Datenschutzrecht. Dietmar Jahnel. Inhaltsübersicht

Transkript

1 Datenschutzrecht Inhaltsübersicht I. Regelungsgegenstand und -ziele II. Verfassungsrechtliche Bezüge Kompetenzrechtliche Bestimmungen Grundrechtliche Bestimmungen III. Europarechtliche Bezüge Umsetzung der Datenschutzrichtlinie Neuere Entwicklungen IV. Grundlagen Räumlicher Anwendungsbereich Die Rollenverteilung im Datenschutzrecht Weitere Begriffsbestimmungen Öffentlicher Bereich Privater Bereich V. Das Grundrecht auf Datenschutz Recht auf Geheimhaltung personenbezogener Daten Die Rechte auf Auskunft, Richtigstellung und Löschung VI. Verwendung von Daten Zulässigkeitsprüfung Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten Übermittlung von Daten Datenübermittlung ins Ausland VII. Datensicherheit Datensicherheitsmaßnahmen Datengeheimnis VIII. Publizität der Datenverarbeitungen Datenverarbeitungsregister (DVR) Offenlegungs- und Informationspflichten des Auftraggebers IX. Die Rechte des Betroffenen Die Betroffenenrechte im Überblick Auskunftsrecht Recht auf Richtigstellung oder Löschung Widerspruchsrecht

2 X. Besondere Verwendung von Daten Besondere Verwendungszwecke Besondere Verwendungsarten XI. Strafbestimmungen Datenverwendung in Gewinn- oder Schädigungsabsicht Verwaltungsstrafbestimmung Befreiung von Gebühren, Abgaben und vom Kostenersatz XII. Bereichsspezifischer Datenschutz Sicherheitspolizeigesetz (SPG) Telekommunikationsgesetz 2003 (TKG 2003) Gewerbeordnung (GewO) Datenschutz im Bereich der Gerichtsbarkeit XIII. Kontrollorgane, Rechtsschutz Kontrollorgane Kontrollbefugnisse der DSK Beschwerde an die DSK Klage vor den ordentlichen Gerichten Schadenersatz Rechtsgrundlagen Kompetenzgrundlagen 2 DSG 2000 ( Angelegenheiten des Schutzes personenbezogener Daten im auto mationsunterstützten Datenverkehr ). Verfassungsrechtliche Bezüge 1 DSG 2000 (Grundrecht auf Datenschutz); Art 8 Abs 2 EMRK (Achtung des Privat- und Familienlebens). Europarechtliche Bezüge Art 7 und 8 GRC; Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DS-RL), ABl L 1995/281, 31 idf L 2003/284, 1; Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl L 2002/201, 37 idf L 2009/337, 11; Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, ABl L 2006/105, 54; Vorschlag für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung), KOM (2012) 11 endg. Entscheidung der Kommission gemäß der RL 95/46/EG über die Angemessenheit des von den Grundsätzen des sicheren Hafens und der diesbezüglichen Häufig gestellten Fragen (FAQ) gewährleisteten Schutzes, ABl L 2000/215, 7 idf L 2001/115, 14; Beschluss der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl L 2010/39,

3 Datenschutzrecht Völkerrechtliche Bezüge Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, BGBl 317/1988 (Datenschutzkonvention des Europarates). Gesetze und sonstige Rechtsgrundlagen Bund: Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 DSG 2000), BGBl I 165/1999 idf I 112/2011; 51 ff Sicherheitspolizeigesetz (SPG), BGBl 1991/566 idf I 13/2012; 92 ff Telekommunikationsgesetz 2003 (TKG 2003), BGBl I 70/2003 idf I 102/2011; 151 Gewerbeordnung 1994 (GewO), BGBl 94/1994 idf I 6/2012; 83 ff Gerichtsorganisationsgesetz (GOG), RGBl 217/1896 idf BGBl I 26/2012. Länder: Bgld Datenschutzgesetz, LGBl 87/2005; Krnt Informations- und Statistikgesetz, LGBl 70/2005 idf 64/2010; NÖ Datenschutzgesetz, LGBl ; Oö Auskunftspflicht- und Datenschutzgesetz, LGBl 