Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 2004

Ausgabe Nr. 40/41 Jänner 2004
Ausgabe Nr. 42 Mai 2004
Ausgabe Nr. 43 September 2004
Ausgabe Nr. 44 Dezember 2004
Andere Jahrgänge

DSG-Info-Service Nr. 40/41
Jänner 2004

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Im Jänner 2003Jahres haben wir Ihnen in der Doppelnummer 36/37 unseres DSG-Info-Service die Datenschutzrichtlinie für elektronische Kommunikation vorgestellt.

Für die Umsetzung in nationales Recht wurde eine Änderung des Telekommunikationsgesetzes notwendig, die wir zum Gegenstand dieser Ausgabe unseres DSG-Info-Service machen. Aufgrund des Umfanges der Materie haben Sie neuerlich eine Doppelnummer in Händen.

Das DSG-Info Nr. 20 aus Dezember 1997, in dem das TKG 1997 besprochen wurde, ist somit endgültig überholt.

Weiters dürfen wir darüber informieren, dass seit 17. Juli 2003 auch das Tiroler Datenschutzgesetz (TDSG) in Kraft ist. Über das TDSG können Sie sich, wie über alle Landes-Daten­schutzgesetze, auf unserer Homepage

www.secur-data.at

informieren.

Damit ist nur mehr das Burgenland in der Umsetzung der Datenschutzrichtlinie säumig.

Datenschutzbestimmungen des
Telekommunikationsgesetzes 2003

Allgemeines

Das TKG 2003 (BGBl I Nr. 70 vom 19. August 2003) umfasst 15 Abschnitte. Die Datenschutzbestimmungen finden sich vor allem im Abschnitt 12, der zusätzlich auch das Kommunikationsgeheimnis (früher: Fern­meldegeheimnis) definiert, Abschnitt 13 enthält die Strafbestimmungen (gerichtliche Strafen oder Verwaltungsstrafen).

Die 15 Abschnitte des TKG tragen folgende Überschriften:

  1. Allgemeines
  2. Leitungs- und Mitbenutzungsrechte
  3. Kommunikationsdienste, Kommunikationsnetze
  4. Universaldienst
  5. Wettbewerbsregulierung
  6. Frequenzen
  7. Adressierung und Nummerierung
  8. Schutz der Nutzer
  9. Funkanlagen und
    Telekommunikationsendeinrichtungen
  10. Verfahren, Gebühren
  11. Aufsichtsrechte
  12. Kommunikationsgeheimnis,
    Datenschutz
  13. Strafbestimmungen
  14. Behörden
  15. Übergangs- und Schlussbestimmungen

Abschnitt 12 Kommunikationsgeheimnis, Datenschutz

§ 92 enthält allgemeine Bestimmungen, wie auch die ausdrückliche Bezugnahme auf das Datenschutzgesetz und auf die Strafprozessordnung.

Darüber hinaus sind die in Abs. 3 normierten Begriffsbestimmungen deshalb von Interesse, weil hier zugleich eine Aufzählung aller Datenarten vorgenommen wird, die im Zusammenhang mit dem TKG zu beachten sind:

In diesem Abschnitt bezeichnet unbeschadet des § 3 der Begriff

1. „Anbieter“ Betreiber von öffentlichen Kommunikationsdiensten;

2. „Benutzer“ eine natürliche Person, die einen öffentlichen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst zwangsläufig abonniert zu haben;

3. „Stammdaten“ alle personenbezogenen Daten, die für die Begründung, die Abwicklung, Änderung oder Beendigung der Rechtsbeziehungen zwischen dem Benutzer und dem Anbieter oder zur Erstellung und Herausgabe von Teilnehmerverzeichnissen erforderlich sind; dies sind:
a) Familienname und Vorname,
b) akademischer Grad,
c) Wohnadresse,
d) Teilnehmernummer und sonstige Kontaktinformation für die Nachricht,
e) Information über Art und Inhalt des Vertragsverhältnisses,
f) Bonität;

4. „Verkehrsdaten“ Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden;

4a. „Zugangsdaten“ jene Verkehrsdaten, die beim Zugang eines Teilnehmers zu einem öffentlichen Kommunikationsnetz beim Betreiber entstehen und für die Zuordnung der zu einem bestimmten Zeitpunkt für eine Kommunikation verwendeten Netzwerkadressierungen zum Teilnehmer notwendig sind;

5. „Inhaltsdaten“ die Inhalte übertragener Nachrichten (Z 7);

6. „Standortdaten“ Daten, die in einem Kommunikationsnetz verarbeitet werden und die den geografischen Standort der Telekommunikationsendeinrichtung eines Nutzers eines öffentlichen Kommunikationsdienstes angeben;

7. „Nachricht“ jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen öffentlichen Kommunikationsdienst ausgetauscht oder weitergeleitet wird. Dies schließt nicht Informationen ein, die als Teil eines Rundfunkdienstes über ein Kommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Teilnehmer oder Nutzer, der sie erhält, in Verbindung gebracht werden können;

8. „Anruf“ eine über einen öffentlich zugänglichen Telefondienst aufgebaute Verbindung, die eine zweiseitige Echtzeit-Kommunikation ermöglicht;

9. „Dienst mit Zusatznutzen“ jeden Dienst, der die Bearbeitung von Verkehrsdaten oder anderen Standortdaten als Verkehrsdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder die Fakturierung dieses Vorgangs erforderliche Maß hinausgeht; 

10. „elektronische Post“ jede über ein öffentliches Kommunikationsnetz verschickte Text-, Sprach-, Ton- oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird.

Der Begriff „Teilnehmer“, der in den nachfolgenden Datenschutzbestimmungen häufig verwendet wird, wird in § 4 Z 19 normiert: „natürliche oder juristische Person, die mit einem Betreiber einen Vertrag über die Bereitstellung dieser Dienste geschlossen hat“. Der Begriff „Betreiber“ wird in § 4 Z 1 definiert.

§ 93 betrifft das Kommunikationsgeheimnis und ist somit keine unmittelbare Datenschutzbestimmung. § 94 betrifft Technische Einrichtungen zur Überwachung des Fernmeldeverkehrs nach den Bestimmungen der StPO.

§ 95 betrifft die Sicherheit des Netzbetriebes und verpflichtet den Betreiber ausdrücklich zur Erlassung von Datensicherheitsmaßnahmen im Sinne des § 14 DSG 2000

§ 96 Datenschutz – Allgemeines

§ 96, der in der Folge vollinhaltlich abgedruckt wird, orientiert sich am derzeit üblichen Datenschutzniveau.

§ 96. (1) Stammdaten, Verkehrsdaten, Standortdaten und Inhaltsdaten dürfen nur für Zwecke der Besorgung eines Kommunikationsdienstes ermittelt oder verarbeitet werden.

