2008/06/25 Viele Gründe, warum die Datenschutzkommission nicht EU-konform ist
Europarechtswidrige Konstruktion der österreichischen Datenschutzkommission soll auch im DSG-Neu bestehen bleiben - "Rumpfbehörde" ohne ausreichende Kompetenzen blockiert Grundrechte der Bürger - Politik verabsäumt es die EU-Bürgerrechte auch in Österreich umzusetzen
Die europarechtswidrige Konstruktion der österreichischen Datenschutzkommission (DSK) ist seit Jahren einer der Hauptkritikpunkte der ARGE Daten am österreichischen Datenschutzrecht. Zwischen der europarechtlich garantierten „unabhängigen Kontrollstelle“ mit umfassenden Kompetenzen und der österreichischen Umsetzung einer „Rumpfbehörde“ liegen Welten.
Einleitung
Die Kritikpunkte der ARGE Daten, aus welchen Gründen die DSK aus organisatorischen Gründen nicht den Vorgaben der EU-Datenschutzrichtlinie entspricht, sind bekannt:
-) Die organisatorische Eingliederung der Datenschutzkommission nebst Geschäftsstelle und Personal in die Behörde Bundeskanzleramt sowie die Stellung des "Bundesbeamten als geschäftsführendes Mitglied" sind mit Art. 22 der EU-Datenschutzrichtlinie unvereinbar.
-) Die DSK ist beim Bundeskanzleramt eingerichtet und hängt materiell vom Wohlwollen des Bundeskanzlers ab. Fehlende Budgethoheit, die fehlende Nachbesetzungsbefugnis, den fehlenden Einfluss auf Personal, nötigen die Datenschutzkommission zum Wohlverhalten gegenüber der Politik.
-) Die befristete Bestellung der Behördenmitgliedern ist dadurch, dass diese nach Ablauf ihrer Amtszeit wieder zur Behörde zurückkehren zu müssen, unvereinbar mit den Unabhängigkeitsgarantien.
Neben den organisatorischen Defiziten gibt es auch verfahrensrechtliche Komponenten, in denen die österreichische Datenschutzbehörde weit hinter den europäischen Rahmenregelungen zurück bleibt.
1. Wirksame Einwirkungsbefugnisse
Art. 28 der EU-Datenschutzrichtlinie garantiert hinsichtlich der nationalen Kontrollstelle wirksame Einwirkungsbefugnisse, darunter die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen.
In der österreichischen Gesetzesumsetzung liest sich dann die entsprechende Regelung ganz anders: Gemäß § 31 Abs 3 DSG 2000 kann die DSK im Zuge der Behandlung einer bereits eingebrachten Beschwerde bei Gefahr im Verzug die weitere Verwendung von Daten zur Gänze oder teilweise untersagen. Darüber hinaus gibt es nach § 20 Abs 2 DSG die Möglichkeit, bei Vorliegen einer wesentlichen Gefährdung schutzwürdiger Geheimhaltungsinteressen und Gefahr im Verzug während des Meldeverfahrens die Weiterführung der Datenanwendung mit Bescheid gemäß § 57 Abs 1 AVG vorläufig zu untersagen- der sogenannte Mandatsbescheid.
Die Möglichkeit der Untersagung ist zwar in das österreichische Gesetz eingeflossen, allerdings unter wesentlichen Einschränkungen: Mandatsbescheide können nur während des Meldeverfahrens erlassen werden und bedingen Gefahr in Verzug. Ist eine Datenanwendung gemeldet können Verbote der Verarbeitung durch die DSK nicht von sich aus - etwa im Rahmen einer amtswegigen Einschau - erlassen werden, sondern erst, sobald jemand Beschwerde erhoben hat.
In der Realität macht die DSK von dieser reduzierten Kompetenzen praktisch keinen Gebrauch: Ganze fünf Mandatsbescheide scheinen im RIS seit 2003 auf - zuletzt untersagte die DSK 2007 auf diesem Wege eine mehr als dubiose Pharmastudie. Bescheide gemäß § 31 Abs 3 DSG 2000 zeigt das RIS keine an, die DSK macht von dieser Kompetenz - aus welchen Gründen immer - keinen Gebrauch.
