2012/08/25 Bundeskanzler plant Erleichterungen für Datenverkehr in Konzernen
Stand: 25.08.2012
Entwurf des Bundeskanzleramts für eine neue Standardanwendung sieht weitreichende Ermächtigungen zum weltweiten Datenverkehr bei Konzern vor - soll Datenschutzkommission als Kontrollinstrument ausgeschaltet werden? - erhebliche Verschlechterungen von Betroffenenrechten befürchtet - auch Videoüberwachung soll ausgeweitet werden
Ende Mai wurde vom Bundeskanzleramt ein Entwurf zur Überarbeitung der Standard- und Musterverordnung in Begutachtung geschickt (http://ftp.freenet.at/privacy/gesetze/entwurf-standard-muster...). Zahlreiche geplante Änderungen dieses Entwurfs lassen erhebliche Verschlechterungen von Betroffenenrechten befürchten. In einer umfangreichen Stellungnahme (http://ftp.freenet.at/privacy/gesetze/stellungnahme-standard-...) hat die ARGE DATEN auf Probleme hingewiesen und Empfehlungen zu deren Behebung abgegeben. Die zentralen Kritikpunkte an den geplanten Änderungen werden in diesem Artikel dargestellt.
Worum handelt es sich bei der Standard- und Musterverordnung?
Hauptzweck der Standard- und Musterverordnung (http://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf) ist es, das Datenverarbeitungsregister (DVR) von administrativen Aufgaben zu entlasten. Dazu kann der Bundeskanzler gem. § 17 Abs 2 Z 6 Datenschutzgesetz 2000 (DSG 2000), per Verordnung, Typen von Datenanwendungen die von vielen Auftraggebern in gleicher Art und Weise betrieben werden und bei denen die Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist zu Standardanwendungen erklären. Der Betrieb einer Standardanwendung muss nicht gemeldet werden wodurch sich sowohl die Auftraggeber als auch das DVR erheblichen Arbeitsaufwand ersparen.
Klassische Beispiele von Standardanwendungen sind Rechnungswesen und Logistik (SA001), Personalverwaltung (SA002) oder das Melderegister (SA010).
NEU: Datenübermittlung im Konzern als Standardanwendung geplant
Die größte geplante Neuerung betrifft Datenübermittlungen im Konzern. Übermittlungen von Mitarbeiterdaten sollen, im Rahmen der geplanten Standardanwendung, in beliebige Länder weltweit zulässig sein. Ob diese Länder über ein angemessenes Datenschutzniveau verfügen soll keine Rolle spielen! Einzige Voraussetzung - es müssen „ausreichende Garantien“ zum Schutz der Betroffenen geboten werden. Was darunter zu verstehen ist geht nicht aus dem Verordnungsentwurf hervor, bietet großen Interpretationsspielraum und wird in der Praxis - je nach Empfängerland - unterschiedlich ausgelegt werden.
Darüberhinaus soll es Konzernunternehmen gestattet sein Mitarbeiterdaten an Drittunternehmen weiterzureichen sofern diese bestimmte technische oder organisatorische Dienstleistungen für den Konzern erbringen.
Grünes Licht für Offshore Datenverarbeitungsparadiese?
Wird die Standardanwendung in der geplanten Art beschlossen, könnte sich in der Praxis folgende Situation ergeben.
Ein Konzern könnte in einem Land, das es mit dem Datenschutz nicht so genau nimmt, ein Briefkastenunternehmen gründen welches anschließend die Datenverarbeitung übernimmt. So könnten neben den Kontaktdaten von Mitarbeitern auch deren Wohnadresse, Qualifikationen, Gehaltsvorstellungen, Karrierewünsche sowie deren Kontoverbindung in dieses Land übermittelt werden. Was anschließend mit den Daten geschieht richtet sich nach den jeweiligen Gesetzen des Empfängerlandes die kein ausreichendes Datenschutzniveau bieten müssen. Die Mitarbeiterdaten wären damit schutzlos.
Keine Kontrolle durch die Datenschutzkommission mehr?
