Amt der Wiener Landesregierung

 

                                                                                              Dienststelle:      Magistratsdirektion

                                                                                                                                                       Geschäftsbereich Recht

                                                                                                                                                       Verfassungsdienst und

                                                                                                                                                       EU-Angelegenheiten

                                                                                              Adresse:         1082 Wien, Rathaus

                                                                                              Telefon:          4000-82342

                                                                                              Telefax:              4000-99-82310

                                                                                              e-mail:                 post@md-v.wien.gv.at

                                                                                              DVR:                  0000191

 

MD-VD - 663-1/08                                                            Wien, 15. Mai 2008

Entwurf eines Bundesgesetzes,

mit dem das Datenschutzgesetz 2000

geändert wird (DSG-Novelle 2008),

Begutachtung;

Stellungnahme

 

zu GZ BKA-810.026/0002-V/3/2008

 

 

An das

Bundeskanzleramt

 

 

Zu dem mit Schreiben vom 11. April 2008 übermittelten Entwurf eines Bundesgesetzes wird nach Anhörung des Unabhängigen Verwaltungssenates Wien wie folgt Stellung genommen:

Allgemeines:

 

Hinsichtlich der erbetenen Äußerung zur Einführung eines „österreichischen Datenschutz-Gütesiegels“ ist zu bemerken, dass - den Informationen auf der Website https://www.datenschutzzentrum.de/europrise/ zu Folge - ein solches Gütesiegel offenbar primär dazu dienen soll, die Auswahl solcher Produkte zu erleichtern, die mit den Datenschutzbestimmungen in Einklang stehen. Ein Gütesiegel der in Rede stehenden Art wird daher wohl im Privatkundenbereich aber etwa auch für Marketingzwecke genutzt werden können. Vor diesem Hintergrund wird die allfällige Einführung eines „österreichischen Datenschutz-Gütesiegels“ insofern begrüßt, als anzunehmen ist, dass Unternehmen insbesondere auch aus Prestigegründen davon Gebrauch machen und sich sohin die Datensicherheitsstandards der Produkte insgesamt erhöhen werden.

 

Des Weiteren wird - der Gewichtigkeit der Angelegenheit entsprechend - schon an dieser Stelle festgehalten, dass das Land Wien den mit dem vorliegenden Entwurf angedachten Veränderungen auf Ebene der verfassungsrechtlichen Kompetenzverteilung vorerst reserviert gegenübersteht und diesbezüglich auf die näheren Ausführungen zu § 2 verwiesen.

 

Zu den einzelnen Bestimmungen:

 

Zu § 1 Abs. 1:

Gegen die Einschränkung des Grundrechtsschutzes auf natürliche Personen besteht unter anderem im Hinblick darauf, dass dies auch der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr entspricht, kein Einwand.

 

Zu § 1 Abs. 2:

Bislang konnte ein Grundrechtseingriff insbesondere im Falle der Verwendung von Daten, die nicht aus einer Datenanwendung stammen im hoheitlichen Bereich mit Ausnahme der Zustimmung des Betroffenen stets nur in dessen lebenswichtigem Interesse oder auf Grund einer gesetzlichen Anordnung erfolgen. Eine derart höhere Bewertung des lebenswichtigen Interesses des Betroffenen im Vergleich zu lebenswichtigen Interessen anderer Personen erscheint sachlich aber nicht gerechtfertigt und hat in der Praxis immer wieder zu unbefriedigenden Ergebnissen geführt. Die in Aussicht genommene „Ausdehnung“ des Eingrifftatbestandes der lebenswichtigen Interessen auf jede - natürliche - Person wird daher ausdrücklich begrüßt.

Dass nun sowohl aufgrund des Textes des Entwurfes selbst als auch der Bezug habenden Erläuterungen das Erfordernis der gesetzlichen Determinierung für Grundrechtseingriffe im Rahmen der „schlichten Hoheitsverwaltung“ sowie durch „Beliehene Private“ entsprechend klargestellt erscheint, ist überdies positiv zu vermerken.

