515/A XXII. GP
Eingebracht am
26.01.2005
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
ANTRAG
der Abgeordneten
Mag. Molterer, Scheibner
und Kollegen
betreffend ein
Bundesgesetz, mit dem das Datenschutzgesetz 2000 – DSG 2000 geändert wird
Der Nationalrat
wolle beschließen:
Bundesgesetz, mit
dem das Datenschutzgesetz 2000 – DSG 2000 geändert wird
Der Nationalrat
hat beschlossen:
Das Bundesgesetz
über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 –
DSG 2000), BGBl. I. Nr. 165/1999, in der Fassung BGBl. I Nr. 136/2001,
wird wie folgt geändert:
1. Der Punkt
am Ende des § 8 Abs. 3 Z 6 wird durch das Wort „oder“
ersetzt.
2.
§ 8 Abs. 3 wird folgende Z 7 angefügt:
„im
Katastrophenfall, soweit dies zur Hilfeleistung für die von der Katastrophe
unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von
Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist;
im letztgenannten Fall ist § 48a Abs. 4 sinngemäß anzuwenden.
3. § 9 Z 10
hat zu lauten:
„10. Daten für
private Zwecke gemäß § 45 oder für wissenschaftliche Forschung oder Statistik
gemäß § 46, zur Benachrichtigung oder Befragung des Betroffenen gemäß
§ 47 oder im Katastrophenfall gemäß § 48a verwendet werden oder“
4. Der erste
Satzteil des § 18 Abs. 2 lautet:
„Meldepflichtige
Datenanwendungen, die weder einer Musteranwendung nach
§ 19 Abs. 2 entsprechen, noch innere Angelegenheiten der
anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten
im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke
betreffen, dürfen, wenn sie“
5. Nach
§ 48 wird folgender § 48a eingefügt:
„§ 48a Verwendung sensibler Daten im
Katastrophenfall
(1) Die
Behörden sind im Katastrophenfall ermächtigt, Daten zu verwenden, soweit
dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen
Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen
und zur Information von Angehörigen notwendig ist. Zu diesem Zweck sind auch
Hilfsorganisationen nach Maßgabe der ihnen zukommenden Aufgaben und rechtlichen
Befugnis ermächtigt, Daten zu verwenden. Wenn dies zur raschen Bewältigung der
Katastrophe notwendig ist, darf eine Datenverwendung durch Behörden in Form der
Teilnahme an einem Informationsverbundsystem erfolgen. Wer rechtmäßig über
Daten verfügt, darf diese an die Behörden übermitteln, sofern diese die Daten
zur Bewältigung der Katastrophe für die genannten Zwecke benötigen. Ebenso
dürfen sensible Daten an Hilfsorganisationen übermittelt werden, soweit diese
die Daten im Rahmen von Hilfsmaßnahmen benötigen. Eine Weiterverwendung dieser
Daten für andere Zwecke ist unzulässig. Die Daten sind unverzüglich zu
löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt
werden.
(2) Eine Überlassung oder Übermittlung von
Daten in das Ausland ist zulässig, soweit dies für die Erfüllung der in Abs. 1
genannten Zwecke notwendig ist. Wenn dies zur raschen Bewältigung der
Katastrophe notwendig ist, darf eine Datenverwendung durch Behörden in Form
der Teilnahme an einem Informationsverbundsystem, an dem auch ausländische
Auftraggeber beteiligt sind, erfolgen. Die Verwendung erkennungsdienstlicher
Daten in einem derartigen System hat in indirekt personenbezogener Form zu
erfolgen. Ist nach Maßgabe der §§ 12 und 13 eine Genehmigung der
Datenschutzkommission erforderlich und kann eine solche Genehmigung auf Grund
der Dringlichkeit nicht eingeholt werden, gilt § 12 Abs. 4. In
diesem Fall dürfen Daten nur übermittelt oder überlassen werden, wenn die in
§ 13 Abs. 2 genannten Voraussetzungen für die Erteilung einer
Genehmigung erfüllt sind. Insbesondere ist vom Empfänger der Daten die Einhaltung
der Zweckbeschränkung auf den konkreten Katastrophenfall und die Einhaltung
der unverzüglichen Löschung nach Erfüllung des konkreten Zwecks zu gewährleisten.
(3) Auf Grund einer konkreten Anfrage naher
Angehöriger einer tatsächlich oder vermutlich von der Katastrophe unmittelbar
betroffenen Person sind Behörden und Hilfsorganisationen ermächtigt, dem
Anfragenden die für Zwecke der
Angehörigeninformation erforderlichen Daten zu übermitteln, sofern kein
diesbezügliches ausdrückliches Übermittlungsverbot der von der Katastrophe
tatsächlich oder vermutlich unmittelbar betroffenen Person vorliegt.