(2) Die Übermittlung von im Abs. 1 genannten Daten darf nur erfolgen, soweit das für die Erbringung jenes Kommunikationsdienstes, für den diese Daten ermittelt und verarbeitet worden sind, durch den Betreiber erforderlich ist. Die Verwendung der Daten zum Zweck der Vermarktung von Kommunikationsdiensten oder der Bereitstellung von Diensten mit Zusatznutzen sowie sonstige Übermittlungen dürfen nur auf Grund einer jederzeit widerrufbaren Zustimmung der Betroffenen erfolgen. Diese Verwendung ist auf das erforderliche Maß und den zur Vermarktung erforderlichen Zeitraum zu beschränken. Die Anbieter dürfen die Bereitstellung ihrer Dienste nicht von einer solchen Zustimmung abhängig machen.

(3) Der Anbieter ist verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Diese Information hat auch auf das Recht hinzuweisen, die Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Benutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz bleibt unberührt.

Man beachte insbesondere, dass die Daten nur auf Grund einer freiwilligen Zustimmung für Dienste mit Zusatznutzen und für Marketing-Aktivitäten verwendet werden dürfen.

Weiters beachte man, dass im Vergleich zum TKG 1997 die Information des Betroffenen deutlich intensiviert wurde (siehe Z 3), was sich auf die Allgemeinen Geschäftsbedingungen der Anbieter auswirken sollte.

§ 97 Stammdaten

§ 97, der in der Folge vollinhaltlich abgedruckt wird, regelt die Verwendung von Stammdaten; dieser Begriff ist in § 92 definiert und weiter oben nachzulesen.

§ 97. (1) Stammdaten dürfen unbeschadet der §§ 90 Abs. 6 und 96 Abs. 2 von Betreibern nur für folgende Zwecke ermittelt und verarbeitet werden:

1. Abschluss, Durchführung, Änderung oder Beendigung des Vertrages mit dem Teilnehmer;

 

2. Verrechnung der Entgelte;

 

3. Erstellung von Teilnehmerverzeichnissen, auch gemäß § 18 und

 

4. Erteilung von Auskünften an Notrufträger.

 

(2) Stammdaten sind spätestens nach Beendigung der vertraglichen Beziehungen mit dem Teilnehmer vom Betreiber zu löschen. Ausnahmen sind nur soweit zulässig, als diese Daten noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflichtungen zu erfüllen.

§ 98 Auskünfte an Betreiber von Notrufdiensten

§ 98 regelt die Datenübermittlung zwischen dem Betreiber von Telekommunikationsdiensten und dem Betreiber von Notrufdiensten. Der Notrufdienst hat die Notwendigkeit seiner Anforderung im Nachhinein nachzuweisen:

§ 98. Betreiber haben Betreibern von Notrufdiensten auf deren Verlangen Auskünfte über Stammdaten im Sinne von § 92 Abs. 3 Z 3 lit. a bis d sowie über Standortdaten im Sinne des § 92 Abs. 3 Z 6 zu erteilen. In beiden Fällen ist Voraussetzung für die Zulässigkeit der Übermittlung ein Notfall, der nur durch Bekanntgabe dieser Informationen abgewehrt werden kann. Die Notwendigkeit der Informationsübermittlung ist vom Betreiber des Notrufdienstes zu dokumentieren und dem Betreiber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nachzureichen. Der Betreiber darf die Übermittlung nicht von der vorherigen Darlegung der Notwendigkeit abhängig machen. Den Betreiber des Notrufdienstes trifft die Verantwortung für die rechtliche Zulässigkeit des Auskunftsbegehrens.

§ 99 Verkehrsdaten

§ 99, der in der Folge vollinhaltlich abgedruckt wird, regelt die Verwendung von Verkehrsdaten; dieser Begriff ist in § 92 definiert und weiter oben nachzulesen.

§ 99. (1) Verkehrsdaten dürfen außer in den gesetzlich geregelten Fällen nicht gespeichert werden und sind vom Betreiber nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren.

(2) Sofern dies für Zwecke der Verrechnung von Entgelten, einschließlich der Entgelte für Zusammenschaltungen, erforderlich ist, hat der Betreiber Verkehrsdaten bis zum Ablauf jener Frist zu speichern, innerhalb derer die Rechnung rechtlich angefochten werden oder der Anspruch auf Zahlung geltend gemacht werden kann. Diese Daten sind im Streitfall der entscheidenden Einrichtung sowie der Schlichtungsstelle unverkürzt zur Verfügung zu stellen. Wird ein Verfahren über die Höhe der Entgelte eingeleitet, dürfen die Daten bis zur endgültigen Entscheidung über die Höhe der Entgelte nicht gelöscht werden. Der Umfang der gespeicherten Verkehrsdaten ist auf das unbedingt notwendige Minimum zu beschränken.

(3) Die Verarbeitung von Verkehrsdaten darf nur durch solche Personen erfolgen, die für die Entgeltverrechnung oder Verkehrsabwicklung, Behebung von Störungen, Kundenanfragen, Betrugsermittlung oder Vermarktung der Kommunikationsdienste oder für die Bereitstellung von Diensten mit Zusatznutzen zuständig sind oder die von diesen Personen beauftragt wurden. Der Umfang der verwendeten Verkehrsdaten ist auf das unbedingt notwendige Minimum zu beschränken.

(4) Dem Betreiber ist es außer in den gesetzlich besonders geregelten Fällen untersagt, einen Teilnehmeranschluss über die Zwecke der Verrechnung hinaus nach den von diesem Anschluss aus angerufenen Teilnehmernummern auszuwerten. Mit Zustimmung des Teilnehmers darf der Betreiber die Daten zur Vermarktung für Zwecke der eigenen Telekommunikationsdienste oder für die Bereitstellung von Diensten mit Zusatznutzen verwenden.

§ 100 Entgeltnachweis

§ 100 regelt die Ausstellung eines Einzelentgeltnachweises sowie dessen Detaillierungsgrad. Datenschutzrechtlich interessant ist nur Absatz 3:

§ 100 (3): Bei der Erstellung eines Entgeltnachweises dürfen nur jene Daten verarbeitet werden, die dafür unbedingt erforderlich sind. Die passiven Teilnehmernummern oder sonstigen Angaben zur Identifizierung eines Empfängers einer Nachricht dürfen im Einzelentgeltnachweis nur in verkürzter Form ausgewiesen werden, es sei denn, die Tarifierung einer Verbindung lässt sich nur aus der unverkürzten Teilnehmernummer ableiten oder der Teilnehmer hat schriftlich erklärt, dass er alle bestehenden Mitbenutzer des Anschlusses darüber informiert hat und künftige Mitbenutzer informieren wird. Allfällige weitere arbeitsrechtliche Beschränkungen bleiben unberührt. Anrufe oder sonstige Verbindungen, für die keine Entgeltpflicht entsteht, sowie Anrufe bei oder Verbindungen mit Notrufdiensten dürfen nicht ausgewiesen werden.

§ 101 Inhaltsdaten

§ 101, der in der Folge vollinhaltlich abgedruckt wird, regelt die Verwendung von Inhaltsdaten; dieser Begriff ist in § 92 definiert und weiter oben nachzulesen.

§ 101. (1) Inhaltsdaten dürfen – sofern die Speicherung nicht einen wesentlichen Bestandteil des Kommunikationsdienstes darstellt – grundsätzlich nicht gespeichert werden. Sofern aus technischen Gründen eine kurzfristige Speicherung erforderlich ist, hat der Anbieter nach Wegfall dieser Gründe die gespeicherten Daten unverzüglich zu löschen.

