rating service  security service privacy service
 
1992/12/31 Anregungen zu einem neuen Informationsrecht
DIR Am 1. Jänner dieses Jahres wurde das Datenschutzgesetz 14 Jahre alt. 14 Jahre, in denen die EDV sich enorm weiterentwick...

Am 1. Jänner dieses Jahres wurde das Datenschutzgesetz 14 Jahre alt. 14 Jahre, in denen die EDV sich enorm weiterentwickelt hat und in denen völlig neue Problemstellungen aufgetaucht sind. Es ist also höchste Zeit, über ein neues Informationsrecht nachzudenken, meint die ARGE DATEN.

Umfang des DSG

Das Hauptproblem scheint derzeit die Definition des Umfangs des Datenschutzgesetzes zu sein. Es regelt im wesentlichen nur die automationsunterstützt (= computerisiert) verarbeiteten Daten. Andere Daten werden vom DSG und anderen informationsrechtlich relevanten Gesetzen (Art. 8 MRK,Auskunftspflichtgesetz) nur unvollständig erfaßt. Ein einheitliches Informationsrechtsgesetz (IRG) sollte alle Informationsarten in den Grundsätzen regeln. Die wesentlichsten Teile sollten dabei im Verfassungsrang stehen, um von dort aus auf die einzelnen Gesetze wirken.

"automationsunterstützt"

Nur zu unterscheiden, ob Daten mit einem Computer verarbeitet werden oder nicht, ist zu wenig. Das DSG geht von einem Konzept aus, in dem eine Datenverarbeitung nichts anderes ist als ein elektronischer Karteikasten: Lauter gleichartige Karten, eine Karte pro Person. Das entspricht durchaus demgängigen EDV-Einsatz zur Entstehungszeit des DSG, wirft aber zwei Probleme auf:

1. Nicht vom DSG erfaßt sind alle Karteien, die nicht automationsunterstützt verarbeitet werden, und zwar auch dann, wenn diese Karteien durchaus so sortiert sind, daß darin auf einzelne Personen oder Vorgänge direkt zugegriffen werden kann. Dies ergibt eine willkürliche Trennung der Rechte desBetroffenen, die ganz davon abhängt, wie der Datenverarbeiter seine Daten organisiert hat. So hat man z.B. nach dem DSG das Recht auf Auskunft über die Daten im Kanzleisystem der Stapo.

Dort sind aber im wesentlichen nur der Name, die Aktenzahlen und die zuständige Abteilung gespeichert. Einsicht in die eigentlichen Akten, die ja viel wichtigere Informationen enthalten können, steht einem aber nur nach dem schwammig formulierten und nicht durchsetzbaren Auskunftspflichtgesetz (APG)zu. Das Problem ließe sich lösen, indem man vom Begriff der automationsunterstützten Verarbeitung abgeht und den Organisationsgrad der Daten als entscheidendes Kriterium nimmt. So umfaßt z.B. im Entwurf der EG-Richtlinie zum Datenschutz der Begriff Datei auch nicht-automationsunterstützte Daten,wenn sie "geordnet und in einer Sammlung zugänglich (sind), die nach bestimmten Kriterien organisiert ist, die die Benutzung oder Verknüpfung der Daten erleichtern."

2. Neben der Problematik von organisierten, aber nicht computerisierten Dateien gewinnt auch die Problematik von computerisierten, aber sehr diffus organisierten Dateien an Bedeutung. Gerade in den letzten Jahren entstanden immer mehr Datenbanken, die vom starren Konzept eines elektronischenKarteikastens abweichen (z.B. Volltextdatenbanken). So sind z.B. die Meldungen der APA und die Berichterstattung der Tageszeitung "Der Standard" über Datenleitung abrufbar. Der Benutzer kann nach beliebigen Stichworten oder Namen in den Artikeln suchen. Welche Möglichkeiten und Gefahren sich dadurchergeben, ist noch gar nicht abzuschätzen. Nur ein Beispiel: Wenn noch einige weitere Zeitungen ihre Berichterstattung online zugänglich machen, wird ein Stapo-Beamter dort mehr über eine politisch aktive Person finden als in seinem verstaubten Archiv.

