manual

JAHNEL | PALLWEIN-PRETTNER | MARZI

Datenschutzrecht

facultas.at

ISBN 978-3-7089-1772-6

JAH

NEL

| PA

LLW

EIN

-PRE

TTN

ER |

MA

RZI

Dat

ensc

hutz

rech

t

2. A

ufl.

m

anua

l

2., überarbeitete und aktualisierte Auflage

Dieses Buch bietet einen kompakten Überblick über das neue Datenschutzregime und richtet sich an Studierende an Universitäten und Fachhochschulen ebenso wie an rechtlich interessierte (auch nicht juristisch ausgebildete) Praktiker und Praktikerinnen. Die Darstellung der Rechtslage umfasst neben der Datenschutz-Grundverordnung auch die österreichischen Durchführungsbestimmungen im (neuen) DSG. Das Buch hilft, die in der betrieblichen Praxis häufig auftretenden datenschutzrechtlichen Fragen richtig einzuordnen. Mit dem erworbenen Wissen können datenschutzrechtliche Probleme erkannt und rechtlich fundierte Lösungswege entwickelt werden. Nach jeder Lerneinheit kann das erarbeitete Know-How anhand einer Fragensammlung angewendet werden.

Die zweite Auflage mit dem neuen Co-Autor Dietmar Jahnel berücksichtigt insbesondere die aktuellen österreichischen Gesetzesänderungen, neueste Entwicklungen auf europä-ischer Ebene und die ersten Erfahrungen aus der Praxis. Mit seinem prägnanten Umfang und der anschaulichen Struktur führt das Buch übersichtlich in das Thema ein und schließt so eine Lücke in der bisherigen Literatur. Ein umfangreiches Stichwortverzeichnis erleich-tert das Nachschlagen.

Dr. Dietmar Jahnel ist Universitätsprofessor am Fachbereich Öffentliches Recht der Universität Salzburg und Vortragender des Universitätslehr-gangs für Informations- und Medienrecht an der Universität Wien. Er ist Autor zahlreicher Publikationen mit den Schwerpunkten Datenschutz-recht und Rechtsinformatik sowie Entwickler und Herausgeber der Rechtsdatenbank RidaOnline.

RA Dr. Angelika Pallwein-Prettner, LL.M. (NYU) ist Rechtsanwältin und Partnerin bei BINDER GRÖSSWANG in Wien. Ihre Tätigkeits-schwerpunkte liegen im kollektiven und individuellen Arbeitsrecht sowie im Datenschutzrecht. Angelika Pallwein-Prettner ist Autorin zahlreicher nationaler und internationaler Fachpublikationen.

© V

eigl

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Copyright © 2018 Facultas Verlags- und Buchhandels AG2., überarbeitete und aktualisierte Auflagefacultas, 1050 Wien, ÖsterreichAlle Rechte, insbesondere das Recht der Vervielfältigung und derVerbreitung sowie der Übersetzung, sind vorbehalten.Satz: SOLTÉSZ. Die Medienagentur.Druck: Facultas Verlags- und Buchhandels AGPrinted in AustriaISBN 978-3-7089-1772-6

5

Vorwort zur 2. Auflage

Wir bedanken uns bei allen Lesern für die tolle Aufnahme unseres Buches und freuen uns, schon kurz nach Erscheinen der Erstauflage, nunmehr eine zweite, aktualisierte Auflage vorlegen zu können. Diese Auflage ist eine Gemeinschafts-arbeit mit einem neuen Autor: Dietmar Jahnel, Universitätsprofessor am Fachbe-reich Öffentliches Recht der Universität Salzburg und Vortragender des Univer-sitätslehrgangs für Informations- und Medienrecht an der Universität Wien. Als Autor zahlreicher Publikationen mit den Schwerpunkten Datenschutzrecht und Rechtsinformatik ist er eine ideale Ergänzung des Teams.

Seit Erscheinen der ersten Auflage im Jänner 2018 haben sich die österreichi-schen Durchführungsbestimmungen im (neuen) DSG in einigen wesentlichen Punkten völlig geändert. Zudem konnten seit der unmittelbaren Anwendbarkeit der EU-Datenschutz-Grundverordnung am 25. Mai 2018 bereits erste Praxiser-fahrungen gesammelt werden. Neben den Anpassungen, die wegen dieser neuen Entwicklungen und Gesetzesänderungen erforderlich waren, haben wir die Überarbeitung aber auch dazu genutzt, einige Kapitel, wie die Betroffenenrechte und die neuen Verpflichtungen des Verantwortlichen (Verzeichnisführung, Da-tenschutz-Folgenabschätzung und Bestellung eines Datenschutzbeauftragten) auszubauen und einige neue Aspekte einzuarbeiten. Völlig neu eingefügt wurde ein eigenes Kapitel über den Beschäftigtendatenschutz. Die Gliederung und der systematische Aufbau des Buches wurden ansonsten beibehalten.

Grundlage dieser zweiten Auflage ist die Rechtslage im September 2018. Wir möchten uns beim Verlag Facultas, insbesondere bei Herrn Peter Wittmann und Frau Elisabeth Kainberger, für die umfassende Unterstützung bedanken. Wir freuen uns natürlich über Anregungen und Feedback jeder Art. 

Angelika Pallwein-PrettnerDietmar Jahnel

6 Vorwort

Vorwort zur 1. Auflage

Liebe Leserin, lieber Leser,

am 25. Mai 2018 findet die neue EU-Datenschutz-Grundverordnung (DS-GVO) Anwendung. Gleichzeitig wird das durch das österreichische Datenschutz-An-passungsgesetz 2018 umfassend novellierte DSG 2000 – künftig wieder unter dem Titel DSG – in Kraft treten.

Man kann zu Recht behaupten, dass durch die neuen Datenschutzbestimmun-gen kein Stein auf dem anderen bleibt. So wird – nur als beispielhafte Nennung –das Marktortprinzip den Anwendungsbereich europäischen Datenschutzrechts verändern. Das in Österreich bis dato bestehende Datenverarbeitungsregister wird abgeschafft und zunächst noch quasi zu Archivzwecken zur Verfügung gestellt bleiben. Das behördliche Melde- und Genehmigungssystem wird durch umfassende interne Dokumentations- und Transparenzpflichten ersetzt, welche für die Verantwortlichen einen wesentlichen Mehraufwand bedeuten und dazu führen sollen, einen bewussteren und sorgsameren Umgang mit Daten zu bewir-ken. Weiters festgeschrieben wird eine Art „Datenschutzauditverpflichtung“, die jedenfalls dann durchzuführen ist, wenn die Datenschutzsphäre von betroffenen Personen bei der Verarbeitung derer personenbezogenen Daten einem hohen Risiko ausgesetzt ist (sog. Datenschutz-Folgenabschätzung). Gleichzeitig erfolgt auch ein Umbau der Rechtsschutzbehörden sowie die Festlegung erheblicher Bußgelder bei Datenschutzverletzungen, die massiv über den Rahmen des ur-sprünglich geltenden DSG 2000 hinausgehen.

