th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Der "Dienstleister" im Datenschutzrecht

Rechte und Pflichten

Das Datenschutzgesetz 2000 (DSG 2000) verteilt die Kompetenzen zwischen Auftraggeber (= AG) und Dienstleister (= DL) konsequent und mit weitreichenden Folgen:

Auftraggeber ist im Sinne des Datenschutzgesetzes jede natürliche oder juristische Person bzw. Personengemeinschaft, die die Entscheidung trifft, personenbezogene Daten für einen bestimmten Zweck zu verwenden. Diese Verwendung kann der AG selbst durchführen oder die Aufgabe einem Dienstleister übertragen.

An dieser Qualifizierung ändert sich grundsätzlich auch dann nichts, wenn die Entscheidung, welche Daten verwendet werden sollen, von einem Dienstleister getroffen wird, sofern diese Datenverwendung nur zum Zweck der Herstellung eines aufgetragenen Werkes dient. In diesem Fall bleibt der "Werkbesteller" Auftraggeber im datenschutzrechtlichen Sinn.

Hat sich der "Werkbesteller" die Entscheidung ausdrücklich vorbehalten, welche Daten zur Herstellung des Werkes verwendet werden und verstößt der "Werkbeauftragte" gegen diesen Vorbehalt bzw. hat der "Werkbeauftragte" aufgrund von Rechtsvorschriften oder Verhaltensregeln über die Datenverwendung eigenverantwortlich zu entscheiden, wird der "Werkbeauftragte"/datenschztzrechtliche Dienstleister zum Auftraggeber im Sinne des DSG 2000.

Dienstleister im Sinne des Datenschutzgesetzes ist somit eine natürliche oder juristische Person bzw. Personengemeinschaft, die personenbezogene Daten nur zur Herstellung eines ihr aufgetragenen Werkes verwendet. Dabei ist auch ein sog. "Ermittlungsdienstleister" möglich, der für Zwecke seines Auftrags Daten bei Dritten ermittelt.

Welche Daten dürfen einem Dienstleister überlassen werden?

Der AG darf dem DL nur rechtmäßig ermittelte Daten, die er also im Rahmen seiner gesetzlichen Zuständigkeit/rechtlichen Befugnis (zB Gewerbeberechtigung) zu rechtmäßigen Zwecken verarbeitet hat und die keine schutzwürdigen Geheimhaltungsinteressen der Betroffen verletzen, überlassen. Die Heranziehung eines DL setzt eine (idR) schriftliche Vereinbarung zwischen AG und DL voraus, die die Verpflichtung zur rechtmäßigen und sicheren Datenverwendung durch den DL zu enthalten hat. Von deren Einhaltung hat sich der AG durch Einholung der erforderlichen Informationen über die vom DL tatsächlich getroffenen  Maßnahmen zu überzeugen.  

Welche Pflichten treffen den Dienstleister?

Er darf die ihm überlassenen Daten jedenfalls nur im Rahmen des ihm erteilten Auftrages verwenden (zB als EDV-Dienstleister), dh vor allem diese Datenbestände nicht weiter übermitteln. Er muss alle erforderlichen Datensicherheitsmaßnahmen treffen, dh insbesondere nur auf das Datengeheimnis verpflichtete Dienstnehmer einsetzen und kann nur dann weitere Dienstleister heranziehen, wenn der Auftraggeber es billigt und davon rechtzeitig verständigt worden ist. Weiters hat er die notwendigen organisatorischen Voraussetzungen dafür zu treffen, dass der AG (dessen Aufgabe es bleibt) seiner Pflicht zur Auskunft, Richtigstellung und Löschung gegenüber dem Betroffenen nachkommen kann! Nach Beendigung des Auftragsverhältnisses hat der DL alle Unterlagen, Datenverarbeitungsergebnisse, die erhaltenen Datenbestände etc. wieder dem AG rückzuerstatten (oder sie auftragsgemäß aufzubewahren bzw. zu vernichten). 

Welche Datensicherheitsmaßnahmen hat der Dienstleister zu treffen?

Die Datensicherheit hat in Abhängigkeit von der Art der Daten und dem Verwendungszweck nach dem technischen Stand der Möglichkeiten und der wirtschaftlichen Vertretbarkeit vom DL sichergestellt und das Datenmaterial vor Datenverlust geschützt zu werden. Diese Maßnahmen müssen in einer

  • Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und Mitarbeitern des DL,

  • in der Bindung der Datenverwendung an entsprechende Aufträge anordnungsbefugter Organisationseinheiten und Mitarbeiter,

  • in der Belehrung der Mitarbeiter über Datenschutzpflichten,

  • in der Beschränkung der Zutrittsberechtigung zu Datenverarbeitungsräumen,

  • in der Regelung der Zugriffsrechte auf Daten/Programme,

  • in der Maschinen- und Programmsicherung gegen unbefugte Inbetriebnahme,

  • in Protokollführungen über Verwendungsvorgänge und

  • in einer Dokumentation über all diese getroffenen Maßnahmen bestehen.

Die Datensicherheitsvorschriften müssen für den Mitarbeiter jederzeit verfügbar sein. Der DL (und seine Mitarbeiter) haben das Datengeheimnis über die ihnen aus berufsmäßiger Beschäftigung bekannt gewordenen Daten zu wahren. Das Datengeheimnis bleibt auch nach Beendigung des Dienstverhältnisses weiter bestehen! 

Wer ist Ansprechpartner für die Betroffenenrechte?

Ansprechpartner ist der AG, da diesen auch bei Inanspruchnahme eines DL die Verpflichtung zur Auskunftserteilung, Richtigstellung und Löschung trifft und gegen ihn das Widerspruchsrecht geltend zu machen ist! Wenn daher der AG die Datenanwendung einem DL übertragen hat, muss der AG sicher stellen, dass ihm die Erfüllung seiner Pflichten gegenüber dem Betroffenen durch rechtliche, technische und organisatorische Vorsorgemaßnahmen des DL ermöglicht wird.

Irrtümlich an den DL ergangene Auskunftsbegehren sind unter Benachrichtigung des Auskunftswerbers, dass im Auftrag des DL keine Datenverwendung erfolgt, unverzüglich an den AG weiterzuleiten, der dem Auskunftsbegehren innerhalb der dafür vorgesehenen Frist (8 Wochen) nachzukommen hat. 

Kann der Dienstleister auch im Ausland die Datenverarbeitung durchführen?

Geschieht die Datenanwendung im Inland rechtmäßig, dann können die Daten auch an einen DL im Ausland überlassen werden. Sofern es sich nicht um genehmigungsfreie Fälle handelt (zB zulässigerweise veröffentlichte Daten, Zustimmung des Betroffenen, Datentransfers in anderen EU-Mitgliedstaat, in die Schweiz, Kanada, Argentinien, Uruguay, Neuseeland, Guernsey, Insel Man, Jersey, Israel), hat der AG eine Genehmigung der Datenschutzbehörde einzuholen. Der ausländische DL muss sich weiters schriftlich verpflichten, die oben genannten DL-Pflichten zu übernehmen. 

Welche Haftung und Strafen treffen den Dienstleister gemäß DSG 2000?

  1. Für Schadenersatzansprüche eines Betroffenen haftet der DL bei schuldhafter und gesetzwidriger Datenverwendung; 
  2. Unter gewissen Voraussetzungen können Datenschutzverletzungen auch strafrechtlich (Freiheitsstrafe bis zu einem Jahr) oder verwaltungsrechtlich (Verwaltungsstrafen bis zu EUR 25.000) sanktioniert werden.  
Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.