|
224 Individualbeschwerden, 497 Kontroll- und Ombudsmannverfahren, 2.261 Rechtsauskünfte
Wien (PK) – Mit 1. Jänner 2014 hat die neue, unabhängige, Datenschutzbehörde die Datenschutzkommission
als nationale Kontrollstelle in Sachen Datenschutz abgelöst. Nun liegt mit dem Datenschutzbericht 2014 ein
erster Tätigkeitsbericht der Behörde vor, den Kanzleramtsminister Josef Ostermayer vor kurzem dem Nationalrat
übermittelt hat ( III-175 d.B.). An der Zahl der Individualbeschwerden hat sich demnach gegenüber 2013
nichts verändert, deutlich gestiegen sind allerdings die Kontroll- und Ombudsmannverfahren sowie die Rechtsauskünfte.
Viel Bewegung gab es überdies wieder im Datenverarbeitungsregister, eine statistische Aufstellung vermerkt
unter anderem 1.175 Verbesserungsaufträge und 263 Ablehnungen von Datenanwendungen.
Konkret wurden 2014 224 Individualbeschwerden bei der Datenschutzbehörde eingereicht, exakt gleich viel wie
2013 bei der Datenschutzkommission. 117 von 220 erledigten Verfahren endeten mit einem Bescheid, die übrigen
103 wurden eingestellt, weil sich Unternehmen nach Einschreiten der Behörde in vielen Fällen schließlich
doch noch einsichtig gezeigt haben, was Auskunfts- bzw. Löschungsverlangen betrifft. Auffallend ist laut Bericht,
dass ein in den Medien präsentes Thema – etwa die Vorratsdatenspeicherung – oder ein bekannt gewordener konkreter
Missstand sich umgehend in der Zunahme von Beschwerden niederschlägt, diese dann aber relativ rasch wieder
abebben. Gegen Bescheide der Datenschutzbehörde können Betroffene Berufung beim Bundesverwaltungsgericht
einlegen.
Höher als die Zahl der Individualbeschwerden ist die Zahl der Kontroll- und Ombudsmannverfahren, die die Datenschutzbehörde
weitgehend formlos führt. 2014 wurden insgesamt 497 derartiger Verfahren abgewickelt, 399 davon auf Antrag
und 98 in Form von amtswegigen Prüfungen. Ziel dieser Verfahren ist es, eine datenschutzrechtlich zufriedenstellende
Situation zu erreichen, wobei auch Empfehlungen ausgesprochen werden können. Nur in Ausnahmefällen ist
ein Mandatsbescheid vorgesehen. Am häufigsten ging es bei dieser Art von Verfahren um Videoüberwachungen.
Elf Fälle betrafen die Entscheidung des Europäischen Gerichtshofs EuGH, wonach ein Betreiber von Internet-Suchmaschinen
unter bestimmten Umständen Treffer, die zu personenbezogenen Daten führen, aus der Ergebnisliste streichen
muss.
2.261 Mal hat die Datenschutzbehörde im vergangenen Jahr Rechtsauskünfte erteilt. Dazu kamen 14 Genehmigungen
für die Verwendung von Daten für Forschungszwecke und für statistische Zwecke, 80 Genehmigungen
für Datenübermittlungen ins Ausland durch internationale Konzerne, 33 Schengen-Auskünfte und verschiedenste
Tätigkeiten im Zusammenhang mit der Führung des Datenverarbeitungsregisters.
Daten vom Dienst-PC dürfen als Beweismittel verwendet werden
Besonders relevante Beschwerdeentscheidungen werden von der Datenschutzbehörde im Rechtsinformationssystem
des Bundes (RIS) veröffentlicht, einige davon sind auch im Bericht angeführt. So hat die Behörde
etwa in Zusammenhang mit einem arbeitsgerichtlichen Prozess um das Dienstverhältnis einer Bediensteten einer
Anstalt öffentlichen Rechts entschieden, dass es zulässig war, dass der Dienstgeber Daten vom Dienst-PC
der Betroffenen verwendet hat, um den Beweis von Pflichtverletzungen zu erbringen. In einem anderen Fall hat sie
hingegen eine "Zweitverwertung" von Ergebnissen einer gesetzesmäßig angeordneten Rufdaten-
und Standortrückerfassung in einem Disziplinarverfahren für rechtswidrig erklärt.
Im Zuge durchgeführter Kontrollverfahren hat die Datenschutzbehörde unter anderem die Verwendung von
Wählerevidenz-Daten für eine von einem Tiroler Bürgermeister selbst finanzierte Volksbefragung gerügt
und einem Krankenanstaltenträger empfohlen, nur dann eine Meldung an den Jugendwohlfahrtsträger zu erstatten,
wenn es einen hinreichend konkreten Verdacht auf Vernachlässigung, Misshandlung, Quälen oder sexuellen
Missbrauch von jungen PatientInnen hat. Mit einem so genannten Mandatsbescheid ausdrücklich untersagt wurde
die gezielte Videoüberwachung einer Wohnung mit einer versteckten Kamera durch einen vom Hausbesitzer engagierten
Detektiv im Zuge eines Kündigungsstreits, dessen Anlass eine behauptete vertragswidrige Weitermietung der
Wohnung durch den Mieter war.