(2) Der Anbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass Inhaltsdaten nicht oder nur in dem aus technischen Gründen erforderlichen Mindestausmaß gespeichert werden. Sofern die Speicherung des Inhaltes Dienstmerkmal ist, sind die Daten unmittelbar nach der Erbringung des Dienstes zu löschen.

§ 102 Andere Standortdaten als Verkehrsdaten

§ 102, der in der Folge vollinhaltlich abgedruckt wird, regelt insbesondere die Verwendung des Bewegungsprofils von Mobilfunkteilnehmern.

§ 102. (1) Andere Standortdaten als Verkehrsdaten dürfen unbeschadet des § 98 nur verarbeitet werden, wenn sie

1. anonymisiert werden oder

2. die Benutzer oder Teilnehmer eine jederzeit widerrufbare Einwilligung gegeben haben.

(2) Selbst im Falle einer Einwilligung zur Verarbeitung von Daten gemäß Abs. 1 müssen die Benutzer oder Teilnehmer die Möglichkeit haben, diese Verarbeitung von Daten für jede Übertragung einfach und kostenlos zeitweise zu untersagen.

(3) Die Verarbeitung anderer Standortdaten als Verkehrsdaten gemäß Abs. 1 und 2 muss auf das für die Bereitstellung des Dienstes mit Zusatznutzen erforderliche Maß sowie auf Personen beschränkt werden, die im Auftrag des Betreibers oder des Dritten, der den Dienst mit Zusatznutzen anbietet, handeln.

§ 103 Teilnehmerverzeichnis

§ 103, der in der Folge vollinhaltlich abgedruckt wird, regelt die Verwendung der Daten des Teilnehmerverzeichnisses. Weitere Bestimmungen zum Teilnehmerverzeichnis sind § 69 zu entnehmen, der nicht primärer Gegenstand der vorliegenden Analyse ist. Zum Verständnis ist aber anzumerken, dass § 69 Abs. 5 die Nichteintragung im Teilnehmerverzeichnis betrifft und § 18 Abs. 1 Z 4 die Betreiber von Teilnehmerverzeichnissen.

§ 103. (1) Die im Teilnehmerverzeichnis gemäß § 69 Abs. 3 und 4 enthaltenen Daten dürfen vom Betreiber nur für Zwecke der Benützung des öffentlichen Telefondienstes verwendet und ausgewertet werden. Jede andere Verwendung ist unzulässig. So dürfen die Daten insbesondere nicht dafür verwendet werden, um elektronische Profile von Teilnehmern zu erstellen oder diese Teilnehmer, ausgenommen zur Erstellung und Herausgabe von Teilnehmerverzeichnissen, nach Kategorien zu ordnen. Der Betreiber hat das Kopieren elektronischer Teilnehmerverzeichnisse nach dem Stand der Technik und der wirtschaftlichen Zumutbarkeit zu erschweren.

(2) Die Übermittlung der in einem Teilnehmerverzeichnis enthaltenen Daten an den in § 18 Abs. 1 Z 4 genannten Personenkreis ist unter Berücksichtigung von § 69 Abs. 5 zulässig.

(3) Für gemäß Abs. 2 übermittelte Daten gilt die Verwendungsbeschränkung nach Abs. 1.

(4) Die Bestimmungen der vorstehenden Absätze über die zulässige Verwendung, Auswertung und Übermittlung der einen Teilnehmer betreffenden Daten sind gegenüber Ersuchen der Gerichte, die sich auf die Aufklärung und Verfolgung einer bestimmten Straftat beziehen, nicht anzuwenden. Der Betreiber hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass solchen Ersuchen auch hinsichtlich der Daten entsprochen werden kann, deren Eintragung nach § 69 Abs. 5 unterbleibt.

§ 104 Anzeige der Rufnummer des Anrufers

§ 104. (1) Im öffentlichen Kommunikationsnetz muss dem anrufenden Benutzer außer bei Notrufen die Möglichkeit eingeräumt werden, die Anzeige für jeden Anruf einzeln, selbständig und entgeltfrei zu unterdrücken. Dem Teilnehmer muss diese Möglichkeit anschlussbezogen zur Verfügung stehen.

(2) Im öffentlichen Kommunikationsnetz, muss dem angerufenen Teilnehmer die Möglichkeit eingeräumt werden, die Anzeige eingehender Anrufe selbständig und entgeltfrei zu unterdrücken. Wird die Rufnummer bereits vor der Herstellung der Verbindung angezeigt, muss dem angerufenen Teilnehmer die Möglichkeit eingeräumt werden, eingehende Anrufe, bei denen die Rufnummernanzeige unterdrückt wurde, selbständig und entgeltfrei abzuweisen.

(3) Im öffentlichen Kommunikationsnetz, muss dem angerufenen Teilnehmer die Möglichkeit eingeräumt werden, die Anzeige seiner Rufnummer beim Anrufer selbständig und entgeltfrei zu unterdrücken.

(4) Der Betreiber ist verpflichtet, in seinen Geschäftsbedingungen über die Möglichkeit der Rufnummernanzeige und die verschiedenen Möglichkeiten der Unterdrückung der Anzeige zu informieren.

(5) Die Bestimmungen der Abs. 1 bis 3 gelten auch für Anrufe in Staaten, die nicht Mitglied der Europäischen Union sind sowie für Anrufe aus solchen Staaten.

Bemerkenswert ist hier der Absatz 3, unseres Erachtens ist diese Bestimmung aber bei Rufweiterleitungen durchaus sinnvoll.

§ 105 Automatische Anrufweiterschaltung

§ 105. Die Betreiber haben bei den von ihnen angebotenen Diensten, bei denen eine Anrufweiterschaltung möglich ist, die Möglichkeit vorzusehen, dass der Teilnehmer selbständig und entgeltfrei die von dritten Teilnehmern veranlasste automatische Anrufweiterschaltung zur Telekommunikationsendeinrichtung des Teilnehmers abstellen kann.

Hier handelt es sich genau genommen um keine Datenschutzbestimmung, sondern um eine Maßnahme der Selbstbestimmung über den eigenen Anschluss.

§ 106 Fangschaltung, belästigende Anrufe

§ 106, der in der Folge vollinhaltlich abgedruckt wird, regelt einen Graubereich zwischen den Datenschutzinteressen des Anrufenden und den Selbstbestimmungsinteressen des Teilnehmer. Mit dem TKG 2003 kann jeder Teilnehmer auch ohne Einschaltung von Behörden eine Fangschaltung gegen belästigende Anrufe einrichten lassen, die Auswertung erhält er nur bei Erfolg, d.h. er wird insbesondere den genauen Zeitpunkt des belästigenden Anrufs benennen müssen.

Kritisch sehen wir die in Abs. 2 angesprochene Alternative, die Rufnummernunterdrückung aufzuheben. Denn in diesem Fall sind Datenschutzinteressen aller Anrufer, auch der nicht-belästigenden, involviert.

