Inhalt

Fragen und Antworten

Drohnen und Datenschutz?

Drohnen

Ein "Drohne" ist ein unbemanntes Luftfahrzeug. Die heutigen Drohnen sind ferngesteuert, und können in Zukunft auch selbstgesteuert sein.

Drohnen können sowohl unter das Datenschutzrecht als auch unter das Luftfahrtgesetz fallen. Beide Rechtsgebiete sind voneinander vollkommen unabhängig. 

Drohnen im Datenschutzgesetz

Drohnen sind nur dann datenschutzrechtlich relevant, wenn sie personenbezogene Daten ermitteln. Ein Spielzeug oder Modellflugzeug ohne Kameras oder andere Sensoren fällt nicht unter das Datenschutzgesetz. Die üblichste Form der datenschutzrechtlich relevanten Drohne ist ein Fluggerät mit einer eingebauten Kamera, die Bilder aufzeichnet und per Funk an den Piloten übermittelt. 

Drohnen sind eine neue Technologie, aber es lässt sich sagen, dass bestehende rechtliche Regeln für Videokameras auf Drohnen anwendbar sind. Danach ist die Videoüberwachung von öffentlichem Grund oder Privatgrund anderer Personen nicht zulässig. Der Einsatz von Kameras in Autos, die die Straße und den Verkehr zum Zweck der Beweissicherung bei Unfällen aufnehmen ("Dashcams"), ist unzulässig. 

Für Drohnen, die ähnlich wie herkömmliche Videokameras zur Überwachung und zur Beweisführung bei Sachbeschädigungen oder Angriffen auf Personen dienen, besteht Meldepflicht beim Datenverarbeitungsregister. 

Eine Drohne mit Kamera, die nicht aufzeichnen kann, muss nicht gemeldet werden. Das entspricht den bestehenden Regelungen für Webcams. Beachten Sie aber, dass zivilrechtliche Unterlassungsansprüche bestehen können. 

Drohnen im Luftfahrtgesetz

Das Luftfahrtgesetz (LFG), BGBl. Nr. 253/1957, enthält besondere Bestimmungen über Drohnen, die Sie auf der Website der Austro Control einsehen können.

Für kleine Drohnen mit geringer Leistung (wie die Drohnen, die für jedermann im Elektronikhandel erhältlich sind) gibt es weitgehende Ausnahmebestimmungen. 

Weiterführende Informationen

Die Elektronische Gesundheitsakte ("ELGA")?

Information zu ELGA

Die Elektronische Gesundheitsakte ("ELGA") soll elektronische Befunde ("e‑Befunde") und die Medikationsdaten ("e‑Medikation") für Gesundheits­dienste­anbieter bereithalten.

Ich möchte mich von ELGA abmelden

Sie können gegen die Aufnahme Ihrer Daten in ELGA Wider­spruch erheben.

Gemäß § 3 ELGA-Verordnung 2015 (ELGA‑VO 2015), BGBl. II Nr. 106/2015 , ist der Haupt­verband der österreichischen Sozial­versicherungs­träger die Stelle, bei der Widerspruch gegen den ELGA erhoben werden kann (die Wider­spruch­stelle).

Kann ich bei der Datenschutzbehörde Widerspruch gegen die ELGA erheben?

Bitte melden Sie sich von ELGA auf die oben beschriebene Art ab.

Weiterführende Informationen

Geburtsdatum in der Adressierung von Behördenschreiben?

Es werden immer wieder Anfragen und Beschwerden an die Datenschutzbehörde herangetragen, ob der Aufdruck des Geburtsdatums neben dem Namen in der Adressierung eines behördlichen Schreibens zulässig ist.

Mit gewisser Regelmäßigkeit handelt es sich dabei um Schreiben in einer Verwaltungsstrafsache (z.B. wegen einer straßenpolizeilichen Übertretung).

Gemäß Art. 9 Abs. 1 Datenschutz-Grundverordnung) zählt das Geburtsdatum nicht zu den besonderen Kategorien von Daten (früher „sensible Daten“), mag dies persönlich oft auch anders empfunden werden.

Die Datenschutzbehörde geht in ständiger Rechtsprechung davon aus, dass das Geburtsdatum dann der Adressierung eines behördlichen Schreibens beigefügt werden darf, wenn es der Sicherung gegen Verwechslungen des Adressaten oder der Adressatin im Zustellverfahren dient (z.B. wegen möglicher Namensgleichheit eines Elternteils und eines an derselben Adresse wohnhaften Kindes, die die Behörde nicht von vornherein ausschließen kann), und das dadurch gesicherte schutzwürdige Interesse an der Geheimhaltung des Inhalts vor Kenntnisnahme durch Dritte schwerer wiegt als die Offenlegung des nicht-sensiblen Geburtsdatums.

Dies ist etwa gesichert dann der Fall, wenn es um die Zustellung eines Schreibens geht, das unmittelbar an die Adressatin oder den Adressaten gerichtete (verwaltungs-) strafrechtliche Vorwürfe enthält (z.B. bei einer Verwaltungsstrafverfügung gemäß § 48 Abs. 3 des Verwaltungsstrafgesetzes 1991 – VStG oder einer Ladung zur Einvernahme als Beschuldigter im kriminalpolizeilichen Ermittlungsverfahren).

Kein derartiges überwiegendes berechtigtes Interesse liegt z.B. nach der Rechtsprechung dann vor, wenn mit der Briefsendung bloß eine Informationsbroschüre zugestellt worden ist.

Nach der Rechtsprechung der Datenschutzbehörde ist auch der Aufdruck des Geburtsdatums auf einer Anonymverfügung (§ 49a VStG) unzulässig.

Google Street View?

Seit dem 12. Juli 2018 ist der Dienst Google Street View auch in Österreich verfügbar (derzeit in Wien, Graz und Linz).

Die Bilder werden von Google selbst vollautomatisch anonymisiert, aber Fehler sind möglich. Auf jedem Bild befindet sich unten rechts ein Hyperlink „Problem melden“. Damit kann eine unzureichende Anonymisierung eines Gesichts oder Autokennzeichens gerügt werden. Es ist auch möglich, ein Haus unkenntlich machen zu lassen.

