Datenschutzgesetz (Österreich)

aus Wikipedia, der freien Enzyklopädie
Dies ist die aktuelle Version dieser Seite, zuletzt bearbeitet am 22. April 2022 um 17:47 Uhr durch imported>GünniX(73068) (Archivlink geprüft).
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Basisdaten
Titel: Datenschutzgesetz
Langtitel: Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
Abkürzung: DSG
Früherer Titel: Bundesgesetz über den Schutz
personenbezogener Daten
Typ: Bundesgesetz
Geltungsbereich: Republik Österreich
Rechtsmaterie: Datenschutzrecht
Inkrafttretensdatum: 1. Jänner 2000
(BGBl. I Nr. 165/1999)
Letzte Änderung: BGBl. I Nr. 14/2019
Gesetzestext: Datenschutzgesetz im RIS
Bitte beachte den Hinweis zur geltenden Gesetzesfassung!

Das Datenschutzgesetz regelt gemeinsam mit der Datenschutz-Grundverordnung den Schutz personenbezogener Daten in Österreich. Als solche gelten etwa E-Mail-Anschrift, Geburtsdatum oder Telefonnummer. Diese oder ähnliche Angaben dürfen ohne vorherige Zustimmung des Betroffenen nur in speziellen Fällen weitergegeben werden. Die Datenschutzbehörde ist durch dieses Gesetz eingerichtet.

Das erste Datenschutzgesetz wurde mit dem BGBl. Nr. 565/1978 installiert. Österreich war damit einer der ersten europäischen Staaten mit einer eigenen Behörde für den Datenschutz.[1] Mit diesem wurde auch die Datenschutzkommission geschaffen (seit 2012 Datenschutzbehörde, DSB). Das Datenschutzgesetz setzt die Richtlinie 95/46/EG (Datenschutzrichtlinie) in nationales Recht um und wurde 2005 grundlegend novelliert. Mit der DSG-Novelle 2013 (BGBl. I Nr. 83/2013 vom 23. Mai 2013) wurde die Datenschutzkommission durch die Datenschutzbehörde abgelöst.

Definitionen (§ 4)

  • Personenbezogene Daten sind Angaben zu Personen, deren Identität bestimmt oder zumindest bestimmbar sind.
z. B. Name, SV-Nr., Adressen
  • Nur indirekt personenbezogen sind Daten, bei denen der Personenbezug der Daten vom Auftraggeber, Dienstleister oder Empfänger mit rechtlich zulässigen Mitteln nicht bestimmt werden kann.
  • Sensible Daten sind gesetzlich definiert: Daten über rassische oder ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben.
  • Zustimmung ist die gültige, ohne Zwang abgegebene Willenserklärung der betroffenen Person zur konkreten Verwendung der Daten "in Kenntnis der Sachlage". Diese kann schriftlich, mündlich oder auch schlüssig abgegeben werden (keine Formvorschrift).

Räumlicher Anwendungsbereich

Die Bestimmungen sind in Österreich anzuwenden.

Darüber hinaus auf die Verwendung von Daten im Ausland, soweit in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung eines Auftraggebers (§ 3).

Öffentliche, private Daten

Laut § 1 des Datenschutzgesetzes hat jedermann Anspruch auf Geheimhaltung personenbezogener Daten. Eine öffentliche Verfügbarkeit dieser Daten schließt diesen Anspruch jedoch aus. Im öffentlich-rechtlichen Bereich (Gerichte, Ämter usw.) besteht jedoch eine gewisse Auskunftspflicht (siehe Amtshilfe, Vollzugshilfe).

Datensicherheit

Datensicherheitsmaßnahmen sind organisatorische, personelle und technische Maßnahmen zur Datensicherheit, um eine ordnungsgemäße Datenverwendung zu sichern, die Daten vor Zerstörung und Verlust zu schützen, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.

Datengeheimnis (Verschwiegenheitspflicht)

Das Datengeheimnis nach § 6 des Datenschutzgesetzes verpflichtet Auftraggeber, Dienstleister und ihre Mitarbeiter Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht.

Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, dass sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses zum Auftraggeber oder Dienstleister einhalten werden.

Einrichtungen nach dem DSG

Datenverarbeitungsregister

Das Datenverarbeitungsregister vergab eine siebenstellige Registernummer, die DVR-Nummer, an Unternehmen. In Österreich bestand bis zum Inkrafttreten der Datenschutz-Grundverordnung grundsätzlich Meldepflicht jeder Datenanwendung, allerdings mit einer Reihe von Ausnahmen im Einzelfall. Seit Inkrafttreten der DSGVO ist das Datenverarbeitungsregister obsolet und erhält keine neuen Einträge mehr.

Datenschutzbehörde

Der Datenschutzbehörde steht ein Leiter vor. Dieser wird vom Bundespräsidenten auf Vorschlag der Bundesregierung für eine Dauer von fünf Jahren bestellt. Die Geschäftsstelle der Datenschutzbehörde ist im Bundeskanzleramt eingerichtet, die Datenschutzbehörde ist jedoch nicht an Weisungen gebunden.

Kontrollbefugnisse der Datenschutzbehörde

Die Kontrollbefugnisse ergeben sich aus § 22 des Datenschutzgesetzes:

  • Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters an die Datenschutzbehörde wenden.
  • Die Datenschutzbehörde ist berechtigt, Räume des Auftraggebers oder Dienstleisters zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, Verarbeitungen durchzuführen und Kopien von Datenträgern herzustellen.
  • Die Datenschutzbehörde kann zur Herstellung des rechtmäßigen Zustandes Empfehlungen aussprechen, für deren Befolgung eine angemessene Frist gesetzt werden kann.
  • Wird einer solchen Empfehlung nicht innerhalb der gesetzten Frist entsprochen, kann die Datenschutzbehörde u. a. ein Verfahren zur Überprüfung der Registrierung einleiten, Strafanzeige nach § 51 oder 52 erstatten, Klage vor dem zuständigen Gericht nach § 32 Abs. 5 erheben.

Gegen Bescheide der Datenschutzbehörde ist kein Rechtsmittel zulässig. Die Anrufung des Verwaltungsgerichtshofes ist zulässig.

Datenschutzrat

Der Datenschutzrat ist beim Bundeskanzleramt eingerichtet. Er berät die Bundesregierung und die Landesregierungen auf deren Ersuchen in rechtspolitischen Fragen des Datenschutzes.

Die wesentlichen materiellen Pflichten

Grundrecht auf Datenschutz

Alle Pflichten, die sich aus dem Datenschutzrecht ergeben, sind letztlich Ausfluss des Grundrechts auf Datenschutz[2]. Dieses steht in § 1 des Datenschutzgesetzes im Verfassungsrang und lautet:

Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

Der sachliche Schutzbereich dieses Grundrechts umfasst die Geheimhaltung personenbezogener Daten[2]. Konsequenterweise wird dieses Grundrecht aus Ergänzung zu Artikel 8 EMRK angesehen[2]. Der persönliche Schutzbereich umfasst natürliche Personen und juristische Personen[2].

Indirekt ergibt sich daraus der Ansatz des Datenschutzrechts, dass personenbezogene Daten an sich nicht verwendet werden sollen, außer es liegt eine Ausnahme vor, die dies zulässt. Die Lösung datenschutzrechtlicher Probleme ist somit immer eine Suche nach Ausnahmen, um herauszufinden, ob die Verwendung von Daten zulässig ist oder nicht. Insoweit spricht auch das Österreichische Datenschutzrecht von dem datenschutzrechtlichen Verbot mit Erlaubnisvorbehalt[2].

Datenschutzgrundsätze

Die Datenschutzgrundsätze, nach denen Datenverarbeitung erfolgen muss, sind nicht im Datenschutzgesetz, sondern in Artikel 5 der Datenschutz-Grundverordnung#Grundsätze_der_Verarbeitung_personenbezogener_Daten festgelegt. Dabei handelt es sich um den Grundsatz von Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, die Grundsätze der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit sowie der Rechenschaftspflicht.

§ 37 des Datenschutzgesetzes enthält verschiedene Grundsätze, nach denen Datenverarbeitung im Rahmen der Strafverfolgung, des Strafvollzugs, durch Sicherheitsbehörden sowie der nachrichtendienstlichen oder militärischen Gefahrenabwehr erfolgen muss. Diese sind etwa den Grundsatz von Treu und Glauben, das Zweckbindungsprinzip, das Wesentlichkeitsprinzip, das Sachlichkeits- und Aktualitätsprinzip und das Anonymisierungsprinzip.

Die formellen Pflichten

Datenschutzfolgen-Abschätzung

Der Verantwortliche hat gemäß § 52 des Datenschutzgesetzes zum Schutz der Rechte und berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener eine Datenschutz-Folgenabschätzung durchzuführen.

Genehmigung für internationalen Datenverkehr durch DSK

Die Übermittlung und Überlassung von Daten an Empfänger in Mitgliedstaaten der Europäischen Union ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen (§ 12 Abs. 1).

Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz (§ 12 Abs. 2). Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird durch Verordnung des Bundeskanzlers festgestellt. Aufgrund einer Datenschutz-Angemessenheits-Verordnung sowie EU-Entscheidungen sind dies Argentinien, Canada, Schweiz, Guernsey, Isle of Man sowie US-Unternehmen, die sich den Bestimmungen der Safe-Harbor-Vereinbarung unterworfen haben.[3]

Darüber hinaus ist nach § 12 Abs. 3 des Datenschutzgesetzes der Datenverkehr ins Ausland dann genehmigungsfrei, wenn

  1. die Daten im Inland zulässigerweise veröffentlicht wurden oder
  2. Daten, die für den Empfänger nur indirekt personenbezogen sind, übermittelt oder überlassen werden oder
  3. die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind, oder
  4. Daten aus Datenanwendungen für private Zwecke (§ 45) oder für publizistische Tätigkeit (§ 48) übermittelt werden oder
  5. der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat oder
  6. ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann oder
  7. die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden, oder
  8. die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2) ausdrücklich angeführt ist oder
  9. es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt oder
  10. Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen, die gemäß § 17 Abs. 3 von der Meldepflicht ausgenommen sind.

Alle anderen Datenübermittlungen oder Datenüberlassungen sind nach § 13 des Datenschutzgesetzes von der Datenschutzkommission vorher mittels Bescheid zu genehmigen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen.

Die Genehmigung ist, wenn im Empfängerstaat ein generell geltenden angemessenen Datenschutzniveaus fehlt, dann zu genehmigen, wenn für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten Einzelfall angemessener Datenschutz besteht; oder der Auftraggeber glaubhaft macht, dass die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden.

Typischerweise geschieht dies unter Zuhilfenahme der "Standardvertragsklauseln" der EU, die zwischen Sender und Empfänger der Daten unterzeichnet werden und dann bei der Datenschutzkommission mit dem Genehmigungsantrag mitgesandt werden.[4]

Gerade in internationalen Konzernen ist die Genehmigung der verschiedensten Datenströme aufgrund des Fehlens eines "Konzernprivilegs" zur Zeit- und Kostenintensiven Aufgabe gewachsen, was auf Kritik derselben stößt.[5] Jüngste Entwicklung ist die Einführung so genannter Verbindlicher Unternehmensvorschriften ("Binding Corporate Rules" – BCRs), die ein einheitliches Datenschutzniveau schaffen sollen und dadurch eine Verbesserung bei den Genehmigungsverfahren.

Genehmigung von Informationsverbundssystemen durch DSK

Ein Informationsverbundsystem ist laut § 4 Z 13 des Datenschutzgesetzes die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, dass jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden. Typischer Fall ist etwa, dass in einem Konzern mehrere Konzerngesellschaften in dieselbe Datenbank (etwa Kunden-, CRM-, Mitarbeiterdatenbank) hineinarbeiten.

Für ein Informationsverbundsystem ist nach § 50 des Datenschutzgesetzes ein Betreiber zu bestellen.

Informationsverbundsysteme sind nach § 18 Abs. 2 Z 4 des Datenschutzgesetzes vom DVR vorab zu genehmigen.

Schriftlicher Dienstleistervertrag beim Outsourcing

§ 11 Abs. 2 des Datenschutzgesetzes bestimmt, dass Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der Dienstleisterpflichten zum Zweck der Beweissicherung schriftlich festzuhalten sind.

Diese Pflicht wird häufig übersehen, auch lange Outsourcing-Verträge oder Service-Level-Agreements enthalten oft keinerlei Bestimmungen zum Datenschutzrecht.[6]

Die Datenschutzkommission stellt auf ihrer Webseite einen Mustervertrag zum Download zur Verfügung.[7]

Verpflichtung zum Datengeheimnis

Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Siehe dazu oben zum Datengeheimnis.

Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, dass sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum Auftraggeber oder Dienstleister einhalten werden (§ 15 Abs. 2).

Die vertragliche Verpflichtung kann etwa im Dienstvertrag, aber auch in einem gesonderten Dokument, etwa einer Geheimhaltungserklärung oder einer vom Mitarbeiter zu unterschreibenden "Privacy Policy" erfolgen.

Die einzelnen Rechte

Recht auf Geheimhaltung

Ergibt sich aus dem Grundrecht in § 1 des Datenschutzgesetzes.

Recht auf Auskunft

Laut § 26 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben. Die erste Auskunft eines Jahres zu den aktuellen Daten hat dabei (nach Abs. 6) kostenfrei zu erfolgen.[8][9]

Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hierfür in allgemein verständlicher Form anzuführen.

Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind.

Das Unternehmen hat einem Auskunftsbegehren innerhalb von acht Wochen nachzukommen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Bei Nichterledigung oder nicht vollständiger bzw. ordentlicher Erledigung seines Auskunftsbegehrens kann sich der Betroffene bei der Datenschutzkommission beschweren. Die Beschwerde ist "formlos" etwa schriftlich oder per E-Mail an die DSK möglich.

Recht auf Richtigstellung oder Löschung

Laut § 27 muss jeder Auftraggeber Daten korrigieren oder löschen wenn:

  1. ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
  2. auf begründeten Antrag des Betroffenen.

Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.

Sonderbestimmungen

Verwendung im familiären Rahmen

Nach § 45 des Datenschutzgesetzes dürfen natürliche Personen Daten für ausschließlich persönliche oder familiäre Tätigkeiten verarbeiten, wenn sie ihnen vom Betroffenen selbst mitgeteilt wurden oder ihnen sonst rechtmäßigerweise, insbesondere in Übereinstimmung mit § 7 Abs. 2 zugekommen sind. Für andere Zwecke dürfen solche Daten nur mit Zustimmung des Betroffenen übermittelt werden.[10]

Statistische Datenerhebungen

§ 46 des Datenschutzgesetzes enthält Sonderbestimmungen für wissenschaftliche Forschung und Statistik.

Adressverzeichnisse

Sonderbestimmungen für Adressverlage in § 151 GewO.

Kein Datenschutzbeauftragter in Österreich

Die Rolle eines Datenschutzbeauftragten ist im Wesentlichen eine deutsche Erfindung, die nur in wenigen anderen Ländern übernommen wurde.[11] Die EU-Datenschutzrichtlinie 95/46/EG enthält in Art. 18 Abs. 2 mehrere unterschiedliche Möglichkeiten für die Mitgliedsstaaten, die Meldepflicht zu vereinfachen. Der Datenschutzbeauftragte ist nur eine Option. Das österreichische Datenschutzgesetz sieht keinen betrieblichen Datenschutzbeauftragten vor.

Auch wenn es keine Verpflichtung zur Einsetzung eines betrieblichen Datenschutzbeauftragten gibt, ist es vor allem in größeren Unternehmen durchaus üblich eine bestimmte Person mit Agenden des Datenschutzrechts zu befassen, um etwa die Einhaltung formaler Pflichten wie Melde- und Genehmigungspflichten, die Abarbeitung von Auskunftsanfragen nach § 26 sicherzustellen und eine "Schnittstelle" zum Betriebsrat in Fragen der Personaldatenverarbeitung zu haben. Im Ministerialentwurf zur Novelle zum DSG 2008 ist eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten für Betriebe mit mindestens 20 Mitarbeitern enthalten (§ 15a).[12] Dies wird in den Stellungnahmen mehrfach kritisiert.[13][14][15] Im überarbeiteten Entwurf (DSG-Novelle 2010[16]) ist die Verpflichtung nicht mehr enthalten.

Arbeitnehmerdatenschutz

§§ 96 und 96a ArbVG enthalten Bestimmungen u. a. über Personaldatensysteme, Personalbeurteilungssysteme, Personalüberwachungssysteme. Derartige Systeme können betriebsratspflichtig sein.

Ein typischer Fall für eine Betriebsratspflicht ist die betriebliche Videoüberwachung von Mitarbeitern, die überdies beim DVR vorab zugenehmigen ist, wenn die Videobilder digital gespeichert werden.

Ein anderer Fall, in dem sowohl Betriebsratspflicht als auch Melde- und Genehmigungspflichten bei DVR und DSK ausgelöst werden können, ist die Einführung von Whistleblowing-Systemen.

Schadenersatz und Strafen

Schadenersatz

Schadenersatz ist nach § 33 des Datenschutzgesetzes auf dem Zivilrechtsweg einzuklagen.[17]

Strafgerichtliche Strafbestimmungen

  • § 51 des Datenschutzgesetzes: Datenverwendung in Gewinn- und Schädigungsabsicht, bis 1 Jahr Freiheitsstrafe.
  • Straftatbestände des „Computerstrafrechts“ im StGB, z. B. § 126a StGB Datenbeschädigung. Bis 5 Jahren Freiheitsstrafe.

Verwaltungsstrafbestimmungen

  • bis 25.000 Euro Geldstrafe für vorsätzlichen oder widerrechtlichen Zugang zu einer Datenanwendung, vorsätzliche Verletzung des Datengeheimnisses oder wenn entgegen einem rechtskräftigen Urteil oder Bescheid Daten verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder wenn Daten vorsätzlich entgegen § 26 Abs. 7 des Datenschutzgesetzes gelöscht werden.
  • bis 10.000 Euro Geldstrafe für Nichterfüllung der Meldepflicht, Datenübermittlung ins Ausland ohne Genehmigung der Datenschutzkommission, Verletzung von Offenlegungs- oder Informationspflichten, gröbliches Außerachtlassen von Sicherheitsmaßnahmen.

Der Versuch ist strafbar. In allen Fällen kann der "Verfall" von Datenträgern und Programmen ausgesprochen werden (d. h. diese dürfen nicht mehr verwendet werden).

Zuständig für die Entscheidung ist die Bezirksverwaltungsbehörde.

Neuerungen bei Verarbeitung von personenbezogenen Daten durch Novellierung des DSG

Mit Geltungsbeginn der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018, wurde diese in jedem EU-Mitgliedstaat unmittelbar anwendbar. Die DSGVO enthält jedoch zahlreiche Öffnungsklauseln (=von der Norm abweichende Vereinbarung), welche den nationalen Gesetzgebern für bestimmte Bereiche juristische Spielräume gewährt. Zur Durchführung dieser Öffnungsklauseln kam es folglich zu zwei Novellierungen des Datenschutzgesetzes 2000 durch das Datenschutz-Anpassungsgesetz 2018 und dem Datenschutz-Deregulierungs-Gesetz 2018. Insbesondere bei der Verarbeitung von personenbezogenen Daten, kam es durch die DSGVO zu wesentlichen Neuerungen:

  • Verzicht der Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister)
  • Klar definierte Pflichtverteilung zwischen "Verantwortlichem" und "Auftragsverarbeiter"
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („privacy by design/privacy by default“)
  • Führung eines Datenverarbeitungsverzeichnisses
  • Meldepflicht von Datenschutzverletzungen bei der Behörde und ggf. dem Betroffenen binnen 72 Stunden
  • Pflicht zur Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen und ggf. Konsultation der Datenschutzbehörde
  • Ernennung eines Datenschutzbeauftragten
  • Neue Informationspflichten und Betroffenenrechte
  • Befugnisse und Aufgaben der Datenschutzbehörde wurden erweitert
  • Verschärfungen bei der Verarbeitung von Bild- und Akustikaufnahmen
  • Deutliche Erhöhung von Geldbußen

Von den Öffnungsklauseln wurde etwa im Arzneimittel- und Medizinproduktegesetz Gebrauch gemacht. So sind beispielsweise die Rechte auf Löschung und Datenübertragbarkeit gemäß Art. 17 und Art. 20 DSGVO laut §39 Abs. 3a AMG bzw. §49 Abs. 5 MPG ausgeschlossen. Ebenso wurde im §2d Abs. 6 des Forschungsorganisationsgesetzes (FOG) eine Ausnahmeregelung verankert. Demnach finden sämtliche Rechte gemäß Art. 89 Abs. 1 DSGVO keine Anwendung.

Siehe auch

Literatur

  • Bauer/Reimer, Handbuch Datenschutzrecht (Wien) 2009
  • Dohr, Pollirer, Weiss, Knyrim: DSG, Kommentar. Loseblattsammlung (Verlag Manz, Wien)
  • Jahnel, Handbuch Datenschutzrecht (Wien) 2010
  • Knyrim: Praxishandbuch Datenschutzrecht, Leitfaden für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen, Outsourcen, Werben uvm. Verlag Manz, Wien, 2. Auflage 2012 Link zum Buch
  • Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht. Verlag Dr. Kovac, Hamburg 2011, ISBN 978-3-8300-5418-4.
  • Reimer: Die datenschutzrechtliche Zustimmung. Diss Uni Wien, 2010.
  • Knyrim, Datenschutz-Grundverordnung – Das neue Datenschutzrecht in Österreich und der EU (Verlag Manz, Wien 2016).[1]
  • Knyrim (Hrsg.), Der DatKomm, Praxiskommentar zum Datenschutzrecht, DSGVO und DSG Kommentar in Faszikeln (Verlag Manz, Wien 2018).[2]

Zeitschriften

  • Dako – Datenschutz konkret (Verlag Manz, Wien)[3]
  • ZIIR – Zeitschrift für Informationsrecht mit Schwerpunktsetzung Datenschutz-, Medien- und Persönlichkeitsrecht, E-Commerce Recht sowie Lauterkeits- und Immaterialgüterrecht (Verlag Österreich, Wien) [4]

Weblinks

Einzelnachweise

  1. Über uns. (Memento vom 21. Juli 2016 im Internet Archive) dsb.gv.at
  2. a b c d e Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht, Verlag Dr. Kovac, Hamburg, 2011, S. 329–330
  3. http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm
  4. Entscheidung der Kommission hinsichtlich Standardvertragsklauseln für die Übermittlung Personenbezogener Daten in Drittländer. Europäische Kommission. Archiviert vom Original am 11. Januar 2008. Abgerufen am 14. Februar 2019.
  5. http://www.preslmayr.at/puplikationen/ArtikelKnyrim_Rechtspanorama%2030.10.06.pdf (Memento vom 5. Oktober 2007 im Internet Archive)
  6. http://www.preslmayr.at/puplikationen/ArtikelKnyrim_Datenschutz%20und%20Datenrettung%20beim%20Outsourcing__EcolexHeft504.pdf (Memento vom 5. Oktober 2007 im Internet Archive)
  7. Musterverträge. Datenschutzkommission. Archiviert vom Original am 5. März 2014. Abgerufen am 14. Februar 2019.
  8. Das Recht auf Auskunft (Memento vom 18. Januar 2016 im Internet Archive) dsk.gv.at, abgerufen am 20. August 2013
  9. Was die Republik alles über mich weiß diepresse.com
  10. OGH-Entscheidung zur Verwendung "eigener Daten" zum Download (Memento vom 5. Oktober 2007 im Internet Archive)
  11. Gesellschaft für Datenschutz und Datensicherung: Berufsbild Datenschutzbeauftragter: Eine deutsche „Success Story“ mit Vorbildwirkung, 27. April 2005
  12. Österreichisches Parlament: 182/ME (XXIII. GP) Datenschutzgesetz-Novelle 2008
  13. Stellungnahme des Datenschutzrates zur DSG-Novelle 2008@1@2Vorlage:Toter Link/www.parlament.gv.at (Seite nicht mehr abrufbar, Suche in Webarchiven Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. (PDF; 167 kB)
  14. Stellungnahme der Wirtschaftskammer zur DSG-Novelle 2008@1@2Vorlage:Toter Link/www.parlament.gv.at (Seite nicht mehr abrufbar, Suche in Webarchiven Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. (PDF; 1,6 MB)
  15. Stellungnahme des Österreichischen Roten Kreuzes zur DSG-Novelle 2008@1@2Vorlage:Toter Link/www.parlament.gv.at (Seite nicht mehr abrufbar, Suche in Webarchiven Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. (PDF; 75 kB)
  16. DSG-Novelle 2010
  17. OGH-Entscheidung zu § 33 (Memento vom 5. Oktober 2007 im Internet Archive)