1992/12/31 Datenschutzprozesse
DIR Prozesse, deren Schwerpunkt Datenschutzfragen sind, sind in Österreich mehr als dünn gesät. Die Gründe für die mangelnde...
Prozesse, deren Schwerpunkt Datenschutzfragen sind, sind in Österreich mehr als dünn gesät. Die Gründe für die mangelnde Rechtsprechung sind:
Andere, schwerere Delikte "überlagern" die reinen Datenschutzfragen.
Informationsrechtliche Fragen (wie Auskunftsrecht, Richtigstellungsrecht usw. der Betroffenen) müßten auf zivilrechtlichen Weg eingeklagt werden. Derartige Klagen sind mit hohem Kostenrisiko ausgestattet (eigene und fremde Anwaltskosten). Die mangelnde Rechtsprechung führt zu einem hohenProzeßführungsrisiko, womit der Ausgang und die Kostenzuschreibung nicht vorhersehbar ist. Aus diesem circulus vitiosus (mangelnde Rechtsprechung - hohes Prozeßrisiko (Kosten und Ausgang) - fehlende Klagen ...) wird die gegenwärtige Rechtslage nicht mehr herausführen.
Abgesehen davon sind derartige Zivilverfahren auch spieltheoretisch unsinnig. Gewinnt der Kläger (der in seinen Datenschutzrechten verletzte Betroffene), dann wird ihr rechtgegeben, ohne daß dies wirtschaftliche oder sonstige Folgen hätte (der spieltheoretische Gewinn = Null). Verliert der Kläger,dann hat er hohe Anwalts- und Prozeßkosten zu bezahlen (der spieltheoretische Verlust beträgt öS 30.000.- bis öS 100.000.).
Bei strafrechtlich relevanten Datenschutzverletzungen (Geheimnisbruch und illegale Datenweitergabe, Par.Par. 48,49) erfolgen meist innerorganisatorische Regelungen unter Ausschaltung der Gerichte. Hier ergibt sich für die Geschädigten (Auftraggeber einer Datenverarbeitung bzw. Besitzer derDatenverarbeitung) eine ungünstige spieltheoretische Situation. Öffentlich geführte Datenschutzprozesse führen im allgemeinen zu einer hohen Verunsicherung über die Effektivität und Sicherheit der Datenverarbeitung des Geschädigten. Meist sind geschädigte Datenverarbeiter Geldinstitute,Versicherungen oder sonstige Stellen, deren Hauptkapital das Vertrauen ihrer Kunden darstellt.
Egal ob ein Datenschutzprozeß gewonnen oder verloren wird, in beiden Fällen kommt es zu gravierenden Vertrauensverlusten der Kunden, mit unkalkulierbar hohen finanziellen Verlusten. Wird der Prozeß gewonnen, was angesichts der schlechten Beweisbarkeit von EDV-Manipulationen sehr fraglich ist, kannmaximal der direkt verursachte Schaden entgolten werden. Die Folgeschäden des Prozesses bleiben unkalkulierbar und damit unberücksichtigt. Wird der Prozeß verloren, weil die vermeintliche Datenschutzverletzung doch nicht bewiesen werden konnte, droht der betroffenen Firma zusätzlicherVertrauensverlust, der bis in die Liquidation des Unternehmens reichen kann.
(1) Auskunftsverfahren gegenüber ÖAMTC (DSG Par. 25)
Ein zeitweiliges Mitglied des ÖAMTC wollte im Zuge seines Austritts wissen, welche Daten der ÖAMTC tatsächlich gesammelt hat und an wen diese Daten weitergegeben wurden. Hintergrund der Anfrage: Die ursprüngliche Anmeldung erfolgte nicht selbst, sondern durch den Vater der Klägerin, sie hatte auchkeine Unterlagen mehr, welche Daten damals erhoben wurden. So sollte mittels der DSG-Anfrage kontrolliert werden, welche Daten erhoben wurden und ob diese Daten überhaupt richtig waren. Außerdem war bekannt, daß der ÖAMTC mit einer Reihe von Tochterfirmen und sonstigen Firmen (z.B. Versicherungen)in Verbindung steht. Die Anfrage sollte klären, an wen ÖAMTC-Daten weitergegeben wurden. Damit wollte die Klägerin sich die Möglichkeit offen halten, diese Stellen vom Austritt aus dem ÖAMTC zu informieren und eine Löschung der übermittelten Daten zu verlangen.