§ 106. (1) Fangschaltung ist die vom Willen des Anrufenden unabhängige Feststellung der Identität eines anrufenden Anschlusses.

(2) Sofern ein Teilnehmer dies zur Verfolgung belästigender Anrufe wünscht, hat der Betreiber eine Fangschaltung oder die Aufhebung der Unterdrückung der Rufnummernanzeige für zukünftige Anrufe einzurichten. Er darf dafür ein Entgelt verlangen.

(3) Das Ergebnis der Fangschaltung ist dem Teilnehmer bekannt zu geben, wenn er die Tatsache von belästigenden Anrufen während der Überwachung glaubhaft macht.

§ 107 Unerbetene Nachrichten

§ 107, der in der Folge vollinhaltlich abgedruckt wird, hat zwar nicht unmittelbar mit dem Datenschutz zu tun, dennoch sind hier jene Bestimmungen enthalten, die das größte öffentliche Interesse genießen.

Abweichend vom alten TKG bestehen mit dem TKG 2003 unterschiedliche Schutzniveaus für Private (genau: Konsumenten iSd KSchG) und für juristische Personen, soweit es um elektronische Post geht (siehe Absatz 2).

Unseres Erachtens ist die Trennung zwischen Unternehmen und Konsumenten nicht allein auf Grund der verwendeten E-Mail-Adresse zu ziehen, sondern auch auf Grund des Werbezweckes. So kann sich eine unerbetene Viagra-Wer­bung kaum an eine juristische Person wenden und sollte daher stets unzulässig sein.

§ 107. (1) Anrufe – einschließlich das Senden von Fernkopien – zu Werbezwecken ohne vorherige Einwilligung des Teilnehmers sind unzulässig. Der Einwilligung des Teilnehmers steht die Einwilligung einer Person, die vom Teilnehmer zur Benützung seines Anschlusses ermächtigt wurde, gleich. Die erteilte Einwilligung kann jederzeit widerrufen werden; der Widerruf der Einwilligung hat auf ein Vertragsverhältnis mit dem Adressaten der Einwilligung keinen Einfluss.

(2) Die Zusendung einer elektronischen Post – einschließlich SMS – an Verbraucher im Sinne des § 1 Abs. 1 Z 2 Konsumentenschutzgesetz ohne vorherige Einwilligung des Empfängers ist unzulässig, wenn

1. die Zusendung zu Zwecken der Direktwerbung erfolgt oder

2. an mehr als 50 Empfänger gerichtet ist.

(3) Eine vorherige Zustimmung für elektronische Post gemäß Abs. 2 ist dann nicht notwendig, wenn

1. der Absender die Kontaktinformation für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten hat und

2. diese Nachricht zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen erfolgt und

3. der Kunde klar und deutlich die Möglichkeit erhalten hat, eine solche Nutzung der elektronischen Kontaktinformation von vornherein bei deren Erhebung und zusätzlich bei jeder Übertragung kostenfrei und problemlos abzulehnen.

(4) Die Zusendung einer elektronischen Post – einschließlich SMS – an andere als die in Abs. 2 genannten Empfänger ist ohne vorherige Einwilligung des Empfängers zulässig, wenn der Versender dem Empfänger in der elektronischen Post oder in der SMS ausdrücklich die Möglichkeit einräumt, den Empfang weiterer Nachrichten abzulehnen.

(5) Die Zusendung elektronischer Nachrichten zu Zwecken der Direktwerbung ist auch bei Vorliegen der Voraussetzungen der Abs. 2, 3 und 4 unzulässig, wenn die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine authentische Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann.

(6) Wurden Verwaltungsübertretungen nach Abs. 1 nicht im Inland begangen, gelten sie als an jenem Ort begangen, an dem der Anruf den Anschluss des Teilnehmers erreicht.

Abschnitt 13 Strafbestimmungen

Strafrechtlich sanktioniert ist lt. § 108 eine Verletzung des Kommunikationsgeheimnisses (§ 93) sowie die Unterdrückung oder Fälschung von Nachrichten. Als Strafausmaß sind maximal drei Monate bzw. 180 Tagessätze vorgesehen, die Strafverfolgung erfolgt nur auf Antrag.

§ 109 enthält eine Fülle von Verwaltungsstrafbestimmungen, davon ist aus dem Datenschutzbereich mit bis zu 37.000 Euro zu bestrafen (Abs. 3), wer:

13. entgegen § 90 nicht die notwendigen Auskünfte oder nicht Auskunft über Stammdaten erteilt;

14. entgegen § 94 Abs. 2 nicht an der Überwachung einer Telekommunikation im erforderlichen Ausmaß mitwirkt;

15. entgegen § 95 Abs. 2 die Teilnehmer nicht unterrichtet;

16. entgegen § 96 Abs. 3 die Teilnehmer nicht informiert;

17. entgegen § 98 nicht Auskünfte über Stammdaten oder Standortdaten erteilt;

18. entgegen § 103 Abs. 1 das Kopieren elektronischer Teilnehmerverzeichnisse nicht erschwert;

19. entgegen § 107 Abs. 1 Anrufe zu Werbezwecken tätigt;

20. entgegen § 107 Abs. 2 und 4 elektronische Post zusendet;

21. entgegen § 107 Abs. 5 elektronische Nachrichten zum Zweck der Direktwerbung zusendet.

Strenger, und zwar mit bis zu 58.000 Euro, wird bestraft (Abs. 4), wer:

7. entgegen § 94 Abs. 1 nicht Einrichtungen zur Überwachung einer Telekommunikation bereit stellt.

In § 111 ist eine Abschöpfung der Bereicherung vorgesehen, wenn ein Unternehmen durch einen Verstoß gegen das TKG einen wirtschaftlichen Vorteil erlangt.

DSG-Info-Service Jahrgang 2004

Ausgabe Nr. 40/41 Jänner 2004
Ausgabe Nr. 42 Mai 2004
Ausgabe Nr. 43 September 2004
Ausgabe Nr. 44 Dezember 2004
Andere Jahrgänge

DSG-Info-Service Nr. 42
Mai 2004

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Am 7. Mai 2004 gab die Datenschutzkommission die komplette Umstellung ihres Internet-Auftrittes auf eine neue Adresse bekannt. In diesem Zusammenhang haben sich auch die Meldeformulare und die Internetadresse des DVR geändert.

Als zweites Thema in dieser Ausgabe unseres DSG-Info-Service finden Sie einen kleinen Überblick über den derzeitigen Rechtsstand des internationalen Datenverkehrs – also bei Datenflüssen über die Grenze der EU hinaus.

 

Die Datenschutzkommission im Internet

Allgemeines

Die Internetadresse der Datenschutzkommission lautet generell http://www.dsk.gv.at/

Die E-Mail-Adressen lauten für das Büro der Datenschutzkommission dsk(at)dsk.gv.at

und für das Datenverarbeitungsregister dvr(at)dsk.gv.at

Die letzte Adresse ist auch für offizielle Eingaben an das Register zu verwenden, insbesondere für die Einreichung der Meldeformulare, die im Internet unter der Adresse http://www.dsk.gv.at/formd.htm aufzufinden sind.

