Datenschutz im IT-Bereich für Anwaltskanzleien

Inhaltsverzeichnis

1. Grundlagen und Grundbegriffe
1.1. Rechtsgrundlagen
1.2. Personenbezogene Daten
1.3. Datenschutzrechtliches Verbotsprinzip
1.4. Anwendbares Datenschutzrecht
1.5. Rollenverteilung im Datenschutzrecht für Anwälte
1.5.1. Verarbeitete Datenkategorien
1.5.2. Der Rechtsanwalt als Verantwortlicher
1.5.3. Der Rechtsanwalt als Auftragsverarbeiter?
1.5.4. Der Rechtsanwalt als Betroffener

2. Grundsätze des Datenschutzrechts
2.1. Allgemeines Geltende Rechtslage nach dem DSG 2000
2.2. Rechtslage nach der DS-GVO

3. Datenschutzrechtliche Pflichten des Rechtsanwalts als Verantwortlicher
3.1. Erfüllung der Meldepflicht beim Datenverarbeitungsregister
3.2. Auskunftspflicht gegenüber Betroffenen
3.3. Sonstige wesentliche datenschutzrechtliche Verpflichtungen

4. Ausblick DS-GVO: Die wichtigsten Änderungen für die anwaltliche Datenverarbeitung
4.1. Erhöhte Compliance und drakonische Strafen
4.2. Führung eines Verarbeitungsverzeichnisses
4.3. Datenschutz-Folgenabschätzung
4.4. Erhöhte Informationspflichten gegenüber Mandanten
4.5. Empfiehlt sich ein Datenschutzbeauftragter für die Rechtsanwaltskanzlei
4.5.1. Gesetzliche Grundlagen
4.5.2. Meinungsstand
4.5.3. Eigene Stellungnahme

5. Ausgewähltes Datenschutzrecht im IT-Bereich
5.1. Datenrechtliche Beurteilung von Cookies
5.2. Der Cookie-Paragraf
5.3. Datenschutzrechtliche Aspekte von Google Analytics
5.4. Datenschutzrechtliche Beurteilung von Web-Logs
5.5. Rechtliche Aspekte des E-Mail Marketing

6. Private Videoüberwachung
6.1. Rechtslage nach dem DSG 2000
6.1.1. Allgemeines
6.1.2. Zulässige Zwecke der Videoüberwachung
6.1.3. Nicht meldepflichtige Videoüberwachungen
6.1.4. Meldepflichtige (zulässige) Videoüberwachungen
6.1.5. Sonstige Bestimmungen
6.2. Rechtslage nach dem DSG 2018 (Bildverarbeitung)

7. Zusammenfassung

Spätestens mit Wirksamwerden der Datenschutzgrundverordnung¹ (DS-GVO) ab 25. Mai 2018 ist auch für die anwaltliche Berufsausübung eine „GDPR Compliance“ zu erzielen. Das vorliegende Skriptum gibt - ohne Anspruch auf Vollständigkeit - einen Überblick über den derzeitigen Stand des Datenschutzrechts in Österreich und erläutert die voraussichtlichen Änderungen durch die DS-GVO. Änderungen der Gesetzeslage, Spruchpraxis der Behörden und Gerichte bleiben selbstverständlich vorbehalten.

1. Grundlagen und Grundbegriffe

1.1. Rechtsgrundlagen

Seit 1. Jänner 2000 ist das allgemeine Datenschutzrecht im neuen Datenschutzgesetz 2000 (DSG 2000)² geregelt. Daneben treten besondere Datenschutzbestimmungen, wie etwa im Telekommunikationsgesetz für Provider als Betreiber einer Telekommunikationseinrichtung. Äußerer Anlass für die heutige Gesetzgebung bildete die Umsetzung der EU-Datenschutzrichtlinie(n). Die von den Mitgliedstaaten zur Gewährleistung des Schutzes personenbezogener Daten getroffenen Maßnahmen müssen sowohl mit den Bestimmungen der DS-RL³ als auch mit deren Ziel im Einklang stehen, ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre zu wahren.⁴

Es sind nicht die Daten, die geschützt werden sollen, sondern die Persönlichkeit. Den Menschen ist in der Informationsgesellschaft das Grundrecht auf Privatsphäre zu sichern. Das ist auch das erklärte Ziel der Datenschutzgrundverordnung (DS-GVO), die am 25.5.2018 EU-weit wirksam wird.

Alle datenschutzrechtlichen Regelungen gelten für jede Art von Datenverarbeitung, online ebenso wie offline, ja sogar für manuell geführte Karteien.