Derzeit unterzieht die Datenschutzkommission (DSK) jede geplante Datenweitergabe, in ein Land ohne angemessenes Datenschutzniveau, einer umfangreichen Einzelfallprüfung und erteilt eine entsprechende Genehmigung ausschließlich sofern im Einzelfall ein angemessener Datenschutz besteht.
Unter dem Vorwand des Bürokratie Abbaus bzw. der Kostenreduktion soll diese wichtige Kontrollfunktion der Datenschutzkommission zukünftig nicht mehr bestehen wodurch sich für Konzerne eine große Hintertür zur Umgehung von Datenschutzbestimmungen öffnen könnte. In ihrer Stellungnahme zu den geplanten Änderungen an der Standard- und Musterverordnung hat die ARGE DATEN deutlich auf dieses Problem hingewiesen.
Auch politisch würde es sich bei dieser Änderung um ein fatales Signal handeln. Schließlich hat gerade der einheitliche europäische Datenschutzrahmen zu einem Export der strengen gesetzlichen Bestimmungen in Länder geführt die enge Geschäftsverbindungen zur Europäischen Union unterhalten (Beispiel: Safe Harbor - http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA...). Nunmehr wird Konzernen jede Motivation genommen den Schutz von Persönlichkeitsrechten ernst zu nehmen indem diesen gestattet werden soll, Daten auch in Länder ohne angemessenes Datenschutzniveau zu übermitteln. In ihrer Stellungnahme fordert die ARGE DATEN daher, dass Übermittlungen im Rahmen der geplanten Standardanwendung "Datenübermittlung im Konzern" ausschließlich in Länder erfolgen dürfen, die über ein angemessenes Datenschutzniveau verfügen.
Ausweitung der Standardanwendung Videoüberwachung
Ebenfalls geplant ist Videoüberwachungen in Amtsgebäuden, Parkgaragen und auf Parkplätzen zu Standardanwendungen zu erklären. Damit wird diesen ein ähnlich hohes Gefährdungspotential zugeschrieben wie Banken oder Juwelieren.
Auch in diesen Fällen soll die Kontrollfunktion der Datenschutzkommission, ob die Videoüberwachungen tatsächlich erforderlich sind bzw. das gelindeste zur Verfügung stehende Mittel darstellen umgangen werden und diese pauschal genehmigt werden. Gleichzeitig wird es nicht lange dauern, bis auch andere Wirtschaftszweige ihren Wusch nach Standardanwendungen äußern (Elektronikfachhändler, Supermärkte, etc). Damit würde die Ausnahmesituation Videoüberwachung zur Regel gemacht werden.
Eignung als Standardanwendung?
Zuletzt ist fraglich ob sich die geplante Datenanwendung Datenübermittlung im Konzern bzw. die Erweiterung der Standardanwendung Videoüberwachung überhaupt als Standardanwendung eignen. Schließlich werden lt. Angaben des DVR jährlich lediglich 60 Fälle von Datenübermittlungen von Konzernen sowie 40 Videoüberwachungsanlagen in Parkgaragen und - plätzen gemeldet. Von einer großen Anzahl von Auftraggebern - wie dies für die Erklärung zur Standardanwendung gefordert ist - kann keine Rede sein.
Fazit
Die ARGE DATEN begrüßt jede Entlastung der Datenschutzkommission soweit sich diese auf rein bürokratische Aufgaben bezieht. Dass durch die Standard- und Musterverordnung aber wichtige Kontrollfunktionen der Datenschutzkommission umgangen werden sollen ist entschieden abzulehnen. Daten von Konzernmitarbeitern sollten ohne Kontrolle der Datenschutzkommission daher ausschließlich in Länder übermittelt werden dürfen die über ein angemessenes Datenschutzniveau verfügen.
Dass sämtlichen Amtsgebäuden und Parkplätzen eine Generalermächtigung zur Videoüberwachung erteilt werden soll ist erschreckend und lässt befürchten, dass dadurch das Bewusstsein um Persönlichkeitsrechte in der Bevölkerung weiter verringert wird. Getreu nach dem Motto "Videoüberwachung tut ja keinem weh" werden Videoüberwachungen zum Allheilmittel erklärt und auf den ständig wachsenden Überwachungsdruck vergessen.
|