46/1988 idf 108/2011; Sbg Auskunftspflicht- und Datenschutzgesetz, LGBl 73/1988 idf 60/2011; Stmk Datenschutzgesetz, LGBl 39/2001; Tir Datenschutzgesetz, LGBl 60/2003; Vlbg Landes-Datenschutzgesetz, LGBl 19/2000; Wr Datenschutzgesetz, LGBl 125/2001. Verordnungen: Standard- und Muster-Verordnung 2004, BGBl II 312/2004 idf II 105/2011; Datenverarbeitungsregister-Verordnung 2012, BGBl II 257/2012; Datenschutzangemessenheits-Verordnung, BGBl II 521/1999. Literaturauswahl Monographien Kommentare Handbücher zum DSG 2000: Knyrim, Datenschutzrecht. Praxishandbuch 2 (2012); Jahnel, Handbuch Datenschutzrecht (2010). Kommentare zum DSG 2000: Dohr/Pollirer/Weiss/Knyrim, Datenschutzgesetz 2 (Loseblattausgabe); Pollirer/Weiss/Knyrim, Datenschutzgesetz (2010). Kommentare zur DS-RL: Ehmann/Helfrich, EG-Datenschutzrichtlinie (1999); Dammann/ Simitis, EG-Datenschutzrichtlinie: Kommentar (1997). Monografien: Berka, Das Grundrecht auf Datenschutz im Spannungsfeld zwischen Freiheit und Sicherheit (2012); M. Auer, Das Grundrecht auf Datenschutz im Unternehmen (2011); Schrems, Private Videoüberwachung. Ein Leitfaden (2011). Einführungen: Unger, Grundzüge des Datenschutzrechts (2011); W. Graf, Datenschutzrecht im Überblick 2 (2010). Sammelbände: Jahnel (Hrsg), Datenschutzrecht. Jahrbuch (erscheint jährlich seit 2008); N. Raschauer (Hrsg), Datenschutzrecht 2010 (2011); Bogendorfer (Hrsg), Datenschutz im Unternehmen. Das Spannungsfeld der einzelnen Interessen (Wien); Brodil (Hrsg), Datenschutz im Arbeitsrecht (2010); L. Bauer/Reimer (Hrsg), Handbuch Datenschutzrecht (2009). Beiträge Die Aufsatzliteratur zum Datenschutzrecht ist mittlerweile so umfangreich, dass an dieser Stelle zunächst auf die Zeitschrift jusit (Verlag LexisNexis) und das Jahrbuch Datenschutzrecht (Neuer Wissenschaftlicher Verlag) hingewiesen wird: In beiden periodischen Publikation erscheinen laufend zahlreiche Beiträge zum Datenschutzrecht. Im Folgenden kann daher nur auf einige ausgewählte Arbeiten zu aktuellen Fragestellungen bzw von allgemeiner und grundlegender Bedeutung hingewiesen werden: 417

4 Aktuelle Themen: Zellhofer/Liebel, Cloud Computing und Datenschutz Zeit für klare Sicht; ecolex 2012, 88; Schrems, Facebook: Überwachung auf freiwilliger Basis?, juridikum 2011, 523; Feiler, Der Vorschlag der Europäischen Kommission für eine Datenschutz- Grundverordnung der EU, MR-Int 2011, 127; Dörfler, Schadenersatz nach Hackerangriff, AnwBl 2011, 451; Ennöckl, EuGH zur Veröffentlichung von EU-Agrarbeihilfen: (vorläufiges) Ende der Transparenz, ÖJZ 2011/100, 955; G. König, Videoüberwachung (in der betrieblichen Praxis), in Bogendorfer (Hrsg), Datenschutz im Unternehmen (2011) 23; Leissler, Soziale Netzwerke und Datenschutzrecht, in Jahnel (Hrsg), Datenschutzrecht. Jahrbuch 2011 (2011) 103; Hattenberger, Die Bestimmungen des DSG zur Videoüberwachung Hat sich der Aufwand gelohnt?, in Jahnel (Hrsg), Datenschutzrecht. Jahrbuch 2011 (2011) 117; Sedef, The Social Network (k)ein Recht auf Datenlöschung?, Zak 2011/351, 183; Knyrim/Haidinger, Cloud Computing trübe Aussichten für ein neues Geschäftsmodell?, ecolex 2011, 562; Peyerl, Cloud Computing Datenschutzrechtliche Aspekte bei der Datenverarbeitung in der Wolke, jusit 2011/30, 57; Thiele, Aktuelles zur Videoüberwachung Erste Erfahrungen nach der DSG Novelle 2010, Teil 1+2, jusit 2010/107, 219; Knoll, Zur datenschutzrechtlichen (Un)Zulässigkeit von Google Street