Embed Size (px)
Citation preview
manual
MARZI | PALLWEIN-PRETTNER
Datenschutzrecht
Dieses Buch ermöglicht Studierenden an Universitäten und Fachhochschulen ebenso wie rechtlich interessierten (auch nicht juristisch ausgebildeten) Praktikerinnen und Praktikerneinen kompakten Überblick über die wesentlichen Rahmenbedingungen der neuen Datenschutznormen. Weiters wird ein Problembewusstsein geschaffen, um die in der betrieblichen Praxis häufig auftretenden datenschutzrechtlichen Fragen richtig einordnen zu können und ein Verständnis für Lösungswege zu entwickeln. Das von den Leserinnen und Lesern erarbeitete Know-how kann nach jeder Lerneinheit anhand einer Fragen-sammlung angewendet und vertieft werden.
Auf aktuellstem Stand berücksichtigt dieses neue manual auch die europarechtlichen Zusammenhänge. Mit seinem kompakten Umfang und einer anschaulichen Struktur führt das manual übersichtlich in das Thema ein und schließt eine Lücke in der bisherigen Literatur. Ein umfangreiches Stichwortverzeichnis erleichtert das Nachschlagen.
Mag. Christian Marzi, LL.M., ausgebildeter Jurist und Techniker mit über 20 Jahren Erfahrung in der IKT-Branche, war langjähriger Leiter der Rechtsabteilung bei zwei führenden IT-Unternehmen. Er war als selbständiger Berater im Bereich IT-Commerce sowie Lehr-beauftragter für Datenschutzrecht an der FHWien der WKW tätig.
RA Dr. Angelika Pallwein-Prettner, LL.M. (NYU) ist Rechtsanwältin und Partnerin bei BINDER GRÖSSWANG in Wien. Ihre Tätigkeits-schwerpunkte liegen im kollektiven und individuellen Arbeitsrecht sowie im Datenschutzrecht. Angelika Pallwein-Prettner ist Autorin zahlreicher nationaler und internationaler Fachpublikationen.
facultas.at
ISBN 978-3-7089-1522-7
MA
RZI |
PA
LLW
EIN
-PRE
TTN
ER
Dat
ensc
hutz
rech
t
man
ual
auf Basis der DS-GVO
Christian MarziAngelika Pallwein-Prettner
Datenschutzrechtauf Basis der EU DS-GVO
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Copyright © 2018 Facultas Verlags- und Buchhandels AGfacultas, 1050 Wien, ÖsterreichAlle Rechte, insbesondere das Recht der Vervielfältigung und derVerbreitung sowie der Übersetzung, sind vorbehalten.Satz: SOLTÉSZ. Die Medienagentur.Druck: Facultas Verlags- und Buchhandels AGPrinted in AustriaISBN 978-3-7089-1522-7
5
Vorwort
Liebe Leserin, lieber Leser,
am 25. Mai 2018 findet die neue EU-Datenschutz Grundverordnung (DS-GVO) Anwendung. Gleichzeitig wird das durch das österreichische Datenschutz-An-passungsgesetz 2018 umfassend novellierte DSG 2000 - künftig wieder unter dem Titel DSG – in Kraft treten.
Man kann zurecht behaupten, dass durch die neuen Datenschutzbestimmun-gen kein Stein auf dem anderen bleibt. So wird - nur als beispielhafte Nennung - das Marktortprinzip den Anwendungsbereich europäischen Datenschutzrechts verändern. Das in Österreich bis dato bestehende Datenverarbeitungsregister wird abgeschafft und zunächst noch quasi zu Archivzwecken zur Verfügung gestellt bleiben. Das behördliche Melde- und Genehmigungssystem wird durch umfassende interne Dokumentations- und Transparenzpflichten ersetzt, welche für die Verantwortlichen einen wesentlichen Mehraufwand bedeuten und dazu führen sollen, einen bewussteren und sorgsameren Umgang mit Daten zu bewir-ken. Weiters festgeschrieben wird eine Art „Datenschutzauditverpflichtung“, die jedenfalls dann durchzuführen ist, wenn die Datenschutzsphäre von betroffenen Personen bei der Verarbeitung derer personenbezogenen Daten einem hohen Risiko ausgesetzt ist (sog. Datenschutz-Folgenabschätzung). Gleichzeitig erfolgt auch ein Umbau der Rechtsschutzbehörden sowie die Festlegung erheblicher Bußgelder bei Datenschutzverletzungen, die massiv über den Rahmen des ur-sprünglich geltenden DSG 2000 hinausgehen.
Um der geschätzten Leserin und Leser einen Einstieg und Überblick über das neue Datenschutzregime zu geben, wurde dieses Buch erstellt, freilich nicht ohne auf bestimmte Detailbetrachtungen verzichten zu wollen.
Wir hoffen, dass uns Autoren der Spagat gelungen ist, zum einen den Blick auf das Wesentliche zu lenken, zum anderen aber der Leserin und dem Leser auch die eine oder andere unabdingbare detaillierte Information übersichtlich aufzubereiten.
Wir möchten uns besonders beim Verlag Facultas für die umfassende Unter-stützung bei der Erstellung dieses Werkes bedanken. Hier möchten wir vor allem Herrn Peter Wittmann sowie dem zuständigen Lektorat unseren Dank ausspre-chen.
Weiters dürfen wir Herrn Mag. Stefan Frank-Woda von der Rechtsanwalts-kanzlei Binder Grösswang für seine kompetente Unterstützung bei der Werkser-stellung danken.
Angelika Pallwein-Prettner Christian Marzi
Der Verlag und die Autorin haben die traurige Pflicht, Sie vom unerwarteten Ableben Herrn Mag. Christian Marzis unmittelbar vor Drucklegung des vorlie-genden Buches zu informieren. Er hat sich mit großem Elan und Freude diesem Werk zugewandt, das er bis zur Druckfreigabe Anfang Dezember 2017 begleiten konnte.
Es möge allen Lesern dienen und ein Andenken an Christian Marzi sein.
