Jusletter IT

Zustimmung der Betroffenen als Rechtfertigungsgrund für die Verwendung strafrechtlich relevanter Daten

  • Author: Gernot Fritz
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Collection: Tagungsband-IRIS-2013
  • Citation: Gernot Fritz, Zustimmung der Betroffenen als Rechtfertigungsgrund für die Verwendung strafrechtlich relevanter Daten, in: Jusletter IT 20 February 2013
Der vorliegende Beitrag beschäftigt sich mit Rechtsfragen der Zulässigkeit und Ausgestaltung der Zustimmung als Rechtfertigungsgrund zur Verwendung strafrechtlich relevanter Daten nach österreichischem Datenschutzrecht. Weiters wird – gleichsam als Vorfrage – das Begriffsverständnis der strafrechtlich relevanten Daten beleuchtet. Abschließend widmet sich der Beitrag einigen praktischen Problemen bei der Zustimmung als Rechtfertigungsgrund für die Verwendung strafrechtlich relevanter Daten.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Strafrechtlich relevante Daten im österreichischen Datenschutzrecht
  • 2.1. Fehlen der Zustimmung in der Aufzählung der möglichen Rechtfertigungsgründe
  • 2.2. Begriff der strafrechtlich relevanten Daten
  • 3. Zustimmung bei strafrechtlich relevanten Daten
  • 3.1. Kein expliziter Rechtfertigungsgrund der Zustimmung
  • 3.2. Implizite Möglichkeit aus dem Rechtfertigungsgrund des § 8 Abs 4 Z 3 DSG?
  • 3.3. Vorliegen einer planwidrigen Lücke und Analogieschluss?
  • 3.4. Rückgriff auf verfassungsrechtliche Zustimmung im Grundrecht auf Datenschutz?
  • 3.5. Zwischenergebnis
  • 4. Form der Zustimmung
  • 5. Praktische Probleme der datenschutzrechtlichen Zustimmung
  • 6. Fazit

1.

Einleitung ^

[1]

Bei Verwendung1 strafrechtlich relevanter Daten durch Auftraggeber des privaten Bereichs2, etwa in Zusammenhang mit Whistleblowing-Hotlines3 oder im Rahmen einer unternehmensinternen Untersuchung4, um Verdachtsfälle auf Straftaten im Unternehmen zu entkräften oder zu erhärten, wird neben dem überwiegenden berechtigten Interesse des Auftraggebers oft auch die Zustimmung der Betroffenen – im Fall der unternehmensinternen Untersuchung etwa die der Arbeitnehmer – als datenschutzrechtlicher Rechtfertigungsgrund avisiert.

2.

Strafrechtlich relevante Daten im österreichischen Datenschutzrecht ^

2.1.

Fehlen der Zustimmung in der Aufzählung der möglichen Rechtfertigungsgründe ^

[2]

Das österreichische Datenschutzgesetz 2000 (DSG) normiert in § 8 Rechtfertigungsgründe für die Verwendung personenbezogener Daten und in § 9 Rechtfertigungsgründe für die Verwendung sensibler Daten i.S.d. § 4 Z 2 DSG. Ein Unterschied in der Aufzählung der Rechtfertigungsgründe besteht darin, dass § 8 DSG eine demonstrative Aufzählung darstellt, wohingegen § 9 DSG die möglichen Rechtfertigungsgründe taxativ aufzählt.

[3]

Weiters finden sich in § 8 Abs 4 DSG Rechtfertigungsgründe für die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare5 Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen (strafrechtlich relevante Daten). Diese Aufzählung ist dem eindeutigen Wortlaut entsprechend6 abschließend. Bemerkenswert ist, dass die datenschutzrechtliche Zustimmung darin als möglicher Rechtfertigungsgrund für die Verwendung strafrechtlich relevanter Daten nicht aufscheint.

2.2.

Begriff der strafrechtlich relevanten Daten ^

[4]

Der Begriff der strafrechtlich relevanten Daten beruht auf Art 8 Abs 5 der Richtlinie 95/46/EG (Datenschutzrichtlinie – DSRL)7, diese stellen eine eigenständige Datenkategorie dar8, wobei den Staaten bei der Umsetzung ein Gestaltungsspielraum geblieben ist.9 Unter diese Datenkategorie fallen alle Angaben, mit denen eine Person als Täter einer Straftat bezeichnet wird.10 Weiters sind nach dem Zweck des Art 8 Abs 5 DSRL auch Angaben davon umfasst, welche eine Person als tatverdächtig bezeichnen, «da mit deren Verarbeitung gleich schwere Risiken verbunden sind».11 Bloße Anschuldigungen fallen nicht in diese Datenkategorie; Ermittlungen, die dem Zweck dienen, den Verdacht gegen eine bestimmte Person zu begründen, jedoch sehr wohl.12 Strafrechtlich relevante Daten stehen «auf Grund des besonderen und qualifizierten Missbrauchspotentials»13 «in mancher Beziehung unter erhöhtem Schutz»14 und nehmen somit «eine mittlere Position in der Skala der Schutzwürdigkeit nach dem DSG»15 ein. So unterliegt die Verwendung strafrechtlich relevanter Daten im DSG weiteren besonderen Bestimmungen, wie etwa der Vorabkontrolle nach § 18 Abs 2 Z 2 DSG.