EuGH (Lindqvist): Die Handlung, die darin besteht, in einer Website auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, z.B. durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis, ihre Freizeitbeschäftigungen udgl., erkennbar zu machen, stellt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Art 3 Abs 1 der DS-RL dar.⁵

Zum Schutz der Privatsphäre einer natürlichen oder juristischen Person gewährt das Datenschutzrecht vor allem ein Recht auf Geheimhaltung personenbezogener Daten, soweit ein schutzwürdiges Interesse daran besteht.⁶ Dieses Recht kann insbesondere mit Zustimmung des Betroffenen oder zur Wahrung überwiegender berechtigter Interessen eines anderen eingeschränkt werden. Daneben treten die weiteren Rechte auf Auskunft, Richtigstellung und Löschung. Das Grundrecht auf Datenschutz gemäß § 1 DSG 2000 (künftig § 1 DSG⁷ ) bedeutet demzufolge:

- Umfassender Geheimhaltungsanspruch
- Verbotsprinzip (mit Ausnahmen)
- Unmittelbare Wirkung auch gegenüber Privaten

Sowohl die DS-RL, als auch § 7 DSG 2000 und künftig die DS-GVO gehen vom Verbotsprinzip als tragenden Grundsatz des Datenschutzrechts aus. Dazu kommt ein erhöhtes Maß an unternehmerischer Eigenverantwortung im Umgang mit personenbezogenen Daten in Form einer umfassenden Rechenschaftspflicht („privacy accountability“).

Gleiches gilt für den derzeit noch als Vorschlag für eine E-Datenschutz-Verordnung⁸ (ePrivacy-VO; EDS-VO), welche die derzeit gültige EDS-RL 2002/58/EG ablöst. Sie soll ebenfalls mit 25.5.2018 wirksam werden, ist unmittelbar anwendbar und verweist auf zahlreiche Definitionen in anderen Rechtsakten, insbesondere in der DSG-VO und dem Vorschlag für einen neuen EU-Kodex für die elektronische Kommunikation. Dadurch sollen künftig alle Definitionen der DSG-VO auch im Rahmen der EDS-VO gelten.

1.2. Personenbezogene Daten

Das Datenschutzrecht bezieht sich ausschließlich auf die Verarbeitung personenbezogener Daten. Es regelt den Umgang mit diesen „Daten“. Das sind Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Es handelt sich also um Informationen, die eine Person identifizieren können. Darunter fallen auch „indirekt“ personenbezogene Daten, die der konkrete Verwender mit rechtlich zulässigen Mitteln nicht auf eine Person zurückführen kann (möglicherweise aber jemand anderer). Für die Verwendung nur indirekt personenbezogener Daten durch diesen Verwender gelten erleichterte Bestimmungen.

Die DS-GVO erfasst als „personenbezogene Daten“ nach Art 4 Z 1 leg.cit. „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [sog. ‚betroffene Person‘] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung

zu einer Kennung wie einem Namen,

zu einer Kennnummer,

zu Standortdaten,

zu einer Online-Kennung oder

zu einem oder mehreren besonderen Merkmalen, die Ausdruck der

physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen

Identität dieser natürlichen Person sind,

identifiziert werden kann“.

Keine dem DSG/der DS-GVO unterliegende „Daten“ sind anonyme Daten, die niemand auf eine Person zurückführen kann, oder ganz generell Daten ohne Personenbezug.

Besonders schutzwürdig iSv Art 9 DS-GVO werden vom Gesetzgeber Daten von natürlichen Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben erachtet („sensible Daten“).

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln stellt Art 10 DS-GVO jener von sensiblen Daten gleich. § 4 Abs 3 DSG gestattet ebenso wie derzeit § 8 Abs 4 DSG 20000 nicht staatlichen Einrichtungen, also primär Unternehmern aber auch Privatpersonen die Verarbeitung von strafrechtsbezogenen Daten unter Einhaltung der Vorgaben der DSGVO zulässig, wenn

- eine ausdrückliche gesetzliche Ermächtigung/Verpflichtung dazu besteht oder
- sich sonst die Zulässigkeit der Verarbeitung dieser Daten aus gesetzlichen Sorgfaltspflichten ergibt oder
- die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist,

und die Art und Weise, in der die Datenverarbeitung vorgenommen wird, die Wahrung der Interessen der betroffenen Person nach der DSGVO und dem DSG gewährleistet. Bei der Datenverarbeitung im Internet stellt sich an dieser Stelle etwa sie Frage, ob Cookies (vgl. § 96 TKG 2003) personenbezogene Daten darstellen und damit in den Anwendungsbereich des DSG fallen. Dabei ist davon auszugehen, dass Cookies zunächst lediglich einen Bezug zum jeweiligen PC herstellen, also „maschinenbezogene“ Daten sind. Um die Frage beantworten zu können, wird man im Einzelfall prüfen müssen, ob es über diesen Maschinenbezug hinaus für den Ersteller der Cookies zumindest (wenn auch mit rechtswidrigen Mitteln) möglich ist, einen Bezug zu einer konkreten Person herzustellen. Dies könnte etwa über eine Verknüpfung mit User- und Passworteingaben oder mit E-Mail-Adressen erfolgen. In diesem Fall sind Cookies personenbezogene Daten.

