Datenschutzbehörde legt Datenschutzbericht 2015 vor

Wien (PK) - Die unabhängige Datenschutzbehörde (DSB), die 2014 die vormalige Datenschutzkommission als nationale Kontrollstelle für Datenschutz abgelöst hat, legt mit dem Datenschutzbericht 2015 ihren aktuellen Tätigkeitsbericht vor. Diesen hat Kanzleramtsminister Josef Ostermayer nun dem Nationalrat übermittelt (III-260 d.B. und III-587-BR).

Bei der rein zahlenmäßig umfangreichsten Aufgabe der Datenschutzbehörde, den Rechtsauskünften, sind die Anfragen etwas zurückgegangen und lagen 2015 bei 2.152 Eingängen im Vergleich zu 2.261 im Jahr 2014. Insgesamt gab es auch weniger Individualbeschwerden, Kontroll- und Ombudsmannverfahren über Antrag und amtswegige Prüfverfahren als im Vorjahr. Angestiegen sind hingegen die Genehmigungen im internationalen Datenverkehr und Tätigkeiten betreffend das Datenverarbeitungsregister. Betreffend das Stammzahlenregister wurde im Berichtszeitraum das Angebot von E-Government-Anwendungen erweitert, die Nutzung des Angebots nimmt daher zu.

Deutlicher Rückgang bei Individualbeschwerden

Signifikant ist der Rückgang bei den Individualbeschwerden im Vergleich zum Vorjahr. Waren es im Jahr 2014 noch 224 Beschwerden, die bei der Datenschutzbehörde eingegangen sind, wurden 2015 nur 147 Anträge verzeichnet. Interessant ist laut Bericht, dass medial präsente Themen zwar in der Vergangenheit zu einem temporären Ansteigen der Beschwerden im entsprechenden Bereich führten, die datenschutzrechtlichen Leitthemen des Jahres 2015 betrafen allerdings vorwiegend internationale Angelegenheiten wie das Vorhaben zur EU-Datenschutz-Grundverordnung, den transatlantischen Datenverkehr und das "Safe-Harbor"-Urteil des Europäischen Gerichtshofs (EuGH), wodurch die Auswirkungen auf das Beschwerdeverfahren marginal waren. Auch entsprechende Daten-Rechtsschutz-Diskussionen in sozialen Netzwerken wie Facebook oder Twitter scheinen eher nicht konkret auch Anlass für ein gehäuftes Auftreten von Beschwerdeverfahren bei der Datenschutzbehörde zu sein, so die Vermutung der Behörde aus Beobachtungen.

Elf ausgewählte Beschwerdeverfahren aus 2015 wurden bisher öffentlich im Rechtsinformationssystem des Bundes (RIS) dokumentiert. So wurde beispielweise von der Datenschutzbehörde in einem Fall einer Veröffentlichung einer Disziplinarentscheidung seitens einer Standesorganisation mit Name und Adresse des Beschwerdeführers das Recht auf namentliche Geheimhaltung in diesem Zusammenhang festgestellt. Im Fall einer gerichtlichen Vorlage von Beweisurkunden seitens des Dienstgebers vor dem Arbeitsgericht wurde eine Beschwerde hingegen mit der Begründung abgewiesen, dass eine erlaubte Datenverwendung den Fall von Rechtsansprüchen des Auftraggebers vor "Behörden", insofern auch Gerichte, umfasst.

Videoüberwachung nur für bestimmte Zwecke zulässig

Anders als bei der Individualbeschwerde sind Kontroll- und Ombudsmannverfahren im Bereich des "soft law" angesiedelt, haben mediativen Charakter und sind weitgehend formfrei. Im Jahr 2015 verzeichnete die Behörde mit 399 Eingängen einen Rückgang solcher Kontroll- und Ombudsmannverfahren (2014: 497), wovon der Großteil jeweils auf Antrag, der Rest in Form von amtswegigen Prüfungen erfolgte. Fragen der Videoüberwachung waren wie schon in den Vorjahren dabei die zahlenmäßig größte Gruppe. Hervorzuheben ist laut Bericht dazu auch ein Mandatsbescheid im Zeitraum 2015, der bei Videoüberwachung auf allgemein zugänglichen Wohnhausflächen differenziert: Zulässig sind demnach Videoüberwachungen zu Zwecken des Schutzes und zur Beweissicherung (z.B. Abschreckung von Einbrechern oder Identifizierung von Sachbeschädigern), nicht jedoch die Überwachung der MieterInnen, um beispielsweise Daten zu unerlaubter Miet-Nutzung oder über deren Privatleben zu erhalten.

