2005/04/15 Datenschutzbilanz 2004 - Erfolge und Herausforderungen für 2005
Videoüberwachung, RFID-Reisepass, Biometrie und Bildungsevidenz waren die prägenden Datenschutzthemen 2004 - Erfolgreiche Informations- und Beratungstätigkeit der ARGE DATEN - EU verlangt Änderungen in der Datenschutzorganisation in Österreich - überlange Verfahrensdauer, geringe Datenschutzsensibilität des Gesetzgebers und Einführung neuer Überwachungstechnologien sind die Herausforderungen für 2005 - Erfolgreicher Start von A-CERT ADVANCED
Newcomer und Dauerthemen
Hans G. Zeger: "Als privatrechtlicher Verein stehen uns keine rechtlichen Zwangsmittel zur Verfügung, unser zentrales 'Druckmittel' ist Aufklärung und Information der Öffentlichkeit. Auf diesem Weg ist es uns in einer Reihe von Fällen gelungen, ausufernde Eingriffe in die Privatsphäre entweder abzuwehren, abzuschwächen oder zumindest Änderungen in Richtung bessere Transparenz zu bewirken."
Neben den "Dauerbrennern" Datenhändler, ZMR, Bildungsdokumentation und Wirtschaftsauskunftsdienste, prägen neue Themen, wie RFID (RadioFrequencyIDentification), neue Internet-Betrugsformen (Phishing), neue zentrale Evidenzen und Biometrie die Datenschutzdiskussion.
Diese Informationstätigkeit schlägt sich auch in einer ausgezeichneten Medienpräsenz nieder. Neben den rund 3000 direkten Abonnenten des ARGE DATEN-Newsletters und den rund 1000 täglichen Besuchern der Website der ARGE DATEN wurden 2004 rund 200 individuelle Medienanfragen beantwortet. Es existiert zwar keine lückenlose Mediendokumentation, doch gab es 2004 rund 800 Zitierungen in Print-, Funk- oder Onlinemedien.
Zentrale Evidenzen
Besorgniserregend ist die Planung zentraler Evidenzen. Neben dem zentralen Melderegister, dem zentralen Wählerregister, der zentral geführten Bildungsdokumentation und einem im Zuge von e-Government eingeführten zentralen Stammkennzeichenregister (das alle elektronischen Behördenkontakte der Bürger protokollieren soll) sind eine Reihe weiterer personenbezogener Register geplant.
Ein Wohnungsregister soll - personenbezogen - die Ausstattung von Österreichs Wohnungen verwalten, ein Einkommensregister die Detaildaten zum persönlichen Einkommen, ein Arbeitsplatzregister, ebenfalls personenbezogen, die Ausstattung von Arbeitsplätzen.
Geht es nach den Wünschen der Statistik Austria sollen weitere Register auch Details über Gesundheitsstand, Freizeit- und Konsumverhalten der Bürger belegen.
RFID-Reisepass
Der für 2006 geplante RFID-Reisepass erlaubt das berührungslose Lesen der Reisepassinformationen. Damit wird ein Quantensprung in der Bürgerüberwachung erreicht.
Durch bloßes Vorbeigehen an entsprechenden Sensoren, kann festgestellt werden, dass ein bestimmter Passinhaber vorbeigeht und allenfalls können weitere Passinformationen ausgelesen werden.
Damit kann erstmals flächendeckende Überwachung geplant werden. Regierungsstellen, Behörden, aber auch kriminalistische "Hot-Spots" oder potentiell gefährdete Bereiche (Bahnhöfe, Flughäfen, Tourismuseinrichtungen, ...) können mit entsprechenden Sensoren ausgestattet werden. Aber auch Gaststätten oder Hotels könnten damit versehen werden. Selbst der private Überwachungsangriff wäre kostengünstig möglich, entsprechende Lesegeräte könnten von jedermann installiert werden.
Bildungsdokumentation
Auf Grund der intensiven Informationstätigkeit der ARGE DATEN haben bisher viele tausend Schüler und Eltern die Abgabe von persönlichen Daten verweigert. Damit ist vorerst das erste Ziel der Bildungsdokumentation, eine lückenlose Schullaufbahnüberwachung einzuführen, gescheitert.
Hans G. Zeger: "Die ARGE DATEN ist optimistisch 2005 die Bildungsdokumentaiton auch legistisch zu Fall zu bringen. Zu diesem Zweck wird auch eine VfGH-Beschwerde eingebracht."
Privatversicherungen
Unzumutbar sind die meisten Zustimmungserklärungen der privaten Krankenversicherer. Pauschal und damit datenschutzwidrig wird verlangt, dass der Datenübermittlung zwischen Spitälern/Ärzten und Versicherungen zugestimmt wird. Die ARGE DATEN hat diesen Zustand immer wieder kritisiert. Der Versicherungsverband Österreichs hat im Sommer 2004 neue - datenschutzfreundlichere - Zustimmungserklärungen für Versicherungen heraus gegeben. Nun bleibt zu hoffen, dass die Versicherungen diese übernehmen.
Post AG
Vielen Menschen ist nicht bewusst, dass im Falle eines Nachsendeauftrags ihre persönlichen Daten (inkl. Geburtsdatum) durch die Post an Datenhändler weitergegeben werden. Die ARGE DATEN hatte jahrelang die unklaren Formblätter und Zustimmungserklärungen kritisiert. Erfolgreich, nunmehr existiert ein relativ eindeutiger Widerrufshinweis.
Mitarbeiterüberwachung
In einem von der ARGE DATEN geführten Musterverfahren wird festgestellt, dass die Einsichtnahme von Vorgesetzten in Protokolldaten einer Zeiterfassung unzulässig ist. Daraufhin wird die entsprechende Behörde zur Löschung der Aufzeichnungen verpflichtet.
Datenübertragung von Sozialversicherungsdaten
Erst auf Initiative der ARGE DATEN hat das Bundeskanzleramt eine Verordnung erlassen, die den Apothekern bei der Übertragung von Sozialversicherungsdaten die verbindliche Verwendung von Verschlüsselung vorschreibt.
Daten- und Adresshandel
Geringe Fortschritte zeigten sich im Bereich der Adresshändler. Lücken im DSG 2000 machen es für Betroffene praktisch unmöglich herauszufinden, woher ein Datenhändler die persönlichen Daten hat und an wen er sie weitergibt. Immerhin erfreulich ist, dass viele Unternehmer die ARGE DATEN kontaktierten und ankündigten, keine Daten von den kritisierten Adressenhändlern zukaufen zu wollen.
Auch das 2004 vom Marketingverband vorgestellte "FairData"-Pickerl brachte keine Verbesserung der Betroffenenrechte. Im Gegenteil, wiederholen die Vergabebedingungen doch bloß die Lücken des DSG 2000.
Wirtschaftsauskunftsdienste
Weiterhin unbefriedigend ist die Datenschutzsituation bei Bonitätsdaten. Immer mehr Unternehmen mit dubiosen Datenmaterial drängen in diesen boomenden Markt. Für die Betroffenen bedeuten diese gehandelten Daten vielfach eine unzulässige Beschränkung in ihrer Wahlfreiheit als Konsument. Versandhäuser, Telekomunternehmen, Versicherungen usw. verweigern Vertragsabschlüsse unter Hinweis auf nicht weiter konkretisierte mangelnde Bonität. Auch die Herkunft dieser fragwürdigen Information wird nicht bekannt gegeben.
Die ARGE DATEN fordert seit vielen Jahren die Einführung verbindlicher Auskunfts- und Qualitätsstandards bei den Bonitätsdaten.
Hans G. Zeger: "Grundsätzlich stehen wir dem Schutz von Gläubigern vor notorischen Nichtzahlern positiv gegenüber. Auf Grund der hohen Bedeutung von Wirtschaftsinformationen sind jedoch hohe Qualitätsstandards von vorrangiger Bedeutung. Genauso wichtig wie der Gläubigerschutz muss auch der Schutz des Konsumenten gesehen werden. Es kann etwa nicht sein, dass ein Konsument, der zu Recht Leistungsmängel reklamiert und daher nicht bezahlt, plötzlich auf irgendeiner Schwarzen Lieferantenliste steht."
Fehlerhafte Bonitätsinformationen schaden nicht nur den Konsumenten, sondern auch den Lieferanten und letztlich auch den Datenhändlern. Zwar tritt auch bei einigen "alteingesessenen" Wirtschaftsauskunftsdiensten ein Umdenkprozess in Richtung Qualitätsverbesserung ein, doch erfolgt dieser Prozess viel zu langsam.
ZMR-Register
Die private Nutzung des zentralen Melderegisters konnte durch im Jahr 2003 geführte umfangreiche Aufklärungstätigkeit der ARGE DATEN 2004 erheblich beschränkt werden. Im Herbst 2003 wurde der rechtswidrige "Komfort-"Zugang zu den Meldedaten reduziert. Es liegen zwar noch keine endgültigen Umsatzzahlen vom BMI vor, die geplanten Wachstumsziele wurden jedoch nicht erreicht. Der erstmals durch eine Behörde forcierte Handel mit Personendaten wurde zumindest eingeschränkt.
Private Datensammlungen praktisch unkontrolliert
Die Kontrollmöglichkeiten gegenüber privaten Datenverarbeitern sind praktisch nicht gegeben. Selbst rechtskräftige Datenschutz-Entscheidungen können nicht durchgesetzt werden. In einem von der ARGE DATEN angestrengten Exekutionsverfahren wurde versucht, die Herausgabe von Informationen zu erzwingen. Der betroffene Datenverarbeiter vereitelte diesen Exekutionsversuch durch rechtswidriges Löschen der Daten.
Generell existieren praktisch keine zivilrechtlichen Datenschutzentscheidungen. Einerseits ist das Kostenrisiko für die Betroffenen zu hoch, andererseits hat der Datenverarbeiter im Laufe der langen Verfahren immer die Möglichkeit belastende Datenspuren zu verwischen.
Zur Verbesserung der Situation wird es notwendig sein, die Möglichkeit der Verbandsklage zu schaffen, die es erlaubt bei bestimmten Delikten, die eine größere Zahl von Personen betreffen, durch unabhängige Organisationen Beschwerde zu erheben.
Besonders bei der Verwendung von Daten zu Marketingzwecken sind viele Menschen - wie die "Herold CD privat" zeigte - betroffen, es fehlt jedoch die Möglichkeit einer gemeinsamen Klage.
Lückenhaftes österreichisches Datenschutzgesetz
Nach nunmehr vier Jahren DSG 2000 zeigen sich immer deutlicher die Lücken im Schutz der Privatsphäre:
- unzureichender Schutz veröffentlichter persönlicher Daten
- unzureichender Schutz bei der Erfassung biometrischer Daten und von Videoaufzeichnungen
- unzureichende Informationsrechte über Herkunft, Verwendung und Weitergabe von Daten
- keine effizienten Beschwerdemöglichkeiten
- ungeeignete Bestimmungen zur Datensicherung
- unzureichende Definition des Begriffs "Identität einer Person"
- die Verknüpfung des Datenschutzes "juristischer" Personen mit dem grundrechtlichen Persönlichkeitsschutz führt zur Beschränkung der Datenschutzrechte der Betroffenen
- Datenweitergaben werden zu leicht gemacht
Unzureichende Datensicherheitsmaßnahmen
Grundsätzlich verlangt das DSG 2000, dass Datenverarbeiter bei der Verwendung personenbezogner Daten besondere Sicherheitsmaßnahmen ergreifen müssen. Die Sicherheitsmaßnahmen werden im Gesetz jedoch nicht ausreichend spezifiziert und führen gerade im Onlineverkehr zu erheblichen Datenschutzrisken.
So werden noch immer bei 75% aller Betreiber von e-commerce- und e-government-Diensten persönliche Daten unverschlüsselt und damit ungesichert im Internet übertragen. Auch zur Abwehr von SPAM-, Würmer- und Phishing-Attacken existieren keine ausreichenden, verbindlichen Sicherheitsvorgaben.
Erfolgreiche Informations- und Beratungstätigkeit
2004 wurden 216 Artikel zu Datenschutzfragen publiziert, insgesamt erfolgten 18 zusammenfassende Aussendungen. Dies ist etwas weniger als 2003 (310 Artikel in 29 Aussendungen), einerseits werden zu vielen Grundsatzthemen nicht neue Artikel erstellt, sondern bestehende erweitert und angepasst, andererseits ist dies auch durch ein schrittweises Reduzieren der Mailaussendungen begründet.
In Bearbeitung sind derzeit rund 50 weitere Beiträge, zu Themen wie Biometrie, unzulässige Datenveröffentlichungen, Kundenkarten und Zustimmungserklärungen, Einsatz der Bürgerkarte usw.
Insgesamt wurden 2004 224 Datenschutzfälle dokumentiert (gegenüber 302 Fälle 2003).
Erfolgreiche Rechtshilfe der ARGE DATEN
Mit Stand 12/2004 wurden von der ARGE DATEN 71 offene Verfahren betreut. Ein Teil betrifft Datenschutzverfahren gegenüber Behörden und Unternehmen, ein anderer Teil wird vor der Datenschutzkommission, dem VfGH, dem VwGH und vor den Zivilgerichten geführt.
2003 wurden 87 Verfahren begonnen, 2004 70 weitere Verfahren. Abgeschlossen wurden 2003 46 Verfahren, 2004 konnten 76 abgeschlossen werden. In einer Reihe von Fällen konnten die Datenschutzrechte der Mitglieder (Auskunftsrecht, Löschungsrecht, Richtigstellungsrecht, Anspruch auf Unterlassung der Weiterverbreitung von Daten) durchgesetzt werden.
Hans G. Zeger: "Leider zeigten einige Verfahren erhebliche Lücken im österreichischen Datenschutzrecht. Hier wird die ARGE DATEN sowohl auf nationaler, politischer Ebene, als auch international auf EU-Ebene Initiativen zur Verbesserung der Grundrechte setzen."
Die Verfahrenshilfe steht allen Mitgliedern der ARGE DATEN offen und erfolgt völlig unentgeltlich. Würde man übliche Honorarsätze für diese Beratungen heranziehen, haben sich 2004 die Mitglieder rund 76.000,- EUR an Beratungskosten erspart.
Neben der formellen Verfahrenshilfe werden laufend Datenschutz- und Medienanfragen behandelt. In 238 Fällen konnte 2004 rasch und unbürokratisch in Datenschutzfragen beraten werden (gegenüber 177 Fällen 2003).
Regionale Verteilung der Datenschutzanfragen
33% der Anfragen kamen aus Wien, 11% aus der Steiermark, 10% aus Niederösterreich, 9% aus Oberösterreich, 20% wurden anonym behandelt, der Rest verteilt sich auf die übrigen Bundesländer.
Behinderungen in der Rechtsdurchsetzung
Erhebliche Behinderungen in der Durchsetzung der Datenschutzrechte ergeben sich derzeit durch die Verfahrensverzögerungen der Datenschutzkommission. Statt den maximal 6 Monaten, die der Gesetzgeber für Datenschutzentscheidungen vorgesehen hat, beträgt die durchschnittliche Verfahrensdauer 10 Monate.
Hans G. Zeger: "Dieser Durchschnittswert muss noch als geschönt angesehen werden, in einer Fülle von Verfahren, besonders gegen Adressenverlage liegt die Verfahrensdauer regelmäßig über einem Jahr, in einem Fall dauerte das Verfahren mehr als zwei Jahre."