Die Regelung solcher Datenbanken ist allerdings wesentlich schwieriger, als die von "elektronischen Karteikästen". So ist zum Beispiel schwer definierbar, ob eine bestimmte Information in der Datenbank überhaupt enthalten ist. Es hängt ganz von der Recherche ab, ob man das findet, was man sucht. Undwas sollte eine Pressestelle eines Ministeriums sagen, wenn Bundeskanzler Vranitzky fragt, was sie über ihn speichert? Soll sie ihm einige tausend Volltext-Meldungen zusenden? Derzeit sind solche Datenbanken (ausgenommen jene von Medien) prinzipiell vom DSG erfaßt, aber sie entziehen sich in derPraxis einer rechtlichen Erfassung. Der Betreiber einer solchen Datenbank müßte zwar dem DVR melden, welche Personenkreise davon betroffen sein können und welche Datenarten gespeichert werden. Aber was soll er schreiben? "beliebige Personen der ganzen Welt" und "Texte jeder Art"?

Man kann nur versuchen, die durch solche Datenbanken aufgeworfenen Probleme dadurch in den Griff zu bekommen, daß man an Datenbanken strenge Kriterien anlegt:

Datenbanken des Staates sollten grundsätzlich dem Karteikastenprinzip folgen müssen. In Ausnahmefällen müßten die Rechte der Betroffenen separat und der Dateistruktur angepaßt geregelt werden.

Abfragen aus öffentlich zugänglichen Datenbanken sollten protokolliert werden, damit der Betroffene erfahren kann, welche Personen die Datenbank nach seinem Namen durchsucht haben.

Im folgenden werden Datenbanken im Sinne von Karteikästen als personenbezogen bezeichnet, andere als suchwort- oder themenbezogen. Dazu kommen noch anonymisierte Datenbanken, deren Daten einmal personenbezogen waren und deren Aufbau an sich dem Karteikastenprinzip entspricht, bei denen die Zuordnungzu einer bestimmten Person aber wesentlich erschwert wurde.

Ein geschlossenes Informationsrecht müßte alle verschiedenen Formen, in denen Informationen vorliegen können berücksichtigen. Das beginnt bei Informationen, die in der bloßen Erinnerung vorhanden sind (z.B. Zeugeneinvernahmen), setzt sich über Aufzeichnungen (schriftlich, Fotos, Tonband, Video) fortund endet bei der organisierten Informationssammlung in Computern und Archiven (Disketten, Magnetbänder, online-Zugriffe von mehreren Terminals, ...).

Unterscheidungskriterium ist hier die Möglichkeit (Organisation) und die Wahrscheinlichkeit (Absicht) eines späteren gezielten Zugriffs. So ist z.B. das Foto eines japanischen Touristen, auf dem neben dem Stephansdom auch Demonstranten sichtbar sind, unbedenklich. Dasselbe Foto wird aberdemokratiepolitisch bedenklich, wenn es von der Staatspolizei mit der Absicht einer späteren Auswertung aufgenommen wird. Aufgrund mangelnder gesetzlicher Grundlagen unterzieht der Verfassungsgerichtshof Beschwerden gegen Stapo-Fotos aber derzeit nicht einmal einer Prüfung.

Betroffene

Die Betroffenen werden derzeit kaum unterschieden. Eine Firma kann sich auf dieselben Rechte berufen, wie eine Privatperson. Das wirft im Bereich der Umweltdaten das Problem auf, daß ein umweltverschmutzender Betrieb gegenüber den Fragen von Anrainern sein Recht auf Datenschutz geltend machen kann.Die Grenzwertüberschreitungen gelten quasi als Geschäftsgeheimnis. Eine Differenzierung zwischen natürlichen und juristischen Personen würde hier Abhilfe schaffen. In der geplanten EG-Richtlinie wird juristischen Personen überhaupt kein Recht auf Datenschutz mehr zugestanden, es würde aber schongenügen, wenn das Recht natürlicher Personen stärker als das von juristischen Personen wiegt - zumindest in jenen Bereichen, in denen die juristische Person im öffentlichen Raum agiert (z.B. eben im Bereich der Umweltverschmutzung, aber auch bei der Produkthaftung).

