Inhalt

Fragen und Antworten

Auskunftsersuchen?

Was tun?

Das Auskunftsrecht gemäß §26 DSG 2000 ist ein wertfreies Informationsrecht. Es beinhaltet keinen Vorwurf gegen Sie, Ihre Organisation oder Ihre Mitarbeiter und Mitarbeiterinnen.

Sie benötigen zur Beantwortung eines Auskunftsersuchens in der Regel keinen Rechtsanwalt.

Jedem Auskunftsersuchen ist zwingend ein Identitätsnachweis (bspw. ein amtlicher Lichtbildausweis, Handysignatur) beizulegen. Wird einem Auskunftsersuchen kein Identitätsnachweis beigelegt, so bedeutet dies nicht, dass auf das Auskunftsbegehren nicht zu reagieren ist. Der Auskunftswerber ist von Ihnen zur Vorlage eines Identitätsnachweises aufzufordern.

Ein Auskunftswerber ist verpflichtet, am Auskunftsverfahren im zumutbaren Ausmaß mitzuwirken. Ist ein Auskunftsbegehren unklar, so können Sie den Auskunftswerber auffordern, sein Auskunftsbegehren zu präzisieren.

Sofortige Löschung der Daten?

Nein! Ab dem Zeitpunkt der Kenntnis eines Auskunftsverlangens dürfen Sie Daten über den Betroffenen, der das Auskunftsverlangen an Sie richtet, nicht mehr löschen (§ 26 Abs. 7 DSG 2000).

Wer Daten trotzdem löscht, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 25.000 Euro geahndet werden kann (§ 52 Abs 1 Z 4 DSG 2000).

Wenn Betroffene Auskunft und Löschung in einem Schreiben verlangen, erteilen Sie Auskunft, aber löschen Sie die Daten bitte erst, wenn das Auskunftsverfahren abgeschlossen ist.

Recht auf Auskunft

Das Auskunftsrecht steht dem Betroffenen zu, d. h. demjenigen, dessen Daten verwendet werden (§ 4 Z 3 DSG 2000). Jedermann hat das Recht auf Auskunft über die zu seiner Person verarbeiteten Daten. Ein Recht auf Auskunft über Daten anderer Personen besteht nicht.

Inhalt der Auskunft

Der Inhalt der Auskunft ist in § 26 DSG 2000 festgelegt:

Die verarbeiteten Daten: Damit sind die echten Daten gemeint, die Sie über den Betroffenen verarbeiten. Es genügt daher nicht mitzuteilen, dass etwa der Name und das Geburtsdatum gespeichert seien, sondern es muss offengelegt werden, wie die Eintragungen unter "Name" und "Geburtsdatum" lauten.

Die verfügbaren Informationen über die Herkunft der Daten, allfällige Empfänger oder Empfängerkreise von Übermittlungen, damit der Betroffene seine Richtigstellungs- und Löschungs­rechte sowohl gegenüber der Quelle der Daten als auch gegenüber den Übermittlungsempfängern durchsetzen kann.

Den Zweck der Datenverwendung: Teilen Sie mit, wozu Sie die Daten verarbeiten.

Die Rechtsgrundlagen der Daten­verwendung: Teilen Sie Ihre Rechtsgrundlage mit.

Auf Wunsch müssen Sie auch Ihre(n) Dienstleister (§ 4 Z 5 DSG 2000) bekanntgeben.

Die Auskunft muss in "allgemein verständlicher Form" gegeben werden. Es ist nicht zulässig, einen Ausdruck mit für den Empfänger unverständlichen Abkürzungen und Chiffren als Auskunft zu übermitteln.

Zeit

Die Auskunft ist innerhalb von 8 Wochen nach Einlangen des Auskunftsbegehrens zu erteilen, oder es ist schriftlich zu begründen, warum die Auskunft nicht oder nicht vollständig erteilt wird.

Verweigerung der Auskunft

Sie finden die Gründe für eine Verweigerung der Auskunft in § 26 Abs. 2 DSG 2000. Eine unberechtigte Weigerung, Auskunft zu erteilen, ist gemäß § 52 Abs. 2a DSG 2000 verwaltungs­rechtlich strafbar.

Mangelnder Nachweis der Identität

Wird der Identitätsnachweis trotz Aufforderung nicht erbracht, ist der Auskunftswerber schriftlich zu informieren, dass mangels Vorlage eines Identitätsnachweises keine inhaltliche Auskunft erteilt werden kann.

Kostenersatz für die Auskunft

Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Auskunfts­werber im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein geleisteter Kosten­ersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechts­widrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtig­stellung geführt hat.

Grenzen des Auskunftsrechts

Das Auskunftsrecht gemäß § 26 DSG 2000 bezieht sich nur auf automationsunterstützte Verarbeitungen und manuelle Dateien. Ein Auskunftsrecht hinsichtlich von personenbezogenen Daten im Inhalt von (Papier-) Akten (etwa in Form der Übersendung von Kopien bestimmter Dokumente) oder ein Recht auf Auskunft über den Inhalt von Briefen und anderen Schriftstücken besteht nicht. Es gibt aber das Recht auf Akteneinsicht im öffentlichen Bereich.

Für Datenbanken, die von Gesetzes wegen einsehbar sind, wird statt des Rechts auf Auskunft das normale Recht auf Einsicht angewendet (§ 26 Abs. 8 DSG 2000).

Recht auf Auskunft oder Akteneinsicht?

Im öffentlichen Bereich gibt es das Recht auf Akteneinsicht (§ 17 Allgemeines Verwaltungsverfahrensgesetz 1991). Das Recht auf Auskunft und das Recht auf Akteneinsicht können sich überschneiden, sind jedoch nicht deckungsgleich. Gewährte Akteneinsicht befreit nicht von der Pflicht zur Erteilung der Auskunft.

§ 26 Abs. 1 DSG 2000 normiert einen Sonderfall. Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

Was passiert, wenn ich keine Auskunft gebe oder die Frist überschreite?

Der Betroffene kann sich bei der Datenschutz­behörde beschweren, wenn innerhalb der Frist von 8 Wochen keine oder eine unzureichende Auskunft erteilt wird. Die Datenschutzbehörde fordert die Auftraggeber üblicherweise auf, dem Auskunftsbegehren umgehend zu entsprechen.

Erteilen Sie daher bitte die Auskunft auch dann, wenn die Frist bereits abgelaufen ist.

Eine verspätete Auskunftserteilung kann auf Anzeige des Betroffenen oder der Datenschutzbehörde von der Bezirksverwaltungsbehörde als Verwaltungsübertretung bestraft werden. Die Höhe der Geldstrafe kann bis zu 500 Euro betragen (§ 52 Abs. 2a DSG 2000).

Auskunftsersuchen an die falsche Stelle gerichtet?

Es kann vorkommen, dass ein Auskunftsersuchen irrtümlich an die falsche Stelle gerichtet wird. Wenn Sie erkennen, dass Sie gar nicht gemeint sein können, sollten Sie trotzdem reagieren und den Einbringer auf den Fehler aufmerksam machen. Wenn die Frist zur Auskunftserteilung abläuft, kann der Betroffene Beschwerde an die Datenschutzbehörde erheben. § 6 AVG gilt.

Auskunft über Videoüberwachung?

Für das Auskunftsrecht aus Videoaufzeichnungen besteht eine Sonderregelung (§ 50e DSG 2000). Der Betroffene muss möglichst genau beschreiben, wann und wo er auf einer Videoaufzeichnung zu sehen ist. Der Auftraggeber hat die Auskunft durch Übersendung einer Kopie der zu seiner Person verarbeiteten Daten in einem üblichen technischen Format zu gewähren. Sie können auch Einsichtnahme auf den Lesegeräten des Auftraggebers verlangen, wobei Ihnen auch in diesem Fall eine Kopie zusteht.

Wenn die Videoaufzeichnung nicht ausgewertet und die darauf sichtbaren Personen nicht identifiziert wurden, besteht kein Recht aus Auskunft (siehe sie Entscheidung der Datenschutzkommission Zahl K121.605/0003-DSK/2013 vom 6. September 2013).

Auskunft und Löschung?

Gemäß § 27 DSG 2000 haben Sie das Recht auf Richtigstellung oder Löschung von Daten, die unrichtig oder entgegen den Bestimmungen das Datenschutzgesetzes verarbeitet wurden.

Bitte verlangen Sie nicht Auskunft und Löschung gleichzeitig! Der Auftraggeber könnte eine unzureichende Auskunft erteilen und dann die Daten löschen. Eine nachfolgende Kontrolle durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Datenschutzbeauftragte – Muss ich einen bestellen?

Muss ich einen Datenschutzbeauftragten bestellen?