Angelika Pallwein-PrettnerDer Verlag
7
Inhaltsverzeichnis
Vorwort 5Abkürzungsverzeichnis 13
1 Gegenstand des Datenschutzrechts 15
1.1 Sinn und Zweck .............................................................................................. 151.2 Entwicklung ..................................................................................................... 16
1.2.1 Allgemeine Überlegungen ............................................................... 161.2.2 Die Entwicklung des Datenschutzrechts in Österreich ............. 17
1.3 Das Grundrecht auf Datenschutz ............................................................... 201.3.1 Zum Grundrechtsbegriff im Allgemeinen ................................... 201.3.2 Die Drittwirkung von Grundrechten ............................................ 221.3.3 Entwicklungen eines Grundrechts auf Datenschutz in der
österreichischen Rechtsordnung .................................................... 231.3.4 Exkurs: Der Stufenbau der Rechtsordnung.................................. 271.3.5 Kriterien einer grundrechtskonformen Datenverarbeitung ..... 29
1.4 Verwandte Rechtsgebiete zum Datenschutz ............................................ 291.4.1 Fernmeldegeheimnis und Datenschutz im Telekom-
munikationsbereich .......................................................................... 291.4.2 Persönlichkeitsrechte ....................................................................... 31
2 Systematik der DS-GVO 33
2.1 Aufbau und Interpretation ........................................................................... 332.2 Allgemeine Grundsätze der Datenverarbeitung ...................................... 34
2.2.1 Vorbemerkungen ............................................................................... 342.2.2 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,
Transparenz ........................................................................................ 352.2.3 Zweckbindung .................................................................................... 372.2.4 Datenminimierung, Speicherbegrenzung .................................... 392.2.5 Richtigkeit ........................................................................................... 402.2.6 Integrität und Vertraulichkeit ......................................................... 412.2.7 Rechenschaftspflicht ......................................................................... 412.2.8 Technikgestaltung (Privacy by Design) ......................................... 422.2.9 Datenschutzfreundliche Voreinstellung (Privacy by Default) .. 42
2.3 Öffnungsklauseln ............................................................................................ 43
Inhaltsverzeichnis8
3 Wesentliche Begriffsbestimmungen in der DS-GVO 45
3.1 Allgemeines ..................................................................................................... 453.2 Personenbezogene Daten ............................................................................. 45
3.2.1 Definition ............................................................................................ 453.2.2 Besondere Kategorien personenbezogener Daten ..................... 473.2.3 Personenbezogene Daten über strafrechtliche
Verurteilungen und Straftaten ........................................................ 483.2.4 Pseudonymisierung und Anonymisierung .................................. 493.2.5 Profiling ............................................................................................... 503.2.6 Abschließendes zu „personenbezogenen Daten“ ........................ 50
3.3 Verarbeitung .................................................................................................... 513.4 Verantwortlicher............................................................................................. 513.5 Betroffene Person ........................................................................................... 533.6 Auftragsverarbeiter ........................................................................................ 53
4 Anwendungsbereiche 57
4.1 Sachlicher Anwendungsbereich .................................................................. 574.1.1 Einführung .......................................................................................... 574.1.2 Ganz oder teilweise automatisierte Verarbeitung ...................... 574.1.3 Nichtautomatisierte Verarbeitung ................................................. 574.1.4 Ausschließungsgründe ..................................................................... 58
4.2 Räumlicher Anwendungsbereich ................................................................ 614.2.1 Einführung .......................................................................................... 614.2.2 Verarbeitung durch Niederlassungen innerhalb der Union ..... 624.2.3 Verarbeitung durch Niederlassungen außerhalb der Union .... 634.2.4 Verarbeitung durch diplomatische oder konsularische
Vertretungen ...................................................................................... 64
5 Rechtmäßigkeit der Verarbeitung 67
5.1 Vorbemerkungen ............................................................................................ 675.2 Verbotsprinzip ................................................................................................ 675.3 Erlaubnistatbestände ..................................................................................... 675.4 Einzelne Erlaubnistatbestände ..................................................................... 68
5.4.1 Einwilligung (lit a) ............................................................................. 685.4.2 Exkurs: Cookies ................................................................................. 735.4.3 Vertragserfüllung (lit b) .................................................................... 745.4.4 Erfüllung einer rechtlichen Verpflichtung (lit c) ......................... 74
Inhaltsverzeichnis 9
5.4.5 Schutz lebenswichtiger Interessen (lit d) ...................................... 745.4.6 Öffentliches Interesse oder Ausübung öffentlicher
Gewalt (lit e) ....................................................................................... 755.4.7 Wahrung berechtigter Interessen (lit f ) ........................................ 75
5.5 Strafrechtlich relevante Daten .................................................................... 765.6 Besondere Kategorien personenbezogener Daten .................................. 775.7 Prüfschema für die Zulässigkeit einer Datenanwendung ...................... 78
6 Videoüberwachung und Beschäftigtendatenschutz 79
6.1 Videoüberwachung/Bildverarbeitung ........................................................ 796.1.1 Begriff und Zulässigkeit ................................................................... 796.1.2 Sicherheitsmaßnahmen und Kennzeichnung.............................. 80
6.2 Beschäftigtendatenschutz ............................................................................. 80
7 Transparenz und Rechte der betroffenen Partei 83
7.1 Allgemeines ..................................................................................................... 837.2 Form und Fristen ............................................................................................ 837.3 Informationspflicht ........................................................................................ 84
7.3.1 Zweck und Inhalt ............................................................................... 847.3.2 Information durch standardisierte Bildsymbole ......................... 86
7.4 Recht auf Auskunft......................................................................................... 867.5 Berichtigung und Löschung ........................................................................ 877.6 Exkurs: Rechtssache „GoogleSpain“ .......................................................... 897.7 Recht auf Einschränkung der Verarbeitung .............................................. 917.8 Recht auf Datenportabilität .......................................................................... 927.9 Widerspruchsrecht ........................................................................................ 927.10 Automatisierte Entscheidungen – Profiling ............................................ 93
8 Selbstregulierung und Zertifizierung 95
8.1 Einleitung ......................................................................................................... 958.2 Selbstregulierung ............................................................................................ 968.3 Zertifizierungen .............................................................................................. 99
Inhaltsverzeichnis10
9 Maßnahmen und Vorgaben zur Datensicherheit 101
9.1 Datenschutz-Folgenabschätzung und Verfahrens verzeichnisse ........... 1019.1.1 Einleitung ............................................................................................ 1019.1.2 Kriterien der Durchführung der Datenschutz-Folgen-
abschätzung ........................................................................................ 1049.1.3 Verfahrensablauf der Datenschutz-Folgenabschätzung ............ 104
9.2 Technische und organisatorische Maßnahmen ....................................... 1059.3 Meldepflichten bei Datenschutzverletzungen .......................................... 1069.4 Datenschutzbeauftragter .............................................................................. 107
10 Datenverarbeitung im Auftrag 109
10.1 Definition und Grundlage der Auftragsverarbeitung ............................. 11010.2 Beauftragung eines Auftragsverarbeiters .................................................. 11110.3 Beauftragung eines Sub-Auftragsverarbeiters .......................................... 11210.4 Auftragsverarbeitungsvertrag ...................................................................... 11210.5 Pflichten des Auftragsverarbeiters .............................................................. 11410.6 Verzeichnis von Verarbeitungstätigkeiten ................................................ 11510.7 Haftung ............................................................................................................. 11610.8 Weisungsgebundenheit ................................................................................. 117
11 Übermittlung von Daten an Drittländer 119
11.1 Allgemeine Grundsätze der Datenübermittlung ..................................... 11911.2 Gleichgestellte Drittländer mittels Angemessenheits beschluss ........... 120
11.2.1 Datenübermittlung vorbehaltlich geeigneter Garantien ........... 12211.2.2 Verbindliche unternehmensinterne Datenschutzregelungen .. 123
11.3 Ausnahmen gemäß Art 49 DS-GVO .......................................................... 12411.4 Ausnahmeklausel ............................................................................................ 12611.5 Genehmigungsverfahren .............................................................................. 127
12 Aufsichtsbehörden und europäische Zusammenarbeit 129
12.1 Datenschutzbehörde ..................................................................................... 12912.1.1 Allgemeines ........................................................................................ 12912.1.2 Organisation ...................................................................................... 13012.1.3 Aufgaben ............................................................................................ 13112.1.4 Befugnisse ........................................................................................... 132
Inhaltsverzeichnis 11
12.2 Datenschutzrat ................................................................................................ 13512.2.1 Aufgaben ............................................................................................. 13512.2.2 Zusammensetzung ............................................................................ 13512.2.3 Verfahrensweise ................................................................................. 136
12.3 Europäischer Datenschutzausschuss .......................................................... 13612.3.1 Allgemeines ........................................................................................ 13612.3.2 Zusammensetzung ............................................................................ 13712.3.3 Verfahrensweise ................................................................................. 13712.3.4 Organe ................................................................................................. 13712.3.5 Aufgaben des Datenschutzausschusses ........................................ 138
12.4 Exkurs: Europäischer Datenschutzbeauftragter ...................................... 13912.5 Zuständigkeit, Zusammenarbeit und Kohärenzverfahren .................... 140
12.5.1 Allgemeine Zuständigkeit (Art 55) ............................................... 14012.5.2 Zuständigkeit bei grenzüberschreitender Verarbeitung
(Art 56) ................................................................................................ 14112.5.3 Prüfungsschema Zuständigkeit ...................................................... 14312.5.4 Zusammenarbeit der Aufsichtsbehörden ..................................... 14312.5.5 Kohärenzverfahren ........................................................................... 147
12.6 Zusammenarbeit von Verantwortlichem und Auftragsverarbeiter mit Aufsichtsbehörden .................................................................................. 150
13 Rechtsbehelfe, Haftung und Sanktionen 151
13.1 Vorbemerkungen ............................................................................................ 15113.2 Rechtsbehelfe .................................................................................................. 151
13.2.1 Beschwerde ......................................................................................... 15113.2.2 Gerichtlicher Rechtsbehelf gegen Aufsichtsbehörden ............... 15313.2.3 Gerichtlicher Rechtsbehelf gegen Verantwortliche ................... 15413.2.4 Vertretung von betroffenen Personen ........................................... 15513.2.5 Aussetzung des Verfahrens ............................................................. 156
13.3 Haftung und Recht auf Schadenersatz ....................................................... 15713.4 Geldbußen ....................................................................................................... 158
13.4.1 Vorbemerkungen ............................................................................... 15813.4.2 Höhe der Geldbußen ........................................................................ 15913.4.3 Strafbemessung.................................................................................. 16113.4.4 Andere Sanktionen ........................................................................... 16113.4.5 Haftung für Geldbußen .................................................................... 163
Weiterführende Literatur und sonstige Arbeitshilfen 167
Stichwortverzeichnis 169
13
Abkürzungsverzeichnis
ABGB Allgemeines Bürgerliches GesetzbuchAEUV Vertrag über die Arbeitsweise der Europäischen UnionB-VG Bundes-VerfassungsgesetzDSAG 2018 Datenschutz-Anpassungsgesetz 2018DSG Datenschutzgesetz (Novellierung des DSG 2000 durch das
DSAG 2018)DSG 1978 Datenschutzgesetz 1978DSG 2000 Datenschutzgesetz 2000DS-GVO Datenschutz-GrundverordnungDS-RL Datenschutz-Richtlinie (1995)EMRK Europäische MenschrechtskonventionEuGH Europäischer GerichtshofEUV Vertrag über die Europäische UnionGRC Charta der Grundrechte der Europäischen UnionMedienG MediengesetzStGB StrafgesetzbuchStGG 1867 Staatsgrundgesetz 1867TKG 2003 Telekommunikationsgesetz 2003UrhG UrheberrechtsgesetzVfGH VerfassungsgerichtshofVwGH Verwaltungsgerichtshof
15
1 Gegenstand des Datenschutzrechts
1.1 Sinn und Zweck
Kommt man zum ersten Mal mit dem Begriff des Datenschutzes oder auch des Datenschutzrechts in Berührung, so würde man – durchaus nicht unberechtigt – annehmen, dass es sich hierbei um Materien handelt, die den Schutz von Da-ten betreffen. Tatsächlich ist der Schutz von Daten nur eine Voraussetzung, um effektiven Datenschutz gewährleisten zu können (nämlich durch technische und organisatorische Maßnahmen im Bereich der Informations- und Datensicher-heit). Vielmehr ist das Schutzobjekt (eigentlich: Schutzsubjekt) des Datenschutz-rechts die von einer Verarbeitung ihrer Daten betroffene Person.
Das Datenschutzrecht verfolgt zwei Primärziele, um die ihm innewohnende Schutzfunktion zu gewährleisten: Es beinhaltet zum einen Regeln und Normen, die den Schutz von personenbezogenen Daten vor unerwünschtem Zugriff zum Inhalt haben (sog. Datensicherheit). Zum anderen schützt es die von der Da-tenverarbeitung jeweils betroffene Person vor etwaigen Beeinträchtigungen ihrer Persönlichkeitsrechte und Privatsphäre.
Nicht sämtliche Daten unterliegen dem Regime des Datenschutzrechts, sondern nur sog. personenbezogene Daten. Es handelt sich hierbei um Daten über per-sönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natür-lichen oder juristischen Person (zB Name, Adresse, Geburtsdatum, Einkommen und Vermögensverhältnisse, Beruf, Ausbildung, Gesundheitszustand etc). Das Datenschutzgesetz 2000 (DSG 2000) schützte auch die Daten von juristischen Personen (Kapitalgesellschaften, Vereine etc), die neue EU-Datenschutzgrundver-ordnung (DS-GVO) und die Abschnitte 2 ff des neuen DSG nur die natürlicher Personen. Das in § 1 DSG verankerte Grundrecht auf Datenschutz schützt aller-dings wohl auch weiterhin juristische Personen.
Der Sinn und Zweck des Datenschutzrechts besteht somit darin, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinen Persönlichkeitsrechten beeinträchtigt wird.
Hauptsächlich geht es diesbezüglich um den Anspruch des Einzelnen auf Geheim-haltung seine Person betreffender Daten. Dabei spielt es auch grundsätzlich keine Rolle, ob die Daten automationsunterstützt oder manuell (Handakte, Büroordner) verarbeitet werden. Allerdings ist der Geheimhaltungsanspruch dann nicht mehr gegeben, wenn die personenbezogenen Daten ohnehin allgemein zugänglich sind
Gegenstand des Datenschutzrechts16
(zB Daten in öffentlichen Büchern wie Telefonbuch) oder derart anonymisiert wurden, dass sie nicht mehr auf die betroffene Person rückgeführt werden können.
Das Datenschutzrecht ist eng verwandt mit dem Recht auf Achtung der Privat-sphäre (siehe hierzu Art 8 EMRK – Europäische Menschenrechtskonvention), allerdings ist das Datenschutzrecht nicht nur auf den Schutz der Privatsphäre beschränkt, sondern umfasst alle sozialen und gesellschaftlichen Lebensberei-che. Man spricht in diesem Zusammenhang zutreffend vom Recht auf informa-tionelle Selbstbestimmung. In erster Linie soll und wird derjenige, dessen Da-ten betroffen sind, zum „Herr der seine Person betreffenden Daten“ gekürt – er entscheidet primär, wem und auf welchem Weg und zu welchem Zweck er seine (personenbezogenen) Daten offenlegt. Einschränkungen dieses Rechts auf infor-mationelle Selbstbestimmung sind nur in engen Regeln und nur dann zulässig, wenn sie im überwiegenden Allgemeininteresse oder unter sonstigen besonderen Regelungsumständen (zB arbeitsrechtliche Verpflichtung zur Zeitaufzeichnung von Mitarbeitern) und unter Beachtung der Verhältnismäßigkeit erfolgen. Sie be-dürfen jedenfalls stets einer entsprechenden gesetzlichen Grundlage.
Diese Verhältnismäßigkeit wurde zB durch den Eingriff der sog. „Vorratsdaten-speicherung“ in die Privatsphäre sowohl nach Ansicht des EuGH als auch nach Ansicht des VfGH nicht genügend berücksichtigt. Der mit der Vorratsdatenspei-cherung aufgestellte Generalverdacht gegenüber sämtlichen Bürgern und die daraus resultierende Speicherung sämtlicher Verbindungsdaten, wie Telefonnum-mern, Internetadressen, E-Mail-Adressen etc, durchbrach den Grundsatz der Verhältnismäßigkeit und machte die Vorratsdatenspeicherung in der vorgesehe-nen Form letztendlich rechtswidrig.
1.2 Entwicklung
1.2.1 Allgemeine Überlegungen
Der enorme Bedeutungsanstieg des Datenschutzrechts lässt sich vor allem auf zwei Hauptfaktoren zurückführen. Zum einen die rasante technische Entwick-lung, die immer größere Datenvolumina in immer kürzerer Zeit mit immer leis-tungsstärkeren Rechnern verarbeiten kann (siehe zB Big Data, Cloud Computing, Internet der Dinge, Web 2.0 usw). Zum anderen liegt es aber auch an dem Um-stand, dass staatliche Organe (vor allem Sicherheitsbehörden) seit den Terroran-schlägen am 11. September 2001 eine Ausdehnung ihrer Kontroll- und Überwa-chungsmaßnahmen umzusetzen versuchen.
Entwicklung 17
So besagt zB das Moor’sche Gesetz, dass sich die Komplexität integrierter Schaltkreise regelmäßig (ca alle 12–24 Monate) verdoppelt. Im Zeitraum zwi-schen 1960 und 2000 ist hinsichtlich der Rechengeschwindigkeit und Speicher-kapazität ein Faktor zwischen 106 und 109 feststellbar, und dies gleichzeitig bei einem enormen Preisverfall der Datenspeicher.
Obwohl die USA für viele als ein „Niemandsland“ des Datenschutzes gelten (was wohl insbesondere mit den Gepflogenheiten von marktbeherrschenden Unternehmen im Bereich Social Media und Anwendungssoftware zu tun hat), war es dennoch der US-Staat Kalifornien, der bereits im Jahre 1968 ein bereichs-spezifisches Gesetz in Kraft setzte, welches das Einsichtsrecht in öffentliche Personenregister beschränkte. Auf US-Bundesebene folgten in den 70er-Jahren weitere datenschutzrechtlich relevante Gesetze: Es waren dies etwa der Fair Cre-dit Reporting Act 1970 oder der Privacy Act 1974. Der eingangs dargelegten Be-hauptung, die USA sei ein datenschutzrechtliches „Niemandsland“, ist daher zu widersprechen: The Right of Privacy bzw The Freedom of Information sind in den USA anerkannte Grundrechte und befinden sich im Verfassungsrang.
1.2.2 Die Entwicklung des Datenschutzrechts in Österreich
Wie in den USA wurden auch in ganz Europa die 70er-Jahre zu einem Wende-punkt in Sachen Datenschutz. Anders als heutzutage sah die technische Rea-lität und ihre Zukunftsprognose so aus, dass man den Bürger vor den immer mächtiger werdenden zentralen Datenbanken schützen wollte, die an Umfang stetig zunahmen, aber bloß unter der Kontrolle einiger weniger Datenverarbeiter oder unter Aufsicht staatlicher Organe selbst standen. Eine Rechenschaftspflicht gegenüber dem betroffenen Bürger war ebenso wenig vorgesehen wie die Ein-räumung von Kontrollrechten, die der Bürger hätte wahrnehmen können. Aus diesem Gesichtspunkt heraus entstanden das Hessische Datenschutzgesetz 1970, das schwedische Datenschutzgesetz 1973 und das deutsche Bundesdatenschutz-gesetz 1977. Diese datenschutzrechtlichen Bestimmungen tendierten im We-sentlichen zu einer Art Abwehrrecht gegenüber der staatlichen Verwaltung und orientierten sich daher an einem sehr klassischen Bild des Grundrechtsschutzes.
Grundrechte, wie sie zB im Staatsgrundgesetz vom 21. Dezember 1867 (StGG 1867) angeführt sind, dienten vor allem zur Abwehr gegen den ursprünglich ab-solutistisch herrschenden Staat und seine Verwaltung. Eine Anwendung dieser Grundrechte auf „horizontaler Ebene“, zwischen den Bürgern untereinander, war ihnen noch fremd. Heute werden Grundrechte auch zwischen Privatleuten zumin-dest mittelbar angewendet und sind zB für die Auslegung von vertraglichen Verein-barungen sowie für die Feststellung einer ggf vorliegenden Sittenwidrigkeit einer Vereinbarung von Bedeutung. Das DSG enthält – als eines der wenigen Grund-
Gegenstand des Datenschutzrechts18
rechte – ein unmittelbar zwischen Privatpersonen anzuwendendes Grundrecht auf Datenschutz, welches sich im Verfassungsrang befindet (siehe § 1 DSG).
Die Prognosen hin zum Zentralismus der Datenverarbeitung erwiesen sich letzt-endlich aber als falsch, da sich durch den enormen Anstieg der technischen Leis-tungsfähigkeit und den damit verbundenen Preisverfall bald schon viele „Player“ auf dem Markt positionierten, die ebenfalls umfassende Datenverarbeitungen durchführten. Aus diesem Grund mussten letztendlich auch die Datenschutzge-setze einer Reformierung unterzogen werden und stellten nunmehr die von der Datenverarbeitung betroffene Person und den Schutz deren Privatsphäre in den Mittelpunkt. Dieser Umstand wurde bereits vom österreichischen Datenschutz-gesetz 1978 berücksichtigt.
Die Wende zu einem modernen Datenschutzrecht mit dem Ziel, die infor-mationelle Selbstbestimmung jedes einzelnen Bürgers zu sichern, gelang letzt-endlich erst durch die europäische Datenschutzrichtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Erst die Datenschutzrichtlinie (DS-RL) führte in der Folge in Österreich zur Verabschiedung des DSG 2000. In diesem Bundesgesetz wurde ua der Datentransfer innerhalb und außerhalb der EU geregelt sowie die Rechte der betroffenen Person und die Anwendung des Datenschutzes auch auf manuell geführte Daten ausgedehnt.
Manuell geführte Daten unterliegen allerdings nur dann dem Schutz des DSG, wenn sie durch bestimmte Ordnungskriterien und -parameter gesammelt werden (zB Ablage in alphabetischer Reihenfolge in einem Ordner). Zufällig und ohne sichtbare Ordnung zusammengewürfelte Aktenbestandteile (zB in einer Arbeits-mappe) sind vom Anwendungsbereich des DSG nicht betroffen.
Da Richtlinien durch nationale Rechtsakte in das jeweilige nationale Recht umzu-setzen sind und der jeweilige Gesetzgeber hierbei auch einen gewissen Spielraum hat, kam es durch unterschiedliche nationale Umsetzungen der Datenschutz-richtlinie rasch zu einer Zersplitterung des Datenschutzrechts innerhalb der EU.
EU-Richtlinien sind primär an die Mitgliedstaaten adressiert und nur bezüglich ihrer Zielsetzung verbindlich. Die einzelnen Mitgliedstaaten sind aber in der Aus-wahl der Form und der Mittel zur Erreichung dieser Ziele weitgehend frei. Richt-linien bedürfen somit einer innerstaatlichen Umsetzung (zumeist in Form eines nationalen Gesetzgebungsakts) – der Zeitraum für die Umsetzung wird in der Regel in der Richtlinie selbst festgelegt (siehe auch Art 288 Abs 3 AEUV). Anders als bei EU-Richtlinien sind EU-Verordnungen unmittelbar und direkt anwendbar. Es bedarf keiner innerstaatlichen Umsetzung der Norm.
