2008/01/29 Bilanz zum Europäischen Datenschutztag 28.1.2008
Null Datenschutz in Österreich - Null Datenschutz in Europa? - Während sich Beamte und Politker anlässlich des Europäischen Datenschutztages selbst feiern und in Lippenbekenntnissen zum Schutz der Privatsphäre üben, blieben viele Verschlechterungen unerwähnt - Die Bilanz des Jahres 2007 fällt überaus ernüchternd aus
Neben den medialen Dauerbrennern „Vorratsdatenspeicherung“ und „SPG- Novelle“ gibt es zahlreiche weitere Entwicklungen, die um nichts weniger bedenklich sind. Dazu kommen noch datenschutzrechtliche Defizite, welche schon seit Jahren bekannt sind, bei welchen die politisch Verantwortlichen weder fähig noch willig sind, Verbesserungen vorzunehmen.
SPG-Novelle - Grundrechtsbeseitigung mit „Kreuzerlformular“
Der datenschutzrechtliche Dauerbrenner der letzten Wochen zeigt sehr gut, welches Interesse die politisch Verantwortlichen dieses Landes tatsächlich am Schutz der Privatsphäre haben. Durch die neue - praktisch unbegrenzte - Zugriffsmöglichkeit, welche die SPG-Novelle in § 53 verankert, ist die Polizei erstmals in der Lage, persönliche und private Internet-Kommunikation ohne Gerichtsbeschluss zu analysieren und auszuwerten.
Mit der neuen Bestimmung kann, wenn die Polizei sich selbst "Gefahr in Verzug" zugesteht, zu jedem Internet-Datenpaket, das den Inhalt der Internetkommunikation erhält, an Hand der im Datenpaket enthaltenen IP-Adressen, feststellen lassen, wer Absender und Empfänger ist.
Die nunmehr veröffentlichten Abfrageformulare machen deutlich, dass hier überhaupt kein Schutzmechanismus mehr besteht. Ein einfaches Ankreuzen einer vorgegebenen Abfragemöglichkeit durch ein beliebiges Polizeiorgan reicht aus, den jeweiligen Telekommunikationsbetreiber zur Auskunftserteilung zu verpflichten. Eine derartige Vorgehensweise lädt zum schädigenden Missbrauch geradezu ein, der Abfragegrund "Selbstmordgefahr" ist folgerichtig seit Beginn des Jahres sprunghaft angestiegen.
Die politischen Entscheidungsprozesse, die zu diesem Frontalangriff auf fundamentale Bürgerrechte geführt haben, machen deutlich, dass die heutige politische Feierstunde zum Datenschutz allenfalls ein Lippenbekenntnis darstellt.
Vorratsdatenspeicherung
Der im vergangenen Jahr vorgelegte Umsetzungsentwurf zur Vorratsdatenspeicherung bedeutet nicht nur einen massiven EIngriff in bürgerliche Freiheitsrechte durch Politiker. Er bedeutet auch eine massive Mittelverschwendung, ein Hinauswurf von Geld, das in anderen Sicherheits-Bereichen sinnvoller eingesetzt wäre.
Das eigentliche Ziel des Vorhabens, dem internationalen Terrorismus und der organisierten Kriminalität Einhalt zu gebieten, wird man anhand des vorliegenden Gesetzesentwurfs nicht erfüllen können. Stattdessen wird man massenweise Daten unbescholtener Bürger ohne Verdachtsmomente verarbeiten und diese dem Risiko aussetzen, dass mittels Date-Mining-Technik deren persönliches Leben massiv durchleuchtet wird.
Über das Ziel der zugrunde liegenden EU-Richtlinie geht die in Österreich diskutierte Fassung insoweit beträchtlich hinaus, dass diese sich nicht auf Datenzugriffe bei tatsächlicher organisierter Kriminalität beschränkt, sondern undifferenziert bei sämtlichen Delikten, die mit mehr als einem Jahr Freiheitsstrafe bedroht sind, zugegriffen werden soll. Mit EU-Recht lässt sich die geplante österreichische Umsetzung der Vorratsdatenspeicherung jedenfalls nicht rechtfertigen. Auch wenn die Umsetzung mittlerweile aufgeschoben wurde, lässt die politische Diskussion in diesem Bereich letztendlich nichts Gutes erahnen.
