtlinie 95/46/EG deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen bei deren Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat.

(3) Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um – gebührenfrei für die Teilnehmer – sicherzustellen, dass außer in den in den Absätzen 1 und 2 genannten Fällen unerbetene Nachrichten zum Zweck der Direktwerbung, die entweder ohne die Einwilligung der betreffenden Teilnehmer erfolgen oder an Teilnehmer gerichtet sind, die keine solchen Nachrichten erhalten möchten, nicht gestattet sind; welche dieser Optionen gewählt wird, ist im innerstaatlichen Recht zu regeln.

(4) Auf jeden Fall verboten ist die Praxis des Versendens elektronischer Nachrichten zu Zwecken der Direktwerbung, bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann.

(5) Die Absätze 1 und 3 gelten für Teilnehmer, die natürliche Personen sind. Die Mitgliedstaaten tragen im Rahmen des Gemeinschaftsrechts und der geltenden einzelstaatlichen Rechtsvorschriften außerdem dafür Sorge, dass die berechtigten Interessen anderer Teilnehmer als natürlicher Personen in Bezug auf unerbetene Nachrichten ausreichend geschützt werden.

Artikel 14
Technische Merkmale und Normung

Dieser Artikel enthält keine wesentlichen Datenschutzbestimmungen.

Artikel 15
Anwendung einzelner Bestimmungen der Richtlinie 95/46/EG

In diesem Artikel werden Detailfragen zur Anwendbarkeit der Datenschutzrichtlinie be­antwortet. Bestimmte Teile der Datenschutzrichtlinie sind dann nicht anwendbar, wenn dies für die öffentliche Sicherheit oder die Hintanhaltung von Straftaten erforderlich ist.

Kapitel III der Datenschutzrichtlinie (Rechts­behelfe, Haftung und Sanktionen) ist jedenfalls auf die neue Richtlinie anzuwenden.

Die Datenschutzgruppe gem. Artikel 29 der Datenschutzrichtlinie hat die in Artikel 30 der Datenschutzrichtlinie festgehaltenen Aufgaben sinngemäß auch im Rahmen der neuen Richtlinie über den Datenschutz in der elektronischen Kommunikation wahrzunehmen. Diese Aufgaben sind:

  • Prüfung einzelstaatlicher Vorschriften und Herbeiführung einer einheitlichen Anwendung;

  • Stellungnahme zum Schutzniveau in der Gemeinschaft und in Drittländern;

  • Beratung der Kommission;

  • Stellungnahme zu Verhaltensregelungen auf Gemeinschaftsebene;

  • Benachrichtigung der Kommission, wenn die Gleichwertigkeit des Schutzes in der Gemeinschaft beeinträchtigt ist;

  • Empfehlungen an die Kommission und den Ausschuss gem. Artikel 31 zu allen Datenschutzfragen;

  • Jährliche Berichtslegung über den Stand des Datenschutzes in der Gemeinschaft und in Drittländern.

Anmerkung dazu: Dieser Artikel begründet die Zuständigkeit der „Gruppe 29“ für alle Datenschutzfragen auch im Kommunikationsbereich. Indirekt begründet dieser Artikel damit u.M.n. auch die Zuständigkeit des Ausschusses gem. Artikel 31 der Datenschutzrichtlinie.

Unserer Meinung nach ist es also naheliegend, dass bei der Umsetzung der Richtlinie in österreichisches Recht die Datenschutzkommission mit den nationalen Agenden betraut wird.

Artikel 16
Übergangsbestimmungen

Der Artikel 12 (Teilnehmerverzeichnisse) gilt nicht für Ausgaben von Teilnehmerverzeichnissen, die vor dem Inkrafttreten der nach dieser Richtlinie erlassenen innerstaatlichen Vorschriften bereits in gedruckter oder in netzunabhängiger elektronischer Form produziert oder in Verkehr gebracht wurden.

In diesem Fall können die personenbezogenen Daten, einschließlich Fassungen mit Umkehrsuchfunktionen, in diesem öffentlichen Verzeichnis verbleiben, sofern die Teilnehmer nach Erhalt vollständiger Informationen über die Zwecke und Möglichkeiten gemäß Artikel 12 nicht etwas anderes wünschen. Anmerkung dazu bei Artikel 17.

