.

DATENSCHUTZGESETZ
2000

DATENSCHUTZ GEHT UNS ALLE AN.

WAS IST EKIS?

-1-
Datenschutz ist Bürgerschutz

Datenbanken sind in weiten Bereichen der Wirtschaft und Gesell-

schaft unverzichtbar geworden. Wo personenbezogene Daten von
Menschen gespeichert sind, besteht auch die Gefahr eines Miss-
brauchs. Das Elektronische Kriminalpolizeiliche Informationssystem
(EKIS) des Bundesministeriums für Inneres ist ein unerlässliches
Hilfsmittel für die Arbeit der Sicherheitsbehörden und dient dem Schutz und der
Sicherheit der Menschen.

Das EKIS ist mit umfassenden Sicherheitseinrichtungen vor dem Eindringen von
außen geschützt. Intern gibt es für die Zugriffsberechtigten eine Reihe von Kon-
trollmaßnahmen, um einen Missbrauch der Daten möglichst auszuschließen.

Jeder Bürger, dessen Daten in einer staatlichen oder privaten Datenbank gespei-
chert sind, hat eine Reihe von Rechten, die im Datenschutzgesetz 2000 verankert
sind. Datenschutz bedeutet Bürgerschutz. Das Bundesministerium für Inneres in-
formiert mit dieser Broschüre über diese Rechte; vor allem wo ein Bürger erfährt,
welche Daten über ihn gespeichert sind und wie er sich vor dem Missbrauch seiner
personenbezogenen Daten schützen kann.

Dr. Ernst Strasser

Bundesminister für Inneres

-2-
Inhaltsverzeichnis

Datenschutz ist Bürgerschutz........................................................................ 2

DATENSCHUTZ ........................................................................................... 4
Das DSG 2000 aus der Sicht des Bürgers ....................................................... 6
Rechtsschutz ............................................................................................ 14
Strafbestimmungen ................................................................................... 15
Grenzüberschreitender Datenverkehr ........................................................... 15
Kontrollorgane .......................................................................................... 16
Meldungen beim Datenverarbeitungsregister................................................. 17
EKIS ....................................................................................................... 18
Adressen.................................................................................................. 22
Abkürzungen ............................................................................................ 23

-3-
DATENSCHUTZ

Daten dürfen nur nach Treu und Glauben und auf rechtmäßige Weise verwendet
werden. Eine Verwendung nach Treu und Glauben liegt vor, wenn der Betroffene
über die Umstände des Datengebrauchs, das Bestehen und die Durchsetzbarkeit
seiner Rechte nicht irregeführt oder im unklaren gelassen wird.

Datenschutz, der Inbegriff des reinen Persönlichkeitsrechtes, ist in der Rechtsland-

schaft relativ jung.

In Österreich besteht erst seit dem Datenschutzgesetz 1978 (DSG) das verfas-
sungsgesetzlich garantierte Grundrecht auf Datenschutz mit ausdrücklicher Dritt-
wirkung, jedoch wurde vom Gesetzgeber der Umfang und der Schutzbereich des
Datenschutzrechtes nicht klar herausgearbeitet.

Im Jahr 1995 hat die Europäische Union eine Richtlinie zum Datenschutz (DS-RL)
erlassen. Damit sollte der Datenschutz in den Mitgliedsländern der Union auf ei-
nem gleich hohem Niveau harmonisiert werden. Es wurde den Mitgliedstaaten eine
dreijährige Frist zur Umsetzung der Richtlinie in innerstaatliches Recht vorgege-
ben. Österreich hat die DS-RL verspätet durch das Datenschutzgesetz 2000 (DSG
2000), das mit 1. Jänner 2000 in Kraft trat, umgesetzt.
Die Bürger haben in der Vergangenheit die ihnen gesetzlich eröffnete Möglichkeit
zur Verfolgung ihres Rechtes auf individuellen Geheimnisschutz de facto überhaupt
nicht genutzt, was in der Folge zu einer Umgestaltung des Datenschutzes führte.

Nunmehr wurde die Position des Bürgers insoweit gestärkt, als er gleichwertiger
Verhandlungspartner wurde. Es wurde dem Bürger aber im Gegenzug ein Teil sei-
ner Gestaltungsfreiheit entzogen. Manche Bereiche der Informationen über Perso-
nen sind grundsätzlich schutzwürdig und können somit nicht individueller Einfluss-
nahme unterliegen. Diese Bereiche wurden somit unter gesetzlichen Schutz ge-
stellt und den Betroffenen die Verfügungsgewalt über diese Daten entzogen.

Im DSG 2000, mit dem die DS-RL umgesetzt wurde, finden sich daher zahlreiche
neue Verfügungsrechte für den Bürger (z.B. Zustimmung des Betroffenen für die

-4-
Verwendung nichtsensibler Daten [§ 8 Abs. 1 Z 1 leg.cit] und für die Verwendung
sensibler Daten [§ 9 Z 6 leg.cit]).

Die Ausübung seiner im DSG 2000 normierten Rechte darf für den Betroffenen
grundsätzlich mit keinen Kosten verbunden sein und bedarf auch nicht des Nach-
weises seiner Interessen.