View, jusit 2010/10, 16; Jahnel, Whistleblowing-Hotlines im Datenschutzrecht, ecolex 2009, 1028; Stessl, Internetsuch maschinen und Datenschutz, in Jahnel (Hrsg), Datenschutzrecht und E-Government. Jahrbuch 2009 (2009) 91. Allgemeine und grundlegende Aufsätze: Kastelitz/Neugebauer, Aspekte der datenschutzrechtlichen Zustimmung(sfähigkeit) Minderjähriger, in Jahnel (Hrsg), Datenschutzrecht. Jahrbuch 2011 (2011) 71; Dürager, Datenschutz beim Unternehmenskauf Welche datenschutzrechtlichen Grenzen im Rahmen eines Share Deal oder Asset Deal zu beachten sind, jusit 2010/106, 209; Bierlein, Zum Grundrecht auf Datenschutz, in FS Klecatsky (2010) 79; Forgó/Kastelitz, Das Widerspruchsrecht gemäß 28 Abs 2 DSG 2000 eine Analyse, in Jahnel (Hrsg), Datenschutzrecht und E-Government. Jahrbuch 2009 (2009) 13; Kucsko- Stadlmayer, Parlamentarische Kontrolle, Amtsverschwiegenheit und Datenschutz, in Bußjäger (Hrsg), Die Zukunft der parlamentarischen Kontrolle (2009) 91; Kunnert, Das Section Control-Erkenntnis des VfGH vom 15. Juni 2007 und seine Bedeutung für die Auslegung des Datenschutzgrundrechts sowie des Grundsatzes der hinreichenden Bestimmtheit von Gesetzen, in Lienbacher/Wielinger (Hrsg), Öffentliches Recht. Jahrbuch 2008 (2008) 251; Duschanek, Datenschutzrecht, in Holoubek/Potacs (Hrsg), Handbuch des öffentlichen Wirtschaftsrechts I 2 (2007) 299; Grabenwarter, Datenschutzrechtliche Anforderungen an den Umgang mit Kundendaten im Versandhandel, ÖJZ 2000, 861; Jahnel, Datenschutz im Internet. Rechtsgrundlagen, Cookies und Web-Logs, ecolex 2001, 84; Kotschy, Grundrechte und staatliche EDV-Register, in ÖJK (Hrsg), Grundrechte in der Informationsgesellschaft (2001) 88; Rosenmayr-Klemenz, Zum Schutz manuell verarbeiteter Daten durch das DSG 2000, ecolex 2001, 639. Judikaturauswahl EuGH , C-468/10, C-469/10 (ASNEF/FECEMD) = jusit 2012/29, 68 (Thiele); EuGH , C-92/09, C 93/09 (Volker und Markus Schecke und Eifert) = ZfRV-LS 2011/1, 16 (Lengauer); EuGH , C-73 / 07 (Satakunnan Markkinapörssi und Satamedia) = jusit 2009 / 13, 28 (Jahnel) = MR-Int 2009, 14 (Wittmann) (auch veröffentliche Daten fallen unter den Datenschutz); EuGH , C-101/01 [Lindqvist] (Homepage ist kein Übermitteln von Daten in Drittländer). VfSlg 18975/2009 = jusit 2010/47, 114 (Jahnel) (Grundrechtsverletzung durch FMA- Auftrag); VfSlg = ZVR 2009/45, 105 (Pürstl) = jusit 2009/29, 63 (Jahnel) (keine gesetzliche Grundlage für Videoabstandsmessung); VfSlg 18300/2007 (Papierakt ist keine Datei); VfSlg 12166/1989 (Datenübermittlung aus Verwaltungsakten an den VfGH); VfSlg 12228/1989 (Veröffentlichungspflicht von Wirtschaftsdaten). 418

5 Datenschutzrecht OGH , 6 Ob 41/10p = jusit 2010/69, 146 (Kastelitz/Leiter) (Löschung von Daten); OGH , 6 Ob 195/08g = jusit 2009/14, 28 (Dörfler) (Widerspruchsrecht bei Bonitätsdatenbanken); OGH , 6 Ob 275/05t = MR 2006, 83 (Knyrim) = SZ 2005/181 (immaterieller Schadenersatz); OGH , 6 Ob 148/00h = SZ 73/105 (Sachverständigengutachten ist keine Datei); RS-Justiz RS (Zustimmung nach 4 Z 14); LG Feldkirch , 2 R 48/11s = jusit 2011/88, 182 (Thiele). VwGH , 2009/17/0064 = jusit 2010/32, 77 (Jahnel) (Papierakt ist keine Datei). I. Regelungsgegenstand und -ziele Mit dem Sammeln von Daten durch den Staat und durch Private wurde schon lange vor dem EDV-Zeitalter begonnen. Die neuen technischen Möglichkeiten des unmittelbaren Zugriffs und der Verknüpfung verschiedener Datenbestände durch