Firmen müssen Datenverarbeitung online melden
Das österreichische Datenverarbeitungsregister ist ein öffentliches Register, in dem jeder Einsicht nehmen kann, welche Datenanwendungen ein Auftraggeber registriert hat. Ab 1. September ist die Einsicht ohne Anmeldung oder Identifizierung online unter DVR-Online möglich. So kann man herausfinden, welche Datenanwendungen ein Auftraggeber betreibt. Nach diesem kann per Name oder DVR-Nummer gesucht werden.
Bei der Meldung haben Datenverarbeiter anzugeben, welche Datenarten sie verwenden, wer von der Datenverwendung betroffen sein kann, zu welchem Zweck sie diese Daten verwenden und ob bzw. an wen diese übermittelt werden. Weiters müssen auch Angeben über ergriffene Sicherheitsmaßnahmen gemacht werden. Diese sind allerdings nicht einsehbar. Seit der DSG-Novelle 2010 muss auch der Betrieb einer Videoüberwachung gemeldet werden.
Transparenz durch Online-Applikation
In der Praxis ist es laut der ARGE Daten bisher häufig vorgekommen, dass Datenanwendungen über Monate bis hin zu Jahren nicht registriert worden sind. Wenn man nun online Einsicht nehmen kann, lässt sich eine Nicht-Einhaltung der Meldepflicht, die in letzter Konsequenz dazu führen kann, dass die Datenanwendung von der Datenschutzkommission untersagt wird, leichter feststellen. Dadurch werde nun die Transparenz der Datenverarbeitung in Österreich erhöht, so die Datenschutzorganisation.
Neben dem Namen des Auftraggebers soll ein Verzeichnis über sämtliche betriebenen Informationsverbundsysteme öffentlich einsehbar sein, aus dem auch hervorgehen soll, welche Auftraggeber überhaupt an einem einem derartigen System teilnehmen. Darüberhinaus können Betroffene einer Datenanwendung auch in den Registrierungsakt Einsicht nehmen. Angaben über vom Auftraggeber ergriffene Sicherheitsmaßnahmen können aber nicht eingesehen werden.
Urprünglich früher geplant
Die Umstellung des Datenverarbeitungsregister auf eine Online-Applikation wurde vor zweieinhalb Jahren beschlossen. Ursprünglich hätte das DVR-Online bereits im Juli 2011 online gehen sollen, damals übte unter anderem die ARGE Daten Kritik daran, dass dem bei der Datenschutzkommission angesiedeltem Register an einem Datenschutzkonzept mangle.
"In den DVR-Unterlagen befinden sich eine Vielzahl von personenbezogenen Daten. Neben Name und Anschrift werden auch Telefon- sowie Faxnummer als auch E-Mail Adressen von Datenverarbeitern erfasst. Werden dabei keine ausreichenden Sicherheitsmaßnahmen ergriffen, könnte das DVR letztendlich zum Datenlieferanten für Adresshändler werden, die Kontaktdaten im großen Stil aus dem DVR beziehen", hieß es.
Meldung nur noch online möglich
Doch nicht nur die Einsicht ohne Anmeldung über das Internet-Portal ist neu. Unternehmen können Datenanwendungen ab September nur noch online und durch vertretungsbefugte Personen anmelden. Notwendig dazu ist für sämtliche Auftraggeber eine Bürgerkarte. Unternehmen können zusätzlich über das Unternehmensserviceportal auf DVR-Online zugreifen, Behörden über den Portalverbund. Nur im Fall einer "anhaltenden, technischen Störung" ist das Einbringen von Meldungen per E-Mail oder in Schriftform zulässig. Zur Meldung von Datenanwendungen stehen dann ab September Web-Formulare zur Erfassung von Daten über Auftraggeber und Datenanwendungen zur Verfügung.
Meldepflichtig ist eine Datenanwendung dann, wenn "zur Erreichung eines bestimmten Zwecks" personenbezogene Daten zur Gänze oder teilweise automationsunterstützt geordnet bzw. verarbeitet werden. In Sonderfällen können auch manuell geführte Dateien meldepflichtig sein, etwa wenn es sich um Gesundheitsdateien handelt. Für die Meldepflicht sind der Zweck (z.B. Versicherungsvermittlung), die Betroffenen (z.B. Mitarbeiter oder Kunden), die Art der verarbeiteten Daten (z.B. Geburtsdatum) und die Übermittlungsempfänger (z.B. Vertragspartner) der Datenanwendung relevant. Nachträgliche Änderungen verpflichten zu einer entsprechenden Änderungsmeldung.
Kommentare