1.3. Datenschutzrechtliches Verbotsprinzip

Das Datenschutzrecht ist von einem Regel-Ausnahme-Prinzip geprägt. Um keine Datenschutzverletzung zu begehen, muss sich der Verantwortliche vergewissern, eine der vorgenannten Rechtfertigungen zu erfüllen.

Ausnahmen des Verbots der personenbezogenen Datenverarbeitung, maW Rechtfertigungsgründe einer Datenverwendung für nicht sensible Daten, bei

- Zustimmung des Betroffenen
- ausdrücklicher gesetzlicher Grundlage (z.B. Behördenhandeln)
- Wahrung überwiegender bzw. zumindest gleichwertiger Interessen des Auftraggebers (Verantwortlichen) bzw. Dritter
- lebenswichtige Interessen des Betroffenen
- „allgemeiner“ Verfügbarkeit der Daten⁹

Im Unterschied dazu ist die Verarbeitung sensibler Daten künftig unter strengeren Voraussetzungen gestellt als derzeit. Art 9 DS-GVO geht von einem grundsätzlich weitereichenden Verbot aus:

- Keine Interessenabwägung

- Keine Vertragserfüllung

- Ausnahmen

- ausdrückliche Einwilligung des Betroffenen
- exakte Rechtsgrundlage (Art 9 Abs 2 lit g DS-GVO)
- lebenswichtige Interessen des Betroffenen oder eines anderen Menschen
- offensichtlich durch Betroffenen veröffentlicht

Darüber hinaus ist im Rahmen sog. „besonderer Verarbeitungssituationen“ auch die Verarbeitung sensibler Daten gestattet - bei Einhaltung der sonstigen Zulässigkeitskriterien - nämlich (vgl. Art 9 Abs 2 DS-GVO)

- im Arbeitsrechtskontext (Art 88 DS-GVO: Beschäftigtendatenschutz)
- für Kirchen, religiöse Vereinigungen oder best. Vereine (Art 91 DS-GVO)
- Geltendmachung von Rechtsansprüchen (Art 9 Abs 2 lit f DS-GVO)
- Gesundheitsvorsorge (Art 9 Abs 2 lit h und Abs 4 DS-GVO)
- für Forschung, Statistik oder Archive (Art 89 DS-GVO)

Generell ist also die Verarbeitung einfach personenbezogener Daten unter erleichterten Voraussetzungen möglich als die Verarbeitung sensibler Daten.

1.4. Anwendbares Datenschutzrecht

Datenschutzrecht stellt öffentliches Recht dar und hält Art 3 DS-GVO eine autonome Anknüpfungsgrundlage für internationale Sachverhalte bereit.

Für Datenverarbeitungen innerhalb der EU gilt das Sitzlandprinzip: Entscheidend ist der Sitz der verantwortlichen Stelle, d.h. des Auftraggebers, uU innerhalb dieser Verarbeitung die Sachnähe.

Die (rechtlichen) Möglichkeiten der Umgehung des Datenschutzrechts durch Auslagerung einer Datenverarbeitung außerhalb der EU sind geringer, als es auf den ersten Blick erscheint. Der Begriff der Verwendung von Daten ist nämlich sehr weit und umfasst das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Übermitteln, Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten. Es genügt also die Durchführung einer dieser Handlungen im Österreich für die Anwendbarkeit des österreichischen bzw. europäischen Datenschutzrechts.

Die Verarbeitung personenbezogener Daten durch ein im elektronischen Geschäftsverkehr tätiges Unternehmen unterliegt dem Recht jenes Mitgliedstaats, auf den das Unternehmen seine Geschäftstätigkeit ausrichtet, wenn sich zeigt, dass das Unternehmen die fragliche Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung iSv Art 4 Abs 1 lit a DS-RL vornimmt, die sich in diesem Mitgliedstaat befindet. Es ist Sache des nationalen Gerichts, zu beurteilen, ob dies konkret der Fall ist.¹⁰

1.5. Rollenverteilung im Datenschutzrecht für Anwälte

Das DSG 2000 nimmt eine Rollenverteilung vor, an der die DS-GVO festhält. Demnach sind der datenschutzrechtliche Auftraggeber („Verantwortlicher“), der Betroffene und der datenschutzrechtliche Dienstleister („Auftragsverarbeiter“) voneinander zu unterscheiden.

