Bislang sah § 18 DSG vor, dass eine Übermittlung von Daten u.a. nur bei ausdrücklicher schriftlicher Zustimmung des Betroffenen möglich war. Nun wird eine ausdrückliche Zustimmung nur noch bei sensiblen Daten (rassische und ethnische Herkunft, Gesundheit, politische Meinung,...) verlangt (§ 9 DSG 2000). Bei nicht-sensiblen Daten reicht die (einfache) Zustimmung des Betroffenen (§ 8 DSG 2000). Früher wie jetzt ist die Zustimmung jederzeit widerrufbar.
Bislang haben Literatur und Judikatur aus dem Begriff "ausdrückliche schriftliche Zustimmung" geschlossen, dass zum einen die Klausel nicht im Text kleingedruckter AGB versteckt werden durfte, sondern hervorzuheben und in Konnex zur Unterschrift zu setzen war. Weiters ging die jüngste Judikatur davon aus, dass eine Zustimmung nur wirksam sei, wenn der Betroffene über Empfänger, Daten und Zweck der Übermittlung genau informiert worden ist.
Für die transparente Information des Betroffenen gibt es weiterhin Ansätze:
- unter Zustimmung versteht das DSG 2000 eine gültige Willenserklärung, in Kenntnis der Sachlage des konkreten Falles in die Verwendung seiner Daten einzuwilligen (§4 Z 14 DSG).
- gemäß § 6 Abs 3 KSchG gilt für Verbraucherverträge überdies das Transparenzgebot.
Dagegen wird es in Zukunft bei nicht-sensiblen Daten ausreichen, diese in die AGB aufzunehmen (böse formuliert: sie dort zu verstecken). Das ist ein klarer Rückschritt im Sinn des Verbraucherschutzes.
Folgende Rechte stehen dem Betroffenen zu:
- Recht auf jederzeitigen Widerruf einer Zustimmung zur Datenverwendung (§§ 8, 9 DSG 2000);
- Recht auf Widerspruch gegen Datenverwendung, wenn überwiegende schutzwürdige Geheimhaltungsinteressen verletzt werden, bzw. jederzeit auch ohne Begründung wenn die Daten in einer öffentlich zugänglichen Datei verwendet werden. Die Daten sind dann binnen acht Wochen zu löschen (§ 28 DSG 2000).
- Recht auf Auskunft (§ 26 DSG 2000) sowie auf Richtigstellung und Löschung (§ 27 DSG 2000).
- Informationspflicht des Auftraggebers einer Datenermittlung über Zweck derselben und die Identität des Auftraggebers (§ 24 DSG 2000).
Die Kontrolle der Einhaltung des DSG 2000 liegt weiterhin bei der Datenschutzkommission im BKA. Beschwerden gegen Verletzungen subjektiver Rechte durch Auftraggeber des öffentlichen Bereiches sind an die Datenschutzkommission, im privaten Bereich an die Gerichte zu richten.
Info: Datenschutzgesetz 2000
Am 1.1.2000 trat das neue Datenschutzgesetz 2000 (DSG 2000) in Kraft und brachte zahlreiche Neuerungen.