Der aktuelle Stand dieser Meldeformulare trägt das Änderungsdatum 6. März 2004.

Bitte verwenden Sie nur mehr die neuen Adressen und Formulare. Reichen Sie die Formulare an die im Kopf genannte E-Mail-Adresse des DVR ein und nicht an die in der Fußzeile genannte E-Mail-Adresse der Kommission.

Der alte Webauftritt wird nicht mehr gewartet und in absehbarer Zeit überhaupt aufgelassen.

Übersicht über die DSK-Homepage

Die Homepage gliedert sich in 8 Abschnitte:

  • Allgemeines – hier sind insbesondere alle aktuellen Fragen aufgelistet. Die neuesten Eintragungen betreffen die EU-Osterweiterung und eine Presseaussendung vom 4. Dezember 2003 über die HEROLD Marketing CD.
  • Datenschutzkommission – hier sind Aufgaben der DSK erläutert sowie Entscheidungen, Presseaussendungen und Empfehlungen einzusehen. Darüber hinaus ist die Zusammensetzung der DSK wiedergegeben.
  • Schengen – dieser Abschnitt befasst sich mit dem Schengener Informationssystem und hat nichts mit den primären Aufgaben der DSK zu tun.
  • Registrierung – dieser Abschnitt erläutert das Meldeverfahren beim DVR und enthält die Meldeformulare. Interessant ist, dass an dieser Stelle bisher ein einziges Informationsverbundsystem veröffentlicht ist, nämlich die Warnliste der Banken. Der anonymisierte Genehmigungsbescheid für diese Warnliste ist im Volltext wiedergegeben.
  • Rechtsquellen – in diesem Abschnitt sind für den Datenschutz relevante Gesetze und Verordnungen ersichtlich, einschließlich EU-Recht, OECD und Europarat.
  • Materialien – in diesem Abschnitt sind Datenschutzberichte und Musterverträge enthalten.
  • Hyperlinks und technische Anmerkungen ergänzen die Datenschutz-Homepage.

Neue Mitgliedstaaten der EU

Unter der Adresse http://www.dsk.gv.at/neue_eu.htm sind alle neuen Mitgliedstaaten angeführt. Bei jedem dieser Staaten ist ein Link zu der zuständigen Datenschutzbehörde eingetragen, in dem in Landessprache und zusätzlich in englischer Sprache das Datenschutzrecht des betreffenden Landes erläutert wird.

Ausnahmen: Die zypriotische Seite ist nur in griechischer Sprache zugänglich. Der ungarische Link funktioniert nicht; verwenden Sie stattdessen http://abiweb.obh.hu/adatved/indexek

Bitte beachten Sie das landesspezifische Datenschutzrecht insbesondere dann, wenn Sie Verantwortung für personenbezogene Daten in einer Geschäftsniederlassung in einem dieser Länder tragen.

 

Übersicht über den internationalen Datenverkehr

EU-Quellen

EU-Staaten

Die EU-Staaten sind datenschutzrechtlich als Inland anzusehen. Es bedarf keiner Genehmigung durch die DSK, wenn Daten in andere EU-Staaten übermittelt oder überlassen werden.

Die Entscheidung der Kommission vom 26. Juli 2000 (ABl. L 215/4 vom 25.8.2000) betreffend Ungarn ist daher nicht mehr relevant.

Guernsey

Mit Entscheidung der Kommission vom 21. November 2003 wird die Angemessenheit des Schutzes personenbezogener Daten in Guernsey festgestellt (2003/821/EG).

Argentinien

Mit Entscheidung der Kommission vom 23. Juni 2003 wird die Angemessenheit des Schutzes personenbezogener Daten in Argentinien festgestellt (Abl. L 168, 5.7.2003).

Kanada

Mit Entscheidung der Kommission vom 20. Dezember 2001 wird bei Anwendbarkeit des kanadischen Personal Information Protection and Electronic Documents Act die Angemessenheit des Schutzes personenbezogener Daten festgestellt (ABl. L 2/13 vom 4.1.2002).

Schweiz

Mit Entscheidung der Kommission vom 26. Juli 2000 wird die Angemessenheit des Schutzes personenbezogener Daten in der Schweiz festgestellt (Abl. Nr. L 215 vom 25.8.2000).

USA – Safe Harbor

Die Entscheidung der Kommission vom 26. Juli 2000 (ABl. L 215/7 vom 25.8.2000) haben wir in unserem DSG-Info Nr. 28 vom Dezember 2000 ausführlich behandelt.

Die Safe Harbor List hatte mit Stichtag 27. April 2004 492 Einträge, sodass eine vollständige Wiedergabe in unserem DSG-Info nicht mehr sinnvoll ist. Im Internet ist die Liste auf der Seite des U.S. Department of Commerce ausgehend von der Adresse http://www.export.gov/safeharbor/ über den Menüpunkt Safe Harbor List aufzufinden. Alternativ finden Sie auch auf der Website der Secur-Data einen Link direkt auf die Safe Harbor List.

Standardvertragsklauseln

Mit Entscheidung der Kommission vom 15. Juni 2001 wurden Standardvertragsklauseln festgelegt, bei deren Einhaltung ein ausreichender Schutz der Privatsphäre im Sinne der EU-Datenschutzrichtlinie gewährleistet ist.

Eine äquivalente Entscheidung der Kommission vom 27. Dezember 2001 betrifft Standardvertragsklauseln im Zusammenhang mit einem Auftragsverarbeiter (in Österreich: Dienstleister).

Die Texte dieser Standardvertragsklauseln sind unter anderem auf der Website der Datenschutzkommission oder der Secur-Data nachzulesen.

Umsetzungsbedarf

Sämtliche genannten Entscheidungen der Kommission richten sich an die Mitgliedstaaten. Das bedeutet, die Mitgliedstaaten haben dafür zu sorgen, dass die Entscheidungen durch entsprechende legistische Maßnahmen national Rechtskraft erlangen.

Österreichische Quellen

DSAV (BGBl. II Nr. 521/1999)

Diese Verordnung setzt die EU-Entscheidung über die Angemessenheit des Datenschutzes in der Schweiz (und in Ungarn) in Österreich um.

Umsetzungsbedarf

Wie bereits bei den Ausführungen über die Entscheidungen der EU erwähnt, bedürfen diese Entscheidungen einer Umsetzung in Österreich.

Es ist anzumerken, dass diese nationalen Umsetzungen nach wie vor nicht erfolgt sind, es fehlen also Verordnungen analog zur bestehenden DSAV hinsichtlich der Staaten Argentinien, Guernsey, Kanada und USA – soweit dies unter Safe Harbor erfolgt.

In Ermangelung einer gültigen Verordnung kann man sich bei Verhandlungen mit der Datenschutzkommission direkt auf die entsprechenden EU-Dokumente berufen.

