Sie sind auf Seite 1von 23

.DATENSCHUTZGESETZ

2000

DATENSCHUTZ GEHT UNS ALLE AN. WAS IST EKIS?

.DATENSCHUTZGESETZ 2000 DATENSCHUTZ GEHT UNS ALLE AN. WAS IST EKIS? - 1 -

-

1 -

Datenschutz ist Bürgerschutz

Datenschutz ist Bürgerschutz Datenbanken sind in weiten Bere ichen der Wirtschaft und Gesell- schaft unverzichtbar

Datenbanken sind in weiten Bereichen der Wirtschaft und Gesell-

schaft unverzichtbar geworden. Wo personenbezogene Daten von

Menschen gespeichert sind, besteht auch die Gefahr eines Miss-

brauchs. Das Elektronische Kriminalpolizeiliche Informationssystem

(EKIS) des Bundesministeriums für Inneres ist ein unerlässliches

Hilfsmittel für die Arbeit der Sicherheitsbehörden und dient dem Schutz und der

Sicherheit der Menschen.

Das EKIS ist mit umfassenden Sicherheitseinrichtungen vor dem Eindringen von

außen geschützt. Intern gibt es für die Zugriffsberechtigten eine Reihe von Kon-

trollmaßnahmen, um einen Missbrauch der Daten möglichst auszuschließen.

Jeder Bürger, dessen Daten in einer staatlichen oder privaten Datenbank gespei-

chert sind, hat eine Reihe von Rechten, die im Datenschutzgesetz 2000 verankert

sind. Datenschutz bedeutet Bürgerschutz. Das Bundesministerium für Inneres in-

formiert mit dieser Broschüre über diese Rechte; vor allem wo ein Bürger erfährt,

welche Daten über ihn gespeichert sind und wie er sich vor dem Missbrauch seiner

personenbezogenen Daten schützen kann.

vor dem Missbrauch seiner personenbezogenen Daten schützen kann. Dr. Ernst Strasser Bundesminister für Inneres - 2

Dr. Ernst Strasser Bundesminister für Inneres

- 2 -

Inhaltsverzeichnis

Datenschutz ist Bürgerschutz

2

DATENSCHUTZ

4

Das DSG 2000 aus der Sicht des Bürgers

6

Rechtsschutz

14

Strafbestimmungen

15

Grenzüberschreitender Datenverkehr

15

Kontrollorgane

16

Meldungen beim Datenverarbeitungsregister

17

EKIS

18

Adressen

22

Abkürzungen

23

- 3 -

DATENSCHUTZ

Daten dürfen nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden. Eine Verwendung nach Treu und Glauben liegt vor, wenn der Betroffene über die Umstände des Datengebrauchs, das Bestehen und die Durchsetzbarkeit seiner Rechte nicht irregeführt oder im unklaren gelassen wird.

Datenschutz, der Inbegriff des reinen Persönlichkeitsrechtes, ist in der Rechtsland- schaft relativ jung.

In Österreich besteht erst seit dem Datenschutzgesetz 1978 (DSG) das verfas- sungsgesetzlich garantierte Grundrecht auf Datenschutz mit ausdrücklicher Dritt- wirkung, jedoch wurde vom Gesetzgeber der Umfang und der Schutzbereich des Datenschutzrechtes nicht klar herausgearbeitet.

Im Jahr 1995 hat die Europäische Union eine Richtlinie zum Datenschutz (DS-RL) erlassen. Damit sollte der Datenschutz in den Mitgliedsländern der Union auf ei- nem gleich hohem Niveau harmonisiert werden. Es wurde den Mitgliedstaaten eine dreijährige Frist zur Umsetzung der Richtlinie in innerstaatliches Recht vorgege- ben. Österreich hat die DS-RL verspätet durch das Datenschutzgesetz 2000 (DSG 2000), das mit 1. Jänner 2000 in Kraft trat, umgesetzt. Die Bürger haben in der Vergangenheit die ihnen gesetzlich eröffnete Möglichkeit zur Verfolgung ihres Rechtes auf individuellen Geheimnisschutz de facto überhaupt nicht genutzt, was in der Folge zu einer Umgestaltung des Datenschutzes führte.

Nunmehr wurde die Position des Bürgers insoweit gestärkt, als er gleichwertiger Verhandlungspartner wurde. Es wurde dem Bürger aber im Gegenzug ein Teil sei- ner Gestaltungsfreiheit entzogen. Manche Bereiche der Informationen über Perso- nen sind grundsätzlich schutzwürdig und können somit nicht individueller Einfluss- nahme unterliegen. Diese Bereiche wurden somit unter gesetzlichen Schutz ge- stellt und den Betroffenen die Verfügungsgewalt über diese Daten entzogen.

Im DSG 2000, mit dem die DS-RL umgesetzt wurde, finden sich daher zahlreiche neue Verfügungsrechte für den Bürger (z.B. Zustimmung des Betroffenen für die

- 4 -

Verwendung nichtsensibler Daten [§ 8 Abs. 1 Z 1 leg.cit] und für die Verwendung sensibler Daten [§ 9 Z 6 leg.cit]).