1.5.1. Verarbeitete Datenkategorien

Anknüpfungspunkt dieser Rollenverteilung bildet die Verarbeitung von personenbezogenen Daten. Diese Informationen fallen in Form von Klienten-, Mitarbeiteroder sonstigen Daten der Beteiligten in den Zivil-, Verwaltungs- oder Strafcausen einer Anwaltskanzlei sehr zahlreich an.

So ist zB eine dynamische IP-Adresse für den Anbieter ein personenbezogenes Datum, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.¹¹

Bei den Daten über denjenigen, der einen Aufenthaltstitel beantragt, die in einem Verwaltungsdokument (hier: "Entwurfsschrift") wiedergegeben sind, in dem im Rahmen des Verfahrens, das dem Erlass einer Entscheidung über den Antrag auf Erteilung eines derartigen Titels vorgeschaltet ist, der zuständige Sachbearbeiter die Gründe darlegt, auf denen der Entscheidungsentwurf beruht, und bei den Daten, die gegebenenfalls in der in der Entwurfsschrift enthaltenen rechtlichen Analyse wiedergegeben sind, handelt es sich um "personenbezogene Daten". Diese Einstufung gilt allerdings nicht für die Analyse als solche.¹²

Darüber hinaus gehört zB die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit iSv § 4 Z 2 DSG 2000 (Art 4 Z 15 DS-GVO); also zu den besonders geschützten oder „sensiblen“ Daten.¹³

Schließlich sind strafrechtliche Vorwürfe zwar keine sensiblen Daten; durch ihre Einordnung als Strafdaten unter die Sonderregel des § 8 Abs 4 DSG 2000 (künftig: § 4 Abs 3 DSG 2018) sind sie im Hinblick auf das Geheimhaltungsinteresse jedoch klar "sensibler" als das bloße Geburtsdatum und daher ebenfalls besonders zu behandeln.¹⁴

1.5.2. Der Rechtsanwalt als Verantwortlicher

Derjenige, der für die Datenverarbeitung verantwortlich ist, wird im Datenschutzrecht als Auftraggeber bezeichnet gem § 4 Z 4 DSG 2000 (Art 4 Z 7 DS-GVO). Dies ist jede natürliche, juristische Person oder Personengemeinschaft, die die Entscheidung getroffen hat, Daten für einen bestimmten Zweck zu verarbeiten.

Als Faustregel gilt: Auftraggeber ist derjenige, der die tatsächliche Verfügungsgewalt über die Daten hat („Herr der Datenverarbeitung“). Er bleibt selbst dann Verantwortlicher, wenn er einem Anderen Daten zur Herstellung eines von ihm aufgetragenen Werkes überlässt.

Dieser Grundsatz kehrt sich allerdings dann um, wenn der Auftragnehmer auf Grund von Rechtsvorschriften die Entscheidung über die Verwendung der Daten eigenverantwortlich zu treffen hat, wie dies etwa bei Rechtsanwälten oder Wirtschaftstreuhändern der Fall ist.

Diese werden dann datenschutzrechtliche Auftraggeber.

Nach ständiger Spruchpraxis der österr Datenschutzbehörden¹⁵ ist auf Grund der beruflichen Selbstständigkeit eines Rechtsanwaltes daher idR davon auszugehen, dass dieser bei der Besorgung von Geschäften für einen Mandanten gemäß § 4 Z 4 letzter Halbsatz DSG 2000 "eigenverantwortlich" vorgehen darf und damit datenschutzrechtlicher Auftraggeber ist.

1.5.3. Der Rechtsanwalt als Auftragsverarbeiter?

Datenschutzrechtlicher Dienstleister iSv § 4 Z 5 DSG 2000 (Art 4 Z 8 DS-GVO: Auftragsverarbeiter) ist, wer eine datenschutzrelevante Dienstleistung erbringt. Eine solche „Dienstleistung“ liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben wie z.B. Soft- oder Hardwarewartung, Operating, Call-Center, Access- oder Contentprovider odgl. betraut. Dafür sind geeignete Vereinbarungen iSv §§ 10, 11 DSG 2000 (Art 28 DS-GVO) zu treffen, die zu überprüfen bzw. zu überwachen sind („überzeugen“).