(4) Vor Beantwortung von Anfragen ist die
Identität der anfragenden Person und die Zugehörigkeit zu der von ihr
angegebenen Behörde oder Hilfsorganisation oder die Angehörigeneigenschaft zu
prüfen. Angehörige haben zu diesem Zweck bei Anfragen ihre Angehörigeneigenschaft
sowie ihre eigene Identität glaubhaft zu machen und die Identität der von der
Katastrophe tatsächlich oder
vermutlich unmittelbar betroffenen Person anzugeben. Sie haben jedenfalls
1. den Vor- und Familiennamen und das Geburtsdatum der von der Katastrophe
tatsächlich oder vermutlich unmittelbar betroffenen Person,
2. ihren eigenen Vor- und Familiennamen und ihre Wohnadresse und
3. Informationen, aufgrund deren mit dem Anfragenden rasch und unmittelbar
in Verbindung getreten werden kann,
anzugeben.
Diese Daten Angehöriger dürfen von den Auskunft gebenden Stellen für keine
anderen Zwecke weiterverwendet werden. Behörden sind ermächtigt, die zur
Überprüfung dieser Angaben notwendigen Daten im Wege der Amtshilfe zu ermitteln
und für diesen Zweck zu verwenden. Die Sozialversicherungsträger sind
verpflichtet, die Behörden und Hilfsorganisationen bei der Überprüfung der Angehörigenbeziehung
zu unterstützen. Bei persönlichen Vorsprachen ist die Identität jedenfalls
durch Vorlage eines amtlichen Lichtbildausweises zu überprüfen. Angehörige
erhalten Daten nur zu ihrer persönlichen Information.
(5) Als nahe Angehörige im Sinne dieser
Bestimmung sind Eltern, Kinder, Ehegatten und Lebensgefährten der Betroffenen
zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter den selben
Voraussetzungen wie nahe Angehörige dann erhalten, wenn sie eine besondere
Nahebeziehung zu der von der Katastrophe möglicherweise oder tatsächlich
persönlich betroffenen Person glaubhaft machen und darlegen, warum die
Auskünfte nicht von engen Angehörigen eingeholt werden können.
(6) Alle Datenverwendungen sind im Sinne des
§ 14 Abs. 2 Z 7 zu protokollieren.
(7) Die Zulässigkeit von Datenverwendungen auf
der Grundlage anderer in den §§ 8 und 9 genannter Tatbestände bleibt
unberührt.“
6. In § 52 Abs. 1 Z 4 wird der
Punkt am Ende des Satzes durch einen Strichpunkt ersetzt.
7. § 52 Abs. 1 wird folgende
Z 5 angefügt:
„5. sich unter Vortäuschung einer Angehörigeneigenschaft vorsätzlich Daten
gemäß § 48a verschafft.“
In formeller Hinsicht wird vorgeschlagen, diesen Antrag unter Verzicht auf
eine Erste Lesung dem Verfassungsausschuss zuzuweisen.
Begründung:
Mit dem vorliegenden Gesetzesentwurf soll eine gesetzliche Grundlage für die Verwendung von personenbezogenen, insbesondere auch sensiblen Daten von Personen, die von einer Katastrophe unmittelbar betroffen sind, geschaffen werden. Damit sollen Interpretationsprobleme gelöst werden, die sich wiederholt im Zusammenhang mit der Datenübermittlung von Katastrophenopfern, zuletzt im Zusammenhang mit der Ende 2004 eingetretenen Flutwellen-Katastrophe in Südostasien, ergeben haben. Wie sich insbesondere im genannten Katastrophenfall gezeigt hat, ergibt sich die Notwendigkeit der Verwendung sowohl nicht sensibler als auch sensibler Daten durch Behörden und Hilfsorganisationen sowie die Notwendigkeit der Übermittlung derartiger Daten an Angehörige der Betroffenen. Wenngleich die gegenständliche Katastrophe durch das Ausmaß und die Zahl der Betroffenen in besonderem Maße die datenschutzrechtliche Problematik bestimmter Datenverwendungen gezeigt hat, so handelt es sich dabei um datenschutzrechtliche Fragen, die im Prinzip bei jeder Katastrophe (Galtür, Kaprun etc) zu klären waren.
Während hinsichtlich der Datenübermittlung nicht sensibler Daten an Angehörige und Hilfsorganisationen mit der Bestimmung des § 8 Abs. 1 Z 4 (überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten erfordern die Verwendung) im Prinzip das Auslangen gefunden werden konnte, konnte eine Verwendung sensibler Daten mangels Erfüllung des Tatbestandes des § 9 Z 3 (wenn sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen Interesses dienen) nur auf einen anderen in § 9 genannten Tatbestand gegründet werden. So konnte eine Datenübermittlung sensibler Daten an Angehörige allenfalls auf § 9 Z 7, wonach die Verarbeitung oder Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen notwendig ist, gestützt werden. Denkbar war auch die Heranziehung des § 9 Z 8, wonach die Verwendung zur Wahrung lebenswichtiger Interessen eines anderen (z. B. der Eltern des Betroffenen) zulässig ist.
