|
Fachbereich Öffentliches Recht Verfassungs- und Verwaltungsrecht
ao.Univ.-Prof. Dr. Dietmar Jahnel
|
|
Kapitelgasse 5-7 A-5020 Salzburg
Tel. +43 (0)662 8044-3635 Fax +43 (0)662 8044-303 EMail: Dietmar.Jahnel@sbg.ac.at
|
|
21. Mai 2008
Stellungnahme zu ausgewählten Punkten des Begutachtungsentwurfs zu einer DSG-Novelle 2008
BKA-810.026/0002-V/3/2008
Zu § 1 Abs 1
Die Abschaffung des Grundrechtsschutzes für juristische Personen bedeutet eine empfindliche Einschränkung des Rechtsschutzes zB hinsichtlich von Geschäfts- und Betriebsgeheimnissen. Ohne nähere Begrünung („europaweiter Trend“) ist keine unmittelbare Veranlassung für die Anpassung an ein niedrigeres Schutzniveau in anderen europäischen Ländern ersichtlich.
Die
grundsätzliche Ausnahme allgemein verfügbarer Daten vom
Anwendungsbereich des Grundrechts auf Datenschutz sollte - ebenso wie die
Privilegierung von „zulässigerweise veröffentlichten Daten in
§ 8 Abs 2 - überdacht werden.
Der damit verbundene Entfall des Grundrechtsschutzes bei derartigen Daten bzw
die unbeschränkte Zulässigkeit ihrer Weiterverwendung ist in mehreren
Konstellationen bedenklich:
- Bei Datenverwendung im Internet, wie zB in diversen Foren und
Diskussionsplattformen
- aber auch bei allem öffentlichen Registern wie Grundbuch, Firmenbuch,
Insolvenzdatei, Melderegister etc.
Zu § 1 Abs 2:
Die vorgeschlagene Formulierung ist insofern missverständlich, als nunmehr unklar ist, in welchem Bezug die „staatlichen Beschränkungen“ in Satz 2 zu den 3 Eingriffstatbeständen von Satz 1 steht. Lediglich die zweimalige Verwendung des Wortes „Beschränkungen“ deutet darauf hin, dass eine gesetzliche Determinierung im Fall eines staatlichen Eingriffs nur beim 3. Eingriffstatbestand notwendig ist. Eine staatliche Beschränkung kann aber durchaus auch im lebenswichtigen Interesse einer Person erfolgen, soll aber in diesem Fall wohl - wie bisher - keiner gesetzlichen Determinierung bedürfen.
Alternativvorschlag Formulierung § 1 Abs 2:
Beschränkungen
des Anspruchs auf Geheimhaltung sind nur zulässig
1. im lebenswichtigen Interesse des Betroffenen oder eines Dritten
2. mit Zustimmung des Betroffenen
3. zur Wahrung überwiegender berechtigter Interessen eines anderen.
Im 3. Fall dürfen Eingriffe durch staatliche Behörden nur auf Grund
von Gesetzen erfolgen, die …. notwendig sind. Wenn ein derartiges Gesetz die
Verwendung von besonders schutzwürdigen Daten vorsieht, müssen zusätzlich
angemessene Garantien für den Schutz der Geheimhaltungsinteressen der
Betroffenen festgelegt wegen. Auch zulässige Beschränkungen
dürfen nur in der gelindesten zum Ziel führenden Art vorgenommen
werden.
Anmerkung:
Der Begriff „Staatliche Beschränkungen“ ist ebenso nirgends
definiert wie „staatliche Behörde“. Lt Erläuterungen soll
durch den Begriff „staatliche Eingriffe“ in Abs. 2
klargestellt werden, dass auch Eingriffe im Rahmen der schlichten Hoheitsverwaltung
und auch durch „Beliehene Private“ einer gesetzlichen
Determinierung bedürfen. Dies war aber schon bisher das Ergebnis der
Auslegung des Begriffes „staatliche Behörde“ (vlg Jahnel in FS
Schäffer, 331). Daher erscheint diese Änderung entbehrlich.
Die nochmalige Anführung „zur Wahrung wichtiger öffentliche
Interessen“ ist entbehrlich, da diese ja bereits durch den Verweis auf
Art 8 Abs 2 MRK gewährleistet sind.
Zu § 4 Z 4 und 5
Begriff
des Auftraggebers und des Dienstleisters.
Die vorgeschlagene Neuregelung bringt in etlichen Anwendungsbeispielen eine
erhebliche Ausweitung des Dienstleiterbegriffes mit sich, nämlich immer
dann, wenn Daten „zur Herstellung eines aufgetragenen Werkes“
verwendet werden. Bislang wurden darunter auch Fälle der Übergabe von
Daten an freie Berufe wie Wirtschafttreuhänder und Rechtsanwälte bzw
an Inkassobüros verstanden. Ich vermag die Neuregelung nur so zu lesen,
dass nunmehr der Klient eines Rechtsanwalts, der diesem seine Daten zur
Geltendmachung eines Rechtsanspruch (= Herstellung eines Werkes) übergibt,
datenschutzrechtlicher Auftraggeber bleibt, währen der Rechtsanwalt
lediglich die Stellung eines Dienstleisters hat. Damit wäre der Klient (!)
weiterhin für die Zulässigkeit der Datenverwendung und für die
Betroffenenrechte verantwortlich, ohne einen faktischen Zugriff auf den verarbeiteten
Datenbestand zu haben. Das gleiche gilt für etliche weitere freie Berufe
und Gewerbebetriebe.
Es erscheint daher eine Klarstellung hinsichtlich des Übergangs der Auftraggebereigenschaft in all diesen Fällen dringend erforderlich. Nach der DSRL kommt es auf die Entscheidung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten an.
Zu § 4 Z 7
Der Begriff der Datenanwendung sollte an den weiteren Begriff der Verarbeitung in Art 2 lit a) DSRL angepasst, werden (oder ohne Hilfe automatisierter Verfahren)
Zu § 4 Z 8
Im DSG wird fast überall von „Verwendung von Daten“ gesprochen, bei den Begriffsbestimmungen wird aber das „Verwenden von Daten“ definiert. Wenn das Gleiche gemeint ist, sollte auch die gleiche Wortwahl getroffen werden.
Zu § 7 Abs 2 Z 2
Die Prüfung der rechtlichen Befugnis des Empfängers ist im Falle der Veröffentlichung von Daten nach dieser Formulierung nicht möglich. Wer ist Empfänger (die Öffentlichkeit?), woher soll sich die rechtliche Befugnis ableiten lassen?
Zur Zeit ist die Zulässigkeit einer Veröffentlichung nur durch telelogische Reduktion dieser Ziffer möglich. Hier wäre eine Klarstellung sinnvoll, dass die die Z 2 bei einer Veröffentlichung nicht zur Anwendung kommt.
Zu § 8 Abs 2:
Zur
Privilegierung der zulässigerweise veröffentlichen Daten siehe die
Anmerkungen zu § 1 Abs 1.
Die Privilegierung von indirekt personenbezogenen Daten findet nach
verbreiteter Meinung keine Deckung in der DSRL und sollte daher gestrichen
werden.
Zu § 9 Z 2, Z 7, Z 8 :
Die Privilegierung von indirekt personenbezogenen Daten ist durch die DSRL nicht gedeckt und damit europarechtswidrig.
Die Gelegenheit sollte genützt werden, um die Auslegungsprobleme zu beseitigen, die wegen der nur teilweisen bzw leicht abweichenden Übernahme der Vorgaben der DSRL in Z 7 und Z 8 bestehen.
Zu § 14 Abs 3
Der Gesetzeswortlaut „Nicht registrierte Übermittlungen aus Datenanwendungen“ ist unverständlich, da Übermittlungen ja nicht registriert werden. Es wir eine Umformulierung in „Übermittlungen aus nicht registrierten Datenanwendungen“ empfohlen.
Zu § 17 Abs 1a
Unverständlich
und nicht gerade bürgerfreundlich erscheint die Regelung, wonach in Zukunft
Registrierungen nur mehr elektronisch mittels "Bürgerkarte"
eingebracht werden können.
Es sollte jedenfalls vorgesehen werden, dass Anträge an das
Datenverarbeitungsregister alternativ auf mehreren Wegen, jedenfalls per Post,
Fax und eMail eingebracht werden können.
Zur Meldepflicht allgemein:
Zum wiederholten Male erlaube ich mir darauf hinzuweisen, dass zur Zeit die Datenverwendungen von Rechtsanwälten nach § 18 vorabkontrollpflichtig sind (weil sie so gut wie immerstrafrechtlich relevante und auch sensible Daten enthalten). Eine Aufnahme der Rechtsanwälte unter die Standardanwendungen wäre daher dringend geboten
Weiter wird darauf hingewiesen, dass nach dem DSG zur Zeit fast jede private Homepage und jedenfalls alle Firmenhomepages mit Mitarbeiterdaten meldepflichtig sind!
Zu § 26 Abs 4
Frist von 8 Wochen steht mit den Vorgaben der DSRL in einem Spannungsverhältnis („ohne zumutbare Verzögerung“) und sollte auf 4 Wochen verkürzt werden.
Zu § 28 Abs 2:
Es empfiehlt sich eine Klarstellung, was beim Widerspruchsrecht, das ohne Begründung ausgeübt werden kann, unter „öffentlich zugängliche Datei“ zur verstehen ist. Ein Spannungsverhältnis besteht insbesondere zu den Bonitätsdatenbanken von Auskunfteien über Kreditverhältnisse nach § 152 GewO.
Zu § 33 Abs 1
Es sollte durch Entfernung des BGBl-Zitates klargestellt werden, dass es sich beim Verweis auf das MedG um einen dynamischen und keinen statischen Verweis handelt.
Zu § 50a
Es
erscheint sprachlich nicht besonders glücklich gelöst, dass unter
„Objekt“ auch Menschen, also Subjekte gemeint sind.
Unklar ist, worauf sich der Verweis „im Hinblick auf Ereignisse nach Abs.
1“in Abs 2 bezieht.
Zu § 50c Abs 2:
Verweise sind wohl auf § 50a Abs 3 gemeint.