 

Zu § 2:

Hinsichtlich der angedachten Abänderungen der derzeit im Bereich des Datenschutzes bestehenden verfassungsmäßigen Gesetzgebungs- und Vollziehungskompetenzen zugunsten des Bundes ist - in Anknüpfung an die diesbezüglich schon eingangs erfolgten Ausführungen - ergänzend festzuhalten, dass dagegen zwar nicht jedenfalls und kategorisch ein Einwand besteht, eine allenfalls möglich erscheinende Zustimmung des Landes Wien hiezu aber letztlich davon abhängen wird, ob der vorliegende Entwurf insbesondere im Bereich des „Betrieblichen Datenschutzbeauftragten“ eine den gegenständlichen Anregungen entsprechende Überarbeitung erfahren wird.

 

Zu § 4 Abs. 1 Z 5:

In der Praxis hat sich oftmals die Frage gestellt, ob eine Übermittlung von Daten
- vorbehaltlich der Erbringung des Nachweises über den Abschluss eines Dienstleistervertrages - auch direkt an den Dienstleister an Stelle des Auftraggebers erfolgen darf. Es wird angeregt, dies einerseits in den Erläuterungen ausdrücklich klarzustellen und darüber hinaus jene drei Ausnahmefälle, die in den Erläuterungen dezitiert angeführt sind, in den Text der Bestimmung aufzunehmen.

 

Zu § 4 Abs. 2:

Die Aufnahme einer im Wesentlichen der Spruchpraxis der Datenschutzkommission entsprechenden Regelung erscheint sinnvoll. Die Erläuterungen stehen mit dem Gesetzestext jedoch insofern in Widerspruch, als Letzterem zu Folge auch § 9 DSG 2000 für Übermittlungen allgemein gelten soll. Die Erläuterungen wären demnach zu ergänzen.

 

Zu § 8 Abs. 3 Z 2 lit. b:

Die vorgesehene Bestimmung trägt weder dem in § 1 Abs. 2 DSG 2000 normierten Verhältnismäßigkeitsgebot Rechnung noch legt sie im Sinne des § 6 Abs. 1 Z 2 leg. cit. den Zweck der Datenermittlung eindeutig fest. Insbesondere im Hinblick darauf, dass von deren Anwendungsbereich offenbar auch sensible Daten, wie beispielsweise jene über die politische Meinung, die Gewerkschaftszugehörigkeit oder die Gesundheit, erfasst sein sollen, erscheinen daher - so man eine Regelung der in Rede stehenden Art beibehalten will - jedenfalls entsprechende legistische Adaptierungen erforderlich. Eine ausreichend differenzierte, mit dem Grundrecht auf Datenschutz in Einklang stehende Regelung sollte stets das gelindeste, noch zum Ziel führende Mittel vor Augen haben und gleichzeitig die damit verbundene datenschutzrechtliche Verantwortung hervorheben.

 

Des Weiteren wird allgemein zur Überlegung gegeben, sicher zu stellen, dass bei Inanspruchnahme einer Behörde im Fall der Unzuständigkeit keine Verletzung des Rechtes auf Datenschutz gegeben ist, auch wenn diese ihre sachliche und örtliche Zuständigkeit von Amts wegen wahrzunehmen hat und der Amtsverschwiegenheit unterliegt.

 

Zu § 9 Z 4 lit. b:

Im Text des Entwurfes müsste die gegenständliche Ziffer richtig mit „4“ und nicht mit „2“ bezeichnet werden. Inhaltlich wird auf die obigen Ausführungen zum in Aussicht genommenen § 8 Abs. 3 Z 2 lit. b verwiesen.

 

Zu § 15a:

Mit Nachdruck wird darauf aufmerksam gemacht, dass die angedachten Regelungen hinsichtlich des „Betrieblichen Datenschutzbeauftragten“, und zwar insbesondere jene, deren Gegenstand die Art und Weise seiner Bestellung, die stundenweise Freistellung von Mitarbeitern sowie die Gewährung eines besonderen Kündigungs- und Entlassungsschutzes ist, inhaltlich im Wesentlichen arbeits- bzw. dienstrechtliche Belange betreffen und somit aus verfassungsrechtlichen Gründen (Art. 21 Abs. 1 B-VG) für Landes- bzw. Gemeindebedienstete vom Bundesgesetzgeber nicht vorgesehen werden dürfen. Es ist daher entsprechend klar zu stellen, dass die Länder und Gemeinden vom Anwendungsbereich der Regelungen über den „Betrieblichen Datenschutzbeauftragten“ nicht erfasst werden.

 

Darüber hinaus ist zu bemerken, dass die im Zusammenhang mit dem Begriff des Betriebes unter anderem angedachte Anknüpfung an § 34 Abs. 1 ArbVG insbesondere für Gebietskörperschaften schwierig zu lösende Fragen aufwerfen würde, zumal in diese teilweise Betriebe im Sinne der zitierten Bestimmung „integriert“ sind. Dabei könnte es auch für die Datenschutzkommission mitunter alles andere als leicht feststellbar sein, ob eine Registrierungsmeldung einen „Betrieb“ betrifft oder nicht.

 

In Ansehung der Gebietskörperschaften sind diese Regelungen aber auch deshalb skeptisch zu betrachten, da die „Konstruktion“ eines „Betrieblichen Datenschutzbeauftragten“ nicht zu deren Struktur passt. Insbesondere ist darauf zu verweisen, dass im Bereich der Stadt Wien bereits Datenverantwortliche bestellt und daneben DienststellenleiterInnen datenschutzrechtliche Verantwortlichkeiten übertragen wurden. Weiters wurde eine eigene Abteilung zur Wahrnehmung des Datenschutzes eingerichtet, die - mit der Fachaufsicht betraut - einen einheitlichen hohen datenschutzrechtlichen Standard gewährleistet. Diese bislang gut funktionierende Konzeption würde durch die angedachten Regelungen aber zumindest zum Teil (Betriebe) durchbrochen.

 

Laut vorliegendem Entwurf soll der „Betriebliche Datenschutzbeauftragte“ nicht an Weisungen des Betriebsinhabers gebunden sein (§ 15a Abs. 5). Insbesondere im Hinblick darauf, dass der überwiegende Anteil der Mitarbeiter der Stadt Wien der Dienstordnung 1994 unterstellt ist, erscheint - zusätzlich zu den oben angeführten verfassungsrechtlichen Bedenken - zweifelhaft, ob die in Aussicht genommene („echte“) Weisungsfreistellung durch einfachgesetzliche Regelung den diesbezüglichen verfassungsrechtlichen Vorgaben des Art. 20 Abs. 2 B-VG entspricht.

 

Zu befürchten ist zudem, dass die vorgesehenen Möglichkeiten das gut funktionierende System der datenschutzrechtlichen Verantwortlichkeiten im Bereich der Stadt Wien letztlich aushöhlen und unterlaufen.

 

Der in § 15a Abs. 4 vorgesehene Zeitaufwand erscheint im Hinblick auf die bisherigen Erfahrungswerte der im Bereich der Stadt Wien einschlägig tätigen Personen zu gering gegriffen.

 

Zu §§ 17, 18, 19, 20:

 

Da der Entwurf keine Angaben über die vom Bundeskanzler bereit zu stellende Applikation enthält, kann vor der Erlassung der Verordnung gemäß § 16 Abs. 3 des Entwurfes nicht eingeschätzt werden, ob damit die angestrebte Verbesserung tatsächlich erreicht werden kann. Vor allem ist völlig unklar, mit welchem (arbeitsmäßigen) Aufwand seitens eines öffentlichen Auftraggebers - wie etwa dem Magistrat der Stadt Wien - zu rechnen ist.

 

Da die Stadt Wien von der technischen Ausgestaltung der Applikation abhängig sein wird, wird jedenfalls ersucht, diese auch bei der technischen Umsetzung beziehungsweise den technischen Vorgaben entsprechend einzubeziehen. Da nunmehr die Aufnahme des Betriebes der Datenanwendung generell an die Registrierung gebunden sein und diese - bei nicht „vorabkontrollpflichtigen Daten“ - sofort nach Prüfung erfolgen soll, wären konkrete Informationen zur technischen Umsetzung vorab dringend geboten. Dies auch im Hinblick darauf, dass unerprobte Systeme - zumindest anfangs - von Fehleranfälligkeit geprägt sein können und die sofortige Registrierung zwingend auf die Fehlerfreiheit abstellt. Es können daher wesentliche zeitliche Verzögerungen bei der Registrierung im Falle des Auftretens von Fehlern im Bereich des automationsunterstützten Registrierungsverfahrens nicht ausgeschlossen werden.

