Stubenring 1, 1010 Wien

DVR: 0017001

AUSKUNFT

Dr. Ernst Muhr

Tel: (01) 711 00 DW 6202

Fax: +43 (1) 715825871100 6280

Ernst.Muhr@bmask.gv.at

E-Mail Antworten sind bitte unter Anführung

der Geschäftszahl an die E-Mail Adresse

post@bmask.gv.at zu richten.

Bundeskanzleramt

Verfassungsdienst

Ballhausplatz 2

1014 Wien

Per E-Mail: v@bka.gv.at

GZ: BMASK-15003/0009-I/6/2009

Wien,

Betreff:

Datenschutz

Entwurf eines Bundesgesetzes, mit dem das Bundes-Verfassungsgesetz, das Datenschutzgesetz 2000 und das Sicherheitspolizeigesetz geändert werden (DSG-Novelle 2010); Stellungnahme im zweiten Begutachtungsverfahren

Sehr geehrte Damen und Herren!

Das Bundesministerium für Arbeit, Soziales und Konsumentenschutz (BMASK) nimmt mit Bezug auf das Schreiben vom 20.5.2009, GZ BKA-810.026/0005-V/3/2009, im zweiten Begutachtungsverfahren zum Entwurf einer DSG-Novelle 2010 wie folgt Stellung:

1. Allgemeines

1.1. Das BMASK begrüßt die Überarbeitung des DSG-Novellenentwurfes insbesondere im Hinblick auf die Anregungen zum ersten Entwurf. Die Beschränkung des Anwendungsbereiches des DSG auf natürliche Personen, die Übertragung der datenschutzrechtlichen Kompetenz an den Bund und die neu geschaffene Informationspflicht des Auftraggebers in § 24 Abs. 2a werden ausdrücklich befürwortet.

Da aber einerseits technische Neuerungen, andererseits aber auch insbesondere das Kommunikationsverhalten der Bürgerinnen und Bürger einer ständigen und immer rascheren Entwicklung unterworfen ist, fehlen im DSG-Novellenentwurf Bestimmungen, um auch diesbezüglich einen entsprechenden Schutz zu gewährleisten. Im Einzelnen handelt es sich dabei um folgende Bereiche:

a) RFID-Chips:

Die Entwicklung und der Einsatz von RFID-Chips nehmen in der Informationsgesellschaft einen immer größeren Platz ein. Dem hat die Europäische Kommission mit ihrer Empfehlung vom 12.5.2009 Rechnung getragen. Eine Einarbeitung der dort angesprochenen Themen in den Entwurf erschien insbesondere aus konsumentenpolitischen Gründen äußerst wünschenswert, da bis dato Konsumentinnen und Konsumenten jegliche Information über den Einsatz derartiger Technologie versagt wird. Bedenkt man die weitreichenden Anwendungen und die Unauffälligkeit dieser Instrumente, ist äußerster Handlungsbedarf gegeben. Es wird daher vorgeschlagen, insbesondere Kennzeichnungs- und Informationsverpflichtungen zu schaffen und die verpflichtende Möglichkeit zur Deaktivierung der Chips vorzusehen.

b) Datenschutz in Internetforen:

Zahlreiche, insbesondere junge Nutzer stellen eine große Anzahl privater Daten öffentlich ins Netz. In den Medien tauchten in letzter Zeit Berichte darüber auf, dass die AGB dieser Foren vorsehen würden, dass die Daten den Forenbetreibern unbeschränkt zur Verfügung stehen würden. Damit verliert der einzelne Nutzer für immer die Verfügungsmöglichkeit über seine zwar veröffentlichten, jedoch dennoch privaten Daten. Einem solchen Vorgehen kann entgegen getreten werden, indem der Schutz von Daten entgegen § 8 Abs.2 DSG-Novellenentwurf (eine derartige Ausnahme - wiewohl auch im geltenden DSG enthalten - könnte auch EU-richtlinienwidrig sein) auch für veröffentlichte Daten angewandt wird und ein unabdingbares Löschungsrecht etabliert wird.

c) Kollektiver und verbesserter Rechtsschutz:

Die vom Verein für Konsumenteninformation im Auftrag des BMASK geführten Musterprozesse zu diversen bislang ungeklärten Rechtsfragen im Zusammenhang mit Wirtschaftsauskunftsdiensten haben gezeigt, dass hier systematisch Rechtsverstöße erfolgen.

Um einem solchen Vorgehen wirksam und mit Auswirkung auf die Gesamtheit der Betroffenen entgegenzutreten, wäre eine Verbandsklagsbefugnis nach Muster des § 29 KSchG sinnvoll.

Andererseits zeigt sich immer wieder, dass Verletzungen von Datenschutzvorschriften selten vor Gerichte gelangen, da das Risiko im Verhältnis zum erreichbaren Ergebnis oft als zu hoch eingestuft wird. Der außergerichtliche Rechtsschutz durch einen Datenschutzombudsmann sollte daher gestärkt werden.

d) Betrieblicher Datenschutzbeauftragter:

Da einem betrieblichen Datenschutzbeauftragten nicht nur Kontrolle innerbetrieblicher Datenverwaltung auferlegt werden können, sondern auch jede Verwendung von Daten im Umgang mit Kunden, wird der Entfall von Bestimmungen zur Einführung eines betrieblichen Datenschutzbeauftragten auch aus konsumentenpolitischer Sicht bedauert.

e) Scoringverfahren:

Nicht nur im Hinblick auf kreditrelevante Bonitätsprüfungen, sondern in vermehrtem Ausmaß auch für darüber hinausgehende Vertragsbeziehungen werden Scoringverfahren eingesetzt. Dabei handelt es sich um automatisierte Vorgänge, die oftmals mit den realen Gegebenheiten wenig zu tun haben. Es sind daher Maßnahmen zur Beschränkung solcher Verfahren bis hin zu einem Verbot der Verwendung soziodemografischer Daten für die Bonitätsbeurteilung im privaten Bereich zu überlegen und jedenfalls die diesbezügliche Transparenz zu erhöhen. Allenfalls wäre auch eine Meldung an die DSK und Genehmigung durch diese vorzusehen.

1.2. Inhaltlich darf zum überarbeiteten Entwurf hinsichtlich des § 4 Abs. 1 Z 4, des § 26 Abs. 1 und 10, des § 50a sowie des § 50d Abs. 2 auf die seinerzeitige Stellungnahme vom 9. 5. 2008, GZ. BMASK-15003/0005-I/6/2008, im ersten Begutachtungsverfahren verwiesen werden.

2. Zu Z 12 und 29 (§ 1 Abs. 2 i. V. m. § 8 Abs. 2):

Um den Schutz von persönlichen Daten, die zwar persönlich oder zulässigerweise durch Dritte ins Internet gestellt wurden, in der Folge aber nicht mehr persönlich verwaltet werden können (siehe auch oben Pkt. 1.1 lit. b), zu gewährleisten, wäre entweder § 1 Abs. 2 und § 8 Abs. 2 im Hinblick auf die Bestimmungen zu den zulässigerweise veröffentlichten Daten zu ändern, oder aber eine eingeschränkte Definition solcher Daten im Hinblick auf die allgemeine Verfügbarkeit einzuführen.

Insbesondere sind Löschungs- und Widerspruchsrechte für solche Daten zu gewährleisten, da zahlreiche Beschwerden über Suchmaschinen, die wahllos und ungeprüft Daten zusammenstellen und dem User bei der Suche nach einer bestimmten Person auf einer Homepage präsentieren, im BMASK vorliegen. Diesen automatisch generierten Web-Seiten haftet ein hohes Fehlerpotential an. Die AGB sehen – wohl unzulässigerweise – vor, dass eine Löschung zwar vorgenommen werden kann, bei einer neuerlichen Suche nach denselben Namen aber nicht garantiert werden kann, dass die Daten nicht erneut in der gleichen Weise zusammengestellt werden.

In diesem Zusammenhang stellt sich auch die Frage, inwieweit die achtwöchige Löschungsfrist noch zeitgemäß ist; die Frist sollte jedenfalls verkürzt werden, bzw. durch entsprechende Verbesserungen im Rechtsschutz („spürbare“ Verwaltungsstrafen) sicher gestellt werden, dass eine achtwöchige Frist keinesfalls überschritten wird.

3. Zu Z. 37 (§ 17 Abs. 4):

Die Ausnahme von der Meldepflicht (§ 17 Abs. 4) in jenen Fällen, in denen Zweck, betroffene Personengruppen, Datenarten, Übermittlungen und Übermittlungsempfänger durch Gesetz bzw. Verordnung abschließend geregelt ist, wird ausdrücklich begrüßt.

4. Zu Z 39 (§ 20 Abs. 5):

Es scheint nicht ganz klar zu sein, wann bei vorabkontrollpflichtigen Datenanwendungen tatsächlich mit der Datenanwendung begonnen werden kann, da der ehemalige Auffangtatbestand des § 20 Abs. 5 DSG in der Novelle nicht mehr enthalten ist.

Fraglich könnte sein, ob § 19, § 20 Abs. 3 und 4 sowie § 21 Abs. 1 DSG nunmehr so zu lesen sind, dass nach 2 Monaten nach Meldung an die DSK, in denen kein Verbesserungsauftrag von Seiten der DSK erfolgt ist und die DSK daher die Datenanwendung in das Register einzutragen hat, auch mit der Datenanwendung begonnen werden darf, wovon das BMASK vorerst ausgeht.

Es wird daher angeregt, klarzustellen, wann – nach der Neuregelung - mit vorabkontrollpflichtigen Datenanwendungen tatsächlich begonnen werden darf.

5. Zu Z 41 (§ 24):

Ausdrücklich begrüßt wird der neue Absatz 2a.

In diesem Zusammenhang ist allerdings zu überprüfen, ob die Ausnahme der Informationspflicht im geltenden Text des Abs. 3 Z. 3 nicht zu weitgehend angelegt ist. Die wirtschaftliche Betrachtung der Verhältnismäßigkeit durch ein Unternehmen wird wahrscheinlich häufig dazu führen, dass die Wahrscheinlichkeit einer Beeinträchtigung der betroffenen Rechte gering eingeschätzt und daher die Kosten der Information einen unverhältnismäßigen Aufwand darstellen würden. Insofern ermöglicht diese Bestimmung ein weitgehendes und wohl auch häufig genutztes Abgehen von der Informationspflicht.

6. Zu Z 42 (§26 Abs. 1):

Zwar ist EU-richtlinienkonform, dass die Auskunft über Empfänger oder Empfängerkreise informieren kann. Allerdings sollte aus Gründen des Rechtsschutzes des Betroffenen grundsätzlich der Empfänger mitgeteilt werden müssen, außer der Auftraggeber weist ein überwiegendes Interesse nach, nur den Empfängerkreis zu melden.

7. Zu Z 43 (§ 26 Abs. 4 und 7):

7.1. Zu § 26 Abs. 4:

Hier sind derzeit acht Wochen vorgesehen, bis zu denen ein Auftraggeber Zeit hat, die Auskunft eines Auskunftswerbers zu beantworten. Diese Frist wird aus heutiger Perspektive als grundsätzlich zu lang angesehen. Da aber teilweise selbst diese Fristen seitens Unternehmen nicht eingehalten werden, sollte nicht nur die Frist verkürzt, sondern auch Verwaltungsstrafen für allfällige Verstöße dagegen überlegt werden.

7.2. Zu § 26 Abs. 7:

Sofern mit einem Auskunftsverlangen auch ein Löschungsbegehren gestellt wurde, erscheint das viermonatige Löschungsverbot der Daten, das mit dem Auskunftsverlangen verknüpft ist, kontraproduktiv. Für einen solchen Fall sollte die Löschung Vorrang haben.

8. Zu Z 45 (§ 26 Abs. 10):

Wie schon bisher wurde im 2. Satz eine Einschränkung vorgenommen, die nicht nötig zu sein scheint: Dem Auskunftswerber sind Name und Adresse des tatsächlichen Auftraggebers nur mitzuteilen, soweit ihm dies nicht ohnedies bekannt ist. Davon ist aber wohl nicht auszugehen, weil sonst die Anfrage nicht gestellt worden wäre. Im schlimmsten Fall könnte daraus unnötigerweise eine Beweisfrage werden.

Die Vereinfachung durch die Weiterleitung der Anfrage wird ausdrücklich begrüßt.

9. Zu Z 46 (§ 27):

Im geltenden Text des § 27 Abs. 4 DSG erscheint die achtwöchige Frist für die verlangte Löschung mittlerweile überholt (vgl. auch die obige Anmerkung unter Pkt. 7.1).

10. Zu Z 82 (§§ 50a,50c und 50e):

Die Verbesserungen gegenüber dem Vorentwurf werden ausdrücklich begrüßt. Allerdings wird im Einzelnen auf Folgendes hingewiesen:

10.1. Zu § 50 a Abs. 3 Z 2:

Der Entwurf geht davon aus, dass bestimmte Verhaltensweisen im öffentlichen Raum typischerweise darauf gerichtet sind, wahrgenommen zu werden. Dennoch kann nach Verständnis des BMASK daraus noch nicht eindeutig abgeleitet werden, dass der Betroffene somit „automatisch“ seine Zustimmung zu einer Videoüberwachung gibt. Die EB zählen als Beispiel Auftritte bei Veranstaltungen heran: Gerade solche Auftritte aber beziehen sich ja auf die konkrete Veranstaltung und sind daher nicht öffentlich im Sinne einer Aufnahme oder gar Reproduzierbarkeit.

10.2. Zu § 50 a Abs. 4 Z. 1:

Der im ersten Begutachtungsverfahren versendete Text des § 50a Abs. 3 Z 5 ist nunmehr als Abs. 4 Z 1 neu beziffert, wobei im überarbeiteten Entwurf die ursprünglich angeführten Beispiele für „Tatsachen“, die die Annahme rechtfertigen, dass das „überwachte Objekt oder die überwachte Person … das Ziel oder der Ort eines gefährlichen Angriffs werden…“ könnte (siehe den ehemaligen Abs. 3 Z 5), gestrichen wurden, wodurch der neue § 50a Abs. 4 Z 1 auch wegen Unbestimmtheit problematisch sein könnte.

Der Gesetzestext lässt hier Bestimmtheit vermissen, wiewohl vorherzusehen ist, dass gerade diese Bestimmung häufig als Grund der Videoüberwachung angeführt werden wird. Aus Sicht des BMASK gehen jedenfalls die dazu verfassten EB eindeutig zu weit. Die Installierung einer Videoüberwachung sollte lediglich zur Abwehr und Aufklärung gerichtlicher Vorsatzdelikte eingesetzt werden dürfen. Der Hinweis in den Erläuterungen, wonach unter den Begriff des gefährlichen Angriffs „ … allenfalls auch die konkrete Gefahr einer groben Verwaltungsübertretung …“ fallen kann, ist überschießend und daher nach Ansicht des BMASK völlig verfehlt.

Eine Korrektur der Erläuterungen in diesem Punkt wird mit Nachdruck empfohlen.

10.3. Zu § 50a Abs. 4 Z. 3:

Auch diese Vermutung des Nichteingriffs in schutzwürdige Geheimhaltungsinteressen kann nicht überzeugen, da die Tatsache, dass eine fremde Person die Handlung eines Dritten, der möglicherweise von der Beobachtung gar keine Kenntnis hat, über längere Zeit überwacht, an sich ein Eingriff in das Grundrecht darstellt, auch wenn keine weitere Verarbeitung stattfindet.

Die Ausnahme zur Echtzeitüberwachung ist daher nicht unproblematisch.

10.4. Zu § 50c Abs. 2:

Eine Ausnahme von der Meldepflicht für Videoüberwachungen wird grundsätzlich kritisch gesehen. Es ist nicht einzusehen, warum die Echtzeitüberwachung, die einem Dritten die Möglichkeit gibt, ohne die Wahrnehmung des Betroffenen seine Handlungen zu verfolgen, nicht gekennzeichnet sein sollte, auch wenn es nicht zu einer Speicherung kommt. Noch problematischer ist die Ausnahme der Kennzeichnung, wenn die Speicherung auf einem analogen Speichermedium erfolgt.

10.5. Zu § 50e:

Die Auskunft- und Einsichtnahme sind kostenlos zu erteilen; allenfalls könnte die Verpflichtung des Betroffenen bestehen, die notwendigen Kosten eines Datenträgers bezahlen zu müssen.

11. Zu Z 85 bis 89 (§ 52):

Die Novelle sollte auch genutzt werden, um wirklich wirksame und abschreckende Verwaltungsstrafen zu etablieren und um insbesondere die Möglichkeit zu schaffen, abgestufte Geldstrafen (bei wiederholten oder besonders schweren Verstößen) zu verhängen.

Darüber hinaus fehlt eine Bestimmung über die Sanktionierung von Verstößen gegen § 50b.

Mit freundlichen Grüßen

Für den Bundesminister:

Elektronisch gefertigt.