Eine Beschwerde wegen Verletzung des Rechts auf Löschung ist möglich, wenn dem Antrag nicht stattgegeben wird. Bitte sichern Sie Ihren Antrag, indem Sie ihn ausdrucken oder ein Bildschirmfoto anfertigen.

GIS-Rundfunkgebühren?

Woher hat die GIS meine Daten?

Unter den Rundfunkgebühren wird ein Bündel gesetzlich geregelter Zahlungspflichten verstanden. Gemeinsames Merkmal ist, dass man durch die Bereithaltung eines Rundfunkempfangsgerätes in Wohn- oder Geschäftsräumen zahlungspflichtig wird.

Die Rundfunkgebühren sind kein vertragliches Abo-Entgelt für den Empfang der Programme des öffentlich-rechtlichen Österreichischen Rundfunks (ORF). Man kann daher den ORF-Empfang auch nicht "kündigen".

Mit der Einhebung der Rundfunkgebühren ist eine Gesellschaft mit beschränkter Haftung betraut, deren Anteile dem ORF und dem Bund vorbehalten sind, die GIS Gebühren Info Service GmbH (kurz 'GIS').

Zur Erfüllung dieser Pflichten, insbesondere zwecks Erfassung aller Rundfunkteilnehmer, ist der GIS per Gesetz ein privilegierter Zugang zu den Daten der Meldebehörden eingeräumt. Sie erhält dazu Daten aus den örtlichen Melderegistern (nicht aus dem zentralen Melderegister). Die Rechtsgrundlage dafür ist § 4 Abs. 3 Rundfunkgebührengesetz, BGBl. I Nr. 159/1999 idgF.:

Einbringung der Gebühren

§ 4. (1) Die Einbringung der Gebühren und sonstiger damit verbundener Abgaben und Entgelte einschließlich der Entscheidung über Befreiungsanträge (§ 3 Abs. 5) obliegt der "GIS Gebühren Info Service GmbH" (Gesellschaft).

*(2) Der Gesellschaft obliegt ferner die umfassende Information der Öffentlichkeit über die Gebühren- und Meldepflicht, die Form der Zahlung sowie die laufende Durchführung geeigneter Maßnahmen zur
Erfassung aller Rundfunkteilnehmer.*

(3) Die Gesellschaft hat alle Rundfunkteilnehmer zu erfassen. Zu diesem Zweck haben die Meldebehörden auf Verlangen der Gesellschaft dieser Namen (Vor- und Familiennamen), Geschlecht, Geburtsdatum und Unterkünfte der in ihrem Wirkungsbereich gemeldeten Personen in der dem jeweiligen Stand der Technik entsprechenden Form zu übermitteln. Die Gesellschaft darf die übermittelten Daten ausschließlich zum Zweck der Vollziehung dieses Bundesgesetzes verwenden; sie hat dafür Sorge zu tragen, daß die Daten nur im zulässigen Umfang verwendet werden und hat Vorkehrungen gegen Mißbrauch zu treffen. Von den Meldebehörden übermittelte Daten sind längstens mit Ablauf des dem Einlangen folgenden Kalenderjahres zu löschen; nicht zu löschen sind die Daten jener gemeldeten Personen, die trotz Aufforderung die Mitteilung nach § 2 Abs. 5 unterlassen haben.

(4) Die Gesellschaft kann sich zur Durchführung des Inkassos der Leistungen Dritter bedienen. Das Inkasso kann ohne gesonderte Zustimmung des Rundfunkteilnehmers für höchstens zwei Monate im voraus erfolgen, wobei die Fälligkeit erstmalig am ersten Werktag des Monates der Meldung und danach wiederkehrend jeden ersten Werktag des zweitfolgenden Monates eintritt.

(5) Die Gesellschaft kann mit dem Rundfunkteilnehmer Vereinbarungen über die Fälligkeit und die Form der Entrichtung der Rundfunkgebühr treffen, wenn dadurch die Bemessung oder Einhebung der Abgabe vereinfacht wird.

Achtung: Wer trotz Aufforderung durch die GIS keine Erklärung abgibt, ob er an seinem Wohnsitz Rundfunkempfangsanlagen betreibt, dessen Meldedaten dürfen von der GIS auch länger als ein Jahr gespeichert werden. Wer dabei falsche Angaben macht, kann sich strafbar machen.

Löschung aus dem Internet?

Das Löschungsrecht gemäß Art. 17 DSGVO ist grundsätzlich auch auf Seiten im Internet (eigentlich im World Wide Web – WWW) anwendbar.

Besonderheiten:

Bei der Anwendung des Rechts aus Löschung sind folgende Punkte besonders zu beachten:

Ich bin in einer Suchmaschine!

Suchmaschinen finden nur vorhandene Webseiten, ähnlich wie ein Telefonbuch oder Firmen­register. Wenn Sie bei einer Suche mit Google oder einer anderen Suchmaschine personenbezogene Daten über sich selbst finden, wurden diese Daten nicht von der Suchmaschine erzeugt, sondern nur gefunden und für Suchabfragen aufbereitet. Besuchen Sie daher die Original­seite und versuchen Sie zuerst, gegenüber dem Inhaber der Seite (der im Regelfall aus dem Impressum hervorgeht) Ihr Recht auf Löschung geltend zu machen. Eine Beschwerde gegen einen Such­maschinen­betreiber ist möglich (siehe unten), aber die Löschung aus dem Index einer Such­maschine hat keine Auswirkungen auf die Seite, auf der die Daten stehen.

Ist die Information noch vorhanden?

Die Ergebnisse einer Suchmaschine können veraltet sein. Suchmaschinen übernehmen Änderungen auf Websites oft mit einer gewissen zeitlichen Verzögerung. Prüfen Sie daher immer nach, ob die Information noch auf der verlinkten Seite steht.

Suchmaschinen katalogisieren den Inhalt des World Wide Web und legen oft – zwecks Verkürzung des Suchprozesses und als Hilfe bei Ausfällen – Kopien von öffentlich zugänglichen Inhalten an (z.B. der so genannte "Google-Cache"). Diese Zwischen­speicherungen werden in regelmäßigen Abständen überprüft und aktualisiert. Es kann daher sein, dass ein an der Quelle bereits gelöschter Inhalt einer Website noch über eine solche Kopie noch "gefunden" werden kann.

