Logo O.P.P. - Beratung

IT Recht - Datenschutz

Datenschutz

Schon seit 1980 unterliegt die Verarbeitung personenbezogener Daten in Österreich gesetzlicher Regelung. Das österreichische Datenschutzgesetzt wurde seitdem mehrfach novelliert und basiert inhaltlich seit dem Jahr 2000 auf Grundlage der Richtlinie 95/46/EG. Am 25. Jänner 2012 wurde ein Entwurf einer Verordnung des europäischen Parlaments und des Rates „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“, die sog. Datenschutz-Grundverordnung veröffentlicht. Durch diesen Entwurf wird klargestellt, dass aufgrund faktischer Gegebenheiten die Erfordernis einer Novellierung bestehender Regelungen und eines europaweit einheitlichen Rechtsschutzes im Zusammenhang mit der Verarbeitung personenbezogener Daten besteht. Nicht zuletzt aufgrund der Erfahrungen Betroffener im Fall „Europe versus Facebook" wurden die Grenzen des bestehenden Rechtsschutzsystems und somit die Erfordernis eines wirksamen grenzüberschreitenden Schutzes aufgezeigt. Obwohl der gegenständliche Verordnungs-Entwurf noch in vielen Teilbereichen unvollständig ist und die detaillierte Ausführung vieler Bestimmungen vermissen lässt und aktuell nicht absehbar ist in welchem Umfang die Inhalte des Entwurfes zur Umsetzung kommen, wird der Stellenwert des Datenschutz-Themas auf europarechtlicher Ebene eindeutig demonstriert.

Zulässigkeit der Verarbeitung

Vereinfacht lässt sich als Grundsatz herausstreichen, dass „die Verarbeitung personenbezogener Daten grundsätzlich verboten ist“, soweit das Gesetz nicht ausdrücklich Ausnahmen von dieser Regel enthält. Im Zusammenhang mit der Zulässigkeit der Verarbeitung personenbezogener Daten unterscheidet das DSG hier in die Kategorien der „sensiblen Daten“ (Daten über …) „nicht sensiblen Daten“ (alle übrigen personenbezogenen Daten).Die Zulässigkeit der Verarbeitung von personenbezogenen Daten beider Kategorien wird im DSG ausführlich erläutert. Die Anwendung dieser Bestimmungen in der Praxis erfordert jedoch mitunter viel Erfahrung und Kenntnisse der spezifischen Judikatur und Literatur.

Melde- bzw. Genehmigungspflichten

Soweit die Frage nach der Zulässigkeit der Verarbeitung personenbezogener Daten positiv beantwortet wurde, stellt sich die Frage nach allfälligen Melde- und Genehmigungspflichten von Datenanwendungen. Soweit es sich bei den verarbeiteten Daten nicht ausschließlich um veröffentlichte Daten bzw. um indirekt personenbezogene Daten handelt, ist für Unternehmen vor allem ein Abgleich von Zweck und Umfang der jeweiligen Datenanwendung mit die Liste der sog. Standard- und Musteranwendungen (enthalten in der StMVO 2004) erforderlich, um das Vorliegen einer Meldepflicht festzustellen. Finden sich der Zweck einer Datenverarbeitung bzw. deren Inhalt nicht vollständig in den jeweiligen Inhalten einer Standard- oder Musteranwendung, ist von einer Meldepflicht auszugehen. Werden zudem sensible oder strafrechtlich relevante Daten verarbeitet, dient die Datenanwendung der Auskunftserteilung über die Kreditwürdigkeit von Betroffenen oder wird die Datenanwendung in Form eines Informationsverbundsystems betrieben, dann ist zudem eine Vorabgenehmigung durch die Datenschutzkommission erforderlich. Die Meldungen an das Datenverarbeitungsregister (DVR) ist seit 1.September 2012 nur noch auf elektronischem Weg möglich. Das Datenverarbeitungsregister (DVR-Online) ist seit diesem Zeitpunkt auch öffentlich einsehbar, ohne dass zur Abfrage ein entsprechendes Interesse (z.B. als Betroffener) noch eine Zugangskennung erforderlich wäre. Um Eingaben an das DVR machen zu können ist eine Identifikation mittels Bürgerkarte erforderlich. Einzelvertretungsbefugte Vertreter juristischer Personen können diese Eingaben selbst durchführen, oder diese Befugnis mittels (elektronischer) Vollmacht an Dritte übertragen. Für juristische Personen, für die keine einzelbefugter Vertreter existieren, können Vollmachten über das Unternehmens-Service-Portal (www.usp.gv.at) erteilt werden.

Betrieblicher Datenschutzbeauftragter

Die Funktion des betrieblichen Datenschutzbeauftragten umfasst sämtliche Tätigkeiten im Zusammenhang mit der Nutzung personenbezogener Daten und deren angemessenem Schutz. Dazu gehören neben laufender Überwachung der Einhaltung der gesetzlichen Bestimmungen und innerbetrieblichen Regeln auch die Verbreitung und Festigung datenschutzrechtlichen Bewusstseins und Wissens. Die Rolle eines verpflichtenden betrieblichen Datenschutzbeauftragten wurde schon im Rahmen der Novellierung des DSG im Jahr 2008 diskutiert, fand jedoch bislang keinen Eingang in den Gesetzestext. Im aktuellen Entwurf einer europäischen Datenschutz-Grundverordnung findet sich dieser wieder. Für Unternehmen mit mehr als 250 Mitarbeitern soll dieser verpflichtend zu installieren sein. Auch wenn derzeit keine gesetzliche Verpflichtung zur Installation eines betrieblichen Datenschutzbeauftragten gibt, sprechen viele gute Gründe dafür, diese Funktion schon jetzt zu implementieren. Durch den Datenschutzbeauftragten gibt es einen zentralen Ansprechpartner und Verantwortlichen für alle datenschutzrelevanten Themen eines Unternehmens. Dieser verfügt durch eine entsprechende Aus- und laufende einschlägige Weiterbildung über das erforderliche Fachwissen. Um seine Aufgabe wirksam wahrnehmen zu können, muss der Datenschutzbeauftragte in seiner Rolle unabhängig und weisungsfrei agieren können und mit entsprechenden Kompetenzen ausgestattet sein. Nur bei Vorliegen dieser Voraussetzungen kann der Datenschutzbeauftragte auch seine Verantwortung wahrnehmen und seine Rolle wirksam ausfüllen. In größeren Unternehmen hat sich die Installation eines „IT & Datenschutz-Beirates“ (IDB) bewährt. Als Mitglieder des IDB sind Personen in leitender Funktion zu berufen, in deren Verantwortungsbereich personenbezogene Daten anfallen bzw. verarbeitet werden. In diesem Gremium werden einschlägige Themen behandelt, diskutiert und einer Entscheidung zugeführt. Der betriebliche Datenschutzbeauftragte steht diesem Gremium beratend zur Seite und ist für die Umsetzung bzw. fachliche Begleitung erforderlicher Maßnahmen verantwortlich.

Unsere Leistungen zum Thema Datenschutz

Information

Wir informieren Verantwortliche zu rechtlichen und fachlichen Themen des Datenschutzes, auf Basis bestehender gesetzlicher Bestimmungen. Hierbei werden die gesetzlichen Begriffe im praktischen Kontext erläutert, sowie grundsätzliche Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten beantwortet. Rechtsfolgen bei Gesetzesverstößen, insbesondere Haftung der Geschäftsführung bzw. der Fachverantwortlichen Erläuterung bevorstehender gesetzlicher Bestimmungen.

Analyse

  • Systematische Analyse aller Datenanwendungen einer Organisation in Bezug auf datenschutzrechtliche Relevanz.
  • Zulässigkeit der Verarbeitung
  • Einhaltung von Melde- und Genehmigungspflichten
  • Datensicherheitsmaßnahmen (technisch/organisatorisch)
  • Aktueller Handlungsbedarf (Risiko)

Beratung

  • Organisatorische Maßnahmen zum Datenschutz
  • Bewusstseinsbildende Maßnahmen
  • Vertragsgestaltung (Dienstleistervereinbarungen, Verträge für Errichtung und Beitritt zu Informationsverbundsystemen, Betriebsvereinbarungen)Verpflichtung auf das Datengeheimnis (in Verbindung mit allgemeinem Geheimnisschutz)

Ausbildung

Wir bilden innerbetriebliche Datenschutzbeauftragte aus und bereiten diese zur CIS-Prüfung vor. Die Prüfung kann sowohl im Rahmen der Ausbildung abgelegt werden, als auch auf Wunsch direkt bei CIS.

» Ausbildung zum betrieblichen Datenschutzbeauftragten

DVR-Online

Seit 1.9.2012 sind Meldungen an das Datenverarbeitungsregister nur noch online möglich. Dazu ist ein Zugang mittels Bürgerkarte erforderlich. Wir sind berechtigt Bürgerkarten auszustellen und unterstützen Sie bei den Einrichtungen der allenfalls erforderlichen Vollmachten. Zudem bieten wir Workshops zur Nutzung von DVR-Online in unmittelbarer Abstimmung mit Ihren Anforderungen an.

Projektvorgehen

  • Analyse der bestehenden Meldungen auf Aktualität und Richtigkeit
  • Strukturierte Erfassung aller betrieblichen Datenanwendungen
  • Kategorisierung der verarbeiteten Daten in Bezug auf das Datenschutzgesetz
  • Sicherstellung der rechtlichen Voraussetzungen (z.B. Zustimmungserklärungen, Betriebsvereinbarungen, Dienstleisterverträge)
  • Ermittlung von Melde- und Genehmigungspflichten (Abgleich mit meldefreien Standard- und Musteranwendungen)
  • Vorbereitung der Meldungen und Genehmigungsangträgen
  • Einreichung der Meldungen und Genehmigungsangträgen
  • Unterstützung bei der Umsetzung erforderlichen Datensicherheitsmaßnahmen