Die Anfrage gem. DSG Par. 25 wurde nicht innerhalb der gesetzlich vorgeschriebenen vier Wochen beantwortet, nach rund 10 Wochen wurde eine Klage auf Auskunft eingebracht. Erst im Zuge des Verfahrens erfolgte eine Auskunft.
Da erst die Klage zur Auskunft führte, wurde der ÖAMTC mit Urteil 16 Cg 282/90-14 verurteilt, die Prozeßkosten, die notwendig waren, um den Auskunftsanspruch durchzusetzen, zu ersetzen.
Wir wollen daher am Beispiel dieses Verfahrens noch einmal darauf hinweisen, daß die Vier-Wochen-Auskunftsfrist eine der wenigen, sehr klaren und auch ausjudizierten Bestimmungen des DSG darstellen. Jeder Datenverarbeiter ist gut beraten, Datenschutzauskünfte innerhalb dieser Frist zubeantworten.
(2) Geheimnisbruch gem. DSG Par. 48
Der Obmann einer Wohlfahrtseinrichtung hatte Daten seiner Mitglieder zur Berechnung eines Pensionsversicherungsmodells weitergegeben (übermittelt). Diese Daten, die unter anderem Beschäftigtendaten und Umsätze enthielten, wurden ohne Zustimmung der Betroffenen weitergegeben.
Es erfolgte in erster Instanz eine Verurteilung des Obmanns (Geldstrafe von 40 Tagsätzen zu je öS 700.-, bedingt auf eine Probezeit von zwei Jahren). Dieses Urteil wurde beim OLG in der Strafhöhe bestätigt. Eine beim OGH eingebrachte Nichtigkeitsbeschwerde wurde verworfen. Nunmehr liegt dasendgültige Urteil vor (16 Os 6,7/91-8).
Klärung des Auftraggeberbegriffs
Die wesentlichsten Feststellungen des Urteils sind, daß die Wohlfahrtseinrichtung, die die Buchhaltung der Mitglieder durchführte, AUFTRAGGEBER im Sinne des Datenschutzgesetzes ist. Die AUFTRAGGEBEREIGENSCHAFT von Daten entsteht unabhängig davon, wem die Daten ursprünglich "gehörten" und ist dadurchgekennzeichnet, wer berechtigt ist, innerhalb einer bestehenden Datenverarbeitung selbständig Daten zu verändern, neu aufzunehmen oder zu löschen.
Dies war die Voraussetzung, daß tatsächlich von einer illegalen Datenübermittlung gesprochen werden konnte. Der OGH grenzte damit den DSG-Auftraggeberbegriff von ähnlich lautenden Begriffen des bürgerlichen Rechts ab: "Schon dabei [beim Urteil des OLG, Anm.] ist freilich darzustellen, daß dieserBegriff [Auftraggeber, Anm.] keineswegs ein zivilrechtliches Auftrags-Verhältnis voraussetzt, also nicht etwa mit ähnlich lautenden Begriffen des bürgerlichen Rechts (vgl. etwa Par. 1003 ABGB: "Auftragender", Par. 1009 ABGB: "Machtgeber", Par. 1014 ABGB: "Gewaltgeber" uÄ) gleichzusetzen ist.
Auftraggeber im datenschutzrechtlichen Sinn ist vielmehr nach Par. 3 Z 3 DSG jeder Rechtsträger oder jedes Organ einer Gebietskörperschaft, von dem Daten selbst (erster Fall) oder unter Heranziehung von Dienstleistern (zweiter Fall) automationsunterstützt verarbeitet werden: begriffswesentlich istdanach nur, daß der zu beurteilende Rechtsträger selbständig die alleinige Entscheidung über den Einsatz jener Datenverarbeitung trifft."
Könnte ein Rechtsträger einen Auftrag auch ohne EDV durchführen und er entscheidet sich für einen EDV-Einsatz, dann ist er Auftraggeber im datenschutzrechtlichen Sinn. Diese Definition macht, wie wir in unseren Seminaren feststellen konnten, vielen Datenverarbeitern enorme Schwierigkeiten.
Dazu einige Beispiele:
Eine Person beauftragt eine Bank, ein Konto zu führen (z.B. ein Giro-Konto). Die Kontoführung könnte die Bank auch ohne EDV machen, sie entscheidet sich jedoch aus wirtschaftlichen oder sonstigen Gründen für den EDV-Einsatz. Die Bank ist daher Auftraggeber bezüglich der Daten des Kunden, auch wennde facto heute jeder Kunde weiß, daß Konten immer per EDV geführt werden.
Ein Unternehmer übergibt alle Rechnungsbelege und Fakturen einem Wirtschaftstreuhänder zur Buchhaltung. Diese soll ordnungsgemäß erfolgen. Dem Unternehmer ist egal, wie der Wirtschaftstreuhänder die Buchhaltung führt. Verwendet der Wirtschaftstreuhänder ein EDV-Programm XY, dann ist er derAuftraggeber bezüglich der manchmal sehr umfangreichen Daten des Unternehmers.
Es übergibt eine FIRMA einem ADRESSENVERLAG einen Datenbestand (Magnetband), mit dem Auftrag diese Daten nach Kaufkraftkriterien zu bewerten und einen neuen Datenbestand zu erzeugen, der nur die kaufkräftigsten Interessenten enthält. Erfolgt diese Bewertung ausschließlich mittels Daten desübergebenen Magnetbandes, zum Beispiel durch Sortierung nach einem bestimmten Datenfeld, dann ist die FIRMA Auftraggeber der neuen Auswertung. Erfolgt die Auswertung jedoch mittels Methoden des Adressenverlages, auf die die Firma keinen Einfluß hat (spezifisches KNOW-HOW des Adressenverlages), dannist der ADRESSENVERLAG Auftraggeber der Auswertung.
Zulässigkeit der Datenweitergabe
Der beschuldigte Obmann rechtfertigte die Datenweitergabe durch eine in den Statuten des Vereins angeführte "Hilfeleistung an Mitglieder durch geeignete Maßnahmen".
Der OGH stellte dazu fest, daß aus derartigen allgemeinen Formulierungen noch keine Berechtigung zur Datenweitergabe abzuleiten ist. Eine ordnungsgemäße Datenweitergabe hätte erst dann stattgefunden, wenn einzelne Mitglieder tatsächlich den Antrag auf Hilfeleistung gestellt hätten, bzw. zumindestdie Zustimmung zur Datenübermittlung gegeben hätten.
Dieses Grundproblem hat die ARGE DATEN schon mehrmals im Zusammenhang mit anderen Hilfsorganisationen angeschnitten. Die weit verbreitete Praxis, Klientendaten zu sammeln und/oder an Subventionsgeber oder andere Einrichtungen weiterzugeben (mit welchen Begründungen auch immer) müssen in der Regelals rechtswidrig angesehen werden. Es wären dazu ausdrückliche Zustimmungsermächtigungen der Betroffenen gem. DSG notwendig.
Verantwortlichkeit des Obmanns
Hervorgehoben wurde vom OGH, daß sich der Beschuldigte auch subjektiv der Rechtswidrigkeit der Tat bewußt war. Er nahm einen Verstoß gegen das DSG aufgrund des vermeintlichen "offensichtlichen Interesses" an dem Vorsorgemodell "bewußt in Kauf".
Anmerkung der ARGE DATEN
Positiv am erwähnten Verfahren ist, daß es eine Reihe von datenschutzrechtlichen Klarstellungen brachte. Ebenso zeigte es eine beunruhigende Leichtfertigkeit im Umgang mit anvertrauten Daten. Der OGH hat mehrmals hervorgehoben, daß es sich um den Beschuldigten um einen hohen Kammerfunktionärhandelte. Allzuoft wird das eigene Interesse mit den "positiven Interessen" jener Menschen verwechselt, deren Daten anvertraut wurden.
Problematisch am Fall ist, daß eine Verurteilung nur durch tatkräftige Mithilfe des Beschuldigten möglich war. Im Falle vorsätzlicher Schädigungsabsichten wäre es sicher möglich gewesen, durch eine Reihe von EDV-technischen Manipulationen eine Verschleierung des Geheimnisbruches durchzuführen.
Die illegale Datenweitergabe muß informationsrechtlich als völlig unsinnig angesehen werden. Zur bloßen Berechnung von Vorsorgemodellen (Versicherungsmodellen) sind nämlich Namens- oder Adreßangaben von betroffenen Personen überflüssig. Der Beschuldigte hätte die anvertrauten Daten sehr einfach undwirksam anonymisieren können. Eine selbständige Verwendung dieser Daten (Weitergabe ohne Zustimmung der Betroffenen) wäre dann rechtlich völlig gedeckt gewesen. Nicht personenbezogene Daten fallen bekanntlich nicht unter das DSG.
|