Internationaler Datenverkehr: Ende von "Safe Harbor", neue Cloud-Technologie und Zunahme bei Genehmigungen

Wie schon im Vorjahr verzeichnet der Bericht bei den Genehmigungen im internationalen Datenverkehr eine kräftige Steigerung: Es gab dabei im Jahr 2015 150 Erledigungen, während es 2014 noch 80 und 2013 41 Erledigungen waren. Die Anträge stammen wie schon bisher ausschließlich von Konzernunternehmen in Österreich und betreffen Daten der Kunden-, Lieferanten- und Personalverwaltung. Nachdem der EuGH die "Safe-Harbor"-Regelung zwischen der EU und den USA zum genehmigungsfreien Transfer von personenbezogenen Daten an amerikanische Unternehmen für ungültig erklärte, hat die Datenschutzbehörde gemäß ihrem Bericht einige Anträge für Genehmigungen von Unternehmen erhalten, die bisher auf Grundlage von "Safe Harbor" Daten in die USA exportieren konnten. Ein weiteres neues Thema für die Datenschutzbehörde waren Dienstleister mit Cloud-Technologie: Die ersten Entscheidungen gehen dabei in die Richtung, dass Cloud-Dienstleistungen zulässig sind, sofern das datenschutzrechtliche Sicherheitsniveau garantiert werden kann, so der Bericht der Behörde.

Hinweisgebersysteme und ELGA-Daten

Datenanwendungen wie Videoüberwachung oder Hinweisgeber- bzw. Whistleblowing-Systeme sind vor der Inbetriebnahme dem Datenverarbeitungsregister zu melden und sind, außer bei Ablehnung der Registrierung, im Online-Register in Folge kostenlos einsehbar. Auch 2015 führte die Behörde wieder eine Vielzahl von Tätigkeiten in diesem Zusammenhang durch. So wurden beispielsweise das internetbasierte Hinweisgebersystem "BKMS" zur Aufklärung von Wirtschafts- und Korruptionsdelikten im Echtbetrieb und Meldungen im Zuge der ELGA-Gesundheitsdatenerfassung registriert.

Verfahren beim Bundesverwaltungsgericht und EuGH-Entscheidungen 2015

Gegen Bescheide der Datenschutzbehörde, überwiegend betreffend Bescheide in Individualbeschwerdeverfahren, gab es im Jahr 2015 gesamt 29 Beschwerden beim Bundesverwaltungsgericht. Vom EuGH kamen außerdem laut Bericht im Jahr 2015 zwei wesentliche Entscheidungen: Einerseits die bereits erwähnte "Safe-Harbor"-Aufhebung, mit der der Gerichtshof die Entscheidung der Kommission für ungültig erklärt hat, wonach die USA als datenschutzrechtlich "sicherer Hafen" ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten. Weiters entschied der Gerichtshof in Sachen "Weltimmo", dass das Datenschutzrecht eines Mitgliedsstaates auch auf eine ausländische Gesellschaft angewendet werden kann, die in diesem Staat mittels einer festen Einrichtung eine tatsächliche und effektive Tätigkeit ausübt.

Der jährlich erscheinende Datenschutzbericht wird auf der Webseite der Datenschutzbehörde https://www.dsb.gv.at/ veröffentlicht, Interessierte könne sich auch während des Jahres beispielsweise über den quartalsmäßig erscheinenden Newsletter der DSB informieren. (Schluss) mbu