DSG:§ 50. Protokollierung

Aus Datencockpit
Wechseln zu:Navigation, Suche
Inhaltsverzeichnis

(1)

Jeder Verarbeitungsvorgang ist in geeigneter Weise so zu protokollieren, dass die Zulässigkeit der Verarbeitung nachvollzogen und überprüft werden kann.

(2)

In automatisierten Verarbeitungssystemen sind alle Verarbeitungsvorgänge in automatisierter Form zu protokollieren. Aus diesen Protokolldaten müssen zumindest der Zweck, die verarbeiteten Daten, das Datum und die Uhrzeit der Verarbeitung, die Identifizierung der Person, die die personenbezogenen Daten verarbeitet hat, sowie die Identität eines allfälligen Empfängers solcher personenbezogenen Daten hervorgehen.

(3)

In nicht automatisierten Verarbeitungssystemen sind zumindest Abfragen und Offenlegungen einschließlich Übermittlungen, Veränderungen sowie Löschungen zu protokollieren. Für diese Protokolldaten gilt Abs. 2 zweiter Satz.

(4)

Die Protokolle dürfen ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung einschließlich der Eigenüberwachung, der Gewährleistung von Integrität und Sicherheit der personenbezogenen Daten sowie in gerichtlichen Strafverfahren verwendet werden.

(5)

Der Verantwortliche und der Auftragsverarbeiter haben der Datenschutzbehörde auf deren Verlangen die Protokolle zur Verfügung zu stellen.

Erläuterung zu § 50. Protokollierung

Mit dieser Bestimmung wird Art. 25 der Richtlinie (EU) 2016/680 umgesetzt.

Die Verzeichnisse sind so zu führen, dass eine nachträgliche Überprüfung der Rechtmäßigkeit der Datenverarbeitung möglich ist. Während die Protokollierungspflicht des Art. 25 Abs. 1 der Richtlinie (EU) 2016/680 auf automatisierte Verarbeitungssysteme beschränkt ist, sollen im Rahmen der Umsetzung die nach dem DSG 2000 bestehenden Protokollierungspflichten beibehalten werden; die diesbezüglich bestehenden nationalen Standards können im unionsweiten Vergleich als „best practice“ bezeichnet werden und erzeugen keinen zusätzlichen Aufwand gegenüber der bisherigen Rechtslage, da eine Verpflichtung schon jetzt besteht.

Die Protokollierung in Bezug auf nicht automatisierte Verarbeitungssysteme muss nicht im gleichen Umfang erfolgen wie bei automatisierten Verarbeitungssystemen, da ein automatisches Logging nicht möglich ist. Aus diesem Grund soll für nicht automatisierte Verarbeitungssysteme eine deutlich abgeschwächte – dem § 14 Abs. 2 Z 7 DSG 2000 nachgebildete – Protokollierungspflicht gelten; es muss aber sichergestellt sein, dass der in Abs.1 festgelegte Zweck der Nachvollziehbarkeit und Überprüfbarkeit der Zulässigkeit der Verarbeitung erreicht wird (vgl. auch Erwägungsgrund 56 der Richtlinie (EU) 2016/680: „Der Verantwortliche oder der Auftragsverarbeiter, der personenbezogene Daten in nicht automatisierten Verarbeitungssystemen verarbeitet, sollte über wirksame Methoden zum Nachweis der Rechtmäßigkeit der Verarbeitung, zur Ermöglichung der Eigenüberwachung und zur Sicherstellung der Integrität und Sicherheit der Daten, wie etwa Protokolle oder andere Formen von Verzeichnissen, verfügen.“).

Die Verarbeitung von Protokolldaten ist nur in engen Grenzen zulässig. Insbesondere darf die Möglichkeit, diese für Strafverfolgungszwecke zu verwenden, nicht dazu führen, dass diese Maßnahme zum Schutz betroffener Personen zu einer Überwachungsmaßnahme umfunktioniert wird. Eine Verarbeitung ist jedenfalls nur in Bezug auf konkrete Fälle zulässig. Unter „Eigenüberwachung“ sind beispielsweise interne Disziplinarverfahren zu verstehen (vgl. Erwägungsgrund 57 der Richtlinie (EU) 2016/680); auch hiefür ist eine Verarbeitung nur in Bezug auf einen konkreten Fall zulässig. Nicht vom Begriff der Eigenüberwachung umfasst ist hingegen eine Mitarbeiterkontrolle, insbesondere im Sinne einer Leistungs- oder Fehlerkontrolle, soweit diese nicht zur Überprüfung der Rechtmäßigkeit einer Datenverarbeitung erfolgt.

Die in Abs. 2 bezeichneten Verarbeitungsvorgänge umfassen jedenfalls Erhebungen, Veränderungen, Abfragen, Offenlegungen einschließlich Übermittlungen, Kombinationen und Löschungen von personenbezogenen Daten.

Eine gesetzlich festgelegte feste Löschungsfrist für Protokolldaten erscheint nicht zweckmäßig; vielmehr sollten Protokolldaten – wie auch alle anderen personenbezogenen Daten – nur solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; danach sind die Protokolldaten zu löschen. In jenen Fällen, in denen die Protokolldaten auch Inhaltsdaten enthalten, darf die Aufbewahrung der Protokolldaten nicht zu einer Umgehung der Löschungsverpflichtung des originären Inhaltsdatums führen. Eine längere Aufbewahrungsdauer muss sich aus besonderen gesetzlichen Vorschriften ergeben.

Fragestellungen Fragestellungen: 0

Derzeit sind keine Fragestellungen zu diesem Paragraphen vorhanden.

Diskussionsbeiträge Diskussion

Metadaten Metadaten

  • Nummer: 50
  • Bezeichnung: Protokollierung
  • Hauptstück: 3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
  • Abschnitt: 3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
  • Fragestellungen:
  • Paragraph unverändert
  • Letzte Änderung: 3. 11. 2017 durch Melnicki (ID: 394, Revision 1118)