Um Verfahren überhaupt abschließen zu können musste die ARGE DATEN daher 2004 12 Säumnisbeschwerden beim VwGH einbringen, weitere 6 folgten im noch jungen Jahr 2005.
Änderung der Datenschutzorganisation nach EU-Beschwerde der ARGE DATEN
Seit vielen Jahren hatte die ARGE DATEN darauf hingewiesen, dass die personellen und organisatorischen Verflechtungen zwischen weisungsgebundenen Beamten des Bundeskanzleramts und der - formal - unabhängigen Datenschutzkommission im Ergebnis die Unabhängigkeit der DSK beschneiden und den Betroffenen keine Durchsetzung der Datenschutzrechte garantieren.
Hans G. Zeger: "Sogenannte 'geschäftsführende' DSK-Mitglieder hatten jahrelang am Nachmittag in der Datenschutzkommission Beschwerden zu Sachverhalten zu behandeln, die sie am Vormittag als weisungsgebundene Beamten selbst verursacht hatten."
Da unsere Interventionen im Bundeskanzleramt zu keinen Reaktionen führten, wurde Ende 2003 eine EU-Beschwerde eingebracht. Auf Druck der EU hat mit Ende 2004 das Bundeskanzleramt - mit offensichtlichem Widerwillen - erste Schritte zur Trennung zwischen der Tätigkeit der DSK und der Beamtentätigkeit gemacht.
Weitere EU-Beschwerden eingebracht
Auf Grund der Mängel im DSG 2000 werden nunmehr weitere EU-Beschwerden eingebracht.
Weiters beziehen sich die Beschwerden auf Mängel in den Informationsrechten der Bürger. Auf Grund des fehlerhaften österreichischen Datenschutzgesetzes ist es Betroffenen derzeit nicht möglich Auskunft über Herkunft und Weitergabe von Daten zu erhalten.
Hans G. Zeger: "Dieser Punkt ist jedoch in der EG-Richtlinie Datenschutz von zentraler Bedeutung. Nur wenn die Bürger die Möglichkeit haben, Datenströme lückenlos nachvollziehen zu können, werden sie einer entwickelten Informationsgesellschaft vertrauen und die neuen Dienste, wie e-commerce oder e-government akzeptieren."
Formal gesehen handelt es sich um Vertragsverletzungsverfahren gegen die Republik Österreich, die die EG-Richtlinie Datenschutz aus dem Jahr 1995 nicht vollständig umgesetzt hat. Wir sind sicher, auch in diesen Fällen von EU-Seite Recht zu bekommen.
Geringe Datenschutzsensibilität des Gesetzgebers
Die ARGE DATEN hat auch 2004 zu für den Datenschutz relevanten Gesetzesvorhaben kritisch Stellung genommen (Sicherheitspolizeigesetz, Gesundheitstelematikgesetz). Generell sind eine Reihe von Gesetzesmaßnahmen (Beispiele Videoüberwachung, e-government-Gesetz, ...) durch verstärkte und sachlich nicht begründete Datensammlung und Überwachung geprägt. Für viele Abgeordnete scheint das Führen von Evidenzen, Dateien und Kontrollen nicht mehr Hilfsmittel zur Durchsetzung sozial-, wirtschafts- und gesellschaftspolitischer Anliegen zu sein, sondern einen Selbstzweck darzustellen.
Besonders deutlich wird das am Beispiel der Bildungsdokumentation. Hier wird mit gigantischem administrativen Aufwand eine Kontrolldatei geschaffen, die jahrzehntelang sensible Schuldaten speichert und vielfältige Zugriffsmöglichkeiten darauf erlaubt, jedoch keinerlei Informationen zum gegenwärtigen katastrophalen Bildungsnotstand in Österreich bietet.
