Cookies helfen uns bei der Bereitstellung von Datencockpit. Durch die Nutzung von Datencockpit erklärst du dich damit einverstanden, dass wir Cookies speichern. Weitere Informationen

DSG:§ 50. Protokollierung

Aus Datencockpit
Wechseln zu:Navigation, Suche
Inhaltsverzeichnis

(1)

Jeder Verarbeitungsvorgang ist in geeigneter Weise so zu protokollieren, dass die Zulässigkeit der Verarbeitung nachvollzogen und überprüft werden kann.

(2)

In automatisierten Verarbeitungssystemen sind alle Verarbeitungsvorgänge in automatisierter Form zu protokollieren. Aus diesen Protokolldaten müssen zumindest der Zweck, die verarbeiteten Daten, das Datum und die Uhrzeit der Verarbeitung, die Identifizierung der Person, die die personenbezogenen Daten verarbeitet hat, sowie die Identität eines allfälligen Empfängers solcher personenbezogenen Daten hervorgehen.

(3)

In nicht automatisierten Verarbeitungssystemen sind zumindest Abfragen und Offenlegungen einschließlich Übermittlungen, Veränderungen sowie Löschungen zu protokollieren. Für diese Protokolldaten gilt Abs. 2 zweiter Satz.

(4)

Die Protokolle dürfen ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung einschließlich der Eigenüberwachung, der Gewährleistung von Integrität und Sicherheit der personenbezogenen Daten sowie in gerichtlichen Strafverfahren verwendet werden.

(5)

Der Verantwortliche und der Auftragsverarbeiter haben der Datenschutzbehörde auf deren Verlangen die Protokolle zur Verfügung zu stellen.

Erläuterung zu § 50. Protokollierung

Mit dieser Bestimmung wird Art. 25 der Richtlinie (EU) 2016/680 umgesetzt.

Die Verzeichnisse sind so zu führen, dass eine nachträgliche Überprüfung der Rechtmäßigkeit der Datenverarbeitung möglich ist. Während die Protokollierungspflicht des Art. 25 Abs. 1 der Richtlinie (EU) 2016/680 auf automatisierte Verarbeitungssysteme beschränkt ist, sollen im Rahmen der Umsetzung die nach dem DSG 2000 bestehenden Protokollierungspflichten beibehalten werden; die diesbezüglich bestehenden nationalen Standards können im unionsweiten Vergleich als „best practice“ bezeichnet werden und erzeugen keinen zusätzlichen Aufwand gegenüber der bisherigen Rechtslage, da eine Verpflichtung schon jetzt besteht.

Die Protokollierung in Bezug auf nicht automatisierte Verarbeitungssysteme muss nicht im gleichen Umfang erfolgen wie bei automatisierten Verarbeitungssystemen, da ein automatisches Logging nicht möglich ist. Aus diesem Grund soll für nicht automatisierte Verarbeitungssysteme eine deutlich abgeschwächte – dem § 14 Abs. 2 Z 7 DSG 2000 nachgebildete – Protokollierungspflicht gelten; es muss aber sichergestellt sein, dass der in Abs.1 festgelegte Zweck der Nachvollziehbarkeit und Überprüfbarkeit der Zulässigkeit der Verarbeitung erreicht wird (vgl. auch Erwägungsgrund 56 der Richtlinie (EU) 2016/680: „Der Verantwortliche oder der Auftragsverarbeiter, der personenbezogene Daten in nicht automatisierten Verarbeitungssystemen verarbeitet, sollte über wirksame Methoden zum Nachweis der Rechtmäßigkeit der Verarbeitung, zur Ermöglichung der Eigenüberwachung und zur Sicherstellung der Integrität und Sicherheit der Daten, wie etwa Protokolle oder andere Formen von Verzeichnissen, verfügen.“).

Die Verarbeitung von Protokolldaten ist nur in engen Grenzen zulässig. Insbesondere darf die Möglichkeit, diese für Strafverfolgungszwecke zu verwenden, nicht dazu führen, dass diese Maßnahme zum Schutz betroffener Personen zu einer Überwachungsmaßnahme umfunktioniert wird. Eine Verarbeitung ist jedenfalls nur in Bezug auf konkrete Fälle zulässig. Unter „Eigenüberwachung“ sind beispielsweise interne Disziplinarverfahren zu verstehen (vgl. Erwägungsgrund 57 der Richtlinie (EU) 2016/680); auch hiefür ist eine Verarbeitung nur in Bezug auf einen konkreten Fall zulässig. Nicht vom Begriff der Eigenüberwachung umfasst ist hingegen eine Mitarbeiterkontrolle, insbesondere im Sinne einer Leistungs- oder Fehlerkontrolle, soweit diese nicht zur Überprüfung der Rechtmäßigkeit einer Datenverarbeitung erfolgt.

Die in Abs. 2 bezeichneten Verarbeitungsvorgänge umfassen jedenfalls Erhebungen, Veränderungen, Abfragen, Offenlegungen einschließlich Übermittlungen, Kombinationen und Löschungen von personenbezogenen Daten.

Eine gesetzlich festgelegte feste Löschungsfrist für Protokolldaten erscheint nicht zweckmäßig; vielmehr sollten Protokolldaten – wie auch alle anderen personenbezogenen Daten – nur solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; danach sind die Protokolldaten zu löschen. In jenen Fällen, in denen die Protokolldaten auch Inhaltsdaten enthalten, darf die Aufbewahrung der Protokolldaten nicht zu einer Umgehung der Löschungsverpflichtung des originären Inhaltsdatums führen. Eine längere Aufbewahrungsdauer muss sich aus besonderen gesetzlichen Vorschriften ergeben.

Fragestellung.png
Fragestellungen: 0

Derzeit sind keine Fragestellungen zu diesem Paragraphen vorhanden.

 

Diskussionsbeiträge Diskussion

nopreview

SemanticComments Warnung

    Sie dürfen aktuell keine Kommentare eingeben. Bitte melden Sie sich an.

Metadaten
Metadaten

  • Nummer: 50
  • Bezeichnung: Protokollierung
  • Hauptstück: 3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
  • Abschnitt: 3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
  • Fragestellungen:
  • keine Änderungen
  • Letzte Änderung: 3. 11. 2017 durch Melnicki (ID: 394, Revision 1118)

jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (siehe Art. 4 DSGVO).

die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (siehe Art. 4 DSGVO)

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (siehe Art. 4 DSGVO)

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Datenschutzgesetz.

  • Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
  • auch: Datenschutz-Anpassungsgesetz 2018

Einrichtung und Aufgaben