Fragen und Antworten

Auskunftsersuchen, Beschwerden und andere Eingaben

1. Ersuchen um eine Auskunft

Rechtsgrundlagen: Auskunftspflichtgesetz, Art. 57 Abs. 1 lit e DSGVO, § 32 Abs. 1 Z 3 DSG

Kommunikationswege: Briefpost, E-Mail (keine Telefon-Hotline)

Pflicht der DSB zur Rückmeldung: ja (binnen 8 Wochen)

Formulare: nein

Die Datenschutzbehörde erteilt generelle Auskünfte über das Datenschutzrecht und die Möglichkeiten zur Durchsetzung von Betroffenenrechten. Die Fragen müssen in den gesetzlichen Zuständigkeitsbereich der DSB fallen. Die DSB ist zum Beispiel sicher die falsche Adresse bei technischen Problemen im Internet (typisches Beispiel: "Wie kann ich lästige Spam-E-Mails verhindern?").

Zur Erfüllung der Auskunftspflicht ist die DSB nicht verpflichtet, umfangreiche Recherchen durchzuführen, Informationen bei anderen Behörden zu beschaffen oder Rechtsgutachten zu verfassen. Eine Anfrage bei der DSB ersetzt nicht die Beratung durch einen Rechtsanwalt oder eine andere (spezialisierte) Beratungsstelle.

Die DSB darf keine Fragen beantworten, die eine Entscheidung in einem späteren Beschwerdeverfahren vorwegnehmen könnten (typisches Beispiel: "Mein Nachbar hat eine Videokamera auf unser Grundstück gerichtet; darf er das?").

2. Anregung eines Prüfverfahrens

Rechtsgrundlagen: Art. 57 Abs. 1 lit a DSGVO, Art. 58 Abs. 2 DSGVO

Kommunikationswege: Briefpost, E-Mail

Pflicht der DSB zur Rückmeldung: nein

Formulare: nein

Oft erhält die DSB "Anzeigen" oder "Meldungen", die Missstände (zum Beispiel die nicht der DSGVO entsprechende Gestaltung einer Website oder eine Vernachlässigung von Datensicherheitsmaßnahmen) aufzeigen möchten. Oft ist die Schreiberin oder der Schreiber auch selbst von einer Datenverarbeitung betroffen und möglicherweise in Rechten (Kapitel III DSGVO) verletzt, möchte aber nur als sogenannter Whistleblower der DSB Informationen liefern und keinesfalls als Beschwerdeführer gegen den Verantwortlichen auftreten, zum Beispiel weil es sich bei letzterem um den eigenen Arbeitergeber handelt.

Begründete Fälle werden zum Anlass für amtswegige Prüfverfahren genommen. Der Verfasser der Meldung hat in diesem Fall allerdings keine Parteistellung im Verfahren und kein Recht auf Informationen über den Ausgang der Sache.

Die DSB kann keine Garantie für die Geheimhaltung der Identität der Melderin oder des Melders vor dem Verantwortlichen während des gesamten Verfahrens (einschließlich des Rechtsmittelverfahrens) abgeben, da dafür eine ausdrückliche Rechtsgrundlage fehlt.

3. Erstattung einer Strafanzeige

Rechtsgrundlagen: Art. 57 Abs. 1 lit a DSGVO, Art. 58 Abs. 2 lit i DSGVO

Kommunikationswege: Briefpost, E-Mail

Pflicht der DSB zur Rückmeldung: nein

Formulare: nein

Für die Verfolgung des gerichtlich strafbaren Vergehens der Datenverarbeitung in Gewinn- oder Schädigungsabsicht (§ 63 DSG) sind die Polizei und die Staatsanwaltschaften zuständig.

Übertretungen der DSGVO und des DSG werden, so es sich um Verwaltungsübertretungen handelt (siehe dazu Art. 83 DSGVO und § 62 DSG), im Rahmen eines Verwaltungsstrafverfahrens geahndet.

Der Verfasser einer solchen Anzeige hat keine Parteistellung im Verfahren und kein Recht auf Informationen über das weitere Vorgehen der DSB. Es gibt auch kein Recht einer betroffenen Person auf Verhängung einer Strafe.

Die DSB kann keine Garantie für die Geheimhaltung der Identität der Anzeigerin oder des Anzeigers vor dem Beschuldigten abgeben, da dafür eine Rechtsgrundlage fehlt.

4. Beschwerde an die Datenschutzbehörde

Rechtsgrundlagen: Art. 77 DSGVO, § 24 DSG, § 32 Abs. 1 Z 4 DSG

Kommunikationswege: Briefpost, E-Mail

Pflicht der DSB zur Rückmeldung: ja (binnen 3 Monaten Information über Verfahrensstand, binnen 6 Monaten Entscheidung durch Bescheid)

Formulare: ja (Dokumente, zu "Formulare für Beschwerden" scrollen)

Die Beschwerde, das wichtigste Rechtsschutzinstrument der DSGVO (Art. 77 DSGVO), ist nach ihrer Einordnung im österreichischen Verfahrensrecht ein förmlicher Rechtsschutzantrag. Sie muss daher einige verfahrensgesetzliche Bedingungen erfüllen (§ 24 DSG).

Eine Beschwerde einzubringen bedeutet, dass Sie damit einen Rechtsstreit mit dem bezeichneten Beschwerdegegner beginnen, den die DSB entscheiden muss. Sie müssen den Verantwortlichen oder Auftragsverarbeiter daher so bezeichnen können, dass die DSB ihn identifizieren kann. Beschwerden "gegen Unbekannt" sind nicht zulässig. Das Verfahren ist, anders als vor Gericht, aber grundsätzlich unentgeltlich (keine Gebühren, keine Kostenersatzpflicht).

Die DSB rät dazu, die zur Verfügung stehenden Formulare (siehe Link oben, Format: ausfüllbares PDF) zu verwenden. Diese können auch elektronisch signiert werden.

Bitte beachten Sie dabei, dass es verschiedene Formulare für Beschwerden wegen Verletzung von verschiedenen Rechten gemäß § 1 DSG und Kapitel III DSGVO (allgemeine Datenschutzbeschwerden) und von verschiedenen Rechten gemäß 3. Hauptstück DSG (Datenschutzbeschwerden betreffend Nachrichtendienste, Polizei und Strafjustiz) gibt.

Allgemeine Datenschutzbeschwerden können von Beschwerdeführerinnen und Beschwerdeführern, die in Österreich wohnen oder arbeiten, bei der DSB auch gegen ausländische Beschwerdegegner aus dem privaten Sektor eingebracht werden, wenn diese ihre (Haupt-) Niederlassung in einem anderen Mitgliedstaat der EU (oder des EWR ) haben (Art. 77 Abs. 1 DSGVO) und der Verstoß im Ausland begangen wurde. Bitte beachten Sie, dass die Zusammenarbeit mit anderen Aufsichtsbehörden unter Umständen mehrere Wochen Zeit in Anspruch nimmt und die Datenschutzbehörde keinen Einfluss auf die Arbeitsweise der Partnerbehörde hat. Gegebenenfalls erfolgt eine Abtretung an die zuständige ausländische Partnerbehörde (vor allem, wenn die Beschwerde einen Verantwortlichen/Auftragsverarbeiter betrifft, der über keine Niederlassung in Österreich verfügt); diesfalls wird das Verfahren zur Gänze vor der Partnerbehörde geführt.

Wir bitten Sie allgemein um Folgendes:

Machen Sie vollständige Angaben, insbesondere sind keine anonymen Beschwerden möglich.

Benutzen Sie für Eingaben die deutsche Sprache. Die DSB muss alle Verfahren in dieser verfassungsmäßigen Amtssprache (Art. 8 B-VG) führen. Englisch ist in Österreich keine zulässige Amtssprache, die englische Übersetzung in einigen Formularen dient nur der Erleichterung der internationalen Zusammenarbeit.

