(März 2010)
Mit Beginn des Jahres wurde das Datenschutzgesetz (DSG) umfassend novelliert. Wie die Praxis zeigt, herrscht weitgehend Unklarheit über die gesetzlichen Regelungen, weshalb wir die wesentlichen Punkte des DSG in Erinnerung rufen.
So hat grundsätzlich jeder Nutzer von EDV-Programmen, mit denen personenbezogene Daten gespeichert bzw. verarbeitet werden sollen, vor Beginn der Verwendung eine Meldung an das Datenverarbeitungsregister (DVR) bei der Datenschutzkommission zu erstatten.
In bestimmten Sonderfällen sind sogar manuell geführte Karteisysteme meldepflichtig, wenn sie z.B. Patientendaten oder ähnlich sensible Daten beinhalten.
Für die Meldepflicht sind der Zweck (z.B. Personalverwaltung, Versicherungsvermittlung), die Betroffenenkreise (etwa Mitarbeiter, Kunden), die verarbeiteten Datenarten (beispielsweise Geburtsdatum, Anschrift) und die Kreise von Übermittlungsempfängern (zum Beispiel Banken, Vertragspartner) der Datenanwendung relevant. Die Art der eingesetzten Hard- und Software ist grundsätzlich bedeutungslos.
Alle nachträglichen Änderungen, zum Beispiel neue Datenarten, andere Empfänger der Daten, etc. verpflichten zur Einbringung einer entsprechenden Änderungsmeldung.
Ausgenommen von der Meldepflicht sind beispielsweise Datenanwendungen, die ausschließlich öffentlich zugängliche Daten enthalten (zum Beispiel Grundbuch, Firmenbuch, in Medien veröffentlichte Bilanzdaten). Datenanwendungen, die von natürlichen Personen ausschließlich für persönliche oder familiäre Tätigkeiten vorgenommen werden, sind auch nicht meldepflichtig, also zum Beispiel ein Organizer mit privaten Telefonnummern.
Eine meldepflichtige Datenanwendung darf grundsätzlich schon unmittelbar nach Abgabe der Meldung beim Datenverarbeitungsregister aufgenommen werden. Ausnahmen gibt es für besonders sensible Daten wie z.B. Gesundheitsdaten, strafrechtlich relevante Daten, Daten über die Kreditwürdigkeit von Personen, oder Daten, die in Form eines Informationsverbundsystems erfasst und gespeichert werden. Datenanwendungen dieser Art dürfen erst nach ihrer Prüfung durch die Datenschutzkommission aufgenommen werden. Sofern die Datenschutzkommission jedoch innerhalb von zwei Monaten keinen Auftrag zur Verbesserung erteilt, darf die Verarbeitung aufgenommen werden.
In der jetzigen Novelle wurde das Grundrecht auf Datenschutz nach Ansicht der Juristen in eine sprachlich verbesserte Form gebracht, der Rechtsschutz sollte durch eine präzisere Regelung des Beschwerdeverfahrens vor der Datenschutzkommission verbessert werden, das Registrierungsverfahren für Standardanwendungen (das sind solche, die voraussichtlich bei einer großen Zahl von Nutzern und in gleichartiger Weise vorkommen) wurde vereinfacht, indem etwa Unternehmen die Möglichkeit verbindlicher einseitiger Erklärungen eingeräumt wurde. Die Angaben in den Meldungen werden nur mehr auf Vollständigkeit und Plausibilität geprüft, damit ist die Registrierung im Prinzip schon erledigt und es steht einer legalen Datenverarbeitung nichts mehr im Wege.
Gänzlich neu sind die Regelungen für digitale Videoüberwachungen: Diese unterliegen auch für private Zwecke grundsätzlich einer Meldepflicht und einer Vorabkontrolle. Außerdem sind derartige Anlagen zur Videoüberwachung entsprechend zu kennzeichnen und alle Daten, sofern sie nicht für Beweis- bzw. Schutzzwecke benötigt werden, innerhalb von 72 Stunden zu löschen. Absolut verboten sind Videoüberwachungen an Orten, die zum "höchstpersönlichen Lebensbereich" eines Betroffenen zählen, z.B. in WCs und in Umkleidekabinen, weiters die Kontrolle von Mitarbeitern an Arbeitsstätten. Bei Unternehmen trifft dieses Verbot nur auf geteilte Zustimmung, denn wie heißt es so schön: Vertrauen ist gut, Kontrolle ist besser. Überwachungen zu anderen Zwecken (Verkaufsräume mit Kassen oder frei zugänglichen Verkaufsregalen wie in Supermärkten, Objekte mit erhöhtem Gefährdungspotenzial) sind aber zulässig, auch wenn quasi als Nebenprodukt auch Mitarbeiter überwacht werden können. Nicht meldepflichtig sind analoge
Aufzeichnungssysteme und Echtzeitsysteme ohne Speicherfunktion. Abzuwarten bleibt, ob der Bundeskanzler als für das DSG zuständige Behörde in einer Verordnung private Videoüberwachungssysteme als Standardanwendungen einstuft, womit deren Registrierung wenigstens vereinfacht wird. Angesichts ständig steigender Einbruchszahlen wohl kein schlechtes Signal, wenn man die Sorgen der Bevölkerung ernst nimmt.
Bei der Vernachlässigung von Meldepflichten drohen übrigens empfindliche Geldstrafen von bis zu 10.000,- EUR, dafür ein kleiner Trost: Die Meldungen nach dem DSG sind immerhin gebührenfrei. Weitergehende, nützliche Informationen finden sie etwa unter http://www.dsk.gv.at.