|
|
|
|
|
|
|
An das Bundesministerium |
Abteilungsmail ● v@bka.gv.at bearbeiter ● Mag Dr Clemens MAYR Mag Alexander Flendrovsky Mag Peter Kustor Pers. E-mail ● clemens.mayr@bka.gv.at Alexander.Flendrovsky@bka.gv.at Peter.Kustor@bka.gv.at Telefon ● 01/53115 DW: 2845, 2836, 2554 Ihr Zeichen ● BMF-010000/0029-VI/A/2010 |
|
für Finanzen Abteilung VI/1
Mit E-Mail: e-recht@bmf.gv.at |
|
|
Antwort bitte unter Anführung der GZ an die Abteilungsmail |
|
Entwurf eines Bundesgesetzes
über eine Transparenzdatenbank (Transparenzdatenbankgesetz – TDBG);
Begutachtung; Stellungnahme
Das Bundeskanzleramt-Verfassungsdienst übermittelt zum Entwurf eines Transparenzdatenbankgesetzes die folgende – in Abstimmung mit der Sektion I des Bundeskanzleramtes erstellte – Stellungnahme.
Einleitend wird darauf hingewiesen, dass die Unionsrechtskonformität des im Entwurf vorliegenden Bundesgesetzes vornehmlich vom do. Bundesministerium zu beurteilen ist.
I. Inhaltliche Anmerkungen:
Zu § 1:
In datenschutzrechtlicher Hinsicht ist grundsätzlich festzuhalten, dass es sich bei Transparenzportal und Transparenzdatenbank trotz der fehlenden Zugriffsrechte für andere als die Betroffenen dennoch um Datenanwendungen im Sinn des § 4 Z 7 Datenschutzgesetz 2000 (DSG 2000) und damit um einen Eingriff in das Recht auf Geheimhaltung der von einer Datenverwendung Betroffenen nach § 1 Abs. 1 DSG 2000 handelt. Somit bedarf es nach § 1 Abs. 2 DSG 2000 eines überwiegenden berechtigten Interesses an diesem Eingriff, der darüber hinaus in einem Gesetz hinreichend bestimmt vorgesehen sein muss. Speziell zum Transparenzportal ist darauf hinzuweisen, dass die Verwendung von Daten auch ohne Speicherung einen Eingriff bedeutet (so zB auch die Echtzeitüberwachung nach § 50a Abs. 4 Z 3 DSG 2000).
Im Hinblick auf die hinreichende Bestimmtheit ist aus datenschutzrechtlicher Sicht zunächst von besonderer Bedeutung, dass die Rollenverteilung der einzelnen Akteure klar definiert wird, dh es muss im Gesetzestext deutlich definiert werden, wer als Auftraggeber gemäß § 4 Z 4 DSG 2000 fungiert bzw. wer als Dienstleister im Sinne des § 4 Z 5 DSG 2000 eingesetzt wird. Denn nur so kann festgelegt werden, wer welche Pflichten, die sich aus dem DSG 2000 ergeben, zu erfüllen hat. Offenbar ist die Bundesregierung als Auftraggeberin hinsichtlich der Transparenzdatenbank und des Transparenzportals eingerichtet (arg. „beauftragen“). Aus § 21 ergibt sich in weiterer Folge, dass die BRZ GmbH als Dienstleisterin fungiert. Dies sollte eindeutig zum Ausdruck kommen.
Weiters kann dem Gesetzestext der Zweck der Errichtung des Transparenzportals bzw. der Transparenzdatenbank nicht klar entnommen werden. Lediglich den Erläuterungen ist zu entnehmen, dass der Leistungsempfänger Zugriff auf verschiedenen Datenbanken (darunter die neu zu errichtende Transparenzdatenbank) erhalten soll, um eine Übersicht über sein Einkommen und über Leistungen zu erhalten, die ihm von unterschiedlichen Stellen gewährt wurden. Dies soll der Vereinfachung von Behördenwegen dienen. Aus dem allgemeinen Teil der Erläuterungen ergibt sich weiters, dass für die politischen Entscheidungsträger die Transparenzdatenbank mit bereits vorhanden Datenbanken ein Controllinginstrument sein soll, mit dem unter anderem vorhandene Doppelförderungen analysiert werden können und ein Überblick über gewährte Leistungen erfolgen kann. Aus der Zusammenschau mit dem Gesetzestext kann dies nur die vorgesehenen statistischen Auswertungen von anonymisierten und aggregierten Daten betreffen, da ansonsten keinerlei Zugriffsrechte (außer des Betroffenen selbst) oder ähnliches vorgesehen werden. Sollten solche weiteren Zugriffsrechte jedoch in weiterer Folge aufgenommen werden, wäre dies ausdrücklich im Gesetz zu verankern und einer neuerlichen Verhältnismäßigkeitprüfung im Sinne des DSG 2000 zu unterziehen.
