English| ECDL|
Home| Themen| Zertifikate| Testsysteme| Veranstaltungen| Wettbewerbe| Publikationen| Service|
 

Presse

Zeitschriften

direkt zu >

Mitgliederbereich

NEWS
RSS Feed öffnet in einem neuen Fenster

17. 01. 2012: 
OCG Horizonte zum Thema "Facebook & Privacy" mit Max Schrems
...mehr

18. 01. 2012: 
IT Service Management Workshop im Rahmen des INNOTRAIN IT Projekts
...mehr

direkt zu >

OCG Test Center

OCG Pressemeldungen 2009

Stellungnahme des OCG-Arbeitskreises IT-Leistungsverträge und
Rechtspolitik zur Novelle 2010 des Datenschutzgesetzes

Die umfangreiche Novelle 2008 des Datenschutzgesetzes (DSG) konnte
wegen der vorgezogenen Neuwahlen in der vorigen Legislaturperiode nicht mehr vom Parlament behandelt werden, so dass sie nunmehr neu eingebracht werden musste.

Die Hauptziele sind die „Entschärfung der Personalsituation“ und die gesetzliche Regelung der Videoüberwachung, die tatsächlich dringend notwendig ist.

Zu befürworten ist zunächst die Beseitigung der bisherigen Kompetenzzersplitterung durch Schaffung einer einheitlichen Gesetzgebungs- und Vollziehungskompetenz des Bundes (Verfassungsbestimmung). Demgegenüber sind Vorteile der bisherigen, teilweise dezentralen Regelung nicht zu erkennen.

Weniger erfreulich sind andere Vereinfachungen. Die Novelle 2008 hatte die ausdrückliche Einschränkung des grundrechtlichen Datenschutzes auf natürliche Personen vorgesehen und dies in den Erläuterungen damit begründet, dass die Ausdehnung des Schutzes auch auf juristische Personen im europäischen Kontext auf Unverständnis gestoßen sei und der Datenschutz juristischer Personen sich in der Praxis ohnedies im Wesentlichen auf Daten reduziere, die einem Geschäfts- und Betriebsgeheimnis unterliegen. Außerdem führe die Einschränkung des Datenschutzes auf natürliche Personen auch zu Entlastungen selbst zB bei der Registrierungspflicht oder bei der Verpflichtung, den Betroffenen Auskunft zu erteilen.

Dieser Vorschlag wie auch seine Begründung sind im Begutachtungsverfahren seinerzeit auf energischen Widerstand gestoßen.

Nunmehr findet er sich im neuen Entwurf in anderer Form wieder, nämlich unter der Definition des „Betroffenen“ in § 4 Abs 1 Z 3 des Entwurfes, der –  allerdings nur in der Gegenüberstellung der geltenden und der vorgeschlagenen Fassung - als jede vom Auftraggeber verschiedene natürliche Person bezeichnet wird, deren Daten verwendet werden. Die Erläuterungen gehen auf diese Frage nicht ein.

Ein solches Verstecken einschneidender sachlicher Regelungen in den Begriffsbestimmungen ist zwar in gewissen AGB gang und gäbe, eines Gesetzgebers aber unwürdig. In der Sache selbst sei daher die Kritik des Arbeitskreises an der geplanten Regelung durch die Novelle 2008 wiederholt: Der sondergesetzliche Schutz (etwa nach dem UWG) wirkt im wesentlichen nur nachträglich und nur in Ausnahmsfällen vorbeugend. Das ist umso nachteiliger für den Verletzten, als er überhaupt erst einen Anspruchsgegner suchen muss, den er vor Gericht belangen kann und der ihm nach der geplanten Novelle offenbar gerade nicht auskunftspflichtig sein soll.

Es ist auch nicht einzusehen, warum zB eine GmbH nicht das Recht auf Auskunft haben soll, ob sie auf der UKV (Liste der unerwünschten Kontoverbindungen oder sonstigen Schwarzen Listen steht. Dies umso weniger, wenn es sich hier um eine Einpersonen-GmbH handelt. Gerade in solchen Fällen zeigt sich besonders deutlich, dass hinter den Rechten einer juristischen Person letztlich stets solche natürlicher Person stehen, die aus Gründen der Praktikabilität gebündelt werden. Erleidet eine juristische Person Nachteile, so wirkt sich das auch auf natürliche Personen aus, die deren Gesellschafter, Dienstnehmer oder Gläubiger sind. Es hat daher schon deshalb seinen guten Grund, wenn § 26 ABGB die Rechte der juristischen Personen grundsätzlich mit denen der natürlichen gleichstellt.

Besondere Unklarheit wird darüber hinaus noch durch § 26 Abs 1 des Entwurfes geschaffen, wonach ein Auskunftsrecht gegenüber dem Auftraggeber „jeder Person oder Personengemeinschaft“ zuerkannt wird. Das könnte nun dahin verstanden werden, dass wenigstens dieses Auskunftsrecht ausnahmsweise auch juristischen Personen zustehen soll, doch fragt sich dann, warum der Gesetzgeber in dieser Gesetzesstelle nicht (wie in § 4 Abs 1 Z 3) das Gegensatzpaar natürliche – juristische Person verwendet, ob daher unter „Personengemeinschaften“ doch nur eine Mehrheit natürlicher Personen verstanden werden soll. Erst recht ist unklar, ob diese neben dem Recht auf Auskunft noch weitere Rechte haben sollen, und bejahendenfalls, welche. Die Erläuterungen geben auch darüber keine nähere Auskunft. Das ist umso bedauerlicher, als nach Abs 2 a der Auftraggeber die „Betroffenen“ (nach § 4 Abs 1 Z 3?) unverzüglich zu informieren hat, wenn ihm bekannt wird, dass Daten aus einer seiner Dateianwendungen systematisch und schwerwiegend unrechtmäßig verwendet worden sind.

Im Entwurf der Novelle 2008 war die Einführung eines betrieblichen Datenschutzbeauftragten vorgesehen (§ 15 a), was bei aller Diskussionswürdigkeit der Ausgestaltung im Prinzip durchaus zu begrüßen war. Im neuen Entwurf findet sich nichts darüber, offenbar wegen der Skandale bei der Deutschen Telekom und bei der Deutschen Bahn, dessen volle Auswirkungen sich auch für Österreich noch nicht voll abschätzen lassen. Bei der Regelung dieser Aspekte in einem eigenen Arbeitnehmer-Datenschutzgesetz oder im Rahmen des Betriebsverfassungsgesetzes wird allerdings nicht außer acht gelassen werden dürfen, dass es hier nicht allein um den Schutz des überwachten Mitarbeiters gehen kann, da bei solchen ungesetzlichen Aktionen auch dessen Kontakte zu Außenstehenden durchleuchtet werden sollen, also zB zu Konkurrenten, zu den Medien und selbst zu Abgeordneten. Die Lage ist dann besonders heikel, wenn ausländische Vorschriften (zB Sarbanes-Oxley) Überwachungsmaßnahmen vorschreiben, die nach inländischem Recht verboten sind. Es sei hier nur an den Fall der UBS erinnert, wo US-amerikanisches und schweizerisches Recht jeweils das von der anderen Rechtsordnung gebotene Verhalten unter Strafsanktion gestellt haben.

Die §§ 20 bis 22 des Entwurfes werden von den Erläuterungen als „Herzstück“ der Neuregelung des Registrierungsverfahrens bezeichnet, wobei als Grundsatz gilt, dass nicht vorabkontrollpflichtige Meldungen nur mehr einen automationsunterstützten Prüfungsalgorithmus durchlaufen sollen. Eingeräumt wird dort, dass es sich hiebei „notwendigerweise um eine vergröberte Prüfung auf Vollständigkeit und Widerspruchsfreiheit“ handelt. Konkrete Angaben über das Ausmaß dieser Vergröberung fehlen, aber ohne solche kann nicht beurteilt werden, ob nicht anstelle einer Prüfung die bloße Kenntnisnahme der Hinterlegung tritt, also eine leere Formalität, die das Datenschutzregister auf weite Strecken entwerten würde. Dies um so mehr, als sich der hiebei verwendete Algorithmus in den interessierten Kreisen rasch herumsprechen dürfte, der bei Abfassung der Meldungen nur allzu geschickt berücksichtigt würde.

Inwieweit die Zuständigkeit der Datenschutzkommission bei Tätigwerden der Kriminalpolizei eingeschränkt werden soll, ist noch unklar. Nach den bisherigen Erfahrungen mit der nur allzugut in Erinnerung gebliebenen SPG-Novelle vor eineinhalb Jahren muss aber dringend appelliert werden, derartig gravierende Maßnahmen nicht im letztmöglichen Augenblick an den parlamentarischen Ausschüssen vorbei unter geflissentlicher Vermeidung eines Begutachtungsverfahrens in Form eines Initiativantrages vorzunehmen.

Die Aufnahme eingehender Bestimmungen über die Videoüberwachung, die immer größere Verbreitung gewinnt, in das DSG ist dringend notwendig. Wie sich die vorgeschlagene Regelung in der Praxis bewähren wird, kann erst die Erfahrung zeigen. Hiebei wird nicht außer acht gelassen dürfen, dass in nicht wenigen Fällen die Videoüberwachung das einzig halbwegs wirksame Mittel gegen Kriminalität fast jeder Art ist. Nicht unproblematisch ist umgekehrt allerdings $ 50a Abs 2, über die Zulässigkeit der Videoüberwachung „zur Erfüllung gesetzlicher oder vergleichbarer rechtlicher Sorgfaltspflichten“, sofern damit vom Überwacher selbst eingegangene vertragliche Verpflichtungen gemeint sein sollte.

Gem § 50c Abs 1 unterliegen Videoüberwachungen der Vorabkontrolle, doch sind sie von der Meldepflicht ausgenommen, wenn eine Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt. Hier wird Sorge getragen werden müssen, dass die Meldepflicht nicht durch Aufnahme auf einem analogen Medium mit nachfolgender Herstellung einer digitalen Kopie umgangen wird.

Im übrigen darf auf die eingehende Stellungnahme der ARGE DATEN verwiesen werden, auch was die Nichtberücksichtigung neuer technischer Entwicklungen betrifft.

Insgesamt wird der Gesetzgebungsprozess noch mit großer Sorgfalt zu beobachten sein.