- Der EDÖB hat die Website zur Vorbereitung auf das revidierte DSG aktualisiert, mit neuen Informationen zur Informationspflicht.
- Die aktualisierten Musterschreiben, darunter das Muster-Auskunftsbegehren, verlangen weiterhin die Bestätigung von Richtigkeit und Vollständigkeit.
- Ein neues Meldeformular für Sicherheitsverletzungen wurde eingeführt, wobei bestimmte Angaben nicht verpflichtend sind.
- Ein Whistleblower darf nur melden, wenn keine vertraglichen Geheimhaltungspflichten verletzt werden und keine internen Wege ignoriert wurden.
Der EDÖB hat in Vorbereitung auf das revidierte DSG, das mit der Verordnung am 1. September 2023 in Kraft tritt, seine Website in Teilen neu gestaltet. Es finden sich weiterhin die bestehenden, teilweise älteren – und leider nicht datierten – Informationen, neu aber auch einiges zum revidierten DSG, bspw. Angaben zur Informationspflicht, zum Auskunftsrecht, zu den Strafbestimmungen usw. Die heiklen Fragen werden dabei richtigerweise vermieden.
Wie bisher sind die Aussagen nicht bindend und oft auch nicht ausdrücklich begründet, bspw. die Haltung, dass unter der Generalklausel der Informationspflicht je nach Umständen über die Dauer der Datenbearbeitung zu informieren sei (was sich i.d.R. aus dem Bearbeitungszweck ableiten lässt). Ebenfalls aufdatiert wurden auch Musterschreiben, einschliesslich des Muster-Auskunftsbegehrens (immer noch mit der Bitte, Richtigkeit und Vollständigkeit der Auskunft zu bestätigen, was der Verantwortliche nicht tun sollte).
Ebenfalls aufgeschaltet ist nun das Meldeformular für Sicherheitsverletzungen mit Erläuterungen dazu. Letztere sollten an sich ergänzt werden um den Hinweis,
- dass die übermittelten Angaben nicht in Strafverfahren gegen Personen verwendet werden können, die im meldenden Unternehmen beschäftigt sind, und
- dass “Whistleblower” – auf die das Formular ausdrücklich ebenfalls ausgelegt ist – nur melden dürfen, wenn sie nicht Beschäftigte des betreffenden Unternehmens sind oder dann bereits den internen Weg durchlaufen haben und wenn sie damit nicht gegen vertragliche oder sonstige Geheimhaltungspflichten verstossen (was oft der Fall sein dürfte).
Es sollte zudem klargestellt werden, dass einige der als Pflichtfelder ausgewiesenen Fragen nicht ausgefüllt werden müssen, weil sie über den Inhalt von Art. 15 DSV hinausgehen (z.B. das Feld “Bitte beschreiben Sie, was Sie bisher vom Vorfall wissen” oder die Frage, ob bereits anderen Behörden wie z.B. die Polizei informiert worden sind). Das sind Informationen, nach denen der EDÖB jederzeit fragen darf, aber eine Pflicht zur Beantwortung besteht erst, wenn der EDÖB eine entsprechende Untersuchung eröffnet hat. Das meldende Unternehmen sollte sich dabei auch bewusst sein, dass der EDÖB dem Öffentlichkeitsgesetz untersteht und Informationen auch zu Sicherheitsverletzungen sehr liberal offenlegt (und die Medien das Instrument des BGÖ sehr effizient einzusetzen wissen).
Zwingend ist die Verwendung des Formulars ohnehin nicht; der Verantwortliche kann die Meldung auch in anderer Form machen. Das Gesetz macht hierzu keine Vorgaben.