2009/08/26 DSG-Novelle 2010 - Ein mangelhafter Entwurf
Mag. jur. Michael Krenn
Das Bundeskanzleramt hat das Bundesgesetz, mit dem das Bundes-Verfassungsgesetz, das Datenschutzgesetz 2000 und das Sicherheitspolizeigesetz geändert werden, die sogenannte DSG-Novelle 2010, in Begutachtung gebracht.
1. Rückschritt zum Entwurf 2008
Auf die Einführung des verpflichtenden betrieblichen Datenschutzbeauftragten wurde im Gegensatz zum Begutachtungsentwurf 2008 verzichtet. Da dieser Punkt - aus Sicht des Datenschutzes - den positivsten Teil des vergangenen Begutachtungsentwurfs ausgemacht hat, ist dies besonders ärgerlich.
Zu kritisieren ist ausserdem, dass die Vereinfachung des Registrierungsverfahrens im Sinne einer "Quasi-Abschaffung" der Vorabkontrolle, welche ursprünglich als "Kontrapunkt" zum verpflichtenden betrieblichen Datenschutzbeauftragten gestanden ist, im nunmehr vorliegenden Entwurf – trotz Entfallens des verpflichtenden betrieblichen Datenschutzbeauftragten – übernommen wurde.
2. Kompetenzänderung bei nicht automationsunterstützt verarbeiteten Daten (Art.1)
Da bisher kein bundeseinheitliches Schutzniveau hinsichtlich nicht automationsunterstützt verarbeiteter Daten existierte, ist auch positiv zu bewerten, dass nun Gesetzgebung und Vollziehung deren in die Bundeskompetenz verlagert werden. Etwas missverständlich ist allerdings die in den Erläuternden Bemerkungen (EB) vorgenommene Abgrenzung, dass die Bestimmungen hinsichtlich der Datenverwendung in Materienbereichen ausschließlich dem zuständigen Materiengesetzgeber zukommen soll. Das ist, sofern man ausschließlich von der formellen Gesetzgebung ausgeht, richtig. Festzuhalten ist, dass sich die in den einzelnen Materiengesetzen enthaltenen Regelungen zur Datenverwendung an den Bestimmungen des DSG 2000 zu orientieren haben, also inhaltlich mit den durch den Bundesgesetzgeber geschaffenen Datenschutzbestimmungen korrespondieren müssen.
3. Kein Schutz für allgemein verfügbare Daten (Art. 2 Z 12)
Das dem österreichischen DSG eigene Prinzip, dass "allgemein verfügbare" Daten grundsätzlich keinem Schutz zugänglich sein sollen, wird durch die vorliegende Novelle – wie schon im Begutachtungsentwurf 2008 - fortgeführt. In diesem Zusammenhang kann von einer gewissen Ausweitung dieses Prinzips gesprochen werden, da bislang nur Daten, die aufgrund ihrer allgemeinen Verfügbarkeit einem Geheimhaltungsanspruch nicht zugänglich waren, vom DSG ausgeschlossen waren. Nun werden jedoch generell allgemein verfügbare Daten als nicht schutzwürdig betrachtet.
Jedoch ist festzuhalten, dass die europarechtlichen Grundlagen diese Ausnahme nicht kennen: Die Prinzipien der EU-Datenschutz-Richtlinie finden nach Art. 1 auf alle personenbezogenen Daten Anwendung. Auch Art. 2, welcher Ausnahmen von diesem Prinzip festlegt, nimmt auf die allgemeine Verfügbarkeit von Daten keinerlei Bezug. Ausnahmen finden sich lediglich zu einzelnen Regelungsbereichen, wie etwa zur Registrierung.
Besonders störend ist, dass der Gesetzgeber auf eine Definition "allgemeiner Verfügbarkeit", insbesondere in Hinblick auf den im DSG 2000 verwendeten Begriff der "öffentlich zugänglichen Datei" verzichtet. Der Gesetzgeber sieht offensichtlich einen Qualitätsunterschied zwischen personenbezogenen Daten (die zwar öffentlich zugänglich sind, allerdings dennoch dem Schutzanspruch des DSG 2000 unterliegen) und allgemein verfügbaren Daten (die dem Schutzgedanken des DSG 2000 nicht mehr unterliegen). Das Problem ist, dass keiner der beiden Begriffe gesetzesdefiniert ist. Dies wird im Zweifelsfall dazu führen, dass Datenschutzverletzungen mit dem Prinzip "allgemeiner Verfügbarkeit" gerechtfertigt werden und eine Klärung des Anwendungsbereiches erst in gerichtlichen Verfahren erfolgt.