Vergessen Sie nicht, Kopien notwendiger Dokumente (zum Beispiel den Nachweis eines Antrags auf Auskunft oder Löschung) mitzuschicken.

Wenn die DSB Ihnen einen Mangelbehebungsauftrag zustellt, beantworten Sie diesen fristgerecht, sonst wird das Verfahren aus Formalgründen beendet (die Beschwerde zurückgewiesen).

Die DSB kann bei exzessiven (daher bei Fällen häufiger Wiederholung) oder offenkundig unbegründeten Eingaben von ihrem Recht Gebrauch machen, die Behandlung der Beschwerde zu verweigern oder dem Beschwerdeführer ausnahmsweise Kosten vorzuschreiben (Art. 57 Abs. 4 DSGVO)

Drohnen

Ein "Drohne" ist ein unbemanntes Luftfahrzeug. Die heutigen Drohnen sind ferngesteuert, und können in Zukunft auch selbstgesteuert sein.

Drohnen können sowohl unter das Datenschutzrecht als auch unter das Luftfahrtgesetz fallen. Beide Rechtsgebiete sind voneinander vollkommen unabhängig.

Drohnen im Datenschutzgesetz

Drohnen sind nur dann datenschutzrechtlich relevant, wenn sie personenbezogene Daten ermitteln. Ein Spielzeug oder Modellflugzeug ohne Kameras oder andere Sensoren fällt nicht unter das Datenschutzrecht. Die üblichste Form der datenschutzrechtlich relevanten Drohne ist ein Fluggerät mit einer eingebauten Kamera, die Bilder aufzeichnet und per Funk an den Piloten übermittelt.

Drohnen sind eine neue Technologie, aber es lässt sich sagen, dass bestehende rechtliche Regeln für Videokameras auf Drohnen anwendbar sind. Danach ist die Videoüberwachung von öffentlichem Grund oder Privatgrund anderer Personen nicht zulässig.

Beachten Sie bitte, dass zivilrechtliche Unterlassungsansprüche bestehen können beziehungsweise die Datenschutzbehörde bei Vorliegen der erforderlichen Voraussetzungen eine Geldbuße gegen Sie verhängen kann.

Drohnen im Luftfahrtrecht

Das Luftfahrtrecht enthält besondere Bestimmungen über Drohnen, die Sie auf der Website der Austro Control einsehen können.

Bitte beachten Sie, dass die luftfahrtrechtliche Verwendung von Drohnen mittlerweile europaweit einheitlich geregelt wurde. Entsprechende (englischsprachige) Informationen finden Sie auf der Drohnen-Website der Europäischen Agentur für Flugsicherheit (EASA).

Weiterführende Informationen

Die Elektronische Gesundheitsakte ("ELGA")?

Information zu ELGA

Die Elektronische Gesundheitsakte ("ELGA") soll elektronische Befunde ("e‑Befunde") und die Medikationsdaten ("e‑Medikation") für Gesundheits­dienste­anbieter bereithalten.

Ich möchte mich von ELGA abmelden

Sie können gegen die Aufnahme Ihrer Daten in ELGA Wider­spruch erheben.

Gemäß § 3 ELGA-Verordnung 2015 (ELGA‑VO 2015), BGBl. II Nr. 106/2015 , ist der Haupt­verband der österreichischen Sozial­versicherungs­träger die Stelle, bei der Widerspruch gegen den ELGA erhoben werden kann (die Wider­spruch­stelle).

Kann ich bei der Datenschutzbehörde Widerspruch gegen die ELGA erheben?

Bitte melden Sie sich von ELGA auf die oben beschriebene Art ab.

Weiterführende Informationen

Geburtsdatum in der Adressierung von Behördenschreiben?

Es werden immer wieder Anfragen und Beschwerden an die Datenschutzbehörde herangetragen, ob der Aufdruck des Geburtsdatums neben dem Namen in der Adressierung eines behördlichen Schreibens zulässig ist.

Mit gewisser Regelmäßigkeit handelt es sich dabei um Schreiben in einer Verwaltungsstrafsache (z.B. wegen einer straßenpolizeilichen Übertretung).

Gemäß Art. 9 Abs. 1 Datenschutz-Grundverordnung) zählt das Geburtsdatum nicht zu den besonderen Kategorien von Daten (früher „sensible Daten“), mag dies persönlich oft auch anders empfunden werden.

Die Datenschutzbehörde geht in ständiger Rechtsprechung davon aus, dass das Geburtsdatum dann der Adressierung eines behördlichen Schreibens beigefügt werden darf, wenn es der Sicherung gegen Verwechslungen des Adressaten oder der Adressatin im Zustellverfahren dient (z.B. wegen möglicher Namensgleichheit eines Elternteils und eines an derselben Adresse wohnhaften Kindes, die die Behörde nicht von vornherein ausschließen kann), und das dadurch gesicherte schutzwürdige Interesse an der Geheimhaltung des Inhalts vor Kenntnisnahme durch Dritte schwerer wiegt als die Offenlegung des nicht-sensiblen Geburtsdatums.

Dies ist etwa gesichert dann der Fall, wenn es um die Zustellung eines Schreibens geht, das unmittelbar an die Adressatin oder den Adressaten gerichtete (verwaltungs-) strafrechtliche Vorwürfe enthält (z.B. bei einer Verwaltungsstrafverfügung gemäß § 48 Abs. 3 des Verwaltungsstrafgesetzes 1991 – VStG oder einer Ladung zur Einvernahme als Beschuldigter im kriminalpolizeilichen Ermittlungsverfahren).

Kein derartiges überwiegendes berechtigtes Interesse liegt z.B. nach der Rechtsprechung dann vor, wenn mit der Briefsendung bloß eine Informationsbroschüre zugestellt worden ist.

Nach der Rechtsprechung der Datenschutzbehörde ist auch der Aufdruck des Geburtsdatums auf einer Anonymverfügung (§ 49a VStG) unzulässig.

Google Street View?

Seit dem 12. Juli 2018 ist der Dienst Google Street View auch in Österreich verfügbar (derzeit in Wien, Graz und Linz).

Die Bilder werden von Google selbst vollautomatisch anonymisiert, aber Fehler sind möglich. Auf jedem Bild befindet sich unten rechts ein Hyperlink „Problem melden“. Damit kann eine unzureichende Anonymisierung eines Gesichts oder Autokennzeichens gerügt werden. Es ist auch möglich, ein Haus unkenntlich machen zu lassen.

Eine Beschwerde wegen Verletzung des Rechts auf Löschung ist möglich, wenn dem Antrag nicht stattgegeben wird. Bitte sichern Sie Ihren Antrag, indem Sie ihn ausdrucken oder ein Bildschirmfoto anfertigen.

GIS-Rundfunkgebühren?

Woher hat die GIS meine Daten?

Unter den Rundfunkgebühren wird ein Bündel gesetzlich geregelter Zahlungspflichten verstanden. Gemeinsames Merkmal ist, dass man durch die Bereithaltung eines Rundfunkempfangsgerätes in Wohn- oder Geschäftsräumen zahlungspflichtig wird.

Die Rundfunkgebühren sind kein vertragliches Abo-Entgelt für den Empfang der Programme des öffentlich-rechtlichen Österreichischen Rundfunks (ORF). Man kann daher den ORF-Empfang auch nicht "kündigen".

Mit der Einhebung der Rundfunkgebühren ist eine Gesellschaft mit beschränkter Haftung betraut, deren Anteile dem ORF und dem Bund vorbehalten sind, die GIS Gebühren Info Service GmbH (kurz 'GIS').

Zur Erfüllung dieser Pflichten, insbesondere zwecks Erfassung aller Rundfunkteilnehmer, ist der GIS per Gesetz ein privilegierter Zugang zu den Daten der Meldebehörden eingeräumt. Sie erhält dazu Daten aus den örtlichen Melderegistern (nicht aus dem zentralen Melderegister). Die Rechtsgrundlage dafür ist § 4 Abs. 3 Rundfunkgebührengesetz, BGBl . I Nr. 159/1999 idgF .:

Einbringung der Gebühren § 4. (1) Die Einbringung der Gebühren und sonstiger damit verbundener Abgaben und Entgelte einschließlich der Entscheidung über Befreiungsanträge (§ 3 Abs. 5) obliegt der "GIS Gebühren Info Service GmbH" (Gesellschaft). *(2) Der Gesellschaft obliegt ferner die umfassende Information der Öffentlichkeit über die Gebühren- und Meldepflicht, die Form der Zahlung sowie die laufende Durchführung geeigneter Maßnahmen zur

Erfassung aller Rundfunkteilnehmer.* (3) Die Gesellschaft hat alle Rundfunkteilnehmer zu erfassen. Zu diesem Zweck haben die Meldebehörden auf Verlangen der Gesellschaft dieser Namen (Vor- und Familiennamen), Geschlecht, Geburtsdatum und Unterkünfte der in ihrem Wirkungsbereich gemeldeten Personen in der dem jeweiligen Stand der Technik entsprechenden Form zu übermitteln. Die Gesellschaft darf die übermittelten Daten ausschließlich zum Zweck der Vollziehung dieses Bundesgesetzes verwenden; sie hat dafür Sorge zu tragen, daß die Daten nur im zulässigen Umfang verwendet werden und hat Vorkehrungen gegen Mißbrauch zu treffen. Von den Meldebehörden übermittelte Daten sind längstens mit Ablauf des dem Einlangen folgenden Kalenderjahres zu löschen; nicht zu löschen sind die Daten jener gemeldeten Personen, die trotz Aufforderung die Mitteilung nach § 2 Abs. 5 unterlassen haben. (4) Die Gesellschaft kann sich zur Durchführung des Inkassos der Leistungen Dritter bedienen. Das Inkasso kann ohne gesonderte Zustimmung des Rundfunkteilnehmers für höchstens zwei Monate im voraus erfolgen, wobei die Fälligkeit erstmalig am ersten Werktag des Monates der Meldung und danach wiederkehrend jeden ersten Werktag des zweitfolgenden Monates eintritt. (5) Die Gesellschaft kann mit dem Rundfunkteilnehmer Vereinbarungen über die Fälligkeit und die Form der Entrichtung der Rundfunkgebühr treffen, wenn dadurch die Bemessung oder Einhebung der Abgabe vereinfacht wird.

Achtung: Wer trotz Aufforderung durch die GIS keine Erklärung abgibt, ob er an seinem Wohnsitz Rundfunkempfangsanlagen betreibt, dessen Meldedaten dürfen von der GIS auch länger als ein Jahr gespeichert werden. Wer dabei falsche Angaben macht, kann sich strafbar machen.

Löschung aus dem Internet?

Das Löschungsrecht gemäß Art. 17 DSGVO ist grundsätzlich auch auf Seiten im Internet (eigentlich im World Wide Web – WWW) anwendbar.

Besonderheiten:

Bei der Anwendung des Rechts aus Löschung sind folgende Punkte besonders zu beachten:

Ich bin in einer Suchmaschine!

Suchmaschinen finden nur vorhandene Webseiten, ähnlich wie ein Telefonbuch oder Firmen­register. Wenn Sie bei einer Suche mit Google oder einer anderen Suchmaschine personenbezogene Daten über sich selbst finden, wurden diese Daten nicht von der Suchmaschine erzeugt, sondern nur gefunden und für Suchabfragen aufbereitet. Besuchen Sie daher die Original­seite und versuchen Sie zuerst, gegenüber dem Inhaber der Seite (der im Regelfall aus dem Impressum hervorgeht) Ihr Recht auf Löschung geltend zu machen. Eine Beschwerde gegen einen Such­maschinen­betreiber ist möglich (siehe unten), aber die Löschung aus dem Index einer Such­maschine hat keine Auswirkungen auf die Seite, auf der die Daten stehen.

Ist die Information noch vorhanden?

Die Ergebnisse einer Suchmaschine können veraltet sein. Suchmaschinen übernehmen Änderungen auf Websites oft mit einer gewissen zeitlichen Verzögerung. Prüfen Sie daher immer nach, ob die Information noch auf der verlinkten Seite steht.

Suchmaschinen katalogisieren den Inhalt des World Wide Web und legen oft – zwecks Verkürzung des Suchprozesses und als Hilfe bei Ausfällen – Kopien von öffentlich zugänglichen Inhalten an (z.B. der so genannte "Google-Cache"). Diese Zwischen­speicherungen werden in regelmäßigen Abständen überprüft und aktualisiert. Es kann daher sein, dass ein an der Quelle bereits gelöschter Inhalt einer Website noch über eine solche Kopie noch "gefunden" werden kann.

Wenn die Information aus dem Netz entfernt wurde ist es nur eine Frage der Zeit, bis alle Suchmaschinen die veränderte Seite neu indexieren. In einem solchen Fall kann es ratsam sein, erst einmal abzuwarten, bis die Suchmaschine sich selbst korrigiert statt sofort Löschung zu verlangen.

Wie finde ich mich selbst im Internet?

Sie können mit Hilfe einer Suchmaschine nach Ihrem Namen suchen, um festzustellen, ob es Eintragungen über Sie gibt. Bitte beachten Sie dabei folgendes:

Das Internet umfasst Milliarden von Webseiten und auch andere Daten. Es ist daher immer möglich, dass Sie einen "Namenszwilling" im Netz haben. Das gilt auch für Menschen, die immer dachten, ihr Name sei einzigartig! Wenn Sie eine Seite mit Ihrem Namen finden, sollten Sie daher den Inhalt kritisch beurteilen, aber nicht alles im Netz auf sich selbst beziehen. Das Daten­schutz­gesetz schützt Ihre personen­bezogenen Daten, aber gibt Ihnen kein Recht, Daten einer anderen Person löschen zu lassen, die den gleichen Namen trägt.

Suchmaschinen können Suchergebnisse liefern, die zwar mit den Suchbegriffen übereinstimmen, aber vollkommen irrelevant sind. Die Ergebnisse von Internetsuchen müssen daher immer gelesen und interpretiert werden.

Moderne Suchmaschinen liefern auch Seiten mit Begriffen und Namen in abweichenden Schreibweisen. Dies ist eine wertvolle Hilfe bei der Suche, wenn man ein Wort falsch eingetippt hat, aber kann auch zu falschen oder unsinnigen Ergebnissen führen.

Sichern Sie die Seite!

Webseiten können rasch verändert werden oder sich automatisch ändern. Sie sollten daher Ihre Daten auf der Seite und den Zustand der Seite immer dokumentieren wenn Sie rechtliche Schritte erwägen. Drucken Sie die Seite aus oder erstellen Sie Bildschirmfotos ("Screenshots") bevor Sie sich an eine Behörde wenden.

Ist die Datenschutzbehörde zuständig?

Die österreichische Datenschutzbehörde kann derzeit bei Seiten im Ausland nur begrenzt helfen.

Grundsätzlich muss eine Website ein Impressum tragen, mit dessen Hilfe Sie feststellen können, in welchem Land der Inhaber der Seite zu finden ist.

Zur Löschung

Bevor Sie sich an eine Behörde wenden, müssen Sie den Betreiber der Seite selbst um Löschung ersuchen (wie auch bei Löschung aus anderen Datenbanken!). Setzen Sie sich mit dem Betreiber in Verbindung, schildern Sie Ihr Anliegen und verlangen Sie Löschung gemäß Art. 17 DSGVO.

