|
|
BALLHAUSPLATZ 2, A-1014 WIEN GZ ● Telefon ● (+43 1) 53115/2527 FAX ● (+43 1) 53115/2702 E-MAIL ● DSRPOST@BKA.GV.AT DVR: 0000019
|
|
Per Mail: Iris.Leixner@bmf.gv.at
|
|
Betrifft: Stellungnahme des Datenschutzrates
Bundesgesetz, mit dem ein Bundesgesetz über die Erbringung von Zahlungsdiensten (Zahlungsdienstegesetz – ZaDiG) erlassen wird sowie das Bankwesengesetz, das Fern-Finanzdienstleistungs-Gesetz, das Konsumentenschutzgesetz, das Finanzmarktaufsichtsbehördengesetz und das Versicherungsaufsichtsgesetz geändert werden und das Überweisungsgesetz aufgehoben wird
Der Datenschutzrat hat in seiner 186. Sitzung am 6. März 2009 mit einstimmig beschlossen, zu der im Betreff genannten Thematik folgende Stellungnahme abzugeben:
Grundsätzlich befindet der Datenschutzrat den gegenständlichen Gesetzesentwurf legistisch für wenig geglückt.
Zu legistischen Fragen darf allgemein auf die Internet-Adresse http://www.bundeskanzleramt.at/legistik hingewiesen werden, unter der insbesondere die Legistischen Richtlinien 1990 (im Folgenden zitiert mit „LRL …“), das EU‑Addendum zu den Legistischen Richtlinien 1990 (im Folgenden zitiert mit „RZ ... des EU‑Addendums“) und verschiedene, legistische Fragen betreffende Rundschreiben des Bundeskanzleramtes-Verfassungsdienst zugänglich sind.
Zu § 5 „Erfordernis und Umfang einer Konzession“:
§ 5 Abs. 2 Z 1 sieht vor, dass Zahlungsinstitute unter anderem betriebliche und eng verbundene Nebendienstleistungen wie „Dienstleistungen für die Sicherstellung des Datenschutzes sowie Datenspeicherung und –verarbeitung“ erbringen dürfen. In Zusammenhang mit dieser – Art. 16 Abs. 1 lit. a der RL 2007/64/EG entsprechenden – Bestimmung ist aus datenschutzrechtlicher Sicht darauf hinzuweisen, dass die Tätigkeit als Dienstleister im Sinne von § 4 Z 5 DSG 2000 grundsätzlich den Abschluss eines Dienstleistervertrags gemäß § 10 DSG 2000 erfordert. Gesetzliche Pflichten eines datenschutzrechtlichen Dienstleisters sind ferner in § 11 DSG 2000 festgelegt.
Zu § 7 „Konzessionserteilung“:
Zu § 7 Abs. 2 sollte geprüft werden, ob die „einschlägigen Behörden in Österreich und gegebenenfalls in anderen Mitgliedstaaten oder in Drittstaaten …“, die (wohl von der FMA) vor der Konzessionserteilung konsultieren sind, näher bestimmt werden können.
§ 10 „Firmenbuch und Zahlungsinstitutsregister“:
Es wird angeregt, gesetzlich festzuschreiben, welcher Zweck durch die mit der Schaffung eines öffentlichen Registers verbundene Datenverwendung (Veröffentlichung) angestrebt wird. Diese Klarstellung erscheint insbesondere vor dem Hintergrund der jüngeren Judikatur des EuGH notwendig, welche auch die weitere Verwendung veröffentlichter Daten dem Anwendungsbereich der Datenschutz-Richtlinie 95/46/EG unterwirft und somit eine gewisse Zweckbindung annimmt (vgl. EuGH Rs. C-73/07 vom 16.12.2008 Rz 48f).
Zu § 19 „Organisatorische Anforderungen, Verschwiegenheits- und Sorgfaltspflichten“:
Im Hinblick auf das Grundrecht auf Datenschutz wird angeregt, die Bestimmung in Abs. 1 betreffend die „Verarbeitung und Aufbewahrung personenbezogener Daten zur Verhütung, Ermittlung oder Feststellung von Betrugsfällen im Zahlungsverkehr“ genauer zu determinieren. Es ist davon auszugehen, dass hier eine verfassungskonforme Umsetzung der dieser Regelung zu Grunde liegenden Richtlinie erfolgen soll. Da eine „Vorratsdatenspeicherung“ wohl als unverhältnismäßig zu qualifizieren wäre, erhebt sich die Frage, in welchen Fällen (z.B. bei Vorliegen eines begründeten Verdachts?) eine Verarbeitung von Daten zulässig sein soll. Weiters sollte auch klargestellt werden, wer zur Verarbeitung der Daten als Auftraggeber im Sinne von § 4 Z 4 DSG 2000 ermächtigt ist (gemäß Art. 79 der RL 2007/64/EG „Zahlungsdienstleister“), welche Datenarten gespeichert dürfen und ob bzw. an wen eine allfällige Übermittlung dieser Daten erfolgen darf. Ferner sollte aus Verhältnismäßigkeitsgesichtspunkten festgelegt werden, wie lange personenbezogene Daten für Zwecke der Betrugsbekämpfung gemäß Abs. 1 maximal gespeichert werden dürfen; die Frist des § 18 (relevante „Aufzeichnungen und Belege“ sind mind. 5 Jahre aufzubewahren) erscheint diesbezüglich zu lang.