Die Ausübung seiner im DSG 2000 normierten Rechte darf für den Betroffenen grundsätzlich mit keinen Kosten verbunden sein und bedarf auch nicht des Nach- weises seiner Interessen.

§ 1 DSG 2000 stellt eine direkte Verbindung zwischen der personenbezogenen In- formation und dem Betroffenen, auf den sich diese Information bezieht, her. Der Betroffene muss aber nicht nur eine Verbindung zwischen einer Information und seiner Person, sondern auch das Vorliegen seiner „schutzwürdigen Interessen“ nachweisen, um einen Anspruch auf Geheimhaltung der ihn betreffenden Informa- tionen geltend machen zu können.

Ist die Schutzwürdigkeit der Interessen des Betroffenen grundsätzlich anerkannt, muss eine Abwägung seiner Interessen mit den Interessen des in den Geheimnis- schutz Eingreifenden erfolgen. Bei Gleichwertigkeit der Interessen oder im Zweifel überwiegen die Interessen des Betroffenen.

Auch das Auskunftsrecht gemäß § 26 DSG 2000 sieht eine Ablehnung auf Auskunft vor, wenn überwiegende berechtigte Interessen anderen dem Interesse des Be- troffenen auf Auskunftserteilung gegenüberstehen.

Artikel 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK):

Absatz 1: „Jedermann hat Anspruch auf Achtung seines Privat- und Familienle- bens, seiner Wohnung und seines Briefverkehrs.“ Absatz 2: „Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts (Recht auf Achtung des Privat- und Familienlebens) ist nur statthaft, insoweit die- ser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und

- 5 -

zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist.“

Das DSG 2000 aus der Sicht des Bürgers

Das DSG 2000 geht, ebenso wie das davor in Geltung stehende DSG 1978, von einem verfassungsgesetzlich verankerten Anspruch des Betroffenen auf Geheim- haltung der ihn betreffenden personenbezogenen Daten aus, jedoch nur bei Vor- liegen eines schutzwürdigen Geheimhaltungsinteresses.

Dieses schutzwürdige Geheimhaltungsinteresse fehlt jedoch, wenn Daten allge- mein verfügbar oder nicht personenbezogen sind.

Dieses Grundrecht kann aber durch bestimmte Eingriffe eingeschränkt werden. Zu- lässig kann ein Eingriff sein, wenn lebenswichtige Interessen des Bürgers dadurch verfolgt werden oder wenn er selbst seine Zustimmung zu einem solche Eingriff erteilt, aber auch dann, wenn er zur Wahrung überwiegender, berechtigter Inte- ressen eines Dritten erfolgt.

Der Staat benötigt für den Eingriff in das Grundrecht auf Geheimhaltung eine ge- setzliche Ermächtigung. Diese kann (Art 8 Abs. 2 EMRK) nur dann erteilt werden, wenn der Eingriff zur Wahrung wichtiger öffentlicher Interessen notwendig und das gelindeste Mittel ist.

Sensible, also besonders schutzwürdige, Daten dürfen nur zur Wahrung wichtiger öffentlicher Interessen verarbeitet werden und sind mit entsprechenden Garantien zum Schutz der Geheimhaltungsinteressen des Betroffenen ausgestattet.

Das DSG 2000 bezieht sich ausschließlich auf die Verarbeitung personenbezogener Daten, darunter fallen auch indirekt personenbezogene Daten, nicht umfasst vom DSG 2000 sind jedoch anonymisierte Daten, also solche, die für niemanden be- stimmt bzw. bestimmbar sind.

- 6 -

Personenbezogene Daten (auch Bild- und Tondaten, Fingerabdrücke und gene- tische Merkmale, wenn die Verarbeitung dieser Daten entweder automatisiert er- folgt, oder die Daten in Dateien enthalten sind, die nach bestimmten personenbe- zogenen Kriterien strukturiert sind, um einen leichten Zugriff zu ermöglichen) sind solche, bei denen die Identität des Betroffenen für den Verwender der Daten be- stimmt (z.B. Name, KfZ-Kennzeichen, Reisepassnummer) oder bestimmbar (z.B. Adresse eines Einfamilienhauses) ist.

Beispielsweise sind die Hobbys, die Vorlieben oder auch die politische Ausrichtung einer Person für sich alleine keine personenbezogene Daten. Sobald diese Daten jedoch einem Namen hinzugefügt werden oder alle Informationen zusammen auf eine bestimmte Person hinweisen, werden alle – zuvor für sich alleine nicht perso- nenbezogene Daten – zu personenbezogenen Daten.

Bei indirekt personenbezogene Daten (z.B. Aktenzahl) ist die Identität des Be- troffenen für den Verwender der Daten nicht bestimmt oder bestimmbar. Die Da- ten bleiben jedoch für eine vom Verwender - insbesondere vom ursprünglichen Auftraggeber - verschiedene Person bestimmt bzw. bestimmbar. Sensible (besonders schutzwürdige) Daten sind Daten natürlicher Personen über

! ihre rassische und ethnische Herkunft,

! ihre politische Meinung,

! ihre Gewerkschaftszugehörigkeit,

! ihre religiöse und philosophische Überzeugung,

! ihre Gesundheit und

! ihr Sexualleben.

Diese Aufzählung ist taxativ, darf also weder erweitert noch eingeschränkt werden.

Im DSG 2000 wurden die Definitionen der DS-RL den geänderten Bedingungen und gewonnenen Erfahrungswerten angepasst:

Datenschutzrechtliche Auftraggeber sind natürliche oder juristische Personen, Personengemeinschaften, Organe einer Gebietskörperschaft und Geschäftsappara- te von Organen einer Gebietskörperschaft, wenn sie allein oder mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten.

- 7 -

Die Auftraggeberschaft ist unabhängig davon, ob die oben genannten Personen die Verarbeitung selbst durchführen oder dazu einen anderen heranziehen oder ob sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes über- lassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten.

Auftraggeber im Innenressort sind das Bundesministerium für Inneres, die Sicher- heitsdirektionen, die Bundespolizeidirektionen, das Bundesasylamt und die Lan- desgendarmeriekommanden. Ressortfremde Auftraggeber im Bereich der Sicherheitsverwaltung sind z.B. die Bezirkshauptmannschaften.

Dienstleister im Sinne des DSG 2000 sind natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft bzw. die Ge- schäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden.

Der Dienstleister ist datenschutzrechtlich dann Auftraggeber, wenn ihm anlässlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich unter- sagt wurde, oder er die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten eigenver- antwortlich hat (aufgrund von Rechtsvorschriften, Standesregeln oder gem. § 6 Abs. 4 DSG 2000)

Betroffener im Sinne des DSG 2000 ist jede vom Auftraggeber verschiedene na- türliche oder juristische Person oder Personengemeinschaft, deren Daten verwen- det werden. Der Betroffene ist alleiniger Träger der wesentlichen Rechte nach dem DSG 2000 (Grundrecht auf Datenschutz, Auskunftsrecht, Recht auf Richtigstellung oder Löschung, Widerspruchsrecht, Anrufung der DSK)

Verwenden von Daten bedeutet verarbeiten und übermitteln.

Der Begriff „Verarbeiten von Daten“ setzt sich aus einer Vielzahl einzelner Schritte zusammen, nämlich

- 8 -

! ermitteln (Erheben von Daten in der Absicht, sie in einer Datenanwendung zu verwenden)

! erfassen und speichern (Aufnahme der Daten auf dem Datenträger)

! aufbewahren

! ordnen (sortieren der Daten nach bestimmten Kriterien)

! vergleichen

! verändern (Änderung der Aussage oder der Darstellung der Daten – auch Be- richtigung, Ergänzung oder teilweise Löschung)

! verknüpfen (mindestens zwei Daten werden durch einen automationsunter- stützten Vorgang zueinander in Beziehung gesetzt, so dass ein Zusammenhang ersichtlich wird oder mindestens zwei bisher getrennte Datensätze werden in einem Datensatz dargestellt)

! vervielfältigen (Daten werden auf demselben oder einem anderen Datenträ- ger unverändert noch einmal festgehalten)

! abfragen

! ausgeben (Darstellung auf dem Bildschirm, Ausdrucken, etc.)

! benützen (Daten werden für den Zweck, der mit der Datenverarbeitung ver- folgt wird, verwendet - z.B. automationsunterstützten Zugriff oder Weitergabe von Ausdrucken an den zuständigen Sachbearbeiter des Auftraggebers)

! überlassen (Weitergabe von Daten vom Auftraggeber an einen Dienstleister)

! sperren (Verhinderung des Zugriffs auf Daten für eine oder mehrere Personen)

! löschen (physisches Löschen durch Unkenntlichmachung der Daten oder Ver- nichtung des Datenträgers)

! vernichten

! jede Art der Handhabung von Daten einer Datenanwendung durch den Auf- traggeber oder Dienstleister mit Ausnahme des Übermittelns

Daten werden nicht nur „übermittelt“, wenn diese an einen Dritten (vom Auf- traggeber, Dienstleister sowie Betroffenen verschiedene Person) weitergegeben werden, sondern auch, wenn die Daten vom selben Auftraggeber (Dienstleister) für ein anderes Aufgabengebiet verarbeitet werden.

Ein Aufgabengebiet ist eines von mehreren Tätigkeitsfeldern eines Auftraggebers, das aber auch allein den gesamten Geschäftsbereich eines Auftraggebers bilden

- 9 -

kann (z.B. wenn die Daten im Rahmen einer anderen Gewerbeberechtigung oder im öffentlichen Bereich gemäß einer anderen Kompetenzgrundlage nach dem B-VG verwendet werden).

Informationsverbundsysteme sind Informationssysteme, bei welchen jeder Systemteilnehmer die ihm verfügbaren Informationen einspeichert und sie allen anderen Teilnehmern zur Verfügung stellt (Summe mehrerer einzelnen Datenban- ken verschiedener Auftraggeber. Unerheblich ist, ob zur Benützung der Daten eine oder mehrere Abfragen durchgeführt werden müssen). Beispiel für ein Informationsverbundsystem in der Sicherheitsverwaltung ist das EKIS – Elektronisches Kriminalpolizeiliches Informationssystem.

