515/A XXII. GP

Eingebracht am 26.01.2005
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

ANTRAG

 

 

der Abgeordneten Mag. Molterer, Scheibner

und Kollegen

betreffend ein Bundesgesetz, mit dem das Datenschutzgesetz 2000 – DSG 2000 geändert wird

 

Der Nationalrat wolle beschließen:

 

Bundesgesetz, mit dem das Datenschutzgesetz 2000 – DSG 2000 geändert wird

 

Der Nationalrat hat beschlossen:

 

Das Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I. Nr. 165/1999, in der Fassung BGBl. I Nr. 136/2001, wird wie folgt geändert:

 

1. Der Punkt am Ende des § 8 Abs. 3 Z 6 wird durch das Wort „oder“ ersetzt.

 

2. § 8 Abs. 3 wird folgende Z 7 angefügt:

„im Katastrophenfall, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist; im letztgenannten Fall ist §  48a Abs. 4 sinngemäß anzuwenden.

 

3. § 9 Z 10 hat zu lauten:

„10. Daten für private Zwecke gemäß § 45 oder für wissenschaftliche Forschung oder Statis­tik gemäß § 46, zur Benachrichtigung oder Befragung des Betroffenen gemäß § 47 oder im Katastrophenfall gemäß § 48a verwendet werden oder“

 

4. Der erste Satzteil des § 18 Abs. 2 lautet:

„Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesell­schaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie“

 

5. Nach § 48 wird folgender § 48a eingefügt:

 

„§ 48a Verwendung sensibler Daten im Katastrophenfall

 

(1)   Die  Behörden sind im Katastrophenfall ermächtigt, Daten zu verwenden, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Perso­nen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist. Zu diesem Zweck sind auch Hilfsorganisationen nach Maßgabe der ihnen zukommenden Aufgaben und recht­lichen Befugnis ermächtigt, Daten zu verwenden. Wenn dies zur raschen Bewälti­gung der Katastrophe notwendig ist, darf eine Datenverwendung durch Behörden in Form der Teilnahme an einem Informationsverbundsystem erfolgen. Wer rechtmäßig über Daten verfügt, darf diese an die Behörden übermitteln, sofern diese die Daten zur Bewältigung der Katastrophe für die genannten Zwecke ben­ötigen. Ebenso dürfen sensible Daten an Hilfsorganisationen übermittelt werden, soweit diese die Daten im Rahmen von Hilfsmaßnahmen benötigen. Eine Weiter­verwendung dieser Daten für andere Zwecke ist unzulässig. Die Daten sind unver­züglich zu löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt werden.

(2)   Eine Überlassung oder Übermittlung von Daten in das Ausland ist zulässig, soweit dies für die Erfüllung der in Abs. 1 genannten Zwecke notwendig ist. Wenn dies zur raschen Bewältigung der Katastrophe notwendig ist, darf eine Datenverwen­dung durch Behörden in Form der Teilnahme an einem Informationsverbund­system, an dem auch ausländische Auftraggeber beteiligt sind, erfolgen. Die Ver­wendung erkennungsdienstlicher Daten in einem derartigen System hat in indirekt personenbezogener Form zu erfolgen. Ist nach Maßgabe der §§ 12 und 13 eine Genehmigung der Datenschutzkommission erforderlich und kann eine solche Genehmigung auf Grund der Dringlichkeit nicht eingeholt werden, gilt § 12 Abs. 4. In diesem Fall dürfen Daten nur übermittelt oder überlassen werden, wenn die in § 13 Abs. 2 genannten Voraussetzungen für die Erteilung einer Genehmigung erfüllt sind. Insbesondere ist vom Empfänger der Daten die Einhal­tung der Zweckbeschränkung auf den konkreten Katastrophenfall und die Einhal­tung der unverzüglichen Löschung nach Erfüllung des konkreten Zwecks zu ge­währleisten.

(3)   Auf Grund einer konkreten Anfrage naher Angehöriger einer tatsächlich oder ver­mutlich von der Katastrophe unmittelbar betroffenen Person sind Behörden und Hilfsorganisationen ermächtigt, dem Anfragenden die für Zwecke der  Angehöri­geninformation erforderlichen Daten zu übermitteln, sofern kein diesbezügliches ausdrückliches Übermittlungsverbot der von der Katastrophe tatsächlich oder ver­mutlich unmittelbar betroffenen Person vorliegt.

(4)   Vor Beantwortung von Anfragen ist die Identität der anfragenden Person und die Zugehörigkeit zu der von ihr angegebenen Behörde oder Hilfsorganisation oder die Angehörigeneigenschaft zu prüfen. Angehörige haben zu diesem Zweck bei Anfragen ihre Angehörigeneigenschaft sowie ihre eigene Identität glaubhaft zu machen und die Identität der von der Katastrophe  tatsächlich oder vermutlich unmittelbar betroffenen Person anzugeben. Sie haben jedenfalls

1. den Vor- und Familiennamen und das Geburtsdatum der von der Katastrophe tatsächlich oder vermutlich unmittelbar betroffenen Person,

2. ihren eigenen Vor- und Familiennamen und ihre Wohnadresse und

3. Informationen, aufgrund deren mit dem Anfragenden rasch und unmittelbar in Verbindung getreten werden kann,

anzugeben.

Diese Daten Angehöriger dürfen von den Auskunft gebenden Stellen für keine anderen Zwecke weiterverwendet werden. Behörden sind ermächtigt, die zur Überprüfung dieser Angaben notwendigen Daten im Wege der Amtshilfe zu ermitteln und für diesen Zweck zu verwenden. Die Sozialversicherungsträger sind verpflichtet, die Behörden und Hilfsorganisationen bei der Überprüfung der Ange­hörigenbeziehung zu unterstützen. Bei persönlichen Vorsprachen ist die Identität jedenfalls durch Vorlage eines amtlichen Lichtbildausweises zu überprüfen. An­gehörige erhalten Daten nur zu ihrer persönlichen Information.

(5)   Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder, Ehegatten und Lebensgefährten der Betroffenen zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter den selben Voraussetzungen wie nahe Angehörige dann erhalten, wenn sie eine besondere Nahebeziehung zu der von der Katastrophe möglicherweise oder tatsächlich persönlich betroffenen Person glaubhaft machen und darlegen, warum die Auskünfte nicht von engen Angehörigen eingeholt wer­den können.

(6)   Alle Datenverwendungen sind im Sinne des § 14 Abs. 2 Z 7 zu protokollieren.

(7)   Die Zulässigkeit von Datenverwendungen auf der Grundlage anderer in den §§ 8 und 9 genannter Tatbestände bleibt unberührt.“

 

6. In § 52 Abs. 1 Z 4 wird der Punkt am Ende des Satzes durch einen Strichpunkt ersetzt.

 

7. § 52 Abs. 1 wird folgende Z 5 angefügt:

„5. sich unter Vortäuschung einer Angehörigeneigenschaft vorsätzlich Daten gemäß § 48a verschafft.“

 

 

 

 

 

 

 

In formeller Hinsicht wird vorgeschlagen, diesen Antrag unter Verzicht auf eine Erste Lesung dem Verfassungsausschuss zuzuweisen.


 

Begründung:

 

 

Mit dem vorliegenden Gesetzesentwurf soll eine gesetzliche Grundlage für die Verwendung von personenbezogenen, insbesondere auch sensiblen Daten von Personen, die von einer Katastrophe unmittelbar betroffen sind, geschaffen werden. Damit sollen Interpretations­probleme gelöst werden, die sich wiederholt im Zusammenhang mit der Datenübermittlung von Katastrophenopfern, zuletzt im Zusammenhang mit der Ende 2004 eingetretenen Flut­wellen-Katastrophe in Südostasien, ergeben haben. Wie sich insbesondere im genannten Katastrophenfall gezeigt hat, ergibt sich die Notwendigkeit der Verwendung sowohl nicht sensibler als auch sensibler Daten durch Behörden und Hilfsorganisationen sowie die Not­wendigkeit der Übermittlung derartiger Daten an Angehörige der Betroffenen. Wenngleich die gegenständliche Katastrophe durch das Ausmaß und die Zahl der Betroffenen in besonde­rem Maße die datenschutzrechtliche Problematik bestimmter Datenverwendungen gezeigt hat, so handelt es sich dabei um datenschutzrechtliche Fragen, die im Prinzip bei jeder Katastro­phe (Galtür, Kaprun etc) zu klären waren.

 

Während hinsichtlich der Datenübermittlung nicht sensibler Daten an Angehörige und Hilfs­organisationen mit der Bestimmung des § 8 Abs. 1 Z 4 (überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten erfordern die Verwendung) im Prinzip das Auslangen gefunden werden konnte, konnte eine Verwendung sensibler Daten mangels Erfüllung des Tatbestandes des § 9 Z 3 (wenn sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen Interesses dienen) nur auf einen anderen in § 9 genannten Tatbestand gegründet werden. So konnte eine Datenübermittlung sensibler Daten an Angehörige allenfalls auf § 9 Z 7, wonach die Verar­beitung oder Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen notwen­dig ist, gestützt werden. Denkbar war auch die Heranziehung des § 9 Z 8, wonach die Ver­wendung zur Wahrung lebenswichtiger Interessen eines anderen (z. B. der Eltern des Betrof­fenen) zulässig ist.

