FAQ
Nachfolgend finden Sie eine Liste der am häufigsten gestellten Fragen zum Thema Datenschutz.
Immer wieder bekommen Betroffene auf ihr Auskunftsbegehren keine Antwort vom Verantwortlichen. In diesem Zusammenhang haben uns nachfolgenden Fragen eines Betroffenen erreicht, welche wir nachfolgend kurz wiedergeben und beantworten wollen.
Darf eine Rückmeldung einfach ausbleiben, zB wenn keine Daten (mehr) gespeichert sind oder müsste hier nicht genau diese Auskunft erteilt werden?
Nein, in diesem Fall wäre spätestens innerhalb eines Monats eine Negativauskunft zu erteilen.
Ein Verantwortlicher hat zwar Daten zur Identifikation eingeholt (und erhalten) aber bisher keine Auskunft erteilt. Ist das in Ordnung?
Die Auskunft ist in der Regel innerhalb eines Monats zu erteilen. In begründeten Ausnahmefällen ist diese Frist auf 2 Monate verlängerbar. Eine Idenitätsbestätigung ist nur bei begründeten Zweifeln an der Identität des Antragstellers erforderlich.
Ein Verantwortlicher verlangt von eine Konkretisierung auf einzelne Abteilungen sowie die Zustimmung zu einer 3-Jährigen Speicherung der personenbezogenen Daten aufgrund der Datenauskunft. Ist das wirklich korrekt (und) im Sinne der DSGVO?
Betroffene haben zwar eine Mitwirkungspflicht bei der Erledigung des Auskunftsbegehrens, ob die Konkretisierung auf einzelne Abteilungen zulässig ist, wäre im Einzelfall zu klären. Eine 3-jährige Speicherung ist mE nicht zulässig.
Muss auf eine elektronische Anfrage auch die Auskunft elektronisch erfolgen?.
Betroffene haben das Recht, wenn sie den Antrag elektronisch eingebracht haben und falls sie nichts anderes angegeben haben, die Informationen und die Kopie der Daten in einem gängigen elektronischen Format zu erhalten.
Ich hätte gerne Auskunft darüber, ob mein Ausweisdokument zB Pass bei der Abholung einer Paketsendung bei der Post jedes Mal eingescannt werden muss? Reicht das Vorzeigen nicht aus, um die Sendung zu bekommen?
E-Mail Anfrage von A.E., 31.01.2017.
Ein Evergreen bei Fragen von Betroffenen ist die Zulässigkeit der elektronischen Erfassung von Ausweisen, wie Personalausweis, Pass oä in verschiedenen Alltagssituationen, zB Abholen einer hinterlegten Sendung bei der Post, Einchecken ins Hotel und anderen Gelegenheiten. Konkret hat sich hier eingebürgert, dass immer mehr Firmen, Behörden und Organisationen einen Ausweis verlangen und diesen elektronisch erfassen zB einscannen.
Ich habe als Betroffener in Hinblick auf die Abholung von hinterlegten Postsendungen eine Anfrage an den Auftraggeber, die Österreichische Post AG, erstellt und nachfolgende Antwort erhalten:
Bisher wurden die Ausweisdaten händisch notiert; dasselbe erfolgt jetzt elektronisch. Die Post prüft, wer eine Sendung entgegennimmt und dokumentiert den Zustellvorgang. Das erfolgt mit der Erfassung von Ausweis-Daten und dient dem Schutz der Kunden und auch der Post-Mitarbeiter. So ist sichergestellt, dass die Sendungen nur an die berechtigten Personen übergeben werden. Und sollte es einen Nachforschungsauftrag geben, kann entsprechend reagiert werden. Dank der elektronischen Erfassung sind wir bei der Ausgabe von Sendungen schneller. Das trägt auch dazu bei, dass allfällige Wartezeiten am Schalter kürzer werden. Es bedarf hier keiner gesetzlichen Grundlage für diese Datenerfassung durch die Post; diese Maßnahme ist lediglich die Automatisierung der sonst üblichen manuellen Datenerfassung zu Dokumentationszwecken. Gegenüber der manuellen Erfassung besteht aus Datenschutzgründen jedoch die Notwendigkeit einer Meldung dieser Datenverwendung an das Datenverarbeitungsregister (DVR); diese Meldung wurde ordnungsgemäß durchgeführt und ist im DVR unter der Bezeichnung „Betriebliche Verfahrensabläufe im Zusammenhang mit der Beförderung von Postsendungen und posttypischen Leistungen, mit Ausnahme hoheitlicher Tätigkeiten in diesem Bereich“ für jedermann einsehbar. Soweit jemand sein elektronisch lesbares Ausweisdokument nicht im Ausweisleser verwenden lassen möchte, kann er darauf bestehen, dass die Post seine Daten manuell erfasst.
Für das Einscannen von Ausweisdokumenten besteht also im konkreten Fall keine gesetzliche Grundlage. Das elektronische Erfassen der Ausweisdaten ist eine Verfahrensvereinfachung, welche nur mit Zustimmung des Betroffenen möglich ist. Wer sein Ausweisdokument nicht elektronisch erfasst haben möchte, der kann lt Aussage des Auftraggebers darauf bestehen, dass die Post seine Daten manuell erfasst.
Links
Detailansicht der registrierten Datenanwendung „Betriebliche Verfahrensabläufe im Zusammenhang mit der Beförderung von Postsendungen und posttypischen Leistungen, mit Ausnahme hoheitlicher Tätigkeiten in diesem Bereich“
Ist eine Veröffentlichung von personenbezogenen Daten, insbesondere Daten eines privaten Bauvorhabens, ua Baubewilligungs-Bescheid, Verhandlungsschrift samt bautechnischem Gutachten und Stellungnahmen der Nachbarn sowie einem ausführlichen Einreichplan, ohne Zustimmung des Betroffenen im Anhang der Verhandlungsschrift einer Gemeinderatssitzung zulässig. Die Veröffentlichung erfolgte als PDF-Seiten im Rahmen der auf der Gemeinde-Website veröffentlichten Protokolle des Gemeinderats und ist für jeden Website-Benutzer frei zugänglich.
Telefonische Anfrage von F. G-F., 19.01.2017
Eine Veröffentlichung von personenbezogenen Daten ist, ohne ausdrückliche Zustimmung des Betroffenen, nur dann zulässig, wenn es hierfür eine gesetzliche Grundlage gibt.
Die Veröffentlichung ist also nur dann rechtens, wenn die Daten aus einer zulässigen Datenanwendung stammen und durch die Veröffentlichung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
Die Zulässigkeit einer Veröffentlichung setzt zudem voraus, dass die dadurch verursachten Grundrechtseingriffe nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und die Grundsätze der ordnungsgemäßen Verwendung von Daten eingehalten werden.
Zulässigkeit der Datenverwendung in Gemeinderatsprotokollen
Die gesetzliche Verpflichtung zur Führung einer Verhandlungsschrift einer Sitzung des Gemeinderats ist beispielsweise in Oberösterreich im § 54 der Oö. Gemeindeordnung 1990 geregelt.
Unter anderem ist dort der Inhalt der Verhandlungsschrift geregelt. Diese hat ua „den wesentlichen Inhalt des Beratungsverlaufes, insbesondere sämtliche in der Sitzung gestellten Anträge unter Anführung der Antragsteller und der Berichterstatter …“ zu beinhalten.
Mit der Abfassung der Verhandlungsschrift sind vom Bürgermeister Organe des Gemeindeamtes oder ein Schriftführer des Gemeinderats zu betrauen.
Die Verhandlungsschrift ist den Fraktionen auf Antrag „im Wege automationsunterstützter Datenübertragung zur Verfügung zu stellen“.
Aus diesen Bestimmungen ist nicht ersichtlich, dass eine ordnungsgemäße Verhandlungsschrift auch die oa Dokumente eines privaten Bauvorhabens im Anhang beinhalten muss oder im Internet zu veröffentlichen ist.
In Hinblick auf das Datenschutzgesetz ist wohl davon auszugehen, dass die, in den oa Dokumenten verwendeten, personenbezogenen Daten für die ordnungsgemäße Führung der Verhandlungsschrift nicht wesentlich sind bzw über diesen Zweck hinausgehen. Zu bezweifeln ist auch, dass der, mit der beschriebenen Veröffentlichung verbundene Grundrechtseingriff nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgte.
Die Veröffentlichung der Dokumente mit den personenbezogenen Daten im Anhang der Verhandlungsschrift war somit mE nicht zulässig.
In diesem Zusammenhang wäre auch noch interessant zu hinterfragen, inwieweit durch die Veröffentlichung der Dokumente zB des Einreichplans nicht auch Urheberrechtsverletzungen stattgefunden haben.
Datenschutzbeauftragter.co.at / 19.01.2017
Wie geht man am besten vor, wenn man eine Videoüberwachung in einem Kurbad sieht und bemerkt, dass es keinen Hinweis zu einer Überwachung und auch keine Meldung auf der dvr.dsb.gv.at Seite zu dieser Videoüberwachung gibt. Zudem befindet sich diese Überwachung nicht nur im allgemeinen Bereich des Kurbades sondern auch noch in den Umkleideräumlichkeiten (nicht in der Kabine selbst).
Anfrage per Kontaktformular von E.W. am 03.01.2017
In einem ersten Schritt wäre zu klären ob es sich im konkreten Fall um eine digital aufgezeichnete Videoüberwachung oder um eine Echtzeitüberwachung handelt. Ich empfehle die schriftliche Kontaktaufnahme mit dem Auftraggeber der Videoüberwachung, vermutlich dem Betreiber des Kurbads. Im Rahmen des bestehenden Auskunftsrechts ist Ihnen Auskunft über die Herkunft, Empfänger oder Empfängerkreise von Übermittlungen, Zweck, Rechtsgrundlagen sowie allenfalls Dienstleister der Videoüberwachung zu erteilen. Erfolgt die Auskunft durch den Auftraggeber nicht rechtskonform bleibt Ihnen noch die Beschwerde bei der Datenschutzbehörde (§31 DSG 2000). Die Auskunft ist kostenlos und innerhalb von 8 Wochen zu erteilen.
Nachfolgend ein paar Informationen zum Thema Videoüberwachung, Echtzeitüberwachung und Kennzeichnungspflicht.
Videoüberwachung
Im ersten Fall wäre die Videoüberwachung meldepflichtig und unterläge der Vorabkontrollpflicht durch die Datenschutzbehörde/Datenverarbeitungsregister. Die Vorabkontrollpflicht entfällt nur dann, wenn Videoüberwachungsdaten verschlüsselt gespeichert werden. Zusätzlich ist der einzige Schlüssel zur Entschlüsselung der Daten bei der Datenschutzbehörde zu hinterlegen. Meldepflichtig bleibt die Videoüberwachung auch in diesem Fall. Der Auftraggeber einer Videoüberwachung unterliegt gesetzlichen Protokollierungs-, Löschungs- und Auskunftspflichten.
Verboten ist die Videoüberwachung an Orten, die zum höchstpersönlichen Lebensbereich des Betroffenen zählen.
Echtzeitüberwachung
Handelt es sich hingegen um eine Echtzeitüberwachung, dh es erfolgt keine digitale Aufzeichnung der Daten, dann besteht keine Meldepflicht. Ebenfalls keine Meldepflicht besteht, wenn die Videoüberwachung im Rahmen der Standardanwendung „Videoüberwachung (SA032)“ erfolgt.
Kennzeichnungspflicht
Es besteht für sämtliche Videoüberwachungen, also auch jene die nicht meldepflichtig sind, Kennzeichnungspflicht. Die Kennzeichnung hat so zu erfolgen, das Betroffene der Videoüberwachung ausweichen können. Bei einem Kurbad wird dies wohl nur durch einen deutlich sichtbaren Hinweis im Eingangsbereich möglich sein.
Datenschutzbeauftragter.co.at / 03.01.2017
Nach dem österreichischen Datenschutzgesetz ist das Einscannen und Speichern von Ausweisen im Geschäftsverkehr wohl nur beim Vorliegen einer entsprechenden gesetzlichen Grundlage oder mit der ausdrücklichen Zustimmung des Betroffenen und nach umfassender Information hinsichtlich der weiteren Datenverwendung erlaubt. In Deutschland dürfen Unternehmen sich einen Personalausweis zwar vorzeigen lassen – ihn einzuscannen und zu speichern wäre hingegen rechtswidrig.
Ausführliche Informationen zu datenschutzrechtlichen Aspekten beim Scannen von Ausweisen.
Ab wann gilt die neue Datenschutz-Grundverordnung auch für Kleinstbetriebe und KMUs in Österreich?
Die Datenschutz-Grundverordnung wurde am 14. April 2016 im Europäischen Parlament beschlossen und wird nach einer 2.jährigen Einführungszeit in Österreich am 25. Mai 2018 in Kraft treten.
Haben auch Sie Fragen zum Thema Datenschutz?
Dann senden Sie uns ein E-Mail an faq@datenschutzbeauftragter.co.at.
Gerne beantworten wir Ihre Fragen im Rahmen eines anonymisierten FAQ-Beitrags.