Bei der Entwurferstellung waren insbesondere folgende Überlegungen maßgeblich:
Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind nach § 1 Abs. 2 Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Nach herrschender Auffassung soll das Grundrecht auf Datenschutz die Privatsphäre bzw. das Privat- und Familienleben Lebender, nicht aber die Ehre oder das Andenken Verstorbener schützen. Es ist ein höchstpersönliches, subjektives Recht, das weder vererbt noch unter Lebenden veräußert werden kann und mit dem Tod des geschützten Betroffenen erlischt. Im Hinblick auf den Verstorbenen bestehen somit keine datenschutzrechtlichen Bedenken, Informationen über tödlich verunglückte Personen weiter zu geben. Es darf jedoch nicht vergessen werden, dass nahe Anverwandte ein Datenschutzinteresse daran haben könnten, dass Dritten – etwa Journalisten – der Todesfall nicht bekannt gegeben wird, da hiedurch die Privatsphäre des Hinterbliebenen nachteilig berührt werden könnte. Es ist daher davon auszugehen, dass auch die Information, dass eine bestimmte Person verstorben ist, keinesfalls unbeschränkt weitergegeben werden kann, solange nicht zweifelsfrei festgestellt ist, dass keine nahen Angehörigen existieren, deren Datenschutzrechte betroffen sein könnten. Da dies im Katastrophenfall in aller Regel nicht umgehend festgestellt werden kann, empfiehlt es sich, für verstorbene, vermisste und verletzte Personen dieselbe Vorgangsweise hinsichtlich der Informationsweitergabe einzuhalten, wie sie im Folgenden näher erläutert wird:
Nach § 1 Abs. 2 darf – wie bereits erwähnt – ein Eingriff in das Grundrecht auf Datenschutz entweder mit Zustimmung des Betroffenen oder im lebenswichtigen Interesse des Betroffenen oder im überwiegenden berechtigten Interesse eines Dritten erfolgen. Eine Datenverwendung ist also jedenfalls dann zulässig, wenn der Betroffene dieser (etwa anlässlich der Aufnahme in ein Krankenhaus) zugestimmt hat oder die Wahrung seiner lebenswichtigen Interessen eine solche erfordert (z. B wenn eine Blut- oder Organspende oder seelischer Beistand benötigt wird). Da diese Vorgangsweise im Katastrophenfall nicht immer möglich bzw. dieser Sachverhalt mit der entsprechend notwendigen Klarheit sehr oft nicht feststellbar sein wird, ist im Hinblick darauf, dass es jedenfalls (auch) zu der Verwendung sensibler Daten kommen muss, eine spezielle gesetzliche Grundlage für die Auskunft darüber, ob und wie eine bestimmte Personen von einer Katastrophe betroffen ist, erforderlich. Da eine Auskunft über Personen, die einer Behörde bekannt sind und etwa im Rahmen einer Hotline bekannt gegeben werden, unter Umständen auch Gesundheitsdaten mit einschließen und daher sensible Daten betreffen kann und weiters kein anderer Tatbestand des § 9 regelmäßig erfüllt ist, muss für eine Datenverwendung für den vorliegenden Zweck eine eigene gesetzliche Grundlage im Sinne des § 9 Z 3 DSG 2000 geschaffen werden. Maßstab für die Verfassungsmäßigkeit einer solchen Bestimmung ist gemäß § 1 Abs. 2 , dass die Regelung – über die sonstigen Voraussetzungen des Abs. 2 hinaus – aus einem wichtigen öffentlichen Interesse erlassen wird und angemessene Garantien für die Datenschutzrechte der Betroffenen enthält.