Entwicklung 19
Dieser Umstand erschwerte und beeinträchtigte den gemeinsamen Binnen-markt insbesondere bei global in der EU tätigen Unternehmen und dem damit verbundenen notwendigen grenzüberschreitenden Datenaustausch. Auch die unterschiedlichen Zuständigkeiten der jeweiligen Datenschutzbehörden trugen zu einer enormen Verbürokratisierung bei, sodass bald schon der Ruf laut wurde, Großteile des Datenschutzrechts innerhalb der EU zu harmonisieren. Gelungen ist dies nach mehreren Anläufen und einer mühevollen Auseinandersetzung zwi-schen Europäischer Kommission, Rat und Europäischen Parlament mit der EU-Datenschutzgrundverordnung (DS-GVO).
Am 4. Mai 2016 wurde die DS-GVO offiziell im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung trat am 24. Mai 2016 in Kraft. Nach einer zweijährigen Übergangsfrist wird die Verordnung dann ab dem 25. Mai 2018 in der gesamten Europäischen Union verbindlich und unmittelbar angewendet werden.
Am 31. Juli 2017 wurde das „Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird“ (Datenschutz-Anpassungsgesetz 2018 (DSAG 2018)) im BGBl I Nr 120/2017 kundgemacht. Das DSAG 2018 tritt mit 25. Mai 2018 (die DS-GVO findet ab diesem Tag Anwendung) in Kraft. Durch das DSAG 2018 werden einige der in der DS-GVO beinhalteten Öffnungsklauseln (siehe Kapitel 2.3.) durch den österreichischen Gesetzgeber berücksichtigt. Beachtenswert ist die legistische Methode, die der Gesetzgeber gewählt hat: Das DSAG 2018 wurde als Novelle des bestehenden DSG 2000 erlassen.
Dies war aus dem Grund notwendig, da das ursprüngliche Vorhaben, ein komplett neues österreichisches Datenschutzgesetz zu erlassen, wegen der im DSG 2000 befindendlichen Verfassungsbestimmungen (§§ 1–3, § 35 Abs 2, § 60 Abs 8, § 61 Abs 4) nur mittels qualifizierter Zweidrittelmehrheit im Nationalrat hätte umgesetzt werden können. Man ging offenbar davon aus, dass dies im Vor-wahlkampf zur Nationalratswahl nicht erreicht werden könne.
Aus diesem Grund entschied man sich, die Verfassungsbestimmungen im DSG 2000 so zu belassen, wie sie sind. Der Titel des DSG 2000 („Bundesge-setz über den Schutz personenbezogener Daten“) wurde in „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (Datenschutzgesetz – DSG) geändert.
Das DSAG 2018 hebt sämtliche einfachgesetzlichen Bestimmungen des DSG 2000 auf. An die Stelle der Bestimmungen tritt der Rechtstext aus dem DSAG 2018 und der DS-GVO. Damit bleibt der verfassungsrechtliche Grund-rechtsschutz (§§ 1–3), der ja – mangels qualifizierter Mehrheit – nicht angetastet werden konnte, aufrecht und gilt offenbar weiterhin auch für juristische Perso-nen. Welche Probleme dies in der Praxis mit sich bringen wird, wird erst im Laufe der Zeit ersichtlich sein. Weiters unterscheidet sich auch der im Verfassungsrang stehende § 3 (Räumlicher Anwendungsbereich) von den Bestimmungen in der
Gegenstand des Datenschutzrechts20
DS-GVO. Dies wird wohl zu einem Fall für den sog. Anwendungsvorrang führen (siehe Kapitel 1.3.4).
Für die Terminologie in diesem Buch wird festgehalten, dass bei Bezugnahme auf das DSG 2000 die „alte“ Rechtslage bis 24. Mai 2018 beschrieben wird und der Begriff DSG für die Rechtslage ab Inkrafttreten des DSAG 2018 (25. Mai 2018) verwendet wird.
1.3 Das Grundrecht auf Datenschutz
1.3.1 Zum Grundrechtsbegriff im Allgemeinen
Bei Grundrechten handelt es sich um durchsetzbare fundamentale Rechtsposi-tionen des einzelnen Individuums (Bürger) zur Abwehr von Eingriffen der staat-lichen Hoheitsgewalt oder aber auch anderer privater Individuen, die mit einer bestimmten Bestandshaftigkeit (man spricht in diesem Zusammenhang auch von „Unverbrüchlichkeit“) ausgestattet sind und sich deshalb zumeist im Verfas-sungsrang befinden.
Die wichtigsten sog. Grundrechtskataloge der österreichischen Rechtsord-nung sind das StGG 1867, die Europäische Menschenrechtskonvention (EMRK) und – als jüngste Ergänzung – die Charta der Grundrechte der Europäischen Union (Europäische Grundrechtecharta – GRC).
Oft sind Grundrechte allgemein formuliert und haben den Charakter einer programmatischen Ankündigung.
Dies macht es notwendig, sich bei der Auslegung von Grundrechten in-tensiv mit der jeweiligen Judikatur der zuständigen Gerichte zu befassen. Es könnte sogar behauptet werden: Der eigentliche Grundrechtskatalog ergibt sich erst aus der Rechtsprechung der Gerichte.
Siehe zB den Art 5 StGG 1867: Das Eigenthum ist unverletzlich. Eine Enteignung gegen den Willen des Eigenthümers kann nur in den Fällen und in der Art eintreten, welche das Gesetz bestimmt.Was soll der Stehsatz, das Eigentum sei unverletzlich, tatsächlich bedeuten, bzw wie kann ein Bürger dieses Recht gegenüber jemandem anderen durchsetzen? Erst ein Blick in die Rechtsprechung verrät, dass der Begriff des Eigentums weit verstanden wird, auch jedes vermögenswerte Privatrecht mitumfasst, ja sogar die gesamte Privatautonomie zum Abschluss privatrechtlicher Verträge schützt (siehe zB VfSlg 71, 1305, 3508, 12.227, 13.164).
Das Grundrecht auf Datenschutz 21
Um zu vermeiden, dass im allgemeinen, tagesaktuellen, politischen Willenspro-zess Grundrechte aufgeweicht oder gar eliminiert werden können, ist es not-wendig, dem einfachen Gesetzgeber in diesem Bereich Schranken aufzuerlegen. Dies geschieht in der Weise, dass Grundrechte für gewöhnlich als höherrangige Rechtsnorm institutionalisiert werden, dh zumeist im Rang eines Verfassungs-gesetzes. Für die Abänderung eines derartigen Verfassungsrechts ist im Gesetz-gebungsorgan eine qualifiziertere Mehrheit notwendig, als dies bei einfachen Gesetzen der Fall ist (siehe Art 44 B-VG).
Artikel 44. (1) Verfassungsgesetze oder in einfachen Gesetzen enthaltene Verfas-sungsbestimmungen können vom Nationalrat nur in Anwesenheit von mindes-tens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der ab-gegebenen Stimmen beschlossen werden; sie sind als solche („Verfassungsgesetz“, „Verfassungsbestimmung“) ausdrücklich zu bezeichnen. (…)
Schließlich müssen die Grundrechte, um einen wirksamen Rechtsschutz für den einzelnen Bürger zu entfalten, auch effektiv und wirksam durchgesetzt wer-den können. Hierbei ist vor allem die Durchsetzbarkeit vor gerichtlichen oder gerichtsähnlichen Institutionen oder Tribunalen von Bedeutung. In Österreich sind das primär der Verfassungsgerichtshof (VfGH), der Verwaltungsgerichts-hof (VwGH), die Verwaltungsgerichte (VwG) (das Bundesverwaltungsgericht (BVwG) und die Verwaltungsgerichte der Länder (LVwG, vormals Unabhängige Verwaltungssenate) sowie der Oberste Gerichtshof (OGH).
Gerichtsbehörden unterscheiden sich von Verwaltungsbehörden dadurch, dass ihre Entscheidungsorgane mit besonderen Rechten ausgestattet sind, die ihre Un-parteilichkeit und Unabhängigkeit garantieren. So sind Richter zB nicht weisungs-gebunden und können nicht ohne Weiteres von ihrem Amt abgesetzt oder an eine andere Position versetzt werden.
Wichtig für das Verständnis von Grundrechten ist auch der Umstand, dass diese nicht schrankenlos gewährt werden. Zum einen sind sie bereits durch den Wort-laut selbst und möglicherweise durch ihre systematische Einordnung im Gesetz nur innerhalb eines definierten Anwendungsbereichs relevant. Zum anderen leuchtet es auch ein, dass Grundrechte unterschiedlicher Personen miteinander kollidieren können und sich dann die Frage der Abwägung stellt, frei nach dem Motto: „Eine Freiheit kann nur so weit reichen, als sie nicht die Freiheit eines an-deren beeinträchtigt.“
Eingriffe in Grundrechte sind also unter bestimmten Voraussetzungen durchaus berechtigt und auch notwendig. Grundsätzlich kann in diesem Zusam-menhang festgehalten werden, dass Eingriffe in ein Grundrecht dann zulässig sind, wenn sie
Gegenstand des Datenschutzrechts22
• durch ein allgemeines Gesetz festgeschrieben werden (wobei der Wesensgehalt eines Grundrechts diesbezüglich nicht beeinträchtigt werden darf),
• zum Schutz eines anderen Rechtsgutes erfolgen • und verhältnismäßig sind.
Grundsätzlich hängt die Eingriffsmöglichkeit davon ab, ob das Grundrecht selbst mit einem sog. Gesetzesvorbehalt ausgestattet ist. Hier kann wieder der Art 5 StGG 1867 als Beispiel herangezogen werden. Dort heißt es im zweiten Satz: „Eine Enteignung gegen den Willen des Eigenthümers kann nur in den Fäl-len und in der Art eintreten, welche das Gesetz bestimmt.“ Dieses Grundrecht ist demnach hinsichtlich Fällen von Enteignungen mit einem sog. Gesetzesvorbe-halt ausgestattet, dh der einfache Gesetzgeber kann durch Verabschiedung eines entsprechenden Gesetzes in das Grundrecht nach Art 5 StGG 1867 eingreifen. Wenn dieser Eingriff aber schrankenlos möglich wäre, würde sich die Frage nach der Sinnhaftigkeit von Grundrechten im Verfassungsrang stellen. Deshalb hat der Gesetzgeber auch bei Eingriffen in Grundrechte den sog. Grundsatz der Ver-hältnismäßigkeit zu beachten, widrigenfalls der Eingriff rechtswidrig wäre und durch Erkenntnis des VfGH aufgehoben werden könnte.
Der Verhältnismäßigkeitsgrundsatz verlangt kumulativ, dass • der vom Staat verfolgte Eingriffszweck legitim ist, • das vom Staat hierzu eingesetzte Mittel geeignet – also tauglich – ist, • der Einsatz des Mittels zur Erreichung des Eingriffszwecks notwendig bzw er-
forderlich ist und • insgesamt ein angemessenes (dh adäquates) Verhältnis zwischen dem einge-
setzten Mittel und der damit verbundenen Grundrechtsbeeinträchtigung ge-wahrt bleibt (Ziel-Mittel-Relation).
1.3.2 Die Drittwirkung von Grundrechten
Entsprechend der historischen Entwicklung von Grundrechten und den damit verbundenen Grundrechtskatalogen, die aus einem primär liberalen Gedanken-gut entwachsen sind, wurden diese vor allem als Abwehrrechte des einzelnen Individuums gegen staatliches Handeln verstanden. Vereinfacht gesehen, ver-rechtlichen Grundrechte das Verhältnis von Bürgern (genauer: natürlichen und juristischen Personen) und Staat.
