2011/06/24 Stellungnahme der ARGE DATEN zur Datenverarbeitungsregister-Verordnung 2011
Fehlendes Sicherheitskonzept? - Fehlendes Datenschutzkonzept? - Mangelnde Präzision! - Der Verordnungsentwurf lässt viele Fragen offen- Kommt am 1.7.2011 die große Überraschung?
Obwohl die Begutachtungsfrist für die Datenverarbeitungsregister-Verordnung 2011 erst am 9 Juni endete, soll das Datenverarbeitungsregister laut vorliegendem Verordnungsentwurf bereits am 1.Juli 2011 nur noch als Onlineapplikation „DVR-Online“ zur Verfügung stehen. Viel Zeit auf die abgegebenen Stellungnahmen einzugehen bleibt da nicht.
Datenverarbeitungsregister – DVR
Das DVR ist ein zentraler Bestandteil des österreichischen Datenschutzrechtes. Mit der Verpflichtung sämtlicher Datenverarbeiter ihre Datenanwendungen sowie Videoüberwachungen zu melden soll es für Information und Transparenz (siehe Artikel „Wozu dient das Datenverarbeitungsregister (DVR)?“ http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA...) sorgen.
In der Praxis sieht dies oft anders aus. Es kommt vor, dass Datenanwendungen über Monate bis hin zu Jahren nicht registriert werden. Unterliegen diese nicht der Vorabkontrolle dürfen sie sogar betrieben werden selbst wenn die Registrierung noch nicht abgeschlossen ist. Potentiell Betroffenen wird in dieser Zeit keine Einsicht in die DVR-Unterlagen gewährt. Selbst bei registrierten Datenanwendungen kann sich die Einsicht ins DVR langwierig gestalten - nicht selten dauert es Wochen bis man benötigte DVR-Unterlagen erhält.
Dies soll sich in Zukunft durch die Bereitstellung des DVR als Internetapplikation ändern. Der ARGE DATEN ist dabei jede Maßnahme die die Transparenz der Datenverarbeitung in Österreich erhöht und somit Betroffenen die Möglichkeit gibt ihre Rechte zu wahren herzlich willkommen. Der zur Begutachtung vorgelegte Entwurf ist jedoch in vielen Punkten völlig unausgereift:
Fehlendes Sicherheitskonzept
Dem gesamten Begutachtungsentwurf fehlt ein Bekenntnis zu einem umfassenden Sicherheitskonzept. Dies beginnt bei einfachsten technischen Maßnahmen wie beispielsweise, dass Meldungen ausschließlich über eine sichere Internetverbindung (https-Verbindung) eingebracht werden können. Es erstreckt sich aber auch auf technisch organisatorische Maßnahmen, so ist auch das Konzept mit dem missbräuchliche Falschanmeldungen verhindert werden sollen unausgereift.
Die ARGE DATEN hätte sich in der Verordnung jedenfalls ein klares Bekenntnis zu einem umfassenden Sicherheitskonzept gewünscht, das anhand von Zertifizierungen nach ISO 27001 sowie der ÖNORM A 7700 im Sinne des Vier-Augen-Prinzips auch durch Dritte überprüft wird.
Wohin das Fehlen eines umfassenden Sicherheitskonzeptes führen kann zeigen die Schlagzeilen der jüngsten Vergangenheit in dieser wurden von Datendiebstählen bzw. Angriffen auf Sony, Nintendo, Citibank, aber auch auf amerikanische, spanische und türkische Behörden berichtet. Warum sollten Österreich Schlampereien in Hinblick auf die Sicherheit eher verziehen werden?
Mangelnde technische Präzision
Der Verordnungsentwurf sieht vor, dass Meldungen inkl. aller Beilagen in Zukunft nur elektronisch eingebracht werden, wie dies (technisch) geschehen soll bleibt ein Rätsel. Sollen Word-, PDF- oder doch Bilddateien eingereicht werden – lassen wir uns überraschen.
Keine offline Einsichtsmöglichkeit mehr?
Unklar lässt der Verordnungsentwurf auch wie sich die Einsicht ins DVR in Zukunft gestalten soll. Diese soll zukünftig ausschließlich per Internetapplikation möglich sein, wie und vor allem welche Daten einem dabei zur Verfügung stehen wird nicht ausgeführt. Wie Betroffene bei einem technischen Ausfall ins DVR Einsicht nehmen sollen bleibt ebenfalls ein Rätsel - und wer kein Internet zur Verfügung hat dem soll gar keine Möglichkeit mehr zur Verfügung stehen ins DVR Einsicht zu nehmen.
Mangelndes Datenschutzkonzept
So verrückt es auch klingt, auch an einem Datenschutzkonzept mangelt es dem vorliegenden Entwurf. Anscheinend ganz nach dem Motto wer soll Daten besser schützen als die Datenschutzkommission? In den DVR Unterlagen befinden sich eine Vielzahl von personenbezogenen Daten. Neben Name und Anschrift werden auch Telefon- sowie Faxnummer als auch E-Mail Adressen von Datenverarbeitern erfasst. Werden dabei keine ausreichenden Sicherheitsmaßnahmen ergriffen, könnte das DVR letztendlich zum Datenlieferanten für Adresshändler werden die Kontaktdaten im großen Stil aus dem DVR beziehen.
Neben einer datenschutzrechtlichen Zertifizierung nach dem European Privacy Seal (EuroPriSe) bzw. GoodPriv@cy hat die ARGE DATEN in ihrer Stellungnahme erneut auf die Notwendigkeit hingewiesen, eine Zweckbindungsregelung für Daten ins Datenschutzgesetz aufzunehmen. So sollten Daten ausschließlich in einer Art und Weise verwendet werden dürfen die auch dem ursprünglichen Veröffentlichungszweck entspricht.
Fazit
Bleibt zu hoffen, dass das Bundeskanzleramt einige der von uns vorgebrachten Punkte noch bis zum geplanten in Kraft treten der Verodnung zum 1.7.2011 umsetzen bzw. bedenken wird. Viel Zeit bleibt bis dahin nicht mehr.
|
