Was ist neu?

Die DSG Novelle 2010 wurde Mitte Dezember nach über zweijährigen Verhandlungen vom Nationalrat beschlossen und umfasst neben einer erstmaligen Regelung der Videoüberwachung auch eine Meldepflicht von Datenmissbrauch. Die Prüfungskompetenzen der Datenschutzkommission (kurz DSK) wurden ausgeweitet und einige Bestimmungen wurden verständlicher formuliert. Das neue Datenschutzgesetz trat mit 1. Jänner in Kraft.

Die Novelle sollte ebenfalls einige Regelungen zur einheitlichen Zuständigkeit des Bundes in Gesetzgebungs- und Vollzugssachen beinhalten, genauso wie ein Grundrecht auf Datenschutz. Die Opposition verweigerte die notwendige Zustimmung zu diesen verfassungsändernden Gesetzen aus politischen Gründen, weshalb diese Änderungen nun doch nicht in die Novelle eingeflossen sind.

Videoüberwachung

Der Bereich Videoüberwachung wird selbst von Kritikern positiv, zumindest als ein erster Schritt in die richtige Richtung, aufgenommen. Der Abschnitt 9a regelt speziell für die Videoüberwachung besondere Protokollierungs- und Löschungspflichten, Meldepflichten und das Registrierungsverfahren, eine Kennzeichnungspflicht sowie ein Auskunftsrecht.

Als Videoüberwachung wird die systematisch, insbesondere fortlaufende Feststellung von Ereignissen durch technische Bildaufnahmegeräte, die ein Objekt oder eine Person betreffen bezeichnet. Diese Definition birgt in sich bereits einige Gefahren, da nicht alle Formen der Videoaufzeichnung erfasst sind, wie das etwa in Deutschland der Fall ist. Google Streetview und Mitschnitte von Mobiltelefonen mit Videofunktion sind dadurch nicht erfasst.

Die so erfasste Videoüberwachung ist zwingend an die DSK zu melden. Das Meldeverfahren wurde im Zuge der Novelle zwar vereinfacht, weist jedoch noch immer einige bürokratische Tücken auf. Nicht gemeldet werden muss eine Echtzeitüberwachung, wenn keine Speicherung der Daten vorliegt und wenn eine Aufzeichnung nur auf einem analogen Speichermedium erfolgt.

Sofern, nach Angeben des Auftraggebers, keine sensiblen Daten von der Datenanwendung betroffen werden, ist die Meldung lediglich auf ihre Vollständigkeit und Plausibilität zu prüfen. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren. Der Auftraggeber kann sich gegenüber der DSK verpflichten, die Videoüberwachungsdaten zu verschlüsseln und den einzigen Schlüssel bei der DSK zu hinterlegen. Da der Auftraggeber somit keine Möglichkeit, hat die Daten zu verwenden, muss keine Vorabkontrolle erfolgen.

Die überwachten Orte sind entsprechend zu kennzeichnen. Keine Aufzeichnung darf an Orten erfolgen, die dem höchstpersönlichen Lebensbereich eines Betroffenen zuzuordnen sind. Weiters ist die Mitarbeiterkontrolle an Arbeitsstätten untersagt. Mit einer Videoüberwachung gewonnene Daten dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen und nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden. Aufgezeichnete Daten sind spätestens nach 72 Stunden zu löschen, allerdings kann eine Verlängerung bei der DSK beantragt werden.

Datenmissbrauch: Neue Regelungen

Mit der ebenfalls vollständig neu geregelten Meldepflicht bei Datenmissbrauch nimmt Österreich, neben Deutschland, eine Pionierstellung in Europa ein. Die im angelsächsischem Rechtsraum als Data-Breach-Notification bekannte Maßnahme verpflichtet Auftraggeber für den Fall, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, eben diesen in geeigneter Form zu informieren. Die Benachrichtigung muss nicht erfolgen, wenn ein grobes Missverhältnis zwischen dem drohenden Schaden und den Kosten der Information aller Betroffenen herrscht.

Diese Regelung wird vereinzelt als revolutionär angesehen, ist allerdings durch dehnbare Begriffe wie systematisch oder schwerwiegend, die nicht weiter erläutert werden, verwässert. Die Informationspflicht entfällt bei bloß geringfügigem Schaden. Die Bewertung ob ein Schaden geringfügig ist obliegt dabei allerdings dem Auftraggeber.

Einmal veröffentlichte Daten bleiben weiterhin ungeschützt. Die Regierungsvorlage enthielt noch eine entsprechende Norm, dass veröffentlichte Daten nur im Ausmaß des Zwecks der erstmaligen Veröffentlichung verwendet werden dürfen. Diese verschwand allerdings kommentarlos in der Novelle.

Mehr Rechte für die DSK

Die DSK wurde im Zuge der Novelle mit umfassenderen Rechten ausgestattet. Dazu gehören etwa ein Verbesserungsverfahren für fehlerhaft eingebrachte elektronische Meldungen oder vermehrte Möglichkeiten der amtswegigen Richtigstellung bei falschen Einträgen im Register.

Die Auskunftspflicht der Auftraggeber wurde ausgeweitet. Diese umfasst nun neben natürlichen Personen auch Personengemeinschaften. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hierfür in allgemein verständlicher Form anzuführen.

Trotz der vielen Neuerungen vermissen die Kritiker etwa den betrieblichen Datenschutzbeauftragten. Diese Stelle wurde im Vorfeld heftig diskutiert, fand sogar den Weg in den Entwurf, wurde jedoch auf Druck der Wirtschaftskammer doch nicht in das Gesetz aufgenommen. Ebenfalls ungeregelt blieben viele neue Technologien wie RFID-Chips, Whistleblowing oder spezielle durch Web 2.0 auftretende Datenschutzprobleme. Finnland ist in diesem Bereich bereits vorgestoßen und verbietet die Nachforschung in sozialen Netzwerken im Rahmen einer Stellenbewerbung.

Das Registrierungsverfahren bei der DSK ist zwar vereinfacht und elektronisch durchzuführen, aber nach wie vor bürokratisch und langwierig. Es kann bis zu zwei Monaten bis zur Bewilligung dauern.