Doch letztendlich darf die Tatsache, dass personenbezogene Daten in irgendeiner Weise für die Allgemeinheit zugänglich sind, nicht dazu führen, dass mit diesen entgegen jeder datenschutzrechtlichen Einschränkung verfahren werden darf und jeglicher Geheimhaltungsanspruch erlischt. Jedoch lässt eine solche Auffassung unberücksichtigt, dass es zwangsläufig verschiedene Ebenen eines Öffentlichkeits- bzw. Verfügbarkeitsniveaus von Daten gibt. Dazu hat etwa die DSK bedenklicherweise personenbezogenen Daten in Gemeinderatsprotokollen die Schutzwürdigkeit abgesprochen, da diese per legem öffentlich einsehbar und daher allgemein verfügbar seien (K121.405/0004-DSK/2008 vom 26.9.2008). Es ist hinsichtlich der Verfügbarkeit und Öffentlichkeit von Daten jedenfalls ein Unterscheid, ob bestimmte Daten jederzeit mittels Mausklick im Internet abrufbar sind, durch Medien verbreitet werden oder die Informationen erst durch mühsame – wenn auch rechtlich mögliche - Einsicht in einen Akt zugänglich werden. Allein die Tatsache, dass personenbezogene Daten jedermann zugänglich sind, darf somit nicht dazu führen, diese generell aus dem Schutzbereich des DSG 2000 auszunehmen.
Dass personenbezogene Daten infolge "allgemeiner Verfügbarkeit" aus dem Schutzbereich des DSG gänzlich ausscheiden, ist daher als europarechtswidrig und als bedenklich abzulehnen. Ob ein Schutzanspruch bzw. ein Eingriff in datenschutzrechtliche Interessen besteht kann nur anhand des Einzelfalles beurteilt werden. Die Bezugnahme auf allgemein verfügbare Daten in § 1 DSG 2000 sollte daher ersatzlos entfallen.
4. Einschränkung und Ausweitung des Geltungsbereichs des DSG (Art. 2 Z 27)
Positiv ist, dass der Gesetzgeber die Bestimmungen der §§ 6-9 DSG 2000 über die Zulässigkeit der Verwendung von Daten - mit Ausnahme von Teilen des § 6 DSG 2000 - auch auf Daten die nicht in einer Datenanwendung verwendet werden angewendet wissen will. Durch diese Bestimmung würde – gemeinsam mit der Kompetenzbereinigung bei manuell verarbeiteten Daten zugunsten des Bundesgesetzgebers – endlich eine klare Europarechtswidrigkeit zu Lasten Betroffener beseitigt. Nicht einsichtig ist hingegen, warum nicht die gesamte Bestimmung des § 6 Abs 1 DSG 2000 auf nicht in einer Datenanwendung bzw. manuellen Datei verarbeitete Daten angewendet wird.
Zwar ist einzuräumen, dass die Verpflichtungen zu Aktualisierung und Löschung bei Auftraggebern von Datenanwendungen eine größere Bedeutung haben mögen. Derartige Verpflichtungen können bei Daten, die nicht im Rahmen einer Datenanwendung verarbeitet werden auch angenommen werden. Weiters ist zu bedenken, dass die entsprechenden Bestimmungen unter Einschränkungen stehen (Gesetzeswortlaut "wenn es nötig ist"). Daher wäre eine sinnleere Überhandnahme von datenschutzrechtlichen Verpflichtungen auch nicht zu befürchten, wenn man diesen Bestimmungen unabhängig von der Verarbeitungsweise in einer Datenanwendung Geltung geben würde.
Zu bemerken ist, dass die EU-Datenschutzrichtlinie die Einschränkung dieser Zulässigkeitsbestimmungen nicht kennt. Im Sinne der EU-Datenschutzrichtlinie gilt - im Gegensatz zur österreichischen Gesetzeslage - jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder Vorgangsreihe im Zusammenhang mit personenbezogenen Daten als "Verarbeitung personenbezogener Daten" ("Verarbeitung"). Auch Art. 6 der Datenschutzrichtlinie, der die Verarbeitungsgrundsätze regelt, kennt die österreichische Einschränkung nicht.
Dies gilt auch dafür, dass nun zwar die Bestimmungen des 6. Abschnitts des DSG 2000 (Befugnisse der DSK, Geltendmachung von Ansprüchen vor Zivilgerichten), nicht jedoch jene des 5. Abschnitts (Widerspruchs- und Löschungsrecht) auf nicht in einer Datenanwendung verarbeitete Daten anwendbar sein sollen. Dies führt dazu, dass die Möglichkeiten zu Anrufung von DSK und Zivilgerichten bei so verarbeiteten Daten beschränkt bleiben. Art. 12 sowie Art. 14 der EU-Datenschutz-Richtlinie zu Auskunftsrecht und Widerspruchsrecht nehmen auf den Verarbeitungsbegriff der EU-Datenschutzrichtlinie, der einen umfassenderen Geltungsbereich als jener des DSG 2000 hat, ausdrücklich Bezug.
Fazit: Die Ausweitung des Anwendungsbereichs des DSG 2000 auf nicht in einer Datenanwendung verarbeitete Daten stellt zwar einen Fortschritt gegenüber dem Ist-Zustand sowie dem Entwurf 2008 dar. Ärgerlich ist jedoch, dass es sich um eine "halbe Reform" handelt und Teile des DSG 2000 unanwendbar bleiben. Aus welchen Gründen der Gesetzgeber Aktualisierungs- und Löschungsansprüche von Betroffenen unbedingt versagen möchte bleibt unklar.
5. Kein Widerspruchsrecht bei indirekt personenbezogenen Daten (Art. 2 Z 29)
Dass der Gesetzgeber bei indirekt personenbezogenen Daten kein Widerspruchsrecht gegen deren Verwendung sieht, ist mit dem bisherigen Gesetzesstand konsistent, da indirekt personenbezogene Daten aus dem Schutzbereich des DSG 2000 weitgehend ausgenommen sind. Dies ändert nichts daran, dass der gesamte Terminus der indirekt personenbezogenen Daten völlig europarechtswidrig ist und wesentliche Schutzrechte österreichischer Betroffener seit Jahren vorenthalten werden. Dass die Reform nicht dazu genutzt wird, dieses unnötige österreichische Kuriosum DSG 2000 endlich europarechtskonform zu machen, sondern noch auf weitere Bereiche ausgeweitet wird, spricht für sich. Warum - wie die EB kryptisch wiedergeben – das Widerspruchsrecht gegen die Verwendung indirekt personenbezogener Daten sinnwidrig sein sollte, ist nicht erklärbar. Im Gegenteil: Gerade wenn indirekt personenbezogene Daten in einer öffentlich zugänglichen Datei verarbeitet werden, besteht erhöhte Missbrauchsgefahr, dass Dritte eine gesetzwidrige personenbezogene Rückführung vornehmen könnten. In diesem Sinne war das Widerspruchsrecht auch bei indirekt personenbezogenen Daten nicht "sinnwidrig", sondern ein wertvoller Rechtsbehelf, der nun anlasslos gestrichen werden soll. Die ARGE Daten spricht sich gegen diese Bestimmung aus.
6. Ausnahme von der Meldepflicht für gesetzesdefinierte Datenanwendungen (Art. 2 Z 37)
Was seitens des Gesetzgebers als "Entlastung des DVR-Registers" verkauft wird, stellt eine erhebliche Einschränkung von Betroffenenrechten dar. Das "DVR-Register" dient als "zentrales Verzeichnis" unter anderem dazu, Betroffenen gewünschte Informationen über bestehende Datenanwendungen zu liefern (Auftraggeber, Datenarten, Übermittlungsempfänger, etc.). Wie dies erfolgen soll, wenn die Informationen nur mehr in einem (dem Bürger in der Regel nicht bekannten) Materiengesetz enthalten sind, ist unklar. Die DVR-Registrierung solcher Anwendungen ist daher keine unnötige "Fleißaufgabe", sondern dient notwendiger Information. Die entsprechende Änderung wird daher abgelehnt.
7. Registrierung und Vorabkontrolle nur mehr automationsunterstützt (Art. 2 Z 39)
Die Bestimmungen der §§ 20-22 DSG, welche eine Vorabkontrolle nur mehr automationsunterstützt mittels Internetanwendung vorsehen, werden von den EB als das Herzstück der Reform gepriesen.
Aus Sicht des Datenschutzes sind die geplanten Bestimmungen hingegen überaus kritisch zu betrachten. Gemäß dem geplanten § 20 DSG sollen Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers nicht vorabkontrollpflichtig sind, nur mehr automationsunterstützt im Rahmen der Internetanwendung auf ihre Vollständigkeit und Plausibilität hin überprüft werden. Ergibt diese Prüfung keine Fehlermeldung, so ist die Meldung sofort zu registrieren. Sofern eine Datenverarbeitung der Vorabkontrolle unterliegt oder bei der automationsunterstützten Prüfung "durchgefallen" ist, gibt es die Möglichkeit der Mangelhaftigkeitsprüfung gemäß § 19 Abs 3 DSG, diese bezieht sich allerdings nur auf die Mangelhaftigkeit der Meldung.
Datenanwendungen, die nach Angabe des Auftraggebers der Vorabkontrolle des § 18 DSG 2000 unterliegen, fallen nicht unter das vorgesehene vereinfachte Verfahren. Das Grundproblem ist, dass es völlig dem Auftraggeber überlassen wird, ob er eine Datenanwendung als vorabkontrollpflichtig bezeichnet. Somit ist dem Missbrauch Tür und Tor geöffnet.
Zwar ist nach § 22 a DSG ein "Verfahren zur Überprüfung der Erfüllung der Meldepflicht" vorgesehen, im Zuge dessen registrierte Meldungen von der Datenschutzkommission jederzeit auf Mangelhaftigkeit geprüft werden können. Doch ist nicht zu erwarten, dass dieses Verfahren über Stichproben hinaus Verwendung finden wird. Die Europarechtskonformität der geplanten Gesetzeslage ist dabei fragwürdig.
Erwägungsgrund 54 der EU-Datenschutzrichtlinie hält fest, dass die Zahl der Verarbeitungen mit besonderen Risiken sehr beschränkt seien und die Mitgliedstaaten vor ihrer Durchführung eine Vorabprüfung durch die Kontrollstelle oder den Datenschutzbeauftragten vorsehen müssen. Als Ergebnis dieser Vorabprüfung kann die Kontrollstelle gemäß einzelstaatlichem Recht eine Stellungnahme abgeben oder die Verarbeitung genehmigen. Solch eine Prüfung kann auch bei Ausarbeitung einer gesetzgeberischen Maßnahme des nationalen Parlaments oder einer darauf gestützten Maßnahme, die die Art der Verarbeitung und geeignete Garantien festlegt, erfolgen.
Auch gemäß Artikel 20 der Richtlinie haben die Mitgliedstaaten festzulegen, welche Verarbeitungen für die Rechte und Freiheiten der Personen Risiken beinhalten können, und dafür zu sorge, dass diese Verarbeitungen vor ihrem Beginn geprüft werden.
Aufgrund des vorliegenden Gesetzesentwurfs wäre hinsichtlich der von Österreich als vorabkontrollpflichtig festgelegten Verarbeitungen keine Überprüfung mehr garantiert, weshalb der vorliegende Entwurf in dieser Form abzulehnen ist.
Besonders kritisch zu betrachten ist, dass die "Aufweichung" des Registrierungsverfahrens im Entwurf 2008 noch als eine Art "Gegenpol" zum verpflichteten betrieblichen Datenschutzbeauftragten gedacht war. Diese sinnvolle Einrichtung ist im nun vorliegenden Entwurf nicht mehr enthalten. Im Gegensatz dazu ist die Reduzierung des Registrierungsverfahrens samt Überprüfungsmöglichkeiten geblieben. Dabei war schon das "Ausspielen" betrieblicher Datenschutzbeauftragter vs. Registrierungsverfahren bedenklich.
In einer Stellungnahme der Art. 29 Gruppe zum Institut des betrieblichen Datenschutzbeauftragten heißt es, dass der Einsatz von Datenschutzbeauftragten die gesetzlichen Befugnisse der Datenschutzaufsichtsbehörden - auch am Fall der Vorabkontrolle - unberührt lassen müsse. Gerade die Vorabkontrolle sei ein wesentlicher Bestandteil der Vereinfachung und helfe der Aufsichtsbehörde dabei, sich auf Verarbeitungsprozesse bzw. Sektoren zu konzentrieren, die für die Privatsphäre von Individuen von besonderer Bedeutung seien.
Wenn nun schon aber auf den betrieblichen Datenschutzbeauftragten als Pflichtinstitution verzichtet werden soll, muss aus Sicht der ARGE Daten zumindest das strenge und genaue Registrierungsverfahren erhalten bleiben.
8. Ausweitung des Anwendungsbereichs des Mandatsbescheides der DSK (Art. 2 Z 51)
Sinnvoll und zu begrüßen ist die Ausweitung der Möglichkeiten der DSK, Datenanwendungen mittels Mandatsbescheid zu untersagen. Dass dies bislang nur bei Verstößen gegen die Registrierungsverpflichtung möglich war, war eine evidente Schutzlücke und insoferne sinnwidrig, da es wesentlich stärkere Verstöße gegen Interessen Betroffener, als gegen Unterlassung der Registrierung gibt. Dass es bei Gefahr für Betroffene eine Untersagungsmöglichkeit seitens der Datenschutzbehörde gibt, sollte eigentlich eine Selbstverständlichkeit sein.
Bedenklich ist allerdings die große Hürde, welche mit einer "wesentlichen Gefährdung" geschaffen wird. Damit gibt der Gesetzgeber der DSK eine große Ermessensmöglichkeit bei der Anwendung dieses Zwangsmittels. Die Tatsache, dass es bisher so gut wie nie eingesetzt wurde, spricht leider nicht dafür, dass diese das Ermessen zugunsten der Betroffenen ausnutzen wird.
9. Unnötiger Formalismus bei Beschwerden an die Datenschutzkommission (Art. 2 Z 31)
Durch die vorgesehene Bestimmung des § 31 Abs 3 DSG wird das Verfahren zur Beschwerde vor der Datenschutzkommission in unnötiger Weise formalisiert.
Die geplanten Bestimmungen, welche selbst in den EB als Formalisierung bezeichnet werden, bringen hinsichtlich der Wahrung von Betroffenenrechten eine erhebliche Verschlechterung mit sich. Gerade das Verfahren vor der Datenschutzkommission hat sich bislang dadurch ausgezeichnet, dass es auch durch nicht fachkundig geschulte Bürger ohne einen rechtlichen Beistand relativ einfach in Anspruch genommen werden konnte.
Dies entspricht auch der Idee der EU-Datenschutzrichtlinie, welche in Art. 28 Abs 4 festhält, dass sich jede Person zum Schutz der betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden können muss. Die betroffene Person ist darüber zu informieren, wie mit der Eingabe verfahren wurde.
Dass jedes Verfahren auch verfahrensrechtliche Vorschriften haben muss, sei hier nicht bestritten. Aus dem Wortlaut der Datenschutzrichtlinie geht hervor, dass es die Möglichkeit gibt, bei der nationalen datenschutzrechtlichen Kontrollstelle Eingaben zu machen. Von formellen Beschränkungen ist dabei nicht die Rede. Es ist jedenfalls auch nicht einsichtig, welcher Sinn hinter der Formalisierung stehen soll. Bislang ist es der Datenschutzkommission auch gelungen, Beschwerden die nicht über die nunmehr genannten inhaltlichen Voraussetzungen verfügten, zu behandeln.
Falls das Interesse dahin gehen sollte, die DSK - die sich offenbar nicht mit Eingaben einfacher Bürger abgeben möchte - zu entlasten, sei darauf verwiesen, dass dadurch auf die DSK sogar mehr Arbeitsaufwand zukommen könnte als bisher. Da oftmals notwendige Erlassungen von Verbesserungsanträgen bestehen.
Die Bestimmungen sind jedenfalls als unnötige und bürgerfeindliche Formalisierungen abzulehnen.
10. DSK-Entscheidungen gegenüber Auftraggebern öffentlichen Rechts nicht durchsetzbar
§ 31 Abs 7 des vorgelegten Entwurfs sieht vor, dass - soweit eine festgestellte Verletzung im Recht auf Auskunft einem in Formen des Privatrechts eingerichteten Rechtsträger zuzurechnen ist, der nicht in Ausübung von Hoheitsgewalt tätig geworden ist - ist diesem auf Antrag zusätzlich die - allenfalls erneute - Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen.
Für Auftraggeber des öffentlichen Rechts findet sich eine derartige Regelung nicht. Gegenüber Auftraggebern des öffentlichen Rechts sind Verletzungen der Bestimmungen des DSG 2000 nach § 40 Abs 4 DSG 2000 nach wie vor durch die Datenschutzkommission festzustellen. Aus einem entsprechenden Bescheid über die Verletzung des Auskunftsrechts ergibt sich eine Verpflichtung des Auftraggebers, den rechtskonformen Zustand herzustellen. Exekutierbar sind derartige Bescheide nach den österreichischen Bestimmungen jedoch nicht. Betroffene können also entsprechende Verletzungen datenschutzrechtlicher Bestimmungen durch Auftraggeber öffentlichen Rechts feststellen lassen, durchsetzbar sind daraus resultierende Ansprüche aber nicht.
Art. 12 der Richtlinie 95/46/EG verankert das datenschutzrechtliche Auskunftsrecht. Art. 24 der Richtlinie 95/46/EG verpflichtet die Mitgliedstaaten Maßnahmen zu ergreifen, um die volle Anwendung der Bestimmungen der Richtlinie sicherzustellen und Sanktionen bei Verstößen festzusetzen. Entsprechend der Richtlinie 95/46/EG besteht somit nicht nur die Verpflichtung, gesetzliche Bestimmungen zu erlassen sondern ist es für Mitgliedsstaaten der EU auch verpflichtend, mittels effizienter und geeigneter Regelungen für die Einhaltung von Bestimmungen zu sorgen. Ein reiner Feststellungsbescheid, der nicht durchsetzbar ist, bietet Betroffenen keinerlei Möglichkeit zur Rechtsdurchsetzung gegenüber datenschutzrechtlichen Beschwerdegegnern. Da gegenüber Auftraggebern öffentlichen Rechts (österreichischen Rechts) die Möglichkeit einer effizienten Rechtsdurchsetzung - mangels Vollstreckbarkeit entsprechender Entscheidungen zu Verstößen gegen Datenschutzbestimmungen - nicht gegeben ist, ist die derzeitige Rechtslage mit den Regelungen der Richtlinie 95/46/EG nicht vereinbar.
11. Keine befriedigende Änderung zu den Regelungen bei nachträglicher Auskunft (Art 2 Z 52)
Gemäß dem geplanten § 31 Abs 8 DSG kann ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den §§ 26 bis 28 Beschwerde erhoben wurde, bis zum Abschluss des Verfahrens vor der Datenschutzkommission gemäß § 26 Abs. 4 oder § 27 Abs. 4 die behauptete Rechtsverletzung nachträglich beseitigen. Erscheint der Datenschutzkommission, durch derartige Reaktionen des Beschwerdegegners, die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzkommission das Verfahren einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die behauptete Rechtsverletzung nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der Einbringung einer neuen auszugehen. Auch in diesem Fall ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.
Demnach soll eine Feststellung von DSG-Verletzungen, wenn der Beschwerdegegner diese nachträglich beseitigt, weiterhin nicht erfolgen.
Das österreichische Auskunftsrecht erweist sich als besonders zahnlos. Nur wenige Betroffene machen sich die Mühe, gegen ungenügende Auskünfte vor die Datenschutzkommission zu ziehen. Schlagen sie diesen Weg ein, so bekommen sie zwar – im nachhinein - Auskunft, haben jedoch Mühe in ein Verfahren investiert und bleiben auf allfälligen Kosten sitzen. Zwar gibt es nach § 52 DSG eine Verwaltungsstrafbestimmung, die Verletzungen des Auskunftsrechts ahndet, die Exekution derer erfolgt aber nur schleppend.
Die diesbezügliche Gesetzeslage ist hinsichtlich ihrer europarechtlichen Vereinbarkeit fragwürdig. Art. 8 der EU-Datenschutz-Richtlinie garantiert Betroffenen jedenfalls, "frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten" Auskunft über die Verarbeitung sie betreffender Daten. Insbesondere Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der verarbeiteten Daten und die Empfänger an die die Daten übermittelt werden oder deren Kategorien.
Eine solche Gesetzeslage, die es ungeahndet lässt wenn Betroffene regelmäßig nur im Rahmen aufwendiger Beschwerdeverfahren ihre Ansprüche gegenüber Datenverarbeitern durchsetzen können, kann sich mit dieser Auskunftsgarantie nicht vertragen. Entsprechende Auftraggeber werden - mangels Sanktionen - gegenwärtig geradezu eingeladen Auskunfts-Ersuchen erst im Rahmen eines Verfahrens zu beantworten.
Die Gesetzeslage ist unbefriedigend, die Möglichkeit einer Korrektur wurde hier versäumt.
12. Meldevereinfachung für Informationsverbundsysteme (Art.2 Z 81)
Zu kritisieren ist, dass die Teilnahme an Informationsverbundsystemen künftig derart vereinfacht werden soll, dass in Zukunft die Meldung, unter den gleichen Auflagen wie die bisherigen Teilnehmer daran teilhaben zu wollen, genügt. Dies führt insoferne zu einem Rechtsschutzdefizit als - entgegen der Auffassung des Gesetzgebers - jeder Teilnehmer für sich betrachtet werden sollte. Hinsichtlich der zu erteilenden Auflagen und der Frage, ob die Verarbeitung überhaupt zulässig ist, kann es von Auftraggeber zu Auftraggeber denkmöglich unterschiedliche Ergebnisse geben. Eine "Vereinfachung", welche dazu führt, dass nur mehr hinsichtlich der "ersten" Auftraggeber ein förmliches Verfahren stattfindet, ist als Eingriff in den Betroffenenschutz abzulehnen.
13. Videoüberwachung (Art. 82, § 50 a ff. DSG 2000)
13.1 Grundsätzliches
Prinzipiell positiv ist, dass der Gesetzgeber eingesehen hat, dass der Bereich der Videoüberwachung einer gesonderten gesetzlichen Regelung bedarf. Dies ergibt sich zunächst aus dem "Video-Boom" der vergangenen Jahre, welcher zu einer unüberschaubaren Verbreitung von Videoüberwachungsmaßnahmen in sämtlichen gesellschaftlichen Bereichen und leider auch zu einem Wildwuchs an nicht gemeldeten Überwachungen geführt hat. Zwar unterliegen Videoüberwachungen - wie jede andere Form von Datenverwendungen - auch den bisherigen Bestimmungen des DSG 2000. Es hat sich jedoch erwiesen, dass vor allem die DSK mit der Anwendung allgemein datenschutzrechtlicher Bestimmungen vollkommen überfordert gewesen sein dürfte. Anders sind verschiedene inkompetente Entscheidungen, die mit dem Gesetzestext in keinerlei Zusammenhang stehen, nicht erklärlich (etwa DSK K121.425/0003-DSK/2009, 21.1.2009 zur Verweigerung des Auskunftsanspruchs bei Videoüberwachung oder K600.064-001/0002-DVR/2009, 8.5.2009 zum Entfall der Meldeverpflichtung bei Videoaufzeichnungen auf Privatgrundstücken).