Hinsichtlich der Wichtigkeit der genauen Bestimmung des Zwecks ist auch auf die Schlussanträge zu den verbundenen EuGH-Rechtssachen C‑92/09 und C‑93/09 betreffend die unionsrechtlich gebotene Publikation von Agrardaten zu verweisen. Dort wird ausgeführt, dass das verantwortliche gesetzgeberische Organ in der Lage sein muss, zu erläutern, weshalb der Eingriff (dort eine – sicherlich eingriffsintensivere – Veröffentlichung) im Hinblick auf das verfolgte spezifische Ziel erforderlich, geeignet und verhältnismäßig ist (vgl. RdNr. 120). Die Verhältnismäßigkeit ist an Hand des angestrebten Endergebnisses zu prüfen (vgl. RdNr. 118).
Des Weiteren sollten die Inhalte der Transparenzdatenbank, die sich wohl nur aus § 15 Abs. 2 erschließen lassen, ebenso klar geregelt werden wie der Grad, in dem eine Speicherung in personenbezogener Form erfolgen soll.
Daraus folgt, dass § 1 des Entwurfs aus datenschutzrechtlicher Sicht wohl als zu unbestimmt anzusehen ist und detaillierter ausgestaltet werden sollte.
Zu § 1 letzter Satz ist darüber hinaus Folgendes anzumerken: § 5 Abs. 2 des Bundesgesetzes über die Bundesrechenzentrum GmbH (BRZ GmbH) enthält eine Regelung über die Entlohnung der BRZ GmbH, wobei die Höhe des Entgelts „unter Zugrundelegung der Prinzipien der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit nach dem Grundsatz der Kostendeckung“ festzulegen ist. Da diese Grundsätze auch im vorliegenden Fall maßgeblich sein sollten, sollte ausdrücklich auf § 5 Abs. 2 BRZ GmbH verwiesen werden; ergänzend dazu könnte festgehalten werden, dass für die Frage der Kostendeckung im vorliegenden Fall insbesondere auch vorhandene Synergien zu berücksichtigen sind.
Zu § 2:
Der vorliegende Entwurf regelt die umfassende Speicherung von Daten und den Zugriff auf definierte Leistungen. Der Zugriff auf diese Leistungen soll gemäß Abs. 1 nach Eingabe einer „elektronischen Zugangskennung“ erfolgen, wobei nicht bestimmt ist, um welche Art der Zugangskennung es sich handeln soll. In § 22 Abs. 2 Z 1 wird zwar der Bundesminister für Finanzen ermächtigt, im Einvernehmen mit dem Bundeskanzler die Gewährung einer Zugangskennung festzulegen, die den Voraussetzungen des § 3 des E‑Government-Gesetzes (E‑GovG) entspricht; dies scheint aber nicht ausreichend determinierend zu sein, vielmehr ist es aufgrund des Umfangs und der Art der in der Transparenzdatenbank gespeicherten Daten unabdingbar, bereits im Gesetz die Art des Zugangs konkret festzulegen.
Im elektronischen Verkehr mit Auftraggebern des öffentlichen Bereichs dürfen gemäß den Bestimmungen des E‑GovG Zugriffsrechte auf personenbezogene Daten, an welchen ein schutzwürdiges Geheimhaltungsinteresse im Sinne des § 1 Abs. 1 DSG 2000 besteht, nur dann eingeräumt werden, wenn die eindeutige Identität desjenigen, der zugreifen will, und die Authentizität seines Ersuchens nachgewiesen sind. Die eindeutige Identität ist die Bezeichnung der Nämlichkeit eines Betroffenen durch ein oder mehrere Merkmale, wodurch die unverwechselbare Unterscheidung von allen anderen bewirkt wird. Für die Feststellung der eindeutigen Identität bedarf es eines Elements, wodurch diese unverwechselbare Unterscheidung bewirkt wird. Dazu dient die Bürgerkarte mit ihrer qualifizierten digitalen Signatur (chipkartenbasierend oder in Form der Handy-Signatur). Zusätzlich zur eindeutigen Identität muss auch die Authentizität des Ersuchens nachgewiesen werden. Dies erfolgt durch die qualifizierte elektronische Signatur.
