Datenschutz Konkret

30
DATENSCHUTZ KONKRET Recht | Projekte | Lösungen Chefredaktion: Rainer Knyrim Der betriebliche Datenschutzbeauftragte Hans-Jürgen Pollirer Interview mit Andrea Jelinek Rainer Knyrim, Katharina Schmidt Praxisprojekt: Datenschutzschulung durch eLearning Markus Oman, Siegfried Gruber Was sind personenbezogene Daten? Viktoria Haidinger Datenschutz vor Gericht Ernst M. Weiss dako.manz.at P.b.b. Verlag Manz 1230 Wien, Gutheil Schoder Gasse 17 ISSN 2313-5409 CHECKLISTE Bring Your Own Device Hans-Jürgen Pollirer 1/2014

description

Ausgabe 1/2014

Transcript of Datenschutz Konkret

Page 1: Datenschutz Konkret

DATENSCHUTZKONKRETRecht | Projekte | LösungenChefredaktion: Rainer Knyrim

Der betrieblicheDatenschutzbeauftragte

Hans-Jürgen Pollirer

Interview mit Andrea JelinekRainer Knyrim, Katharina Schmidt

Praxisprojekt:Datenschutzschulung durch eLearning

Markus Oman, Siegfried Gruber

Was sind personenbezogene Daten?Viktoria Haidinger

Datenschutz vor GerichtErnst M. Weiss

dako.manz.at

P.b.b. Verlag Manz 1230 Wien, Gutheil Schoder Gasse 17

ISSN

2313

-540

9CHECKLISTE

Bring Your Own Device

Hans-Jürgen Pollirer

1/2014

Page 2: Datenschutz Konkret

DATENSCHUTZKONKRETRecht | Projekte | Lösungen

Chefredaktion

Redaktionsteam

redaktion

Rainer KnyrimDr. Rainer Knyrim ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte. Er hat in Wien, Paris und GrazJus studiert. Nach absolvierter Rechtsanwaltsausbildung begann er sich zunächst bei einer der größten öster-reichischen Anwaltskanzleien, dann ab 2003 bei Preslmayr Rechtsanwälte auf das Thema Datenschutz zufokussieren. 2003 erschien im Verlag Manz sein „Praxishandbuch Datenschutzrecht“ in 1. Auflage. Inzwischenhat er über 100 Vorträge gehalten, ist Autor dutzender Fachartikel und Mitherausgeber des Datenschutzkom-mentars von Dohr/Pollirer/Weiss/Knyrim. Neben seiner rechtsanwaltlichen Tätigkeit ist er Mitglied der TaskForce für Datenschutzrecht der ICC Paris, der International Association for Privacy Professionals, von PrivacyEurope und zertifizierter Experte für das europäische Datenschutz-Gütesiegel „EuroPriSe“.

„Diese erste österreichische Zeitschrift rein zum Datenschutzrecht soll ihren Platz mitten im Leben all jenerhaben, die sich mit diesem Thema beruflich bereits auseinandersetzen oder erst damit beginnen. Wir wollenunsere Leser in die Welt des Datenschutzes einführen und sie immer tiefer in diese eindringen lassen.

Mir ist besonders wichtig, dass wir – aus der Praxis kommend – für die Praxis schreiben. Und dies kurz, präg-nant und nutzbringend – möglichst ‚knackig‘. Ich hoffe außerdem, dass wir unseren Lesern mit dieser Zeit-schrift vermitteln können, wie wir Datenschutzrecht empfinden: als berufliche Aufgabe, aber auch als Beru-fung.“

Viktoria HaidingerMag. Viktoria Haidinger, LL. M., ist Juristin und stellvertretende Leiterin der Stabsabteilung Statistik der Wirt-schaftskammer Österreich. Sie ist Absolventin des Lehrgangs für Informationsrecht und Rechtsinformation(jetzt: Informations- und Medienrecht) der Universität Wien und war danach bei Preslmayr Rechtsanwältemit Schwerpunkt Datenschutzrecht und IT-Recht als Rechtsanwaltsanwärterin tätig. Diese Themen beschäfti-gen sie auch weiterhin beruflich, darunter sowohl das allgemeine Datenschutzrecht als auch die spezifisch sta-tistikrechtlichen Bestimmungen. Sie ist seitens der Wirtschaftskammer Österreich als fachkundige Laienrich-terin für den Bereich Datenschutz am Bundesverwaltungsgericht nominiert.

„Die häufig anzutreffende Abwehrhaltung gegenüber dem Datenschutzrecht erklärt sich für mich aus seinerKomplexität und der mangelnden Vermittlung im Rahmen des rechtswissenschaftlichen Studiums. Gleichzei-tig kommt man als Führungskraft, Betriebsrat oder Personalverantwortlicher ständig damit in Kontakt. Dieneue Zeitschrift hat den Anspruch, diese Komplexität aufzulösen und für diese Zielgruppe verständlich auf-zubereiten.“

Page 3: Datenschutz Konkret

Markus OmanMag. Ing. Markus Oman, CSE, hat an der Universität Linz Betriebswirtschaftslehre studiert und ist geschäfts-führender Gesellschafter der 2002 gegründeten, in Österreich und Deutschland ansässigen O.P.P. – Beratungs-gruppe. Zuvor war er als Prokurist und Geschäftsführer in internationalen „Big4“-Wirtschaftsprüfungs- undUnternehmensberatungsgesellschaften tätig. Er ist Autor von zahlreichen Fachartikeln und Autor bzw. Mit-autor mehrerer Bücher. Markus Oman ist allgemein beeideter und gerichtlich zertifizierter Sachverständigerfür das Fachgebiet der Unternehmensberatung.

„Die Zeitschrift ‚Datenschutz konkret‘ liefert nicht nur Lösungen zum Datenschutz, sondern auch zu den tech-nischen und betriebswirtschaftlichen Fragen!“

Hans-Jürgen PollirerProf. Kommerzialrat Hans-Jürgen Pollirer ist seit 1975 Eigentümer und Geschäftsführer der Firma Secur-DataBetriebsberatungs-GmbH. Er ist allgemein beeideter und gerichtlich zertifizierter Sachverständiger für Ar-beitsorganisation, Betriebsorganisation und EDV und war von 2002 – 2014 Obmann der Bundessparte „Infor-mation und Consulting“ der Wirtschaftskammer Österreich. Neben mehreren weiteren Tätigkeiten als Vor-standsmitglied verschiedener Organisationen ist er auch Mitautor von Dohr/Pollirer/Weiss/Knyrim, Kommen-tar zum Datenschutzgesetz.

„Wer die Kombination aus datenschutzrechtlichem bzw. sicherheitstechnischem Know-how einerseits und diepraxisbezogenen Antworten auf seine Fragen zu diesen für jede Organisation immer wichtiger werdendenFachgebieten andererseits sucht, findet in der Zeitschrift ‚Datenschutz konkret‘ einen verlässlichen Partner.“

Ernst M. WeissHofrat Dr. iur. Ernst M. Weiss wurde 1964 zum Richter ernannt und war fast drei Jahrzehnte Handelsrichter.Seit 1997, nach der Versetzung in den Ruhestand, ist er als Richter in der Schiedsgerichtsbarkeit tätig. Mit demDatenschutz befasst er sich seit 1978 (erste Artikel in EDV & Recht), 1988 erschien die Erstauflage des Daten-schutzgesetzes von Dohr/Pollirer/Weiss und 2002 der Kommentar zum DSG 2000 als Loseblattausgabe sowie2010 das Taschenbuch von Pollirer/Weiss/Knyrim, 2. Aufl. 2014. Dazwischen hielt Ernst M. Weiss immer wiederSeminare zum Datenschutzgesetz, aber auch fachspezifische Vorträge etwa für fachmännische Laienrichteraus dem Handelsstand sowie für Mediatoren.

„Wenn man fast vier Jahrzehnte mit dem Datenschutzrecht befasst ist, muss man das sich ständig erneuerndeFachwissen einfach weitergeben, zumal immer mehr Personen und Institutionen mit mehr oder wenigerschwierigen Problemen des österreichischen und internationalen Datenschutzrechts konfrontiert werden.“

Fotos: Fotostudio Huger

redaktion

Bestellkarte

K U N D E N N U M M E R

F I R M A

N A M E

S T R A S S E ∙ P L Z ∙ O R T

E - M A I L

T E L E F O N ∙ F A X

D A T U M ∙ U N T E R S C H R I F T

Senden Sie mir (uns) bitte:

R3829

An

MANZVerlags- und Universitätsbuch-handlungBestellservice

Kohlmarkt 161014 Wien

Porto zahlt Empfänger

oder faxen an:(01)

531 61 455

*Falls ich nicht vor Erhalt des letzten Heftes kündige, erhalte ich die Zeitschrift weiterhin im Abonnement. Das Jahresabonnement ist sodann jeweils nach Rechnungslegung für das kommende Jahr zur Gänze im Voraus zur Zahlung fällig. Preise inkl. MWSt. und Versand im Inland. Lieferung unter Eigentumsvorbehalt – auch für künftige Lieferungen. Zeitschriftenabonnements verlängern sich automatisch um ein weiteres Jahr, wenn nicht spätestens sechs Wochen vor Jahresende eine schriftliche Kündigung erfolgt. Irrtum und Preisände-rungen vorbehalten. Ich bin damit einverstanden, dass ich gelegentlich insbesondere per Fax, per E-Mail oder telefonisch über Neuer-scheinungen des MANZ Verlages informiert werde und dass meine Daten zu diesem Zweck gespeichert und verwendet werden. Die Zustimmung kann jederzeit schriftlich widerrufen werden. Vertragsrücktritt berechtigt. Prospektstand: September 2014. Als Gerichts-stand wird Wien vereinbart.

„Early Bird“ Abo „Datenschutz konkret“ bis 31.12. 2014 Heft 2/2014 + Abonnement 2015 (insgesamt 6 Hefte) um nur EUR 98,– statt EUR 148,– *(inkl. Versand im Inland)

Page 4: Datenschutz Konkret

Beiräte

Univ.-Prof. Dr. Gerhard Baumgartner, KärntenLeiter des Bereichs Öffentliches Recht an der Alpen-AdriaUniversität Klagenfurt

Mag. Andrea Dillenz, LL. M., WienDatenschutzbeauftragte, Boehringer Ingelheim RCVGmbH & Co KG

ao. Univ.-Prof. Mag. Dr. Monika Drs, WienUniversitätsprofessorin am Institut für Österreichischesund Europäisches Arbeitsrecht und Sozialrecht

Mag. Wolfgang Goricnik, MBL, SalzburgLeiter des Referates Wirtschaft & Recht der AK Salzburgund Laienrichter für den Fachbereich Datenschutzam Bundesverwaltungsgericht

Dr. Markus Grubner, NiederösterreichVizepräsident des LVwG Niederösterreich

Dr. Christopher Kuner, BrüsselRechtsanwalt, Hon.-Prof. Univeristät Kopenhagen,Gründer des European Privacy Officers Forum

Mag. Daniela Lackmayer, SteiermarkDatenschutzbeauftragte der Energie Steiermark AG

Mag. Georg Lechner, WienHofrat der Datenschutzbehörde

Mag. Judith Leschanz, WienLeitung National Data Privacy, A1 Telekom Austria AG

Dr. Eckhard Riedl, WienLeiter der Abteilung Rechtliche Angelegenheitendes Datenschutzes und der EDV des Bundeskanzleramtes,Ersatzmitglied des Datenschutzrates

DI. Dr. Franz Rovenszky, WienEthics and Compliance Officer der Eli Lilly GmbH

Mag. Max Schrems, WienVorstand des Vereins Europe vs. Facebook

Dr. Eva Souhrada-Kirchmayer, WienRichterin am Bundesverwaltungsgericht

Dr. Josef Souhrada, WienDirektor Abteilung Recht/Personal, Hauptverbandder österreichischen Sozialversicherungsträger

Dr. Mathias Vogl, WienLeiter der Sektion III – Recht, Bundesministeriumfür Inneres

MMag. Barbara Wagner, WienAbteilungsleitung Rechtsberatung inklusiveDatenschutzrecht, BAWAG P.S.K. AG

Dr. Maximilian Wellner, OberösterreichGeneral Counsel/Compliance Managerder Greiner Holding AG

Christoph Wenin, NiederösterreichDatenschutzbeauftragter und Informations-sicherheitsbeauftragter der Rewe International AG

Page 5: Datenschutz Konkret

Dako 1 | 2014 1

Rainer KnyrimRechtsanwalt und Partner bei Preslmayr Rechtsanwälte

Datenschutz konkretSie halten das erste Heft der Zeitschrift „Datenschutz konkret“ in den Händen. Diesewird Sie künftig fünfmal im Jahr über Datenschutz – Recht, Projekte und Lösungen – in-formieren:n RechtWir bringen Ihnen dieses komplexe Rechtsgebiet in übersichtlichen Portionen näher. Fach-artikel zu Praxisthemen, praxisrelevante Entscheidungen und Judikaturrückblicke zu Fra-gen, die regelmäßig auftauchen, werden Sie einschulen und laufend fortbilden.n InterviewJedes Heft beginnt mit einem Interview einer Person, die in der Praxis arbeitet und/odereine wichtige Rolle im Datenschutzrecht spielt. Es freut uns, dass wir für das erste HeftFrau Dr. Jelinek, die neue Leiterin der Datenschutzbehörde, gewinnen konnten.n Projekte und LösungenWir wollen nicht einfach nur Probleme aufzeigen, sondern Ihnen auch Lösungen präsen-tieren. Neben einem Bericht über ein Praxisprojekt, in dem wir die Lösung einer Aufgaben-stellung durchgehen, wird es in jedem Heft eine Checkliste geben, die es Ihnen ermöglicht,anhand einer Fragenliste ein Thema lösungsorientiert abzuarbeiten. Auch bei der Judikaturachten wir darauf, Ihnen in einer kurzen Kommentierung die Auswirkungen der Entschei-dung auf Ihre Lösungen in wenigen Worten näherzubringen.n AktuellDie Zeitschrift wird sich mit aktuellen Praxisthemen befassen und keine abstrakten oderrechtshistorischen Untersuchungen machen. Besonders die letzten Seiten werden wiraktuell mit Kurznachrichten zu Entscheidungen oder Vorfällen, mit Publikationen undSeminarhinweisen füllen, damit Sie informiert sind, was in der Welt des Datenschutz-rechts gerade los ist.n Von wem?Ich habe als Chefredakteur ein Team von ausgewiesenen Datenschutzexperten zusammen-gestellt, die über viele Jahre Praxiserfahrung verfügen, gleichzeitig aber unter Beweis gestellthaben, dass sie ihr Wissen auch in schriftlicher Form weitergeben können. Der Zeitschriftsteht ein Beirat zur Seite, für den wir Vertreter der wichtigsten Player imDatenschutzrechtgewinnen konnten. Näheres entnehmen Sie bitte dem Umschlag dieses Hefts.n Für wen haben wir diese Zeitschrift entwickelt?Für Sie, wenn Sie beruflich mit Datenschutzrecht zu tun haben. Sei es, weil Sie Daten-schutzbeauftragter in einem Unternehmen, einer Vereinigung oder einer öffentlichen Ein-richtung sind oder weil man Ihnen Datenschutzrecht als Nebenjob „umgehängt“ hat. WeilSie eigentlich gar nichts mit Datenschutzrecht zu tun haben wollen, aber dennoch dafürverantwortlich sind – im Vorstand, in der Geschäftsführung, Rechtsabteilung, IT-Abtei-lung, Personalabteilung oder weil Sie Betriebsrat sind. Dann werden Sie und unsere Zeit-schrift gute Freunde werden.n Schmeckt Ihnen das?Wir wissen: Datenschutzrecht schmeckt bisher kaum jemandem besonders gut. Und nurwenige wollen sich durchkauen. Da wir aber seit Langem auf den Geschmack gekommensind, möchten wir Sie mit Datenschutzrecht „einkochen“. Deswegen werden wir IhnenDatenschutzrecht zubereiten wie ein Sacherwürstel: knackig, saftig, gut und übersichtlichportioniert, aber dennoch mit qualitativ hochwertigen Inhaltsstoffen. Wir hoffen, dass Sienach diesem ersten Heft auf den Geschmack kommen und Stück für Stück weiter ab-beißen.

Herzlichst IhrDako 2014/1

das interview 2Datenschutz – ein Grundrechtim FokusInterview mit Dr. Andrea Jelinek, Leiterinder neuen Datenschutzbehörde

das praxisprojekt 4Datenschutzschulung durchbreit angelegtes eLearningMitarbeiterschulung im Gesundheitswesen

der beitrag 8Datenschutz vor GerichtNeue Gerichte und geänderter Instanzen-zug nach der Verwaltungsreform

Der betrieblicheDatenschutzbeauftragtePersönliche und fachliche Voraussetzungen

die checkliste 12Bring Your Own Device (BYOD)Private Smartphones, Tablets und Internet-dienste beruflich nutzen

der judikaturrückblick 17Was sind personenbezogeneDaten?Informationen, Identifikatoren und Ano-nymisierung: die Antworten der Judikatur

die entscheidung 20EuGH, OGH und VwGHMitteilungspflicht; Widerspruch; SMS-Nachricht; Löschungsrecht bei Suchmaschi-nen

das lesen wir 22Buchtipps

das gibt es 23Seminare; Kongresse;zum Staunen

die kurzmeldung 24Legistik; Judikatur; Verwaltung

editorial & inhalt

Page 6: Datenschutz Konkret

2 Dako 1 | 2014

das interview

Katharina Schmidt/Rainer KnyrimRedakteurin Innenpolitik Wiener Zeitung/Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte

Datenschutz –ein Grundrecht im FokusInterviewmit Dr. Andrea Jelinek. DieLeiterinder seit 1. 1. 2014neuenDatenschutzbehördesprichtüber die Neuausrichtung der Behörde, die neue Verwaltungsgerichtsbarkeit und die Verantwortungdes Einzelnen. Unternehmen rät sie zu möglichst weitgehenden Datenschutzvorkehrungen.

Datenschutz konkret: Sie kommen vonder Polizei – zuletzt waren Sie Stadthaupt-frau für den 3. Bezirk in Wien, davorstanden Sie an der Spitze der WienerFremdenpolizei. Haben Sie sich schon inder Datenschutzbehörde (DSB) eingelebt?Andrea Jelinek:Der Datenschutz hat michmein ganzes berufliches Leben begleitet undist – gerade, wenn man aus dem Polizei-bereich kommt – nichts Neues. Es ist alsokeine Änderung im Grundsatz, sondernnur eine Spezialisierung.

Datenschutz konkret: Und im Behörden-alltag selbst?Jelinek: Die DSB ist genauso eine Verwal-tungsbehörde wie die Organisationseinheitder LandespolizeidirektionWien, die ich ge-leitet habe. Die Unabhängigkeit ist ein gro-ßer Unterschied. Aber der Instanzenzugwacht – genauso wie im Polizeiwesen – überdie Rechtmäßigkeit der Entscheidungendieser Behörde.

Datenschutz konkret: Die DSB hat seitkurzem ein neues Logo. Wird es noch wei-tere Neuerungen nach außen geben?Jelinek: Es ist ganz wichtig, Zeichen nachaußen zu setzen, die von innen her kom-men. Das Logo wurde gemeinsam mitden Mitarbeitern entwickelt, sie habensich das ausgesucht, was für ihre Behördesteht.

Datenschutz konkret: Sie haben den In-stanzenzug erwähnt. Mit dem Bundesver-waltungsgericht gibt es eine neue Instanzüber der DSB. Gibt es bereits Beschwerdengegen Bescheide der DSB?Jelinek: Ja, im knapp zweistelligen Bereich.Uns sind auch bereits drei Entscheidungenzugestellt worden, die alle die Entscheidun-gen der DSB bestätigt haben. Noch ist esgesetzlich vorgesehen, dass Entscheidungender DSB auch im Rechtsinformationssys-tem veröffentlicht werden können. Soweitich weiß, sind wir die einzige erstinstanzli-

che Behörde, deren Bescheide ins RIS ge-stellt werden. Ich weiß aber nicht, ob dasà la longue so sinnvoll ist. Wenn eine Ent-scheidung im RIS zu finden ist, sollteschon in gewissem Maß Rechtssicherheitgegeben sein. Und die gibt es grundsätzlicherst mit einer Bestätigung durch die Ins-tanz.

Datenschutz konkret: Welche Auswir-kungen würde das geplante europäischeOne-Stop-Shop-Verfahren auf die ArbeitIhrer Behörde haben? Hätte die DSB dannbloß noch eine „Postkasten“-Funktion?Jelinek: Da ich keine Freundin vom Kaf-feesudlesen bin und ich auch nicht weiß,wie sich dieses Vorhaben letztlich ausge-staltet, mache ich jetzt sicher keine Prog-nose.

Datenschutz konkret:Was sind für Sie dievordringlichsten Punkte, die europaweitvereinheitlicht werden müssen?Jelinek: Ein einheitliches Verfahrensrechtwäre sehr schön, das ist aber ein Wunsch-traum vieler Verwaltungsjuristen in ganzEuropa und nicht auf den Datenschutz be-schränkt. Alles andere in Bezug auf den Da-tenschutz ist ein sehr fragiles Konstrukt, dader Datenschutz in Europa von vielen Fak-toren bestimmt wird. Österreich hat, wieauch einige andere EU-Staaten, ein sehr ho-hes Datenschutzniveau. Für mich hat eingrundsätzlich hohes Datenschutzniveau,das die Grund- und Freiheitsrechte derMenschen wahrt, die in Europa leben, diehöchste Priorität.

Datenschutz konkret: Worauf müssensich die Unternehmen bei dieser Reform –

nach derzeitigem Entwurfsstand – ein-stellen?Jelinek: Ich halte es für unseriös, heute zusagen, auf was man sich vorbereiten kann,und dann ist morgen alles wieder anders.Wenn ein angenommener Entwurf daliegt,dann können wir darüber reden.

Datenschutz konkret: Bei den Unterneh-men hat man teils das Gefühl, dass sie ersteinmal warten, was da kommt, und zuersteinmal gar nichts tun.Jelinek: Es ist die Entscheidung jedes Un-ternehmenslenkers, wie er sein Unterneh-men führt. Mit einer klugen Compliancein Kombination mit einem guten Auge aufden Datenschutz liegt man da nicht falsch.Ich wünsche mir, dass erst einmal alle dasnationale Recht einhalten.

Ein hohes Datenschutz-niveau, das die Grund-und Freiheitsrechte derMenschen wahrt, hatfür mich die höchstePriorität.

Datenschutz konkret: Im Jänner wurdeanlässlich des Europäischen Datenschutz-tags eine Novelle des Datenschutzgesetzesnoch heuer in Aussicht gestellt. Sehen Sierechtlichen Optimierungsbedarf beim ak-tuellen DSG?Jelinek: Natürlich gibt es von der DSBWünsche an eine allfällige Novelle; die wer-den wir zu gegebenem Zeitpunkt mit demVerfassungsdienst des Kanzleramts bespre-chen.

Datenschutz konkret: Die DSB kontrol-liert zwar, allfällige Strafen werden aber vonden Bezirksverwaltungsbehörden verhängt.Wäre es nicht sinnvoller, wenn Sie wiederdie Strafkompetenz hätten?Jelinek: Wenn der Gesetzgeber vorsieht,die Strafkompetenz der DSB zu übertragen,werden wir das vollziehen, allerdings istdann erforderlich, dass er uns auch Planstel-len zur Verfügung stellt. Es ist auch eineFrage der Sinnhaftigkeit: Wir haben einestarke beratende Komponente. Es ist einbisschen janusköpfig, wenn jener, der berät,auch straft. Aber das ist natürlich Sache desGesetzgebers.

Page 7: Datenschutz Konkret

Dako 1 | 2014 3

das interview

Datenschutz konkret: In den letzten Mo-naten ist aus der Sicht des Anwalts einestarke Verfahrensbeschleunigung und Alt-lastenbereinigung feststellbar. Was ist be-hördenintern geschehen?Jelinek: Wir haben mit großer Unterstüt-zung aller Mitarbeiter auf bestimmte Berei-che fokussiert und Task Forces gebildet.

Datenschutz konkret: Gab es eine interneUmstrukturierung der Behörde, etwa wasdie Zuständigkeiten der Mitarbeiter be-trifft?Jelinek: Früher wurde sehr auf die Kom-mission fokussiert. Die Kollegen machtendie Vorbereitungsarbeit, die Entscheidun-gen traf die Kommission. Jetzt entscheidendie Mitarbeiter für die Leiterin oder ichselbst entscheide – je nachdem.

Datenschutz konkret: Die Grünen habenerst vor kurzem die Befürchtung geäußert,dass die Behörde zu wenig Personal undMittel hat. Ist die Angst vor einem weiterenVertragsverletzungsverfahren gerecht-fertigt?Jelinek: Nein. Die Behörde kann mit demihr zur Verfügung gestellten Personal undMitteln ihren derzeitigen Aufgaben nach-kommen. Das ist sehr oft eine Frage derStruktur und des Zugehens auf die Mitar-beiter. Mir ist wichtig, dass klar ist: Wennwir technische Expertise benötigen, dannhaben wir die Möglichkeit, sie zuzukau-fen. Ich halte nichts davon, eine Technik-abteilung einzurichten. Denn gerade indiesem sehr komplexen technischen Be-reich ist es ganz wichtig, auf dem allerletz-ten Stand der Technik zu sein. Ich findees schade, dass hier politisches Kleingeldam Rücken des Datenschutzes gemachtwird.

Datenschutz konkret: Im internationalenVergleich sieht man aber, dass in anderenLändern auch imMeldeverfahren der Fokusstark auf die organisatorischen und techni-schen Datensicherheitsaspekte gelegt wird,was in Österreich in der Vergangenheitweniger der Fall war.Jelinek: Natürlich wird ein großer Fokusdarauf gelegt, insbesondere im Kontextvon Data-breach-Verfahren. Wenn dieUnternehmen im Vorfeld danach trach-ten, dass die Datensicherheit gewährleistetist, dann gibt es im Nachhinein wenigerProbleme, sollte einmal so ein Vorfallsein.

Datenschutz konkret: Sie erwarten, dasssich die Unternehmen darum selbst küm-mern?Jelinek: Es ist eine unternehmerische Not-wendigkeit, sich darum zu kümmern. Denndie Datensicherheit ist ein großes Argu-ment der jeweiligen Anbieter am Markt. Jesicherer und je überzeugter die Kundenvon der Sicherheit ihrer Daten bei dem Un-ternehmen sind, umso eher werden sie ei-nen Vertrag mit dem Unternehmen ab-schließen. Es ist also im ureigensten Interes-se der Unternehmen, das seriös zu betrei-ben. Es ist einfach unklug, keinen Wertauf die Datensicherheit zu legen.

Es ist eine unternehmerischeNotwendigkeit, sichum Datensicherheit zukümmern. Gegenüber demKunden ist Datensicherheitein Verkaufsargument.

Datenschutz konkret: In früheren Ge-schäftsberichten der Datenschutzkommis-sion stand zu lesen, dass die Agenden derBehörde wegen der zu dünnen Personal-decke teilweise nicht oder nicht ordentlicherfüllt werden können, insbesondere hin-sichtlich der Aufsicht. Wird es in Zukunftwie in anderen Ländern Stichproben-kontrollen geben?Jelinek: Sie können sicher sein, es wird inZukunft Stichprobenkontrollen geben. Eswird aber noch ein bisschen dauern.

Datenschutz konkret: Aber den Unter-nehmen droht eine Kontrolle?Jelinek: Das ist keine Drohung, ganz imGegenteil. Wenn wir feststellen, dass dasDatenschutzniveau eingehalten wird, dannist das wie ein „Gütesiegel“ zu diesem Zeit-punkt.

Datenschutz konkret: Inwieweit ist derDatenschutz in der Verantwortung desStaates, inwieweit ist jeder einzelne selbstdafür verantwortlich, mit seinen persönli-chen Daten sorgsam umzugehen?Jelinek: Das Grundrecht als klassischesstaatliches Abwehrrecht ist die eine Sache.Und es gibt eine ganz große Eigenverant-wortung. Dazu kommt als drittes mittler-weile die Möglichkeit, etwa bei Suchmaschi-nen Postings löschen zu lassen. Auf deranderen Seite stellt sich die Frage, wo dieEigenverantwortung aufhört. Es gibt vieleheute 24-Jährige, die mit 16 irgendwelcheFotos gepostet haben, wo sie mehr als ange-heitert auf dem Tisch tanzen. Das ist nichtsBöses, das ist der Vorteil der Jugend. DiePersonalchefs können sich das ja gerne an-schauen, das heißt aber nicht, dass sie auf-grund dessen den Stab über einem jungenMenschen brechen sollen. Personalchefssind erfahrene, erwachsene Menschen, damuss ich doch davon ausgehen können,dass sie nicht aufgrund von fünf Fotos imInternet urteilen.

Andrea Jelinek im Gespräch mit Rainer Knyrim

Page 8: Datenschutz Konkret

4 Dako 1 | 2014

das praxisprojekt

Datenschutz konkret: Wie weit sehen Siedie Unternehmen in der Verantwortunghinsichtlich der von ihnen verarbeitetenKunden- und Mitarbeiterdaten: Dass siesich aktiv um Datenschutz kümmern undÜberblick und Kontrolle haben, was mitdiesen Daten gemacht wird? Oder dassdiese erst etwas tun müssen, wenn ihnendie DSB „auf die Zehen steigt“?Jelinek:Gesetze gelten – also haben sich dieUnternehmen auch an das österreichischeDatenschutz-Regime zu halten. Und ichhalte es, wie gesagt, für unternehmerisch ge-boten, sich um den Datenschutz zu küm-mern. Es kann sich heute kein Unterneh-men mehr leisten, erst dann etwas zu unter-nehmen, wenn ein Brief von der DSBkommt.

Datenschutz konkret: Es wirkt aber oft so,als hätten die Unternehmen einfach nichtmehr den Überblick, wo die Daten sind undwer etwas damit macht.Jelinek: So, wie man in allen BereichenPflichtenhefte hat, wäre das auch im Bereichdes Datenmanagements wichtig – etwa inForm einer Datenverantwortungspyramide.Das ist im ersten Moment komplex, aberUnternehmen geben für andere Dinge auchsehr viel Geld aus – und gerade bei der Da-tenzugriffsberechtigung zahlt sich das aus.

Dako 2014/2

Zum ThemaÜber die InterviewpartnerinSeit 1. 1. 2014 steht die 1961 geborene Juristin an der Spitze der DSB. Davor war Jelinek lange

Jahre in der Legistikabteilung des Innenministeriums als Referentin, von 1998 bis 2003 als

Referatsleiterin tätig. Von 2003 bis 2010 war sie Stadthauptfrau des dritten Wiener Bezirks,

eine Funktion, die sie auch vor ihrer Berufung in die DSB innehatte. Dazwischen war sie

ab Oktober 2010 für ein dreiviertel Jahr interimistische Leiterin der Wiener Fremdenpolizei.

Sie verfügt über eine Coaching- und Führungskräftetrainerausbildung, die sie, wie sie sagt,

bei allen beruflichen Tätigkeiten „sehr gut brauchen“ kann.

GlossarDatenschutzbehörde (DSB)

Die DSB ist für die Einhaltung der Bestimmungen des Datenschutzgesetzes zuständig. Sie hat

mit 1. 1. 2014 die frühere Datenschutzkommission abgelöst. Gleichzeitig wurde Dr. Andrea

Jelinek Leiterin der neuen Behörde. Im ersten Halbjahr 2014 hat die DSB etwas mehr als

1.200 schriftliche Rechtsauskünfte erteilt, das ist bereits jetzt mehr als im ganzen Jahr

2013. Seit Beginn von Jelineks Amtszeit erteilt die Behörde keine telefonischen Rechtsaus-

künfte mehr. „Ich erachte es für sinnvoller, komplexe Themenbereiche schriftlich abzuhandeln,

da sonst Missverständnisse auftauchen können“, sagt Jelinek dazu.

Teilbereiche, die auf besonders starkes Interesse stoßen, kann sie nicht ausmachen. Häufig

seien Anfragen zu Videoüberwachungen und zu den Kompetenzen von Vorgesetzten und

Mitarbeitern, aber auch allgemeine Anfragen zum gesamten Datenschutzbereich. Auch die

Zahl der Entscheidungen ist größer als im vergangenen Jahr – vor allem, was den internatio-

nalen Datenverkehr betrifft. Insgesamt hat die DSB 25 Mitarbeiter, davon sind die Hälfte

Juristen.

Linkwww.dsb.gv.at

Markus Oman/Siegfried GruberGeschäftsführender Gesellschafter O.P.P. – Beratungsgruppe/Senior Berater O.P.P. Beratungs GmbH

Praxisprojekt: Datenschutzschulungdurch breit angelegtes eLearningeLearning, Mitarbeiter, Effizienz, Nachweisbarkeit. Mitarbeiter aus dem Gesundheitswesenwerden durch eLearning auf interaktive Art datenschutzrechtlich geschult.

Der Umgang mit personenbezogenen Da-ten ist im Alltag moderner Organisationenvon Routine geprägt. In Bereichen, in de-nen primär mit sensiblen Daten gearbeitetwird, wie zB im Gesundheitswesen, ist da-her ein besonderes Augenmerk auf denSchutz dieser personenbezogenen Datenzu legen. Vordringlichstes Handlungszielin dieser Branche ist die Betreuung krankerbzw betreuungsbedürftiger Personen, und

dies meist im Rahmen eines sehr engenZeitbudgets. Für eine intensive Beschäfti-gung mit dem Thema „Datenschutz“ bleibtin der Regel kaum Zeit. Die verfügbarenRessourcen erlauben es zumeist nicht, ei-ner größeren Anzahl von Mitarbeitern imRahmen von koordinierten Schulungs-maßnahmen das erforderliche Grundwis-sen zum Thema des richtigen Umgangsmit personenbezogenen Daten zu vermit-

teln bzw dieses Wissen aufzufrischen unddie aktuellen Verhaltensregeln zum korrek-ten Umgang mit diesen Daten auf aktuel-lem Stand zu halten.

Neben den generellen Bestimmungenzur Wahrung des Datengeheimnisses (§ 15DSG 2000) bestehen für Beschäftigte imGesundheitswesen zudem einschlägige be-rufsrechtliche Pflichten zur Verschwiegen-heit über Informationen, die ihnen im Rah-

Page 9: Datenschutz Konkret

Dako 1 | 2014 5

das praxisprojekt

men ihrer beruflichen Beschäftigung anver-traut oder zugänglich geworden sind.1

Das DSG 2000 sieht in § 15 Abs 2 vor,dass Auftraggeber ihre Mitarbeiter vertrag-lich zur Einhaltung des Datengeheimnis-ses, auch über das Ende des Dienstverhält-nisses hinaus, verpflichten und über dieFolgen einer Verletzung des Datengeheim-nisses belehren.2 Diese Verpflichtungser-klärung ist meist Teil des Arbeits- bzwDienstvertrags.

Die erforderliche Belehrung erfolgt inder Praxis vielfach durch eine allgemeinedatenschutzrechtliche Unterweisung undVermittlung der innerbetrieblichen Rege-lungen im Rahmen des Antritts einer Ar-beitsstelle bei einem neuen Arbeitgeber.Durch Bereitstellung der betrieblichen Da-tensicherheitsvorschriften (zB durch Veröf-fentlichung im Intranet) werden in der Re-gel die Anforderungen des § 14 Abs 2 Z 6DSG 2000 zur Dokumentation und Infor-mation der Mitarbeiter erfüllt.

Nicht zuletzt durch diese Form derWissensvermittlung ist zu befürchten, dassdieses theoretische Wissen in konkreten Si-tuationen nicht umgesetzt und genutzt wer-den kann. Zwar ist meist ausreichend theo-retisches Wissen vorhanden, dieses kann inrealen und eventuell problematischen Situa-tionen aber vielfach nicht kompetent ange-wendet werden. Um den Anwendungsbe-zug des theoretischen Wissens zu fördern,wird häufig auf handlungsorientiertes Ler-nen verwiesen.3 Durch den Einsatz voneLearning zurWissensvermittlung soll einedeutlich stärkere Praxisorientierung undsomit Handlungsorientierung ermöglichtwerden.

Das Projekt: eLearning als Methodezur interaktiven WissensvermittlungUnter eLearning werden alle Formen vonLernen verstanden, bei denen elektronischeoder digitale Medien für die Präsentationund Distribution von Lernmaterialien und/oder zur Unterstützung zwischenmenschli-cher Kommunikation zum Einsatz kom-men.4

Im Rahmen der konkreten Umsetzungim Auftrag eines Betreibers einer großenoberösterreichischen Krankenanstalt wurdeein eLearning-Modul entwickelt, mit demdatenschutzrechtliches Wissen und damitverbundene konkrete Handlungsanweisun-gen an Mitarbeiter vermittelt werden kann.Dabei sollten insb praxisnahe Beispiele ver-wendet werden, um einen realen Bezug der

Lernenden zu ihrem persönlichen Arbeits-umfeld, aber auch Privatleben herzustellen.

Die Zielgruppe für den Einsatz dieseseLearning-Moduls ist sowohl das medizini-sche Personal als auch das Personal derPflege und der Verwaltung. Es werden tau-sende Personen geschult, deren spezifischesWissen hier in kurzer Zeit aktualisiert, ge-prüft und dokumentiert werden soll.

Die LösungDurch das hier beschriebene eLearning-Mo-dul „Datenschutz“ soll eine Sensibilisierungder Mitarbeiter zum sorgfältigen und ver-trauensvollen Umgang mit personenbe-zogenen Informationen erreicht werden.Durch praxisnahe Beispiele soll die Rele-vanz des Themas im berufsspezifischenKontext besonders hervorgehoben werden.

Besonderes Augenmerk wurde auf ei-ne professionelle didaktische Aufbereitungder von Anwendern häufig als „trocken“empfundenen Materie gelegt. Zu diesemZweck nahm der projektverantwortlichetechnische eLearning-Spezialist an einerDatenschutz-Ausbildung teil, um einerseitsselbst entsprechendes Fachwissen zu erwer-ben und andererseits in der Kommunika-tion mit den anderen Kursteilnehmernund den Vortragenden Szenarien aus derPraxis zu erläutern.

Aufgrund von Erfahrungen aus zahlrei-chen eLearning-Projekten wurde die maxi-male Länge des Moduls „Datenschutz“ auf40 Minuten festgelegt. Innerhalb dieserZeitspanne sollten Grundbegriffe erläutert,die praktische Anwendung des erworbenenWissens anhand von Fallbeispielen geübtund schließlich das erworbene Wissen ge-prüft und das Prüfungsergebnis dokumen-tiert werden.

Durch die multimediale Gestaltung inForm von Grafiken, Video und Text sowiedie interaktive Bedienung durch den Benut-zer soll die Aufmerksamkeitsschwelle erhöhtund der Inhalt attraktiv vermittelt werden.

Nach Festlegung der Wissensschwer-punkte wurde die Rohfassung der jeweili-gen Module durch den Auftraggeber unddie Fachexperten inhaltlich und juristischgeprüft, getestet und (soweit erforderlich)einer Überarbeitung unterzogen. Durchdiese Vorgehensweise konnte eine verhält-nismäßig kurze Durchlaufdauer erreichtund die vorliegende Version einerseits in-nerhalb weniger Monate fertiggestellt undandererseits so modular aufgebaut werden,dass in kurzer Zeit Adaptierungen für jede

Branche und Situation durchgeführt wer-den können.

Das eLearning-Modul ist für die Mitar-beiter des Auftraggebers über das Internetabrufbar. Für jeden Mitarbeiter wird einpersönliches Login zur Verfügung gestellt,so dass die einzelnen Module abgerufenund die damit verbundene Wissensüber-prüfung nicht auf einmal, sondern auch inTeilschritten erfolgen kann.

Nach erfolgreicher Absolvierung stehendie Informationsmodule weiterhin zumAbruf bereit und können jederzeit zur Auf-frischung des Wissens verwendet werden.

Modul 1: SensibilisierungPraxisnahe Beispiele aus Berufs- und Privat-leben zeigen Situationen des täglichen Le-bens, in denen das Recht auf Privatsphäreverletzt wird. Insb wird in diesem Modulauch aufgezeigt, dass eine Verletzung desRechts auf Datenschutz nicht nur durchmissbräuchliche Verwendung von Daten-verarbeitungsgeräten erfolgen kann.

Abbildung 1: Privates „Geplaudere“ in der

Cafeteria über höchstpersönliche Vorkomm-

nisse im Leben Dritter.

Modul 2: GrundbegriffeIn diesemModul werden datenschutzrecht-liche Grundbegriffe und deren praktischeAnwendung erläutert. Lernziel ist hierbei,dass der Lernende die wichtigsten Fachbe-griffe des Gesetzestextes kennt und ver-steht, um sie in seinem beruflichen undprivaten Kontext anzuwenden. Neben derErklärung des Begriffs der „personenbezo-genen Daten“ und der datenschutzrechtli-chen Grundsätze werden in diesem Modulinsb auch jene Rechtsbegriffe erläutert, dieim Gesetzestext zum „Datengeheimnis“(§ 15 DSG) enthalten sind (siehe Abbil-dung 2 auf der nächste Seite).