In Anbetracht derartiger Entscheidungen kann und darf die Rechtsfortbildung in diesem Bereich nicht der DSK überlassen werden. Es ist daher zu begrüßen, dass der Gesetzgeber ein "Machtwort" anhand des vorliegenden Entwurfes spricht.
Die einzelnen Bestimmungen sind differenziert zu sehen: Abzulehnen ist die Begriffseinschränkung auf "Videoaufzeichnungen mit systematischen Überwachungscharakter", welche "Zufallsüberwachungen" a la "street-view" ausnimmt. Ausserdem noch der Ausschluss von "öffentlich wahrnehmbaren Verhalten" aus dem gesetzlichen Schutzbereich. Positiv ist hingegen, dass Informations- und Auskunftspflicht gesetzlich verankert werden, allerdings gehen hier die Ausnahmen zu weit.
13.2 Begriffsbestimmung § 50 a Abs 1 DSG 2000
An der Begriffsbestimmung des § 50 a DSG 2000 ist zu kritisieren, dass die Gesetzesdefinition unter dem Begriff "Videoüberwachung" ausschließlich die "systematische Feststellung von Ereignissen, die ein bestimmtes Objekt oder eine bestimmte Person betreffen" subsumiert. Dazu, was der Gesetzgeber unter einer "systematischen Feststellung" versteht, geben die EB keine Anhaltspunkte. Zu befürchten ist, dass die Gesetzesdefinition "Zufallsaufnahmen" im Sinne von "google street view" nicht erfassen würde, da es hier an einer systematischen Ausrichtung auf ein bestimmtes Objekt bzw. eine bestimmte Person mangeln könnte. Wer "auf Gut Glück" Videoaufnahmen durchführt, soll von den Bestimmungen des DSG 2000 offenbar prinzipiell nicht erfasst werden. Dies ist nicht einsichtig, da derartige Aufzeichnungen - unabhängig davon, ob sie Überwachungscharakter besitzen - jedenfalls Betroffenenrechte tangieren.
Die Begriffsdefinition ist jedenfalls nicht konsistent zu den sonstigen Bestimmungen des DSG 2000, da die allgemeinen Begriffsdefinitionen eine Ausklammerung von Verarbeitungen, welche personenbezogene Daten quasi nur als "Zufallsfunde" aufnehmen, nicht kennt. Dass eine derartige restriktive Begriffsdefinition nötig ist, um Aufnahmen aus künstlerischen, touristischen oder familiären Zwecken nicht zu verhindern, ist zu bestreiten. Da derartigen Aufzeichnungen in den meisten Fällen schon aufgrund der allgemeinen Bestimmungen des DSG 2000 eine rechtliche Legitimation aufgrund Interessen des Auftraggebers zukäme. Die Begriffsdefinition wird durch die ARGE Daten daher als zu restriktiv abgelehnt und sollte jegliche Verarbeitung personenbezogener Daten durch entsprechende technische Geräte umfassen. Eine Einschränkung auf Aufnahmen mit "Überwachungscharakter" ist nicht nötig.
Vorgeschlagen wird, statt der hier verwendeten Definition von "Verwenden personenbezogener Daten mittels technischer Bildaufnahme- und Bildübertragungsgeräte" auszugehen, weitere Einschränkungen sind nicht nötig. Angemerkt wird, dass etwa der deutsche Gesetzgeber in § 6b BDSG eine ähnlich simple Definition gewählt hat.
13.3 Verletzung schutzwürdiger Geheimhaltungsinteressen § 50 a Abs 3 DSG 2000
Vollkommen inakzeptabel ist die vorgesehene Bestimmung des § 50 a Abs 3 Z 2 DSG 2000, welche für den Falle, dass ein Verhalten "ohne jeden Zweifel den Schluss zulässt, dass es darauf gerichtet war, öffentlich wahrgenommen zu werden" keine Verletzung schutzwürdiger Geheimhaltungsinteressen Betroffener sieht. Mit dieser Bestimmung würde jegliche Videoüberwachung im öffentlichen Raum restriktionsfrei legitimiert. Da man davon ausgehen kann, dass jemand, der sich im öffentlichen Raum bewegt, auch mit der öffentlichen Wahrnehmung seines Verhaltens rechnen muss. Dies kann nicht zu einem automatischen Ausschluss der Verletzung von Geheimhaltungsinteressen durch Videoüberwachung führen. Dass damit gerechnet werden muss, durch andere Personen wahrgenommen zu werden, heißt nicht automatisch, dass der Betroffene auch mit einer Videoaufzeichnung bzw. systematischen Verarbeitung einverstanden ist. Es ist in der Rechtsprechung weitgehend anerkannt, dass die systematische Überwachung mittels Videoaufzeichnung einen wesentlich gravierenderen Eingriff in Persönlichkeitsrechte darstellt als das simple "Wahrnehmen eines Betroffenen" durch eine andere Person (zB OGH 19.12.2006, 4 Ob 52/06k).