 

Es wird allgemein darauf hingewiesen, dass gemäß Art. 18 der Richtlinie 95/46/EG von den Mitgliedstaaten lediglich eine Meldung vor Aufnahme des Betriebes durch den für die Verarbeitung Verantwortlichen vorgesehen ist. Die Registrierung vor Aufnahme des Betriebes wird gemäß dieser Richtlinienbestimmung nicht verlangt. Es sollte daher überlegt werden, ob der Flut an meldepflichtigen Datenanwendungen nicht in Form einer Erweiterung des Anwendungsbereiches für Standard - und Musteranwendungen begegnet werden könnte. Der Umstand, dass eine solche Anwendung betrieben wird, sollte weiterhin meldepflichtig bleiben, wobei diese an rein formale Kriterien geknüpfte Meldepflicht in einem automationsunterstützten Verfahren umgesetzt werden könnte.

Jedenfalls erscheint die im Entwurf enthaltene Verpflichtung zur Identifizierung und Authentifizierung mittels der Bürgerkarte zumindest für den Bereich der öffentlichen Auftraggeber überzogen. Dies insbesondere deshalb, weil es sich gegenständlich um keine Hochsicherheitsapplikation (SecClass3) handelt, die eine Identifizierung und Authentifizierung über die Bürgerkarte, die an eine natürliche Person gebunden ist, erfordern würde. Die Identifizierung und Authentifizierung sollte vielmehr im Rahmen des Portalverbundes, dem sowohl das Bundeskanzleramt als auch die Datenschutzkommission (Datenverarbeitungsregister) beigetreten sind, über das jeweilige Stammportal der Gebietskörperschaft erfolgen. Die Internetanwendung zur Einbringung der Meldungen wäre daher portalverbundfähig zur Verfügung zu stellen. Zwar wird im Entwurf darauf verwiesen, dass diese Konzeption der IKT-Strategie des Bundes entspricht, dabei wird aber übersehen, dass eine verpflichtende Meldung in einer Internetanwendung und die verpflichtende Verwendung der Bürgerkarte den Grundsätzen des E-Government Gesetzes widerspricht [da die Wahlfreiheit hinsichtlich des Weges zur Behörde erhalten bleiben soll („Multi-Channel“)].

 

Zu § 17 Abs. 1b iVm § 21 Abs. 1:

Es ist unklar, ob die Definition „sind in das Datenverarbeitungsregister einzutragen“ gleichzusetzen ist mit „Registrierung“. In der ursprünglichen Fassung des DSG 2000 war dies mit der Formulierung des § 20 Abs. 5 leg. cit. „gilt die Meldepflicht als erfüllt“ wesentlich klarer. Die Formulierung „sind in das Datenverarbeitungsregister einzutragen“ wäre sohin um „und gelten somit als registriert“ zu erweitern.

 

Zu § 50a Abs. 1:

Bezüglich der Videoüberwachung wird nur von einem „bestimmten Objekt“ gesprochen. Dieser Begriff sollte - der Praxis entsprechend - noch um den „bestimmten Raum“ ergänzt werden.

 

Zu § 50a Abs. 4:

Im Hinblick darauf, dass Videoüberwachung im höchstpersönlichen Lebensbereich eines Betroffenen in der Regel zu Recht ausgeschlossen sein soll, wird angeregt, sicher zu stellen, dass jene Videoüberwachung, die ausschließlich Teil einer Krankengeschichte ist (z. B. die Überwachung einer Operation), jedenfalls zulässig ist.

 

Zu § 50c Abs. 1:

Es wird angeregt, klar zu stellen, dass auch die Videoüberwachung durch einen öffentlichen Auftraggeber im hoheitlichen Bereich in Form der Echtzeitüberwachung oder auf einem analogen Speichermedium nicht der Meldepflicht unterliegt.

 

Zu § 50e:

Im Hinblick darauf, dass gespeichertes Datenmaterial - vorbehaltlich einer abweichenden Genehmigung durch die Datenschutzkommission - binnen 48 Stunden zu löschen ist, erscheint eine effektive Durchsetzung des Auskunftsrechtes eines Betroffenen aufgrund dieser Bestimmung wenig wahrscheinlich. Die Praxis hat gezeigt, dass sich Auskunftsbegehren in der Regel auf (weit) vorher liegende Zeiträume beziehen. Es ist daher zu erwarten, dass in der Mehrzahl der Fälle das angefragte Datenmaterial nicht mehr existent sein wird. Dem Betroffenen gegenüber könnte sohin der Anschein erweckt werden, der Auftraggeber wolle die betreffende Auskunft nicht erteilen. Vor diesem Hintergrund wird zur Überlegung gegeben, den Umfang des in Ansehung einer Videoüberwachung eingeräumten Auskunftsrechtes auch um die protokollierten Verwendungsvorgänge zu ergänzen.

 

Zu § 60 Abs. 4:

Hier wurde ohne nähere Begründung ein rückwirkendes In-Kraft-Treten (1. März 2008) normiert. In den Erläuterungen wird der Zeitpunkt des In-Kraft-Tretens jedoch mit 1. Juli 2008 beziehungsweise 1. Juli 2009 angegeben. Es wird davon ausgegangen, dass es sich bei der Anführung des Datums 1. März 2008 um ein Versehen handelt.

 

 

Auf folgende formelle Versehen darf noch der Vollständigkeit halber hingewiesen werden:

 

In Z 12 (§ 3 Abs. 1) wäre noch eine der in Aussicht genommenen Gliederung folgende Ergänzung der in den Klammern stehenden Verweise auf § 4 um die Absatzbezeichnung (§ 4 Abs. 1 Z 15, § 4 Abs. 1 Z 4) vorzunehmen.

In Z 40 (§ 19 Abs. 1 Z 3a) sollte es „§ 18 Z 1 bis 4“ statt „§ 18 Abs. 2 Z 1 bis 4“ heißen.

 

Im Einleitungssatz der Z 55 wäre das Wort „Die“ zu streichen; in den Erläuterungen zu dieser Ziffer wäre in der dritten Zeile des Absatzes „...§ 31 vermeidet nunmehr...“ richtigerweise auf § 1 Abs. 4 (und nicht auf § 1 Abs. 5) abzustellen.

 

In Z 82 müsste es statt „§ 50a Abs. 1 Z 5 bzw. 7 richtig „§ 50a Abs. 3 Z 5 und 7“ heißen. In den Erläuterungen zu § 50a Abs. 3 wurden offensichtlich die Ziffern  2 und 3 vertauscht; in § 50c Abs. 3 und 4 passen die Erläuterungen inhaltlich nicht zu dem vorgeschlagenen Gesetzestext.

 

Abschließend darf aus gegebenem Anlass zur bestehenden Regelung des § 8 Abs. 3 Z 1 DSG 2000 darauf aufmerksam gemacht werden, dass sich im hoheitlichen Bereich oftmals die Frage stellt, wie das Spannungsverhältnis zwischen einer gesetzlichen Regelung im Materiengesetz zur Datenverwendung und dieser Bestimmung des Datenschutzgesetzes 2000 zu lösen ist. Da das hoheitliche Handeln auch dem vorliegenden Entwurf zufolge gesetzlich determiniert sein sollte und § 8 Abs. 3 Z 1 leg. cit. sohin eine Generalklausel bei Fehlen einer gesetzlichen Regelung darstellt, müsste diese Bestimmung als lex generalis hinter die speziellere Norm zurücktreten. Wiewohl die genannte Bestimmung des Datenschutzgesetzes 2000 unverändert beibehalten werden soll, wird angeregt, anlässlich der in Aussicht genommenen Novelle eine diesbezügliche Klarstellung vorzunehmen.

 

 

                                                                      Für den Landesamtsdirektor:

 

 

                                                                              Mag. Andrea Mader

Mag. Wolfgang Fink                                           Obermagistratsrätin

Ergeht an:

1.  Präsidium des Nationalrates

 

2.  alle Ämter der Landes-

regierungen

 

3.  Verbindungsstelle der

Bundesländer

 

4.  MA 26

mit dem Ersuchen um Weiter-

leitung an die einbezogenen

Dienststellen