1 Im Fall eines Krankenhauses wäre dies zB § 54 Ärztegesetz;§ 6 Gesundheits- und Krankenpflegegesetz. 2 Jahnel, Hand-buch Datenschutzrecht (2010). 3Mayer/Treichel (Hrsg), Hand-lungsorientiertes Lernen und eLearning (2004) 3. 4Kerres,Mul-timediale und telemediale Lernumgebungen2 (2001) 14.

Page 10: Datenschutz Konkret

6 Dako 1 | 2014

das praxisprojekt

Abbildung 2: Auswahlmaske zur leichteren Erlernbarkeit

Abbildung 3: kurze Lernzielkontrolle

Abbildung 4: Konsequenzen von Fehlverhalten

Nach der Vermittlung des erforderlichenWissens besteht anhand von interaktivenElementen die Möglichkeit zu überprüfen,ob der Inhalt der Wissenselemente richtigverstanden wurde.

Nach dem Abspielen einer Video-Se-quenz, in der ein Arzt ein Labor beauftragt,die zuvor entnommene Patientenblutprobezu analysieren, soll der eLearning-Teilneh-mer eine kurze Lernzielkontrolle durch-führen, indem hier zB nach den daten-schutzrechtlichen Rollen der handelndenPersonen gefragt wird (siehe nebenstehendeAbbildung 3). Als besonderer Fall der Ver-arbeitung personenbezogener Daten wirderläutert, weshalb es sich hierbei um eineDatenverarbeitung bzw die Verarbeitungsensibler Daten handelt.

Modul 3: Konsequenzenvon DatenmissbrauchIn diesem Modul wird neben den Rechts-folgen aufgrund der Verletzung des Daten-geheimnisses gem § 15 DSG 2000 insbauch auf die einschlägigen berufsrechtlichenKonsequenzen der missbräuchlichen Ver-wendung von personenbezogenen Datenhingewiesen (siehe nebenstehende Abbil-dung 4).

Modul 4: VerhaltensregelnIm Modul „Verhaltensregeln“ werden kon-krete Handlungsanweisungen für die Nut-zung von IT-Systemen und die Verwen-dung personenbezogener Daten gegeben.Anhand von konkreten Beispielen ausdem beruflichen Alltag wird erläutert, wieDatenschutz in der Praxis gelebt werdenkann. Insb werden hier die Themen des Zu-griffsschutzes und die Trennung berufli-cher und privater Nutzung von IT adres-siert.

Modul 5: Lernzielkontrolleüber alle ModuleZum Abschluss des eLearning-Moduls be-steht die Möglichkeit, das erworbene Wis-sen zu überprüfen. Die erfolgreiche Absol-vierung wird dokumentiert und dient demNachweis über die Belehrung des Mitarbei-ters. Nach Beendigung der Lernzielkon-trolle kann der Benutzer sogleich die Aus-wertung seines Tests einsehen.

Nach Abschluss der Lernzielkontrollestehen die vorangegangenen Module weiter-hin zu Informationszwecken zur Verfü-gung (siehe Abbildung 5 auf der nächstenSeite).

Page 11: Datenschutz Konkret

Dako 1 | 2014 7

das praxisprojekt

Abbildung 5: Lernzielkontrolle zum Nachweis der Unterweisung

ProjektergebnisDurch den Einsatz von eLearning ist es ge-lungen, mehrere tausend Mitarbeiter in

kurzer Zeit datenschutzrechtlich zu infor-mieren und einen Nachweis über die da-durch erbrachte Belehrung zu erbringen.

Durch die konsequente Vermittlung vontheoretischem Wissen in Verbindung mitpraxisnahen Beispielen konnte das erwor-bene Wissen in der Praxis auch sehr leichtangewendet werden und fand bzw findetsehr großen Zuspruch bei Mitarbeiternund Management. Eine Anpassung deseLearning-Kurses „Datenschutz“ an andereThemen oder auch andere Branchen istaufgrund des modularen Aufbaus sehrleicht möglich.

Dako 2014/3

Zum ThemaÜber die AutorenMag. Ing. Markus Oman, CSE, ist geschäftsführender Gesellschafter der O.P.P. – Beratungsgruppe.

Mag. jur. Siegfried Gruber ist Senior Berater bei O.P.P. – Beratungs GmbH.

Kontakt: Tel: +43 (0)699 125 180 89, E-Mail: [email protected], Internet: www.opp-beratung.com

LiteraturJahnel, Handbuch Datenschutzrecht (2010); Kerres, Multimediale und telemediale Lernumgebungen, Konzeption und Entwicklung2 (2001);

Mayer/Treichel (Hrsg), Handlungsorientiertes Lernen und eLearning, Grundlagen und Praxisbeispiele (2004).

Hinweis

Das eLearning-Modul „Datenschutz“ wurde in Kooperation mit der O.P.P. – Beratungsgruppe (fachliche Ver-

antwortung für den Inhalt) und der Akademie für Gesundheit (technische Umsetzung) erstellt. Einen ersten

kleinen Einblick vermittelt das YouTube-Demovideo: www.youtube.com/watch?v=wrfXZIqBhpI

ImpressumMedieninhaber und Herausgeber: MANZ’sche Verlags- und Universitätsbuchhandlung GmbH. Sitz der Gesellschaft: Kohlmarkt 16, 1014 Wien, FN 124181w, HG Wien. Unterneh-mensgegenstand: Verlag von Büchern und Zeitschriften. Gesellschafter, deren Anteil 25% übersteigt: Manz Gesellschaft m.b.H., Wien, Beteiligung an Unternehmen und Gesellschaf-ten aller Art, und Wolters Kluwer International Holding B.V. Amsterdam, Beteiligung an Unternehmen. Verlagsadresse: Johannesgasse 23, 1015 Wien ([email protected]). Geschäfts-leitung:Mag. Susanne Stein (Geschäftsführerin) sowie Prokurist Dr. Wolfgang Pichler (Verlagsleitung). Redaktion: Dr. Rainer Knyrim (Chefredakteur); Mag. Viktoria Haidinger, LL.M.;Mag. Ing. Markus Oman, BiBu, CSE; Prof. KommR Hans-Jürgen Pollirer; Hofrat Dr. Ernst M. Weiss. E-Mail: [email protected] Verlagsredaktion: Mag. Elisabeth Maier, E-Mail: [email protected] Druck: Ferdinand Berger&Söhne Ges.m.b.H., 3580 Horn. Verlags- und Herstellungsort: Wien. Grundlegende Richtung: Veröffentlichung von Beiträgen undRechtsprechung zum Thema Datenschutzrecht. Zitiervorschlag: Dako 2014/Nummer. Anzeigen: Heidrun R. Engel, Tel: (01) 531 61-310, Fax: (01) 531 61-181, E-Mail: [email protected] Bezugsbedingungen: Die Dako erscheint 5Í jährlich. Der Bezugspreis 2014 (1. Jahrgang) beträgt E 148,– (inkl Versand in Österreich). Einzelheft E 35,–. Auslandspreise aufAnfrage. Nicht rechtzeitig vor ihrem Ablauf abbestellte Abonnements gelten für ein weiteres Jahr als erneuert. Abbestellungen sind schriftlich bis spätestens sechs Wochen vor Jah-resende an den Verlag zu senden. Formatvorlagen: ZumDownload unter www.manz.at/formatvorlagen Hinweis: Auf eine geschlechtergerechte Sprache wird geachtet. Wird jedochvon einzelnenAutoren zugunsten der leichteren Lesbarkeit bloß diemännliche oder die weibliche Form verwendet, sind immer beide Geschlechter gleichermaßen gemeint.Urheber-rechte: Mit der Einreichung seines Manuskripts räumt der Autor dem Verlag für den Fall der Annahme das übertragbare, zeitlich und örtlich unbeschränkte ausschließliche Werk-nutzungsrecht (§ 24 UrhG) der Veröffentlichung in dieser Zeitschrift, einschließlich des Rechts der Vervielfältigung in jedem technischen Verfahren und der Verbreitung (Verlags-recht) sowie die Verwertung durch Datenbanken oder ähnliche Einrichtungen, einschließlich des Rechts der Vervielfältigung auf Datenträgern jeder Art (auch einschließlichCD-ROM), der Speicherung in und der Ausgabe durch Datenbanken, der Verbreitung von Vervielfältigungsstücken an den Benutzer, der Sendung (§ 17 UrhG) und sonstigen öffent-lichen Wiedergabe (§ 18 UrhG), ein. Gem § 36 Abs 2 UrhG erlischt die Ausschließlichkeit des eingeräumten Verlagsrechts mit Ablauf des dem Erscheinen des Beitrags folgenden Ka-lenderjahrs. Dies gilt für die Verwertung durch Datenbanken nicht. Der Nachdruck von Entscheidungen oder Beiträgen jedweder Art ist nur mit ausdrücklicher Bewilligung des Ver-lags gestattet. Haftungsausschluss: Sämtliche Angaben in dieser Zeitschrift erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr. Eine Haftung der Autoren, der Herausgeber sowiedes Verlags ist ausgeschlossen. Grafisches Konzept: Michael Fürnsinn für buero8, 1070 Wien (buero8.com).Impressum abrufbar unter www.manz.at/impressum

Page 12: Datenschutz Konkret

8 Dako 1 | 2014

der beitrag

Ernst M. WeissRichter iR

Datenschutz vor GerichtNeue Gerichte und geänderter Instanzenzug. Die Kontrolle des Datenschutzrechts durch Gerichteund Verwaltungsbehörden nach der Verwaltungsreform.

Mit der Errichtung derDatenschutzbehörde(DSB) sowie des Bundesverwaltungsge-richts (BVwG) und von neun Landesverwal-tungsgerichten (LVwG) bei gleichzeitigerAdaptierung sowohl des Datenschutzgeset-zes als auch des Verwaltungsgerichtshofsge-setzes und des Verfassungsgerichtshofgeset-zes hat seit 1. 1. 2014 eine neueÄra in der Ver-waltungsgerichtsbarkeit begonnen.

Insgesamt sieht die Organisation derGerichtsbarkeit in Österreich im Zu-sammenhang mit datenschutzrechtlichenBestimmungen des Bundesrechts (DSG2000; SPG etc) und des Rechts der neuenBundesländer (Landesdatenschutzgesetze,Bauordnungen etc) nunmehr wie in der Ta-belle unten dargestellt aus.

Justizrichter, Rechtspflegerund LaienrichterZu den ordentlichen Gerichten sei nur kurzFolgendes ausgeführt:

BezirksgerichtIm zivilgerichtlichen Verfahren obliegtden BG für den datenschutzrechtlichen Be-reich hier nur der Exekutionsvollzug.

Anders im strafrechtlichen Bereich:Alle Delikte mit einem Strafrahmen biszu einem Jahr Freiheitsstrafe – mit Aus-nahme hier das Delikt „Stalking“ (§ 107aStGB, Beharrliche Verfolgung) – fallen indie Zuständigkeit der BG, also jeden-falls § 51 DSG 2000 (im Folgenden kurzDSG) (Datenanwendung in Gewinn- undSchädigungsabsicht) sowie die gesamtesog „Computerkriminalität“ nach demStGB, jeweils mit dem leichtesten Grund-tatbestand.

LandesgerichtDie LG entscheiden im privaten Bereich,die Datenschutzbehörde (DSB) – mit Aus-nahmen – im öffentlichen Bereich. Den LGkommt die primäre Zuständigkeit in prak-tisch allen datenschutzrechtlichen Zivil-verfahren zu, insb bei Klagen auf Geheim-haltung, Richtigstellung oder auf Löschungvon Daten gegen natürliche Personen, Per-sonengemeinschaften oder sonstige Privat-rechtsträger (§ 32 Abs 1 DSG) und Kla-

gen auf Schadenersatz (Vermögensschadennach § 33 Abs 1 Satz 1 DSG) sowie wegenVerletzung der Privatsphäre (§ 33 Abs 1Satz 2 bis 3 DSG, auch ideeler Schaden,Entschädigung bis E 20.000,–). Dies giltin gleichem Maße sowohl für das Handels-gericht Wien (HG Wien) als auch für dasArbeits- und Sozialgericht Wien (ASGWien); beide kommen nämlich ebenfallsfür datenschutzrechtliche Verfahren inFrage.

Den mit Strafsachen befassten LG ob-liegen vorerst bestimmte Aufgaben im Er-mittlungsverfahren. Im Hauptverfahren istder Einzelrichter va für Straftaten, diemit einer ein Jahr übersteigenden Freiheits-strafe bedroht sind, zuständig; das LGals Schöffengericht (ein Berufsrichter undzwei Schöffen) entscheidet über Taten miteiner fünf Jahre übersteigenden Strafdro-hung sowie für bestimmte weitere Verbre-chen, wie zB Missbrauch der Amtsgewalt.Im Computerstrafrecht gibt es keine Tatbe-stände, für die das LG als Geschworenen-gericht (Schwurgerichtshof: drei Berufs-richter und Geschworenenbank acht Ge-schworene; betreffend Straftaten, die mit le-benslanger oder einer Freiheitsstrafe mitUntergrenze fünf Jahre und Obergrenzemehr als zehn Jahre bedroht sind) zustän-dig wäre.

Schließlich sind die LG Rechtsmittel-gericht gegenüber Urteilen und Beschlüs-sen der BG, ebenso wie die vier OLG gegen-über den LG (in erster Instanz) und derOGH als letzte Instanz in Zivil- undStrafsachen (Genaueres in Dohr/Pollirer/Weiss/Knyrim, DSG2 [16. ErgLfg 2014]§ 38 Anm 5).

Datenschutzbehörde undBundesverwaltungsgerichtMit 1. 1. 2014 wurde die Datenschutz-kommission aufgelöst; an ihre Stelle tratdie neu geschaffene Datenschutzbehörde.Diese erlässt ua Bescheide über Beschwer-den bei Verletzung von Betroffenenrechtennach § 31 DSG oder die Genehmigung einesinternationalen Datenverkehrs nach § 13DSG.

HINWEISNicht nur das DSG, sondern auchMateriengesetze, wie zB das Sicher-heitspolizeigesetz (§ 90 Satz 1 SPG,Verletzung von Rechten durchVerwendung personenbezogenerDaten in Angelegenheiten derSicherheitsverwaltung entgegen denBestimmungen des DSG) prägen denWirkungsbereich der Datenschutz-behörde! Für datenschutzrechtlicheVerfahrensgegenstände aus demBereich des Landesrechts sind dieLandesverwaltungsgerichtezuständig.

Zweite Instanz gegenüber BehördenDas Bundesverwaltungsgericht entscheidetgem Art 130 Abs 1 B-VG neu über Be-schwerdenn 1. gegen den Bescheid einer Verwal-

tungsbehörde (VwBeh – zB der Daten-schutzbehörde) wegen Rechtswidrigkeit(Bescheidbeschwerde),

n 2. gegen die Ausübung unmittelbarerverwaltungsbehördlicher Befehls- undZwangsgewalt wegen Rechtswidrigkeit(Maßnahmenbeschwerde),

Ordentliche Gerichtsbarkeit Verfassungsgerichtsbarkeit Verwaltungsgerichtsbarkeit

Oberster Gerichtshof (OGH) Verfassungsgerichtshof(VfGH)

Verwaltungsgerichtshof(VwGH)

Oberlandesgerichte (OLG) Bundesverwaltungsgericht/Landesverwaltungsgerichte(keine Über- und Unter-ordnung zwischen BVwGund LVwG)

Landesgerichte (LG) Datenschutzbehörde (DSB)

Bezirksgerichte (BG)

Tabelle: Neuer Instanzenzug

Page 13: Datenschutz Konkret

Dako 1 | 2014 9

der beitrag

n 3. wegen Verletzung der Entscheidungs-pflicht durch eine VwBeh (zB der Daten-schutzbehörde) (Säumnisbeschwerde)und

n 4. gegen – die hier nicht relevanten –

Weisungen an Schulbehörden.

HINWEISIn den Angelegenheiten des – nachwie vor bestehenden – eigenenWirkungsbereichs der Gemeindenkann Beschwerde an das Verwal-tungsgericht erst nach Erschöpfungdes Instanzenzugs erhoben werden.

Beschwerdefrist undBeschwerderechtDieBeschwerdefrist ist nunmehr vierWo-chen. Legitimiert ist, wer in seinen Rechtenverletzt zu sein behauptet oder wer alsPartei zur Geltendmachung der Entschei-dungspflicht berechtigt zu sein behauptet.

Eigenes VerfahrensrechtDas Verfahren ist im neuen Verwaltungsge-richtsverfahrensgesetz (VwGVG) geregelt,subsidiär gilt das Allgemeine Verwaltungs-verfahrensgesetz (AVG). Im Beschwerde-verfahren besteht kein Anwaltszwang (an-ders bei den beiden Höchstgerichten).

Das VwGVG regelt dasVerfahren vor den neuenVerwaltungsgerichten,subsidiär ist das AVGanzuwenden.

Grundsätzlich entscheidet ein Einzelrich-ter. Gem § 39 DSG entscheidet in Angele-genheiten dieses Gesetzes jedoch ein Senat,bestehend aus einem Vorsitzenden und jeeinem fachkundigen Laienrichter aus demKreis der Arbeitgeber und Arbeitnehmer.Die Geschäftsverteilung 2014 des BVwGsieht drei solcher Senate für Datenschutz-angelegenheiten vor.

Die Einbringung der Beschwerde er-folgt idR bei der belangten Behörde.

BescheidbeschwerdeEin wegen Rechtswidrigkeit angefochte-ner Bescheid kann von der VwBeh bin-nen zwei Monaten durch eine neue Ent-scheidung (Beschwerdevorentscheidung)ersetzt werden; ansonsten ist die Be-schwerde dem BVwG durch die VwBehvorzulegen.

Gegen die Beschwerdevorentscheidungkann binnen zwei Wochen ein Vorlagean-trag bei der Behörde gestellt werden, dh, esmöge die Beschwerde dem Verwaltungsge-richt vorgelegt werden.

Das Verwaltungsgericht entscheidet –

im Rahmen der Beschwerdegründe – inder Sache selbst mittels „Erkenntnis“,wenn der maßgebliche Sachverhalt feststehtoder die Sachverhaltsfeststellung durch dasGericht effizienter ist. Liegen diese Voraus-setzungen nicht vor, hebt das VwG den an-gefochtenen Bescheid mit Beschluss aufund verweist die Angelegenheit an die Ad-ministrativbehörde zur neuerlichen Ent-scheidung zurück.

MaßnahmenbeschwerdeEine Ausübung unmittelbarer Befehls- undZwangsgewalt liegt dann vor, wenn einseitigin subjektive Rechte des Betroffenen einge-griffen und hierbei physischer Zwang aus-geübt wird oder die unmittelbare Ausübungphysischen Zwangs bei Nichtbefolgung ei-nes Befehls droht. Bei Rechtswidrigkeit(Ausübung sicherheitspolizeilicher Maß-nahmen nur in den Fällen und in der Art,die das Sicherheitspolizeigesetz vorsieht)steht die Beschwerde an das Landesverwal-tungsgericht (§ 88 SPG) offen. Der Daten-schutzbehörde steht nämlich gem § 90Satz 2 SPG keine Beurteilung der Rechtmä-ßigkeit einer Ermittlung von Daten durchdie Ausübung verwaltungsbehördlicher Be-fehls- und Zwangsgewalt zu.

SäumnisbeschwerdeSäumnis in datenschutzrechtlichen Ver-fahren: Für das Registrierungsverfahren giltin allen Fällen die sechsmonatige Entschei-dungsfrist des § 73 Abs 1 AVG (ErläutRV2010, siehe Pollirer/Weiss/Knyrim, DSG2

[Sonderausgabe] nach § 20).Da die Datenschutzbehörde alle Aufga-

ben der aufgelösten DSK übernommenhat (ErläutRV 2014, siehe Pollirer/Weiss/Knyrim, DSG2 nach § 35), zB auch die Ge-nehmigung für die Übermittlung vonDatenins Ausland (§ 13 DSG), gilt in all diesenVerfahren das AVG (Art I Abs 2 Z 1EGVG) und daher auch die Entschei-dungspflicht gem § 73 Abs 1 AVG.

Im Übrigen ist es nach der Judikaturdes VwGH für das Bestehen der Entschei-dungspflicht nicht einmal erforderlich, dassdas Gesetz das Wort „Entscheidungs-pflicht“ gebraucht; dies könne sich schonaus der Kompetenz zur Entscheidung erge-

ben (VfGH [Hrsg], Die Gerichtsbarkeit öf-fentlichen Rechts [1983] 46).

Sohin hat die Datenschutzbehörde überalle Anträge (etwa auch Meldungen im Re-gistrierungsverfahren) von Parteien ohneunnötigen Aufschub, spätestens aber sechsMonate nach deren Einlangen, einen Be-scheid zu erlassen (§ 18 AVG) bzw nach§ 21 Abs 3 DSG vorzugehen oder die Regis-trierung derMeldung nach § 20 Abs 5 DSGabzulehnen.