Der Datenschutzrat hat in seiner 186. Sitzung eine schriftliche Stellungnahme des BMF eingefordert. Nach Prüfung der Stellungnahme durch die Geschäftsstelle des Datenschutzrates wird angeregt, den letzten Satz des § 19 Abs. 1 zu streichen und stattdessen § 18 um folgenden weiteren Satz zu ergänzen:
„Die Verwendung der für die Zwecke des 2. Hauptstückes verarbeiteten Daten ist für Zwecke der Verhütung, Ermittlung oder Feststellung von Betrugsfällen im Zahlungsverkehr nach Maßgabe des DSG 2000 und nach Maßgabe der gesetzlichen Zuständigkeiten zulässig.“
Zu § 19 Abs. 3 Z 3 wird angeregt, den Satz wie folgt zu ergänzen:
„3. Datensicherheitsmaßnahmen gemäß § 14 DSG 2000, BGBl. I Nr. 165/1999 sowie ein angemessenes Notfallkonzept für Datenverarbeitungssysteme“.
Zu § 50 „Datenschutz“:
Es sollte geprüft werden, ob die Bereiche, in denen eine Datenverarbeitung durch die FMA zulässig sein soll, vollständig aufgezählt sind (ggf. Erwähnung des Zahlungsinstitutsregisters oder der Kostenbestimmungen gemäß § 49).
In Abs. 3 sollte der Verweis „…an zuständige Behörden von Mitgliedstaaten gemäß Abs. 1…“ richtigerweise „…an zuständige Behörden von Mitgliedstaaten gemäß Abs. 2…“ lauten.
Zu § 60 Abs. 2 „Kontaktstelle und Informationsaustausch“:
Eingriffe in das Grundrecht auf Datenschutz dürfen gemäß § 1 Abs. 2 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 2/2008, von einer staatlichen Behörde nur auf Grund von Gesetzen erfolgen, die aus den in Art.8 Abs.2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) BGBL.Nr.210/1958, genannten Gründen notwendig ist. Die Prüfung, ob es das wirtschaftliche Wohl des Landes erfordert, dass die Finanzmarktaufsicht für Zwecke der Zusammenarbeit von ihren Befugnissen Gebrauch macht, auch wenn der Gegenstand der Ermittlung keinen Verstoß gegen eine österreichische Rechtsvorschrift darstellt, unterliegt grundsätzlich der Prüfung des zuständigen Fachressorts und kann nicht abschließend überprüft werden.
In Abs. 2 wird zur Klarstellung, dass sich der Informationsaustausch gemäß § 60 nur auf Behörden der EU-Mitgliedstaaten bezieht, folgende Ergänzung vorgeschlagen: „…anderen Behörden, die in anderen Mitgliedstaaten für die Aufsicht über Zahlungs- und Abwicklungssysteme… zuständig sind“.
§ 61 „Zusammenarbeit bei der Überwachung, Überprüfung vor Ort und bei Ermittlungen“
Das Verhältnis der § 50 Abs. 3 und § 61 Abs. 2 betreffend die Zusammenarbeit mit Behörden in Drittstaaten erscheint unklar; insofern die Bestimmung des § 61 Abs. 2 den Eindruck erweckt, die Zusammenarbeit mit den zuständigen Behörden in Drittländern erfolge ausschließlich gemäß §§ 77 und 77a BWG, sei darauf hingewiesen, dass der Informationsaustausch gemäß § 50 Abs. 3 richtigerweise zusätzlich die Übereinstimmung mit Kapitel IV der RL 95/46/EG (internationaler Datenverkehr) und somit insbesondere das Vorliegen eines angemessenen Datenschutzniveaus in Drittländern erfordert.
30. März 2009
Für den Datenschutzrat:
Der Vorsitzende:
WÖGERBAUER
Elektronisch gefertigt