Aller Harmonisierung in Europa zum Trotz gibt es zwischen den Mitgliedstaaten teilweise große Unterschiede im Datenschutz. In Österreich unterliegen bestimmte Datenanwendungen der Meldepflicht. Hinzu kommt, dass einige der meldepflichtigen Datenanwendungen in Österreich der Vorabkontrolle unterliegen.
Der Inhalt im Überblick
Meldepflichtige Datenanwendungen in Österreich
In Österreich gilt für Datenanwendungen der Grundsatz der Meldepflicht. Dabei handelt es sich bereits aus praktischen Gründen freilich um einen Grundsatz mit zahlreichen (in § 17 Abs. 2 und 3 DSG 2000) geregelten Ausnahmen.
Die praktisch wichtigste Ausnahme von der Meldepflicht sind die Datenanwendungen, die unter die der Standard- und Musterverordnung festgelegten Standardanwendungen fallen. Beispielhaft zählen hierzu:
- Rechnungswesen und Logistik,
- Personalverwaltung,
- Kundenbetreuung und
- Marketing für eigene Zwecke.
Für den Fall dass die sorgfältige Prüfung ergibt, dass keine Ausnahme greift, muss die Datenanwendung bei der Datenschutzbehörde in Österreich gemeldet werden.
Meldepflicht
Mit der Aufnahme einer Datenanwendung darf in erst nach dessen ordnungsgemäßer Registrierung begonnen werden. Demzufolge muss die Datenanwendung bei der österreichischen Datenschutzbehörde zur Eintragung in das Datenverarbeitungsregister gemeldet werden.
Anforderungen an das Melde- bzw. Registrierungsverfahren
Die an das Melde- bzw. Registrierungsverfahren zu stellenden Anforderungen ergeben sich im Wesentlichen aus §§ 16 ff. des Datenschutzgesetzes (DSG) 2000:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597
sowie aus der Datenverarbeitungsregisterverordnung (DVRV) 2012.
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20007925
Die Meldung erfolgt elektronisch auf dem Portal „DVR-Online“ der österreichischen Datenschutzbehörde, das unter
https://www.dsb.gv.at/site/7749/default.aspx
auch die für die Meldung notwendigen Informationen bereithält.
Wichtige Punkte beim Verfahren der Registrierung in Österreich
In Bezug das Verfahren der Registrierung in Österreich sind insbesondere folgende, nicht abschließende Punkte zu beachten:
- Dem Unternehmen („Auftraggeber“) wird bei der erstmaligen Anmeldung einer Datenanwendung von der Aufsichtsbehörde eine DVR-Nummer zugeteilt.
- Bevor das Unternehmen in den Eingabemasken von DVR-Online Angaben zu der meldepflichtigen Datenanwendung vornehmen kann, muss es sich bei der Anmeldung identifizieren und authentifizieren.
- Um zu vermeiden dass die Aufsichtsbehörde die Registrierung der Datenanwendung ablehnt oder nur unter Auflagen erlaubt, sollte die Angabe des meldepflichtigen Inhalts mit hoher Sorgfalt vorgenommen werden.
- Die meldepflichtigen Inhalte in Bezug auf das DVR-Online-Formular ergeben sich aus der Anlage 2 zu § 9 DVRV.
Über die davor genannten Inhalte hinaus sind die „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ (Anlage 4 zur DVRV) meldepflichtig.
Eintragung in das Register
Eine Eintragung in das Register erfolgt, wenn die Datenschutzbehörde zwei Monate nach Meldung untätig geblieben ist. Erst dann kann die Datenanwendung aufgenommen werden.
Vorabkontrolle in Österreich
Beachte! Mit der Aufnahme der Datenanwendung darf unmittelbar nach ordnungsgemäßer Meldung nur begonnen werden, wenn die Datenanwendung nicht der Vorabkontrolle durch die Datenschutzbehörde unterliegt. Die spezifischen Voraussetzungen der Vorabkontrolle ergeben sich aus § 18 Abs. 2 DSG 2000.
Fragen zum österreichischen Datenschutz?
Der österreichische Datenschutz ist komplex und kann im Einzelfall Fragen aufwerfen, die Sie mit Ihrem Datenschutzbeauftragten klären sollten.
Die Datenschutzkommission (DSK) gibt es seit 1. Jänner 2014 nicht mehr. Zuständig ist nunmehr die Datenschutzbehörde (DSB).
Vielen Dank für den Hinweis. Da haben Sie natürlich vollkommen recht. Wir haben den Artikel entsprechend angepasst.
Gibt es zu diesem Artikel nach der Einführung der EU DSGVO eine Aktualisierung zum Datenschutzrecht in Österreich? Wie sieht die Lage nun in Österreich aus? Überblick? Meldung der Verfahren sind m.E. nicht mehr notwendig? Meldung des DSB bei der Behörde erforderlich?
Zu Ihren Fragen möchten wir das Folgende sagen: Eine Meldung des DSB bei der Behörde ist nach § 57 Abs. 4 DSG erforderlich. Eine Meldung der Verfahrensbeschreibungen bei der österreichischen Aufsichtsbehörde sieht das österreichische Datenschutzrecht nach unserem Kenntnisstand nicht vor. Eine konkrete Rechtsberatung ist uns im Rahmen dieses Blogs nicht möglich. Weitergehende Informationen zum Datenschutzrecht in Österreich finden Sie beispielsweise im Rechtsinformationssystem des österreichischen Bundes.