 

Bei der Entwurferstellung waren insbesondere folgende Überlegungen maßgeblich:

Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind nach § 1 Abs. 2 Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Men­schenrechte und Grundfreiheiten (EMRK), BGBl Nr. 210/1958, genannten Gründen notwen­dig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betrof­fenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

 

Nach herrschender Auffassung soll das Grundrecht auf Datenschutz die Privatsphäre bzw. das Privat- und Familienleben Lebender, nicht aber die Ehre oder das Andenken Verstorbener schützen. Es ist ein höchstpersönliches, subjektives Recht, das weder vererbt noch unter Lebenden veräußert werden kann und mit dem Tod des geschützten Betroffenen erlischt. Im Hinblick auf den Verstorbenen bestehen somit keine datenschutzrechtlichen Bedenken, Informationen über tödlich verunglückte Personen weiter zu geben. Es darf jedoch nicht ver­gessen werden, dass nahe Anverwandte ein Datenschutzinteresse daran haben könnten, dass Dritten –  etwa Journalisten – der Todesfall nicht bekannt gegeben wird, da hiedurch die Pri­vatsphäre des Hinterbliebenen nachteilig berührt werden könnte. Es ist daher davon auszuge­hen, dass auch die Information, dass eine bestimmte Person verstorben ist, keinesfalls unbe­schränkt weitergegeben werden kann, solange nicht zweifelsfrei festgestellt ist, dass keine nahen Angehörigen existieren, deren Datenschutzrechte betroffen sein könnten. Da dies im Katastrophenfall in aller Regel nicht umgehend festgestellt werden kann, empfiehlt es sich, für verstorbene, vermisste und verletzte Personen dieselbe Vorgangsweise hinsichtlich der Informationsweitergabe einzuhalten, wie sie im Folgenden näher erläutert wird:

 

Nach § 1 Abs. 2 darf – wie bereits erwähnt –  ein Eingriff in das Grundrecht auf Datenschutz entweder mit Zustimmung des Betroffenen oder im lebenswichtigen Interesse des Betroffenen oder im überwiegenden berechtigten Interesse eines Dritten erfolgen. Eine Datenverwendung ist also jedenfalls dann zulässig, wenn der Betroffene dieser (etwa anlässlich der Aufnahme in ein Krankenhaus) zugestimmt hat oder die Wahrung seiner lebenswichtigen Interessen eine solche erfordert (z. B wenn eine Blut- oder Organspende oder seelischer Beistand benötigt wird). Da diese Vorgangsweise im Katastrophenfall nicht immer möglich bzw. dieser Sach­verhalt mit der entsprechend notwendigen Klarheit sehr oft nicht feststellbar sein wird, ist im Hinblick darauf, dass es jedenfalls (auch) zu der Verwendung sensibler Daten kommen muss, eine spezielle gesetzliche Grundlage für die Auskunft darüber, ob und wie eine bestimmte Personen von einer Katastrophe betroffen ist, erforderlich. Da eine Auskunft über Personen, die einer Behörde bekannt sind und etwa im Rahmen einer Hotline bekannt gegeben werden, unter Umständen auch Gesundheitsdaten mit einschließen und daher sensible Daten betreffen kann und weiters kein anderer Tatbestand des § 9 regelmäßig erfüllt ist, muss für eine Daten­verwendung für den vorliegenden Zweck eine eigene gesetzliche Grundlage im Sinne des § 9 Z 3 DSG 2000 geschaffen werden. Maßstab für die Verfassungsmäßigkeit einer solchen Bestimmung ist gemäß § 1 Abs. 2 , dass die Regelung – über die sonstigen Voraussetzungen des Abs. 2 hinaus –  aus einem wichtigen öffentlichen Interesse erlassen wird und angemes­sene Garantien für die Datenschutzrechte der Betroffenen enthält.

 

Das nach § 1 Abs. 2 geforderte Vorliegen eines „wichtigen öffentlichen Interesses“ an einer solchen Regelung wird vor allem im Interesse, den von der Katastrophe betroffenen Bürgern möglichst rasch Hilfe leisten zu können, gesehen werden können. In diesem Zusammenhang muss auch gewährleistet sein, dass die Behörden und Hilfsorganisationen ihre Aufgaben ohne Behinderung erfüllen können. Auch wird ein Interesse an der Aufrechterhaltung der öffentli­chen Ruhe vorliegen: Wenn keine geeignete Informationspolitik im Gefolge von eingetrete­nen Katastrophen betrieben wird, muss damit gerechnet werden, dass allgemeine Aufregung zur weiteren Verschlechterung der Verfügbarkeit der Infrastruktur führt – sowohl was die Telekommunikations- als auch was Verkehrsverbindungen betrifft –  , was wiederum die Bewältigbarkeit der Katastrophe insgesamt erheblich erschweren kann. Auch kann in solchen Situationen nur eine Durchschnittsbetrachtung von Interessenslagen stattfinden, da die im Interesse aller Betroffenen gebotene Zügigkeit und Effizienz der Aufgabenbewältigung die Untersuchung der tatsächlichen Interessenslagen in jedem Einzelfall nicht gestattet. Bei einer derartigen Gesamtsituation wäre es unverhältnismäßig zu verlangen, dass jede Entscheidung über eine Informationsweitergabe erst nach konkreter Ermittlung der individuellen Interes­senslage des Betroffenen erfolgen darf, da bei einer solchen Vorgangsweise die Interessens­lagen derjenigen, die eine umgehende Information ihrer Familienangehörigen wünschen, aus voraussichtlichem Zeit- und Kapazitätsmangel nicht entsprechend berücksichtigt werden könnten.

