Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 2005

Ausgabe Nr. 45 Mai 2005
Ausgabe Nr. 46/47 September 2005
Ausgabe Nr. 48 Dezember 2005
Andere Jahrgänge

DSG-Info-Service Nr. 45
Mai 2005

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

In der Ausgabe Nr. 44 unseres DSG-Info-Service wurde über das Gesundheitstelematikgesetz berichtet, das mittlerweile in Kraft getreten ist.

Gegenstand der vorliegenden Ausgabe ist das Heimaufenthaltsgesetz sowie dessen Zusammenwirken mit dem Gesundheitstelematikgesetz. Darüber hinaus berichten wir über eine Änderung des Datenschutzgesetzes 2000.

Weiters weisen wir darauf hin, dass für 1. Juli 2005 mit einer Novelle zum Mediengesetz zu rechnen ist, die primär die Anwendbarkeit des Mediengesetzes auf alle Internetangebote regelt.

Wir bitten um regelmäßige Beachtung unserer Homepage

www.secur-data.at

als Quelle der neuesten Informationen im Datenschutzbereich und in angrenzenden Gebieten.

 

Heimaufenthaltsgesetz (HeimAufG)

(Bundesgesetz über den Schutz der persönlichen Freiheit während des Aufenthalts in Heimen und anderen Pflege- und Betreuungseinrichtungen)
BGBl. 11/2004

Allgemeine Bestimmungen

Der Kurztitel des Gesetzes ist missverständlich. Das Gesetz befasst sich, wie der Langtitel belegt, ausschließlich mit dem Schutz der persönlichen Freiheit jener Personen, die aufgrund ihres Alters, einer Behinderung oder einer Krankheit der Pflege oder Betreuung bedürfen (§ 1 Abs. 1).

Das Gesetz wendet sich primär an Alten- und Pflegeheime sowie an stationäre Behindertenheime, hingegen nicht an Erziehungsheime und nicht-stationäre Behinderteneinrichtungen (§ 2).

Auf Krankenanstalten ist das Gesetz nur in speziellen Fällen anwendbar, eine eingehendere Erörterung sprengt den Rahmen unserer Information.

Freiheitsbeschränkung (§ 3)

Die zentrale Definition des Gesetzes hat folgenden Wortlaut:

§ 3. (1) Eine Freiheitsbeschränkung im Sinn dieses Bundesgesetzes liegt vor, wenn eine Ortsveränderung einer betreuten oder gepflegten Person (im Folgenden Bewohner) gegen oder ohne ihren Willen mit physischen Mitteln, insbesondere durch mechanische, elektronische oder medikamentöse Maßnahmen, oder durch deren Androhung unterbunden wird.

(2) Eine Freiheitsbeschränkung liegt nicht vor, wenn der einsichts- und urteilsfähige Bewohner einer Unterbindung der Ortsveränderung, insbesondere im Rahmen eines Vertrages über die ärztliche Behandlung, zugestimmt hat.

Wesentlich für die Anwendbarkeit des Gesetzes ist also das Vorliegen einer unfreiwilligen Maßnahme wie z.B. einsperren, fesseln oder die Verbringung in ein Gitterbett.

Voraussetzungen einer Freiheitsbeschränkung

Die Freiheitsbeschränkung ist nur dann zulässig (§ 4), wenn dies zur Abwehr einer Gefahr erforderlich ist, und nur insoweit, als keine schonenderen Möglichkeiten bestehen.

Die Freiheitsbeschränkung bedarf einer Anordnung (§ 5) durch den im Gesetz näher bestimmten Personenkreis und ist bei Wegfall der Voraussetzungen sofort aufzuheben.

Dokumentation (§ 6)

§ 6. (1) Der Grund, die Art, der Beginn und die Dauer der Freiheitsbeschränkung sind schriftlich zu dokumentieren. Ärztliche Zeugnisse und der Nachweis über die notwendigen Verständigungen sind diesen Aufzeichnungen anzuschließen.

(2) Ebenso sind der Grund, die Art, der Beginn und die Dauer einer mit dem Willen des Bewohners vorgenommenen Einschränkung seiner persönlichen Freiheit festzuhalten.

Man beachte, dass diese Dokumentation – sofern sie nicht ohnehin auf elektronischem Weg erfolgt – jedenfalls auch in Papierform eine meldepflichtige Datenanwendung ist. Dies ergibt sich aus folgenden Gründen:

  • Es liegt eine Datei (§ 4 Z 6 DSG) vor, da die Dokumentationen schon aus Nachweisgründen jedenfalls in strukturierter Form abgelegt und nach dem Namen des Bewohners auffindbar sein müssen.
  • Die Datei enthält Gesundheitsdaten, das sind sensible Daten (§ 4 Z 2 DSG 2000).
  • Diese Datenanwendung unterliegt der Vorabkontrolle durch die DSK (§ 18 Abs. 2 Z 1 DSG 2000), da es sich um keine Musteranwendung handelt.
  • Manuelle Dateien, deren Inhalt der Vorabkontrolle unterliegt, sind meldepflichtig (§ 58 DSG 2000). Dazu ist anzumerken, dass die Zuständigkeit der Gesetzgebung schon deshalb Bundessache ist, da das HeimAufG ein Bundesgesetzes ist.