Geschieht dies nicht, so steht der Parteidie Säumnisbeschwerde (wegen Verlet-zung der Entscheidungspflicht gem Art 130Abs 1 Z 3 B-VG, wo – im Gegensatz zur Z 1– nichts von einem Bescheid geschriebensteht) an das Verwaltungsgericht (hierBVwG) nach § 38 Abs 3 DSG iVm § 8VwGVG offen.

Im Säumnisbeschwerdeverfahren kanndie belangte Behörde (hier Datenschutzbe-hörde) den Bescheid oder die gebotene Er-ledigung (zB § 21 Abs 3 DSG) innerhalbeiner Frist von bis zu drei Monatennachholen. Wenn die Nachholung unter-bleibt, ist die Beschwerde unter Anschlussder Akten dem Verwaltungsgericht (hierBVwG) vorzulegen (§ 16 VwGVG zitiertzwar die Z 3 des Art 130 Abs 1 B-VG,spricht aber entgegen dieser Verfassungs-bestimmung nur von einem Bescheid undnicht richtig „von einer sonstigen Erledi-gung“).

VerwaltungsgerichtshofGem Art 133 Abs 6 Z 1 B-VG kann gegendas Erkenntnis eines Verwaltungsgerichts(gem § 15 Abs 1 VwGG binnen sechs Wo-chen) wegen Rechtswidrigkeit Revision er-heben, wer durch das Erkenntnis in seinenRechten verletzt zu sein behauptet; nachArt 133 Abs 6 Z 2 B-VG aber auch dieDSB als belangte Behörde des Verfahrensvor dem Verwaltungsgericht.

Grundsatz- und ZulassungsrevisionDie Revision ist jedoch nur zulässig, wennsie von der Lösung einer Rechtsfrage ab-hängt, der grundsätzliche Bedeutung zu-kommt, insb weil das Erkenntnis von derRechtsprechung des VwGH abweicht, einesolche Rechtsprechung fehlt oder die zulösende Rechtsfrage in der bisherigenRechtsprechung des VwGH nicht einheit-lich beantwortet wird (Art 133 Abs 4 legcit B-VG).

Rechtswidrigkeit liegt im Übrigen nichtvor, soweit das Verwaltungsgericht (oder

Page 14: Datenschutz Konkret

10 Dako 1 | 2014

der beitrag

die VwBeh) Ermessen iSd Gesetzes geübthat.

Für die Zulassung zumVwGH gilt nun dasRevisionsmodell der ZPO.

Der VwGH kann nunmehr auch in der Sa-che selbst entscheiden, wenn diese entschei-dungsreif ist und es im Interesse der Ein-fachheit, Zweckmäßigkeit und Kostener-sparnis liegt.

Außerordentliche Revision:Das VwGhat im Spruch seines Erkenntnisses oderBeschlusses mit Begründung auszuspre-chen, ob die Revision gem Art 133 Abs 4B-VG zulässig ist (§ 25a Abs 1 VwGG).

Wurde die Revision für nicht zulässigerklärt, steht die außerordentliche Revisionzu, wobei neben den Revisionsgründenauch darzulegen ist, warum die Revisiontrotzdem als zulässig erachtet wird (§ 28Abs 3 VwGG). Der VwGH kann die außer-ordentliche Revision nun in nichtöffentli-cher Sitzung mit Beschluss zurückweisen,oder der Gerichtshof leitet das Verfahren

mit Aufforderung zur Revisionsbeantwor-tung ein.

HINWEISDas heißt nicht, dass der außer-ordentlichen Revision ein Erfolg be-schieden sein muss; auch hier be-stehen – wie bei der ordentlichen Re-vision – die Möglichkeiten der Abwei-sung als unbegründet oderAufhebungder angefochtenen Entscheidung bzwEntscheidung in der Sache selbst.

Verfassungsgerichtshof(Sonderverwaltungsgerichtshof)Der VfGH erkennt ua über Beschwerdengegen das Erkenntnis (oder den Beschluss)eines Verwaltungsgerichts, soweit der Be-schwerdeführer dadurch in einem ver-fassungsgesetzlich gewährleisteten Recht(hier vor allem § 1 DSGGrundrecht auf Da-tenschutz) in seinen Rechten verletzt zusein behauptet (Art 144 B-VG).

Dako 2014/4

Zum ThemaÜber den AutorHofrat Dr. Ernst M. Weiss ist Mitautor des großen MANZ-Kommentars und des Taschen-

buchs zum Datenschutzrecht. Als ehemaliger Berufsrichter ist er noch aktiv in der Schieds-

gerichtsbarkeit tätig. E-Mail: [email protected]

LiteraturFischer/Pabel/N. Raschauer (Hrsg), Handbuch der Verwaltungsgerichtsbarkeit (2014);

Fister/Fuchs/Sachs, Das neue Verwaltungsgerichtsverfahren, Taschenkommentar (2013);

Knyrim/Horn, Datenschutzverfahren nach der neuen Verwaltungsgerichtsbarkeit, in

Jahnel, Jahrbuch Datenschutzrecht und E-Government 2013 (2013) 191.

Hans-Jürgen PollirerGeschäftsführer der Secur-Data Betriebsberatungs-GmbH

Der betriebliche Datenschutzbeauftragte (DSB)in ÖsterreichAnforderungsprofil, Fähigkeiten und Kenntnisse. Die persönlichen und fachlichenVoraussetzungen des betrieblichen DSB.

EinleitungGrundsätzlich ist festzuhalten, dass es inÖsterreich – im Unterschied zu Deutsch-land – bis dato keine gesetzliche Verpflich-tung gibt, einen betrieblichen Datenschutz-beauftragten (DSB) zu bestellen. Das mussjedoch nicht immer so bleiben. So war imEntwurf der DSG-Nov 2008 unter § 15adie Einführung eines betrieblichen DSBvorgesehen. Die Umsetzung dieser Bestim-mung scheiterte allerdings am Widerstandder WKÖ, die va die vorgesehene Bestell-grenze ab 20 Beschäftigten sowie die Ab-stellung auf den Betriebsbegriff nach § 34

Abs 1 ArbVG vehement ablehnte. Nachden Bestimmungen des § 34 Abs 1 ArbVGist nämlich nicht zwingend die rechtlicheEinheit (= Unternehmen) gemeint, sondernjede Arbeitsstätte, die eine organisatorischeEinheit bildet, also zB auch jede einzelne Fi-liale einer Bank oder Lebensmittelhandels-kette. Diese Bestimmung hätte somit be-deutet, dass in jeder Filiale – sofern sie dieBeschäftigtengrenze von 20 überschreitet,was idR anzunehmen ist – ein eigener be-trieblicher DSB zu bestellen gewesen wäre.Auch dem vom BKA im Juli 2012 vorgeleg-ten Entwurf einer DSG-Nov 2012, die un-

ter § 17 a die Einführung eines betrieblichenDSB auf freiwilliger Basis vorsah, blieb eineUmsetzung verwehrt, nicht zuletzt deshalb,weil die Standpunkte der Interessenvertre-tungen wohl zu stark voneinander abwi-chen.

Auch im Rahmen der geplanten EU-Datenschutz-Grundverordnung (EU-DS-GVO) ist eine endgültige Festlegung aufdie Kriterien für eine verpflichtende Bestel-lung eines betrieblichen DSB noch nicht inSicht. So enthielt der Entwurf der Kom-mission zu einer DS-GVO vom 25. 1. 2012gem Art 35 die Pflicht zur Bestellung eines

Page 15: Datenschutz Konkret

Dako 1 | 2014 11

der beitrag

betrieblichen DSB für Unternehmen mitmehr als 250 Mitarbeitern, also für Groß-betriebe iSd europäischen Unternehmens-definition. In diese Gruppe fallen in Öster-reich 0,4% aller Wirtschaftsunternehmenoder in absoluten Zahlen rund 1.000 Be-triebe; der Entwurf war damit aus öster-reichischer Sicht ein „Minderheitenpro-gramm“.

In der Zwischenzeit ist dieser VorschlagGeschichte: Am 12. 3. 2014 hat nämlich dasPlenum des EP den Entscheidungsvor-schlag seines Ausschusses für bürgerlicheFreiheiten, Justiz und Inneres (LIBE), derin seiner Sitzung am 21. 10. 2013 mit großerMehrheit die Vorlage des BerichterstattersJan Philipp Albrecht angenommen hatte, be-reits in erster Lesung gebilligt. Nunmehrenthält Art 35 die Bestimmung, dass ein be-trieblicher DSB dann bestellt werden muss,wenn das datenverarbeitende Unternehmeninnerhalb eines Jahres die Daten von mehrals 5.000 Betroffenen oder besonders sen-sible Daten verarbeitet. Ob diese Grenzzie-hung praktikabel ist, darf nach Meinungdes Verfassers stark bezweifelt werden. Un-ter dieses Kriterium fällt jede umfangrei-chere Adressdatei!

Unbeschadet der weiteren Entwicklungin Bezug auf eine verpflichtende oder auchfreiwillige Bestellung eines betrieblichenDSB auf österreichischer oder europäischerEbene ist jedenfalls für die Einhaltungder datenschutzrechtlichen BestimmungenSorge zu tragen. Insb deshalb, weil die Ver-letzung des Datenschutzes schwerwiegendeFolgen für das Unternehmen haben kann,wie zB:n eine Verwaltungsstrafe bis zu

E 25.000,– (§ 52 Abs 1 DSG 2000)bzw E 10.000,– (§ 52 Abs 2 DSG 2000);

n immaterieller Schadenersatz bis zuE 20.000,– (§ 33 DSG 2000);

n materieller Schadenersatz (zB bei einemschwerwiegenden Data Breach gem § 24Abs 2a) in unbestimmter Höhe;

n Imageschaden, der im schlimmsten Fallden Untergang des Unternehmens be-deuten kann, und

n nicht zuletzt das im Entwurf derDS-GVO vorgesehene exorbitant hoheBußgeld von bis zu 100 Mio Euro oder5% des weltweiten Jahresumsatzes(Art 76 Abs 2 DS-GVO).

Fähigkeiten und Haltungen

Anforderungsprofil Beschreibung

Kommunikations-und Didaktikfähig-keiten

Der DSB muss in der Lage sein, das Datenschutzbewusstsein der Mit-arbeiter im Unternehmen entsprechend zu erhöhen. Dazu gehörenGesprächsführung, Verhandlungsgeschick, die Fähigkeit, mit Konflik-ten umzugehen, sowie Kompetenzen in der Rhetorik.

Zuverlässigkeit Der DSB muss seine Aufgaben gewissenhaft, unparteiisch, uneigen-nützig, unabhängig und im Bewusstsein, dass er für die Einhaltung derdatenschutzrechtlichen Bestimmungen in seinem Unternehmen ver-antwortlich ist, ausführen. Er hat, bedingt durch seine Aufgabe, be-sonders auf die Einhaltung der Verschwiegenheitspflicht zu achten.

analytisch-logischesDenken

Der DSB muss über die Fähigkeit verfügen, Sachverhalte und Situatio-nen zielorientiert zu durchdenken, die richtigen Schlüsse zu ziehen undfolgerichtige Vorgangsweisen zu entwickeln.

Durchsetzungs-fähigkeit

Der DSB muss über die Fähigkeit verfügen, Ziele gegen sachliche undpersönliche Widerstände zu erreichen.

Initiative Der DSB muss über die Fähigkeit verfügen, ohne fremde Veranlassungsinnvolle Ziele zu definieren und in Ergebnisse umzusetzen.

Lernbereitschaft Der DSB muss bereit sein, fehlende stellenspezifische Qualifikationendurch entsprechende Maßnahmen zu erwerben bzw die vorhandeneQualifikation den sich ständig ändernden Anforderungen des Daten-schutzes anzupassen.

Tabelle 1: Fähigkeiten und Haltungen der DSB

Berufskenntnisse und Erfahrungen

Anforderungsprofil Beschreibung

Unternehmens-kenntnisse

Der DSB sollte die formalen (Aufbau- und Ablaufstruktur) und die in-formellen Strukturen im Unternehmen ausreichend kennen.

rechtlicheKenntnisse

Der DSBmuss die Grundlagen des europäischen Datenschutzrechts unddie Regelungen des DSG 2000, die datenschutzrechtlich relevanten Be-stimmungen des ArbVG, das TKG 2003 sowie die Gesetze mit bereichs-spezifischen Datenschutzbestimmungen, die die Branche seines Un-ternehmens (wie zB ECG, GTelG, ÄrzteG, BWG, KAKuG) betreffen, sowiedie Rechnungslegungsvorschriften, die IKS-Regeln und die innerbe-trieblichen Datenschutzvorschriften ausreichend kennen.

technischeKenntnisse

Der DSB muss Grundlagenkenntnisse der Informations- und Kommu-nikationstechnik besitzen. Er muss über die im Unternehmen einge-setzten Hardware- und Softwaresysteme sowie über die Infrastrukturausreichend Bescheid wissen. Darüber hinaus muss er Sicherheits-risken in folgenden Bereichen erkennen und beurteilen können:Videoüberwachung, Zutrittskontrollsysteme, Netzwerksysteme, Hard-ware, Betriebssysteme, Datenbanktechnologien, Anwendungssoftware.Weiters sind Kenntnisse von organisatorischen und technischen Si-cherheitsmaßnahmen sowie die Kenntnis von Sicherheitsnormen und-Standards erforderlich (zB BSI-Grundschutz, ISO/IEC 27000).

betriebswirtschaft-liche Kenntnisse

Der DSB sollte auch über ausreichend betriebswirtschaftliche Kennt-nisse verfügen, va in den Bereichen Organisationslehre, Planung undKontrolle sowie Personalwirtschaft, Finanz- und Rechnungswesen undControlling, Vertrieb, Marketing. Er muss in der Lage sein, Maßnah-menvorschläge selbständig zu erarbeiten, die einen adäquaten Daten-schutzstandard im Unternehmen sicherstellen.

Tabelle 2: Berufskenntnisse und Erfahrungen der DSB

PRAXISTIPPZum Schutz des Unternehmens solltedaher nach Meinung des Verfassersein verantwortungsbewusster undqualifizierter Mitarbeiter oder einexterner Spezialist für die Wahrneh-mung der datenschutzrechtlichenPflichten bestellt werden.

Das AnforderungsprofilWenn man sich mit dem Anforderungspro-fil an den betrieblichen DSB auseinander-setzt, denkt man automatisch an den Aus-druck „eierlegende Wollmilchsau“: Er sollte

im Idealfall eine Mischung aus einem Juris-ten, einem Informatiker, einem Pädagogenund einem Betriebswirt sein. Da Personenmit diesen Qualifikationen im Unterneh-men oder am Arbeitsmarkt kaum zu findensind, ist es unerlässlich, dass dem betriebli-chen DSB seitens der Firmenleitung dieMöglichkeit eingeräumt wird, auf externeSpezialisten zurückzugreifen.

PRAXISTIPPWird die Stelle des betrieblichen DSBintern besetzt, so sollte darauf geach-tet werden, dass Interessenkonflikte

Page 16: Datenschutz Konkret

12 Dako 1 | 2014

die checkliste

vermieden werden. Auf diese Forde-rung wird in der Praxis wenig geach-tet. So sind dem Verfasser aus seinerBeratungstätigkeit Fälle bekannt, inwelchen der IT-Leiter oder einer sei-nerMitarbeiter diese Funktion ausübt.Das hat zur Folge, dass der betrieb-liche DSB sich selbst oder seinenVorgesetzten kontrolliert.

Auch die Wahrnehmung dieser Funktiondurch den Geschäftsführer ist in der Praxis

nicht selten. Die Bestellung von Mitarbei-tern, die im Finanz- und Rechnungswesentätig sind, sollte ebenfalls vermieden wer-den. Am besten geeignet ist eine Zuordnungdieser Funktion an die Rechtsabteilungoder die Interne Revision (siehe Tabelle 1und 2).

Das Anforderungsprofil des betriebli-chen DSB richtet sich nach dem Unterneh-men, für das er bestellt wird. Je größer dasUnternehmen ist oder je komplexer die Da-tenverarbeitung ist bzw je sensibler die ver-

arbeiteten personenbezogenen Daten sind,umso höher werden die Anforderungen anden betrieblichenDSB sein. Da die geforder-ten Qualifikationen im Betrieb kaum vor-handen sein werden, ist dem für diese Posi-tion ausgewählten Mitarbeiter die Möglich-keit zum Besuch von entsprechenden ein-schlägigen Weiterbildungsveranstaltungeneinzuräumen. Weiters wird es idR notwen-dig sein, vorhandeneDefizite durch den Ein-satz externer Spezialisten abzudecken.

Dako 2014/5

Zum ThemaÜber den AutorProf. KommR Hans-Jürgen Pollirer ist Geschäftsführer der Wiener Unternehmensberatung Secur-Data und Co-Autor des Kommentars zum

Datenschutzgesetz. E-Mail: [email protected]

LiteraturDohr/Pollirer/Weiss/Knyrim, Kommentar Datenschutzrecht2 (2013); Knyrim, Datenschutzrecht2 (2012);

BvD, Das berufliche Leitbild des Datenschutzbeauftragten (2011), www.bvdnet.de/fileadmin/BvD_eV/pdf_und_bilder/leitbild/bvd-leitbild-

2011.pdf (Stand 3. 7. 2014); Koch, Der betriebliche Datenschutzbeauftragte (2003);

Leiter, Der Datenschutzbeauftragte – Theorie und Praxis, ZIR 2014/1;

Düsseldorfer Kreis, Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3

Bundesdatenschutzgesetz (BDSG) (Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, Düsseldorf

Kreis am 24./25. 11. 2010), www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/24112010-

MindestanforderungenAnFachkunde.pdf;jsessionid=63101F26E 1712B177FC6A036624718C6.1_cid344?__blob=publicationFile

(Stand 3. 7. 2014);

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Die Datenschutzbeauftragten in Behörde und Betrieb (2011),

www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO4.pdf?__blob=publicationFile (Stand 3. 7. 2014).

HinweisIn der nächsten Ausgabe von Datenschutz konkret werden die Aufgaben des Datenschutzbeauftragten behandelt.

Hans-Jürgen PollirerGeschäftsführer der Secur-Data Betriebsberatungs-GmbH

Checkliste – Bring Your Own Device (BYOD)Das private Smartphone, Tablet und Internetdienste beruflich nutzen. Mitarbeiter wollen ihreprivaten Geräte und Software auch im Beruf einsetzen. Der Trend ist geprägt von einer Vielfaltan verschiedenen Geräten mit unterschiedlichen Betriebssystemen. Der Beitrag zeigt dieVor- und Nachteile auf, die sich für Mitarbeiter und Unternehmen ergeben. Prüffragen in Formeiner Checkliste unterstützen bei der Einführung einer BYOD-Richtlinie.

Alltag in der Mobility-LandschaftMit der sog „Consumerisation der IT“ löstsich die Grenze zwischen beruflicher undprivater IT-Nutzung auf, dh, Systeme, Pro-

gramme und Dienste werden sowohl im be-ruflichen als auch im privaten Bereich ver-wendet. Das Bundesamt für Sicherheit inder Informationstechnik (BSI) führt in sei-

nem „Überblickspapier Consumerisationund BYOD“ folgende Einsatzbeispiele an:n Mitarbeiter wollen ihre privaten Smart-

phones und Tablets für dienstliche

Page 17: Datenschutz Konkret

Dako 1 | 2014 13

die checkliste

E-Mails, Termine und sonstige dienstli-che Tätigkeiten nutzen.

n Mitarbeiter sind privat an bestimmteProgramme, wie zB das Grafikbearbei-tungsprogramm GIMP, gewöhnt undmöchten diese auch in ihrem Beruf ein-setzen.

n Mitarbeiter benutzen privat Internet-dienste, wie zB Dropbox zur Speiche-rung von Daten in der Cloud oderWerk-zeuge wie Doodle, um Termine abzu-stimmen, und möchten diese Diensteauch beruflich nutzen.

Geprägt war die Mobility-Landschaft langeZeit durch BlackBerry-Geräte, die höchsteSicherheit und Stabilität garantierten. Inder Zwischenzeit haben BlackBerry-Gerätean Attraktivität stark verloren und iPhonesund iPads mit dem Betriebssystem iOS ha-ben ihren Einzug in die Unternehmen ge-funden. Die gleiche Feststellung trifft auchauf Android-Geräte zu, allerdings verbun-den mit dem Problem, dass die verschiede-nen Hersteller dieses Betriebssystem umeigene Komponenten ergänzen, sodass voneiner einheitlichen Betriebssystemumge-bung keine Rede sein kann. Die Vielfaltan verschiedenen Geräten mit unterschied-lichen Betriebssystemen erhöht den Ver-waltungsaufwand in der IT-Abteilung we-sentlich.

Mit dem Begriff „Consumerisation“verwandt ist der mit der AbkürzungBYODverbundene Trend. Hier nutzen die Mit-arbeiter ihre privaten Geräte (Notebooks,Tablets und Smartphones) nicht nur fürprivate, sondern auch für berufliche Zwe-cke. Sie greifen damit auf die Server des Un-ternehmens zu und speichern bzw verarbei-ten firmeneigene Daten auf ihren persönli-chen Geräten. Die Besonderheit von BYODliegt in der Tatsache begründet, dass sichdie Geräte im Eigentum der Mitarbeiterbefinden, auch wenn sich Unternehmenmanchmal an den Kosten für die Anschaf-fung und den Betrieb beteiligen.

Folgt man den Ergebnissen verschiede-ner Umfragen, so haben den Trend zuBYOD eindeutig die Anwender ausgelöst,

weil sie gerne die Letztversionen ihrerSmartphones, Tablets und Notebooks ver-wenden und es wesentlich bequemer ist,nur ein Gerät anstatt zwei Geräte mitzufüh-ren. Darüber hinaus sind die privaten Ge-räte in der Regel oft moderner ausgestattetund leistungsfähiger als diejenigen, dievom Unternehmen zur Verfügung gestelltwerden.

BYOD ist bequem für denAnwender, für das Unter-nehmen stellen sich jedocheine Reihe von arbeits-,datenschutz- und urheber-rechtlichen Fragen.

Vor- und Nachteile von BYODDer Einsatz von BYOD kann aus der Sichtdes Unternehmens Vorteile mit sich brin-gen. Allerdings gibt es auch eine Reihe vonNachteilen, die bei der Entscheidung, obBYOD eingesetzt werden soll oder nicht –sofern diese Entscheidung nicht schonlängst durch einen schleichenden und nichtstrategisch bestimmten Einsatz von BYODobsolet geworden ist –, zu berücksichtigensind.

Zu den Vorteilen aus Sicht des Unter-nehmens zählen:n Kosten für neue Hardware können ein-

gespart werden.n Mitarbeiterinnen und Mitarbeiter sind

besser motiviert, wenn sie aktuelle Ge-räte für ihre Arbeit einsetzen können.

n Mitarbeiterinnen und Mitarbeiter kön-nen ihre Geräte selbst aussuchen, ohneauf bestehende Hard- und Softwarean-gebote des Arbeitgebers angewiesen zusein.

n Die Notwendigkeit, mehrere mobile Ge-räte mitzuführen, entfällt.

n Stärkere Bindung der Mitarbeiter an dasUnternehmen.

n Entlastung der IT-Abteilung durchWeg-fall des Supports für die mobilen Geräte.

Diesen Vorteilen stehen folgendeNachteileentgegen:

n BYOD ist nicht für alle Arbeitsplätze an-wendbar.

n Kompatibilitätsprobleme können auf-treten.

n Aufwendige Zugriffskontrollmechanis-men werden notwendig.

n Bedingt durch technische Diskussionenunter den Mitarbeitern kann es zu Ar-beitszeitverlust kommen.

n Wichtige Sicherheitsvorgaben, insb diestrikte Trennung zwischen privaten undberuflichen Daten, sind ohne zusätzlichekostenpflichtige Software (Mobile De-vice-Management-Programme) nicht um-setzbar.

n Eventuell müssen aus Sicherheitsgrün-den Umbauten der IT-Infrastruktur (zu-sätzliche Server für den Remote-Zugang,Trennung von Netzwerkbereichen) er-folgen.

n Bei Beschädigung oder Verlust des priva-ten mobilen Geräts haftet grundsätzlichder Arbeitgeber, sofern der Schaden auf-grund der dienstlichen Tätigkeit ent-standen ist. Dadurch können hohe Auf-wände für die Reparatur oder Wiederbe-schaffung entstehen.

n Weitere Kosten können für zusätzlicheSoftwarelizenzen anfallen, da viele Appsnur dann kostenlos verwendet werdendürfen, wenn sie ausschließlich für pri-vate Zwecke genutzt werden.

n Es besteht ein hohes Datensicherheits-risiko.

PrüffragenDamit die Einführung von „Bring YourOwn Device“ nicht zu „Bring Your OwnDilemma“ oder sogar „Bring Your OwnDisaster“ wird, bedarf es einer unterneh-mensweiten BYOD-Strategiemit einer kla-ren BYOD-Richtlinie sowie einer Ausei-nandersetzung mit diversen rechtlichenFragen, vor allem aus den Bereichen Ar-beitsrecht, Datenschutzrecht und Urheber-recht. Die nachfolgende Checkliste soll denfür die Einführung von BYOD zuständigenPersonenkreis bei der Überprüfung der not-wendigen Maßnahmen unterstützen:

Prüffragenicht an-wendbar erfüllt

nichterfüllt

Prüfpunkt 1 – BYOD-Richtlinie

Frage 1: Ist eine unternehmensweite BYOD-Richtline vorhanden?Anmerkung:Das größte Problem beim Einsatz von BYOD liegt im Sicherheitsbereich, da die Kontrolle des Unternehmensüber die eingesetzte Hardware und Software durchbrochen wird. Es ist daher unbedingt erforderlich, ein Regelwerk zuentwickeln, um dieses hohe Sicherheitsrisiko zu minimieren. Der Inhalt dieser BYOD-Richtlinie ergibt sich aus denfolgenden Fragen.

Frage 2: Ist eindeutig geregelt, welche Mitarbeiter an BYOD teilnehmen dürfen?

Page 18: Datenschutz Konkret

14 Dako 1 | 2014

die checkliste

Prüffragenicht an-wendbar erfüllt

nichterfüllt

Frage 3: Ist eindeutig geregelt, welche mobilen Geräte eingesetzt werden dürfen bzw welche vom Einsatzausgeschlossen sind?

Frage 4: Ist eindeutig geregelt, welche Software eingesetzt werden darf bzw welche Software vom Einsatzausgeschlossen ist?Anmerkung: Damit soll zB die Nutzung von nichtvertrauenswürdigen Cloud-Diensten ausgeschlossen werden.

Frage 5: Ist eindeutig geregelt, welche Apps installiert werden dürfen und welche nicht?

Frage 6: Ist eindeutig geregelt, welche Betriebssysteme zugelassen sind bzwwelche nicht zum Einsatz kommendürfen?

Frage 7: Ist eindeutig geregelt, welche Informationen mit welchem Schutzbedarf mit den mobilen Gerätenverarbeitet werden dürfen?Anmerkung: Denkbar wäre eine Datenklassifikation in 4 Sicherheitsklassen, wie zB Klasse 0 = öffentlich, 1 = geschützt,2 = geheim und 3 = vertraulich. Anhand dieser Datenklassifikation wäre dann zu definieren, bis zu welcher Klassemobile Geräte zum Einsatz kommen dürfen.

Frage 8: Enthält die BYOD-Richtlinie auch nichttechnische Vorsichtsmaßnahmen,wie zB, ob diemobilen Gerätean Dritte verliehen oder in öffentlichen Bereichen benützt werden dürfen?

Frage 9: Werden private und betriebliche Daten und Anwendungen getrennt?Anmerkung: Es ist auch darauf zu achten, dass durch Synchronisation/Backup insb von Smartphones oder Tablets mit/auf privaten Computern keine beruflichen Daten auf privaten Geräten gespeichert werden!

Frage 10: Ist der Einsatz von Zertifikaten (zB SCEP, Token) auf den Mobilgeräten vorgesehen?Anmerkung: Benutzername und Kennwort sind bei BYOD aufgrund der ungesicherten Umgebung für die Zugangskon-trolle kaum ausreichend.

Frage 11: Werden verschlüsselte Datencontainer oder ein Information Rights Management (IRM) zum Schutzder betrieblichen Daten eingesetzt?

Frage 12: Sind die Zugriffsrechte der IT-Abteilung auf die mobilen Geräte eindeutig geregelt?

Frage 13: Ist der Einsatz einer automatischen Löschfunktion (Wipe) vorgesehen, wenn das Mobilgerät übereinen bestimmten Zeitraum nicht am Firmennetzwerk angemeldet war?

Frage 14: Ist das Vorgehen bei Security Updates geregelt?

Frage 15: Ist das Vorgehen beim Einspielen von Patches geregelt?

Frage 16: Ist ein Prozess eingerichtet, der das Vorgehen bei einem Verlust oder Diebstahl eines mobilen Gerätsregelt?Anmerkung: Bei Verlust oder Diebstahl eines mobilen Geräts ist eine sofortige Benachrichtigung der IT-Abteilung durchden betroffenen Mitarbeiter unbedingt erforderlich, um den Zugriff auf das mobile Gerät zu sperren und die Daten zulöschen.

Frage 17: Ist genau geregelt, wie bei einer Reparatur bzwnach einemAbsturz desmobilenGeräts vorzugehen ist?

Frage 18: Gibt es ein Datensicherheitskonzept für die mobilen Endgeräte?Anmerkung: Das Datensicherheitskonzept sollte genau regeln, wie bei Datenlöschungen (komplette oder partielleLöschung) bzw bei Sperrungen vorzugehen ist.

Frage 19: Sind alle mobilen Geräte mit Spam-, Malware und Virenschutz ausgestattet?

Frage 20: Werden die Mitarbeiter in den Sicherheitsthemen entsprechend geschult?

Frage 21: Werden alle Daten auf den mobilen Geräten verschlüsselt und entspricht das eingesetzte Ver-schlüsselungsverfahren dem Stand der Technik?

Frage 22: Wurde ein Prozess eingerichtet, wie beim Ausscheiden eines Mitarbeiters mit Daten auf seinenmobilen Geräten zu verfahren ist?

Frage 23: Wird ein Mobile Device-Management-System (MDM) eingesetzt?Anmerkung: Die nachfolgenden Fragen von 24 bis 43 beziehen sich auf die Sicherheitsmerkmale des MDM, die bei derAuswahl eines solchen Systems zu beachten sind.

Frage 24: Weist das MDM Mandantenfähigkeit auf?

Frage 25: Werden die unterschiedlichsten mobilen Geräte unterstützt?

Frage 26: Ist eine Übertragung bestehender Unternehmensrichtlinien auf die mobilen Geräte möglich?

Frage 27: Erfolgt eine Inventarisierung der Mobilfunkumgebung (mit automatischer Geräteerkennung)?

Frage 28: Erfolgt eine Überwachung der Mobilfunkkosten, insb von Roamingkosten?

Frage 29: Ist eine plattformübergreifende Migration der Daten zu den mobilen Geräten möglich (zB ÜbernahmeAdressbuch, Anwendungen, Einstellungen)?

Frage 30: Erfolgt eine fortlaufende Sicherung der Daten auf den mobilen Endgeräten?

Frage 31: Ist der Einsatz von Anti-Malware vorgesehen?

Frage 32: Gibt es eine Jailbreak- und Rootingerkennung für alle bekannten Exploits?

Frage 33: Verfügt das MDM über einen Spamfilter?

Frage 34: Erfolgt eine Verschlüsselung der mobilen Geräte und eventueller Speicherkarten?

Frage 35: Enthält das MDM eine White-List und Black-List für mobile Applikationen?

Frage 36: Wird die Installation von Zertifikaten auf beliebig vielen Devices unterstützt?

Frage 37: Ist eine Verwaltung der Sicherheitsrichtlinien enthalten?

Frage 38: Erfolgt eine Verwaltung der Applikationen?

Page 19: Datenschutz Konkret

Dako 1 | 2014 15

die checkliste

Prüffragenicht an-wendbar erfüllt

nichterfüllt

Frage 39: Enthält das MDM eine Echtzeitremoteunterstützung oder Helpdesklösung?

Frage 40: Enthält das MDM eine Konfigurationsverwaltung?

Frage 41: Verfügt das MDM über eine Sperr- und Löschmöglichkeit für mobile Endgeräte, Funktionen undSpeichermedien?

Frage 42: Ist eine Lokalisierung von verloren gegangenen mobilen Geräten per GPS möglich?

Frage 43: Verfügt das MDM über Remote Wipe?

Prüfpunkt 2 – Arbeitsrecht

Frage 44: Wurde vor Einführung von BYOD eine Betriebsvereinbarung (BV) abgeschlossen oder bei nicht ein-gerichtetem Betriebsrat die Zustimmung jedes einzelnen Mitarbeiters nach § 10 AVRAG eingeholt?Anmerkung: Grundsätzlich eignet sich BYOD aufgrund der Verknüpfung des privaten mobilen Geräts mit demIT-System des Arbeitgebers zur Überwachung und Kontrolle des Mitarbeiters. Für die Einführung von Systemen, dieobjektiv geeignet sind, das Verhalten oder die Leistung des Mitarbeiters zu kontrollieren, ist nach den Bestimmungen des§ 96 Abs 1 Z 3 ArbVG der Abschluss einer Betriebsvereinbarung unumgänglich.

Frage 45: Regelt die BV die Kostenfrage in Bezug auf Beschaffung und Betriebskosten dermobilen Geräte? Gibt eseine Regelung zur Zulässigkeit oder Verbot von Roaming und Tragung von Roamingkosten in der BV?Wurde dieKostenregelung steuerlich geprüft?

Frage 46: Ist in der BV eine Bestimmung enthalten, die das Risiko der Überschreitung der zulässigen Arbeitszeitoder ausufernder Überstunden unterbindet?Anmerkung: Da der Mitarbeiter sein privates Mobilgerät in der Regel außerhalb seiner Arbeitszeit kaum ausschaltenwird, so wie er es mit einem dienstlichen Gerät tun würde, kann es schon beim Lesen einer betrieblich verursachtenE-Mail zu einer Verletzung des Arbeitszeitgesetzes (AZG) bzw Arbeitsruhegesetzes (ARG) kommen. Weiters ist zu be-achten, dass das mobile Arbeiten Überstundenforderungen nach sich ziehen kann (selbst bei All-in-Arbeitsverträgendarf der Mitarbeiter durch dasmobile Arbeiten nicht schlechtergestellt werden, als wenn er keine Überstundenpauschalehätte).

Frage 47: Enthält die BYOD-Richtlinie die detaillierte Vorgehensweise bei Verlust des mobilen Geräts?

Frage 48: Ist in der BV klargestellt, wer bei Verlust des mobilen Endgeräts für die Ersatzbeschaffung, die damitverbundenen Kosten verantwortlich ist bzw für etwaige Schäden haftet?

Frage 49: Ist die Zugriffsberechtigung der IT-Abteilung auf die in den mobilen Geräten gespeicherten Daten –gegebenenfalls auch einschließlich der persönlichen Daten des Mitarbeiters – sowie Anwendungen in der BVgeregelt?

Frage 50: Enthält die BYOD-Richtlinie entsprechende Regelungen, die den Mitarbeiter verpflichtet, entspre-chende Schutzmaßnahmen gegen Viren und sonstige Schadsoftware zu ergreifen?

Frage 51: Ist in der BYOD-Richtlinie geregelt, wie der unbefugte Zugriff auf das mobile Gerät verhindert werdenkann?

Frage 52: Enthält die BYOD-Richtlinie eine Bestimmung, dass der Mitarbeiter nur jene Hardware und Softwareeinsetzen darf, die vom Unternehmen zugelassen ist?

Frage 53: Wird in der BV auch auf mögliche Sanktionen bei Verstoß gegen die BYOD-Richtlinie hingewiesen?

Frage 54: Enthält die BYOD-Richtlinie auch Regelungen in Bezug auf die zu treffenden Maßnahmen bei Been-digung des Arbeitsverhältnisses?

Prüfpunkt 3 – Urheberrecht

Frage 55: Wurden sämtliche Unternehmenslizenzen darauf überprüft, ob von ihnen auch die Nutzung auf denmobilen Geräten der Mitarbeiter abgedeckt wird?Anmerkung: Da die meisten Software-Anbieter für die gewerbliche und die private Nutzung von Software unter-schiedliche Lizenzbedingungen vorsehen, ist diese Frage dringend zu klären, damit für das Unternehmen keineHaftungsrisken entstehen.

Frage 56: Wurden die Mitarbeiter in der BYOD-Richtlinie darauf hingewiesen, dass ihre private Softwaregrundsätzlich nicht zu Betriebszwecken verwendet werden soll?Anmerkung: Diese Frage betrifft vor allem Apps, deren kostenlose Nutzung in der Regel nur für den privaten Einsatzvorgesehen ist.

Frage 57: Wurden die Mitarbeiter darauf hingewiesen, dass sie keinesfalls „Raubkopien“ zu betrieblichenZwecken verwenden dürfen?

Prüfpunkt 4 – Datenschutz

Frage 58: Sind private und betriebliche Daten strikt getrennt?Anmerkung: Diese und alle weiteren Prüffragen beziehen sich auf die datenschutzrechtlichen Anforderungen des § 14DSG 2000. Demnach ist der Unternehmer (= Auftraggeber iSd DSG 2000) als Herr der Daten verpflichtet, angemesseneDatensicherheitsmaßnahmen zu treffen, um sicherzustellen, dass Daten vor zufälliger oder unrechtmäßiger Zerstörungund vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nichtzugänglich sind.Der Vollständigkeit halber sei darauf hingewiesen, dass der Auftraggeber noch eine Vielzahl weiterer datenschutz-rechtlicher Anforderungen erfüllen muss, von der Einhaltung der Qualitätsgrundsätze des § 6 DSG 2000 bis zurWahrung der Rechte des Betroffenen in Bezug auf Auskunft, Richtigstellung oder Löschung und Widerspruch(§§ 26–28 DSG 2000), deren Behandlung den Rahmen dieser Checkliste sprengen würde.

Frage 59: Sind dieMitarbeiter angewiesen, ihremobilen Geräte so zu sichern, dass die Nutzung durchUnbefugte(zB die eigenen Kinder) verhindert wird?Anmerkung: Generell sollte eine Nutzung durch Dritte unterbunden werden. Weiters sollten die Mitarbeiter in derBYOD-Richtlinie verpflichtet werden, BYOD-Geräte nicht an unsicheren Orten unbeaufsichtigt zu lassen (zB im Auto,am Kaffeehaustisch).

Page 20: Datenschutz Konkret

16 Dako 1 | 2014

die checkliste

Prüffragenicht an-wendbar erfüllt

nichterfüllt

Frage 60: Ist der BYOD-Einsatz in der BYOD-Richtlinie auf mobile Geräte beschränkt, die sich im Eigentum desMitarbeiters befinden?Anmerkung: Sollte dies nicht der Fall sein und das mobile Gerät zB dem Ehegatten gehören, so wird dessen unbefugterZugang kaum auszuschließen sein.

Frage 61: Wird jeder Mitarbeiter über seine nach dem DSG 2000 und nach innerorganisatorischen Daten-schutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten belehrt?

Frage 62: Werden wirksame Zugriffskontrollsysteme für die mobilen Geräte eingesetzt?Anmerkung: In der BYOD-Richtlinie sollten Regeln enthalten sein, längere, nicht zu einfache Passworte und Bild-schirmentsperrungen zu verwenden; die Änderungsintervalle sollten festgelegt werden ebenso wie eine kurzeAktivierungszeit für Displaysperren.

Frage 63: Ist eine verpflichtende oder automatisierte Installation von Antivirensoftware auf den mobilenGeräten vorgesehen?

Frage 64: Werden Screenshot-Funktionen bei betrieblichen Datenanwendungen auf den mobilen Gerätenunterbunden?

Frage 65: Werden Cloud-basierte Sprachassistenten (zB Siri) in Geschäftsanwendungen unterdrückt?Anmerkung: Generell sollten Cloud-Dienste für die berufliche Nutzung in der BYOD-Richtlinie unterbunden werden(zB Dropbox, Evernote).

Frage 66: Erfolgt der Zugriff auf unternehmensinterne Webportale (zB Intranet) über eigene Browser und wirddie Kommunikation zwischen Portal und mobilem Gerät zusätzlich verschlüsselt?

Frage 67: Wurde eine Fernlöschung und -sperrung eingerichtet, um im Verlustfall die unbefugte Verwendungdes mobilen Geräts zu verhindern? Ist in der BYOD-Richtlinie klargestellt, dass und an wen der Mitarbeiter denVerlust/Diebstahl seines Geräts umgehend melden muss und dass er Servicearbeiten nur unter Rücksprachemit der IT-Abteilung durchführen darf?

Frage 68: Ist in der BV eine unternehmensseitige Protokollierung der tatsächlich durchgeführten Verwen-dungsvorgänge wie insb Änderungen, Abfragen und Übermittlungen geregelt? Ist dort sichergestellt, dassMitarbeiter erforderliche (Sicherheits-)Updates durchführen und notwendige Sicherheitseinstellungen vor-nehmen und dass deren Abänderung/Nichtbefolgung überprüft werden kann?

Frage 69: Ist bei der Verarbeitung von betrieblichen Daten – abhängig von der Sensibilität dieser Daten – eineausreichend hohe Frequenz der Synchronisierung mit den Unternehmensservern vorgesehen?

Frage 70: Ist für die persönlichen Daten des Mitarbeiters ein Backup-Verfahren eingerichtet?

Frage 71: Sind die Kontroll- und Zugriffsrechte des Unternehmens auf die mobilen Geräte in der BV geregelt?

Frage 72:Wurde ein Prozess eingerichtet, der im Fall eines Datenmissbrauchs nach Verlust oder Diebstahl einesmobilen Geräts oder sonstiger Verwendung durch Unbefugte die weitere Vorgehensweise in Bezug auf die In-formationspflicht des Betroffenen regelt (sog „Data Breach Notification Duty“)?

Frage 73: Werden die Mitarbeiter entsprechend § 24 DSG 2000 darüber informiert, welche für Daten über siedurch BYOD verarbeitet werden?Werden die Mitarbeiter auf das Datengeheimnis des § 15 DSG 2000 vertraglichverpflichtet? Willigen die Mitarbeiter in IT-forensische Untersuchungen ein?Anmerkung: Diese Punkte können im Rahmen der BYOD-Richtlinie umgesetzt werden, die letzten beiden allerdings nurdann, wenn die BYOD-Richtlinie von jedem Mitarbeiter gegengezeichnet wird.

Frage 74: Werden die Mitarbeiter in die Handhabung von BYOD persönlich eingeschult?

Frage 75: Werden die Mitarbeiter über die Konsequenzen bei Verstößen gegen die BYOD-Regelungen belehrt?

Frage 76: Wird beim Einsatz von Dienstleistern für BYOD ein Dienstleistervertrag nach §§ 10 und 11 DSG 2000mit diesen abgeschlossen?

Frage 77: Wird, soweit erforderlich, vor Beginn von BYOD eine Meldung für durch BYOD zusätzlich anfallendeDaten beim Datenverarbeitungsregister eingebracht und, soweit erforderlich, ein Genehmigungsantrag für in-ternationalen Datenverkehr bei der Datenschutzbehörde gestellt?

Dako 2014/6Zum ThemaÜber den AutorProf. KommR Hans-Jürgen Pollirer ist Geschäftsführer der Secur-Data Betriebsberatungs-GmbH. E-Mail: [email protected]

LiteraturWEKA/IT-Management, BYOD – Bring Your Own Device – ein Trend setzt sich mehr und mehr durch (2013) Teil 9/15;

WEKA/Netzwerksicherheit, Bring Your Own Device, Teil 7/12;

Knyrim/Horn, Bring Your Own Device – Ein Trend hält Einzug in Österreichs Unternehmen, ecolex 2013, 365ff.

Linksn WKO BSIC, IT-Sicherheitshandbuch (2014) 20 f, www.wko.at/Content.Node/it-safe/kmu_handbuch_komplett.pdf

n BITKOM, Bring Your Own Device, www.bitkom.org/files/documents/20130404_LF_BYOD_2013_v2.pdf

n Bundesamt für Sicherheit in der Informationstechnik (BSI), Überblickspapier Consumerisation und BYOD,

www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_BYOD_pdf.pdf?__blob=publicationFile

n European Network and Information Security Agency (ENISA), Consumerization of IT: Top Risks and Opportunities,

www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/consumerization-of-it-top-risks-and-opportunities

Page 21: Datenschutz Konkret

Dako 1 | 2014 17

der judikaturrückblick

n Krampe, Vereinbarung über die Nutzung von mobilen, privaten Endgeräten für den Zugriff auf die Unternehmensinfrastruktur,

www.thomas-krampe.com/byod_vereinbarung.html

n Deloitte, Perspektive BYOD Private Hardware in Unternehmen, www2.deloitte.com/content/dam/Deloitte/de/Documents/

technology-media-telecommunications/TMT_Report_Perspektive%20BYOD.pdf

n Franck, Bring your own device – Rechtliche und tatsächliche Aspekte, RDV 2013, 185ff, www.gdd.de/downloads/Franck_Aufsatz.pdf

Viktoria HaidingerWirtschaftskammer Österreich

Was sind personenbezogene Daten?Informationen, Identifikatoren und Anonymisierung. Der Begriff der personenbezogenen Datenist ein Kernelement des Datenschutzes und Anwendungsvoraussetzung für das DSG 2000. Wasversteht aber das DSG 2000 unter Daten, und wann sind sie personenbezogen? Der Beitrag gibteinen Überblick über die von der Judikatur gefundenen Antworten.

Was sind Daten?Informationen, Speicherart,Gespräche, Bilder§ 4 Z 1 DSG 2000 lautet: „Daten“ („perso-nenbezogene Daten“): Angaben [. . .].

Das DSG 2000 beschreibt sohin denBegriff Daten mit „Angaben“. Dieser Begriffist mit Informationen im weitesten Sinnegleichzusetzen, und zwar unabhängig da-von in welcher Form sie vorliegen, also obsie aufn Papier (DSK 31. 8. 2000, 120.532/22-

DSK/00)n oder einem technischen Datenträger

(analog oder digital, siehe DSK 11. 10.2005, K121.036/0014-DSK/2005) aufge-zeichnet sind

n oder nur einmalig wahrgenommen wer-den können.

Da Bilder ganz unbestrittenermaßen DateniSdDSG2000 sind (VwGH29. 3. 2004, 98/01/0213; DSK 21. 6. 2005, K503.425-090/0003-DVR/2005), enthalten analog oder di-gital gespeicherte Bildersammlungen bzwVideoaufnahmen immer Daten.

Gespräche zählen ebenfalls dazu, wiedie DSK im Rahmen einer Empfehlung andas AMS ausgesprochen hat (DSK 16. 5.2008, K210.579/0004-DSK/2008). Anlasswaren Beratungsgespräche beim AMS, diein Büros durchgeführt wurden, in denenmehr als ein Sachbearbeiter tätig war. Beiden gegebenen Örtlichkeiten war es dahernicht zu verhindern, dass ArbeitsuchendeDaten von anderen Arbeitsuchenden erfuh-ren. Die DSK empfahl dem AMS sicherzu-

stellen, dass bei Beratungsgesprächen vonanderen AMS-Kunden nicht mehr mitge-hört werden kann. Ein Sachverhalt, derauch für andere Institutionen oder Unter-nehmen durchaus relevant sein kann.

Ebenfalls im Zusammenhang mit derArbeitsmarktverwaltung sah die DSK eineVerletzung des Grundrechts auf Daten-schutz darin, dass rosa (statt der üblichengelben) Abholscheine zur Benachrichtigungvom Zurverfügungstehen des Arbeitslosen-gelds beim Postamt und zur Auszahlungdes Arbeitslosengelds verwendet wurdenund dass das Arbeitslosengeld bei eigens ge-kennzeichneten Schaltern im Postamt ab-zuholen war. Denn dadurch wurde fürNachbarn, die zum Zeitpunkt des Einwurfsdes Abholscheins durch den Briefträger zu-fällig am Hausbriefkasten vorbeikamen, so-wie allen im Postamt anwesenden Personender Umstand der Arbeitslosigkeit des Be-troffenen offenkundig (DSK 18. 12. 19971).

Statistische Hochrechnungen,Scoring-Werte, WirtschaftsdatenNicht nur unmittelbar gewonnene Infor-mationen sind Daten iSd DSG 2000, son-dern auch statistische Hochrechnungenauf Basis verfügbarer Daten (zB kannaufgrund soziodemographischer Merkmaleauf das Einkommen geschlossen werden,vgl DSK 20. 5. 2005, K120.908/0009-DSK/2005). Im Rahmen von Auskunfts-verfahren wegen Bonitätsprüfungen (§ 26DSG 2000) sprach der VwGH in diesemSinne auch Scoring-Werten und dem logi-

schen Ablauf von Bonitätsprüfungen Da-tenqualität zu (VwGH 15. 11. 2012, 2008/17/0096). Zu Wirtschaftsdaten hat derVfGH schon sehr früh ausgesprochen, dassdiese unter das Datenschutzgesetz fallen(VfGH 30. 11. 1989, G 245/89 ua VfSlg12.228).

Biometrische DatenEinen besonderen Fall stellen biometrischeDaten dar. Diese sind laut Artikel 29-Ar-beitsgruppe2 dadurch charakterisiert, dasssie die Identifikation einer Person mittelskörperlicher Merkmale, wie etwa Fingerab-drücke (DSK 6. 7. 2004, K120.893/0007-DSK/2004), Augennetzhaut etc, ermögli-chen, aber gleichzeitig auch Informationenzur Person selbst beinhalten können, etwaweil sich von einem DNA-Profil gesund-heitsbezogeneAngaben ableiten lassen (Stel-lungnahme 4/2007, WP 136, 10 f). Der Trä-ger des biometrischen Merkmals (Gewebe-oder Blutprobe, menschlicher Finger, etc)selbst gilt ebenso wenig als Datum wie eineFestplatte, die Informationen nur speichert.

Wann sind Daten personenbezogen?§ 4 Z 1 DSG 2000 lautet fortgesetzt:

„Daten“ („personenbezogene Daten“): An-gaben über Betroffene (Z 3), deren Identitätbestimmt oder bestimmbar ist; „nur indirekt

1Nicht veröffentlicht und Geschäftszahl unbekannt. Auszugs-weise nachzulesen in VfGH 6. 3. 2000, B 377/98 VfSlg 15.742,wo jedoch keine inhaltliche Auseinandersetzung mit der da-tenschutzrechtlichen Fragestellung erfolgte. 2Diese Arbeits-gruppe der Leiter der Europäischen Datenschutzbehörden derMitgliedstaaten und der EU basiert auf Art 29 Datenschutz-Richtlinie, woher sich ihr Name ableitet.

Page 22: Datenschutz Konkret

18 Dako 1 | 2014

der judikaturrückblick

personenbezogen“ sind Daten für einen Auf-traggeber (Z 4), Dienstleister (Z 5) oder Emp-fänger einer Übermittlung (Z 12) dann, wennder Personenbezug der Daten derart ist, dassdieser Auftraggeber, Dienstleister oder Über-mittlungsempfänger die Identität des Betrof-fenen mit rechtlich zulässigen Mitteln nichtbestimmen kann.

Bestimmte und bestimmbare IdentitätDiese Frage ist wesentlich vielfältiger.Für das DSG 2000 ist ausreichend, dassdie Identität bestimmbar ist. Erwägungs-grund 26 der Datenschutz-Richtlinie 46/1995/EG präzisiert „Bestimmbarkeit“ da-hingehend, dass alle Mittel berücksichtigtwerden müssen, die vernünftigerweise –

von wem auch immer – eingesetzt werdenkönnten, um den Betroffenen zu identifizie-ren. Anhand eindeutiger primärer Identifi-kationsmerkmale ist eine Person bestimmt.Je nach Kontext kann dies der Name oderbei geläufigen Namen die Kombinationmit dem Geburtsdatum sein. Nach der Aus-legung des EuGH erfasst der Begriff der per-sonenbezogenen Daten die Nennung desNamens eines Betroffenen in Verbindungmit seiner Telefonnummer oder mit Infor-mationen über sein Arbeitsverhältnis oderseine Freizeitbeschäftigungen (EuGH 6. 11.2003, C-101/01, Lindquist).

Die Bestimmbarkeit einerPerson kann sich auch ausder Kombination von Namenund anderen Informationenergeben.

Identifikatoren –

Sozialversicherungsnummer,Kfz-KennzeichenEbenfalls als primäre Identifikationsmerk-male und gleichzeitig personenbezogeneDaten gelten Identifikatorenwie die Sozial-versicherungsnummer (DSK 12. 11. 2004,K120.902/0017-DSK/2004). Das mag aufden ersten Blick verwundern, denn mit derNummer allein kann ein unbeteiligter Drit-ter meist recht wenig anfangen, und tatsäch-lich findet man in der Judikatur keine Be-gründung für die Qualifikation der Sozial-versicherungsnummer als personenbezoge-nes Datum. Im Zusammenhang mit Kfz-Kennzeichen erschließt sich die Argumen-tation: Während der VfGH zur Section-Control-Thematik keine eindeutigeAussagedazu traf (VfGH 15. 6. 2007, G 147/06 ua),

sprach die DSK zur Radarüberwachungdurch Gemeinden aus, dass die Ermittlungdes Kennzeichens bei Geschwindigkeits-übertretungen ausschließlich der Identifizie-rung des Kraftfahrzeughalters dient. Dasseine andere Stelle (Strafbehörde) durchKombination mit anderen Daten dieseIdentifizierung erst durchführt, ist nichtrelevant (DSK 11. 7. 2008, K121.359/0016-DSK/2008; trotz tw Aufhebung des Be-scheids durch den VwGH 8. 9. 2009, 2008/17/0152, ausdrücklich inhaltlich bestätigtim zweiten Rechtsgang durch VwGH 28. 3.2011, 2010/17/0170).

IP-Adressen, indirekt-personen-bezogene Daten, bereichsspezifischePersonenkennzeichen (bPK)Konsequenterweise gelten daher auch IP-Adressen als bestimmbare Daten, wennder Zweck der Verwendung nicht eindeutigjegliche Identifizierungsabsicht ausschließt(DSK 20. 6. 2008, K121.385/0009-DSK/2008), wobei eine Identifizierbarkeit natür-lich möglich sein muss: So wären IP-Adres-sen, die einem öffentlich zugänglichen Com-puter zugewiesen sind (zB Internet-Café),nur dann auf einen bestimmten Benutzerrückführbar, wenn sich dieser durchVorlagedes Personalausweises beim Betreiber iden-tifizieren muss (was in manchen Staatenvorgeschrieben ist).3 Eine Identifizierungs-absicht anhand der IP-Adresse ist zumin-dest imEinzelfall beiDienstgebern oder Ser-vice-Providern gegeben (siehe den zuletzt zi-tierten DSK-Bescheid und die Art 29-WP-Stellungnahme 4/2007, WP 136, 19 f).

Bei diesen liegen auch keine sogenann-ten indirekt personenbezogenen Daten(§ 4 Z 1 DSG 2000) vor. Diese besondereFallgruppe der bestimmbaren Daten, die ei-nen geringeren Schutz genießt, ist dadurchcharakterisiert, dass die Identifizierung desBetroffenen mit rechtlich zulässigen Mit-teln nicht möglich ist. Dazu genügt esnicht, dass der Datenverwender die Identi-tät des Betroffenen aufgrund gesetzlicheroder vertraglicher Bestimmungen nicht be-stimmen darf (wie allenfalls bei Dienstge-bern und Service-Providern), sondern dasser sie auch tatsächlich nicht bestimmenkann, ohne rechtlich verpönte Mittel anzu-wenden. Die DSK zählt dazu insbesonderestrafrechtswidrige Mittel wie Einbruch,Diebstahl, Zwang oder Bestechung, umden Identifikationsschlüssel zu erhalten(DSK 18. 11. 2009, DSK K121.526/0028-DSK/2009).

Ein weit verbreiteter Anwendungsfallstellt sich bei klinischen Studien. Hier istnur der ärztliche Prüfer Inhaber des Identifi-kationsschlüssels, zu dem der auftragge-bende Sponsor (idR Pharmaunternehmen)aber weder rechtlich noch faktisch Zuganghat (Stellungnahme 4/2007, WP 136, 22).Hingegen sind die mit bPKs verknüpftenDaten der Registerzählung4 keine indirektpersonenbezogenen Daten für StatistikAustria, weil diese im Rahmen der Wohn-sitzanalyse5 gesetzlich berechtigt ist, die Ent-schlüsselung der Daten zu bewirken (DSK30. 3. 2012, K121.765/0008-DSK/2012). Füreinen Dritten – zB einen Forscher, der imSafe Center von Statistik Austria Datenauswertet – sind mit einem bPK verschlüs-selte Daten sehr wohl indirekt personen-bezogen (DSK 22. 5. 2013, K202.126/0012-DSK/2013).

Anonyme Daten, PseudonymisierungDamit Daten als anonym gelten, muss eineRe-Identifizierungmit vernünftigenMittelnausgeschlossen sein. Eine derartige Anony-misierung wird in einem ersten Schrittdurch Pseudonymisierung, also Entfer-nung der primären Identifikationsmerk-male (Name), und Zuteilung eines Schlüs-sels bewirkt. Je nach Situation könnte aberdurch andere Merkmale (Geburtsdatum,Zugehörigkeit zu einer Gruppe, Krankheit)auf den Betroffenen geschlossen werden.

Vorstufe für eineAnonymisierung ist ofteine Pseudonymisierung.

Ob Daten für einen Empfänger identifizier-bar sind, hängt naturgemäß vom Wissens-stand des jeweiligen Empfängers ab. Kon-kret zur Identifizierbarkeit einer Person,über die in einer Zeitung berichtet wordenwar („arbeitsloser Notstandshilfebezieheraus Wien mit drei Kindern“), stellte dieDSK fest, dass vom durchschnittlichen In-formationsstand des (üblichen) Leserkrei-ses des Mediums auszugehen ist. Nicht zuberücksichtigen sind dabei Personen, dieaufgrund einer Nahebeziehung zum Betrof-fenen über Sonderwissen verfügen, wie Fa-milienangehörige, Nachbarn, Arbeitskolle-gen etc (DSK 22. 4. 2005, K120.966/0005-DSK/2005).

3So etwa in Italien von 2005 bis 2010, s www.blogstudiolegalefinocchiaro.com/wordpress/tag/identification-of-user/ (Stand14. 5. 2014). 4Eigentlich: „Registergestützte Volkszählung“.5§ 5 Abs 3 bis 6, § 7 Abs 2 und 3 Registerzählungsgesetz.

Page 23: Datenschutz Konkret

Dako 1 | 2014 19

der judikaturrückblick

Bei der „Baseline-Testung“ des BIFIE6

wurden folgende Identifizierungsmerkmalemit den Fragebögen erhoben, um – so dergesetzliche Auftrag – den Schülern den Zu-gang zu ihren Testergebnissen zu ermögli-chen:n Zehnstellige Kennnummer, aus der das

BIFIE die Zugehörigkeit zu einer be-stimmten Schule und zu einer bestimm-ten Klasse sowie die Katalognummerschließen kann;

n Geburtsdatum;n Geschlecht.Die Klassen umfassten maximal 30 Schü-ler, Geburtsdaten sind häufig im Klassen-verband bekannt. Durch die Angabe des Ge-schlechts verkleinert sich zusätzlich die inBetracht kommende Gruppe. Die DSKstellte daher fest, dass es für ein Organ desBIFIE kein allzu schweres oder aufwändi-ges Unterfangen wäre, ein Testergebnisdurch Befragung einem Schüler zuzuord-nen, und sprach aus, dass jedenfalls perso-nenbezogene Daten vorliegen, aber keine in-direkt personenbezogenen, weil das Mittelder Befragung an sich kein „rechtlich unzu-lässiges“ ist (DSK 18. 11. 2009, K121.526/0028-DSK/2009).

Betreffend die Krankheitsgruppen-Statistik der Tiroler GKK erachtete dieDSK die bis dahin geübte Praxis, an Be-triebe mit mehr als 50 Arbeitnehmernzur Unterstützung der betrieblichen Ge-sundheitsförderung Statistiken zu über-mitteln, zwar für grundsätzlich zulässig,empfahl aber einige Maßnahmen, damitdie übermittelten Daten tatsächlich alsanonym gelten. Um eine Re-Identifikationmöglichst auszuschließen, sind die Kran-kengruppen-Statistiken so zu gestalten,dass lediglich jene Krankheitsdaten in dieStatistik einbezogen werden, die mit derTätigkeit des jeweiligen Betriebs typischer-weise verbunden sind. Ferner, dass eineTrennung in männliche und weibliche Mit-arbeiter und damit Ausweisung der mögli-cherweise für diese Gruppe typischenKrankheiten erst ab einer Mindestanzahlvon fünf Personen vorgenommen werdensoll (DSK 22. 5. 2013, K213.180/0021-DSK/2013). Diese sog Fallzahlregel – eineMethode zur Anonymisierung mittelsGeneralisierung/Aggregation7 – ent-spricht der Praxis im medizinischen Be-reich. In der traditionellen Wirtschaftssta-tistik gelten Datenzellen mit Informatio-nen von mindestens drei Einheiten alsanonym,8 und die Gleichbehandlungsan-

waltschaft zieht ebendiese Grenze für dieEinkommensberichte gem § 11a Gleichbe-handlungsgesetz.9

Personenbezug von BilddatenFür Bilddaten liegt auf der Hand, dass dieabgebildeten Personen zumindest erkenn-bar sein müssen. In diesem Sinne hat dieDSK im Rahmen des Registrierungsverfah-rens für Google Street View entsprechendeAuflagen vorgeschrieben: Neben der auto-matisierten Verpixelung der Gesichter istzusätzlich in besonders sensiblen Bereichenwie Eingangsbereichen von Kirchen, Ge-betshäusern, Krankenhäusern, Frauenhäu-sern und Gefängnissen jedenfalls das Ge-samtbild der Person unkenntlich zu ma-chen (DSK 15. 4. 2011, K213.051/0004-DSK/201110).

Auch Bilder von Personenin Google Street Viewunterliegen einerAnonymisierung.

Dennoch könnte man meinen, dass eine Vi-deokamera, die unzähligeMenschenbeimBe-treten und Verlassen eines öffentlichen Ge-bäudes aufnimmt, insofern keine personen-bezogenen Daten ermittelt, als diese Perso-nen häufig namentlich nicht bekannt sind.Die DSK gesteht aber identifizierbaren Per-sonenbildern die Qualität personenbezoge-ner Daten mit folgender Begründung zu:„Personenbezogene Daten liegen im Übrigenkeineswegs erst dann vor,wenn es sich umaufge-zeichnete Informationen handelt, die von jeder-mann unmittelbar einer bestimmten Person zu-geordnet werden können, sondern schon dann,wenn die Betroffenen nachträglich bestimmbarsind (vgl wieder § 4 Z 1 DSG 2000). Bestimm-barkeit bedeutet, dass ein Datum aufgrundeines oder mehrerer Merkmale letztlich einerbestimmten Person zugeordnet werden kann.“(DSK 21. 6. 2005, K503.425–090/0003-DVR/2005 und K507.515–021/0004-DVR/2005).

Gaszähler, Daten der eigenen KinderZum Abschluss sei noch auf zwei spezifi-sche Entscheidungen zur behandelten The-matik hingewiesen: In letzter Zeit nimmtdie Praxis, Gaszähler im Stiegenhaus oh-ne sonstige „Verdeckungsmaßnahme“ zumontieren, zu. Die DSK erachtet dies fürunzulässig, weil die Gaszählerdaten perso-nenbezogene Daten eines Mieters einerWohneinheit sind und daher unter demSchutz des Grundrechts stehen. Der Voll-ständigkeit halber sei erwähnt, dass demGaslieferant aufgetragen wurde, geeigneteDatensicherheitsmaßnahmen zu ergreifen,um den Zugriff auf personenbezogene Da-ten, die im Gaszählgerät gespeichert sind,durch Unbefugte zu unterbinden (DSK1. 2. 2013, K215.018/0005-DSK/2013).

In einem anderen Fall ging es imZusam-menhangmitUnterhaltszahlungen um dieFrage, ob die Daten des eigenen Kindesgleichzeitig personenbezogene Daten desVaters sind. Der Jugendwohlfahrtsträgerhatte als Vertreter des Kindes in seinemSchreiben an den Dienstgeber des Vatersmit dem Ersuchen, dessen Bezüge bekanntzu geben, Name und Geburtsdatum des un-terhaltsberechtigten Kindes preisgegeben.Der VwGH (27. 4. 2012, 2012/17/0115) ver-neinte mit der Begründung, dass allein dieVerwendung fremder personenbezogenerDaten in einem ansonsten gerechtfertigtenZusammenhang mit der eigenen Personbzw eigenen personenbezogenen Daten – je-denfalls im hier zu beurteilenden Beschwer-defall – keine Sachverhalte zu schaffen ver-mag, die als „personenbezogene Daten“ fürden Unterhaltspflichtigen zu schützen wa-ren.

Dako 2014/7

Zum ThemaÜber die AutorinMag. Viktoria Haidinger ist Juristin und stellvertretende Leiterin der Stabsabteilung Statistik

der Wirtschaftskammer Österreich. E-Mail: [email protected]

LiteraturArt 29-Datenschutzgruppe, Stellungnahme 5/2014 über Anonymisierungstechniken, WP

216; Bergauer, Indirekt personenbezogene Daten – datenschutzrechtliche Kuriosa, in Jahnel

6Bundesinstitut für Bildungsforschung, Innovation und Ent-wicklung des österreichischen Bildungswesens. 7Dazu be-dient man sich häufig des Konzepts der k-Anonymität, siehedazu bei den Literaturhinweisen. 8Siehe OECD, Glossary ofStatistical Terms, Threshold Rule, https://stats.oecd.org/glossary/detail.asp?ID=7010 (Stand 14. 5. 2014). 9Empfehlungder Gleichbehandlungsanwaltschaft zu den Einkommens-berichten gem § 11a Gleichbehandlungsgesetz (2011),www.gleichbehandlungsanwaltschaft.at/site/cob__43746/6448/default.aspx (Stand 14. 5. 2014). 10Nicht im RIS veröffent-licht. In Auszügen nachzulesen bei König, Entscheidungs-übersicht Datenschutzkommission – April bis Mai 2011, jusIT2011/49, 106.

Page 24: Datenschutz Konkret

20 Dako 1 | 2014

die entscheidung

(Hrsg), Jahrbuch Datenschutzrecht 2011 (2011) 55; Dohr/Pollirer/Weiss/Knyrim,Datenschutzrecht2 (2013) § 4 Anm 2; Fercher,Manuelle Dateien

im Datenschutzgesetz 2000, in Jahnel/Siegwart/Fercher (Hrsg), Aktuelle Fragen des Datenschutzrechts (2007) 42; Jahnel, Handbuch Daten-

schutzrecht (2010) Rz 3/71 ff; Jautz, Analyse und Umsetzung von Methoden zur Anonymisierung und Pseudonymisierung personenbezoge-

ner, medizinischer Daten (Diplomarbeit MUW2006); Gerhartl,Datenschutz imArbeitslosenversicherungsrecht –Verwendung personenbezo-

gener Daten durch das AMS, ASoK 2012, 21;Hödl/Schwarzbraun, Open Source Humangenetik und Datenschutz, in Jahnel (Hrsg), Jahrbuch Da-

tenschutzrecht und E-Government 2013 (2013) 165; Karjoth, Sind anonyme Daten anonym genug? digma 2008/1, 5;

König, Videoüberwachung, in Bauer/Reimer, Handbuch Datenschutzrecht (2009); Kotschy, Das Grundrecht auf Geheimhaltung personenbezo-

gener Daten, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht und E-Government 2012 (2012) 34; Knyrim, Praxishandbuch Datenschutzrecht2

(2012) 14 f; Knyrim/Momeni, Datenschutz bei klinischen Prüfungen und medizinischen Studien, RdM 2003/32;

Kunnert, Die fahrleistungsabhängige Maut nach dem Bundesstraßen-Mautgesetz 2002 („elektronische Lkw-Maut“ aus der Perspektive von

Art 8 EMRK und § 1 DSG 2000, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht und E-Government 2009 (2009) 117;

Kunnert, „Einbrecherjagd“mittels „ASFINAG-Kameras“ – politischesWunschdenken versus (grund)rechtlicher Realität, in Jahnel (Hrsg), Jahr-

buch Datenschutzrecht 2010 (2010) 93; Simonic/Gell, Datenschutz-Policy Magda-Lena-Richtlinien1.1;

Pühringer, Biometrische Daten im Datenschutzrecht, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht und E-Government 2009 (2009) 217;

Stelzer/Lehner, Datenschutz in Biobanken, ZfV 2008/1385, 741.

Viktoria HaidingerWirtschaftskammer Österreich

Ernst M. WeissRichter iR

RechtsprechungMitteilungspflicht. Dem Antrag auf Löschung persönlicher Daten eines Betroffenen ist nicht bloßzu entsprechen, sondern er ist darüber hinaus von der Durchführung in Kenntnis zu setzen.

EntscheidungDer Betroffene beantragte die Löschungstrafrechtlich relevanter Daten, die im Zu-sammenhang mit einem mittlerweile aufge-hobenen Straftatbestand (§ 209 StPO) beider Polizei gespeichert waren. Die Behördeführte die Löschung tw durch, verabsäumtees aber, den Betroffenen hiervon zu verstän-digen.

Nach § 27 Abs 4 DSG 2000 genügt esaber nicht, innerhalb der Achtwochenfristdie verlangte Löschung in Auftrag zu geben

oder sie bloß dem Betroffenen zu verhei-ßen, weil damit unklar bleibt, ob dem Ersu-chen tatsächlich entsprochen werden wird;vielmehr ist bei einer in Aussicht genom-menen positiven Erledigung nach demmaßgeblichen Wortlaut der zitierten Geset-zesstelle dem Antrag zu entsprechen, dh, essind die Daten richtigzustellen oder zu lö-schen und es ist darüber hinaus dem Be-troffenen davon (also von der erfolgtenRichtigstellung oder Löschung) Mitteilungzu machen.

HinweisDem Löschungsantrag zu entsprechen, istzu wenig, der Antragsteller ist über dieDurchführung zu informieren.

§ 27 Abs 4 DSG 2000VwGH 28. 5. 2013, 2009/17/0011

Dako 2014/8

Widerspruch. Verpflichtung zur physischen, nicht nur zur logischen Löschung

EntscheidungGegen eine nicht gesetzlich angeordneteAufnahme von Daten in eine öffentlicheDatei (im konkreten Fall: Bonitätsdaten-bank) kann jeder Betroffene gem § 28 Abs 2DSG 2000 Widerspruch einlegen.

Ein solcher Widerspruch verpflichtetden Auftraggeber, die Daten physisch zulöschen, also so unkenntlich zu machen,dass eine Rekonstruktion nicht mehrmöglich ist. Eine Änderung der Daten-organisation dahingehend, dass lediglichein gezielter Zugriff auf die betreffenden

Daten ausgeschlossen ist (logische Lö-schung), reicht hingegen nicht aus, da beieiner solchen „Archivierung“ der Auftrag-geber auf die Daten wieder zugreifen unddiese rekonstruieren kann. Ob diese Archi-vierung erst aufgrund des Widerspruchsoder bereits von Anfang an erfolgte, spieltkeine Rolle.

HinweisDer OGH vertritt in stRsp, dass Bonitäts-datenbanken unter bestimmten Vorausset-zungen als öffentliche Dateien einzustufen

sind (6 Ob 156/09y; 6 Ob 41/10p; 6 Ob195/08g; 6 Ob 275/05 t; 6 Ob 156/09y).

Gem § 52 Abs 2a DSG 2000 begehteine Verwaltungsübertretung, die mit einerStrafe bis zuE 500,– zu ahnden ist, wer Da-ten entgegen den §§ 26, 27 oder 28 nichtfristgerecht beauskunftet, richtigstellt oderlöscht.

§ 28 Abs 2 DSG 2000OGH 13. 9. 2012, 6 Ob 107/12x

Dako 2014/9

Page 25: Datenschutz Konkret

Dako 1 | 2014 21

die entscheidung

SMS-Nachricht. Information über Entgelt für bezogene Leistungen ist keine Direktwerbung.

EntscheidungIm konkreten Fall handelte es sich um dieunerbetene Zusendung der SMS-Nach-richt einer Firma mit dem GeschäftszweckDienstleistungen für Mobiltelefone des In-halts: „Entschuldige die kurze Störung. Duhast bis jetzt 42 EUR verbraucht. Viel Spaßweiterhin. Bei Fragen rufe [. . .] oder E-Mail:I@[. . .]“.

Der Begriff der „Direktwerbung“, dersich auch in Art 13 der RL 2002/58/EG(Datenschutzrichtlinie für elektronischeKommunikation), die mit § 107 Telekom-munikationsgesetz 2003 umgesetzt wurde,findet, ist weder im TKG 2003 noch inArt 13 der Datenschutzrichtlinie näher de-finiert.

Der Rechtsbegriff der „Direktwerbung“ist nach den Vorstellungen des Gesetzgebers„im Lichte der Erfahrungen und Bedürfnisseder Praxis zu sehen und daher weit zu interpre-tieren; er erfasst jeden Inhalt, der für ein be-stimmtes Produkt, aber auch für eine bestimmteIdee einschließlich bestimmter politischer An-liegen wirbt oder dafür Argumente liefert.“

Voraussetzung für eine Qualifikationals Werbung ist, dass – ungeachtet der Be-zeichnung und Gestaltung der Nachricht –Absatzförderung betrieben wird. Derartigeskann bei der oben angeführten SMS-Nach-richt, die sich neben der Angabe einer Kon-taktmöglichkeit auf die Bekanntgabe desEntgeltbetrags von bereits bezogenen Leis-tungen beschränkte und der Warnung des

Kunden dienen sollte, nicht erkannt wer-den.

Hinweis§ 107TKG2003behandelt die verschiedenenMöglichkeiten der „unerbetenen Nachrich-ten“, die gem § 109 Abs 3 Z 19 und 20mit ei-ner Verwaltungsstrafe bis zu E 37.000,– ge-ahndet werden können.

Art 13 Datenschutzrichtlinie fürelektronische Kommunikation;§ 107 TKG 2003VwGH 26. 6. 2013, 2012/03/0089

Dako 2014/10

Rainer KnyrimRechtsanwalt und Partner bei Preslmayr Rechtsanwälte

Löschungsrecht bei Suchmaschinen. Unterhält ein Suchmaschinenbetreiber eine Niederlassungin einem Mitgliedstaat, um Werbeflächen für den Suchdienst zu verkaufen, ist das Datenschutz-recht des Mitgliedstaats auf den Suchdienst anwendbar.Suchmaschinenbetreiber müssen Suchergebnisse zu einer Person löschen, wenn kein über-wiegendes Interesse der Öffentlichkeit an dem Suchergebnis besteht.

EntscheidungDem Verfahren lag das Verlangen einesSpaniers zugrunde, Google zu verpflichten,ein Suchergebnis zu einem alten Zeitungs-bericht zu löschen.

Der EuGH stellte fest, dass, obwohl derSuchdienst von den Vereinigten Staatenaus betrieben wird, europäisches Daten-schutzrecht anzuwenden ist, da Google inSpanien eine Tochterniederlassung zumVerkauf von Werbeflächen unterhält.

Daher steht dem Betroffenen das in derDatenschutzrichtlinie geregelte Recht aufLöschung auch gegenüber dem Suchdienstzu. Dass dem Betroffenen durch das Such-ergebnis ein Schaden entsteht, ist nicht er-forderlich; auch ist es bedeutungslos, obdie Information an anderer Stelle im Web

weiterhin vorhanden ist. Einzig überwie-gende Interessen der breiten Öffentlichkeitkönnten der Löschung eines Suchergebnis-ses entgegenstehen.

KonsequenzDiese Entscheidung ist eine der bedeutends-ten Entscheidungen der letzten Jahre mitpraktischer Auswirkung für jedermann.Die Möglichkeit, die Löschung von Sucher-gebnissen bei Suchergebnissen zu verlan-gen, stellt nämlich eine große Erleichterungdar. Musste bisher meist gegen unbekannteWebseitenbetreiber in Drittstaaten vorge-gangen werden, um schädigende Informa-tionen aus demWeb zu löschen, kann nun-mehr Google in Österreich (auch hier unter-hält Google eine Niederlassung) dazu ver-

pflichtet werden, einen Treffer aus demSuchindex zu löschen. Auch wenn dabeidie Information an der Quelle verfügbarbleibt, ist sie ohne Suchmaschine nicht auf-findbar und damit praktisch „weg“.

HinweisGoogle hat für Löschungsansuchen eindeutsches Formular ins Internet gestellt:https://support.google.com/legal/contact/lr_eudpa?product=websearch (Stand 11. 8.2014)

DatenschutzrichtlinieEuGH 13. 5. 2014, C-131/12,Google-Urteil

Dako 2014/11

Page 26: Datenschutz Konkret

22 Dako 1 | 2014

das lesen wir

BUCHTIPPSVERFASSUNG KOMPAKT

GRUNDRECHTE UND RECHTSSCHUTZ

Von Gerhard Holzingerund Benedikt Kommenda,2. Auflage. Linde Verlag,Wien 2013. 424 Seiten, br,E 19,90.

Jeder mit dem Daten-schutzrecht Befasste mussauch über die Grundlagen,

eben die Verfassung, die Grundrechte imAllgemeinen sowie über Verwaltung undGerichtsbarkeit und dasWesen des Rechts-staats Bescheid wissen. Auf über 400 Seitenwird all dies in leicht lesbarer Weise – samtWörterbuch zur Verfassung – vermittelt.Das Werk würde es sogar verdienen, alsPflichtlektüre in den Lehrplan zumindestder höheren Schulen Eingang zu finden.

Mit Befriedigung wird festgestellt, dassauch die mehr als kompetenten Herausge-ber als Voraussetzung für eine Säumnisbe-schwerde nicht von „Bescheiderlassung“sprechen, sondern von Verletzung der Ent-scheidungspflicht.

Die Drittwirkung des Grundrechts aufDatenschutz ist seit 1. 1. 2014 in § 5 Abs 4DSG 2000 geregelt; allerdings mit gleicherWirksamkeit wie seinerzeit in § 1 Abs 5leg cit.

Ernst M. Weiss

BIG DATA – DIE REVOLUTION,

DIE UNSER LEBEN VERÄNDERN WIRD

Von Viktor Mayer-Schön-berger und Kenneth Cukier.Redline Verlag, 2013. 300Seiten, geb, E 25,70.

Anhand von Beispie-len, wie die Grippeepide-mie 2009 in den USAmit der Gefahr einer Pan-

demie, zeigen die Autoren, ein Hochschul-lehrer und ein Journalist, auf, wie die Aus-wertung großer Datenmengen Vorhersagenermöglichen kann.

Das weltweite Datenvolumen verdop-pelt sich alle zwei Jahre, während die Analy-semethoden immer effizienter werden. DieWelt bewegt sich von der Suche nach Kau-salitäten hin zum Erkennen von Korrelatio-nen.ViktorMayer-Schönberger undKennethCukier erklären mit wissenschaftlicher Ge-nauigkeit, aber auch in spannender Erzähl-weise einen technologischen und gesell-schaftlichen Wandel, der uns erreicht hat,der jeden einzelnen betrifft und dessen Aus-

wirkungen wir in den nächsten Jahren im-mer stärker spüren werden. Das Buchwurde noch vor Edward Snowdens Enthül-lungen über die Methoden des US-Geheim-dienstes NSA geschrieben, spricht aberauch bereits die Problematik eines umfas-senden staatlichen Spitzelwesens durchBig Data an. Die Autoren plädieren dafür,die enorm wachsenden Möglichkeiten derDatenverarbeitung nicht zu vergöttern, son-dern sie mit Augenmaß undMenschlichkeiteinzusetzen.

Den Abschluss des Buchs bilden dreiForderungen:n Erstens müssten Nutzer personenbezo-

gener Daten verpflichtet werden, für je-den neuen Verwendungszweck eineförmliche Prüfung gerade auch im Hin-blick auf die Auswirkungen für die Be-troffenen durchführen – und bei man-gelnder Durchführung auch stärker zurVerantwortung gezogen werden.

n Zweitens müsse die Gesellschaft dasKonzept von Gerechtigkeit neu definie-ren, um in einer Welt von Big-Data-Vor-hersagen die Handlungsfreiheit desMenschen zu sichern.

n Drittens bräuchten wir neue Institutio-nen und Berufe, wie zB den Algorithmi-ker, der die komplexen Rechenvorgängehinter den Ergebnissen von Big-Data-Analysen erklären und Geschädigten bei-stehen kann.

Christoph Weiss

ARBEITNEHMER-DATENSCHUTZ UND

MITARBEITERKONTROLLE

HANDBUCH

Von Josef Grünanger undWolfgang Goricnik. VerlagManz, Wien 2014. 272 Sei-ten, geb, E 54,–.

Josef Grünanger, früherUniversitätsassistent amInstitut für Arbeits- und

Sozialrecht der Universität Wien undnun Rechtsanwaltsanwärter in Wien, undWolfgang Goricnik, Leiter des Referats„Wirtschaft und Recht“ der Arbeiterkam-mer Salzburg, fachkundiger Laienrichterfür den Fachbereich Datenschutz am Bun-desverwaltungsgericht und gleichzeitig Bei-rat dieser Zeitschrift, haben ein hervor-ragendes Werk im Bereich Arbeitnehmer-datenschutz und Mitarbeiterkontrolle ver-fasst.

