2005/01/11 OeNB gab Gehaltsdaten weiter
OeNB übermittelte Informationen über ein Arbeitsverhältnis an die Exfrau des Arbeitnehmers - Datenschutzkommission weist Beschwerde wegen Unzuständigkeit zurück - DSK-Position durch DSG 2000 jedoch nur zum Teil gedeckt - Änderungsbedarf im DSG 2000
Die Datenschutzkommission hat in ihrem Bescheid K120.906/0005-DSK/2004) die Beschwerde eines Mannes zurückgewiesen, welcher darin die Weitergabe seiner Daten durch die Österreichische Nationalbank (OeNB) bemängelte.
Die OeNB hatte dem Beschwerdeführer Anfang des Jahres das Angebot gemacht, zu einem Jahreslohn von EUR 47.745,- als EDV-Mitarbeiter bei ihr anfangen zu können. Diesen Posten hatte der Mann jedoch ohne Angabe von Gründen abgelehnt, was von seiner Exfrau als Beweismittel im Unterhaltsverfahren für die beiden Kinder gegen ihn verwendet wurde.
DSK erklärte sich nicht zuständig
Die DSK wies die Beschwerde wegen Unzuständigkeit zurück mit der Begründung, die OeNB sei eine Aktiengesellschaft und somit privatrechtlicher Natur. Ebenso stünden die Bediensteten der OeNB in einem privatrechtlichen Dienstverhältnis, wodurch gem. § 1 Abs. 5 DSG 2000 mangels einer Datenschutzverletzung in Vollziehung hoheitlicher Befugnisse das Grundrecht auf Datenschutz auf dem Zivilrechtsweg geltend zu machen sei.
Voreiliges Handeln der OeNB
Eine Datenweitergabe dieser Art ist jedenfalls kritisch zu betrachten. Gerade solch persönliche Informationen wie die über Stellenangebote oder -ablehnungen, Art des einzugehenden Dienstverhältnisses und Gründe der Einstellung oder Nicht-Einstellung unterliegen aufgrund des dadurch entstehenden vorvertraglichen Schuldverhältnisses der Geheimhaltung durch den potentiellen Arbeitgeber. Es ist nicht einzusehen, warum Dienstnehmer, die später in Ausübung ihres Berufes ebenfalls Treue- und Geheimhaltungspflichten gegenüber ihrem Arbeitgeber treffen, sich nicht auch bereits in Anbahnung eines Arbeitsverhältnisses auf die Verschwiegenheit des Arbeitgebers verlassen können sollten. Die Weitergabe solcher Informationen an Dritte sollte nicht gedankenlos vorgenommen werden. Wer wirklich Informationen benötigt, wird sie sich beim Betroffenen selbst beschaffen können- andernfalls sind die Daten durch ihn von vornherein nicht zur Weitergabe bestimmt.
Zuständigkeit beachten!
Nach Meinung der DSK hätte sich der Betroffene an ein Gericht wenden müssen und die OeNB auf dem Privatrechtsweg klagen.
Diese Position ist jedoch kritisch zu hinterfragen. Ob ein Auftraggeber dem "öffentlichen" (gemeint "öffentlich-rechtlichen") Bereich oder dem privaten (gemeint "privat-rechtlichen") Bereich zuzuzählen ist, wird im §5 DSG 2000 geregelt.
Als öffentlich-rechtliche Datenanwendung sind somit alle Datenanwendungen anzusehen, die von Organen betrieben werden, und als "Formen des öffentlichen Rechts eingerichtet sind" (§5 Abs2 Z1 DSG2000), also typischerweise Bundes- und Landesbehörden, Gemeindedienststellen, aber auch Gebietskörperschaften oder Kammern. In diesen Fällen fallen Beschwerden zu allen Formen der Datenverwandung in die Zuständigkeit der DSK.
Aber auch bei sonstigen Organisationen (etwa Unternehmen, aber auch Vereinen oder Einzelpersonen), die "in Vollziehung der Gesetze tätig sind" (§5 Abs2 Z2) ist eine Zuständigkeit der DSK gegeben. Diese sonstigen Einrichtungen haben somit Datenanwendungen, die privat-rechtlicher Natur sind und Datenanwendungen, die behördliche Aufgaben abdecken. Im ersten Fall sind Beschwerden im Zivilrechtsweg einzubringen, im zweiten Fall ist eine Zuständigkeit der DSK gegeben.
Unklare Abgrenzung der Zuständigkeit
Üblicherweise argumentiert die DSK, dass Datenschutzbeschwerden bei privat-rechtlichen Dienstverhältnissen bei per Gesetz eingerichteten Gesellschaften, die privatrechtliche Organisationsformen nutzen, immer der Zivilrechtsweg zu beschreiten ist.