[5]

Fraglich ist, ob für die Begriffsbestimmung der strafrechtlich relevanten Daten lediglich auf die Datenkategorie oder auch auf den Verwendungszusammenhang, welcher sich aus dem Zweck der Datenanwendung ergibt, abzustellen ist. Im Zusammenhang mit sensiblen Daten wird vertreten, dass auf Grund der europarechtlichen Vorgaben von einem abstrakt-objektiven Verständnis des Begriffs der sensiblen Daten auszugehen ist und somit zur Abgrenzung von sensiblen Daten nur auf die Art der Daten und nicht auf die Verwendung der Daten abzustellen ist.16 Diese Ansicht kann m.E. auch durch die objektivierte Festlegung der einzelnen Kategorien von personenbezogenen Daten gestützt werden.17

[6]

Eine solche objektivierte Festlegung einzelner Kategorien besteht bei strafrechtlich relevanten Daten nur bedingt. § 8 Abs 4 DSG zählt zwar auch bestimmte Arten von strafrechtlich relevanten Daten auf, jedoch ist ein abstrakt-objektives Verständnis nur bei einzelnen Kategorien uneingeschränkt möglich, so bei Daten über strafrechtliche Verurteilungen und vorbeugende Maßnahmen. Hingegen muss bei den übrigen Kategorien strafrechtlich relevanter Daten zur Beurteilung, ob strafrechtlich relevante Daten vorliegen, auch der jeweilige Verwendungszusammenhang berücksichtigt werden.18 Als Beispiel sei hier an unternehmensinterne Untersuchungen erinnert, um Verdachtsfälle im Unternehmen zu entkräften oder zu erhärten. Da eine solche Untersuchung zum größten Teil die bereits im Unternehmen vorhandenen Daten umfasst, wäre bei einer abstrakt-objektiven Betrachtung ein Teil des vorhandenen Datenbestandes19 immer als strafrechtlich relevant zu qualifizieren, woraus für die betroffenen Datenanwendungen bereits weit vor Durchführung der internen Untersuchung nach § 18 Abs 2 Z 2 DSG eine Genehmigungspflicht durch die Datenschutzkommission (DSK)20 resultieren würde und zwar auch, wenn das Unternehmen lediglich sogenannte nicht-meldepflichtige Standardanwendungen21 betreibt. Dies würde zu einer (vom Gesetzgeber so nicht beabsichtigten) enormen Ausweitung des Anwendungsbereichs der strafrechtlich relevanten Daten führen.22 Hier ist auch kein Rechtsschutzdefizit ersichtlich, da ohnehin jede Änderung des Verwendungszweckes eine neue Datenanwendung darstellt23 und dementsprechend neu zu melden und gegebenenfalls durch die DSK zu genehmigen ist. Als Zwischenergebnis ist daher festzuhalten, dass für das Vorliegen strafrechtlich relevanter Daten der Verwendungszweck maßgeblich ist24, sofern es sich nicht um Daten über strafrechtliche Verurteilungen und vorbeugende Maßnahmen handelt.

3.

Zustimmung bei strafrechtlich relevanten Daten ^

3.1.

Kein expliziter Rechtfertigungsgrund der Zustimmung ^

[7]

In der Aufzählung der Rechtfertigungsgründe in § 8 Abs 4 DSG fällt auf, dass die Möglichkeit der datenschutzrechtlichen Zustimmung dort nicht aufgeführt ist. Nun ist zu klären, ob datenschutzrechtliche Zustimmung zur Verwendung strafrechtlich relevanter Daten trotz Fehlens einer expliziten Nennung im taxativen Rechtfertigungskatalog des § 8 Abs 4 DSG grundsätzlich möglich ist. Die Position, dass Zustimmung in diesem Kontext kein tauglicher Rechtfertigungsgrund ist, wäre wohl leichter zu vertreten, da sich diese auf den insoweit eindeutigen Wortlaut der Aufzählung in § 8 Abs 4 DSG stützen kann. Jedoch ist – wie im Folgenden auf Grund rechtsdogmatischer Überlegungen gezeigt wird – die Zustimmung zur Verwendung strafrechtlich relevanter Daten als Rechtfertigungsgrund ebenfalls möglich, mehr noch, sie folgt sogar zwingend aus der Konzeption des DSG. Auch die DSK geht – zwar im Kontext des § 46 DSG und ohne jegliche Begründung – jedenfalls davon aus, dass Zustimmung als datenschutzrechtlicher Rechtfertigungsgrund zur Verwendung strafrechtlich relevanter Daten grundsätzlich möglich ist.25

3.2.

