DSG:§ 10. Verarbeitung personenbezogener Daten im Katastrophenfall

Aus Datencockpit
Wechseln zu:Navigation, Suche
Inhaltsverzeichnis

(1)

Verantwortliche des öffentlichen Bereichs und Hilfsorganisationen sind im Katastrophenfall ermächtigt, personenbezogene Daten gemeinsam zu verarbeiten, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist.

(2)

Wer rechtmäßig über personenbezogene Daten verfügt, darf diese an Verantwortliche des öffentlichen Bereichs und Hilfsorganisationen übermitteln, sofern diese die personenbezogenen Daten zur Bewältigung der Katastrophe für die in Abs. 1 genannten Zwecke benötigen.

(3)

Eine Übermittlung von personenbezogenen Daten in das Ausland ist zulässig, soweit dies für die Erfüllung der in Abs. 1 genannten Zwecke unbedingt notwendig ist. Daten, die für sich allein die betroffene Person strafrechtlich belasten, dürfen nicht übermittelt werden, es sei denn, dass diese zur Identifizierung im Einzelfall unbedingt notwendig sind. Die Datenschutzbehörde ist von den veranlassten Übermittlungen und den näheren Umständen des Anlass gebenden Sachverhaltes unverzüglich zu verständigen. Die Datenschutzbehörde hat zum Schutz der Betroffenenrechte weitere Datenübermittlungen zu untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in das Grundrecht auf Datenschutz durch die besonderen Umstände der Katastrophensituation nicht gerechtfertigt ist.

(4)

Auf Grund einer konkreten Anfrage eines nahen Angehörigen einer tatsächlich oder vermutlich von der Katastrophe unmittelbar betroffenen Person sind Verantwortliche ermächtigt, dem Anfragenden personenbezogene Daten zum Aufenthalt der betroffenen Person und dem Stand der Ausforschung zu übermitteln, wenn der Angehörige seine Identität und das Naheverhältnis glaubhaft darlegt. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) dürfen an nahe Angehörige nur übermittelt werden, wenn sie ihre Identität und ihre Angehörigeneigenschaft nachweisen und die Übermittlung zur Wahrung ihrer Rechte oder jener der betroffenen Person erforderlich ist. Die Sozialversicherungsträger und Behörden sind verpflichtet, die Verantwortlichen des öffentlichen Bereichs und Hilfsorganisationen zu unterstützen, soweit dies zur Überprüfung der Angaben des Anfragenden erforderlich ist.

(5)

Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder, Ehegatten, eingetragene Partner und Lebensgefährten der betroffenen Personen zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter denselben Voraussetzungen wie nahe Angehörige dann erhalten, wenn sie eine besondere Nahebeziehung zu der von der Katastrophe tatsächlich oder vermutlich unmittelbar betroffenen Person glaubhaft machen.

(6)

Die zu Zwecken der Bewältigung des Katastrophenfalles verarbeiteten personenbezogenen Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt werden.

Erläuterung zu § 10. Verarbeitung personenbezogener Daten im Katastrophenfall

Die Aufgaben der Datenschutzbehörde ergeben sich unmittelbar aus der DSGVO (so etwa aufgrund ausdrücklicher Anordnung der Aufgaben in Art. 57 DSGVO). Die dort festgelegten Aufgaben bedürften weitgehend keiner Durchführung ins nationale Recht. Dies betrifft etwa die Verpflichtung der Datenschutzbehörde, die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären (Art. 57 Abs. 1 lit. b DSGVO). Weiters obliegt der Datenschutzbehörde eine der Behördentätigkeit vorgelagerte und begleitende Beratungstätigkeit. Eine Befugnis zur Information der Öffentlichkeit ergibt sich zudem unmittelbar aus Art. 58 Abs. 3 lit. b DSGVO.

Hingegen besteht bei der in Art. 57 Abs. 1 lit. c DSGVO nur allgemein festgelegten Beratungstätigkeit ein gewisser Konkretisierungsbedarf, der in Abs. 1 vorgenommen wird.

Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen sowie von Verordnungen im Vollzugsbereich des Bundes, die Fragen des Datenschutzes unmittelbar betreffen, anzuhören. Dies setzt auch Art. 36 Abs. 4 und Art. 57 Abs. 1 lit. c DSGVO um und wird in der Praxis vielfach im Zuge des Begutachtungsverfahrens erfolgen. Darunter können etwa auch Verordnungen von Anstalten des öffentlichen Rechts mit eigener Rechtspersönlichkeit auf Bundesebene, beispielsweise Verordnungen der e-Control sowie der Finanzmarktaufsicht, fallen. Zu Fragen des Datenschutzes gehören auch allgemeine Aspekte der IT- und Cybersicherheit. Zudem kann sich die Datenschutzbehörde – wie in Art. 57 Abs. 3 lit. b DSGVO vorgesehen – zum Zwecke der Förderung der Bewusstseinsbildung in Datenschutzfragen an die Öffentlichkeit wenden.

Gemäß Art. 57 Abs. 1 lit. k DSGVO hat die Datenschutzbehörde eine Liste der Verarbeitungsarten zu erstellen und zu führen, für die gemäß Art. 35 Abs. 4 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen ist. Durch Abs. 2 soll aus Gründen der Transparenz, Nachvollziehbarkeit und Rechtssicherheit vorgegeben werden, dass diese Liste von der Datenschutzbehörde im Wege einer Verordnung kundzumachen ist; dies soll auch für die Liste nach Art. 35 Abs. 5 DSGVO angeordnet werden.

Aus den oben dargelegten Gründen sieht Abs. 3 hinsichtlich der nach Art. 57 Abs. 1 lit. p DSGVO abzufassenden und zu veröffentlichenden Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Art. 41 DSGVO und einer Zertifizierungsstelle gemäß Art. 43 DSGVO die Kundmachung einer Verordnung vor.

Art. 57 Abs. 4 DSGVO sieht im Fall von offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen die Möglichkeit vor, dass die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern kann, aufgrund der Anfrage tätig zu werden. Die Datenschutzbehörde kann für exzessive, offensichtlich schikanöse Anfragen eine Gebühr in der Relation zu den ihr tatsächlich entstandenen Kosten verlangen.

Nachdem Art. 57 Abs. 1 lit. v DSGVO als Aufgabe auch die Erfüllung jeder sonstigen Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten vorsieht, erscheint – in dem von lit. v vorgesehenen Bereich – eine Konkretisierung von Aufgaben der Datenschutzbehörde zulässig.

Fragestellungen Fragestellungen: 0

Derzeit sind keine Fragestellungen zu diesem Paragraphen vorhanden.

Diskussionsbeiträge Diskussion

Metadaten Metadaten

  • Nummer: 10
  • Bezeichnung: Verarbeitung personenbezogener Daten im Katastrophenfall
  • Hauptstück: 1. Hauptstück. Durchführung der Datenschutz-Grundverordnung und ergänzende Regelungen
  • Abschnitt: 2. Abschnitt. Datenverarbeitungen zu spezifischen Zwecken
  • Fragestellungen:
  • Paragraph unverändert
  • Letzte Änderung: 3. 11. 2017 durch Admin (ID: 342, Revision 958)