Nun ist jedoch die OeNB, zwar als Aktiengesellschaft errichtet, aber per Gesetz eingerichtet. Grundlage aller Tätigkeiten der OeNB ist das Nationalbankgesetz und es kann somit ohne weiters argumentiert werden, dass die OeNB unter die Bestimmungen des §5 Abs 2 Z1 fällt. Die Organisationsform (Aktiengesellschaft) wäre demnach nachrangig zur Tatsache, dass es sich um ein zur Vollziehung eines Gesetzes geschaffenes Organ handelt.
Würde man der Organisationsform den Vorrang geben, dann würde dies zur absurden Situation führen, dass bei jeder Änderung der Organisationsform die datenschutzrechtlichen Zuständigkeiten und Verantwortlichkeiten wechseln würden. Deutlich wird das etwa bei den Landeskrankenanstalten, die in den verschiedenen Bundesländern jeweils auf Grund eines Landeskrankenanstaltengesetzes errichtet wurden, jedoch unterschiedliche Organisationsformen (etwa als Kommunalbetrieb, als Aktiengesellschaft oder als GmbH) aufweisen. Patienten und Mitarbeiter hätten demnach im Datenschutz unterschiedliche Beschwerderechte.
Gleiches gilt auch bei einer Reihe von Aufsichts- und Kontrollbehörden (etwa die RTR GmbH). Gleichartige Einrichtungen würden datenschutzrechtlich unterschiedlich behandelt, obwohl sie alle per Gesetz eingerichtet wären!
Auch in umgekehrter Sicht bietet die DSG-Bestimmung Anlass zu Konfusion. Betrachtet man etwa das Beispiel der Rauchfangkehrer, die als Gewerbebetriebe offenbar privat-rechtlich organisisert sind. Ein wesentlicher Teil ihrer Tätigkeit besteht jedoch in der Vollziehung der landesspezifischen Kehrordnungen, also der Überwachung der Hauskamine. Im Rahmen dieser Aufgaben sind sie in Vollziehung eines Gesetzes tätig. Sollte es hier zu Datenschutzbeschwerden kommen, wäre eine Zuständigkeit der DSK gegeben. In welchem Umfang jedoch der Rauchfangkehrer nun hoheitliche Aufgaben übernimmt oder bloß Aufträge eines Hausinhabers ausführt, ist für Betroffene, etwa Mieter nicht oder nur sehr lückenhaft nachvollziehbar.
Abgesehen vom - vielleicht exotischen - Beispiel des Rauchfangkehrers birgt die missglückte Trennung von privaten und öffentlichem Bereich im DSG 2000 auch eine Fülle praktischer Probleme. Nimmt man §5 Abs2 Z2 wörtlich, würden etwa alle Gehaltsabrechnungen von Unternehmen, zumindest jedoch der Teil der die Bestimmung und Zahlung der Sozialversicherungs- und Lohnsteuerleistungen betrifft, in den öffentlichen Bereich fallen. Hier sind offensichtlich die Betriebe, auch wenn sie privat-rechtlich organisiert sind, in Vollziehung von Gesetzen (ASVG, EstG, ...) tätig.
Für Betroffene ergibt sich damit eine erhebliche Rechtsunsicherheit, da die Abgrenzung der Zuständigkeit nicht eindeutig geregelt ist.
Sanierung notwendig!
Auf Grund dieser äußerst unklaren Situation ist jedem Betroffenen vorerst die Beschwerde bei der DSK unter Berufung auf §5 Abs2 Z2 zu empfehlen (in vielen Fällen wird sich eine Verbindung zum gesetzlichen Vollzug herstellen lassen).
Der Vorteil der Vorgangsweise liegt auf der Hand. Die Beschwerden bei der DSK sind kostenlos und unterliegen nicht der Anwaltspflicht. Eine Beschwerde bei Gericht kann immer noch eingebracht werden. Selbst eine ablehnende Beschwerde wäre gegenüber dem Gericht ein gutes Hilfsmittel zu Klärung der Zuständigkeit.
Der Nachteil liegt in den enormen Zeitverzögerungen, die sich durch die schleppende Entscheidungspraxis der DSK ergeben.
Der - quasi prophylaktische - Schritt zur DSK kann jedoch nur eine Notmaßnahme darstellen. Tatsächlich ist es höchste Zeit, ähnlich wie in vielen anderen EU-Staaten, alle Datenschutzangelegenheiten einer einzigen unabhängigen Behörde zu übertragen, die auch tatsächlich personell handlungsfähig ist und auch budgetär unabhängig ist.
mehr --> http://www.argedaten.at/recht/dsg205__.htm
|
