11.1 Das Recht auf Auskunft
205
Das DSG 2000 begründet einen Rechtsanspruch jeder Person oder Personengemeinschaft, binnen einer Frist von acht Wochen nach Stellung der Anfrage beim Auftraggeber Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten, deren Herkunft und den Empfänger einer allfälligen Übermittlung zu erhalten. Diese Auskunftserteilung hat nicht nur hinsichtlich aller automationsunterstützt verarbeiteten Daten zu erfolgen, sondern auch hinsichtlich der in manuellen Dateien enthaltenen Daten. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft).
11.2 Recht auf Richtigstellung und Löschung
206
Ist nach Ausübung des Auskunftsrechts oder aus anderen Umständen zu erkennen, dass unrichtige Daten oder dass Daten unzulässigerweise verarbeitet werden, kann der Betroffene die Richtigstellung dieser Daten bzw. deren Löschung beim Auftraggeber verlangen (§ 27 DSG 2000). Daten, die nicht mehr benötigt werden, gelten als unzulässig verarbeitete Daten und sind zu löschen.
11.3 Widerspruchsrecht
207
Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat jeder Betroffene das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen Situation ergeben, beim Auftraggeber der Datenanwendung Widerspruch zu erheben. Bei Vorliegen dieser Voraussetzungen hat der Auftraggeber die Daten des Betroffenen binnen acht Wochen zu löschen und allfällige weitere Übermittlungen zu unterlassen.
12. Kontrollorgane
208
Das DSG 2000 kennt als „Kontrollorgane“ die Datenschutzbehörde und den Datenschutzrat.
12.1 Datenschutzbehörde
209
Die Datenschutzbehörde erkennt über behauptete Verletzungen bestimmter subjektiver Rechte wie des Rechtes auf Geheimhaltung, Auskunftserteilung, Richtigstellung und Löschung, wenn diese Verletzungen durch Auftraggeber des öffentlichen Bereichs begangen wurden. Was die Geltendmachung des Rechtes auf Geheimhaltung, Richtigstellung und Löschung gegenüber Auftraggebern des privaten Bereiches betrifft, so liegt die Zuständigkeit hiefür nicht bei der Datenschutzbehörde, sondern bei den Landesgerichten. Was allerdings Verletzungen des Rechtes auf Auskunft betrifft, so erkennt die Datenschutzbehörde über Verletzungen, die von öffentlichen oder privaten Auftraggebern begangen worden sind.
210
Die Datenschutzbehörde hat weitreichende Kontrollbefugnisse im DSG 2000 bekommen. Es kann sich jedermann wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder eines Dienstleisters nach dem DSG mit einer Eingabe an die Datenschutzbehörde wenden. Die Kontrollbefugnisse der Datenschutzbehörde nach § 30 DSG 2000 beziehen sich nicht nur auf den öffentlichen Bereich, sondern auch auf den gesamten privaten Bereich. Die Datenschutzbehörde kann im Fall eines begründeten Verdachtes auf Verletzung der eben genannten Rechte und Pflichten Datenanwendungen überprüfen. Hierbei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.
211
Der Datenschutzbehörde stehen in Ausübung dieser Befugnisse umfassende Rechte zu, wie etwa das Betreten von Räumlichkeiten des Auftraggebers (Dienstleisters) oder das Recht, Datenverarbeitungsanlagen in Betrieb zu setzen. Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzbehörde Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Die Nichtbefolgung einer solchen Empfehlung kann verschiedene Konsequenzen haben, z.B. die Einleitung eines Verfahrens der Überprüfung der Registrierung (was mit einer Untersagung der Weiterführung der Datenanwendung führen kann) oder die Erstattung einer Strafanzeige. Wenn der Verdacht einer schwerwiegenden Datenschutzverletzung durch einen Auftraggeber des privaten Bereichs vorliegt, kann die Datenschutzbehörde außerdem an Stelle des Betroffenen Feststellungsklage bei dem zuständigen Gericht erheben und dem Betroffenen dadurch eine sichere rechtliche Basis für die Verfolgung seiner Unterlassungs- und Schadenersatzansprüche verschaffen. Im öffentlichen Bereich ist das zuständige oberste Organ zu befassen, welches dafür Sorge zu tragen hat, dass der Empfehlung entsprochen wird.
12.2 Der Datenschutzrat
212
Hauptaufgaben des Datenschutzrates sind die Beratung von Fragen von grundsätzlicher Bedeutung für den Datenschutz und die Abgabe von Stellungnahmen zu Gesetzesentwürfen der Bundesministerien, soweit diese datenschutzrechtlich von Bedeutung sind.
13. Schadenersatz
213
§ 33 DSG 2000 sieht eine eigene Schadensersatzregelung vor. Zum einen richten sich die Schadensersatzansprüche gegen einen Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen des DSG 2000 verwendet hat, nach den Bestimmungen des ABGB. Darüber hinaus besteht ein Anspruch des Betroffenen auf Entschädigung für die erlittene Kränkung gegenüber dem Auftraggeber, wenn durch die öffentlich zugängliche Verwendung besonders heikler Datenarten schutzwürdige Daten des Betroffenen in einer Weise verletzt werden, die einer Art „Bloßstellung“ i.S.d. Mediengesetzes gleichkommt. Damit wurde ein „immaterieller Schadensersatz“ eingeführt, der allerdings auf besonders schwerwiegende Datenschutzverstöße beschränkt ist. Der Auftraggeber und der Dienstleister haften auch für das Verschulden ihrer Leute. Allerdings kann sich der Auftraggeber oder der Dienstleister dann von der Haftung befreien, wenn er beweist, dass der Umstand, durch den der Schaden verursacht wurde, ihm bzw. seinen Leuten nicht zur Last gelegt werden kann (Beweislastumkehr zu Gunsten des Betroffenen).
14. Strafbestimmungen
214
Die Verletzung von Datenschutzrecht kann sowohl nach dem allgemeinen Strafrecht als auch nach dem DSG 2000 bestraft werden. Gerichtlich strafbar ist die rechtswidrige Verwendung von Daten in besonders verwerflicher Absicht, nämlich in Gewinn- oder Schädigungsabsicht (§51 DSG 2000). Seit der DSG-Novelle 2010 ist dieser Straftatbestand ein Offizialdelikt. Es droht in diesem Fall eine Freiheitsstrafe von bis zu einem Jahr. Ansonsten sieht das DSG 2000 in § 52 einen Katalog mit verschiedenen Verwaltungsstrafbestimmungen vor. Hat bereits eine Verletzungshandlung stattgefunden, so sehen die Straftatbestände eine Geldstrafe bis zu 25 000 EUR vor. Ist noch keine Verletzung eingetreten, sind allerdings die Interessen von Betroffenen gefährdet, so droht eine Verwaltungsstrafe bis zu 10 000 EUR.
Anmerkungen
Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl I Nr. 165/1999.
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABlEG Nr. L 281/31 v. 23.11.1995.
VO