|
|
BALLHAUSPLATZ 2, A-1014 WIEN GZ ● Telefon ● (+43 1) 53115/2527 FAX ● (+43 1) 53115/2702 E-MAIL ● DSRPOST@BKA.GV.AT DVR: 0000019
|
|
Per Mail: qkb@bmwa.gv.at Herbert.Preglau@bmwa.gv.at |
|
Betrifft: Bundesgesetz, mit dem das Abschlussprüfungs-Qualitätssicherungs- gesetz und das Wirtschaftstreuhandberufsgesetz geändert werden
Stellungnahme des Datenschutzrates
Der Datenschutzrat hat in seiner 187. Sitzung am 16. April 2009 einstimmig beschlossen, zu der im Betreff genannten Thematik folgende Stellungnahme abzugeben:
I. Allgemeines
Aus datenschutzrechtlicher Sicht fällt auf, dass die hier primär interessierenden § 25g und § 25h mehrfach innere Widersprüche aufweisen, datenschutzrechtlich nicht nachvollziehbare inhaltliche Festlegungen treffen und überdies hinsichtlich ihrer inhaltlichen Strukturierung schwer nachvollziehbar sind.
II. Detailbemerkungen zu § 20 b und §§ 25g und 25h
§ 20b Abs. 1 Satz 2 des Entwurfs für Änderungen des Abschlussprüfungs-Qualitätssicherungsgesetzes statuiert (im Kontext der sog. Sonderuntersuchungen) in allgemeiner Form eine Amtshilfeverpflichtung der sogenannten Qualitätskontrollbehörde im Verhältnis zu einschlägig zuständigen Stellen in EU-Mitgliedstaaten, EWR-Staaten der Schweiz oder EU-Drittstaaten. Eine Beschränkung auf den Typ „Sonderuntersuchungen“ ist dem Abs. 1 der zitierten Norm nicht zu entnehmen, wie sich aus Abs. 3 leg. cit. zu ergeben scheint, hätte eine solche aber zu erfolgen, um die Abgrenzung zu §§ 25g f zu gewährleisten.
Für die Einzelheiten wird in § 20b Abs. 2 auf die §§ 25g und 25h verwiesen. Letztere Bestimmungen regeln schwerpunktmäßig die „Zusammenarbeit der zuständigen Stellen“ im Rahmen einer grenzüberschreitenden verwaltungsbehördlichen Zusammenarbeit mit EU-Mitgliedsstaaten, der Schweiz, aber auch Drittstaaten.
Zu § 25g
Im letzten Satz des § 25g Abs. 1 heißt es nun, die Vertraulichkeit der ausgetauschten Informationen sei durch die Qualitätskontrollbehörde sicherzustellen. Dazu ist anzumerken, dass sich schon aus der verfassungsrechtlichen Vorgabe der Amtsverschwiegenheit die Verpflichtung österreichischer Behörden ergibt, die Vertraulichkeit im Amtshilfekontext verwendeter Daten zu gewährleisten, sofern daran ein behördliches Interesse oder ein Parteiinteresse gegeben ist.
Sollte die zitierte Festlegung in § 25g Abs. 1 letzter Satz dagegen darauf abzielen, die im Amtshilfekontext tätige österreichische Behörde zu verpflichten, die vertrauliche Behandlung von Informationen auch durch die empfangende Stelle sicherzustellen, so muss dieses Vorhaben ins Leere gehen. Dies schon deshalb, weil nähere Festlegungen, wie diese Vertraulichkeit sichergestellt werden soll, fehlen. Darüber hinaus ist festzuhalten, dass der österreichische Gesetzgeber mittels einer Norm in der vorliegenden Form nicht die Möglichkeit hat, auch empfangende Behörden rechtlich zu binden. Eine solche rechtliche Bindung zur vertraulichen Behandlung empfangener Informationen könnte sich nur aus einem bilateralen völkerrechtlichen Amtshilfevertrag mit einem Drittstaat oder – innerhalb der EU – aus einer für die beteiligten Behörden unmittelbar anwendbare EU-Rechtsnorm ergeben. Auf diese Problematik wird bei der Diskussion des § 25h noch zurückzukommen sein.