Um der geschätzten Leserin und dem geschätzten Leser einen Einstieg und Überblick über das neue Datenschutzregime zu geben, wurde dieses Buch erstellt, freilich nicht ohne auf bestimmte Detailbetrachtungen verzichten zu wollen.

Wir hoffen, dass uns Autoren der Spagat gelungen ist, zum einen den Blick auf das Wesentliche zu lenken, zum anderen aber der Leserin und dem Leser auch die eine oder andere unabdingbare detaillierte Information übersichtlich aufzubereiten.

Wir möchten uns besonders beim Verlag Facultas für die umfassende Unter-stützung bei der Erstellung dieses Werkes bedanken. Hier möchten wir vor allem Herrn Peter Wittmann sowie dem zuständigen Lektorat unseren Dank ausspre-chen.

Weiters dürfen wir Herrn Mag. Stefan Frank-Woda von der Rechtsanwalts-kanzlei Binder Grösswang für seine kompetente Unterstützung bei der Werkser-stellung danken.  

Angelika Pallwein-Prettner Christian Marzi

7Vorwort

Der Verlag und die Autorin haben die traurige Pflicht, Sie vom unerwarteten Ableben Herrn Mag. Christian Marzis unmittelbar vor Drucklegung des vorlie-genden Buches zu informieren. Er hat sich mit großem Elan und Freude diesem Werk zugewandt, das er bis zur Druckfreigabe Anfang Dezember 2017 begleiten konnte.

Es möge allen Lesern dienen und ein Andenken an Christian Marzi sein.

Angelika Pallwein-PrettnerDer Verlag

9

Inhaltsverzeichnis

Vorwort zur 2. Auflage 5

Vorwort zur 1. Auflage 6

Abkürzungsverzeichnis 15

1 Gegenstand des Datenschutzrechts 17

1.1 Sinn und Zweck .............................................................................................. 171.2 Entwicklung ..................................................................................................... 18

1.2.1 Allgemeine Überlegungen ............................................................... 181.2.2 Die Entwicklung des Datenschutzrechts in Österreich ............. 19

1.3 Das Grundrecht auf Datenschutz ............................................................... 221.3.1 Zum Grundrechtsbegriff im Allgemeinen ................................... 221.3.2 Die Drittwirkung von Grundrechten ............................................ 251.3.3 Entwicklungen eines Grundrechts auf Datenschutz in der

österreichischen Rechtsordnung .................................................... 261.3.4 Exkurs: Der Stufenbau der Rechtsordnung.................................. 291.3.5 Kriterien einer grundrechtskonformen Datenverarbeitung ..... 32

1.4 Verwandte Rechtsgebiete zum Datenschutz ............................................ 321.4.1 Fernmeldegeheimnis und Datenschutz im Telekommuni-

kationsbereich .................................................................................... 321.4.2 Persönlichkeitsrechte ....................................................................... 34

2 Systematik der DS-GVO 37

2.1 Aufbau und Interpretation ........................................................................... 372.2 Allgemeine Grundsätze der Datenverarbeitung ...................................... 39

2.2.1 Vorbemerkungen ............................................................................... 392.2.2 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,

Transparenz ........................................................................................ 392.2.3 Zweckbindung .................................................................................... 412.2.4 Datenminimierung, Speicherbegrenzung .................................... 442.2.5 Integrität und Vertraulichkeit ......................................................... 452.2.6 Rechenschaftspflicht ......................................................................... 452.2.7 Technikgestaltung (Privacy by Design) ......................................... 462.2.8 Datenschutzfreundliche Voreinstellung (Privacy by Default) .. 47

2.3 Öffnungsklauseln ............................................................................................ 48

Inhaltsverzeichnis10

3 Wesentliche Begriffsbestimmungen in der DS-GVO 49

3.1 Allgemeines ..................................................................................................... 493.2 Personenbezogene Daten ............................................................................. 49

3.2.1 Definition ............................................................................................ 493.2.2 Besondere Kategorien personenbezogener Daten ..................... 513.2.3 Personenbezogene Daten über strafrechtliche

Verurteilungen und Straftaten ........................................................ 523.2.4 Pseudonymisierung und Anonymisierung .................................. 533.2.5 Profiling ............................................................................................... 543.2.6 Abschließendes zu „personenbezogenen Daten“ ........................ 55

3.3 Verarbeitung .................................................................................................... 553.4 Betroffene Person ........................................................................................... 553.5 Verantwortlicher............................................................................................. 563.6 Auftragsverarbeiter ........................................................................................ 58

4 Anwendungsbereiche 61

4.1 Sachlicher Anwendungsbereich .................................................................. 614.1.1 Einführung .......................................................................................... 614.1.2 Ganz oder teilweise automatisierte Verarbeitung ...................... 614.1.3 Nichtautomatisierte Verarbeitung ................................................. 614.1.4 Ausschließungsgründe ..................................................................... 62

4.2 Räumlicher Anwendungsbereich ................................................................ 654.2.1 Einführung .......................................................................................... 654.2.2 Verarbeitung durch Niederlassungen innerhalb der Union ..... 674.2.3 Verarbeitung durch Niederlassungen außerhalb der Union .... 684.2.4 Verarbeitung durch diplomatische oder konsularische

Vertretungen ...................................................................................... 69

5 Rechtmäßigkeit der Verarbeitung 71

5.1 Vorbemerkungen ............................................................................................ 715.2 Verbotsprinzip ................................................................................................ 715.3 Erlaubnistatbestände ..................................................................................... 715.4 Die einzelnen Rechtmäßigkeitstatbestände .............................................. 73

5.4.1 Vorbemerkung ................................................................................... 735.4.2 Einwilligung (lit a) ............................................................................. 735.4.3 Exkurs: Cookies ................................................................................. 785.4.4 Vertragserfüllung (lit b) .................................................................... 79

Inhaltsverzeichnis 11

5.4.5 Erfüllung einer rechtlichen Verpflichtung (lit c) ......................... 795.4.6 Schutz lebenswichtiger Interessen (lit d) ...................................... 805.4.7 Öffentliches Interesse oder Ausübung öffentlicher Gewalt (

lit e)....................................................................................................... 805.4.8 Wahrung berechtigter Interessen (lit f ) ........................................ 80

5.5 Strafrechtlich relevante Daten .................................................................... 815.6 Besondere Kategorien personenbezogener Daten .................................. 825.7 Prüfschema für die Zulässigkeit einer Datenanwendung ...................... 84

6 Videoüberwachung/Bildverarbeitung 85

6.1 Allgemeines ..................................................................................................... 856.2 Begriff der Bildaufnahme .............................................................................. 856.3 Zulässigkeit einer Bildaufnahme ................................................................. 866.4 Sicherheitsmaßnahmen und Kennzeichnung........................................... 86

7 Beschäftigtendatenschutz 89

7.1 Vorbemerkungen ............................................................................................ 897.2 Gesetzliche Grundlagen ................................................................................ 89

7.2.1 Europarechtliche Vorgabe ............................................................... 897.2.2 Umsetzung in Österreich ................................................................. 90

