2013/06/24 Vorratsdatenspeicherung - ohne Datenschutzgenehmigung betrieben?
Vorratsdatenspeicherung sorgte bei Internetprovider weiterhin für Verwirrung und Verwaltungsstrafe - Gesetzliche Bestimmungen sind kein Auftrag zur Datenverarbeitung - Wer ist Auftraggeber im Sinne des Datenschutzgesetzes? - Klärung der Auftraggebereigenschaft am Beispiel der Vorratsdatenspeicherung - zahlreiche weitere nicht genehmigte Datenspeicherungen vermutet
Vorratsdatenspeicherung muss von Datenschutzkommission genehmigt werden
Nach dem Start der Vorratsdatenspeicherung am 1. April 2012 wollte ein Mitglied der ARGE DATEN wissen, ob und welche Vorratsdaten sein Internetprovider über ihn speichert.
Laut Datenverarbeitungsregister (DVR) hatte der betroffene Provider keine Vorratsdatenspeicherung gemeldet, dennoch gab er an, Vorratsdaten zu speichern. Auf Grund dieser widersprüchlichen Informationen bestand der Verdacht einer rechtswidrigen Datenverarbeitung, der Betroffene wandte sich an die ARGE DATEN um Unterstützung.
Sechs Monate nach Start der Vorratsdatenspeicherung und einem Beschwerdeverfahren vor der Datenschutzkommission (http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA...) hatte der Internetprovider immer noch nicht die Vorratsdatenspeicherung beim DVR genehmigt. Die ARGE DATEN erstattete daher wegen rechtswidriger Datenverarbeitung (§ 52 DSG 2000) eine Anzeige beim zuständigen Magistrat.
„Kreative“ Interpretation der Gesetze durch Internetprovider
Das Verwaltungsstrafverfahren brachte erstaunliches zutage. Demnach hatte der Internetprovider die Vorratsdatenspeicherung nicht gemeldet, da sich dieser nicht für den verantwortlichen Auftraggeber hielt, sondern die Zuständigkeit bei "den Behörden" sah.
Gemäß § 4 Z 4 DSG 2000 ist Auftraggeber diejenige natürliche oder juristische Person, die alleine oder mit anderen die Entscheidung getroffen hat, Daten zu verwenden
Seit 1. April 2012 besteht für umsatzstarke Anbieter von öffentlichen Kommunikationsdiensten die Pflicht, bestimmte Daten die beim Anbieten eines Dienstes anfallen, sechs Monate auf Vorrat zu speichern (Liste siehe http://www.argedaten.at/php/cms_monitor.php?q=ANBIETER-VDS-PF...). Aufgrund der gesetzlichen Speichervorschrift sah der Internetprovider keine andere Wahl als die Daten zu speichern - in Ermangelung einer Entscheidungsmöglichkeit könne er nicht Auftraggeber der Vorratsdatenspeicherung sein - so seine Argumentation.
Gesetzliche Vorratsdatenspeicherung - kein Auftrag zur Datenspeicherung
Bei genauer Betrachtung stellt sich heraus, dass die Bestimmungen zur Vorratsdatenspeicherung keine neue Datenspeicherpflicht, sondern lediglich eine „Aufbewahrungspflicht“ für Kommunikationsdienstanbieter enthält. So wie Daten des betrieblichen Rechnungswesens sieben Jahre aufbewahrt werden müssen, müssen Kommunikationsdienstanbieter seit dem 1. April 2012, bestimmte Kommunikationsdaten, sechs Monate lang aufbewahren.
Die Aufbewahrungspflicht betrifft darüber hinaus ausschließlich Daten die ohnehin für die Bereitstellung der Kommunikationsdienste benötigt werden. Welche Daten dies sind, entscheiden die jeweiligen Dienstanbieter selbst - eine Pflicht bestimmte Daten zu speichern, die in der Vergangenheit nicht verarbeitet wurden, besteht nicht.
Selbst eine konkrete gesetzliche Pflicht, bestimmte Daten zu speichern, würde nichts an der Auftraggebereigenschaft des Internetproviders ändern. Eine derartige Bestimmung regelt ausschließlich unter welchen Bedingungen Kommunikationsdienste angeboten werden dürfen. Keineswegs würden die Daten im Auftrag und der Verantwortung des Gesetzgebers verarbeitet.
Anders verhält es sich bei Datenanwendungen für staatliche Zwecke, wie beispielsweise der Durchlaufstelle, über die Vorratsdaten an Ermittlungsbehörden übermittelt werden müssen (http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA...). Hier geht klar und eindeutig aus dem Gesetz hervor, dass das Bundesministerium für Verkehr, Innovation und Technologie für deren Einrichtung und Betrieb verantwortlich ist.
Verwaltungsstrafen bis 10.000,- Euro möglich
Unklarheiten darüber, wer Auftraggeber einer Datenanwendung ist, sollten jedenfalls vor Inbetriebnahme einer Datenverarbeitung geklärt werden. Das Betreiben einer Datenanwendung ohne der notewendigen gesetzlichem Meldung, stellt eine Verwaltungsstrafe dar und kann mit bis zu 10.000,- Euro bestraft werden.
Im vorliegenden Fall sprach das Magistrat, nicht rechtskräftig, eine Strafe von 500,- Euro aus.
Zahlreiche nicht genehmigte Datenspeicherungen vermutet
Sofern gesetzliche Bestimmungen nicht ausdrücklich einen Auftraggeber nennen, ist derjenige Auftraggeber und für eine Datenanwendung verantwortlich, der die Entscheidung trifft, Daten zu verwenden. Die Entscheidung kann, wie im vorliegenden Fall, auch bloß darin bestehen eine bestimmte Dienstleistung anzubieten und damit gesetzlichen Speicherpflichten zu unterliegen. Gesetzliche Regelungen, welche Daten beim Erbringen einer Dienstleistung erhoben, verarbeitet oder aufbewahrt werden müssen, ändern daran nichts und machen nicht den Gesetzgeber bzw. "wen auch immer" zum Auftraggeber.
Es darf vermutet werden, dass noch viele tausende Datenverarbeitungen in Österreich ohne Genehmigung betrieben werden.
|