Da der Rechtsanwalt in Ausübung des ihm übertragenen Mandats nach § 9 RAO eigenverantwortlich vorgehen darf, ist er grundsätzlich kein bloßer Auftragsverarbeiter. Ein Teil der Lehre¹⁶ möchte demgegenüber auf den konkreten Auftragsvertrag abstellen und hält in Ausnahmefällen einen Rechtsanwalt dann für einen bloßen Dienstleister iSv § 4 Z 5 DSG 2000 (Art 4 Z 8 DS-GVO), wenn er „von seinem Mandanten daher dazu verpflichtet [wird], die im Rahmen einer Compliance-Untersuchung verarbeiteten personenbezogenen Daten nur in Übereinstimmung mit den Anweisungen des Mandanten zu verwenden und sie insbesondere ohne entsprechende Anweisung an keinen Dritten, insbesondere keine Behörde zu übermitteln“. Diese Ansicht ist jedoch mit der verfassungs- und konventionsrechtlich verankerten Stellung einer freien Advokatur unvereinbar.¹⁷ Sie übersieht außerdem, dass selbst ein Auftragsverarbeiter, wenn er sich dazu entschließt, die ihm überlassenen Daten für andere als die vereinbarten oder für eigene Zwecke zu verarbeiten, wiederum in die Rolle des Verantwortlichen wechselt.¹⁸

1.5.4. Der Rechtsanwalt als Betroffener

„Betroffener“ iS des Datenschutzrechts ist gem § 4 Z 3 DSG 2000 jede natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden und die vom Auftraggeber verschieden ist. Art 4 Z 1 DS-GVO definiert demgegenüber als „betroffene Person“ lediglich eine identifizierte oder identifizierbare natürliche Person.

Ein Rechtsanwalt kann daher durchaus - auch und gerade wegen seiner Berufsausübung

- Betroffener einer Datenverarbeitung sein. Dies gilt insbesondere im Umgang mit seiner Standesvertretung.

So hat die Datenschutzpraxis¹⁹ schon früh festgehalten, dass keine Verletzung im Grundrecht auf Geheimhaltung nach § 1 Abs 2 DSG 2000 durch den Auftrag der zuständigen Rechtsanwaltskammer bewirkt wird, einen Lebenslauf und Tätigkeitsbericht anlässlich des Verfahrens zur Wiedereintragung in die Liste der Rechtsanwaltsanwärter vorzulegen.

Gleichermaßen hat die Rsp²⁰ in der Datenübermittlung an die anwaltliche Disziplinarbehörde keinen Verstoß gegen das Grundrecht auf Datenschutz des betroffenen Rechtsanwaltskollegen erkannt. Wenn bei einer Disziplinaranzeige an eine Standesbehörde Daten des Angezeigten weitergegeben werden, kann dies wegen überwiegender öffentlicher Interessen an der Verfolgung nicht verjährter Disziplinarvergehen gerechtfertigt sein. Dabei kommt es - wie nahezu immer im Datenschutzrecht - auf eine umfassende Interessenabwägung an.

2. Grundsätze des Datenschutzrechts

2.1. Allgemeines: Geltende Rechtslage nach dem DSG 2000

Folgende Grundsätze der Verwendung von Daten sind nach den §§ 6 ff DSG 2000 jedenfalls zu beachten:

- Verwendung nach Treu und Glauben, insbes. Transparenz (§ 6 Abs 1 Z 1 DSG); Betroffener muss ihn betreffende Verfahren kennen; Anlegen von sog. Verfahrensverzeichnissen; Nachvollziehbarkeit durchgeführter Verfahren sicherstellen.

- Zweckgebundenheit der Datenermittlung, d.h. Ermittlung für

- festgelegte: Erfordernis der Zweckfestlegung bei der Erhebung von Daten,

- eindeutige: Erfordernis der Informiertheit abhängig von der geplanten Verwendung und

- rechtmäßige Zwecke (§ 6 Abs 1 Z 2 DSG): die Verwendung ist nicht uneingeschränkt zulässig, sondern muss mit dem ursprünglichen Zweck grundsätzlich vereinbar sein. Daraus folgt ein Weiterverwendungsverbot für unvereinbare Zwecke (z.B. darf eine Bank die ihr im Rahmen des Giroverkehrs anvertrauten Daten nicht zum Zwecke der Vermittlung von Bausparverträgen verwenden; es handelt sich dabei um eine verbotene Datenverwendung für ein anderes Aufgabengebiet der Bank²¹ ). Der vereinbare Zweck ist die Ausnahme, z.B. die Eigenwerbung ohne Weitergabe an Dritte (vgl. § 47 DSG).²² Eine Zweckänderung ist nur bei berechtigtem Interesse unter Abwägung der Einzelumstände zulässig. Bereits das Auswerten für einen unvereinbaren Zweck stellt eine Datenschutzverletzung dar.

Unzulässig veröffentlichte Daten bleiben unzulässig. Bei besonders geschützten personenbezogener Daten (z.B. Religionszugehörigkeit, Gesundheitsdaten oder Sexualleben) sind Daten nur öffentlich, wenn sie durch den Betroffenen selbst (ausdrücklich) öffentlich gemacht wurden

- Wesentlichkeit: Daten müssen für den Zweck der Datenanwendung wesentlich sein (§ 6 Abs 1 Z 3 DSG); Beachtung von Schutzgraden und technischem/organisatorischem Ausgleich (Zumutbarkeit).

- Notwendigkeit der Speicherung: Aufbewahrung für die Erreichung der Zwecke notwendig (§ 6 Abs 1 Z 5 DSG 2000; Ausnahmen nur aus gesetzlichen Gründen z.B. nationale Archive). Prinzip der Datensparsamkeit:²³

- Verbot unnötiger Vorratsdatenhaltung
- Vermeidung des Personenbezugs, sofern dieser nicht unbedingt (zur Erfüllung des Verwendungszwecks unmittelbar) erforderlich ist
- Verwendung datenschutzfreundlicher Techniken in möglichst allen Phasen der automatisierten Verarbeitung
- Ermöglichung anonymer und unbeobachteter Nutzung von elektronischen Medien (Reduktion des Personenbezugs durch sessionale Pseudonymisierung bzw. Anonymisierung)

- Gelindester Eingriff: Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren (Verhältnismäßigkeit).²⁴ Abwägung zwischen erforderlich (um Aufgaben rechtmäßig, vollständig und in angemessener Zeit erfüllen zu können) und zwingend (unerlässlich für Aufgabenerfüllung).

Darüber hinaus besteht die Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln nach § 6 Abs 4 DSG 2000 im Rahmen der Selbstregulierung, an die sich die zugehörigen Datenverwender zu halten haben. Derartige Richtlinien liegen derzeit nur in der Direktmarketingbranche vor.

Für die Grundlagen einer rechtmäßigen Datenverwendung, d.h. um herauszufinden ob ein rechtmäßiger Zweck vorliegt, ergibt sich daher folgende dreistufige Prüfung:

- Es muss eine Rechtsgrundlage für die Datenanwendung geben und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§6, §7 Abs1 DSG 2000)
- Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7 ff DSG 2000)
- Die Datenanwendung muss den Registrierungserfordernissen der §§ 16 ff DSG 2000 entsprechen.

VfGH: Section Control²⁵ und Abstandsmessungen²⁶

Beispiele: Daher sind mangels Rechtsgrundlagen grundsätzlich unzulässig z.B. eine Warndatei über Risikopatienten oder die Bank als Veranstaltungsvermittler und „JugendClub“-Betreiber mit Bankkundendaten.

Durchaus diskussionswürdig erscheinen unter diesem Aspekt die Verwendung von Telefonbuchdaten für den Datenhandel oder die Verwendung von Personendaten aus einer Konkursmasse bzw. von einem ersteigerten Computer.

2.2. Rechtslage nach der DS-GVO

Die Grundsätze der Datenverarbeitung sind nunmehr in Art 5 DS-GVO festgelegt. Im Wesentlichen bestehen kaum Änderungen zur Rechtslage nach dem DSG 2000. Es sind daher auch künftig folgende Grundsätze zu beachten:

- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht

Der zuletzt aufgezählte Grundsatz der Accountability prägt die Verantwortlichkeit des datenverarbeitenden Unternehmens. Der Zweckbindungsgrundsatz ist etwas gelockert worden im Vergleich zur Strenge des DSG 2000, da eine Datenverarbeitung zu einem anderen Zweck (alternativ) nicht nur bei (formfreier) Einwilligung der Betroffenen oder bestehender Rechtsgrundlage zulässig ist, sondern auch bei Bestehen des sog. Kompatibilitätstests nach Art 6 Abs 4 DS-GVO, d.h. bei (kumulativ):

- Verbindung zwischen den Zwecken
- Zusammenhang der Datenerhebung
- Folgen der Weiterverwendung
- Verschlüsselung oder Pseudonymisierung

3. Datenschutzrechtliche Pflichten des Rechtsanwalts als Verantwortlicher

Die datenschutzrechtlichen Verpflichtungen des Rechtsanwalts bei seiner Berufsausübung ergeben sich primär aus seiner Funktion als Verantwortlicher für die in seinem Kanzleibetrieb anfallenden Datenverarbeitungen. Darunter versteht man - vereinfacht - alles, was man mit Daten elektronisch oder manuell machen kann, also insbesondere ein bloßes Speichern, Vervielfältigen, Überspielen oder sonstiges Verwenden. Eine Datenanwendung stellt dabei nach § 4 Z 7 iVm § 58 DSG 2000 eine Summe von mehreren Datenverarbeitungen dar, die in geordneter Form einem gemeinsamen Zweck dienen.