§ 1 DSG 2000 stellt eine direkte Verbindung zwischen der personenbezogenen In-
formation und dem Betroffenen, auf den sich diese Information bezieht, her. Der
Betroffene muss aber nicht nur eine Verbindung zwischen einer Information und
seiner Person, sondern auch das Vorliegen seiner „schutzwürdigen Interessen“
nachweisen, um einen Anspruch auf Geheimhaltung der ihn betreffenden Informa-
tionen geltend machen zu können.

Ist die Schutzwürdigkeit der Interessen des Betroffenen grundsätzlich anerkannt,

muss eine Abwägung seiner Interessen mit den Interessen des in den Geheimnis-
schutz Eingreifenden erfolgen. Bei Gleichwertigkeit der Interessen oder im Zweifel
überwiegen die Interessen des Betroffenen.

Auch das Auskunftsrecht gemäß § 26 DSG 2000 sieht eine Ablehnung auf Auskunft
vor, wenn überwiegende berechtigte Interessen anderen dem Interesse des Be-
troffenen auf Auskunftserteilung gegenüberstehen.

Artikel 8 der Europäischen Konvention zum Schutz der Menschenrechte und

Grundfreiheiten (EMRK):

Absatz 1: „Jedermann hat Anspruch auf Achtung seines Privat- und Familienle-
bens, seiner Wohnung und seines Briefverkehrs.“
Absatz 2: „Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts
(Recht auf Achtung des Privat- und Familienlebens) ist nur statthaft, insoweit die-
ser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer
demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und
Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und

-5-
zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der
Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist.“

Das DSG 2000 aus der Sicht des Bürgers

Das DSG 2000 geht, ebenso wie das davor in Geltung stehende DSG 1978, von
einem verfassungsgesetzlich verankerten Anspruch des Betroffenen auf Geheim-
haltung der ihn betreffenden personenbezogenen Daten aus, jedoch nur bei Vor-
liegen eines schutzwürdigen Geheimhaltungsinteresses.

Dieses schutzwürdige Geheimhaltungsinteresse fehlt jedoch, wenn Daten allge-

mein verfügbar oder nicht personenbezogen sind.

Dieses Grundrecht kann aber durch bestimmte Eingriffe eingeschränkt werden. Zu-
lässig kann ein Eingriff sein, wenn lebenswichtige Interessen des Bürgers dadurch
verfolgt werden oder wenn er selbst seine Zustimmung zu einem solche Eingriff
erteilt, aber auch dann, wenn er zur Wahrung überwiegender, berechtigter Inte-
ressen eines Dritten erfolgt.

Der Staat benötigt für den Eingriff in das Grundrecht auf Geheimhaltung eine ge-
setzliche Ermächtigung. Diese kann (Art 8 Abs. 2 EMRK) nur dann erteilt werden,
wenn der Eingriff zur Wahrung wichtiger öffentlicher Interessen notwendig und das
gelindeste Mittel ist.

Sensible, also besonders schutzwürdige, Daten dürfen nur zur Wahrung wichtiger
öffentlicher Interessen verarbeitet werden und sind mit entsprechenden Garantien
zum Schutz der Geheimhaltungsinteressen des Betroffenen ausgestattet.

Das DSG 2000 bezieht sich ausschließlich auf die Verarbeitung personenbezogener
Daten, darunter fallen auch indirekt personenbezogene Daten, nicht umfasst vom
DSG 2000 sind jedoch anonymisierte Daten, also solche, die für niemanden be-
stimmt bzw. bestimmbar sind.

-6-
Personenbezogene Daten (auch Bild- und Tondaten, Fingerabdrücke und gene-
tische Merkmale, wenn die Verarbeitung dieser Daten entweder automatisiert er-
folgt, oder die Daten in Dateien enthalten sind, die nach bestimmten personenbe-
zogenen Kriterien strukturiert sind, um einen leichten Zugriff zu ermöglichen) sind
solche, bei denen die Identität des Betroffenen für den Verwender der Daten be-
stimmt (z.B. Name, KfZ-Kennzeichen, Reisepassnummer) oder bestimmbar (z.B.
Adresse eines Einfamilienhauses) ist.

Beispielsweise sind die Hobbys, die Vorlieben oder auch die politische Ausrichtung
einer Person für sich alleine keine personenbezogene Daten. Sobald diese Daten
jedoch einem Namen hinzugefügt werden oder alle Informationen zusammen auf
eine bestimmte Person hinweisen, werden alle – zuvor für sich alleine nicht perso-
nenbezogene Daten – zu personenbezogenen Daten.

Bei indirekt personenbezogene Daten (z.B. Aktenzahl) ist die Identität des Be-
troffenen für den Verwender der Daten nicht bestimmt oder bestimmbar. Die Da-
ten bleiben jedoch für eine vom Verwender - insbesondere vom ursprünglichen
Auftraggeber - verschiedene Person bestimmt bzw. bestimmbar.
Sensible (besonders schutzwürdige) Daten sind Daten natürlicher Personen über
! ihre rassische und ethnische Herkunft,
! ihre politische Meinung,
! ihre Gewerkschaftszugehörigkeit,
! ihre religiöse und philosophische Überzeugung,
! ihre Gesundheit und
! ihr Sexualleben.
Diese Aufzählung ist taxativ, darf also weder erweitert noch eingeschränkt werden.

Im DSG 2000 wurden die Definitionen der DS-RL den geänderten Bedingungen
und gewonnenen Erfahrungswerten angepasst:

Datenschutzrechtliche Auftraggeber sind natürliche oder juristische Personen,

Personengemeinschaften, Organe einer Gebietskörperschaft und Geschäftsappara-
te von Organen einer Gebietskörperschaft, wenn sie allein oder mit anderen die
Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten.

-7-
Die Auftraggeberschaft ist unabhängig davon, ob die oben genannten Personen die
Verarbeitung selbst durchführen oder dazu einen anderen heranziehen oder ob sie
einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes über-
lassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten.

Auftraggeber im Innenressort sind das Bundesministerium für Inneres, die Sicher-

heitsdirektionen, die Bundespolizeidirektionen, das Bundesasylamt und die Lan-
desgendarmeriekommanden.
Ressortfremde Auftraggeber im Bereich der Sicherheitsverwaltung sind z.B. die
Bezirkshauptmannschaften.

Dienstleister im Sinne des DSG 2000 sind natürliche oder juristische Personen,
Personengemeinschaften oder Organe einer Gebietskörperschaft bzw. die Ge-
schäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines
aufgetragenen Werkes überlassen wurden, verwenden.

Der Dienstleister ist datenschutzrechtlich dann Auftraggeber, wenn ihm anlässlich

der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich unter-
sagt wurde, oder er die Entscheidung über die Art und Weise der Verwendung,
insbesondere die Vornahme einer Verarbeitung der überlassenen Daten eigenver-
antwortlich hat (aufgrund von Rechtsvorschriften, Standesregeln oder gem. § 6
Abs. 4 DSG 2000)

Betroffener im Sinne des DSG 2000 ist jede vom Auftraggeber verschiedene na-
türliche oder juristische Person oder Personengemeinschaft, deren Daten verwen-
det werden. Der Betroffene ist alleiniger Träger der wesentlichen Rechte nach dem
DSG 2000 (Grundrecht auf Datenschutz, Auskunftsrecht, Recht auf Richtigstellung
oder Löschung, Widerspruchsrecht, Anrufung der DSK)

Verwenden von Daten bedeutet verarbeiten und übermitteln.

Der Begriff „Verarbeiten von Daten“ setzt sich aus einer Vielzahl einzelner
Schritte zusammen, nämlich

-8-
! ermitteln (Erheben von Daten in der Absicht, sie in einer Datenanwendung zu
verwenden)
! erfassen und speichern (Aufnahme der Daten auf dem Datenträger)
! aufbewahren
! ordnen (sortieren der Daten nach bestimmten Kriterien)
! vergleichen
! verändern (Änderung der Aussage oder der Darstellung der Daten – auch Be-
richtigung, Ergänzung oder teilweise Löschung)
! verknüpfen (mindestens zwei Daten werden durch einen automationsunter-
stützten Vorgang zueinander in Beziehung gesetzt, so dass ein Zusammenhang
ersichtlich wird oder mindestens zwei bisher getrennte Datensätze werden in
einem Datensatz dargestellt)
! vervielfältigen (Daten werden auf demselben oder einem anderen Datenträ-
ger unverändert noch einmal festgehalten)
! abfragen
! ausgeben (Darstellung auf dem Bildschirm, Ausdrucken, etc.)
! benützen (Daten werden für den Zweck, der mit der Datenverarbeitung ver-
folgt wird, verwendet - z.B. automationsunterstützten Zugriff oder Weitergabe
von Ausdrucken an den zuständigen Sachbearbeiter des Auftraggebers)
! überlassen (Weitergabe von Daten vom Auftraggeber an einen Dienstleister)
! sperren (Verhinderung des Zugriffs auf Daten für eine oder mehrere Personen)
! löschen (physisches Löschen durch Unkenntlichmachung der Daten oder Ver-
nichtung des Datenträgers)
! vernichten
! jede Art der Handhabung von Daten einer Datenanwendung durch den Auf-
traggeber oder Dienstleister mit Ausnahme des Übermittelns

Daten werden nicht nur „übermittelt“, wenn diese an einen Dritten (vom Auf-
traggeber, Dienstleister sowie Betroffenen verschiedene Person) weitergegeben
werden, sondern auch, wenn die Daten vom selben Auftraggeber (Dienstleister)
für ein anderes Aufgabengebiet verarbeitet werden.

Ein Aufgabengebiet ist eines von mehreren Tätigkeitsfeldern eines Auftraggebers,

das aber auch allein den gesamten Geschäftsbereich eines Auftraggebers bilden

-9-
kann (z.B. wenn die Daten im Rahmen einer anderen Gewerbeberechtigung oder
im öffentlichen Bereich gemäß einer anderen Kompetenzgrundlage nach dem B-VG
verwendet werden).