Interessant ist Abs. 2, denn hier werden auch die freiwillig vom Bewohner auf sich genommenen Maßnahmen – die entsprechend § 3 Abs. 2 von der Anwendung des Gesetzes ausgenommen sind – für dokumentationspflichtig erklärt.

Aufklärung und Verständigung (§ 7)

§ 7. (1) Die anordnungsbefugte Person hat den Bewohner über den Grund, die Art, den Beginn und die voraussichtliche Dauer der Freiheitsbeschränkung auf geeignete, seinem Zustand entsprechende Weise aufzuklären. Zudem hat sie von der Freiheitsbeschränkung, von deren Aufhebung und von einer mit dem Willen des Bewohners vorgenommenen Einschränkung seiner persönlichen Freiheit unverzüglich den Leiter der Einrichtung zu verständigen.

(2) Der Leiter der Einrichtung hat von der Freiheitsbeschränkung oder von deren Aufhebung unverzüglich den Vertreter und die Vertrauensperson des Bewohners zu verständigen und diesen Gelegenheit zur Stellungnahme einzuräumen. Diese Personen sind auch von einer mit dem Willen des Bewohners vorgenommenen Einschränkung seiner persönlichen Freiheit unverzüglich zu verständigen.

Abs. 1 ist unproblematisch. Abs. 2 enthält eine Datenübermittlung zu einem gesetzlich festgelegten Personenkreis, dies ist somit im Zuge der Meldung an das DVR (s. unsere Anmerkungen zu § 6) auch darzulegen.

Über die Art der unverzüglichen Verständigung sagt das Gesetz nichts aus. Unserer Ansicht nach kann es sich nur um ein Telefonat handeln, denn bei elektronischen Datenflüssen wie Fax oder E-Mail ist einerseits der Zeitpunkt der Kenntnisnahme nicht gewährleistet, andererseits unterliegen elektronische Übermittlungen von Gesundheitsdaten dem Gesundheitstelematikgesetz (siehe DSG-Info Nr. 44) und dürfen demnach insbesondere nur in verschlüsselter Form erfolgen, wodurch das Fax von vornherein ausscheidet.

Äußerst bedenklich ist die Regelung hinsichtlich jener Personen, die die Maßnahmen freiwillig auf sich genommen haben. Dies steht im klaren Widerspruch zu § 9 Z 3 DSG 2000: „Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung sensibler Daten ausschließlich dann nicht verletzt, wenn sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen Interesses dienen.“

Dieses wichtige öffentliche Interesse ist nicht zu erkennen. Unserer Meinung nach steht dem Betroffenen in diesem Fall jedenfalls ein Widerspruchsrecht gem. § 28 DSG 2000 gegen diese Datenübermittlungen zu. Man bedenke, dass der Personenkreis der „freiwillig Betroffenen“ gem. § 3 Abs. 2 von der Anwendbarkeit des HeimAufG ausgenommen sind.

Bewohnervertreter (§§ 8-10)

Vorgesehen ist die Bestellung eines mit Vollmacht versehenen Vertreters durch den Bewohner.

Darüber hinaus wird auch der für die Namhaftmachung von Sachwaltern nach der Lage der Einrichtung örtlich zuständige Verein (§ 1 des Vereinssachwalter- und Patientenanwaltsgesetzes, BGBl. Nr. 156/1990) kraft Gesetzes Vertreter des Bewohners, sobald eine Freiheitsbeschränkung vorgenommen oder in Aussicht gestellt wird. Durch diese Vertretungsbefugnis werden die Geschäftsfähigkeit des Bewohners und die Vertretungsbefugnis eines anderen gesetzlichen Vertreters nicht berührt. (§ 8 Abs. 2)

Somit hat ein Bewohner einen oder sogar zwei Vertreter, die unabhängig voneinander agieren, befugt sind, die Einrichtungen unangemeldet zu besuchen und u.a. auch Einblick in die Pflegedokumentation und in die Krankengeschichte zu nehmen.

Dieser Einblick in Pflegedokumentation und Krankengeschichte stellt offenbar eine Datenübermittlung dar, die in der Meldung an das DVR anzuführen ist.

Sonstiges

In §§ 11 bis 19 sind gerichtliche Prüfungshandlungen hinsichtlich der Freiheitsbeschränkungen festgehalten. In §§ 20 bis 25 sind die Schlussbestimmungen enthalten. Beide Abschnitte sind für Datenschutzbetrachtungen ohne Belang.