Wenn die Information aus dem Netz entfernt wurde ist es nur eine Frage der Zeit, bis alle Suchmaschinen die veränderte Seite neu indexieren. In einem solchen Fall kann es ratsam sein, erst einmal abzuwarten, bis die Suchmaschine sich selbst korrigiert statt sofort Löschung zu verlangen. 

Wie finde ich mich selbst im Internet?

Sie können mit Hilfe einer Suchmaschine nach Ihrem Namen suchen, um festzustellen, ob es Eintragungen über Sie gibt. Bitte beachten Sie dabei folgendes:

  • Das Internet umfasst Milliarden von Webseiten und auch andere Daten. Es ist daher immer möglich, dass Sie einen "Namenszwilling" im Netz haben. Das gilt auch für Menschen, die immer dachten, ihr Name sei einzigartig! Wenn Sie eine Seite mit Ihrem Namen finden, sollten Sie daher den Inhalt kritisch beurteilen, aber nicht alles im Netz auf sich selbst beziehen. Das Daten­schutz­gesetz schützt Ihre personen­bezogenen Daten, aber gibt Ihnen kein Recht, Daten einer anderen Person löschen zu lassen, die den gleichen Namen trägt.
  • Suchmaschinen können Suchergebnisse liefern, die zwar mit den Suchbegriffen übereinstimmen, aber vollkommen irrelevant sind. Die Ergebnisse von Internetsuchen müssen daher immer gelesen und interpretiert werden.
  • Moderne Suchmaschinen liefern auch Seiten mit Begriffen und Namen in abweichenden Schreibweisen. Dies ist eine wertvolle Hilfe bei der Suche, wenn man ein Wort falsch eingetippt hat, aber kann auch zu falschen oder unsinnigen Ergebnissen führen.

Sichern Sie die Seite!

Webseiten können rasch verändert werden oder sich automatisch ändern. Sie sollten daher Ihre Daten auf der Seite und den Zustand der Seite  immer dokumentieren wenn Sie rechtliche Schritte erwägen. Drucken Sie die Seite aus oder erstellen Sie Bildschirmfotos ("Screenshots") bevor Sie sich an eine Behörde wenden.

Ist die Datenschutzbehörde zuständig?

Die österreichische Datenschutzbehörde kann derzeit bei Seiten im Ausland nur begrenzt helfen.

Grundsätzlich muss eine Website ein Impressum tragen, mit dessen Hilfe Sie feststellen können, in welchem Land der Inhaber der Seite zu finden ist.

Zur Löschung

Bevor Sie sich an eine Behörde wenden, müssen Sie den Betreiber der Seite selbst um Löschung ersuchen (wie auch bei Löschung aus anderen Datenbanken!). Setzen Sie sich mit dem Betreiber in Verbindung, schildern Sie Ihr Anliegen und verlangen Sie Löschung gemäß Art. 17 DSGVO.

Auf vielen Seiten gibt es eigene Verfahren zur Löschung oder Beschwerde gegen Missbrauch:

Löschungsklage gegen Suchmaschinenbetreiber

Der Europäische Gerichtshof (EuGH) hat am 13. Mai 2014 entschieden, dass der Betreiber der Suchmaschine Google unter bestimmten Umständen Verweise (Hyperlinks) auf personenbezogene Daten aus seinem Index streichen muss (Rechtssache C 131/12).

  • Das Gericht hat festgestellt, dass Google Inc. der europäischen Daten­schutz­richtlinie 95/46/EG unterliegt. Die Richtlinie wurde von der Datenschutz-Grundverordnung (DSGVO) abgelöst, aber an dieser Einschätzung ändert sich wenig.
  • Weiters hat das Gericht festgestellt, dass eine Verarbeitung von personenbezogenen Daten in einem Land der EU vorliegt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft betreibt, auch wenn diese Tochtergesellschaft selbst nicht den Suchindex betreut. Damit ist eine Klage gegen den Such­maschinen­betreiber zulässig.
  • Ein Such­maschinen­betreiber muss Daten löschen, auch wenn deren Veröffentlichung auf einer Internetseite rechtmäßig war.
  • Das Gericht hat auch ausgesprochen, dass das Recht auf Löschung eingeschränkt werden kann, wenn die betroffene Person im öffentlichen Leben eine Rolle spielt und die Öffentlichkeit ein überwiegendes Interesse hat, Zugang zu der betreffenden Information zu haben.

Bitte beachten Sie, dass trotz dieses Urteils eine allgemeine Aussage über ein Löschungsrecht gegen Such­maschinen­betreiber nicht möglich ist.  Eine Beschwerde an die Datenschutzbehörde ist möglich, wenn die Löschung verweigert wird. Bedenken Sie auch, dass jeder Such­maschinen­betreiber einzeln belangt werden müsste, um eine Seite aus seinem Suchindex zu entfernen. Angesichts der Marktanteile der Such­maschinen müsste man immer zwei bis vier Such­maschinen­betreiber auf Löschung belangen, damit eine Seite nicht oder nur noch schwer auffindbar ist. Eine Beschwerde gegen den Inhaber der Original­seite ist daher die optimale Lösung.

Google Inc. bietet eine besondere Seite für derartige Löschersuchen:

Antrag auf Entfernung aus den Suchergebnissen gemäß Europäischem Datenschutzrecht

Microsoft Inc. bietet ebenfalls eine Seite für Löschersuchen:

Antrag zur Sperrung von Bing-Suchergebnissen gemäß der Rechtsprechung der Europäischen Union

Gläubigerschutz und Kreditauskunfteien

Kreditauskunfteien und Datenverarbeitungen für den Gläubigerschutz sind grundsätzlich zulässig. Die Gewerbeordnung regelt die Auskunfteien über Kreditverhältnisse in § 152 Gewerbeordnung 1994, BGBl. Nr. 194/1994 idgF. Es ist den Banken gestattet, allgemein gehaltene bankübliche Auskünfte über die wirtschaftliche Lage eines Unternehmens zu geben, wenn dieses der Auskunftserteilung nicht ausdrücklich widerspricht (§ 38 Abs. 2 Z 6 Bankwesengesetz – BWG, BGBl. Nr. 532/1993 idgF).

