Grundzüge des Datenschutzrechts

Transkript

1 Linde Praktikerskripten Grundzüge des Datenschutzrechts von Kaja Unger, Prof. Dr. Werner Hauser 1. Auflage 2011 Grundzüge des Datenschutzrechts Unger / Hauser schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Linde Verlag Wien 2011 Verlag C.H. Beck im Internet: ISBN

2 Datenschutzrecht Datenschutzrecht Kaja Unger Inhalt Rechtsgrundlagen: Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 DSG 2000) BGBl I 165/1999 idf I 135/2009 Literaturauswahl: Bauer/Reimer (Hg), Handbuch Datenschutzrecht, Wien 2009 Dohr/Pollirer/Weis/Knyrim, Kommentar zum Datenschutzrecht, Wien 2009 Jahnel, Datenschutzrecht, Wien 2010 Jahnel/Siegwart/Fercher (Hg), Aktuelle Fragen des Datenschutzrechts, Wien 2007 Knyrim, Praxishandbuch Datenschutzrecht, Wien 2003 Pollirer/Weiss/Knyrim, Datenschutzgesetz idf DSG-Novelle 2010, Wien 2010 Judikaturauswahl: DSK , K /0002-DVR/2007 (Informationsverbundsystem) DSK , K /0007-DSK/2007 (Datenvernichtung) DSK 20. Juni 2008, Zl. K /0009- DSK/2009 (vorläufige Prüfung der Zulässigkeit) DSK , K /0002-DSK/2009 (Sozialversicherungsnummer) DSK , K /0004-DSK/2009 (Auskunftsbegehren) DSK , K /0007-DSK/2009 (Schularzt) DSK , K /0009-DSK/2010 (Auftraggeber- und Dienstleistereigenschaft) OLG Wien , 7 Ra 3/07y (Videoüberwachung) OGH , 6 Ob 148/00h (Sachverständigengutachten) OGH , 4 Ob 179/02f (Datenschutz in ABB der Banken) OGH , 6 Ob 275/05t (Warnliste der Banken) OGH , 6 Ob A 1/06z (Betriebsrat als Betroffener) OGH , 4 Ob 221/06p (Zustimmung zur Datenweitergabe) OGH , 6 Ob 195/08g (Widerspruchsrecht) OGH , 6 Ob 247/08d (Kreditauskunftei) DSK , K /007-DSK/2002 (Drittschuldnererklärung) DSK , K /0009-DSK/2004 (Zweckbeschränkung) OGH , 12 Os 28/10z (Ermittlung personenbezogener Daten als Amtsgeschäft der Hoheitsverwaltung) OGH , 6 Ob 2/10b (Informationsverbundsystem) VfGH , G 147/06 (Section-Control) VwGH , 2004/06/0086 (Der Akt als Datei) VwGH , 2004/06/0221 (Identitätsnachweis) 1. Einleitung Begriffsbestimmungen Daten Personenbezogene Daten Indirekt personenbezogene Daten Anonyme Daten Sensible Daten Öffentliche Daten Datei Datenverwendung... 7 LPS LINDE Praktiker Skripten Special 1

3 Kaja Unger Datenverarbeitung Datenüberlassung Datenübermittlung Datenanwendung Auftraggeber Dienstleister Private Dienstleister Öffentliche Dienstleister Dienstleister als Auftraggeber Dienstleisterpflichten Betroffene Betroffenenrechte Informationsverbundsystem Grundrecht auf Datenschutz Unmittelbare Drittwirkung Geheimhaltungsschutz Zulässige Eingriffe in das Grundrecht Zustimmung des Betroffenen Lebenswichtige Interessen des Betroffenen Überwiegende berechtigte Interessen anderer Eingriffe durch staatliche Behörden Zulässigkeitsprüfung Berechtigung des Auftraggebers Schutzwürdige Geheimhaltungsinteressen Verwendung nicht sensibler Daten Verwendung sensibler Daten ( 9 DSG) Erforderliches Ausmaß, gelindestes Mittel Allgemeine Grundsätze für die Datenverwendung Grundsatz von Treu und Glauben Grundsatz der strengen Zweckbindung Grundsatz der Wesentlichkeit Grundsatz sachlicher Richtigkeit und Aktualität Grundsatz der Datenlöschung Datenübermittlung und -überlassung Datenübermittlung im Inland Übermittlung und Überlassen von Daten ins Ausland Staaten mit angemessenem Schutzniveau Ausnahmen Dringend erforderlicher Datentransfer Genehmigungspflichtiger Datentransfer Datensicherheit Datensicherheitsmaßnahmen Technische Erfordernisse und Organisationsstruktur Belehrungspflicht Zutritts- und Zugriffsprinzip Betrieb von Datenverarbeitungsgeräten Protokollierungspflicht Kontrollverbot Dokumentationspflicht Aufbewahrungspflicht Sanktionen Datengeheimnis LPS LINDE Praktiker Skripten Special

