Takea­ways (AI):
  • Der EDÖB hat die Web­site zur Vor­be­rei­tung auf das revi­dier­te DSG aktua­li­siert, mit neu­en Infor­ma­tio­nen zur Infor­ma­ti­ons­pflicht.
  • Die aktua­li­sier­ten Muster­schrei­ben, dar­un­ter das Muster-Aus­kunfts­be­geh­ren, ver­lan­gen wei­ter­hin die Bestä­ti­gung von Rich­tig­keit und Vollständigkeit.
  • Ein neu­es Mel­de­for­mu­lar für Sicher­heits­ver­let­zun­gen wur­de ein­ge­führt, wobei bestimm­te Anga­ben nicht ver­pflich­tend sind.
  • Ein Whist­le­b­lower darf nur mel­den, wenn kei­ne ver­trag­li­chen Geheim­hal­tungs­pflich­ten ver­letzt wer­den und kei­ne inter­nen Wege igno­riert wurden.

Der EDÖB hat in Vor­be­rei­tung auf das revi­dier­te DSG, das mit der Ver­ord­nung am 1. Sep­tem­ber 2023 in Kraft tritt, sei­ne Web­site in Tei­len neu gestal­tet. Es fin­den sich wei­ter­hin die bestehen­den, teil­wei­se älte­ren – und lei­der nicht datier­ten – Infor­ma­tio­nen, neu aber auch eini­ges zum revi­dier­ten DSG, bspw. Anga­ben zur Infor­ma­ti­ons­pflicht, zum Aus­kunfts­recht, zu den Straf­be­stim­mun­gen usw. Die heik­len Fra­gen wer­den dabei rich­ti­ger­wei­se vermieden.

Wie bis­her sind die Aus­sa­gen nicht bin­dend und oft auch nicht aus­drück­lich begrün­det, bspw. die Hal­tung, dass unter der Gene­ral­klau­sel der Infor­ma­ti­ons­pflicht je nach Umstän­den über die Dau­er der Daten­be­ar­bei­tung zu infor­mie­ren sei (was sich i.d.R. aus dem Bear­bei­tungs­zweck ablei­ten lässt). Eben­falls auf­da­tiert wur­den auch Muster­schrei­ben, ein­schliess­lich des Muster-Aus­kunfts­be­geh­rens (immer noch mit der Bit­te, Rich­tig­keit und Voll­stän­dig­keit der Aus­kunft zu bestä­ti­gen, was der Ver­ant­wort­li­che nicht tun sollte).

Eben­falls auf­ge­schal­tet ist nun das Mel­de­for­mu­lar für Sicher­heits­ver­let­zun­gen mit Erläu­te­run­gen dazu. Letz­te­re soll­ten an sich ergänzt wer­den um den Hinweis,

  • dass die über­mit­tel­ten Anga­ben nicht in Straf­ver­fah­ren gegen Per­so­nen ver­wen­det wer­den kön­nen, die im mel­den­den Unter­neh­men beschäf­tigt sind, und
  • dass “Whist­le­b­lower” – auf die das For­mu­lar aus­drück­lich eben­falls aus­ge­legt ist – nur mel­den dür­fen, wenn sie nicht Beschäf­tig­te des betref­fen­den Unter­neh­mens sind oder dann bereits den inter­nen Weg durch­lau­fen haben und wenn sie damit nicht gegen ver­trag­li­che oder son­sti­ge Geheim­hal­tungs­pflich­ten ver­sto­ssen (was oft der Fall sein dürfte).

Es soll­te zudem klar­ge­stellt wer­den, dass eini­ge der als Pflicht­fel­der aus­ge­wie­se­nen Fra­gen nicht aus­ge­füllt wer­den müs­sen, weil sie über den Inhalt von Art. 15 DSV hin­aus­ge­hen (z.B. das Feld “Bit­te beschrei­ben Sie, was Sie bis­her vom Vor­fall wis­sen” oder die Fra­ge, ob bereits ande­ren Behör­den wie z.B. die Poli­zei infor­miert wor­den sind). Das sind Infor­ma­tio­nen, nach denen der EDÖB jeder­zeit fra­gen darf, aber eine Pflicht zur Beant­wor­tung besteht erst, wenn der EDÖB eine ent­spre­chen­de Unter­su­chung eröff­net hat. Das mel­den­de Unter­neh­men soll­te sich dabei auch bewusst sein, dass der EDÖB dem Öffent­lich­keits­ge­setz unter­steht und Infor­ma­tio­nen auch zu Sicher­heits­ver­let­zun­gen sehr libe­ral offen­legt (und die Medi­en das Instru­ment des BGÖ sehr effi­zi­ent ein­zu­set­zen wissen).

Zwin­gend ist die Ver­wen­dung des For­mu­lars ohne­hin nicht; der Ver­ant­wort­li­che kann die Mel­dung auch in ande­rer Form machen. Das Gesetz macht hier­zu kei­ne Vorgaben.

AI-generierte Takeaways können falsch sein.