Bildungsdokumentation - alte Hüte in neuem Gewand
Ein Dauerbrenner bleibt das Lieblingsprojekt der früheren Unterrichtsministerin Gehrer, die sogenannte „Bildungsdokumentation“. Gemeinsam mit verärgerten Lehrern und empörten Eltern kämpft die ARGE DATEN seit Jahren dagegen an, dass Finanzmittel, die gerade im Bildungsbereich sinnvoll eingesetzt werden könnten, zu einer bürokratischen Zwangsdokumentation genutzt werden, bei welcher letztendlich nicht einmal klar ist, wozu sie dienen soll. Die 2007 beschlossene Novelle hätte dazu dienen sollen, die Rechte der Betroffenen zu stärken und die Bildungsdokumentation auf eine solide gesetzliche Basis zu stellen. Herausgekommen ist ein datenschutzrechtlich „alter Hut“ in neuem Gewand.
Die Hauptkritikpunkte blieben in der Novelle unberücksichtigt: überlange Speicherdauer von 60 Jahren bleib und weiterhin die Verwendung der Sozialversicherungsnummer. Nicht abgegangen wurde auch von der Verwendung sensibler Daten. Die Betroffenenrechte hinsichtlich Auskunft und Richtigstellung bleiben rechtswidrig beschränkt, auf die EU-Datenschutzrichtlinie wird keine Rücksicht genommen.
Die Bildungsdokumentation ist ein Paradebeispiel dafür, wie die politischen Ankündigungen von der „Stärkung der Parteienrechte“ und der „Berücksichtigung des Datenschutzes“ mit der Realität auseinanderklaffen. Resumee: Aus datenschutzrechtlicher Sicht erhält die Novelle zur Bildungsdokumentation ein glattes „Nicht genügend“. Hinsichtlich der Verstöße gegen die EU-Datenschutzrichtlinie ist bereits vor der EU-Kommission ein Verfahren anhängig gemacht worden.
Unternehmer als Amateurdetektive?
Erstaunlich zurückhaltend blieb die Resonanz von Medien und Wirtschaftsvertretern gegenüber der Verpflichtung, dass Unternehmer in Zukunft ihre Kunden zu bespitzeln haben.
Im Zeichen „Kampf gegen den Terrorismus“ steht die Novelle zur Gewerbeordnung, welche durch den Nationalrat im Dezember 2007 beschlossen wurde.
„Terrorismusbekämpfung“ soll in Zukunft nicht nur von offiziellen staatlichen Stellen betrieben werden, sondern Unternehmen sind als „Amateurdetektive“ zwangszuverpflichten. Dabei schreckt man auch nicht davor zurück, sie zur Verwendung datenschutzrechtlicher überaus fragwürdiger Softwareprogramme zu verpflichten.
Neben den Verpflichtungen zur Identitätsfeststellung normieren die neuen Bestimmungen „Überwachungspflichten“ und Meldepflichten. Besonders am Herzen liegen dem Gesetzgeber dabei „politisch exponierte Personen“, die unter dem Generalsverdacht der Geldwäsche und Terrorfinanzierung stehen. Die Definition, welchen Gruppen besondere Aufmerksamkeit zu schenken ist, fällt überaus großzügig aus: Neben Staats- und Regierungschefs, Ministern, Parlamentsmitgliedern, Diplomaten gehören auch Mitglieder von Rechnungshöfen, der Vorstände von Zentralbanken und staatsnahen Unternehmen sowie von Höchstgerichten dazu. Daneben umfasst die Definition auch deren unmittelbare Familienmitglieder sowie bekanntermaßen nahestehende Personen (etwa Carla Bruni fiele darunter). Weiters gilt die Definition weltweit.
Die Frage, wie Gewerbetreibende überhaupt derartige Verpflichtungen erfüllen können, hat der Gesetzgeber in den Erläuternden Bemerkungen zur Novelle bemerkenswert beantwortet: Als Verfahren zur Feststellung, ob ein Kunde dem definierten Personenkreis angehört wird auf die "Interneteinrichtung world-check" verwiesen. Unter der Bezeichnung "world-check" werden gegenwärtig die personenbezogenen Daten von etwa 300000 Personen weltweit verarbeitet.