Seit Grundrechte in die Verfassungskodifikationen Eingang gefunden haben, stellt sich die Frage, ob diese auch zwischen den Bürgern – auf horizontaler Ebene – zur Anwendung gelangen (sog. Drittwirkung). Eine solche allgemein geltende (unmittelbare) Drittwirkung wird weitgehend mit dem Hinweis abgelehnt, dass hierdurch auch die Grundsätze der Privatautonomie (dh die Freiheit, mit einem frei wählbaren Vertragspartner einen Vertrag abzuschließen und dabei den In-
Das Grundrecht auf Datenschutz 23
halt weitgehend selbst bestimmen und regeln zu dürfen) praktisch aufgehoben würden. Allerdings wird in der Rechtsprechung und der herrschenden Meinung eine sog. mittelbare Drittwirkung von Grundrechten angenommen, die im Rahmen der Auslegung von Rechts- und Vertragsnormen relevant wird. Dabei sind im Sinne einer sog. verfassungskonformen Auslegung auch die Grundrechte entsprechend zu berücksichtigen und im Falle einer groben Äquivalenzstörung eine solche Norm als nichtig anzusehen.
Die Methode der „verfassungskonformen Auslegung“ hat zum Inhalt, dass sons-tige Rechtsnormen außerhalb des Verfassungsrechts (zum Stufenbau der Rechts-ordnung siehe Kapitel 1.3.4.) im Zweifel so zu interpretieren sind, dass sie mit dem Verfassungsrecht in Einklang zu bringen sind. Erst wenn der Rechtstext diese Übereinstimmung aufgrund einer eindeutigen Widersprüchlichkeit nicht mehr zulässt, steht die Anfechtung vor dem Verfassungsgerichtshof (VfGH) offen.
Zusammengefasst lassen sich daher nachstehende Ausnahmen festhalten, in de-nen Grundrechten Drittwirkung zukommt:
• Drittwirkung wird vom Grundrecht selbst explizit gefordert – unmittelbare Drittwirkung (siehe zB § 1 Abs 1 DSG);
• Grundrechte mit staatlichen Schutzpflichten (zB Recht auf Leben gem Art 2 EMRK);
• mittelbare Drittwirkung im Zivilrecht (verfassungskonforme Auslegung und Anwendung von § 879 ABGB betreffend sittenwidrige Vertragsvereinbarun-gen, die in der Folge mit Nichtigkeit und Unwirksamkeit bedroht sind).
1.3.3 Entwicklungen eines Grundrechts auf Datenschutz in der österreichischen Rechtsordnung
Es mutet nicht seltsam an, dass das StGG 1867, aber auch das Bundes-Verfas-sungsgesetz (B-VG) aus dem Jahre 1920 noch keine dezidierten Bestimmungen zum Thema Datenschutz beinhaltet. Trotz zahlreicher Novellierungen des B-VG bis zum Eintritt in das sog. „Datenverarbeitungszeitalter“ war es die EMRK, die erstmals in ihrem Art 8 ein umfassendes Grundrecht auf Achtung des Privat- und Familienlebens verbriefte.
Artikel 8 – Recht auf Achtung des Privat- und Familienlebens(1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, sei-ner Wohnung und seines Briefverkehrs.(2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit,
Gegenstand des Datenschutzrechts24
die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Ver-teidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freihei-ten anderer notwendig ist.
Davor gab es diesen Rechtsschutz der Privatsphäre nur sehr punktuell. So war etwa die Unverletzlichkeit des Hausrechts seit 1862 geschützt, und es bestand ein Brief- und Fernmeldegeheimnis durch das StGG 1867. Durch das BVG BGBl 1964/59 wurde die EMRK und das 1. Zusatzprotokoll (ZP) in Österreich in den Verfassungsrang gehoben.
Besondere Schwierigkeiten im Zusammenhang mit Art 8 EMRK macht die De-finition des Begriffs „Privatlebens“. Der Europäische Gerichtshof für Menschen-rechte (EGMR) legt ihn jedenfalls sehr weit aus und hält eine erschöpfende De-finition dieses Begriffs für schlichtweg unmöglich. Nach herrschender Meinung zählen jedenfalls dazu: die Verfügung über den eigenen Körper und seine körper-lichen und geistigen Befindlichkeiten, das private Tun und Treiben, die soziale Interaktion mit anderen Personen, die persönliche Identität, die Intimsphäre und die spezifischen Interessen und Neigungen. Vor allem wird es beim Schutzbe-reich „Privatleben“ auf die diesem Begriff innewohnende „Nichtöffentlichkeit“ ankommen. Der weite Begriff des Terminus „Privatleben“ verlangt auch, dass nicht nur der „innere Kreis“ einer Person von diesem Grundrecht geschützt wird, sondern auch die Beziehungen zu anderen Personen überhaupt sowie Tätigkeiten im beruflichen oder geschäftlichen Bereich. Weiters sind von Art 8 EMRK nicht nur natürliche Personen, sondern auch juristische Personen (zB GmbH, AG, pri-vate Vereine) geschützt.
Aus der oben angeführten Aufzählung des Schutzbereichs wird das Nahe-verhältnis zum Grundrecht auf Datenschutz deutlich erkennbar. Wie schon in Kapitel 1.1 angeführt, schützt das Grundrecht auf Datenschutz die von der Da-tenverarbeitung jeweils betroffene Person vor etwaigen Beeinträchtigungen ihrer Persönlichkeitsrechte und Privatsphäre. Ein dezidiertes Grundrecht auf Daten-schutz im Verfassungsrang wurde in Österreich allerdings erst mit dem Daten-schutzgesetz 1978 (DSG 1978) eingeführt. Mit der Umsetzung der Datenschutz-Richtlinie (DS-RL) wurde das DSG 1978 dann durch das DSG 2000 abgelöst, das in seinem § 1 ebenfalls eine verfassungsgesetzliche Grundrechtsbestimmung zum Datenschutz enthält. Auch nach Inkrafttreten des neuen DSG am 25. Mai 2018 räumt § 1 DSG unverändert sowohl natürlichen als auch juristischen Per-sonen diesen Grundrechtsschutz ein. Es handelt sich dabei zudem um ein sog. „Jedermanns“-Recht, dh es gilt für inländische sowie ausländische natürliche und juristische Personen gleichermaßen.
