2009/10/01 Besserer Datenschutz - aber nur für Deutschland
Ebenso wie Österreich war Deutschland von mehreren Datenschutzskandalen geprägt - anders jedoch die Reaktionen - während in Österreich seit fast zwei Jahren nicht einmal Minimaländerungen umgesetzt werden, hat Deutschland ein ganzes Reformpaket beschlossen - mit beachtlichen Vorteilen für die Bürger - eine Übersicht über die Neuerungen im Rahmen der drei Novellen des BDSG
Diesen Sommer hat der deutsche Bundestag drei Novellen des deutschen Datenschutzgesetzes (BDSG) beschlossen, die ARGE DATEN hat sie gründlich analysiert und einen Überblick über die wichtigsten Änderungen zusammen gestellt.
Novelle II ist bereits mit 01.09.2009 in Kraft getreten. Die anderen beiden folgen, aufgrund des nicht zu verachtenden Aufwandes für Datenverarbeiter. Mit 01.04.2010 tritt Novelle I und am 11.06.2010 die Novelle III in Kraft.
Novelle I beschäftigt sich vornehmlich mit den Rechten der Betroffenen in Bezug auf Auskunfteien und Scoring. Ziel dieser Novellierung ist es für Betroffene mehr Transparenz zu schaffen. So müssen in Zukunft beispielsweise die gespeicherten Scoringwerte beauskunftet sowie deren Zustandekommen erklärt werden (§34 BDSG)
Novelle II enthält die meisten Änderungen. Mit dieser Novelle wurden die Rechte des betrieblichen Datenschutzbeauftragten gestärkt. Die Bestimmung für eine „Dienstleistervereinbarung“ wurde konkretisiert. Die Bestimmungen um die Zulässigkeit von Werbeversand wurden verschärft – das sogenannte „Listenprivileg“ jedoch nicht abgeschafft. Nicht zuletzt wurde, als Reaktion auf die im letzten Jahr bekannt gewordenen „Bespitzelungsaktionen“ durch Arbeitgeber, auch der Beschäftigtenschutz erweitert.
Novelle III soll sicherstellen, dass Auskunftsbegehren ausländischer Kreditgeber gleich wie innerdeutsche behandelt werden. Weiters muss einem Verbraucher, falls ihm ein Kredit aufgrund der Auskunft einer Auskunftei verweigert wird, diese Tatsache sowie der Inhalt der Auskunft umgehend mitgeteilt werden.
Die wichtigsten Änderungen
Grundsatz der Datensparsamkeit
Der Grundsatz der Datensparsamkeit wurde umformuliert, er gilt nun für sämtliche personenbezogenen Daten, also auch für nicht elektronische Daten [§3a BDSG, in Kraft ab 1.9.2009].
Diese Regelung macht selbst im digitalen Zeitalter Sinn. Das österreichische Datenschutzgesetz (DSG 2000) kennt zwar auch den Schutz von nicht elektronischen Daten jedoch nur falls diese zumindest teilweise automationsunterstützt verarbeitet werden. (§ 4 Z 7 DSG 2000) Der ständigen Rechtssprechung der Datenschutzkommission (DSK) nach erstreckt sich jedoch zB das Auskunftsrecht nicht auf Papierakten (K121.017/0009-DSK/2005/00).
Weiters sind nun auch Datenanwendungen für Markt oder Meinungsforschungen meldepflichtig. [§4d Abs 4 Z3 BDSG, 1.9.2009]
Betrieblicher Datenschutzbeauftragter - §4f Abs 3 BDSG [1.9.2009]
Der Schutz des betrieblichen Datenschutzbeauftragten wurde erweitert. So darf dieser nunmehr ausschließlich gekündigt werden, wenn ein fristloser Kündigungsgrund vorliegt. Dieser Kündigungsschutz reicht bis ein Jahr nach der Abberufung als Datenschutzbeauftragter. Arbeitgeber müssen dem Datenschutzbeauftragten die Fortbildung im Bereich Datenschutz ermöglichen und finanzieren.
In Österreich wurde der 2008 geplante betriebliche Datenschutzbeauftragte auf Wunsch der WKO wieder gestrichen. Arbeiterkammer und SPÖ hatten dem Druck widerstandslos nachgegeben.