Nein. Die EU-Datenschutzrichtlinie 95/46/EG enthält in Artikel 18 Abs. 2 mehrere Möglichkeiten für die Mitgliedsstaaten, die Meldepflicht zu vereinfachen. Der Datenschutzbeauftragte hat keinen Eingang in das österreichische Datenschutzgesetz gefunden.

Datenschutzbeauftragte sind nach dem deutschen Datenschutzrecht vorgeschrieben.

Direktwerbung?

Wer ist verantwortlich?

Bei direkt adressierten Werbesendungen gibt es zwei Fälle:

  1. Eigenwerbung mit Hilfe der Kundendatei: Diese ist jedem Unternehmen grundsätzlich gestattet, so kein ausdrücklicher Widerspruch des Betroffenen vorliegt. Eine entsprechende Datenverwendung ist im Regelfall auch von der Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister – DVR) ausgenommen (Standardanwendung SA022 – Kundenbetreuung und Marketing für eigene Zwecke).
  2. Werbung durch ein Direktmarketingunternehmen: Solche Unternehmen betreiben ein Gewerbe ("Adressverlage und Direktmarketingunternehmen" gemäß § 151 der Gewerbeordnung 1994 – GewO 1994). Sie bieten regelmäßig nicht nur Leistungen bei der Gestaltung, beim Druck und beim Versand von Werbebriefen ("Mailings") an, sondern führen auch eigene Datenanwendungen, in denen die Daten möglicher Werbeadressaten verarbeitet werden, und vermitteln den Austausch von Kundendaten für Werbezwecke zwischen Unternehmen ("Listbroking").

Direktmarketingunternehmen müssen ihre Datenanwendungen der Datenschutzbehörde melden, werden ins Datenverarbeitungsregister (DVR) eingetragen und müssen eine DVR-Nummer führen.

Woher wissen die das?

Sehr häufig wird die Frage gestellt, wie es Direktmarketingunternehmen möglich ist, Werbung zielgenau zu versenden, etwa Werbebriefe, die eine bestimmte Altersgruppe (Jugendliche, Senioren) ansprechen oder – zumindest scheinbar – auf das Einkommen des Adressaten abstellen.

Direktmarketingunternehmen dürfen Personendaten manuell und durch automatische Systeme mit "Marketingklassifikationen" versehen. Entsprechende Programme können aus statistischen Erfahrungswerten gewisse Wahrscheinlichkeiten errechnen, etwa aus dem Vornamen die Wahrscheinlichkeit, zu einer bestimmten Altersklasse zu gehören, oder aus der Adresse die Wahrscheinlichkeit, zu einer bestimmten Einkommensklasse zu gehören. Aus der Altersklasse lässt sich wiederum die Wahrscheinlichkeit errechnen, zur Zielgruppe für gewisse Gesundheitsprodukte oder medizinische Dienstleistungen zu gehören.

Oft stammen präzise Daten, wie z.B. das Geburtsdatum, auch einfach aus der Kundendatei eines Unternehmens, mit dem Sie in ständiger Geschäftsverbindung stehen.

Bei Listbroking kann es auch sein, dass der Werbende gezielt die Kundendateien von bestimmten Luxus- und Markenartikelhändlern nutzen lässt und seine Marketingbotschaft so an eine bestimmte Käuferschicht richtet.

Was kann man dagegen tun?

Gegen Mailings von inländischen Direktmarketingunternehmen kann man sich auf eine Sperrliste (Robinson-Liste) setzen lassen.

Die Eintragung in dieser Sperrliste hilft nicht

  • gegen Mailings, die von ausländischen Direktmarketingunternehmen versendet werden;
  • gegen Eigenwerbung von Unternehmen, die sie als Kunden führen,
  • gegen amtliche Informationen und
  • gegen Wahlwerbung
  • Die Robinson-Liste wirkt nur gegen persönlich adressierte Werbung, nicht gegen Postwurfsendungen oder Werbezettel an der Haustüre. Dagegen hilft der Aufkleber „Bitte keine unadressierte Werbung“, den Sie bei der Wirtschaftskammer Österreich bestellen können.
  • Die Robinson-Liste wirkt nicht gegen Werbung per E‑Mail oder Fax. Diese Art von Werbung ist gemäß § 107 Telekommunikationsgesetz 2003 verboten.

Eine vollständige Löschung aus den Datenanwendungen eines Direktmarketingunternehmens (bzw. ein Widerspruch gegen die Datenverwendung) ist ebenfalls möglich. Allerdings kann nicht ausgeschlossen werden, dass das Unternehmen ihre Daten später neuerlich (aus legalen Quellen) ermittelt und verwendet. Einen dauerhaften Ausschluss aus diesem Kreislauf von Datentransfers gewährleistet nur die Aufnahmen in die Sperrliste.

Ihre weiteren Rechte

Direktmarketingunternehmen sind zur datenschutzrechtlichen Auskunftserteilung verpflichtet.

Innerhalb von drei Monaten nach einem Mailing muss ein Direktmarketingunternehmen, auch wenn es die Daten nicht (mehr) selbst verarbeitet (z.B. bei Listbroking), Auskunft über die Herkunft der Daten (den datenschutzrechtlich verantwortlichen "Auftraggeber der Ursprungsdatei") geben.

Vor der Übermittlung ("Verkauf") an oder der Freigabe einer Kundendatei zum Listbroking durch ein Direktmarketingunternehmen muss ein Unternehmen die Zustimmung der Betroffenen einholen. Meist erfolgt dies schon anlässlich der erstmaligen Erfassung ihrer Kundendaten. Sie haben dann die Möglichkeit, die Zustimmung zu verweigern oder diese später zu widerrufen.

Drohnen und Datenschutz?

Drohnen

Ein "Drohne" ist ein unbemanntes Luftfahrzeug. Die heutigen Drohnen sind ferngesteuert, und können in Zukunft auch selbstgesteuert sein.

Drohnen können sowohl unter das Datenschutzrecht als auch unter das Luftfahrtgesetz fallen. Beide Rechtsgebiete sind voneinander vollkommen unabhängig. 

Drohnen im Datenschutzgesetz

Drohnen sind nur dann datenschutzrechtlich relevant, wenn sie personenbezogene Daten ermitteln. Ein Spielzeug oder Modellflugzeug ohne Kameras oder andere Sensoren fällt nicht unter das Datenschutzgesetz. Die üblichste Form der datenschutzrechtlich relevanten Drohne ist ein Fluggerät mit einer eingebauten Kamera, die Bilder aufzeichnet und per Funk an den Piloten übermittelt. 

Drohnen sind eine neue Technologie, aber es lässt sich sagen, dass bestehende rechtliche Regeln für Videokameras auf Drohnen anwendbar sind. Danach ist die Videoüberwachung von öffentlichem Grund oder Privatgrund anderer Personen nicht zulässig. Der Einsatz von Kameras in Autos, die die Straße und den Verkehr zum Zweck der Beweissicherung bei Unfällen aufnehmen ("Dashcams"), ist unzulässig. 

Für Drohnen, die ähnlich wie herkömmliche Videokameras zur Überwachung und zur Beweisführung bei Sachbeschädigungen oder Angriffen auf Personen dienen, besteht Meldepflicht beim Datenverarbeitungsregister. 

Eine Drohne mit Kamera, die nicht aufzeichnen kann, muss nicht gemeldet werden. Das entspricht den bestehenden Regelungen für Webcams. Beachten Sie aber, dass zivilrechtliche Unterlassungsansprüche bestehen können. 

Drohnen im Luftfahrtgesetz

Das Luftfahrtgesetz (LFG), BGBl. Nr. 253/1957, enthält besondere Bestimmungen über Drohnen, die Sie auf der Website der Austro Control einsehen können.

Für kleine Drohnen mit geringer Leistung (wie die Drohnen, die für jedermann im Elektronikhandel erhältlich sind) gibt es weitgehende Ausnahmebestimmungen. 

Weiterführende Informationen

DVR-Nummer?

Wann und wo muss ich eine DVR-Nummer führen?

Sie müssen eine DVR-Nummer führen, wenn Sie der Meldepflicht unterliegen.

Sie müssen die DVR-Nummer bei Übermittlungen an den Betroffenen angeben (§ 25 Abs. 1 DSG 2000). Führen Sie die DVR-Nummer am besten auf allen Schreiben an Betroffene an. Tipp: Fügen Sie die DVR-Nummer in die Kopf- oder Fußzeile ein. Die DVR-Nummer sollte wie folgt dargestellt werden:

DVR: 0000000

Die führenden Nullen sind Teil der DVR-Nummer.

Wie erfahre ich, wem eine DVR-Nummer gehört?

Wenn Ihnen die DVR-Nummer oder der Name des Auftraggebers bekannt ist, können Sie jederzeit online in das Datenverarbeitungsregister Einsicht nehmen.

ELGA?

Information zu ELGA

Die Elektronische Gesundheitsakte ("ELGA") soll elektronische Befunde ("e‑Befunde") und die Medikationsdaten ("e‑Medikation") für Gesundheits­dienste­anbieter bereithalten.

Ich möchte mich von ELGA abmelden

Sie können gegen die Aufnahme Ihrer Daten in ELGA Wider­spruch erheben.

Gemäß § 3 ELGA-Verordnung (ELGA‑VO), BGBl. II Nr. 505/2013, ist der Haupt­verband der österreichischen Sozial­versicherungs­träger die Stelle, bei der Widerspruch gegen den ELGA erhoben werden kann (die Wider­spruch­stelle).

Kann ich bei der Datenschutzbehörde Widerspruch gegen die ELGA erheben?

Bitte melden Sie sich von ELGA auf die oben beschriebene Art ab. Das Wider­spruchs­recht gemäß § 28 DSG 2000 ist dafür nicht geeignet.

Weiterführende Informationen

Genehmigung gemäß §§ 13, 46 und 47 DSG 2000?

Kann ich eine Genehmigung gemäß §§ 13, 46 und 47 DSG 2000 über DVR-Online beantragen?

Nein. DVR-Online ist nur für Meldungen gemäß §§ 17ff DSG 2000 vorgesehen.

Bringen Sie Ihren Antrag auf Genehmigung im Internationalen Datenverkehr (§ 13 DSG 2000), für wissenschaftliche Forschung und Statistik (§ 46 DSG 2000) oder Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen (§ 47 DSG 2000) schriftlich (auch Fax und E-Mail) bei der Datenschutzbehörde ein.

Geburtsdatum in der Adressierung von Behördenschreiben?

Es werden immer wieder Anfragen und Beschwerden an die Datenschutzbehörde herangetragen, ob der Aufdruck des Geburtsdatums neben dem Namen in der Adressierung eines behördlichen Schreibens zulässig ist.

Mit gewisser Regelmäßigkeit handelt es sich dabei um Schreiben in einer Verwaltungsstrafsache (z.B. wegen einer straßenpolizeilichen Übertretung).

Nach klarer österreichischer (§ 4 Z 2 des Datenschutzgesetzes 2000) wie europäischer Rechtslage (Art. 8 Abs. 1 der Richtlinie 95/46/EG) zählt das Geburtsdatum nicht zu den sensiblen Daten, mag dies persönlich oft auch anders empfunden werden.

Die Datenschutzbehörde geht in ständiger Rechtsprechung davon aus, dass das Geburtsdatum dann der Adressierung eines behördlichen Schreibens beigefügt werden darf, wenn es der Sicherung gegen Verwechslungen des Adressaten oder der Adressatin im Zustellverfahren dient (z.B. wegen möglicher Namensgleichheit eines Elternteils und eines an derselben Adresse wohnhaften Kindes, die die Behörde nicht von vornherein ausschließen kann), und das dadurch gesicherte schutzwürdige Interesse an der Geheimhaltung des Inhalts vor Kenntnisnahme durch Dritte schwerer wiegt als die Offenlegung des nicht-sensiblen Geburtsdatums.

Dies ist etwa gesichert dann der Fall, wenn es um die Zustellung eines Schreibens geht, das unmittelbar an die Adressatin oder den Adressaten gerichtete (verwaltungs-) strafrechtliche Vorwürfe enthält (z.B. bei einer Verwaltungsstrafverfügung gemäß § 48 Abs. 3 des Verwaltungsstrafgesetzes 1991 – VStG oder einer Ladung zur Einvernahme als Beschuldigter im kriminalpolizeilichen Ermittlungsverfahren).

Kein derartiges überwiegendes berechtigtes Interesse liegt z.B. nach der Rechtsprechung dann vor, wenn mit der Briefsendung bloß eine Informationsbroschüre zugestellt worden ist.

Nach der Rechtsprechung der Datenschutzbehörde ist auch der Aufdruck des Geburtsdatums auf einer Anonymverfügung (§ 49a VStG) unzulässig.

Google Street View?

Allgemein

"Google Street View" ist ein Dienst von Google Inc. (im Folgenden kurz: Google), der ausgehend von Google Maps (Landkarten) Straßenansichten im Internet zugänglich macht. Dies soll dem Benutzer erlauben, für ausgewählte Städte durch Anklicken des Straßenzuges auf einer Straßenkarte oder Eingabe einer Adresse in "Google Maps" eine 360 Grad Ansicht der Örtlichkeit zu erhalten. Bei den im Internet sichtbaren Bildern handelt es sich um Momentaufnahmen und nicht um Bilder aufgrund einer Live-Verbindung zum dargestellten Ort. Die im Internet gezeigten Bilder müssen daher mit der jeweils aktuellen Situation am dargestellten Ort nicht übereinstimmen.

Abschluss des Verfahrens zu „Google Street View“ in Österreich

Die Datenschutzkommission hat die Registrierung von Google Street View verfügt und gleichzeitig drei Empfehlungen an Google Inc. ausgesprochen. Der Registerauszug und die Empfehlungen wurden am 21. April 2011 an Google Inc. zugestellt. Mit der Registrierung wurde das Verfahren zur Feststellung des für die Erfüllung der Meldepflicht erheblichen Sachverhalts betreffend die durch Google Inc. registrierte Datenanwendung "Google Street View" (Datenverwendung für Kartographiezwecke und zur Veröffentlichung in "Google Street View") beendet. Google Inc. hat in diesem Verfahren die verlangten Verbesserungen der Meldung vorgenommen.

Ergänzend zu den von Google Inc. bereits im Rahmen des Meldeverfahrens bzw. Prüfverfahrens gemäß § 30 DSG 2000 getätigten Zusagen (z.B: Unkenntlichmachung der Gesichter und Autokennzeichen vor Veröffentlichung der Daten im Internet und Information der Öffentlichkeit) sind an Google Inc. folgende Empfehlungen ergangen: a. Bei Aufnahmen von Personen in besonders sensiblen Bereichen sind jedenfalls nicht nur die Gesichter, sondern auch die Gesamtbilder der Personen unkenntlich zu machen. Dazu zählen insbesondere die Eingangsbereiche von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen.

b. Bildaufnahmen privater, für einen Spaziergänger nicht einsehbarer Immobilien, wie insbesondere umzäunter Privatgärten und -höfe, sind vor einer Veröffentlichung im Internet unkenntlich zu machen.

c. Gemäß § 28 Abs. 2 DSG 2000 steht dem Betroffenen ab dem Zeitpunkt der Ermittlung der Daten ein Widerspruchsrecht zu. Um den Betroffenen auch vor Veröffentlichung der Bilddaten diese Möglichkeit zum Widerspruch gegen die Veröffentlichung von Gebäuden einzuräumen, sind geeignete Werkzeuge zur Verfügung zu stellen, die ein einfaches und unbürokratisches Geltendmachen des Widerspruchrechts ermöglichen. Auf dieses (bereits vor Veröffentlichung bestehende) Widerspruchsrecht und das Werkzeug zur Ausübung des Widerspruchsrechts ist auch auf der Website der Google Inc. hinzuweisen.

Die Empfehlungen a. und b. sind bis spätestens zur Veröffentlichung der Daten im Internet umzusetzen.

Das Werkzeug sowie der Hinweis darauf gemäß Empfehlung c. sind mindestens zwölf Wochen vor Veröffentlichung der Daten im Internet zur Verfügung zu stellen.

Zur Vorgeschichte

Google Inc. war seit Januar 2010 mit der Anwendung "Google Street View" bei der DSK registriert.

Als im Frühjahr 2010 bekannt wurde, dass Google Inc. bei den Street View-Fahrten auch WLAN (WiFi) Daten ermittelt hatte und noch dazu dabei Inhaltsdaten von E-Mails dgl. aufgezeichnet hatte, wurde von der DSK ein Prüfverfahren nach § 30 DSG 2000 gegen Google Inc. eingeleitet. Google hat darauf hin die Inhaltsdaten gelöscht.

In weiterer Folge hat das geschäftsführende Mitglied der DSK (gfM) einen Mandatsbescheid wegen Verdachts der Gefährdung schutzwürdiger Geheimhaltungsinteressen nach § 20 Abs. 2 DSG 2000 (in der Stammfassung, die noch anzuwenden ist, bis eine neue DVR-Verordnung erlassen wird), erlassen und Google die Weiterverwendung aller Street View-Daten untersagt. Unklar war insbesondere, wie die Ermittlung von WLAN-Daten, die ja von der Meldung an die DSK nicht erfasst war, mit Street View zusammenhängt.

