Datenschutz – immer in den Schlagzeilen

255

DSG-Novelle 2010

Die erste tiefgreifende Novelle zum Datenschutzgesetz seit dem Jahr 2000 enthält weitgehende Änderungen. Insbesondere drei Bereiche, nämlich das Meldeverfahren, die Videoüberwachung und die Verpflichtungen, Datenverarbeitungen zu überwachen, werden durch die DSG-Novelle 2010 (BGBl I 133/2009) erstmals detailliert geregelt oder erheblich modifiziert.

Durch Erleichterung des Meldungverfahrens in §§ 17 ff DSG soll die Verfahrensdauer bei Datenschutzkommission bzw Datenverarbeitungsregister verkürzt werden. Die in § 17 Abs 1a DSG vorgesehene Internetanwendung mit automatischer Plausibilitätsprüfung wird Meldungen mit Formblättern weitgehend ersetzen – allerdings erst nach einer Novelle der Datenvereinbarungsregister-Verordnung, die bis zum 1.1.2012 erfolgten muss. Die Erleichterungen sind bis dahin nicht anwendbar.

Bereits in Kraft sind Änderungen hinsichtlich der Videoüberwachung im neu geschaffenen 9a. Abschnitt und der sogenannten „Data Breach Notification“.

Der Gesetzgeber hat auf die Bedeutung der Videoüberwachung durch besondere Vorschriften reagiert. Jetzt besteht eine grundsätzliche Meldepflicht für alle Videoüberwachungsanlagen, damit auch im privaten Bereich. Wegen der Ausgestaltung der §§ 50a und 50b DSG ist zu erwarten, dass ein Großteil der Anlagen der Vorabkontrolle unterfällt und damit vor Inbetriebnahme genehmigt werden muss. Die Befürchtung, dass damit der Betrieb zahlreicher Videoüberwachungsanlagen im privaten Bereich „über Nacht“ rechtswidrig wurde, ist wohl berechtigt.

Der 9a. Abschnitt des DSG enthält Rechtfertigungsgründe für die Videoüberwachung. Die Echtzeitüberwachung ohne Speicherung von Personen und Objekten ist zulässig, wenn der Schutz von Leib, Leben oder Eigentum des Auftraggebers beabsichtigt ist. Hier ist keine Meldung erforderlich. Eine Speicherung ist insbesondere zulässig, wenn der Betroffene ausdrücklich zugestimmt hat, wenn es sich um lebenswichtige Interessen der Person handelt oder das überwachte Objekt oder die überwachte Person Ziel eines gefährlichen Angriffs werden könnte und dafür Anhaltspunkte bestehen. Solche Videoüberwachungen sind meldepflichtig, außer die Speicherung erfolgt nur auf analogen Speichermedien. Videoüberwachung des höchstpersönlichen Lebensbereichs oder zur Mitarbeiterkontrolle ist jedenfalls unzulässig. Eine Videoüberwachung muss jedenfalls gekennzeichnet werden, sodass der Betroffene weiß, dass er gefilmt werden könnte.

Ebenfalls in Kraft ist die „Data Breach Notification“ in § 24 Abs 2a DSG: Der Auftraggeber einer Datenverarbeitung ist verpflichtet, Betroffene unverzüglichen in geeigneter Form zu informieren, wenn ihm bekannt wird, dass Daten aus seinen Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht. Wie sich die von vielen unbestimmten Gesetzesbegriffen geprägte Regelung in der Praxis auswirkt, ist unklar. Betroffene von Datendiebstahl könnten in Hinkunft stärker versuchen, Schadenersatzansprüche geltend zu machen – nicht nur wegen unzureichender Datensicherheitsmaßnahmen, sondern auch wegen nicht erfolgter rechtzeitiger Verständigung von Datenlecks.

2.      Neueste Judikatur zur Bonitätsdatenbanken

Auch im Hinblick auf Bonitätsdatenbanken hat sich die Uhr weiter gedreht. Der Oberste Gerichtshof hat entschieden, dass eine Bonitätsdatenbank dann zulässigerweise Daten verarbeitet, wenn ein rechtliches Interesse durch denjenigen, der eine Auskunft begehrt, angegeben werden muss (OGH 17.12.2009, 6 Ob 41/09 m). Betreiber von Bonitätsdatenbanken können damit Daten von Personen, die einer Aufnahme in die Bonitätsdatenbank gemäß § 28 DSG widersprochen haben, auch weiterhin speichern und bei Nachweis eines rechtlichen Interesses an Dritte weitergeben.

Derzeit ist das Datenschutzrecht sicher ein dynamischster Rechtsbereich, der ständig bedeutsame Änderungen für Auftraggeber von Datenanwendungen und Betroffene mit sich bringt. Es bleibt spannend.

Dr. Herwig Hauenschild, Partner und Rechtsanwalt bei KWR

www.kwr.at

Fotos: kwr

Flower