Automatisierte Einzelentscheidungen - § 6a BDSG [1.4.2010]
Der Paragraph wurde um die Legaldefinition einer automatisierten Einzelentscheidung erweitert. Eine solche liegt dann vor, wenn bei einer Entscheidung keine inhaltliche Bewertung und anschließende Entscheidung durch eine natürliche Person statt findet.
Automatisierte Einzelentscheidungen sind nur zulässig wenn berechtigte Interessen des Betroffenen durch begleitende Maßnahmen gewahrt werden, dem Betroffenen dies mitgeteilt wird und ihm auf Verlangen die wesentlichen Gründe für die Entscheidung erläutert werden.
Weggefallen ist die Erklärung was man unter geeigneten Maßnahmen zur Wahrung der Interessen der Betroffenen verstehen kann. Im alten BDSG befand sich an dieser Stelle der Hinweis auf die Möglichkeit für einen Betroffenen Stellung abzugeben sowie eine anschließende Pflicht für die verantwortliche Stelle die Entscheidung erneut zu überprüfen.
Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
§11 BDSG [1.9.2009]
Im deutschen Pendant zu unserer Regelung der „Dienstleistervereinbarung“ sind in zehn durchdachten Punkten die Mindestvoraussetzungen für diese taxativ aufgezählt. Dies wird es Firmen sehr viel leichter machen eine solche Vereinbarung abzuschließen.
Ohne die ganze Liste aufzuzählen sei beispielhaft hervorzuheben, dass zwischen Auftraggeber und Dienstleister eine Vereinbarung über die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags getroffen werden muss.
Weiters muss sich der Auftraggeber vor Beginn der Datenverarbeitung durch den Dienstleister und anschließend regelmäßig sowohl von der Einhaltung der technischen als auch der organisatorischen Maßnahmen überzeugen und dokumentieren.
Obwohl leider nicht festgelegt wird, was unter regelmäßig verstanden wird, scheint die deutsche Regelung klarer als die österreichische Bestimmung über die „Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen“(§10 DSG 2000). So müssten zwar auch bei uns „Dienstleistervereinbarungen“ abgeschlossen werden wie diese im Detail auszusehen haben bleibt aber unbestimmt. Aus diesem Grund wurde von der ARGE DATEN der Musterbrief „Vereinbarung für EDV-Dienstleistungen gemäß §§10f DSG 2000“ (http://www2.argedaten.at/php/cms_monitor.php?q=MUSTERBRIEFE) entwickelt und auch die Datenschutzkommission stellt für diese Zwecke ein Muster zur Verfügung (http://www.dsk.gv.at/site/6208/default.aspx)
Dem österreichischen Datenschutzgesetz ist bereits genüge getan wenn man sich lediglich vor der Datenverarbeitung durch einen Dienstleister über dessen getroffene Datenschutzmaßnahmen überzeugt. Eine regelmäßige Pflicht zur Überprüfung kennt unser Datenschutzgesetz nicht. Das öDSG bleibt im Bereich Dienstleister schwammig, was gerade im Bereich der Adress- und Datenhändler oft zu schweren Missständen führt. Auch die geplante Novelle sieht keine Verbesserung vor.
Datenerhebung und -speicherung für eigene Geschäftszecke - §28 BDSG [1.9.2009]
Prinzipiell ist die Verarbeitung, das Speichern, Verändern, Übermitteln, Sperren und Löschen (§ 3 Abs 4 BDSG), personenbezogener Daten für Zwecke des Adresshandels und der Werbung nur zulässig falls der Betroffene seine Zustimmung erteilt hat (Opt–In-Prinzip).
Die Zustimmung des Betroffenen ist vorrangig schriftlich einzuholen. Wird diese zusammen mit anderen Erklärungen eingeholt, so muss sie besonders hervorgehoben werden.
Wird die Zustimmung des Betroffenen mündlich (nicht schriftlich und nicht elektronisch) eingeholt, so muss diesem unverzüglich eine schriftliche Bestätigung über den Inhalt der Einwilligung ausgestellt werden.
Erteilt ein Betroffener seine Zustimmung elektronisch, so ist dies durch die verantwortliche Stelle zu protokollieren und dem Betroffenen muss es möglich sein den Inhalt seiner Zustimmung jeder Zeit abrufen und wirksam widerrufen zu können.