Gegen diesen Bescheid wurde von Google Vorstellung an die Datenschutzkommission eingebracht. Inzwischen erklärte Google auch, dass bei den Street View-Fahrten keine WLAN-Daten mehr erhoben werden.

Da sich im Ermittlungsverfahren herausstellte, dass die Erhebung der WLAN-Daten zu einem anderen Zweck erfolgte als die Anwendung "Google Street View" und daher nicht der Datenanwendung "Street View" zuzuordnen war, wurde der Mandatsbescheid am 30. November 2010 aufgehoben: Bezüglich der WLAN-Daten hat Google Inc. mitgeteilt, dass diese Daten bei Fahrten im Zusammenhang mit Google Street View nicht mehr erhoben werden.

Mit Bescheid wurde gemäß § 22 Abs. 4 DSG 2000 ein Verfahren zur Feststellung des für die Erfüllung der Meldepflicht erheblichen Sachverhalts betreffend die durch Google Inc. registrierte Datenanwendung "Google Street View" eingeleitet. ("Verfahren zur Überprüfung der Registrierung") Dies ist zulässig, wenn Umstände bekannt werden, die den Verdacht der Mangelhaftigkeit einer Registrierung begründen. Google wurde aufgefordert, die notwendigen Ergänzungen, Klarstellungen und Korrekturen vorzunehmen. Dieses Verfahren wurde nunmehr aufgrund der Verbesserungen durch Google Inc. beendet.

Was bedeutet das für mich?

Google Street View ist in Österreich wieder erlaubt, allerdings erfolgt eine Publikation nur dann rechtmäßig, wenn die von der Datenschutzkommission an Google gerichteten Empfehlungen von Google Inc. befolgt werden. Dies ist insbesondere auch für die Modalitäten der Ausübung des Widerspruchsrechts durch den Betroffenen gemäß § 28 Abs. 2 DSG 2000 von Bedeutung. Dieses besteht auch hinsichtlich der auf Personen rückführbaren Gebäude, zu denen die Person in einer rechtlichen Beziehung steht. Empfehlungen der DSK können nicht exekutiert werden (deren Nichtbefolgung zieht die Rechtsfolgen des § 30 Abs. 6 DSG 2000 nach sich); das Grundrecht auf Datenschutz gegen Rechtsträger des privaten Bereiches ist im Übrigen auf dem Zivilrechtsweg geltend zu machen. Weiters ist bei allfälliger Nichtbeachtung des Widerspruchsrechts durch Google Inc. eine Strafanzeige nach § 52 Abs. 2a DSG 2000 bei der Bezirksverwaltungsbehörde (Magistrat der Stadt Wien; § 52 Abs. 5 DSG 2000) möglich.

GIS-Rundfunkgebühren?

Woher hat die GIS meine Daten?

Unter den Rundfunkgebühren wird ein Bündel gesetzlich geregelter Zahlungspflichten verstanden. Gemeinsames Merkmal ist, dass man durch die Bereithaltung eines Rundfunkempfangsgerätes in Wohn- oder Geschäftsräumen zahlungspflichtig wird.

Die Rundfunkgebühren sind kein vertragliches Abo-Entgelt für den Empfang der Programme des öffentlich-rechtlichen Österreichischen Rundfunks (ORF). Man kann daher den ORF-Empfang auch nicht "kündigen".

Mit der Einhebung der Rundfunkgebühren ist eine Gesellschaft mit beschränkter Haftung betraut, deren Anteile dem ORF und dem Bund vorbehalten sind, die GIS Gebühren Info Service GmbH (kurz 'GIS').

Zur Erfüllung dieser Pflichten, insbesondere zwecks Erfassung aller Rundfunkteilnehmer, ist der GIS per Gesetz ein privilegierter Zugang zu den Daten der Meldebehörden eingeräumt. Sie erhält dazu Daten aus den örtlichen Melderegistern (nicht aus dem zentralen Melderegister). Die Rechtsgrundlage dafür ist § 4 Abs. 3 Rundfunkgebührengesetz, BGBl. I Nr. 159/1999 idgF.:

Einbringung der Gebühren

§ 4. (1) Die Einbringung der Gebühren und sonstiger damit verbundener Abgaben und Entgelte einschließlich der Entscheidung über Befreiungsanträge (§ 3 Abs. 5) obliegt der "GIS Gebühren Info Service GmbH" (Gesellschaft).

*(2) Der Gesellschaft obliegt ferner die umfassende Information der Öffentlichkeit über die Gebühren- und Meldepflicht, die Form der Zahlung sowie die laufende Durchführung geeigneter Maßnahmen zur
Erfassung aller Rundfunkteilnehmer.*

(3) Die Gesellschaft hat alle Rundfunkteilnehmer zu erfassen. Zu diesem Zweck haben die Meldebehörden auf Verlangen der Gesellschaft dieser Namen (Vor- und Familiennamen), Geschlecht, Geburtsdatum und Unterkünfte der in ihrem Wirkungsbereich gemeldeten Personen in der dem jeweiligen Stand der Technik entsprechenden Form zu übermitteln. Die Gesellschaft darf die übermittelten Daten ausschließlich zum Zweck der Vollziehung dieses Bundesgesetzes verwenden; sie hat dafür Sorge zu tragen, daß die Daten nur im zulässigen Umfang verwendet werden und hat Vorkehrungen gegen Mißbrauch zu treffen. Von den Meldebehörden übermittelte Daten sind längstens mit Ablauf des dem Einlangen folgenden Kalenderjahres zu löschen; nicht zu löschen sind die Daten jener gemeldeten Personen, die trotz Aufforderung die Mitteilung nach § 2 Abs. 5 unterlassen haben.

(4) Die Gesellschaft kann sich zur Durchführung des Inkassos der Leistungen Dritter bedienen. Das Inkasso kann ohne gesonderte Zustimmung des Rundfunkteilnehmers für höchstens zwei Monate im voraus erfolgen, wobei die Fälligkeit erstmalig am ersten Werktag des Monates der Meldung und danach wiederkehrend jeden ersten Werktag des zweitfolgenden Monates eintritt.

(5) Die Gesellschaft kann mit dem Rundfunkteilnehmer Vereinbarungen über die Fälligkeit und die Form der Entrichtung der Rundfunkgebühr treffen, wenn dadurch die Bemessung oder Einhebung der Abgabe vereinfacht wird.

Achtung: Wer trotz Aufforderung durch die GIS keine Erklärung abgibt, ob er an seinem Wohnsitz Rundfunkempfangsanlagen betreibt, dessen Meldedaten dürfen von der GIS auch länger als ein Jahr gespeichert werden. Wer dabei falsche Angaben macht, kann sich strafbar machen.

Internationaler Datenverkehr?

Internationaler Datenverkehr oder Datenexport ist die Weitergabe von personenbezogenen Daten in das Ausland. Abhängig vom Sachverhalt kann dafür eine Genehmigung der Datenschutzbehörde erforderlich sein.

Zuerst muss die Meldepflicht erfüllt sein. Dies betrifft alle Datenanwendungen, egal ob die Daten in das Ausland transferiert werden oder nicht! In der Meldung werden die Übermittlungsempfänger im Feld „Übermittlungsempfänger“ eingetragen. Dienstleister im Ausland müssen nicht gemeldet werden.

Es wird zwischen Übermittlung und Überlassung unterschieden.

Dann ist zu klären, ob eine Genehmigung der Datenschutzbehörde für den Datenexport erforderlich ist:

Die Weitergabe von personenbezogenen Daten in Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) oder in Länder mit angemessenem Datenschutz ist genehmigungsfrei. Die Liste der Länder finden Sie in der Datenschutzangemessenheits-Verordnung (DSAV). Es gibt bestimmte sachliche Ausnahmen, die in § 12 Abs. 3 DSG 2000 enthalten sind, wie z.B.

  • Die Daten sind indirekt personenbezogen;
  • Die Daten stammen aus Datenanwendungen für private Zwecke oder für publizistische Tätigkeit;
  • Der Betroffene hat seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben;
  • ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag kann nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden;
  • die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich und die Daten wurden rechtmäßig ermittelt;
  • die Übermittlung oder Überlassung ist in einer Standard- oder Musteranwendung ausdrücklich angeführt

Wenn keine Ausnahme vorliegt, muss eine Genehmigung beantragt werden.  (siehe "Checkliste für Anträge im internationalen Datenverkehr gemäß § 13 DSG 2000 (PDF, 78 KB)") Die Datenschutzbehörde prüft den Antrag und entscheidet mit Bescheid. Bitte übermitteln Sie den Antrag nicht über die Web-Anwendung DVR-Online, die ausschließlich für Meldungen vorgesehen ist.

