th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Datenschutzgesetz 2000

Wichtige Begriffsbestimmungen

"Personenbezogene Daten“

Sämtliche Bestimmungen des DSG 2000 (einschließlich des Grundrechts auf Datenschutz gem § 1 DSG 2000) gelten für die Verwendung von personenbezogenen Daten.

Definitionsgemäß (§ 4 Z 1 DSG 2000) sind "personenbezogene Daten“ Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Der Begriff wird sehr weit verstanden und umfasst sämtliche Informationen über natürliche oder juristische Personen. Dabei ist es unerheblich, ob private, berufliche, wirtschaftliche Informationen, Eigenschaften, Kenntnisse oder physiologische Merkmale betroffen sind. Unter den Datenbegriff fallen jedenfalls auch Bild, Stimme, Fingerabdrücke oder genetische Daten.

Die "Bestimmbarkeit“ der Identität des Betroffenen ist auch im Falle indirekter Identifizierung gegeben; nach Erwägungsgrund 26 der EG-Datenschutzrichtlinie sollen bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden, die vernünftigerweise entweder vom Auftraggeber oder einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.

Nur "indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann. Dies ist zB bei verschlüsselten Daten der Fall, wenn der Verschlüsselungscode nicht zugänglich ist. "Indirekt personenbezogene Daten“ sind datenschutzrechtlich privilegiert: insb gelten bei ihrer Verwendung schutzwürdige Geheimhaltungsinteressen als nicht verletzt; der Datenverkehr ins Ausland ist genehmigungsfrei, wenn die Daten für den Empfänger nur indirekt personenbezogen sind; Datenanwendungen, die nur indirekt personenbezogene Daten enthalten, sind nicht meldepflichtig. 

"Sensible Daten“

Als "sensible“ ("besonders schutzwürdige“) Daten qualifiziert § 4 Z 3 DSG 2000 Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben.

Die Verwendung dieser Daten ist an strenge Verwendungsvoraussetzungen geknüpft (insb §§ 1 Abs 2 und 9 DSG 2000), bei ihrer Registrierung ist eine Vorabkontrolle durch die Datenschutzbehörde vorgesehen (§ 18 Abs 2 Z 1 DSG 2000), die Datenschutzbehörde kann Datenanwendungen mit sensiblen Daten jederzeit einer Überprüfung unterziehen (§ 30 Abs 3 DSG 2000). 

"Betroffener“

Definitionsgemäß (§ 4 Z 3 DSG 2000) ist "Betroffener“ jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden.

Anders als die EG-Datenschutzrichtlinie schützt das österreichische Datenschutzrecht nicht nur natürliche Personen, sondern auch juristische Personen. Geschützt sind hinsichtlich Letzterer nicht die Daten der Privatsphäre und des Familienlebens, sondern Daten aus dem Geschäftsleben, wie insb Geschäfts- und Betriebsgeheimnisse, Daten aus dem Kunden- und Lieferantenverkehr.

Dem "Betroffenen“ kommen die durch das DSG 2000 gewährleisteten subjektiven Rechte, wie das Recht auf Geheimhaltung, das Auskunfts-, Richtigstellungs- und Löschungsrecht, zu. 

"Auftraggeber“ und "Dienstleister“

"Auftraggeber“ sind definitionsgemäß (§ 4 Z 4 DSG 2000) natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft bzw die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden, unabhängig davon, ob sie die Daten selbst verwenden oder damit einen Dienstleister beauftragen.

Der "Auftraggeber“ ist der Hauptadressat sämtlicher Pflichten nach dem DSG 2000. Ihm obliegt insbesonders:

  • Beachtung der Zulässigkeitskriterien für die Datenverwendung (§§ 6 ff DSG 2000)

  • Ergreifung von Datensicherheitsmaßnahmen (§ 14 DSG 2000)

  • Wahrung des Datengeheimnisses (§ 15 DSG 2000) sowie Verpflichtung seiner Mitarbeiter auf das Datengeheimnis

  • Meldung an das Datenverarbeitungsregister bei der Datenschutzbehörde (§ 17 DSG 2000)

  • Beachtung der Informations- und Offenlegungspflichten (§§ 24 und 25 DSG 2000)

  • Auskunftspflicht (§ 26 DSG 2000)

  • Richtigstellungs- und Löschungspflicht (§ 27 DSG 2000).

"Dienstleister“ sind definitionsgemäß (§ 4 Z 5) natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft bzw die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden.

Den "Dienstleister“ treffen nur eingeschränkte datenschutzrechtliche Pflichten; diese sind (unabhängig von zusätzlichen vertraglichen Vereinbarungen mit dem Auftraggeber) abschließend in § 11 DSG 2000 genannt (insb darf der Dienstleister die überlassenen Daten ausschließlich im Rahmen der Aufträge des Auftraggebers verwenden, muss Datensicherheitsmaßnahmen treffen und nach Beendigung der Dienstleistung alle Daten dem Auftraggeber übergeben bzw in dessen Auftrag aufbewahren oder vernichten).

