Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Jahrgang 2006

Ausgabe Nr. 49/50 September 2006
Andere Jahrgänge

DSG-Info-Service Nr. 49/50
September 2006

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Es steht eine ganze Reihe von Änderungen im Datenschutzbereich bevor, deren Notwendigkeit von der Datenschutzkommission betont wird. In diesem Zusammenhang sind insbesondere anzuführen:

  • Neue Standardanwe

    ndungen

  • Rechtsstellung von internationalen Konzernen
  • Klarstellungen über die rechtliche Basis von Videoüberwachungssystemen

Da die angeführten Änderungen alle noch nicht spruchreif sind, werfen wir einen Blick in die Vergangenheit und stellen ein paar interessante Punkte aus den letzten Berichten vor, die die Datenschutzkommission und die „Art. 29 Datenschutzgruppe“ bereits vor einiger Zeit vorgelegt haben.

Im Detail sind diese Berichte auf den Seiten der Datenschutzkommission bzw. der „Art. 29 Datenschutzgruppe“ nachzulesen, die passenden Internetadressen finden Sie gleich nach den Hauptüberschriften der Artikel.

Datenschutzbericht 2005

vorgelegt von der Datenschutzkommission
Berichtszeitraum 2002 bis Mitte 2005

Im Volltext nachzulesen unter www.dsk.gv.at/Datenschutzbericht2005.pdf

Personelle und organisatorische Fragen

Personelles

In den Abschnitten 1 bis 3 des Berichts werden die Mitarbeiter der Kommission sowie deren Organe und der Personalbedarf beschrieben.

Es wird darauf verwiesen, dass aus Gründen der unzureichenden Personalausstattung die ganz wesentliche Aufgabe einer amtswegigen Prüfungstätigkeit entfallen muss bzw. an Dritte (A-SIT, das ist das Zentrum für sichere Informationstechnologie – Austria) übertragen wird.

Weiters wird darauf verwiesen, dass die DSK auch die Funktion der Stammzahlenregisterbehörde wahrzunehmen hat und die dafür erforderlichen personellen Konsequenzen noch überhaupt nicht absehbar sind. Bemerkenswert in diesem Zusammenhang ist die Aussage:

Der Aufbau eines funktionsfähigen Geschäftsapparats im Bereich der Stammzahlenregisterbehörde wird zu beschleunigen sein, da mit dem roll-out der e-card jeder Österreicher eine bürgerkartenfähige Signaturkarte in Händen hat, was voraussichtlich zu einem sprunghaften Ansteigen der Arbeit im Bereich der Stammzahlenregisterbehörde führen wird.

Hier wäre unserer Meinung nach erst zu analysieren, ob in der Einführungsphase von E-Government-Anwendungen tatsächlich die Anzahl an vergebenen Stammzahlen den Arbeitsanfall der Stammzahlenregisterbehörde beeinflusst oder nicht doch eher die unüberblickbare Anzahl an potentiellen Anwendungen – und damit verbunden an bereichsspezifischen Personenkennzeichen und vor allem an Fremd-bPK.

Technisches

Im Berichtszeitraum hat sich der elektronische Geschäftsverkehr mit der DSK etabliert, vom DVR wird sogar ein elektronisches Einbringen ausdrücklich gewünscht.

Es wird aber auch über große Schwierigkeiten bei der Umstellung des Registers von der alten Host-Anwendung der Statistik Austria auf den Elektronischen Akt berichtet. Es wurde daher ein Projekt gestartet, das eine Neuerliche Umstellung des Registers in eine Datenbank zum Ziel hat, die über Internet abrufbar ist und wo auch Meldungen elektronisch eingebracht werden können.

Geschäftsgang der DSK

Individualbeschwerden

Im Berichtszeitraum wurden 263 Individualbeschwerden erledigt, die Zahl der noch nicht erledigten Fälle konnte von 60 auf 36 abgearbeitet werden, wovon ein Fall älter als 1 Monat ist. 

