2006/10/25 Indirekt personenbezogene Daten - Sind Einschränkungen im DSG 2000 europarechtskonform?
Die Unterscheidung von direkt und indirekt personenbezogenen Daten im Datenschutzgesetz 2000 bringt massive Einschränkungen der Rechte von Betroffenen sowie der Pflichten der Auftraggeber von Datenverarbeitungen mit sich. Die Verwendung von indirekt personenbezogenen Daten erfolgt ohne Meldeverpflichtung sowie ohne Information an den Betroffenen und ohne Berücksichtigung von dessen schutzwürdigen Interessen.
Als indirekt personenbezogene Daten bezeichnet der österreichische Gesetzgeber jene Daten, bei denen der Auftraggeber einer Datenanwendung die Identität einer betroffenen Person mit rechtlich zulässigen Mitteln nicht feststellen kann. Typischerweise können solche Daten zwar durch einen Dritten, nicht allerdings durch den Auftraggeber einer Datenanwendung auf eine Person zurückgeführt werden.
Beispiele für indirekt personenbezogene Daten sind etwa die Sozialversicherungsnummer einer Person, das Kennzeichen eines Kfz, die Matrikelnummer eines Studenten oder jene Weblog-Files, die entstehen, wenn die Zugriffe auf Webserver protokolliert werden.
Nach DSG 2000 Verwendung von indirekt personenbezogenen Daten – auch sensiblen Daten- ohne Einwilligung des Betroffenen zulässig.
Sensible Daten, welche die rassische und ethnische Herkunft von Personen, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder das Sexualleben betreffen dürfen nach geltender Gesetzeslage auch verwendet werden, wenn die betroffene Person dieser Verwendung nicht zugestimmt hat, sofern sie nur in indirekt personenbezogener Form vorliegen.
Das bedeutet beispielsweise dass ohne Zustimmung der Betroffenen etwa Datenanwendungen betrieben werden dürfen, die gesundheitliche Informationen über bestimmte Personen mit deren Sozialversicherungsnummer verknüpfen, solange die konkrete Person selbst für den Auftraggeber nicht identifizierbar ist.
Anwendung von indirekt personenbezogenen Daten in Österreich nicht meldepflichtig.
Eine Datenanwendung, die ausschließlich auf indirekt personenbezogenen Daten basiert, muss in Österreich auch nicht an die Datenschutzkommission gemeldet werden. Die Datenverwendung ist somit zulässig, ohne dass die Datenschutzkommission oder eine andere Stelle darüber informiert werden müsste.
Keine Betroffenrechte bei Verwendung von indirekt personenbezogenen Daten
Die laut Datenschutzgesetz 2000 den Betroffenen einer Datenanwendung zugesicherten Rechte stehen diesen in Bezug auf Anwendungen mit ausschließlich indirekt personenbezogenen Daten nicht zu. Dazu gehören das Recht auf inhaltliche Auskunft über eine Datenanwendung, das Recht auf Richtigstellung und Löschung bei unrichtigem Inhalt oder unzulässiger Datenverarbeitung sowie das Recht auf Widerspruch bei Verletzung schutzwürdiger Geheimhaltungsinteressen des Betroffenen.
Begriff der "indirekt personenbezogenen Daten" der EU-Datenschutzrichtlinie unbekannt
Die europäische Datenschutzrichtlinie, die die europarechtliche Grundlage zur österreichischen Gesetzgebung in diesem Bereich bildet, kennt den Begriff indirekt personenbezogener Daten im Sinne des österreichischen Datenschutzrechts jedenfalls nicht.
Im Gegensatz dazu betont die Richtlinie, dass auch jene Daten personenbezogen sind, die einer Person „nur indirekt zugeordnet werden können“. Bei der Frage, ob eine Person aufgrund bestimmter Daten ermittelbar ist, sollen nach den Erwägungsgründen der Richtlinie sämtliche Mittel berücksichtigt werden, die vernünftigerweise durch den Datenverarbeiter oder einen Dritten eingesetzt werden können, um die jeweilige Person zu ermitteln. Keine Anwendung soll die Richtlinie nur auf Daten finden, die derart anonymisiert sind, dass sich die entsprechende Person überhaupt nicht mehr ermitteln lässt
Eine Unterscheidung danach, ob die Ermittlung einer Person aufgrund vorhandener Daten nur mit rechtswidrigen Mitteln möglich ist oder nicht, enthält die Datenschutzrichtlinie aber jedenfalls nicht.
Einschränkungen stellen Verletzung der EU-Datenschutzrichtlinie dar
In verschiedensten Bereichen schafft die EU-Datenschutzrichtlinie Vorgaben in Bezug auf die Zulässigkeit von Datenverarbeitungen, Rechtsstellung der Betroffenen und Pflichten der Auftragsverarbeiter, die durch die Mitgliedsstaaten umzusetzen sind.
Dazu gehören unter anderem die Voraussetzungen zur Verarbeitung sensibler Daten, die Melde- und Informationspflichten der Auftragsverarbeiter sowie die Rechte der Betroffenen in Bezug auf Auskunftserteilung und den Widerspruch gegen die Datenverarbeitung.
Ausnahmen in Bezug auf Daten, bei denen die Verbindung zu einer konkreten Person nur mittels rechtswidriger Mittel hergestellt werden kann, enthält die Datenschutzrichtlinie berechtigterweise nicht. Dies würde aufgrund der unterschiedlichen rechtlichen Situationen in den Mitgliedsstaaten auch keinen Sinn ergeben und letztendlich eine Aushöhlung der Prinzipien der Datenschutzrichtlinie mit sich bringen.
Europarechtlich ist es somit nicht vereinbar, diese Gruppe von personenbezogenen Daten pauschal aus den wichtigsten Grundsätzen des Datenschutzes auszunehmen. Die österreichische Rechtslage widerspricht hier einmal mehr grundlegend dem Geist der europäischen Datenschutzrichtlinie.
|