DSG:§ 33. Befugnisse der Datenschutzbehörde
(1)
Die Datenschutzbehörde verfügt im Anwendungsbereich des § 36 Abs. 1 über die zur Vollziehung ihres Aufgabenbereichs erforderlichen wirksamen Untersuchungsbefugnisse. Diese umfassen insbesondere die in § 22 Abs. 2 genannten Befugnisse.
(2)
Die Datenschutzbehörde verfügt im Anwendungsbereich des § 36 Abs. 1 über die zur Vollziehung ihres Aufgabenbereichs erforderlichen wirksamen Abhilfebefugnisse. Dazu zählen jedenfalls die Befugnisse, die es ihr gestatten
- einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die im Anwendungsbereich der Richtlinie (EU) 2016/680 erlassenen Vorschriften verstoßen;
- den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge, auf bestimmte Weise und innerhalb eines bestimmten Zeitraums, mit den im Anwendungsbereich der Richtlinie (EU) 2016/680 erlassenen Vorschriften in Einklang zu bringen, insbesondere durch die Anordnung der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung gemäß § 45;
- eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen.
(3)
Die Datenschutzbehörde verfügt im Anwendungsbereich des § 36 Abs. 1 über die zur Vollziehung erforderlichen wirksamen Beratungsbefugnisse, die es ihr gestatten, gemäß dem Verfahren der vorherigen Konsultation nach § 53 den Verantwortlichen zu beraten und zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Antrag Stellungnahmen an den Nationalrat oder den Bundesrat, die Bundes- oder Landesregierung oder an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten.
(4)
Die Ausübung der der Aufsichtsbehörde übertragenen Befugnisse richtet sich im Anwendungsbereich § 36 Abs. 1 sinngemäß nach Art. 58 Abs. 4 DSGVO.
(5)
§ 22 Abs. 3 2. Satz gilt sinngemäß für Verstöße im Anwendungsbereich des § 36 Abs. 1.
Erläuterung zu § 33. Befugnisse der Datenschutzbehörde
Der mit der DSG-Novelle 2010 in das DSG 2000 eingefügte 9a. Abschnitt sah in den §§ 50a ff ausführliche Regelungen für die Videoüberwachung vor. Viele der aufgrund der technischen Fortentwicklung auf diesem Gebiet entwickelten und nunmehr in der Praxis verbreiteten Videoanwendungen wie Action-Cams, Wildkameras sowie weitere Videoanwendungen im Freizeitbereich fielen jedoch definitionsgemäß nicht in den Anwendungsbereich des 9a. Abschnittes. Diese Anwendungen konnten nicht zweifelsfrei auf den § 50a DSG 2000 gestützt werden, sondern unterlagen den allgemeinen Vorschriften der §§ 6 ff DSG 2000.
Einige der im 9a. Abschnitt enthaltenen Sonderregelungen für Videoüberwachungen haben sich in der Praxis nicht bewährt und sollen daher nicht beibehalten werden. So wurde etwa das Hinterlegen des Schlüssels zur Videoüberwachung bei der Datenschutzbehörde nach § 50c Abs. 1 DSG 2000 in der Praxis nicht eingeführt. Ferner erscheint eine Unterscheidung zwischen einer digitalen und einer analogen Aufzeichnung nach § 50c Abs. 2 DSG 2000 nicht mehr zweckmäßig. Das von § 50e DSG 2000 – in Abweichung vom § 26 Abs. 1 DSG 2000 – vorgesehene Auskunftsrecht hat sich in der Praxis als zum Teil undurchführbar erwiesen, da es eine Sichtung der Videoaufnahmen über den Auskunftswerber hinaus von anderen Personen voraussetzte, in deren Rechte dadurch eingegriffen wurde. Bewährt hat sich hingegen generell, dass die Videoüberwachung im DSG 2000 als besondere Datenverarbeitung geregelt wird und an die potentiellen Gefahren angepasste Voraussetzungen für den Einsatz dieser Technologie vorgegeben werden. So hat sich vor allem das Verbot der Videoüberwachung für den höchstpersönlichen Lebensbereich einer betroffenen Person sowie das Verbot des Einsatzes der Videoüberwachung zum Zweck der Mitarbeiterkontrolle bewährt. Gleiches ist hinsichtlich des Verbots des automationsunterstützten Abgleiches mit anderen Bilddaten und sensiblen Daten anzumerken. Bewährt hat sich überdies auch die Protokollierungs- und Kennzeichnungspflicht.