Artikel 17
Umsetzung

Die Umsetzung der Richtlinie in nationales Recht muss bis 31. Oktober 2003 erfolgt sein.

Anmerkung dazu: Sollte dieser Termin nicht eingehalten werden, so wäre trotzdem die Richtlinie unmittelbar anwendbar. In diesem Zusammenhang ist u.M.n. besonders die Übergangsbestimmung des Artikels 16 von Interesse. Spätestens am 1. November 2003 hat nach unserer Interpretation jeder Teilnehmer das Recht zu verlangen, dass zu seiner Teilnehmernummer die Umkehrsuchfunktion deaktiviert ist, also niemand Name und Anschrift zu einer Rufnummer erfahren kann.

Artikel 18
Überprüfung

Dieser Artikel enthält keine datenschutzrelevanten Aussagen.

Artikel 19
Aufhebung

Diese Richtlinie ersetzt, unter Bedachtnahme der Umsetzungsfrist in Artikel 17, die Richtlinie 97/66/EG.

Artikel 20
Inkrafttreten

Die Richtlinie ist am Tag ihrer Veröffentlichung im Amtsblatt der Europäischen Gemeinschaften in Kraft getreten, das war der 31. Juli 2002.

Artikel 21
Adressaten

Die Richtlinie ist an alle Mitgliedstaaten gerichtet.

Ausblick:
Umsetzung der Richtlinie in Österreich

Zur Umsetzung dieser Richtlinie ist wenigstens eine Novellierung des Telekommunikationsgesetzes (TKG, BGBl. I Nr. 100/1997 idF BGBl. I Nr. 32/2002) erforderlich.

Derzeit arbeitet der Gesetzgeber an einem neuen Kommunikationsgesetz, welches nicht nur das TKG, sondern auch das Telekommunikationswegegesetz, BGBl. Nr. 435/1929 idF BGBl. I Nr. 100/1997 komplett ablöst.

Sobald das neue Kommunikationsgesetz das Parlament passiert hat, werden wir darüber berichten.

DSG-Info-Service Jahrgang 2002

Ausgabe Nr. 33 März 2002
Ausgabe Nr. 34 September 2002
Ausgabe Nr. 35 Oktober 2002
Andere Jahrgänge

DSG-Info-Service Nr. 34
September 2002

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Besitzen Sie noch unser DSG-Info Nr. 3 vom Juli 1993? Jene Ausgabe hat sich mit den datenschutzrechtlichen Bestimmungen für Adressverlage und Direktwerbeunternehmen auseinandergesetzt. In Ausgabe Nr. 7 haben wir die Wiederverlautbarung der Gewerbeordnung unter der Bezeichnung GewO 1994 vermerkt, die eine Änderung der Paragraphennummer mit sich brachte.

Mit BGBl I Nr. 111/2002 wurde die Gewerbeordnung neuerlich komplett überarbeitet, nennt sich aber unverändert GewO 1994, was zu einiger Verwirrung führen kann. Da zum Teil völlig neue Bestimmungen enthalten sind, stellen wir Ihnen in der vorliegenden Ausgabe diesen Gesetzesteil komplett neu vor.

Neue datenschutzrechtliche Bestimmungen
für Adressverlage und Direktmarketingunternehmen

§ 151 GewO 1994 idF BGBl I Nr. 111/2002

Grundsätzlich ist das DSG 2000 auf die Verwendung personenbezogener Daten für Marketingzwecke durch Adressverlage und Direktmarketingunternehmen anzuwenden, aber mit folgenden Ausnahmen bzw. nach Maßgabe folgender Bestimmungen:

Vorbehaltsrecht
(Abs 2)

Die Tätigkeit als Mittler zwischen Inhabern und Nutzern von Kunden- und Interessentendateien (Listbroking) ist den in Abs. 1 genannten Gewerbetreibenden – das sind die Adressverlage und Direktmarketingunternehmen – vorbehalten.

Datenermittlung
(Abs 3)

Als Datenquellen sind erlaubt: öffentlich zugängliche Informationen, Befragung des Betroffenen, Kunden- und Interessentendateien Dritter oder Marketingdateien anderer Adressenverlage und Direktmarketingunternehmen. Die Daten sind zweckgebunden für die Vorbereitung und Durchführung von Marketingaktionen Dritter sowie das Listbroking.

Sensible Daten
(Abs 4)

Für sensible Daten iSd § 4 Z 2 DSG 2000 ist eine ausdrückliche Zustimmung des Betroffenen gefordert, desgleichen bei Daten über gerichtlich oder verwaltungsrechtlich strafbare Taten iSd § 8 Abs 4 DSG 2000.

Anmerkung dazu: Üblicherweise wird ein Adressverlag oder Direktwerbeunternehmen kaum derartige Daten besitzen oder benötigen. Sollte aber jemals erlaubt werden, dass Anwälte Werbung betreiben, so wäre ein derartiger Bestand durchaus interessant.

Datenarten
(Abs 5)

Es ist nur die Führung nachstehender Datenarten zulässig:

  1. Namen, 
  2. Geschlecht, 
  3. Titel, 
  4. akademischer Grad, 
  5. Anschrift, 
  6. Geburtsdatum, 
  7. Berufs-, Branchen- oder Geschäftsbezeichnung und 
  8. Zugehörigkeit des Betroffenen zu dieser Kunden- und Interessentendatei. 

Zusätzlich hat der Dateiinhaber schriftlich zu erklären, dass der Betroffene auf die Möglichkeit der Ablehnung der Übermittlung hingewiesen wurde und eine solche nicht erfolgt ist.

Kennzeichnungspflicht und Auskunftspflicht
(Abs 7)

Es besteht eine Pflicht zur Kennzeichnung des ausgesendeten Werbematerials in Bezug auf die Identität des Auftraggebers der Datei (Ursprungsdatei). Anhand dieser Kennzeichnung kann der Betroffene innerhalb von drei Monaten nach der Werbeaussendung Auskunft verlangen, die dann innerhalb von 8 Wochen zu erteilen ist.

Auskunft muss über den Auftraggeber der Ursprungsdatei gegeben werden. Falls die Kennzeichnung unzureichend war, um den Gewerbetreibenden, der die Aussendung durchgeführt hat, zu identifizieren, so kann das Auskunftsbegehren an den Werbenden gestellt werden.

Anmerkung:
Aus diesem Grund sollte jedes werbende Unternehmen, das einen Adressverlag oder ein Direktwerbeunternehmen heranzieht, jede Aussendung derart identifizierbar halten, dass das Werbeunternehmen ohne Zeitverzug festgestellt werden kann. Bei ungenügender Berücksichtigung ist unserer Meinung nach der Auftraggeber mit verantwortlich für die Einhaltung der Auskunftsfrist von 8 Wochen.

Löschungspflicht
(Abs 8)

Der Betroffene kann den Adressverlag bzw. das Direktwerbeunternehmen auffordern, seine Daten zu löschen. Diesem Antrag ist innerhalb von 8 Wochen zu entsprechen (Anmerkung: diese Frist lag bisher bei 4 Wochen). 

Der Betroffene kann ausdrücklich auf einer physischen Löschung der Daten bestehen. Nach Vereinbarung zwischen Betroffenem und dem Werbeunternehmen ist aber das sogenannte „logische Löschen“, also die Sperrung für die weitere Verwendung der Daten, ausreichend.

Robinsonliste
(Abs 9 und 11)

Jedermann hat das Recht, für sich die Zustellung von adressiertem Werbematerial durch Untersagung der Verwendung seiner Daten für Werbezwecke auszuschließen.

Der Fachverband Werbung und Marktkommunikation führt eine Liste – und aktualisiert diese monatlich –, in welche Personen kostenlos einzutragen sind, die die Zustellung von Werbematerial für sich ausschließen wollen. 

Die in der Liste enthaltenen Daten dürfen ausschließlich zum Zweck des Unterbindens der Zusendung von Werbemitteln verwendet werden. Adressverlage und Direktwerbeunternehmen dürfen an die in dieser Liste eingetragenen Personen keine adressierten Werbemittel versenden oder verteilen und deren Daten auch nicht vermitteln.

Die Eintragung erfolgt mittels schriftlicher Mitteilung (z.B. Postkarte) unter Angabe der genauen Anschrift einschließlich Vorname, Nachname und eventuell Titel an das Fachverbandsbüro (Fachverband Werbung und Marktkommunikation, Wiedner Hauptstraße 63, 1045 Wien).

Listbroking
(Abs 10)

Diese Bestimmung richtet sich nicht an die Adressverlage und Direktwerbeunternehmen, sondern an alle Inhaber von Kunden- und Interessentendateien, die ihre Daten für Zwecke des Listbroking zur Verfügung stellen.

Grundsätzlich dürfen die Dateninhaber ihre Daten nur im Umfang der in Abs 5 genannten Datenarten und nur dann zur Verfügung stellen, wenn

  • der Betroffene darüber informiert ist, dass er diese Datenübermittlung untersagen kann und
  • der Betroffene die Datenübermittlung nicht untersagt hat.

Eine Untersagung darf keinen Einfluss auf die Beziehung zwischen dem Betroffenen und dem Inhaber der Kunden- oder Interessentendatei haben.

 

Datenschutz und Europäische Union

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)

Fundstelle: Amtsblatt Nr. L 201 vom 31. Juli 2002 S. 37 – 47

Es ist geplant, diese neue Richtlinie in unserer nächsten Ausgabe des DSG-Info detailliert vorzustellen. Eine Umsetzung dieser Richtlinie in nationales Recht ist bis spätestens 31. Oktober 2003 vorzunehmen.

Meinungsumfrage der Europäischen Kommission zur Gesetzgebung zum Schutz der Privatsphäre

Die Kommission hat eine Meinungsumfrage gestartet, um beispielsweise nachstehende Fragenkomplexe zu durchleuchten:

Sollten Arbeitgeber die E-Mails, die ihre Angestellten oder Arbeitnehmer am Arbeitsplatz empfangen und versenden, lesen können?

Haben die Kunden, die on-line einkaufen, Vertrauen darin, dass ihre persönlichen Daten nicht anderweitig ohne ihr Einverständnis benutzt werden?

Sind Unternehmen überlastet mit Anfragen von Leuten, die Zugang zu ihren persönlichen Daten haben möchten?

Details zu dieser Umfrage sind im Internet unter

http://europa.eu.int/yourvoice/dataprotection_de.htm

nachzulesen.

DSG-Info-Service Jahrgang 2002

Ausgabe Nr. 33 März 2002
Ausgabe Nr. 34 September 2002
Ausgabe Nr. 35 Oktober 2002
Andere Jahrgänge

DSG-Info-Service Nr. 35
Oktober 2002

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Am 31. Dezember 2002 laufen die meisten Übergangsbestimmungen des DSG 2000 aus, bis zu diesem Termin müssen z.B. manuelle Datenanwendungen gemeldet werden oder Genehmigungen für den internationalen Datenverkehr neu beantragt werden.

Eine längere Übergangsfrist besteht nur für bestimmte Anwendungen im öffentlichen Bereich. Hier gilt, dass fehlende gesetzliche Rechtsgrundlagen noch bis 31. Dezember 2007 keine Unzulässigkeit der Datenanwendung bewirken.

Schwerpunkt dieser Ausgabe unseres DSG-Info-Service ist die Darlegung aller jener Aktivitäten, die vor dem 31. Dezember 2002 noch notwendig sind.

Darüber hinaus geben wir eine neuerliche Überarbeitung der Meldeformulare des DVR bekannt.