Anzumerken ist in diesem Zusammenhang noch, dass der Bürgerkarte bzw. Handy-Signatur aus Sicherheitsgründen gegenüber Username/Passwort-Lösungen (etwa Zugang über eine FinanzOnline-Zugangskennung) der Vorzug zu geben ist. Username/Passwort-Lösungen können nämlich wesentlicher leichter kompromittiert werden als Lösungen, die auf der Bürgerkarte aufbauen. Die Erfahrungen aus dem Online-Banking haben gezeigt, dass immer mehr Banken ihre Username/Passwort-Zugänge gegen sicherere Zugänge tauschen, um das Risiko von Angriffen über das Internet (zB von Phishing) zu minimieren bzw. ganz auszuschließen. Es sollte daher auch für den Zugang zur Transparenzdatenbank aus diesen Erfahrungen profitiert und sichergestellt werden, dass nicht von Hackern auf fremde Daten zugegriffen werden kann.
Zu Abs. 2 ist anzumerken, dass die „Haushaltsbetrachtung“ bei Verwendung der Bürgerkarte auch ohne weitere Eingabe einer Zugangskennung möglich wäre, indem Leistungsempfänger, die gemeinsam die erhaltenen Leistungen abfragen wollen, gleichzeitig gemeinsam mit der jeweiligen Bürgerkarte eine Abfrage vornehmen.
Anzumerken ist allerdings, dass der Klammerausdruck (Haushaltsbetrachtung) nicht sachgerecht erscheint, da nach dem in der österreichischen Rechtsordnung verwendeten Begriff privater Haushalt darunter gewöhnlich „alle in einer Wohnung oder einer sonstigen Unterkunft in einer Wirtschaftsgemeinschaft zusammen lebenden Personen“ zu verstehen sind. Eine Beschränkung der Abfragemöglichkeit auf jeweils diesen Personenkreis lässt sich dem in § 2 Abs. 2 vorgesehenen Modell der Transparenzportalabfrage in keiner Weise entnehmen. Weiters ist darauf hinzuweisen, dass gerade in Familiensituationen fraglich erscheinen kann, ob die für eine datenschutzrechtliche Zustimmung nach § 4 Z 14 DSG 2000 (als solche wird man die gleichzeitige Eingabe der Zugangskennung zu werten haben) erforderliche Freiwilligkeit gegeben ist. Dies ist vor dem Hintergrund zu sehen, dass schutzwürdige Geheimhaltungsinteressen auch zwischen Personen bestehen, die in einem gemeinsamen Haushalt leben.
Zu § 3:
Es sollte erwogen werden, eine nähere Zweckbestimmung des Transparenzportals vorzunehmen.
Zu § 4:
Zunächst ist darauf hinzuweisen, dass der in Abs. 1 erster Satz vorgesehene „Beschluss der Bundesregierung“ mehrfache Rechtswirkungen entfaltet. Einmal dürfte er im Sinn einer reinen „Selbstbindung“ Voraussetzung für einen Auftrag an die BRZ GmbH sein. Er ist aber auch Tatbestandsvoraussetzung für die mit einem Eingriff in das Recht auf Geheimhaltung verbundene Gruppierung und Zusammenfassung, so dass auch die Voraussetzungen des Beschlusses näher zu determinieren wären.
Weiters erscheint der Zugriff für derartige Auswertungen auf die Daten aus der Transparenzdatenbank nicht ausreichend geregelt, auch hier scheint eine genauere Determinierung erforderlich. Für die in Abs. 1 zweiter Satz vorgesehene Speicherung von Daten (wohl in personenbezogener Form) erscheinen zusätzliche Datensicherheitsmaßnahmen angebracht.
Darüber hinaus wird angeregt, die Bundesanstalt Statistik Österreich generell für die Auswertungen als Dienstleister heranzuziehen, da die Statistik Österreich bereits über das erforderliche Fachwissen und die notwendige Infrastruktur verfügt, um diese Auswertungen unter Anwendung des Konzepts der bereichsspezifischen Personenkennzeichen (bPK) und somit datenschutzgerecht anonymisiert und aggregiert durchzuführen. Die Statistik Österreich hat zudem solche Auswertungen bereits im Rahmen der Volks-, Arbeitsstätten-, Gebäude- und Wohnungszählung auf Grundlage des Registerzählungsgesetzes durchgeführt. Die Heranziehung der Statistik Österreich auf „verwaltungsökonomische Gründe“ (Abs. 2) zu beschränken, ist daher zu eng. Aus Gründen der Zweckmäßigkeit und Einfachheit sollte immer die Statistik Österreich als Dienstleister herangezogen werden.
Außerdem unterliegt die Bundesanstalt Statistik Österreich bei der Wahrnehmung von statistischen Aufgaben den Grundsätzen des § 24 Bundesstatistikgesetzes 2000 und der EU-Verordnung (EG) Nr. 223/2009 über die Gemeinschaftsstatistiken, ABl. Nr. L 87 vom 31.03.2009, S 164, die die erforderliche Objektivität, Sachlichkeit und Qualität der statistischen Auswertungen sowie Vertraulichkeit der Daten gewährleisten. Seitens der EU-Kommission wurden im Rahmen von Benchmarkings alle statistischen Ämter der Mitgliedstaaten geprüft, bei denen die Bundesanstalt Statistik Österreich zuletzt im Jahr 2006 gemeinsam mit dem Statistikamt von Finnland den ersten Rang erreicht hat.
Um bei den Auswertungen die notwendige sachliche Autorität, Qualität und Objektivität sicherzustellen, ist es daher angezeigt, die für diese Aufgaben in Europa führende Institution in Österreich, nämlich die Bundesanstalt Statistik Österreich heranzuziehen.
Außerdem können von der Bundesanstalt Statistik Österreich über bPK unter Wahrung des Datenschutzes auch Auswertungen mit Haushaltszusammenhang, auf lokaler Ebene usw. durchgeführt werden, was auf eine andere Weise ordnungsgemäß nicht möglich ist, sodass ohne zusätzlichen Aufwand die Daten der Transparenzdatenbank aussagekräftiger ausgewertet werden können. Der Grundsatz der Sparsamkeit, Zweckmäßigkeit und Wirtschaftlichkeit gebietet es daher, dass die Bundesanstalt Statistik Österreich die Auswertungen vornimmt.
Vor dem Hintergrund des § 4 Abs. 1 letzter Satz könnte fraglich erscheinen, welche Ziele mit der Transparenzdatenbank genau verfolgt werden sollen: Neben der in § 2 vorgesehenen Zugriffsmöglichkeit für Leistungsempfänger auf sämtliche ihm gewährten Leistungen sind nach § 4 Auswertungen möglich, wobei es sich – wie auch in den Erläuterungen ausgeführt wird – hier um die Auswertung von Daten in aggregierter und anonymisierter Form handelt. Es sollte jedoch klar zum Ausdruck gebracht werden, was damit gemeint ist, dass der jeweilige Bundesminister „im Rahmen seines Wirkungsbereiches über Daten verfügen“ kann. Insbesondere wäre die Einrichtung einer umfassenden Datei über einzelne Personen beim Bundesministerium für Finanzen, aus der ein „Profil“ der jeweiligen Person erstellt werden könnte, abzulehnen, da nicht sichergestellt ist, dass nicht aus verschiedenen Verwaltungsbereichen Daten unzulässigerweise personenbezogen verknüpft werden könnten und somit die datenschutzrechtlichen Vorgaben nicht mehr eingehalten werden.
Wenn mit dem letzten Satz des Abs. 1 bloß ausgedrückt werden soll, dass sich durch die Übermittlung von Daten an die Transparenzdatenbank durch diesen Bundesminister nichts an dessen Stellung als datenschutzrechtlicher Auftraggeber für andere Datenanwendungen ändert, dann sollte der Entwurf entsprechend präzisiert werden. Die Formulierung ist insofern missverständlich, als sie auch derart verstanden werden könnte, dass der Bundesminister generell ohne nähere gesetzliche Ermächtigung zur Verwendung personenbezogener, in seinem Ressort vorhandener Daten (samt Vornahme von Auswertungen) ermächtigt wird, was viel zu unbestimmt und daher mit § 1 Abs. 2 DSG 2000 nicht vereinbar wäre.
Sofern allerdings geplant sein sollte, die Daten auch für andere Zwecke als für Auswertungen zu verwenden, wie etwa die Möglichkeit der Einschau einer leistenden Stelle in die Datenbank mit Zustimmung des Betroffenen, ob für die Person bereits eine bestimmte Förderung gewährt wurde und somit eine doppelte Auszahlung vermieden werden kann, müsste dies explizit gesetzlich verankert werden (derzeit sieht § 3 lediglich vor, dass der Leistungsempfänger einen Auszug erstellen und übermitteln kann). Sollten derartige Möglichkeiten angedacht werden, wäre insbesondere auch der Grundsatz der Verhältnismäßigkeit zu berücksichtigen.