Auf vielen Seiten gibt es eigene Verfahren zur Löschung oder Beschwerde gegen Missbrauch:

Löschungsklage gegen Suchmaschinenbetreiber

Der Europäische Gerichtshof (EuGH) hat am 13. Mai 2014 entschieden, dass der Betreiber der Suchmaschine Google unter bestimmten Umständen Verweise (Hyperlinks) auf personenbezogene Daten aus seinem Index streichen muss (Rechtssache C 131/12).

Das Gericht hat festgestellt, dass Google Inc. der europäischen Daten­schutz­richtlinie 95/46/EG unterliegt. Die Richtlinie wurde von der Datenschutz-Grundverordnung (DSGVO) abgelöst, aber an dieser Einschätzung ändert sich wenig.

Weiters hat das Gericht festgestellt, dass eine Verarbeitung von personenbezogenen Daten in einem Land der EU vorliegt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft betreibt, auch wenn diese Tochtergesellschaft selbst nicht den Suchindex betreut. Damit ist eine Klage gegen den Such­maschinen­betreiber zulässig.

Ein Such­maschinen­betreiber muss Daten löschen, auch wenn deren Veröffentlichung auf einer Internetseite rechtmäßig war.

Das Gericht hat auch ausgesprochen, dass das Recht auf Löschung eingeschränkt werden kann, wenn die betroffene Person im öffentlichen Leben eine Rolle spielt und die Öffentlichkeit ein überwiegendes Interesse hat, Zugang zu der betreffenden Information zu haben.

Bitte beachten Sie, dass trotz dieses Urteils eine allgemeine Aussage über ein Löschungsrecht gegen Such­maschinen­betreiber nicht möglich ist. Eine Beschwerde an die Datenschutzbehörde ist möglich, wenn die Löschung verweigert wird. Bedenken Sie auch, dass jeder Such­maschinen­betreiber einzeln belangt werden müsste, um eine Seite aus seinem Suchindex zu entfernen. Angesichts der Marktanteile der Such­maschinen müsste man immer zwei bis vier Such­maschinen­betreiber auf Löschung belangen, damit eine Seite nicht oder nur noch schwer auffindbar ist. Eine Beschwerde gegen den Inhaber der Original­seite ist daher die optimale Lösung.

Google Inc. bietet eine besondere Seite für derartige Löschersuchen:

Antrag auf Entfernung aus den Suchergebnissen gemäß Europäischem Datenschutzrecht

Microsoft Inc. bietet ebenfalls eine Seite für Löschersuchen:

Antrag zur Sperrung von Bing-Suchergebnissen gemäß der Rechtsprechung der Europäischen Union

Gläubigerschutz und Kreditauskunfteien

Kreditauskunfteien und Datenverarbeitungen für den Gläubigerschutz sind grundsätzlich zulässig. Die Gewerbeordnung regelt die Auskunfteien über Kreditverhältnisse in § 152 Gewerbeordnung 1994, BGBl. Nr. 194/1994 idgF. Es ist den Banken gestattet, allgemein gehaltene bankübliche Auskünfte über die wirtschaftliche Lage eines Unternehmens zu geben, wenn dieses der Auskunftserteilung nicht ausdrücklich widerspricht (§ 38 Abs. 2 Z 6 Bankwesengesetz – BWG, BGBl. Nr. 532/1993 idgF).

Es gibt mehrere Datenbanken, in denen die Banken Daten über das Zahlungsverhalten und die Bonität der Kunde sammeln. Diese Datenbanken waren vor dem 25. Mai 2018 als „Kleinkreditevidenz (Konsumentenkreditevidenz)“ und „Warnliste der Banken“ beim Datenverarbeitungsregister gemeldet.

Richtigstellung und Löschung

Es ist grundsätzlich möglich, Eintragungen bei Kreditauskunfteien und Banken berichtigen und löschen zu lassen. Bei der Anwendung des Rechts aus Löschung sind folgende Punkte besonders zu beachten:

Es empfiehlt sich, zuerst eine Auskunft zu beschaffen damit genaue Angaben gemacht werden können, was entfernt werden soll. Dazu bietet sich das Recht auf Auskunft (Art. 15 DSGVO) an. Manche Kreditauskunfteien bieten einen eigenen, schnelleren Auskunftsservice.

Unternehmen, die bei einer Kreditauskunftei anfragen, erwarten, dass zumindest ein Basis-Datensatz des zukünftigen Kunden verfügbar ist. Wenn nach einem Antrag auf Löschung alle Daten gelöscht wurden kann dies leicht dazu führen, dass das Unternehmen nicht einmal diese minimale Auskunft erhalten kann und daher den Kunden für fragwürdig hält und ablehnt.

Es kann daher sinnvoll sein, statt dem Recht auf Löschung das Recht auf Richtigstellung geltend zu machen.

Aufgrund einer gesetzlichen Ausnahmeklausel (§ 9 DSG) sind Medienunternehmen (insbesondere Zeitungen, Zeitschriften sowie Fernseh- und Radiosender, jeweils einschließlich ihrer Online-Berichterstattung), Mediendienste (Nachrichtenagenturen) oder ihre Mitarbeiter (Redakteure, freiberufliche Journalisten) im Zusammenhang mit ihrer Berichterstattung von Kapitel II (Grundsätze), mit Ausnahme des Art. 5, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Art. 28, 29 und 32, Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, ausgenommen. Von den Bestimmungen des Datenschutzgesetzes ist in solchen Fällen § 6 (Datengeheimnis) anzuwenden.

Medienunternehmen, Mediendienste und Medienmitarbeiter sind auch nicht verpflichtet, Auskunfts- Löschungs- oder Richtigstellungsverlangen, die sich auf den Inhalt der Berichterstattung beziehen, zu beantworten. Sie sind im gleichen Zusammenhang auch der Datenschutzbehörde keine Rechenschaft schuldig . Entsprechende Eingaben bei der Datenschutzbehörde werden inhaltlich nicht bearbeitet und sind damit zwecklos.

Diese Ausnahmen sollen u.a. das gesetzlich garantierte Redaktionsgeheimnis und die Medienfreiheit schützen.

Wenn Sie sich durch Medienberichterstattung in ihrer Privatsphäre verletzt sehen, sollten Sie dagegen unter Berufung auf die einschlägigen Bestimmungen des Mediengesetzes (gerichtlich) vorgehen.

Außerhalb des Medienprivilegs

Die genannten Ausnahmen gelten nur für die Verwendung von Daten im Zusammenhang mit der Berichterstattung. Andere Tätigkeiten, die von Medienvertretern oder von sonstigen Bediensteten von Medienunternehmen ausgeübt werden, fallen nicht unter das Privileg des § 9 DSG, also z.B. Werbung und Vertrieb von Medienprodukten.

Rechtsauskunft?

Die Daten­schutz­behörde erteilt den Parteien inhaltliche Auskünfte zu Ihren anhängigen Verfahren vor der Daten­schutz­behörde.

Es ist möglich, die Daten­schutz­behörde um eine allgemeine Rechtsauskunft zu ersuchen. Bitte richten Sie Ihre Frage schriftlich an die Behörde.

Die Datenschutzbehörde ist gemäß Art. 57 Abs. 1 lit. e DSGVO verpflichtet, auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen. Diese Unterstützung ist aber nicht geeignet, einen Anwalt zu ersetzen und darf auch nicht das Ergebnis eines Verfahrens vorwegnehmen.

Es wird daher um Verständnis ersucht, dass im Rahmen einer schriftlichen Anfrage keine rechtlichen Beurteilungen zur Anwendung und Auslegung rechtlicher Bestimmungen inhaltliche Beratungs-leistungen vorgenommen werden können. Verbindliche Entscheidungen kann es immer nur am Ende eines konkreten Verfahrens geben.

Konsultieren Sie das Informationsangebot auf unserer Website bevor Sie eine Anfrage formulieren.