Gemäß § 13 Abs. 2 DSG 2000 muss glaubhaft gemacht werden, dass beim Empfänger angemessener Datenschutz besteht. Dazu werden vor allem Verträge eingesetzt. Es gibt vorgefertigte Verträge, die EU-Standardvertragsklauseln. Diese werden bei Datenexporten von Konzernen oft schon fertig abgeschlossen von Konzernstellen geliefert.

Ist der Betrieb einer Überwachungsanlage ohne Meldung strafbar?

Es ist strafbar, eine Datenanwendung durchzuführen (= in Betrieb zu nehmen), ohne die Meldepflicht erfüllt zu haben. Dies stellt eine Verwaltungsübertretung (§ 52 Abs. 2 Z 1 DSG 2000) dar, die mit einer Geldstrafe von bis zu 10 000 Euro geahndet wird.

Kosten für die Meldung?

Was kostet die Meldung?

Für die Meldung fallen gemäß § 53 DSG 2000 keine Gebühren an.

Löschung aus dem Internet?

Das Löschungsrecht gemäß § 27 DSG 2000 ist grundsätzlich auch auf Seiten im Internet (eigentlich im World Wide Web – WWW) anwendbar.

Besonderheiten:

Ich bin in einer Suchmaschine!

Suchmaschinen finden nur vorhandene Webseiten, ähnlich wie ein Telefonbuch oder Firmen­register. Wenn Sie bei einer Suche mit Google oder einer anderen Suchmaschine personenbezogene Daten über sich selbst finden, wurden diese Daten nicht von der Suchmaschine erzeugt, sondern nur gefunden. Besuchen Sie daher die Original­seite und versuchen Sie zuerst, gegenüber dem Inhaber der Seite (der im Regelfall aus dem Impressum hervorgeht) Ihr Recht auf Löschung geltend zu machen. Eine Klage gegen einen Such­maschinen­betreiber ist möglich (siehe unten), aber die Löschung aus dem Index einer Such­maschine hat keine Auswirkungen auf die Seite, auf der die Daten stehen.

Suchmaschinen katalogisieren den Inhalt des World Wide Web und legen oft – zwecks Verkürzung des Suchprozesses – Kopien von öffentlich zugänglichen Inhalten an (z.B. der so genannte "Google-Cache"). Diese Zwischen­speicherungen werden in regelmäßigen Abständen überprüft und aktualisiert. Es kann daher sein, dass ein an der Quelle bereits gelöschter Inhalt einer Website noch über eine Suchmaschine "gefunden" werden kann.

Wie finde ich mich selbst im Internet?

Sie können mit Hilfe einer Suchmaschine nach Ihrem Namen oder dem Namen Ihres Unternehmens suchen, um festzustellen, ob es Eintragungen über Sie gibt. Bitte beachten Sie dabei folgendes:

  • Das Internet umfasst Milliarden von Webseiten und auch andere Daten. Es ist daher immer möglich, dass Sie einen "Namenszwilling" im Netz haben. Das gilt auch für Menschen, die immer dachten, ihr Name sei einzigartig! Wenn Sie eine Seite mit Ihrem Namen finden, sollten Sie daher den Inhalt kritisch beurteilen, aber nicht alles im Netz auf sich selbst beziehen. Das Daten­schutz­gesetz schützt Ihre personen­bezogenen Daten, aber gibt Ihnen kein Recht, Daten einer anderen Person löschen zu lassen, die den gleichen Namen trägt.
  • Suchmaschinen können Suchergebnisse liefern, die zwar mit den Suchbegriffen übereinstimmen, aber vollkommen irrelevant sind. Die Ergebnisse von Internetsuchen müssen daher immer interpretiert werden.
  • Moderne Suchmaschinen liefern auch Seiten mit Begriffen und Namen in abweichenden Schreibweisen. Dies ist eine wertvolle Hilfe bei der Suche, wenn man ein Wort falsch eingetippt hat, aber kann auch zu falschen oder unsinnigen Ergebnissen führen.

Sichern Sie die Seite!

Webseiten können rasch verändert werden oder sich automatisch ändern. Sie sollten daher Ihre Daten auf der Seite und den Zustand der Seite selbst erfassen. Drucken Sie die Seite aus oder erstellen Sie Bildschirmfotos ("Screenshots") bevor Sie sich an eine Behörde wenden.

Ist die Datenschutzbehörde zuständig?

Die österreichische Datenschutzbehörde kann derzeit bei Seiten im Ausland nur begrenzt helfen.

Grundsätzlich muss eine Website ein Impressum tragen, mit dessen Hilfe Sie feststellen können, in welchem Land der Inhaber der Seite zu finden ist.

Wichtiger Hinweis: Die Datenschutzbehörde kann – sofern eine örtliche Zuständigkeit besteht – gegen Suchmaschinenbetreiber bzw. Betreiber von Websites nur im Rahmen eines Kontroll- und Ombudsmannverfahrens vorgehen. In einem Kontroll- und Ombudsmannverfahren kann keine Löschung angeordnet werden. Nur ein Gericht kann eine Löschung gemäß § 27 DSG 2000 gegenüber einem privaten Auftraggeber anordnen.

Zur Löschung

Bevor Sie sich an eine Behörde wenden, müssen Sie den Betreiber der Seite selbst um Löschung ersuchen (wie auch bei Löschung aus anderen Datenbanken!). Setzen Sie sich mit dem Betreiber in Verbindung, schildern Sie Ihr Anliegen und verlangen Sie Löschung gemäß § 27 DSG 2000.

Auf vielen Seiten gibt es eigene Verfahren zur Löschung oder Beschwerde gegen Missbrauch:

Löschungsklage gegen Suchmaschinenbetreiber

Der Europäische Gerichtshof (EuGH) hat am 13. Mai 2014 entschieden, dass der Betreiber der Suchmaschine Google unter bestimmten Umständen Verweise (Hyperlinks) auf personenbezogene Daten aus seinem Index streichen muss (Rechtssache C 131/12).

  • Das Gericht hat festgestellt, dass Google Inc. der europäischen Daten­schutz­richtlinie 95/46/EG unterliegt.
  • Weiters hat das Gericht festgestellt, dass eine Verarbeitung von personenbezogenen Daten in einem Land der EU vorliegt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft betreibt, auch wenn diese Tochtergesellschaft selbst nicht den Suchindex betreut. Damit ist eine Klage gegen den Such­maschinen­betreiber zulässig.
  • Ein Such­maschinen­betreiber muss Daten löschen, auch wenn deren Veröffentlichung auf einer Internetseite rechtmäßig war.
  • Das Gericht hat auch ausgesprochen, dass das Recht auf Löschung eingeschränkt werden kann, wenn die betroffene Person im öffentlichen Leben eine Rolle spielt und die Öffentlichkeit ein überwiegendes Interesse hat, Zugang zu der betreffenden Information zu haben.

Bitte beachten Sie, dass trotz dieses Urteils eine allgemeine Aussage über ein Löschungsrecht gegen Such­maschinen­betreiber noch nicht möglich ist. In Österreich muss die Durchsetzung der Löschung durch eine Klage nach § 32 DSG 2000 vor Gericht erfolgen.

Bedenken Sie auch, dass jeder Such­maschinen­betreiber einzeln geklagt werden müsste, um eine Seite aus seinem Suchindex zu entfernen. Angesichts der Marktanteile der Such­maschinen müsste man immer zwei bis vier Such­maschinen­betreiber auf Löschung klagen, damit eine Seite nicht oder nur noch schwer auffindbar ist. Die Löschungs­klage gegen den Inhaber der Original­seite wird daher auf absehbare Zeit die optimale Lösung bleiben.

Google Inc. bietet eine besondere Seite für derartige Löschersuchen:

Antrag auf Entfernung aus den Suchergebnissen gemäß Europäischem Datenschutzrecht

Microsoft Inc. bietet ebenfalls eine Seite für Löschersuchen:

Antrag zur Sperrung von Bing-Suchergebnissen gemäß der Rechtsprechung der Europäischen Union

Medien und Datenschutz?

Aufgrund einer gesetzlichen Ausnahmeklausel (§ 48 DSG 2000, "datenschutzrechtliches Medienprivileg") sind Medienunternehmen (insbesondere Zeitungen, Zeitschriften sowie Fernseh- und Radiosender, jeweils einschließlich ihrer Online-Berichterstattung), Mediendienste (Nachrichtenagenturen) und Medienmitarbeiter (Redakteure, freiberufliche Journalisten) im Zusammenhang mit ihrer Berichterstattung von der Anwendung der meisten Bestimmungen des Datenschutzrechts ausgenommen.

Insbesondere ist es nicht möglich, gestützt auf das DSG 2000

  1. die Unterlassung von journalistischer Recherche und Berichterstattung,
  2. die Richtigstellung oder Löschung von Artikeln oder sonstiger Berichterstattung und
  3. Auskunft über die für publizistische Zwecke verarbeiteten personenbezogenen Daten (z.B. die Quelle der Übermittlung gewisser Informationen) zu verlangen.

Medienunternehmen, Mediendienste und Medienmitarbeiter sind auch nicht verpflichtet, Auskunfts- Löschungs- oder Richtigstellungsverlangen, die sich auf den Inhalt der Berichterstattung beziehen, zu beantworten. Sie sind im gleichen Zusammenhang auch der Datenschutzbehörde keine Rechenschaft schuldig (keine Anwendung der Bestimmungen der §§ 30 und 31 DSG 2000). Entsprechende Eingaben bei der Datenschutzbehörde werden inhaltlich nicht bearbeitet und sind damit zwecklos.

Diese Ausnahmen sollen u.a. das gesetzlich garantierte Redaktionsgeheimnis und die Medienfreiheit schützen.

Wenn Sie sich durch Medienberichterstattung in ihrer Privatsphäre verletzt sehen, sollten Sie dagegen unter Berufung auf die einschlägigen Bestimmungen des Mediengesetzes (gerichtlich) vorgehen.

Außerhalb des Medienprivilegs

Die genannten Ausnahmen gelten nur für die Verwendung von Daten im Zusammenhang mit der Berichterstattung. Andere Tätigkeiten, die von Medienvertretern oder von sonstigen Bediensteten von Medienunternehmen ausgeübt werden, fallen nicht unter das Privileg des § 48 DSG 2000, also z.B. Werbung und Vertrieb von Medienprodukten.

Meldepflicht?

Wann besteht Meldepflicht?

Prinzipiell hat jeder Auftraggeber jede Anwendung zu melden. Es bestehen aber Ausnahmen, die in § 17 Abs. 2 DSG 2000 aufgezählt sind.

Nicht meldepflichtig sind beispielsweise Datenanwendungen, die ausschließlich veröffentlichte Daten enthalten (zum Beispiel Grundbuch, Firmenbuch, in Medien veröffentlichte Bilanzdaten). Datenanwendungen, die von natürlichen Personen ausschließlich für persönliche oder familiäre Tätigkeiten vorgenommen werden, sind auch nicht meldepflichtig, also zum Beispiel ein Organizer mit privaten Telefonnummern.

Weiters besteht eine Ausnahme von der Meldepflicht für Anwendungen, die einer Standardanwendung entsprechen. Eine Standardanwendung ist wie eine Meldung beim Datenverarbeitungsregister aufgebaut, aber sie ist in einer Verordnung enthalten und ersetzt die sonst übliche Meldung. Bitte prüfen Sie, ob eine Standardanwendung auf Ihren Fall zutrifft, bevor Sie sich darauf berufen.

Die geltenden Standardanwendungen sind in den Anlagen zu Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, enthalten. Die folgenden Standardanwendungen sind die wichtigsten für Unternehmen:

  • SA001 Rechnungswesen und Logistik
  • SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse
  • SA007 Verwaltung von Benutzerkennzeichen
  • SA022 Kundenbetreuung und Marketing für eigene Zwecke

Wie soll ich melden?

Ab dem 1. September 2012 müssen alle Meldungen über die Anwendung DVR-Online erstattet werden. Lediglich meldepflichtige manuelle Dateien dürfen weiterhin auf herkömmlichen Weg (E-Mail, Post) gemeldet werden.

Wann darf eine meldepflichtige Datenanwendung aufgenommen werden?

Eine meldepflichtige Datenanwendung darf grundsätzlich unmittelbar nach Abgabe der Meldung beim Datenverarbeitungsregister aufgenommen werden. Sofern eine solche Datenanwendung jedoch sensible Daten (zum Beispiel Gesundheitsdaten) oder strafrechtlich relevante Daten enthält oder die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck hat oder in Form eines Informationsverbundsystems durchgeführt werden soll, darf sie erst nach ihrer Prüfung durch die Datenschutzbehörde aufgenommen werden. Sofern die Datenschutzbehörde jedoch innerhalb von zwei Monaten keinen Auftrag zur Verbesserung erteilt, darf die Verarbeitung aufgenommen werden.

Müssen Kamera-Attrappen gemeldet werden?

Da bei Attrappen keine Bildaufzeichnung stattfinden kann, müssen diese der Datenschutzbehörde auch nicht gemeldet werden.

Kamera-Attrappen zur Abschreckung von Einbrechern oder Vandalen dürfen nur das eigene Grundstück bzw. das eigene Eigentum schützen. Selbst die Schaffung des Eindrucks von Überwachung gegenüber den Nachbarn ist nicht zulässig (siehe u. a. das Urteil des Obersten Gerichtshofes Zahl 6 Ob 6/06k vom 28. März 2007 ).

Rechtsauskunft?

Die Daten­schutz­behörde erteilt inhaltliche Auskünfte zu anhängigen Verfahren vor der Daten­schutz­behörde.

Es wird um Verständnis ersucht, dass im Rahmen einer telefonischen, oder schriftlichen Anfrage keine rechtlichen Beurteilungen zur Anwendung und Auslegung rechtlicher Bestimmungen inhaltliche Beratungs­leistungen vorgenommen werden können.

Diese rechtlichen Beurteilungen können auf Grund der gesetzlichen Zuständigkeit der Daten­schutz­behörde nur im Zuge eines konkreten Verfahrens vorgenommen werden. Jede Vor­ab­beurteilung könnte das Ergebnis eines allfälligen Verfahrens vor der Daten­schutz­behörde vorwegnehmen.

Hinsichtlich inhaltlicher Rechtsberatung müssten Sie sich daher gegebenenfalls an einen Rechts­anwalt wenden.

Reisedokumentationen und Actioncams?

Das Anfertigen von Videos für ausschließlich private Zwecke (§ 45 DSG 2000, z. B. auch zur Dokumentation von Reisen) fällt nach Ansicht der Datenschutzbehörde nicht unter den Begriff der Videoüberwachung. Solche Bilddatenverarbeitung ist ohne Meldung und Registrierung möglich. Die Übermittlung solcher Bilder (also auch der Upload auf Youtube oder ähnlichen sozialen Netzwerken) ist nur mit Zustimmung aller identifizierbaren Betroffenen erlaubt.

Videoüberwachung im privaten Bereich?

Meldung

Wenn eine Überwachungsanlage Bilddaten aufzeichnet, liegt eine meldepflichtige Datenanwendung vor, da die Daten identifizierbarer Personen verarbeitet (d.h. ermittelt, gespeichert und möglicherweise auch z.B. an Polizeibehörden übermittelt) werden.

Wo und wie ist die Meldung vorzunehmen?

Die Meldung ist an die Datenschutzbehörde (Datenverarbeitungsregister, DVR) zu richten. Verwenden Sie dafür die Internetanwendung DVR-Online.

Ausfüllmuster

Das DVR stellt im Rahmen der Internetanwendung DVR-Online für den Fall, dass die Videoüberwachung dem Eigenschutz (u.a. Eigentumsschutz) dient, ein Ausfüllmuster zur Verfügung. Das Ausfüllmuster heißt "VIDEOÜBERWACHUNG (bitte Objekt/e ergänzen)".

Die Ausfüllhilfe ist an die tatsächlichen Gegebenheiten beim Auftraggeber anzupassen.

Zusätzliche Informationen:

Ort:

  • Welche konkreten Räumlichkeiten/Objekte sollen videoüberwacht werden? Wo befinden sich diese (Anschrift) und welche Bereiche werden innerhalb der Objekte überwacht (z.B. Verkaufsraum, Foyer, Garage etc.). Befinden sich Arbeitsplätze in den überwachten Bereichen?

Verhältnismäßigkeit:

  • Sehen Sie die Verhältnismäßigkeit des Grundrechtseingriffs durch die Videoüberwachung aufgrund besonderer Ereignisse in der Vergangenheit als gegeben an (erfolgte Straftaten, Vorfallsstatistik, Schadenshöhe), oder gehen Sie allgemein von einer besonderen Gefährdung der zu überwachenden Örtlichkeiten aus (z.B. Bank, Museum, Juwelier)?
  • Weiters sollte angegeben werden, ob andere gelindere Mittel (etwa der vermehrte Einsatz von Sicherheitspersonal, die Installation einer Alarmanlage, eines Zugangskontrollsystems oder eine Livebild-Kamera) nicht ebenso den beabsichtigten Zweck erfüllen können.
  • Existiert eine Vereinbarung mit den von der Videoüberwachung betroffenen Personen (z.B. mit den Mitarbeitern)?