Das nach § 1 Abs. 2 geforderte Vorliegen eines „wichtigen öffentlichen Interesses“ an einer solchen Regelung wird vor allem im Interesse, den von der Katastrophe betroffenen Bürgern möglichst rasch Hilfe leisten zu können, gesehen werden können. In diesem Zusammenhang muss auch gewährleistet sein, dass die Behörden und Hilfsorganisationen ihre Aufgaben ohne Behinderung erfüllen können. Auch wird ein Interesse an der Aufrechterhaltung der öffentlichen Ruhe vorliegen: Wenn keine geeignete Informationspolitik im Gefolge von eingetretenen Katastrophen betrieben wird, muss damit gerechnet werden, dass allgemeine Aufregung zur weiteren Verschlechterung der Verfügbarkeit der Infrastruktur führt – sowohl was die Telekommunikations- als auch was Verkehrsverbindungen betrifft – , was wiederum die Bewältigbarkeit der Katastrophe insgesamt erheblich erschweren kann. Auch kann in solchen Situationen nur eine Durchschnittsbetrachtung von Interessenslagen stattfinden, da die im Interesse aller Betroffenen gebotene Zügigkeit und Effizienz der Aufgabenbewältigung die Untersuchung der tatsächlichen Interessenslagen in jedem Einzelfall nicht gestattet. Bei einer derartigen Gesamtsituation wäre es unverhältnismäßig zu verlangen, dass jede Entscheidung über eine Informationsweitergabe erst nach konkreter Ermittlung der individuellen Interessenslage des Betroffenen erfolgen darf, da bei einer solchen Vorgangsweise die Interessenslagen derjenigen, die eine umgehende Information ihrer Familienangehörigen wünschen, aus voraussichtlichem Zeit- und Kapazitätsmangel nicht entsprechend berücksichtigt werden könnten.
Daraus folgend wird davon ausgegangen, dass bei Anlegung des Maßstabes einer Durchschnittsbetrachtung die Verwendung der Daten von durch eine Katastrophe persönlich betroffenen Personen durch Behörden und Hilfsorganisationen und die Information naher Angehöriger über das Schicksal ihrer Familienmitglieder auf Grund eines legitimen Informationsinteresses erfolgt.
Insgesamt ergibt sich daraus dass
1. ein wichtiges öffentliches Interesse an einer entsprechenden Regelung zur Datenverwendung im Katastrophenfall besteht und dass
2. wesentliche Interessen bestimmter Dritter, nämlich der nahen Angehörigen, der Hilfsorganisationen und zuständigen Behörden, vorhanden sind, deren Wertigkeit gegenüber allenfalls vorhandenen gegenläufigen Geheimhaltungsinteressen des Betroffenen nicht vernachlässigbar sind und daher als „überwiegende berechtigte Interessen eines Dritten“ gewertet werden können. Bei Anlegung einer Durchschnittsbetrachtung ist auch anzunehmen, dass der von der Katastrophe Betroffene selbst wünscht, dass seine Angehörigen benachrichtigt werden.
3. Daraus folgt, dass die im wichtigen öffentlichen Interesse gelegene Regelung der Datenverwendung auch dann, wenn sie eine Informationsweitergabe an nahe Angehörige in der Krisensituation und an Hilfsorganisationen vorsieht, nicht in unverhältnismäßiger und daher sachlich nicht gerechtfertigter Weise in die Datenschutzrechte eines Betroffenen eingreifen würde.
Die Voraussetzungen für die Erlassung eines Gesetzes in einem wichtigen öffentlichen Interesse im Sinne des § 1 Abs. 2 iVm § 9 Z 3 sind daher als gegeben zu sehen.
Hinsichtlich der „angemessenen Garantien“ war Folgendes zu überlegen:
Für die Verwendung von Daten durch Behörden und Hilfsorganisationen ist jedenfalls eine strenge Zweckbeschränkung vorgesehen. Die Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung dieses Zwecks nicht mehr benötigt werden. Abgesehen von den in dieser gesetzlichen Bestimmung vorgesehenen Datenverwendungen durch die Behörden und Hilfsorganisationen dürfen Auskünfte grundsätzlich nur an nahe Angehörige im Sinn des Art. 8 EMRK erteilt werden. Diese Abgrenzung erscheint auf Grund der Bezugnahme des § 1 Abs. 2 auf Art. 8 EMRK geboten. Darunter fallen nach der Rechtsprechung des EGMR jedenfalls Eltern, Kinder sowie Ehegatten unabhängig vom tatsächlichen Zusammenleben sowie die Lebensgefährten. Sonstige nahe Verwandte (Großeltern, Geschwister, Onkel etc.) müssen nach dieser Judikatur eine gewisse Intensität der Bindung aufweisen (vgl. näher Öhlinger, Verfassungsrecht5 (2003), Rz. 814 f). Um die Identität mit der hier erforderlichen Sicherheit unter den besonderen Verhältnissen des Katastropheneinsatzes gewährleisten zu können, sind hier
- eine entsprechende „Selbstzertifizierung“ des Anrufenden (Bestätigung des Anrufenden über seine Beziehung zur gesuchten Person) und
- die Aufzeichnung von Kontaktdaten, wie etwa des anrufendem Telefonanschlusses und des angegebenen Namens, der Art der Angehörigenrelation und der Wohnadresse mit entsprechenden Überprüfungsmöglichkeiten durch die Behörde und
- Sanktionen gegen Missbrauch
vorzusehen.
