Datenschutzgesetznovelle 2010 lässt Fragen offen

Nach zehn Jahren ist das Datenschutzgesetz mit 1.1.2010 erstmals novelliert worden. Das ursprünglich auf der EU-Datenschutzrichtlinie aus dem Jahr 1995 beruhende Datenschutzgesetz 2000 sollte damit an aktuelle Bedürfnisse angepasst werden. Leider ist dies – trotz fast zweijähriger Vorarbeiten – nur teilweise gelungen. Dies lag auch daran, dass die Opposition den Beschluss von Verfassungsänderungen (§ 1 bis § 3) blockiert hatte.

Wesentlicher Inhalt der Novelle ist, dass nun die grundsätzliche Genehmigungspflicht von Videoüberwachungen ausdrücklich geregelt wird. Im Prinzip wurde das bisher bereits von der Datenschutzkommission praktizierte Verfahren in Gesetzesform gegossen: Videoüberwachungen sind dem Datenverarbeitungsregister vorab mit dem im Internet bereit gestellten Meldeformularen zu melden, wobei gewisse zusätzliche Angaben zu machen sind.

Genehmigungspflicht von Videoüberwachungen

Der Gesetzgeber hat jedoch – einem Schildbürgerstreich gleich – originelle Ausnahmen von der Vorabgenehmigungspflicht kreiert: Nicht genehmigungspflichtig sind etwa Videoüberwachungen, die nur mit analoger Aufzeichnung (alter VHS-Videorekorder!) erfolgen, oder bei denen Videobildern verschlüsselt werden und der einzige Schlüssel bei der Datenschutzkommission (!) deponiert wird.

Ebenso genehmigungsfrei sind Echtzeitüberwachungen ohne Aufzeichnung. Hingegen ist nun die Videoüberwachung zum Zweck der Mitarbeiterkontrolle an Arbeitsstätten eindeutig verboten. Weiterhin dürfen Videoaufzeichnungen nur für 72 Stunden aufbewahrt werden. Für Videoüberwachung durchführende Auftraggeber ist wesentlich, dass sie nunmehr verpflichtet sind, auf Verlangen die Videobilder “in einem üblichen technischen Format” an die Gefilmten auszuhändigen: Damit wird wohl ein nicht zu unterschätzender technischer und finanzieller Aufwand verbunden sein.

Meldepflicht bei Verstößen gegen das Datengeheimnis

Von der Öffentlichkeit weitgehend unbemerkt hat Österreich als eines der ersten Länder der EU eine frühestens auf den zweiten Blick auffindbare “Data Breach Notification Duty” in das Datenschutzgesetz aufgenommen. Dabei handelt es sich um eine Informationspflicht, die den Auftraggeber von Datenanwendungen – wenn auch in sehr allgemeinen und missverständlichen Worten – dazu verpflichtet, die Betroffenen von schweren Verstößen gegen das Datengeheimnis individuell und/oder durch öffentlichen Aufruf zu verständigen.

Gemeint war insbesondere, dass Banken oder andere Finanzdienstleister Datendiebstähle, wie sie in der Vergangenheit laut Medienberichten z.B. bei Kreditkartenunternehmen des Öfteren vorgekommen sein sollen, den Betroffenen und/oder der Öffentlichkeit melden müssen. Eine Einschränkung auf Banken und Finanzdienstleister findet sich im Gesetzestext jedoch nicht, sodass die Meldepflicht bei strenger Auslegung auch für die Mitgliedskartei eines Vereines gelten könnte.

Online-Meldeverfahren

Weiters soll das derzeit in der Praxis aufwendige und zeitraubende Meldeverfahren beim Datenverarbeitungsregister auf ein Online-Meldeverfahren mit automatischer Kontrolle umgestellt werden. Die Details werden wir Rechtsanwender jedoch erst nach Erlassung einer entsprechenden Verordnung und Entwicklung der entsprechenden Software erfahren; dies wird wohl noch ein bis zwei Jahre dauern.

Höhere Strafen

Überdies wurde die Position der Datenschutzkommission durch eine Vielzahl von Regelungen (leicht) gestärkt und einige Definitionen im Gesetz klargestellt. Allerdings kann man dabei über manche Formulierungen erst recht wieder streiten. Die Höchststrafen für Verstöße gegen das Datenschutzgesetz wurden von EUR 18.890 auf EUR 25.000 erhöht. Eine zusätzliche Strafe im Ausmaß von bis zu EUR 500 wurde eingeführt, wenn Daten nicht fristgerecht beauskunftet, richtig gestellt oder gelöscht werden.

Fazit

Es bleibt zu hoffen, dass das Online-Meldeverfahren rasch umgesetzt wird und der Gesetzgeber den Mut findet, die angestrebte Vereinheitlichung des ohnehin sehr komplexen Datenschutzrechtes in Österreich durch eine Verfassungsbestimmung ebenso durchzusetzen wie eine klare datenschutzrechtliche Regelung des Internets.

Für eingehendere Beratung wenden Sie sich bitte an:

MMag Dr Felix Hörlsberger
Tel: (+43-1) 533 4795-17, E-Mail: felix.hoerlsberger@dbj.at
DORDA BRUGGER JORDIS Rechtsanwälte
1010 Wien, Dr Karl Lueger-Ring 10
www.dbj.at

Download: Rechts-Tipp als PDF