Diese erteilte Zustimmungserklärung kann ungültig sein, wenn die Zustimmung Voraussetzung für eine Leistungserbringung ist und der Zugang zu gleichen beziehungsweise ähnlichen Leistungen nur in nicht zumutbarer Weise möglich ist (also eine marktbeherrschende oder monopolartige Stellung ausgenutzt wird).
Ausnahmen der Opt-In-Lösung - Listenprivileg
Eine Ausnahme zu diesem Opt-In-Prinzip stellt das Listenprivileg dar. Daten die dabei verarbeitetet werden, dürfen jedoch nicht verändert werden.
Es handelt sich dabei um Name, Titel, akademischen Grad, Anschrift, Geburtsjahr, die Berufs- Branchenbezeichnung sowie die Zugehörigkeit zu einer bestimmten Personengruppe. Dies entspricht im Wesentlichen den Datenarten die auch in Österreich Adressenverlage privilegiert verwerten dürfen.
Neu ist die detaillierte Festlegung in welchen Fällen diese Datenlisten verwendet werden dürfen:
1) für eigene Angebote darf geworben werden wenn die Daten entweder vom Betroffenen selbst, oder aus öffentlichen Verzeichnissen (zB Telefonbuch) stammen. Für diese Zwecke, dürfen auch weitere Daten zu den Betroffenen gespeichert werden. Man denke dabei an Daten über Kaufkraft oder welche Produkte ein Kunde bereits bestellt hat.
2) Werbung in Hinblick auf die berufliche Tätigkeit des Betroffenen unter seiner beruflichen Anschrift.
3) Werbung von Organisationen deren Spenden steuerbegünstigt sind (klassisches Fondrising).
Zum Schluss des Absatz 3 befindet sich jedoch eine Auffangklausel. Es gilt das Listenprivileg für jede Art von Werbung solange:
- aus der Werbung klar hervorgeht, welche Stelle die Daten erstmalig erhoben hat und
- die Herkunft der Listen und eventuelle weitere Empfänger zwei Jahre lang gespeichert werden und dem Betroffenen auf dessen Verlangen über diese Auskunft erteilt wird.
Wird in diesem Zusammenhang für Angebote fremder Firmen geworben, so muss aus der Werbung klar ersichtlich sein wer für die Daten verantwortlich ist.
Im ansonsten gleich gebliebenen Widerrufsrecht des Betroffenen zur Verwendung seiner Daten für Werbezwecke ist lediglich hinzugekommen, dass für den Fall dass die Zustimmung zum Werbeempfang im Rahmen eines Vertragsabschlusses erteilt wurde für den Widerspruch keine strengere Form verlangt werden darf.
Dadurch, dass das Listenprivileg doch nicht abgeschafft wurde und durch die enthaltene Auffangklausel des §28 Abs 3 Satz 4 BDSG scheint es für die Betroffenen nicht sehr viel leichter geworden zu sein, sich vor persönlich adressierter Werbung zu schützen.
Dennoch ist diese Regelung wesentlich betroffenenfreundlicher als die österreichischen Bestimmungen. Besonders die Verpflichtung der Bekanntgabe des Ersterhebers ist in der Direktwerbung und im Adresshandel wesentlich. Der ARGE DATEN liegen dutzende Beschwerden vor, bei denen Betroffene unerwünschte Werbung erhielten, aber keine Auskunft erlangen konnten, von wem die Adressen tatsächlich stammen. Wer eine Auskunft einholte wurde von einer Stelle zur nächsten geschickt, bis irgend jemand behauptete, er könne die Herkunft nicht mehr feststellen. Die ARGE DATEN hat eine Fülle dieser frustrierenden Datenrundreisen dokumentiert. Eine EU-widrige Praxis, die trotzdem von der österreichischen Datenschutzkommission gedeckt wurde.
Die sogenannte österreichische Datenschutzkommission hat gemeinsam mit vertretern der Adresshändler eine Richtlinie herausgebracht, nach der es den Adresshändlern nicht zuzumuten sei, die Herkunft ihrer Daten aufzuzeichnen! Damit hat sich eine österreichische Behörde ganz dem Diktat der Datenhändlerlobby unterworfen.
Trotz der unbestreitbaren Vorteile der deutschen Regelung ist die "Zweijahresfirst zur Speicherung" willkürlich und unbegründet. Diese Frist zur Speicherung der Herkunft und eventueller Empfänger ist knapp gewählt und offenbar ein parteipolitischer Kompromiss. Auch eine längere Speicherdauer, etwa 8 Jahre (wie die Aufbewahrungspflichten von Steuerunterlagen) wäre sowohl technisch, als auch wirtschaftlich leicht möglich gewesen.
In Österreich kann man dem Empfang persönlich adressierter Werbung durch die Robinsonliste an einer Stelle zentral widersprechen. Auch wenn dies nicht immer 100% klappt, so wird zumindest ein System zur Verfügung gestellt, welches persönlich adressierte Werbung unterbinden soll (http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA...).
Datenübermittlung an Auskunfteien - § 28a BDSG [1.4.2010]
Diese ist nunmehr ausschließlich zulässig wenn die geschuldete Zahlung trotz Fälligkeit nicht geleistet wurde, die Datenübermittlung berechtigten Interessen Dritter dient und darüber hinaus einer der folgenden Gründe vorliegt:
1) die Forderung ist durch ein rechtskräftiges oder ein vorläufig vollstreckbares Urteil festgestellt worden oder es liegt ein Schuldtitel vor,
2) die Forderung wurde nach der deutschen Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden,
3) der Betroffene anerkennt die Forderung ausdrücklich,
4) der Betroffene wurde mindestens zweimal gemahnt, wobei zwischen der ersten Mahnung und der tatsächlichen Übermittlung der Daten vier Wochen liegen die übermittelnde Stelle den Betroffenen rechtzeitig vor der Übermittlung, frühestens jedoch bei der ersten Mahnung über die Übermittlung informiert und der Betroffene bestreitet die Forderung nicht,
5) das der Forderung zugrundeliegene Schuldverhältnis kann aufgrund von Zahlungsrückständen fristlos gekündigt werden und die übermittelnde Stelle hat den Betroffenen über die bevorstehende Übermittlung informiert.
Durch diese strengen Reglen soll in Zukunft sichergestellt werden, dass keine strittigen bzw. falschen Daten an Auskunfteien weitergegeben werden. Besonders gut gelungen scheint, falls Firmen Daten übermitteln wollen, Betroffene frühestens bei der ersten Mahnung über eine drohende Übermittlung informiert werden dürfen. Dadurch wird sichergestellt, dass Firmen den Betroffenen nicht schon im Zeitpunkt des Vertragsabschlusses, der lange zurück liegen kann, über eine Datenübermittlung an Auskunfteien informieren, die der Betroffene dann längst vergessen haben kann. Die Informationspflicht bei der Mahnung soll einen möglichst zeitnahen Zusammenhang zwischen Information und Datenweitergabe sichern.
Übermittlung durch Kreditinstitute
Kreditinstitute dürfen lediglich Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Bankgeschäftes übermitteln. Der Betroffene ist vor Vertragsabschluss darüber zu informieren. Übermittlungen im Rahmen eines Girokontos ohne Überziehungsrahmen sind nicht erlaubt.
Daten die dem vorvertraglichen Schutzverhältnis unterliegen und lediglich der Markttransparenz dienen (Kreditanfragen) dürfen selbst mit Zustimmung des Betroffenen nicht übermittelt werden. Dadurch soll sichergestellt werden, dass ein Scoringwert eines Betroffenen und dadurch seine Chancen letztendlich einen Kredit zu bekommen, nicht durch bloße Kreditanfragen zum Zwecke des Angebotsvergleiches schlechter wird.
In Österreich ist genau die gegenteilige Entwicklung zu beobachten. Selbst Kreditanfragen zum Konditionenvergleich werden zentral an den KSV 1870 gemeldet, nicht gestrichen und führen immer wieder zu erheblichen Problemen bei künftigen Kredit- und Vertragsabschlüssen. Auch diesen Übelstand will die österreichische DSG-Novelle nicht abstellen.
Pflicht zur Richtigstellung
Ergeben sich nachträglich Änderungen an den übermittelten Tatsachen (zB zahlt jemand nachträglich) so hat die Stelle der ursprünglichen Übermittlung dies der Auskunftei binnen eines Monates mitzuteilen, diese hat die Löschung der Daten zu bestätigen.
Auch wenn ein Monat eine lange Zeit sein kann, wenn es um die Beauskunftung falscher Bonitätsdaten geht, so ist diese Frist nur halb so lang wie die im österreichischen Datenschutzgesetz vorgesehene Frist zur Richtigstellung von bis zu acht Wochen (§27 DSG 2000 Abs 4).
Scoring - § 28b BDSG [1.4.2010]
Die Berechnung eines Scoringwertes der ein zukünftiges Verhalten eines Betroffenen widerspiegelt ist nur mehr dann zulässig, wenn diesem ein:
- wissenschaftlich anerkanntes mathematisch-statistisches Verfahren zugrunde liegt,
- die Daten gem §§ 28 bzw 29 BDSG rechtmäßig genutzt werden dürfen,
- nicht ausschließlich Anschriftendaten genutzt werden und
- falls Anschriftendaten genutzt werden der Betroffene im vorhinein darüber informiert wird.
Besser als nichts (in Österreich darf Scoring völlig beliebig durchgeführt werden), aber trotzdem nur eine zum Teil befriedigende Lösung. Die Regelung scheint auf Druck der Wirtschaft entstanden sein. Anders lässt es sich schwer erklären, dass die deutsche Bundesregierung Scoring, welches zwar nicht ausschließlich aber doch aufgrund des Wohnortes einer bestimmten Person geschieht, als wissenschaftlich anerkanntes Verfahren betrachtet. So kann jemandem ein Handyvertrag verweigert werden, nur weil er in der falschen Wohngegend wohnt. Vorkommnisse, die die ARGE DATEN in Österreich schon beobachtet hat.
Daher sieht es in Österreich noch schlimmer aus, so wird durch die Datenschutzkommission hingenommen, dass Wirtschaftsauskunftsdienste in manchen Fällen ausschließlich Adressdaten speichern, weil diese für die Bonität einer Person relevant seien (K121.494/0013-DSK/2009).
Geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung
§ 29 BDSG [1.4.2010 bzw. 11.6.2010]
In Zukunft muss bei Übermittlungen eine stichprobenartige Überprüfung vorgenommen werden, ob tatsächlich ein berechtigtes Interesse an der Datenübermittlung vorliegt.
Um Dienstleistern in der gesamten EU gleiche Voraussetzungen zu schaffen, müssen Auskunfteien zukünftig Auskunftsbegehren von Darlehensgebern im EU-Ausland gleich wie innerdeutsche Auskunftsbegehren behandeln.
Wird der Abschluss eines Verbraucherdarlehens oder einer entgeltlichen Finanzierungshilfe aufgrund der Auskunft einer Auskunftei verweigert, so ist der Verbraucher unverzüglich über diese Tatsache und über den Inhalt der Auskunft zu informieren.
Datenerhebung im Rahmen eines Beschäftigungsverhältnisses - § 32 BDSG [1.9.2009]
Daten dürfen nur verarbeitet werden, wenn sie für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind.
Zur Aufdeckung von Straftaten im Rahmen eines Beschäftigungsverhältnisses dürfen Daten verarbeitet werden, wenn dokumentierte tatsächliche Anhaltspunkte für eine Straftat vorliegen, die Verarbeitung zur Aufdeckung notwendig ist, das schutzwürdige Interesse des Betroffenen nicht überwiegt sowie Art und Ausmaß der Datenverarbeitung nicht unverhältnismäßig sind.
Dieser Paragraph ist offenbar durch die „Bespitzelungsaffären“ großer deutscher Konzerne geprägt und scheint selbst Datenschützern unglücklich formuliert. So bezeichnet Karin Schuler von der Deutschen Vereinigung für Datenschutz (http://www.datenschutzverein.de/) diesen als „lächerlich“, da er entweder entbehrlich oder völlig unpraktikabel ist.
Auskunftspflicht - §34 BDSG [1.4.2010]
Auf Verlangen des Betroffenen muss die für eine Datenverarbeitung verantwortliche Stelle Auskunft darüber erteilen,
- welche Daten zu seiner Person gespeichert sind und woher diese stammen,
- eventuelle Empfänger oder Kategorien von Empfängern sowie
- den Zweck der Speicherung.
Der Betroffene hat die Art der personenbezogenen Daten über die er Auskunft wünscht zu bezeichnen. Eine solche „Mitwirkungspflicht“ findet sich auch in § 26 Abs 3 des DSG 2000.
Für Adresshändler und Werbefirmen gilt wie bereits erwähnt eine zweijährige Aufbewahrungspflicht für Informationen bezüglich Datenherkunft und Emfpängern. Diese sind auf Verlangen des Auskunftssuchenden ebenfalls bekannt zu geben.
Werden über den Betroffenen Scoringwerte gespeichert, so muss folgendes beauskunftet werden:
- die Scoringwerte der letzten 6 Monate,
- die zur Berechnung genutzten Datenarten,
- das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte.
Werden Daten bei einer Stelle gespeichert die geschäftsmäßig Scoringdaten übermittelt, so müssen auch Daten beauskunftet werden, die nicht automatisiert verarbeitet oder gespeichert werden. Weiters sind zu beauskunften:
- die Wahrscheinlichkeitswerte der letzten 12 Monate,
- Name und Anschrift eventueller Übermittlungsempfänger,
- der aktuelle Wahrscheinlichkeitswert,
- die der Berechnung zugrundeliegenden Datenarten,
- das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte.
Leider ist die Pflicht, die Gewichtung der für die Berechnung von Scoringwerten verwendeten Datenarten bekannt zu geben, weggefallen. Im Entwurf für die Änderung des BDSG vom 17.06.2008 war sie noch vorgesehen. Dadurch wäre es Betroffenen möglich gewesen, festzustellen wodurch ihr Scoringwert am meisten beeinflusst wird. Wahrscheinlich ist die Pflicht zur Bekanntgabe der Gewichtung auf Druck der kreditgebenden Wirtschaft, welche den Verlust von Betriebsgeheimnissen fürchtete, gestrichen worden.
Für Deutschland neu ist die unentgeltliche schriftliche Auskunftserteilung. Einer der wenigen Punkte, bei denen das österreichische Datenschutzgesetz besser war. Hier ist die Auskunft schon seit Mitte der 80er-Jahre kostenlos (zuerst im DSG, dann im DSG 2000). Bei Stellen die Daten gewerbsmäßig übermitteln ist die Auskunft, wie in Österreich, nur einmal im Jahr kostenlos. Für jede weitere Auskunft kann, falls der Betroffene die Daten Dritten gegenüber wirtschaftlich nutzen kann, ein Kostenersatz verlangt werden.
Würden für eine Auskunft Kosten anfallen, so kann sich der Betroffene wie bisher persönlich kostenlos in die über ihn gespeicherten Daten einsehen.
Auch unser DSG 2000 kennt die Möglichkeit einer mündlichen Auskunftserteilung sofern der Betroffene zustimmt (DSG 2000 §26 Abs 1 letzter Satz). Es stellt sich jedoch die Frage wie relevant dies für Deutschland ist, vor allem wenn man die Landesgröße bedenkt. Kaum ein Hamburger wird nach München zur Dateneinsicht fahren und umgekehrt.
Berichtigung, Löschung und Sperrung von Daten - §35 BDSG [1.4.2010]
Neu ist die Bestimmung, dass geschätzte Daten deutlich als solche zu kennzeichnen sind.
Daten die durch Kreditinstitute aufgrund der Durchführung eines Bankgeschäftes anfallen sind nach Vertragsbeendigung auf Antrag des Betroffenen zu löschen.
Können Daten nicht gelöscht werden (zb aufgrund gesetzlicher Aufbewahrungspflichten) müssen diese für weitere Verwendungen und Auskünfte gesperrt werden. Die Tatsache der Sperrung von Daten darf nicht an Dritte übermittelt werden.
Informationspflicht bei unrechtmäßiger Verbreitung von Daten §42a BDSG [1.9.2009]
Werden Daten unrechtmäßig übermittelt oder sonst Dritten zugänglich gemacht und es besteht die Gefahr einer schwerwiegenden Beeinträchtigung für die Rechte der Betroffenen, dann besteht die Pflicht des Datenverarbeiters die Betroffenen zu informieren. Dies ist bei folgenden Daten erforderlich:
- besondere Arten von Daten (gem. § 3 Abs 9 BDSG sensible Daten, wie über die Gesundheit oder die ethnische Herkunft),
- Daten, die einem Berufsgeheimnis unterliegen,
- Daten über strafbare Handlungen sowie Ordnungswidrigkeiten sowie
- Daten über Bank und Kreditkartenkonten.
Ist eine individuelle Benachrichtigung aufgrund der Vielzahl von Betroffenen nicht möglich, so muss dies per mindestens halbseitiger Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen geschehen.