Von der offenkundigen Unwilligkeit der Behördenpraxis, gewährte Kompetenzen auch auszuüben, abgesehen, ist aber auch festzuhalten, dass die durch den österreichischen Gesetzgeber gewählten Einschränkungen in keiner Weise durch die europarechtlichen Vorgaben gedeckt sind. Weder finden sich in der EU-Datenschutzrichtlinie irgendwelche Erwägungen, dass die Möglichkeit der Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung nur im Meldeverfahren bzw. im Rahmen eines Beschwerdeverfahrens bzw. nur im Falle Gefahr im Verzugs bestehen soll. Die österreichische Regelung bleibt hier hinter den europarechtlichen Vorgaben zurück.
2. Mangelnde materielle Zuständigkeit
Das zweite Manko wurde durch die Spruchpraxis der DSK selbst verursacht - die ARGE Daten berichtete darüber unter "Lieber unzuständig als unabhängig?" (http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGED...)
Wiederholt weist die Datenschutzkommission in Bescheiden darauf hin, dass sie nicht dafür zuständig wäre, mit Hilfe der Geltendmachung der Datenschutzrechte die Verfahrensführung anderer Behörden zu kontrollieren oder zu korrigieren. Nach Lesart der DSK sind datenschutzrechtliche Beschwerden nicht geeignet, in der Sache vor andere Behörden gehörende Rechtsfragen neuerlich prüfen zu lassen, da dies bewirken würde, dass die Datenschutzkommission - zumindest teilweise - an die Stelle der sachlich zuständigen Behörde tritt und sich im Umwege über den Abspruch über die Zulässigkeit von Sachverhaltsermittlungen eine sachliche Zuständigkeit anmaßen würde.
Beispiele, in denen die DSK ihre eigene Unzuständigkeit erklärt, sind die Entscheidung K121.005/0014/2007, wo sich die DSK de facto weigerte, über die datenschutzrechtliche Zulässigkeit einer Betriebsprüfung, bei der auch die Ehegattin eines Mitarbeiters unter dem Titel „Verdacht auf Steuerbetrug“ durchleuchtet wurde, abzusprechen oder die Entscheidung K 121.29/0006-DSK/2006, in welcher sich die DSK nicht zuständig sah, zu prüfen, welche Daten im Rahmen der Amtshilfe an eine andere Behörde, die Ermittlungsschritte in einem anhängigen Verwaltungsverfahren unternimmt, übermittelt werden dürfen.
In derartigen Fällen erfolgt durch die DSK nur eine formale Prüfung, ob - im Sinne der datenschutzrechtlichen Zulässigkeit - die Angemessenheit und Notwendigkeit entsprechender Datenverwendungen durch die betreffenden Behörden "denkmöglich" gewesen sei. Da alles "denkmöglich" sein kann gibt es im Endeffekt keine Überprüfung.
Konsequenz: Rechtmittel wegen Datenschutzverletzungen müssten bei den Sachbehörden (Finanzamt, Meldeamt, Gemeindeamt, ...) und nicht bei der datenschutzkommission eingebracht werden. Eine offensichtliche Verletzung der EU-Richtlinie, die vorgibt, dass für Datenschutzverletzungen eine unabhängige behörde zu schaffen und diese anzurufen ist.
In vielen Fällen könnte nicht einmal theoretisch die Sachbehörde angerufenw erden, da Datenschutzverletzungen auch dann stattfinden, wenn der Bürger gar nicht Verfahrenspartei ist und er erst von den Verletzungen erfährt, wenn die Verfahren längst abgeschlossen sind.
Ein weiteres Problem ist, dass selbst dann, wenn ein Rechtsmittel möglich ist, die Berufungsinstanzen in der Regel nicht aus weisungsfreien und unabhängigen Behörden bestehen.
Art. 28 der EU-Datenschutz-RL legt fest, dass die Mitgliedstaaten eine oder mehrere öffentliche Stellen beauftragen müssen, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen haben die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrzunehmen. Weiters ist gemäß Art. 22 der Richtlinie Betroffenen ein Rechtsmittel garantiert.
