|
|
BALLHAUSPLATZ 2, A-1014 WIEN GZ ● BKA-817.414/0002-DSR/2010 Telefon ● (+43 1) 53115/2527 FAX ● (+43 1) 53115/2702 E-MAIL ● DSRPOST@BKA.GV.AT DVR: 0000019
|
|
An das Bundesministerium für Arbeit, Soziales und Konsumentenschutz
Per E-Mail: Begutachtung@bmask.gv.at Josef.Furtlehner@bmask.gv.at
|
|
Betrifft: Entwurf eines Bundesgesetzes, mit dem ein Informations-, Beratungs- und Unterstützungsangebot zu Arbeit und Gesundheit geschaffen wird (Arbeit-und-Gesundheit-Gesetz – AGG)
Stellungnahme des Datenschutzrates
Der Datenschutzrat hat in seiner 200. Sitzung am 15. November 2010 einstimmig beschlossen, zu der im Betreff genannten Thematik folgende Stellungnahme abzugeben:
I. Grundsätzliches
Der Datenschutzrat merkt grundsätzlich an, dass der Entwurf des Arbeit-und-Gesundheit-Gesetzes (AGG) in einigen Punkten datenschutzrechtlich bedenklich ist.
Insbesondere ist zu hinterfragen, wie es im Arbeitsbereich (Arbeitsplatz) eine Inanspruchnahme des Beratungsangebotes und eine Zustimmung zur Datenverwendung ohne faktischen Zwang geben kann. Vielmehr ist gerade in diesem Bereich davon auszugehen, dass Betroffene sich gezwungen fühlen, das Beratungsangebot in Anspruch zu nehmen, sensible Gesundheitsdaten bekanntzugeben und der Übermittlung an Dritte zuzustimmen.
Weiters fehlen dem Entwurf entscheidende Regelungen, dass jene Betroffene, die das Angebot nicht in Anspruch nehmen wollen oder die Zustimmung zur Datenverwendung verweigern, vor faktischen Nachteilen im Arbeitsbereich (aber auch im Bereich des Arbeitsmarktservices) geschützt werden. Zur Absicherung dieses Benachteiligungsverbotes und gegen die zweckwidrige Verwendung sollten entsprechende Strafbestimmungen geschaffen werden.
II. Relevante datenschutzrechtliche Bestimmungen
a) Zu § 2:
§ 2 des Entwurfes sieht vor, dass das Bundesamt für Soziales und Behindertenwesen für die Schaffung, Koordination und Aufrechterhaltung der organisatorischen Voraussetzungen für das Informations-, Beratungs- und Unterstützungsangebot zuständig ist. Das Bundesamt für Soziales und Behindertenwesen kann sich bei der Aufgabenerfüllung Dritter bedienen.
Die Bestimmung lässt jedoch offen, welcher „Dritter“ sich das Bundesamt für Soziales und Behindertenwesen bedienen kann. Insbesondere ist fraglich, ob es sich dabei um Dienstleister iSd § 4 Z 5 DSG 2000 handeln soll.
b) Zu § 4:
Nach § 4 Abs. 8 des Entwurfes haben die Behörden des Bundes, die Sozialversicherungsträger, der Hauptverband und das Arbeitsmarktservice der Steuerungsgruppe auf deren Verlangen alle vorhandenen Informationen und Unterlagen, die zur Erfüllung ihrer Aufgaben erforderlich sind, zur Verfügung zu stellen.
Die von § 4 Abs. 8 des Entwurfes vorgesehene Übermittlung von „allen vorhandenen Informationen und Unterlagen“ ist zu unbestimmt und lässt offen, ob diese Übermittlung auch (indirekt) personenbezogene oder sensible Daten umfasst.
c) Zu den §§ 7 und 8:
Grundlegendes:
§ 7 des Entwurfes sieht in Abs. 1 vor, dass die Träger des Informations-, Beratungs- und Unterstützungsangebots Daten über die in die Beratung oder in ein Case Management übernommenen Personen, insbesondere Angaben über den gesundheitlichen Zustand der Person, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden und allenfalls diagnostischen oder therapeutischen Leistungen Dritter verarbeiten dürfen, sofern dies für die Zielerreichung erforderlich ist und ihnen diese Daten von den die Beratung aufsuchenden Personen freiwillig bekanntgegeben werden. Von den Trägern des Informations-, Beratungs- und Unterstützungsangebots dürfen Auskünfte über die die Beratung in Anspruch nehmenden Personen nur mit deren Zustimmung eingeholt oder weitergegeben werden. Die verarbeiteten Daten dürfen nicht an Dritte (ausgenommen gemäß Abs. 2) übermittelt werden. Die Sozialversicherungsnummer der in die Beratung oder in ein Case Management übernommenen Personen ist nur für Zwecke des Abs. 2 zu verwenden. Nach dieser Bestimmung sind die Sozialversicherungsnummer sowie weitere Daten, wie insb. Daten über Art und Ausmaß einer die Arbeitsfähigkeit nachhaltig beeinflussenden gesundheitlichen Einschränkung, der in die Beratung oder ins Case Management übernommenen Personen vom Träger des Informations-, Beratungs- und Unterstützungsangebots an den Hauptverband zur Pseudonymisierung zu übermitteln.