Systemablauf:

  • Wird digital oder analog aufgezeichnet?
  • Erfolgt eine verschlüsselte Speicherung?
  • Sollen neben Bild- auch Tondaten erfasst werden?
  • Wird permanent aufgezeichnet oder erst bei Auslösen eines Bewegungsmelders? Soll die Anlage Rund um die Uhr in Betrieb sein, oder nur in der Nacht bzw. außerhalb der Büro-/Öffnungszeiten?
  • Sind die Kamerapositionen fix oder auch schwenkbar?
  • Wie lange werden Videodaten gespeichert bevor sie gelöscht bzw. automatisch überschrieben werden? (Zum Vergleich: Sicherheitsbehörden dürfen aufgezeichnetes Bildmaterial 48 Stunden speichern). Bei einer langen Speicherdauer ist eine Begründung für diese notwendig.
  • Erfolgt eine Auswertung/Sichtung tatsächlich nur im Anlassfall? Wer ist berechtigt, das Bildmaterial auszuwerten? Wie wird sichergestellt, dass keine unbefugten Dritten Zugriff auf die Videoüberwachungsanlage und das aufgezeichnete Bildmaterial nehmen können?

Hinweisschilder

Sind so anzubringen, dass die Betroffenen vor dem Betreten eines überwachten Bereiches auf das Vorhandensein einer Videoüberwachungsanlage hingewiesen werden. Daher wäre ein Musterexemplar einer solchen Information zur Verfügung zu stellen oder zu bestätigen, dass entsprechende Hinweisschilder angebracht werden.

All diese Informationen können in einem Begleitschreiben mitgeschickt werden.

Inbetriebnahme

Eine Videoüberwachungsanlage darf erst nach Abschluss des Registrierungsverfahrens in Betrieb genommen werden bzw. erst dann, wenn sich das Datenverarbeitungsregister innerhalb von zwei Monaten nach Einlangen der Meldung nicht geäußert hat (Vorabkontrollverfahren – § 18 Abs. 2 DSG 2000).

Der Betrieb nicht gemeldeter Überwachungsanlagen ist illegal; solche Anlagen dürfen nicht in Betrieb sein.

Ausnahmen von der Meldepflicht

  • In Fällen der Echtzeitüberwachung (dh Überwachung ohne Aufzeichnung) oder
  • wenn eine Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt (§ 50c Abs. 2 DSG 2000). Im zweiten Fall gilt allerdings auch die Löschungspflicht spätestens nach 72 Stunden (§ 50b Abs. 2 DSG 2000).
  • Die Standard- und Musterverordnung 2004 (StMV 2004) hat eine Reihe von Ausnahmen geschaffen. Die Standardanwendung SA032 nimmt folgende Videoüberwachungen von der Meldepflicht aus:

A. Bank B. Juwelier, Handel mit Antiquitäten und Kunstgegenständen, Gold- und Silberschmied C. Trafik D. Tankstelle E. Bebautes Privatgrundstück (samt Hauseingang und Garage) F. Ausländische Vertretungsbehörden und Internationale Organisationen G. Verwaltungsgebäude öffentlicher Rechtsträger H. Rechenzentren I. Parkgaragen und -plätze

Den Inhalt der Standardanwendung SA032 "Videoüberwachung" finden Sie unter Download.

Videoüberwachung auf öffentlichen Grund?

Zum Zweck des Eigentumsschutzes darf öffentlicher Raum nur soweit erfasst werden, als es zur Erreichung dieses Zweckes unumgänglich notwendig ist (z.B. unmittelbar an das Gebäude angrenzende Teile des Gehsteigs bei Überwachung einer Gebäudefassade gegen Beschädigung). Darüber hinausgehende Überwachung des öffentlichen Grundes durch private Auftraggeber ist unzulässig.

Videokamera in Fahrzeugen?

Die meisten Videoüberwachungsanlagen sind ortsgebunden. Technisch gibt es natürlich auch die Möglichkeit, eine Videokamera in einem Fahrzeug zu installieren. Die bekanntesten sind Überwachungskameras im Fahrgastraum von Eisenbahn- und U-Bahn-Zügen, Straßenbahnen und Bussen. Auch der Innenraum von Taxis wird häufig überwacht

Solche Kameras dienen zum Schutz vor Überfällen und Vandalismus und sind grundsätzlich zulässig. Die Videoüberwachung muss vom datenschutzrechtlich Verantwortlichen (Auftraggeber) der Datenschutzbehörde zur Eintragung ins Datenverarbeitungsregister gemeldet und von dieser in einem Vorabkontrollverfahren geprüft werden.

Videokamera aus Fahrzeugen (Dashcams)?

Eine "Dashcam" (eine Abkürzung für "Dashboard Camera", also "Armaturenbrett-Kamera") ist eine Videokamera, die im Auto installiert ist und Bilder von der Straße vor dem Auto aufnimmt und aufzeichnet.

In Österreich ist der Betrieb von Dashcams durch Private  derzeit nicht zulässig. In einem kürzlich entschiedenen Präzedenzfall (VwGH 12. September 2016, Ro 2015/04/0011) hat der Verwaltungsgerichtshof festgehalten, dass auch ein Dashcam-System, das nur anlassbezogen aufzeichnet (etwa nach Auslösen eines „Notfallknopfes“) eine Videoüberwachung im Sinne des Datenschutzgesetzes ist. Für die Zulässigkeit der Überwachung ist Voraussetzung, dass der Eingriff in das Grundrecht auf Datenschutz unter Anwendung des gelindesten zur Verfügung stehenden Mittels erfolgt und damit verhältnismäßig ist. Ist, wie im Anlassfall, die jederzeitige, dauerhafte Speicherung auf Knopfdruck technisch möglich, so ist die Verhältnismäßigkeit nicht gewahrt.

Für die Sicherheitsbehörden (vgl. § 54 Abs. 6 und 7 Sicherheitspolizeigesetz bzw. die spezielle Ermächtigung des § 98e Straßenverkehrsordnung für die Überwachung aus Fahrzeugen durch die Polizei) gelten besondere gesetzliche Regelungen.

Was kann ich gegen eine Videoüberwachungsanlage unternehmen?

Sollten Sie der Ansicht sein, eine Videoüberwachungsanlage, von der Sie selbst betroffen sind (!) (Betroffener iSd § 4 Z 3 DSG 2000), ist nicht datenschutzkonform in Betrieb, so können Sie – wenn möglich in dieser Reihenfolge – folgende Schritte unternehmen:

  1. Sehen Sie nach, ob die Anlage beim Datenverarbeitungsregister gemeldet bzw. registriert wurde. Sollte letzteres der Fall sein, so ist die Anlage rechtmäßig für den gemeldeten Zweck in Betrieb.
  2. Sollte keine Registrierung erfolgt sein und auch kein Meldeverfahren anhängig sein, in dem die Zulässigkeit der Anlage geprüft wurde ist, so nehmen Sie zunächst mit dem mutmaßlichen Betreiber (im datenschutzrechtlichen Sinn: Auftraggeber iSd § 4 Z 4 DSG 2000) der Anlage Kontakt auf und fragen ihn, zu welchem Zweck die Anlage betrieben wird und ob die Daten aufgezeichnet werden. Nur bei Aufzeichnung ist eine Meldung an das Datenverarbeitungsregister erforderlich – machen Sie gegebenenfalls auf diesen Umstand aufmerksam und verweisen Sie auf unsere Website
  3. Sollten derartige Versuche, den Betreiber zur Meldungs­erstattung zu bewegen, scheitern und Sie der Ansicht sind, dass die Daten aufgezeichnet werden, so können Sie sich mit einer Eingabe nach § 30 DSG 2000 an die Datenschutzbehörde wenden und damit ein Kontroll- und Ombudsmannverfahren einleiten. Ziel des Verfahrens ist es, den rechtmäßigen Zustand herzustellen.

Eine Eingabe nach § 30 DSG 2000 sollte den Sachverhalt genau beschreiben, möglichst unter Beigabe von Beweismitteln wie Fotos etc. sowie die Kontakt­daten des mutmaßlichen Betreibers der Video­überwachungs­anlage enthalten. Dieser wird im Lauf des Verfahrens mit den Vorwürfen konfrontiert.

Die Daten­schutz­behörde erhebt den Sach­verhalt und zieht daraus rechtliche Schlüsse. Dies kann darin bestehen, dass nichts weiter zu veranlassen ist (wenn zB eine Attrappe in Gebrauch ist oder eine Aufzeichnung der Bilddaten nicht stattfindet), dass zur Meldung aufgefordert wird (im Falle der Aufzeichnung der Bilddaten; auch unter Androhung einer Verwaltungsstrafe nach § 52 Abs. 2 Z 1 bzw. Z 3 DSG 2000) oder dass aufgefordert wird, die Kamera(s) zu entfernen.

Webcams?

Bei Webcams findet typischerweise keine Aufzeichnung der Bilder statt – eine Meldepflicht entfällt dementsprechend, da keine Datenanwendung (§ 4 Z 7 DSG 2000) vorliegt.

Typischerweise liegt auch keine Videoüberwachung im eigentlichen Sinn vor, da Zweck des Filmens nicht das Festhalten von Sachbeschädigungen oder von Angriffen auf Personen ist.

Die Datenschutzbehörde empfiehlt die technische Auflösung der Anlage so zu wählen, dass die Erkennbarkeit von Personen nicht gegeben ist und dementsprechend personenbezogene Daten (§ 4 Z 1 DSG 2000) gar nicht erst entstehen.

Wildkameras?

Wildkameras, Videokameras und Tierbeobachtung

Neben den "klassischen" Videokameras zur Überwachung von Gebäuden und Gärten gibt es auch Kameras, die ursprünglich für den Einsatz im Wald oder auf Bergen, jedenfalls weit von menschlichen Behausungen entfernt, entwickelt wurden. Diese Kameras heißen "Wild­beobachtungs­kameras" oder "Wild­kameras", und sind speziell für diese Art von Einsatz entwickelt worden. Sie verfügen über Bewegungs­sensoren und machen Bilder nur, wenn der Sensor etwas anzeigt.

Ist das ein Fall für den Datenschutz?

Das DSG 2000 findet Anwendung, sofern personen­bezogene Daten im Sinne des § 4 Z 1 DSG 2000 verwendet werden. Bei Kameras setzt dies voraus, dass durch sie Personen in einer Art und Weise abgebildet werden (sowohl die Kamera­position in Relation zum Objekt – Entfernung – als auch die technische Gegebenheit – Auflösung – betreffend), die eine Identifizierung (allenfalls) ermöglicht.

Wo die Erkennbarkeit von Personen ausgeschlossen werden kann, ist das DSG 2000 mangels Vorliegens personenbezogener Daten nicht anwendbar und es entstehen somit auch keine Pflichten nach dem DSG 2000.

Kameras zur Beobachtung des Wildes

Die bestimmungsgemäße Verwendung einer Wildkamera stellt keine Videoüberwachung im Sinne des § 50a DSG 2000 dar. Eine Videoüberwachung liegt nur dann vor, wenn der Zweck der Überwachung darin besteht, Eigentum, Leben oder Gesundheit (von Personen) zu schützen.

Dennoch unterliegen Wildkameras – falls auf dem aufgenommenen Bildmaterial Personen identifiziert werden könnten (auch wenn dies nicht beabsichtigt sein sollte) – der grundsätzlichen Meldepflicht an die Datenschutzbehörde.

Das Datenverarbeitungsregister stellt im Rahmen der Internetanwendung DVR-Online das Ausfüllmuster "Wildkameras – ausschließlich zum Zweck der Beobachtung bzw. Dokumentation des Tierbestandes am Standort (bitte den Standort ergänzen)" zur Verfügung.

Kameras zur Ausforschung von Personen

Jede "Wildkamera" kann jedoch grundsätzlich auch für andere Zwecke als die Beobachtung bzw. Dokumentation des Tier­bestandes verwendet werden. Wird eine Kamera etwa zum Schutz des Lebens, der Gesundheit oder des Eigen­tums von Personen eingesetzt (etwa zum Schutz von Jagd­einrichtungen vor Vandalismus o.ä.), so ist prima facie von einer klassischen Video­überwachung im Sinne des § 50a DSG 2000 auszugehen. Entscheidend ist daher der Zweck, für den der Auftrag­geber die Kamera tatsächlich einsetzt und nicht die "Art" der verwendeten Kamera.

Das Datenverarbeitungsregister stellt im Rahmen der Internet­anwendung DVR-Online das Ausfüllmuster "VIDEOÜBERWACHUNG (bitte Objekt/e ergänzen)" zur Verfügung.

Kennzeichnung

Eine Wildkamera ist – unabhängig von ihrer rechtlichen Qualifikation – entsprechend zu kennzeichnen. Die Miss­achtung dieser Informations­pflicht stellt den Verwaltungsstraftatbestand des § 52 Abs. 2 Z 4 DSG 2000 dar, der von der Bezirks­verwaltungs­behörde mit Geld­strafe bis zu 10 000 Euro zu ahnden ist. Die Frage, in welcher Weise eine Kennzeichnung vorzunehmen ist, ist einzel­fall­bezogen zu beurteilen. Dabei ist insbesondere auf die Beschaffenheit des Reviers bzw. die Begehungs­möglichkeiten durch Personen Rücksicht zu nehmen. Auch ist zu berücksichtigen, dass Personen, die sich einem überwachten Bereich nähern, die Möglichkeit haben sollten, dem überwachten Bereich auszuweichen. Aus daten­schutz­rechtlicher Sicht sollte der überwachte Bereich jedenfalls auf das unbedingt notwendige Ausmaß reduziert werden.

Eine Überwachung (samt Kenn­zeichnung) sollte auch nicht dazu führen, dass Personen dadurch von ihrem allgemeinen Betretungs­recht des Waldes abgehalten werden (§ 33 Forstgesetz 1975, BGBl. Nr. 440/1975 idgF.).

Woher haben politische Parteien meine Daten für die Wahlwerbung?

Verschiedene Vorschriften auf allen Ebenen des demokratischen Wahlrechts räumen wahlwerbenden Gruppen das Recht ein, Verzeichnisse der Wahlberechtigten einzusehen, daraus Daten zu kopieren und diese für Zwecke der Wahlwerbung zu benützen.

Dabei kann es sich sowohl um auf Dauer angelegte Dateien (insbesondere die auf Gemeinde­ebene geführte allgemeine Wähler­evidenz) als auch um Listen handeln, die aus Anlass und für Zwecke einer bestimmten Wahl oder Abstimmung erstellt werden (z.B. die vor einer Nationalratswahl pro Wahl­sprengel oder pro Bundes­land erstellten Wähler­verzeichnisse).

Wahlwerbende Gruppen sind verpflichtet, die Herkunft der Daten, die sie für Zwecke politischer Werbung einsetzen, gegenüber den Betroffenen offen zu legen. Für politische Parteien gelten dabei dieselben Regeln wie für jeden anderen daten­schutz­rechtlichen Auftrag­geber.

Gemäß § 3 Wählerevidenzgesetz 1973, BGBl. Nr. 601/1973, haben etwa die in allgemeinen Vertretungs­körpern (National­rat, Land­tag, Gemeinde­räte) vertretenen Parteien das Recht, die Daten der Wähler für politische Werbung zu erhalten:

§ 3. (1) In die Wählerevidenz kann jedermann, der sich von der Vollständigkeit und Richtigkeit der Wählerevidenz überzeugen will, Einsicht nehmen. Die in allgemeinen Vertretungskörpern vertretenen Parteien können überdies aus der Wählerevidenz Abschriften herstellen. Die Gemeinde kann, wenn eine solche Partei die Absicht äußert, Abschriften herzustellen, oder das Verlangen auf Herstellung von Abschriften stellt, gegen Ersatz der Kosten Abschriften der Wählerevidenz ausfolgen; in diesem Falle hat die Gemeinde eine Abschrift der Wählerevidenz auf Verlangen auch den anderen Parteien unter den gleichen Bedingungen zu übergeben.

[…]

(5) Sofern Gemeinden die Wählerevidenz automationsunterstützt führen oder bei Dienstleistungen im Datenverkehr andere Rechtsträger in Anspruch nehmen, haben sie die Daten der Wählerevidenz dem Bundesminister für Inneres zur Speicherung und unentgeltlichen Auskunftserteilung an die zur Vertretung nach außen berufenen Organe der im Nationalrat vertretenen Parteien mittels maschinell lesbarer Datenträger oder im Weg der Datenfernverarbeitung zu übermitteln. Eine derartige Auskunft hat jeweils alle Daten der Wählerevidenz einer Gemeinde zu enthalten; eine Übermittlung mittels maschinell lesbarer Datenträger oder im Weg der Datenfernverarbeitung ist zulässig. Die Daten dieser Zentralen Wählerevidenz beim Bundesminister für Inneres dürfen mit den Daten des Zentralen Melderegisters verknüpft werden. Der Bundesminister für Inneres ist überdies ermächtigt, diese Daten zur Überprüfung von Wahlvorschlägen zu verwenden.

Die Wahlordnungen für Länder, Gemeinden, Kammern und Hochschülerschaften enthalten ähnliche Bestimmungen, wie zum Beispiel § 27 der Steiermärkischen Landtags-Wahlordnung 2004 oder § 29 Abs. 4 Wiener Gemeindewahlordnung 1996.