 

Ein großer Anteil davon sind Beschwerden wegen eines Verstoßes gegen das Auskunftsrecht, wobei die DSK folgende Wertung vornimmt:

Die Auskunft unterblieb vielmehr regelmäßig auf Grund von Untätigkeit, schlechter Organisation, Unkenntnis der Rechtslage (und mangelnder Bereitschaft, sich zu informieren) oder „Geheimniskrämerei“. Viele Beschwerden hätten mit etwas mehr Kunden- oder Bürgerfreundlichkeit der datenschutzrechtlichen Auftraggeber vermieden werden können.

In vielen Fällen wurden nur die Datenarten statt der Dateninhalte beauskunftet. Interessant ist weiters folgende Feststellung der DSK:

Im Berichtszeitraum ereigneten sich mehrere Fälle, in denen Betroffene gleichzeitig mit der Auskunft auch die Löschung der Daten verlangten. Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen dürfen Daten über den Betroffenen, der das Auskunftsverlangen stellt, für einen Zeitraum von vier Monaten keinesfalls gelöscht werden. Falls der Betroffene Beschwerde an die Datenschutzkommission erhebt, gilt das Löschungsverbot bis zum rechtskräftigen Abschluss des Verfahrens (§ 26 Abs. 7 DSG 2000). Wer Daten vorsätzlich zu früh löscht, macht sich nach § 52 Abs. 1 Z 4 DSG 2000 strafbar (Verwaltungsübertretung mit Geldstrafe bis zu 18.890 Euro).

 

Diese Rechtsansicht der DSK ist insofern merkwürdig, als die Frist zur Erfüllung des Löschungsantrags nur 8 Wochen beträgt und das DSG über das Verhalten in Kollisionsfällen mit dem Löschungsverbot nichts aussagt. Nach unserer Ansicht sollte der Wunsch des Betroffenen vorrangig respektiert werden. Eine rechtlich korrekte Lösung des Kollisionsfalls könnte unseres Erachtens derart aussehen, dass eine komplette Kopie der personenbezogenen Daten des Betroffenen gesichert werden, mit deren Hilfe das weitere Auskunftsverfahren abgewickelt werden kann; gegen eine Eliminierung der Daten aus dem Produktionsbestand kann danach nichts eingewendet werden. Alternativ könnte man den Betroffenen zugleich mit der Auskunftserteilung um eine Erklärung ersuchen, dass die Auskunft zufriedenstellend war, sodass die Freigabe der Löschung vom Betroffenen selbst erteilt wird.

Internationaler Datenverkehr

Es wurden 19 Genehmigungen nach § 13 DSG 2000 (internationaler Datenverkehr) erledigt, die Zahl der unerledigten Fälle stieg von 19 auf 34, wovon wiederum 20 älter als 6 Monate sind. In welchem Ausmaß Genehmigungen erteilt oder abgelehnt wurden, ist leider nicht dokumentiert.

Entscheidungen im Registrierungsverfahren

Die Zahl der Entscheidungen der DSK im Registrierungsverfahren wird für die Jahre 2002 bis 2004 mit 770 geschätzt, im ersten Halbjahr 2005 wurden 3 Fälle begonnen und 2 erledigt.

In diesem Zusammenhang erläutert die DSK, dass

  • derzeit keinerlei gemeinsame Auffassung hinsichtlich jener Gründe besteht, aus welchen in Konzernen z.B. Personaldaten zulässigerweise an andere (ausländische) Konzernmitglieder übermittelt werden dürfen;

  • die komplexe Materie immer wieder für in sich widersprüchliche Anträge sorgt, die von den Mitarbeitern der Geschäftsstelle der DSK in mühevoller Kleinarbeit richtig gestellt werden müssen;

  • die Beteiligung großer internationaler Konzerne mit wenig Kenntnis der deutschen Sprache und geringem Wissen über europäisches Recht zusätzliche Komplikationen schafft;

  • die schwierige Kommunikation zwischen der DSK, dem vertretenden Anwalt, dem Antragsteller und dessen Partnern im Ausland häufig zu beträchtlichen Verzögerungen führt.

