821 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXII. GP
Bericht
des Verfassungsausschusses
über den Antrag
515/A der Abgeordneten Mag. Wilhelm Molterer, Herbert Scheibner, Kolleginnen und Kollegen, betreffend ein
Bundesgesetz, mit dem das Datenschutzgesetz 2000 – DSG 2000 geändert wird
Die Abgeordneten Mag. Wilhelm Molterer,
HerbertScheibner, Kolleginnen
und Kollegen, haben den gegenständlichen Initiativantrag am 26. Jänner 2005 im
Nationalrat eingebracht und wie folgt begründet:
„Mit dem
vorliegenden Gesetzesentwurf soll eine gesetzliche Grundlage für die Verwendung
von personenbezogenen, insbesondere auch sensiblen Daten von Personen, die von
einer Katastrophe unmittelbar betroffen sind, geschaffen werden. Damit sollen
Interpretationsprobleme gelöst werden, die sich wiederholt im Zusammenhang mit
der Datenübermittlung von Katastrophenopfern, zuletzt im Zusammenhang mit der
Ende 2004 eingetretenen Flutwellen-Katastrophe in Südostasien, ergeben haben.
Wie sich insbesondere im genannten Katastrophenfall gezeigt hat, ergibt sich
die Notwendigkeit der Verwendung sowohl nicht sensibler als auch sensibler
Daten durch Behörden und Hilfsorganisationen sowie die Notwendigkeit der
Übermittlung derartiger Daten an Angehörige der Betroffenen. Wenngleich die
gegenständliche Katastrophe durch das Ausmaß und die Zahl der Betroffenen in
besonderem Maße die datenschutzrechtliche Problematik bestimmter
Datenverwendungen gezeigt hat, so handelt es sich dabei um
datenschutzrechtliche Fragen, die im Prinzip bei jeder Katastrophe (Galtür,
Kaprun etc) zu klären waren.
Während
hinsichtlich der Datenübermittlung nicht sensibler Daten an Angehörige und
Hilfsorganisationen mit der Bestimmung des § 8 Abs. 1 Z 4
(überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten
erfordern die Verwendung) im Prinzip das Auslangen gefunden werden konnte,
konnte eine Verwendung sensibler Daten mangels Erfüllung des Tatbestandes des
§ 9 Z 3 (wenn sich die Ermächtigung oder Verpflichtung zur
Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines
wichtigen Interesses dienen) nur auf einen anderen in § 9 genannten
Tatbestand gegründet werden. So konnte eine Datenübermittlung sensibler Daten
an Angehörige allenfalls auf § 9 Z 7, wonach die Verarbeitung
oder Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen
notwendig ist, gestützt werden. Denkbar war auch die Heranziehung des
§ 9 Z 8, wonach die Verwendung zur Wahrung lebenswichtiger
Interessen eines anderen (z. B. der Eltern des Betroffenen) zulässig ist.
Bei der
Entwurferstellung waren insbesondere folgende Überlegungen maßgeblich:
Soweit die
Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des
Betroffenen oder mit seiner Zustimmung erfolgt, sind nach
§ 1 Abs. 2 Beschränkungen des Anspruchs auf Geheimhaltung nur
zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und
zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die
aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der
Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr. 210/1958,
genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von
Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung
wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene
Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen
festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das
Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen
werden.
Nach herrschender
Auffassung soll das Grundrecht auf Datenschutz die Privatsphäre bzw. das
Privat- und Familienleben Lebender, nicht aber die Ehre oder das Andenken
Verstorbener schützen. Es ist ein höchstpersönliches, subjektives Recht, das
weder vererbt noch unter Lebenden veräußert werden kann und mit dem Tod des
geschützten Betroffenen erlischt. Im Hinblick auf den Verstorbenen bestehen
somit keine datenschutzrechtlichen Bedenken, Informationen über tödlich
verunglückte Personen weiter zu geben. Es darf jedoch nicht vergessen werden,
dass nahe Anverwandte ein Datenschutzinteresse daran haben könnten, dass
Dritten – etwa Journalisten – der Todesfall nicht bekannt gegeben wird, da
hiedurch die Privatsphäre des Hinterbliebenen nachteilig berührt werden könnte.
Es ist daher davon auszugehen, dass auch die Information, dass eine bestimmte
Person verstorben ist, keinesfalls unbeschränkt weitergegeben werden kann,
solange nicht zweifelsfrei festgestellt ist, dass keine nahen Angehörigen
existieren, deren Datenschutzrechte betroffen sein könnten. Da dies im
Katastrophenfall in aller Regel nicht umgehend festgestellt werden kann,
empfiehlt es sich, für verstorbene, vermisste und verletzte Personen dieselbe
Vorgangsweise hinsichtlich der Informationsweitergabe einzuhalten, wie sie im
Folgenden näher erläutert wird:
Nach
§ 1 Abs. 2 darf – wie bereits erwähnt – ein Eingriff in das
Grundrecht auf Datenschutz entweder mit Zustimmung des Betroffenen oder im
lebenswichtigen Interesse des Betroffenen oder im überwiegenden berechtigten
Interesse eines Dritten erfolgen. Eine Datenverwendung ist also jedenfalls dann
zulässig, wenn der Betroffene dieser (etwa anlässlich der Aufnahme in ein
Krankenhaus) zugestimmt hat oder die Wahrung seiner lebenswichtigen Interessen
eine solche erfordert (z. B wenn eine Blut- oder Organspende oder
seelischer Beistand benötigt wird). Da diese Vorgangsweise im Katastrophenfall
nicht immer möglich bzw. dieser Sachverhalt mit der entsprechend notwendigen
Klarheit sehr oft nicht feststellbar sein wird, ist im Hinblick darauf, dass es
jedenfalls (auch) zu der Verwendung sensibler Daten kommen muss, eine spezielle
gesetzliche Grundlage für die Auskunft darüber, ob und wie eine bestimmte
Person von einer Katastrophe betroffen ist, erforderlich. Da eine Auskunft über
Personen, die einer Behörde bekannt sind und etwa im Rahmen einer Hotline
bekannt gegeben werden, unter Umständen auch Gesundheitsdaten mit einschließen
und daher sensible Daten betreffen kann und weiters kein anderer Tatbestand des
§ 9 regelmäßig erfüllt ist, muss für eine Datenverwendung für den vorliegenden
Zweck eine eigene gesetzliche Grundlage im Sinne des
§ 9 Z 3 DSG 2000 geschaffen werden. Maßstab für die
Verfassungsmäßigkeit einer solchen Bestimmung ist gemäß
§ 1 Abs. 2 , dass die Regelung – über die sonstigen
Voraussetzungen des Abs. 2 hinaus – aus einem wichtigen öffentlichen
Interesse erlassen wird und angemessene Garantien für die Datenschutzrechte der
Betroffenen enthält.
Das nach § 1
Abs. 2 geforderte Vorliegen eines „wichtigen öffentlichen Interesses“ an
einer solchen Regelung wird vor allem im Interesse, den von der Katastrophe
betroffenen Bürgern möglichst rasch Hilfe leisten zu können, gesehen werden
können. In diesem Zusammenhang muss auch gewährleistet sein, dass die Behörden
und Hilfsorganisationen ihre Aufgaben ohne Behinderung erfüllen können. Auch
wird ein Interesse an der Aufrechterhaltung der öffentlichen Ruhe vorliegen:
Wenn keine geeignete Informationspolitik im Gefolge von eingetretenen
Katastrophen betrieben wird, muss damit gerechnet werden, dass allgemeine
Aufregung zur weiteren Verschlechterung der Verfügbarkeit der Infrastruktur
führt – sowohl was die Telekommunikations- als auch was Verkehrsverbindungen
betrifft – , was wiederum die Bewältigbarkeit der Katastrophe insgesamt
erheblich erschweren kann. Auch kann in solchen Situationen nur eine
Durchschnittsbetrachtung von Interessenslagen stattfinden, da die im Interesse
aller Betroffenen gebotene Zügigkeit und Effizienz der Aufgabenbewältigung die
Untersuchung der tatsächlichen Interessenslagen in jedem Einzelfall nicht
gestattet. Bei einer derartigen Gesamtsituation wäre es unverhältnismäßig zu
verlangen, dass jede Entscheidung über eine Informationsweitergabe erst nach
konkreter Ermittlung der individuellen Interessenslage des Betroffenen erfolgen
darf, da bei einer solchen Vorgangsweise die Interessenslagen derjenigen, die
eine umgehende Information ihrer Familienangehörigen wünschen, aus
voraussichtlichem Zeit- und Kapazitätsmangel nicht entsprechend berücksichtigt
werden könnten.
Daraus folgend
wird davon ausgegangen, dass bei Anlegung des Maßstabes einer Durchschnittsbetrachtung
die Verwendung der Daten von durch eine Katastrophe persönlich betroffenen
Personen durch Behörden und Hilfsorganisationen und die Information naher
Angehöriger über das Schicksal ihrer Familienmitglieder auf Grund eines
legitimen Informationsinteresses erfolgt.
Insgesamt ergibt
sich daraus, dass
1.
ein wichtiges öffentliches Interesse an einer entsprechenden Regelung zur
Datenverwendung im Katastrophenfall besteht und dass,
2.
wesentliche Interessen bestimmter Dritter, nämlich der nahen Angehörigen, der
Hilfsorganisationen und zuständigen Behörden, vorhanden sind, deren Wertigkeit
gegenüber allenfalls vorhandenen gegenläufigen Geheimhaltungsinteressen des
Betroffenen nicht vernachlässigbar sind und daher als „überwiegende berechtigte
Interessen eines Dritten“ gewertet werden können. Bei Anlegung einer
Durchschnittsbetrachtung ist auch anzunehmen, dass der von der Katastrophe
Betroffene selbst wünscht, dass seine Angehörigen benachrichtigt werden.
3.
Daraus folgt, dass die im wichtigen öffentlichen Interesse gelegene Regelung
der Datenverwendung auch dann, wenn sie eine Informationsweitergabe an nahe
Angehörige in der Krisensituation und an Hilfsorganisationen vorsieht, nicht in
unverhältnismäßiger und daher sachlich nicht gerechtfertigter Weise in die
Datenschutzrechte eines Betroffenen eingreifen würde.
Die
Voraussetzungen für die Erlassung eines Gesetzes in einem wichtigen
öffentlichen Interesse im Sinne des § 1 Abs. 2 iVm.
§ 9 Z 3 sind daher als gegeben zu sehen.
Hinsichtlich der
„angemessenen Garantien“ war Folgendes zu überlegen:
Für die Verwendung
von Daten durch Behörden und Hilfsorganisationen ist jedenfalls eine strenge
Zweckbeschränkung vorgesehen. Die Daten sind unverzüglich zu löschen, wenn sie
für die Erfüllung dieses Zwecks nicht mehr benötigt werden. Abgesehen von den
in dieser gesetzlichen Bestimmung vorgesehenen Datenverwendungen durch die
Behörden und Hilfsorganisationen dürfen Auskünfte grundsätzlich nur an nahe
Angehörige im Sinne des Art. 8 EMRK erteilt werden. Diese Abgrenzung
erscheint auf Grund der Bezugnahme des § 1 Abs. 2 auf
Art. 8 EMRK geboten. Darunter fallen nach der Rechtsprechung des EGMR
jedenfalls Eltern, Kinder sowie Ehegatten unabhängig vom tatsächlichen
Zusammenleben sowie die Lebensgefährten. Sonstige nahe Verwandte (Großeltern,
Geschwister, Onkel etc.) müssen nach dieser Judikatur eine gewisse Intensität
der Bindung aufweisen (vgl. näher Öhlinger, Verfassungsrecht5
(2003), Rz. 814 f). Um die Identität mit der hier erforderlichen
Sicherheit unter den besonderen Verhältnissen des Katastropheneinsatzes
gewährleisten zu können, sind hier
-
eine entsprechende „Selbstzertifizierung“ des Anrufenden (Bestätigung des
Anrufenden über seine Beziehung zur gesuchten Person) und
-
die Aufzeichnung von Kontaktdaten, wie etwa des anrufenden Telefonanschlusses
und des angegebenen Namens, der Art der Angehörigenrelation und der Wohnadresse
mit entsprechenden Überprüfungsmöglichkeiten durch die Behörde und
-
Sanktionen gegen Missbrauch
vorzusehen.
In den in diesem
Entwurf vorgesehenen gesetzlichen Bestimmungen ist daher einerseits vorgesehen,
dass bestimmte Angaben vom Anfragenden zu ermitteln und allenfalls zu
verifizieren sind; andererseits werden eine verpflichtende
Protokollierungspflicht für die genannten Datenverwendungen sowie eine
Strafbestimmung für das „Sich vorsätzliche Verschaffen von Daten unter
Vortäuschung einer Angehörigeneigenschaft“ durch den Anfragenden normiert. Im
Lichte der Tatsache, dass die in dieser Bestimmung geregelten Datenverwendungen
regelmäßig im Interesse des Betroffenen stattfinden, werden die hier
vorgesehenen Garantien als ausreichend erachtet.
In
kompetenzrechtlicher Hinsicht gründet sich dieses Bundesgesetz auf den
Kompetenztatbestand „Angelegenheiten des Schutzes personenbezogener Daten im
automationsunterstützten Datenverkehr“ gemäß § 2 des
Datenschutzgesetzes 2000. Das DSG 2000 enthält in seinem 8. Abschnitt
„Besondere Verwendungszwecke von Daten“ schon jetzt Spezialregelungen bezüglich
der Datenverwendung in speziellen Bereichen, wie etwa im privaten Bereich, im
Bereich der wissenschaftlichen Forschung und Statistik oder für publizistische
Tätigkeit. Der Systematik entsprechend soll nun eine Bestimmung über die
Datenverwendung bestimmter Daten im Katastrophenfall (§ 48a) in dieses Kapitel
eingefügt werden. In § 8 soll eine Klarstellung hinsichtlich der
Verwendung nicht sensibler Daten im Katastrophenfall erfolgen, indem die
demonstrative Aufzählung in § 8 Abs. 3 entsprechend erweitert wird.
Weiters soll in § 18 eine Erleichterung hinsichtlich des
Registrierungsverfahrens bei der Datenschutzkommission vorgesehen werden und
eine Ergänzung der Verwaltungsstrafbestimmungen in § 52 vorgenommen
werden.
Finanzielle
Auswirkungen:
Da die
vorgeschlagenen Bestimmungen prinzipiell nur die Zulässigkeit der
Datenverwendung im Katastrophenfall regeln, entstehen dadurch im Vergleich zu
der jetzigen Rechtslage keine Mehrkosten.
Verhältnis
zu Rechtsvorschriften der Europäischen Union:
Die vorgesehene
Regelung stellt ein Gesetz auf der Basis des Art. 8 Abs. 4 der Richtlinie
95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr dar und steht im Einklang mit den
Rechtsvorschriften der Europäischen Union.“
Der
Verfassungsausschuss hat den gegenständlichen Initiativantrag in seiner Sitzung
am 17. Februar 2005 in Verhandlung genommen. An der Debatte beteiligten sich im
Anschluss an die Ausführungen der Berichterstatterin die Abgeordneten Dr.
Günther Kräuter, Dr. Helene Partik-Pablé,
Mag. Terezija Stoisits, Dr. Eva Glawischnig,
Mag. Johann Maier und Mag. Elisabeth Grossmann sowie der Staatssekretär im
Bundeskanzleramt Franz Morak.
Im Zuge der Debatte haben die Abgeordneten Dr. Ulrike Baumgartner-Gabitzer und Dr. Helene Partik-Pablé einen Abänderungsantrag eingebracht, der wie folgt begründet war:
„ Zu § 48a Abs. 1:
Der erste Satz dieser Bestimmung stellt eine gesetzliche Ermächtigung der Auftraggeber des öffentlichen Bereiches (im Wesentlichen: Behörden) dar, im Katastrophenfall im Rahmen ihrer Zuständigkeit Daten zu verwenden. Eine Katastrophe ist ein Ereignis im In- oder Ausland, das dem Umfange nach eine außergewöhnliche Schädigung von Menschen oder Sachen herbeiführt oder herbeizuführen droht.
Aus § 7 Abs. 1 ergibt sich bereits, dass die Verwendung dieser Daten nur zulässig ist, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten der Auftraggeber des öffentlichen Bereichs gedeckt sind. Die Zwecke, für die personenbezogene Daten verwendet werden dürfen, sind im ersten Satz genau umschrieben. Eine Datenverwendung zur „Bewältigung einer Katastrophe“ ist demnach nur zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen zulässig. Unter den Begriff „Verwenden“ fällt gemäß § 3 Z 8 iVm Z 9 auch das Ermitteln von Daten. Es wird davon auszugehen sein, dass die Behörden die notwendigen Informationen (auch) von Privatpersonen und Unternehmen erhalten. So würden etwa Unternehmen wie Reisebüros, Transportunternehmen und Beherbergungsbetriebe berechtigt sein, den Behörden im Katastrophenfall die erforderlichen Daten zur Verfügung zu stellen. Behörden und Hilfsorganisationen dürfen auch, wenn dies notwendig ist, einander Daten in Form eines Informationsverbundsystems übermitteln. Dies ist beispielsweise bei der Führung der Listen von Vermissten, Verstorbenen oder Verletzten denkbar.
Hilfsorganisationen sind nach Maßgabe der ihnen zukommenden Aufgaben und rechtlichen Befugnis berechtigt, Daten (auch sensible Daten) zu verwenden. Der Begriff der Hilfsorganisation ist in Abs. 6 definiert. Bei Vorliegen einer Vielzahl von Katastrophenopfern können diese Daten zugangsgeschützt für Hilfsorganisationen im Internet bereit gehalten werden (etwa in Form einer geschützten Webseite). Wie sich anlässlich der jüngsten Flutwellen-Katastrophe gezeigt hat, ändert sich bei einer Vielzahl von Katastrophenopfern der Stand der verstorbenen, abgängigen und verletzten Personen binnen kurzer Zeit und es scheint daher sinnvoll, durch laufende Aktualisierungen das Erbringen von Hilfeleistungen zu erleichtern.
Das Zur Verfügung Stellen derartiger Daten auf einer allgemein zugänglichen Internet-Seite für die Allgemeinheit wäre nicht rechtmäßig, da ein Eingriff in das Grundrecht auf Datenschutz selbst hinsichtlich nicht sensibler Daten nur zur Wahrung überwiegender Interessen eines anderen zulässig wäre. Dieses überwiegende berechtigte Interesse kann etwa bei bestimmten Angehörigen und Hilfsorganisationen angenommen werden; ein generelles Interesse der Öffentlichkeit an solchen Namenslisten kann aber nicht angenommen werden; eine derartige Vorgangsweise würde auch ein nicht zu unterschätzendes Missbrauchspotenzial in sich bergen (vgl. etwa die Medienberichte über zahlreiche Einbrüche, die in Schweden in den Haushalten Vermisster begangen wurden, nachdem man diese Personen auf einer öffentlich zugänglichen Internet-Seite genannt hatte).
Bezüglich verletzter Personen kann davon ausgegangen werden, dass Hilfsorganisationen jedenfalls ermitteln dürfen, an welchem Ort (insbesondere auch in welchem Spital) sich ein Katastrophenopfer befindet und in welchem allgemeinen Gesundheitszustand es sich befindet, zumal je nach Gesundheitszustand auch die Hilfsmaßnahmen verschieden zu gestalten sind (wenn etwa nur ein Beinbruch vorliegt, wird anders vorzugehen sein als wenn die Person auf Grund schwerer Verletzungen nicht transportabel ist). Hinsichtlich verstorbener Personen wird mitzuteilen sein, wo sich der Leichnam des Verstorbenen befindet. Bezüglich abgängiger Personen ist insbesondere der letzte bekannte Aufenthalt von Interesse.
Zu
§ 48a Abs. 2:
Bei Katastrophen im Ausland, bei denen Österreicher zu Schaden kommen, ist es erforderlich, dass auch der erforderliche Datenfluss zwischen in- und ausländischen Behörden und Hilfsorganisationen gewährleistet ist. Überdies hat sich insbesondere im Fall der „Tsunami-Katastrophe“ gezeigt, dass es notwendig ist, zur Suche nach Vermissten bestimmte Daten an andere Staaten zu übermitteln und in Informationsverbundsystemen zu verarbeiten. Auch hat es sich als notwendig erwiesen, im Rahmen der sicherheitspolizeilichen Aufgaben die in Österreich ermittelten erkennungsdienstlichen Daten von Abgängigen (insbesondere Fingerabdruckdaten, Lichtbilder, Zahnstatus-Daten sowie die sonstigen für die Feststellung äußerlicher körperlicher Merkmale und die Vornahme von Messungen relevanten Daten) an andere Staaten zu übermitteln bzw. einem Dienstleister (z. B. Interpol) zu überlassen, um einen Abgleich mit den erkennungsdienstlichen Daten an Verstorbenen durchzuführen. Bei Katastrophen dieses Ausmaßes kann es notwendig sein, die erkennungsdienstlichen Daten der Abgängigen und Verstorbenen ebenfalls in einem Informationsverbundsystem zu verarbeiten.
Bei der Einrichtung von Informationsverbundsystemen im Katastrophenfall sind verschiedene Phasen zu unterscheiden: In einer ersten Phase werden Informationsverbundsysteme, allenfalls auch mit ausländischen Auftraggebern, notwendig sein, in denen allgemeine Informationen betreffend der vermissten Personen verwendet werden. So hat etwa die Praxis anlässlich der Flutwellenkatastrophe in Südostasien gezeigt, dass die Angehörigen den Behörden Vor- und Familienname, Geburtsdatum, Adresse, und Handynummer des Vermissten bekannt zu geben hatten. Weiters wurden Vor- und Familienname, Geburtsdatum, Adresse und Rückrufnummer derjenigen Person gespeichert, die die vermisste Person am Krisentelefon gemeldet hat. Erst in einer zweiten Phase hat das Bundesministerium für Inneres Daten Vermisster und Verstorbener sowie Angehöriger Vermisster in ein weiteres Informationsverbundsystem übermittelt, das zur Identifizierung von Vermissten diente, bei denen bereits eine hohe Wahrscheinlichkeit besteht, dass sie verstorben sind. In vielen Fällen wird in diesem Fall auch bereits eine Vermisstenanzeige vorliegen. In dieser Phase wird die Übermittlung erkennungsdienstlicher, insbesondere auch sensibler Daten, in direkt personenbezogener Form zu vertreten sein. Daten, die für sich allein den Betroffenen strafrechtlich belasten sind solche, die direkt eine Strafverfolgung auslösen können (z. B. Drogenkonsum), nicht aber Daten, die indirekt – etwa über eine Identifizierung (DNA) – zur Verfolgung wegen einer bereits begangenen Straftat führen. Die Daten Angehöriger dürfen nur in pseudonymisierter Form übermittelt werden. Das bedeutet, dass anstelle von eindeutig zuordenbaren Daten wie Name und andere Merkmale, die eine unmittelbare Identifikation ermöglichen, ein Kennzeichen (z. B. eine Ziffern- oder Buchstabenfolge) treten muss. Mitgeteilt werden muss aber trotzdem die konkrete Angehörigeneigenschaft zur vermissten Person (z. B. Sohn des Vermissten Max Mustermann).
Gemäß der vorgeschlagenen Regelung dürfen Datentransfers wegen der Dringlichkeit zwar ohne Genehmigung der Datenschutzkommission durchgeführt werden; sie müssen dieser aber umgehend mitgeteilt werden. Damit können Verzögerungen, die sich naturgemäß durch ein Genehmigungsverfahren ergeben, vermieden werden. Dennoch wird insbesondere bei der Weitergabe von Daten mit hoher Sensibilität (z. B. DNA-Daten von Abgängigen und Angehörigen zur Identifizierung von Abgängigen und Verstorbenen und andere sensible Daten) darauf zu achten sein, dass die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datentransfer Betroffenen auch im Ausland gewahrt werden und datenschutzrechtliche Grundsätze jedenfalls beachtet werden. Bei der Weitergabe von Daten in Staaten, die (etwa wegen fehlender oder unzureichender Datenschutzgesetzgebung) über kein angemessenes Datenschutzniveau verfügen, müsste daher auf anderem Wege ein gewisses Schutzniveau sichergestellt werden. Denkbar wären daher vertragliche Zusicherungen oder die Einholung einer schriftlichen Zusicherung der empfangenden Behörden/Stellen, woraus hervorgeht, dass im Einzelfall die schutzwürdigen Geheimhaltungsinteressen Betroffener ausreichend gewahrt werden. In diesem Zusammenhang wird insbesondere auf die Zusicherung der Einhaltung der Zweckbeschränkung und der Verpflichtung zur unverzüglichen Löschung der Daten, wenn sie z. B. nicht mehr zur Identifizierung im Katastrophenfall benötigt werden, sowie adäquate Datensicherheitsmaßnahmen zu achten sein. Sollten nicht einmal schriftliche Zusicherungen in angemessener Zeit eingeholt werden können, besteht für den Auftraggeber die Möglichkeit, an den Empfänger Auflagen zu erteilen. Die Einholung einer schriftlichen Dienstleistervereinbarung oder einer schriftlichen Zusage kann in diesem letztgenannten Fall entfallen. Keinesfalls dürfen Daten weitergegeben werden, wenn von vornherein evident ist, dass der Empfänger keinen hinreichenden Datenschutz wahren wird. Die Datenschutzkommission kann jede weitere Datenübermittlung oder -überlassung untersagen. Kommt die Datenschutzkommission zu dem Schluss, dass die Datenweitergabe nicht rechtmäßig war, so sollte allenfalls im diplomatischen Weg darauf hingewirkt werden, dass die Daten vom Empfänger unverzüglich gelöscht werden, wenn dies von der Datenschutzkommission im Interesse des Betroffenen für unbedingt notwendig erachtet wird. Die Bestimmung des § 48a Abs. 2 stellt eine lex specialis für die Datenverwendung im Katastrophenfall dar und geht den Bestimmungen des Polizeikooperationsgesetzes vor.
Zu
§ 48a Abs. 3, 4 und 7 und § 52 Abs. 1 Z 5:
Diese Bestimmungen sollen gewährleisten, dass Daten über Katastrophenopfer auch wirklich an die richtigen Adressaten gelangen. Weiters sollen sie der Verhinderung von Missbrauch durch anfragende Personen dienen, die etwa ein Angehörigenverhältnis zu einer von der Katastrophe persönlich betroffenen Person vortäuschen. Insbesondere da die Anfragen von Angehörigen im Katastrophenfall oft telefonisch (vgl. die für die Flutwellen-Katastrophe zuständige Hotline des Außen- und Innenministeriums) oder per E-mail erfolgen, ergibt sich die Problematik der Identifizierung der Anfragenden als Angehörige der gesuchten Person. Die anfragende Person muss daher neben Namen und Geburtsdatum der von der Katastrophe tatsächlich oder vermutlich unmittelbar betroffenen Person auch eigene Daten (Name, Geburtsdatum, Wohnadresse, Telefonnummer oder E-mail-Adresse oder dergleichen) zur Verfügung stellen und überdies die Angehörigenbeziehung angeben.
Bezüglich der Auskunftserteilung an Angehörige sind im Hinblick auf Umfang und Sensibilität der Daten zwei Verfahren vorgesehen: In § 48a Abs. 3 ist vorgesehen, dass Auskünfte betreffend weniger sensibler Daten der (mutmaßlichen) Katastrophenopfer eine Bekanntgabe bestimmter Daten durch den Angehörigen voraussetzen. Es ist davon auszugehen, dass nahe Angehörige jedenfalls die Information, ob die konkret genannte Person abgängig oder verstorben ist oder gefunden wurde, Angaben über deren Aufenthaltsort und allgemeine Informationen über die Reise in das oder aus dem Katastrophengebiet erfahren dürfen. Diese Auskünfte setzen die Bekanntgabe bestimmter Daten durch die Angehörigen voraus, aus denen geschlossen werden kann, dass hier tatsächlich ein entsprechendes Angehörigenverhältnis zur von der Katastrophe tatsächlich oder vermutlich betroffenen Person besteht. Im Zweifelsfall kann der Auftraggeber im Rahmen seiner Möglichkeiten Überprüfungen durchführen. Dazu gehört zunächst die Möglichkeit, die anfragende Person zurückzurufen. Darüber hinaus könnten etwa das Faxen eines Identitätsdokuments dgl. verlangt werden. Weitere Überprüfungsmöglichkeiten stehen Behörden und Hilfsorganisationen offen (vgl. auch die Ausführungen zu Abs. 4).
Gemäß § 48a Abs. 4 dürfen darüber hinaus gehende – vor allem sensiblere Daten – nur von Behörden und Hilfsorganisationen und nur bei Nachweis der vom Angehörigen angegebenen Identifikationsdaten und der Daten bezüglich der Angehörigeneigenschaft beauskunftet werden. Behörden sind in diesem Zusammenhang berechtigt, die notwendigen Überprüfungen dieser Angaben durchzuführen, was insbesondere im Zweifelsfall stattfinden müsste. Die dafür notwendigen Informationen sind der Behörde allenfalls von anderen Behörden im Wege der Amtshilfe zur Verfügung zu stellen, wie etwa die notwendigen Meldedaten aus dem Zentralen Melderegister. Insbesondere war in diesem Zusammenhang eine Unterstützungsverpflichtung der Sozialversicherungsträger gegenüber Behörden und Hilfsorganisationen zu normieren, da diese über Informationen bezüglich der Angehörigeneigenschaft von Personen verfügen. Die unbedingte Protokollierungspflicht sowie der neu in die Verwaltungsstrafbestimmung des § 52 aufgenommene Straftatbestand sollen ebenfalls den in § 1 Abs. 2 vorletzter Satz geforderten angemessenen Garantien entsprechen. Die Protokollierung der Datenverwendungen ist jedenfalls so vorzunehmen, dass die tatsächlich durchgeführten Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können (vgl. § 14 Abs. 2 Z 7). Die Aufbewahrungsfrist der Protokolle richtet sich nach § 14 Abs. 5. Ergänzend wird bemerkt, dass weitere sich nach dem DSG 2000 ergebende Verpflichtungen, wie etwa die Pflicht, Daten zu löschen, wenn sie nicht mehr benötigt werden, unberührt bleiben.
Zu
§ 48a Abs. 5:
Diese Bestimmung orientiert sich an der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte zum Familienleben gemäß Art. 8 EMRK (vgl. näher Öhlinger5, Verfassungsrecht (2003), Rz 814 f.), wobei unter „Lebensgefährten“ auch die gleichgeschlechtlichen Lebensgefährten zu verstehen sind. Vgl. dazu auch die Ausführungen im allgemeinen Teil der Erläuterungen. Unter den Begriff der Angehörigen fallen jedenfalls auch Adoptiv- und Stiefkinder.
Zu § 48a Abs. 6:
Zu den Hilfsorganisationen gehören beispielsweise Organisationen wie das Rote Kreuz, die Caritas und „Ärzte ohne Grenzen“. Im Prinzip wird es sich dabei um registrierte Vereine handeln, die einen klar definierten Vereinszweck haben, der auf die Hilfeleistung für Menschen in Notsituationen abzielt. Man wird davon ausgehen können, dass derartige Organisationen auf Dauer angelegt sind und über eine ausreichende organisatorische, personelle sowie finanzielle Leistungsfähigkeit für die Durchführung von Hilfsaktionen verfügen müssen. Bei Organisationen, die nicht von vornherein als „allgemein anerkannt“ gelten können wie die genannten Beispiele, wird es im Einzelfall notwendig sein, vor einer Datenübermittlung insbesondere anhand der Statuten bzw. Satzungen dieser Organisationen das Vorliegen der genannten Kriterien zu prüfen.
Zu
§ 48a Abs. 8:
Diese Bestimmung dient der Klarstellung. Die Sonderbestimmung des § 48a soll primär eine gesetzliche Grundlage für die Verwendung sensibler Daten im Katastrophenfall schaffen, wobei in der Praxis regelmäßig Datenanwendungen bestehen, die sowohl nicht-sensible als auch sensible Daten enthalten. Eine exakte Trennung dieser Datenarten ist in vielen Fällen nicht möglich. Es soll aber klar sein, dass die Bestimmung nicht die Zulässigkeit von Datenanwendungen berührt, die sich auf andere Bestimmungen des DSG 2000 (etwa die Verwendung im lebenswichtigen Interesse des Betroffenen oder Dritter) gründet. Insgesamt soll gerade die gegenständliche Novelle zum DSG 2000 im Katastrophenfall Datenverwendungen zur Bewältigung der Katastrophe und für Hilfeleistungen für Katastrophenopfer erleichtern und nicht restriktiveren Bestimmungen unterwerfen.“
Bei der Abstimmung
wurde der Gesetzentwurf in der Fassung des oben erwähnten Abänderungsantrages
der Abgeordneten Dr. Ulrike Baumgartner-Gabitzer und Dr. Helene Partik-Pablé
mehrstimmig angenommen.
Ferner beschloss
der Verfassungsausschuss mit Stimmenmehrheit folgende Feststellung:
Die Mitglieder des
Verfassungsausschusses gehen davon aus, dass die Allgemeinen
Geschäftsbedingungen von Reisebürounternehmen, aber auch von anderen
Unternehmen, die Sonderregelungen hinsichtlich der Datenweitergabe im
Katastrophenfall etc. vorsehen, im Sinne dieser Gesetzesnovelle abgeändert
werden. Zumindest wäre es sinnvoll, dafür vorzusorgen, dass in den Katalogen
der Reisebürounternehmen für die Sommersaison 2005 in einem Beiblatt über den
Inhalt dieser Gesetzesänderung informiert wird.
Als Ergebnis
seiner Beratungen stellt der Verfassungsausschuss somit den Antrag, der Nationalrat wolle dem angeschlossenen
Gesetzentwurf die verfassungsmäßige Zustimmung erteilen.
Wien, 2005 02 17
Dr. Ulrike Baumgartner-Gabitzer Dr.
Peter Wittmann
Berichterstatterin Obmann