Die Herkunft der personenbezogenen Daten, welche "world-check" verarbeitet, ist weitgehend ungeklärt, auf Betroffenenrechte wird keinerlei Rücksicht genommen. Weiters ist unklar, nach welchen Kriterien die Aufnahme in "world-check" erfolgt. Der eigentliche Zweck der Verarbeitung ist ebenfalls undefiniert, ein Zugang ist - gegen Leistung entsprechend hoher Zahlungen - so gut wie jedem möglich. Bei den Betreibern rühmt man sich, dass Datenschutz nicht greife und das gesamte Lebensumfeld Betroffener verarbeitet werde.
Mit der beschlossenen Novelle nimmt der Gesetzgeber somit nicht nur keine Rücksicht auf Betroffenenrechte sondern fördert durch seinen Ratschlag, man solle bestimmte Softwarelösungen verwenden auch aktiv die Verarbeitung personenbezogener Daten durch Privatunternehmen, welche in rechtlich durchaus fragwürdiger Weise abläuft.
Welchen Stellenwert die Verfassungsmäßigkeit von Gesetzen hat, zeigen die jüngsten Entwicklungen in dieser Sache: Nachdem die beschlossene Novelle rückwirkende Strafbestimmungen enthalten hatte, was eindeutig verfassungswidrig, ist hat der Bundespräsident die Beurkundung des beschlossenen Gesetzes verweigert.
Auskunftsrecht als datenschutzrechtlicher Rohrkrepierer
Wenig Erfreuliches gibt es auch zum Auskunftsrecht, das sich auch aufgrund zahlreicher Entscheidungen aus 2007 eher als datenschutzrechtlicher Papiertiger erweist denn als geeigneter Behelf zur Geltendmachung von Betroffenenrechten. Die Problem werden vor allem in zwei Bereichen deutlich: Einerseits in der mangelnden Durchsetzbarkeit des Auskunftsrechts gegenüber öffentlichen Rechtsträgern, andererseits daraus, dass sich Datenschutzverletzer bequem aus der Affäre ziehen können, indem sie sich zurücklehnen und es auf eine Beschwerde an die Datenschutzkommission ankommen lassen- die Spruchpraxis dort macht das möglich.
In dem durch die ARGE DATEN geführten Verfahren K121.259/0013-DSK/2007 wurden Verletzungen des Auskunftsrechts durch das Bundesministerium für Finanzen, festgestellt. Da trotz Entscheidung der Datenschutzkommission dem Betroffenen die Auskunft nicht erteilt wurde, wurde bei der Datenschutzkommission der Antrag gestellt, den gültigen Bescheid gegen das BMF zu exekutieren.
Stell die DSK eine Datenschutzverletzung fest, ergibt sich zwar eine Verpflichtung zur Behebung, durchsetzbar sind derartige Bescheide gegen Datenverarbeiter des öffentlichen Rechts nicht. Falls eine Behörde Datenschutzrechte verletzt, kann der Bürger nicht einmal dann etwas dagegen tun, selbst wenn dies die Datenschutzkommission feststellte - eine untragbare Situation, die auch schon zu einer EU-beschwerde führte.
Die Entscheidung 2006/06/0330 vom 27.9.2007 des VwGH zeigt hingegen, wie sich notorische Auskunftsverweigerer gemütlich aus der Affäre ziehen können: Durch den Betroffenen wurde an die Gebühren-Info Service Gmbh GIS ein Auskunftsersuchen gestellt, welche personenbezogenen Daten diese über ihn verarbeite, die Beantwortung fiel ungenügend aus. Erst im Zuge einer vor der DSK erhobenen Beschwerde kam die GIS ihrer Verpflichtung zur Auskunftserteilung nach. Im Bescheid stellte die DSK trotzdem fest, dass keine Verletzung des Auskunftsrechts stattgefunden habe und wies die Beschwerde ab.
Die Entscheidung des VwGH fiel wenig überraschend aus: Die Beschwerdegegnerin habe im Zuge des Verfahrens eine entsprechende Auskunft erteilt, insoferne sei auch eine Verletzung des Auskunftsrechts nicht „im nachhinein“ feststellbar. § 31 Abs 1 des DSG 2000, welcher die Beschwerdemöglichkeiten regle, sehe eine derartige Sanktion nicht vor.