Sonstige Geschäftsfälle

Es wurden 215 Ombudsman-ähnliche Verfahren erledigt, die Zahl der noch nicht erledigten Fälle stieg von 49 auf 67, wovon 29 älter als 6 Monate sind.

Es wurden 293 Rechtsauskünfte erteilt.

Es wurden 19 Genehmigungen nach §§ 46 und 47 DSG 2000 (Forschung und Statistik bzw. spezielle Weiterverwendungsarten von Adressdaten) erledigt, zwei unerledigte Fälle sind bereits älter als 6 Monate. In welchem Ausmaß Genehmigungen erteilt oder abgelehnt wurden, ist leider nicht dokumentiert.

Es wurden 14 Prüfungen von Datenanwendungen abgeschlossen, zwei sind noch nicht abgeschlossen, wovon ein Fall älter als 6 Monate ist.

Es waren 44 Beschwerden vor dem Verwaltungs- oder Verfassungsgericht zu bearbeiten, wobei beim Verwaltungsgerichtshof derzeit Säumnisbeschwerden die Spitze halten.

Es wurden 50 Fälle mit Auskunftsansuchen an das Schengen-Informationssystem abgewickelt, vier sind noch offen.

Bedauerlicherweise gibt der Bericht keine Auskunft über die Zahl der eingereichten und erledigten Registrierungen von Datenanwendungen, sondern nur von „Geschäftsfällen“, über deren statistische Zusammensetzung nichts bekannt ist. Fest steht nur, dass im Berichtszeitraum 4.000 neue DVR-Nummern vergeben und 4.400 Registrierungsnachweise ausgestellt wurden.

Weitere Vorhaben

Das DVR kündigt an, künftig wieder Muster von Datenanwendungen gemeinsam mit Interessensvertretungen auszuarbeiten und als Serviceleistung anzubieten.

Interessante Detailaussagen

DVR-Nummer als Gütesiegel

Interessant ist folgende Beobachtung des DVR, die wir hier im vollen Wortlaut wiedergeben:

Weiters zeigt die Praxis, dass die Führung einer DVR-Nummer sowohl aus der Sicht der Auftraggeber als auch aus Sicht der Betroffenen oft als ein „Qualitätssiegel“ betrachtet wird. Besitzt ein Auftraggeber nun keine DVR-Nummer, weil er ausschließlich Standardanwendungen vornimmt, wenden sich des Öfteren Betroffene an das Register und unterstellen einem solchen Auftraggeber die Verletzung seiner datenschutzrechtlichen Pflichten. Es bedarf in diesen Fällen jeweils der Aufklärung über die neue Rechtslage. Dies zeigt, dass über die Verleihung eines Gütesiegels anderer Art nachgedacht werden sollte.

 

Informationsverbundsysteme

Zum Berichtszeitpunkt waren folgende Informationsverbundsysteme registriert:

Amt der Niederösterreichischen Landesregierung, Wasserdatenverbund Niederösterreich

  • Modul Abwasserentsorgung

  • Modul Messstellen/Hydrologie

  • Modul Siedlungswasserwirtschaft

  • Modul Umwelthygiene/Trinkwasser

  • Modul Verdachtsflächen/Deponien

  • Modul Wasserbau

  • Modul Wasserrecht

  • Modul Wasserversorgung

Amt der Tiroler Landesregierung

  • TISO Tiroler Informationssystem Sozialverwaltung

Bundesministerium für Finanzen

  • Register der Abgabenpflichtigen (Dokumentationsregister) der Abgabenbehörden, über die Identität der Abgabenpflichtigen und der Klassifizierung ihrer Tätigkeit

Bundesministerium für Inneres

  • Asylwerberinformationssystem (AIS)

  • Betreuungsinformationssystem

  • Evidenthaltung von ausgeschriebenen und widerrufenen Personenfahndungen

  • Evidenthaltung von pass- und/oder waffenrechtlichen Informationen

  • Fahndung nach Feuerwaffen, Banknoten und Dokumenten, die nach dem 1. 12. 1997 zur Fahndung ausgeschrieben wurden

  • Fahndung nach sonstigen Sachen

  • Kraftfahrzeug-Fahndung (KFZ-Fahndung)

  • Kriminalpolizeilicher Aktenindex (KPA)

  • Zentrale Fremdeninformationsdatei (FID)

  • Zentrales Identitätsdokumentenregister

  • Zentrales Waffenregister

Bundesministerium für Justiz

  • Automationsunterstützte Führung der Vollzugsverwaltung in den Justizanstalten

BrassRing LLC (USA)

  • Global Track – Bewerberdatenbank (American Express)

Bundesrechenzentrum IT Solutions GmbH

  • fundamt.gv.at

Eli Lilly and Company (USA)

  • MyElvis Adreßdatenbank (Directory)

Hauptverband der Sozialversicherungsträger

  • SV-DB Österreichische Sozialversicherungs-Datenbank

Hypo Alpe Adria Bank AG

  • Hypo Risikobewertung

Kreditschutzverband von 1870 und Dataline Datenverarbeitungs GmbH

  • Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten

Landeskrankenanstalten-Betriebsgesellschaft – KABEG Management LKH Villach

  • Patientenindex zwischen Landeskrankenanstalten und anderen öffentlichen Krankenanstalten

Lubrizol Corporation (USA)

  • Lubrizol – Global Human Resources Information System

Niederösterreichische Gebietskrankenkasse – Kompetenzzentrum Kinderbetreuungsgeld

  • Informationsverbundsystem Kinderbetreuungsgeld

Österreichische Kardiologische Gesellschaft

  • Herzschrittmacher-Register

Reed Messe Salzburg GmbH

  • Ausstellerdatenbank PRISM

  • Besucherdatenbank

Verband der Versicherungsunternehmen Österreichs

  • Kraftfahrzeug-Zulassungsevidenz

Meldegesetz und Wählerevidenz

Eine interessante Problematik wurde im Zusammenhang mit Auskunftssperren aus dem Meldegesetz aufgezeigt: Eine Auskunftssperre kann verhängt werden, wenn Personen z.B. nach dem Erhalt gefährlicher Drohungen an eine unbekannte, d.h. nicht zu beauskunftende Adresse, ziehen. In der Wählerevidenz bleiben diese Adressen nach wie vor zugänglich und sind bei der öffentlichen Einsicht in die Wählerlisten auch auffindbar. Die DSK bemängelt dabei, dass Bürger, die eine derartige melderechtlichen Auskunftssperre gemäß § 18 Abs. 2 Meldegesetz 1991 (MeldeG), BGBl. Nr. 9/1992, in Anspruch nehmen, oft nicht auf die rechtlichen Grenzen der Auskunftssperre hingewiesen wurden.

Bonitätsprüfungen

Es wird auf die Problematik hingewiesen, dass ein Unternehmen behauptet, Bonitätsauskünfte von befugten Gewerbebetrieben lediglich einzuholen (und bei der Entscheidung über den Vertragsabschluss einzubeziehen), aber Bonitätsdaten nicht selbst zu speichern. Daher ist es häufig nicht möglich, im Wege eines Auskunftsbegehrens an die bei der Prüfung verwendeten Bonitätsdaten in Erfahrung zu bringen.

Anmerkung: Zur bestmöglichen Erfüllung der Auskunftspflicht sollte daher jeder Auftraggeber die tatsächlich eingeholten Bonitätsprüfungsinhalte in irgendeiner Form aufbewahren.

Jahresbericht 2004

vorgelegt von der Art. 29 Datenschutzgruppe

Im Volltext nachzulesen unter
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/8th_annual_report_de.pdf 

Der Bericht wird von Peter Schaar, Vorsitzender der Art. 29 Datenschutzgruppe, vorgelegt und enthält 5 Abschnitte.