 

Änderung des Datenschutzgesetzes

BGBl. 13/2005

§ 48a Verwendung von Daten im Katastrophenfall

Der neue § 48a wurde eingefügt, um Rechtssicherheit für Datenverwendungen im Katastrophenfall zu schaffen. Anlass dafür war die Tsunami-Katastrophe, bei der Schwächen im Datenschutzrecht, insbesondere bei den Auskunftsmöglichkeiten an Angehörige, zutage getreten sind.

In § 52 wurde für den Missbrauch der sich aus § 48a ergebenden Rechte ein zusätzlicher Verwaltungsstraftatbestand aufgenommen.

Da die genannten Neuerungen im Alltag ohne Bedeutung sind, verzichten wir an dieser Stelle auf die Wiedergabe des § 48a und verweisen stattdessen darauf, dass unsere Homepage

www.secur-data.at

in gewohnter Weise das Datenschutzgesetz und alle zugehörigen Verordnungen in aktualisiertem Stand enthält.

DSG-Info-Service Jahrgang 2005

Ausgabe Nr. 45 Mai 2005
Ausgabe Nr. 46/47 September 2005
Ausgabe Nr. 48 Dezember 2005
Andere Jahrgänge

DSG-Info-Service Nr. 46/47
September 2005

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Mit 1. Juli 2005 ist eine Novelle des Mediengesetzes in Kraft getreten, die nicht zuletzt auch Auswirkungen auf den Internetauftritt einer jeden Organisation hat.

Ein kurzer Blick auf die Webseiten österreichischer Unternehmen zeigt, dass deren Internetauftritte in überraschend hoher Anzahl den gesetzlichen Vorschriften widersprechen. Wir haben dies zum Anlass genommen, in der vorliegenden Doppelnummer unseres DSG-Info-Service einen gesetzesübergreifenden Überblick aller formalen Maßnahmen zu bringen, die eine rechtlich einwandfreie Internetpräsenz ermöglichen. Inhaltliche Aussagen – und damit verbunden Fragen des Urheberrechts – würden jedoch den Umfang unserer Darlegung sprengen.

Wir bitten um regelmäßige Beachtung unserer Homepage

www.secur-data.at

als Quelle der neuesten Informationen im Datenschutzbereich und in angrenzenden Gebieten.

Anforderungen an Internetseiten aus Sicht des Datenschutzes und anderer Gesetzesbestimmungen

Vorbemerkungen

In unserer Darstellung beschränken wir uns auf Internetseiten, die von einem weiten Publikumskreis eingesehen werden können. Inwieweit die Aussagen auch auf geschlossene Benutzergruppen (das sogenannte Intranet) anwendbar sind, wäre im Einzelfall abzuklären.

Anwendbarkeit des DSG 2000

Das DSG 2000, zuletzt geändert mit BGBl. I Nr. 13/2005, befasst sich mit personenbezogenen Daten (einschließlich Daten juristischer Personen). Aus der Verfassungsbestimmung des § 1 Abs. 1 geht eindeutig hervor, dass sich der Datenschutz nicht nur auf personenbezogene Daten in EDV-Anwendungen beschränkt, sondern auch auf solche in manueller Form:

§ 1 (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

In der Folge enthält das DSG zum Teil strengere Bestimmungen für Daten, die in automationsunterstützter Form, insbesondere in Dateiform (d.h. es gibt Zugriffsmechanismen auf die Daten), verarbeitet werden. Da im Regelfall diese Zugriffsmechanismen vorhanden sein werden, gehen wir in der Folge von der vollinhaltlichen Anwendbarkeit des DSG auf einen Webauftritt mit personenbezogenen Daten aus.

Publizierte Daten
(§ 8 Abs. 2 DSG 2000)

§ 8 (2) Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die Verwendung solcher Daten gemäß § 28 Widerspruch zu erheben, bleibt unberührt.

Im Zusammenhang mit § 17 Abs. 2 Z 1 („Nicht meldepflichtig sind Datenanwendungen, die ausschließlich veröffentlichte Daten enthalten“) bedeutet dies, dass bereits zulässigerweise veröffentlichte Daten (z.B. Mitarbeiterdaten, die im Geschäftsbericht in Papierform genannt sind) ohne weitere Maßnahmen auch im Internet veröffentlicht werden dürfen. Sofern eine betroffene Person dagegen Widerspruch (§ 28 DSG 2000) einlegt, ist dieser Widerspruch aber zu berücksichtigen, entweder durch Entfernen der Daten oder durch Entkräften des Widerspruchs.