DSG-Info-Service Jahrgang 2004

Ausgabe Nr. 40/41 Jänner 2004
Ausgabe Nr. 42 Mai 2004
Ausgabe Nr. 43 September 2004
Ausgabe Nr. 44 Dezember 2004
Andere Jahrgänge

DSG-Info-Service Nr. 43
September 2004

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Am 1. August 2004 trat die neue Standard- und Musterverordnung 2004 in Kraft. Abweichend von den bisherigen Gepflogenheiten – siehe etwa die beiden Novellen in BGBl. II Nr. 232/2003 und in BGBl. II Nr. 205/2004 – handelt es sich um eine komplette Neuverordnung, die bisherige Verordnung aus BGBl. I/ Nr. 201/2000 in der Fassung BGBl. II Nr. 205/2004 tritt zugleich außer Kraft.

Ein Komplettabdruck der neuen Verordnung würde den Rahmen unseres DSG-Info sprengen, daher weisen wir darauf hin, dass ab 1. Jänner 2004 sämtliche Bundesgesetzblätter offiziell im Internet verlautbart werden. Der Leser kann sich unter der Adresse

www.ris.bka.gv.at 

die aktuelle Verordnung direkt beschaffen.

Weiters weisen wir darauf in, dass auf unserer Homepage

www.secur-data.at

nicht nur die neueste Verordnung auffindbar ist, sondern auch die ursprüngliche Verordnung aus 2002 sowie der Stand nach einer oder beiden Novellen.

 

Standard- und Muster-Verordnung 2004 – StMV 2004

Allgemeines

Die Verordnung gliedert sich in einen Verordnungstext im Umfang einer knappen Seite und in 3 Anlagen:

  • Anlage 1 – Standardanwendungen,

  • Anlage 2 – Musteranwendungen,

  • Anlage 3 – Überleitung der bereits gemeldeten Musteranwendungen.

Diese Anlage 3 ist unverändert aus der Verordnung 2000 übernommen und unserer Meinung nach bereits entbehrlich, denn sie bezieht sich auf die

  • Registrierungs-Überleitungs­ver­ord­nung, die am 30. Juni 2000 außer Kraft getreten ist, und auf die

  • DVR-Verordnung 2000, die nur bis zum 31. Dezember 2001 in Kraft war.

Zum Haupttext der Verordnung

Eine interessante Abweichung zwischen den Verordnungen 2000 und 2004 besteht in § 2 Abs. 2. Bisher lautete diese Bestimmung:

„Die in den Anlagen 1 und 2 für Zwecke der Registrierung allgemein beschriebenen Übermittlungen sind im einzelnen Übermittlungsfall jeweils nur insoweit zulässig, als für diesen Fall eine Rechtsgrundlage gemäß den §§ 6–9 DSG 2000 besteht.“

Ab sofort lautet sie:

„Die in der Anlage 2 für Zwecke der Registrierung allgemein beschriebenen Übermittlungen sind im einzelnen Übermittlungsfall jeweils nur insoweit zulässig, als für diesen Fall eine Rechtsgrundlage gemäß den §§ 6 bis 9 DSG 2000 besteht.“

Der Unterschied liegt auf der Hand, man kann bei Standardanwendungen (Anlage 1) ab sofort davon ausgehen, dass eine Rechtsgrundlage für die Übermittlungen vorliegt, ohne diese im Einzelfall zu überprüfen. Somit kann nach unserer Meinung bei der Vornahme einer Meldung die StMV unmittelbar als Rechtsgrundlage angeführt werden, wenn ein Übermittlungsfall (Betroffenenkreis zusammen mit der Datenart und zusammen mit dem Empfängerkreis) analog zu einer Standardanwendung auftritt.

Ansonsten ist der Verordnungstext äquivalent zur Version aus 2000, nur ergänzt um den Geschlechterhinweis.

Anlage 1 – Standardanwendungen

Mit der Verordnung 2004 gibt es nunmehr  31 Standardanwendungen (bisher 24). Diese neuen Standardanwendungen lauten:

SA025 (Evidenzen der Schüler sowie Evidenz über den Aufwand für Bildungseinrichtungen) besteht bereits seit der 2. Novelle zur StMV 2000 und richtet sich grob gesprochen an die Schuldirektionen.

SA026 (Verrechnung ärztlicher Verschreibungen für Rechnung begünstigter Bezieher durch Apotheken) richtet sich grob gesprochen an die Apotheken im Zusammenhang mit der Verrechnung von Kassenrezepten.

SA027 (Verrechnung ärztlich verordneter Heilbehelfe und Hilfsmittel durch Gewerbetreibende) richtet sich grob gesprochen an Gewerbetreibende wie z.B. Optiker, Bandagisten oder Orthopädieschuhmacher im Zusammenhang mit der Kassenverrechnung der entsprechenden Leistungen.

SA028 (Verrechnung ärztlich verordneter Behandlungen und diagnostischer Leistungen durch freiberuflich tätige Angehörige der medizinisch technischen Dienste, klinischen Psychologen und Psychotherapeuten) dient der Kassenverrechnung der entsprechenden Leistungen.

SA029 (Aktenverwaltung – Büroautomation) dient der „formalen Behandlung der vom Auftraggeber zu besorgenden Geschäftsfälle (einschließlich der Aufbewahrung der bei dieser Tätigkeit angefallenen Dokumente)“.

Als Höchstdauer der zulässigen Datenaufbewahrung wird genannt: „Entsprechend den gesetzlichen Aufbewahrungs- oder sonstigen Skartierungsvorschriften“ und scheint somit beliebig dehnbar zu sein, sofern man sich diese Vorschriften entsprechend gestaltet.

Als Rechtsgrundlage wird genannt: „Anlage zu § 2 Bundesministeriengesetz 1986, BGBl Nr. 76“.

In Anbetracht dieser Rechtsgrundlage stellt sich nun die Frage, ob diese Datenanwendung ausschließlich für den öffentlichen Bereich gedacht ist. Wir sind der Meinung, dass dies nicht der Fall ist, denn Rechtsgrundlagen für Anwendungen im privaten Bereich werden in der gesamten StMV 2004 nirgends angeführt. Daher erlaubt die angeführte Rechtsgrundlage auch aber nicht ausschließlich die Verwendung im öffentlichen Bereich.

Mit Hilfe dieser Anwendung können Auftraggeber künftig – ohne gesonderte Registrierung – beliebige Akten- und Prozessläufe automationsunterstützt betreiben. Bisher geschah dies in rudimentärer Weise durch den Zusatz „einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten“ etwa bei der SA001.

SA030 (Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate) kann aufgrund des definierten Zwecks leider nicht im privaten Bereich eingesetzt werden.

Dennoch bietet diese Anwendung einen wertvollen Hinweis, wie man Firmentelefonbücher, Interessentenlisten, Anrufprotokolle und dergleichen als Individualmeldung registrieren kann.

SA031 (Vereinsregister) enthält eigentlich zwei getrennte Anwendungen – das lokale Vereinsregister und das zentrale Vereinsregister. Für das breite Publikum ist die Anwendung insbesondere deshalb von Interesse, weil man aus den festgelegten Übermitt­lungsempfängern entnehmen kann, welche Auskünfte man über einen Verein einholen kann.

Änderungen in wichtigen Standardanwendungen

Die 24 „alten“ Standardanwendungen wurden (mit einer einzigen Ausnahme) allesamt zumindest geringfügig verändert.