Die EB nennen zwar beispielhaft "Straßenkunst" oder "Veranstaltungen" als Anwendungsgebiete der vorgesehenen Bestimmung. Diese einschränkende Interpretation findet allerdings im Gesetzeswortlaut keine Deckung. Daher ist diese Bestimmung abzulehnen.
13.4 Vorabkontrolle § 50 c DSG 2000
Festzuhalten ist, dass eine ergangene Entscheidung der DSK (K600.064-001/0002-DVR/2009, 8.5.2009) Videoüberwachungen auf Privatgrundstücken der Vorabkontrolle weitgehend entziehen möchte. Der Begutachtungsentwurf bietet zwar keinen Ansatz, dass der Gesetzgeber dieser Auffassung folgt. Es wäre allerdings eine gesetzliche Klarstellung wünschenswert. Damit keine Unterstellung unter §§ 17 Abs 2 Z 4 iVm 45 DSG 2000 im Rahmen der Rechtsprechung erfolgt.
Die Ausnahmen des § 17 Abs 3 DSG 2000 sollten hinsichtlich Videoüberwachungen nicht unumschränkt übernommen werden. Insbesondere die Ausnahme des § 17 Abs 3 Z 5 DSG 2000 könnte zu einem Entfall der Meldverpflichtung bei privaten, verdeckten Videoüberwachungen führen, da diese ihren Anwendungszweck häufig mit Verhinderung und Aufklärung von Straftaten rechtfertigt. Die Einschränkung, dass der Entfall nur dann erfolgt, wenn dies zur Verwirklichung des Zwecks nötig ist, ist zu unklar. Angseichts dieser Ausnahmebestimmung wird daher gefordert, dass sie hinsichtlich Videoaufzeichnungen nicht zur Anwendung gelangt.
13.5 Information durch Kennzeichnung § 50 d DSG 2000
Die verpflichtende Kennzeichnung zur Erfüllung der gesetzmäßigen Informationsverpflichtung ist prinzipiell zu begrüßen. Auch hinsichtlich der Informationspflicht ist nochmals darauf zu verweisen, dass die Anwendung der Ausnahmebestimmung des § 17 Abs 3 Z 5 DSG 2000 möglicherweise zum Entfall der Verpflichtung für eine erhebliche Zahl von Videoüberwachungen führen würde. Welche daher abzulehnen sei.
13.6 Auskunftsrecht § 50 e DSG 2000
Grundsätzlich ist es überaus positiv und sinnvoll, dass das Auskunftsrecht für Videoaufzeichnungen nunmehr gesetzlich klar gestellt wird. Die ARGE Daten ist der Auffassung, dass dieses Betroffenen bereits bislang aufgrund der Gesetzesbestimmungen zugestanden wäre. Durch die DSK wurde dies Betroffenen allerdings in einem "Analogieschluss zu indirekt personenbezogenen Daten" rechtswidrigerweise verwehrt (DSK K121.425/0003-DSK/2009, 21.1.2009). Insoferne ist es erfreulich, dass der Gesetzgeber die unsinnige Spruchpraxis der DSK derogiert.
Wenn nun seitens von Auftraggebern darüber geklagt wird, dass man diese Verpflichtungen aufgrund der beträchtlichen Aufwendungen nicht erfüllen könne, ist diesen zu entgegnen, dass niemand gezwungen werde, Videoüberwachungsmaßnahmen zu treffen. Wenn sich jemand allerdings dazu entscheidet, so hat er auch die gesetzlichen Bestimmungen zu erfüllen. Es ist nicht einsichtig, warum datenschutzrechtliche Prinzipien bei Videoaufzeichnungen nicht zur Anwendung gelangen sollten, nur weil deren Erfüllung mit Mühen verbunden ist. Das alleine kann jedenfalls kein Abweichen von gesetzlichen Bestimmungen rechtfertigen.
14. Resümee
Wie schon zum Begutachtungsentwurf 2008 ist festzuhalten, dass der vorliegende Gesetzesentwurf leider auch ein "Entwurf der verlorenen Chancen" ist. Die ARGE Daten hat in den vergangenen Jahren regelmäßig auf die gravierendsten Mängel des österreichischen Datenschutzwesens hingewiesen. Wobei man bei wesentlichen Reformvorschlägen oft auf eine umfassende Reform des DSG 2000 verwiesen wurde. Der vorliegende Entwurf hat in dieser Beziehung wenig zu bieten. Die Möglichkeit endlich einen datenschutzrechtlich "großen Wurf" zu landen, wurde vertan. Dabei gäbe es genug Handlungsbedarf, der durch die Verantwortlichen nicht genutzt wurde.
|