31. Dezember 2002 – ein wichtiger Termin

Übergangsbestimmungen des § 61 DSG 2000

 

Internationaler Datenverkehr
(Abs. 2)

„Soweit nach der neuen Rechtslage eine Genehmigung für die Übermittlung von Daten ins Ausland erforderlich ist, muß für Übermittlungen, für die eine Genehmigung vor Inkrafttreten dieses Bundesgesetzes erteilt wurde, eine Genehmigung vor dem 1. Jänner 2003 neu beantragt werden. Wird der Antrag rechtzeitig gestellt, dürfen solche Übermittlungen bis zur rechtskräftigen Entscheidung über den Genehmigungsantrag fortgeführt werden.“

Im DSG 1978 war jeder internationale Datenverkehr genehmigungspflichtig, der nicht in ein per Verordnung als genehmigungsfrei erklärtes Land erfolgte (und sofern personenbezogene Daten involviert waren, diesen Zusatz ersparen wir uns in den folgenden Ausführungen).

Im DSG 2000 gibt es nach wie vor per Verordnung genehmigungsfreie Länder – dies sind entsprechend der Datenschutz-Ange­messen­heitsverordnung (DSAV) derzeit die Mitgliedstaaten der EU sowie die Schweiz und Ungarn.

Darüber hinaus gibt es aber spezielle Arten von Daten oder Anwendungen, die – unabhängig vom Land des Empfängers – ohne Genehmigung übermittelt oder überlassen werden dürfen. Gem. § 12 Abs. 3 DSG 2000 ist das der Fall, wenn

1.        die Daten im Inland zulässigerweise veröffentlicht wurden;

2.        die Daten für den Empfänger nur indirekt personenbezogen sind;

3.        dies in Rechtsvorschriften (wie z.B. Amtshilfeübereinkommen) vorgesehen ist;

4.        die Daten aus Datenanwendungen für private Zwecke (§ 45) oder für publizistische Tätigkeit (§ 48) übermittelt werden;

5.        der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat;

6.        ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann;

7.        die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist;

8.        die Übermittlung oder Überlassung in einer Standardverordnung oder Musterverordnung ausdrücklich angeführt ist;

9.        es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt;

10.    gemäß § 17 Abs. 3 keine Meldepflicht besteht – dies ist bei Anwendungen der Fall, die

10.1.    dem Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich dienen;

10.2.    der Sicherung der Einsatzbereitschaft des Bundesheeres dienen;

10.3.    der Sicherstellung der Interessen der umfassenden Landesverteidigung dienen;

10.4.    dem Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union dienen;

10.5.    der Vorbeugung, Verhinderung oder Verfolgung von Straftaten dienen.

Für die tägliche Praxis einer kommerziellen Anwendung sind demnach folgende Ausnahmetatbestände zu prüfen:

·           Sind die Daten zulässigerweise veröffentlicht oder nur indirekt personenbezogen?

·           Gibt es eine nachweisbare Zustimmung des Betroffenen zur Datenübermittlung an den ausländischen Empfänger oder zur Überlassung an den ausländischen Dienstleister?

·           Müssen die Daten zur Vertragserfüllung unbedingt an den ausländischen Empfänger übermittelt werden?

·           Ist eine Übermittlung oder Überlassung in einer Standard- oder Musterverarbeitung angeführt?

In allen anderen Fällen ist eine Genehmigung durch die DSK zu beantragen. Man beachte, dass auf Grund von Entscheidungen der Europäischen Kommission unter bestimmten Voraussetzungen Übermittlungen oder Überlassungen in die USA (Stichwort „Safe Harbor“) oder nach Kanada (Stichwort „Personal Information Protection and Electronic Documents Act“) oder in beliebige Länder (bei Verwendung von Standardvertragstexten der EU) genehmigungsfrei sein sollten, diese Entscheidungen der EU aber in Österreich noch nicht umgesetzt wurden.

Sollte der Leser eine Datenübermittlung oder Überlassung in ein nach DSG 2000 bzw. DSAV genehmigungspflichtiges Land betreiben, die aber auf Grund der EU-Entscheidung genehmigungsfrei sein sollte, so ist zu empfehlen, einen Antrag an die DSK zu stellen und auf die EU-Entscheidung zu verweisen.