Aufgrund dieser Erfahrungen sollen im Rahmen des Art. 6 Abs. 2 und 3 sowie Art. 23 DSGVO und Kapitel IX der DSGVO iVm Erwägungsgrund 10 auch im DSG Bildaufnahmen gesondert geregelt werden.
Die neue Regelung zielt darauf ab, grundsätzlich alle Bildaufnahmen durch Verantwortliche des privaten Bereichs (so zB auch das Anfertigen von Fotografien zu beruflichen Zwecken) diesen Bestimmungen unterliegen zu lassen, sofern diese nicht ohnehin aufgrund von Art. 2 Abs. 2 lit. c DSGVO („Haushaltsausnahme“) vom Anwendungsbereich ausgenommen sind und auch nicht andere Gesetze hierzu Besonderes vorsehen. Davon umfasst sind auch Aufnahmen im Rahmen der Privatwirtschaftsverwaltung (zB Überwachung von öffentlichen Gebäuden, soweit diese im Rahmen der Privatwirtschaftsverwaltung erfolgt). Aufnahmen zur Vollziehung hoheitlicher oder schlicht hoheitlicher Aufgaben sollen hingegen nicht von diesem Abschnitt erfasst sein; diese benötigen weiterhin eine gesonderte gesetzliche Rechtsgrundlage (§ 1 DSG und Art. 18 B-VG).
Zudem soll auch die mit der Videoaufzeichnung allenfalls verbundene Tonaufnahme von diesem Abschnitt erfasst sein. Der Begriff „Ereignis“ soll dabei weit verstanden werden. Insbesondere soll auch eine mobile Videoaufzeichnung (zB das Filmen einer Abfahrt mit einer Action-Cam) erfasst sein. In diesem Sinne soll auch der Begriff „Bildaufnahme“ weit ausgelegt werden und auch bloße Aufzeichnungen erfassen, die zwar ein bestimmtes Objekt oder eine bestimmte Person zum Inhalt haben, aber nicht auf eine „Überwachung“ abzielen.
Für den Einsatz einer Bildaufnahme und die Verarbeitung der Aufnahmen gilt der Verhältnismäßigkeitsgrundsatz. Persönlichkeitsrechte nach § 16 ABGB bleiben unberührt.
Hinsichtlich der Voraussetzungen soll zwischen dem ersten Schritt des bloßen Einsatzes einer Bildaufnahme (dies umfasst die Verarbeitung mit Ausnahme der Übermittlung) und dem – mit einem weiteren Eingriff verbundenen – zweiten Schritt des Übermittelns einer Aufnahme unterschieden werden. In beiden Fällen sollen die Voraussetzungen, unter welchen diese Technik für private Zwecke eingesetzt werden darf, abschließend geregelt werden.
§ 30 Abs. 2 listet allgemeine Tatbestände auf, bei deren Vorliegen die Bildverarbeitung zulässig sein soll. Im Sinne der nötigen Flexibilität in der Praxis sieht § 30 Abs. 2 Z 4 als einen Erlaubnistatbestand das Vorliegen überwiegender berechtigter Interessen des Verantwortlichen oder eines Dritten im Einzelfall vor.
Von Z 4 soll auch der Fall der Überwachung eines bestimmten Objekts oder einer bestimmten Person erfasst sein, zu dessen oder deren Schutz der Einsatz technischer Einrichtungen zur Bildverarbeitung erforderlich ist und unmittelbar anwendbare Rechtsvorschriften des Völker- oder des Unionsrechts, Gesetze, Verordnungen, Bescheide oder gerichtliche Entscheidungen dem Verantwortlichen spezielle Sorgfaltspflichten zum Schutz des aufgenommenen Objekts oder der aufgenommenen Person auferlegen.