3.1. Erfüllung der Meldepflicht beim Datenverarbeitungsregister

Das DSG 2000 geht wie schon das DSG 1978 vom Grundsatz der Meldepflicht an das Datenverarbeitungsregister (DVR) aus. Ausnahmen bilden nach § 17 DSG 2000 lediglich solche Datenanwendungen,

- die ausschließlich veröffentlichte Daten oder nur indirekt personenbezogene Daten enthalten;
- die der Führung von gesetzlich vorgesehenen Registern oder Verzeichnissen dienen (zB Personenstandsbücher, Staatsbürgerschaftsevidenz oder das Melderegister);
- die von natürlichen Personen ausschließlich für persönliche oder familiäre Tätigkeiten oder für publizistische Tätigkeiten vorgenommen werden, und
- Standardanwendungen: Unter Standardanwendungen werden Datenanwendungen verstanden, die von einer großen Anzahl von Auftraggebern in gleichartiger Weise vorgenommen werden, wobei eine Gefährdung der Betroffenen unwahrscheinlich ist. In der Zwischenzeit ist die Verordnung des Bundeskanzlers über Standard-27 und Musteranwendungen erlassen worden. Danach zählen etwa Rechnungswesen und Logistik, Personalverwaltung, Mitgliederverwaltung, Kundebetreuung und Marketing für eigene Zwecke, Aktenverwaltung (Büroautomation) zu den nicht meldepflichtigen Standardanwendungen.

[...]

---

¹ VO (EU) 2016/679, ABl L 119/2016, 1 idF L 2016/314, 72.

² BGBl I 165/1999 idF BGBl I 2001/136, I 13/2005, I 2/2008, I 135/2009, I 112/2011, I 51/2012, I 57/2013, I 83/2013 und BGBl I 132/2015.

³ Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 281, 31 ff.

⁴ EuGH 6.11.2003, C-101/01 - Lindqvist, EuGRZ 2003, 714 = MR 2004, 83 (Kronegger) = ZER 2004/330, 93.

⁵ EuGH 6.11.2003, C-101/01 - Lindqvist, EuGRZ 2003, 714 = MR 2004, 83 (Kronegger) = ZER 2004/330, 93.

⁶ Vgl Art 1 Abs 1 Datenschutz-RL.

⁷ Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) idF Datenschutz-Anpassungsgesetz 2018, BGBl I 120/2017.

⁸ Dzt. Entwurf der EU-Kommission COM(2017) 10 final, 2017/0003 (COD) vom 10.1.2017 idF 27.10.2017 (über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG [Verordnung über Privatsphäre und elektronische Kommunikation]).

⁹ Diese generelle Privilegierung für veröffentlichte Daten ist nach dem Urteil des EuGH 16.12.2008, C- 73/07 (Sattakunnan/Satamedia) = jusIT 2009/13, 28 (Jahnel) = RdW 2009/170, 207 = ARD 5936/4/2009 = EuGRZ 2009, 23 = MR-Int 2009, 14 (Wittmann) = ecolex 2009, 547, für das österreichische Datenschutzrecht nicht mehr aufrecht zu erhalten.

¹⁰ EuGH 28.7.2016, C-191/15 (VKI/Amazon EU) = RdW 2016/454, 608 = jusIT 2016/83, 180 = ZIIR 2016, 458 (Thiele) = wbl 2016/184, 561 = ÖJZ 2016/121, 894 (Brenn) = ecolex 2016, 939 (Vidmar) = Zak 2016/564, 299 = VbR 2016/97, 151 = ZfRV 2016/34, 268 (Dorfmayr/Komuczky) = jusIT 2016/96, 217 (Thiele) = VbR 2016/115, 168 (Stadler) = ecolex 2016/457, 1060 = MR 2016, 343 (Riede/Pöchhacker) = VbR 2017/6, 17 (Reichholf).

¹¹ EuGH 19.10.2016, C-582/14 (Breyer) = ECLI:EU:C:2016:779 = jusIT 2016/105, 252 (Jahnel) = ZIIR 2017, 6 (Eckhardt) = ZIIR 2017, 36 = ecolex 2016, 1127 = EuGRZ 2016, 622 = ZfRV-LS 2016/54, 266 = wbl 2017/8, 34; dazu Kotschy, Replik zu den Anmerkungen von Dietmar Jahnel zu den Auswirkungen der Vorabentscheidung des EuGH 19. 10. 2016, C-582/14 (Breyer) auf den Begriff der "personenbezogenen Daten" nach § 4 Z 1 DSG 2000, jusIT 2017/9, 27.

