rating service  security service privacy service
Verstöße gegen die datenschutzrechtliche Informationspflicht
Die Informationspflicht (§ 24 DSG 2000) ist ein wesentlicher Baustein eines modernen Datenschutzwesens - viele Datenverarbeiter, insbesondere aus dem Bereich des Direktmarketings und der Kreditinformationsdienste, ignorieren jedoch diese gesetzliche Verpflichtung

Bedeutung der Informationspflicht

Ohne entsprechende Information seitens des Auftraggebers einer Datenverwendung ist es für Betroffene meist kaum möglich, datenschutzrechtliche Ansprüche geltend zu machen. Das Datenschutzgesetz sieht vor, dass Verstöße gegen die Informationspflicht verwaltungsstrafrechtlich sanktioniert werden. Bei genauerer Betrachtung des Inhalts der Informationspflicht zeigt sich allerdings, dass die Effizienz derartiger Strafbestimmungen aufgrund der verwaltungsstrafrechtlichen Verjährungsfristen gering ist.

§ 24 DSG 2000 bestimmt, dass Auftraggeber einer Datenanwendung aus Anlass der Ermittlung von Daten die Betroffenen in geeigneter Weise zumindest über den Zweck der Datenanwendung und über Namen und Adresse des Auftraggebers, zu informieren haben, dies sofern diese Informationen dem Betroffenen nicht bereits vorliegen. Bedeutsam ist diese Bestimmung insbesondere bei jenen Datenverarbeitern, die Daten ohne Wissen des Betroffenen sammeln, typischerweise Adressenverlage und Wirtschaftsauskunftsdienste.

Eine Verpflichtung zur Bekanntgabe darüber hinausgehender Informationen kann sich für den Auftraggeber ergeben, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist. Die datenschutzrechtliche Informationspflicht ist aus einem simplen Grund einer der wesentlichsten Teile des Datenschutzgesetzes. Ein Betroffener, der über die Verwendung seiner personenbezogenen Daten nicht informiert wird, ist auch nicht in der Lage, sich aufgrund derartiger Datenanwendungen ergebende, weitere nötige Schritte zu unternehmen. Die Möglichkeit der Inanspruchnahme von Auskunftsrecht, Widerspruchsrecht, Löschungs- und Richtigstellungsanspruch sowie die Ahndung datenschutzrechtlicher Verstöße hängen davon ab, dass der Betroffene von der Verwendung seiner Daten überhaupt Kenntnis hat.

Ahndung von Verstößen gegen die Informationspflicht

Wer in Hinblick auf seine Datenanwendungen etwas zu verbergen hat, ist natürlich nicht daran interessiert, dass Betroffene überhaupt Kenntnis davon erlangen, dass ihre personenbezogenen Daten verwendet werden. Betroffene werden daher oft gar nicht über die Datenverwendung informiert und erlangen erst durch Zufall davon Kenntnis. Gemäß § 52 Abs 2 DSG begeht, wer seine Offenlegungs- oder Informationspflichten verletzt, eine Verwaltungsübertretung, die mit Geldstrafe bis zu 10.000 Euro zu ahnden ist. Für eine entsprechende Verwaltungsstrafbestimmung ist daher grundsätzlich gesorgt.

Verjährungsproblem

Die Fällung eines Straferkenntnisses bei Verstößen gegen die Informationspflicht ist im Verwaltungsweg nur bis zum Ablauf der Verjährungsfrist möglich. Die entsprechende Strafbestimmung des DSG 2000, welche die Einhaltung der Informationspflicht sichern soll, unterliegt dabei der allgemeinen verwaltungsstrafrechtlichen Verjährung gemäß § 31 VStG.

Die Verjährungsfrist beträgt bei Verwaltungsstrafen sechs Monate, dies ist von dem Zeitpunkt zu berechnen, an dem die strafbare Tätigkeit abgeschlossen worden ist. Sofern der zum Tatbestand gehörende Erfolg erst später eingetreten ist, läuft die entsprechende Frist erst ab diesem Zeitpunkt. Darüber hinaus existiert eine absolute Verjährungsfrist von drei Jahren.

Grundsätzlich bedeutet dies: Binnen sechs Monaten ab Abschluss des jeweiligen Verwaltungsverstoßes muss die Behörde zumindest ihre Verfolgung beginnen, daher tätig werden. Bis zur Fällung eines Straferkenntnisses hat sie drei Jahre Zeit.

Verjährung bei Verstößen gegen die Informationspflicht?

In Bezug auf die datenschutzrechtliche Informationspflicht stellen sich hinsichtlich der Verjährung etliche Fragen. Zunächst ist problematisch und auch nicht europarechtskonform, dass eine Informationspflicht des Auftraggebers im DSG 2000 nur aus Anlass der Ermittlung von Daten vorgesehen ist. "Ermittlung" im Sinne des DSG 2000 bedeutet das Erheben von Daten in Absicht der Verwendung in einer Datenanwendung. Ausgehend vom reinen Gesetzeswortlaut - dem auch die derzeitige Behördenauffassung folgt - würde das bedeuten: Informieren muss der Auftraggeber nur dann, wenn er die Daten erhebt, somit am Anfang des gesamten Verwendungsprozesses. Sobald die Daten erhoben sind und nur mehr verarbeitet werden, würde keine Informationsverpflichtung mehr bestehen. Folge ist ein fatales Rechtsschutzdefizit: Da der Verstoß gegen die Informationspflicht nach derzeitiger Behördenmeinung nur anlässlich der Datenermittlung angenommen wird, haben Betroffene gerade sechs Monate Zeit, hinter die Verwendung ihrer Daten zu kommen und dies auch zur behördlichen Verfolgung zu bringen.

Lösungsmöglichkeiten zur Informationspflicht

Grundsätzlich ist überaus fraglich, ob die Bestimmung des §24 DSG 2000 tatsächlich so zu interpretieren ist, dass eine Informationspflicht tatsächlich nur zum Zeitpunkt der Datenerhebung besteht. Genau betrachtet bestimmt die entsprechende Regelung ja nur, dass "aus Anlass der Ermittlung von Daten" zu informieren ist. Die Datenerhebung bildet also die Grundlage der Informationsverpflichtung, eine zeitliche Begrenzung der Informationspflicht kann alleine daraus nicht abgeleitet werden. Es erscheint im Zusammenhang vielmehr unsinnig, dem Gesetzgeber zu unterstellen, dass er entsprechende Auftraggeber nur zum Zeitpunkt der Datenermittlung zur Information verpflichten wollte - ein Informationsinteresse besteht vielmehr während des gesamten Verarbeitungsprozesses.

Nur eine derartige Interpretation ist auch konform mit der EG-Datenschutz-RL: In Erwägungsgrund 38 heißt es dort: Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden. Eine zeitliche Begrenzung der Informationspflicht sieht die EU-Datenschutz-RL daher nicht vor: Betroffene müssen in die Lage versetzt werden, über die Verarbeitung erfahren zu können.

Auch liegt ein Widerspruch zum Art. 11 der EG-Richtlinie vor: Diese sieht für die Fälle der Erhebung von Daten ohne Mitwirkung des Betroffenen eine Information bei Beginn der Speicherung, spätestens jedoch bei der ersten Übermittlung vor. Auch hier kommt der Wille des Gesetzgebers zum Ausdruck, die Informationspflicht nicht auf einen bestimmten Zeitpunkt zu beschränken, sondern auf einen Zeitraum, in dem die Daten verwendet werden.

Rechtsdurchsetzung in der Praxis

In einem Fall war einem Mitglied der ARGE DATEN durch die Übermittlung von falschen Daten ein Schaden entstanden. Über die knapp sieben Jahre zurückliegende Ermittlung der Daten wurde der Betroffene nicht informiert und hatte somit keine Möglichkeit die Daten richtig zu stellen oder deren Verwendung zu widersprechen.

Im Namen des Betroffenen erstattete die ARGE DATEN Anzeige gegen den Datenverarbeiter, welche durch das zuständige Magistrat wegen Verjährung eingestellt wurde. Die ARGE DATEN ließ nicht locker und wandte sich an die Datenschutzkommission (seit 1. Jänner 2014 Datenschutzbehörde). Diese stellte fest, dass die Verletzung der Informationspflicht ein Dauerdelikt ist, welches bis zur Erfüllung der Informationspflicht nicht verjähren kann. Nachdem die DSK (seit 1. Jänner 2014 Datenschutzbehörde) diese Ansicht dem Magistrat mitgeteilt hat wurde die Anzeige weiter verfolgt.

Resümee

Geht man vom Bestehen einer Informationspflicht nicht nur zum Zeitpunkt der Erhebung aus, verliert das Verjährungsargument an Gewicht. Verstöße gegen die Informationspflicht können in diesem Sinne während des gesamten Verarbeitungsprozesses geltend gemacht werden und sogar bis sechs Monaten nach Löschung der Daten. So sieht dies auch die Datenschutzkommission.

Eine gegenteilige Auffassung, die eine Begrenzung möglicher Sanktionen mit sechs Monaten ab Erhebung sieht, widerspricht der EU-Datenschutz-Richtlinie in zweierlei Hinsicht: Einerseits der festgelegten Informationspflicht, andererseits auch der Verpflichtung, geeignete Maßnahmen zu ergreifen, um die volle Anwendung der Bestimmungen der Richtlinie sicherzustellen und entsprechende Sanktionen festzusetzen.

mehr --> Bestätigung der DSK wonach § 24 DSG 2000 ein Dauerdelikt darstellt.
mehr --> http://www2.argedaten.at/recht/eua11__.htm
mehr --> http://www2.argedaten.at/recht/eu038__.htm
mehr --> http://www2.argedaten.at/recht/dsg224__.htm

- Informationsrecht - Inhouse-Schulung - Wien - Internet - Dienstleister - Datenverarbeitungsregister - datenschutz-seminar.at - datenschutz-seminare@at - datenschutz tag - hacker - Whistleblowing - Web 2.0 - Österreichisches Datenschutzgesetz - Identität - data protection - data protection law - Inhouse - Vienna
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018webmaster