Rechtsgrundlage für die Datenverwendung:
Nach § 4 Z 14 DSG 2000 ist eine Zustimmung die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt. Bei Verwendung sensibler Daten, wie im vorliegenden Fall im Hinblick auf die Verwendung von Gesundheitsdaten des Betroffenen, fordert § 9 Z 6 DSG 2000, dass der Betroffene seine Zustimmung zur Verwendung der Daten ausdrücklich erteilt.
Die in § 7 Abs. 1 des Entwurfes vorgesehene gesetzliche Regelung, die auf einer Datenverwendung auf Basis der Zustimmung aufbaut, erscheint im Hinblick auf § 1 Abs. 2 DSG 2000 als zu wenig determiniert. So ist aufgrund der weiten und exemplarischen Formulierung in Abs. 1 („Daten über die Beratung […], insbesondere Angaben über den gesundheitlichen Zustand der Person, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden und allenfalls diagnostischen oder therapeutischen Leistungen Dritter […]“) unklar, welche sensiblen Daten überhaupt verwendet werden dürfen. Gerade bei Verwendung sensibler Daten ist eine möglichst exakte und abschließende Aufzählung der Datenarten gefordert.
Im vorliegenden Fall bleibt auch unklar, wie die Zustimmung des Betroffenen konkret ausgestaltet werden soll. Die Formulierung des § 7 Abs. 1 ist zudem derart komplex, dass für den Betroffenen kaum erkennbar sein wird, wozu er die Zustimmung erteilen soll, weshalb die geforderte Kenntnis der Sachlage im konkreten Fall fraglich erscheint. Dies auch deswegen, weil aus dem Gesetzeswortlaut nicht hervorgeht, wer „Träger des Informations-, Beratungs- und Unterstützungsangebots“ ist und wer somit die Übermittlungen nach § 7 Abs. 1 des Entwurfes vorzunehmen hat. Soweit es sich dabei nicht um Ärzte oder medizinisch geschulte Personen handelt, ist überdies fraglich, wie eine entsprechende Beratungsleistung für den konkret Betroffenen erbracht werden soll. Ebenso lässt der Gesetzeswortlaut völlig offen, welche Personen als „Dritte“ iSd § 7 Abs. 1 des Entwurfes in Betracht kommen, weswegen auch nicht davon ausgegangen werden kann, dass der Betroffene die Sachlage ausreichend genug kennen kann.
Äußerst fraglich ist weiters, ob im vorliegenden Fall von einer Zustimmung ohne Zwang ausgegangen werden kann. Im besonders heiklen Arbeitsbereich muss in der Regel von einem starken faktischen Zwang ausgegangen werden, weil der Betroffenen im Arbeitsleben sowie im Bereich des Arbeitsmarktservices mit Nachteilen gerade zu rechnen muss.
Vordergründig fehlt daher eine elementare Bestimmung, die Nachteile für Personen, die das Beratungsangebot nicht in Anspruch nehmen, vorweg und vollständig ausschließt.
Auch ist anzumerken, dass in Abs. 1 nur von der „freiwilligen“ Bekanntgabe ausgegangen wird. Für eine Verwendung der Daten des Betroffenen würde es jedoch einer ausdrücklichen Zustimmung des Betroffenen bedürfen. Überdies ist aus Abs. 1 nicht klar erkennbar, ob auch eine Zustimmung zur Übermittlung der Daten nach Abs. 2 eingeholt werden muss. Aus datenschutzrechtlicher Sicht müsste auch in diesem Fall eine ausdrückliche Zustimmung des Betroffenen vorliegen, die der Entwurf jedoch nicht vorsieht.
Im Zusammenhang mit der Rechtsgrundlage ist anzumerken, dass eine gesetzliche Lösung, selbst dann, wenn sie die Zustimmung des Betroffenen voraussetzt, dennoch verhältnismäßig ausgestaltet werden muss. Es wäre zu hinterfragen, ob die in § 7 des Entwurfes vorgesehenen Datenverwendungen zur Erreichung des Zwecks tatsächlich erforderlich sind oder iSd Verhältnismäßigkeitsgrundsatzes gemäß § 1 Abs. 2 DSG 2000 ein gelinderes, zum Ziel führendes Mittel möglich ist.
Pseudonymisierung:
Nach § 8 Abs. 1 des Entwurfes hat der Hauptverband eine nicht rückführbare Pseudonymisierung der ihm von den Trägern des Informations-, Beratungs- und Unterstützungsangebots, von Sozialversicherungsträgern, Behörden des Bundes oder vom Arbeitsmarktservice zum Zweck wissenschaftlicher oder statistischer Untersuchungen betreffend das Informations-, Beratungs- und Unterstützungsangebot übermittelten personenbezogenen Daten vorzunehmen.
Der Hauptverband hat die nach Abs. 1 pseudonymisierten Daten zu speichern und zum Zweck der Evaluierung selbst Auswertungen der pseudonymisierten Daten vorzunehmen oder diese Dritten, die durch die Steuerungsgruppe mit der Evaluierung oder Forschung über die Wirkungen des Informations-, Beratungs- und Unterstützungsangebots beauftragt wurden, zu überlassen. Die pseudonymisierten Daten sind 30 Jahre aufzubewahren und danach zu löschen.
Zum Zwecke wissenschaftlicher und statistischer Untersuchungen sind die erforderlichen Daten von den Sozialversicherungsträgern auf Ersuchen und nach Überlassung der Sozialversicherungsnummer durch das Bundesamt für Soziales und Behindertenwesen zur Pseudonymisierung an den Hauptverband zu übermitteln. Unter diesen Daten finden sich auch die Sozialversicherungsnummer sowie Angaben über Beschäftigungs- und Krankenstandstage (einschließlich Diagnose und Aufwand für Krankengeld).
Nach den Erläuterungen zum Entwurf soll die Verringerung der Invalidisierung erreicht werden, weshalb bei der Evaluierung lange Zeiträume zu untersuchen sind. Zielgruppe des Informations-, Beratungs- und Unterstützungsangebots sollen Personen ab 40 Jahren, die im Jahr über 40 Krankenstandstage aufweisen, sein. Um das Ausmaß einer späteren Invalidisierung dieser Personengruppe im Vergleich zu einer Kontrollgruppe auswerten zu können, ist jedenfalls ein Zeitraum von bis zu 30 Jahren zu untersuchen. Aus diesem Grund sei auch eine 30-jährige Speicherung der pseudonymisierten Daten erforderlich; andernfalls könnten keine wissenschaftlichen oder statistischen Untersuchungen über die langfristige Wirkung des Informations-, Beratungs- und Unterstützungsangebots erfolgen.
Zur Pseudonymisierung ist im Zusammenhang mit § 8 Abs. 1 des Entwurfes anzumerken, dass aus der Bestimmung nicht hervorgeht, wie eine nicht rückführbare Pseudonymisierung vorgenommen werden soll, zumal die Daten des Betroffenen offenbar zusammen mit der Sozialversicherungsnummer übermittelt werden.
Zu den §§ 7 Abs. 2 und 8 Abs. 3 des Entwurfes und der in diesen Bestimmungen vorgesehenen Verwendung der Sozialversicherungsnummer zur Übermittlung der Daten an den Hauptverband zur Pseudonymisierung ist anzumerken, dass eine Pseudonymisierung bzw. Schaffung eines indirekten Personenbezuges iSd § 4 Z 1 DSG 2000 voraussetzt, dass der Personenbezug der Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann. Es ist dem Entwurf jedoch nicht zu entnehmen, ob die Sozialversicherungsnummer wegfällt oder im Rahmen der Statistik weiter verwendet wird. Nachdem davon auszugehen ist, dass der Hauptverband über die Sozialversicherungsnummer die sensiblen Daten einer konkreten Person zuordnen kann, handelt es sich in diesem Fall um personenbezogene Daten iSd § 4 Z 1 DSG 2000.
Die Formulierung „[…] ohne Anschluss sonstiger personenbezogener Daten […]“ in § 7 Abs. 2 Z 2 sollte zudem präzisiert werden.