Manuelle Anwendungen
(Abs. 5)

„Manuelle Datenanwendungen, die gemäß § 58 der Meldepflicht unterliegen, sind, soweit sie schon im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bestanden haben, dem Datenverarbeitungsregister bis spätestens 1. Jänner 2003 zu melden. Dasselbe gilt für automationsunterstützte Datenanwendungen gemäß § 17 Abs. 3, für die durch die nunmehr geltende Rechtslage die Meldepflicht neu eingeführt wurde.“

Grundsätzlich unterliegen manuelle Datenanwendungen entweder dem DSG 2000 oder einem Landes-Datenschutzgesetz, je nachdem, unter welche Gesetzgebungskompetenz die Anwendung fällt.

Manuelle Datenanwendungen, die dementsprechend dem DSG 2000 unterliegen, sind aber nur dann meldepflichtig, wenn sie gem. § 18 Abs. 2 der Vorabkontrolle unterliegen, keiner Musteranwendung entsprechen und auch nicht die inneren Angelegenheiten einer anerkannten Kirche oder Religionsgesellschaft betreffen.

Für die tägliche Praxis einer kommerziellen Anwendung sind demnach folgende Tatbestände zu prüfen:

·           Enthält eine manuelle Anwendung  sensible Daten im Sinne von § 4 Abs. 2?

·           Enthält eine manuelle Anwendung strafrechtlich relevante Daten im Sinne von § 8 Abs. 4?

·           Dient eine manuelle Anwendung der Auskunft über die Kreditwürdigkeit eines Betroffenen?

·           Wird eine manuelle Anwendung als Informationsverbundsystem geführt?

Bei Zutreffen eines dieser Tatbestände ist die Anwendung einer Vorabkontrolle durch die DSK zu unterziehen und beim DVR zu melden.

Übersicht über die sonstigen Übergangsbestimmungen in
§ 61 DSG 2000

Abs. 1 regelt die Weitergeltung von Meldun­gen, die vor Inkrafttreten des DSG 2000 erstattet wurden.

Abs. 3 regelt die Frage, nach welchen Rechtsgrundlagen Datenschutzverletzungen zu beurteilen sind, die vor Inkrafttreten des DSG 2000 stattgefunden haben – diese Frage verliert wegen Zeitablaufs zunehmend an Bedeutung.

Abs. 4 legt die Frist, bis zu der bestimmte Anwendungen des öffentlichen Bereichs auch ohne gesetzliche Grundlage betrieben werden dürfen, auf 31. Dezember 2007 fest.

Abs. 6 enthält die Übergangsbestimmungen für die Funktionsperiode der Datenschutzkommission.

Abs. 7 enthält eine Generalklausel über die sinnvolle Anwendung von Verweisen auf das alte DSG, die in Vorschriften aller Art enthalten sind.

Neue Meldeformulare für das DVR

Stand 10. Oktober 2002

Die Meldeformulare im Format Winword 6 auf der Homepage der Datenschutzkommission

http://www.dsk.gv.at/formd.htm
(korrigiert Mai 2004)

wurden überarbeitet. Das DVR ersucht, nach Möglichkeit nur mehr diese neuen Formulare (zu erkennen am Text „Stand 10. Oktober 2002“) zu verwenden und maschinell auszufüllen.

Für Benutzer ohne passende Textverarbeitung für das Winword-Format gibt es die Formulare auch im Format PDF, allerdings noch mit Stand 29. Jänner 2002. Diese Formulare können nicht am Computer ausgefüllt werden, sie müssen ausgedruckt und manuell ausgefüllt werden.

Der Unterschied zwischen den beiden Formularständen ist geringfügig, nur beim Formular 2 (Meldung einer Datenanwendung) wird in der neuen Auflage viel deutlicher zwischen Sachbearbeiter und Zustellempfänger unterschieden.

Der Vorteil der neuen Formulargeneration tritt beim Ausfüllen zu Tage, da nunmehr bei den ausfüllbaren Textfeldern eine sinnvolle Schriftgröße voreingestellt ist.

DSG-Info-Service Jahrgang 2002

Ausgabe Nr. 33 März 2002
Ausgabe Nr. 34 September 2002
Ausgabe Nr. 35 Oktober 2002
Andere Jahrgänge

Kompetenzbereich Datensicherheit

in Kooperation mit

2019 Secur-Data. All Rights Reserved.