ImVorwort setzen sich die Autoren dasZiel, mit diesem Praxishandbuch das Span-

nungsverhältnis von Arbeitnehmer, Daten-schutz und Mitarbeiterkontrolle erstmaligjuristisch derart zu beleuchten, dass nach ei-ner allgemeinen Darstellung einschlägigerNormen das gegenständlich anzuwendendeSpektrum von Privat- und Arbeitsrechtüber das Datenschutzrecht bis hin zum Eu-roparecht sowie die daraus abgeleiteten ab-strakten Wertungen auf ausgewählte pra-xisrelevante und aktuelle Kontrollartenübertragen werden. Nach einer allgemeinenEinführung individualrechtlicher, daten-schutzrechtlicher und kollektivrechtlicherBestimmungen sowie prozessrechtlicherAspekte und Rechtsfolgen bringt das Buchdann tatsächlich alles, was einem in der ju-ristischen Praxis hinsichtlich Mitarbeiter-datenverarbeitung und Arbeitnehmerdaten-schutz begegnet. Es beginnt bei Personen-und Taschenkontrollen sowie Gesundheits-kontrollen (von der Einstellungsuntersu-chung über die gentechnische Analyse biszur Drogenkontrolle). Dann geht es umdie überaus heikle Verarbeitung von Kran-kenstandsinformationen, das Thema Vi-deoüberwachung am Arbeitsplatz und dieäußerst schwierige Thematik der Kontrolleder Internet-Nutzung und des E-Mail-Ver-kehrs der Mitarbeiter im Unternehmen.Das Buch endet mit einem „Feuerwerk“mo-dernster Technologien, die laufend nunauch in Österreich auf die Arbeitnehmerniederprasseln, von den RFID-Chips überdie GPS-Ortung zur Ortung von Mobil-telefonen, garniert durch Praxisbeispiele,wie etwa der heimlichen Überwachung zurStrafverfolgung wegen Bekämpfung desSpesenbetrugs oder zum Flottenmanage-ment, und endet dann mit den auch inmeiner täglichen anwaltlichen Beratung ab-solut relevanten Themenblöcken Whistle-blowing, Personaldatentransfer imKonzernund digitale Personalakte.

Alle Themen werden juristisch seriösaufgearbeitet und werden trotz der Her-kunft von Goricnik aus der Arbeitnehmer-beratung nicht einseitig fordernd, sondernausgewogen dargestellt. Die rund 270 Text-seiten sind dermaßen vollgepackt mit allem,was in den Unternehmen tatsächlich an-steht, dass das Buch geradezu ein „Must-have“ für all jene ist, die diese Themen „ander Front“ bearbeiten müssen.

Rainer Knyrim

Page 27: Datenschutz Konkret

Dako 1 | 2014 23

das gibt es

ZUM HINGEHENSEMINARE

n 23. 9. 2014: Datenschutz-ComplianceBusiness Circle, im Rahmen des Lehrgangszum zertifizierten Compliance Officer.Referent: RA Dr. Rainer Knyrim.

www.businesscircle.at/recht-steuern/lehrgang/praxislehrgang-zum-zertifizierten-compliance-officer-fuer-corporatesn 27.–29. 10. 2014: Ausbildung zum zer-

tifizierten DatenschutzbeauftragtenBusiness Circle. Referenten: RA Dr. RainerKnyrim und Christoph Wenin (Daten-schutzbeauftragter und Informationssicher-heitsbeauftragter von Rewe Österreich).

www.businesscircle.at/recht-steuern/seminar/praxisseminar-zum-zertifizierten-datenschutzbeauftragtenn 28.–30. 10. 2014: Zertifizierter Daten-

schutzbeauftragterReferenten: Mag. Ing. Markus Oman, CSE;Mag. jur. Siegfried Gruber (beide O.P.P –

Beratungsgruppe).www.confare.at/10676_DE-7250_

Zertifizierter_Datenschutzbeauftragter-Einfuehrung.htmn 29. 10. 2014: A-Trust Info Day 2014O.P.P. am A-Trust Info Day 2014. MehrSicherheit bei Geschäftsprozessen in derWirtschaft.

Information & Anmeldung:[email protected] 4. 11. 2014: HR-Daten – Erlaubtes &

VerbotenesBusiness Circle. Referenten: RA Dr. RainerKnyrim; RA Dr. Barbara Bartlmä.

www.businesscircle.at/human-resources/seminar/hr-daten-erlaubtes-verbotenesn 10.– 11. 11. 2014: IT-Recht: So vermei-

den Sie Strafen und HaftungConfare. Referenten: RA Dr. Rainer Kny-rim; Mag. Ing. Markus Oman (O.P.P.);Mag. Peter Groschedl (BMF).

www.confare.at/10696_DE-7242_IT-Recht_112014-Einfuehrung.htmn 11. 11. 2014: Datenschutzrecht aktuellBusiness Circle. Referenten: Dr. Eva Souh-rada-Kirchmayer (Richterin am Bundesver-waltungsgericht); Herr Mag. Georg Lechner(Datenschutzbehörde).

www.businesscircle.at/recht-steuern/seminar/datenschutzrecht-aktuell-2

n 17. 11. 2014: Datenschutz im moder-nenUnternehmen –VomGesetzestextzur unternehmenskonformen Umset-zung

Secur-Data. Referent: Prof. KommR Hans-Jürgen Pollirer.

Anmeldung: www.secur-data.atn 17.– 18. 11. 2014: Ausbildung zum in-

ternen DatenschutzbeauftragtenSecur-Data. Referenten: Prof. KommRHans-Jürgen Pollirer; Mag. Jürgen Stöger.

Anmeldung: www.secur-data.atn 26. 11. 2014: Daten richtig schützen!

Keiner entkommt dem Datenschutz!WiFi OÖ. Referent: Mag. Ing. MarkusOman, CSE (O.P.P – Beratungsgruppe).

Information & Voranmeldung:[email protected] 4. 12. 2014: eProzess – Tag 2014Bezahlbare Compliance für IKS – Daten-schutz – IT-Recht (Effizienz und Rechtssi-cherheit der Prozesse und Technologien).

Information & Voranmeldung:[email protected] 11. 12. 2014: Datenschutz & RechtConfare. Referenten: Mag. Ing. MarkusOman, CSE; Mag. Gerold Pawelka.

www.confare.at/10784_DE-7248_Datenschutz_Recht_-Das_Programm.htm

KONGRESSE

n 18.–20. 11. 2014: IAPP Europe DataProtection Congress

IAPP. Mit dutzenden Referenten, darunterRA Dr. Rainer Knyrim mit „Civil DroneUse: Keeping it Civil with Privacy byDesign“.

https://privacyassociation.org/conference/iapp-europe-data-protection-congress-2014/sessions/

ZUM STAUNENDATENSCHUTZINDIKATOR ZUM SELBSTTEST

Der TÜV SÜD bietet mit seinem Daten-schutzindikator (DSI) eine erste Möglich-keit für Firmen, eine Selbsteinschätzung inSachen Datenschutz vorzunehmen. DerDSI berücksichtigt die wesentlichen Grund-aspekte des Datenschutzmanagements undzeigt Unternehmen, wo Nachholbedarf be-steht. Zwar dient der DSI nach Aussageder Betreiber nur einer ersten Einschätzung,die 21 Fragen decken aber auch schon vieleDetails ab – von der geregelten Verfahrens-weise bei Kundenauskünften bis zumDatenträgervernichtungskonzept für Altge-räte. Das Ergebnis der eigenen Umfragekann man sich nebst einschätzender Kom-

mentare herunterladen. Der DSI ist für diedeutsche Rechtslage gemacht (daher keineFragen zum Status der datenschutzbehörd-lichen Verfahren!); diese Basiseinschätzungist aber auch für Österreich hilfreich, um somanches Unternehmen in Staunen darüberzu versetzen, wo es datenschutzrechtlichsteht: www.datenschutzindikator.de/

WIE MAN AUF DIE NO-FLY-LISTE KOMMT

Falls Sie immer schon wissen wollten, wieSie auf die No-Fly-Liste der US-Regierungkommen, dann müssen Sie diesen Beitragauf www.heise.de lesen:

http://heise.de/-2267193In diesem Beitrag wird der Inhalt des

„Regelbuchs“ der US-Behörden, unter wel-chen Umständen jemand auf die No-Fly-Listen kommt und wie mit diesen Listenweiter umzugehen ist, zusammengefasst.Liest man die Bedingungen und die Rechts-schutzmöglichkeiten, dann bleibt einem alshistorische Vergleichsmöglichkeit nicht vielmehr übrig als die Stasi oder, noch weiterzurück, wie man im Mittelalter vermutlichzur „Hexe“ abgestempelt und von der Inqui-sition angeklagt wurde.

IM NÄCHSTEN HEFTHeft 2 von „Datenschutz konkret“ wird uaFolgendes beinhalten:n Interview mit der Datenschutzbeauf-

tragten des Pharmaunternehmens Boeh-ringer Ingelheim zur Positionierungund Tätigkeit einer betrieblichen Daten-schutzbeauftragten in der Praxis;

n einen Bericht über ein Praxisprojekt, beidem SAP HR in 20 Ländern eines Kon-zerns eingeführt wurde, wobei die Pro-jektverantwortlichkeit bei der CEE-Zent-rale in Wien lag;

n einen weiteren Beitrag zum betrieblichenDatenschutzbeauftragten

n und natürlich aktuelle Judikatur zumDatenschutzrecht.

Page 28: Datenschutz Konkret

24 Dako 1 | 2014

die kurzmeldung

LEGISTIKSTAND DER EU-DATENSCHUTZREFORM

Der im Jänner von der EUKommission ein-gebrachte Vorschlag für eine Datenschutz-reform ist – auch bedingt durch die Neu-wahlen zum EU Parlament – ins Stockengeraten.Während das Parlament seine ersteLesung bereits imMärz 2014 abgeschlossenund damit seinen Standpunkt bezogen hat,wird der Entwurf im Rat kapitelweise abge-und verhandelt. Die strittigen Punkte rei-chen sind vielfältig und haben durch dasGoogle-Urteil des EuGH an Komplexitätgewonnen. Die neue für Datenschutz zu-ständige Kommissarin Martine Reichertsnimmt in einer Rede darauf Bezug und ruftzur raschen Umsetzung der Reform auf(tinyurl.com/p8pyzys). Die eher schwer zu-gänglichen Dokumente des Rats sind auf ei-ner privaten Website unter tinyurl.com/n9t52cq abrufbar. Der derzeitige Verhand-lungsstand in konsolidierter Fassung istauf der Website von Statewatch zu finden(www.tinyurl.com/nklvalc).

JUDIKATURNEUE DOKUMENTE DER

ART 29-ARBEITSGRUPPE

Die Publikationen der Art 29-Arbeitsgruppesind wertvolle Interpretationshilfen in derpraktischen Anwendung des Datenschutz-rechts. Im ersten Halbjahr 2014 hat sich die-sesGremium, das sich aus denLeiternder un-abhängigen Datenschutzbehörden der EU-Mitgliedstaaten zusammensetzt, in ihrenStellungnahmen mit folgenden Themen be-schäftigt (ec.europa.eu/justice/data-protection/article-29/index_en.htm):n 1/2014 zur Anwendung der Begriffe der

Notwendigkeit und der Verhältnismä-ßigkeit sowie des Datenschutzes im Be-reich der Strafverfolgung WP 211;

n 2/2014 zu verbindlichen unternehmens-internen Regelungen und für den grenz-überschreitenden Datenschutz WP 212;

n 3/2014 über die Meldung von Verlet-zungen des Schutzes personenbezogenerDaten („Data Breach NotificationDuty“) WP 213;

n 4/2014 zur Überwachung der elektroni-schen Kommunikation zu nachrichten-dienstlichen und nationalen Sicherheits-zwecken WP 215;

n 5/2014 zu AnonymisierungstechnikenWP 216;

n 6/2014 on the notion of legitimate inte-rests of the data controller under Article7 of Directive 95/46/EC WP 217;

n 7/2014 on the protection of personal datain Quebec WP 219.

VORRATSDATENSPEICHERUNG

Nachdem Anfang April 2014 der EuGH derVorratsdatenspeicherung ein Ende gesetzthatte (C-293/12 und C-594/12, DigitalRights Ireland und Seitlinger, ua), entschiedder VfGH im zugrundeliegenden Anlass-verfahren Ende Juni 2014, dass die Vorrats-datenspeicherung dem Grundrecht auf Da-tenschutz und dem Recht auf Privatsphärewiderspricht, und hob die entsprechendenRechtsgrundlagen mit Wirkung 1. 7. 2014auf (G 47/2012 ua). Das deutsche Bundes-verfassungsgericht hatte die Vorratsdaten-speicherung – sozusagen ohne EU-Schüt-zenhilfe – bereits im März 2010 gekippt(1 BvR 256/08; 1 BvR 263/08; 1 BvR 586/08), das tschechische Verfassungsgerichtfolgte diesem Beispiel ein Jahr später(www.tinyurl.com/qac8tlx).

Mittlerweile haben auch die Verfas-sungsgerichte von Slowenien undRumäniendie Bestimmungen zur Vorratsdatenspei-cherung aufgehoben (www.digitalrights.ie/category/data-retention/). Das irische An-lassverfahren für das Vorabentscheidungs-verfahren vor dem EuGH war bei Redak-tionsschluss noch offen. Anders in Großbri-tannien: Dort hatman die Vorratsdatenspei-cherung mittels Gesetz wieder eingeführt(www.orf.at/stories/2238369/).

VERWALTUNGDATENVERARBEITUNGSREGISTER:

NEUE INFORMATIONSVERBUNDSYSTEME

KÖNNEN NUR PER E-MAIL GEMELDET WERDEN

Seit 1. 9. 2012 sind Meldungen zum Da-tenverarbeitungsregister (DVR) nur mehrüber das DVR-Online zulässig. Aufgrundtechnischer Hürden gilt dies derzeit nichtfür die Erstmeldung eines Informations-verbundsystems (www.dsb.gv.at/site/6295/default.aspx).

DATENSCHUTZBERICHT 2013

Anfang Mai veröffentlichte die Daten-schutzbehörde ihren Bericht für den Zeit-raum 2012/2013 auf ihrer Website www.dsb.gv.at. Die Ausführungen zu den Orga-nen der Datenschutzkommission sind aller-dings nur mehr von historischem Interesse,weil diese mit 1. 1. 2014 von der monokrati-schen Datenschutzbehörde abgelöst wurde.

Ein paar Highlights aus den vorgelegtenStatistiken zur Tätigkeit: Die eingelangtenIndividualbeschwerden bleiben auf konstan-

tem Niveau (mit einem Ausreißer im erstenHalbjahr 2013), im zweiten Halbjahr 2013konnte die durchschnittliche Erledigungs-dauer auf unter vierMonate gesenkt werden.Bei Genehmigungsverfahren im internatio-nalen Datenverkehr war mit einer Bearbei-tungsdauer von über sechsMonaten zu rech-nen. Zur Dauer der Registrierungsverfahrenwurden keine Zahlen veröffentlicht.

Zu beobachten ist ferner eine deutlicheZunahme der amtswegigen Prüfverfahren,wenngleich in Summe weiterhin sehr we-nige Verfahren eingeleitet werden. Mehrals die Hälfte der angefochtenen Bescheidewurden durch die Höchstgerichte bestätigt,wobei der Großteil der positiv erledigtenBeschwerden auf das EuGH-Urteil zurück-zuführen war, in dem die mangelnde Un-abhängigkeit der Datenschutzkommissionfestgestellt wurde. Nach Verfahrensartengegliedert werden die im Berichtszeitraumerlassenen Entscheidungen erläutert (wobeidiese alle auch im RIS abrufbar sind).

Handlungsbedarf des Gesetzgeberssieht die Behörde in drei Punkten:n Entlastung des Datenverarbeitungsregis-

ters;n Ausräumung der Rechtsunsicherheiten

im Zusammenhang mit Bonitätsinfor-mationen;

n Nachschärfung der Bestimmungen zurVideoüberwachung.

ELGA VERSCHOBEN

Anfang Juli wurde verkündet, dass die ersteAusbaustufe von ELGA (das Einspeisender Daten durch Spitäler) erst Ende undnicht schon Anfang 2015 starten wird. Ab-melden kann man sich dennoch bereitsjetzt: Entweder mittels Bürgerkarte/Handy-signatur (die für alle Finanz-Online-Nutzerbequem über das Internet bestellt werdenkann) oder konventionell mittels Formularauf www.gesundheit.gv.at

NAMEN DER PATIENTEN AN DER TÜRE

DES SPITALSZIMMERS BEDENKLICH

Die Zeitschrift Konsument berichtet in ih-rer Ausgabe 8/2014 von einer Interventionder PatientInnen- und PflegeombudsschaftSteiermark (PPO). Patienten eines Spitalshatten sich über die an den jeweiligen Zim-mertüren angebrachten Namensschilder be-schwert. Zukünftig wird bei der Aufnahmeeine entsprechende Zustimmungserklärungeingeholt werden.

Viktoria Haidinger, WirtschaftskammerÖsterreich

Page 29: Datenschutz Konkret

http://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELhttp://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL

bn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELnz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL

w.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELw.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL

sbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16ELnz.at/list.h

w.mw..m

Dohr · Pollirer · Weiss · Knyrim

DSG Datenschutzrecht

inklusive 17. Ergänzungslieferung

Das gesamte Datenschutzrecht aus ExpertenhandLoseblattwerk in 2 Mappeninkl 17. Erg.-Lfg. 2014.EUR 290,–ISBN 978-3-214-08669-5

Im Abonnement zur Fortsetzung vorgemerkt.

Dieses Werk ist auch online erhält lich.Preis ab EUR 170,40 / Jahr (exkl. USt).Nähere Informationen und Bestellung unterTel.: +43 1 531 61 655bzw. [email protected] oder auf www.manz.at/dsg

Der Loseblatt-Kommentar zum Datenschutzrecht bietet:• das DSG 2000 samt Durchführungsverordnungen, Landes-Datenschutz-

gesetzen und EU-Recht• datenschutzrechtliche Sondernormen aus den unterschiedlichsten

Materien (Spezieller Datenschutz) wie Computerstrafrecht, GewO, SPG,E-GovG, MeldeG oder TKG

• alles zum internen Datenschutzbeauftragten mit Prüffragenkatalog und Mustern

Verständlich auf bereitet durch ausführliche Kommentierung im Anmer-kungsteil, relevante Judikatur im Entscheidungsteil sowie Materialien und Schrifttum.

Jetzt in der 17. Lieferung:• die DSG-Novelle 2014 eingearbeitet• viele neue Entscheidungen und Anmerkungen (zB zu „Big Data“, ELGA)• der Prüffragenkatalog komplett überarbeitet• das Stichwortverzeichnis aktualisiert

MANZ’sche Verlags- und Universitätsbuchhandlung GmbHtel +43 1 531 61 100 fax +43 1 531 61 455 [email protected] 16 ∙ 1014 Wien www.manz.at

manz.at/list.html?tisbn 978 3 214 0088888888666666666666666699999999 55555555&&&&&&&&uuuuuuuutttttttm_sourcemmmmmmmmanz.at////////list.html?tisbn=978-3-214-08669-5&utm_sourceemmmanz.at/list.html?tisbn=978-3-214-08669-5&utm_sourceemmmanz.at/list.html?tisbn=978-3-214-08669-5&utm_sourceemmmanz.at/list.html?tisbn=978-3-214-08669-5&utm_sourceemmmanz.at/list.html?tisbn=978-3-214-08669-5&utm_sourceemmmmanz.at/list.html?tisbn=978-3-214-08669-5&utm_sourceeeeeeeemaaaaaaaannnnnnnzzzzzzz.aaaaaaattttttt////////lllllliiiiiisssssssst.html????ttttttiiiiisssssssbbbbbbbnnnnnnnn=9999999977777777888888-------33333333--------22222222111111144444444-0000000888888886666666666666699999999-5555555&utm_source

online

Page 30: Datenschutz Konkret

http://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzhttp://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzhttp://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzhttp://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzhttp://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzhttp://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzhttp://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzhttp://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzhttp://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutz

2014. LVI, 272 Seiten.Geb. EUR 54,–ISBN 978-3-214-02068-2

at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzww.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutzwww.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutz

.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenangww.maww

Grünanger · Goricnik

Arbeitnehmer-Datenschutz und Mitarbeiter-kontrolle

So gelingt der Spagat zwischenDatenschutz und Kontrolle!

• aktuelle Rechtsprechung der Gerichte und der Datenschutzkommission – ausführlich dargestellt• Erfordernisse einer gesetzmäßigen Mitarbeiterkontrolle• Berücksichtigung des öffentlichen Dienstrechts, zB der IKT-Nutzungsverordnung• Rechte des Betriebsrats und der Beschäftigten• Ausführliche Darstellung aller möglichen Kontrollarten im Besonderen Teil• Ausführungen zum Thema Beweisverwertungsverbote im arbeitsgerichtlichen Verfahren

MANZ’sche Verlags- und Universitätsbuchhandlung GmbHtel +43 1 531 61 100 fax +43 1 531 61 455 [email protected] Kohlmarkt 16 ∙ 1014 Wien www.manz.at

ww.manz.at/list.html?tisbn=978-ww.manz.at/list.html?tisbn=978-ww.manz.at/list.html?tisbn=978-ww.manz.at/list.html?tisbn=978-wwwwmmaannzz aatt//lliisstt hhttmmll??ttiissbbnn==997788--

Preslmayr Rechtsanwälte OGUniversitätsring 12, A-1010 WienTel: +43(1)-533 16 95 www.preslmayr.at

Wir schließen Ihre Lücken im Datenschutzrecht.