DIE NEUE ÖSTERREICHISCHE DATENSCHUTZNOVELLE IST DA!
Endlich, nach mehr als zweieinhalb Jahre andauernden Geburtswehen, ist es in Kraft. Seit 01.01.2010 hat das neue Datenschutzgesetz DSG 2010 Gültigkeit!
Das Datenschutzgesetz hat den Sinn, den Bürger davor zu schützen, dass seine persönlichen Daten nicht unbefugt und unkontrolliert weitergegeben werden. Manchmal entsteht allerdings der Eindruck, dass der Gesetzgeber dies vergessen hat.
Endlich, nach mehr als zweieinhalb Jahren andauernden Geburtswehen, ist es in Kraft. Seit 01.01.2010 hat das neue Datenschutzgesetz DSG 2010 Gültigkeit! Obwohl die Novelle auf breiter Ebene lange diskutiert wurde, ist der vielfach erwartete große Wurf ausgeblieben. Die ARGE DATEN (www.argedaten.at) hat sogar von einer „Novelle der verlorenen Chancen“ gesprochen. Fakt jedoch ist, dass es einige Neuerungen gibt, die wir alle zu berücksichtigen haben und die möglicherweise große Auswirkungen haben können – für Sie, für Ihr Unternehmen und für Ihre IT. Nachfolgend ein paar Gedanken zur Novelle 2010.
Neu ist: Meldungen [an das Datenverarbeitungsregister, kurz DVR] haben über eine vom Bundeskanzler bereitgestellte Internetanwendung zu erfolgen – Dies kann aber erst in Zukunft geschehen, sobald nämlich die entsprechende Infrastruktur zur Verfügung steht. Die Authentifizierung soll „insbesondere durch die Bürgerkarte erfolgen“ [§17 Abs. 1a] Derzeit erfolgt die Meldung per email oder über nichtelektronische Wege; das wird auch weiterhin möglich sein. Wichtig ist, dass bei der Zukunftslösung die Meldungen nur mehr „formal“, nicht aber inhaltlich geprüft werden. Die email-Meldung wird allerdings weiterhin inhaltlich geprüft. Somit wird der Meldeprozess über Internet sowohl für den Anwender als auch für die Datenschutzkommission (DSK) einfacher werden.
Neu ist: eine sinnlose oder inhaltlich falsche Meldung wird, sofern sie über die Internetanwendung erfolgt und den formalen Anforderungen entspricht, grundsätzlich akzeptiert werden. Nicht aus der Gesetzesnovelle hervor geht, ob die Meldedatenbank dann auch öffentlich zugänglich sein wird. Es kann jedoch davon ausgegangen werden. Das hätte Konsequenzen: unrichtige Meldung könnten von jedermann einfach, formlos und anonym aufgefunden werden. So könnte z.B. jeder, der seine Überwachungskamera nicht registriert hat, vom übel wollenden Nachbarn einfach gefunden und gemeldet werden.
Neu ist: Die Befugnisse der DSK wurden erweitert. Sie ist ab sofort berechtigt, selbständig die Einhaltung des DSG zu überprüfen. Anwendungen welche nicht ordnungsgemäß im DVR gemeldet sind oder bei denen die Betroffenenrechte nicht gewahrt werden können, können – nach Verstreichen einer Nachfrist - durch die DSK abgestellt werden. Dazu gehört auch, dass im Überprüfungsfall der DSK nachzuweisen ist, dass die Daten „angemessen“ bzw. „geeignet“ gesichert sind. Sollte die IT nicht diesen Anforderungen entsprechen, ist die DSK berechtigt, die Datenanwendung zu verbieten.
Neu ist das Thema Videoüberwachung: Es wurde seinerzeit im DSG 2000 gar nicht explizit behandelt. Videos waren einfach „personenbezogene Daten“, und die allgemein gültigen Anforderungen wurden auf Videos ausgedehnt. Jetzt ist das anders. Gleich geblieben ist, dass Videoüberwachung meldepflichtig ist, und zwar in Form einer Vorabkontrolle. Sie sind seit jeher von Gesetzes wegen verpflichtet, bevor Sie eine Videoüberwachung beginnen, Ihr Einverständnis von der Datenschutzkommission einzuholen. Diese Regelung wurde erleichtert: Die Vorabkontrolle fällt weg, sofern Sie die Videoüberwachungsdaten verschlüsseln und der Schlüssel bei der DSK hinterlegt wird (abgesehen von Ausnahmen). Dadurch verspricht sich der Gesetzgeber offenbar bessere Akzeptanz der Meldeverpflichtung.
Neu ist auch die Kennzeichnungspflicht der Videoüberwachungsanlage. Sie hat „derart zu erfolgen, dass jeder potentiell Betroffene … tunlichst die Möglichkeit der Videoüberwachung auszuweichen.“ [§50d] Demnach müssen Sie Ihre Videoüberwachungsanlage derart kennzeichnen, dass sie bereits vor dem Betreten des überwachten Bereiches umdrehen können.
Eine interessante Neuerung ist die Informationspflicht, die besagt, dass Betroffene von schwerwiegenden Datenschutzverletzungen zu informieren sind. Die Konsequenzen dieses §24 Abs. 2 sind aus heutiger Sicht noch kaum abzusehen, sie könnten aber enorm sein. Wird durch einen illegalen Angriff auf Ihre Daten eine große Anzahl von personenbezogenen Daten ausspioniert, so sind alle Betroffenen zu verständigen – möglicherweise über TV Einschaltungen in der Primetime. Was das für ein Unternehmen bedeutet lässt sich ausmalen.
Datenschutzverletzungen sind mit – vielfach vernachlässigbaren – Verwaltungsstrafen verbunden. Unangenehm kann die Verfügung zur Einstellung der Datenanwendung werden, sehr unangenehm kann der Reputationsverlust für das Unternehmen werden.
Nehmen Sie das Thema ernst. Wenn Sie mehr darüber wissen wollen, fragen Sie uns! Gerne werden wir Sie in Ihren Datenschutzbelangen unterstützen, Sie coachen, Ihre IT auf Datenschutz-Compliance überprüfen oder Ihre Datenschutzagenden für Sie wahrnehmen.