Die Zustimmung ist eine gültige, ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er, in Kenntnis der Sachlage für den konkreten Fall, in die Ver- wendung seiner Daten einwilligt. Erfolgt die Information des Betroffenen durch den Auftraggeber unvollständig oder unrichtig, so führt dies zur Unwirksamkeit der Zu- stimmung.

Die Zustimmung kann nicht nur vom Betroffenen selbst, sondern auch von seinem gesetzlichen Vertreter erteilt werden. Es ist dem Betroffenen (und seinem gesetzli- chen Vertreter) jederzeit möglich, seine Zustimmung zu widerrufen.

Die Ausdrücklichkeit der Zustimmung ist nur bei Verwendung von sensiblen Daten notwendig, sonst kann die Zustimmung auch schlüssig erteilt werden (der Umfang der Zustimmung muss jedoch genau geprüft werden).

Schweigen ist keine Zustimmung, es sei denn, es wäre zwischen dem Betroffenen und dem Auftraggeber in Bezug auf eine bestimmte Datenanwendung im vorhinein vereinbart worden oder gesetzlich vorgesehen.

Datenverwendung im EKIS erfolgt auf Grund eines gesetzlichen Auftrages und be- darf keiner Zustimmung des Betroffenen. Mangelt es an einer gesetzlichen Er- mächtigung, so ist die Zustimmung des Betroffenen einzuholen, z.B. Ausschrei- bung eines gestohlenen Führerscheines im EKIS.

- 10 -

Das DSG 2000 sieht die Prüfung der Zulässigkeit der Verwendung von Daten nach den Kriterien „Treu und Glauben“ sowie Rechtmäßigkeit vor:

Für die Feststellung der Rechtmäßigkeit der Verarbeitung ist eine zweistufige Zu- lässigkeitsprüfung vorgesehen, denn Daten dürfen nur dann verarbeitet werden, wenn Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkei- ten oder rechtlichen Befugnissen des Auftraggebers gedeckt sind und die schutz- würdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.

1. Schritt:

Der Zweck muss festgelegt, eindeutig und rechtmäßig sein. Es ist unzulässig, den

Zweck der Datenverwendung nachträglich zu ändern. Die Daten müssen sachlich richtig sein, müssen, wenn notwendig, auf den neuesten Stand gebracht werden, aber nicht länger, als für die Realisierung des Zweckes notwendig, gespeichert werden.

2. Schritt:

Zu ermitteln ist, ob nicht schutzwürdige Geheimhaltungsinteressen verletzt

werden.

Bei Verwendung nicht sensibler Daten wird das schutzwürdige Geheimhaltungsin- teresse nicht verletzt,

! wenn eine ausdrückliche gesetzliche Ermächtigung vorliegt,

! der Betroffene der Verwendung der Daten ausdrücklich zugestimmt hat (Wider- ruf ist jederzeit möglich),

! lebenswichtige Interessen des Betroffenen die Verwendung erfordern

! oder überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Datenverwendung erfordern.

Bei Verwendung sensibler Daten wird im DSG 2000 taxativ aufgelistet, wann durch die Verwendung personenbezogener Daten Geheimhaltungsinteressen nicht ver- letzt werden. Bei Verwendung sensibler Daten werden schutzwürdige Geheimhaltungsinteressen dann nicht verletzt, wenn z.B.

- 11 -

! der Betroffene die Daten offenkundig selbst öffentlich gemacht hat;

! die Daten in nur indirekt personenbezogener Form verwendet werden;

! sich die Datenverwendung aus gesetzlichen Vorschriften ergibt, soweit diese Vorschriften der Wahrung eines wichtigen öffentlichen Interesses dienen;

! Daten verwendet werden, die ausschließlich eine öffentliche Funktion des Be- troffenen zum Gegenstand haben;

! der Betroffene ausdrücklich seine Zustimmung zur Verwendung der Daten er- klärt hat (Widerruf ist jederzeit möglich und bewirkt die Unzulässigkeit der wei- teren Datenverwendung);

! die Verarbeitung oder Übermittlung der Daten im lebenswichtigem Interesse des Betroffenen liegt und seine Zustimmung nicht mehr rechtzeitig eingeholt werden kann oder aber die Verwendung der Daten zur Wahrung lebenswichtiger Interessen eines anderen notwendig ist.

! Weitere Ausnahmen regeln die Verwendung sensibler Daten für private Zwecke, für wissenschaftliche Forschung und Statistik, in der Gesundheitsvorsorge, im Arbeitsverhältnis sowie in gemeinnützigen Vereinigungen.

Das DSG 2000 sieht wesentliche Erleichterungen für die wissenschaftliche oder statistische Verwendung von Daten vor, wenn diese keine personenbezogenen Er- gebnisse zum Ziel haben.

