rating service  security service privacy service
 
2013/06/24 Vorratsdatenspeicherung - ohne Datenschutzgenehmigung betrieben?
Vorratsdatenspeicherung sorgte bei Internetprovider weiterhin für Verwirrung und Verwaltungsstrafe - Gesetzliche Bestimmungen sind kein Auftrag zur Datenverarbeitung - Wer ist Auftraggeber im Sinne des Datenschutzgesetzes? - Klärung der Auftraggebereigenschaft am Beispiel der Vorratsdatenspeicherung - zahlreiche weitere nicht genehmigte Datenspeicherungen vermutet

Vorratsdatenspeicherung muss von Datenschutzkommission genehmigt werden

Nach dem Start der Vorratsdatenspeicherung am 1. April 2012 wollte ein Mitglied der ARGE DATEN wissen, ob und welche Vorratsdaten sein Internetprovider über ihn speichert.

Laut Datenverarbeitungsregister (DVR) hatte der betroffene Provider keine Vorratsdatenspeicherung gemeldet, dennoch gab er an, Vorratsdaten zu speichern. Auf Grund dieser widersprüchlichen Informationen bestand der Verdacht einer rechtswidrigen Datenverarbeitung, der Betroffene wandte sich an die ARGE DATEN um Unterstützung.

Sechs Monate nach Start der Vorratsdatenspeicherung und einem Beschwerdeverfahren vor der Datenschutzkommission (http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA...) hatte der Internetprovider immer noch nicht die Vorratsdatenspeicherung beim DVR genehmigt. Die ARGE DATEN erstattete daher wegen rechtswidriger Datenverarbeitung (§ 52 DSG 2000) eine Anzeige beim zuständigen Magistrat.


„Kreative“ Interpretation der Gesetze durch Internetprovider

Das Verwaltungsstrafverfahren brachte erstaunliches zutage. Demnach hatte der Internetprovider die Vorratsdatenspeicherung nicht gemeldet, da sich dieser nicht für den verantwortlichen Auftraggeber hielt, sondern die Zuständigkeit bei "den Behörden" sah.

Gemäß § 4 Z 4 DSG 2000 ist Auftraggeber diejenige natürliche oder juristische Person, die alleine oder mit anderen die Entscheidung getroffen hat, Daten zu verwenden

Seit 1. April 2012 besteht für umsatzstarke Anbieter von öffentlichen Kommunikationsdiensten die Pflicht, bestimmte Daten die beim Anbieten eines Dienstes anfallen, sechs Monate auf Vorrat zu speichern (Liste siehe http://www.argedaten.at/php/cms_monitor.php?q=ANBIETER-VDS-PF...). Aufgrund der gesetzlichen Speichervorschrift sah der Internetprovider keine andere Wahl als die Daten zu speichern - in Ermangelung einer Entscheidungsmöglichkeit könne er nicht Auftraggeber der Vorratsdatenspeicherung sein - so seine Argumentation.


Gesetzliche Vorratsdatenspeicherung - kein Auftrag zur Datenspeicherung

Bei genauer Betrachtung stellt sich heraus, dass die Bestimmungen zur Vorratsdatenspeicherung keine neue Datenspeicherpflicht, sondern lediglich eine „Aufbewahrungspflicht“ für Kommunikationsdienstanbieter enthält. So wie Daten des betrieblichen Rechnungswesens sieben Jahre aufbewahrt werden müssen, müssen Kommunikationsdienstanbieter seit dem 1. April 2012, bestimmte Kommunikationsdaten, sechs Monate lang aufbewahren.

Die Aufbewahrungspflicht betrifft darüber hinaus ausschließlich Daten die ohnehin für die Bereitstellung der Kommunikationsdienste benötigt werden. Welche Daten dies sind, entscheiden die jeweiligen Dienstanbieter selbst - eine Pflicht bestimmte Daten zu speichern, die in der Vergangenheit nicht verarbeitet wurden, besteht nicht.

Selbst eine konkrete gesetzliche Pflicht, bestimmte Daten zu speichern, würde nichts an der Auftraggebereigenschaft des Internetproviders ändern. Eine derartige Bestimmung regelt ausschließlich unter welchen Bedingungen Kommunikationsdienste angeboten werden dürfen. Keineswegs würden die Daten im Auftrag und der Verantwortung des Gesetzgebers verarbeitet.

Anders verhält es sich bei Datenanwendungen für staatliche Zwecke, wie beispielsweise der Durchlaufstelle, über die Vorratsdaten an Ermittlungsbehörden übermittelt werden müssen (http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA...). Hier geht klar und eindeutig aus dem Gesetz hervor, dass das Bundesministerium für Verkehr, Innovation und Technologie für deren Einrichtung und Betrieb verantwortlich ist.


Verwaltungsstrafen bis 10.000,- Euro möglich

Unklarheiten darüber, wer Auftraggeber einer Datenanwendung ist, sollten jedenfalls vor Inbetriebnahme einer Datenverarbeitung geklärt werden. Das Betreiben einer Datenanwendung ohne der notewendigen gesetzlichem Meldung, stellt eine Verwaltungsstrafe dar und kann mit bis zu 10.000,- Euro bestraft werden.

Im vorliegenden Fall sprach das Magistrat, nicht rechtskräftig, eine Strafe von 500,- Euro aus.


Zahlreiche nicht genehmigte Datenspeicherungen vermutet

Sofern gesetzliche Bestimmungen nicht ausdrücklich einen Auftraggeber nennen, ist derjenige Auftraggeber und für eine Datenanwendung verantwortlich, der die Entscheidung trifft, Daten zu verwenden. Die Entscheidung kann, wie im vorliegenden Fall, auch bloß darin bestehen eine bestimmte Dienstleistung anzubieten und damit gesetzlichen Speicherpflichten zu unterliegen. Gesetzliche Regelungen, welche Daten beim Erbringen einer Dienstleistung erhoben, verarbeitet oder aufbewahrt werden müssen, ändern daran nichts und machen nicht den Gesetzgeber bzw. "wen auch immer" zum Auftraggeber.

Es darf vermutet werden, dass noch viele tausende Datenverarbeitungen in Österreich ohne Genehmigung betrieben werden.

mehr --> Liste der speicherpflichtigen Telekom- und Internet-Anbieter
Archiv --> Erfolg der ARGE DATEN - BMVIT veröffentlicht Liste der speiche...
Archiv --> Vorratsdatenspeicherung in WLAN-Hotspots und bei Voice over IP?
Archiv --> Vorratsdaten - So soll der Zugriff stattfinden!
Archiv --> Datenschutzkommission: EuGH soll Datenschutzrechte bei Vorrats...
Archiv --> ARGE DATEN Artikel zur Vorratsdatenspeicherung
andere --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter
andere --> Datenverabeitungsregister (DVR)
andere --> Datenschutzgesetz 2000 (DSG 2000)

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2022 Information gemäß DSGVOwebmaster