rating service  security service privacy service
 
2004/12/18 DSK-Entscheidung zu Herold-Datenlieferanten
Die erste Entscheidung der DSK in einem Verfahren gegen den Datenlieferanten der Herold Marketing CD 'Private' gibt der ARGE DATEN weitgehend recht - bezüglich der Auskunft über die Herkunft von Daten bestehen jedoch offensichtlich Regelungslücken im Datenschutzgesetz

Im Rahmen der Berichterstattung über die Herold Marketing CD "Private" führte die ARGE DATEN für einige ihrer Mitglieder Auskunftsverfahren durch und strengte in weiterer Folge mehrere Verfahren sowohl gegen Herold selbst als auch gegen den Datenlieferanten an.

Nach langer Wartezeit und erst nach mehreren Verwaltungsgerichtshofbeschwerden wegen Säumigkeit der DSK wurde nun das erste dieser Verfahren von der Datenschutzkommission entschieden.

Das Ergebnis bietet allerdings - zumindestens teilweise - Grund zur Freude. In wichtigen Punkten ist die Datenschutzkommission dem Standpunkt der ARGE DATEN gefolgt und bestätigt, dass durch die Vorgangsweise von dm-plus die Datenschutzrechte von Betroffenen verletzt wurden.

So wurden die von der ARGE DATEN beanstandeten mangelhaften Teil-Auskünfte auch von der Datenschutzkommission nicht akzeptiert.

Vor allem die Tatsache, dass bei dm-plus offensichtlich von vielen Österreichern das genaue Geburtsdatum vorliegt, war in den Auskünften nicht angegeben. Es wurde meist nur eine Altersklasse beauskunftet, die angeblich statistisch berechnet war. Auch das intern verwendete Personenkennzeichen, mit dem alle personenbezogenen Daten verknüpft sind, wurde nicht beauskunftet.

Weiters wurde kritisiert, dass von dm-plus nicht bekannt gegeben worden war, dass die verwendeten Daten regelmäßig an den Mutterkonzern in der Schweiz zum Backup überlassen wurden.

Ebenfalls keine Erwähnung fand in den Auskünften der dm-plus der wohl eigentliche Hauptzweck dieser Datensammlung, nämlich die Übermittlungen an Herold.

Die Datenschutzkommission stellte fest, dass allgemeine Aussagen zu eventuellen Empfängern, die in der ursprünglichen Registrierung enthalten waren, nicht ausreichend waren und dass die Übermittlungen an Herold protokolliert und beauskunftet werden mussten.

In einem entscheidenden Punkt ist der Bescheid der Datenschutzkommission allerdings nicht zufriedenstellend. dm-plus hatte stets genauere Auskünfte zur Herkunft der Daten verweigert und darauf verwiesen, dass diese Informationen nicht gespeichert würden.

Dieses Problem wurde von der DSK offensichtlich teilweise erkannt: " ... sodass es nicht als allein im Belieben des Auftraggebers stehend angesehen werden kann, welche Aufzeichnungen über die 'Herkunft der Daten verfügbar' sein müssen ..."

Allerdings besteht bezüglich der Pflicht Aufzeichnungen über die Herkunft der Daten führen zu müssen, eine gewisse Lücke in der österreichischen Gesetzgebung, die es der DSK offensichtlich nicht erlaubte, in diesem Punkt eine eindeutige Entscheidung zu treffen.

Dies ist insofern für die Durchsetzung der Betroffenenrechte besonders störend, weil in der Regel vor allem die Informationen über die Herkunft der Daten und eventuell stattgefundene Übermittlungen den Ansatzpunkt für die Geltendmachung von Rechten darstellen.

Vom Beschwerdegegner und - zumindestens andeutungsweise - auch von der Datenschutzkommission wird darüberhinaus mit dem angeblich unverhältnismäßigen Aufwand argumentiert, der durch Aufzeichnungen über die Herkunft von Daten entstehen würde.

Dieser Standpunkt ist entschieden abzulehnen. Im Sinne einer praktikablen Lösung könnte beispielsweise bei der Ermittlung von Daten jeweils die DVR-Nr. des Datenlieferanten bei jedem Datensatz abgespeichert werden, der durch die Übernahme der Daten geändert wird. Bei einer solchen Vorgangsweise müssten üblicherweise pro Datensatz einige wenige DVR-Nummern zusätzlich abgespeichert werden, ein Aufwand der zumindestens von technischer Seite als vernachlässigbar anzusehen ist. Sehr wichtig - und darauf zielt das DSG 2000 vor allem in §14 ab - wäre allerdings die organisatorische Verankerung solcher Maßnahmen in alltäglichen Arbeitsabläufen. Gerade von professionellen Datenverarbeitern wie Adressverlagen, bei denen die Ermittlung, Speicherung und Übermittlung von personenbezogenen Daten nicht nur eine Hilfstätigkeit sondern der Hauptzweck ihrer Geschäftstätigkeit ist, müssten solche Maßnahmen eigentlich selbstverständlich sein und der dafür anfallende Aufwand wäre jedenfalls verhältnismäßig.

mehr --> Adressverlag verweigert Auskunft zur Datenherkunft
Archiv --> Was wurde aus der HEROLD-CD Privat?

- DSR - privacy-day.at - Cloud Computing - datenschutz-seminare@at - Vorratsspeicherung - hacker - RFID - informationelle Selbstbestimmung - DSG 2000 - phishing - privacy - data safety - data protection officer - Austria - telecommunication
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster