Amtsverschwiegenheit und Datenschutz. Dr. Alfred Steinacher

Transkript

1 Amtsverschwiegenheit und Datenschutz Dr. Alfred Steinacher

2 I. Die Amtsverschwiegenheit (Art. 20 Abs. 3 B-VG) II. Die Verantwortlichkeit staatlicher Organe nach dem Strafrecht (StGB) nach dem Zivilrecht (AHG, OrgHG, ABGB) nach dem Disziplinarrecht (K-DRG, K-GBG) III. Das Datenschutzrecht Entwicklung des Datenschutzrechtes Datenschutz als Grundrecht Rechtsdurchsetzung (Zuständigkeiten) Begriffe des DSG 2000 Voraussetzungen für die Verwendung von Daten Pflichten der Dateninhaber, die Rechte der Betroffenen Strafen nach dem DSG 2000

3 Die Amtsverschwiegenheit Alle mit Aufgaben der Bundes-, Landes- und Gemeindeverwaltung betrauten Organe, sowie die Organe anderer Körperschaften des öffentlichen Rechtes sind, soweit gesetzlich nicht anderes bestimmt ist zur Verschwiegenheit über alle Tatsachen verpflichtet, - die ihnen ausschließlich aus ihrer amtlichen Tätigkeit bekannt geworden sind und - deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit, der umfassenden Landesverteidigung, der auswärtigen Beziehungen, im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechtes, zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist. (Art. 20 Abs.3 B-VG) Ähnliche Regelungen: 46 K-DRG, 16 K-LVBG und 19 K-GBG

4 Die Verantwortlichkeit staatlicher Organe Strafrecht: Wer ist Beamter nach dem StGB? Was sind Amtsdelikte? (echte, unechte Delikte) Die Verletzung des Amtsgeheimnisses ( 310 StGB) Zivilrecht: Amtshaftung (bei Schädigung Dritter; Regress) Organhaftung (bei Schädigung des Amtes) Disziplinarrecht: (K-DRG, K-GBG)

5 Die Entwicklung des Datenschutzrechtes: Europäische Menschenrechtskonvention 1950 (Art. 8) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs. Ein behördlicher Eingriff ist nur gestattet, wenn er 1. gesetzlich vorgesehen ist und 2. eine Maßnahme darstellt, die für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist.

6 weitere Rechtsquellen: DSG 1978 Datenschutzrichtlinie der EU (1995) DATENSCHUTZGESETZ 2000

7 Datenschutz als Grundrecht: Einteilung der Grundrechte ~ Menschenrechte ~ Bürgerrechte Liberale Grundrechte / Freiheitsrechte z.b. Eigentum, Vereins- und Versammlungsfreiheit Politische Grundrechte z.b. Wahlrecht, Abgeordnetenimmunität Soziale Grundrechte / Leistungsrechte z.b. Arbeit, Mindesteinkommen - Fiskalwirkung (gg. staatliche Privatwirtschaft) - Drittwirkung (gg. Private)

8 Der Datenschutz im Verfassungsrang: 1 DSG Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

9 Die Datenverwendung ist auch zulässig... im lebenswichtigen Interesse des Betroffenen mit Zustimmung des Betroffenen und zur Wahrung überwiegender berechtigter Interessen eines anderen (Interessensabwägung! Beachte Fälle der 8 und 9 DSG) Das Prinzip des gelindesten Mitteleinsatzes und der Verhältnismäßigkeit ist stets zu beachten!

10 Die Zuständigkeiten Rechtsdurchsetzung DSK (bei öffentlichen AG) Zivilgerichtsbarkeit (bei privaten AG) Gesetzgebungskompetenz Bund (automationsunterstützte u. man. Dateien) Länder (nur manuelle Dateien; K-ISG) Räumliche Anwendung Österreich: Territorialitätsprinzip EU - Ausland: Sitzstaatprinzip Anderes Ausland: Territorialitätsprinzip

11 Die Begriffe des DSG 2000: Personenbezogene Daten (direkt, indirekt, anonym) Sensible Daten (taxative Auflistung in 4 DSG) Betroffener Auftraggeber Dienstleister Datei (strukturierte Datensammlung mit Suchkriterium) Datenanwendung (EDV Programm) Verwenden (jede Handhabe mit Daten einer Anwendung) Verarbeiten Überlassen (AG an DL) Übermitteln (AG/DL an Dritte) Informationsverbundsystem (Datenvernetzung von AG) Zustimmung (widerrufbare Willenserklärung)

12 Erster Prüfschritt Die Beachtung der Grundsätze des 6 DSG 2000 Demnach dürfen Daten nur 1. nach Treu und Glauben und auf rechtmäßige Weise verwendet werden; 2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer diesen Zwecken unvereinbaren Weise weiterverwendet werden; 3. soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen; 4. so verwendet werden, dass sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; 5. solange in personenbezogener Form aufbewahrt werden, als dies zur Erreichung des Zweckes notwendig ist.

13 Zweiter Prüfschritt Die Beachtung der generellen Voraussetzungen ( 7) Die gesetzliche Zuständigkeit/rechtliche Befugnis des AG! Weitere rechtliche Vorgaben gibt es bei der Übermittlung zu beachten. Dritter Prüfschritt Die Beachtung schutzwürdiger Interessen ( 8,9) Je nach Datenqualität sind folgende Gesetzesstellen einzusehen: sensible Daten: Verarbeitungsverbot mit taxativen Ausnahmen ( 9) nicht sensible Daten: Generalklausel mit Beispielen ( 8)

14 Schutzwürdige Geheimhaltungsinteressen sensibler Daten werden z. B. nicht verletzt bei (offenkundig vom Betroffenen selbst) veröffentlichen Daten bei indirekt personenbezogenen Daten bei (ausdrücklicher) Zustimmung des Betroffenen zur Wahrung lebenswichtiger Interessen des Betroffenen oder eines anderen bei gesetzlicher Ermächtigung bzw. Verpflichtung zur Datenverwendung bei Erfüllung der Verpflichtung zur Amtshilfe

15 Vierter Prüfschritt Die Beachtung der Verhältnismäßigkeit ( 7 Abs.3) Die Zulässigkeit einer Datenverwendung setzt voraus, dass die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen.

16 Besondere Verwendungszwecke ( 45-48) Private Zwecke Wissenschaftliche Forschung und Statistik Adressenübermittlung zur Benachrichtigung und Befragung Publizistische Tätigkeiten

17 Adressen zur Benachrichtigung und Befragung von Betroffenen ( 47) Adressen sind keine freien Daten! Dies gilt auch für die Adressenweitergabe zum Zweck der Benachrichtigung und Befragung eines Betroffenenkreises. Eine Weitergabe ist ohne Zustimmung nur gestattet, 1. wenn die Beeinträchtigung von Geheimhaltungsinteressen unwahrscheinlich ist: - bei Daten des selben Auftraggebers (nur intern) - bei öffentlichem Interesse oder - bei mangelndem Widerspruch durch den Betroffenen 2. Sonst ist Genehmigung der DSK erforderlich: Diese wird erteilt, - bei wichtigem Interesse des Betroffenen - bei wichtigem öffentlichen Interesse oder - bei wissenschaftlichen oder statistischen Zwecken

18 im Überblick... Die Pflichten des Auftraggebers (Sanktion: Bestrafung nach 52 DSG 2000) a) P u b l i z i t ä t s p f l i c h t e n - Meldung an das DVR - Vorabkontrolle - Offenlegung nicht-meldepflichtiger Anwendungen - Information des Betroffenen - Offenlegung der Identität des Auftraggebers b) D a t e n s i c h e r h e i t s m a ß n a h m e n

19 AG-Pflichten im Detail... Die Meldung an die DSK ( 17) Zweck - Registrierung im DVR; Transparenz für Betroffene Meldedaten - z.b. Auftraggeber, Zweck, Rechtsgrundlage, u.a. Ausgenommen von der Meldepflicht sind - ausschließlich veröffentlichte Daten - öffentlich einsehbare Register oder Verzeichnisse - indirekt personenbezogene Daten - Daten für ausschließlich persönliche und familiäre Zwecke ( 45) - Daten für publizistische Tätigkeiten ( 48) - Standardanwendungen sowie - Anwendungen für bestimmte öffentliche Interessen

20 Die Vorabkontrolle ( 18 Abs.2) Hierunter fallen Anwendungen, die - sensible Daten (vgl. 4 Z.2) - strafrechtlich relevante Daten (vgl. 8 Abs.4) - Informationen über die Kreditwürdigkeit eines Betroffenen oder - Daten in Form eines Informationsverbundsystems enthalten. Nach Prüfung (bzw. Verbesserung) der gemeldeten Anwendung erfolgt die Registrierung im DVR.

21 weitere Pflichten des Auftraggebers : - Die Offenlegung nicht-meldepflichtiger Datenanwendungen ( 23) - Die Informationspflicht ( 24) - Die Offenlegung der Identität ( 25) - Datensicherheitsmaßnahmen ( 14)

22 im Überblick... Die Rechte der Betroffenen (Sanktion: Rechtsdurchsetzung über DSK bzw. LG) Hierunter fallen insbesondere das Recht auf - Geheimhaltung personenbezogener Daten ( 1) - Unterlassung unzulässiger Verwendung ( 31,32) - Auskunft ( 26) - Richtigstellung oder Löschung ( 27) - Widerspruch ( 28) - Schadenersatz ( 33)

23 Betroffenenrechte im Detail : Das Recht auf Auskunft ( 26) Auskunftsbegehren sind schriftlich unter Nachweis der Identität zu stellen! Die Auskunft hat zu enthalten - welche Daten bestehen - welchen Zweck die Datenverwendung verfolgt - woher die Daten stammen - auf welcher Rechtsgrundlage die Erhebung erfolgte - wer der Empfänger von Übermittlungen sein kann sowie - Namen und Adresse allfälliger Dienstleister Keine Auskunft ist zu erteilen - zum Schutz des Betroffenen aus besonderen Gründen - bei überwiegenden berechtigten Interessen des AG / Dritten - bei überwiegenden öffentlichen Interessen - bei Verweigerung der Mitwirkung durch den Betroffenen

24 Das Recht auf Richtigstellung und Löschung ( 27) - unvollständige Daten - nicht benötigte Daten - Weiterverwendung von Daten für andere Zwecke Das Recht auf Widerspruch ( 28) - richtet sich gegen (an sich) zulässige Datenverwendungen; - überwiegend schutzwürdige Interessen des Betroffenen nötig; - ausgenommen sind gesetzlich vorgesehene Verwendungen

25 Der Schadenersatz ( 33) Der AG / DL haften für den schuldhaft und rechtswidrig zugefügten Schaden nach dem bürgerlichen Recht (ABGB). Umfang des Ersatzes (nach Verschuldensgrad) Leichte Fahrlässigkeit: nur Ersatz des eingetretenen Schadens Grobe Fahrlässigkeit / Vorsatz: Schaden und entgangener Gewinn In besonders schwerwiegenden Fällen, nämlich bei der Verwendung von - sensiblen Daten - strafrechtlich relevanten Daten oder - Daten über die Kreditwürdigkeit, die einer Bloßstellung i.s.d. Mediengesetzes ( 7) gleichkommt, ist auch der immaterielle Schaden (Schmerzensgeld) zu ersetzen.

26 Die Rechtsdurchsetzung im Wege der DSK Die Beschwerde nach 30 (nicht-rechtsförmliches Verfahren) DSK hat weitgehende Kontrollbefugnisse: bei begründetem Verdacht Prüfung jeder Datenanwendung ohne Vorliegen eines Verdachtes Prüfung nur der Vorabkontrolle unterliegender Anwendungen Die Empfehlung der DSK muss befolgt werden, ansonsten - Verfahren zur Überprüfung der Registrierung ( 22 Abs.4) - Strafanzeige nach 51, 52 - Klage vor dem Zivilgericht (bei privaten AG) oder - Befassung oberster Organe einer Gebietskörperschaft Die Beschwerde nach 31 (rechtsförmliches Verfahren) - Mandatsverfahren (bei Gefahr in Verzug; RM: Vorstellung) - Ordentliches Feststellungsverfahren (Bescheid; kein RM)

27 Die Zusammensetzung der DSK ( 36) - Kollegialbehörde mit richterlichem Einschlag (weisungsfrei) - Sechs rechtskundige Mitglieder - Vorschlag der Bundesregierung - Ernennung durch den Bundespräsidenten - Bestellungsdauer: 5 Jahre Der Datenschutzrat ( 41) Der DSR ist beim BKA eingerichtet und berät die Bundesregierung, sowie (auf Ersuchen) auch Landesregierungen in grundsätzlichen rechtspolitischen Fragen des Datenschutzes.