7.3 Rechtmäßigkeit der Verarbeitung im Beschäftigungskontext .............. 927.3.1 Allgemeines ........................................................................................ 927.3.2 Vertragserfüllung (Art 6 Abs 1 lit b DS-GVO) und

Erfüllung einer rechtlichen Verpflichtung (Art 6 Abs 1 lit c DS-GVO) ........................................................... 92

7.3.3 Wahrung berechtigter Interessen (Art 6 Abs 1 lit f DS-GVO) ............................................................. 93

7.3.4 Betriebsvereinbarungen .................................................................. 937.3.5 Einwilligung ....................................................................................... 967.3.6 Verarbeitung besonderer Kategorien personenbezogener Daten im

Beschäftigungskontext (Art 9 Abs 2 lit b DS-GVO) ................. 977.4 Datenverarbeitung durch den Betriebsrat ................................................. 997.5 Datenminimierung und Speicherung im Beschäftigungskontext ........ 1017.6 Datengeheimnis .............................................................................................. 1027.7 Exkurs: Bewerber ........................................................................................... 102

Inhaltsverzeichnis12

8 Transparenz und Rechte der betroffenen Partei 105

8.1 Allgemeines ..................................................................................................... 1058.2 Form und Fristen ............................................................................................ 1058.3 Informationspflicht ........................................................................................ 106

8.3.1 Zweck und Inhalt ............................................................................... 1068.3.2 Direkterhebung von Daten .............................................................. 1068.3.3 Datenerhebung nicht bei der betroffenen Person ....................... 1098.3.4 Information durch standardisierte Bildsymbole ......................... 110

8.4 Recht auf Auskunft......................................................................................... 1108.4.1 Form des Auskunftsbegehrens, Identitätsnachweis .................. 1108.4.2 Inhalt und Form der Auskunftserteilung .................................... 1118.4.3 Frist ...................................................................................................... 1118.4.4 Mitwirkungspflicht .......................................................................... 1128.4.5 Unentgeltlichkeit ............................................................................... 1128.4.6 Beschränkungen des Auskunftsrechts .......................................... 112

8.5 Berichtigung und Löschung ........................................................................ 1138.5.1 Berichtigungsrecht ............................................................................ 1138.5.2 Löschungsrecht („Recht auf Vergessenwerden“) ........................ 1138.5.3 Folgen der Löschungspflicht ........................................................... 114

8.6 Exkurs: Rechtssache „Google Spain und Google“ .................................. 1158.7 Recht auf Einschränkung der Verarbeitung .............................................. 1168.8 Recht auf Datenportabilität .......................................................................... 1178.9 Widerspruchsrecht ........................................................................................ 1188.10 Automatisierte Entscheidungen – Profiling ............................................ 119

9 Selbstregulierung und Zertifizierung 123

9.1 Einleitung ......................................................................................................... 1239.2 Selbstregulierung ............................................................................................ 1249.3 Zertifizierungen .............................................................................................. 127

10 Maßnahmen und Vorgaben zur Publizität und zur Datensicherheit 129

10.1 Einleitung ......................................................................................................... 12910.2 Verzeichnis der Verarbeitungstätigkeiten ................................................. 13010.3 Datenschutz-Folgenabschätzung ................................................................ 132

10.3.1 Kriterien der Durchführung der Datenschutz-Folgen- abschätzung ........................................................................................ 132

10.3.2 Verfahrensablauf der Datenschutz-Folgenabschätzung ............ 133

Inhaltsverzeichnis 13

10.4 Technische und organisatorische Maßnahmen ....................................... 13410.5 Meldepflichten bei Datenschutzverletzungen .......................................... 13510.6 Datenschutzbeauftragter .............................................................................. 136

11 Datenverarbeitung im Auftrag 139

11.1 Definition und Grundlage der Auftragsverarbeitung ............................. 14011.2 Beauftragung eines Auftragsverarbeiters .................................................. 14111.3 Beauftragung eines Sub-Auftragsverarbeiters .......................................... 14211.4 Auftragsverarbeitungsvertrag ...................................................................... 14211.5 Pflichten des Auftragsverarbeiters .............................................................. 14411.6 Verzeichnis von Verarbeitungstätigkeiten ................................................ 14511.7 Haftung ............................................................................................................. 14611.8 Weisungsgebundenheit ................................................................................. 147

12 Übermittlung von Daten an Drittländer 149

12.1 Allgemeine Grundsätze der Datenübermittlung ..................................... 14912.2 Gleichgestellte Drittländer mittels Angemessenheits beschluss ........... 150

12.2.1 Datenübermittlung vorbehaltlich geeigneter Garantien ........... 15212.2.2 Verbindliche unternehmensinterne Datenschutzregelungen .. 153

12.3 Ausnahmen gemäß Art 49 DS-GVO .......................................................... 15512.4 Ausnahmeklausel ............................................................................................ 15712.5 Genehmigungsverfahren .............................................................................. 157

13 Aufsichtsbehörden und europäische Zusammenarbeit 159

13.1 Datenschutzbehörde ..................................................................................... 15913.1.1 Allgemeines ........................................................................................ 15913.1.2 Organisation ...................................................................................... 16013.1.3 Aufgaben ............................................................................................ 16113.1.4 Befugnisse ........................................................................................... 162

13.2 Datenschutzrat ................................................................................................ 16513.2.1 Aufgaben ............................................................................................. 16513.2.2 Zusammensetzung ............................................................................ 16513.2.3 Verfahrensweise ................................................................................. 166

13.3 Europäischer Datenschutzausschuss .......................................................... 16613.3.1 Allgemeines ........................................................................................ 16613.3.2 Zusammensetzung ............................................................................ 16713.3.3 Verfahrensweise ................................................................................. 167

Inhaltsverzeichnis14

13.3.4 Organe ................................................................................................. 16713.3.5 Aufgaben des Datenschutzausschusses ........................................ 168

13.4 Exkurs: Europäischer Datenschutzbeauftragter ...................................... 16913.5 Zuständigkeit, Zusammenarbeit und Kohärenzverfahren .................... 170

13.5.1 Allgemeine Zuständigkeit (Art 55) ............................................... 17013.5.2 Zuständigkeit bei grenzüberschreitender Verarbeitung

(Art 56) ................................................................................................ 17113.5.3 Prüfungsschema Zuständigkeit ...................................................... 17313.5.4 Zusammenarbeit der Aufsichtsbehörden ..................................... 17313.5.5 Kohärenzverfahren ........................................................................... 177

13.6 Zusammenarbeit von Verantwortlichem und Auftragsverarbeiter mit Aufsichtsbehörden .................................................................................. 180

14 Rechtsbehelfe, Haftung und Sanktionen 181

14.1 Vorbemerkungen ............................................................................................ 18114.2 Rechtsbehelfe .................................................................................................. 181

14.2.1 Beschwerde ......................................................................................... 18114.2.2 Gerichtlicher Rechtsbehelf gegen Aufsichtsbehörden ............... 18314.2.3 Gerichtlicher Rechtsbehelf gegen Verantwortliche ................... 18414.2.4 Vertretung von betroffenen Personen ........................................... 18614.2.5 Aussetzung des Verfahrens ............................................................. 186

14.3 Haftung und Recht auf Schadenersatz ....................................................... 18714.4 Geldbußen ....................................................................................................... 188

14.4.1 Vorbemerkungen ............................................................................... 18814.4.2 Höhe der Geldbußen ........................................................................ 18914.4.3 Strafbemessung.................................................................................. 19214.4.4 Andere Sanktionen ........................................................................... 19214.4.5 Haftung für Geldbußen .................................................................... 194

Weiterführende Literatur und sonstige Arbeitshilfen 197

Stichwortverzeichnis 199

15

Abkürzungsverzeichnis

ABGB Allgemeines Bürgerliches GesetzbuchAEUV Vertrag über die Arbeitsweise der Europäischen UnionAngG AngestelltengesetzArbVG ArbeitsverfassungsgesetzASchG ArbeitnehmerInnenschutzgesetzAZG ArbeitszeitgesetzBAO BundesabgabenordnungBEinstG BehinderteneinstellungsgesetzBMVRDJ Bundesministerium für Verfassung, Reformen, Deregulierung

und JustizB-VG Bundes-VerfassungsgesetzBVwG BundesverwaltungsgerichtDSAG 2018 Datenschutz-Anpassungsgesetz 2018DSB DatenschutzbehördeDSFA-AV Datenschutz-FolgenabschätzungDSG Datenschutzgesetz (Novellierung des DSG 2000 durch das DSAG

2018)DSG 1978 Datenschutzgesetz 1978DSG 2000 Datenschutzgesetz 2000DS-GVO Datenschutz-GrundverordnungDSK DatenschutzkommissionDS-RL Datenschutz-Richtlinie (1995)EFZG EntgeltfortzahlungsgesetzEMRK Europäische MenschrechtskonventionErwGr ErwägungsgrundEuGH Europäischer GerichtshofEUV Vertrag über die Europäische UnionGRC Charta der Grundrechte der Europäischen UnionKYC Know Your CostumerLVwG LandesverwaltungsgerichtMedienG MediengesetzOGH Oberster Gerichtshof StGB StrafgesetzbuchStGG 1867 Staatsgrundgesetz 1867StPO StrafprozessordnungTKG 2003 Telekommunikationsgesetz 2003UGB Unternehmensgesetzbuch

Abkürzungsverzeichnis16

UrhG UrheberrechtsgesetzUrlG UrlaubsgesetzVfGH VerfassungsgerichtshofVwGH Verwaltungsgerichtshof

17

1 Gegenstand des Datenschutzrechts

1.1 Sinn und Zweck

Kommt man zum ersten Mal mit dem Begriff des Datenschutzes oder auch des Datenschutzrechts in Berührung, so würde man – durchaus nicht unberechtigt – annehmen, dass es sich hierbei um Materien handelt, die den Schutz von Da-ten betreffen. Tatsächlich ist der Schutz von Daten nur eine Voraussetzung, um effektiven Datenschutz gewährleisten zu können (nämlich durch technische und organisatorische Maßnahmen im Bereich der Informations- und Datensicher-heit). Vielmehr ist das Schutzobjekt (eigentlich: Schutzsubjekt) des Datenschutz-rechts die von einer Verarbeitung ihrer Daten betroffene Person.

Das Datenschutzrecht verfolgt zwei Primärziele, um die ihm innewohnende Schutzfunktion zu gewährleisten: Es beinhaltet zum einen Regeln und Normen, die den Schutz von personenbezogenen Daten vor unerwünschtem Zugriff zum Inhalt haben (sog. Datensicherheit). Zum anderen schützt es die von der Da-tenverarbeitung jeweils betroffene Person vor etwaigen Beeinträchtigungen ihrer Persönlichkeitsrechte und ihrer Privatsphäre.

Nicht sämtliche Daten unterliegen dem Regime des Datenschutzrechts, sondern nur sog. personenbezogene Daten. Es handelt sich hierbei um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (zB Name, Adresse, Geburtsdatum, Einkommen und Vermögensverhältnisse, Beruf, Ausbildung, Gesundheitszustand etc). Das Datenschutzgesetz 2000 (DSG 2000) hat auch die Daten von juristischen Personen (Kapitalgesellschaften, Vereine etc) geschützt, die Datenschutz-Grundverordnung (DS-GVO) und die Abschnitte 2 ff des neuen DSG hingegen gelten nur für die Daten natürlicher Personen. Das in unveränderter Form in § 1 DSG verankerte Grundrecht auf Datenschutz schützt allerdings auch weiterhin juristische Personen.

Der Sinn und Zweck des Datenschutzrechts besteht somit darin, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinen Persönlichkeitsrechten beeinträchtigt wird.

Hauptsächlich geht es diesbezüglich um den Anspruch des Einzelnen auf Ge-heimhaltung seine Person betreffender Daten. Dabei spielt es auch grundsätzlich keine Rolle, ob die Daten automationsunterstützt oder manuell (Handakte, Büro- ordner) verarbeitet werden. Allerdings ist der Geheimhaltungsanspruch dann nicht mehr gegeben, wenn die personenbezogenen Daten ohnehin allgemein

Gegenstand des Datenschutzrechts18

zugänglich sind (zB Daten in öffentlichen Büchern wie Telefonbuch) oder derart anonymisiert wurden, dass sie nicht mehr auf die betroffene Person rückgeführt werden können.

Das Datenschutzrecht ist eng verwandt mit dem Recht auf Achtung der Privat-sphäre (siehe hierzu Art  8 EMRK – Europäische Menschenrechtskonvention), allerdings ist das Datenschutzrecht nicht nur auf den Schutz der Privatsphäre be-schränkt, sondern umfasst alle sozialen und gesellschaftlichen Lebensbereiche. Man spricht in diesem Zusammenhang auch vom Recht auf informationelle Selbstbestimmung, das durch die Judikatur des deutschen Bundesverfas-sungsgerichtshofs entwickelt wurde. In erster Linie soll und wird derjenige, dessen Daten betroffen sind, zum „Herr der seine Person betreffenden Daten“ gekürt – er entscheidet primär, wem, auf welchem Weg und zu welchem Zweck er seine (personenbezogenen) Daten offenlegt. Einschränkungen dieses Rechts auf informationelle Selbstbestimmung sind nur dann zulässig, wenn sie im überwie-genden Allgemeininteresse oder unter sonstigen besonderen Regelungsumstän-den (zB arbeitsrechtliche Verpflichtung zur Zeitaufzeichnung von Mitarbeitern) und unter Beachtung des Prinzips der Verhältnismäßigkeit erfolgen. Sie bedürfen jedenfalls stets einer entsprechenden gesetzlichen Grundlage.