Die österreichische Situation, dass sich die DSK beharrlich weigert, verschiedene datenschutzrechtlich relevante Sachverhalte, die in die materiellrechtlichen Enzscheidungskompetenzen anderer Behörden fallen, zu prüfen, ist mit diesen Garantien unvereinbar. Eine partielle Überprüfungsmöglichkeit durch weisungsgebundene Behörden aus anderen Bereichen kann eine solche Garantie ebenso wenig ersetzen, wie die Möglichkeit höchstgerichtlicher Beschwerden, da in derartigen Verfahren keine Sachverhaltsermittlungen mehr durchgeführt und deren Überprüfungsmöglichkeit stark beschränkt ist.
3. Mangelnde Durchsetzungsbefugnisse im öffentlichen Bereich
Eine weitere Unvereinbarkeit mit der europarechtlichen Richtlinie betrifft die mangelnde Durchsetzbarkeit des in Art. 12 der Richtlinie 95/46/EG garantierten Auskunftsrechts gegenüber Auftraggebern öffentlichen Rechts nach der österreichischen Rechtsordnung.
Die Entscheidung K073.028/0004-DSK/2007 der DSK zeigt dieses Problem. Verletzungen des Auskunftsrechts durch das Bundesministerium für Finanzen, wurden gegenüber dem Betroffenen durch die DSK bereits in einer Vorgängerentscheidung K121.259/0013-DSK/2007 festgestellt. Da trotz Entscheidung der Datenschutzkommission dem Betroffenen entsprechende Auskunft nicht erteilt wurde, wurde bei der Datenschutzkommission als bescheiderlassender Behörde der Antrag gestellt, den wirksamen Bescheid gegen den Beschwerdegegner zu exekutieren.
Gegenüber Auftraggebern des öffentlichen Rechts sind allerdings Verletzungen der Bestimmungen des DSG 2000 nach § 40 Abs 4 des österreichischen DSG 2000 durch die Datenschutzkommission nur festzustellen, nicht jedoch deren Behebung durchzusetzen.
Aus Anlass eines Bescheides über die Verletzung des Auskunftsrechts ergibt sich eine Verpflichtung des Auftraggebers, den rechtskonformen Zustand herzustellen, exekutierbar sind derartige Bescheide gegen Auftraggeber des öffentlichen Rechts nach den österreichischen Bestimmungen nicht.
Diese Rechtsauffassung ist auch durch die Judikatur des österreichischen Verwaltungsgerichtshofs gedeckt, welcher bereits in 2005/06/0366 entschied, dass gegenüber Auftraggebern des öffentlichen Rechts im Falle von Verletzungen gegen das Datenschutzgesetz kein durchsetzbarer Leistungsauftrag erwirkt werden kann. Bei Entscheidungen handelt es sich um Feststellungsbescheide, welche nicht exekutierbar sind. Betroffene können nach österreichischer Rechtslage zwar Verletzungen datenschutzrechtlicher Bestimmungen durch Auftraggeber öffentlichen Rechts feststellen lassen, durchsetzbar sind die Ansprüche nicht.
Art. 12 der Richtlinie 95/46/EG verankert das datenschutzrechtliche Auskunftsrecht. Art. 24 verpflichtet die Mitgliedstaaten dazu, geeignete Maßnahmen zu ergreifen, um die volle Anwendung der Bestimmungen der Richtlinie sicherzustellen und Sanktionen festzusetzen, die bei Verstößen gegen die zur Umsetzung der erlassenen Vorschriften anzuwenden sind. Entsprechend der Richtlinie 95/46/EG besteht nicht nur die Verpflichtung, gesetzliche Bestimmungen zu erlassen, sondern es ist für die Mitgliedsstaaten verpflichtend, mittels effizienter und geeigneter Regelungen für die Einhaltung der Bestimmungen zu sorgen.
Ein reiner Feststellungsbescheid, der nicht durchsetzbar ist reicht nicht aus. Da gegenüber Auftraggebern öffentlichen Rechts im österreichischen Recht die Möglichkeit einer effizienten Rechtsdurchsetzung - mangels Vollstreckbarkeit entsprechender Entscheidungen - nicht gegeben ist, ist die derzeitige Rechtslage mit den genannten Regelungen der Richtlinie 95/46/EG nicht vereinbar.
4. Zahnloses Auskunftsrecht
Eine weitere Unvereinbarkeit mit den europarechtlichen Rahmenbedingungen stellt die generell zahnlose Durchsetzungsmöglichkeit des Auskunftsrechts dar. Nach österreichischer Lesart des DSG kann zwar gegen Verletzungen des Auskunftsrechts eine Beschwerde an die DSK erhoben werden. Allerdings hat der Beschwerdegegner die Möglichkeit, einer Feststellung der Verletzung seiner Auskunftsverpflichtung durch nachträgliche Auskunftserteilung entgegen zu wirken. Egal wie unvollständig und rechtswidrig diese Auskunft ist. Die DSK weist immer die Beschwerden ab, der Bürger muss bei einer rechtswidrigen eine neue Beschwerde einbringen.
Bei einer Auskunftsfrist von 8 Wochen, weiteren acht Monaten des DSK-Bescherdeverfahrens, das überhaupt Auskunft erteilt wird und nochmals 8 Monaten beschwerdeverfahren wegen rechtswidriger Auskunft, weiters einer von der DSK per Bescheidfestgelegten Auskunftsfrist von 2-4 Wochen und einem daran anschließenden Exekutionsverfahren (nur bei privaten Datenverarbeitern) von weiteren 6-12 Monaten, führt das dazu, dass Bürger erst nach 18-30 Monaten (!!) erfahren, welche daten über sie gespeichert wurden. Ein Zeitraum, in dem üblicherweise Daten in vielen Branchen (Adressenverlage, Wirtschaftsauskunftsdienste, ...) längst gelöscht oder völlig unaktuell und längst geändert sind.
Als Beispiel für diesen gesetzgeberischen Missgriff soll die Entscheidung 2006/06/0330 des VwGH vom 27.9.2007 dienen, welche über die Beschwerde gegen einen Bescheid der DSK absprach, mit welchem sich die DSK geweigert hatte, eine Verletzung des Auskunftsrecht durch die GIS Gebühren-Info Service Gmbh festzustellen, da diese Auskunft im Zuge des eingeleiteten Beschwerdeverfahrens erteilt hatte.
Die Entscheidung des VwGH fiel - infolge langjähriger Vorjudikatur - wenig überraschend aus: Die Beschwerdegegnerin habe im Zuge des Verfahrens eine Auskunft erteilt, insoferne sei - ähnlich wie bei Löschungsbegehren - eine Verletzung des Auskunftsrechts nicht "im nachhinein" feststellbar.
§ 31 Abs 1 des DSG 2000, welcher die Beschwerdemöglichkeiten regle, sehe eine derartige Sanktion nicht vor. Im übrigen stelle die Tatsache, dass eine Auskunftsverletzung nicht im Rahmen eines Verfahrens feststellbar seien, auch keine Verletzung der EU-Datenschutzrichtlinie dar, so der VwGH, da ein derartiger Anspruch aus den dortigen Bestimmungen nicht ableitbar sei.
Diese österreichische Judikaturlinie, dass Verletzungen des Auskunftsrechts bei nachträglicher Auskunftserteilung nicht mehr verfahrensmäßig feststellbar sind, sind die österreichischen Bestimmungen - entgegen den höchstgerichtlichen Ausführungen - sehr wohl hinsichtlich ihrer europarechtlichen Vereinbarkeit fragwürdig.
Art. 8 der EU-Datenschutz-RL garantiert Betroffenen „frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten“ die Bestätigung, dass es Verarbeitungen sie betreffender Daten gibt oder nicht gibt, sowie Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden.
Eine Gesetzeslage, die es ungeahndet lässt, wenn Betroffene nur im Rahmen langwieriger Beschwerdeverfahren ihre Ansprüche gegenüber Datenverarbeitern durchsetzen können, ist mit dieser Auskunftsgarantie unvereinbar. Auftraggeber werden - mangels Sanktionen - heute geradezu eingeladen, Ersuchen erst im Rahmen eines Beschwrdeverfahrens zu beantworten. Die Gesetzeslage ist daher mit den Bestimmungen der Richtlinie 95/46/EG nicht vereinbar.
Resumee
Neben den bekannten organisatorischen Problemen zeigen sich auch eine Reihe kompetenzrechtlicher Defizite bei der Umsetzung der Datenschutzrichtlinie. Der Gesetzgeber und die Republik Österreich sind gefordert einen europarechtlich vertragskonformen Zustand herzustellen.
Dies umso mehr, als angeblich den Koalitionärsparteien Europa und die EU ein großes Anliegen ist, die Sicherung der Bürgerrechte fiel bisher nicht darunter.
|