Noch nicht publizierte Daten
Geheimhaltungsinteresse
(§ 7 Abs. 2 und § 8 DSG 2000)

Vorausgesetzt sei, dass die Daten überhaupt zulässigerweise verarbeitet werden, d.h. es muss eine Rechtsgrundlage für die Datenverwendung gegeben sein; andernfalls ist natürlich auch keine Veröffentlichung der Daten erlaubt.

§ 7 (2) Daten dürfen nur übermittelt werden, wenn

1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und

2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis – soweit diese nicht außer Zweifel steht – im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und

3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.

Es ist zu beachten, dass eine Veröffentlichung stets auch eine Übermittlung von Daten im Sinne der Begriffsbestimmung in § 4 Z 12 DSG 2000 darstellt. Bedingt durch den unspezifischen Empfängerkreis der Über­mittlung ist § 7 Z 2 für unsere Betrachtung ohne Belang. Umso genauer muss geprüft werden, ob durch die Veröffentlichung schutzwürdige Geheimhaltungsinteressen des Betroffenen verletzt werden.

Was das bedeutet, ist den Absätzen 1 und 3 von § 8 DSG 2000 zu entnehmen (die strengeren Bestimmungen des § 9 würden bei sensiblen Daten anzuwenden sein, die aber von Haus aus nicht für eine Veröffentlichung im Internet in Frage kommen werden).

§ 8 (1) Gemäß § 1 Abs. 1 bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn

1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder

2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder

3. lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder

4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.

Als Beispiel für eine ausdrückliche gesetzlich vorgesehene Publikationspflicht (Z 1) sind die Impressums-Angaben lt. MedienG zu nennen.

Im Normalfall wird man vor Gestaltung der eigenen Website die Zustimmung der dort genannten Personen nach Z 2 einholen, damit ist man auf der sicheren Seite.

Zur näheren Interpretation von Z 4 ist auf Abs. 3 zu verweisen, der nur auszugsweise abgedruckt wird:

§ 8 (3) Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten

4. zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem erforderlich ist oder

6. ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat

Aufgrund dieser Bestimmungen halten wir es für zulässig, dass ein Verein seine Funktionäre oder ein Unternehmen jene Mitarbeiter, mit denen die Vertragspartner üblicherweise in Kontakt treten können, auf der Website benennt, auch ohne deren Zustimmung einzuholen. Die Angabe von Durchwahl und Mail-Adressen dieser Mitarbeiter wird auch noch zulässig sein, die Veröffentlichung eines Fotos aber kaum mehr. Deshalb nochmals unsere Empfehlung, das Einvernehmen mit dem Mitarbeiter herbeizuführen.

Noch nicht publizierte Daten
Meldepflicht
(§ 17 Abs. 1 DSG 2000)

§ 17 (1) Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken.

Von der Meldepflicht sind gem. Abs. 2 Z 2 jene Datenanwendungen ausgenommen, die ausschließlich veröffentlichte Daten enthalten. Die weiteren Ausnahmeregelungen sind für unsere Betrachtungen ohne Belang, da es z.B. ohnehin keine Standardanwendung für die Veröffentlichung auf einer Website gibt.

Wenn die Daten primär aus einer gemeldeten Datenanwendung stammen, so ist die Meldung nur noch um die Übermittlung an die Öffentlichkeit zu ergänzen (als Übermittlungsempfänger kann man eintragen „Veröffentlichung im Internet“). Als Rechtsgrundlage hat man – im Falle einer Zustimmung der Betroffenen – § 8 (1) Z 2 einzutragen.

Wenn die Daten primär aus einer Standardanwendung stammen – in Frage kommen eigentlich nur SA002 (Personalverwaltung) oder SA003 (Mitgliederverwaltung) –, so muss man für den Internetauftritt eine eigene Datenanwendung (z.B. Öffentlichkeitsarbeit) formulieren und melden.

Die Datenübernahme aus der Standardanwendung in die Anwendung Öffentlichkeitsarbeit zählt dann nicht als meldepflichtige Übermittlung, wenn dabei nicht die Grenze zu einem neuen Aufgabengebiet (Geschäftsbereich) überschritten wird. Daher wird man im Zweifelsfall die Öffentlichkeitsarbeit je Geschäftsbereich separat melden müssen.

Informationspflichten nach dem E-Commerce-Gesetz

Allgemeines

Unter das ECG (BGBl. I Nr. 152/2001) fallen alle Diensteanbieter im Internet, wie sich aus folgendem Auszug der Begriffsbestimmungen des § 3 ableiten lässt:

1. Dienst der Informationsgesellschaft: ein in der Regel gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf des Empfängers bereitgestellter Dienst (§ 1 Abs. 1 Z 2 Notifikationsgesetz 1999), insbesondere der Online-Vertrieb von Waren und Dienstleistungen, Online-Informationsangebote, die Online-Werbung, elektronische Suchmaschinen und Datenabfragemöglichkeiten sowie Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern;

2. Diensteanbieter: eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt;

4. Nutzer: eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die zu beruflichen oder sonstigen Zwecken einen Dienst der Informationsgesellschaft in Anspruch nimmt, insbesondere um Informationen zu erlangen oder Informationen zugänglich zu machen;

Im Zweifel ist somit davon auszugehen, dass wohl jede nicht-private Homepage im Internet auch dem ECG unterliegt.

