Compliance. Markus Böttcher

Compliance - Markus Böttcher


Скачать книгу
„Öffnungsklauseln“ vor, die den nationalen Gesetzgebern Konkretisierungen und Spezifizierungen ermöglichen und auch die Aufrechterhaltung oder Schaffung von Sondervorschriften zulassen. Zu einer gänzlichen Vereinheitlichung des Datenschutzes wird es daher nicht kommen. Ob und welche Gesetzesänderungen im Datenschutzgesetz Österreich erfolgen, ist noch offen. Das Datenschutzgesetz in Österreich ist derzeit in manchen Aspekten strenger und in manchen weniger streng als die DS-GVO. Die nachfolgende Darstellung bezieht sich jedenfalls nur auf die Rechtslage bis zum Inkrafttreten der DS-GVO.

      185

      § 1 DSG 2000 normiert ein Grundrecht auf Datenschutz, das in umfangreichen einfachgesetzlichen Bestimmungen (§§ 4–64) ausgeführt wird. Das Grundrecht auf Datenschutz ist mit unmittelbarer Drittwirkung ausgestattet und bewirkt einen Anspruch auf Geheimhaltung personenbezogener Daten. Darunter sind der Schutz des Betroffenen vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen. Allerdings gibt es ein Recht auf Datenschutz nur dann, wenn ein schutzwürdiges Geheimhaltungsinteresse besteht. Jene Fälle, in denen es kein schutzwürdiges Geheimhaltungsinteresse gibt, werden ausdrücklich aufgeführt.

      186

      Voraussetzung für das Bestehen des Grundrechts ist es, dass es sich bei den Daten überhaupt um personenbezogene Daten handelt, die auf eine in ihrer Identität bestimmte (oder zumindest bestimmbare) Person zurückgeführt werden können und dass diese Daten weiter geheim gehalten werden können, was dann grundsätzlich unmöglich sein wird, wenn sie allgemein zugänglich sind. An personenbezogenen Daten besteht ein schutzwürdiges Geheimhaltungsinteresse, wobei das Grundrecht nicht absolut gilt, sondern durch bestimmte, zulässige Eingriffe beschränkt werden darf. Wichtiger Grund für eine zulässige Ausnahme vom Geheimhaltungsschutz ist zunächst die Zustimmung des Betroffenen zur Verwendung seiner Daten, womit anerkannt wird, dass in erster Linie der Betroffene selbst über das Schicksal der ihn betreffenden Daten zu entscheiden hat. Weitere Gründe für zulässige Eingriffe können sich aus den besonderen Interessen des Betroffenen selbst (lebenswichtiges Interesse des Betroffenen) oder aus den überwiegenden Interessen Anderer ergeben.

      187

      

      Die Verpflichtung zur Geheimhaltung schutzwürdiger personenbezogener Daten besteht unabhängig von der Form ihrer Verarbeitung, betrifft also z.B. auch „manuelle“ Daten (Notizen auf einem Zettel, Aktenteile und dergleichen) im herkömmlichen Sinn.

      188

      Das Grundrecht steht jedermann zu, wobei Betroffener sowohl eine natürliche als auch eine juristische Person oder Personengemeinschaft sein kann. Als höchstpersönliches Recht steht dieses Grundrecht nur lebenden Personen zu.

      189

      § 6 DSG definiert die allgemeinen Grundsätze für die Verwendung von Daten. Demnach dürfen Daten nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden. Weitere Grundsätze sind etwa die Zweckbindung und die Verpflichtung für den Auftraggeber, für die Richtigkeit, allenfalls auch die Aktualisierung der Daten, zu sorgen. Daten dürfen nur solange aufbewahrt werden, wie dies für die Zwecke, für die sie ermittelt wurden, erforderlich ist.

      190

      

      Die allgemeine Zulässigkeit der Datenverwendung ist an zwei Bedingungen geknüpft: Einerseits muss eine rechtliche Befugnis des Auftraggebers zur Verwendung dieser Daten (die etwa durch Gewerbeschein, Eintragung in die Ärzteliste und dergleichen dokumentiert sein kann) gegeben sein. Andererseits dürfen die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden, wobei die §§ 8 und 9 DSG 2000 für sensible und nicht-sensible Daten näher präzisieren, in welchen Fällen dies gewährleistet ist.

      191

      Im Alltagsleben von großer Bedeutung ist die Übermittlung von personenbezogenen Daten an Dritte oder deren Zugänglichmachung gegenüber Dritten. Voraussetzung für die Zulässigkeit der Übermittlung von Daten ist, dass diese aus einer zulässigen Datenanwendung stammen, der Empfänger seine ausreichende rechtliche Befugnis im Hinblick auf den Übermittlungszweck glaubhaft macht und die schutzwürdigen Geheimhaltungsinteressen des Betroffenen durch den Zweck und den Inhalt der Übermittlung nicht verletzt werden (§ 7 DSG 2000).

      192

      193

      194

      Geregelt werden im DSG 2000 nunmehr die Voraussetzungen für den zulässigen Einsatz der Videoüberwachung. Demnach muss der Zweck und Inhalt der Datenanwendung von den rechtlichen Befugnissen des Auftraggebers gedeckt sein (§ 7 Abs. 1 DSG), die Grundrechtseinschränkung verhältnismäßig sein (§ 7 Abs. 2 und 3 DSG), die schutzwürdigen Geheimhaltungsinteressen des Betroffenen gewahrt werden (§ 7 Abs. 1 i.V.m. 8 und 9 DSG) und die allgemeinen Datenschutzgrundsätze eingehalten werden (§ 7 Abs. 3 i.V.m. § 6 DSG). Der Auftraggeber hat die Videoüberwachung bei der Datenschutzbehörde vorab nach §§ 17 ff. DSG zu melden. Wurde die Videoüberwachung nicht im Vorhinein von der Datenschutzbehörde genehmigt, droht der Geschäftsleitung eine Verwaltungsstrafe aufgrund der Verletzung des Datenschutzrechts.

      195

      Dem Auftraggeber steht es frei, sich eines Dienstleisters zu bedienen, wenn dieser ausreichend Gewähr für eine rechtmäßige und sichere Datenverwendung bietet. Der Auftraggeber hat mit dem Dienstleister die notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.

      196

      

      Die Mindestpflichten des Dienstleisters sind in § 11 DSG 2000 ausgeführt und umfassen etwa das Treffen von Datensicherheitsmaßnahmen sowie die Verpflichtung, weitere Dienstleister nur mit Billigung des Auftraggebers heranzuziehen und die Daten nach Beendigung des Dienstverhältnisses wieder an den Auftraggeber zurückzugeben oder in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten. Der Dienstleister hat auch technisch und organisatorisch zu gewährleisten, dass die Rechte des Betroffenen (Auskunftserteilung, Richtigstellung


Скачать книгу