4 Datenschutzrecht 8. Datenverarbeitungsregister (DVR) Einsichtnahme Gebührenbefreiung Meldepflicht und Registrierungsverfahren Meldezeitpunkt Meldung einer Rechtsnachfolge Amtswegige Berechtigung Inhalt der Meldung Registrierungsverfahren DVR-Online Manuelles Registrierungsverfahren DVR-Nummer Verbesserungsverfahren Vorabkontrolle Meldungsfreie Datenanwendungen Allgemeine Meldefreiheit Standardanwendung Musteranwendung Kontrollbefugnisse der Datenschutzkommission Datenverarbeitung mit Vorabkontrolle Informationsverbundsystem Videoüberwachung Zulässigkeitsprüfung Unzulässige Videoüberwachungen Kennzeichnungspflicht Protokollierungs- und Löschungspflicht Auskunftsrecht Zufällige Aufzeichnung strafbarer Handlungen Übergangsbestimmung Informationspflichten des Auftraggebers Allgemeine Informationspflicht Data Breach Notification Duty Form Ausnahmen von der Informationspflicht Offenlegung der Identität des Auftraggebers Betroffenenrechte Recht auf Auskunft Auskunftsberechtigte Auskunftspflichtige Auskunftsfrist Auskunftsform Inhalt der Auskunft Negativauskunft und Auskunftsverweigerung Recht auf Richtigstellung und Löschung Antragsberechtigte Richtigstellungs- und Löschungspflicht Richtigstellungs- und Löschungsfrist Recht auf Widerspruch Widerspruch nach 28 Abs 1 DSG Widerspruch nach 28 Abs 2 DSG Erledigungsfrist und Sanktion Mitteilungspflicht LPS LINDE Praktiker Skripten Special 3

5 Kaja Unger 13. Besondere Kontrollorgane Datenschutzkommission Datenschutzrat Rechtsschutz Eingabe an die Datenschutzkommission Beschwerden an die DSK Anrufung der Gerichte Strafrechtliche Verfolgung Anknüpfungspunkt Sitzstaatprinzip 1. Einleitung Das Datenschutzgesetz (BGBl I 165/1999 idf BGBl I 133/2009; im Folgenden kurz: DSG) knüpft an die Verwendung von personenbezogenen Daten (siehe Punkt 2.1) in Österreich an. Darüber hinaus ist das DSG auch auf ausländische Daten anzuwenden, wenn diese zwar in einem anderen Mitgliedstaat der EU verwendet werden, die Verwendung aber für eine in Österreich gelegene Hauptoder Zweigniederlassung erfolgt ( 3 Abs 1 DSG). Ausnahmen von dieser Regelung bestehen zugunsten des Sitzstaatprinzips. Dieses Prinzip soll Unternehmen davor bewahren, durch die Anwendung verschiedener Rechtsordnungen belastet zu werden: Werden personenbezogene Daten in Österreich für einen in einem anderen EU-Staat niedergelassenen privaten Auftraggeber verwendet und zwar für einen Zweck, der keiner österreichischen Niederlassung des Auftraggebers zuzurechnen ist, ist das Recht des Sitzstaates des Auftraggebers auf diese Datenverarbeitung anzuwenden ( 3 Abs 2 DSG). Auch wenn personenbezogene Daten lediglich durch Österreich durchgeführt werden, ist das DSG nicht anzuwenden; eine aus technischen Gründen erforderliche kurzfristige Speicherung in Österreich ist möglich ( 3 Abs 3 DSG). Beispiel Die Ermittlung von Daten in Österreich durch die Niederlassung einer luxemburgischen Bank in Österreich unterliegt österreichischem Datenschutzrecht. Wird die Datenermittlung jedoch von einer luxemburgischen Bank ohne Niederlassung in Österreich vorgenommen, so fällt diese nicht unter österreichisches, sondern unter luxemburgisches Recht. 4 LPS LINDE Praktiker Skripten Special