In den in diesem Entwurf vorgesehenen gesetzlichen Bestimmungen ist daher einerseits vorgesehen, dass bestimmte Angaben vom Anfragenden zu ermitteln und allenfalls zu verifizieren sind; andererseits werden eine verpflichtende Protokollierungspflicht für die genannten Datenverwendungen sowie eine Strafbestimmung für das „Sich vorsätzliche Verschaffen von Daten unter Vortäuschung einer Angehörigeneigenschaft“ durch den Anfragenden normiert. Im Lichte der Tatsache, dass die in dieser Bestimmung geregelten Datenverwendungen regelmäßig im Interesse des Betroffenen stattfinden, werden die hier vorgesehenen Garantien als ausreichend erachtet.
In kompetenzrechtlicher Hinsicht gründet sich dieses Bundesgesetz auf den Kompetenztatbestand „Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr“ gemäß § 2 des Datenschutzgesetzes 2000. Das DSG 2000 enthält in seinem 8. Abschnitt „Besondere Verwendungswecke von Daten“ schon jetzt Spezialregelungen bezüglich der Datenverwendung in speziellen Bereichen, wie etwa im privaten Bereich, im Bereich der wissenschaftlichen Forschung und Statistik oder für publizistische Tätigkeit. Der Systematik entsprechend soll nun eine Bestimmung über die Datenverwendung bestimmter Daten im Katastrophenfall (§ 48a) in dieses Kapitel eingefügt werden. In § 8 soll eine Klarstellung hinsichtlich der Verwendung nicht sensibler Daten im Katastrophenfall erfolgen, indem die demonstrative Aufzählung in § 8 Abs. 3 entsprechend erweitert wird. Weiters soll in § 18 eine Erleichterung hinsichtlich des Registrierungsverfahrens bei der Datenschutzkommission vorgesehen werden und eine Ergänzung der Verwaltungsstrafbestimmungen in § 52 vorgenommen werden.
Finanzielle Auswirkungen:
Da die vorgeschlagenen Bestimmungen prinzipiell nur die Zulässigkeit der Datenverwendung im Katastrophenfall regeln, entstehen dadurch im Vergleich zu der jetzigen Rechtslage keine Mehrkosten.
Verhältnis zu Rechtsvorschriften der
Europäischen Union:
Die vorgesehene Regelung stellt ein Gesetz auf der Basis des Art. 8 Abs. 4 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dar und steht im Einklang mit den Rechtsvorschriften der Europäischen Union.
Zu Z 1 und 2:
Bei der
Verwendung nicht-sensibler Daten sind gemäß § 8 Abs. 1 Z 4
schutzwürdige Geheimhaltungsinteressen dann nicht verletzt, wenn überwiegende
berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung
erfordern. Durch die Erweiterung der in Abs. 3 enthaltenen demonstrativen
Aufzählung soll klargestellt werden, dass die Verwendung von nicht-sensiblen Daten
im Katastrophenfall für Zwecke der
Hilfeleistung, der Auffindung und Identifizierung von Abgängigen und
Verstorbenen oder zur Information der Angehörigen jedenfalls zulässig ist,
wobei diese Datenverwendungen vor allem die Daten von Katastrophenopfern oder
vermutlichen Katastrophenopfern betreffen. Daraus ergibt sich, dass etwa
Transportunternehmen, Reisebüros oder Beherbergungsbetriebe ermächtigt sind,
auf Grund einer konkreten Anfrage naher Angehöriger einer tatsächlich oder
vermutlich von der Katastrophe unmittelbar betroffenen Person Daten über die
Buchung einer Reise (z. B. welchen Flug der Reisende gebucht hat), den
Bestimmungsort oder die Buchung eines bestimmten Beherbergungsbetriebes zu
übermitteln, wenn dies zum Zweck der Angehörigeninformation notwendig ist. Auch
eine Übermittlung derartiger Daten an Hilfsorganisationen wäre von der
Bestimmung erfasst. In diesem Fall wäre zur Prüfung der Identität und
Angehörigeneigenschaft die in
§ 48a Abs. 4 vorgesehene Vorgangsweise einzuhalten. Diese Daten der
Angehörigen dürfen nicht für andere, insbesondere kommerzielle Zwecke
verwendet werden.
Zu Z 3:
§ 9 enthält eine taxative Aufzählung jener Fälle, in denen die Verwendung sensibler Daten zulässig ist. Der Systematik entsprechend ist in die Ziffer 10, die bereits auf die anderen Spezialbestimmungen (Verwendung für Statistik, wissenschaftliche Forschung, publizistische Zwecke etc) verweist, auch ein Verweis auf die neu einzufügende Bestimmung des § 48a aufzunehmen. Damit ist klar, dass sich die in § 48a geregelten Datenverwendungen auch auf sensible Daten beziehen dürfen.
Zu Z 4:
Nach der derzeit geltenden Rechtslage sind Datenanwendungen, die etwa sensible Daten beinhalten oder in Form von Informationsverbundsystemen geführt werden, – mit Ausnahme der im Einleitungssatz zu § 18 Abs. 2 genannten Fälle – einer Vorabkontrolle durch die Datenschutzkommission zu unterwerfen, was im Wesentlichen bedeutet, dass die Datenanwendung erst nach einer Reaktion der Datenschutzkommission oder deren Verschweigung nach zwei Monaten beginnen darf. Da sensible Daten im Katastrophenfall ohne Verzögerung verwendet werden müssen und unter Umständen auch die Verwendung in Form eines Informationsverbundsystems notwendig ist, wird hier eine Ausnahmebestimmung geschaffen. Demnach unterliegen derartige Datenanwendungen einer einfachen Meldepflicht und der Vollbetrieb darf unmittelbar nach Abgabe der Meldung aufgenommen werden. Dies betrifft auch die in § 48a Abs. 2 angesprochenen Übermittlungen von sensiblen Daten ins Ausland, die einer Registrierung bedürfen und normalerweise der Vorabkontrolle durch die Datenschutzkommission zu unterwerfen wären.
Zu Z 5:
Zu § 48a Abs. 1:
Der erste Satz dieser Bestimmung stellt eine gesetzliche Ermächtigung der Behörden dar, im Katastrophenfall im Rahmen ihrer Zuständigkeit Daten verwenden. Was unter einer „Katastrophe“ zu verstehen ist, ergibt sich aus dem Sprachgebrauch. Vom Vorliegen einer Katastrophe wird jedenfalls dann auszugehen sein, wenn durch ein Naturereignis oder ein sonstiges Ereignis dem Umfange nach eine außergewöhnliche Schädigung von Menschen oder Sachen eingetreten ist oder unmittelbar bevorsteht.
Aus § 7 Abs. 1 ergibt sich bereits, dass die Verwendung dieser Daten nur zulässig ist, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten der Behörden gedeckt sind. Unter den Begriff „Verwenden“ fällt gemäß § 3 Z 8 iVm Z 9 auch das Ermitteln von Daten. Es wird davon auszugehen sein, dass die Behörden die notwendigen Informationen (auch) von Privatpersonen und Unternehmen erhalten. So würden etwa Unternehmen wie Reisebüros, Transportunternehmen und Beherbergungsbetriebe berechtigt sein, den Behörden im Katastrophenfall die erforderlichen Daten zur Verfügung zu stellen. Behörden dürfen auch, wenn dies notwendig ist, einander Daten in Form eines Informationsverbundsystems übermitteln. Dies ist beispielsweise bei der Führung der Listen von Vermissten, Verstorbenen oder Verletzten denkbar.
Hilfsorganisationen sind nach Maßgabe der ihnen zukommenden Aufgaben und rechtlichen Befugnis berechtigt, Daten (auch sensible Daten) zu verwenden. Zu den Hilfsorganisationen gehören beispielsweise Organisationen wie das Rote Kreuz, die Caritas und Ärzte ohne Grenzen. Bei Vorliegen einer Vielzahl von Katastrophenopfern können diese Daten zugangsgeschützt für Hilfsorganisationen im Internet bereit gehalten werden (etwa in Form einer geschützten Webseite). Wie sich anlässlich der jüngsten Flutwellen-Katastrophe gezeigt hat, ändert sich bei einer Vielzahl von Katastrophenopfern der Stand der verstorbenen, abgängigen und verletzten Personen binnen kurzer Zeit und es scheint daher sinnvoll, durch laufende Aktualisierungen das Erbringen von Hilfeleistungen zu erleichtern.
Das Zur Verfügung Stellen derartiger Daten auf einer allgemein zugänglichen Internet-Seite für die Allgemeinheit wäre nicht rechtmäßig, da ein Eingriff in das Grundrecht auf Datenschutz selbst hinsichtlich nicht sensibler Daten nur zur Wahrung überwiegender Interessen eines anderen zulässig wäre. Dieses überwiegende berechtigte Interesse kann etwa bei bestimmten Angehörigen und Hilfsorganisationen angenommen werden; ein generelles Interesse der Öffentlichkeit an solchen Namenslisten kann aber nicht angenommen werden; eine derartige Vorgangsweise würde auch ein nicht zu unterschätzendes Missbrauchspotenzial in sich bergen (vgl. etwa die Medienberichte über zahlreiche Einbrüche, die in Schweden in den Haushalten Vermisster begangen wurden, nachdem man diese Personen auf einer öffentlich zugänglichen Internet-Seite genannt hatte).
Bezüglich verletzter Personen kann davon ausgegangen werden, dass Hilfsorganisationen jedenfalls ermitteln dürfen, an welchem Ort (insbesondere auch in welchem Spital) sich ein Katastrophenopfer befindet und in welchem allgemeinen Gesundheitszustand es sich befindet, zumal je nach Gesundheitszustand auch die Hilfsmaßnahmen verschieden zu gestalten sind (wenn etwa nur ein Beinbruch vorliegt, wird anders vorzugehen sein als wenn die Person auf Grund schwerer Verletzungen nicht transportabel ist). Hinsichtlich verstorbener Personen wird mitzuteilen sein, wo sich der Leichnam des Verstorbenen befindet. Bezüglich abgängiger Personen ist insbesondere der letzte bekannte Aufenthalt von Interesse.
Zu § 48a Abs. 2:
Bei Katastrophen im Ausland, bei denen Österreicher zu Schaden kommen, ist es erforderlich, dass auch der erforderliche Datenfluss zwischen in- und ausländischen Behörden und Hilfsorganisationen gewährleistet ist. Überdies hat sich insbesondere im Fall der „Tsunami-Katastrophe“ gezeigt, dass es notwendig ist, die in Österreich ermittelten erkennungsdienstlichen Daten von Abgängigen (insbesondere Fingerabdruckdaten, Abbildungen, Zahnstatus-Daten sowie die sonstigen für die Feststellung äußerlicher körperlicher Merkmale und die Vornahme von Messungen relevanten Daten) an andere Staaten zu übermitteln bzw. einem Dienstleister (Interpol oder einer anderen Sicherheitsbehörde) zu überlassen, um einen Abgleich mit den erkennungsdienstlichen Daten an Verstorbenen durchzuführen. Für diese Zwecke und bei Katastrophen dieses Ausmaßes kann es insbesondere notwendig sein, die erkennungsdienstlichen Daten der Abgängigen und Verstorbenen in einem Informationsverbundsystem zu verarbeiten. Da diese erkennungsdienstlichen Daten von hoher Sensibilität sind, müssen die Daten indirekt personenbezogen, also etwa unter einer Kennnummer anstelle des Namens, verwendet werden. Gemäß § 12 Abs. 4 dürfen derartige Datentransfers, wenn dies zur Wahrung eines wichtigen öffentlichen Interesses oder zur Wahrung eines lebenswichtigen Interesses einer Person notwendig ist und so dringlich ist, dass die gemäß § 13 erforderliche Genehmigung der Datenschutzkommission nicht eingeholt werden kann, ohne die genannten Interessen zu gefährden, ohne Genehmigung vorgenommen werden; sie müssen dieser aber umgehend mitgeteilt werden. Damit können Verzögerungen, die sich naturgemäß durch ein Genehmigungsverfahren ergeben, vermieden werden.
Dennoch wird insbesondere bei der Weitergabe von Daten mit hoher Sensibilität (z. B. DNA-Daten von Abgängigen und Angehörigen zur Identifizierung von Abgängigen und Verstorbenen) darauf zu achten sein, dass datenschutzrechtliche Grundsätze jedenfalls beachtet werden. Da die Daten auch in Staaten übermittelt oder überlassen werden dürfen, die über kein angemessenes Datenschutzniveau verfügen, werden gerade bei der Verwendung sehr sensibler Daten die in § 13 Abs. 2 Z 1 geforderten Voraussetzungen eher selten erfüllt sein. Im Regelfall wird daher – falls keine vertragliche Zusicherung möglich ist – eine schriftliche Zusicherung der empfangenden Behörden/Stellen vorzulegen sein, woraus hervorgeht, dass im Einzelfall die schutzwürdigen Geheimhaltungsinteressen Betroffener ausreichend gewahrt werden. In diesem Zusammenhang wird insbesondere auf die Zusicherung der Einhaltung der Zweckbeschränkung und der Verpflichtung zur unverzüglichen Löschung der Daten, wenn sie z. B. nicht mehr zur Identifizierung im Katastrophenfall benötigt werden, sowie adäquate Datensicherheitsmaßnahmen zu achten sein.
Gemäß § 12 Abs. 5 ist Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung ins Ausland die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muss darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters vorliegen, dass er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind.
Zu § 48a Abs. 3:
Diese Bestimmung stellt die gesetzliche Grundlage für die Übermittlung von Daten (einschließlich sensibler Daten) durch Behörden und Hilfsorganisationen an nahe Angehörige von Katastrophenopfern oder vermutlich von der Katastrophe unmittelbar betroffenen Personen dar und setzt eine konkrete Anfrage durch den Angehörigen voraus. Es ist davon auszugehen, dass nahe Angehörige jedenfalls die Information, ob die konkret genannte Person abgängig, verstorben oder verletzt ist, Angaben über deren Aufenthaltsort und (hinsichtlich Verletzter) allgemeine Angaben über deren Gesundheitszustand erfahren dürfen. Der Wille des Betroffenen ist insofern zu berücksichtigen, als bei Vorliegen eines ausdrücklichen Übermittlungsverbotes der Datenübermittlung an (z. B. bestimmte) Angehörige die Übermittlung zu unterbleiben hat.
Zu § 48a Abs. 4 und 6 und zu § 52 Abs. 1 Z und 5:
Diese Bestimmungen sollen gewährleisten, dass Daten über Katastrophenopfer auch wirklich an die richtigen Adressaten gelangen. Weiters sollen sie der Verhinderung von Missbrauch durch anfragende Personen dienen, die etwa ein Angehörigenverhältnis zu einer von der Katastrophe persönlich betroffenen Person vortäuschen. Insbesondere da die Anfragen von Angehörigen im Katastrophenfall oft telefonisch erfolgen (vgl. die für die Flutwellen-Katastrophe zuständige Hotline des Außen- und Innenministeriums) oder per E-mail erfolgen, ergibt sich die Problematik der Identifizierung der Anfragenden als Angehörige der gesuchten Person. Die anfragende Person muss daher neben Namen und Geburtsdatum der von der Katastrophe tatsächlich oder vermutlich unmittelbar betroffenen Person auch eigene Daten (Name, Wohnadresse, Telefonnummer oder E-mail-Adresse oder dergleichen) zur Verfügung stellen und überdies die Angehörigenbeziehung glaubhaft machen. Behörden sind in diesem Zusammenhang berechtigt, die notwendigen Überprüfungen dieser Angaben durchzuführen, was insbesondere im Zweifelsfall stattfinden müsste. Die dafür notwendigen Informationen sind der Behörde allenfalls von anderen Behörden im Wege der Amtshilfe zur Verfügung zu stellen. Insbesondere war in diesem Zusammenhang eine Unterstützungsverpflichtung der Sozialversicherungsträger gegenüber Behörden und Hilfsorganisationen zu normieren, da diese über Informationen bezüglich der Angehörigeneigenschaft von Personen verfügen. Die im letzten Satz des Abs. 5 genannte Zweckbestimmung soll klar stellen, dass Daten von Katastrophenopfern von den Angehörigen nur zur persönlichen Information und um den Betroffenen Hilfe zu leisten verwendet werden dürfen, nicht aber für andere, z. B. kommerzielle Zwecke. Die unbedingte Protokollierungspflicht sowie der neu in die Verwaltungsstrafbestimmung des § 52 aufgenommene Straftatbestand sollen ebenfalls den in § 1 Abs. 2 vorletzter Satz geforderten angemessenen Garantien entsprechen. Die Protokollierung der Datenverwendungen ist jedenfalls so vorzunehmen, dass die tatsächlich durchgeführten Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können (vgl. § 14 Abs. 2 7). Die Aufbewahrungsfrist der Protokolle richtet sich nach § 14 Abs. 5.
Ergänzend wird bemerkt, dass weitere sich nach dem DSG 2000 ergebende Verpflichtungen, wie etwa die Pflicht, Daten zu löschen, wenn sie nicht mehr benötigt werden, unberührt bleiben.
Zu § 48a Abs. 5:
Diese Bestimmung orientiert sich an der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte zum Familienleben gemäß Art. 8 EMRK (vgl. näher Öhlinger5, Verfassungsrecht (2003), Rz. 814 f.). Vgl. dazu auch die Ausführungen im allgemeinen Teil der Erläuterungen.
Zu § 48a Abs. 7:
Diese Bestimmung dient der Klarstellung. Die Sonderbestimmung des § 48a soll
primär eine gesetzliche Grundlage für die Verwendung sensibler Daten im
Katastrophenfall schaffen, wobei in der Praxis regelmäßig Datenanwendungen
bestehen, die sowohl nicht-sensible als auch sensible Daten enthalten. Eine
exakte Trennung dieser Datenarten ist in vielen Fällen nicht möglich. Es soll
aber klar sein, dass die Bestimmung nicht die Zulässigkeit von Datenanwendungen
berührt, die sich auf andere Bestimmungen des DSG 2000 (etwa die Verwendung im
lebenswichtigen Interesse des Betroffenen oder Dritter) gründet. Insgesamt soll
gerade die gegenständliche Novelle zum DSG 2000 im Katastrophenfall
Datenverwendungen zur Bewältigung der Katastrophe und für Hilfeleistungen für
Katastrophenopfer erleichtern und nicht restriktiveren Bestimmungen
unterwerfen.