LETZTES UPDATE: 06.07.2017; 10:47
Diese Seite als Lesezeichen hinzufügen

Parlamentskorrespondenz Nr. 460 vom 24.04.2017

Themenfelder:
Verfassung/Wirtschaft/EU
Format:
Parlamentarische Materialien
Stichworte:
Nationalrat/Datenschutzbericht 2016/Datenschutz

Datenschutzbehörde hat Tätigkeitsbericht 2016 vorgelegt

Starker Anstieg von Genehmigungen im internationalen Datenverkehr

Wien (PK) – Bei der Datenschutzbehörde sind im Jahr 2016 180 Individualbeschwerden eingelangt. Außerdem wurden 430 Kontroll- und Ombudsmannverfahren eingeleitet und in rund 2.000 Fällen Rechtsauskünfte erteilt. Diese Zahlen sind dem Datenschutzbericht 2016 zu entnehmen, den Kanzleramtsminister Thomas Drozda dem Nationalrat vorgelegt hat ( III-382 d.B. und III-620-BR ). Damit bewegt man sich in der Größenordnung der letzten Jahre. Signifikant gestiegen sind die Genehmigungen im internationalen Datenverkehr, hier schlug die Aufhebung der so genannten Safe-Harbor-Regelung durch den Europäischen Gerichtshof (EuGH) durch. Eine große aktuelle Herausforderung für die Behörde ist die neue Datenschutzgrundverordnung der EU, die im Mai 2018 in Kraft treten wird.

Positiv vermerkt die Leiterin der Datenschutzbehörde Andrea Jelinek, dass das Bewusstsein für den Datenschutz in den letzten Jahren merklich gestiegen ist. In diesem Sinn gibt es auch großes Interesse an der Expertise der Behörde, was notwendige Vorbereitungsschritte von Unternehmen und öffentlichen Einrichtungen zur Umsetzung der EU-Datenschutzgrundverordnung betrifft. Die Behörde selbst wird laut Jelinek trotz des Wegfalls des Datenverarbeitungsregisters künftig zusätzliches Personal benötigen, in welchem Umfang wird erst dann feststehen, wenn der Entwurf für ein nationales Datenschutzgesetz vorliegt.

Mobilfunkbetreiber muss Kunden Standtortdaten von Handys nicht bekanntgeben

An die Datenschutzbehörde können sich Personen wenden, die ihre datenschutzrechtlichen Rechte durch die Tätigkeit eines Dritten, etwa eines Unternehmens, eines Nachbarn oder einer Behörde, verletzt sehen, wobei ein formelles Beschwerdeverfahren im privaten Bereich nur dann zulässig ist, wenn Auskünfte über gespeicherte bzw. verarbeitete Daten verweigert werden. Gegenüber der öffentlichen Verwaltung kann auch das Recht auf Geheimhaltung, Löschung oder Richtigstellung geltend gemacht werden. Die Datenschutzbehörde schreitet allerdings erst dann ein, wenn man zuvor vergeblich versucht hat, seine Rechte durchzusetzen.

Besonders relevante Beschwerdeentscheidungen werden von der Datenschutzbehörde im Rechtsinformationssystem des Bundes (RIS) veröffentlicht und sind auch im Bericht dokumentiert. So hat die Behörde etwa die Beschwerde gegen einen Mobilfunkbetreiber abgewiesen, der sich geweigert hatte, einer Kundin die gespeicherten Standortdaten für zwei ihrer Handys in einem bestimmten Zeitraum bekanntzugeben. Das Telekommunikationsgesetz sehe nur das Recht auf Erhalt eines Einzelentgeltnachweises vor, zudem sei nicht feststellbar gewesen, dass die Kundin im Zeitraum, für den sie Auskunft verlangte, stets die tatsächliche Nutzerin der Handys war, wird in der Begründung der Entscheidung festgehalten.

Der Beschwerde eines Mannes, dem von einem Wirtschaftsauskunftsdienst Informationen über das Zustandekommen seiner – automatisiert durchgeführten – Bonitätsbeurteilung vorenthalten wurden, gab die Behörde hingegen statt. Auch eine Beschwerde gegen die Präsidentin eines Landesverwaltungsgerichts wegen Verletzung des Geheimhaltungsrechts durch die unvollständige Pseudonymisierung einer dokumentierten Entscheidung war, zumindest in erster Instanz, erfolgreich.