1. Die Aufgaben der Art. 29 Datenschutzgruppe

Hauptthemen sind der internationale Datenverkehr (und hier wieder die Flugpassagierdaten), die Einhaltung der Datenschutzrichtlinie, Internet und Telekommunikation, Schengen, Genetische Daten sowie Videoüberwachung.

Zum Thema Videoüberwachung gibt es eine offizielle Stellungnahme der Art. 29 Datenschutzgruppe (WP 89) und einen Hinweis, dass „die Mitgliedstaaten unbedingt Richtlinien für die Tätigkeiten von Herstellern, Dienstleistern, Vertreibern und Wissenschaftlern  im Hinblick auf die Entwicklung von Technologien, Software und technischen Systemen in Übereinstimmung mit den in diesem Papier erwähnten Grundsätzen herausgeben müssen“.

2. Die wichtigsten Entwicklungen in den Mitgliedstaaten

Pro Staat wird über den Stand der Umsetzung, spezifische Einzelfragen und interessante Judikatur berichtet.

Als Kuriosum wird eine Gerichtsentscheidung aus Belgien gehandelt, dass das Objekt einer Videoüberwachung nicht der Kassenmitarbeiter, sondern die Kassa sei, sodass in diesem Fall nicht das Datenschutzgesetz greift, sehr wohl aber das Abkommen über die Videoüberwachung von Arbeitnehmern.

3. Aktivitäten der Europäischen Union und der Gemeinschaft

Eine Analyse der Handhabung des Datenschutzes in der Schweiz und damit der Angemessenheit im Sinne der Datenschutzrichtlinie konnte positiv abgeschlossen werden. Nach dem Schweizer Datenschutzgesetz ist der Export von Daten in Länder, die die Konvention 108 des Europarats nicht ratifiziert haben, nur zulässig, wenn diese Länder einen gleichwertigen Schutz wie das Schweizer Datenschutzgesetz bieten.

Mit dem „Safe Harbor“ in den USA gibt es gewisse Schwierigkeiten, sodass ein Verbesserungsbedarf beim US-Handelsministerium eingemahnt wird, damit künftig keine Unternehmen auf die Safe-Harbor-Liste gelangen, die keine öffentlich verfügbare Datenschutzpolitik vorweisen können. Weiters wird die mangelhafte Transparenz der Website mit der Safe-Harbor-Liste gerügt.

Zum bekannten Fluggastdaten-Problem sind die unterschiedlichen Standpunkte von Art. 29 Gruppe, Rat und Parlament festgehalten, was unter anderem auch dazu geführt hat, dass das Europäische Parlament ein Verfahren beim Europäischen Gerichtshof eingeleitet hat.

4. Wichtigste Entwicklungen im EWR

Es wird ein überblicksartiger Bericht über Gesetzgebungen in Island, Liechtenstein und Norwegen vorgestellt, soweit durch diese Gesetze Datenschutzfragen berührt sind.

In Liechtenstein wird die Einführung einer Krankenversicherungskarte betrieben. Vorerst sind nur administrative Daten vorgesehen, eine künftige Speicherung von Gesundheitsdaten wird an eine Zustimmung des Betroffenen gebunden.

In Norwegen hat die Datenschutzbehörde ein personenspezifisches Patientenregister mit zentraler Erfassung des Gesundheitszustandes jedes einzelnen Bürgers strikt abgelehnt.

Eine serienweise Untersuchung der Mitarbeiter einer Sicherheitsfirma auf Rauschmittel wurde von der Datenschutzbehörde trotz Vorliegens einer Zustimmung abgelehnt, da die Freiwilligkeit auf Sorge um den Arbeitsplatz beruhen könnte.

DSG-Info-Service Jahrgang 2006

Ausgabe Nr. 49/50 September 2006
Andere Jahrgänge

Kompetenzbereich Datensicherheit

2010 Secur-Data. All Rights Reserved.