2270/J XXVII. GP

Eingelangt am 10.06.2020
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

 

der Abgeordneten Sepp Schellhorn, Douglas Hoyos, Kolleginnen und Kollegen

an den Bundesminister für Finanzen

betreffend "Weitergabe personenbezogener Daten durch die COFAG an privates Marketingunternehmen eines Wirtschaftsbund-Funktionärs"

 

In einem Dokument mit dem Namen "Informationen zur Verarbeitung personenbezogener Daten bei Antragstellung" informiert die COVID-19 Finanzierungsagentur des Bundes GmbH (COFAG) Antragsteller_innen über die Weitergabe der personenbezogenen Daten an Dritte. (Dieses Dokument findet sich auf der Webseite COFAG unter dem Link https://www.fixkostenzuschuss.at/wp-content/uploads/2020/05/Datenschutzhinweis-Fixkostenzuschuss_Final.pdf)

Nachvollziehbar ist die Weitergabe der personenbezogenen Daten an den Bundesminister für Finanzen, das Bundesrechenzentrum, die Buchhaltungsagentur des Bundes, die Agentur für Rechnungswesen sowie die jeweils kontoführende Bank.

Nicht nachvollziehbar ist auf den ersten Blick die Weitergabe der personenbezogenen Daten an eine private Gesellschaft, die Telemarkting betreibt. Hierbei handelt es sich um die in Linz ansässige MMM Multi-Media-Marketing Austria GmbH (M3), die dem öberösterreichischen Wirtschaftsbund-Funktionär Dipl.-Ing. Günther Haffner, MBA gehört. 

Die unterfertigten Abgeordneten stellen daher folgende

Anfrage:



1.     Warum ist ein Callcenter Empfänger von personenbezogenen Daten?

2.    Welche Informationen umfasst der in dem vorher genannten Dokument verwendete Begriff "personenbezogene Daten" im Detail?

a.    Welche Daten werden im Fall von Privatpersonen übermittelt?

b.    Welche Daten werden im Fall von juristischen Personen übermittelt?

3.    Besteht ein aktives Vertragsverhältnis zwischen COFAG und M3 bzw. ist geplant ein solches in Zukunft einzugehen?

a.    Wenn ja:

                                  i.    Wann wurde der Vertrag unterzeichnet bzw. ist geplant diesen zu unterzeichnen?

                                ii.    Wie lange ist seine Laufzeit?

1.    Existiert eine Verlängerungsoption?

a.    Wenn ja: Wie lautet deren Bedingungen?

                               iii.    Zu welchem Zweck wurde bzw. wird der Vertrag geschlossen?

                               iv.    Was sind die aus dem Vertrag ableitbaren Rechte und Pflichten der COVAG?

                                 v.    Was sind die aus dem Vertrag ableitbaren Rechte und Pflichten der M3?

                               vi.    Wie ist die Zahlung der Entgelte strukturiert?

                              vii.    Wie hoch sind die im Vertrag vereinbarten Entgelte pro Jahr?

                             viii.    Gibt es eine Klausel, die regelt, dass M3 nur bei zufriedenstellender Leistungserbringung Anrecht auf ein Entgelt hat?

1.    Wenn ja: Wie ist diese strukturiert?

2.    Wenn nein: Wie wird begründet, dass man sich gegen das Risiko unzufriedenstellender Leistungserbringung nicht absichert?

                               ix.    Wie ist der Umgang mit den zu Verfügung gestellten sensiblen Daten durch die M3 bzw. der Mitarbeiter_innen des Unternehmens geregelt? 

1.    Wer hat auf diese Daten Zugriff?

2.    Durch welche Maßnahme wird sichergestellt, dass nur autorisierte Personen Zugriff auf diese Daten haben?

3.    Bedeutet "Zugriff auf diese Daten zu haben", dass im Rahmen einer Suchfunktion jede in der Datenbank enthaltene Person bzw. Unternehmen abgefragt werden kann?

4.    Werden tägliche Aufzeichnungen zusammengestellt aus denen klar ersichtlich ist wer zu welcher Zeit welche Daten abgefragt hat?

a.    Wenn ja:

                                                                                  i.    In welcher Form und Häufigkeit werden diese erstellt?

                                                                                ii.    Wird über Stichproben kontrolliert, ob die autorisierten Personen die abgefragten Daten auch tatsächlich für ihre Arbeit (Kundenbetreuung) gebraucht haben?

b.    Auf Basis welcher Argumente und Überlegungen wurde auf solche Aufzeichnungen und damit auf die Kontrollmöglichkeit der Datennutzung verzichtet?

                                 x.    Ist der M3 die Datenweitergabe erlaubt?

1.    Wenn ja: An welche Empfänger unter welchen Bedingungen zu welchem Zweck?

2.    Wenn nicht: Gibt es ein explizites Verbot der Datenweitergabe in dem Vertrag?

                               xi.    Wurde dieser Vertrag ausgeschrieben?

1.    Wenn ja:

a.    Wann und in welcher Form fand die Ausschreibung statt?

b.    Wie viele Bewerbungen trafen ein?

c.    Auf Basis welcher Struktur fand die Bestbieterauswahl statt?

d.    Welche Personen nahmen an der Analyse der Angebote teil?

e.    Gab es zwischen den an der Analyse beteiligten Personen Einstimmigkeit in Bezug auf die Wahl des Bestbieters?

                                                                                  i.    Wenn nicht: Welche Personen haben aus welchen Gründen nicht zugestimmt?

2.    Wenn nicht:

a.    Aus welchen Gründen wurde auf eine Ausschreibung verzichtet?

b.    Wie wurde die COFAG auf die M3 aufmerksam?

c.    Gaben Personen Empfehlungen - formell oder informell - für die M3 ab?

d.    Wurde auch ohne Ausschreibung ein Vergleich des Angebots der M3 mit Marktpreisen durchgeführt? 

                              xii.    Da die M3 indirekt zur Gänze dem oberösterreichischen Wirtschaftskammerfunktionär Dipl.-Ing. Günther Haffner, MBA gehört, stellt sich die Frage ob die Wirtschaftskammer auf irgendeine Weise in das Zustandekommen des Vertrags involviert war? (Der Term "auf irgendeine Weise" ist sehr breit gefasst und trifft auch dann zu, wenn ein WK-Funktionär das BMF oder eine Person, die direkt oder indirekt mit dem BMF in Verbindung stand, auf die Existenz der M3 aufmerksam gemacht hat.) 

                             xiii.    Waren Personen eines anderen Ministeriums auf irgendeine Weise in das Zustandekommen des Vertrags involviert?

                             xiv.    Gab es Personen, denen im Rahmen des Zustandekommen des Vertrages ein Entgelt bezahlt wurde? (Vermittlungsprovisionen, Finders Fee, etc.)

1.    Wenn ja: Welche Personen wurden für welche Leistung in welcher Höhe entlohnt?

                              xv.    Hat die M3 das Recht die in dem Vertrag vereinbarten Leistungen an Dritte auszulagern?

1.    Wenn ja: An wen?

4.    Verlangen die internen Richtlinien des BMF (oder einer seiner Organisationen wie z.B. die Finanzämter), dass generell bei der Weitergabe von personenbezogenen Daten bestimmte Kontrollen bzw. Beaufsichtigungen erfolgen sollten?

a.    Wenn ja: Wie sehen diese aus?

5.    Auf welche technische Weise erfolgt die Weitergabe solcher Daten normalerweise?

a.    Wird die Datenbank periodisch elektronisch an die M3 geschickt?

b.    Sind diese Daten in einer "Cloud" abgespeichert?

c.    Sind diese Daten auf Servern des BMF (oder einer seiner Organisationen wie z.B. die Finanzämter) gespeichert auf die der M3 elektronisch Zugriff gewährt wird? (z.B. über eine VPN Verbindung)

6.    Wie bzw. warum hat man sich für die verwendete Methode entschieden?

a.    Waren IT-Expert_innen in die Auswahl der nun verwendeten Methode involviert?

                                  i.    Wenn ja: Um welche Expert_innen handelte es sich hier?

7.    Erfolgt die Übermittlung personenbezogener Daten an die M3 auf die normalerweise verwendete Methode?

a.    Wenn nein: Warum nicht?