Implizite Möglichkeit aus dem Rechtfertigungsgrund des § 8 Abs 4 Z 3 DSG? ^

[8]

Als ersten möglichen Ansatz zur Begründung der Zustimmung als gültigen Rechtfertigungsgrund zur Verwendung strafrechtlich relevanter Daten kann auf den geschriebenen Rechtfertigungsgrund des § 8 Abs 4 Z 3 DSG abgestellt werden. Diese Bestimmung richtet sich ausschließlich an Auftraggeber des privaten Bereichs.26 Nach dieser Bestimmung verstößt eine Datenanwendung nicht gegen schutzwürdige Geheimhaltungsinteressen des Betroffenen, wenn sich die Zulässigkeit der Verwendung dieser Daten entweder aus gesetzlichen Sorgfaltspflichten oder sonstigen, die schutzwürdigen Geheimhaltungsinteressen des Betroffenen überwiegenden berechtigten Interessen des Auftraggebers ergibt. Darüber hinaus muss die Art und Weise, in der die Datenanwendung vorgenommen wird, die Wahrung der Interessen der Betroffenen nach dem DSG gewährleisten. § 8 Abs 4 Z 3 DSG ermöglicht somit die Verwendung strafrechtlich relevanter Daten, wenn sich die Zulässigkeit der Verwendung entweder aus gesetzlichen Sorgfaltspflichten ergibt oder eine durchzuführende Interessenabwägung zu Gunsten des Auftraggebers ausschlägt.27

[9]

Die durchzuführende Interessenabwägung entspricht im Wesentlichen jener, die für personenbezogene Daten in § 8 Abs 1 Z 4 DSG festgelegt ist.28 Als berechtigt ist jedes Interesse anzusehen, das nicht gegen rechtliche Grundsätze, einschließlich des Gebots der Achtung von Treu und Glauben, verstößt.29 Als Beispiel dafür sei im vorliegenden Kontext etwa die Anwerbung für bestimmte berufliche Tätigkeiten genannt, die eine besondere Vertrauenswürdigkeit des Bewerbers und daher den Nachweis seiner Unbescholtenheit fordern.30 Weiters sind jedenfalls berechtigte Interessen von Unternehmen und Privatpersonen anzunehmen, sich vor Straftaten zu schützen und bei erfolgter Schädigung Genugtuung zu suchen.31 Die Interessenposition des Betroffenen ergibt sich unmittelbar aus dem Grundrecht auf Datenschutz.32 Überwiegende berechtigte Interessen müssen aus dem Recht oder der Gesamtrechtsordnung abgeleitet werden können.33 Schließlich sind die Gegeninteressen mit dem ihnen sachlich zukommenden Gewicht zu erfassen und in die Abwägung einzubeziehen.34 In der Literatur werden überwiegende berechtigte Interessen des Auftraggebers im vorliegenden Kontext etwa bei der Einstellung von Sicherheitsbeauftragten, Geheimnisträgern, Bankkassierern oder ähnlichen Positionen bejaht.35

[10]

Nun ist wohl mit guten Gründen argumentierbar, dass das berechtigte Interesse des Auftraggebers bei Zustimmung des Betroffenen zur Verwendung seiner strafrechtlich relevanten Daten das schutzwürdige Geheimhaltungsinteresse des Betroffenen überwiegt. Immerhin hat der Betroffene bei Vorliegen einer gültigen datenschutzrechtlichen Zustimmung im Rahmen seiner Privatautonomie36 und der ihm durch das Grundrecht auf Datenschutz eingeräumten Befugnis, selbst zu entscheiden, wann und innerhalb welcher Grenzen «persönliche Lebenssachverhalte offenbart» werden37, seine ihm verfassungsrechtlich zustehenden schutzwürdigen Geheimhaltungsinteressen den berechtigten Interessen des Auftraggebers untergeordnet. Wesentlich wird hierfür sein, dass die Zustimmung des Betroffenen die Voraussetzungen des § 4 Z 14 DSG erfüllt.

[11]

Jedoch bedeutet ein Hineinlegen des Rechtfertigungsgrundes der datenschutzrechtlichen Zustimmung in den Rechtfertigungsgrund des § 8 Abs 4 Z 3 DSG denklogisch, dass immer – gleichsam als erster Prüfungsschritt – berechtigte Interessen des Auftraggebers vorliegen müssen. Beim Rechtfertigungsgrund der Zustimmung muss hingegen ein berechtigtes Interesse des Auftraggebers nicht zwingend vorhanden sein. Auch die Interessenabwägung kommt beim reinen Rechtfertigungsgrund Zustimmung nicht zur Anwendung.38 Obwohl dieser Ansatz es zwar in einigen Fällen39 schafft, die datenschutzrechtliche Zustimmung über den Umweg des § 8 Abs 4 Z 3 DSG als taugliche Rechtfertigung für die Verwendung strafrechtlich relevanter Daten zu begründen, ist dieser Ansatz mangels Universalität aus eben dargelegten Gründen nicht weiter zu verfolgen.