Es gibt mehrere Datenbanken, in denen die Banken Daten über das Zahlungsverhalten und die Bonität der Kunde sammeln. Diese Datenbanken waren vor dem 25. Mai 2018 als „Kleinkreditevidenz (Konsumentenkreditevidenz)“ und „Warnliste der Banken“ beim Datenverarbeitungsregister gemeldet.

Richtigstellung und Löschung

Es ist grundsätzlich möglich, Eintragungen bei Kreditauskunfteien und Banken berichtigen und löschen zu lassen. Bei der Anwendung des Rechts aus Löschung sind folgende Punkte besonders zu beachten:

Es empfiehlt sich, zuerst eine Auskunft zu beschaffen damit genaue Angaben gemacht werden können, was entfernt werden soll. Dazu bietet sich das Recht auf Auskunft (Art. 15 DSGVO) an. Manche Kreditauskunfteien bieten einen eigenen, schnelleren Auskunftsservice.

Unternehmen, die bei einer Kreditauskunftei anfragen, erwarten, dass zumindest ein Basis-Datensatz des zukünftigen Kunden verfügbar ist. Wenn nach einem Antrag auf Löschung alle Daten gelöscht wurden kann dies leicht dazu führen, dass das Unternehmen nicht einmal diese minimale Auskunft erhalten kann und daher den Kunden für fragwürdig hält und  ablehnt.

Es kann daher sinnvoll sein, statt dem Recht auf Löschung das Recht auf Richtigstellung geltend zu machen.

Medien und Datenschutz?

Aufgrund einer gesetzlichen Ausnahmeklausel (§ 9 DSG) sind Medienunternehmen (insbesondere Zeitungen, Zeitschriften sowie Fernseh- und Radiosender, jeweils einschließlich ihrer Online-Berichterstattung), Mediendienste (Nachrichtenagenturen) oder ihre Mitarbeiter (Redakteure, freiberufliche Journalisten) im Zusammenhang mit ihrer Berichterstattung von Kapitel II (Grundsätze), mit Ausnahme des Art. 5, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Art. 28, 29 und 32, Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, ausgenommen. Von den Bestimmungen des Datenschutzgesetzes ist in solchen Fällen § 6 (Datengeheimnis) anzuwenden.

Medienunternehmen, Mediendienste und Medienmitarbeiter sind auch nicht verpflichtet, Auskunfts- Löschungs- oder Richtigstellungsverlangen, die sich auf den Inhalt der Berichterstattung beziehen, zu beantworten. Sie sind im gleichen Zusammenhang auch der Datenschutzbehörde keine Rechenschaft schuldig . Entsprechende Eingaben bei der Datenschutzbehörde werden inhaltlich nicht bearbeitet und sind damit zwecklos.

Diese Ausnahmen sollen u.a. das gesetzlich garantierte Redaktionsgeheimnis und die Medienfreiheit schützen.

Wenn Sie sich durch Medienberichterstattung in ihrer Privatsphäre verletzt sehen, sollten Sie dagegen unter Berufung auf die einschlägigen Bestimmungen des Mediengesetzes (gerichtlich) vorgehen.

Außerhalb des Medienprivilegs

Die genannten Ausnahmen gelten nur für die Verwendung von Daten im Zusammenhang mit der Berichterstattung. Andere Tätigkeiten, die von Medienvertretern oder von sonstigen Bediensteten von Medienunternehmen ausgeübt werden, fallen nicht unter das Privileg des § 9 DSG, also z.B. Werbung und Vertrieb von Medienprodukten.

Rechtsauskunft?

Die Daten­schutz­behörde erteilt den Parteien inhaltliche Auskünfte zu Ihren anhängigen Verfahren vor der Daten­schutz­behörde.

Es ist möglich, die Daten­schutz­behörde um eine allgemeine Rechtsauskunft zu ersuchen. Bitte richten Sie Ihre Frage schriftlich an die Behörde.

Die Datenschutzbehörde ist gemäß Art. 57 Abs. 1 lit. e DSGVO verpflichtet, auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen. Diese Unterstützung ist aber nicht geeignet, einen Anwalt zu ersetzen und darf auch nicht das Ergebnis eines Verfahrens vorwegnehmen.

Es wird daher um Verständnis ersucht, dass im Rahmen einer schriftlichen Anfrage keine rechtlichen Beurteilungen zur Anwendung und Auslegung rechtlicher Bestimmungen inhaltliche Beratungs-leistungen vorgenommen werden können. Verbindliche Entscheidungen kann es immer nur am Ende eines konkreten Verfahrens geben.

Konsultieren Sie das Informationsangebot auf unserer Website bevor Sie eine Anfrage formulieren.

Wann benötige ich einen Datenschutzbeauftragten?

Unter bestimmten Umständen müssen ein Verantwortlicher und auch ein Auftragsverarbeiter einen Datenschutzbeauftragten bestellen, dessen Aufgabe darin besteht, den Verantwortlichen oder den Auftragsverarbeiter zu beraten, die Einhaltung der Datenschutzvorschriften zu überwachen und mit der Aufsichtsbehörde zusammenzuarbeiten (Art. 37-39 DSGVO).

Der Verantwortliche und der Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, wenn

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Die Artikel-29-Datenschutzgruppe hat dazu eine Leitlinie verfasst: Leitlinien in Bezug auf Datenschutzbeauftragte. Die Leitlinie ist nicht verbindlich, aber als Hilfsmittel geeignet.

Direktwerbung?

Wer ist verantwortlich?

Bei direkt adressierten Werbesendungen gibt es zwei Fälle:

  1. Eigenwerbung mit Hilfe der Kundendatei: Art. 21 Abs. 3 DSGVO bietet ein Widerspruchsrecht gegen eine Verarbeitung für Zwecke der Direktwerbung.
  2. Werbung durch ein Direktmarketingunternehmen: Solche Unternehmen betreiben ein Gewerbe ("Adressverlage und Direktmarketingunternehmen" gemäß § 151 der Gewerbeordnung 1994 – GewO 1994). Sie bieten regelmäßig nicht nur Leistungen bei der Gestaltung, beim Druck und beim Versand von Werbebriefen ("Mailings") an, sondern führen auch eigene Datenanwendungen, in denen die Daten möglicher Werbeadressaten verarbeitet werden, und vermitteln den Austausch von Kundendaten für Werbezwecke zwischen Unternehmen ("Listbroking").

Woher wissen die das?

Sehr häufig wird die Frage gestellt, wie es Direktmarketingunternehmen möglich ist, Werbung zielgenau zu versenden, etwa Werbebriefe, die eine bestimmte Altersgruppe (Jugendliche, Senioren) ansprechen oder – zumindest scheinbar – auf das Einkommen des Adressaten abstellen.

Direktmarketingunternehmen versehen Personendaten manuell und durch automatische Systeme mit "Marketingklassifikationen". Entsprechende Programme können aus statistischen Erfahrungswerten gewisse Wahrscheinlichkeiten errechnen, etwa aus dem Vornamen die Wahrscheinlichkeit, zu einer bestimmten Altersklasse zu gehören, oder aus der Adresse die Wahrscheinlichkeit, zu einer bestimmten Einkommensklasse zu gehören. Aus der Altersklasse lässt sich wiederum die Wahrscheinlichkeit errechnen, zur Zielgruppe für gewisse Gesundheitsprodukte oder medizinische Dienstleistungen zu gehören.

Oft stammen präzise Daten, wie z.B. das Geburtsdatum, auch einfach aus der Kundendatei eines Unternehmens, mit dem Sie in ständiger Geschäftsverbindung stehen.

Bei Listbroking kann es auch sein, dass der Werbende gezielt die Kundendateien von bestimmten Luxus- und Markenartikelhändlern nutzen lässt und seine Marketingbotschaft so an eine bestimmte Käuferschicht richtet.

Was kann man dagegen tun?

Gegen Mailings von inländischen Direktmarketingunternehmen kann man sich auf eine Sperrliste (Robinson-Liste) setzen lassen. (§ 151 Abs. 9 GewO, siehe unten)

Die Eintragung in dieser Sperrliste hilft nicht

  • gegen Mailings, die von ausländischen Direktmarketingunternehmen versendet werden;
  • gegen Eigenwerbung von Unternehmen, die sie als Kunden führen,
  • gegen amtliche Informationen und
  • gegen politische Werbung.
  • Die Robinson-Liste wirkt nur gegen persönlich adressierte Werbung, nicht gegen Postwurfsendungen oder Werbezettel an der Haustüre. Dagegen hilft der Aufkleber „Bitte keine unadressierte Werbung“, den Sie bei der Wirtschaftskammer Österreich bestellen können.
  • Die Robinson-Liste wirkt nicht gegen Werbung per E‑Mail oder Fax. Diese Art von Werbung ist gemäß § 107 Telekommunikationsgesetz 2003 verboten.

Eine vollständige Löschung aus den Datenanwendungen eines Direktmarketingunternehmens (bzw. ein Widerspruch gegen die Datenverwendung) ist ebenfalls möglich. Allerdings kann nicht ausgeschlossen werden, dass das Unternehmen ihre Daten später neuerlich (aus legalen Quellen) ermittelt und verwendet. Einen dauerhaften Ausschluss aus diesem Kreislauf von Datentransfers gewährleistet nur die Aufnahmen in die Sperrliste.

Ihre weiteren Rechte

Direktmarketingunternehmen sind zur datenschutzrechtlichen Auskunftserteilung verpflichtet.

Innerhalb von drei Monaten nach einem Mailing muss ein Direktmarketingunternehmen, auch wenn es die Daten nicht (mehr) selbst verarbeitet (z.B. bei Listbroking), Auskunft über die Herkunft der Daten geben.

Vor der Übermittlung ("Verkauf") an oder der Freigabe einer Kundendatei zum Listbroking durch ein Direktmarketingunternehmen muss ein Unternehmen die Zustimmung der Betroffenen einholen. Meist erfolgt dies schon anlässlich der erstmaligen Erfassung ihrer Kundendaten. Sie haben dann die Möglichkeit, die Zustimmung zu verweigern oder diese später zu widerrufen.

Wie beantworte ich ein Auskunftsersuchen?

Das Auskunftsrecht gemäß Artikel 15 DSGVO ist ein wertfreies Informationsrecht. Es beinhaltet keinen Vorwurf gegen Sie, Ihre Organisation oder Ihre Mitarbeiter und Mitarbeiterinnen. Sie benötigen zur Beantwortung eines Auskunftsersuchens in der Regel keinen Rechtsanwalt.

Wenn ein Ersuchen um Auskunft eintrifft, müssen Sie innerhalb eines Monats reagieren. Sie müssen entweder die gewünschte Auskunft erteilen oder die Gründe angeben, warum keine Auskunft erteilt wird, sowie die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen (Art. 12 Abs. 3 und 4 DSGVO). Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Sie müssen grundsätzlich reagieren, auch wenn Sie der Ansicht sind, dass Sie gar keine Daten über diese Person verarbeiten. Eine Ausnahme besteht nur, wenn Auskunftsersuchen offenkundig unbegründet oder exzessiv sind (insbesondere im Fall von häufiger Wiederholung). Dann können Sie die Auskunft verweigern oder ein angemessenes Entgelt verlangen (Art. 12 Abs. 5 DSGVO). Es ist (noch) unklar, unter welchen ein Auskunftsersuchen als offenkundig unbegründet gewertet werden kann, und es wird daher empfohlen, auch in unklaren Fällen zu antworten.

Wer muss Auskunft erteilen?

Die Pflicht zur Auskunftserteilung trifft den Verantwortlichen, also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Der Identitätsnachweis

Wenn Sie als Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag auf Auskunft stellt, so können Sie zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Im Gegensatz zur bisherigen Rechtslage ist der Identitätsnachweis nicht mehr verpflichtend.

Was ist, wenn ich Betroffene nicht identifizieren kann?

Art. 11 DSGVO enthält Bestimmungen für den Fall, dass die Zwecke, für die personenbezogene Daten verarbeitet werden keine Identifizierung der betroffenen Person erfordert (das kann pseudonymisierte Daten betreffen). Der Verantwortliche ist nicht verpflichtet, zur bloßen Einhaltung der Datenschutz-Grundverordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.

Wenn Sie glaubhaft machen können, dass Sie aus diesem Grund nicht in der Lage sind, die betroffene Person zu identifizieren, kann die Auskunft verweigert werden (Art. 12 Abs. 2 DSGVO).

Kann ich die Auskunft verweigern?

Wenn Auskunftsersuchen offenkundig unbegründet oder exzessiv sind (insbesondere im Fall von häufiger Wiederholung) können Sie die Auskunft verweigern oder ein Entgelt verlangen (Art. 12 Abs. 5 DSGVO). Es ist (noch) unklar, unter welchen Voraussetzungen ein Auskunftsersuchen als offenkundig unbegründet gewertet werden kann, und es wird daher empfohlen, auch in unklaren Fällen zu antworten.

Darüber hinaus kann ich in folgenden Fällen die Auskunft verweigern:

Durch Rechtsvorschriften der Europäischen Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, kann die Auskunftspflicht in einem Gesetz beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt. Beschränkungen sind ua. in Bereichen wie öffentliche Sicherheit, zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen oder zur Durchsetzung zivilrechtlicher Ansprüche zulässig (die vollständige Liste befindet sich in Art. 23 DSGVO).

Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem hoheitlich tätigen Verantwortlichen dann nicht, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird.

Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.

Was ist der Inhalt der Auskunft?

Der Inhalt der Auskunft sind die Daten selbst und folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Das Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

In welcher Form ist die Auskunft zu erteilen?

Die Auskunft ist in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

Kann ich die Daten sofort löschen?

Nein. Das Auskunftsrecht dient zur Information des Betroffenen und enthält grundsätzlich keinen Vorwurf. Es gibt ein Recht auf Löschung (Art. 17 DSGVO), aber ein Ersuchen um Auskunft ist kein Antrag auf Löschung.

Was passiert, wenn ich keine Auskunft gebe oder die Frist überschreite?

Der Betroffene kann sich bei der Datenschutz­behörde beschweren, wenn innerhalb der Frist von einem Monat (verlängerbar um weitere zwei Monate) keine oder eine unzureichende Auskunft erteilt wird.

Erteilen Sie daher bitte die Auskunft auch dann, wenn die Frist bereits abgelaufen ist. Eine verspätete Auskunft ist ein Mangel, der gemäß § 24 Abs. 6 DSG auch im laufenden Verfahren saniert werden kann.

Eine Verletzung im Recht auf Auskunft kann zu einer Geldbuße führen.

Was ist zu tun, wenn das Auskunftsersuchen an die falsche Stelle gerichtet ist?

Es kann vorkommen, dass ein Auskunftsersuchen irrtümlich an die falsche Stelle gerichtet wird. Wenn Sie meinen, dass Sie gar nicht gemeint sein können, sollten Sie trotzdem reagieren und den Einbringer informieren, dass sie keine Daten über ihn haben. Wenn die Frist zur Auskunftserteilung ohne Rückmeldung abläuft, kann der Betroffene Beschwerde an die Datenschutzbehörde erheben.

Wenn Auskunftsersuchen offenkundig unbegründet sind können Sie die Auskunft verweigern oder ein Entgelt verlangen (Art. 12 Abs. 5 DSGVO). Es ist (noch) unklar, unter welchen ein Auskunftsersuchen als offenkundig unbegründet gewertet werden kann, und es wird daher empfohlen, auch in unklaren Fällen zu antworten.

Behörde müssen auch auf § 6 AVG achten.

Videoüberwachung durch Private

Mit der DSGVO und dem neu formulierten Datenschutzgesetz (DSG) wurde neue Regelungen für Videoüberwachungen („Bildaufnahme“) geschaffen, die inhaltlich der früheren Rechtslage ähnlich sind.

§§ 12-13 DSG regeln die Bildaufnahme. Für Privatpersonen oder –unternehmen ist dabei vor allem § 12 Abs. 2 Z 4 DSG relevant, wonach eine Bildaufnahme zulässig ist, wenn im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.

Eine Bildaufnahme ist gemäß § 12 Abs. 2 Z 4 DSG insbesondere dann zulässig, wenn

  1. sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,
  2. sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder
  3. sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.

Urlaubsfotos oder -filme, die nicht auf die identifizierende Erfassung unbeteiligter Personen hinauslaufen, sind zulässig, also auch z.B. Aufnahmen von Skiabfahrten mit einer Helmkamera. Der Betrieb von Kameras an Autos, um Beweise für ein Fehlverhalten anderer Verkehrsteilnehmer (z.B. nach einem Unfall) zu sammeln („Dashcams“), werden weiter unten behandelt.

Die Überwachung von öffentlichem Grund (Straßen) ist nicht zulässig, abgesehen von einem kleinen Stück im Rahmen einer zulässigen Videoüberwachung gemäß § 12 Abs. 3 Z 1 DSG.

Die Überwachung ist zu kennzeichnen (§ 13 Abs. 5 DSG). Davon ausgenommen sind Urlaubsaufnahmen und für zeitlich strikt zu begrenzende Verarbeitungen im Einzelfall zur verdeckten Ermittlung. 

Dashcams

Eine "Dashcam" (eine Abkürzung für "Dashboard Camera", also "Armaturenbrett-Kamera") ist eine Videokamera, die im Auto installiert ist und Bilder von der Straße vor dem Auto aufnimmt und aufzeichnet. Dashcams waren nach dem alten Datenschutzrecht unzulässig (siehe Erkenntnis des Verwaltungsgerichtshofes vom 12. September 2016, Zl. Ro 2015/04/0011), und auch die neue Rechtslage nach der Datenschutz-Grundverordnung (DSGVO) bringt keine Änderung im Ergebnis. So hat die Datenschutzbehörde im Bescheid vom 9. Juli 2018, GZ DSB-D485.000/0001-DSB/2018 (nicht rechtskräftig) die Warnung ausgesprochen, dass der Betrieb einer Dashcam voraussichtlich gegen die DSGVO verstößt.

§ 1 Abs. 2 DSG (Grundrecht auf Datenschutz) steht nach wie vor unverändert in Geltung. Gemäß Art. 5 Abs. 1 lit. c DSGVO sehen auch die Grundsätze der DSGVO vor, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen ("Datenminimierung"). Nach dieser Bestimmung hat eine Prüfung stattzufinden, ob eine Beschränkung auf das für die Zwecke der Verarbeitung notwendige Maß erfolgt.