¹² EuGH 17.7.2014, C-141/12 (YS u.a.) = jusIT 2014/107, 227 (Thiele) = ZTR 2014, 142 = Dako 2015/53, 97.

¹³ EuGH 6.11.2003, C-101/01 (Lindqvist) = EuGRZ 2003, 714 = MR 2004, 83 (Kronegger) = ÖJZ 2004/45, 741 (Hörlsberger) = ZER 2004/330, 93.

¹⁴ DSK 14.12.2012, K121.872/0010-DSK/2012 (Rsa-Zustellung von Strafverfügungen) = Dako 2014/22, 44; DSK 17.12.2010, K121.636/0010-DSK/2010 (Straferkenntnis mit Geburtsdatum) = jusIT 2011/11, 23 (König).

¹⁵ DSB 27.10.2014, DSB-D122.215/0004-DSB/2014 (F-Rechtsanwalts KG)= ZIR 2015, 47 = jusIT 2015/11, 32 (König); DSK 13.7.2012, K121.810/0013-DSK/2012 (Netventure Platform) = RIDA-Nr. 0284179.

¹⁶ Feiler, Datenschutzrechtliche Herausforderungen bei internen Compliance-Untersuchungen in: Jahnel (Hrsg), Datenschutzrecht und E-Government. Jahrbuch 2013 (2013), 143 (157 f).

¹⁷ Vgl. EGMR 3.7.2012, 30457/06 (Robathin/Österreich) = ecolex 2012, 832 = ÖJZ MRK 2012/11, 1103 = AnwBl 2013, 106; dazu Winkler, EGMR-Urteil zur Durchsuchung und Beschlagnahme in Kanzleiräumen, AnwBl 2012, 434; Stuefer, Die Entscheidung R gg Österreich - grundrechtliche Anforderungen an die Durchsuchung von Kanzleiräumlichkeiten, JSt 2012, 193.

¹⁸ Vgl. DSK 20.10.2006, K121.155/0015-DSK/2006 (Inkassobüro) = RIDA-Nr. 0195983.

¹⁹ DSK 28.2.2003, K120.806/002-DSK/2003 (ARAK) = RIDA-Nr. 0154094.

²⁰ OGH 12.3.1997, 6 Ob 2228/96g (Disziplinaranzeige) = JBl 1997, 516 = AnwBl 1997/7361 = RdW 1997, 399 = SZ 70/42 = AnwBl 1998, 418 = AnwBl 1997, 496.

²¹ OGH 25.2.1992, 4 Ob 114/91 - Bausparwerbung, EvBl 1992/58 = EDVuR 1992/1, 91 = JBl 1992, 599 = ÖBl 1992, 21 = SZ 65/23 = ÖBA 1992, 829.

²² DSK 27.04.2000, 120.657/8-DSK/00, nv: Die Verwendung der Daten 'Name' und 'Adresse' des Patienten zum Zweck eines Spendenaufrufs (für eine Spendenaktion im Rahmen des Krankenhauses, deren Erlös zum Wohl der Patienten verwendet werden soll) erfolgte zu einem - mit dem Zweck der ursprünglichen Ermittlung der Daten kompatiblen - und der ursprünglichen Datenverarbeitung angelagerten Zweck, nämlich der Verwendung im Rahmen einer Art 'Eigenwerbung' der Krankenanstalt.

²³ OGH 10.12.1992, 6 Ob 32/92 - Kirchenbeitragsverrechnung, RIDA-Nr: 0154204.

²⁴ DSK 14.09.2001, K120.705/010-DSK/2001, nv.

²⁵ VfGH 15.6.2007, B 833/05, VfSlg 18.144; 15.6.2007, G 147/06, ZVR 2007/155, 271 (Pürstl) = ZVR 2007/162, 280 (Bauer) = JUS Vf/3558 = ÖJZ 2007/59, 704 = JAP 2007/2008/3, 27 (Ennöckl) = ecolex 2007, 729 = SWK 2007, R 61 = SWK 2007, 1335 = ZfVB 2008/824 = VfSlg 18.146; 5.3.2008, B 1840/07, ZfVB 2008/1640/1674.

²⁶ VfGH 9.12.2008, B 1944/07, ZVR 2009/45, 105 (Pürstl) = jusIT 2009/29, 63 (Jahnel) = EvBl 2009/34, 332 = JUS Vf/3952.