Neue Rechte

Ein geschlossen formuliertes Informationsrecht erfordert auch die Neudefinition oder Erweiterung mancher alter Rechte oder die Einführung neuer Rechte. Im Detail:

Recht auf informationelle  Selbstbestimmung

Das in Deutschland aus dem allgemeinen Recht auf persönliche Selbstbestimmung abgeleitete Recht sollte endlich auch in Österreich im Verfassungsrang verankert werden. Jede Person soll grundsätzlich über die zu ihr gehörenden Informationen verfügen dürfen. Dazu gehören insbesondere die folgendenRechte:

das Recht auf Bestimmung über die Erfassung und Verwendung personenbezogener Daten wie z.B. Name, Adresse, Ausbildung, Einkommen, ...

das Recht auf das eigene Bild

das Recht darauf, daß Kommunikation (Gespräche, Telefonate, Briefverkehr, aber auch sexuelle Kontakte) nicht ohne Zustimmung mit- oder abgehört, beobachtet, oder aufgenommen wird

Letzteres wird z.B. von Gary T. Marx zu Recht gefordert und mit einem Beispiel belegt (Standard, Neue Kontinente, 23.12.91): "Ein College-Student machte heimlich Videoaufnahmen von sexuellen Kontakten mit seiner Freundin. Nachdem er sich von ihr getrennt hatte, führte er die Aufnahmen Mitgliedernseines Clubs vor. Damit machte er sich nicht strafbar." Und zwar nicht nur nicht nach amerikanischem Recht, sondern auch nicht nach österreichischem: Tonaufnahmen sind verboten (Par. 120 StGB), Videoaufnahmen nicht.

Natürlich muß das Grundrecht auf informationelle Selbstbestimmung auch Grenzen haben: Die gesetzlich verankerten Interessen des Staates und die Freiheit und Rechte anderer Menschen (vgl. Art. 8 MRK). Es entspricht in seiner Grundstruktur dem Eigentumsrecht, das auch stark geschützt ist, aber denInteressen des Staates (z.B. Steuern) oder anderer Menschen (z.B. Arbeits- und Sozialrecht) dennoch nicht entgegensteht.

Recht auf Entschädigung

.. bei Verletzung eines der informationsrelevanten Rechte. Bei einem Eingriff in das Eigentumsrecht (z.B. Diebstahl) kann der Eigentümer vom Dieb die Rückgabe der Sache oder Schadenersatz verlangen. Außerdem wird der Dieb bestraft. Bei Verletzungen des Informationsrechts ist der Schaden (z.B.illegale Datenweitergabe, oder -ermittlung) unter Umständen nie gutzumachen. Einmal verbreitete Informationen lassen sich nicht wieder zurückholen. Der Lauscher kann Informationen aus einem abgehörten Telefongespräch nicht einfach wieder vergessen. Neben dem Ersatz eines eventuellenVermögensschadens müßte daher auch ein Anspruch auf Ersatz des ideellen Schadens oder eine dem Schmerzensgeld vergleichbare Entschädigung rechtlich verankert werden.

Recht auf Auskunft über  die eigenen Daten

Das jetzt auf den Begriff der "automationsunterstützt verarbeiteten Daten" gestützte Recht sollte für alle Daten gelten, die in irgendeiner Form organisiert und dadurch zugreifbar sind.

Also nicht nur personenbezogene Daten im Computer, sondern z.B. auch alphabetisch oder sonstwie sortiert abgelegte Akten. Wenn der Betroffene durch seine Mitwirkung den Zugriff überhaupt erst ermöglicht, so sollte das Recht natürlich bestehen bleiben. Das ist derzeit nicht der Fall. So existiert imBundeskanzleramt eine Datei, die alle Patienten von Krankenanstalten und deren Diagnosen enthält. Obwohl über die Aufnahmezahl und weitere Kriterien auf die Daten zugegriffen werden kann, hat der Betroffene auch dann kein Einsichtsrecht, wenn er die Aufnahmezahl mitteilt. Nach Ansicht derDatenschutzkommission ist nämlich entscheidend, ob die Daten schon vor der Anfrage personenbezogen sind und das sind sie mangels Speicherung des Namens nicht.