Eine Bestimmung die - zumindest abgeschwächt - auch in der geplanten öDSG-Novelle vorgesehen ist und schon im Vorfeld wütende Proteste der Wirtschaftskammer verursachte. Die ARGE DATEN ist gespannt, ob auch in diesem Punkt die SPÖ sang- und klanglos umfällt.
Bußgeldbestimmungen - §43 BDSG [1.9.2009]
Die Höchststrafe für „leichte“ Vergehen wurde von 25.000,- € auf 50.000,- € verdoppelt. Die Höchststrafe für „schwere“ Vergehen von 200.000,- € auf 300.000,- € angehoben. Es wird jedoch ausdrücklich festgehalten, dass diese Bußgelder den wirtschaftlichen Vorteil den ein Täter durch die Ordnungswidrigkeit erlangt hat übersteigen sollen. Sollten die genannten Beträge dazu nicht ausreichen, so können sie auch überschritten werden.
Damit sind die Strafgelder ein vielfaches höher als in Österreich. Das österreichische Datenschutzgesetz sieht derzeit für „leichte“ Vergehen Strafen bis zu 9.445,- €, für „schwere“ bis zu 18.890,- € (§52 DSG 2000) vor. Selbst in der geplanten Novelle beträgt die geplante Obergrenze 25.000,- €, also gerade soviel, wie die jetzt abgeschaffte Grenze im BDSG für leichte Vergehen.
Resümee
Missbrauch persönlicher Daten, Verletzungen der Grundrechte und der Privatsphäre werden sich nie vollständig verhindern lassen. Schon durch die Größe der Bundesrepublik Deutschland und seine Bedeutung als viertgrößte Wirtschaftsnation sind auch Datenschutzverletzungen spektakulärer als in Österreich.
Entscheidend ist jedoch, wie mit Missbrauch und Verletzung der Privatsphäre umgegangen wird. In Österreich herrscht, bedingt durch antimoderne und obrigkeitshörige Strukturen, die Tendenz Rechtsverletzungen auszusitzen, schönzureden oder gar als notwendig für die Verfolgung von Bösewichten und Schmarotzern zu begründen. Deutschland hat versucht aus seinen Bahn-, Banken-, Telekom- und Callcenter-Affären Lehren zu ziehen. Das BDSG ist jetzt wesentlich moderner als noch vor zwei Jahren und weitere Verbesserungen, etwa im Rahmen des Arbeitnehmerdatenschutzes, sind bereits geplant.
Es sind nicht Daten zu schützen, sondern Menschen vor einer wuchernden Kontroll- und Scoringgesellschaft (http://tinyurl.com/mensch-nummer-datensatz). Dieses Problem haben die deutschen Gesetzgeber klar erkannt. Die Novellen sind ein wichtiger Schritt in die richtige Richtung.
In Östereich dagegen herrscht Stillstand, nicht nur was Grund- und Menschenrechte betrifft. Schlimmer noch, antimoderne Kreise in ÖVP und SPÖ beginnen die Grundrechte überhaupt in Frage zu stellen, zu relativieren und als hinderlich für einen totalen Kontrollstaat hinzustellen. Eine sinnvolle Novelle des DSG 2000 ist weiter entfernt als je zuvor.
mehr --> DSG-Novelle 2008 - die (Video-)Generalermächtigung zur Überwac...
mehr --> DSG-Novelle 2008 - eine vertane Chance, vieles bleibt EU-widrig
mehr --> Datenschutz-Novelle 2010 - vieles bleibt ungelöst
mehr --> DSG-Novelle 2010 - Ein mangelhafter Entwurf
mehr --> Verbraucherzentrale Musterbrief: Auskunft bei Auskunfteien
mehr --> Verbraucherzentrale Musterbrief: Auskunft und/oder Widerruf
mehr --> Vergleich des alten BDSG mit den Änderungen aller drei Novellen
mehr --> DSG 2000 Gesetzestext
mehr --> Aktuelle Version des BDSG inkl. der Änderungen der Novelle II
mehr --> DSK Bescheid K121.017/0009-DSK/2005/00
mehr --> Informationen über die Robinsonliste beim Fachverband Werbung & Marktkommunikation
mehr --> Musterverträge der österreichischen Datenschutzbehörde (DSB)
mehr --> ARGE DATEN Musterbriefe
andere --> http://www.heise.de/newsticker/meldung/print/109855
|