Ein Muster für einen zwischen Auftraggeber und Dienstleister abzuschließenden "Dienstleistervertrag“ findet sich auf http://archiv.dsb.gv.at/site/6208/default.aspx

Die Abgrenzung der Begriffe "Auftraggeber“ und "Dienstleister“ kann (zunächst) für manche freie Berufe (insb Wirtschaftstreuhänder, Steuerberater, Rechtsanwälte, Notare, Ziviltechniker) sowie für viele gewerbliche Dienstleistungsberufe (zB Unternehmensberater, Immobilienverwalter, Buchhalter etc) insofern problematisch sein, als sie, soweit sie mit Klientendaten Leistungen erbringen, (anders als unter dem Regime des "alten“ DSG 1978) nicht Auftraggeber, sondern Dienstleister dieser Datenanwendungen sind. Das DSG 2000 sieht jedoch vor, dass durch Rechtsvorschriften oder Verhaltensregeln festgelegt werden kann, dass der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung der überlassenen Daten eigenverantwortlich zu treffen hat und damit zum datenschutzrechtlichen Auftraggeber wird. 

"Datenanwendung“

Unter "Datenanwendung“ definiert das DSG 2000 (§ 4 Z 7) die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte, die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung).

Wesentlich ist jedenfalls, dass die "Datenanwendung“ eine logische Einheit ist, die unterschiedlichste Handlungen umfasst, wie etwa das Verarbeiten, Übermitteln usw. Das verbindende Element ist der Gesamtzweck der Datenanwendung, zu dessen Erreichung die einzelnen Schritte gesetzt werden. Da die Strukturiertheit der Datenaufbereitung kein definitorisches Merkmal der "Datenanwendung“ ist, fällt auch jede Textverarbeitung unter diesen Begriff, sodass grundsätzlich vor jeder Aufnahme einer Textverarbeitung eine Meldung an das Datenverarbeitungsregister zu erstatten wäre. Um den damit verbundenen enormen Verwaltungsaufwand in weiten Bereichen zu vermeiden, wurde in die Zweckbestimmung jeder Standard- und Musteranwendung gemäß der Standard- und Muster-Verordnung 2004 der Hinweis auf "automationsunterstützt erstellte und archivierte Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten“ aufgenommen. 

"Datei“

Liegt eine strukturierte Sammlung von Daten vor, die nach mindestens einem Suchkriterium zugänglich sind, handelt es sich definitionsgemäß um eine "Datei“ (§ 4 Z 6 DSG 2000). Dazu gehören Karteien, Listen udgl; nach der Judikatur der Datenschutzkommission jedoch nicht bloße Akten oder Aktenkonvolute. Maßgeblich ist demnach, dass eine Sammlung strukturierter Datensätze nach mindestens einem Suchkriterium geordnet ist (zB alphabetisch).

Auch manuell geführte "Dateien“ unterliegen dem DSG 2000, soweit sie für Zwecke von Angelegenheiten bestehen, die in die Gesetzgebungskompetenz des Bundes fallen (§ 58 DSG 2000). Für andere manuelle Dateien gelten die Landesdatenschutzgesetze. 

"Verwenden von Daten“

Unter dem Begriff "Verwenden von Daten“ versteht das DSG 2000 (§ 4 Z 8) jede Art der Handhabung von Daten, also sowohl das Verarbeiten (dazu zählen gem § 4 Z 9 DSG 2000 das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns von Daten) als auch das Übermitteln von Daten.

Das "Übermitteln von Daten“ ist die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insb auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers. Das "Aufgabengebiet“ wird in den Gesetzesmaterialien gleichgesetzt "etwa mit dem Umfang einer Gewerbeberechtigung“.

Das "Überlassen von Daten“ ist die Weitergabe von Daten zwischen Auftraggeber und Dienstleister im Rahmen eines Auftragsverhältnisses.

"Informationsverbundsystem“

"Informationsverbundsysteme“ sind gem § 4 Z 13 DSG 2000 definiert als die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung dieser Daten in der Art, dass jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden.

Solche Systeme, in welche jeder Systemteilnehmer die ihm verfügbaren Informationen einspeichert und sie allen anderen Teilnehmern zur Verfügung stellt (zB Flugbuchungssysteme, Hotelreservierungssysteme, "Warnliste“ der Banken) sind an besondere Zulässigkeitsvoraussetzungen gebunden, wie insb das Erfordernis einer Vorabkontrolle gem § 18 Abs 2 Z 4 DSG 2000 und die Bestellung eines geeigneten Betreibers (§ 50 Abs 1 DSG 2000).

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.