Unter bestimmten Umständen müssen ein Verantwortlicher und auch ein Auftragsverarbeiter einen Datenschutzbeauftragten bestellen, dessen Aufgabe darin besteht, den Verantwortlichen oder den Auftragsverarbeiter zu beraten, die Einhaltung der Datenschutzvorschriften zu überwachen und mit der Aufsichtsbehörde zusammenzuarbeiten (Art. 37-39 DSGVO).

Der Verantwortliche und der Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, wenn

die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Die Artikel-29-Datenschutzgruppe hat dazu eine Leitlinie verfasst: Leitlinien in Bezug auf Datenschutzbeauftragte. Die Leitlinie ist nicht verbindlich, aber als Hilfsmittel geeignet.

Direktwerbung?

Wer ist verantwortlich?

Bei direkt adressierten Werbesendungen gibt es zwei Fälle:

Eigenwerbung mit Hilfe der Kundendatei: Art. 21 Abs. 3 DSGVO bietet ein Widerspruchsrecht gegen eine Verarbeitung für Zwecke der Direktwerbung. Werbung durch ein Direktmarketingunternehmen: Solche Unternehmen betreiben ein Gewerbe ("Adressverlage und Direktmarketingunternehmen" gemäß § 151 der Gewerbeordnung 1994 – GewO 1994). Sie bieten regelmäßig nicht nur Leistungen bei der Gestaltung, beim Druck und beim Versand von Werbebriefen ("Mailings") an, sondern führen auch eigene Datenanwendungen, in denen die Daten möglicher Werbeadressaten verarbeitet werden, und vermitteln den Austausch von Kundendaten für Werbezwecke zwischen Unternehmen ("Listbroking").

Woher wissen die das?

Sehr häufig wird die Frage gestellt, wie es Direktmarketingunternehmen möglich ist, Werbung zielgenau zu versenden, etwa Werbebriefe, die eine bestimmte Altersgruppe (Jugendliche, Senioren) ansprechen oder – zumindest scheinbar – auf das Einkommen des Adressaten abstellen.

Direktmarketingunternehmen versehen Personendaten manuell und durch automatische Systeme mit "Marketingklassifikationen". Entsprechende Programme können aus statistischen Erfahrungswerten gewisse Wahrscheinlichkeiten errechnen, etwa aus dem Vornamen die Wahrscheinlichkeit, zu einer bestimmten Altersklasse zu gehören, oder aus der Adresse die Wahrscheinlichkeit, zu einer bestimmten Einkommensklasse zu gehören. Aus der Altersklasse lässt sich wiederum die Wahrscheinlichkeit errechnen, zur Zielgruppe für gewisse Gesundheitsprodukte oder medizinische Dienstleistungen zu gehören.

Oft stammen präzise Daten, wie z.B. das Geburtsdatum, auch einfach aus der Kundendatei eines Unternehmens, mit dem Sie in ständiger Geschäftsverbindung stehen.

Bei Listbroking kann es auch sein, dass der Werbende gezielt die Kundendateien von bestimmten Luxus- und Markenartikelhändlern nutzen lässt und seine Marketingbotschaft so an eine bestimmte Käuferschicht richtet.

Was kann man dagegen tun?

Gegen Mailings von inländischen Direktmarketingunternehmen kann man sich auf eine Sperrliste (Robinson-Liste) setzen lassen. (§ 151 Abs. 9 GewO, siehe unten)

Die Eintragung in dieser Sperrliste hilft nicht

gegen Mailings, die von ausländischen Direktmarketingunternehmen versendet werden;

gegen Eigenwerbung von Unternehmen, die sie als Kunden führen,

gegen amtliche Informationen und

gegen politische Werbung.

Die Robinson-Liste wirkt nur gegen persönlich adressierte Werbung, nicht gegen Postwurfsendungen oder Werbezettel an der Haustüre. Dagegen hilft der Aufkleber „Bitte keine unadressierte Werbung“, den Sie bei der Wirtschaftskammer Österreich bestellen können.

Die Robinson-Liste wirkt nicht gegen Werbung per E‑Mail oder Fax. Diese Art von Werbung ist gemäß § 107 Telekommunikationsgesetz 2003 verboten.

Eine vollständige Löschung aus den Datenanwendungen eines Direktmarketingunternehmens (bzw. ein Widerspruch gegen die Datenverwendung) ist ebenfalls möglich. Allerdings kann nicht ausgeschlossen werden, dass das Unternehmen ihre Daten später neuerlich (aus legalen Quellen) ermittelt und verwendet. Einen dauerhaften Ausschluss aus diesem Kreislauf von Datentransfers gewährleistet nur die Aufnahmen in die Sperrliste.

Ihre weiteren Rechte

Direktmarketingunternehmen sind zur datenschutzrechtlichen Auskunftserteilung verpflichtet.

Innerhalb von drei Monaten nach einem Mailing muss ein Direktmarketingunternehmen, auch wenn es die Daten nicht (mehr) selbst verarbeitet (z.B. bei Listbroking), Auskunft über die Herkunft der Daten geben.

Vor der Übermittlung ("Verkauf") an oder der Freigabe einer Kundendatei zum Listbroking durch ein Direktmarketingunternehmen muss ein Unternehmen die Zustimmung der Betroffenen einholen. Meist erfolgt dies schon anlässlich der erstmaligen Erfassung ihrer Kundendaten. Sie haben dann die Möglichkeit, die Zustimmung zu verweigern oder diese später zu widerrufen.

Wie beantworte ich ein Auskunftsersuchen?

Das Auskunftsrecht gemäß Artikel 15 DSGVO ist ein wertfreies Informationsrecht. Es beinhaltet keinen Vorwurf gegen Sie, Ihre Organisation oder Ihre Mitarbeiter und Mitarbeiterinnen. Sie benötigen zur Beantwortung eines Auskunftsersuchens in der Regel keinen Rechtsanwalt.

Wenn ein Ersuchen um Auskunft eintrifft, müssen Sie innerhalb eines Monats reagieren. Sie müssen entweder die gewünschte Auskunft erteilen oder die Gründe angeben, warum keine Auskunft erteilt wird, sowie die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen (Art. 12 Abs. 3 und 4 DSGVO). Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Sie müssen grundsätzlich reagieren, auch wenn Sie der Ansicht sind, dass Sie gar keine Daten über diese Person verarbeiten. Eine Ausnahme besteht nur, wenn Auskunftsersuchen offenkundig unbegründet oder exzessiv sind (insbesondere im Fall von häufiger Wiederholung). Dann können Sie die Auskunft verweigern oder ein angemessenes Entgelt verlangen (Art. 12 Abs. 5 DSGVO). Es ist (noch) unklar, unter welchen ein Auskunftsersuchen als offenkundig unbegründet gewertet werden kann, und es wird daher empfohlen, auch in unklaren Fällen zu antworten.

Wer muss Auskunft erteilen?

Die Pflicht zur Auskunftserteilung trifft den Verantwortlichen, also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Der Identitätsnachweis

Wenn Sie als Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag auf Auskunft stellt, so können Sie zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Im Gegensatz zur bisherigen Rechtslage ist der Identitätsnachweis nicht mehr verpflichtend.

Was ist, wenn ich Betroffene nicht identifizieren kann?

Art. 11 DSGVO enthält Bestimmungen für den Fall, dass die Zwecke, für die personenbezogene Daten verarbeitet werden keine Identifizierung der betroffenen Person erfordert (das kann pseudonymisierte Daten betreffen). Der Verantwortliche ist nicht verpflichtet, zur bloßen Einhaltung der Datenschutz-Grundverordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.

Wenn Sie glaubhaft machen können, dass Sie aus diesem Grund nicht in der Lage sind, die betroffene Person zu identifizieren, kann die Auskunft verweigert werden (Art. 12 Abs. 2 DSGVO).

Kann ich die Auskunft verweigern?