Informationsverbundsysteme sind Informationssysteme, bei welchen jeder

Systemteilnehmer die ihm verfügbaren Informationen einspeichert und sie allen
anderen Teilnehmern zur Verfügung stellt (Summe mehrerer einzelnen Datenban-
ken verschiedener Auftraggeber. Unerheblich ist, ob zur Benützung der Daten eine
oder mehrere Abfragen durchgeführt werden müssen).
Beispiel für ein Informationsverbundsystem in der Sicherheitsverwaltung ist das
EKIS – Elektronisches Kriminalpolizeiliches Informationssystem.

Die Zustimmung ist eine gültige, ohne Zwang abgegebene Willenserklärung des
Betroffenen, dass er, in Kenntnis der Sachlage für den konkreten Fall, in die Ver-
wendung seiner Daten einwilligt. Erfolgt die Information des Betroffenen durch den
Auftraggeber unvollständig oder unrichtig, so führt dies zur Unwirksamkeit der Zu-
stimmung.

Die Zustimmung kann nicht nur vom Betroffenen selbst, sondern auch von seinem
gesetzlichen Vertreter erteilt werden. Es ist dem Betroffenen (und seinem gesetzli-
chen Vertreter) jederzeit möglich, seine Zustimmung zu widerrufen.

Die Ausdrücklichkeit der Zustimmung ist nur bei Verwendung von sensiblen Daten
notwendig, sonst kann die Zustimmung auch schlüssig erteilt werden (der Umfang
der Zustimmung muss jedoch genau geprüft werden).

Schweigen ist keine Zustimmung, es sei denn, es wäre zwischen dem Betroffenen
und dem Auftraggeber in Bezug auf eine bestimmte Datenanwendung im vorhinein
vereinbart worden oder gesetzlich vorgesehen.

Datenverwendung im EKIS erfolgt auf Grund eines gesetzlichen Auftrages und be-
darf keiner Zustimmung des Betroffenen. Mangelt es an einer gesetzlichen Er-
mächtigung, so ist die Zustimmung des Betroffenen einzuholen, z.B. Ausschrei-
bung eines gestohlenen Führerscheines im EKIS.

- 10 -
Das DSG 2000 sieht die Prüfung der Zulässigkeit der Verwendung von Daten nach
den Kriterien „Treu und Glauben“ sowie Rechtmäßigkeit vor:

Für die Feststellung der Rechtmäßigkeit der Verarbeitung ist eine zweistufige Zu-
lässigkeitsprüfung vorgesehen, denn Daten dürfen nur dann verarbeitet werden,
wenn Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkei-
ten oder rechtlichen Befugnissen des Auftraggebers gedeckt sind und die schutz-
würdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.

1. Schritt:
Der Zweck muss festgelegt, eindeutig und rechtmäßig sein. Es ist unzulässig, den
Zweck der Datenverwendung nachträglich zu ändern. Die Daten müssen sachlich
richtig sein, müssen, wenn notwendig, auf den neuesten Stand gebracht werden,
aber nicht länger, als für die Realisierung des Zweckes notwendig, gespeichert
werden.

2. Schritt:
Zu ermitteln ist, ob nicht schutzwürdige Geheimhaltungsinteressen verletzt
werden.

Bei Verwendung nicht sensibler Daten wird das schutzwürdige Geheimhaltungsin-

teresse nicht verletzt,

! wenn eine ausdrückliche gesetzliche Ermächtigung vorliegt,

! der Betroffene der Verwendung der Daten ausdrücklich zugestimmt hat (Wider-
ruf ist jederzeit möglich),
! lebenswichtige Interessen des Betroffenen die Verwendung erfordern
! oder überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten
die Datenverwendung erfordern.

Bei Verwendung sensibler Daten wird im DSG 2000 taxativ aufgelistet, wann durch
die Verwendung personenbezogener Daten Geheimhaltungsinteressen nicht ver-
letzt werden.
Bei Verwendung sensibler Daten werden schutzwürdige Geheimhaltungsinteressen
dann nicht verletzt, wenn z.B.

- 11 -
! der Betroffene die Daten offenkundig selbst öffentlich gemacht hat;
! die Daten in nur indirekt personenbezogener Form verwendet werden;
! sich die Datenverwendung aus gesetzlichen Vorschriften ergibt, soweit diese
Vorschriften der Wahrung eines wichtigen öffentlichen Interesses dienen;
! Daten verwendet werden, die ausschließlich eine öffentliche Funktion des Be-
troffenen zum Gegenstand haben;
! der Betroffene ausdrücklich seine Zustimmung zur Verwendung der Daten er-
klärt hat (Widerruf ist jederzeit möglich und bewirkt die Unzulässigkeit der wei-
teren Datenverwendung);
! die Verarbeitung oder Übermittlung der Daten im lebenswichtigem Interesse
des Betroffenen liegt und seine Zustimmung nicht mehr rechtzeitig eingeholt
werden kann oder aber die Verwendung der Daten zur Wahrung lebenswichtiger
Interessen eines anderen notwendig ist.
! Weitere Ausnahmen regeln die Verwendung sensibler Daten für private Zwecke,
für wissenschaftliche Forschung und Statistik, in der Gesundheitsvorsorge, im
Arbeitsverhältnis sowie in gemeinnützigen Vereinigungen.

Das DSG 2000 sieht wesentliche Erleichterungen für die wissenschaftliche oder
statistische Verwendung von Daten vor, wenn diese keine personenbezogenen Er-
gebnisse zum Ziel haben.

Das DSG 2000 stellt Datensicherheitsmaßnahmen und die Geheimhaltung

personenbezogener Daten verstärkt in den Vordergrund. So hat der Verwender der
Daten dafür Sorge zu tragen, dass die Daten vor zufälliger und unrechtmäßiger
Zerstörung und vor Verlust geschützt sind. Auch muss die Datenverwendung ord-
nungsgemäß erfolgen, Daten dürfen Unbefugten nicht zugänglich sein. Je sensibler
Daten sind, desto aufwendiger müssen die Datensicherheitsmaßnahmen ausgestal-
tet sein.

Auftraggeber sowie Dienstleister und deren Mitarbeiter sind zur Geheimhaltung der
Daten verpflichtet. Zuwiderhandeln stellt eine strafbare Handlung dar.

Das bei der Datenschutzkommission (DSK) zu führende Datenverarbeitungs-

register (DVR) ist zur Sicherung der Öffentlichkeit der Verarbeitung eingerichtet.

- 12 -
Jeder Auftraggeber muss vor der Aufnahme einer Datenanwendung eine Meldung
an die DSK zur Registrierung im Datenverarbeitungsregister erstatten.
Das DSG 2000 gewährt jedoch auch Ausnahmen von der Meldepflicht. Nicht ge-
meldet werden müssen Datenanwendungen, die ausschließlich veröffentlichte Da-
ten oder nur indirekt personenbezogene Daten enthalten, der Führung von gesetz-
lich vorgesehenen Registern oder Verzeichnissen dienen oder von natürlichen Per-
sonen ausschließlich für persönliche oder familiäre Tätigkeiten vorgenommen wer-
den.

Datenanwendungen für Zwecke

• des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich

oder
• der Sicherung der Einsatzbereitschaft des Bundesheeres oder
• der Sicherstellung der Interessen der umfassenden Landesverteidigung oder
• des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller In-
teressen der Republik Österreich oder der Europäischen Union oder
• der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
sind von der Meldepflicht ausgenommen, soweit dies zur Verwirklichung des Zwe-
ckes der Datenanwendung notwendig ist.
Meldepflichtige Datenanwendungen, die sensible oder strafrechtlich relevante Da-
ten enthalten oder die Auskunftserteilung über die Kreditwürdigkeit der Betroffe-
nen zum Zweck haben oder in Form eines Informationsverbundsystems durchge-
führt werden sollen, dürfen nur nach erfolgter Vorabkontrolle durch die DSK auf-
genommen werden.

Rechte des Betroffenen nach dem DSG 2000 sind die Informationspflicht des
Auftraggebers und die Pflicht zur Offenlegung und Auskunft durch das Datenverar-
beitungsregister.

Die Informationspflicht des Auftraggebers soll dem Betroffenen die Durchset-

zung seiner Rechte auf Auskunft, Richtigstellung und Löschung erleichtern. Der
Auftraggeber ist verpflichtet, auch aus nicht meldepflichtigen Datenanwendungen
Auskunft zu erteilen (§ 26 DSG 2000).

- 13 -
Der Betroffene hat, unter Nachweis seiner Identität, das Recht Auskunft, über die
zu seiner Person verarbeiteten Daten, zu begehren.

Diese Auskunft ist jedoch nicht zu erteilen, soweit überwiegende, berechtigte Inte-
ressen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öf-
fentliche Interessen, der Auskunftserteilung entgegenstehen (Vorbeugung und
Verhinderung oder Verfolgung von Straftaten).

Der Auftraggeber hat bei Informationsverbundsystemen wie dem EKIS eine Frist
von zwölf (sonst acht) Wochen zur Beantwortung des Auskunftsbegehrens. Die
erste Auskunft im Jahr pro Auftraggeber ist grundsätzlich unentgeltlich, wenn die
Auffindung der Daten für den Auftraggeber keine besondere Belastung bedeutet
(Mitwirkungspflicht des Betroffenen), sonst kann ein pauschalierter Kostenersatz
eingehoben werden.

Der Betroffene hat ein Recht auf Richtigstellung oder Löschung der über ihn
gespeicherten Daten. Die Pflicht des Auftraggebers zur Richtigstellung oder Lö-
schung besteht aber dann nicht, wenn der Dokumentationszweck einer Datenan-
wendung nachträgliche Änderungen nicht zulässt (z.B. Namensänderung nach
Eheschließung).

Überdies hat der Betroffene ein Widerspruchsrecht gegen die Verwendung seiner
Daten wegen Verletzung überwiegend schutzwürdiger Geheimhaltungsinteressen.
Der Auftraggeber ist verpflichtet, binnen acht Wochen die Daten des Betroffenen
aus seiner Datenanwendung zu löschen und allfällige Übermittlungen zu unterlas-
sen. Ist die Verwendung der Daten allerdings gesetzlich geschützt, kommt dem
Betroffenen kein Widerspruchsrecht zu.

Rechtsschutz

Die Datenschutzkommission hat als unabhängige Kontrollstelle den öffentlichen

und privaten Bereich der Datenanwendungen zu kontrollieren. Die DSK kann auch,
nach Verständigung des Inhabers, dessen Datenanwendungsräume besichtigen

- 14 -
und Kopien von Datenträgern herstellen und Empfehlungen (Sanktionsmöglichkei-
ten bei Nichtentsprechung) zur Herstellung eines rechtmäßigen Zustandes aus-
sprechen.
Weiters ist die DSK zur Entscheidung über Beschwerden wegen behaupteter Ver-
letzung des Auskunftsrechtes und Gesetzesverletzung durch einen Auftraggeber
des öffentlichen Bereiches berufen.

Akte der Gesetzgebung und der Gerichtsbarkeit unterliegen nicht der Zuständigkeit
der DSK.

Vor ordentlichen Gerichten ist der Anspruch auf Geheimhaltung, Richtigstellung

oder Löschung gegen einen Auftraggeber des privaten Bereiches geltend zu ma-
chen.

Der Anspruch auf Geltendmachung der Kontrollbefugnisse der DSK, auf Be-
schwerde an die DSK und auf Einbringung einer Klage vor den ordentlichen Gerich-
ten erlischt, wenn der Einschreiter diese Rechtshandlungen nicht binnen eines Jah-
res nach Kenntnis des beschwerenden Ereignisses, längstens aber drei Jahre, nach
dem das Ereignis angeblich stattgefunden hat, vornimmt.

Hat ein Auftraggeber des privaten Bereiches durch schuldhafte Verletzung von Be-
stimmungen des DSG 2000 Schaden für einen Betroffenen verursacht, so ist dieser
zu ersetzen.

Strafbestimmungen

Besonders schwerwiegende Verstöße gegen das DSG 2000 sind strafbar und wer-
den, je nach Schwere, von Gerichten oder Bezirksverwaltungsbehörden geahndet.

Grenzüberschreitender Datenverkehr

Durch die Richtlinie zum Datenschutz (DS-RL) sollte der Datenschutz in den Mit-
gliedsländern der Union auf einem gleich hohem Niveau harmonisiert werden, um

- 15 -
einen möglichst freien Fluss von Daten innerhalb der Mitgliedsstaaten der Europäi-
schen Union zu ermöglichen.

Somit ist der Transfer von Daten in Mitgliedstaaten der EU wie ein Datentransfer
im Inland anzusehen und daher keinen weiteren Beschränkungen unterworfen.
Dies gilt allerdings nicht für den Datenverkehr zwischen Auftraggebern des öffent-
lichen Bereiches in Angelegenheiten, die nicht dem Recht der Europäischen Union
unterliegen (somit gilt dies nicht für Übermittlungen aus den sicherheitspolizeili-
chen Anwendungen des Bundesministeriums für Inneres – außer die Übermittlung
oder Überlassung von Daten ins Ausland ist in Rechtsvorschriften vorgesehen, die
im innerstaatliche Recht den Rang eines Gesetzes haben und unmittelbar anwend-
bar sind).

Auch in die Schweiz und nach Ungarn können Daten genehmigungsfrei transferiert
werden. In allen anderen Fällen hat der Auftraggeber vor der Übermittlung oder
Überlassung der Daten eine Genehmigung der DSK einzuholen.

Kontrollorgane

Mit den Agenden des Datenschutzes sind drei Institutionen betraut:

Das Datenverarbeitungsregister (DVR) ist bei der DSK eingerichtet. Es ist die
zentrale Sammelstelle für die verpflichtende Meldung von Datenanwendungen.

Die Datenschutzkommission (DSK) ist für die Wahrung des Datenschutzes des
öffentlichen Bereiches zuständig. Sie ist organisatorisch beim Bundeskanzleramt
eingerichtet. Ihre Mitglieder sind bei der Ausübung ihres Amtes unabhängig und
weisungsfrei (Verfassungsbestimmung). Der Vorsitzende der DSK ist ein unabhän-
giger Richter.

Jedermann kann sich wegen behaupteter Verletzung seiner Rechte oder ihn betref-
fender Pflichten eines Auftraggebers oder Dienstleisters an die DSK wenden. Diese
kann im Falle eines begründeten Verdachtes auf Verletzung der Rechte des Betrof-
fenen oder der Pflichten des Auftraggebers oder Dienstleisters die Datenanwen-

- 16 -
dungen überprüfen. Kommt die DSK beispielsweise zur Auffassung, dass die Ge-
heimhaltung von verarbeiteten Daten durch den Auftraggeber gegenüber dem Be-
troffenen nicht gerechtfertigt war, hat sie dem Auftraggeber die Offenlegung der
Daten mit Bescheid aufzutragen.

Der Datenschutzrat hat ausschließlich beratende Funktion und publiziert in peri-

odischen Abständen den Datenschutzbericht.

Meldungen beim Datenverarbeitungsregister

Jeder Auftraggeber hat vor Aufnahme einer Datenanwendung eine Meldung an das
DVR zu erstatten. Diese Meldepflicht betrifft jedoch nur personenbezogene Daten.
Es sind der Zweck der Datenverarbeitung, die Betroffenenkreise, die zu verarbei-
tenden Datenarten und die Kreise der Übermittlungsempfänger relevant.

Bei nachträglichen Änderungen, durch die die Meldung unrichtig wird, z.B. neue
Datenarten, verpflichten den Auftraggeber, eine entsprechende Änderungsmeldung
einzubringen.

Von der prinzipiellen Meldungsverpflichtung ausgenommen sind Datenanwendun-

gen, die ausschließlich veröffentlichte Daten enthalten (z.B. Grundbuch), weiters
Anwendungen, die einer Standardanwendung entsprechen.

Eine meldepflichtige Datenanwendung darf grundsätzlich unmittelbar nach Abgabe

der Meldung beim DVR aufgenommen werden.

Erst nach Prüfung durch die DSK dürfen hingegen Datenanwendungen aufgenom-
men werden, die sensible oder strafrechtlich relevante Daten enthalten oder die
Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben
oder die in Form eines Informationsverbundsystems durchgeführt werden. Hat die
DSK innerhalb von zwei Monaten keinen Verbesserungsauftrag erteilt, darf die
Verarbeitung aufgenommen werden.

Die Meldung an das DVR ist gebührenfrei.

- 17 -
In das DVR kann jedermann kostenlos Einsicht nehmen. In den Registrierungsakt
einschließlich allenfalls enthaltener Genehmigungsbescheide ist nur dann Einsicht
zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er Betroffener ist
und soweit nicht überwiegend schutzwürdige Geheimhaltungsinteressen des Auf-
traggebers oder anderer Personen entgegenstehen.

Die DVR-Nummer ist eine siebenstellige Registernummer, die vom DVR vergeben
wird. Jeder Auftraggeber einer Datenanwendung muss eine DVR-Nummer führen,
sofern es keine Ausnahme von der Meldeverpflichtung gibt.

Die DVR-Nummer ist bei Übermittlungen an den Betroffenen anzuführen.

Beim DVR kann jederzeit erfragt werden, welchem Auftraggeber eine bestimmte
DVR-Nummer zugeteilt ist.

Anhand der DVR-Nummer kann der Betroffene aber nicht nur den Auftraggeber,
welcher seine Daten verarbeitet, herausfinden, sondern auch in die Registerauszü-
ge sowie den Registrierungsakten der vom Auftraggeber gemeldeten Datenanwen-
dungen Einsicht nehmen.

EKIS
(Elektronisches Kriminalpolizeiliches Informationssystem)

Beim EKIS handelt es sich um ein Informationsverbundsystem, in dem

! das Strafregister (Rechtsgrundlage Strafregistergesetz/Tilgungsgesetz)
! das Kraftfahrzeugzentralregister (Rechtsgrundlage § 47 Abs. 4 KFG)
! die KFZ-Fahndungs/Informationsdatei (Rechtsgrundlage § 57 SPG)
! die Personenfahndungsdatei (Rechtsgrundlage § 57 SPG)
! die Personeninformationsdatei (enthält sicherheitspolizeiliche, passrechtli-
che und waffenrechtlich relevante Informationen. Rechtsgrundlagen sind § 57
SPG, § 22 b Passgesetz sowie § 55 Waffengesetz)

- 18 -
! die Sachenfahndungsdatei (Rechtsgrundlagen sind § 57 SPG bzw. § 22 b
Passgesetz)
! die Kulturgutfahndungsdatei (Rechtsgrundlage § 57 SPG)
! der Kriminalpolizeiliche Aktenindex (enthält Informationen über sämtliche
aufgrund von Vorsatzhandlungen an die Behörden der Strafjustiz erstatteten
Anzeigen der Sicherheitsbehörden und Sicherheitsdienststellen. Rechtsgrundla-
ge § 57 SPG)
! die Erkennungsdienstliche Evidenz samt AFIS (=automationsunterstütztes
Fingerabdrucksystem) und DNA Datenbank. (Rechtsgrundlage § 57 SPG)
zusammengefasst sind.
Die nachfolgend angeführten Datenarten sind nur auszugsweiser Natur und sollen
nur der Veranschaulichung dienen. Es sind sohin keinesfalls alle über einen Betrof-
fenen in der jeweiligen Datenanwendung verarbeiteten Datenarten angeführt.

Inhalt Rechtsgrundlage
Personenbezogene Daten: Famili- Die Speicherung der Daten erfolgt
enname, Vorname, Aliasnamen, frühe- nach dem Strafregistergesetz,
re Familiennamen, Geburtsdatum Ge- die Löschung wird durch das Til-
burtsort, Vorname der Eltern, Staats- gungsgesetz geregelt
angehörigkeit
Strafregisterdaten: (rechtskräftige
Strafregister

Verurteilungen in- und ausländischer

Gerichte mit Urteil und Gericht;
Rechtskraft und Vollzugsdatum der Ge-
richtsstrafe)
Personenbezogene Daten: Famili- § 47 Kraftfahrgesetz
enname, Geschlecht, Vorname, Ge-
burtsdatum, Adresse
KFZ Daten:
Marke, Type, Fahrgestellnummer, Mo-
zentralregister
Kraftfahrzeug-

tornummer, Gesamtgewicht, Farbe,

Versicherung ohne Polizzennummer,
An- und Abmeldedatum, Kennzeichen-
KZR

einziehung mit Aufhebungsdatum

- 19 -

KFZ-Fahndungs/Informationsdatei
KFZFI
Inhalt Rechtsgrundlage
Personenbezogene Daten des Zu- § 57 Sicherheitspolizeigesetz;
lassungsbesitzers und einer allfäl- Strafprozessordnung
lig gefahndeten Person (Täter):
Familienname, Geschlecht, Vorname,
Geburtsdatum, Adresse,
KFZ Daten:
Marke, Type, Fahrgestellnummer, Mo-
tornummer, Gesamtgewicht, Farbe,
Versicherung ohne Polizzennummer,
An- und Abmeldedatum,

nähere Hinweise zur ausschreibenden

Stelle
Personenbezogene Daten: Famili- § 57 Sicherheitspolizeigesetz
Personenfahndung

enname, Geschlecht, Vorname, Ge- Strafprozessordnung

burtsdatum, Geburtsort, Vorname der
Eltern, Fahndungsgrund, ausschrei-
bende Stelle und zuständige Behörden
oder Dienststellen, Widerruf einer
PF

Fahndung
Personenbezogene Daten: Famili- § 57 Sicherheitspolizeigesetz
enname, Geschlecht, Vorname, Ge- § 22 b Passgesetz
burtsdatum, Geburtsort, Vorname der § 55 Waffengesetz
Eltern;
nformation
Personeni-

enthält sicherheitspolizeiliche, pass-

rechtliche und waffenrechtlich relevan-
te Informationen
PI

- 20 -
 Inhalt Rechtsgrundlage
Personenbezogene Daten des Ge- § 57 Sicherheitspolizeigesetz
schädigten:
Sachenfahndungs-datei

Familienname, Geschlecht, Vorname,

Geburtsdatum, Geburtsort, Anschrift;
Nummer und Beschreibung der ge-
fahndeten Sache;
nähere Hinweise zur ausschreibenden
Stelle
SF

Personenbezogene Daten des Ge- § 57 Sicherheitspolizeigesetz

Kulturgutfahndung

schädigten:
Familennamen, Geschlecht, Vornamen,
Geburtsdatum, Geburtsort , Anschrift,
Art des Gegenstandes, seine Größe,
Form, Beschreibung und der geschätz-
KGF

te Wert
Personenbezogene Daten: Familien- § 57 Abs 1 lit 6 Sicherheitspoli-
cher Aktenindex
Kriminalpolizeili-

name, Vorname, Aliasnamen, frühere zeigesetz

Familiennamen, Geburtsdatum, Vor-
namen der Eltern.
Daten für die Speicherung: Delikt,
KPA

anzeigende Behörde
Personenbezogene Daten: Famili- § 75 Sicherheitspolizeigesetz
Erkennungsdienstliche

enname, Vorname, frühere Familien-

namen, Aliasnamen, Geburtsdatum,
Namen der Eltern
Erkennungsdienstliche Daten:
Lichtbilder, besondere Merkmale wie
Evidenz

Tätowierungen, Narben oder fehlende

EDE

Gliedmaßen

- 21 -
Adressen

Falls Sie noch Informationen wünschen, wenden Sie sich an das Bundesministeri-
um für Inneres – Bürgerdienst.
Tel.Nr. 01/531 26-3100 DW

Ebenso können Sie bei jeder Sicherheitsdirektion, Bundespolizeidirektion sowie in

jedem Landesgendarmeriekommando den Datenschutzbeauftragten kontaktieren.

Datenschutzkommission beim Bundeskanzleramt

1014 Wien, Ballhausplatz 1
Tel.Nr. 01/531 15-2525 DW
E-mail: dsk@dsk.gv.at

Datenverarbeitungsregister
1010 Wien, Hohenstaufengasse 3
Tel.Nr. 01/531 15-4043
E-mail: dvr@dsk.gv.at
Parteienverkehr: Montag bis Freitag,
08.00-12.00 Uhr

Impressum:
Medieninhaber: Bundesministerium für Inneres, Sektion IV, A-1014 Wien, Herrengasse 7,
Redaktion: Mag. Ulrike Michel
Druck: Druckerei der Bundespolizeidirektion Wien, A-1090 Wien,
Josef-Holaubek-Platz 1

- 22 -
Abkürzungen
AFIS automationsunterstütztes Fingerabdrucksystem
B-VG Bundes-Verfassungsgesetz in der Fassung von 1929, BGBl.Nr. 171930,
idF BGBl. I Nr. 68/2000
DNA Desoxyribonucleinsäure(acid)
DSG Datenschutzgesetz 1978,
BGBl.Nr. 1978/565
DSG 2000 Datenschutzgesetz 2000,
BGBl. I Nr. 165/1999
DSK Datenschutzkommission
DS-RL Richtlinie 95/46/EG der Europäischen Union zum Datenschutz vom
24.10.1995
DVR Datenverarbeitungsregister
EKIS Elektronisches Kriminalpolizeiliches Informationssystem
EMRK Europäische Menschenrechtskovention, BGBl.Nr. 210/1958
EU Europäische Union
KFG Kraftfahrgesetz 1967,
BGBl.Nr. 267/1967
SIS Schengener Informationssystem
SPG Sicherheitspolizeigesetz,
BGBl.Nr. 566/1991 in der Fassung BGBl. I Nr. 85/2000

- 23 -