Das DSG 2000 stellt Datensicherheitsmaßnahmen und die Geheimhaltung personenbezogener Daten verstärkt in den Vordergrund. So hat der Verwender der Daten dafür Sorge zu tragen, dass die Daten vor zufälliger und unrechtmäßiger Zerstörung und vor Verlust geschützt sind. Auch muss die Datenverwendung ord- nungsgemäß erfolgen, Daten dürfen Unbefugten nicht zugänglich sein. Je sensibler Daten sind, desto aufwendiger müssen die Datensicherheitsmaßnahmen ausgestal- tet sein.

Auftraggeber sowie Dienstleister und deren Mitarbeiter sind zur Geheimhaltung der Daten verpflichtet. Zuwiderhandeln stellt eine strafbare Handlung dar.

Das bei der Datenschutzkommission (DSK) zu führende Datenverarbeitungs- register (DVR) ist zur Sicherung der Öffentlichkeit der Verarbeitung eingerichtet.

- 12 -

Jeder Auftraggeber muss vor der Aufnahme einer Datenanwendung eine Meldung an die DSK zur Registrierung im Datenverarbeitungsregister erstatten. Das DSG 2000 gewährt jedoch auch Ausnahmen von der Meldepflicht. Nicht ge- meldet werden müssen Datenanwendungen, die ausschließlich veröffentlichte Da- ten oder nur indirekt personenbezogene Daten enthalten, der Führung von gesetz- lich vorgesehenen Registern oder Verzeichnissen dienen oder von natürlichen Per- sonen ausschließlich für persönliche oder familiäre Tätigkeiten vorgenommen wer- den.

Datenanwendungen für Zwecke

des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder

der Sicherung der Einsatzbereitschaft des Bundesheeres oder

der Sicherstellung der Interessen der umfassenden Landesverteidigung oder

des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller In- teressen der Republik Österreich oder der Europäischen Union oder

der Vorbeugung, Verhinderung oder Verfolgung von Straftaten

sind von der Meldepflicht ausgenommen, soweit dies zur Verwirklichung des Zwe- ckes der Datenanwendung notwendig ist. Meldepflichtige Datenanwendungen, die sensible oder strafrechtlich relevante Da- ten enthalten oder die Auskunftserteilung über die Kreditwürdigkeit der Betroffe- nen zum Zweck haben oder in Form eines Informationsverbundsystems durchge- führt werden sollen, dürfen nur nach erfolgter Vorabkontrolle durch die DSK auf- genommen werden.

Rechte des Betroffenen nach dem DSG 2000 sind die Informationspflicht des Auftraggebers und die Pflicht zur Offenlegung und Auskunft durch das Datenverar- beitungsregister.

Die Informationspflicht des Auftraggebers soll dem Betroffenen die Durchset- zung seiner Rechte auf Auskunft, Richtigstellung und Löschung erleichtern. Der Auftraggeber ist verpflichtet, auch aus nicht meldepflichtigen Datenanwendungen Auskunft zu erteilen (§ 26 DSG 2000).

- 13 -

Der Betroffene hat, unter Nachweis seiner Identität, das Recht Auskunft, über die zu seiner Person verarbeiteten Daten, zu begehren.

Diese Auskunft ist jedoch nicht zu erteilen, soweit überwiegende, berechtigte Inte- ressen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öf- fentliche Interessen, der Auskunftserteilung entgegenstehen (Vorbeugung und Verhinderung oder Verfolgung von Straftaten).

Der Auftraggeber hat bei Informationsverbundsystemen wie dem EKIS eine Frist von zwölf (sonst acht) Wochen zur Beantwortung des Auskunftsbegehrens. Die erste Auskunft im Jahr pro Auftraggeber ist grundsätzlich unentgeltlich, wenn die Auffindung der Daten für den Auftraggeber keine besondere Belastung bedeutet (Mitwirkungspflicht des Betroffenen), sonst kann ein pauschalierter Kostenersatz eingehoben werden.

Der Betroffene hat ein Recht auf Richtigstellung oder Löschung der über ihn gespeicherten Daten. Die Pflicht des Auftraggebers zur Richtigstellung oder Lö- schung besteht aber dann nicht, wenn der Dokumentationszweck einer Datenan- wendung nachträgliche Änderungen nicht zulässt (z.B. Namensänderung nach Eheschließung).

Überdies hat der Betroffene ein Widerspruchsrecht gegen die Verwendung seiner Daten wegen Verletzung überwiegend schutzwürdiger Geheimhaltungsinteressen. Der Auftraggeber ist verpflichtet, binnen acht Wochen die Daten des Betroffenen aus seiner Datenanwendung zu löschen und allfällige Übermittlungen zu unterlas- sen. Ist die Verwendung der Daten allerdings gesetzlich geschützt, kommt dem Betroffenen kein Widerspruchsrecht zu.

Rechtsschutz

Die Datenschutzkommission hat als unabhängige Kontrollstelle den öffentlichen und privaten Bereich der Datenanwendungen zu kontrollieren. Die DSK kann auch, nach Verständigung des Inhabers, dessen Datenanwendungsräume besichtigen

- 14 -

und Kopien von Datenträgern herstellen und Empfehlungen (Sanktionsmöglichkei- ten bei Nichtentsprechung) zur Herstellung eines rechtmäßigen Zustandes aus- sprechen. Weiters ist die DSK zur Entscheidung über Beschwerden wegen behaupteter Ver- letzung des Auskunftsrechtes und Gesetzesverletzung durch einen Auftraggeber des öffentlichen Bereiches berufen.

Akte der Gesetzgebung und der Gerichtsbarkeit unterliegen nicht der Zuständigkeit der DSK.

Vor ordentlichen Gerichten ist der Anspruch auf Geheimhaltung, Richtigstellung oder Löschung gegen einen Auftraggeber des privaten Bereiches geltend zu ma- chen.

Der Anspruch auf Geltendmachung der Kontrollbefugnisse der DSK, auf Be- schwerde an die DSK und auf Einbringung einer Klage vor den ordentlichen Gerich- ten erlischt, wenn der Einschreiter diese Rechtshandlungen nicht binnen eines Jah- res nach Kenntnis des beschwerenden Ereignisses, längstens aber drei Jahre, nach dem das Ereignis angeblich stattgefunden hat, vornimmt.

Hat ein Auftraggeber des privaten Bereiches durch schuldhafte Verletzung von Be- stimmungen des DSG 2000 Schaden für einen Betroffenen verursacht, so ist dieser zu ersetzen.

Strafbestimmungen

Besonders schwerwiegende Verstöße gegen das DSG 2000 sind strafbar und wer- den, je nach Schwere, von Gerichten oder Bezirksverwaltungsbehörden geahndet.

Grenzüberschreitender Datenverkehr

Durch die Richtlinie zum Datenschutz (DS-RL) sollte der Datenschutz in den Mit- gliedsländern der Union auf einem gleich hohem Niveau harmonisiert werden, um

- 15 -

einen möglichst freien Fluss von Daten innerhalb der Mitgliedsstaaten der Europäi- schen Union zu ermöglichen.

Somit ist der Transfer von Daten in Mitgliedstaaten der EU wie ein Datentransfer im Inland anzusehen und daher keinen weiteren Beschränkungen unterworfen. Dies gilt allerdings nicht für den Datenverkehr zwischen Auftraggebern des öffent- lichen Bereiches in Angelegenheiten, die nicht dem Recht der Europäischen Union unterliegen (somit gilt dies nicht für Übermittlungen aus den sicherheitspolizeili- chen Anwendungen des Bundesministeriums für Inneres – außer die Übermittlung oder Überlassung von Daten ins Ausland ist in Rechtsvorschriften vorgesehen, die im innerstaatliche Recht den Rang eines Gesetzes haben und unmittelbar anwend- bar sind).

Auch in die Schweiz und nach Ungarn können Daten genehmigungsfrei transferiert werden. In allen anderen Fällen hat der Auftraggeber vor der Übermittlung oder Überlassung der Daten eine Genehmigung der DSK einzuholen.

Kontrollorgane

Mit den Agenden des Datenschutzes sind drei Institutionen betraut:

Das Datenverarbeitungsregister (DVR) ist bei der DSK eingerichtet. Es ist die zentrale Sammelstelle für die verpflichtende Meldung von Datenanwendungen.

Die Datenschutzkommission (DSK) ist für die Wahrung des Datenschutzes des öffentlichen Bereiches zuständig. Sie ist organisatorisch beim Bundeskanzleramt eingerichtet. Ihre Mitglieder sind bei der Ausübung ihres Amtes unabhängig und weisungsfrei (Verfassungsbestimmung). Der Vorsitzende der DSK ist ein unabhän- giger Richter.

Jedermann kann sich wegen behaupteter Verletzung seiner Rechte oder ihn betref- fender Pflichten eines Auftraggebers oder Dienstleisters an die DSK wenden. Diese kann im Falle eines begründeten Verdachtes auf Verletzung der Rechte des Betrof- fenen oder der Pflichten des Auftraggebers oder Dienstleisters die Datenanwen-

- 16 -

dungen überprüfen. Kommt die DSK beispielsweise zur Auffassung, dass die Ge- heimhaltung von verarbeiteten Daten durch den Auftraggeber gegenüber dem Be- troffenen nicht gerechtfertigt war, hat sie dem Auftraggeber die Offenlegung der Daten mit Bescheid aufzutragen.

Der Datenschutzrat hat ausschließlich beratende Funktion und publiziert in peri- odischen Abständen den Datenschutzbericht.

Meldungen beim Datenverarbeitungsregister

Jeder Auftraggeber hat vor Aufnahme einer Datenanwendung eine Meldung an das DVR zu erstatten. Diese Meldepflicht betrifft jedoch nur personenbezogene Daten. Es sind der Zweck der Datenverarbeitung, die Betroffenenkreise, die zu verarbei- tenden Datenarten und die Kreise der Übermittlungsempfänger relevant.

Bei nachträglichen Änderungen, durch die die Meldung unrichtig wird, z.B. neue Datenarten, verpflichten den Auftraggeber, eine entsprechende Änderungsmeldung einzubringen.

Von der prinzipiellen Meldungsverpflichtung ausgenommen sind Datenanwendun- gen, die ausschließlich veröffentlichte Daten enthalten (z.B. Grundbuch), weiters Anwendungen, die einer Standardanwendung entsprechen.

Eine meldepflichtige Datenanwendung darf grundsätzlich unmittelbar nach Abgabe der Meldung beim DVR aufgenommen werden.

Erst nach Prüfung durch die DSK dürfen hingegen Datenanwendungen aufgenom- men werden, die sensible oder strafrechtlich relevante Daten enthalten oder die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben oder die in Form eines Informationsverbundsystems durchgeführt werden. Hat die DSK innerhalb von zwei Monaten keinen Verbesserungsauftrag erteilt, darf die Verarbeitung aufgenommen werden.

Die Meldung an das DVR ist gebührenfrei.

- 17 -

In das DVR kann jedermann kostenlos Einsicht nehmen. In den Registrierungsakt einschließlich allenfalls enthaltener Genehmigungsbescheide ist nur dann Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er Betroffener ist und soweit nicht überwiegend schutzwürdige Geheimhaltungsinteressen des Auf- traggebers oder anderer Personen entgegenstehen.

Die DVR-Nummer ist eine siebenstellige Registernummer, die vom DVR vergeben wird. Jeder Auftraggeber einer Datenanwendung muss eine DVR-Nummer führen, sofern es keine Ausnahme von der Meldeverpflichtung gibt.

Die DVR-Nummer ist bei Übermittlungen an den Betroffenen anzuführen.

Beim DVR kann jederzeit erfragt werden, welchem Auftraggeber eine bestimmte DVR-Nummer zugeteilt ist.

Anhand der DVR-Nummer kann der Betroffene aber nicht nur den Auftraggeber, welcher seine Daten verarbeitet, herausfinden, sondern auch in die Registerauszü- ge sowie den Registrierungsakten der vom Auftraggeber gemeldeten Datenanwen- dungen Einsicht nehmen.

EKIS

(Elektronisches Kriminalpolizeiliches Informationssystem)

Beim EKIS handelt es sich um ein Informationsverbundsystem, in dem

! das Strafregister (Rechtsgrundlage Strafregistergesetz/Tilgungsgesetz)

! das Kraftfahrzeugzentralregister (Rechtsgrundlage § 47 Abs. 4 KFG)

! die KFZ-Fahndungs/Informationsdatei (Rechtsgrundlage § 57 SPG)

! die Personenfahndungsdatei (Rechtsgrundlage § 57 SPG)

! die Personeninformationsdatei (enthält sicherheitspolizeiliche, passrechtli- che und waffenrechtlich relevante Informationen. Rechtsgrundlagen sind § 57 SPG, § 22 b Passgesetz sowie § 55 Waffengesetz)

- 18 -

! die Sachenfahndungsdatei (Rechtsgrundlagen sind § 57 SPG bzw. § 22 b

Passgesetz)

! die Kulturgutfahndungsdatei (Rechtsgrundlage § 57 SPG)

! der Kriminalpolizeiliche Aktenindex (enthält Informationen über sämtliche

aufgrund von Vorsatzhandlungen an die Behörden der Strafjustiz erstatteten

Anzeigen der Sicherheitsbehörden und Sicherheitsdienststellen. Rechtsgrundla-

ge § 57 SPG)

! die Erkennungsdienstliche Evidenz samt AFIS (=automationsunterstütztes

Fingerabdrucksystem) und DNA Datenbank. (Rechtsgrundlage § 57 SPG)

zusammengefasst sind.

Die nachfolgend angeführten Datenarten sind nur auszugsweiser Natur und sollen

nur der Veranschaulichung dienen. Es sind sohin keinesfalls alle über einen Betrof-

fenen in der jeweiligen Datenanwendung verarbeiteten Datenarten angeführt.

 

Inhalt

Rechtsgrundlage

 

Personenbezogene Daten: Famili-

Die Speicherung der Daten erfolgt

enname, Vorname, Aliasnamen, frühe-

nach dem Strafregistergesetz,

re Familiennamen, Geburtsdatum Ge-

die Löschung wird durch das Til-

burtsort, Vorname der Eltern, Staats-

gungsgesetz geregelt

angehörigkeit

Strafregisterdaten: (rechtskräftige

 

Strafregister

 

Verurteilungen in- und ausländischer

Gerichte mit Urteil und Gericht;

Rechtskraft und Vollzugsdatum der Ge-

richtsstrafe)

 

Personenbezogene Daten: Famili-

§ 47 Kraftfahrgesetz

enname, Geschlecht, Vorname, Ge-

burtsdatum, Adresse

KFZ Daten:

 

Kraftfahrzeug-

zentralregister

Marke, Type, Fahrgestellnummer, Mo-

tornummer, Gesamtgewicht, Farbe,

Versicherung ohne Polizzennummer,

An- und Abmeldedatum, Kennzeichen-

KZR

einziehung mit Aufhebungsdatum

- 19 -

 

Inhalt

Rechtsgrundlage

 

Personenbezogene Daten des Zu-

§

57 Sicherheitspolizeigesetz;

KFZ-Fahndungs/Informationsdatei

KFZFI

lassungsbesitzers und einer allfäl-

Strafprozessordnung

lig gefahndeten Person (Täter):

Familienname, Geschlecht, Vorname,

Geburtsdatum, Adresse,

KFZ Daten:

Marke, Type, Fahrgestellnummer, Mo-

tornummer, Gesamtgewicht, Farbe,

Versicherung ohne Polizzennummer,

An- und Abmeldedatum,

nähere Hinweise zur ausschreibenden

Stelle

 

Personenbezogene Daten: Famili-

§

57 Sicherheitspolizeigesetz

Personenfahndung

PF

enname, Geschlecht, Vorname, Ge-

Strafprozessordnung

burtsdatum, Geburtsort, Vorname der

Eltern, Fahndungsgrund, ausschrei-

bende Stelle und zuständige Behörden

oder Dienststellen, Widerruf einer

Fahndung

 

Personenbezogene Daten: Famili-

§ 57 Sicherheitspolizeigesetz

enname, Geschlecht, Vorname, Ge-

§ 22 b Passgesetz

burtsdatum, Geburtsort, Vorname der

§ 55 Waffengesetz

 

nformation

Eltern;

Personeni-

PI

enthält sicherheitspolizeiliche, pass-

rechtliche und waffenrechtlich relevan-

te Informationen

- 20 -

 

Inhalt

Rechtsgrundlage

 

Personenbezogene Daten des Ge-

§ 57 Sicherheitspolizeigesetz

schädigten:

Sachenfahndungs-datei

SF

Familienname, Geschlecht, Vorname,

Geburtsdatum, Geburtsort, Anschrift;

Nummer und Beschreibung der ge-

fahndeten Sache;

nähere Hinweise zur ausschreibenden

Stelle

 

Personenbezogene Daten des Ge-

§ 57 Sicherheitspolizeigesetz

Kulturgutfahndung

KGF

schädigten:

Familennamen, Geschlecht, Vornamen,

Geburtsdatum, Geburtsort , Anschrift,

Art des Gegenstandes, seine Größe,

Form, Beschreibung und der geschätz-

te Wert

Kriminalpolizeili-

KPA

Aktenindex

cher

Personenbezogene Daten: Familien-

§ 57 Abs 1 lit 6 Sicherheitspoli-

name, Vorname, Aliasnamen, frühere

zeigesetz

Familiennamen, Geburtsdatum, Vor-

namen der Eltern.

Daten für die Speicherung: Delikt,

anzeigende Behörde

 

Personenbezogene Daten: Famili-

§

75 Sicherheitspolizeigesetz

Erkennungsdienstliche

EDE

 

enname, Vorname, frühere Familien-

 

namen, Aliasnamen, Geburtsdatum,

Namen der Eltern

Erkennungsdienstliche Daten:

Lichtbilder, besondere Merkmale wie

Evidenz

Tätowierungen, Narben oder fehlende

Gliedmaßen

- 21 -

Adressen

Falls Sie noch Informationen wünschen, wenden Sie sich an das Bundesministeri- um für Inneres – Bürgerdienst. Tel.Nr. 01/531 26-3100 DW

Ebenso können Sie bei jeder Sicherheitsdirektion, Bundespolizeidirektion sowie in jedem Landesgendarmeriekommando den Datenschutzbeauftragten kontaktieren.

Datenschutzkommission beim Bundeskanzleramt

1014 Wien, Ballhausplatz 1

Tel.Nr. 01/531 15-2525 DW

E-mail: dsk@dsk.gv.at

Datenverarbeitungsregister

1010 Wien, Hohenstaufengasse 3

Tel.Nr. 01/531 15-4043 E-mail: dvr@dsk.gv.at Parteienverkehr: Montag bis Freitag, 08.00-12.00 Uhr

Impressum:

Medieninhaber: Bundesministerium für Inneres, Sektion IV, A-1014 Wien, Herrengasse 7, Redaktion: Mag. Ulrike Michel Druck: Druckerei der Bundespolizeidirektion Wien, A-1090 Wien, Josef-Holaubek-Platz 1

- 22 -

Abkürzungen

AFIS

automationsunterstütztes Fingerabdrucksystem

B-VG

Bundes-Verfassungsgesetz in der Fassung von 1929, BGBl.Nr. 171930,

DNA

idF BGBl. I Nr. 68/2000 Desoxyribonucleinsäure(acid)

DSG

Datenschutzgesetz 1978, BGBl.Nr. 1978/565

DSG 2000 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999

DSK

Datenschutzkommission

DS-RL

Richtlinie 95/46/EG der Europäischen Union zum Datenschutz vom

24.10.1995

DVR

Datenverarbeitungsregister

EKIS

Elektronisches Kriminalpolizeiliches Informationssystem

EMRK

Europäische Menschenrechtskovention, BGBl.Nr. 210/1958

EU

Europäische Union

KFG

Kraftfahrgesetz 1967,

SIS

BGBl.Nr. 267/1967 Schengener Informationssystem

SPG

Sicherheitspolizeigesetz, BGBl.Nr. 566/1991 in der Fassung BGBl. I Nr. 85/2000

- 23 -