Wenn Auskunftsersuchen offenkundig unbegründet oder exzessiv sind (insbesondere im Fall von häufiger Wiederholung) können Sie die Auskunft verweigern oder ein Entgelt verlangen (Art. 12 Abs. 5 DSGVO). Es ist (noch) unklar, unter welchen Voraussetzungen ein Auskunftsersuchen als offenkundig unbegründet gewertet werden kann, und es wird daher empfohlen, auch in unklaren Fällen zu antworten.

Darüber hinaus kann ich in folgenden Fällen die Auskunft verweigern:

Durch Rechtsvorschriften der Europäischen Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, kann die Auskunftspflicht in einem Gesetz beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt. Beschränkungen sind ua. in Bereichen wie öffentliche Sicherheit, zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen oder zur Durchsetzung zivilrechtlicher Ansprüche zulässig (die vollständige Liste befindet sich in Art. 23 DSGVO).

Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem hoheitlich tätigen Verantwortlichen dann nicht, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird.

Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.

Was ist der Inhalt der Auskunft?

Der Inhalt der Auskunft sind die Daten selbst und folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Das Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

In welcher Form ist die Auskunft zu erteilen?

Die Auskunft ist in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

Kann ich die Daten sofort löschen?

Nein. Das Auskunftsrecht dient zur Information des Betroffenen und enthält grundsätzlich keinen Vorwurf. Es gibt ein Recht auf Löschung (Art. 17 DSGVO), aber ein Ersuchen um Auskunft ist kein Antrag auf Löschung.

Was passiert, wenn ich keine Auskunft gebe oder die Frist überschreite?

Der Betroffene kann sich bei der Datenschutz­behörde beschweren, wenn innerhalb der Frist von einem Monat (verlängerbar um weitere zwei Monate) keine oder eine unzureichende Auskunft erteilt wird.

Erteilen Sie daher bitte die Auskunft auch dann, wenn die Frist bereits abgelaufen ist. Eine verspätete Auskunft ist ein Mangel, der gemäß § 24 Abs. 6 DSG auch im laufenden Verfahren saniert werden kann.

Eine Verletzung im Recht auf Auskunft kann zu einer Geldbuße führen.

Was ist zu tun, wenn das Auskunftsersuchen an die falsche Stelle gerichtet ist?

Es kann vorkommen, dass ein Auskunftsersuchen irrtümlich an die falsche Stelle gerichtet wird. Wenn Sie meinen, dass Sie gar nicht gemeint sein können, sollten Sie trotzdem reagieren und den Einbringer informieren, dass sie keine Daten über ihn haben. Wenn die Frist zur Auskunftserteilung ohne Rückmeldung abläuft, kann der Betroffene Beschwerde an die Datenschutzbehörde erheben.

Wenn Auskunftsersuchen offenkundig unbegründet sind können Sie die Auskunft verweigern oder ein Entgelt verlangen (Art. 12 Abs. 5 DSGVO). Es ist (noch) unklar, unter welchen ein Auskunftsersuchen als offenkundig unbegründet gewertet werden kann, und es wird daher empfohlen, auch in unklaren Fällen zu antworten.

Behörde müssen auch auf § 6 AVG achten.

Videoüberwachung durch Private (einschließlich der Privatwirtschaftsverwaltung der öffentlichen Hand)

Die DSGVO gestattet den Einsatz von Bildverarbeitungsanlagen (Videoüberwachungen) im privaten Bereich innerhalb bestimmter Grenzen.

Dabei ist im Einzelfall zu beurteilen, ob eine Videoüberwachung rechtmäßig ist.

Folgende Gründe können den Einsatz einer Videoüberwachung rechtfertigen:

Schutz des Lebens von Personen

Schutz der Gesundheit und der körperlichen Unversehrtheit von Personen

Schutz des Eigentums (beispielsweise des Eigenheimes)

In allen Fällen sind folgende Parameter heranzuziehen:

die Videoüberwachung erfolgt zeitlich und örtlich nur im unbedingt erforderlichen Ausmaß. Ein Einbeziehen öffentlicher Verkehrsflächen (beispielsweise Gehsteig oder Straße) ist nur dann zulässig, wenn der Schutzzweck der Videoüberwachung sonst nicht erfüllt werden könnte (zum Beispiel Überwachung einer an einen Gehsteig grenzenden Fassade zum Schutz vor Sachbeschädigung im Ausmaß von maximal 50 Zentimeter). Nachbargrundstücke dürfen jedenfalls nicht gefilmt werden

und nur im unbedingt erforderlichen Ausmaß. Ein Einbeziehen öffentlicher Verkehrsflächen (beispielsweise Gehsteig oder Straße) ist nur dann zulässig, wenn der Schutzzweck der Videoüberwachung sonst nicht erfüllt werden könnte (zum Beispiel Überwachung einer an einen Gehsteig grenzenden Fassade zum Schutz vor Sachbeschädigung im Ausmaß von maximal 50 Zentimeter). Nachbargrundstücke dürfen jedenfalls nicht gefilmt werden die Videoüberwachung ist geeignet gekennzeichnet (durch Schilder, Aufkleber und dergleichen)

(durch Schilder, Aufkleber und dergleichen) die Aufnahmen werden in regelmäßigen Abständen überschrieben/gelöscht . Eine Speicherdauer von bis zu 72 Stunden wird von der Datenschutzbehörde jedenfalls als zulässig erachtet

. Eine Speicherdauer von bis zu 72 Stunden wird von der Datenschutzbehörde jedenfalls als zulässig erachtet eine Auswertung der Aufnahmen erfolgt nur im Anlassfall (zum Beispiel um festzustellen, wer eine Beschädigung durchgeführt hat)

andere, gelindere Mittel würden sich als unzureichend erweisen (zum Beispiel Sperrsysteme, Sicherungssysteme und dergleichen)

Als Rechtsgrundlage für Videoüberwachungen im privaten Bereich kommt im Regelfall Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Verantwortlichen), wie er in der Rechtsprechung des EuGH – siehe dazu das Urteil C-708/18 – ausgelegt wird, in Betracht. In bestimmten Fällen kann eine Videoüberwachung auch auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung der betroffenen Personen) gestützt werden.

Urlaubsfotos oder –filme, die nicht auf die identifizierende Erfassung unbeteiligter Personen hinauslaufen, sind zulässig, also auch zum Beispiel Aufnahmen von Skiabfahrten mit einer Helmkamera. Der Betrieb von Kameras an Autos, um Beweise für ein Fehlverhalten anderer Verkehrsteilnehmer (zum Beispiel nach einem Unfall) zu sammeln ("Dashcams"), werden weiter unten behandelt.

Hinweis: In bestimmten Fällen ist vor Inbetriebnahme einer Videoüberwachung keine Datenschutz-Folgenabschätzung notwendig (siehe dazu DSFA-AV); in bestimmten Fällen ist jedoch jedenfalls eine Datenschutz-Folgenabschätzung durchzuführen (siehe dazu DSFA-V).

Bitte beachten Sie:

Die Beurteilung, ob eine Videoüberwachung als zulässig angesehen werden kann, obliegt dem Verantwortlichen. Diese Prüfung muss vor der Inbetriebnahme der Anlage erfolgen. Gleiches gilt für die Frage, ob in einem konkreten Fall eine Datenschutz-Folgenabschätzung durchzuführen ist oder nicht. Die Datenschutzbehörde nimmt jedenfalls keine diesbezüglichen Vorabbeurteilungen vor

der Anlage erfolgen. Gleiches gilt für die Frage, ob in einem konkreten Fall eine Datenschutz-Folgenabschätzung durchzuführen ist oder nicht. Die Datenschutzbehörde nimmt jedenfalls keine diesbezüglichen Vorabbeurteilungen vor Es besteht keine Meldepflicht derartiger Anlagen an die Datenschutzbehörde

Dashcams / Autokameras

Eine "Dashcam" (eine Abkürzung für "Dashboard Camera", also "Armaturenbrett-Kamera") ist eine Videokamera, die im Auto installiert ist und durch die Windschutzscheibe Bilder von der Straße vor dem Auto aufnimmt und aufzeichnet. Zusätzlich können Autokameras aber auch an der Heckscheibe und an Seitenfenstern befestigt sein, um das gesamte Geschehen rund um ein Auto aufzuzeichnen. Eingesetzt werden solche Kameras zumeist zu Beweiszwecken, um im Falle eines Unfalls den Hergang nachvollziehen zu können.

Aufgrund der bisherigen Rechtsprechung der österreichischen und europäischen Höchstgerichte ( vgl. dazu bspw. das Erkenntnis des Verwaltungsgerichtshofes vom 12.09.2016, Ro 2015/04/0011, sowie das Urteil des Europäischen Gerichtshofes vom 11.12.2014, C-212/13) vertritt die Datenschutzbehörde vorläufig die nachstehende Rechtsmeinung:

Im Regelfall werden Dashcams unzulässig sein, weil die meisten gängigen Produkte aufgrund ihrer Konfigurationen (Aufnahmebereich, Speicherdauer) andere Verkehrsteilnehmer in unzulässiger Weise in deren Grundrecht auf Datenschutz beeinträchtigen. Als gänzlich unzulässig können Dashcams aber nicht eingestuft werden.

Die mögliche Zulässigkeit von Dashcams ist eine Entscheidung im Einzelfall. Folgende Parameter können im Einzelfall eine Zulässigkeit indizieren:

Die Datenverarbeitung erfolgt zum ausschließlichen Zweck der Dokumentation eines Unfallherganges (eine Veröffentlichung von Unfallvideos im Internet wäre von diesem Zweck etwa nicht mehr umfasst).

Die Aufnahme des öffentlichen Raumes (= Straße) wird auf das erforderliche Maß beschränkt (der Aufnahmebereich rund um das Kfz wird auf das Nötigste beschränkt. Es erfolgt keine großflächige Überwachung, der Kamerawinkel ist "nach unten" geneigt. Die Kameraauflösung wird so gering wie möglich gewählt, sodass nur ein kleiner Bereich um das Fahrzeug herum deutlich zu sehen ist, weiter entfernte Personen oder Fahrzeuge können nicht mehr identifiziert werden)

wird auf das Nötigste beschränkt. Es erfolgt keine großflächige Überwachung, der Kamerawinkel ist "nach unten" geneigt. Die Kameraauflösung wird so gering wie möglich gewählt, sodass nur ein kleiner Bereich um das Fahrzeug herum deutlich zu sehen ist, weiter entfernte Personen oder Fahrzeuge können nicht mehr identifiziert werden) Im Falle einer Speicherung werden Daten nur im unbedingt erforderlichen zeitlichen Ausmaß gespeichert (zum Beispiel 1 Minute vor dem Unfallgeschehen bis wenige Sekunden nach einem Unfall). Daten werden kontinuierlich überschrieben, soweit es zu keinem Unfall gekommen ist. Auch Unfalldaten dürfen nicht endlos gespeichert werden, sondern nur bis zur Zweckerreichung.

Wenn die dauerhafte Speicherung von Bilddaten (= Stopp des Überschreibungsprozesses) von einer willentlichen Handlung des Verantwortlichen abhängig ist (etwa durch das manuelle Betätigen eines Speicherknopfes oder durch Entfernen einer SD -Karte), wird im Zweifelsfall von einer Unzulässigkeit der Dashcam auszugehen sein. Ein "Missbrauch" der Dashcam für andere Zwecke als zur Dokumentation eines Unfallherganges ist in solchen Fällen nämlich nicht mehr kontrollierbar. Zulässig ist die ausschließlich automatische Speicherung von Bilddaten (= Stopp des Überschreibungsprozesses) durch vordefinierte Impulse (Aufprallsensoren, abrupte Lenk-/Fahr-/Brems-/Beschleunigungsmanöver), ohne Möglichkeit einer manuellen Speicherung durch den Fahrer.

-Karte), wird im Zweifelsfall von einer Unzulässigkeit der auszugehen sein. Ein "Missbrauch" der für andere Zwecke als zur Dokumentation eines Unfallherganges ist in solchen Fällen nämlich nicht mehr kontrollierbar. Zulässig ist die ausschließlich automatische Speicherung von Bilddaten (= Stopp des Überschreibungsprozesses) durch vordefinierte Impulse (Aufprallsensoren, abrupte Lenk-/Fahr-/Brems-/Beschleunigungsmanöver), ohne Möglichkeit einer manuellen Speicherung durch den Fahrer. Gewährleistung von Integrität und Vertraulichkeit durch Einsatz von Verschlüsselungstechniken und Zugriffsbeschränkungen.

Es wird ausdrücklich darauf hingewiesen, dass noch keine gerichtliche Entscheidung in Bezug auf Dashcams und deren Zulässigkeit nach der DSGVO vorliegt!

„Spams“ sind unerbetene Werbe-E-Mails. Manche unerbetenen E-Mail mit Werbung kommen von europäische Unternehmen, aber der Großteil ist international. Es gibt Schätzungen, wonach 50% des weltweiten E-Mail-Verkehrs aus Spams besteht.

Spamming ist in den meisten Ländern grundsätzlich verboten. In Österreich steht das Verbot von unerwünschter E-Mail-Werbung in § 107 Telekommunikationsgesetz 2003. Die zuständigen Behörden sind die Fernmeldebüros.

Es ist theoretisch möglich, sich bei der Datenschutzbehörde wegen Spams zu beschweren, aber die Chancen auf Erfolg sind minimal. Für eine Beschwerde muss der Namen des Beschwerdegegners bekannt sein, was bei Spams selten zutrifft. Weiters haben die meisten Spammer keine Daten außer der E-Mail-Adresse und können daher nicht sagen, woher die Daten stammen. Es muss auch davon ausgegangen werden, dass Spammer unseriös sind, schwer zu identifizieren und unkooperativ.

Beschwerden wegen Verletzung im Recht auf Löschung wegen unerbetener Werbe-E-Mails sind daher nur bei etablierten, seriösen Organisationen sinnvoll, wenn z.B. die Abmeldung von einem Newsletter nicht funktioniert.

Auskunft und andere Rechte

Das Recht auf Auskunft hilft Ihnen, wichtige Informationen zu beschaffen, damit Sie weitere Rechte ausüben können. Die Datenschutz-Grundverordnung bietet Ihnen einige Rechte, zu deren Ausübung Sie gut Bescheid wissen müssen, welche Daten über Sie vorhanden sind, wie das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), und das Widerspruchsrecht (Art. 21 DSGVO).

Bitte verlangen Sie nicht Auskunft und Löschung gleichzeitig! Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten löschen. Eine nachfolgende Kontrolle durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durch.

Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Folgenabschätzung enthält zumindest Folgendes:

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, ist die Datenschutzbehörde zu konsultieren. Die Datenschutzbehörde kann schriftliche Empfehlungen aussprechen.

Wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, können die Verantwortlichen mit österreichischem Recht verpflichtet werden, die Datenschutzbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.

Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist - das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012 - kommt dies hingegen nicht in Betracht. Die Details dazu finden Sie in der Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV),

Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 Abs. 1 DSGVO zutreffen.

Die Datenschutz-Folgenabschätzung-Ausnahmenverordnung enthält auch noch andere Bereiche, für die keine Datenschutz-Folgenabschätzung erforderlich ist.

Die Artikel-29-Datenschutzgruppe hat dazu eine Leitlinie verfasst: Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt". Die Leitlinie ist nicht verbindlich, aber als Hilfsmittel geeignet.

