Compliance. Markus Böttcher

Чтение книги онлайн.

СКАЧАТЬ Widerspruchsrecht

      207

      Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat jeder Betroffene das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen Situation ergeben, beim Auftraggeber der Datenanwendung Widerspruch zu erheben. Bei Vorliegen dieser Voraussetzungen hat der Auftraggeber die Daten des Betroffenen binnen acht Wochen zu löschen und allfällige weitere Übermittlungen zu unterlassen.

12. Kontrollorgane

      208

      Das DSG 2000 kennt als „Kontrollorgane“ die Datenschutzbehörde und den Datenschutzrat.

12.1 Datenschutzbehörde

      209

      Die Datenschutzbehörde erkennt über behauptete Verletzungen bestimmter subjektiver Rechte wie des Rechtes auf Geheimhaltung, Auskunftserteilung, Richtigstellung und Löschung, wenn diese Verletzungen durch Auftraggeber des öffentlichen Bereichs begangen wurden. Was die Geltendmachung des Rechtes auf Geheimhaltung, Richtigstellung und Löschung gegenüber Auftraggebern des privaten Bereiches betrifft, so liegt die Zuständigkeit hiefür nicht bei der Datenschutzbehörde, sondern bei den Landesgerichten. Was allerdings Verletzungen des Rechtes auf Auskunft betrifft, so erkennt die Datenschutzbehörde über Verletzungen, die von öffentlichen oder privaten Auftraggebern begangen worden sind.

      210

      

      Die Datenschutzbehörde hat weitreichende Kontrollbefugnisse im DSG 2000 bekommen. Es kann sich jedermann wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder eines Dienstleisters nach dem DSG mit einer Eingabe an die Datenschutzbehörde wenden. Die Kontrollbefugnisse der Datenschutzbehörde nach § 30 DSG 2000 beziehen sich nicht nur auf den öffentlichen Bereich, sondern auch auf den gesamten privaten Bereich. Die Datenschutzbehörde kann im Fall eines begründeten Verdachtes auf Verletzung der eben genannten Rechte und Pflichten Datenanwendungen überprüfen. Hierbei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.

      211

      Der Datenschutzbehörde stehen in Ausübung dieser Befugnisse umfassende Rechte zu, wie etwa das Betreten von Räumlichkeiten des Auftraggebers (Dienstleisters) oder das Recht, Datenverarbeitungsanlagen in Betrieb zu setzen. Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzbehörde Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Die Nichtbefolgung einer solchen Empfehlung kann verschiedene Konsequenzen haben, z.B. die Einleitung eines Verfahrens der Überprüfung der Registrierung (was mit einer Untersagung der Weiterführung der Datenanwendung führen kann) oder die Erstattung einer Strafanzeige. Wenn der Verdacht einer schwerwiegenden Datenschutzverletzung durch einen Auftraggeber des privaten Bereichs vorliegt, kann die Datenschutzbehörde außerdem an Stelle des Betroffenen Feststellungsklage bei dem zuständigen Gericht erheben und dem Betroffenen dadurch eine sichere rechtliche Basis für die Verfolgung seiner Unterlassungs- und Schadenersatzansprüche verschaffen. Im öffentlichen Bereich ist das zuständige oberste Organ zu befassen, welches dafür Sorge zu tragen hat, dass der Empfehlung entsprochen wird.

12.2 Der Datenschutzrat

      212

      Hauptaufgaben des Datenschutzrates sind die Beratung von Fragen von grundsätzlicher Bedeutung für den Datenschutz und die Abgabe von Stellungnahmen zu Gesetzesentwürfen der Bundesministerien, soweit diese datenschutzrechtlich von Bedeutung sind.

13. Schadenersatz

      213

      § 33 DSG 2000 sieht eine eigene Schadensersatzregelung vor. Zum einen richten sich die Schadensersatzansprüche gegen einen Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen des DSG 2000 verwendet hat, nach den Bestimmungen des ABGB. Darüber hinaus besteht ein Anspruch des Betroffenen auf Entschädigung für die erlittene Kränkung gegenüber dem Auftraggeber, wenn durch die öffentlich zugängliche Verwendung besonders heikler Datenarten schutzwürdige Daten des Betroffenen in einer Weise verletzt werden, die einer Art „Bloßstellung“ i.S.d. Mediengesetzes gleichkommt. Damit wurde ein „immaterieller Schadensersatz“ eingeführt, der allerdings auf besonders schwerwiegende Datenschutzverstöße beschränkt ist. Der Auftraggeber und der Dienstleister haften auch für das Verschulden ihrer Leute. Allerdings kann sich der Auftraggeber oder der Dienstleister dann von der Haftung befreien, wenn er beweist, dass der Umstand, durch den der Schaden verursacht wurde, ihm bzw. seinen Leuten nicht zur Last gelegt werden kann (Beweislastumkehr zu Gunsten des Betroffenen).

14. Strafbestimmungen

      214

      Die Verletzung von Datenschutzrecht kann sowohl nach dem allgemeinen Strafrecht als auch nach dem DSG 2000 bestraft werden. Gerichtlich strafbar ist die rechtswidrige Verwendung von Daten in besonders verwerflicher Absicht, nämlich in Gewinn- oder Schädigungsabsicht (§51 DSG 2000). Seit der DSG-Novelle 2010 ist dieser Straftatbestand ein Offizialdelikt. Es droht in diesem Fall eine Freiheitsstrafe von bis zu einem Jahr. Ansonsten sieht das DSG 2000 in § 52 einen Katalog mit verschiedenen Verwaltungsstrafbestimmungen vor. Hat bereits eine Verletzungshandlung stattgefunden, so sehen die Straftatbestände eine Geldstrafe bis zu 25 000 EUR vor. Ist noch keine Verletzung eingetreten, sind allerdings die Interessen von Betroffenen gefährdet, so droht eine Verwaltungsstrafe bis zu 10 000 EUR.

      Anmerkungen

       [1]

      Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl I Nr. 165/1999.

       [2]

      Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABlEG Nr. L 281/31 v. 23.11.1995.

       [3]

      VO 2016/679/EU des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

       [4]

      Vgl. DSK 6.2.2008, K178.256/0005-DSK/2008.

       [5]

      Bundesgesetz, mit dem das Datenschutzgesetz 2000 und das Sicherheitspolizeigesetz geändert werden (DSG-Novelle 2010).

       [6]

      ErläutRV СКАЧАТЬ