Das Datenschutzgesetz[93] beinhaltet umfangreiche Bestimmungen, die den Datenschutz in Österreich regeln. Neben diesen allgemeinen Regelungen, bestehen in anderen Gesetzen sektorspezifische Normen (zB der 12. Abschnitt im TKG 2003), die jeweils detailliertere Regelungen für die betreffende Materie enthalten. Auf diese wird in dieser Arbeit ebenfalls eingegangen, sofern sie zur Lösung der aufgeworfenen Probleme von Bedeutung sind.
In diesem Kapitel sollen nicht sämtliche Bestimmungen des DSG erörtert werden, sondern beschränken sich die Ausführungen auf jene Paragraphen, die für diese Arbeit relevant erscheinen.
Nach § 1 Abs 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Das Grundrecht auf Datenschutz wird nicht durch die einfachgesetzlichen Bestimmungen des DSG ausgestaltet. Diese Bestimmungen können jedoch, im Falle der inhaltlichen Kompatibilität, zur Auslegung des Grundrechts herangezogen werden.[94]
Das Grundrecht auf Datenschutz, so wie es im § 1 DSG („jedermann“) verankert ist, ist als Menschenrecht ausgestaltet und verlangt somit nicht, dass der Betroffene die österreichische Staatsbürgerschaft besitzt.[95]
Durch das Grundrecht auf Datenschutz werden jedoch nicht nur natürliche, sondern auch juristische Personen geschützt, wobei es sich um ein höchstpersönliches Recht handelt, sodass dieses nur lebenden Menschen (und auch nur rechtlich existierenden juristischen Personen und Personengemeinschaften, so sind etwa auch firmenbezogene Daten einer GmbH geschützt) zukommt.[96]
Im Grundrecht auf Datenschutz ist ein Anspruch auf Geheimhaltung von personenbezogenen Daten verankert, wobei der Schutz des Betroffenen vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen ist.[97]
Im § 1 Abs 1 DSG werden keine Differenzierungen zwischen automationsunterstützt verarbeiteten Daten und herkömmlich verarbeiteten Daten getroffen, woraus sich ergibt, dass sämtliche Daten dem Grundrecht auf Datenschutz unterliegen. Auch ist die Strukturierung in einer Datei[98] keine Voraussetzung für den Grundrechtsschutz.[99]
Voraussetzung für das Bestehen des Grundrechts auf Datenschutz und auch der Anwendbarkeit des DSG ist das Vorhandensein eines schutzwürdigen Interesses. Grundsätzlich richtet sich die Einstufung, ob es sich um ein solches schutzwürdiges Geheimhaltungsinteresse handelt, nach den Wertvorstellungen der Gesellschaft. Dies vor allem dahingehend nach dem Umstand, wie diese Wertvorstellungen auch in die Rechtsordnung Eingang gefunden haben.[100]
Ein schutzwürdiges Geheimhaltungsinteresse setzt voraus, dass es sich bei den betroffenen Daten um personenbezogene handelt. Diese sind nach § 4 Z 1 DSG „Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist.“ Es handelt sich hierbei um jegliche Angaben zu einer natürlichen oder juristischen Person. Als Beispiele seien, Name, Geburtsdatum, Staatsangehörigkeit, Geschlecht, Familienstand, Bildung, Kreditwürdigkeit aber auch der Vermögensstand genannt.[101] Es gibt aber auch indirekt personenbezogene Daten, bei denen man nur durch rechtlich unzulässige Mittel die Identität des Betroffenen bestimmen kann.
Weiters ist die faktische Möglichkeit der Geheimhaltung bedeutsam. Diese wird etwa dann nicht gegeben sein, wenn die betreffenden Daten allgemein zugänglich sind.[102] Eine allgemeine Verfügbarkeit von Daten ist dann gegeben, wenn diese entweder schon von der Rechtsordnung her öffentlich zugänglich sind, so etwa Daten im Grundbuch oder Firmenbuch, oder auf andere Weise, zB durch Medienberichte oder Telefonbuch, veröffentlicht wurden. Allerdings muss diese Veröffentlichung zulässig sein, andernfalls ja der Grundrechtsschutz durch eine unzulässige Veröffentlichung umgangen werden könnte.[103]
Es ist jedoch möglich, dass die betreffenden personenbezogenen Daten zum Zeitpunkt der Ermittlung allgemein zugänglich waren, dieser Zugang jedoch weggefallen ist und somit das Grundrecht auf Datenschutz wieder auflebt. In diesem Fall hat der Auftraggeber nicht mehr die Berechtigung, diese Daten weiterhin aufzubewahren bzw. weiterzuverwenden.[104]
Festzuhalten ist jedoch, dass „allgemein verfügbar“ nicht zwingend mit „veröffentlicht“ deckungsgleich sein muss. Hierbei wird auf die faktische Unmöglichkeit der Geheimhaltung abgezielt. Sind gewisse Informationen der „Allgemeinheit“ schon bekannt, zB sind diese bereits über die Medien verbreitet worden, kann kein schutzwürdiges Interesse an deren Geheimhaltung mehr angenommen werden.[105]
Das Vorhandensein eines schutzwürdigen Geheimhaltungsinteresses ist jedoch im Einzelfall zu prüfen, wobei diesem Umstand in der Zulässigkeitsprüfung der §§ 6 ff DSG erhöht Rechnung getragen wird.
Besteht nun ein schutzwürdiges Geheimhaltungsinteresse, so kann dieses - wie jedes Grundrecht - nicht absolut gelten, sondern darf durch bestimmte, zulässige Eingriffe beschränkt werden.
Soll der Geheimhaltungsanspruch beschränkt werden, so unterliegen solche Einschränkungen grundsätzlich einem Gesetzesvorbehalt, welcher eine Interessensabwägung voraussetzt.[106] Die Zulässigkeit der Eingriffe in das Grundrecht auf Geheimhaltungsschutz ist in § 1 Abs 2 DSG geregelt.
Nach dieser Bestimmung ist dann ein zulässiger Eingriff in den Geheimhaltungsschutz gegeben, wenn der Betroffene diesem zugestimmt hat. Hier wird anerkannt, dass der Betroffene als Herr seiner Daten selbst entscheiden soll, was mit den ihn betreffenden Daten geschehen soll.[107] Weitere zulässige Eingriffe in den Geheimhaltungsschutz sind bei lebenswichtigen Interessen des Betroffenen (etwa in der Medizin bzw bei medizinischen Notfällen) oder zur Wahrung überwiegender berechtigter Interessen eines anderen gegeben.
Der Begriff eines „anderen“ umfasst jegliche vom Betroffenen verschiedene natürliche oder juristische Person (auch juristische Personen des öffentlichen Rechts; somit auch Selbstverwaltungskörper und Gebietskörperschaften).[108]
Bei Eingriffen aufgrund überwiegender berechtigter Interessen anderer ist zwischen dem Eingriff durch eine staatliche Behörde und dem Eingriff Privater zu unterscheiden. Bei Ersterem bedarf es einer besonderen gesetzlichen Grundlage, die den Voraussetzungen des Art 8 Abs 2 MRK entsprechen muss. Bei zweiterem wird in § 1 Abs 2 DSG nicht gesondert festgelegt, wann diese berechtigten Interessen anderer vorliegen. Hier muss auf die einfachgesetzlichen Regelungen der §§ 6 ff DSG zurückgegriffen werden.[109]
Wird aufgrund von oben genannten Gesetzen in den Geheimnisschutz von sensiblen Daten („besonders schutzwürdige Daten“) eingegriffen, muss dies gemäß § 1 Abs 2 DSG zur Wahrung wichtiger öffentlicher Interessen geschehen, wobei diese Gesetze angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen müssen. Nach § 1 Abs 2 DSG letzter Satz darf aber auch im Falle zulässiger Beschränkung der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Aufgrund dieser Regelung wird der Verhältnismäßigkeitsgrundsatz für das Grundrecht auf Datenschutz verfassungsrechtlich verankert.[110]
In § 1 Abs 3 DSG werden neben dem Grundrecht auf Geheimhaltung weitere subjektive Rechte, die dem Betroffenen bei Verwendung ihn betreffender personenbezogener Daten zustehen, genannt.
Neben das Grundrecht auf Datenschutz treten aufgrund des § 1 Abs 3 DSG die subjektiven Rechte auf Auskunft, auf Richtigstellung unrichtiger Daten und auf Löschung unzulässigerweise verarbeiteter Daten. Diese subjektiven Rechte stehen dem Betroffenen jedoch nur dann zu, wenn bei den Daten ein Personenbezug vorhanden ist, diese automationsunterstützt verarbeitet werden. Dies gilt auch bei einer manuellen Verarbeitung, wenn die Daten in Dateien strukturiert werden.
Das Recht auf Auskunft beinhaltet Auskunft darüber, wer welche Daten über den Betroffenen verarbeitet, woher diese Daten stammen, wozu diese verwendet werden, aber auch an wen diese übermittelt werden.
In § 1 Abs 4 DSG wird klargestellt, dass Beschränkungen der Rechte nach Abs. 3 nur unter den in Abs 2 genannten...