Datenschutzgesetz 2000

Der Umgang mit personenbezogenen Daten ist in Österreich nicht ohne weiteres möglich. Ein rechtlicher Rahmen schafft den Raum für deren Handhabung. 

Das österreichische Datenschutzgesetz (DSG 2000) regelt den Umgang (= jede Art von Verarbeitung, Speicherung, Weiterleitung etc.) mit personenbezogenen Daten, das sind Angaben über Personen, deren Identität bestimmt oder bestimmbar ist. Zu „Personen“ sind auch juristische Personen und Personengemeinschaften zu zählen. 

Bei den Daten wird unter anderem zwischen sensiblen (zum Beispiel Gesundheitsdaten, religiöse oder politische Überzeugung) und nicht-sensiblen Daten (beispielsweise Adressen, Geburtsdatum, Kundendaten) unterschieden. Auch nicht-sensible Daten müssen – wenn auch in geringerem Ausmaß – geschützt werden.

Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke verwendet werden. Die Datenanwendungen, mit denen sie verarbeitet werden, müssen an das Datenverarbeitungsregister (DVR) gemeldet werden; allerdings zählt das DSG 2000 auch eine Reihe von Standardanwendungen auf, für die diese Meldung nicht nötig ist (zum Beispiel Rechnungswesen und Logistik, Kundenbetreuung und Marketing für eigene Zwecke, Personalverwaltung für privatrechtliche Dienstverhältnisse). Den Personen, deren Daten verwendet werden, stehen besondere Rechte (Auskunfts-, Richtigstellungs- und Löschungsrecht) zu.

Zu den wichtigsten Inhalten des DSG 2000 zählt die Festlegung bestimmter Datensicherheitsmaßnahmen: Die Daten müssen vor Zerstörung und Verlust und vor ordnungswidriger oder unrechtmäßiger Verwendung geschützt werden.

Folgende Punkte sind im relevanten Paragraphen (§ 14 DSG 2000) explizit angeführt:

  • die ausdrückliche Festlegung der Aufgabenverteilung zwischen den Mitarbeiterinnen und Mitarbeitern; 
  • die Bindung der Datenverwendung an einen gültigen Auftrag – beispielsweise einer bzw. eines Vorgesetzten;
  • die Information und Schulung der Mitarbeiterinnen und Mitarbeiter über ihre Pflichten nach dem DSG 2000 und internen Datensicherheitsvorschriften;
  • die Regelung der Zutrittsberechtigungen zu Räumen, in denen Daten verarbeitet werden;
  • der Schutz der IT-Systeme und Datenträger vor unbefugten Zugriffen;
  • der Schutz der IT-Systeme vor unbefugter Inbetriebnahme;
  • Die Protokollierung der Datenverwendung;
  • Die Dokumentation der oben angeführten Sicherheitsmaßnahmen in Form eines Datensicherheitshandbuchs.

Aus den Vorschriften des DSG 2000 ergeben sich einige typische Anforderungen für den Umgang mit personenbezogenen Daten:

  • Alle Mitarbeiterinnen/Mitarbeiter müssen in Form einer Geheimhaltungsverpflichtung zum Datengeheimnis verpflichtet werden. 
  • Sie müssen geschult werden, typischerweise in Form von Seminaren oder Richtlinien.
  • Aufgaben und Kompetenzen müssen durch Stellenbeschreibungen, Organisationshandbücher und andere Anweisungen geregelt werden. 
  • Zutritts- und Zugriffsschutzmaßnahmen sowie Protokollierung müssen durch entsprechende, vorwiegend technische Einrichtungen gewährleistet sein.

Obwohl die Sicherheitsmaßnahmen des DSG 2000 an sich nur für die Verwendung personenbezogener Daten gelten, haben sie auch für die Verarbeitung anderer (nicht personenbezogener) Daten Bedeutung erlangt. Sie bilden eine Art Mindeststandard, der auch im Umgang mit Finanzdaten, Geschäftsgeheimnissen o.Ä. nicht unterschritten werden sollte.

Weitere Informationen

> rechtlicher Hinweis

< zurück

Datum der Veröffentlichung: 31.03.2017

Für den Inhalt verantwortlich:
  • Wirtschaftskammer Österreich, Bundessparte Information und Consulting