Daraus folgend wird davon ausgegangen, dass bei Anlegung des Maßstabes einer Durch­schnittsbetrachtung die Verwendung der Daten von durch eine Katastrophe persönlich betrof­fenen Personen durch Behörden und Hilfsorganisationen und die Information naher Angehö­riger über das Schicksal ihrer Familienmitglieder auf Grund eines legitimen Informationsinte­resses erfolgt.

 

Insgesamt ergibt sich daraus dass

1.      ein wichtiges öffentliches Interesse an einer entsprechenden Regelung zur Daten­verwendung im Katastrophenfall besteht und dass

2.      wesentliche Interessen bestimmter Dritter, nämlich der nahen Angehörigen, der Hilfsorganisationen und zuständigen Behörden, vorhanden sind, deren Wertigkeit gegenüber allenfalls vorhandenen gegenläufigen Geheimhaltungsinteressen des Betroffenen nicht vernachlässigbar sind und daher als „überwiegende berechtigte Interessen eines Dritten“ gewertet werden können. Bei Anlegung einer Durch­schnittsbetrachtung ist auch anzunehmen, dass der von der Katastrophe Betroffene selbst wünscht, dass seine Angehörigen benachrichtigt werden.

3.      Daraus folgt, dass die im wichtigen öffentlichen Interesse gelegene Regelung der Datenverwendung auch dann, wenn sie eine Informationsweitergabe an nahe Angehörige in der Krisensituation und an Hilfsorganisationen vorsieht, nicht in unverhältnismäßiger und daher sachlich nicht gerechtfertigter Weise in die Daten­schutzrechte eines Betroffenen eingreifen würde.

 

Die Voraussetzungen für die Erlassung eines Gesetzes in einem wichtigen öffentlichen Inte­resse im Sinne des § 1 Abs. 2 iVm § 9 Z 3 sind daher als gegeben zu sehen.

 

Hinsichtlich der „angemessenen Garantien“ war Folgendes zu überlegen:

Für die Verwendung von Daten durch Behörden und Hilfsorganisationen ist jedenfalls eine strenge Zweckbeschränkung vorgesehen. Die Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung dieses Zwecks nicht mehr benötigt werden. Abgesehen von den in dieser gesetzlichen Bestimmung vorgesehenen Datenverwendungen durch die Behörden und Hilfs­organisationen dürfen Auskünfte grundsätzlich nur an nahe Angehörige im Sinn des Art. 8 EMRK erteilt werden. Diese Abgrenzung erscheint auf Grund der Bezugnahme des § 1 Abs. 2  auf Art. 8 EMRK geboten. Darunter fallen nach der Rechtsprechung des EGMR jedenfalls Eltern, Kinder sowie Ehegatten unabhängig vom tatsächlichen Zusammenleben sowie die Lebensgefährten. Sonstige nahe Verwandte (Großeltern, Geschwister, Onkel etc.) müssen nach dieser Judikatur eine gewisse Intensität der Bindung aufweisen (vgl. näher Öhlinger, Verfassungsrecht5 (2003), Rz. 814 f). Um die Identität mit der hier erforderlichen Sicherheit unter den besonderen Verhältnissen des Katastropheneinsatzes gewährleisten zu können, sind hier

 - eine entsprechende „Selbstzertifizierung“ des Anrufenden (Bestätigung des Anru­fenden über seine Beziehung zur gesuchten Person) und

 - die Aufzeichnung von Kontaktdaten, wie etwa des anrufendem Telefonanschlus­ses und des angegebenen Namens, der Art der Angehörigenrelation und der Wohnadresse mit entsprechenden Überprüfungsmöglichkeiten durch die Behörde und

 - Sanktionen gegen Missbrauch

vorzusehen.

 

In den in diesem Entwurf vorgesehenen gesetzlichen Bestimmungen ist daher einerseits vor­gesehen, dass bestimmte Angaben vom Anfragenden zu ermitteln und allenfalls zu verifizie­ren sind; andererseits werden eine verpflichtende Protokollierungspflicht für die genannten Datenverwendungen sowie eine Strafbestimmung für das „Sich vorsätzliche Verschaffen von Daten unter Vortäuschung einer Angehörigeneigenschaft“ durch den Anfragenden normiert. Im Lichte der Tatsache, dass die in dieser Bestimmung geregelten Datenverwendungen re­gelmäßig im Interesse des Betroffenen stattfinden, werden die hier vorgesehenen Garantien als ausreichend erachtet.

 

In kompetenzrechtlicher Hinsicht gründet sich dieses Bundesgesetz auf den Kompetenztatbe­stand „Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr“ gemäß § 2 des Datenschutzgesetzes 2000.  Das DSG 2000 enthält in seinem 8. Abschnitt „Besondere Verwendungswecke von Daten“ schon jetzt Spezialregelungen bezüg­lich der Datenverwendung in speziellen Bereichen, wie etwa im privaten Bereich, im Bereich der wissenschaftlichen Forschung und Statistik oder für publizistische Tätigkeit. Der Syste­matik entsprechend soll nun eine Bestimmung über die Datenverwendung bestimmter Daten im Katastrophenfall (§ 48a) in dieses Kapitel eingefügt werden. In § 8 soll eine Klarstellung hinsichtlich der Verwendung nicht sensibler Daten im Katastrophenfall erfolgen, indem die demonstrative Aufzählung in § 8 Abs. 3  entsprechend erweitert wird. Weiters soll in § 18 eine Erleichterung hinsichtlich des Registrierungsverfahrens bei der Datenschutzkommission vorgesehen werden und eine Ergänzung der Verwaltungsstrafbestimmungen in § 52 vorge­nommen werden.

 

Finanzielle Auswirkungen:

 

Da die vorgeschlagenen Bestimmungen prinzipiell nur die Zulässigkeit der Datenverwendung im Katastrophenfall regeln, entstehen dadurch im Vergleich zu der jetzigen Rechtslage keine Mehrkosten.

 

Verhältnis zu Rechtsvorschriften der Europäischen Union:

 

Die vorgesehene Regelung stellt ein Gesetz auf der Basis des Art. 8 Abs. 4 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dar und steht im Einklang mit den Rechtsvorschriften der Euro­päischen Union.

 

 

Zu Z 1 und 2:

Bei der Verwendung nicht-sensibler Daten sind gemäß § 8 Abs. 1 Z 4 schutzwürdige Ge­heimhaltungsinteressen dann nicht verletzt, wenn überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern. Durch die Erweiterung der in Abs. 3 enthaltenen demonstrativen Aufzählung soll klargestellt werden, dass die Verwendung von nicht-sensiblen Daten im Katastrophenfall  für Zwecke der Hilfeleistung, der Auffindung und Identifizierung von Abgängigen und Verstorbenen oder zur Information der Angehörigen jedenfalls zulässig ist, wobei diese Datenverwendungen vor allem die Daten von Katastro­phenopfern oder vermutlichen Katastrophenopfern betreffen. Daraus ergibt sich, dass etwa Transportunternehmen, Reisebüros oder Beherbergungsbetriebe ermächtigt sind, auf Grund einer konkreten Anfrage naher Angehöriger einer tatsächlich oder vermutlich von der Katast­rophe unmittelbar betroffenen Person Daten über die Buchung einer Reise (z. B. welchen Flug der Reisende gebucht hat), den Bestimmungsort oder die Buchung eines bestimmten Beherbergungsbetriebes zu übermitteln, wenn dies zum Zweck der Angehörigeninformation notwendig ist. Auch eine Übermittlung derartiger Daten an Hilfsorganisationen wäre von der Bestimmung erfasst. In diesem Fall wäre zur Prüfung der Identität und Angehörigeneigen­schaft  die in § 48a Abs. 4 vorgesehene Vorgangsweise einzuhalten. Diese Daten der Angehö­rigen dürfen nicht für andere, insbesondere kommerzielle Zwecke verwendet werden.

 

 

Zu Z 3:

§ 9 enthält eine taxative Aufzählung jener Fälle, in denen die Verwendung sensibler Daten zulässig ist. Der Systematik entsprechend ist in die Ziffer 10, die bereits auf die anderen Spe­zialbestimmungen (Verwendung für Statistik, wissenschaftliche Forschung, publizistische Zwecke etc) verweist, auch ein Verweis auf die neu einzufügende Bestimmung des § 48a auf­zunehmen. Damit ist klar, dass sich die in § 48a geregelten Datenverwendungen auch auf sen­sible Daten beziehen dürfen.

 

Zu Z 4:

Nach der derzeit geltenden Rechtslage sind Datenanwendungen, die etwa sensible Daten beinhalten oder in Form von Informationsverbundsystemen geführt werden, – mit Ausnahme der im Einleitungssatz zu § 18 Abs. 2 genannten Fälle – einer Vorabkontrolle durch die Datenschutzkommission zu unterwerfen, was im Wesentlichen bedeutet, dass die Datenan­wendung erst nach einer Reaktion der Datenschutzkommission oder deren Verschweigung nach zwei Monaten beginnen darf. Da sensible Daten im Katastrophenfall ohne Verzögerung verwendet werden müssen und unter Umständen auch die Verwendung in Form eines Infor­mationsverbundsystems notwendig ist, wird hier eine Ausnahmebestimmung geschaffen. Demnach unterliegen derartige Datenanwendungen einer einfachen Meldepflicht und der Vollbetrieb darf unmittelbar nach Abgabe der Meldung aufgenommen werden. Dies betrifft auch die in § 48a Abs. 2 angesprochenen Übermittlungen von sensiblen Daten ins Ausland, die einer Registrierung bedürfen und normalerweise der Vorabkontrolle durch die Daten­schutzkommission zu unterwerfen wären.

 

Zu Z 5:

Zu § 48a  Abs. 1:

Der erste Satz dieser Bestimmung stellt eine gesetzliche Ermächtigung der  Behörden dar, im Katastrophenfall im Rahmen ihrer Zuständigkeit Daten verwenden. Was unter einer „Katast­rophe“ zu verstehen ist, ergibt sich aus dem Sprachgebrauch. Vom Vorliegen einer Katastro­phe wird jedenfalls dann auszugehen sein, wenn durch ein Naturereignis oder ein sonstiges Ereignis dem Umfange nach eine außergewöhnliche Schädigung von Menschen oder Sachen eingetreten ist oder unmittelbar bevorsteht. 
 

Aus § 7 Abs. 1 ergibt sich bereits, dass die Verwendung dieser Daten nur zulässig ist, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten der Behörden gedeckt sind. Unter den Begriff „Verwenden“ fällt gemäß § 3  Z 8 iVm Z 9 auch das Ermit­teln von Daten. Es wird davon auszugehen sein, dass die Behörden die notwendigen Informa­tionen (auch) von Privatpersonen und Unternehmen erhalten. So würden etwa Unternehmen wie Reisebüros, Transportunternehmen und Beherbergungsbetriebe berechtigt sein, den Behörden im Katastrophenfall die erforderlichen Daten zur Verfügung zu stellen. Behörden dürfen auch, wenn dies notwendig ist, einander Daten in Form eines Informationsverbund­systems übermitteln. Dies ist beispielsweise bei der Führung der Listen von Vermissten, Ver­storbenen oder Verletzten denkbar.

Hilfsorganisationen sind nach Maßgabe der ihnen zukommenden Aufgaben und rechtlichen Befugnis berechtigt, Daten (auch sensible Daten) zu verwenden. Zu den Hilfsorganisationen gehören beispielsweise Organisationen wie das Rote Kreuz, die Caritas und Ärzte ohne Gren­zen. Bei Vorliegen einer Vielzahl von Katastrophenopfern können diese Daten zugangsge­schützt für Hilfsorganisationen im Internet bereit gehalten werden (etwa in Form einer ge­schützten Webseite). Wie sich anlässlich der jüngsten Flutwellen-Katastrophe gezeigt hat, ändert sich bei einer Vielzahl von Katastrophenopfern der Stand der verstorbenen, abgängigen und  verletzten Personen binnen kurzer Zeit und es scheint daher sinnvoll, durch laufende Aktualisierungen das Erbringen von Hilfeleistungen zu erleichtern.

 

Das Zur Verfügung Stellen derartiger Daten auf einer allgemein zugänglichen Internet-Seite für die Allgemeinheit wäre nicht rechtmäßig, da ein Eingriff in das Grundrecht auf Daten­schutz selbst hinsichtlich nicht sensibler Daten nur zur Wahrung überwiegender Interessen eines anderen zulässig wäre. Dieses überwiegende berechtigte Interesse kann etwa bei be­stimmten Angehörigen und Hilfsorganisationen angenommen werden; ein generelles Interesse der Öffentlichkeit an solchen Namenslisten kann aber nicht angenommen werden; eine derar­tige Vorgangsweise würde auch ein nicht zu unterschätzendes Missbrauchspotenzial in sich bergen (vgl. etwa die Medienberichte über zahlreiche Einbrüche, die in Schweden in den Haushalten Vermisster begangen wurden, nachdem man diese Personen auf einer öffentlich zugänglichen Internet-Seite genannt hatte).

 

Bezüglich verletzter Personen kann davon ausgegangen werden, dass Hilfsorganisationen jedenfalls ermitteln dürfen, an welchem Ort (insbesondere auch in welchem Spital) sich ein Katastrophenopfer befindet und in welchem allgemeinen Gesundheitszustand es sich befindet, zumal je nach Gesundheitszustand auch die Hilfsmaßnahmen verschieden zu gestalten sind (wenn etwa nur ein Beinbruch vorliegt, wird anders vorzugehen sein als wenn die Person auf Grund schwerer Verletzungen nicht transportabel ist). Hinsichtlich verstorbener Personen wird mitzuteilen sein, wo sich der Leichnam des Verstorbenen befindet. Bezüglich abgängi­ger Personen ist insbesondere der letzte bekannte Aufenthalt von Interesse.

 

Zu § 48a Abs. 2:

Bei Katastrophen im Ausland, bei denen Österreicher zu Schaden kommen, ist es erforderlich, dass auch der erforderliche Datenfluss zwischen in- und ausländischen Behörden und Hilfsor­ganisationen gewährleistet ist. Überdies hat sich insbesondere im Fall der „Tsunami-Katast­rophe“ gezeigt, dass es notwendig ist, die in Österreich ermittelten erkennungsdienstlichen Daten von Abgängigen (insbesondere Fingerabdruckdaten, Abbildungen, Zahnstatus-Daten sowie die sonstigen für die Feststellung äußerlicher körperlicher Merkmale und die Vornahme von Messungen relevanten Daten) an andere Staaten zu übermitteln bzw. einem Dienstleister (Interpol oder einer anderen Sicherheitsbehörde) zu überlassen, um einen Abgleich mit den erkennungsdienstlichen Daten an Verstorbenen durchzuführen. Für diese Zwecke und bei Katastrophen dieses Ausmaßes kann es insbesondere notwendig sein, die erkennungsdienst­lichen Daten der Abgängigen und Verstorbenen in einem Informationsverbundsystem zu ver­arbeiten. Da diese erkennungsdienstlichen Daten von hoher Sensibilität sind, müssen die Daten indirekt personenbezogen, also etwa unter einer Kennnummer anstelle des Namens, verwendet werden. Gemäß § 12  Abs.  4 dürfen derartige Datentransfers, wenn dies zur Wah­rung eines wichtigen öffentlichen Interesses oder zur Wahrung eines lebenswichtigen Interes­ses einer Person notwendig ist und so dringlich ist, dass die gemäß § 13 erforderliche Geneh­migung der Datenschutzkommission nicht eingeholt werden kann, ohne die genannten Inte­ressen zu gefährden, ohne Genehmigung vorgenommen werden; sie müssen dieser aber um­gehend mitgeteilt werden. Damit können Verzögerungen, die sich naturgemäß durch ein Genehmigungsverfahren ergeben, vermieden werden.

 

Dennoch wird insbesondere bei der Weitergabe von Daten mit  hoher Sensibilität (z. B. DNA-Daten von Abgängigen und Angehörigen zur Identifizierung von Abgängigen und Verstorbe­nen) darauf zu achten sein, dass datenschutzrechtliche Grundsätze jedenfalls beachtet werden. Da die Daten auch in Staaten übermittelt  oder überlassen werden dürfen, die über kein ange­messenes Datenschutzniveau verfügen, werden gerade bei der Verwendung sehr sensibler Daten die in § 13 Abs. 2  Z 1 geforderten Voraussetzungen eher selten erfüllt sein. Im Regel­fall wird daher  – falls keine vertragliche Zusicherung möglich ist  – eine  schriftliche Zusi­cherung der empfangenden Behörden/Stellen vorzulegen sein, woraus hervorgeht, dass im Einzelfall die schutzwürdigen Geheimhaltungsinteressen Betroffener ausreichend gewahrt werden. In diesem Zusammenhang wird insbesondere auf die Zusicherung der Einhaltung der Zweckbeschränkung und der Verpflichtung zur unverzüglichen Löschung der Daten, wenn sie z. B. nicht mehr zur Identifizierung im Katastrophenfall benötigt werden, sowie adäquate Datensicherheitsmaßnahmen zu achten sein.

Gemäß § 12 Abs. 5 ist Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlas­sung ins Ausland die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Über­lassungen ins Ausland muss darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters vorliegen, dass er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind.

 

Zu § 48a Abs. 3:

Diese Bestimmung stellt die gesetzliche Grundlage für die Übermittlung von Daten (ein­schließlich sensibler Daten) durch Behörden und Hilfsorganisationen an nahe Angehörige von Katastrophenopfern oder vermutlich von der Katastrophe unmittelbar betroffenen Personen dar und setzt eine konkrete Anfrage durch den Angehörigen voraus. Es ist davon auszugehen, dass nahe Angehörige jedenfalls die Information, ob die konkret genannte Person abgängig, verstorben oder verletzt ist, Angaben über deren Aufenthaltsort und (hinsichtlich Verletzter) allgemeine Angaben über deren Gesundheitszustand erfahren dürfen. Der Wille des Betroffe­nen ist insofern zu berücksichtigen, als bei Vorliegen eines ausdrücklichen Übermittlungsver­botes der Datenübermittlung an (z. B. bestimmte) Angehörige die Übermittlung zu unterblei­ben hat. 

 

Zu § 48a Abs. 4 und 6 und zu § 52 Abs. 1 Z  und 5:

Diese Bestimmungen sollen gewährleisten, dass Daten über Katastrophenopfer auch wirklich an die richtigen Adressaten gelangen. Weiters sollen sie der Verhinderung von Missbrauch durch anfragende Personen dienen, die etwa ein Angehörigenverhältnis zu einer von der Katastrophe persönlich betroffenen Person vortäuschen. Insbesondere da die Anfragen von Angehörigen im Katastrophenfall oft telefonisch erfolgen (vgl. die für die Flutwellen-Katast­rophe zuständige Hotline des Außen- und Innenministeriums) oder per E-mail erfolgen, ergibt sich die Problematik der Identifizierung der Anfragenden als Angehörige der gesuchten Per­son. Die anfragende Person muss daher neben Namen und Geburtsdatum der von der Katast­rophe tatsächlich oder vermutlich unmittelbar betroffenen Person auch eigene Daten (Name, Wohnadresse, Telefonnummer oder E-mail-Adresse oder dergleichen) zur Verfügung stellen und überdies die Angehörigenbeziehung glaubhaft machen. Behörden sind in diesem Zusam­menhang berechtigt, die notwendigen Überprüfungen dieser Angaben durchzuführen, was insbesondere im Zweifelsfall stattfinden müsste. Die dafür notwendigen Informationen sind der Behörde allenfalls von anderen Behörden im Wege der Amtshilfe zur Verfügung zu stel­len. Insbesondere war in diesem Zusammenhang eine Unterstützungsverpflichtung der Sozi­alversicherungsträger gegenüber Behörden und Hilfsorganisationen zu normieren, da diese über Informationen bezüglich der Angehörigeneigenschaft von Personen verfügen. Die im letzten Satz des Abs. 5 genannte Zweckbestimmung soll klar stellen, dass Daten von Katast­rophenopfern von den Angehörigen nur zur persönlichen Information und um den Betroffe­nen Hilfe zu leisten verwendet werden dürfen, nicht aber für andere, z. B. kommerzielle Zwecke. Die unbedingte Protokollierungspflicht sowie der neu in die Verwaltungsstrafbe­stimmung des § 52 aufgenommene Straftatbestand sollen ebenfalls den in §  1 Abs. 2 vor­letzter Satz geforderten angemessenen Garantien entsprechen. Die Protokollierung der Daten­verwendungen ist jedenfalls so vorzunehmen, dass die  tatsächlich durchgeführten Verwen­dungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können (vgl. § 14 Abs. 2  7). Die Aufbewahrungsfrist der Protokolle richtet sich nach § 14 Abs. 5.

Ergänzend wird bemerkt, dass weitere sich nach dem DSG 2000 ergebende Verpflichtungen, wie etwa die Pflicht, Daten zu löschen, wenn sie nicht mehr benötigt werden, unberührt blei­ben.

 

Zu § 48a Abs. 5:

Diese Bestimmung orientiert sich an der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte zum Familienleben gemäß Art. 8 EMRK (vgl. näher Öhlinger5, Verfassungs­recht (2003), Rz. 814 f.). Vgl. dazu auch die Ausführungen im allgemeinen Teil der Erläute­rungen.

 

Zu § 48a Abs. 7:
Diese Bestimmung dient der Klarstellung. Die Sonderbestimmung des § 48a soll primär eine gesetzliche Grundlage für die Verwendung sensibler Daten im Katastrophenfall schaffen, wobei in der Praxis regelmäßig Datenanwendungen bestehen, die sowohl nicht-sensible als auch sensible Daten enthalten. Eine exakte Trennung dieser Datenarten ist in vielen Fällen nicht möglich. Es soll aber klar sein, dass die Bestimmung nicht die Zulässigkeit von Daten­anwendungen berührt, die sich auf andere Bestimmungen des DSG 2000 (etwa die Verwen­dung im lebenswichtigen Interesse des Betroffenen oder Dritter) gründet. Insgesamt soll ge­rade die gegenständliche Novelle zum DSG 2000 im Katastrophenfall Datenverwendungen zur Bewältigung der Katastrophe und für Hilfeleistungen für Katastrophenopfer erleichtern und nicht restriktiveren Bestimmungen unterwerfen.