In den in § 30 Abs. 3 geregelten Fällen wird die Interessenabwägung (vgl. § 30 Abs. 2 Z 4) bereits auf gesetzlicher Ebene vorgenommen. Abgebildet werden exemplarische, quasi massenhaft auftretende Fallkonstellationen wie zB die Überwachung von Einfamilienhäusern (Z 1), die Überwachung in öffentlichen Verkehrsmitteln (Z 2) oder sog. Freizeitkameras uÄ. (Z 3). Zugleich wird der Vollzugspraxis ausdrücklich die Grundlage für mögliche Analogien eröffnet. Damit sollen zukünftige, heute noch nicht absehbare technologische Entwicklungen handhabbar werden. Zu Z 3 ist ergänzend zu bemerken, dass diese Bestimmung keine Grundlage für eine anlasslose Dokumentation personenbezogener Daten im Anwendungsbereich der § 30 zwecks potenzieller Heranziehung als Beweismittel in Rechtsstreitigkeiten bilden soll.
Bei Vorliegen von Nutzungsrechten an der Liegenschaft setzt die Zulässigkeit einer Bildaufnahme nach Abs. 3 Z 1 die Einwilligung aller betroffenen zusätzlichen Nutzungsberechtigten voraus. Dies ergibt sich bereits aus Abs. 2 Z 2.
Von Abs. 3 Z 2 sollen insbesondere auch die derzeit in der Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, enthaltenen Videoüberwachungen (Standardanwendung „SA032 Videoüberwachung“, zB für Trafiken) sowie auch die Bildaufnahmen in öffentlichen Verkehrsmitteln (zB Wiener Linien) erfasst sein.
Die Verarbeitung akustischer Informationen ist im Einzelfall zu beurteilen; in den Fällen des Abs. 3 Z 1 und 2 wird dies nicht zulässig sein.
Mit „Objekten“ nach § 30 Abs. 3 Z 3 sind etwa KFZ-Kennzeichen oder Fahrzeugaufschriften gemeint. Bildaufnahmen, mit denen in den höchstpersönlichen Lebensbereich einer betroffenen Person eingegriffen wird, sollen ausschließlich mit ausdrücklicher Einwilligung zulässig sein. Damit sollen etwa auch kommerzielle Filmaufnahmen ermöglicht werden. Abgesehen vom Kernbereich der Privatsphäre (§ 31 Abs. 4 Z 1) soll auch ein unverhältnismäßiger Eingriff in deren Vorfeld unzulässig sein. Zu denken ist hier etwa an die Kontrolle von Zugängen zu Räumlichkeiten, in denen typischerweise höchstpersönliche Verhaltensweisen verwirklicht werden (zB medizinische Einrichtungen, Sakralräume, Hygieneräume). Erweisen sich solche Zutrittskontrollen jedoch im Einzelfall als für die Wahrung überwiegender Interessen als erforderlich und sind sie verhältnismäßig ausgestaltet, liegt kein Fall des § 31 Abs. 4 Z 1 vor.
Der Einsatz von Bildaufnahmen zur Mitarbeiterkontrolle soll weiterhin gänzlich untersagt werden. Die Unzulässigkeit der Auswertung umfasst auch die Durchsuchung von mittels Bildaufnahmen gewonnenen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium.
§ 31 stellt klar, dass die Zulässigkeit der Übermittlung von Bildaufnahmen davon abhängig gemacht wird, dass erstens die Daten zulässigerweise nach § 30 ermittelt worden sind und zweitens einer der Fälle des § 30 Abs. 2 vorliegen muss. Der Umfang der zu übermittelnden Daten ist im Einzelfall anhand der Verhältnismäßigkeit zu beurteilen. Das Übermitteln iSd § 31 soll insbesondere die Veröffentlichung von Aufnahmen oder die Zugänglichmachung mittels eines Dienstes der Informationsgesellschaft (zB in sozialen Netzwerken im Internet) umfassen. Diesfalls ist im Einzelfall die Zulässigkeit einer solchen Übermittlung (zB Daten nach § 30 Abs. 3 Z 3) anhand der Kriterien des § 30 Abs. 2 Z 2 und 4 zu beurteilen bzw. die Erforderlichkeit von Maßnahmen zum Ausschluss der Identifizierbarkeit der betroffenen Personen mit anderen Mitteln (zB „Verpixeln“) abzuwägen. In diesem Zusammenhang ist bei der Abwägung das Prinzip „Privacy by design“ zu berücksichtigen.
Im Wege einer Bildaufnahme ermittelte personenbezogene Daten dürfen im Rahmen der Vorgaben des § 31 auch an eine zuständige Behörde oder das zuständige Gericht übermittelt werden, wenn beim Verantwortlichen der begründete Verdacht entstanden ist, die personenbezogenen Daten könnten eine von Amts wegen zu verfolgende gerichtlich strafbare Handlung dokumentieren, oder an Sicherheitsbehörden zur Ausübung der diesen durch § 53 Abs. 5 des Sicherheitspolizeigesetzes – SPG, BGBl. Nr. 566/1991, eingeräumten Befugnisse. Die Befugnisse von Behörden und Gerichten zur Durchsetzung der Herausgabe von Beweismaterial und zur Beweismittelsicherung sowie damit korrespondierende Verpflichtungen des Verantwortlichen bleiben unberührt. Eine zuständige Behörde kann insbesondere die Staatsanwaltschaft, die Finanzmarktaufsicht oder die Datenschutzbehörde sein.
Die Protokollierungspflicht soll wie bisher beibehalten werden und um besondere Datensicherheitsmaßnahmen ergänzt werden. Im Rahmen einer flexibleren Regelung soll sich die Löschungspflicht am jeweiligen Zweck der Bildaufnahme orientieren. Gleichzeitig soll klar zu Ausdruck gebracht werden, dass eine länger als 72 Stunden dauernde Speicherung nicht generell zulässig ist. Beibehalten werden soll grundsätzlich auch die Kennzeichnungspflicht von Bildaufnahmen.
Entfallen soll die bisher bestehende Möglichkeit der Hinterlegung eines Schlüssels bei der Datenschutzbehörde. Nachdem es sich nach den geltenden allgemeinen Datensicherheitsmaßnahmen richtet, ob Bildaufnahmen verschlüsselt werden müssen (und der Schlüssel dann vom Verantwortlichen entsprechend sicher verwahrt werden muss), scheint eine gesonderte Regelung im Abschnitt für die Bildaufnahme nicht erforderlich. Auch gibt es Videoanwendungen, die vergleichsweise geringe Eingriffe nach sich ziehen (zB das Filmen einer Skiabfahrt mit einer Action-Cam), und deshalb mit entsprechend geringeren Datensicherheitsmaßnahmen betrieben werden können, hingegen werden Videoanwendungen, auf denen auch besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) erkannt werden können (zB Videoaufnahmen eines Krankenhauseinganges) höhere Datensicherheitsmaßnahmen und eine Verschlüsselung erfordern.
Ebenfalls entfallen soll die allgemeine Regelung der Auskunft der betroffenen Person. Diese soll sich nach den allgemeinen Regelungen der DSGVO richten. Werden aber entgegen der Vorgaben für die Kennzeichnung gemäß § 33 Abs. 1 keine ausreichenden Informationen bereitgestellt, kann jede von einer Verarbeitung potenziell betroffene Person vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer bezüglichen Auskunft ist einer Verweigerung der Auskunft nach Art. 15 DSGVO gleichzuhalten.
Derzeit sind keine Fragestellungen zu diesem Paragraphen vorhanden.
- Nummer: 33
- Bezeichnung: Befugnisse der Datenschutzbehörde
- Hauptstück: 2. Hauptstück. Organe
- Abschnitt: 4. Abschnitt. Aufsichtsbehörde nach der Richtlinie (EU) 2016/680
- Fragestellungen:
- Paragraph unverändert
- Letzte Änderung: 3. 11. 2017 durch Admin (ID: 365, Revision 989)