3.3.

Vorliegen einer planwidrigen Lücke und Analogieschluss? ^

[12]

Da die geschriebenen Rechtfertigungsgründe des § 8 Abs 4 DSG die Möglichkeit der Zustimmung als tauglichen Rechtfertigungsgrund nicht in allen Fällen herzustellen vermögen, stellt sich die Frage der Verfassungsmäßigkeit von § 8 Abs 4 DSG, da ein einfachgesetzlicher Ausschluss der Zustimmung als Rechtfertigungsgrund auf Grund der Bestimmung des § 1 Abs 2 DSG nicht möglich ist.40

[13]

Wie bereits unter Punkt 3.1 ausgeführt, ist nach Judikatur der DSK die Zustimmung der Betroffenen als Rechtfertigungsgrund zur Verwendung strafrechtlich relevanter Daten grundsätzlich möglich. Ebenfalls geht der Gesetzgeber an anderer Stelle selbst davon aus, dass Zustimmung als Rechtfertigungsgrund des Verwendens strafrechtlich relevanter Daten grundsätzlich möglich ist, wenn er in § 151 Abs 4 letzter Satz GewO normiert, dass strafrechtlich relevante Daten durch Adressverlage und Direktmarketingunternehmen für Marketingzwecke nur bei Vorliegen einer ausdrücklichen Zustimmung verwendet werden dürfen. Bei dieser Bestimmung handelt es sich nicht um eine unmittelbare gewerberechtliche Ordnungsvorschrift, sondern um eine lex specialis zum DSG.41 Da dem Gesetzgeber die Erlassung von verfassungswidrigen Gesetzen nicht per se zu unterstellen ist42 – und im Übrigen in Bezug auf die konkrete Bestimmung auch aus den Materialien nicht ersichtlich wäre –, ist von einer planwidrigen Lücke auszugehen, welche mittels Analogieschluss zu schließen ist. Die Möglichkeit des Rechtfertigungsgrundes der Zustimmung zur Verwendung strafrechtlich relevanter Daten besteht demnach als ungeschriebener Rechtfertigungsgrund neben den in § 8 Abs 4 DSG ausdrücklich aufgezählten Rechtfertigungsgründen.

3.4.

Rückgriff auf verfassungsrechtliche Zustimmung im Grundrecht auf Datenschutz? ^

[14]

Vertreten wird – jedoch ohne weitere Begründung –, dass die Zulässigkeit der Verwendung strafrechtlich relevanter Daten aus dem Rechtfertigungsgrund der Zustimmung unmittelbar aus der Verfassungsbestimmung des § 1 Abs 2 DSG abzuleiten ist.43 Festzuhalten ist, dass sich die Zulässigkeit einer Datenanwendung unmittelbar aus § 1 DSG ergeben kann44 und es als verfassungsunmittelbarer Eingriffsermächtigung keiner sonstigen Rechtsgrundlage bedarf, wenn eine Zustimmung des Betroffenen vorliegt.45 Mit der Zustimmung des Betroffen darf daher stets in das Grundrecht nach § 1 DSG eingegriffen werden.46 Somit kann das Verwenden strafrechtlich relevanter Daten unmittelbar auf den Rechtfertigungsgrund des § 1 Abs 2 DSG gestützt werden.

3.5.

Zwischenergebnis ^

[15]

So folgt aus den vorherigen Überlegungen zwingend die Möglichkeit der datenschutzrechtlichen Zustimmung der Betroffenen als ungeschriebener Rechtfertigungsgrund zur Verwendung strafrechtlich relevanter Daten. Ein Fehlen dieses Rechtfertigungsgrundes würde § 8 Abs 4 DSG einen verfassungswidrigen Inhalt unterstellen, der so vom Gesetzgeber nicht gewollt war. Selbst wenn die Ansicht vertreten wird, dass die taxative Aufzählung des § 8 Abs 4 DSG nicht im Wege des Lückenschlusses durch Analogie durch ungeschriebene Rechtfertigungsgründe erweitert werden darf, ändert sich im Ergebnis nichts, da der Rechtfertigungsgrund der Zustimmung zur Verwendung strafrechtlich relevanter Daten auch direkt aus § 1 Abs 2 DSG ableitbar ist.

4.

Form der Zustimmung ^

[16]

Da der Rechtfertigungsgrund der Zustimmung nicht ausdrücklich normiert ist, stellt sich nun die Frage, welche der im DSG verwendeten Zustimmungsformen für die Verwendung strafrechtlich relevanter Daten maßgeblich ist. Das DSG kennt drei Formen der Zustimmung: Die «einfache» Zustimmung in § 8 Abs 1 Z 2 DSG, die Zustimmung ohne jeden Zweifel in § 12 Abs 3 Z 5 DSG und die ausdrückliche Zustimmung in § 9 Z 6 DSG. Dass die verfassungsrechtliche Zustimmung des § 1 Abs 2 DSG nur ausdrücklich erteilt werden kann47, kann im Hinblick auf die Konzeption des DSG nicht aufrecht erhalten werden. Da die einfachgesetzlichen Bestimmungen des DSG das Grundrecht auf Datenschutz näher ausführen48, wäre diesfalls etwa die Zustimmung des § 8 Abs 1 Z 2 DSG (mangels Ausdrücklichkeit) wohl als verfassungswidrig anzusehen.

[17]

Eine einfache Zustimmung kann auf Grund des höheren Schutzniveaus und der expliziten Sonderstellung in § 8 DSG nicht ausreichen. Eine ausdrückliche Zustimmung – wie für sensible Daten vorgesehen – ist hingegen aus systematischen Interpretationsüberlegungen nicht erforderlich.49 Wie schon erwähnt stehen strafrechtlich relevante Daten zwischen «normalen» personenbezogenen Daten und sensiblen Daten. Dies ist auch hinsichtlich der Form der Zustimmung zu berücksichtigen, weshalb vorgeschlagen wird, für strafrechtlich relevante Daten nur eine Zustimmung ohne jeden Zweifel als taugliche Rechtfertigung zuzulassen. Dies unabhängig davon, ob unmittelbar auf die verfassungsrechtliche Zustimmung zurückgegriffen oder die Zustimmung als ungeschriebener Rechtfertigungsgrund mittels Analogie gewonnen wird. Für die Zustimmung ohne jeden Zweifel wird es darauf ankommen, dass die Betroffenen in voller Kenntnis der Tragweite beweisbar zugestimmt haben.50 Darunter können auch konkludente Willenserklärungen fallen, sofern diese zweifelsfrei vorliegen.51

5.

Praktische Probleme der datenschutzrechtlichen Zustimmung ^

[18]

Ein Grund, der für eine Zustimmung spricht, ist die Schaffung von Transparenz für die Betroffenen.52 Bei einer unternehmensinternen Untersuchung jedoch wird etwa eine Zustimmung der betroffenen Mitarbeiter zur Rechtfertigung genau aus diesem Grund wohl nur in Einzelfällen in Betracht kommen, da solche internen Untersuchungen oft unter strengster Geheimhaltung abgewickelt werden, weshalb weder Mitarbeiter noch Vertragspartner über die interne Untersuchung in Kenntnis sind. Weiteres Problem der Zustimmung bei unternehmensinternen Untersuchungen ist die Tatsache, dass von allen Betroffenen Zustimmungserklärungen einzuholen sind. Dies ist bei der Durchsicht der kundenbezogenen E-Mails in der Regel nicht möglich, da sich eine Zustimmung des betroffenen Mitarbeiters nicht auf die personenbezogenen Daten des Kunden als Adressat der E-Mail beziehen kann.53 Leichter ist die Zustimmung als Rechtfertigungsgrund wohl bei rein internen Datenanwendung einzurichten, die bereits auf Zustimmung der Betroffenen basieren und nun auch für strafrechtliche Zwecke – etwa Vorbeugung und Dokumentation von Missbrauchsfällen54 – verwendet werden sollen.

[19]

Selbstverständlich bestehen auch bei der Rechtfertigung der Verwendung strafrechtlich relevanter Daten mit dem Rechtfertigungsgrund der datenschutzrechtlichen Zustimmung dieselben Probleme, welche der datenschutzrechtlichen Zustimmung bei allen Datenarten inhärent sind. So empfiehlt sich zu Beweiszwecken vor dem Hintergrund, dass die Zustimmung ohne jeden Zweifel zu erfolgen hat, noch umso mehr, Zustimmungserklärungen schriftlich einzuholen.55 Weiters stehen gerade bei unternehmensinternen Untersuchungen eingeholte Zustimmungen unter dem Damoklesschwert potentiell erzwungener und somit ungültiger Zustimmungserklärungen im Abhängigkeitsverhältnis.56 Gegen die Zustimmung als Rechtfertigungsgrund ist auch hier der große Verwaltungsaufwand und vor allem die jederzeitige Widerrufbarkeit anzuführen57, dafür die (zumindest temporäre) Rechtssicherheit bei solchen Datenanwendungen, bei denen nicht ganz klar ist, inwiefern diese etwa aufgrund überwiegender berechtigter Interessen durchgeführt werden dürfen.58

6.

Fazit ^

[20]

Für das Vorliegen strafrechtlich relevanter Daten ist der Verwendungszweck maßgeblich, sofern es sich nicht um Daten über strafrechtliche Verurteilungen und vorbeugende Maßnahmen handelt. Wenngleich die Zustimmung nicht als expliziter Rechtfertigungsgrund in § 8 Abs 4 DSG aufgeführt ist, ergibt sich die Zulässigkeit der Zustimmung als ungeschriebener Rechtfertigungsgrund per analogiam durch den Schluss einer sonst verfassungswidrigen Lücke oder durch unmittelbaren Rückgriff auf die verfassungsrechtliche Zustimmung in § 1 Abs 2 DSG. Zu beachten ist, dass die Zustimmung zur Verwendung strafrechtlich relevanter Daten ohne jeden Zweifel vorliegen muss. Bei Wahl der Zustimmung als Rechtfertigungsgrund zur Verwendung strafrechtlich relevanter Daten gilt es, die aus dem Zweck solcher Datenanwendungen entsprechenden Einschränkungen hinsichtlich der tatsächlichen Verwendbarkeit zu beachten.

 

 

Gernot Fritz, Associate, Freshfields Bruckhaus Deringer LLP.

 

Dieser Beitrag gibt ausschließlich die persönliche Meinung des Autors wieder.

 

 

  1. 1 Darunter fällt jede Art der Handhabung von Daten, also sowohl das Verarbeiten als auch das Übermitteln von Daten, vgl. § 4 Z 8 DSG.
  2. 2 Zur Abgrenzung der Auftraggeber des öffentlichen und privaten Bereichs vgl. § 5 DSG.
  3. 3 Dazu etwa Reis, Zur Zulässigkeit von Whistleblowing-Hotlines, RdW 2009, 396; Graf/Riesenhuber, Whistleblowing-Hotline, jusIT 2009, 143.
  4. 4 Dazu Burtscher, Datenschutzrechtliche Aspekte bei Internal Investigations, in Kustor (Hrsg.), Unternehmensinterne Untersuchungen (2010) 94ff.
  5. 5 Vom Wortlaut nicht umfasst sind rein disziplinarrechtliche Angelegenheiten, so jedoch Knyrim/Haidinger, Die Zulässigkeit der Bekanntgabe personenbezogener Daten an Untersuchungskommissionen am Beispiel Stadt Wien, ZfV 2005, 694.
  6. 6 Arg. «nur dann nicht» in § 8 Abs 4 DSG; dazu auch Pollirer/Weiss/Knyrim, Datenschutzgesetz 2000 (2010), § 8 DSG Anm. 16; Dohr/Pollirer/Weiss/Knyrim, § 8 DSG Anm. 19; auch wenn die Materialien diese Aufzählung demonstrativ verstanden haben wollen, siehe Jahnel, Datenschutzrecht (2010) Rz. 4/63.
  7. 7 Jahnel, Begriff und Arten von personenbezogenen Daten, in Jahnel (Hrsg.), Datenschutzrecht und E-Government (Jahrbuch 2008) 46.
  8. 8 Jahnel, Datenschutzrecht (2010) Rz. 4/4.
  9. 9 Vgl Art 8 Abs 5 DSRL. Ob Österreich die Vorgaben dieser Bestimmung im innerstaatlichen Recht korrekt umgesetzt hat, kann und soll nicht Gegenstand dieses Beitrags sein.
  10. 10 Jahnel, Datenschutzrecht (2010) Rz. 3/98.
  11. 11 Dammann/Simitis, EG-Datenschutzrichtlinie (1997) Art 8 Anm. 23.
  12. 12 AA Jahnel, Datenschutzrecht (2010) Rz. 3/98.
  13. 13 Burtscher, Datenschutzrechtliche Aspekte bei Internal Investigations, in Kustor (Hrsg.), Unternehmensinterne Untersuchungen (2010) 104.
  14. 14 Duschanek, in Korinek/Holoubek, Bundesverfassungsrecht (2005) § 1 DSG Rz. 58; weiters Lehner, Das Datenschutzgesetz 2000, in Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht (2009) 133.
  15. 15 Jahnel, Datenschutzrecht (2010) Rz. 2/10; Jahnel, Das Grundrecht auf Datenschutz nach dem DSG 2000, in Akyürek ua (Hrsg.), FS Schäffer (2006) 318; Jahnel, Begriff und Arten von personenbezogenen Daten, in Jahnel (Hrsg.), Datenschutzrecht und E-Government (Jahrbuch 2008) 47; wobei dies insofern präzisiert wird, als die Schutzwürdigkeit näher an den sensiblen Daten liegen soll, siehe Jahnel, Datensicherheit und Datengeheimnis, in Jahnel/Siegwart/Fercher (Hrsg.), Aktuelle Fragen des Datenschutzrechts (2007) 90f.
  16. 16 Jahnel, Begriff und Arten von personenbezogenen Daten, in Jahnel (Hrsg.), Datenschutzrecht und E-Government (Jahrbuch 2008) 41f. m.w.N.
  17. 17 Vgl. Art 8 Abs 1 DSRL und § 4 Z 2 DSG; zu den einzelnen Kategorien im Detail siehe etwa Jahnel, Begriff und Arten von personenbezogenen Daten, in Jahnel (Hrsg.), Datenschutzrecht und E-Government (Jahrbuch 2008) 42ff.
  18. 18 Dies geht auch aus der Judikatur der DSK hervor, siehe etwa DSK 21.06.2005, K503.425-090/0003-DVR/2005; vgl. dazu auch Jahnel, Datenschutzrecht (2010) Rz. 3/98 m.w.N.
  19. 19 Eben genau der Datenbestand, der der Erhärtung der Verdachtsfälle dient.
  20. 20 Zur Genehmigungspflicht von unternehmensinternen Untersuchungen siehe Burtscher, Datenschutzrechtliche Aspekte bei Internal Investigations, in Kustor (Hrsg.), Unternehmensinterne Untersuchungen (2010) 104f.
  21. 21 Dazu Knyrim, Datenschutzrecht (2012) 29ff.
  22. 22 Ähnlich auch Jahnel, Datenschutzrecht (2010) Rz. 3/98, der jedoch die Ausweitung nicht durch den Verwendungszweck beschränkt, sondern bloße Datenermittlungen, die erst dem Zweck dienen, den Verdacht gegen eine bestimmte Person zu begründen, vom Begriff ausnehmen möchte.
  23. 23 Knyrim, Datenschutzrecht (2012) 76ff.
  24. 24 So wohl auch – leider ohne ausführliche Begründung – Steiner/Andréewitch, Videoüberwachung aus datenschutzrechtlicher Sicht, MR 2006, 80 (82); Lehner, Whistleblowing-Hotlines gemäß SOX, in Jahnel/Siegwart/Fercher (Hrsg.), Aktuelle Fragen des Datenschutzrechts (2007) 180; wobei es hierbei – wie jedoch von Graf/Riesenhuber vertreten – nicht drauf ankommen kann, dass tatsächlich eine strafrechtliche Verfolgung damit in Gang gesetzt wird, vgl. Graf/Riesenhuber, Whistleblowing-Hotline, jusIT 2009, 143 (147).
  25. 25 DSK 16.12.2005, K202.042/0008-DSK/2005.
  26. 26 Jahnel, Datenschutzrecht (2010) Rz. 4/68.
  27. 27 Jahnel, Datenschutzrecht (2010) Rz. 4/68.
  28. 28 Lehner, Das Datenschutzgesetz 2000, in Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht (2009) 134.
  29. 29 Dammann/Simitis, EG-Datenschutzrichtlinie (1997) Art 7 Anm. 12.
  30. 30 Drobesch/Grosinger, Datenschutzgesetz 2000 (2000), § 8 Abs 4 DSG Anm. 2; Jahnel, Datenschutzrecht (2010) Rz. 4/68.
  31. 31 Dammann/Simitis, EG-Datenschutzrichtlinie (1997) Art 8 Anm. 26.
  32. 32 Duschanek, in Korinek/Holoubek, Bundesverfassungsrecht (2005) § 1 DSG Rz. 49.
  33. 33 Dohr/Pollirer/Weiss/Knyrim, § 1 DSG Anm. 13.
  34. 34 Berka, Geheimnisschutz – Datenschutz – Informationsschutz im Lichte der Verfassung, in Studiengesellschaft für Wirtschaft und Recht (Hrsg.), Geheimnisschutz – Informationsschutz – Datenschutz (2008) 64.
  35. 35 Pollirer/Weiss/Knyrim, Datenschutzgesetz 2000 (2010), § 8 DSG Anm. 16; Jahnel, Datenschutzrecht (2010) Rz. 4/68; Dohr/Pollirer/Weiss/Knyrim, § 8 DSG Anm. 19.
  36. 36 Dohr/Pollirer/Weiss/Knyrim, § 4 DSG Anm. 14; Duschanek, in Korinek/Holoubek, Bundesverfassungsrecht (2005) § 1 DSG Rz. 44; Lehner/Lachmayer, Datenschutz im Verfassungsrecht, in Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht (2009) 101.
  37. 37 Berka bezeichnet dies als Paradigma für das Grundrecht auf Datenschutz; siehe Berka, Geheimnisschutz – Datenschutz – Informationsschutz im Lichte der Verfassung, in Studiengesellschaft für Wirtschaft und Recht (Hrsg.), Geheimnisschutz – Informationsschutz – Datenschutz (2008) 61; Kastelitz/Neugebauer als Grundlage für «Selbstdatenschutz», siehe Kastelitz/Neugebauer, Aspekte der datenschutzrechtlichen Zustimmung(sfähigkeit) Minderjähriger, in Jahnel (Hrsg.), Datenschutzrecht und E-Government (Jahrbuch 2011) 75.
  38. 38 Duschanek, in Korinek/Holoubek, Bundesverfassungsrecht (2005) § 1 DSG Rz. 51.
  39. 39 Und zwar bei denen mit berechtigten Interessen des Auftraggebers.
  40. 40 Reimer, Verfassungs- und europarechtliche Überlegungen zur datenschutzrechtlichen Zustimmung, in Jahnel/Siegwart/Fercher (Hrsg.), Aktuelle Fragen des Datenschutzrechts (2007) 190, wenngleich auch etwas missverständlich formuliert als «Rechtsgrundlage» und nicht als «Rechtfertigungsgrund» bezeichnet.
  41. 41 Brandl/Hohensinner, Datenschutzrechtliche Aspekte von Adressverlagen und Direktmarketingunternehmen, ecolex 2005, 135.
  42. 42 So auch im Bereich des Datenschutzes, siehe Lehner, Das Datenschutzgesetz 2000, in Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht (2009) 131.
  43. 43 Drobesch/Grosinger, Datenschutzgesetz 2000 (2000), § 8 Abs 4 DSG Anm. 3; Jahnel, Datenschutzrecht (2010) Rz. 4/65.
  44. 44 Duschanek, in Korinek/Holoubek, Bundesverfassungsrecht (2005) § 1 DSG Rz. 51.
  45. 45 Vgl. IA 515/A BlgNR 22. GP zu den §§ 8, 9, 18, 48a und 52 (abgedruckt in Dohr/Pollirer/Weiss/Knyrim, § 8 DSG); ferner Reimer, Die datenschutzrechtliche Zustimmung (2010) 75. Die Vereinbarkeit einer Datenanwendung mit Zustimmung des Betroffenen wurde schon vor dem DSG 2000 auch ohne ausdrückliche Aufnahme im Grundrecht nie ernstlich in Frage gestellt, siehe Duschanek, Neuerungen und offene Fragen im Datenschutzgesetz 2000, ZfV 2000, 526.
  46. 46 Drobesch/Grosinger, Datenschutzgesetz 2000 (2000), § 1 DSG Anm. 4.
  47. 47 In diese Richtung tendierend Dohr/Pollirer/Weiss/Knyrim, § 1 DSG Anm. 12; für die Möglichkeit konkludenter Zustimmungen nach § 1 Abs 2 DSG siehe jedoch etwa Lehner/Lachmayer, Datenschutz im Verfassungsrecht, in Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht (2009) 104f.
  48. 48 Drobesch/Grosinger, Datenschutzgesetz 2000 (2000), Allgemeiner Teil Anm. 3.
  49. 49 Da ansonsten die strafrechtlich relevanten Daten wohl eher als Sonderregelung in § 9 DSG geregelt worden wären. Dafür, dass ausdrückliche Zustimmung nur bei Verwendung sensibler Daten erforderlich ist, Pollirer/Weiss/Knyrim, Datenschutzgesetz 2000 (2010), § 4 DSG Anm. 14.
  50. 50 Pollirer/Weiss/Knyrim, Datenschutzgesetz 2000 (2010), § 12 DSG Anm. 12; Dohr/Pollirer/Weiss/Knyrim, § 12 DSG Anm. 14.
  51. 51 Duschanek, in Korinek/Holoubek, Bundesverfassungsrecht (2005) § 1 DSG Rz. 47; Drobesch/Grosinger, Datenschutzgesetz 2000 (2000), § 12 Abs 3 DSG Anm. 3; a.A. wohl Dammann/Simitis, EG-Datenschutzrichtlinie (1997) Art 7 Anm. 4; vorsichtig Knyrim, Datenschutzrecht (2012) 117 FN 317.
  52. 52 Knyrim, Datenschutzrecht (2012) 144.
  53. 53 Burtscher, Datenschutzrechtliche Aspekte bei Internal Investigations, in Kustor (Hrsg.), Unternehmensinterne Untersuchungen (2010) 98.
  54. 54 Etwa im Flottenmanagement, siehe Knyrim/Fidesser, Flottenmanagement und Datenschutz, jusIT 2008, 139 (141).
  55. 55 Kastelitz/Neugebauer, Aspekte der datenschutzrechtlichen Zustimmung(sfähigkeit) Minderjähriger, in Jahnel (Hrsg.), Datenschutzrecht und E-Government (Jahrbuch 2011) 77; Pollirer/Weiss/Knyrim, Datenschutzgesetz 2000 (2010), § 9 DSG Anm. 7; Knyrim, Datenschutzrecht (2012) 117; Dohr/Pollirer/Weiss/Knyrim, § 4 DSG Anm. 14.
  56. 56 Reimer, Verfassungs- und europarechtliche Überlegungen zur datenschutzrechtlichen Zustimmung, in Jahnel/Siegwart/Fercher (Hrsg.), Aktuelle Fragen des Datenschutzrechts (2007) 193.
  57. 57 Knyrim, Datenschutzrecht (2012) 144, wobei die jederzeitige Widerrufbarkeit bei befristeten Datenanwendungen – wie unternehmensinterne Untersuchungen – nicht so stark ins Gewicht fallen würde.
  58. 58 Kastelitz/Neugebauer, Aspekte der datenschutzrechtlichen Zustimmung(sfähigkeit) Minderjähriger, in Jahnel (Hrsg.), Datenschutzrecht und E-Government (Jahrbuch 2011) 75; Knyrim, Datenschutzrecht (2012) 145; Reimer, Verfassungs- und europarechtliche Überlegungen zur datenschutzrechtlichen Zustimmung, in Jahnel/Siegwart/Fercher (Hrsg.), Aktuelle Fragen des Datenschutzrechts (2007) 185f.