Informationen und Handlungshilfen zum grenzüberschreitenden ...

5) Wer ist zuständig?
Die Datenschutzkommission
Jede automationsunterstützte Datenanwendung und jeder Datentransfer muss der Datenschutzkommission
(DSK) gemeldet werden (siehe Kapitel 4.2 und 4.3) - so es sich nicht
um eine so genannte „Standard- oder Musteranwendung“ handelt (siehe Kapitel 4.1). Die
ARGE-Daten, Österreichs erste Ansprechstelle in punkto kritischem Datenschutz, schätzt,
dass dies nur bei 20 % der Anwendungen tatsächlich der Fall ist. 80 % der betrieblichen
Datenverwendungen werden nicht an die Datenschutzkommission
gemeldet!
Aufgaben
Die DSK registriert jede automationsunterstützte Speicherung, Verarbeitung, Verknüpfung,
etc. von Daten im österreichischen Datenverarbeitungsregister (DVR) und vergibt Registrie -
rungs nummern (DVR-Nr.) an die Unternehmen/Vereine/Betriebe. Ist das Land, in das die
Daten übermittelt werden sollen, außerhalb der EU bzw. des EWR (also per EU-Definition
ein Land ohne angemessenes Datenschutzniveau) muss die DSK den Transfer überprüfen
und genehmigen. (Ausnahmen sind Standardvertragsklauseln und Safe- Harbor-Richtlinien,
siehe Kapitel 7.2.1.)
Die DSK hat folgende Möglichkeiten auf Anträge zum Datentransfer zu reagieren:
Antragsmäßige Genehmigung
Genehmigung unter Bedingungen/Auflagen
Teilweise Genehmigung und Abweisung des übrigen Teils
Abweisung des gesamten Antrags
Handlungsmöglichkeiten
Beispiel aus dem öffentlichen Dienst
Die MitarbeiterInnen einer Behörde müssen Arbeitsbeginn und Arbeitsende „zeitnah“,
also möglichst bald, in ein Programm eingeben. Zur „Plausibilitätsprüfung“ wurde
zusätzlich protokolliert, wann die MitarbeiterInnen in das Programm eingestiegen
sind. Protokolle und Eintragungen der MitarbeiterInnen wurden an die Abteilungs -
leiterInnen übermittelt. Die Datenschutzkommission entschied, dass diese Vorgehensweise
ungesetzlich ist. Die Aufzeichnung der Protokolldaten ist zur Dienstaufsicht und
zur Arbeitszeitkontrolle ungeeignet. Ein anderer Verwendungszweck wurde nicht angegeben
und daher sind die Daten gem. § 27 Abs. 1 Z 1 DSG zu löschen.
Beispiel aus der Automobilindustrie
Als Einstellungstest wurden die so genannten „Massachusetts-Tests“ mit ausgeklügelten
psychologischen Bewertungsverfahren eingeführt. Der Einstellungstest ist nach § 96
ArbVG zustimmungspflichtig. Der Betriebsrat regte an, diese Datenerfassung von der
DSK registrieren zu lassen. Die DSK hat die Anwendung des Tests im Bewerbungsverfahren
untersagt.
Die DSK ist im Bundeskanzleramt angesiedelt. Sie hat sowohl Funktionen des Gesetzesvollzugs
als auch der Kontrolle. Somit ist das System der Gewaltentrennung bei der DSK
eher schwach ausgeprägt.
Charakteristika
Im europäischen Vergleich zählt die personelle Ausstattung der österreichischen DSK
2007 zu den Schlusslichtern. Durchschnittlich sind 45 Personen in den europäischen
Datenschutzkontrollstellen angestellt - in Österreich sind es 20. Damit steht Österreich an
22. Stelle der 27 EU-Staaten. Betrachtet man die Sache in Relation zur Zahl der EinwohnerInnen,
rutscht Österreich an die 23. Stelle. Und wenn man sich nur die Staaten mit
vergleichbaren Einwohnerzahlen ansieht (fünf bis zehn Millionen), ist nur mehr Portugal
hinter Österreich, das Platz zehn von elf einnimmt. Die tschechische Republik mit 85 Vollzeitstellen
liegt bei dieser Liste auf Platz eins. Im Vergleich mit 2005 ist Österreich um drei
Plätze nach hinten gewandert. Die österreichische Datenschutzkommission ist
im EU-Vergleich unterbesetzt!
europäischer Vergleich
23