Dr. Michael Hasberger, Rechtsanwalt und Partner bei Hasberger_Seitz & Partner Rechtsanwälte GmbH und Spezialist für Telekommunikations- recht, IT-Recht, Immaterialgüterrecht, Unternehmens- und Wettbewerbsrecht, Verfahrensrecht, und Zivilrecht zu den Neuerungen der DSG-Novelle 2010 die mit 1. Jänner 2010 in Kraft trat. Die wesentlichen Neuerungen lassen sich in aller Kürze auf folgende Regelungsbereiche einschränken:
Videoüberwachung
Nunmehr wird die datenschutzrechtliche Zulässigkeit der Videoüberwachung ausdrücklich geregelt. Jede (auch private) Videoüberwachung obliegt einer Vorabkontrolle durch die Datenschutzkommission. Die Videoüberwachung setzt eine Kennzeichnungspflicht (lesbare Aufschrift oder Piktogramme) voraus, aus der der Auftraggeber eindeutig hervorzugehen hat. Die Kennzeichnung soll es auch ermöglichen, dass der Überwachung tunlichst ausgewichen werden kann. Wesentlich ist, dass eine lückenlose Protokollierung jedes Verwendungsvorganges bei einer Videoüberwachung vorgeschrieben ist (reine Echtzeitüberwachungen sind davon ausgenommen).
Neue Informationspflicht (Data Breach Notification)
Neu ist die Verpflichtung, dass Auftraggeber nunmehr im Fall eines Datenmissbrauches diejenigen informieren müssen, deren Daten (= Betroffene) durch den unbefugten Zugriff auf welche Art auch immer verwendet werden. Im
Zuge von rechtswidrigen Attacken auf IT-Systeme kommen daher umfangreiche Verpflichtungen auf die verantwortlichen Organe zu (Vorstand, Geschäftsführer, etc.). Nunmehr gehören auch diese Informationspflichten zum Sorgfaltsmaßstab, die ein ordentlicher und gewissenhafter Unternehmer im Zusammenhang mit der IT-Sicherheit einzuhalten hat (vgl. ecolex 2007, 508).
Nach der Gesetzesbegründung soll diese Bestimmung zur Vermeidung von Vermögensschäden der jeweiligen Betroffenen dienen. Sollten daher in Zukunft die Betroffenen nach einem unzulässigen Angriff auf interne Datenbestände nicht rechtzeitig, nicht in geeigneter Form oder nicht ausreichend informiert werden, so können die Betroffenen Schadenersatzansprüche erheben.
Widerspruchsrecht
Das Widerspruchsrecht, geregelt in § 28 DSG, war in jüngster Zeit Thema mehrerer OGH-Entscheidungen. Der OGH judiziert sehr „kundenfreundlich“, da der Betroffene jederzeit auch ohne Begründung gegen eine öffentlich zugängliche Datenanwendung, die nicht gesetzlich angeordnet ist, Widerspruch erheben kann. Damit kann z.B. gegen jede Aufnahme von Daten in eine Wirtschaftsauskunftsdatei Widerspruch erhoben und letztlich die Löschung dieser Daten verlangt werden (vgl. 6 Ob 195/08g; 6 Ob 156/09y).
Der Gesetzgeber hat diese Judikatur insofern bestätigt und gestärkt, als nunmehr der Begriff „Datei“ durch jenen der „Datenanwendung“ (§ 28 Abs. 2 DSG) ersetzt wurde. Damit ist nun ein weiterer Anwendungsbereich möglich, der zuvor als Reaktion auf die Judikatur des OGH von der Literatur kritisiert wurde (vgl. MR 2009, 306 ff). Interessant ist folgende Konsequenz: So ist es z.B. auch in Online-Foren durch das nicht zu begründende Widerspruchsrecht jedem Betroffenen leicht möglich, auf ihn bezogene Daten löschen zu lassen (vgl. etwa OLG Linz 16. Juli 2009, 3 R 101/09g) !
Die Arbeit von Wirtschaftsauskunftsdateien, die Bonitätsdaten zur Verfügung stellen, wird wesentlich erschwert und eingeschränkt. Bemerkenswert ist auch, dass der Gesetzgeber (z.B. Verbraucherkreditrichtlinie oder auch in Glücksspielgesetzen) voraussetzt und verlangt, dass Bonitätsauskünfte eingeholt werden. Sollte nun aufgrund eines Widerspruchs gemäß § 28 Abs. 2 DSG keine Daten mehr vorhanden sein, so geht die gesetzliche Anordnung ins Leere. Es ist zu befürchten, zum Teil durch die Praxis schon bestätigt, dass allein die Tatsache, dass keine Daten gespeichert sind, im Zuge von Bonitätsabfragen als negativ gewertet wird (ähnliches ist auch für Verbraucherkredite zu befürchten).
Zusammengefasst sind die Neuerungen seit 1. Jänner 2010 im Rahmen des DSG nicht, wie ursprünglich erwartet, umfassend, allerdings ergeben sich im Detail durchaus wesentliche und berücksichtigende Erkenntnisse. Ungeachtet der Neuerungen, die auf jedermann Auswirkungen zeigen (z.B. im Rahmen der Videoüberwachung), verstärkt sich das Erfordernis nach einer geeigneten und vorsorgenden IT-Policy für Unternehmer (Informationspflichten im Rahmen der IT-Sicherheit, Umgang der Mitarbeiter mit IT, etc.).
Dr. Michael Hasberger
hasberger@hsp-law.at
Foto:
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.