Stellungnahme des OCG-Arbeitskreises IT-Leistungsverträge und Rechtspolitik zur Novellierung des Datenschutzgesetzes
Die umfangreiche Novellierung des Datenschutzgesetzes (DSG) 2000, die dem Nationalrat zur Beschlussfassung vorliegt, soll einerseits die seither im Vollzug aufgetretenen Schwierigkeiten beheben und andererseits neuen Entwicklungen Rechnung tragen. Darüber hinaus soll das Datenverarbeitungsregister entlastet werden.
Manche Neuerungen sind zu begrüßen, so insbesondere die Einführung eines betrieblichen Datenschutzbeauftragten (§ 15 a), wenn auch manche Einzelheiten der Regelung zum Teil noch diskussionsbedürftig sind. Nicht einzusehen ist vor allem, warum er offenbar nur in Betrieben der Privatwirtschaft eingerichtet werden soll und nicht auch bei staatlichen Stellen. Andere Punkte der Novelle sind allzu sehr von der immer mehr um sich greifenden Großzügigkeit des Gesetzgebers beim Sammeln und Verwerten von Daten geprägt. Insgesamt werden in der Praxis zwar einerseits die Formalitäten des Datenschutzes – zu Recht oder zu Unrecht – als lästig empfunden, falls man sie nicht ohnedies ignoriert, andererseits kann nicht gut bezweifelt werden, dass die Folgen dieser Großzügigkeit immer unangenehmer spürbar werden. Es geht hier keineswegs nur um das DSG sondern auch um den flankierenden Schutz durch andere Gesetze. So sei im Anschluss an die Fälle Kampusch und Amstetten angemerkt, dass bei Verletzung des höchstpersönlichen Lebensbereiches und in vergleichbaren Fällen (§§ 7, 7 a und 7 b MedienG) ein Anspruch auf „Ersatz für die erlittene Kränkung“ vom Gericht nur bis € 20.000 zugesprochen werden kann, bei verbotener Veröffentlichung (§ 7 c) € 50.000, bei Eignung zur Existenzvernichtung ganze € 100.000. Diese Beträge wirken, wie die Erfahrung gerade jetzt gezeigt hat, in keiner Weise abschreckend. Da ihre angemessene Erhöhung aus allgemein bekannten Gründen politisch undurchsetzbar ist, wäre die Einrichtung einer gesetzlichen Pflichthaftpflichtversicherung zu erwägen, die allerdings entgegen § 152 VersVG auch vorsätzliche Verstöße abdecken und von einem Versicherungspool betrieben werden müsste. Andernfalls könnten bestimmte Medien keinen Haftpflichtversicherer finden.
Diese Unzukömmlichkeiten im Medienrecht sind umso gravierender, als der vorliegende Entwurf ausdrückliche und unmissverständliche Informations- und klare Schadenersatzpflichten für die Verarbeiter von Daten und diejenigen Personen, die sie weitergeben, vermissen lässt. § 1 Abs 2 DSG ordnet insofern nur an, dass „jedermann“ bzw nunmehr „jede natürliche Person“ insofern „das“ Recht auf Auskunft habe, aber nur „nach Maßgabe gesetzlicher Bestimmungen“. Dabei sollte nicht übersehen werden, dass der Leidtragende in vielen Fällen deshalb keine Aussicht auf angemessenen Ersatz hat, weil gesetzlich anerkannte Verschwiegenheitspflichten, auf die an dieser Stelle nicht eingegangen werden soll, eine Aufklärung verhindern. Schliesslich hat es gerade in der letzten Zeit im In- und Ausland Fälle gegeben, in denen große Mengen wichtiger und überaus sensibler Daten abhanden gekommen sind. Ob die eigenen Daten darunter waren, wird der Betroffene meist nur daran erkennen können, dass sich private und/oder berufliche Fehlschläge in sonst unerklärlicher Weise plötzlich häufen.
Es ist daher umso bedauerlicher, dass die Datenschutzkommission auch nach der Novelle ein Papiertiger bleiben soll. Sie ist beim Bundeskanzleramt angesiedelt, hat aber kein eigenes Budget, so dass ihre materielle Unabhängigkeit in Zweifel gezogen werden muss. Ein Recht, im Bedarfsfall Kontrollen durchzuführen, Einstellungen und vorläufige Beschlagnahmen durchzuführen, kann der Novelle ebenso wenig entnommen werden.
Wegen des Umfangs dieser Novelle sollen nur einige besonders wichtige Punkte herausgegriffen werden.
Besonders unerfreulich ist die Einschränkung des grundrechtlichen Datenschutzes auf natürliche Personen. Begründet wird dies in den Erläuterungen (S 4) damit, dass die Ausdehnung des Schutzes auch auf juristische Personen im europäischen Kontext auf Unverständnis gestoßen sei und der Datenschutz juristischer Personen sich in der Praxis ohnedies im Wesentlichen auf Daten reduziere, die einem Geschäfts- und Betriebsgeheimnis unterliegen. Außerdem führe die Einschränkung des Datenschutzes auf natürliche Personen auch zu Entlastungen von Unternehmen selbst zB bei der Registrierungspflicht oder bei der Verpflichtung, den Betroffenen Auskunft zu erteilen.
Dagegen spricht zunächst, dass ein solcher sondergesetzlicher Schutz etwa nach dem UWG im wesentlichen nur nachträglich wirkt und nur in Ausnahmsfällen vorbeugend. Das ist umso nachteiliger für den Verletzten, als er überhaupt erst einen Anspruchsgegner suchen muss, den er vor Gericht belangen kann und der ihm nach der geplanten Novelle offenbar gerade nicht auskunftspflichtig sein soll.
Es ist auch nicht einzusehen, warum zB eine GmbH nicht das Recht auf Auskunft haben soll, ob sie auf der UKV (Liste der unerwünschten Kontoverbindungen) oder sonstigen Schwarzen Listen steht, wie sie in der Praxis immer beliebter werden, und welcher Art diese Eintragungen sind. Dies umso weniger, wenn es sich hier um eine Einpersonen-GmbH handelt. Gerade in solchen Fällen zeigt sich besonders deutlich, dass hinter den Rechten einer juristischen Person letztlich stets solche natürlicher Personen stehen, die aus Gründen der Praktikabilität gebündelt werden. Erleidet eine juristische Person Nachteile, so wirkt sich das auch auf natürliche Personen aus, die deren Dienstnehmer, Gesellschafter oder Gläubiger sind. Es hat daher schon deshalb seinen guten Grund, wenn § 26 ABGB die Rechte der juristischen Personen grundsätzlich mit denen der natürlichen gleichstellt.
Besonders zu begrüßen ist, dass die Novelle die Frage der Videoüberwachung regelt, die sich zwar sicherlich in vielen Fällen als gerechtfertigt erweist, aber doch in immer bedenklicherer Weise ausufert. Die Erläuterungen zur Novelle sprechen daher auch ganz offen davon, dass die Überwachung von Orten, Gegenständen und Personen durch Kameras „beinahe allgegenwärtig“ geworden seien (S 13). Einer der Gründe dafür ist in der den allgemein bekannten Sparzwängen der Exekutive zu suchen. Merkwürdigerweise enthält § 50 a Abs 3 idF der Novelle einerseits zunächst durchaus ausgewogene Bestimmungen, nach dessen Z 7 soll es aber dann aber doch genügen, dass die Videoüberwachung „zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche des Auftraggebers vor einem Gericht im Sinne von Art. 234 EGV erforderlich ist“.
Offenbar soll es datenschutzrechtlich kein ernsthaftes Hindernis geben, wenn der Vermieter, der mit dem Mieter streiten will, der Nachbar mit dem Nachbarn, der Arbeitgeber mit dem Arbeitnehmer, der Ehegatte im „Rosenkrieg“ eine Videoüberwachung vornimmt, sofern es nicht arbeitsrechtliche oder sonstige, aus anderen Rechtsbereichen kommende Hindernisse gibt. Selbst wenn die Videoüberwachung tatsächlich protokolliert werden und die aufgezeichneten Daten, soweit sie nicht zu Beweissicherungszwecken erforderlich sein sollten, gelöscht werden (§ 50 b), was nach bisherigen Erfahrungen wenig wahrscheinlich sein dürfte, so ergibt sich für den Überwachten daraus ein beachtlicher psychologischer Druck, der oft genug auch der Hauptzweck der Überwachung sein wird; von der Aufzeichnung von Personen, die nicht in den Verwendungszweck fallen, ganz abgesehen.
Bemerkenswert ist in diesem Zusammenhang, dass nach § 50 a Abs 3 Z 1 ein Betroffener durch eine Videoüberwachung dann nicht in seinem schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs 2 Z 3, gemeint wohl § 8 Abs 3) verletzt ist, wenn diese im lebenswichtigen Interesse einer Person erfolge. Im Hinblick auf die bewusste Ausklammerung juristischer Personen aus dem Grundrecht aus Datenschutz, wie dies die Novelle vorschlägt, fragt es sich, wie es hier um die lebenswichtigen Interessen von juristischen Personen aussieht, die immerhin vom finanziellen Zusammenbruch bedroht sein können, mit allen weiteren Auswirkungen auf natürliche Personen, die in engem Konnex mit solchen juristischen Personen stehen. Immerhin ist es nichts weniger als ungewöhnlich, dass eine juristische Person Subjekt oder „Objekt“ einer Videoüberwachung ist. Am Rande bemerkt sei dazu noch, dass die ausdrückliche Bezeichnung einer Person, gar erst einer natürlichen, als „Objekt“ (§ 50 a Abs 3 Z 5 lit b und c) gerade in einem Gesetz, das Grundrechte regeln soll, unangebracht erscheint. Warum schließlich spezielle verwaltungsstrafrechtliche Sanktionen gegen die Verletzung der so wichtigen Vorschriften der §§ 50 a ff nicht in die Novelle aufgenommen worden sind, ist dieser nicht zu entnehmen.
Unbedingt zuzustimmen ist im Lichte der bisherigen Erfahrungen dem Entwurf darin, dass die Verwendung sensibler Daten bei der Unterstützung des Nationalrates oder eines Landtages bei der Ausübung seiner parlamentarischen Kontrolltätigkeit dringend regelungsbedürftig ist. Nach der Formulierung des Entwurfs fehlt es in solchen Fällen geradezu an der Verletzung schutzwürdiger Geheimhaltungsinteressen (§ 9 Z 4 lit b). Der Sache nach soll diese zumindest missverständliche Wortwahl offenbar bedeuten, dass in solchen Fällen die Interessen des einzelnen ganz allgemein und ausnahmslos vor dem Aufklärungsinteresse der Gemeinschaft zurückzutreten hätten, dass also Gemeinnutz vor Eigennutz zu gehen habe. Ob damit das damit verdrängte Kernproblem des Schutzes des einzelnen vor der Gefahr des Missbrauchs von Instrumenten der parlamentarischen Kontrolltätigkeit schon gelöst ist, eine Gefahr, die auch zum Vorwand für deren Behinderung genommen werden kann, wird die Zukunft zeigen.
Im einzelnen kann noch auf die überzeugenden Einwände der ARGE DATEN verwiesen werden, die auch die OCG für stichhaltig ansieht.
Abschließend sei der bekannte Siebenbürger Erzählers Schlattner zitiert, der seinerzeit von der Securitate in Haft genommen worden ist, also durchaus ein Mann vom Fach:“ Niemand kann so leben, dass er nichts zu verbergen hat“. „Und niemand kann so leben, dass er immerfort Angst hat“.
Kontakt:
Univ.-Prof. Dr. Gunter Ertl
OCG Arbeitskreisleiter
mailto: g.ertl@kabsi.at
Österreichische Computer Gesellschaft (OCG)
Die Österreichische Computer Gesellschaft (OCG) vertritt heimische Interessen aktiv in bedeutenden internationalen Organisationen in den Bereichen Wissenschaft, Forschung und Wirtschaft. Sie fördert Aktivitäten und Arbeitskreise in den verschiedensten Bereichen wie zum Beispiel Open Source, E-Government, E-Commerce, E-Learning, E-Security, oder E-Logistics sowie die Initiierung und Förderung gesellschaftspolitischer Initiativen und Netzwerke.
Als gemeinnützige, unabhängige Vereinigung gehören der OCG über 1.600 Mitglieder aus der Wirtschaft, Wissenschaft und Verwaltung an. Hinzu kommt eine große Zahl von Einzelpersonen, die das umfangreiche Angebot der OCG nutzen, um sich im Sinne des lebensbegleitenden Lernens weiterzubilden.
Die Aktivitäten der OCG umfassen die Organisation von internationalen wissenschaftlichen Kongressen, wirtschaftsorientierten Veranstaltungen, Seminaren sowie die Initiierung und Förderung gesellschaftspolitischer Initiativen.
Mit der Weiterentwicklung auf dem Sektor der Zertifizierung hat sich die Österreichische Computer Gesellschaft in der letzten Zeit einen Namen gemacht und eigene Zertifikate entwickelt.
Anschrift:
Österreichische Computer Gesellschaft (OCG)
Wollzeile 1-3,1010 Wien
Tel. 01/512 02 35 – 0
Fax. 01/512 02 35 – 9
E-Mail: ocg@ocg.at
URL: www.ocg.at