Ins Auge fällt eine generelle Einfügung der Stammzahlenregisterbehörde und der bereichs­spezifischen Personenkennzeichen im Zusammenhang mit dem E-Government-Gesetz.

In SA001 (Rechnungswesen und Logistik) wurde die Datenart 62 auf „Kreditkartennummern und -unternehmen“ geändert, bisher fehlte das Kreditkartenunternehmen.

In SA007 (Verwaltung von Benutzerkennzeichen) wurde eine neue Datenart 11 „Protokoll- und Dokumentationsdaten (gem. § 14 DSG 2000)“ eingefügt.

In SA013 (Personalverwaltung des Bundes und der bundesnahen Rechtsträger) sowie in SA015 (Personalverwaltung der Länder, Gemeinden und Gemeindeverbände) wurde eine neue Datenart 59 „Sonstige persönlich zugewiesene Sachmittel und -behelfe“ eingefügt. Dazu ist anzumerken, dass eine gleichartige Datenart in SA001 (Personalverwaltung für privatrechtliche Dienstverhältnisse) gleichermaßen sinnvoll wäre.

In SA022 (Kundenbetreuung und Marketing für eigene Zwecke) ist die Trennung in Geburtsjahr und Geburtstag gefallen. Nunmehr ist die Übermittlung des kompletten Geburtsdatums an die Adressverlage und Direktwerbeunternehmen zulässig.

Anlage 2 – Musteranwendungen

Mit der Verordnung 2004 gibt es nunmehr  5 Musteranwendungen.

Die neu hinzugekommenen Anwendungen MA004 (Teilnahme am Informationsverbundsystem www.fundamt.gv.at) und MA005 (Teilnahme am Informationsverbundsystem Fundinfo.at) sind im Grunde gleichartig, betreffen also zwei unterschiedliche Informationsverbundsysteme mit dem selben Zweck.

Als erstaunlich ist anzumerken, dass für das System MA005 nicht einmal ein Betreiber genannt werden kann. Diese Anwendung ist offensichtlich voreilig verordnet worden.

Gütesiegel „Fair Data“ im Direktmarketing

Der Direct Marketing Verband Österreich (www.dmvoe.at) hat eine Initiative „Fair Data“ gestartet und in diesem Zusammenhang ein eigenes Gütesiegel kreiert. Gem. § 6 Abs. 4 DSG 2000 sind derartige Regelungen dem Bundeskanzler zur Begutachtung vorzulegen und dürfen nur nach dessen Zustimmung veröffentlicht werden. Das uns vorliegende Exemplar „Regeln für ein faires Direktmarketing“ enthält keinen Hinweis auf die Genehmigung durch den Bundeskanzler, allerdings auch keinen Hinweis auf eine rechtliche Relevanz im Sinne des DSG.

Inhaltlich sind diese Regeln zu begrüßen. Wir empfehlen daher unseren Kunden, vor der Zusammenarbeit mit einem Direktwerbeunternehmen danach zu fragen, nach welchen Kriterien das Unternehmen arbeitet. Probleme mit dem Werbeunternehmen fallen immer auch auf den Auftraggeber zurück.

DSG-Info-Service Jahrgang 2004

Ausgabe Nr. 40/41 Jänner 2004
Ausgabe Nr. 42 Mai 2004
Ausgabe Nr. 43 September 2004
Ausgabe Nr. 44 Dezember 2004
Andere Jahrgänge

DSG-Info-Service Nr. 44
Dezember 2004

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Am 10. Dezember 2004 hat das Gesundheitsreformgesetz 2005 den Nationalrat passiert.

Ein wesentlicher Bestandteil dieses Paketes ist das Bundesgesetz über Telematik im Gesundheitswesen, das – sofern der Bundesrat es zulässt – plangemäß am 1. Jänner 2005 in Kraft treten sollte. Dieses Gesetz normiert die Datensicherheitsmaßnahmen beim elektronischen Verkehr mit Gesundheitsdaten.

Es ist anzumerken, dass mit diesem Gesetz auch einige der neuen Standardanwendungen, die wir im DSG-Info Nr. 43 vorgestellt haben, schon wieder überholt sind – etwa SA026 (Verrechnung ärztlicher Verschreibungen für Rechnung begünstigter Bezieher durch Apotheken).

Die Standardanwendungen sowie generell alle bisherigen DSG-Info-News sind auf unserer Homepage

www.secur-data.at

jederzeit nachzulesen.  

 

Gesundheitstelematikgesetz 2005

(Bundesgesetz betreffend Datensicherheitsmaßnahmen beim elektronischen Verkehr
mit Gesundheitsdaten und Einrichtung eines Informationsmanagement)

Übersicht und Begriffsbestimmungen

Das Gesetz hat 4 Abschnitte:

  1. Gegenstand und Begriffsbestimmungen (§§ 1 und 2)
  2. Datensicherheit beim elektronischen Gesundheitsdatenaustausch (§§ 3 bis 8)
  3.  Informationsmanagement (§§ 9 bis 16)
  4. Schlussbestimmungen (§§ 17 bis 22)

Aus Gründen der Lesbarkeit haben wir in den folgenden Ausführungen auf die im originalen Gesetzestext verwendete zweigeschlechtliche Formulierung verzichtet.

Gesundheitsdaten (§ 2 Z 1) sind direkt personen­bezogene Daten gemäß § 4 Z 1 DSG 2000 über die physische oder psychische Befindlichkeit eines Menschen, einschließlich der im Zusammenhang mit der Erhebung der Ursachen für diese Befindlichkeit sowie der medizinischen Vorsorge oder Versorgung, der Pflege, der Verrechnung von Gesundheitsdienstleistungen oder der Versicherung von Gesundheitsrisken erhobenen Daten. Dazu gehören insbesondere Daten die

  1. die geistige Verfassung,
  2. die Struktur, die Funktion oder den Zustand des Körpers oder Teile des Körpers,
  3. die gesundheitsrelevanten Lebensgewohnheiten oder Umwelteinflüsse,
  4. die verordneten oder bezogenen Arzneimittel, Heilbehelfe oder Hilfsmittel,
  5. die Diagnose-, Therapie- oder Pflegemethoden oder
  6. die Art, die Anzahl, die Dauer oder die Kosten von Gesundheitsdienstleistungen oder gesundheitsbezogene Versicherungsdienstleistungen betreffen.

Anmerkung dazu: Es handelt sich um „sensible Daten“ im Sinne von § 4 Z 2 DSG. Gem. § 9 Z 12 DSG ist die Verwendung dieser Daten auf ärztliches Personal oder sonstige Personen, die einer Geheimhaltungspflicht unterliegen, beschränkt. Gegenstand des GTelG ist es u.a., diese gesetzliche Beschränkung näher zu definieren.

Gesundheitsdiensteanbieter (§ 2 Z 2) sind Auftraggeber und Dienstleister gemäß DSG 2000, deren regelmäßige Verwendung von Gesundheitsdaten Bestandteil ihrer Erwerbs­tätigkeit, ihres Betriebszwecks oder ihres Dienstleistungsangebotes ist.

Anmerkung: Dazu zählen Ärzte, Krankenhäuser, Apotheken, Optiker, Bandagisten, Physotherapeuten, aber auch Einrichtungen, die medizinisches Bildmaterial bearbeiten.

Elektronischer Gesundheitsdatenaustausch (§ 2 Z 3) ist die Weitergabe von oder die Einräumung von Zugriffsrechten auf im Rahmen automationsunterstützter Datenanwendungen verwendeter Gesundheitsdaten mittels kommunikationstechnologischer Einrichtungen durch einen Gesundheitsdiensteanbieter und zwar sowohl an Auftraggeber (§ 4 Z 4 DSG 2000) als auch an Dienstleister (§ 4 Z 5 DSG 2000).

Anmerkung: Darunter fallen Übermittlungen, Überlassungen und Informationsverbundsysteme im Sinne des DSG.

Nach dieser Definition fällt auch die Übermittlung von Daten als Telefax unter den Begriff „elektronischer Gesundheitsdatenaustausch“. Auf Grund des Zwanges zur Verschlüsselung (siehe § 6) wird ein Telefax künftig kein zulässiges Medium zur Datenübertragung darstellen.

Rolle (§ 2 Z 4) bezeichnet die Klassifizierung von Gesundheitsdiensteanbietern nach der Art ihrer Erwerbstätigkeit, ihres Betriebszwecks oder ihres Dienstleistungsangebotes.

Anmerkung: Auf diesen Begriff wird in § 5 detaillierter eingegangen. Dort ist festgelegt, dass Rollen mittels Verordnung definiert werden und dass jene Stellen bestimmt werden, die die Zugehörigkeit eines Gesundheitsdienstanbieters zu einer bestimmten Rolle prüfen und zertifizieren.

 

2. Abschnitt:
Datensicherheit beim elektronischen Gesundheitsdatenaustausch

Lt. § 3 ist der Datenaustausch nur bei erfolgtem Nachweis von Identität und Rolle des Empfängers zulässig.

In § 4 ist die Prüfung der Identität durch ein Zertifikat oder die Eintragung in den sogenannten eHealth-Verzeichnisdienst (siehe 3. Abschnitt) geregelt.

§ 5 befasst sich mit den Rollen, deren Verordnung und Zertifizierung.

An dieser Stelle sei angemerkt, dass sich der Rollenbegriff – wie überhaupt das ganze Ge­setzeswerk – nicht mit dem Einzelfall befasst. Es geht darum, dass grundsätzlich Daten zwischen Gesundheitsdienststellen ausgetauscht werden dürfen, und nicht darum, ob eine Dienststelle überhaupt eine konkrete Rolle für den Patienten XY spielt.

§ 6 regelt die Vertraulichkeit und zwingt insbesondere die Gesundheitsdiensteanbieter zur Verschlüsselung der Daten auf Transportmedien, die nicht unter ihrer ausschließlichen Kontrolle liegen.

§ 7 regelt die Integrität (Unverfälschtheit) der weiterzugebenden Daten, die bei Bedarf durch elektronische Signaturen zu gewährleisten ist.

§ 8 regelt die Dokumentation der Datensicherheitsmaßnahmen und verweist in diesem Zusammenhang auf § 14 DSG 2000.

Die Dokumentation muss auch die Identitätsprüfungen, Rollenprüfungen und Signaturprüfungen umfassen. Art und Umfang der in diesem Zusammenhang vorgenommenen Kontrollen sind auf Anforderung dem Ministerium zu belegen.

 

3. Abschnitt:
Informationsmanagement

§ 9 ermöglicht den Aufbau eines eHealth-Verzeichnisdienstes. Gesundheitsdiensteanbieter, die in diesem Verzeichnis vermerkt sind, müssen ihre Rolle nicht durch ein Zertifikat im Sinne von § 4 nachweisen.

Nähere Details sind in einer Verordnung festzulegen.

§ 10 normiert die Inhalte (Datenarten) des eHealth-Verzeichnisdienstes wie folgt:

  1. Name oder Bezeichnung sowie eindeutige elektronische Identifikation (§ 8 E-GovG) des Gesundheitsdiensteanbieters,
  2. Angaben zur postalischen und elektronischen Erreichbarkeit,
  3. die eindeutige Kennung (OID) und den symbolischen Bezeichner,
  4. die Rolle(n) des Gesundheitsdiensteanbieters,
  5. Angaben zur geografischen Lokalisierung des Gesundheitsdiensteanbieters,
  6. die elektronische Adresse, an der die zur Verschlüsselung von Gesundheitsdaten erforderlichen Angaben aufgefunden werden können,
  7. die Bezeichnung jener Stelle(n), die die Zuordnung der Rolle(n) zum Gesundheitsdiensteanbieter bestätigt hat (haben),
  8. das Datum der Registrierung und der letzten Berichtigung sowie die Bezeichnung der Registrierungsstelle, die diese Verzeichniseintragungen durchgeführt hat.

Zusätzliche Daten zur näheren Beschreibung des rollenspezifischen Dienstleistungsangebots des Anbieters sind erlaubt, desgleichen Zusatzangaben, die die Auffindung eines Anbieters erleichtern. Bei Bedarf können organisatorische Untergliederungen eines Gesundheitsdiensteanbieters eigene Eintragungen im eHealth-Verzeichnis erlangen.

§ 11 befasst sich mit der Aufnahme in den eHealth-Verzeichnisdienst (nur auf Antrag) und mit der Wahrheitspflicht der gemachten Angaben.

§ 12 regelt das Registrierungsverfahren sowie eine Gültigkeitsdauer einer Registrierung von maximal 3 Jahren, falls keine Aktualisierung vorgenommen wurde.

§ 13 regelt die Registrierungsstellen. Es ist – anders als im Datenschutz – keine zentrale Registrierungsstelle vorgesehen, vielmehr kann sich jeder als Registrierungsstelle bewerben.

Anmerkung: Da die Registrierungsstelle ihre Aufgaben kostenlos zu erbringen hat, wird sich die Anzahl der Registrierungsstellen in Grenzen halten und wird diese Aufgabe wohl dem öffentlichen Bereich vorbehalten bleiben.

Die §§ 14 bis 16 befassen sich mit den Themen Monitoring, Qualitätssicherung und Informationsdienst. Dies sind Themen des Berichtswesens ohne Datenschutzbelang.

 

4. Abschnitt:
Schlussbestimmungen

In diesem Abschnitt finden sich Verwaltungsstrafbestimmungen, das In-Kraft-Treten mit 1. Jänner 2005, Übergangsbestimmungen und Verordnungsermächtigungen.

Der Datenaustausch ist bis Ende 2007 auch dann zulässig, wenn er abweichend von den Bestimmungen des 2. Abschnittes erfolgt

.

DSG-Info-Service Jahrgang 2004

Ausgabe Nr. 40/41 Jänner 2004
Ausgabe Nr. 42 Mai 2004
Ausgabe Nr. 43 September 2004
Ausgabe Nr. 44 Dezember 2004
Andere Jahrgänge

Kompetenzbereich Datensicherheit

in Kooperation mit

2019 Secur-Data. All Rights Reserved.