Diese Verhältnismäßigkeit wurde zB durch den Eingriff der sog. „Vorratsdaten-speicherung“ in die Privatsphäre, sowohl nach Ansicht des EuGH als auch nach Ansicht des VfGH, nicht genügend berücksichtigt. Der mit der Vorratsdaten-speicherung aufgestellte Generalverdacht gegenüber sämtlichen Bürgern und die daraus resultierende Speicherung sämtlicher Verbindungsdaten, wie Telefonnum-mern, Internetadressen, E-Mail-Adressen etc, entsprach nicht dem Grundsatz der Verhältnismäßigkeit und machte die Vorratsdatenspeicherung in der vorgesehe-nen Form letztendlich rechtswidrig.

1.2 Entwicklung

1.2.1 Allgemeine Überlegungen

Der enorme Anstieg der Bedeutung des Datenschutzrechts lässt sich vor allem auf zwei Hauptfaktoren zurückführen: Zum einen die rasante technische Ent-wicklung, die immer größere Datenvolumina in immer kürzerer Zeit mit im-mer leistungsstärkeren Rechnern verarbeiten kann (siehe zB Big Data, Cloud Computing, Internet der Dinge, Web 2.0 usw). Zum anderen liegt es aber auch an dem Umstand, dass staatliche Organe (vor allem Sicherheitsbehörden) seit den Terroranschlägen am 11. September 2001 eine Ausdehnung ihrer Kontroll- und Überwachungsmaßnahmen umzusetzen versuchen.

Entwicklung 19

So besagt zB das Moor’sche Gesetz, dass sich die Komplexität integrierter Schaltkreise regelmäßig (ca alle 12–24 Monate) verdoppelt. Im Zeitraum zwi-schen 1960 und 2000 ist hinsichtlich der Rechengeschwindigkeit und Speicher-kapazität ein Faktor zwischen 106 und 109 feststellbar, und dies gleichzeitig bei einem enormen Preisverfall der Datenspeicher.

Obwohl die USA für viele als ein „Niemandsland“ des Datenschutzes gelten (was wohl insbesondere mit den Gepflogenheiten von marktbeherrschenden Unternehmen im Bereich Social Media und Anwendungssoftware zu tun hat), war es dennoch der US-Staat Kalifornien, der bereits im Jahre 1968 ein bereichs-spezifisches Gesetz in Kraft setzte, welches das Einsichtsrecht in öffentliche Personenregister beschränkte. Auf US-Bundesebene folgten in den 70er-Jahren weitere datenschutzrechtlich relevante Gesetze: Es waren dies etwa der Fair Cre-dit  Reporting  Act  1970 oder der Privacy  Act  1974. Der Behauptung, die USA sei ein datenschutzrechtliches „Niemandsland“, ist daher zu widersprechen: The Right of Privacy bzw The Freedom of Information sind in den USA anerkannte Grundrechte und stehen in Verfassungsrang.

1.2.2 Die Entwicklung des Datenschutzrechts in Österreich

Wie in den USA wurden auch in ganz Europa die 70er-Jahre zu einem Wende-punkt in Sachen Datenschutz. Anders als heutzutage sah die technische Rea-lität und ihre Zukunftsprognose so aus, dass man den Bürger vor den immer mächtiger werdenden zentralen Datenbanken schützen wollte, die an Umfang stetig zunahmen, aber bloß unter der Kontrolle einiger weniger Datenverarbeiter oder unter Aufsicht staatlicher Organe selbst standen. Eine Rechenschaftspflicht gegenüber dem betroffenen Bürger war ebenso wenig vorgesehen wie die Ein-räumung von Kontrollrechten, die der Bürger hätte wahrnehmen können. Aus diesem Gesichtspunkt heraus entstanden das Hessische Datenschutzgesetz 1970, das schwedische Datenschutzgesetz 1973 und das deutsche Bundesdatenschutz-gesetz  1977. Diese datenschutzrechtlichen Bestimmungen tendierten im We-sentlichen zu einer Art Abwehrrecht gegenüber der staatlichen Verwaltung und orientierten sich daher an einem sehr klassischen Bild des Grundrechtsschutzes.

Grundrechte, wie sie zB im Staatsgrundgesetz vom 21. Dezember 1867 (StGG 1867) festgelegt sind, dienten vor allem zur Abwehr gegen den ursprünglich ab-solutistisch herrschenden Staat und seine Verwaltung. Eine Anwendung dieser Grundrechte auf „horizontaler Ebene“, zwischen den Bürgern untereinander, war ihnen noch fremd. Heute werden Grundrechte auch zwischen Privatleuten zu-mindest mittelbar angewendet und sind zB für die Auslegung von vertraglichen Vereinbarungen sowie für die Feststellung einer ggf. vorliegenden Sittenwidrig-keit einer Vereinbarung von Bedeutung. Das DSG enthält – als eines der weni-

Gegenstand des Datenschutzrechts20

gen Grundrechte – ein unmittelbar zwischen Privatpersonen anzuwendendes Grundrecht auf Datenschutz, welches in Verfassungsrang steht (siehe § 1 DSG).

Die Prognosen hin zum Zentralismus der Datenverarbeitung erwiesen sich letzt-endlich aber als falsch, da sich durch den enormen Anstieg der technischen Leis-tungsfähigkeit und den damit verbundenen Preisverfall bald schon viele „Player“ auf dem Markt positionierten, die ebenfalls umfassende Datenverarbeitungen durchführten. Aus diesem Grund mussten letztlich auch die Datenschutzgesetze einer Reform unterzogen werden und stellten nunmehr die von der Datenver-arbeitung betroffene Person und den Schutz deren Privatsphäre in den Mittel-punkt. Dieser Umstand wurde bereits vom österreichischen Datenschutzge-setz 1978 berücksichtigt.

Die Wende zu einem modernen Datenschutzrecht mit dem Ziel, die informati-onelle Selbstbestimmung jedes einzelnen Bürgers zu sichern, gelang letztendlich erst durch die europäische Datenschutzrichtlinie (Richtlinie 95/46/EG des Eu-ropäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natür-licher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Die notwendige Umsetzung der Datenschutzrichtlinie (DS-RL) führte in der Folge in Österreich zur Verabschiedung des DSG 2000. In diesem Bundesgesetz wurde ua der Datentransfer innerhalb und außerhalb der EU ge-regelt sowie die Rechte der betroffenen Person und die Anwendung des Daten-schutzes auch auf manuell geführte Daten ausgedehnt.Da Richtlinien durch nationale Rechtsakte in das jeweilige nationale Recht umzu-setzen sind und der jeweilige Gesetzgeber hierbei auch einen gewissen Spielraum hat, kam es durch unterschiedliche nationale Umsetzungen der Datenschutz-richtlinie rasch zu einer Zersplitterung des Datenschutzrechts innerhalb der EU.

EU-Richtlinien sind primär an die Mitgliedstaaten adressiert und nur bezüglich ihrer Zielsetzung verbindlich. Die einzelnen Mitgliedstaaten sind aber in der Aus-wahl der Form und der Mittel zur Erreichung dieser Ziele weitgehend frei. Richt-linien bedürfen somit einer innerstaatlichen Umsetzung (zumeist in Form eines nationalen Gesetzgebungsakts) – der Zeitraum für die Umsetzung wird in der Regel in der Richtlinie selbst festgelegt (siehe auch Art 288 Abs 3 AEUV). Anders als bei EU-Richtlinien sind EU-Verordnungen unmittelbar und direkt anwendbar. Es bedarf keiner innerstaatlichen Umsetzung der Norm.

Dieser Umstand erschwerte und beeinträchtigte den gemeinsamen Binnen-markt, insbesondere bei global in der EU tätigen Unternehmen, und dem damit verbundenen notwendigen grenzüberschreitenden Datenaustausch. Auch die unterschiedlichen Zuständigkeiten der jeweiligen Datenschutzbehörden trugen zu einer enormen Bürokratisierung bei, sodass bald schon der Ruf laut wurde, Großteile des Datenschutzrechts innerhalb der EU zu harmonisieren. Gelungen

Entwicklung 21

ist dies nach mehreren Anläufen und einer mühevollen Auseinandersetzung zwi-schen Europäischer Kommission, Rat und Europäischen Parlament mit der EU-Datenschutz-Grundverordnung (DS-GVO).

Am 4. Mai 2016 wurde die DS-GVO offiziell im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung trat am 24. Mai 2016 in Kraft. Nach einer zweijährigen Übergangsfrist ist die Verordnung seit dem 25. Mai 2018 in der gesamten Europäischen Union verbindlich und unmittelbar anwendbar.

Am 31. Juli 2017 wurde das „Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird“ (Datenschutz-Anpassungsgesetz  2018 (DSAG 2018)) im BGBl I Nr 120/2017 kundgemacht. Das DSAG 2018 trat mit 25. Mai 2018 (die DS-GVO findet ab diesem Tag Anwendung) in Kraft. Durch das DSAG 2018 werden einige der in der DS-GVO beinhalteten Öffnungsklauseln (siehe Kapitel 2.3.) durch den österreichischen Gesetzgeber ausgeführt.

Beachtenswert ist die legistische Methode, die der Gesetzgeber gewählt hat: Das DSAG 2018 wurde – anders als ursprünglich geplant – als Novelle des be-stehenden DSG 2000 erlassen. Dies war aus dem Grund notwendig, weil das ur-sprüngliche Vorhaben, ein komplett neues österreichisches Datenschutzgesetz zu erlassen, wegen der im DSG  2000 befindlichen Verfassungsbestimmungen (§§ 1–3, § 35 Abs 2, § 60 Abs 8, § 61 Abs 4) nur mittels qualifizierter Zweidrit-telmehrheit im Nationalrat hätte umgesetzt werden können. Man ging offenbar davon aus, dass dies im Vorwahlkampf zur Nationalratswahl nicht erreicht wer-den könne.

Aus diesem Grund entschied man sich, die Verfassungsbestimmungen im DSG 2000 so zu belassen, wie sie waren. Der Titel des DSG 2000 („Bundesge-setz über den Schutz personenbezogener Daten“) wurde in „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (Datenschutzgesetz – DSG) geändert.

Das DSAG  2018 hob sämtliche einfachgesetzlichen Bestimmungen des DSG  2000 auf. An die Stelle der Bestimmungen trat der Rechtstext aus dem DSAG 2018 und der DS-GVO. Damit bleibt der verfassungsrechtliche Grund-rechtsschutz (§§ 1–3), der ja – mangels qualifizierter Mehrheit – nicht angetastet werden konnte, aufrecht und gilt weiterhin auch für juristische Personen. Welche Probleme dies in der Praxis mit sich bringen wird, wird erst im Laufe der Zeit er-sichtlich sein. Weiters unterscheidet sich auch der im Verfassungsrang stehende § 3 (Räumlicher Anwendungsbereich) von den Bestimmungen in der DS-GVO. Diesbezüglich wird aber der sog. Anwendungsvorrang zur Anwendung kommen (siehe Kapitel 1.3.4).

Mit dem sog „Datenschutz-Deregulierungs-Gesetz  2018“ wurde ein neuerli-cher Anlauf zur längst überfälligen Kompetenzbereinigung und Adaptierung des Grundrechts auf Datenschutz unternommen. Wiederum kam aber die notwen-dige Mehrheit zur Änderung der Verfassungsbestimmungen im DSG – diesmal im

Gegenstand des Datenschutzrechts22

Plenum des Nationalrats – nicht zustande, obwohl der Verfassungsausschuss zu-vor mit Zweidrittelmehrheit den Antrag gestellt hatte, der Nationalrat wolle dem angeschlossenen Gesetzentwurf die verfassungsmäßige Zustimmung erteilen. Stattdessen wurden mittels Abänderungsantrag kurzfristig einige Bestimmungen des DSAG 2018, das ja noch gar nicht in Kraft getreten war, abermals geändert. Dies hat zur Folge, dass die einzelnen Bundesländer weiterhin Datenschutzrege-lungen für (manuelle) Dateisysteme in der Landesverwaltung benötigen und dass das Grundrecht auf Datenschutz nach wie vor auch für juristische Personen gilt.

Daneben wurde in BGBl I 23/2018, also eine Nummer vor dem Datenschutz-Deregulierungs-Gesetz 2018 in der Fassung des Abänderungsantrags, die Verfas-sungsbestimmung des § 35 Abs 5 DSG geändert. Inhaltlich enthält diese Novelle die verfassungsmäßige Grundlage für die Zuständigkeit der Datenschutzbehörde in Bezug auf den Bereich der Parlamentsverwaltung, der Verwaltungsangelegen-heiten des Rechnungshofes und der Volksanwaltschaft sowie der Justizverwal-tung beim Verwaltungsgerichtshof. Das Inkrafttreten dieser Bestimmung wurde in einem neuen Abs 3 des § 70 – ebenfalls in Verfassungsrang – normiert.

Davon wusste man offenbar bei der Formulierung der Inkrafttretensbestim-mungen des Datenschutz-Deregulierungs-Gesetzes  2018 in BGBl I 24/2018 nichts mehr. Durch dessen Ziffer 31 erhielten nämlich die Abs 2 bis 7 des § 60 die Absatzbezeichnungen „(1)“ bis „(6)“ und wurden nach der Paragraphenbe-zeichnung des § 70 eingereiht. Durch die Ziffer 32 sind Paragraphenüberschrift und Paragraphenbezeichnung des § 60 entfallen. Als Kuriosum dieser Gesetzes-technik ist damit ein § 70 DSG mit zwei Absätzen 3 entstanden, einem einfach-gesetzlichen und einem im Verfassungsrang! Zudem verfügt das neue DSG nun mit § 61 (wegen der Verfassungsbestimmung des bisherigen Abs 4) und mit § 69 über zwei Übergangsbestimmungen.

Für die Terminologie in diesem Buch wird festgehalten, dass bei Bezugnahme auf das DSG 2000 die alte Rechtslage bis 24. Mai 2018 beschrieben wird und die Abkürzung DSG für das österreichische Datenschutzgesetz in der Fassung steht, die am 25. Mai 2018 in Kraft getreten ist.

