rating service  security service privacy service
 
Zusammenarbeit nationaler Datenschutz-Kontrollstellen
Im Sinne einer effizienten, europaweiten Durchsetzung verpflichtet die EU-Datenschutzrichtlinie die Kontrollstellen auch zu intensiver, grenzüberschreitender Zusammenarbeit beim Schutz von Betroffenenrechten - Europarechtliche Vorgabe und Realität klaffen weit auseinander

Kern der EU-Datenschutzrichtlinie ist, dass Mitgliedsstaaten der Europäischen Union nicht nur dahingehend verpflichtet werden, bestimmte Mindeststandards hinsichtlich ihrer datenschutzrechtlichen Gesetzgebung zu schaffen sondern diesen auch die Schaffung unabhängiger und öffentlicher Kontrollstellen auferlegt wird, welchen die Überprüfung und Durchsetzung der entsprechenden Rechtsvorschriften obliegt.


Europarechtliche Vorgabe

Artikel 28 EG-Datenschutzrichtlinie verpflichtet die Mitgliedstaaten dazu, eine oder mehrere öffentliche Stellen einzurichten, welchen die Überwachung der Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet obliegt. Neben den definierten Befugnissen sieht Abs. 6 der genannten Richtlinienbestimmung vor, dass jede Kontrollstelle von der Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden kann sowie, dass die Kontrollstellen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen, sorgen. Intensive Zusammenarbeit ist demnach wichtiger Teil der europarechtlichen Grundlagen.

Verpflichtung zur Zusammenarbeit und zu gegenseitiger Unterstützung

Dass es sich bei den erwähnten Bestimmungen nicht nur um unverbindliche Zielformulierungen handelt, macht Ziffer 64 der Erwägungsgründe zur Datenschutzrichtlinie deutlich, dort heißt es wörtlich: Die Behörden der verschiedenen Mitgliedstaaten werden einander bei der Wahrnehmung ihrer Aufgaben unterstützen müssen, um sicherzustellen, dass die Schutzregeln in der ganzen Europäischen Union beachtet werden. Nachdem die Erwägungsgründe einer erlassenen Richtlinie bei deren inhaltlicher Interpretation zentral heranzuziehen sind, ergibt sich folgender Schluss: Sofern die Ausübung der Befugnisse der in einem anderen Mitgliedsstaat eingerichteten Kontrollstelle in Hinblick auf die Einhaltung der Bestimmungen der EU-Datenschutzrichtlinie notwendig ist, ist eine andere nationale Kontrollstelle, die von einem datenschutzrechtlich relevanten Tatbestand Kenntnis erlangt, dazu verpflichtet, die für den jeweiligen Mitgliedsstaat zuständige Behörde zu verständigen und diese um die Ausübung ihrer Befugnisse zu ersuchen.


Österreichische Realität: Fall SWIFT

Dass derartige Erwägungen hinsichtlich des österreichischen Datenschutzwesens eher theoretischer Natur sind zeigt die Entscheidung K 121.245/0009-DSK/2007 der DSK (seit 1. Jänner 2014 Datenschutzbehörde), über welche die ARGE Daten bereits berichtete. Der Beschwerdeführer, der zahlreiche Auslandsüberweisungen unter Zuhilfenahme des SWIFT -Überweisungssystems getätigt hatte, stellte an seine Hausbank ein Auskunftsbegehren, in welchem Ausmaß durch den Dienstleister SWIFT personenbezogene Daten weitergegeben würden, insbesondere an US-amerikanische Behörden. Die Auskunft der Hausbank war für den Betroffenen nicht zufrieden stellend, daher rief er die Datenschutzkommission (seit 1. Jänner 2014 Datenschutzbehörde) an. Diese entschied, dass SWIFT als eigenständiger Auftraggeber der jeweiligen Datenverarbeitung  zu sehen sei. Die Folge dieser Rechtsansicht war die Zurückweisung der Beschwerde mangels örtlicher Zuständigkeit, da SWIFT seinen Sitz in Belgien hat.


Ergebnis unbefriedigend

Obgleich das Auskunftsrecht anbetrachts der EU-Datenschutzrichtlinie natürlich auch in Belgien gesetzlich verankert ist, ist auf den mühsamen Rechtsweg für Betroffene zu verweisen. Zunächst ist bei einer SWIFT in Belgien das Auskunftsrecht geltendzumachen. Falls dies nicht funktioniert, muss der Betroffene die dortige Datenschutzbehörde anrufen. Oft wird der Betroffene rechts- und sprachunkundig und somit auf anwaltliche Hilfe im Mitgliedsstaat zur Durchsetzung seiner Rechte angewiesen sein.


Abtretung der Beschwerde möglich?

Neben diesen Erwägungen hinsichtlich der unbefriedigenden Situation für Betroffene ergibt sich in Hinblick auf die Bestimmungen der EU-Datenschutzrichtlinie auch die Frage, ob entsprechende Beschwerden aufgrund der Verpflichtung zur Zusammenarbeit nationaler Kontrollstellen bei der Sicherung datenschutzrechtlicher Mindeststandards nicht an die jeweils zuständigen Kontrollstellen amtswegig abzutreten wären. Die in der EU-Datenschutzrichtlinie verbriefte Verpflichtung zur Zusammenarbeit nationaler Kontrollstellen legt dies zumindest nahe. Eine entsprechend umgesetzte, besondere rechtliche Grundlage zur Abtretung von eingebrachten Beschwerden an andere Kontrollstellen bietet das DSG 2000 allerdings nicht. Geht man allerdings davon aus, dass die entsprechenden Bestimmungen des österreichischen Rechts konform mit der Richtlinie interpretiert werden müssen, wäre daran zu denken, dass entsprechend § 6 AVG bei offensichtlicher Unzuständigkeit entsprechende Eingaben an die jeweils zuständige Verwaltungsbehörde zu übermitteln sind. Im Zusammenhalt mit den Bestimmungen der EU-Datenschutzrichtlinie ist daher durchaus auch auf Basis geltenden Rechts eine Verpflichtung der Datenschutzkommission argumentierbar, entsprechende Eingaben, welche in den Zuständigkeitsbereich einer anderen nationalen Kontrollstelle fallen, an diese weiterleiten zu müssen.

Jedenfalls möglich gewesen wäre es allerdings aus Sicht der DSK, die zuständige, nationale Kontrollstelle hinsichtlich einer amtswegigen Überprüfung des betreffenden Dienstleisters zu informieren. Dass dies nicht geschehen ist, zeigt, dass internationale Zusammenarbeit zwar Teil der EU-Datenschutzrichtlinie, leider aber noch nicht Bestandteil datenschutzrechtlicher Praxis ist.

mehr --> Problemfall SWIFT: Sicherer Datenhafen oder Außenstelle des CIA?

- Datenschutzrat - Datenschutzkommission - DSR - DSK - privacyday.at - Cloud Computing - Vorratsdatenspeicherung - hacker - RFID - Web 2.0 - Österreichisches Datenschutzgesetz - e-commerce - phishing - privacy - data safety - data protection officer - internet
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster