Obrigkeitsstaat Österreich: Eine Behörde ist eine Behörde
Die Datenschutzbehörde. Siebenundzwanzig Namen. Leitung, Team, Kanzlei, Sekretariat. Anders, als in Interviews gerne unterstrichen, abgeschlossen, bürgerfern. So zumindest haben ich und andere das erfahren, als es galt, im Zusammenhang mit Recherchen zur EU Datenschutz Grundverordnung die Herausforderung für die österreichische Datenschutzbehörde, Unternehmen, Organisationen und Privatpersonen zu erfragen.
Datenschutz in Österreich und das EU Recht auf Datenschutz
Österreich wird 2012 vom EuGH wegen Verletzung der EU „Datenschutzrichtlinie” verurteilt
Der EuGH hatte Österreich in einem Vertragsverletzungsverfahren verurteilt, weil die in Art. 28 Abs. 1 Unterabs. 2 der EU Richtlinie 95/46/EG vorgesehene Unabhängigkeit der Datenschutzkommission nicht gegeben war. Es bestanden Zweifel, ob deren Handlungen unter allen Umständen über jeden Verdacht der Parteilichkeit erhaben sind
. Im Vorfeld hatte die Republik Österreich vergeblich alles versucht, damit die Klage abgewiesen wird.
Aus der Datenschutzkommission ging in Folge die Datenschutzbehörde hervor. Aus dsk.gv.at ist 2014 dsb.gv.at geworden. