Datenschutzgesetz 2000

Das Datenschutzgesetz 2000 (in Kraft seit 1.1.2000) ist nicht nur das bislang umfangreichste, sondern auch inhaltlich umfassendste Gesetz dieser Art in Österreich. Es regelt nicht nur die Verwendung personenbezogener Daten, die Auskunftsrechte Betroffener und die Zulässigkeit der Weitergabe von Daten, sondern geht mit (sehr restriktiven) Bestimmungen zur Datensicherheit, zu Kontroll- und Rechtsschutzmaßnahmen weit über das hinaus, was man bisher von einschlägigen Regelungen gewohnt war. Der Bogen spannt sich von Verfassungsbestimmungen (Grundrecht auf Datenschutz) über den Umgang mit Daten in Netzwerken bis zu empfindlichen Strafen bei der mißbräuchlichen Verwendung von Daten.

Grundrecht auf Datenschutz  

Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur durch staatlichen Behörden und nur aufgrund von Gesetzen, die zum Schutz der Menschenrechte und Grundfreiheiten notwendig sind, möglich.

Jedermann hat, nach Maßgabe gesetzlicher Bestimmungen,

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten. (� 1 Abs. 1-3 DSG 2000)

Exkurs : Die Terminologie des DSG 2000

Was heißt eigentlich ... ?

Personenbezogene Daten : Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist.

Sensible ("besonders schutzwürdige") Daten : Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben.

Schutzwürdiges Interesse : Jedermann (gleich, ob natürliche oder juristische Person) hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Kein schutzwürdiges Interesse sieht der Gesetzgeber bei Daten, die entweder allgemein verfügbar sind (Grundbuch, Telefonbuch, öffentliche Register etc.) oder wegen ihrer mangelnden Rückführbarkeit de facto keine "personenbezogenen Daten" mehr darstellen.

Betroffene : Personen, deren Daten von einem "Auftraggeber" verwendet werden.

Auftraggeber : Derjenige (Person,Organisation...), der die Entscheidung getroffen hat, Daten entweder selbst zu verarbeiten oder verarbeiten zu lassen.

Dienstleister : Derjenige, der Daten, die ihm zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwendet.

Überlassen von Daten : Weitergabe von Daten von einem Auftraggeber an den Dienstleister.

Übermittlung von Daten : Weitergabe von Daten an andere Empfänger als Betroffene, Auftraggeber oder Dienstleister.

Datei : Strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind. Unabhängig davon, ob dies manuell oder automatisiert erfolgt.

Datenanwendung : Im Ablauf logisch verbundene Verwendungsschritte, die zu einem bestimmten Zweck geordnet sind und ganz oder teil-weise maschinell und programmgesteuert erfolgen. (� 4 DSG 2000 - Definitionen)

Zuständigkeit ­ öffentlicher und privater Bereich  

Die Vollziehung des DSG 2000 ist Bundessache. Zuständig sind für den privaten Bereich die Zivilgerichte, für den öffentlichen Bereich die Datenschutzkommission.
Dem öffentlichen Bereich im Sinne dieses Bundesgesetzes sind Datenanwendungen zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs durchgeführt werden. Auftraggeber des öffentlichen Bereichs sind neben Behörden und öffentlich-rechtlichen Körperschaften auch privatrechtliche Institutionen, die in Vollziehung der Gesetze tätig sind (z.B. Bewährungshilfe, Sachwalterschaft).

Gegenüber dem früheren DSchG, nach dem für private Träger ausschließlich Zivilgerichte zuständig waren, ist somit eine grundlegende Änderung eingetreten. (�� 1 Abs.5, 5 Abs.1-3, 8 Abs.3 DSG 2000)

Datenverwendung und schutzwürdige Geheimhaltungsinteressen  

Die Bestimmungen des DSG zur Zulässigkeit der Verwendung personenbezogener Daten beinhalten im wesentlichen folgende Punkte:
1. Daten dürfen nur für bestimmte, eindeutig festgelegte Zwecke ermittelt und nicht für andere Zwecke weiterverwendet werden;
2. Nur Daten, die für den deklarierten Zweck der Verwendung wesentlich sind, dürfen verarbeitet werden. Eine Sammlung von Daten gleichsam "auf Vorrat" ist unzulässig;
3. Daten müssen anonymisiert (nicht mehr ?personenbezogen') oder gelöscht werden, sobald sie nicht länger dem Zweck, für den sie erhoben wurden, dienen (z.B. nach Abschluß einer Betreuung).

Was die Schutzwürdigkeit von Geheimhaltungsinteressen anlangt, so sind diese ­ unabhängig von der Zustimmung des Betroffenen ­ dann nicht verletzt, wenn

- eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten vorliegt oder
- die Verwendung der Daten für den Auftraggeber des öffentlichen Bereichs wesentliche Voraussetzung zur Wahrnehmung der ihm übertragenen Aufgabe ist.

Somit dürfen auch ohne Einverständnis des Klienten Daten verwendet werden, die zur Erfüllung des gesetzlichen Auftrags der jeweiligen Institution benötigt werden. (�� 6, 8 Abs. 1-4 DSG 2000)

Datenanwendungen und Mitarbeiterkontrolle  

Es werden immer wieder (zweifellos nicht ganz unberechtigte) Bedenken dahingehend geäußert, daß im Zuge des Einsatzes von Datenverarbeitungsanwendungen diese unter anderem auch zur innerbetrieblichen Kontrolle von Mitarbeitern (und deren Aktivitäten, Arbeitseinsatz, Arbeitserfolg ...) verwendet werden könnten.
Dazu ist festzustellen, daß dies nach den Bestimmungen des DSG 2000 ausdrücklich untersagt und unter Strafe gestellt ist. Die Strafdrohung liegt in diesem Fall bei einer Geldstrafe von bis zu 130.000.-.

"Protokoll- und Dokumentationsdaten *) dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck (...) unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung (...) zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung ..."

*) Zur Erklärung: Das Datenschutzgesetz verpflichtet die Datenverarbeiter zur Dokumentation ihrer Datensicherungsmaßnahmen und zur Protokollierung aller Verwendungsvorgänge, also Zugriffe auf ihre Datenbestände sowie deren Änderungen, Abfragen und Übermittlungen, damit diese bei Bedarf jederzeit auf ihre Zulässigkeit hin überprüft werden können. (� 14 Abs.2 Z.4 DSG 2000)

Datensicherheitsmaßnahmen - Verpflichtungen der Auftraggeber  

Das Datenschutzgesetz verpflichtet Auftraggeber von Datenverarbeitung zu entsprechenden Maßnahmen, die die Datensicherheit in allen ihren Organisationseinheiten gewährleisten sollen. Dazu gehört:

- Ausdrückliche Festlegung der Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen einzelnen Mitarbeitern des Unternehmens.
(Das heißt: In der Geschäftsverteilung des Unternehmens muß ausdrücklich auf die Aufgaben und Befugnisse der einzelnen Organe hinsichtlich EDV-Einsatz bezuggenommen werden).

- Die Verwendung von Daten ist an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden .
(Informelle Absprachen reichen also nicht aus, es müssen konkrete Arbeitsaufträge zur Datenverwendung vorliegen).

- Jeder Mitarbeiter ist über seine nach dem Datenschutzgesetz 2000 und nach innerorganisatorischen Datenschutzvorschriften, einschließlich der Datensicherheitsvorschriften, bestehenden Pflichten zu belehren.
(Schulungs- und Instruktionspflicht des Auftraggebers).

- Die Zutrittsberechtigung zu den Räumen des Auftraggebers ist zu regeln.

- Die Zugriffsberechtigungberechtigung auf Daten und Programme sowie der Schutz der Datenträger vor Einsicht und Verwendung durch Unbefugte ist zu regeln.
(Exakte Definition von Administratoren- und User-Rechten).

- Die Berechtigung zum Betrieb der Datenverarbeitungsgeräte ist festzulegen und jedes Gerät ist durch Vorkehrungen bei den eingesetzten Maschinen und Programmen gegen unbefugte Inbetriebnahme abzusichern.
(Z.B. Doppelter Paßwortschutz: sowohl auf Maschinen- als auch auf Programmebene).

- Ein Protokoll ist zu führen, damit alle Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzugen werden können.
(Adieu, Windows 95/98 ­ entsprechende Protokolle können nur auf Basis professioneller Betriebssysteme, wie Unix, Mac OS X, Windows NT oder Windows 2000, erstellt werden).

- Eine Dokumentation über die getroffenen Datensicherungsmaßnahmen ist zu führen.
(Die unter Pkt. 7 und 8 genannten Zugriffsprotokolle und Datensicherungsdokumentationen sind drei Jahre lang aufzubewahren)
(� 14 Abs. 1-6 DSG 2000)

Meldepflicht  

Sobald eine meldepflichtige Datenanwendung (z.B. Adressverwaltungen, Personalverrechnung...) dem Datenverarbeitungsregister bekanntgegeben wurde, darf der Vollbetrieb aufgenommen werden. Ausgenommen von dieser Regelung sind ausdrücklich Datenanwendungen, die strafrechtlich relevante Daten enthalten (wie z.B. bei Jugendgerichtshilfe oder Bewährungshilfe): Diese dürfen erst nach ihrer Prüfung durch die Datenschutzkommission (Vorabkontrolle) in Betrieb genommen werden. (� 18 Abs. 1-2 DSG 2000)

Betroffenenrechte  

Informationspflicht des Auftraggebers:

Der Auftraggeber hat anläßlich der Ermittlung der Daten die Betroffenen in geeigneter Weise über den Zweck der Datenanwendung und über Name und Adresse des Auftraggebers zu informieren. (� 24 DSG 2000)

Auskunftsrecht:

Der Auftraggeber hat dem Betroffenen
- schriftlich
- in allgemein verständlicher Form
- binnen 8 Wochen und
- einmal pro Jahr kostenlos (sonst gegen eine Kostenpauschale von 260.-)

über die zu seiner Person verarbeiteten Daten Auskunft zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist.

Die Auskunft hat zu enthalten:

- die verarbeiteten Daten
- verfügbare Informationen über die Herkunft der Daten
- allfällige Empfänger von Übermittlungen
- den Zweck der Datenverarbeitung und deren Rechtsgrundlage und
- Namen und Adresse allfälliger Dienstleister.

Ausnahmen bezüglich Auskunftserteilung sieht der Gesetzgeber lediglich in bestimmten Fällen vor, wo überwiegende öffentliche Interessen einer solchen entgegenstehen (Verfassungsschutz, Landesverteidigung, Staatsinteresse, Verbrechensbekämpfung...). (� 26 Abs. 1-10 DSG 2000)

Recht auf Richtigstellung oder Löschung:

Jeder Auftraggeber hat von sich aus Daten zu löschen, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist oder dies auf begründeten Antrag des Betroffenen zu tun. Der Beweis der Richtigkeit der Daten obliegt dem Auftraggeber der Datenverarbeitung. (� 27 Abs. 1-9 DSG 2000)

Datenschutzkommission und Datenschutzrat  

Die Datenschutzkommission besteht aus 6 Mitgliedern, die auf Vorschlag der Bundesregierung vom Bundespräsidenten für die Dauer von 5 Jahren bestellt werden und setzt sich aus folgenden Personen zusammen:

1 Mitglied (Richter) auf Vorschlag des OGH-Präsidenten,
2 Mitglieder auf Vorschlag der Länder,
1 Mitglied auf Vorschlag der Arbeiterkammer,
1 Mitglied auf Vorschlag der Bundeswirtschaftskammer,
1 Mitglied aus dem Kreis rechtskundiger Bundesbeamter.

Aufgabe der Datenschutzkommission ist es u.a., alle Meldungen binnen 2 Monaten zu prüfen. Kommt sie zur Auffassung, daß eine Meldung mangelhaft ist, so ist dem Auftrag-geber längstens innerhalb von 2 Monaten nach Einlangen der Meldung die Verbesserung des Mangels unter Setzung einer Frist aufzutragen.

Der Datenschutzrat ist beim Bundeskanzleramt eingerichtet. Was seine personelle Zusammensetzung anlangt, so entspricht diese in etwa jener der Datenschutzkommission. Seine Aufgabe ist die Beratung der Bundesregierung und der Landesregierungen in rechtspolitischen Fragen des Datenschutzes. (�� 35-44 DSG 2000)

[partner]

 
Exclusive Partner Beamtendarlehen, Kredit für beamte, günstige Sportartikel, Super 8 auf DVD, Lastminute Reisen, Baufinanzierung, Personalberatung, Kleinanzeigen, Suchmaschinen Marketing, Ger-Link - Ihr Suchportal, Branchenbuch, wallpaper, Recht.Rechtsanwalt, Versicherungsvergleich, Kläranlage, Solaranlagen, Übersetzung mit Polyglot Übersetzer, Shopping
TIPP Vergleich Online | Versicherung Kompass | Finanzberater | Finanztip | Versicherung Ratgeber | Online Kredit Informationen | Versicherungs Verzeichnis