An das

Bundeskanzleramt, Verfassungsdienst

Präsidium des Nationalrates

- per E-Mail -

 

 

Sehr geehrte Damen und Herren,

 

als Universitätsdozent für Infomationsverarbeitung und -recht bin ich beruflich natürlich auch mit dem Datenschutzrecht befasst. Nachdem meine Hörerinnen und Hörer nicht solche der Rechtswissenschaften, sondern solche aus dem Bereich der Wirtschaftswissenschaften bzw. der Informatik (einschließlich Wirtschaftsinformatik) sind, darf ich anregen, einige Begriffe hinsichtlich Ihrer Verständlichkeit zu überprüfen.

 

Mehrere Definitionen sind ja bereits für eine Überarbeitung vorgesehen; Quellen häufiger Missverständnisse sind aber vor allem auch die Begriffe "Datei" und "Datenanwendung", bei denen - außer der Streichung des Klammerausdrucks (Datenverarbeitung) - keine Änderungen vorgesehen sind.

 

Das Problem des Begriffes "Datei" besteht insbesondere darin, dass dieser Begriff mit der Bedeutung einer elektronischer Speicherung eines Dokuments "vorbelegt" ist, während das Datenschutzgesetz genau dieses nicht meint, sondern eben auch "konventionelle" Speicherformen damit erfassen will.

Das zweite Merkmal der Verwirrung besteht darin, dass Dateien in der IT-Welt ganz überwiegend aus - zumindest aus Benutzersicht - unstrukturierten Daten bestehen, während das Datenschutzgesetz ebenfalls wieder das Gegenteil darunter versteht. Wenn sogar der Verwaltungsgerichtshof (vgl. VwGH, GZ 2004/06/0086, S. 10) die Kommentarmeinung zitiert, dass der Wille des Gesetzgebers nicht eindeutig sei, ohne sich davon abzugrenzen, sollte dies doch ein deutlicher Hinweis für den Gesetzgeber sein, seine Ansicht klarzustellen.

 

Ohnehin schon sehr unbestimmt ist der Begriff der Datenanwendung - und das wird aus meiner Sicht durch die Weglassung des Hinweises auf die frühere Definition, die doch deutlich klarer war, nicht verbessert.

 

Die Begriffe in § 4 (u. a. eben der der Datenanwendung) sollen nach den Erläuterungen nunmehr „in neutraler Art“ definiert werden.

 

Wenn jemand daher z. B.

- die Häuser seiner Nachbarn fotografiert (altmodisch, mit "analogem"

Fotoapparat")

- den Film entwickeln und Papierbilder herstellen läßt

- diese Fotos dann mit einer Schere zuschneidet,

- in ein Fotoalbum einklebt und

- das Datum der Aufnahme sowie die Namen der aktuellen Eigentümer dazuschreibt,

 

dann handelt es sich

- um personenbezogene Daten (Eigentum ist Angabe über das Vermögen)

- um in ihrem Ablauf logisch verbundene Verwendungsschritte,

   - nämlich z. B. das Ermitteln,  Vervielfältigen, Verändern, Aufbewahren, Ordnen der Fotos

- zur Erreichung eines inhaltlich bestimmten Ergebnisses (Dokumentation der Wohnumgebung für ...) um eine Datenanwendung, wenn auch nur ein Schritt maschinell erfolgt, also etwa die Begleittexte mit einem Textverarbeitungsprogramm erstellt werden.

Auch die Verwendung eines digitalen Fotoapparats, d. h. die programmgesteuerte Anfertigung der Bilder und Ihre Vervielfältigung auf Papier würde nach dem Wortlaut eine Datenanwendung begründen.

 

Das ist die aus Sicht eines Nicht-Juristen konsequente Anwendung der angeführten Definition - offenbar aber nicht gemeint. Es ist ja wohl nicht davon auszugehen, dass die in der zitierten Entscheidung des VwGH (ohne auch nur darauf einzugehen) nicht als Datenanwendung qualifizierten Akten alle mit Hand geschrieben wurden und daher nicht zumindest in einem Schritt, nämlich dem der Textbearbeitung, "Automatisationsunterstützung" vorlag.

 

Die vorliegende Definition umschreibt daher die wesentlichen Merkmale der Abgrenzung nicht vollständig in einer Form, die typischen Anwendern und Softwareentwicklern den Inhalt offenbart; es bedarf eines komplexen Interpretationsgebäudes, um selbst einfache Fragestellungen wie etwa die eines Protokoll- oder Postbuchs (siehe den oben angeführten Fall des

VwGH) richtig zu beantworten und einer - aus Sicht einer IT-Anwendung - künstlichen Trennung, um zu diesem Ergebnis zu gelangen.

 

Und - würde das Ergebnis (nicht?) anders ausfallen,

- wenn der "Papierakt" (siehe ebenda, S.10, letzter Absatz) eingescannt würde und

- auch nur in einer Form, die elektronisch nicht suchbar ist ("Bild-Datei"), sondern Seite für Seite gelesen werden muss, abgelegt würde?

Wenn die Regelungen technologieneutral sein sollen (so Erwägungsgrund

27 der Richtlinie), dann sollten für eine solche Anwendung keine anderen Regelungen gelten als für "Papierakten".

Dass die Metadaten zu diesen Akten dem Datenschutz unterliegen, ist unzweifelhaft - aber wie umfassend ist die "Summe der Verwendungsschritte" zu ziehen?

 

Die zunehmende Verwendung von Daten aus dem Internet, die in ihrem ursprünglichen Kontext unproblematisch erscheinen mag, kann aber sehr schnell aus Datenschutzsicht kritisch werden. Diese Situtation, die etwa an Personensuchmaschinen (siehe http://www.123people.at/) schon in Ansätzen erkennbar ist, wird noch viel gravierender, wenn man Suchmaschinen auf Basis von Semantic-Web-Technologien auf - einzeln betracht  - harmlose Informationen aufbauen kann, die ihrerseits mit Metainformationen angereichert sind (oder automatisert werden) und daher eine tatsächlich inhaltliche Verknüpfung personenbezogener Daten erlauben.

 

 

 

Zur Frage nach dem Datenschutz-Gütesiegel ist meine Ansicht unentschieden. Das Problem besteht aus meiner Sicht darin, dass es beim Datenschutz nicht auf ein einziges Produkt bzw. eine Softwarelösung ankommt, die zertifiziert werden kann, sondern auf ein komplexes Zusammenwirken von Technik und Menschen, die diese Technik anwenden.

Eine Gütesiegel für das zukünftige Handeln von Menschen ist für mich schwer vorstellbar - und damit trägt ein Gütesiegel immer die Gefahr in sich, sich als "falsch" herauszustellen, was dem Datenschutz mehr schaden als nützen könnte.

Zweifellos gibt es aber am Markt eine Nachfrage nach einem "Ausweis"

von vorbildlichem Verhalten und dieses Bedürfnis steigt sicherlich in einem globalisierten - also immer unbekannteren - E-Business-Umfeld.

Wenn man also das Siegel im Sinne des Bestätigungsvermerks der Wirtschaftsprüfer vergangenheitsorientiert gestaltet, dann könnte das die Bedenken zumindest großteils ausräumen.

Es ist aber darauf hinzuweisen, dass es bereits solche Initiativen auch ohne eine gesetzliche Regelung gibt - und es erscheint mir daher auch nicht unbedingt notwendig, dafür im Moment eine gesonderte rechtliche Grundlage zu schaffen. Die rechtliche Festschreibung der Anforderungen an die digitale Signatur hat aus meiner Sicht erwiesen, dass gesetzliche Festschreibungen keine Garantie für einen Markterfolg sind; betrachtet man etwa die für HTTPS notwendigen Serverzertifikate, dann stammen die meisten von Organisationen, die außerhalb der Anwendung des Signaturgesetzes bzw. der -richtlinie agieren.

 

 

Freundliche Grüße

 

 

Höller