1. Rechtsgrundlagen
Seit 25.5.2018 ist die Datenschutz-Grundverordnung - DSGVO1 in Kraft. Sie dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr solcher Daten (Art 1). Als Verordnung ist sie zwar unmittelbar anwendbar, zu ihrer Ergänzung wurde aber das (österreichische) Datenschutzgesetz 2000 - DSG 2000 durch das Datenschutz-Anpassungsgesetz 20182 und das Datenschutz-Deregulierungs-Gesetz 20183 mit Wirksamkeit vom 25.5.2018 angepasst (in Hinkunft: Datenschutzgesetz - DSG). Der Bereich Justiz wird zudem in einem eigenen Materien-Datenschutz-Anpassungsgesetz4 geregelt, das ebenfalls seit 25.5.2018 in Kraft steht.
Alle folgenden Zitate von Artikeln (Art) beziehen sich auf die Datenschutz-Grundverordnung, die sie auch hier laden können.
Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art 2 Abs 1).
Nach Art 4 Z 1 sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Unter Verarbeitung versteht man nach Art 4 Z 2 jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, wird als „Verantwortlicher“ bezeichnet (Art 4 Z 7). Dagegen ist „Auftragsverarbeiter“, wer als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art 4 Z 8).
2. Grundsätze für die Verarbeitung personenbezogener Daten
Personenbezogene Daten dürfen nur nach folgenden Grundsätzen verarbeitet werden (Art 5 ff):
- Rechtmäßigkeit: Einwilligung des Betroffenen, Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung ua
- Verarbeitung nach Treu und Glauben, Transparenz
- nur für festgelegte, eindeutige und legitime Zwecke (Zweckbindung)
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt (Datenminimierung)
- Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein, Pflicht zur unverzüglichen Berichtigung und Löschung (Richtigkeit)
- Identifizierung von Personen nur so lange als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Speicherbegrenzung)
- Integrität und Vertraulichkeit müssen gewährleistet sein
3. Weitere Rechte und Pflichten
Weiters legt die DSGVO zahlreiche weitere Rechte und Pflichten fest, so etwa:
- Umfassende Informationspflichten
- Auskunfts- und Widerspruchsrechte der Betroffenen
- Recht auf Löschung („Recht auf Vergessenwerden“) – zB wenn der Zweck nicht mehr gegeben ist
- allenfalls Benennung eines Datenschutzbeauftragten
- keine Meldepflicht zum DVR-Register – Eigenverantwortung!
- Aufsicht: Datenschutzbehörde – nicht bei justiziellen Tätigkeiten (Gerichtsgutachten, wohl aber bei Privatgutachten)
4. Relevanz für Sachverständige
Eine modernen Standards entsprechende Sachverständigentätigkeit wird in den allermeisten Fällen ohne Verarbeitung personenbezogener Daten nicht auskommen, schon weil in der Regel zumindest Name und Anschrift von Beteiligten schon personenbezogene Daten sind und die Nutzung von Textverarbeitung entsprechende Verarbeitungsvorgänge auslöst.
Damit unterliegt jede Gerichts- oder Privatgutachtertätigkeit aber jedenfalls den Bestimmungen der DSGVO und den dazu erlassenen Anpassungsgesetzen.
Bei Erstattung von Gutachten im Auftrag eines Gerichts oder einer Staatsanwaltschaft, aber wohl auch im privaten Auftrag ist man bis zur Erfüllung des Auftrags im Regelfall nur Auftragsverarbeiter. Danach könnte – etwa bei weiterer Aufbewahrung von Daten im eigenen Interesse – die Eigenschaft eines Verantwortlichen vorliegen.
Die Unterscheidung ist für die Reichweite von Pflichten bedeutsam:
Auftragsverarbeiter benötigen nur ein „kleines“ (schriftlich oder elektronisch geführtes) Verzeichnis von Verarbeitungstätigkeiten, das folgenden Inhalt hat (Art 30 Abs 2):
- Namen und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten
- Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Abs 1 (Näheres siehe dort)
Verantwortliche müssen dagegen ein „großes“ Verzeichnis von Verarbeitungstätigkeiten führen (Einzelheiten siehe Art 32 Abs 2).
Das Auskunftsrecht betroffener Personen richtet sich nicht gegen den Auftragsverarbeiter, sondern gegen den Verantwortlichen (Art 15 Abs 1), ebenso das Recht auf Berichtigung und Löschung (Art 16, 17).
Die Auftragsverarbeitung erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments, das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind (Näheres siehe Art 32 Abs 3, zum Gerichtsgutachten vgl auch §§ 83 ff Gerichtsorganisationsgesetz – GOG).
Sachverständigentätigkeit erfordert im Regelfall keine Bestellung eines Datenschutzbeauftragten (Art 37 ff).
5. Was tun?
Diese Kurzdarstellung zeigt, dass es für jede/n Sachverständige/n unerlässlich ist, sich mit dieser Materie auseinander zu setzen. Hier konnten nur - ohne Anspruch auf Vollständigkeit - die wichtigsten Regeln skizziert werden. Bei der Umsetzung wird man - so man nicht auf diesem Gebiet eigene Expertise besitzt - ohne sachkundige Unterstützung nicht auskommen. Näheres dazu entnehmen Sie den tieferstehend angeführten Links und den im Verbandsbereich angebotenen Fortbildungsveranstaltungen.
Den Verordnungstext können Sie als PDF hier laden: DSGVO
Eine detailliertere Übersicht über die für gerichtlich bestellte Sachverständige maßgeblichen Regelungen entnehmen Sie dem von StA Mag. Michael Reiter (BMVRDJ) für die Informationsveranstaltungen vom 17. und 18.4.2018 erstellten Handout, das er freundlicherweise auch hier zur Verfügung stellt.
Für alle Mitglieder wird auf dem Webserver des Landesverbandes eine allgemeine Datenschutzinformation für die Webpage unter „mitglieder.gerichts-sv.at“ und die Datenverarbeitung bei gerichtlichen oder privaten Gutachtensaufträgen zur Verfügung gestellt. Diese steht im Mitglieder-Bereich der Homepage des Landesverbandes Wien, NÖ und Burgenland unter MUSTER & VORLAGEN zum Download zur Verfügung oder wird Ihnen auf Wunsch auch zugesendet.
Das Datenschutzgesetz und die genannten Anpassungsgesetze finden Sie im Rechtsinformationssystem des Bundes (RIS)
Link zur Datenschutzbehörde: https://www.dsb.gv.at/
1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl L 119 vom 4.5.2016.
2 BGBl I 2017/120.
3 BGBl I 2018/24.
4 BGBl I 2018/32.