den Einsatz der elektronischen Datenverarbeitung brachten jedoch ein völlig neues Potenzial an Gefährdung der menschlichen Privatsphäre mit sich. Etwa seit Beginn der Siebzigerjahre wird versucht, dieser Angst vor dem gläsernen Menschen mit eigenen Datenschutzgesetzen zu begegnen. In Österreich war dies das Datenschutzgesetz 1978, das den Schutz der Privatsphäre betonte und verschiedene Informations- und Abwehrrechte für die von der Datenverarbeitung Betroffenen einführte. In der Praxis zeigte sich jedoch bald, dass die Bürger diese neuen Rechte kaum in Anspruch nahmen. Dies führte in den Achtzigerjahren zu einer neuen Sichtweise des Datenschutzes nicht mehr als bloßes Abwehrrecht, sondern auch als Gestaltungsrecht. Das im Volkszählungsurteil des deutschen Bundesverfassungsgerichts 1983 erstmals festgehaltene Grundrecht auf informationelle Selbstbestimmung wurde in den folgenden Jahren zum Leitmotiv der europäischen Datenschutzentwicklung. Für Österreich brachte die Datenschutzrichtlinie der Europäischen Union, die nach vielen Jahren zäher Verhandlungen 1995 verabschiedet wurde, die Verpflichtung zu einer tief greifenden Revision der Datenschutzvorschriften. Das Ergebnis der Umsetzung ist das Datenschutzgesetz 2000 (DSG 2000). Durch die DSG-Novelle 2010 wurden neben zahlreichen punktuellen Änderungen va ein neues Kapitel über Videoüberwachung und ein elektronisches Meldeverfahren eingeführt. Die zunächst ebenfalls vorgesehene Vereinfachung der Formulierung des Grundrechts auf Datenschutz und Neuregelung der Kompetenzgrundlagen sind daran gescheitert, dass im Dezember 2009 keine parlamentarische Mehrheit für eine Verfassungsänderung gefunden werden konnte. Alle datenschutzrechtlichen Regelungen gelten für jede Art von Datenverarbeitung, online ebenso wie offline, ja sogar für manuell geführte Karteien. Datenverwendungen im Internet unterliegen daher ebenso dem Datenschutzrecht, weshalb im Rahmen dieses Lehrbuchbeitrags auf ein eigenes Kapitel Datenschutz im Internet verzichtet werden kann. Auf Spezialfra- 419

6 gen, die sich bei der Datenverarbeitung im Internet ergeben, wird im jeweiligen Zusammenhang hingewiesen (wie zb Fragen des anwendbaren Rechts, Qualifikation von Logfiles als personenbezogene Daten, Auftraggebereigenschaft bei Social Networks etc). II. Verfassungsrechtliche Bezüge 1. Kompetenzrechtliche Bestimmungen Die Kompetenzgrundlage für Gesetzgebung und Vollziehung in Datenschutzangelegenheiten ist durch Verfassungsbestimmung in 2 geregelt: Danach ist Bundessache die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr. Manuell geführte Dateien für Zwecke von Angelegenheiten, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gelten nach 58 als Datenanwendung nach dem DSG Der Gesetzgeber geht dabei offensichtlich davon aus, dass die Zuständigkeit zur Führung manueller Dateien als Annexkompetenz in den jeweiligen Bundeskompetenzen enthalten ist. Damit besteht die Gesetzgebungskompetenz des Bundes zwar hinsichtlich aller Angelegenheiten des Datenschutzes bei automationsunterstützter Datenverarbeitung, nicht aber hinsichtlich manuell bearbeiteter Dateien, die für Zwecke einer Angelegenheit geführt werden, die der Gesetzgebungskompetenz der Länder zuzuordnen ist. Für diesen Bereich wurden in allen Bundesländern eigene Datenschutzgesetze erlassen. 