Verschiedene Vorschriften auf allen Ebenen des demokratischen Wahlrechts räumen Parteien das Recht ein, Verzeichnisse der Wahlberechtigten einzusehen, daraus Daten zu kopieren und diese für Zwecke der politischen Werbung zu verarbeiten.

Dabei kann es sich sowohl um auf Dauer angelegte Dateisysteme (insbesondere das als gemeinsame Verarbeitung des Bundesministeriums für Inneres und der Gemeinden geführte Zentrale Wählerregister - ZeWaeR gemäß § 4 Wählerevidenzgesetz 2018) als auch um Verarbeitungen handeln, die aus Anlass und für Zwecke einer bestimmten Wahl oder Abstimmung vorgenommen werden (zum Beispiel die vor einer Nationalratswahl pro Wahlsprengel, Gemeinde oder Bundesland erstellten Wählerverzeichnisse).

Die Europa-Wählerevidenz, die als Grundlage der Wahlen zum Europäischen Parlament dient und daher alle Unionsbürgerinnen und –bürger mit Hauptwohnsitz in Österreich erfasst, wird ebenfalls mit Hilfe des ZeWaeR geführt (§ 1 Europa-Wählerevidenzgesetz).

Grundlage für die Erfassung der Wählerdaten sind die Melderegister (§ 2 Abs. 1 Wählerevidenzgesetz 2018, § 2 Abs. 1 Europa-Wählerevidenzgesetz)

In keinem Fall ist es dabei erlaubt, Daten zur politischen Überzeugung der betroffenen Personen (Wählerinnen und Wähler) zu verarbeiten.

Die Übermittlung von Daten des ZeWaeR an politische Parteien ist in § 4 Abs. 2 Wählerevidenzgesetz 2018 wie folgt geregelt:

"Jeweils zum 10. Februar und zum 10. August sind die in § 1 Abs. 3 angeführten Daten der Wählerevidenzen aller Gemeinden, ausgenommen die bereichsspezifischen Personenkennzeichen, für Zwecke des § 1 Abs. 2 des Parteiengesetzes 2012, BGBl. I Nr. 2012/56, sowie für Zwecke der Statistik auf Antrag unentgeltlich an die zur Vertretung nach außen berufenen Organe der im Nationalrat vertretenen Parteien mittels maschinell lesbarer Datenträger oder im Weg der Datenfernverarbeitung zu übermitteln. […]"

Die im Nationalrat vertretenen Parteien erhalten daher zweimal jährlich die aktuellen Daten (Familiennamen, Vornamen, akademische Grade, Geschlecht, Geburtsdatum, bei Wahlberechtigten mit Hauptwohnsitz im Inland außerdem die Wohnadresse, bei Auslandsösterreicher eventuell die E-Mail-Adresse) aller im ZeWaeR eingetragenen Wählerinnen und Wähler.

Die in allgemeinen Vertretungskörpern (Nationalrat, Landtage, Gemeinderäte) vertretenen politischen Parteien können überdies gemäß § 5 Abs. 2 Wählerevidenzgesetz 2018 jederzeit auf Gemeindeebene die Übermittlung eines Ausdrucks der Wählerevidenz (oder eine Kopie im Format PDF) verlangen.

Andere wahlwerbende Parteien oder Kandidaten haben im zeitlichen Vorfeld bundesweiter Wahlen Anspruch auf Datenübermittlung durch die Gemeinden in Form von Kopien beziehungsweise Ausdrucken der für die entsprechende Wahl erstellten Wählerverzeichnisse (§ 27 Nationalratswahlordnung, § 5 Bundespräsidentenwahlgesetz 1971).

Es handelt sich jeweils um einen gesetzlich ausdrücklich geregelten Zugang zu Wählerdaten (rechtliche Verpflichtung des Verantwortlichen zur Übermittlung). Die entsprechende Datenverarbeitung gemäß Art. 6 Abs. 1 lit c DSGVO bedarf daher keiner Einwilligung der betroffenen Personen. Ein Widerspruch (Art. 21 DSGVO) gegen die Verarbeitung von Daten für Zwecke der Wählerevidenz oder die Geltendmachung des Rechts auf Einschränkung der Verarbeitung (Art. 18 DSGVO) ist gesetzlich ausgeschlossen (§ 4 Abs. 6 Wählerevidenzgesetz 2018)

Die Empfänger der Daten dürfen diese für rechtmäßige politische Werbung (zum Beispiel Werbebriefe, Einladungen zu Veranstaltungen) und statistische Zwecke verarbeiten. Als politische Werbung gilt, was dem Zweck einer politischen Partei ("umfassende Beeinflussung der staatlichen Willensbildung, insbesondere durch die Teilnahme an Wahlen zu allgemeinen Vertretungskörpern und dem Europäischen Parlament", § 1 Abs. 2 Parteiengesetz 2012) förderlich ist.

Jede auf Daten des ZeWaeR aufbauende Datenverarbeitung bedarf gemäß § 4 Abs. 3 Wählerevidenzgesetz 2018 einer ausdrücklichen gesetzlichen Grundlage. Ein Verstoß gegen diese Bestimmung ist strafbar.

Die Empfänger der Daten sind verpflichtet, die betroffenen Personenkreise über die Verarbeitung ihrer Daten zu informieren. Bei politischer Werbung gelten grundsätzlich dieselben Regeln der DSGVO wie für jeden anderen für die Verarbeitung personenbezogener Daten Verantwortlichen.

Die Daten der auf Gemeindeebene geführten Wählerevidenzen (ebenso die der Europa-Wählerevidenzen) sind insoweit öffentlich zugänglich, als gemäß § 5 Abs. 1 Wählerevidenzgesetz 2018 jedermann darin zwecks Kontrolle der Vollständigkeit und Richtigkeit der Daten Einsicht nehmen kann.

Die Wahlordnungen für Länder, Gemeinden, Kammern und Hochschülerschaften enthalten jeweils ähnliche Bestimmungen.

Sind Kamera-Attrappen zulässig?

Eine Attrappe einer Videokamera, also ein Gerät, das nur aussieht wie eine Kamera aber gar keine Daten aufzeichnet, fällt nicht unter das Datenschutzrecht.

Im Fall einer Beschwerde muss der Inhaber der Geräte nachweisen, dass es sich wirklich nur um Attrappen handelt. Die Datenschutzbehörde empfiehlt allen Aufstellern von Attrappen, ein Dokument, aus dem hervorgeht, dass es sich um eine Attrappe handelt, aufzubewahren (z.B. die Rechnung). Damit ist im Fall von Beschwerden bei der Datenschutzbehörde gegen die behauptete Durchführung einer Videoüberwachung eine schnelle Widerlegung des Vorwurfs möglich.

Kamera-Attrappen können aber aus anderen Gründe unzulässig sein. Attrappen zur Abschreckung von Einbrechern oder Vandalen dürfen nur das eigene Grundstück bzw. das eigene Eigentum schützen. Selbst die Schaffung des Eindrucks von Überwachung gegenüber den Nachbarn ist nicht zulässig. Für eine Unterlassungsklage sind ausschließlich die Zivilgerichte zuständig (siehe u. a. das Urteil des Obersten Gerichtshofes Aktenzeichen 6 Ob 6/06k vom 28. März 2007 oder Aktenzeichen 8Ob125/11g; 5Ob69/13b; 8Ob47/14s; 10Ob57/14a; 6Ob231/16p).

Die Datenschutzbehörde kann keiner Beschwerde wegen Beeinträchtigung der Privatsphäre beziehungsweise "Belästigung" durch die Aufstellung von Kameraattrappen nachgehen. Für solche Fälle sind ausschließlich die Zivilgerichte (Unterlassungsklage) zuständig.

Fragen und Antworten zum Coronavirus (COVID-19)

FAQ zum Thema Datenschutz und Coronavirus (COVID-19) (PDF, 518 KB)