Insgesamt hat die Datenschutzbehörde im vergangenen Jahr 173 formelle Beschweredev erfahren abgeschlossen und 122 Bescheide ausgestellt. 51 Verfahren wurden eingestellt. Die Bescheide der Datenschutzbehörde können beim Bundesverwaltungsgericht bekämpft werden, laut Bericht wurden 2016 34 derartige Verfahren eingeleitet.

Kampf gegen Schwarzarbeit: Datenschutzbehörde bremst Wirtschaftskammern

Höher als die Zahl der Individualbeschwerden ist die Zahl der Kontroll- und Ombudsmannverfahren, die die Datenschutzbehörde weitgehend formlos führt und deren Ziel es ist, eine datenschutzrechtlich zufriedenstellende Situation zu erreichen. 2016 hat die Behörde 340 solcher Verfahren über Antrag und 90 von sich aus eingeleitet. Meist werden in Folge solcher Verfahren Empfehlungen ausgesprochen. Die Behörde hat etwa der Wirtschaftskammer Tirol empfohlen, die Ermittlung und Speicherung von Daten (Fotos und Personalien) zum Zweck der Aufdeckung von Schwarzarbeit und illegaler Gewerbeausübung zu unterlassen, weil es keine gesetzliche Berechtigung zur Durchführung solcher Kontrollen durch die Wirtschaftskammern gibt.

Amtswegig geprüft wurden unter anderem fünf öffentliche Krankenanstaltenträger in fünf Bundesländern. Dabei wurde festgestellt, dass datenschutzrechtliche Bestimmungen im überwiegenden Ausmaß eingehalten werden und der Schutz personenbezogener Daten fester Bestandteil interner Verfahrensabläufe ist. Dennoch gab es einige Empfehlungen, etwa was mangelnde Löschungsroutinen von Patientendaten, unzureichende Kontrollen der Zugriffe auf Patientendaten und überschießende Videoüberwachungen betrifft.

BodyCams für ÖBB-MitarbeiterInnen

Neu im Datenverarbeitungsregister registriert wurde unter anderem die Verwendung so genannter "BodyCams" durch SicherheitsmitarbeiterInnen der ÖBB. Sie sollen dazu dienen, Übergriffe auf das Bahnpersonal zu reduzieren, wobei gefilmte Personen vor Aktivierung der Aufzeichnung ausdrücklich in Kenntnis gesetzt werden und auch weitere Restriktionen gelten. Auch die Landespolizeidirektion Wien hat die Verwendung von Körperkameras, diesfalls mit Bild- und Tonaufzeichnung, angezeigt.

Nur mit Auflagen zugelassen wurde ein zentrales Informationssystem der österreichischen Versicherungswirtschaft im Bereich der Kranken- und Lebensversicherung. In diesem System sollen insbesondere Daten von Personen gespeichert werden, deren Antrag auf Versicherungsabschluss auf Dauer oder vorübergehend abgelehnt wurde. Untersagt wurde hingegen die Videoüberwachung eines Teilabschnitts einer Bundesstraße durch einen österreichischen Flughafenbetreiber – die Straße führt unter einer Landebahn durch.

Starker Anstieg bei Genehmigungen im internationalen Datenverkehr

Den verzeichneten starken Anstieg von Anträgen auf Genehmigungen im internationalen Datenverkehr führt die Datenschutzbehörde nicht zuletzt auf die Aufhebung der Safe-Harbor-Regelung durch den Europäischen Gerichtshof (EuGH) im Oktober 2015 zurück. Zwar gibt es mit dem "EU-US-Privacy-Shield" seit Juli 2016 eine Nachfolgeregelung, die es wieder erlaubt, personenbezogene Daten genehmigungsfrei an bestimmte – zertifizierte – US-Unternehmen weiterzugeben, allerdings gibt es hier offenbar größere Informationslücken. Die Datenschutzbehörde hat mehrfach Antragsteller darauf hinweisen müssen, dass ein Empfänger in den USA unter die Regelung des Datenschutzschilds fällt und daher keine Genehmigung erforderlich ist.

Wie im Bericht ausgeführt wird, enthält der neue "EU-US-Privacy-Shield" klare Schutzvorkehrungen und Transparenzpflichten, was den Zugriff von US-Behörden auf die an US-Unternehmen übermittelten Daten betrifft. Zudem wurden die Rechtsschutzmechanismen für EU-BürgerInnen verbessert. Ihnen stehen bei vermeintlichem Datenmissbrauch nunmehr mehrere Möglichkeiten der Streitbeilegung offen, Einzelpersonen können sich auch an die jeweilige nationale Datenschutzbehörde wenden. Für Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, hat das US-Außenministerium eine Ombudsstelle eingerichtet.

Dynamische IP-Adressen können personenbezogenes Datum sein

Ein eigenes Kapitel im Datenschutzbericht widmet sich höchstgerichtlichen Entscheidungen im Bereich des Datenschutzes. Der Verwaltungsgerichtshof (VwGH) hat im Berichtszeitraum unter anderem klargestellt, dass auch jene so genannten "Dashcams" im Auto, die nicht automatisch, sondern erst bei Auslösen eines – jederzeit aktivierbaren – Notfallknopfs Geschehnisse außerhalb des Autos aufzeichnen, unzulässig sind. Das Recht auf Auskunft erlischt laut VwGH mit dem Tod der betroffenen Person: Dem Masseverwalter eines verstorbenen Rechtsanwalts wurde daher rechtmäßig eine Auskunft im Zusammenhang mit dessen Bonität verweigert.

Gemäß einer Entscheidung des Europäischen Gerichtshofs (EuGH) handelt es sich bei dynamischen IP-Adressen dann um ein "personenbezogenes Datum", wenn der Internet-Provider über weitere zusätzliche Daten verfügt, die die Identifizierung des Nutzers der IP-Adresse ermöglichen. Zudem hat er festgestellt, dass eine Vorratsdatenspeicherung für Zwecke der Bekämpfung schwerer Kriminalität unter Beachtung gewisser Kriterien zulässig sein kann.

Was die europäische Zusammenarbeit betrifft, berichtet die Datenschutzbehörde unter anderem über den Beschluss, die Erstellung einer Website von Europol mit Fahndungsausschreibungen aus allen EU-Mitgliedsländern zu prüfen. Zudem weist sie auf das Vorhaben der EU-Kommission hin, das "Eurodac"-System auszuweiten. Dieses ermöglicht es den Mitgliedstaaten der EU, anhand von Fingerabdrücken festzustellen, ob ein Fremder bereits in einem anderen Mitgliedstaat Asyl beantragt hat oder ob ein Asylwerber illegal in die EU eingereist ist.

Ausstellung von 200 Millionen bereichsspezifischen Personenkennzeichen

In ihrer Funktion als Stammzahlenregisterbehörde hat die Datenschutzbehörde im vergangenen Jahr mehr als 200 Millionen bereichsspezifische Personenkennzeichen (bPK) ausgestellt. Das entspricht einer Steigerung von 50% gegenüber 2015. Hauptgrund für diesen Anstieg ist die Erstausstattung der heimischen Kreditinstitute für Meldungen in das neue Kontenregister. In diesem Zusammenhang wurden mehr als 83 Millionen Datensätze für 640 Banken verarbeitet. Auch für die Umsetzung der neuen Bestimmungen zur steuerlichen Absetzbarkeit von Spenden – künftig müssen Spendenorganisationen Name und Geburtsdatum der Spender erfassen – war die Entwicklung neuer technischer Konzepte erforderlich.

Insgesamt hat die Stammzahlenregisterbehörde in ihrem 12jährigen Bestehen bereits mehr als eine Milliarde bereichsspezifische Personenkennzeichen berechnet. Derartige Personenkennzeichen sind Voraussetzung für die Verwendung elektronischer Signaturen wie der Bürgerkarte oder der Handysignatur. Über die zur Verfügung gestellten Schnittstellen laufen monatlich 3,3 Milliarden Abfragen. (Schluss) gs