Hans G. Zeger: "Die ARGE DATEN hat immer wieder darauf hingewiesen, dass kurzfristig angelegte, auf die aktuelle Situation angepasste Bildungsuntersuchungen, wie sie etwa die PISA-Studien darstellen, ein wesentlich genaueres Bild über bildungspolitische Mängel liefert, als die Langzeitdaten der Bildungsdokumentation."
Die Debatte über die im Vergleich zu den international üblichen Querschnittstudien (z.B. PISA) horrenden Kosten der Bildungsdokumentation wurde in Österreich noch nicht geführt.
Datenschutz als Wettbewerbsfaktor
Besonders die institutionellen Mitglieder der ARGE DATEN sehen immer stärker, dass die Einhaltung von Datenschutzbestimmungen Unternehmen mit Wettbewerbsverzerrungen belasten kann. Jene Unternehmen, die alle Lücken des Datenschutzes ausnutzen und ihren Verpflichtungen zur Datenprotokollierung, zu Sicherheitsmaßnahmen nicht oder nur ungenügend nachkommen, sparen durch ihr rechtswidriges Verhalten enorme Kosten, müssen jedoch nicht oder nur mit unerheblichen Sanktionen rechnen.
Dies benachteiligt datenschutzkonform agierende Unternehmen und daher wird die ARGE DATEN in Zukunft verstärkt diese wettbewerbsverzerrende Komponente aufzeigen.
Hans G. Zeger: "Datenschutzverletzungen rangieren für viele noch unterhalb der Kavaliersdelikte, zum Schaden der Betroffenen, aber auch zum Schaden der Informationsgesellschaft insgesamt."
Einführung neuer Überwachungstechnologien
Mit der geplanten Einführung eines RFID-Reisespasses kann von einem Quantensprung in der lückenlosen Bürgerüberwachung gesprochen werden.
Hans G. Zeger: "Damit können bei jedem Eingang, sei es einer Behörde, eines Flughafens, einer Gaststätte, eines Hotels oder schlicht beim Haustor Überwachungssensoren installiert werden."
Eine bedrohliche Entwicklung, die sowohl von privaten Überwachungsdiensten, als auch von staatlichen Stellen ausgenutzt werden könnte.
Hier wird der Gesetzgeber aufgefordert, das Vorhaben RFID-Reisespaß nochmals zu überdenken, zumal der Beitrag zur Terrorismusbekämpfung minimal sein dürfte, die Missbrauchspotentiale jedoch enorm.
Erfolgreicher Start von A-CERT ADVANCED
Mit dem im Oktober 2004 gestarteten fortgeschrittenen Zertifizierungsdienst wird Österreichs Wirtschaft ein kostengünstiges und effizientes Mittel zur Verfügung gestellt.
A-CERT ADVANCED ist damit das einzige softwarebasierte Signaturprodukt, das alle Anforderungen zur elektronischen Rechnungslegung erfüllt. Es ist sowohl zur Einzelsignatur von Rechnungen, aber auch zur Massensignatur und zur automatisierten Signatur von Rechnungen geeignet. Damit läßt sich A-CERT ADVANCED, im Gegensatz zur hardwarebasierten Lösung des Mitbewerbs wesentlich flexibler und praxisnäher einsetzen.
e-rating.at - das e-commerce-Projekt der ARGE DATEN
Im Rahmen von e-rating.at werden seit drei Jahren Online-Shops in Hinblick auf rechtliche Konformität, Benutzerfreundlichkeit, Zahlungskonditionen und Lieferbedingungen analysiert. Die Ergebnisse sind unter http://www.e-rating.at abrufbar und bieten Konsumenten Schutz vor unseriösen Shopangeboten.
mehr --> http://www.e-rating.at
mehr --> https://www.globaltrust.eu
mehr --> Statuten der ARGE DATEN
Archiv --> Datenschutzbilanz 2003 - turbulent und zwiespältig
Archiv --> Pressegespräch 1999 zu '20 Jahre Erfahrungen zum Datenschutz'
|