Zu
§ 25g Abs. 3 des Entwurfs ist festzuhalten, dass diese Regelung ohne
selbständigen normativen Wert ist. Die Anwendbarkeit des DSG 2000 auf
österreichische Behörden ergibt sich schon aus § 3 DSG
2000, insbesondere iVm
§ 1 Abs. 2 DSG 2000 und §§ 7f DSG 2000.
Im § 25g Abs. 3 Satz 2 heißt es, dass bei der Übermittlung personenbezogener Daten auf den Zweck gemäß Abs. 1 hinzuweisen sei. Diese Festlegung ist zwar inhaltlich im Amtshilfekontext nicht falsch. Sie steht an dieser Stelle jedoch zusammenhanglos und betrifft inhaltlich genau genommen einen Detailaspekt der technischen Umsetzung konkreter Amtshilfehandlungen.
Grundsätzlich ist festzuhalten, dass konkretere Ausführungen über die Handhabung personenbezogener Daten im Amtshilfeverkehr mit Bindungswirkung für die empfangende Behörde – soweit es den EU-Raum anbelangt – zweckmäßigerweise auf Gemeinschaftsebene in einer Rechtsform zu regeln wären, die eine unmittelbare Anwendbarkeit durch die staatlichen Organe sicherstellt (Verordnung oder Abkommen).
Der vierte Abschnitt des Gesetzesentwurfes zielt offenkundig darauf ab, die Vorgaben des Art. 36 bzw. des Art. 47 der RL 2006/43/EG umzusetzen. Letztere sind nicht unmittelbar im innerstaatlichen Recht anwendbar, sondern bedürfen der Umsetzung. Allerdings fehlt es diesen Normen an der ausreichenden Vorherbestimmung der sich stellenden Amtshilfe- bzw. der Datenschutzfragen. Auch bei vollständiger Umsetzung der zitierten Vorschriften in das innerstaatliche Recht besteht daher per se keine Garantie für eine entsprechende einheitliche Vollzugspraxis im Verhältnis der Amtshilfebehörden zueinander, welche sämtliche Aspekte des Datenschutzes berücksichtigen würde.
Denkbar wäre aber immerhin, zumindest in der innerösterreichischen Umsetzung umfänglichere Regelungen für den Datenaustausch im Amtshilfefall vorzusehen, um zumindest die Vorgangsweise der österreichischen Behörden anlässlich von Empfang und Übermittlung von Informationen ausreichend zu regeln.
Der vorgelegte Entwurf des § 25g entspricht diesen Anforderungen allerdings nicht, da nur vereinzelt Aspekte der Informationsverwendung im grenzüberschreitenden Amtshilfewege angesprochen werden. Es wird daher angeregt, § 25g inhaltlich zu überarbeiten und sich dabei insbesondere an den datenschutzspezifischen Inhalten einschlägiger bilaterale Amtshilfeabkommen sowie bestehender abgerundeter Amtshilferegelungen im EU-Kontext zu orientieren.
Im Übrigen ist anzumerken, dass Art. 36 der RL 2006/43/EG in mehrfacher Hinsicht optionale Inhalte aufweist, die nicht zwingend umgesetzt werden müssen. Aus den Erläuterungen zu § 25g ist allerdings in keiner Weise zu entnehmen, aus welchen Erwägungen heraus von welchen Optionen Gebrauch oder nicht Gebrauch gemacht wurde.
Zu § 25h
Zu § 25h ist einleitend anzumerken, dass es sich hierbei um eine Umsetzungsbestimmung zu Art. 47 der RL 2006/43/EG handelt. Zu betonen ist an dieser Stelle, dass sich aus Art. 47 der zitierten Richtlinie keinerlei Verpflichtung der Mitgliedsstaaten ergibt, einen Informationsaustausch mit Drittstaaten auf dem hier interessierenden Feld einzugehen (arg: die Mitgliedsstaaten „können“ die Weitergabe von Arbeitspapieren und Anleihendokumenten unter bestimmten Bedingungen erlauben). Nur wenn sie einen solchen Austausch vorsehen, greifen die Mindestbedingungen nach Art. 47 Abs. 1 ein.
Wesentlich ist im gegebenen Kontext der Umstand, dass sich aus der Richtlinie 2006/43/EG naturgemäß keinerlei Verpflichtungen für empfangende Stellen in Drittstaaten ergeben können. Es macht zwar Sinn, den Mitgliedsstaaten bestimmte Mindestbedingungen für die Informationsweitergabe an Drittstaaten aufzuerlegen.
Für die Gewährleistung einer datenschutzkonformen Handhabung der übermittelten Daten durch die empfangende Stelle in Drittstaaten bedarf es freilich zusätzlicher Instrumente. Einseitige innerstaatliche Ermächtigungen in Umsetzung zu Art. 47 der Richtlinie 2006/43/EG greifen hier zu kurz. Sowohl im Interesse der Gewährleistung der Gegenseitigkeit als auch der Gewährleistung eines entsprechenden Datenschutzniveaus im Bereich des Datenverkehrs im Verhältnis zu Drittstaaten bedürfte es daher ergänzender bilateraler Abkommen.
Da jede personenbezogene Datenübermittlung ins Ausland als Grundrechtseingriff im Sinn des § 1 Abs. 2 DSG 2000 zu qualifizieren ist und Eingriffe durch Behörden nur aufgrund einer Ermächtigung im Gesetzesrang zulässig sind, bedürfte es folglich bilateraler Abkommen, die innerstaatlich als gesetzesrangiger Staatsvertrag parlamentarisch zu genehmigen wären. Diesem Aspekt trägt § 25h Abs. 5 Z 5 insofern nicht Rechnung, als dort lediglich von „Ressortübereinkommen“ mit Aufsichtsbehörden von Drittstaaten die Rede ist.
Im Übrigen geht aus der Textierung des § 25h Abs. 5 nicht klar genug hervor, dass die Z 1 bis 5 kumulativ vorliegen müssen. Es müsste insofern am Ende der Z 4 das Wort „und“ eingefügt werden. In der Z 3 wäre im Übrigen der Punkt durch einen Beistrich zu ersetzen.
Von diesen formalen Aspekten abgesehen ist darauf hinzuweisen, dass die Z 4 des Abs. 5 sachlich unzutreffend konzipiert scheint. Der singuläre Verweis auf das Zusatzprotokoll der Europäischen Datenschutzkonvention, ohne auf die Konvention selbst zu verweisen, erscheint willkürlich. Der Verweis auf Art. 25 und 26 der Datenschutzrichtlinie 95/46/EG wiederum erscheint insofern unsachlich, als die zitierten Bestimmungen lediglich Verfahrensnormen darstellen und somit kein Verweis auf den materiellen Gehalt der Datenschutzrichtlinie vorgenommen wird.
Zu Abs. 6 des § 25h ist wiederum anzumerken, dass es sich hier um eine singuläre Aussage zur Handhabung von Informationen im Amtshilfekontext handelt, die isoliert betrachtet wiederum wenig Sinn macht und nur als Teil einer umfänglicheren Amtshilfebestimmung zweckmäßig erschiene. Hinsichtlich des Abs. 3 des § 25h ist auf das bereits zu § 25g Abs. 3 Gesagte sinngemäß zu verweisen. Abs. 7 des § 25h ist wiederum sprachlich nicht ausreichend differenziert.
20. April 2009
Für den Datenschutzrat:
Der Vorsitzende:
WÖGERBAUER
Elektronisch gefertigt