Datenschutzgesetz 2000 Praxisseminar

Transkript

1 Datenschutzgesetz 2000 Praxisseminar Dr. Gregor König, LLM., Datenschutzkommission Kärntner Verwaltungsakademie 25. April 2013

2 Inhalt Allgemein EU DSG 2000 Fälle Datenschutzentwicklung EU national Gregor König Datenschutzgesetz

3 Inhalt DSG 2000 Grundrecht auf Datenschutz Prinzipien der Zulässigkeit der Datenverwendung Internationaler Datenverkehr Prinzip Safe Harbour BCR Datensicherheit und Datengeheimnis Publizität von Datenanwendungen Betroffenenrechte Behörden, Verfahren, Strafen Besondere Verwendungen, Praxisfälle Gregor König Datenschutzgesetz

4 EU Gregor König Datenschutzgesetz

5 EU-rechtliche Vorgaben des Datenschutzes in Österreich Datenschutz-Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Datenschutz-Richtlinie für elektronische Kommunikation 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation Rahmenbeschluss Datenschutz 2008/977/JI... des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden Datenschutz-Verordnung für EU-Organe 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr Gregor König Datenschutzgesetz

6 Datenschutz-Richtlinie Datenschutz-Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Ziel: Schaffung eines gemeinsamen, gemeinschaftlichen Datenschutzstandard Datenschutz innerhalb der EU zu gewährleisten gleichzeitig möglichst freien Datenfluss sicherzustellen. Anwendungsbereich: alle personenbezogenen Daten natürlicher Personen, unabhängig von der Art der Verarbeitung also sowohl die vollständig, teilweise oder auch gar nicht automatisierte Verarbeitung persönlicher Daten Bandbreiten-RL Gregor König Datenschutzgesetz

7 DSG 2000 Gregor König Datenschutzgesetz

8 Grundrecht Gregor König Datenschutzgesetz

9 Grundrecht auf Datenschutz 1/2 1 Jedermann hat... Anspruch auf Geheimhaltung der ihn betreffenden personen-bezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Höchstpersönliches Recht kein schutzwürdiges Geheimhaltunginteresse, wenn die Daten allgemein verfügbar sind oder nicht auf eine bestimmte Person rückführbar sind Unmittelbare Drittwirkung Gregor König Datenschutzgesetz

10 Grundrecht auf Datenschutz 2/2 Eingriffe (Abs. 2) 1 im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung im überwiegenden Interesse eines anderen durch Behörden nur auf Grund von Gesetzen aus den in Art. 8 Abs. 2 EMRK genannten Gründen Sonderregeln für sensible Daten Derartige Gesetze dürfen die Verwendung von sensiblen Daten nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltung der Betroffenen festlegen Grundsatz des gelindesten Mittels Gregor König Datenschutzgesetz

11 Exkurs: Begriffe (personenbezogen) Daten (Z 1) Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist indirekt personenbezogen Daten (Z 1) für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann Sensible Daten (Z 2) = Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse oder philosophische Überzeugung Gesundheit oder Sexualleben Pseudonymisierte Daten Anonymisierte Daten 4 Gregor König Datenschutzgesetz

12 Anwendungsbereich DSG 2000 Sachlich 3 Schutz pers.bez. Daten von Jedermann (auch jur. Personen) Schutzsubjekt Betroffener ( 4 Z 3) jede natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden Räumlich ( 3) Verwendung im Inland; im Ausland: soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung ( 4 Z 15) eines Auftraggebers geschieht Keine Anwendung: Auftraggeber des privaten Bereichs mit Sitz in einem anderen MS der EU Daten in Ö zu einem Zweck verwendet, der keiner in Ö gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist Recht des Sitzstaates Bloße Durchführung von Daten durch Ö Gregor König Datenschutzgesetz

13 Prinzipien der Zulässigkeit der Verwendung von Daten Gregor König Datenschutzgesetz

14 Prinzipien Grundsätze 1/3 Datenschutz-Grundsätze ( 6), zb 6ff Verwendung nach Treu und Glauben Zweckbindung: festgelegt, eindeutig und rechtmäßig; bei Ermittlung und Weiterverwendung soweit wesentlich sachlich richtig nur solange, wie für Zweckerreichung notwendig Zulässigkeitsvoraussetzungen für Verarbeitung und Übermittlung ( 7) gesetzliche Zuständigkeit/rechtliche Befugnis schutzwürdige Geheimhaltungsinteressen nicht verletzt ( 8f) erforderliches Maß/gelindestes Mittel Gregor König Datenschutzgesetz

15 Prinzipien Schutzwürdige Geheimhaltungsinteressen 2/3 Nicht-sensible Daten 8 ausdrückliche gesetzliche Ermächtigung/Verpflichtung (Abs. 1) Zustimmung des Betroffenen (Abs. 1) lebenswichtige Interessen des Betroffenen (Abs. 1) überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten (Abs. 1), zb - demonstrativ (Abs. 4) Auftraggeber des öffentlichen Bereiches Voraussetzung für Wahrnehmung gesetzlicher Aufgabe Amtshilfe Auftraggeber des privaten Bereiches Wahrung lebenswichtiger Interessen Erfüllung einer vertraglichen Verpflichtung Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen Daten rechtmäßig ermittelt Ausschließlich öffentliche Funktion durch Betroffenen Katastrophenfall zulässigerweise veröffentliche Daten (Abs. 2) indirekt personenbezogene Daten (Abs. 2) Gregor König Datenschutzgesetz

16 Exkurs 1: Begriffe Auftraggeber (Z 4) 4 natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Dienstleister (Z 5) wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8) Zulässigkeit ( 10) Ausreichende Gewähr für rechtmäßige und sichere Datenverwendung Vereinbarung Dienstleistervertrag Anzeigepflicht im öffentlichen Bereich (Abs. 2) Gregor König Datenschutzgesetz

17 Exkurs 2: Bereiche Öffentlicher Bereich 5 Wenn Datenanwendung für Zwecke eines Auftraggebers des öffentlichen Bereiches durchgeführt wird Auftraggeber des öffentlichen Bereiches In Formen öffentlichen Rechts eingerichtet Gebietskörperschaften In Vollziehung der Gesetze tätig (auch wenn in Form des Privatrechts eingerichtet) Privater Bereich Gregor König Datenschutzgesetz

18 Exkurs 3: Zustimmung Voraussetzungen 4 gültige Willenserklärung des Betroffenen (Z 14) ohne Zwang abgegeben in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten eingewilligt jederzeitige Widerrufbarkeit ( 8/1 Z2; 9 Z6) bewirkt Unzulässigkeit der weiteren Verwendung Gregor König Datenschutzgesetz

19 Prinzipien Schutzwürdige Geheimhaltungsinteressen 3/3 9 sensible Daten ( 4 Z 2: zb Gesundheit,Sexualität, Religion, ethnische Herkunft, politische Meinung) abschließende Aufzählung (Z 1-13) praktisch bedeutsam Betroffener hat Daten selbst öffentlich gemacht (Z 1) Nur indirekt pers.bez. Daten (Z 2) Ermächtigung/Verpflichtung aus gesetzlichen Vorschriften (Z 3) Ausdrückliche Zustimmung des Betroffenen (Z 6) Lebenswichtige Interessen des Betroffenen bzw. eines Dritten (Z 7 u 8) Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen Daten rechtmäßig ermittelt (Z 9) aus Arbeits- bzw. Dienstrecht ergebende Pflichten (Z 11) Gesundheitsbereich (Z 12) Gregor König Datenschutzgesetz

20 Pflichten Auftraggeber Datenverwendung nur bei Zulässigkeit Einhaltung der Datensicherheitsmaßnahmen Datengeheimnis wahren Melde- und Informationspflichten Betroffenenrechte wahren Dienstleister ( 11 DSG 2000) Daten nur im Rahmen des Auftrags zu verwenden Datensicherheitsmaßnahmen treffen ( 14 DSG 2000) Datengeheimnis wahren weitere Dienstleister nur mit Billigung des Auftraggebers DL auch für Betroffenenrechte möglich nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen zu vernichten Informationen an Auftraggeber zur Kontrolle der Einhaltung Gregor König Datenschutzgesetz

21 Datenexport ins Ausland Gregor König Datenschutzgesetz

22 Zulässigkeit des Exports von Daten ins Ausland 1/6 12/13 USA Safe Harbour CH 12/1: keine Beschränkungen 12/2: angemessenes DS-Niveau VS des EWR (EU + ISL, LIE, NOR) 12/3: Fälle von Genehmigungsfreiheit, betreffen best. Situationen unabhängig vom Ziel (außerhalb der EU) zb veröffentlichte oder indirekt pers-bez Daten, private Zwecke, Zustimmung etc. 13: Genehmigung der DSK Gregor König Datenschutzgesetz

23 Export Genehmigung Voraussetzungen ( 13/2) 2/6 Datenanwendung im Inland rechtmäßig ( 12/5) Fehlen eines angemessenen Datenschutzniveaus im Drittstaat, aber Angemessenes Datenschutzniveau im konkreten Transferfall (Z1) Berücksichtigung aller Umstände zb durch Standardvertragsklauseln festgelegt Exkurs: USA: Safe Harbour 12/13 z.b unabh. Beschwerdeinstanz, Schadenersatz-verpflichtung, Kontrolle Schutzwürdige Geheimhaltungsinteressen der Betroffenen im Drittstaat ausreichend gewahrt (Z2) auch vertragliche Zusicherung des Empfängers an den Antragsteller über Umstände der Datenverwendung zb durch Code of Conduct Gregor König Datenschutzgesetz

24 Export Genehmigung Antrag nach 13/2 Z2 3/6 Gegenstand: 12/13 Export von Daten aus Österreich in ein Unternehmen desselben Konzerns in Länder ohne adäquates Datenschutzniveau. Antragsteller: Auftraggeber in Österreich Inhalt: Identität des Datenexporteurs Identität und Erreichbarkeit der Datenimporteure Natur (Inhalt und Zweck) der beabsichtigten Datentransfers Beilagen: konzernintern geltende Datenschutzregeln Auslobungserklärung des Antragstellers (Exporteurs) Auslobungserklärungen der Importeure (bzw. Haftungserklärung (Solidarhaftung) des Antragstellers) Gregor König Datenschutzgesetz

25 Export Genehmigung Auslobungserklärung 4/6 12/13 Beilage zum Genehmigungsantrag Exporteur und Importeure (Mindest-)Inhalt: Einhaltung der konzernintern geltenden Datenschutzregeln Aktuelle Datenschutzregeln dem DVR zur Verfügung stellen Anfragen/Auskunftsbegehren von Betroffenen richtig, vollständig und rechtzeitig beantworten Im Falle der Zurückziehung bis zur Datenlöschung weiter einhalten Gerichtsstand anerkennen Gregor König Datenschutzgesetz

26 Export Genehmigung Inhalt 5/6 Geltungsbereich Bedingungen Auflösende Bedingungen 12/13 Zusagen nicht regelmäßig eingehalten Datenschutzregeln nicht geeignet Zurücknahme hinsichtlich einzelner DS-Importeure (Mindest-)Auflagen Auslobungserklärungen im DVR veröffentlicht Datenschutzregeln im DVR veröffentlicht Ansprechpartner der DSK in allen Fragen Genehmigungsinhaber Gregor König Datenschutzgesetz

27 Export Safe Harbour 6/6 12/13 Grundsätze des US-Handelsministeriums In USA ansässige Unternehmen können durch Eintragung in eine Liste beitreten unter Beachtung von FAQ von EU anerkannt als angemessenes DS-Niveau Mehr als 3700 Unternehmen Link: Gregor König Datenschutzgesetz

28 Export Binding Corporate Rules 1/2 12/13 Schaffung eines unternehmensinternen hohen Datenschutzniveaus durch Verbindliche Unternehmensvorschriften Müssen von einer DPA genehmigt werden zb DSK lt. 13 Abs. 2 Z 2 DSG 2000 Artikel 29 Gruppe: Richtlinien für die Annahme von BCRs Link: Gregor König Datenschutzgesetz

29 Export Binding Corporate Rules 2/2 Inhalte 12/13 1. Teil: Angaben zum Antragsteller Angaben zum Konzern Datenflüsse Angabe der Lead Data Protection Authority 2. Teil: Hintergrund Binding Nature of BCR Effectiveness Kooperation der DPAs in den BCRs Genaue Beschreibung der Datenverwendung und Datenflüsse Verfahren der Meldung und Dokumentation von Änderungen der BCRs Datensicherheitsmaßnahmen Anlage: Kopie der BCRs für all das: Formular Gregor König Datenschutzgesetz

30 Datensicherheit und Datengeheimnis Gregor König Datenschutzgesetz

31 Erfordernisse der Datensicherheit 1/3 Auftraggeber hat Maßnahmen zur Datensicherheit zu treffen Schutz vor Zerstörung und Verlust Verwendung ordnungsgemäß kein Zugang für Unbefugte Allgemein welche (Abs. 1)? nach Art der verwendeten Daten nach Umfang und Zweck der Verwendung Stand der technischen Möglichkeiten wirtschaftliche Vertretbarkeit 14 Gregor König Datenschutzgesetz

32 Erfordernisse der Datensicherheit 2/3 14 Insbesondere (Abs. 2; bsp.hafte Aufzählung), soweit erforderlich Aufgabenverteilung ausdrücklich festlegen Verwendung von Daten an das Vorliegen gültiger Aufträge binden jeder Mitarbeiter über Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften belehren Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers regeln Zugriffsberechtigung auf Daten, Schutz der Datenträger regeln Berechtigung zum Betrieb der Geräte bzw. Programme festlegen und gegen die unbefugte Inbetriebnahme absichern Protokoll über Verwendungsvorgänge führen (insb. Änderungen, Abfragen und Übermittlungen) Dokumentation über alle vorgenannten Maßnahmen (Beweissicherung) Gregor König Datenschutzgesetz

33 Erfordernisse der Datensicherheit 3/3 14 Worauf ist daher zu achten? Angemessenheit zu Risken und Art der Daten (Abs. 2) Verwendung von Protokollsdaten nur für den Ermittlungszweck (Abs. 4) zb nicht: Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind Aufbewahrung für 3 Jahre; Abweichung möglich (Abs. 4) Datensicherheitsvorschriften offen verwahren (Zugang für Mitarbeiter gesichert) dazu: Gregor König Datenschutzgesetz

34 Datengeheimnis 15 Daten, aus berufsmäßiger Beschäftigung anvertraut, sind geheim zu halten Wer? Auftraggeber Dienstleister jeder Mitarbeiter neben sonstigen gesetzlichen Verschwiegenheitspflichten Amtsgeheimnis Betriebs- und Geschäftsgeheimnis etc. verwaltungsstrafrechtlich abgesichert Gregor König Datenschutzgesetz

35 Publizität von Datenanwendungen Gregor König Datenschutzgesetz

36 Meldung an das 16 Datenverarbeitungsregister 1/2 DS-Richtlinie sah zwei Möglichkeiten für Kontrolle der Datenverarbeitung vor Verpflichtende Installierung von betrieblichen Datenschutzbeauftragten (GER, SWE) Meldung von Datenanwendungen ( data application ) Publizität in öffentlichem Register Österreich Datenverarbeitungsregister als Teil der DSK Zweck: Prüfung der Rechtmäßigkeit (Abs. 1) Zweck: Information der Betroffenen Gregor König Datenschutzgesetz

37 Meldung an das 16 Datenverarbeitungsregister 2/2 Einsichtnahme (Abs. 2) Jedermann: in das Register spx Betroffener (Glaubhaftmachung): Registrierungsakt + Genehmigungsbescheide, wenn nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegen stehen Gregor König Datenschutzgesetz

38 Meldepflicht und 17 Meldeverfahren Ausnahmen 1/4 Grundsatz: alle Datenanwendungen müssen vor deren Aufnahme gemeldet werden (Abs. 1) Ausnahmen (Abs ) Inhalt ausschließlich veröffentliche Daten gesetzlich öffentlich einsehbare Register Inhalt nur indirekt personenbezogene Daten ausschließlich für persönliche/familiäre Tätigkeiten (nur natürliche Personen) - 45 für publizistische Tätigkeiten Standardanwendungen Gregor König Datenschutzgesetz

39 Exkurs: Standard- und Muster- Verordnung StMV Standard- und Muster-Verordnung 2004 StMV 2004, BGBl. II Nr. 2004/312 Standardanwendungen: nicht meldepflichtig ( 17 Abs. 2 Z 6), z.b. Rechnungswesen Personalverwaltung Mitgliederverwaltung bestimmte Videoüberwachungsanlagen Konzernprivileg Kontakt- und Termindatenbank, Karrieredatenbank, Bonusprogramme, technische Unterstützung Musteranwendungen: vereinfachte Meldung ( 19 Abs. 2), z.b. Personentransport- und Hotelreservierungen Zutrittskontrollsysteme Gregor König Datenschutzgesetz

40 Exkurs: Standard- und Muster- Verordnung StMV Gregor König Datenschutzgesetz

41 Meldepflicht und Meldeverfahren Aufnahme der Verarbeitung 2/4 18 Vollbetrieb unmittelbar nach Abgabe der Meldung (Abs. 1) (Plausibilitätsprüfung) Ausnahme: Vorabkontrollverfahren Vollbetrieb erst nach Prüfung durch DSK (Abs. 2) sensible Daten strafrechtlich relevante Daten ( 8 Abs. 4) Zweck: Auskunftserteilung über Kreditwürdigkeit des Betroffenen Informationsverbundsysteme Gregor König Datenschutzgesetz

42 Exkurs: Informationsverbundsystem Definition: 4 Z 13 Teilnehmer (Abs. 1) Auftraggeber Betreiber Auskunft des Auftraggebers Datensicherheit ( 14) Haftung ( 33) weitere Pflichten durch Rechtsakt (Abs. 2) Ausnahme: gesetzlich vorgesehen Ab wann ist ein IVS nach österr. Recht zu beurteilen? Auftraggeber 5 Auftraggeber 4 Auftraggeber 1 Info-Verbund-System Betreiber 50 Auftraggeber 3 Auftraggeber 2 Gregor König Datenschutzgesetz

43 Meldepflicht und Meldeverfahren prinzipiell 3/4 19 nähere Angaben zum Auftraggeber und zur Datenanwendung Einbringung beim DVR Seit : ausschließlich elektronisch via DVR- Online Zugang: Unternehmen: USP, DVR-Portal (Bürgerkarte) Einzelpersonen: Bürgerserviceportal, DVR-Portal (Bürgerkarte) Behörden: Portalverbund berufsmäßige Parteienvertreter: USP, DVR-Portal mit Berufsausweis Gregor König Datenschutzgesetz

44 Meldepflicht und Meldeverfahren prinzipiell 4/4 Gregor König Datenschutzgesetz

45 Betroffenenrechte Gregor König Datenschutzgesetz

46 Betroffenenrechte Recht auf Information ( 24 DSG 2000) Sonderfall: Data Breach Notification Duty Recht auf Auskunft ( 26 DSG 2000) Recht auf Richtigstellung/Löschung ( 27 DSG 2000) Recht auf Widerspruch ( 28 DSG 2000) Recht auf Geheimhaltung ( 1 DSG 2000) Gregor König Datenschutzgesetz

47 24 Information des Betroffenen 1/2 aus Anlass der Ermittlung in geeigneter Weise über jedenfalls (Abs. 1) Zweck Name und Adresse des Auftraggebers mehr, wenn erforderlich nach Treu und Glauben (Abs. 2), insbesondere wenn Widerspruchsrecht ( 28) besteht wenn für Betroffenen nicht klar erkennbar, ob er zur Beantwortung der Fragen rechtlich verpflichtet ist wenn Verarbeitung in Informationsverbundsystem erfolgt, das nicht auf Gesetz beruht Ausnahmen: bestimmte Übermittlungsfälle (Abs. 3) sowie nicht meldepflichtige Datenanwendungen (Abs. 4) Gregor König Datenschutzgesetz

48 Information des Betroffenen 2/2 Pflicht zur Offenlegung der Identiät des Auftraggebers (Abs. 1) in geeigneter Weise Registernummer zur Rechtsverfolgung Sonderfall Abs Gregor König Datenschutzgesetz

49 Data Breach Notification 1/4 Erweiterte Informationspflicht ( 24 Abs. 2 DSG 2000) Vorbild: data breach notification duty (US) security breach notification duty (US) Wann? Pflicht zur Information bei systematischer und schwerwiegender unrechtmäßiger Datenverwendung wenn dem Betroffenen ein Schaden droht Gregor König Datenschutzgesetz

50 Data Breach Notification 2/4 24 Systematische Verwendung? über einen bestimmten Zeitraum andauernd strukturiertes bzw. geplantes Handeln Schwerwiegende Verwendung? abhängig von Anzahl der Datensätze abhängig von Eingriffsintensität der Daten, zb sensible Daten, strafrechtsrelevante Daten, Bonitätsdaten Drohender Schaden für den Betroffenen auch immaterielle Schäden? keine Voraussetzung, dass Betroffene bei Kenntnis des Datenmissbrauchs den Schaden abwenden können Gregor König Datenschutzgesetz

51 Data Breach Notification 3/4 Erweiterte Informationspflicht: Wie? 24 unverzüglich in geeigneter Form daher: primär: persönliche Verständigung ab einer gewissen Betroffenenzahl: Einschaltung der Medien Auftraggeber hat sicher zu stellen, dass die Betroffenen die Information tatsächlich erhalten Inhalt keine genauen Vorgaben durch DSG 2000 jedenfalls: was ist passiert allenfalls: was können die Folgen sein nicht: empfohlene Vorgangsweise keine Information an die DSK (im Gegensatz zum BDSG) Gregor König Datenschutzgesetz

52 Data Breach Notification 4/4 Erweiterte Informationspflicht Ausnahmen drohender Schaden im Vergleich zum Informationsaufwand gering oder Information unverhältnismäßig teuer Empfehlung Dokumentation Risikoplan Verantwortlicher 24 Gregor König Datenschutzgesetz

53 Recht auf Auskunft prinzipiell 26 Pflicht des Auftraggebers gegenüber jedem Betroffenen Wie? Auskunftsverlangen schriftlich mit Zustimmung des Auftraggebers auch mündlich geeigneter Identitätsnachweis notwendig Auskunft schriftlich bzw. mit Zustimmung des Betroffenen auch mündlich (+ Einsichtnahme und Abschrift) Gregor König Datenschutzgesetz

54 Recht auf Auskunft Identität Identitätsnachweis 26 Betroffene seine Identität in geeigneter Form nachweist ( 26 Abs. 1 DSG 2000) Kopie Lichtbildausweis RSa-Schreiben (bei öff. AG)? VwGH 2004/06/0221 v hoher Grad an Verlässlichkeit zu fordern Bekanntgabe Geburtsdatum nicht durch eigenhändige Zustellung ersetzt werden Geburtsdatum reicht nicht aus eigenhändige Zustellung kann Identitätsnachweis nicht ersetzen Gregor König Datenschutzgesetz

55 Recht auf Auskunft Pflichten 26 Auftraggeber Auskunftserteilung/begründete Verweigerung/Negativauskunft innerhalb acht Wochen (Abs. 1 und 4) Auskunftserteilung nachholbar ab Kenntnis vom Auskunftsbegehren Löschungssperre für vier Monate (Abs. 7) durchbrochen, wenn Löschungsantrag des Betroffenen nach 27 Abs. 1 Z 2 oder 28 zu entsprechen ist Gregor König Datenschutzgesetz

56 Recht auf Auskunft Inhalt Auskunft jedenfalls: verarbeitete Daten verfügbare Informationen über ihre Herkunft allfällige Empfänger bzw. Empfängerkreise Zweck der Datenverwendung Rechtsgrundlagen der Datenverwendung in allgemein verständlicher Form auf Verlangen des Betroffenen Name und Adresse von Dienstleistern, falls mit Verarbeitung seiner Daten beauftragt 26 Gregor König Datenschutzgesetz

57 Recht auf Auskunft Pflichten 26 Betroffener Mitwirkungspflicht (Abs. 3) zur Vermeidung von ungerechtfertigten und unverhältnismäßigen Aufwand Kostenersatz (Abs. 6) nicht aktueller Datenbestand oder nicht das erste Auskunftsbegehren im laufenden (Kalender)Jahr Gregor König Datenschutzgesetz

58 26 Recht auf Auskunft Ausnahmen soweit zum Schutz des Betroffenen aus besonderen Gründen notwendig soweit überwiegende berechtigte Interessen des Auftraggebers entgegen stehen soweit überwiegende berechtigte Interessen eines Dritten entgegen stehen, insbes. öffentliche Interessen Schutz der verfassungsmäßigen Einrichtungen Sicherung der Einsatzbereitschaft des Bundesheeres Sicherstellung der Interessen der umfassenden Landesverteidigung Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der EU Vorbeugung, Verhinderung oder Verfolgung von Straftaten Kontrolle durch DSK ( 30 Abs. 3, 31 Abs. 4) Gregor König Datenschutzgesetz

59 Recht auf Auskunft Besonderheiten 1 26 Einsehbarkeit 26 Abs. 8 DSG 2000 öffentlich einsehbar entfällt von Gesetzes wegen einsehbar zb elektronische Verfahrensakten Verfahren nach Regelungen des Gesetzes, das die Einsichtnahme vorsieht Außerhalb Einsichtsrecht Auskunftsrecht besteht (Klarstellung) Anrufbarkeit der DSK nach 30 DSG Abs. 10 DSG 2000 Sonderfall Auskunftsbegehren irrtümlich an Dienstleister Pflicht zur unverzüglichen Weiterleitung an Auftraggeber Mitteilung an Auskunftswerber, dass in seinem Auftrag keine Daten verwendet werden Auftraggeber hat innerhalb von 8 Wochen ab Einlangen beim Dienstleister Auskunft zu erteilen Gregor König Datenschutzgesetz

60 Recht auf Auskunft Besonderheiten 2 Strafregister (Abs. 9) Strafregistergesetz kein Auskunftsrecht aus Papierakten (siehe zb K /0002-DSK/2007, ; durch VwGH u VfGH bestätigt) Aufgaben gemäß Abs. 2 Z 1 bis 5: besondere Auskunftsverweigerung anstelle inhaltlicher Begründung Es werden keine der Auskunftspflicht unterliegenden Daten über Sie gespeichert. Kontrolle der DSK ( 30 Abs. 3, 31 Abs. 4) Gregor König Datenschutzgesetz

61 Recht auf Auskunft Automatisierte Einzelentscheidung Begriff 49 beeinträchtigende Entscheidung allein auf automationsunterstützter Datenverarbeitung Bewertung einzelner Aspekte der Person zb berufliche Leistungsfähigkeit, Kreditwürdigkeit Verbot mit Ausnahmen Auskunft: wann? auf besonderen Antrag was? logischer Ablauf der automatisierten Entscheidungsfindung wie? in allgemein verständlicher Form Berücksichtigung der allgemeinen Regeln ( 26) Gregor König Datenschutzgesetz

62 Recht auf Richtigstellung/ Löschung Allgemeines 1/2 Wann? aus Eigenem 27 wenn Unrichtigkeit/Unzulässigkeit der Verarbeitung bekannt zb Daten nicht mehr erforderlich oder Gesamtinformation unrichtig auf begründeten Antrag des Betroffenen Beweislast der Richtigkeit liegt beim Auftraggeber; Bestreitungsvermerk Frist: acht Wochen Gregor König Datenschutzgesetz

63 Recht auf Richtigstellung/ Löschung Ausnahmen 2/2 27 Weiterverwendung für anderen Zweck (wenn Übermittlung zulässig) (Abs. 1) Dokumentationszweck einer Datenanwendung (Richtigstellung durch Anmerkung) (Abs. 3) Besonderes Verfahren bei Aufgaben gemäß Abs. 2 Z 1 bis 5 (Abs. 5) Gregor König Datenschutzgesetz

64 Exkurs: Widerspruchsrecht 28 Unterfall des Löschungsanspruches Wann? Verwendung gesetzlich nicht vorgesehen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen Löschung binnen acht Wochen, keine Übermittlungen mehr Sonderfall Abs. 2: nicht gesetzlich angeordnete Aufnahme in öffentlich zugängliche Datei Widerspruch auch ohne Begründung Frist: acht Wochen Gregor König Datenschutzgesetz

65 Behörden und Verfahren Gregor König Datenschutzgesetz

66 Datenschutzkommission 30ff Verfahren nach 30 DSG 2000, Kontrollund Ombudsmannverfahren Beschwerdeverfahren nach 31 DSG 2000 Meldeverfahren ( 17ff DSG 2000) Genehmigungsverfahren ( 46f DSG 2000) IDVK-Genehmigungen ( 12f DSG 2000) Gregor König Datenschutzgesetz

67 Anrufung der DSK bzw. der Gerichte 31,32 Verl. im Recht auf Auskunft Verl. im Recht a. Geheimhaltung Verl. im Recht auf Löschung/W. Verl. im Recht a. Richtigstellung Auftraggeber des privaten Bereichs DSK Gerichte Gerichte Gerichte Auftraggeber des öffentl. Bereich DSK DSK DSK DSK Gregor König Datenschutzgesetz

68 Schadenersatz schuldhafte Verwendung 33 durch Auftraggeber bzw. Dienstleister (Abs. 1) durch deren Leute (Abs. 2) Schaden nach ABGB (Abs. 1) Haftungsbefreiung zur Gänze: wenn Auftraggeber/Dienstleister nachweist, dass Umstand, durch den der Schaden eingetreten ist, ihm und seinen Leuten nicht zur Last gelegt werden kann (Beweislastumkehr) zum Teil: bei Mitverschulden (Regelung des 1304 ABGB) Zuständigkeit wie 32 Abs. 4 Gregor König Datenschutzgesetz

69 Fristen 34 Eingaben nach 30, Beschwerden nach 31 sowie Klagen nach 32 können nur geltend gemacht werden, wenn der Einschreiter sie binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis (relative Frist) längstens aber binnen drei Jahren nachdem das Ereignis behauptetermaßen stattgefunden hat (absolute Frist) eingebracht hat Gregor König Datenschutzgesetz

70 Strafen Gregor König Datenschutzgesetz

71 Strafbestimmungen Gericht 1/2 Datenverwendung in Gewinn- oder Schädigungsabsicht Daten aufgrund berufsmäßiger Beschäftigung anvertraut oder zugänglich, widerrechtlich verschafft schutzwürdiges Geheimhaltungsinteresse an diesen Daten benützen, zugänglich machen, veröffentlichen Bereicherungsvorsatz oder Schädigungsabsicht Freiheitstrafe bis zu einem Jahr Ermächtigungsdelikt nicht mehr 51 Gregor König Datenschutzgesetz

72 Strafbestimmungen Verwaltung 2/2 52 Abs. 1 (max ,-- statt bisher ,--) vorsätzlich widerrechtlicher Zugang zu Datenanwendung Verletzung des Datengeheimnisses entgegen Urteil/Bescheid Daten verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht Daten vorsätzlich entgegen 26 Abs. 7 löscht Abs. 2 (max ,-- statt bisher 9.445,--) Meldepflicht nicht erfüllt Datenübermittlung ins Ausland ohne Genehmigung Offenlegungs- oder Informationspflichten verletzt Videoüberwachungspflichten Datensicherheitsmaßnahmen gröblich außer Acht gelassen Abs. 2a: Sanktion bei Überschreitung der 8-Wochen-Frist bei Auskunft, Richtigstellung, Löschung 500,-- Euro Versuch strafbar (Abs. 3) Zuständigkeit: BH am Aufenthalt/Sitz des Auftraggebers (Abs. 5) Gregor König Datenschutzgesetz

73 Besondere Verwendungen Gregor König Datenschutzgesetz

74 DSG 2000 Private Zwecke ( 45 DSG 2000) Wissenschaftliche Forschung/Statistik ( 46 DSG 2000) Marketingbereich ( 47 DSG 2000) Publizistische Tätigkeit ( 48 DSG 2000) Katastrophenfall ( 48a DSG 2000) Videoüberwachung Gregor König Datenschutzgesetz

75 Videoüberwachung Begriff: 50a systematische, insbes. fortlaufende Feststellung von Ereignissen in Bezug auf ein bestimmtes Objekt eine bestimmte Person durch technische Bildaufnahme- oder Bildübertragungsgeräte daher nicht: touristische, künstlerische Aufnahmen Aufnahmen für familiäre/persönliche Zwecke (zb Kindergeburtstag, Babyfon) ad hoc Aufnahmen Gregor König Datenschutzgesetz

76 Videoüberwachung 50a Einhaltung 6f, insbes. Verhältnismäßigkeitsgrundsatz (insbes gelindestes Mittel) rechtmäßige Zwecke (ausschließlich) Schutz des/r überwachten Objekts/Person Erfüllung rechtlicher Sorgfaltspflichten jeweils einschließlich Beweissicherung Keine Verletzung schutzwürdiger Geheimhaltungsinteressen (ohne Interessenabwägung) lebenswichtiges Interesse einer Person Verhalten auf öffentliche Wahrnehmung gerichtet ausdrückliche Zustimmung Gregor König Datenschutzgesetz

77 Videoüberwachung 50a Keine Verletzung schutzwürdiger Geheimhaltungsinteressen (mit Interessenabwägung) nicht im Rahmen der Vollziehung hoheitlicher Aufgaben und entweder bestimmte Tatsachen rechtfertigen Annahme, dass Objekt/Person Ort eines gefährlichen Angriffs (SPG: gerichtlich strafbare Vorsatztat; auch Geschäfts- und Betriebsgeheimnisse, grobe Verwaltungsübertretungen) werden könnte Vorfälle in der Vergangenheit (innerhalb 10 Jahren) an sich erhöhte Gefährdung des Ortes/der Person (Bekanntheitsgrad, verfassungsmäßiges Organ, erheblicher Geldwert) erhöhte Gefährdung der Umgebung des Ortes spezielle rechtliche Sorgfaltspflichten zum Schutz des Objekts/der Person zb 1319a ABGB, 19 EisbG, 6-8 Sbg. Veranstaltungsgesetz bloße Echtzeitwiedergabe (Achtung: nur zum Eigenschutz) Gregor König Datenschutzgesetz

78 Videoüberwachung 50a Jedenfalls Verletzung schutzwürdiger Geheimhaltungsinteressen Orte des höchstpersönlichen Lebensbereichs des Betroffenen zb Umkleidekabine, WC, Privatwohnung Mitarbeiterkontrolle am Arbeitsplatz Grund: stets gelinderes Mittel möglich Zufallstreffer (Abs. 6) auch wenn nicht gegen überwachte/s Objekt/Person Übermittlungen an Behörden/Gerichte, wenn Verdacht auf von Amts wegen zu verfolgende gerichtlich strafbare Handlung Übermittlung an Sicherheitsbehörden im Rahmen des 53 Abs. 5 SPG Unzulässig automatisierter Bilddatenabgleich Durchsuchung nach sensiblen Daten als Auswahlkriterium Gregor König Datenschutzgesetz

79 Videoüberwachung - Pflichten Protokollierungspflicht 50b-d Löschungspflicht (Regel: 72 Stunden) Melde- und Vorabkontrollpflicht Vorlage von Betriebsvereinbarungen Ausnahmen: Echtzeitüberwachung Aufzeichnung auf analogem Speichermedium (beschränkte Strukturierbarkeit) Standardanwendungen: Branchen (Banken, Juweliere, Trafiken, Tankstellen, Parkgaragen), Rechenzentren, Botschaften, öffentliche Verwaltungsgebäude, bebaute Privatgrundstücke Kennzeichnungspflicht Auftraggeber erkennbar Ausweichmöglichkeit Gregor König Datenschutzgesetz

80 Recht auf Auskunft Videoüberwachung Voraussetzungen: 50e Beschreibung des Zeitraums und Orts des möglichen Aufenthalts im überwachten Bereich (Toleranz: ½ bis 1 Stunde) Identitätsnachweis Art: prinzipiell Übermittlung des Bildmaterials in üblichem technischen Format alternativ: Einsichtnahme (Recht auf Ausfolgung einer Kopie) wenn überwiegende berechtigte Interessen Dritter entgegen stehen: Anspruch auf schriftliche Beschreibung oder Auskunft unter Unkenntlichmachung der anderen Personen Rest der Auskunft: schriftlich Ausnahme: ausschließlich Echtzeitüberwachung DSK-Judikatur: 50e legt nur Art der Auskunftserteilung fest, setzt daher das Bestehen eines Auskunftsanspruches voraus (Bescheid vom K /0014-DSK/2010) weiterhin kein Auskunftsrecht, wenn keine Auswertung Gregor König Datenschutzgesetz

81 Praxisfälle Gregor König Datenschutzgesetz

82 Vollziehung Vorabentscheidungsersuchen VDS K /0003-DSK/2013 VÜ: Qualitätschecks sind Mitarbeiterüberwachung K /0009-DSK/2012 KFZ-Kameras unzulässig K /0002-DVR/2012 Zustimmungserklärung in AGB K /0010-DSK/2012 Gregor König Datenschutzgesetz

83 Meldedaten K /0012-DSK/2012 Sachverhalt gemeindeeigene Versendungen einer stmk. Gemeinde zu Geburtstagsplauscherl und Jugendtreff jeweils Verwendung von Daten aus LMR (im Fall des Geburtstags: über Funktion Geburtstagsliste auf Aussendung des BM (nicht Privatperson, nicht Partei) Rechtliche Beurteilung 1 Abs. 2 DSG 2000: jeweils (formal)gesetzliche Grundlage notwendig Geburtstagsplauscherl keine gesetzlich übertragende Aufgabe gemeinschaftsfördernde Funktion eingewandt 13 Stmk GemO 1967 (Ehrungen) nicht einschlägig (damals) kein Ehrungsgesetz wie in NÖ oder Bgld. Jugendtreff 47 Abs. 2 lit. a DSG 2000 einschlägig: Benachrichtigung mit Informationsgehalt ( berechtigtes Informationsinteresse ) Gregor König Datenschutzgesetz

84 Datenschutzentwicklung Gregor König Datenschutzgesetz

85 EU Gregor König Datenschutzgesetz

86 Heute: Datenschutz-Richtlinie Datenschutz-Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Ziel: Schaffung eines gemeinsamen, gemeinschaftlichen Datenschutzstandard Datenschutz innerhalb der EU zu gewährleisten gleichzeitig möglichst freien Datenfluss sicherzustellen. Anwendungsbereich: alle personenbezogenen Daten natürlicher Personen, unabhängig von der Art der Verarbeitung also sowohl die vollständig, teilweise oder auch gar nicht automatisierte Verarbeitung persönlicher Daten Bandbreiten-RL Gregor König Datenschutzgesetz

87 Morgen: Datenschutz- Verordnung Datenschutz neu - Vorschläge der KOM VERORDNUNG des EP und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Warenverkehr (Datenschutz-Grundverordnung) ersetzt RL 95/46/EG (RICHTLINIE für den Bereich der Strafverfolgung) ersetzt Rahmenbeschluss 2008/977/JI veröffentlicht am 25. Jänner 2012 Ziel der Umsetzung: 2014 ein einheitlicher Rechtsakt für alle Mitgliedstaaten delegierte Rechtsakte, Standardformate, etc. Gregor König Datenschutzgesetz

88 Inhalte Abschaffung des allgemeinen Meldeverfahrens Einführung von Datenschutzbeautragten im Unternehmen Privacy by design, privacy by default Recht auf Vergessenwerden und Datenübertragbarkeit Strafrahmen deutlich erhöht Europäischen Datenschutzausschuss nationale Aufsichtsbehörden One-stop-shop-Prinzip Gregor König Datenschutzgesetz

89 AUT Gregor König Datenschutzgesetz

90 DSG-Novelle 2012 Datenschutzbeauftragter Wahlfreiheit: Ausnahme von der Meldepflicht Voraussetzungen natürliche Person Fachkunde und Zuverlässigkeit Bestellung für mindestens 3 Jahre (Wiederernennungen möglich) Enthebung nur bei Nichterfüllung seiner Pflichten unkündbar Mitteilung von Name und Kontaktdaten an DSK DSK führt Liste der DSB, öffentlich einsehbar Gregor König Datenschutzgesetz

91 DSG-Novelle 2012 Datenschutzbeauftragter Pflichten Überwachung der Einhaltung des DSG 2000 Führung eines Verzeichnis der Datenanwendungen des Auftraggebers (Betroffene dürfen Einsicht nehmen) Beratung des Auftraggebers, der Bediensteten/Arbeitnehmer, der Personalvertretung/Betriebsrat im DSR Ansprechpartner für Betroffene bei Verdacht von Datenschutzverletzungen: Herstellung des rechtmäßigen Zustands bzw. Inkenntissetzung des Auftraggebers Datengeheimnis ( 15 DSG 2000) Gregor König Datenschutzgesetz

92 DSG-Novelle 2012 Datenschutzbeauftragter Rechte Unterrichtung über neue Datenschutzvorhaben Unterstützung durch Auftraggeber (Personal und Mittel) weisungsfrei (Anregungen müssen entgegen genommen werden) Recht auf Fortbildung auf Kosten des Auftraggebers Eingabe bei der DSK Verantwortung des Auftraggebers bleibt unberührt verwaltungsstrafrechtliche Absicherungen Gregor König Datenschutzgesetz

93 DSG-Novelle 2012 Neues bei der Meldung Vorabkontrolle nur mehr bei sensiblen Daten Bewertung der Persönlichkeit des Betroffenen (Fähigkeit, Leistung, wirtschaftliche Lage, Verhalten) Ausnahmen von Vorabkontrolle Daten mit Zustimmung des Betroffenen Datenanwendungen auf Grund von Gesetzen und Verordnungen (DSK hat Stellungnahmerecht während Ausarbeitung, Entsprechung der Stellungnahme) DSK führt öffentliche Liste dieser Datenanwendungen anhängige DAN, die aus der Vorabkontrolle fallen: gelten als registriert Gregor König Datenschutzgesetz

94 DSG-Novelle 2012 Sonstiges Videoüberwachung Meldepflicht, aber Entfall der Vorabkontrolle Betriebsvereinbarungen müssen weiter vorgelegt werden (sonst Meldung nicht vollständig) höchstpersönlicher Lebensbereich, Mitarbeiterüberwachung ( 50a Abs 5 DSG 2000): Verwaltungsstrafe Verwaltungsstrafen bei DSB AG: Vortäuschung, Unterlassung der Meldung der Abberufung, Hinderung an Pflichten, grundlose Enthebung DSB: trotz Verdacht nicht auf Herstellung des rechtmäßigen Zustands hingewirkt Gregor König Datenschutzgesetz

95 DSK-Behördensituation Gregor König Datenschutzgesetz

96 Datenschutzkommission Zukunft 1 EuGH-Urteil (C-614/10) völlige Unabhängigkeit (Art 28 RL) AT hat gegen die RL verstoßen, weil GfM ein der Dienstaufsicht unterliegender Bundesbediensteter ist Geschäftsstelle der DSK in das BKA eingegliedert ist BK über unbedingtes Unterrichtungsrecht über alle Gegenstände der Geschäftsführung der DSK verfügt Verwaltungsgerichtsbarkeits-Novelle 2012 Abschaffung der Art 133 Z 4 B-VG Behörden Schaffung von Landesverwaltungsgerichten und Bundesverwaltungs- bzw. Bundesfinanzgericht als Rechtsmittelinstanzen Monokratische Datenschutzbehörde (mit Fachbeirat) mit 1. Jänner 2014 Gregor König Datenschutzgesetz

97 Datenschutzkommission Zukunft 2 Datenschutz-Grundverordnung (Überblick) Aufgaben, ua neu Verbandsbeschwerden Verstärkte/r Informationsaustausch bzw. Amtshilfe mit anderen DPA Entwicklungsmonitoring Beratungen der Organe und Einrichtungen der MS Stellungnahmen zu Entwürfen von Verhaltensregeln Befugnisse Ermahnungen, Verwarnungen Anordnung der Berichtigung, Löschung, Vernichtung von Daten Stellungnahmen zu allen Fragen des Datenschutzes Information der nationalen Parlamente bzw. Reg. Verhängung von Verwaltungsstrafen Zusammenarbeit und Kohärenzverfahren Gregor König Datenschutzgesetz

98 Weiterführende Informationen Gregor König Datenschutzgesetz

99 Links Österreich Gesetzestexte: Rechtsprechung der DSK Information zur Meldung Verfahren bei der DSK Gregor König Datenschutzgesetz

100 Links EU Reformpaket EU-Kommission Art. 29 Datenschutzgruppe ndex_de.htm Europäischer Datenschutzbeauftragter (EDPS) Gregor König Datenschutzgesetz

101 Literatur EU Dammann/Simitis, Kommentar EG-Datenschutzrichtlinie, Baden-Baden 1997 Ehmann/Helfrich, EG Datenschutzrichtlinie, Köln 2003 Österreich Dohr/Pollirer/Weiss/Knyrim, Kommentar Datenschutzrecht,2. Aufl.,Wien 2011 Flendrovsky/König/Kotschy, Die Datenschutzkommission, in Verfahren vor Sonderbehörden, Wien 2006 Jahnel/Siegwart/Fercher (Hrsg.), Aktuelle Fragen des Datenschutzrechts, Wien 2007 Jahnel (Hrsg.), Jahrbuch Datenschutzrecht u E-Government Bauer/Reimer (Hrsg.), Handbuch des Datenschutzrechts, Wien 2009 Jahnel, Handbuch Datenschutzrecht, Wien 2010 Kuras (Hrsg.), Handbuch Arbeitsrecht, Manz Gregor König Datenschutzgesetz

102 Kontakt Dr. Gregor König, LL.M. Datenschutzkommission Hohenstaufengasse 3, 1010 Wien Tel.: 01/53115/ Fax: 01/53109/ Danke für Ihre Aufmerksamkeit! Gregor König Datenschutzgesetz