1.3 Das Grundrecht auf Datenschutz

1.3.1 Zum Grundrechtsbegriff im Allgemeinen

Bei Grundrechten handelt es sich um durchsetzbare fundamentale Rechtsposi-tionen des einzelnen Individuums (Bürger) zur Abwehr von Eingriffen der staat-lichen Hoheitsgewalt oder aber auch anderer privater Individuen, die mit einer

Das Grundrecht auf Datenschutz 23

bestimmten Bestandshaftigkeit (man spricht in diesem Zusammenhang auch von „Unverbrüchlichkeit“) ausgestattet sind und sich deshalb zumeist im Verfas-sungsrang befinden.

Die wichtigsten sog. Grundrechtskataloge der österreichischen Rechtsord-nung sind das StGG 1867, die Europäische Menschenrechtskonvention (EMRK) und – als jüngste Ergänzung – die Charta der Grundrechte der Europäischen Union (Europäische Grundrechtecharta – GRC).

Oft sind Grundrechte allgemein formuliert und haben den Charakter einer programmatischen Ankündigung. Dies macht es notwendig, sich bei der Aus-legung von Grundrechten intensiv mit der jeweiligen Judikatur der zuständigen Gerichte zu befassen.

Siehe zB den Art 5 StGG 1867: Das Eigenthum ist unverletzlich. Eine Enteignung gegen den Willen des Eigenthümers kann nur in den Fällen und in der Art eintreten, welche das Gesetz bestimmt.Was soll der Stehsatz, das Eigentum sei unverletzlich, tatsächlich bedeuten, bzw wie kann ein Bürger dieses Recht gegenüber jemandem anderen durchsetzen? Erst ein Blick in die Rechtsprechung verrät, dass der Begriff des Eigentums weit verstanden wird, auch jedes vermögenswerte Privatrecht mitumfasst, ja sogar die gesamte Privatautonomie zum Abschluss privatrechtlicher Verträge schützt (siehe zB VfSlg 71, 1305, 3508, 12.227, 13.164).

Um zu vermeiden, dass im allgemeinen, tagesaktuellen, politischen Willenspro-zess Grundrechte aufgeweicht oder gar eliminiert werden können, ist es not-wendig, dem einfachen Gesetzgeber in diesem Bereich Schranken aufzuerlegen. Dies geschieht in der Weise, dass Grundrechte für gewöhnlich als höherrangige Rechtsnorm institutionalisiert werden, dh zumeist im Rang eines Verfassungs-gesetzes stehen. Für die Abänderung eines derartigen Verfassungsrechts ist im Gesetzgebungsorgan eine qualifiziertere Mehrheit notwendig, als dies bei einfa-chen Gesetzen der Fall ist (siehe Art 44 B-VG).

Artikel 44. (1) Verfassungsgesetze oder in einfachen Gesetzen enthaltene Verfas-sungsbestimmungen können vom Nationalrat nur in Anwesenheit von mindes-tens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der ab-gegebenen Stimmen beschlossen werden; sie sind als solche („Verfassungsgesetz“, „Verfassungsbestimmung“) ausdrücklich zu bezeichnen. (…)

Schließlich müssen die Grundrechte, um einen wirksamen Rechtsschutz für den einzelnen Bürger zu entfalten, auch effektiv und wirksam durchgesetzt wer-den können. Hierbei ist vor allem die Durchsetzbarkeit vor gerichtlichen oder gerichtsähnlichen Institutionen oder Tribunalen von Bedeutung. In Österreich sind das primär der Verfassungsgerichtshof (VfGH), der Verwaltungsgerichtshof

Gegenstand des Datenschutzrechts24

(VwGH), die Verwaltungsgerichte (VwG: das Bundesverwaltungsgericht (BVwG) und die Verwaltungsgerichte der Länder (LVwG, vormals Unabhängige Verwal-tungssenate)) sowie der Oberste Gerichtshof (OGH).

Gerichtsbehörden unterscheiden sich von Verwaltungsbehörden dadurch, dass ihre Entscheidungsorgane mit besonderen Rechten ausgestattet sind, die ihre Unparteilichkeit und Unabhängigkeit garantieren. So sind Richter zB nicht weisungsgebunden und können nicht ohne Weiteres von ihrem Amt abgesetzt oder an eine andere Position versetzt werden.

Wichtig für das Verständnis von Grundrechten ist auch der Umstand, dass diese nicht schrankenlos gewährt werden. Zum einen sind sie bereits durch den Wort-laut selbst und möglicherweise durch ihre systematische Einordnung im Gesetz nur innerhalb eines definierten Anwendungsbereichs relevant. Zum anderen können Grundrechte unterschiedlicher Personen miteinander kollidieren, wo-bei sich dann die Frage der Abwägung stellt. Anders ausgedrückt: „Eine Freiheit kann nur so weit reichen, als sie nicht die Freiheit eines anderen beeinträchtigt.“

Eingriffe in Grundrechte sind also unter bestimmten Voraussetzungen zu-lässig und auch notwendig. Grundsätzlich kann in diesem Zusammenhang fest-gehalten werden, dass Eingriffe in ein Grundrecht dann zulässig sind, wenn sie

y durch ein allgemeines Gesetz festgeschrieben werden (wobei der Wesensgehalt eines Grundrechts diesbezüglich nicht beeinträchtigt werden darf),

y zum Schutz eines anderen Rechtsgutes erfolgen y und verhältnismäßig sind.

Die Eingriffsmöglichkeit hängt maßgeblich davon ab, ob das Grundrecht selbst mit einem sog. Gesetzesvorbehalt ausgestattet ist. Hier kann wieder der Art 5 StGG 1867 als Beispiel herangezogen werden. Dort heißt es im zweiten Satz: „Eine Enteignung gegen den Willen des Eigenthümers kann nur in den Fäl-len und in der Art eintreten, welche das Gesetz bestimmt.“ Dieses Grundrecht ist demnach hinsichtlich Fällen von Enteignungen mit einem sog. Gesetzesvorbe-halt ausgestattet, dh der einfache Gesetzgeber kann durch Verabschiedung eines entsprechenden Gesetzes in das Grundrecht nach Art 5 StGG 1867 eingreifen. Wenn dieser Eingriff aber schrankenlos möglich wäre, würde sich die Frage nach der Sinnhaftigkeit von Grundrechten im Verfassungsrang stellen. Deshalb hat der Gesetzgeber auch bei Eingriffen in Grundrechte den sog. Grundsatz der Ver-hältnismäßigkeit zu beachten, widrigenfalls wäre der Eingriff rechtswidrig und könnte durch Erkenntnis des VfGH aufgehoben werden.

Der Verhältnismäßigkeitsgrundsatz verlangt kumulativ, dass y der vom Staat verfolgte Eingriffszweck legitim ist (im öffentlichen Interesse

liegt), y das vom Staat hierzu eingesetzte Mittel geeignet – also tauglich – ist,

Das Grundrecht auf Datenschutz 25

y der Einsatz des Mittels zur Erreichung des Eingriffszwecks notwendig bzw er-forderlich ist und

y insgesamt ein angemessenes (dh adäquates) Verhältnis zwischen dem einge-setzten Mittel und der damit verbundenen Grundrechtsbeeinträchtigung ge-wahrt bleibt (Ziel-Mittel-Relation).

1.3.2 Die Drittwirkung von Grundrechten

Entsprechend der historischen Entwicklung von Grundrechten und den damit verbundenen Grundrechtskatalogen, die aus einem primär liberalen Gedanken-gut entstanden sind, wurden diese vor allem als Abwehrrechte des einzelnen Individuums gegen staatliches Handeln verstanden. Vereinfacht gesehen, ver-rechtlichen Grundrechte das Verhältnis von Bürgern (genauer: natürlichen und juristischen Personen) und Staat.

Seit Grundrechte in die Verfassungskodifikationen Eingang gefunden haben, stellt sich die Frage, ob diese auch zwischen den Bürgern – auf horizontaler Ebene – zur Anwendung gelangen (sog. Drittwirkung). Eine solche allgemein geltende (unmittelbare) Drittwirkung wird weitgehend mit dem Hinweis abgelehnt, dass hierdurch die Grundsätze der Privatautonomie (dh die Freiheit, mit einem frei wählbaren Vertragspartner einen Vertrag abzuschließen und dabei den Inhalt weitgehend selbst bestimmen und regeln zu dürfen) praktisch aufgehoben wer-den würden. Allerdings wird in der Rechtsprechung und der herrschenden Mei-nung eine sog. mittelbare Drittwirkung von Grundrechten angenommen, die im Rahmen der Auslegung von Rechts- und Vertragsnormen relevant wird. Da-bei sind im Sinne einer sog. verfassungskonformen Auslegung auch Grundrechte entsprechend zu berücksichtigen und im Falle einer groben Äquivalenzstörung eine solche Norm als nichtig anzusehen.

Die Methode der „verfassungskonformen Auslegung“ hat zum Inhalt, dass sonstige Rechtsnormen außerhalb des Verfassungsrechts (zum Stufenbau der Rechtsordnung siehe Kapitel 1.3.4) im Zweifel so zu interpretieren sind, dass sie mit dem Verfassungsrecht in Einklang zu bringen sind. Erst wenn der Rechtstext diese Übereinstimmung aufgrund einer eindeutigen Widersprüchlichkeit nicht mehr zulässt, steht die Anfechtung vor dem Verfassungsgerichtshof (VfGH) offen.

Zusammengefasst lassen sich daher nachstehende Ausnahmen festhalten, in de-nen Grundrechten Drittwirkung zukommt:

y Drittwirkung wird im Grundrecht selbst explizit normiert – unmittelbare Drittwirkung (siehe zB § 1 Abs 1 DSG);

y Grundrechte mit staatlichen Schutzpflichten (zB Recht auf Leben gem Art 2 EMRK);

Gegenstand des Datenschutzrechts26

y mittelbare Drittwirkung im Zivilrecht (verfassungskonforme Auslegung und Anwendung von §  879  ABGB betreffend sittenwidrige Vertragsvereinbarun-gen, die in der Folge mit Nichtigkeit und Unwirksamkeit bedroht sind).

1.3.3 Entwicklungen eines Grundrechts auf Datenschutz in der österreichischen Rechtsordnung

Es mutet nicht seltsam an, dass das StGG 1867, aber auch das Bundes-Verfas-sungsgesetz (B-VG) aus dem Jahre 1920 noch keine dezidierten Bestimmungen zum Thema Datenschutz beinhaltet. Trotz zahlreicher Novellierungen des B-VG bis zum Eintritt in das sog. „Datenverarbeitungszeitalter“ war es die EMRK, die erstmals in ihrem Art 8 ein umfassendes Grundrecht auf Achtung des Privat- und Familienlebens verbriefte.

Artikel 8 – Recht auf Achtung des Privat- und Familienlebens(1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, sei-ner Wohnung und seines Briefverkehrs.(2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Ver-teidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freihei-ten anderer notwendig ist.

Davor gab es diesen Rechtsschutz der Privatsphäre nur sehr punktuell. So war etwa die Unverletzlichkeit des Hausrechts seit 1862 geschützt, und es bestand ein Brief- und Fernmeldegeheimnis durch das StGG 1867. Durch das BVG BGBl 1964/59 wurde die EMRK und das 1. Zusatzprotokoll (ZP) in Österreich in den Verfassungsrang gehoben.

Besondere Schwierigkeiten im Zusammenhang mit Art 8 EMRK macht die De-finition des Begriffs „Privatleben“. Der Europäische Gerichtshof für Menschen-rechte (EGMR) legt ihn jedenfalls sehr weit aus und hält eine erschöpfende De-finition dieses Begriffs für schlichtweg unmöglich. Nach herrschender Meinung zählen jedenfalls dazu: die Verfügung über den eigenen Körper und seine körper-lichen und geistigen Befindlichkeiten, das private Tun und Treiben, die soziale Interaktion mit anderen Personen, die persönliche Identität, die Intimsphäre und die spezifischen Interessen und Neigungen. Vor allem kommt es beim Schutzbe-reich „Privatleben“ auf die, diesem Begriff innewohnende, „Nichtöffentlichkeit“ an. Der weite Begriff des Terminus „Privatleben“ verlangt auch, dass nicht nur der „innere Kreis“ einer Person von diesem Grundrecht geschützt wird, sondern

Das Grundrecht auf Datenschutz 27

auch die Beziehungen zu anderen Personen überhaupt sowie Tätigkeiten im be-ruflichen oder geschäftlichen Bereich. Weiters sind von Art 8 EMRK nicht nur natürliche Personen, sondern auch juristische Personen (zB GmbH, AG, private Vereine) geschützt.

Aus der oben angeführten Aufzählung des Schutzbereichs wird das Nahe-verhältnis zum Grundrecht auf Datenschutz deutlich erkennbar. Wie schon in Kapitel 1.1 angeführt, schützt das Grundrecht auf Datenschutz die von der Datenverarbeitung jeweils betroffene Person vor etwaigen Beeinträchtigungen ihrer Persönlichkeitsrechte und Privatsphäre. Ein dezidiertes Grundrecht auf Datenschutz im Verfassungsrang wurde in Österreich allerdings erst mit dem Datenschutzgesetz  1978 (DSG  1978) eingeführt. Mit der Umsetzung der Da-tenschutz-Richtlinie (DS-RL) wurde das DSG 1978 dann durch das DSG 2000 abgelöst, das in seinem § 1 ebenfalls eine verfassungsgesetzliche Grundrechts-bestimmung zum Datenschutz enthält. Auch nach Inkrafttreten des neuen DSG am 25. Mai 2018 räumt § 1 DSG unverändert sowohl natürlichen als auch juris-tischen Personen diesen Grundrechtsschutz ein. Es handelt sich dabei zudem um ein sog. „Jedermanns“-Recht, dh es gilt für inländische sowie ausländische natürliche und juristische Personen gleichermaßen.

Artikel 1 (Verfassungsbestimmung)Grundrecht auf Datenschutz§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ih-rer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswich-tigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Be-schränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegen-der berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfrei-heiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Der-artige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhal-tungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkun-gen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur auto-mationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne