Kamingespräch mit Dr. Zeger: Wie viel darf die Behörde wissen?

Das Zentrum für E-Government veranstaltet in regelmäßigen Abständen Kamingespräche zu aktuellen Themen aus Politik und Wissenschaft. Freitag den 12. März 2010 war das  Thema „Datenschutz – Wie viel soll/darf eine Behörde über ihre BürgerInnen wissen?“ Diesmal zu Gast: Dr. Hans G. Zeger, Mitglied des Datenschutzrates  im Bundeskanzleramt, Geschäftsführer der e-commerce monitoring GmbH, Obmann der ARGE DATEN und Buchautor.


Gleich einleitend stellte Hans Zeger klar, dass nicht der Schutz von Daten sondern die persönlichen Rechte und Freiheiten der Menschen im Internet das vorrangige Ziel des Datenschutzes darstellen. Seit ca. 1970 gibt es in Österreich automatisierte Datenverarbeitung. Damit einher gehen Fragen des Datenschutzes. 1978 wurde das erste Datenschutzgesetz entworfen. In der damaligen Erhebung des statistischen Zentralamts wurden ca. 150 Personen identifiziert, die mit elektronischen Daten arbeiten. Bereits damals kam der Begriff des „gläsernen Bürgers“ auf, worauf der Entschluss der damaligen Bundesregierung gefasst wurde, nicht alle elektronischen Daten in einem Amt, in dem die Daten zusammengefasst werden könnten, zu verarbeiten.

Die EU-Datenschutzrichtlinie

1995 wurde nach langjähriger Diskussion von den damals 12 Mitgliedern die EU-Datenschutzrichtlinie beschlossen. Der gemeinsame Konsens muss im Kontext betrachtet werden, dass Griechenland zu dieser Zeit keinerlei Regelung hinsichtlich des Schutzes privater Daten hatte, währenddessen Länder wie Frankreich oder Deutschland ein sehr ausgeprägtes Selbstverständnis von Datenschutz hatten. Die Direktive von 1995 wurde daher so formuliert, dass kein Land, das bereits über Regelungen betreffend des Schutzes privater Daten hatte, schlechter gestellt wurde als zuvor, wodurch das Gesetz durchaus „restriktiv“ ausfiel. 1999 wurde die Umsetzung in Österreichisches Recht beschlossen und das DSG trat 2000 in Kraft, mit 2010 wird das Gesetz novelliert.

Die EU-Richtlinie beschreibt bereits in Artikel 1, Absatz 1 und 2 das Spannungsfeld zwischen den Grundprinzipien der EU (damals EG) (freier Personen-, freier Waren-, freier Dienstleistungs- und freier Kapitalverkehr) und dem Schutz von personenbezogenen Daten

(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.

(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.

Während die EU-Richtlinie nur von einem Schutz der Privatsphäre natürlicher Personen spricht, wurde die Umsetzung der Richtlinie in Österreich (DSG) auf juristische Personen ausgeweitet, womit sich im Fall einer richterlichen Auseindersetzung, an der natürliche und juristische Personen beteiligt sind, die Frage stellt, wer ein höheres Schutzbedürfnis hat: eine juristische oder eine natürliche Person? In diesem Interessenskonflikt ist auch das Auskunftspflichtgesetz zu sehen. Ist das Privatgrundtrechtsinteresse nach Datenschutz höher zu bewerten als das Schutzinteresse einer Institution, d. h. soll und darf eine BürgerInn alles über ein Amt wissen?

Die Datenschutzrichtline von 2000 bestätige den Grundrechtsschutz von allen personenbezogenen Daten, unabhängig davon, in welcher Form diese vorliegen. Somit ist es aus Sicht des Datenschutzes irrelevant ,ob eine Datenweitergabe per E-Mail oder auf Papier erfolgt.

Grundprinzipien des DSG

Alle Daten bestimmter und bestimmbarer Personen sind schützenswert.

Eine Person ist dann bestimmt, wenn die vorliegenden Daten eindeutig zu deren Identifikation beitragen, wie Name und Geburtsdatum. Eine Person ist bestimmbar, wenn vorliegenden Daten alleine noch nicht ausreichen um eine Person zu identifizieren, dies aber durch weitere Analyse und Verknüpfung mit weiteren Quellen möglich wird. So ist eine Person, die auf einem Foto abgebildet wird, bestimmbar – dieser Bestand unterliegt somit dem Datenschutz. Videoüberwachung fällt damit in den Bereich des Datenschutzes, da die darauf abgebildeten Personen bestimmbar sind, ebenso wie Luftbildaufnahmen von Gebäuden (über das Grundbuch kann der oder die BesitzerInnen des Grundstücks ausfindig gemacht werden) zur eindeutigen Bestimmbarkeit von Personen beiträgt.

Wie lautet nun die Antwort auf die Frage „Was darf eine Behörde mit personenbezogenen Daten tun?“ Laut Zeger ist dies klar: „Nichts darf eine Behörde mit personenbezogenen Daten tun! Aber: Ausnahmen werden in weiteren 62 Paragraphen des Datenschutzgesetzes genannt.“ So dürfen nach Einholung der Zustimmung von betroffenen Personen beliebige Daten erhoben werden. Die Zustimmung ist aber nicht absolut zu sehen und wird relativiert, indem es auch nach Einholung der Zustimmung nicht gestattet ist, Daten zu verarbeiten, für deren Verarbeitung der die Zustimmung Einholende nicht zuständig ist. Weiters ist auch geregelt, dass es jeder/jedem BürgerIn freisteht mit den eigenen Daten zu tun und zu lassen wie ihm/ihr beliebt.

Bei der Formulierung neuer Gesetze wird immer wieder darüber diskutiert, eindeutig zu bestimmen welche Personen (in ihrer Funktion bzw. Rolle) welche Daten verarbeiten dürfen. Nachdem eine klare Festlegung die Behörden in ihrer Aktion einschränken könnte, werden entsprechende Passagen in Gesetzestexten regelmäßig schwammig formuliert.

Prinzipiell sind für die Formulierung expliziter datenschutzrelevanter Regelungen die jeweiligen Materiengesetzte heranzuziehen. Zeger nennt dabei ein Beispiel der Wiener Gebietskrankenkasse. Bei manchen Patienten wurden Probleme der Anästhesie beobachtet. Um zukünftig Risikopatienten besser zu identifizieren wurde an die Schaffung eines entsprechenden Registers gedacht, in dem relevante Patientendaten gesammelt werden sollten. Beim Versuch dieses Register bei der Datenschutzkommission zu melden erfolgte eine Ablehnung. Die Begründung?

„Die Tätigkeit in einem Spital beruht auf dem jeweiligen Krankenanstaltengesetz. Dieses besagt für Spitälter der Stadt Wien, dass zu jedem Patienten eine Krankengeschichte zu führen ist. Und nicht zwei oder drei“

Dabei spricht sich Zeger nicht gegen ein solches Register aus, er betont lediglich, dass sich der Gesetzgeber wohl etwas dabei gedacht haben wird, indem er eine Krankengeschichte pro Patient fordert. Sollte diese Regelung als nicht zweckmäßig erachtet werden, müsste das jeweilige Gesetz geändert werden.

Als bon mot führt er weiters die Aussage Udo Jesionek’s (ehemaliger Präsident des Wiener Jugendgerichtshofes )an, der Österreich einen ausgeprägten Registerwahn bescheinigt.

Datenschutz vs. Obsorge: wann personenbezogene Daten verwendet werden dürfen

Das führt natürlich zu der Diskussion, in wie weit das Datenschutzgesetz nicht diametral zum Wunsch der BürgerInnen nach Obsorge steht – schließlich könnten mit einem solchen Register Pannen und heikle Situationen mancher Patienten bei Operationen berücksichtigt werden.

Zeger nennt dazu die entsprechenden Passagen des DSGn die besagen, dass zur Wahrung lebenswichtiger Interessen einer betroffenen BürgerIn keine Genehmigungen einzuholen sind. „Ein Arzt, der einem verunfallten, im Straßengraben liegenden Verletzten hilft, muss nicht vorher um die Erlaubnis der Verarbeitung personenbezogener Daten anfragen“.

Weitere Ausnahmen sind:

  • Zur Wahrung überwiegender Interessen Dritter oder von AuftraggeberInnen: Ein Anwendungsfall ist die Videoüberwachung. Der/die BetreiberIn einer Tankstelle hat das überwiegende Interesse nicht überfallen zu werden bzw. nach einem Überfall Kameraufzeichnungen, die zur Aufindung der TäterInnen beitragen können, vorweisen zu können. Hier stellt sich jedoch auch die Frage, ob diese Vorgehensmaßnahme verhältnismäßig ist. Auch Botendienste, die zur Ablieferung von Waren die Zustelladressen des/der Empfängers/Empfängerin haben, fallen darunter. Niemals darunter fallen sensible Daten. Dazu gehören Religion , sexuelle Orientierung, die Weltanschauung, gesundheitsbezogene Daten, Sozialdaten (z. B. die Einkommenssituation oder die Anzahl derKinder in einem Haushalt).
  • Weiters dürfen personenbezogen Daten verwendet werden, wenn sie rechtmäßig allgemein öffentlich verfügbar sind
  • Personenbezogene Daten, die im Auftrag von Dritten gebraucht werden, dürfen nur mit Zweckbindung verwendet werden. Fällt der Zweck weg, sind die Daten zu vernichten. Darf ein Masseverwalter beispielsweise die Kundendaten der Firma verkaufen? Die Antwort ist ja, wenn die nachfolgende Firma die Daten zum Zweck der Weiterführung des Geschäftes benötigt, und nein, wenn die Daten nur zum Selbstzweck verkauft werden.

Für Daten in der öffentlichen Verwaltung gibt es Aufbewahrungs- und Skartierungsfristen, Manche Daten dürfen auch zu Dokumentationspflichten aufbewahrt werden (z. B. zu Schulungszwecken). Darüber hinaus gibt es ein Zweckbestimmungsgebot: So darf innerhalb einer Behörde nur berechtigten Personen mit konkreten Aufträgen Zugriff auf personenbezogene Daten gewährt werden.

Datenschutz und Soziale Netzwerke

Auf die Frage, wie virtuelle Netzwerke wie Facebook oder Twitter hinsichtlich des Datenschutzs einzuschätzten sind, antwortet Zeger, dass jede/r  in diesen sozialen Netzwerken tun und lassen können soll, was er will. Er oder sie sollte aber die Hoheit über die eigenen Daten behalten und nicht über persönliche Daten Dritter verfügen dürfen.

Innerhalb der EU herrscht ein ein ziemlich harmonisierter Rechtsrau. Wenn Dritte negative Dinge berichten, kann der/die Betroffene dagegen vorgehen. Problematisch ist dabei jedoch, dass die BetreiberInnen großer Plattformen sich außerhalb der EU befinden. Als Negativbeispiel führt er die Internetseite Rottenneighbour an, die von Kalifornien betrieben wird (ein Bundesstaat der USA, in welchem Webportale anonym betrieben werden dürfen.) Wer soll gegen den Betreiber dieser Plattform nun vorgehen? Hier wäre die EU gefordert, auch international etwas zu bewirken. In anderen Ländern existierend genügend Gesetze, häufig fehlt dem Individuum aber Möglichkeit diese durchzusetzen.

Es wurde die Frage gestellt, wie Zeger die aktuellen Entwicklungen rund um Transferkonten einschätzt. Dies stellt für ihn eine ganz gefährliche Entwicklung dar. Einerseits diskutieren wir über Vorratsdatenspeicherung, und nun über Transferkonten. Dies könne nur zu Neid und Missgunstdiskussionen führen. Denn Zuwendungen werden nicht nach Zufall vergeben, Beamten müssen dabei Regelungen einhalten.

Wenn in Österreich nur ein durchschnittliches Maß an Korruption herrscht, so könne sich aus der Einführung von Transferkonten gar keine Einsparung ausgehen. Studien belegen außerdem, dass 3 – 4 % der Sozialleistungen erschlichen sind (einige Stimmen sprechen hier sogar von etwa 20 %).

Anwendungsbereiche der Datenschutzgesetztes

Häufig herscht Unklarheit über den Anwendungsbereich des Datenschutzgesetzes. So betreibt die Firma A-Trust ein Service namens „E-Tresor“. Dabei handelt es sich um ein elektronisches Ablagesystem, in dem BürgerInnen Dokumente ablegen können. Nachdem dieser Bereich verschlüsselt ist, weiß auch niemand, welche Daten dort gesammelt werden. Möglicherweise werden personenbezogene Daten Dritter gespeichert, womit das Datenschutzgesetz zur Anwendung kommt.  Denn auch wenn eine Firma oder Privatperson in systematischer Form im Auftrag Dritter Daten sammelt, ist das DSG tragend.

Wir danken Herrn Zeger für das Gespräch zu einem spannenden Rechtsgebiet, das durch die Entwicklungen im Bereich der IKT besonders aktuell ist und uns alle betrifft.

Der Blog parallel zum Buch von Hans G. Zeger Paralleluniversum Web 2.0 ist unter http://web2.0.freenet.at/

Ein Kommentar

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s