Informationspflicht

§ 5 (1) Ein Diensteanbieter hat den Nutzern ständig zumindest folgende Informationen leicht und unmittelbar zugänglich zur Verfügung zu stellen:

1. seinen Namen oder seine Firma;

2. die geografische Anschrift, unter der er niedergelassen ist;

3. Angaben, auf Grund deren die Nutzer mit ihm rasch und unmittelbar in Verbindung treten können, einschließlich seiner elektronischen Postadresse;

4. sofern vorhanden, die Firmenbuchnummer und das Firmenbuchgericht;

5. soweit die Tätigkeit einer behördlichen Aufsicht unterliegt, die für ihn zuständige Aufsichtsbehörde;

6. bei einem Diensteanbieter, der gewerbe- oder berufsrechtlichen Vorschriften unterliegt, die Kammer, den Berufsverband oder eine ähnliche Einrichtung, der er angehört, die Berufsbezeichnung und den Mitgliedstaat, in dem diese verliehen worden ist, sowie einen Hinweis auf die anwendbaren gewerbe- oder berufsrechtlichen Vorschriften und den Zugang zu diesen;

7. sofern vorhanden, die Umsatzsteuer-Identifikationsnummer.

(2) Sofern in Diensten der Informationsgesellschaft Preise angeführt werden, sind diese so auszuzeichnen, dass sie ein durchschnittlich aufmerksamer Betrachter leicht lesen und zuordnen kann. Es muss eindeutig erkennbar sein, ob die Preise einschließlich der Umsatzsteuer sowie aller sonstigen Abgaben und Zuschläge ausgezeichnet sind (Bruttopreise) oder nicht. Darüber hinaus ist auch anzugeben, ob Versandkosten enthalten sind.

(3) Sonstige Informationspflichten bleiben unberührt.

Demnach hat ein Internetauftritt folgende Punkte auszuweisen:

  • Name oder Firma

  • Anschrift

  • E-Mail-Adresse, Telefon- und Faxnr.

  • Firmenbuchnummer mit Gericht

  • Allfällige Aufsichtsbehörde sowie Berufsverband (z.B. Zugehörigkeit zu einer bestimmten Fachgruppe innerhalb der Wirtschaftskammerorganisation)

  • UID

Mitgliedsunternehmen der Wirtschaftskammer können ihrer Impressumspflicht sowohl nach dem ECG wie nach dem MedienG durch einen Link auf die Eintragung im „Firmen A-Z“ nachkommen.

Offenlegungspflicht gemäß Mediengesetz

Allgemeines

Auszug aus den Begriffsbestimmungen:

§ 1 (1) Im Sinn der Bestimmungen dieses Bundesgesetzes ist

1. „Medium“: jedes Mittel zur Verbreitung von Mitteilungen oder Darbietungen mit gedanklichem Inhalt in Wort, Schrift, Ton oder Bild an einen größeren Personenkreis im Wege der Massenherstellung oder der Massenverbreitung;

2. „periodisches Medium“: ein periodisches Medienwerk oder ein periodisches elektronisches Medium;

5a. „periodisches elektronisches Medium“: ein Medium, das auf  elektronischem Wege

   a) ausgestrahlt wird (Rundfunkprogramm) oder

   b) abrufbar ist (Website) oder

   c) wenigstens vier Mal im Kalenderjahr in vergleichbarer Gestaltung verbreitet wird (wiederkehrendes elektronisches Medium);

6. „Medienunternehmen“: ein Unternehmen, in dem die inhaltliche  Gestaltung des Mediums besorgt wird sowie

   a) seine Herstellung und Verbreitung oder

   b) seine Ausstrahlung oder Abrufbarkeit entweder besorgt oder veranlasst werden;

8. „Medieninhaber“: wer

   c) sonst im Fall eines elektronischen Mediums dessen inhaltliche Gestaltung besorgt und dessen Ausstrahlung, Abrufbarkeit oder Verbreitung entweder besorgt oder veranlasst oder

   d) sonst die inhaltliche Gestaltung eines Mediums zum Zweck der nachfolgenden Ausstrahlung, Abrufbarkeit oder Verbreitung besorgt;

9. „Herausgeber“: wer die grundlegende Richtung des periodischen Mediums bestimmt;

(2) Zu den Medienwerken gehören auch die in Medienstücken vervielfältigten Mitteilungen der Mediendienste. Im übrigen gelten die Mitteilungen der Mediendienste ohne Rücksicht auf die technische Form, in der sie geliefert werden, als Medien.