Private "Dashcams" in Autos sind nicht zulässig
Im Rahmen von Registrierungsverfahren zugelassen wurden unter anderem ein Fotovergleich-System für die manuell-visuelle
Kontrolle von LiftkartenbesitzerInnen bei ausgewählten Skiliften sowie ein Probebetrieb der Whistleblower-Hotline
der Wirtschafts- und Korruptionsstaatsanwaltschaft. Auch etliche Konzerne haben, unter Einhaltung bestimmter vorgegebener
Auflagen, Whistleblower-Hotlines registrieren lassen. Eine Videoüberwachung im Garderobenbereich eines Freizeitunternehmens
wurde unter der Bedingung genehmigt, dass die Aufnahmen nur grob verpixelt erfolgen und eine verdächtige Person
erst nach dem Garderobenausgang durch eine hochauflösende Kamera identifiziert werden kann.
Abgelehnt hat die Datenschutzbehörde hingegen ein automationsunterstütztes Gesichtserkennungssystem zur
Identifizierung von KundenkartenbesitzerInnen beim Betreten eines IT-Geschäfts mittels biometrischer Daten,
den Antrag eines einzelnen Wohnungseigentümers zur Überwachung von Teilen der Tiefgarage eines Mehrparteienhauses
mittels Videokamera und den Antrag eines Juweliers, einen öffentlichen Gehsteig vor seinem Geschäft bis
zu einer Tiefe von einem Meter mitzufilmen. Zulässig sind nach ständiger Spruchpraxis in derartigen Fällen
maximal 50 cm. In zwei Fällen wurden Videoüberwachungen auf dem eigenen Betriebsgelände untersagt,
da trotz vorhandenen Betriebsrats keine Betriebsvereinbarung vorlag.
Mehrfach wurde auch das Ansinnen zurückgewiesen, im eigenen Auto eine Kamera zu installieren, um bei Verkehrsunfällen
gegebenenfalls ein Beweismittel zu haben. Für den Betrieb dieser so genannten "Dashcams" bzw. "Crashcams"
und der damit einhergehenden Überwachung öffentlicher Straßen und Plätze fehle Privatpersonen
die geforderte gesetzliche Zuständigkeit bzw. rechtliche Befugnis gemäß Datenschutzgesetz, heißt
es im Bericht. Die Rechtsansicht der Datenschutzbehörde wurde auch vom Bundesverwaltungsgericht bestätigt.
Schengen-Informationssystem: Keine Auffälligkeiten bei Datenabfragen
Amtswegig hat die Datenschutzbehörde unter anderem Datenverwendungen des Innenministeriums im Rahmen des Schengener
Informationssystems geprüft. Dazu ist sie im Rahmen europarechtlicher Vorgaben verpflichtet. Die Prüfverfahren
hätten keine Auffälligkeiten oder Abweichungen vom rechtmäßigen Zustand ergeben, so der Bericht.
Auch ein Ermittlungsverfahren gegen das Bildungsinstitut BIFIE, das aufgrund des in der Öffentlichkeit große
Aufmerksamkeit erregenden Datenlecks eingeleitet wurde, hat die Behörde eingestellt, nachdem sich ergeben
hat, dass das BIFIE alle zumutbaren Schritte unternommen hatte, um die missbräuchliche Verwendung personenbezogener
Daten zu minimieren.
Angeführt werden im Bericht auch wichtige höchstgerichtliche Entscheidungen, etwa das vom EuGH und vom
Verfassungsgerichtshof (VfGH) verfügte Aus für die Vorratsdatenspeicherung sowie die EuGH-Entscheidung
zur Entfernung bestimmter Treffer bei Suchmaschinen-Abfragen im Internet. Weiters hat der EuGH im vergangenen Jahr
die EU-Datenschutzrichtlinie für Videoaufzeichnungen von Privaten, die – zumindest teilweise – auf öffentlichen
Straßenraum gerichtet ist, für anwendbar erklärt.
Ein wegweisendes Urteil gibt es laut Bericht auch vom VfGH, und zwar zur Löschung von Daten aus Papierakten.
Demnach hat über die Frage, ob ein Recht auf physische Vernichtung eines Akteninhalts besteht, nicht die Datenschutzbehörde
sondern die jeweils aktenführende Behörde durch Bescheid zu entscheiden. Anlass für das Erkenntnis
war die Beschwerde einer Frau, die die Löschung eines Eintrags zu ihrem Sexualleben aus dem Papierakt eines
Finanzamts beantragt hat. Sie kann sich gemäß dem Urteil im Rechtsweg an die nächste Instanz, das
Bundesfinanzgericht, und in weiterer Folge an die Höchstgerichte wenden, wenn das Finanzamt den Eintrag nicht
von sich aus löscht.
|