Insofern kann aufgrund des unveränderten Anwendungsbereiches des § 1 DSG sowie auch aufgrund der neuen Rechtslage gemäß DSGVO das oben zitierte Erkenntnis des Verwaltungsgerichtshofes zur Beurteilung von Dashcams herangezogen werden.

Gemäß Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Dem Erwägungsgrund 47 der DSGVO ist zu entnehmen, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen können. Insofern hätte für die Beurteilung der Frage der Rechtmäßigkeit der Verarbeitung im Sinne des Art. 6 Abs. 1 lit. f DSGVO eine Verhältnismäßigkeitsprüfung stattzufinden.

Manche Dashcams nehmen zwar auf, aber speichern die Bilddaten nur, wenn Sensoren anzeigen, dass es zu einem Unfall gekommen ist. Die Speicherung kann auch mit einem Notfall-Knopf ausgelöst werden. Diese Einschränkung ändert nichts an der Unzulässigkeit von Dashcams, weil der Notfall-Knopf zu jedem beliebigen Zeitpunkt gedrückt werden könnte und somit eine dauerhafte Speicherung der Bilddaten auch ohne ein Unfallgeschehen erfolgen könnte.

Spam und Datenschutz

„Spams“ sind unerbetene Werbe-E-Mails. Manche unerbetenen E-Mail mit Werbung kommen von europäische Unternehmen, aber der Großteil ist international. Es gibt Schätzungen, wonach 50% des weltweiten E-Mail-Verkehrs aus Spams besteht.

Spamming ist in den meisten Ländern grundsätzlich verboten. In Österreich steht das Verbot von unerwünschter E-Mail-Werbung in § 107 Telekommunikationsgesetz 2003. Die zuständigen Behörden sind die Fernmeldebüros.

Es ist theoretisch möglich, sich bei der Datenschutzbehörde wegen Spams zu beschweren, aber die Chancen auf Erfolg sind minimal. Für eine Beschwerde muss der Namen des Beschwerdegegners bekannt sein, was bei Spams selten zutrifft. Weiters haben die meisten Spammer keine Daten außer der E-Mail-Adresse und können daher nicht sagen, woher die Daten stammen. Es muss auch davon ausgegangen werden, dass Spammer unseriös sind, schwer zu identifizieren und unkooperativ.

Beschwerden wegen Verletzung im Recht auf Löschung wegen unerbetener Werbe-E-Mails sind daher nur bei etablierten, seriösen Organisationen sinnvoll, wenn z.B. die Abmeldung von einem Newsletter nicht funktioniert.

Auskunft und andere Rechte

Das Recht auf Auskunft hilft Ihnen, wichtige Informationen zu beschaffen, damit Sie weitere Rechte ausüben können. Die Datenschutz-Grundverordnung bietet Ihnen einige Rechte, zu deren Ausübung Sie gut Bescheid wissen müssen, welche Daten über Sie vorhanden sind, wie das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), und das Widerspruchsrecht (Art. 21 DSGVO).

Bitte verlangen Sie nicht Auskunft und Löschung gleichzeitig! Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten löschen. Eine nachfolgende Kontrolle durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Was geschieht mit dem Datenverarbeitungsregister?

Die EU-Datenschutz-Grundverordnung ist seit dem 25. Mai 2018 gültig. Ab diesem Zeitpunkt entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde und es obliegt dem für die Verarbeitung Verantwortlichen ( vorher „dem datenschutzrechtlichen Auftraggeber “) unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen. Weiters besteht unter bestimmten Voraussetzungen die Verpflichtung zur Bestellung eines Datenschutzbeauftragten.

DVR-Meldungen, welche vor Gültigkeit der EU-Datenschutz-Grundverordnung bei der Datenschutzbehörde eingebracht werden, entbinden den für die Verarbeitung Verantwortlichen künftig nicht von der Verpflichtung zum Führen einer Liste seiner Datenanwendungen ("Verzeichnis von Verarbeitungstätigkeiten").

Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist -  das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012 - kommt dies hingegen nicht in Betracht.Die Details dazu finden Sie in der Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV).

Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 Abs. 1 DSGVO zutreffen.

Generell wird empfohlen, bereits existierende Datenverarbeitungsvorgänge einer regelmäßigen Evaluierung zu unterziehen, ob sich Voraussetzungen geändert haben. Bejahendenfalls wäre - bei Vorliegen aller Voraussetzungen - eine Datenschutz-Folgenabschätzung durchzuführen. Überdies wird empfohlen, auch zu dokumentieren, aus welchen Gründen keine Datenschutz-Folgenabschätzung durchgeführt wurde.

Export-Funktion in DVR-Online

Mit dem In-Geltung-Treten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde. Das Datenverarbeitungsregister wird ab diesem Zeitpunkt (bis zum 31. Dezember 2019) zu Archivzwecken fortgeführt werden.

Das Datenverarbeitungsregister bleibt für alle wie bisher bis Ende 2019 einsehbar.

Um einem Auftraggeber die Möglichkeit zu bieten, seine vorhandenen DVR-Meldungen zu sichern, ist es ab sofort möglich, in der Internet-Applikation DVR-ONLINE elektronisch verfügbare Meldungsinhalte sowohl als PDF-Dokumente als auch als XML-Dateien zu exportieren. Hierfür wurden im DVR-ONLINE-Meldebereich des Auftraggebers entsprechende Funktionen (rote Buttons, siehe Screenshot) eingefügt. Bitte beachten Sie: für Informationsverbundsysteme besteht diese Möglichkeit nicht.

Melden Sie sich beim Datenverarbeitungsregister an, um diese Funktion zu nutzen:

Der Zugang für Behörden erfolgt über den Behörden-Portalverbund. Die Zugriffsrechte werden durch den Portaladministrator Ihrer Behörde eingerichtet und verwaltet. Informationen zum Behörden-Portalverbund am E-Government Reference-Server.

Screenshot DVR-Online-Export
Abbildung vom Meldebereich DVR-Online

Wann benötige ich eine Datenschutz-Folgenabschätzung?

Wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durch.

Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

a)     systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b)     umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder

c)     systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Folgenabschätzung enthält zumindest Folgendes:

a)     eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b)     eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c)     eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und

d)     die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, ist die Datenschutzbehörde zu konsultieren. Die Datenschutzbehörde kann schriftliche Empfehlungen aussprechen.

Wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, können die Verantwortlichen mit österreichischem Recht verpflichtet werden, die Datenschutzbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.

Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist -  das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012 - kommt dies hingegen nicht in Betracht. Die Details dazu finden Sie in der Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV),

Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 Abs. 1 DSGVO zutreffen.

Die Datenschutz-Folgenabschätzung-Ausnahmenverordnung enthält auch noch andere Bereiche, für die keine Datenschutz-Folgenabschätzung erforderlich ist.

Die Artikel-29-Datenschutzgruppe hat dazu eine Leitlinie verfasst: Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt". Die Leitlinie ist nicht verbindlich, aber als Hilfsmittel geeignet.

Woher haben politische Parteien meine Daten für die Wahlwerbung?

Verschiedene Vorschriften auf allen Ebenen des demokratischen Wahlrechts räumen wahlwerbenden Gruppen das Recht ein, Verzeichnisse der Wahlberechtigten einzusehen, daraus Daten zu kopieren und diese für Zwecke der Wahlwerbung zu benützen.

Dabei kann es sich sowohl um auf Dauer angelegte Dateien (insbesondere die auf Gemeinde­ebene geführte allgemeine Wähler­evidenz) als auch um Listen handeln, die aus Anlass und für Zwecke einer bestimmten Wahl oder Abstimmung erstellt werden (z.B. die vor einer Nationalratswahl pro Wahl­sprengel oder pro Bundes­land erstellten Wähler­verzeichnisse).

Wahlwerbende Gruppen sind verpflichtet, die Herkunft der Daten, die sie für Zwecke politischer Werbung einsetzen, gegenüber den Betroffenen offen zu legen. Für politische Parteien gelten dabei dieselben Regeln wie für jeden anderen daten­schutz­rechtlichen Auftrag­geber.

Gemäß § 3 Wählerevidenzgesetz 1973, BGBl. Nr. 601/1973, haben etwa die in allgemeinen Vertretungs­körpern (National­rat, Land­tag, Gemeinde­räte) vertretenen Parteien das Recht, die Daten der Wähler für politische Werbung zu erhalten:

§ 3. (1) In die Wählerevidenz kann jedermann, der sich von der Vollständigkeit und Richtigkeit der Wählerevidenz überzeugen will, Einsicht nehmen. Die in allgemeinen Vertretungskörpern vertretenen Parteien können überdies aus der Wählerevidenz Abschriften herstellen. Die Gemeinde kann, wenn eine solche Partei die Absicht äußert, Abschriften herzustellen, oder das Verlangen auf Herstellung von Abschriften stellt, gegen Ersatz der Kosten Abschriften der Wählerevidenz ausfolgen; in diesem Falle hat die Gemeinde eine Abschrift der Wählerevidenz auf Verlangen auch den anderen Parteien unter den gleichen Bedingungen zu übergeben.

[…]

(5) Sofern Gemeinden die Wählerevidenz automationsunterstützt führen oder bei Dienstleistungen im Datenverkehr andere Rechtsträger in Anspruch nehmen, haben sie die Daten der Wählerevidenz dem Bundesminister für Inneres zur Speicherung und unentgeltlichen Auskunftserteilung an die zur Vertretung nach außen berufenen Organe der im Nationalrat vertretenen Parteien mittels maschinell lesbarer Datenträger oder im Weg der Datenfernverarbeitung zu übermitteln. Eine derartige Auskunft hat jeweils alle Daten der Wählerevidenz einer Gemeinde zu enthalten; eine Übermittlung mittels maschinell lesbarer Datenträger oder im Weg der Datenfernverarbeitung ist zulässig. Die Daten dieser Zentralen Wählerevidenz beim Bundesminister für Inneres dürfen mit den Daten des Zentralen Melderegisters verknüpft werden. Der Bundesminister für Inneres ist überdies ermächtigt, diese Daten zur Überprüfung von Wahlvorschlägen zu verwenden.

Die Wahlordnungen für Länder, Gemeinden, Kammern und Hochschülerschaften enthalten ähnliche Bestimmungen, wie zum Beispiel § 27 der Steiermärkischen Landtags-Wahlordnung 2004 oder § 29 Abs. 4 Wiener Gemeindewahlordnung 1996.

Sind Kamera-Attrappen zulässig?

Eine Attrappe einer Videokamera, also ein Gerät, das nur aussieht wie eine Kamera aber gar keine Daten aufzeichnet, fällt nicht unter das Datenschutzrecht.

Im Fall einer Beschwerde muss der Inhaber der Geräte nachweisen, dass es sich wirklich nur um Attrappen handelt. Die Datenschutzbehörde empfiehlt allen Aufstellern von Attrappen, ein Dokument, aus dem hervorgeht, dass es sich um eine Attrappe handelt, aufzubewahren (z.B. die Rechnung). Damit ist im Fall von Beschwerden bei der Datenschutzbehörde gegen die behauptete Durchführung einer Videoüberwachung eine schnelle Widerlegung des Vorwurfs möglich.

Kamera-Attrappen können aber aus anderen Gründe unzulässig sein. Attrappen zur Abschreckung von Einbrechern oder Vandalen dürfen nur das eigene Grundstück bzw. das eigene Eigentum schützen. Selbst die Schaffung des Eindrucks von Überwachung gegenüber den Nachbarn ist nicht zulässig. Für eine Unterlassungsklage sind ausschließlich die Zivilgerichte zuständig (siehe u. a. das Urteil des Obersten Gerichtshofes Aktenzeichen 6 Ob 6/06k vom 28. März 2007 oder Aktenzeichen 8Ob125/11g; 5Ob69/13b; 8Ob47/14s; 10Ob57/14a; 6Ob231/16p).

Die Datenschutzbehörde kann keiner Beschwerde wegen Beeinträchtigung der Privatsphäre bzw. „Belästigung“ durch die Aufstellung von Kameraattrappen nachgehen. Für solche Fälle sind ausschließlich die Zivilgerichte (Unterlassungsklage) zuständig.