Daraus ergibt sich, dass eine Internetseite ein „periodisches elektronisches Medium“ ist und ein Newsletterdienst darüber hinaus als „wiederkehrendes elektronisches Medium“ zu werten ist.

Impressum

Die Offenlegungspflicht ergibt sich aus § 24 und § 25 MedienG, die wir auszugsweise wiedergeben.

§ 24 (1) Auf jedem Medienwerk sind der Name oder die Firma des Medieninhabers und des Herstellers sowie der Verlags- und der Herstellungsort anzugeben.

(2) Auf jedem periodischen Medienwerk sind zusätzlich die Anschrift des Medieninhabers und der Redaktion des Medienunternehmens sowie Name und Anschrift des Herausgebers anzugeben. Enthält ein periodisches Medienwerk ein Inhaltsverzeichnis, so ist darin auch anzugeben, an welcher Stelle sich das Impressum befindet.

(3) In jedem wiederkehrenden elektronischen Medium sind der Name oder die Firma sowie die Anschrift des Medieninhabers und des Herausgebers anzugeben.

(4) ... Handelt es sich ... um einen Diensteanbieter im Sinne des § 3 Z 2 ECG, BGBl. I Nr. 152/2001, so können die Angaben zum Impressum gemeinsam mit den Angaben zu § 5 ECG zur Verfügung gestellt werden.

Mindestanforderungen

§ 25 (5) Für eine Website, die keinen über die Darstellung des persönlichen Lebensbereichs oder die Präsentation des Medieninhabers hinausgehenden Informationsgehalt aufweist, der geeignet ist, die öffentliche Meinungsbildung zu beeinflussen, gilt Abs. 2 mit der Maßgabe, dass nur der Name oder die Firma, gegebenenfalls der Unternehmensgegenstand, sowie der Wohnort oder der Sitz des Medieninhabers anzugeben sind. Abs. 3 und 4 finden auf eine solche Website keine Anwendung.

Dieser Absatz beschränkt also die Impressumspflicht für „gewöhnliche“ Homepages auf die Punkte

  • Name oder Firma
  • Unternehmensgegenstand
  •  Wohnort oder Sitz (nicht einmal die volle Postadresse ist erforderlich).

Anforderungen an Newsletter-Dienste

§ 25 (2) Anzugeben sind mit Namen oder Firma, mit Unternehmensgegenstand, mit Wohnort, Sitz oder Niederlassung und mit Art und Höhe der Beteiligung der Medieninhaber und, wenn er eine Gesellschaft oder ein Verein ist, der oder die Geschäftsführer, die Mitglieder des Vorstandes und Aufsichtsrates und die Gesellschafter, deren Einlage oder Stammeinlage 25 vH übersteigt. Ist ein Gesellschafter seinerseits eine Gesellschaft, so sind auch deren Gesellschafter nach Maßgabe des ersten Satzes anzugeben. Übersteigt eine mittelbare Beteiligung 50 vH, so ist nach Maßgabe der vorstehenden Bestimmungen auch ein solcher mittelbarer Beteiligter anzugeben.

Die Impressumspflicht umfasst somit bei einfach gestalteten Newslettern die Punkte

  • Name oder Firma
  • Anschrift
  • Name des Herausgebers (wenn abweichend)
  • Anschrift des Herausgebers
  •  Rechtsform, Beteiligungen u.dgl.

Umfassende Internetauftritte

§ 25 (2) – siehe oben;

(4) Zu veröffentlichen ist ferner eine Erklärung über die grundlegende Richtung eines periodischen Druckwerks (Blattlinie) oder sonst eines periodischen Mediums. Im Sinne des § 2 werden Änderungen und Ergänzungen der grundlegenden Richtung erst wirksam, sobald sie veröffentlicht sind.

Die Impressumspflicht umfasst bei Internetauftritten, die das gesamte Spektrum eines Mediums umfassen, die Punkte

  •  Name oder Firma
  • Unternehmensgegenstand
  • Grundlegende Richtung des Mediums
  • Wohnort oder Sitz
  •  Vertretungsbefugte Organe
  •  Gesellschafter bzw. Beteiligungsverhältnisse.

Entgeltliche Einschaltungen

§ 26 Ankündigungen, Empfehlungen sowie sonstige Beiträge und Berichte, für deren Veröffentlichung ein Entgelt geleistet wird, müssen in periodischen Medien als „Anzeige“, „entgeltliche Einschaltung“ oder „Werbung“ gekennzeichnet sein, es sei denn, dass Zweifel über die Entgeltlichkeit durch Gestaltung oder Anordnung ausgeschlossen werden können.

Beiträge, für deren Veröffentlichung ein Entgelt bezahlt wurde, sind also entsprechend erkennbar zu machen.

Weitere Offenlegungspflichten

Ohne Anspruch auf Vollständigkeit sei darauf verwiesen, dass auch auf Grund anderer Gesetze Offenlegungspflichten bestehen können. Beispielhaft seien angeführt:

  • Preisauszeichnungsgesetz
  • Konsumentenschutzgesetz

Auch Landesgesetze können von Bedeutung sein. Das Wiener Wohn- und Pflegeheimgesetz schreibt z.B. in § 7 Abs. 5 vor, dass die Heimordnung auf der Homepage des Rechtsträgers des Wohn- oder Pflegeheims veröffentlicht wird.

DSG-Info-Service Jahrgang 2005

Ausgabe Nr. 45 Mai 2005
Ausgabe Nr. 46/47 September 2005
Ausgabe Nr. 48 Dezember 2005
Andere Jahrgänge

DSG-Info-Service Nr. 48
Dezember 2005

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Am 24. Oktober 2005 (siehe LGBl. Nr. 87/2005) hat das Burgenland – als letztes Bundesland – das seit langem überfällige Datenschutzgesetz erlassen.

Damit ist die Umsetzung der Datenschutzrichtlinie in das österreichische Rechtssystem doch noch abgeschlossen worden.

Mit der vorliegenden Ausgabe unseres DSG-Info-Service geben wir einen Überblick über die Datenschutzgesetze der einzelnen Bundesländer. Der genaue Gesetzestext dieser Landesgesetze kann – wie auch der Text des DSG 2000 sowie der EU-Richtlinie – im Internet auf unserem Angebot

www.secur-data.at

nachgelesen werden.

 

Die Datenschutzgesetze der österreichischen Bundesländer

Vorbemerkungen

Wir erinnern daran, dass das österreichische Datenschutzgesetz (DSG 2000 idF BGBl. I Nr. 13/2005) nur Geltung hat für

  • sämtliche automationsunterstützten Datenanwendungen sowie
  • nicht automationsunterstützte Datenanwendungen in Bereichen, für die die Gesetzgebungskompetenz beim Bund liegt.

Dies hatte zur Folge, dass jedes Bundesland ein eigenes Datenschutzgesetz für die nicht automationsunterstützten Datenanwendungen erlassen musste.

Die Grenzziehung ist schwierig, wie an einem Beispiel dargelegt werden kann: das Vereinswesen ist Bundessache, das Jagdwesen ist Landessache. Somit unterliegen papiergestützte Datenanwendungen eines Jagdvereins je nachdem, ob die vereinsrechtliche Seite oder die jagdrechtliche Seite dominiert, anderen Gesetzesbestimmungen.

Burgenland

Burgenländisches Datenschutzgesetz
(Bgld. DSG),
LGBl. Nr. 87/2005 vom 24. Oktober 2005

Das Gesetz ist in weiten Bereichen mit dem DSG 2000 ident. Dadurch entstehen verschiedene Merkwürdigkeiten:

  • Unterwerfung von Dienstleistungen für öffentliche Auftraggeber im Landesbereich unter die Vorabkontrolle der DSK (des Bundes), sobald sensible Daten involviert sind (§ 9 Abs 2 und 3 Bgld. DSG);
  • Verpflichtung der Landesregierung zur Erlassung von Verordnungen über die Angemessenheit des Datenschutzes in Drittstaaten analog zu jenen des Bundeskanzlers und im Einklang mit den Entscheidungen der Kommission (§ 11 Abs 2 Bgld. DSG);
  • Die Datensicherheitsmaßnahmen (§ 13 Bgld. DSG) umfassen den Schutz von Datenträgern sowie Regelungen für Protokoll- und Dokumentationsdaten, wie sie offenkundig nur in automationsunterstützten Anwendungen denkbar sind; somit ist die Beschränkung des Landesgesetzes auf Papieranwendungen völlig unklar.
  • § 37 Bgld. DSG regelt die Befreiung von Landesabgaben. Zur Gebührenbefreiung im Registrierungsverfahren vor der Datenschutzkommission, wie sie im DSG 2000 ausdrücklich vorgesehen ist, gibt es keine Aussagen.

Die Publizität der Datenanwendungen ist etwas anders geregelt als im DSG 2000:

  • Zentraler Kernpunkt ist die Vorabkontrolle (§ 15 Bgld. DSG); die Vorabkontrollpflicht entspricht der Registrierungspflicht des DSG 2000.
  • Das in § 16 Bgld. DSG festgeschriebene Verfahren der Vorabkontrolle entspricht dem § 19 DSG 2000.
  • § 17 Bgld. DSG enthält Anweisungen an das Datenverarbeitungsregister. Ob in der Praxis das DVR der Vollziehung eines burgenländischen Gesetzes mehr Augenmerk widmen wird als seinen eigentlichen Agenden, wird abzuwarten sein.
  •  § 18 Bgld. DSG regelt die Offenlegungspflicht analog zu § 23 DSG 2000, die sich demnach auf nicht-vorabkontrollpflichtige Anwendungen bezieht.
  • Den Begriff einer Standardanwendung gibt es im Bgld. DSG nicht. Es ist somit denkbar, dass eine Anwendung der Vorabkontrolle unterliegt und somit registrierungspflichtig ist, die im automationsunterstützten Fall als Standardanwendung registrierungsfrei wäre.
  •  Die Pflicht zur Offenlegung der Identität im Sinne vom § 25 DSG 2000 (insbesondere auch die Führung der DVR-Nummer) ist nicht vorgesehen.