Der Betroffene müßte eine stärkere Mitwirkungspflicht haben als derzeit, besonders bei themenbezogenen Datenbanken. Er müßte dem Datenverarbeiter jene Stichworte und Suchbegriffe bekanntgeben, unter denen seine Daten gespeichert oder abgelegt sein könnten. Um dem Betroffenen die Mitwirkung bei derAusforschung der Daten zu erleichtern, müßte aber umgekehrt der Datenverarbeiter dazu verpflichtet werden, seine Datenverarbeitungen ausreichend zu dokumentieren. Das ist bei Aktenschränken nicht so wichtig und bei personenbezogenen Datenbanken (Karteikästen) noch relativ leicht möglich (z.B. durchdie Verpflichtung zur Meldung der Datenverarbeitung an das DVR).

Eine themenbezogene Datenbank kann aber - wie bereits erwähnt - beim DVR nicht sinnvoll registriert werden. Daher sollte diskutiert werden, ob nicht überhaupt an die Stelle der DVR-Meldungen eine öffentliche Dokumentationspflicht dieser Datenverarbeitungen treten sollte, wie sie etwa für dieBilanzen von Aktiengesellschaften gilt. Neben den gespeicherten Datenarten müßten darin auch die Möglichkeiten zur Datenabfrage, die Handhabung der Datenermittlung, -speicherung, -übermittlung und -löschung dargelegt werden.

Recht auf Richtigstellung  und Löschung

Auch dieses Recht ist derzeit auf automationsunterstützt verarbeitete Daten beschränkt und sollte - analog zum Recht auf Auskunft - auf alle in irgendeiner organisierten Form vorliegenden Daten ausgeweitet werden.

Das Löschungsrecht gilt derzeit nur für illegal verarbeitete Daten oder für Daten, die für die Zwecke der Datenverarbeitung nicht erforderlich sind. Diese Regelung stärkt den Datenverarbeiter, denn er definiert den Zweck der Datenverarbeitung. Hauptbeispiel ist der Adressenhandel: Kann man einemAdreßverlag nichts Illegales nachweisen, so hat man auch kein Recht auf Löschung. Ein dem Grundsatz auf informationelle Selbstbestimmung verpflichtetes Informationsrecht sollte dem Betroffenen (= "Dateneigentümer") mehr Rechte einräumen.

Problematisch ist das Richtigstellungs- und Löschungsrecht in jenen Bereichen, in denen Daten nur zur Dokumentation gespeichert werden, z.B. in der sogenannten Ges-Kartei, in der vermerkt wird, wenn jemand zwangsweise in eine psychiatrische Anstalt eingewiesen wird. Auch wenn sich herausstellt, daßdiese Einweisung völlig unbegründet war, ist keine Löschung möglich, da ja nur die (wahre) Tatsache der Einlieferung vermerkt ist. In solchen Fällen sollte der Betroffene das Recht haben, einen Bestreitungsvermerk anzubringen.

Qualitätsprinzipien

Dem Richtigstellungsrecht verwandt ist das Prinzip der Aktualisierung. Auch ohne Antrag des Betroffenen sollen Daten immer auf einem möglichst aktuellen Stand sein - oder gelöscht werden, wenn ihre Speicherung nicht mehr nötig ist (Prinzip der minimalen Speicherdauer). Auch die weiterenQualitätsprinzipien für Datenverarbeitungen sollten gesetzlich festgeschrieben werden: Das Prinzip der Rechtmäßigkeit der Datenverarbeitung, das Prinzip der Zweckbindung von Datenverarbeitungen und das Prinzip der minimalen Datenmenge. Alle diese sind im Europaratsabkommen zum Datenschutzvorgesehen, im österreichischen Recht aber nur wenig berücksichtigt.

Zur Kontrolle der Einhaltung dieser Prinzipien wäre die Einführung eines Popularklageanspruches denkbar: Das aufgrund der Beschwerde eines Einzelnen gefällte Urteil soll für die gesamte Datenverarbeitung und damit für alle davon Betroffenen gelten. Dies ist derzeit nicht der Fall. So hat z.B. dieDatenschutzkommission festgestellt, daß die Ermittlung des Geburtsdatums durch die Österr. Hochschülerschaft rechtswidrig war. In einem Fall wurde das Geburtsdatum gelöscht, für alle anderen gilt der Bescheid nicht.

Allgemeines Informationsrecht

Dieses Recht ist demokratiepolitisch wohl am dringendsten, aber durch das Auskunftspflichtgesetz (APG) nur sehr unbefriedigend gelöst. Eine Fülle von vorhandenen Informationen (z.B. Erlässe, amtliche Berichte und Protokolle oder auch Akten in Verwaltungsverfahren zu Großprojekten) sind von großemöffentlichen Interesse, unterliegen aber dem Amtsgeheimnis. Das führt zu grotesken Situationen. So ist es durchaus möglich, daß ein Ministerialbeamter am Telefon zwar bereit ist, einen Erlaß zu erklären und auch vorzulesen, die Ausfolgung einer Kopie aber unter Berufung auf "Datenschutz" undAmtsgeheimnis verweigert.

Nach dem Vorbild des US-amerikanischen Freedom of Information Act (FOIA) sollte jedermann das grundsätzliche Recht haben, von beliebigen staatlichen Dokumenten gegen angemessenen Kostenersatz Kopien zu erhalten. Dokumente, die staatliche Geheimnisse (z.B. militärischer Art oder zur ordentlichenDurchführung von öffentlichen Ausschreibungen) betreffen, oder deren Veröffentlichung die Interessen anderer Personen (Privatpersonen, nicht der Betreiber von Großprojekten) gefährden würde, dürften nicht oder nur teilweise oder anonymisiert ausgefolgt werden. In Streitfällen müßte der Fragestellerdie Möglichkeit haben, sein Recht durch Anrufung einer Behörde durchzusetzen (das ist beim derzeitigen Auskunftspflichtgesetz nicht möglich).

Neue Gesetze

Derzeit besteht das Problem, daß das Datenschutzgesetz durch jedes neue Gesetz wieder (teilweise) außer Kraft gesetzt werden kann. Werden in einem neuen Gesetz andere Grundsätze festgelegt als im DSG, so gelten die neuen Grundsätze. Von dieser Möglichkeit wurde z.B. im SicherheitspolizeigesetzGebrauch gemacht. Für das Strafregister, die Medien und die Verwaltung von Religionsdaten im Gemeindecomputer trat das DSG überhaupt nie voll in Kraft.

Größer noch als das Problem der nachträglichen Lockerung von Bestimmungen des DSG ist das Problem, daß die informationsrechtlichen Bestimmungen dieser Gesetze oft äußerst unbestimmt formuliert werden ("Die Behörde ist ermächtigt, alle notwendigen Daten automationsunterstützt zu verarbeiten." oder"Die verwendeten Datenarten werden in einer Verordnung des Bundesministers für ... festgelegt.").

Daher sollten gewisse Mindestanforderungen in den Verfassungsrang erhoben werden. Dadurch würden die Einzelgesetze unter die Kontrolle des Verfassungsgerichtshofs fallen. Neue Gesetze, die eine organisierte Informationssammlung (automationsunterstützt oder nicht) einrichten, sollten folgendeBestimmungen enthalten:

Regelungen über die Struktur der Datenverarbeitung: im allgemeinen personenbezogene Speicherung (Karteikastenprinzip), nur in Ausnahmefällen themenbezogen;

Regelung der Auskunftserteilung, falls Teile der Daten ausgenommen sind oder die Auskunft durch themenbezogene Speicherung erschwert ist;

Regelungen über die verwendeten Datenarten;

Regelungen zur Ermittlung, Speicherung, Aktualisierung, Übermittlung, Abrufbarkeit (Terminals) und Löschung von Daten, besonders Fristen zur maximalen Speicherung.

Eine Reihe von Problemen ist von einer Lösung noch ein gutes Stück entfernt - vor allem die Problematik der themenbezogenen Datenbanken, die Schaffung eines Entschädigungsanspruches und die zuletzt genannte Vorherbestimmung zukünftiger Gesetze durch Verfassungsbestimmungen. Die ARGE DATEN wird auchzu diesen Punkten weitere Diskussionsbeiträge bringen.




Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster