Grundsätze zur Verwendung von personenbezogenen Daten

Sowohl das österreichische Datenschutzgesetz als auch die Datenschutzgrundverordnung definieren Grundsätze, die bei der Verwendung personenbezogener Daten einzuhalten sind. Zentral ist dabei bei-den gesetzlichen Grundlagen, dass der Zweck einer Datenverwendung klar definiert sein muss.

Tabelle 3: Grundsätze für die Verwendung/Verarbeitung von personenbezogenen Daten Österreichisches Datenschutzgesetz DSG

2000 (bis 24.5.2018)

Europäische Datenschutzgrundverordnung (ab 25.5.2018)

Verwendung von Daten. Grundsätze

§ 6. (1) Daten dürfen nur (…)

2. für festgelegte, eindeutige und rechtmä-ßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise wei-terverwendet werden; (…)

3. soweit sie für den Zweck der Datenan-wendung wesentlich sind, verwendet wer-den und über diesen Zweck nicht hinausge-hen; (…)

5. solange in personenbezogener Form

Artikel 5. Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Per-son nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu

vereinba-aufbewahrt werden, als dies für die Errei-chung der Zwecke, für die sie ermittelt wur-den, erforderlich ist; eine längere Aufbewah-rungsdauer kann sich aus besonderen ge-setzlichen, insbesondere archivrechtlichen Vorschriften ergeben.

(2) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heran-zieht.

renden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Inte-resse liegende Archivzwecke, für wissen-schaftliche oder historische Forschungszwe-cke oder für statistische ZweForschungszwe-cke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbin-dung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbei-tung notwendige Maß beschränkt sein („Da-tenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle ange-messenen Maßnahmen zu treffen, damit per-sonenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;

personenbezogene Daten dürfen länger ge-speichert werden, soweit die personenbezo-genen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der be-troffenen Person gefordert werden, aus-schließlich für im öffentlichen Interesse lie-gende Archivzwecke oder für wissenschaftli-che und historiswissenschaftli-che Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Ab-satz 1 verarbeitet werden („Speicherbegren-zung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezo-genen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Ver-lust, unbeabsichtigter Zerstörung oder unbe-absichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss des-sen Einhaltung nachweides-sen können („Re-chenschaftspflicht“).

Neben den im österreichischen Datenschutzgesetz und der europäischen Datenschutz-grundverordnung definierten Grundsätzen sind darüber hinaus die Zulässigkeit der Verwendung und Übermittlung von Daten bzw., wie in der europäischen Datenschutz-grundverordnung definiert, die Rechtmäßigkeit der Verarbeitung zu prüfen.

Tabelle 4: Zulässigkeit / Rechtmäßigkeit der Verarbeitung Österreichisches Datenschutzgesetz DSG

2000 (bis 24.5.2018)

Europäische Datenschutzgrundverordnung (ab 25.5.2018)

Zulässigkeit der Verwendung von Daten

§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Daten-anwendung von den gesetzlichen Zustän-digkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteres-sen der Betroffenen nicht verletzen.

(2) Daten dürfen nur übermittelt werden, wenn

1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und

2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis – soweit diese nicht außer Zweifel steht – im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und

3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteres-sen des Betroffenen nicht verletzt werden.

(3) Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mit-teln erfolgen und daß die Grundsätze des § 6 eingehalten werden.

Artikel 6. Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedin-gungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden per-sonenbezogenen Daten für einen oder meh-rere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffe-ne Person ist, oder zur Durchführung vorver-traglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

(…);

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die perso-nenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demo-kratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele dar-stellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu ei-nem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter ande-rem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erho-ben wurden, und den Zwecken der beabsich-tigten Weiterverarbeitung,

b) den Zusammenhang, in dem die perso-nenbezogenen Daten erhoben wurden, ins-besondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

(…)

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Perso-nen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisie-rung gehören kann.

Diese gesetzlichen Anforderungen sind bei datenverarbeitenden Stellen oft nicht in ihrem vollen Um-fang bekannt bzw. werden auch als wettbewerbshemmend wahrgenommen. Datenschutz im Allgemei-nen und der Schutz persoAllgemei-nenbezogener Daten von KundInAllgemei-nen wird vor allem unter dem Augenmerk der Datensicherheit (Safety, Security) gesehen und weniger im Hinblick auf den Schutz der Rechte der Betroffenen (privacy) und der Verhältnismäßigkeit des Eingriffs in deren Persönlichkeitsrechte.

Eine Besonderheit des österreichischen Datenschutzgesetzes ist das Datenverarbeitungs-register, in dem alle Datenanwendungen (mit Ausnahme von einigen Standardanwendungen) im Sinne der §§ 17 – 19 DSG 2000 zu melden sind und das seit Jahren online³³ zur Verfügung steht. Hier soll es für Betroffe-nen möglich sein, zu erfahren, welchen Datenanwendungen von den unterschiedlichen Betreibern ein-gesetzt werden und zum Teil auch, welche personenbezogenen Datenarten in den Systemen Verwen-dung finden. In der Praxis gestaltet sich dieser Weg aber als höchst mühsam. So hat der Magistrat der Stadt Wien (DVR 0000191), welcher den Anforderungen zur Meldung im Gegensatz zu einigen privat-wirtschaftlichen Betrieben sehr umfassend nachkommt, fast 650 Datenanwendungen gemeldet (aufge-rufen 27.11.2015). Hier die aus Sicht der betroffenen BürgerInnen relevanten Systeme zu erkennen, wird wohl nicht möglich sein.

Die Datenschutzgrundverordnung, die ab Mai 2018 in Österreich gelten wird, sieht diese zentrale Erfas-sung von Datenanwendungen nicht (mehr) vor. Laut der neuen Reglungen werden Auftraggeber bzw.

Verantwortliche ein eigenes Verzeichnis zu führen haben, wie Artikel 30 DSGVO ausführt.

Verzeichnis von Verarbeitungstätigkeiten

(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des ge-meinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien perso-nenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, (…)

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Daten-kategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auf-tragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der AufAuf-tragsverarbeiter

33 https://dvr.dsb.gv.at/at.gv.bka.dvr.public/DVRRecherche.aspx

tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auf-tragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchge-führt werden;

(…)

d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(..)

(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vor-genommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (…)