Die besonderen Zwecke und Arten von Datenanwendungen des Bgld. DSG weichen geringfügig von jenen des DSG ab:

  • Datenanwendungen für persönliche oder familiäre Zwecke sind nicht vorgesehen;
  • Datenverwendungen für publizistische Tätigkeiten sind nicht gesondert geregelt;
  •  Automatisierte Einzelentscheidungen sowie Informationsverbundsysteme sind nicht geregelt, was in Anbetracht der Reduktion auf Papieranwendungen sinnvoll ist;
  • § 33 Bgld. DSG regelt die Auftraggebereigenschaft für Datenanwendungen des Landtages.

Niederösterreich
Steiermark

NÖ Datenschutzgesetz (NÖ DSG)
Stammgesetz 116/00 2000-12-21

Steiermärkisches Datenschutzgesetz (StDSG)
LGBl Nr. 39 vom 16. Juli 2001

Diese Gesetz sind – wie im Burgenland – weitestgehend analog zum DSG 2000.

In NÖ bestehen manche Paragraphen sogar nur aus Verweisen auf das DSG 2000. In diesem Zusammenhang sei folgende Anmerkung gestattet:

  • § 15 NÖ DSG lautet: Daten sind im Sinne des § 15 des DSG 2000 geheim zu halten. Ob damit auch eine Verpflichtungserklärung der Mitarbeiter gefordert ist, bleibt unklar.

Kärnten
Tirol
Vorarlberg
Wien

Kärntner Landes-Datenschutzgesetz
(K-LDSG), LGBl.Nr. 59/2000

Tiroler Datenschutzgesetz (TDSG)
in der Fassung LGBl.Nr. 60/2003

Vorarlberger  Landes-Datenschutzgesetz
LGBl. Nr. 19/2000

Wiener Datenschutzgesetz (Wr. DSG)
LGBl. Nr. 125/2001

Diese Gesetze regeln eine sinngemäße Anwendung des DSG 2000 auf manuelle Datenanwendungen nach Landesrecht, wobei anstelle des Bundeskanzlers die Landesregierung tritt und wobei eine Meldepflicht nur bei Pflicht zur Vorabkontrolle nach DSG 2000 besteht.

Anmerkung: Damit sind diese Bestimmungen – anders als im Bgld. DSG  – im manuellen Bereich nicht strenger als im manuellen Bereich des DSG 2000.

Das Tiroler Gesetz enthält eigene Begriffsbestimmungen, die aber auch nicht wesentlich vom DSG 2000 abweichen. In allen genannten Landesgesetzen sind eigene Strafbestimmungen enthalten.

Oberösterreich
Salzburg

Oberösterreichisches Auskunftspflicht- und Datenschutzgesetz
LGBl. Nr. 46/1988 idF LGBl 41/2000

Gesetz über die Auskunftspflicht und den Datenschutz
LGBl Nr. 65 vom 29. Juni 2001

In diesen Ländern ist das eigentliche Datenschutzgesetz im 2. (OÖ) bzw. 3. (S) Abschnitt eines umfassenderen Gesetzeswerkes versteckt. Wesentlich ist nur die Bestimmung, dass das DSG 2000 sinngemäß anzuwenden ist, wobei an Stelle des Bundeskanzlers die Landesregierung tritt.

Resümee

Es fällt auf, dass sich kein Bundesland den Verordnungen des Bundeskanzlers über die Angemessenheit des Datenschutzes in Drittländern unterwirft. Somit ist es streng genommen erforderlich, jede Entscheidung der Kommission über die Angemessenheit des Schutzniveaus in einem Drittstaat in 10 Verordnungen (Bund und alle Länder) einzubauen. Zum Glück ist man bei der DSK dazu übergegangen, die Entscheidungen der Kommission direkt anzuwenden.

DSG-Info-Service Jahrgang 2005

Ausgabe Nr. 45 Mai 2005
Ausgabe Nr. 46/47 September 2005
Ausgabe Nr. 48 Dezember 2005
Andere Jahrgänge

Kompetenzbereich Datensicherheit

in Kooperation mit

2019 Secur-Data. All Rights Reserved.