Nur die wenigsten Betroffenen machen sich die Mühe, gegen ungenügende Auskünfte zur Datenschutzkommission zu ziehen. Schlagen sie diesen Weg ein, bekommen sie zwar - im nachhinein - Auskunft, haben aber entsprechende Mühe in ein Verfahren investiert und bleiben auf allfälligen Kosten sitzen. Zwar gibt es nach § 52 DSG eine entsprechende Verwaltungsstrafbestimmung, die Verletzungen des Auskunftsrechts ahndet, die Exekution erfolgt aber nur schleppend.
Suchtmittelgesetz und Rezeptgebührbefreiung ebnen Weg zum gläsernen Patienten
Wenig erfreuliches auch aus dem Gesundheitsbereich. Der gläserne Patient, der anhand des Elektronischen Gesundheitsaktes Gestalt annehmen soll, sendet durch die Novelle zum Suchtmittelgesetz und die Regelung zur Rezeptgebühr seine Vorboten.
Zum in Begutachtung gebrachten Suchtmittelgesetz ist festzuhalten, dass dieses eine Aufhebung der ärztlichen Verschwiegenheitspflicht im Falle von Suchtkranken ebenso vorsieht, wie die Schaffung eines eigenen Suchtmittelregisters zur Sicherstellung der Überwachung der Nutzung der Suchtmittel und Drogenausgangsstoffe. Schon der Verdacht einer strafbaren Handlung bzw. eine erstattete Anzeige sind ausreichend, um zu einer Aufnahme im Zentralregister zu führen.
Ziel des ebenfalls gesetzlich zu verankernden Substitutionsregisters ist die Erkennung von Mehrfachbehandlungen mit Substitutionsmitteln. Das Gesundheitsministerium darf auf die entsprechenden Daten auch für statistische und wissenschaftliche Analysen und Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben zugreifen, eine umgehende Verschlüsselung ist nicht vorgesehen.
Der ebenfalls verankerte Online-Zugriff von Behörden auf die geplanten Register stellt einen erheblichen Unsicherheitsfaktor dar. Durch die vorgelegte Regelung ist jedenfalls in keiner Weise sichergestellt, dass nur tatsächlich legitimierte Personen Zugriff zu den verarbeiteten, personenbezogenen Daten erhalten.
Vollmundig wurde 2007 die erzielte "Einigung" zur Befreiung von der Rezeptgebühr verkündet. Was von der Regierung als "sozialer Meilenstein" hinausposaunt wird, entpuppt sich anbetracht der geplanten Abwicklungsmodalitäten als problematisch. Kern der Durchführung ist die Einrichtung eines eigenen "Rezeptgebührenkontos" beim Hauptverband der Sozialversicherungsträger (HV). Auf diesem werden die entsprechenden Einkommensdaten von Betroffenen verarbeitet. Sobald die "Zwei-Prozent-Einkommensgrenze" erreicht ist, erstattet der HV Meldung an den Hausarzt, der das Erreichen der "Zwei-Prozent-Grenze" auf der e-card verbucht. Dort ist dann für jeden, der Zugang zu den auf der e-card gespeicherten Daten hat, ersichtlich, dass derjenige von der Rezeptgebühr befreit ist.
Besonders im Zusammenhang auf die künftig geplante "Elektronische Gesundheitsakte" ELGA, bei der es zu einer zentralen Verarbeitung von Gesundheitsdaten kommen soll, ist ein solches Vorgehen problematisch. Anhand der angedachten Lösung und des wenig sensiblen Vorgehens der Regierung wird deutlich, wohin der Zug im Gesundheitswesen fährt: Zentrale Verarbeitung umfangreicher Datenbestände die von sensiblen Gesundheitsdaten bis zu persönlichen Einkommensdaten reicht wird im Zusammenhang mit den zahlreichen Schnittstellen, die im Gesundheitswesen Zugang zu personenbezogenen Daten haben, zu einer datenschutzrechtlich explosiven Mischung, die angebliche Verwaltungseffizienz weit über den Schutz der Betroffenen vor Datenmissbrauch stellt.
DSK feiert eigene „Unabhängigkeit“ und ignoriert internationale Zusammenarbeit
Wenn schon für die Politik Datenschutz weitgehend kein Thema ist, das allenfalls für Lippenbekenntnisse eine gewisse Rolle spielt, möchte man zumindest davon ausgehen, dass zumindest für die Datenschutzkommission, die ja eigens eingerichtet ist, die genannten Probleme eine große Bedeutung haben sollten.
Auch hier fällt die Bilanz ernüchternd aus: Auch im vergangenen Jahr war außer ein paar halbherzigen Aufrufen wenig von Österreichs Datenschutzbehörde zu hören. Am wichtigsten dürfte es für die Datenschutzkommission - verfolgt man deren Presseaussendungen - wohl sein, möglichst am status quo festzuhalten und die eigene Rolle bestätigt zu sehen. In Feierlaune war man offenbar, als seitens des VwGH judiziert wurde, dass sich an der organisatorischen Ausstattung der DSK nichts ändern müsse. Die Datenschutzkommission ist damit wohl die einzige Behörde, die sich gegen eine bessere Verankerung ihrer Unabhängigkeit und eine Ausstattung mit mehr Kompetenzen zur Wehr setzt.
Ein gutes Beispiel für die Unfähigkeit der DSK, in europäischen Dimensionen zu denken und länderübergreifenden Problemen auch länderübergreifende Lösungen entgegenzusetzen bietet der Fall SWIFT (K 121.245/0009-DSK/2007). Der Beschwerdeführer, der zahlreiche Auslandsüberweisungen unter Zuhilfenahme des SWIFT -Überweisungssystems getätigt hatte, stellte an seine Hausbank ein Auskunftsbegehren, in welchem Ausmaß durch den Dienstleister SWIFT personenbezogene Daten weitergeben würden, insbesondere an US-amerikanische Behörden.
Die Auskunft der Hausbank war für den Betroffenen nicht zufrieden stellend, daher rief er die Datenschutzkommission an. Diese entschied, dass SWIFT als eigenständiger Auftraggeber zu sehen sei. Die Folge dieser Rechtsansicht war die Zurückweisung der Beschwerde mangels örtlicher Zuständigkeit, da SWIFT seinen Sitz in Belgien hat. Für die DSK ein bequemer Strandpunkt, ist doch in solchen Fällen vorgesehen, dass die DSK, die zuständige, nationale Kontrollstelle, also die belgische Datenschutzkommission, kontaktiert und eine amtswegige Überprüfung des betreffenden Dienstleisters anregt. Dass dies nicht geschehen ist, zeigt, dass internationale Zusammenarbeit zwar Teil der EU-Datenschutzrichtlinie, leider aber noch nicht Bestandteil datenschutzrechtlicher Praxis in Österreich ist.
Datenschutz - Feiern und Vergessen?
Der Europäischen Datenschutztag erinnerte uns in erster Linie daran, dass es um den Datenschutz in Österreich keineswegs so bestellt ist, wie es aus Sicht des Bürgers wünschenswert wäre und wie es die Politik anlässlich des Europäischen Datenschutztages Glauben machen will.
Unsere Zusammenfassung ist dabei als bewusster Kontrast zur politischen Feierlaune gedacht und erhebt keinen Anspruch auf Vollständigkeit, zu umfangreich sind die datenschutzrechtlichen Probleme in Österreich. Ergebnis ist jedenfalls, dass angesichts der angesprochenen Thematiken die politischen Entscheidungsträger gut daran täten, ihre Energie in die Lösung der tatsächlichen Datenschutzfragen anstatt in die Abhaltung von Alibiveranstaltungen zu investieren.
Archiv --> Erfolgreiche Aktion "Nein zur Vorratsdatenspeicherung" geht we... Archiv --> Sicherheitspolizeigesetz - noch weitergehende Eingriffe abgenickt Archiv --> Zusammenarbeit nationaler Datenschutz-Kontrollstellen Archiv --> Bildungsdokumentation NEU? - lebenslange Schülerüberwachung so... Archiv --> Befreiung von der Rezeptgebühr reduziert Datenschutzrechte der... Archiv --> Gewerbeordnungsnovelle soll dubiose "World-Check" - Datenbank ... Archiv --> Entwurf zur Telefon- und Internetüberwachung sorgt für große E...
|