Statistik:
Vorweg ist anzumerken, dass die Aussagekraft der Statistik fraglich ist, da diese nur aufgrund von „freiwillig“ bekanntgegebenen Daten basiert und damit der Konzeption des Gesetzes nach nur einen Teil der betroffenen Fälle erfassen kann. Zudem ist fraglich, worin in diesem Regelungsbereich das wichtige öffentliche Interesse zur Verwendung gesundheitsbezogener Daten ist besteht.
Im Hinblick auf die Erstellung einer Statistik nach § 8 Abs. 2 mit den (für den Hauptverband) personenbezogenen Daten ist darauf hinzuweisen, dass § 46 Abs. 5 DSG 2000 vorgibt, dass auch in jenen Fällen, in welchen die Verwendung von Daten für Zwecke der wissenschaftlichen Forschung oder Statistik in personenbezogener Form zulässig ist, der direkte Personenbezug unverzüglich zu verschlüsseln ist, wenn in einzelnen Phasen der wissenschaftlichen oder statistischen Arbeit mit nur indirekt personenbezogenen Daten das Auslangen gefunden werden kann.
Mangels entsprechender Angaben zur Erforderlichkeit eines direkten Personenbezugs für die Statistik im vorliegenden Fall, müsste die Statistik gemäß § 46 Abs. 5 DSG 2000 mit indirekt personenbezogenen Daten geführt werden. Weiters ist nicht nachvollziehbar, weshalb die Daten in der Statistik über einen Zeitraum von 30 Jahren personenbezogen gespeichert werden sollen. Nach den Vorgaben des § 46 Abs. 5 DSG 2000 müsste der Personenbezug der Daten gänzlich beseitigt werden, wenn er nicht mehr zur Zweckerreichung notwendig ist. Fraglich ist auch, ob durch die „nicht rückführbare Pseudonymisierung“ in § 8 Abs. 1 eine Beseitigung auch des indirekten Personenbezuges gemeint sein soll.
Die Bestimmung des § 8 Abs. 2 des Entwurfes lässt offen, welche konkreten Evaluierungen und welche Auswertungen (nach welchen Kriterien und zu welchem Zweck) der Hauptverband vornehmen muss und an welche „Dritte“ diese Daten überlassen werden können und ob es sich dabei um einen Dienstleister handeln soll.
Im Hinblick auf § 8 Abs. 3 des Entwurfs ist unklar, welche konkreten wissenschaftlichen und statistischen Untersuchungen von der Bestimmung umfasst sein sollen. Dies insbesondere vor dem Hintergrund, dass für die Statistik nur jene Daten verwendet werden dürfen, die zur Erreichung des Zwecks erforderlich sind. Problematisch erscheint hierbei auch die in § 8 Abs. 3 Z 1 lit. d genannte Diagnose, die zum einen ein sensibles Datum darstellt und zum anderen aufgrund der einzellfallbezogenen Komplexität nur schwer in eine Statistik eingegliedert werden könnte.
Als Lösungsansatz bietet sich im Rahmen dieser datenschutzrechtlichen Vorgaben an, die Übermittlungen zum Zweck der Erstellung der Statistik nicht mit der Sozialversicherungsnummer, sondern dem bereichsspezifischen Personenkennzeichen vorzusehen, wobei der indirekte Personenbezug gänzlich zu beseitigen ist, sobald er für die wissenschaftliche oder statistische Arbeit nicht mehr notwendig ist. Die Statistik selbst sollte daher in der Folge nur mehr anonymisiert und aggregiert geführt werden.
Löschungsfristen:
§ 7 Abs. 4 des Entwurfes sieht vor, dass sämtliche von den Trägern des Informations-, Beratungs- und Unterstützungsangebots verarbeiteten personenbezogenen Daten (gemäß § 7 Abs. 1 und 2 des Entwurfes) spätestens drei Jahre nach Beendigung der Beratungsleistung oder des Case Managements zu löschen sind. Verarbeitete Daten gemäß Abs. 3 sind spätestens fünf Jahre nach Beendigung der Beratungsleistung zu löschen.
Die von § 7 Abs. 4 vorgesehenen Löschungsfristen müssen iS von § 1 Abs. 2 DSG 2000 verhältnismäßig sein.
Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen (§ 27 DSG 2000; VfGH 16.03.2001, G94/00 ua).
Die Daten müssten daher aus Sicht des Datenschutzrates schon vor der in § 7 Abs. 4 festgelegten höchstzulässigen Aufbewahrungsdauer gelöscht werden, wenn sie für den angegebenen Zweck nicht mehr benötigt werden.
16. November 2010
Für den Datenschutzrat
Der Vorsitzende:
MAIER
Elektronisch gefertigt