Zu den §§ 15 bis 17:
Nochmals ist an dieser Stelle zu betonen, dass der Zweck, der Inhalt und die Form der Speicherung von Daten in der Transparenzdatenbank aus dem Entwurf nicht klar genug hervorgehen. Weiters erfolgt keine Regelung, inwieweit auf die Transparenzdatenbank zugegriffen werden darf, um etwa Richtigstellungen bzw. Löschungen (§ 27 DSG 2000) vornehmen zu können.
Nach § 16 Abs. 2 haben der Bundesminister für Finanzen, das AMS bzw. der Hauptverband der Sozialversicherung der BRZ GmbH zum Zweck der Erstellung der Auswertungen die dafür erforderlichen Daten aus ihren Datenbanken zur Verfügung zu stellen. Um Unklarheiten zu vermeiden, sollten datenschutzrechtliche Begriffe verwendet werden. Wenn es sich bei diesem „Zurverfügungstellen“ um eine Übermittlung im datenschutzrechtlichen Sinn, also um eine Übermittlung vom Auftraggeber (BMF, AMS, HV) an die Bundesregierung (als Auftraggeberin der Transparenzdatenbank) handelt, sollte dies auch so bezeichnet werden. Weiters stellt sich im Lichte des Verhältnismäßigkeitsgrundsatzes die Frage, ob es ausreichend wäre diese Übermittlung anonymisiert bzw. nur mit verschlüsselten bPK vorzunehmen.
Die Treffsicherheit bei der Abfrage von Datenbanken ist Grundvoraussetzung für eine korrekte Zuordnung der Daten zur Person. Bei Verwendung von Namen und Geburtsdatum als Suchkriterien in Datenbanken ist diese korrekte Zuordnung in vielen Fällen nicht möglich (man denke etwa an die zahlreichen Namensdoubletten). Auch eine Verwendung der Sozialversicherungsnummer (wie in § 17 Abs. 1 Z 3 normiert) als Suchkriterium ergibt – wie es die Praxis gezeigt hat – besonders bei einer Abfrage über mehrere Verwaltungsbereiche in einer Vielzahl von Fällen nicht zulässige Falschzuordnungen. Aus E‑Government-Sicht sind daher die Suchkriterien Namen und Geburtsdatum sowie Sozialversicherungsnummer abzulehnen, da Mehrfachtreffer oder Falschzuordnungen nicht nur wahrscheinlich sind, sondern in vielen Fällen auch stattfinden werden. Aus datenschutzrechtlicher Sicht ist die Schlussfolgerung des Datenschutzrates in der Stellungnahme vom 25. Februar 2010 hervorzuheben, in der festgehalten wird, dass eine Verwendung der Sozialversicherungsnummer für Bereiche, die nicht in der Ingerenz der Sozialversicherung liegen, aus datenschutzrechtlicher Sicht abzulehnen und den E‑Government-Lösungen des Bundes unter Gewähr der höchstmöglichen Datensicherheitsmaßnahmen der Vorzug zu geben ist.
Um die gesetzlichen Vorgaben zu erfüllen, soll daher umfassend das System der bPK eingesetzt werden, das eine eindeutige Zuordnung der Personen in den jeweiligen Datenbanken garantiert. Da bereits eine Reihe von Behörden ihre Datenbanken (etwa auf Grund der Bestimmungen des Registerzählungsgesetzes) mit bPK ausgestattet hat, ist die Verwendung von bPK nicht nur zu präferieren sondern auch leicht umsetzbar, da die Mechanismen bereits zur Verfügung stehen. Derzeit sind ca. 68 Mio. direkt und ca. 180 Mio. verschlüsselt mit bPK ausgestattete personenbezogene Datensätze vorhanden. Für die Behörden, die noch keine bPK-Ausstattung ihrer Datenbank vorgenommen haben, ist diese nachträglich leicht möglich. Dies kann in Form einer sogenannten Gesamtausstattung der Datenbank (allen in der Datenbank vorhandenen natürlichen Personen werden bPK zugeordnet) erfolgen. Falls eine Gesamtausstattung nicht tunlich ist, kann ein Modul zur Integration in das bestehende Formular (zB eines Förderantrags) bereitgestellt werden, um im Hintergrund automatisch eine bPK zu vergeben oder ein elektronisches Service im Rahmen der Datenschnittstelle zur Erstellung von bPK integriert werden. Abschließend wäre in diesem Zusammenhang noch anzumerken, dass durch die Verwendung von bPK eine automatisierte und vor allem anonymisierte Verwendung der personenbezogenen Daten ermöglicht wird. Dies war auch im Bereich der Umgestaltung der seinerzeitigen „Volkszählung“ eine wesentliche Forderung aus datenschutzrechtlicher Sicht, der vom Parlament mit dem Registerzählungsgesetz Rechnung getragen wurde. Dabei werden die Daten an die zentrale Datenbank nicht mit einem Namen übermittelt, sondern mit einer Kennzahl, die nur der Absender, nicht aber der Empfänger entschlüsseln kann. Der Empfänger kann sie aber dann durchaus zusammenführen, statistisch auswerten und Fallprofile erstellen; er weiß aber nie, wie die Person heißt, die sich „hinter der Ziffer verbirgt“. Bisher arbeiten die großen Datenaustauschsysteme auf dieser Basis. Man wird gebotener Weise dieses Verschlüsselungssystem auch bei der Transparenzdatenbank anwenden müssen.
Aus E‑Government-Sicht und aus datenschutzrechtlicher Sicht ist daher der Verwendung von bereichsspezifischen Personenkennzeichen gegenüber der Verwendung der Sozialversicherungsnummer der Vorzug zu geben. Die Verwendung von bPK gewährleistet (wie bereits im Rahmen der Registerzählung erfolgt) eine anonymisierte Verwendung der personenbezogenen Daten.
Zu erinnern ist in diesem Zusammenhang, dass seinerzeit im Gesetzgebungsprozess für das Bundesstatistikgesetz 2000 ursprünglich die Zusammenführung der Daten über die Sozialversicherungsnummer vorgesehen war. Dies wurde sowohl vom Datenschutzrat als auch von der Datenschutzkommission entschieden abgelehnt. Dabei ist noch zu bedenken, dass damals das Instrument der bPK noch nicht zur Verfügung stand. Es ist daher zu erwarten, dass in dieser Haltung keine Änderung eingetreten ist, zumal nunmehr ohne Sozialversicherungsnummer über bPK datenschutzkonform Daten aus unterschiedlichen Quellen zusammengeführt werden können.
Da die anonymisierten Daten der Transparenzdatenbank auch für andere Statistiken von Bedeutung sind, ist es auch aus Gründen einer Reduzierung der Kosten der statistischen Erhebungen und Entlastung der leistenden Stellen erforderlich, in der Transparenzdatenbank zu den Daten und dem bPK für die Transparenzdatenbank das verschlüsselte bPK‑AS (Amtliche Statistik) zu führen, um bei statistischen Erhebungen im Anlassfall anonymisiert Daten aus der Transparenzdatenbank und aus anderen Quellen zusammenführen zu können.
Nach Ansicht des Bundeskanzleramtes liegt bei der Einrichtung der Transparenzdatenbank die Chance, Verwaltungsreform und Kostenersparnis tatsächlich zu praktizieren.
Schließlich sollte in § 17 Abs. 1 Einleitungssatz das Wort „insbesondere“ entfallen, da nicht ersichtlich ist, auf Grund welcher Parameter weitere Inhalte verpflichtend in die Mitteilung aufzunehmen wären.
Zu § 18:
Abs. 2 normiert, dass eine nachträgliche Änderung unverzüglich nach der Änderung zu übermitteln ist. Fraglich ist, wie die Änderung dann in der Transparenzdatenbank erfolgt bzw. wer diese durchführt.
Zu den §§ 20 und 21:
§ 20 erster Satz dürfte davon ausgehen, dass die mitgeteilten Daten und der Inhalt der Transparenzdatenbank stets übereinstimmen. Die Frage der Verantwortung stellt sich aber gerade in den Fällen, in denen hier Divergenzen auftreten; vor diesem Hintergrund erscheint die Bedeutung des § 20 erster Satz im Zusammenhang mit der Regelung des § 21 Abs. 2 unklar. Es ist daher noch einmal anzuraten, die Verantwortung insb. für die Frage der Datenaktualität und ‑richtigkeit durch eine klare datenschutzrechtliche Rollenverteilung eindeutig festzulegen. Auch im Lichte der EG-Datenschutzrichtlinie ist es geboten, dass für jede Datenanwendung ein Auftrageber („für die Verarbeitung Verantwortlicher“ in der Diktion der Richtlinie) vorhanden sein muss, dem die Rechte und Pflichten nach § 1 Abs. 1 sowie den §§ 24 ff DSG 2000 zugeordnet sind, auch wenn die faktische Erfüllung dieser Rechte und Pflichten teilweise im Innenverhältnis durch einen Dienstleister erfolgt. Datenschutzrechtlich ist der Auftraggeber für die Richtigkeit der verwendeten Daten verantwortlich. Die Formulierung, dass der Dienstleister „vertraglich zur Einhaltung sämtlicher Datenschutzbestimmungen“ verpflichtet werden soll, scheint missverständlich und ist in dieser Form rechtlich fragwürdig. Vielmehr muss die BRZ GmbH die in § 11 DSG 2000 normierten Dienstleisterpflichten einhalten. Diese datenschutzrechtliche Rollenverteilung und damit verbundenen Verantwortlichkeiten können auch nicht geändert werden. Die Haftungsregelung sollte nicht darauf beschränkt werden, zu normieren, wer für etwas nicht haftet, sondern auszusprechen, wer tatsächlich die Verantwortung trägt.
Zu § 22:
Eine Ermächtigung durch Verordnung zu Eingriffen in das Grundrecht auf Datenschutz müsste im Gesetz viel detaillierter vorherbestimmt werden als dies im Abs. 1 der Fall ist.
In Abs. 2 fehlen nähere Bestimmungen zu Datensicherheitsmaßnahmen.
Da davon auszugehen ist, dass die Festlegungen der Transparenzdatenbank-Betriebsverordnung jedenfalls zu ergehen haben, sollte in Abs. 2 eine verpflichtende Verordnungserlassung normiert werden.
Unklar ist, was mit der Regelung des Abs. 2 Z 2 und 5 jeweils letzter Halbsatz (Zugriff über eine bestimmte geeignete öffentlich-rechtliche oder privatrechtliche Übermittlungsstelle) gemeint ist; dies sollte zumindest in den Erläuterungen näher dargelegt werden.
II. Abschließende Bemerkung: E‑Government Strategie zur Verbreitung der Bürgerkarte:
Neben der Beurteilung der Verwendung des Systems der Bürgerkarte und bPK aus E‑Government-Sicht ist auf das Regierungsprogramm der XXIV. Gesetzgebungsperiode hinzuweisen, das im Kapitel „Leistungsfähiger Staat“ zur Verbesserung in der Handhabung der Bürgerkarte für Bürgerinnen und Bürger und Ausweitung der Anwendungsmöglichkeiten, um Amtswege und private Geschäfte sicher elektronisch abwickeln zu können, bestimmt, dass alle IT-Verfahren und Portale der Verwaltung des Bundes, der Länder und Gemeinden die Anmeldung mit Bürgerkarte unterstützen sollen. Alle neu einzurichtenden elektronischen Verfahren sollen auf die Identifikation mittels Bürgerkarte aufbauen. Dieses Ziel ist eine konsequente Weiterführung der E‑Government-Strategie zur Verbreitung der Bürgerkarte. So wurde bereits im Ministerrat vom 1. Februar 2008 beschlossen, dass alle IT-Verfahren und Portale der Verwaltung des Bundes, der Länder und Gemeinden die Anmeldung mit Bürgerkarte unterstützen sollen und dass dadurch Inhabern von Bürgerkarten ein einheitlicher Zugang zu allen E‑Government-Verfahren ermöglicht wird. Im Ministerratsbeschluss vom 11. Mai 2010 wurde im Rahmen der Verwaltungsreform die Ausweitung von e‑Card- und Signaturanwendungen (gemeint ist damit die Bürgerkarte) als eines von fünf Projekten definiert. Im Ministerrat vom 24. August 2010 wurde im Rahmen der „BürgerInnen Entlastung“ als wichtigste Maßnahme beschlossen, eine möglichst große Verbreitung der „Handy-Signatur“ zu erzielen, die im Rahmen des Bürgerkartenkonzepts (qualifizierte elektronische Signatur und eindeutige elektronische Identifikation) entwickelt wurde, um die Voraussetzung für mehr E‑Government für Bürgerinnen und Bürger zu schaffen. Dazu soll eine umfassende Strategie erstellt werden, die als Elemente insbesondere die Bereitstellung der Handy-Signatur in bereits vorhandenen elektronischen Verfahren und den Ausbau des Angebotes von elektronischen Verfahren mit integrierter digitaler Signatur umfasst.
Das Regierungsprogramm und zahlreiche Ministerratsbeschlüsse legen als Ziel eine umfassende Verwendung der Bürgerkarte fest. Alle neu einzurichtenden elektronischen Verfahren sollen auf die Identifikation mittels Bürgerkarte aufbauen. Es wäre daher im Transparenzdatenbankgesetz explizit festzulegen, dass eine Identifikation mittels Bürgerkarte zu erfolgen hat.
III. Anmerkungen in sprachlicher und legistischer Hinsicht:
Allgemeines:
Zu legistischen Fragen darf allgemein auf die Internet-Adresse http://www.bundeskanzleramt.at/legistik hingewiesen werden, unter der insbesondere die Legistischen Richtlinien 1990 und verschiedene, legistische Fragen betreffende Rundschreiben des Bundeskanzleramtes-Verfassungsdienst zugänglich sind.
Zum Inhaltsverzeichnis:
Die Überschrift zu § 16 stimmt mit dem diesbezüglichen Eintrag im Inhaltsverzeichnis nicht überein.
Zu § 4:
Ungeachtet der inhaltlichen Anmerkungen zu § 4 Abs. 1 letzter Satz (oben unter I.) sollte in systematischer Hinsicht klar zum Ausdruck gebracht werden, dass sich diese Bestimmung auf das Erfordernis eines Beschlusses der Bundesregierung bezieht (und nicht auf die unmittelbar davor vorgesehene Löschungsverpflichtung).
Zu § 7:
In Z 4 wäre noch ein Zeitwort zu ergänzen („4. die Finanzierung …erfolgt und …“).
Zu § 9:
§ 9 Abs. 2 sollte die korrekte Formatvorlage 51_Abs zugewiesen werden.
In § 9 Abs. 2 Z 1 ist die Wortfolge „eines Landtages sowie deren Hinterbliebene“ offenbar irrtümlich doppelt angeführt.
In § 9 Abs. 2 Z 3 wäre noch die Fundstelle des Bezügegesetzes zu ergänzen.
Zu § 11
In Abs. 3 Z 4 sollte klar zum Ausdruck gebracht werden, ob sich die Regelung des letzten Halbsatzes betreffend die Aufnahme einer Anmerkung in der Darstellung auf die gesamte Ziffer oder nur auf die unmittelbar davor genannten „Leistungen aufgrund der Teilnahme an Agrarumweltmaßnahmen und an der Ausgleichszulage für benachteiligte Gebiete“ bezieht.
In Abs. 3 Z 7 hätte es „Kreditkostenzuschüsse“ zu lauten.
Zu § 16:
Zum einen sollte der Zeitpunkt, zu dem die Frist des § 16 Abs. 2 zu laufen beginnt, im Gesetz normiert werden; zum anderen erscheint es fragwürdig, den Fristbeginn an den Zeitpunkt des Einlangens des Ersuchens bei einem Dritten zu knüpfen (so die Erläuterungen).
IV. Zu Vorblatt und Erläuterungen:
Gemäß § 14 Abs. 1 BHG ist jedem Entwurf für (ua.) ein Bundesgesetz von dem Bundesminister, in dessen Wirkungsbereich der Entwurf ausgearbeitet wurde, eine den Richtlinien gemäß § 14 Abs. 5 BHG entsprechende Darstellung der finanziellen Auswirkungen anzuschließen, aus der insbesondere hervorzugehen hat, wie hoch die durch die Durchführung der vorgeschlagenen Maßnahmen voraussichtlich verursachten Ausgaben oder Einnahmen sowie Kosten oder Erlöse für den Bund im laufenden Finanzjahr und mindestens in den nächsten drei Finanzjahren zu beziffern sein werden (siehe dazu auch die Ausführungen im Rundschreiben des Bundeskanzleramtes-Verfassungsdienst GZ BKA‑600.824/0002-V/2/2007, betreffend Legistik und Begutachtungsverfahren; Vorblatt und Erläuterungen; Darstellung der Auswirkungen von Rechtssetzungsvorhaben, unter Punkt 6.2). Eine solche Darstellung kann dem vorliegenden Entwurf nur äußerst unvollständig entnommen werden.
Bei der Angabe der Kompetenzgrundlagen sollte auch Art. 10 Abs. 1 Z 13 (sonstige Statistik, soweit sie nicht nur den Interessen eines einzelnen Landes dient) genannt werden.
Diese Stellungnahme wird im Sinne der Entschließung des Nationalrates vom 6. Juli 1961 u.e. auch dem Präsidium des Nationalrats zur Kenntnis gebracht.
19. September 2010
Für den Bundeskanzler:
HESSE
Elektronisch gefertigt