2. Grundrechtliche Bestimmungen Das durch Verfassungsbestimmung geregelte Grundrecht auf Datenschutz wird in einem eigenen Abschnitt ausführlich dargestellt (s V.). In einem engen Zusammenhang damit steht das Grundrecht auf Achtung des Privatund Familienlebens nach Art 8 EMRK. Die Grundrechtscharta der EU (GRC), die am in Kraft getreten ist, sieht in Art 7 ein Recht auf Achtung des Privatlebens und in Art 8 unter dem Titel Schutz personenbezogener Daten ein eigenes Grundrecht auf Datenschutz vor. Diese europäischen Grundrechte haben bereits Eingang in die EuGH-Judikatur gefunden: Im Zusammenhang mit der Veröffentlichung personenbezogener Daten über die Empfänger von Agrarbeihilfen hat der EuGH die Grundrechtswidrigkeit eines Rechtsakts des Sekundärrechts festgestellt und diesen für ungültig erklärt (EuGH , C-92/09, C 93/09 [Volker und Markus Schecke und Eifert] = ZfRV-LS 2011/1, 16 [Lengauer]). 420

7 Datenschutzrecht III. Europarechtliche Bezüge 1. Umsetzung der Datenschutzrichtlinie Die bis heute wichtigste sekundärrechtliche Grundlage für das Datenschutzrecht in der Europäischen Union, die Europäische Datenschutzrichtlinie 95/46/EG (DS-RL) stammt aus dem Jahr Diese RL wurde durch das DSG 2000 in österreichisches Recht umgesetzt. Dabei hat der österreichische Gesetzgeber nicht immer eine glückliche Hand bewiesen: Teilweise sind die Bestimmungen im DSG 2000 viel umständlicher und unübersichtlicher als ihre Vorgaben in der DS-RL, teilweise ist die Umsetzung unzureichend, der RL widersprechend oder in der Textierung leicht abweichend von den Vorgaben erfolgt und zwar an Stellen, die keinen Spielraum lassen. Auf derartige Defizite bei der Umsetzung, die etwa beim Schutz sensibler Daten, bei der Privilegierung indirekt personenbezogener Daten, bei den automatisierten Einzelentscheidungen oder bei den Fristen für die Betroffenenrechte festzustellen sind, wird im jeweiligen Zusammenhang hingewiesen. Für den Rechtsunterworfenen bedeutet dieser Umstand eine erhebliche Rechtsunsicherheit: Er hat neben den Bestimmungen des DSG 2000 immer auch die DS-RL zu beachten, weil in den Fällen der mangelhaften Umsetzung von einer unmittelbaren Anwendbarkeit der DS-RL auszugehen ist. In diesem Zusammenhang hat der EuGH jüngst seine ständige Judikatur nochmals verdeutlicht: Danach schafft die DS-RL nicht bloß einen Mindeststandard für den Datenschutz in der Europäische Union, sondern zielt auf eine Vollharmonisierung der Rechte der Mitgliedsstaaten ab, um den freien Verkehr personenbezogener Daten im Binnenmarkt zu gewährleisten, sofern die Bestimmungen der DS-RL den Mitgliedstaaten nicht ausdrücklich ein Ermessen bei der Umsetzung einräumen. Außerdem wurde bereits mehrfach bestimmten Regelungen der DS-RL (wie im konkreten Fall dem Art 7 lit f DS-RL über den Zulässigkeitsgrund der Interessenabwägung) unmittelbare Wirkung zugesprochen (EuGH , C-468/10, C-469/10 (ASNEF/ FECEMD) = jusit 2012/29, 68 [Thiele]). 2. Neuere Entwicklungen Der bereichspezifische Datenschutz im Telekommunikationssektor wurde durch eine eigene Datenschutzrichtlinie für elektronische Kommunikation ( eprivacy- Richtline ) neu geregelt, die ua Vorschriften betreffend Cookies, Speicherung von Verkehrsdaten, Rufnummernanzeige, Standortdaten und unerbetene Nachrichten enthält. Weiters wurde im Jahr 2006 die bis heute höchst umstrittene Richtlinie über die Vorratsdatenspeicherung verabschiedet. Zur Umsetzung dieser beiden RL im österreichischen Recht Telekommunikationsrecht. 421

8 Infolge der raschen technologischen Entwicklung und der Globalisierung ist die allgemeine DS-RL aus 1995 in die Jahre gekommen. Phänomene wie Cloud-Computing, verhaltensbasierte Werbung oder soziale Netzwerke stellen den Datenschutz vor neue Herausforderungen. Aufgrund dieser Erkenntnisse ist auf europäischer Ebene ein Vorschlag für eine Datenschutz-Grundverordnung ausgearbeitet worden, die die DS-RL ablösen soll. Diese basiert zwar auf dem bisherigen System des europäischen Datenschutzrechts, sieht aber zt erhebliche Änderungen vor. Die weitere Rechtsentwicklung auf europäischer Ebene ist daher laufend zu verfolgen. IV. Grundlagen 1. Räumlicher Anwendungsbereich Grundsätzlich ist das DSG 2000 auf jede Datenverwendung in Österreich anzuwenden. Eine Durchbrechung des Territorialitätsprinzips besteht aber zu Gunsten des Sitzstaatsprinzips innerhalb der EU. Dies bedeutet, dass auf eine Datenverarbeitung in Österreich dann das Recht des Sitzstaates (eines anderen EU-Staates) anzuwenden ist, wenn Daten in Österreich für einen Auftraggeber des privaten Bereichs aus einem anderen EU-Staat verarbeitet werden, ohne dass der Auftraggeber eine feste Betriebsstätte ( Niederlassung isd 4 Z 15) in Österreich hat. Umgekehrt gilt österr Datenschutzrecht in einem anderen EU-Staat dann, wenn ein österr Rechtsträger eine Datenverarbeitung im EU-Ausland betreibt, ohne dass er für die Verfolgung seiner Interessen dort eine Niederlassung besitzt. Der Begriff der Niederlassung ist weit und meint jede durch feste Einrichtungen an einem bestimmten Ort räumlich und funktional abgegrenzte Organisationseinheit, die am Ort ihrer Einrichtung auch tatsächlich Tätigkeiten ausübt. Für einen Rechtsträger mit Sitz in einem EU-Mitgliedstaat ist also der Ort der Niederlassung der maßgebliche Anknüpfungspunkt für die Frage des anwendbaren nationalen Rechts. Hat der Rechtsträger seinen Sitz außerhalb der EU, ist Anknüpfungspunkt der Ort der Datenverarbeitung. Liegt dieser in Österreich, ist das DSG 2000 anwendbar. Ausgenommen vom Anwendungsbereich des DSG 2000 ist die bloße Durchfuhr personenbezogener Daten durch Österreich. Die (rechtlichen) Möglichkeiten der Umgehung des Datenschutzrechts durch Auslagerung einer Datenverarbeitung etwa über das Internet außerhalb der EU sind geringer, als es auf den ersten Blick erscheint. Der Begriff der Verwendung von Daten ist nämlich sehr weit und umfasst das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Übermitteln, Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Da- 422

9 Datenschutzrecht ten ( 4 Z 8 und 9). Es genügt also die Durchführung einer dieser Handlungen in Österreich für die Anwendbarkeit des österreichischen Datenschutzrechts. In diesem Fall ist ein Auftraggeber, der nicht im Gebiet der EU niedergelassen ist, außerdem nach 6 Abs 3 verpflichtet, einen in Österreich ansässigen Vertreter zu benennen, der verantwortlich gemacht werden kann. Soweit ersichtlich, kommt diese Bestimmung in der Praxis aber kaum zur Anwendung. Beispiele: Die Datenverarbeitung einer Niederlassung einer österr Bank in Slowenien unterliegt slowenischem Recht, unabhängig davon, ob die Niederlassung rechtlich selbständig oder unselbständig ist. Wenn ein Holländer in einem italienischen Schigebiet mit einer personalisierten Wochenkarte Schi fährt und die Daten des Zugangskontrollsystems bei der Herstellerfirma dieses Systems in Österreich gespeichert werden, kommt italienisches Datenschutzrecht zur Anwendung. Für die Datenverwendung von Facebook als Auftraggeber kommt irisches Datenschutzrecht zur Anwendung, da sich die europäische Niederlassung von Facebook in Irland befindet. Die Datenverarbeitung eines Internet-Providers aus Russland, der einen Server in Österreich anmietet, unterliegt dem österr Datenschutzrecht. 2. Die Rollenverteilung im Datenschutzrecht Das Verständnis der datenschutzrechtlichen Rollenverteilung mit der ihm eigenen Terminologie ist wesentlich für die Beantwortung der Frage nach den Trägern der Rechte und Pflichten im DSG 2000: Auf der einen Seite steht der Auftraggeber, der personenbezogene Daten in eigener Verantwortung verwendet. Im gegenüber steht der Betroffene, dessen Daten verwendet werden und der dadurch Träger bestimmter Rechte gegenüber dem Auftraggeber ist. Dazu kann auf Seiten des Auftraggebers gewissermaßen als Gehilfe ein Dienstleister hinzutreten, der Daten verwendet, die ihm zur Herstellung eines aufgetragenen Werkes überlassen wurden. a) Auftraggeber ( 4 Z 4) Auftraggeber sind natürliche oder juristische Personen, Personengemeinschaften (zb OG, KG, Gesellschaft nach bürgerlichem Recht) oder Organe einer Gebietskörperschaft oder die Geschäftsapparate solcher Organe (zb Amt der Landesregierung), wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verwenden und zwar unabhängig davon, ob sie die Daten selbst verwenden oder damit einen Dienstleister beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister die Entscheidung trifft, zu diesem Zweck Daten zu verwenden, es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden. 423

10 Zu beachten ist, dass es sich beim recht kompliziert definierten datenschutzrechtlichen Begriff des Auftraggebers um einen eigenständigen Rechtsbegriff handelt, der vom zivilrechtlichen Auftragsvertrag und vom Begriff der Weisung zu unterscheiden ist. Derselbe Rechtsbegriff Auftrag hat also unterschiedliche Bedeutungen, je nach dem, ob er in zivilrechtlichem oder in datenschutzrechtlichem Sinn verwendet wird. So erfolgt auch die Definition des (datenschutzrechtlichen) Begriffs des Auftraggebers unter Verwendung des zivilrechtlichen Begriffs des Auftrags. Gedanklich orientiert man sich daher besser an der Terminologie der DS-RL, die in der deutschen Fassung vom für die Verarbeitung Verantwortlichen bzw in der englischen Fassung vom controller spricht. Abgrenzungsprobleme zwischen der Rolle des Auftraggebers und der des Dienstleisters ergeben sich insbesondere bei freien Berufen (zb Wirtschaftstreuhänder, Rechtsanwälte, Notare, Ziviltechniker) ebenso wie bei gewerblichen Dienstleistungsberufen (zb Unternehmensberater, Immobilienverwalter, Inkassobüros). Diese werden nur dann datenschutzrechtliche Auftraggeber, wenn sie die Entscheidung über die Verarbeitung der überlassenen Daten auf Grund von Rechtsvorschriften oder Verhaltensregeln eigenverantwortlich zu treffen haben. Im Einzelfall muss daher die Entscheidung über die Auftraggebereigenschaft aus einer Gesamtschau der in der österreichischen Rechtsordnung bestehenden Vorschriften über die jeweilige Berufsgruppe einschließlich allfälliger Verhaltensregeln, die von den gesetzlichen Interessenvertretungen oder Berufsverbänden ausgearbeitet und daher auch nicht im BGBl kundgemacht werden, getroffen werden! Es erscheint zweifelhaft, ob diese Regelung mit dem Rechtsstaatsprinzip vereinbar ist. Den Auftraggeber treffen folgende Pflichten: Verantwortung für die Zulässigkeit der Verwendung von Daten Vorkehrungen zur Datensicherheit Registrierungspflicht Informationspflicht, Auskunftspflicht, Pflicht zur Richtigstellung und Löschung. Beispiele: Bei Überlassung von Daten an einen Rechtsanwalt zur Einbringung einer Mahnklage wird der Rechtsanwalt datenschutzrechtlicher Auftraggeber. Die Eigenverantwortlichkeit dafür lässt sich mit guten Gründen aus den Standesregeln der Rechtsanwälte und weiteren Bestimmungen, wie etwa den Regelungen über den Elektronischen Rechtsverkehr, ableiten. Bei Überlassung von Daten an ein Inkassobüro zur Einbringlichmachung von offenen Forderungen hingegen bleibt der Gläubiger datenschutzrechtlicher Auftraggeber. Die bestehenden Regelungen über Inkassobüros geben keine Hinweise auf eine Eigenverantwortlichkeit bei der Datenverarbeitung, Verhaltensregeln wurden (soweit ersichtlich) bisher nicht erlassen. Zum gleichen Ergebnis kam die DSK betreffend Steuerberater als Lohnverrechner: Da es keine nachweisbare Rechtsquelle gibt, die dem Steuerberater eine eigenverantwortliche Entscheidung für die hier zu beurteilende Durch- 424

11 Datenschutzrecht führung der Lohn- und Gehaltsverrechnung einräumen würde, wird dieser nicht zum datenschutzrechtlichen Auftraggeber (DSK , K / 0011-DSK / 2005). Bei der Übermittlung von elektronischer Post ( ) ist der Versender Auftraggeber und nicht der Provider. Für die Daten, die neben der Nachricht zum Betrieb des Dienstes erforderlich sind (Adresse von Absender und Empfänger, Übermittlungsdaten), ist der Provider Auftraggeber (siehe zu den Sonderbestimmungen des TKG Telekommunikationsrecht.) Bei Heranziehung eines Adressenvermittlers zur Durchführung einer Werbeaussendung an eine bestimmte Berufsgruppe ist der Adressenvermittler datenschutzrechtlicher Auftraggeber, wenn ausschließlich Adressenmaterial des Adressenvermittlers verwendet wird. In diesem Fall wird die Auftraggebereigenschaft in den verschiedenen Konstellationen in den Verhaltensregeln gem 6 Abs 4 DSG 2000 für die Ausübung des Gewerbes gem 151 GewO (Adressverlage und Direktmarketingunternehmen) festgelegt. b) Betroffener ( 4 Z 3) Betroffener ist jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden. Der Betroffene ist der Träger der wesentlichen Rechte nach dem DSG. c) Dienstleister ( 4 Z 5) Dienstleister sind natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden. Die Pflichten des Dienstleisters sind in 11 geregelt. Beispiele: Bei der Verwendung von Social Networks wie zb Facebook ist zu unterscheiden: Hinsichtlich der Daten Dritter, die auf die Plattform hochgeladen werden, bleibt der Account-Inhaber datenschutzrechtlicher Auftraggeber, Facebook ist hier in der Rolle des bloßen Dienstleisters. Das gleiche gilt für die Betreiber von Internetforen oder für das Zurverfügungstellen von Speicherplatz in der Cloud. Werden hingegen die Daten der Account-Inhaber durch Facebook selbst weiter verarbeitet, wie etwa für das Einblenden von Werbung, so wird Facebook hinsichtlich dieser Datenverwendung selbst Auftraggeber. 3. Weitere Begriffsbestimmungen a) Daten ( 4 Z 1) Das DSG 2000 bezieht sich ausschließlich auf die Verarbeitung personenbezogener Daten. Das sind Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Darunter fallen auch indirekt personenbezogene Daten, die vom Verwender selbst nicht (bzw nur mit rechtswidrigen Mitteln) 425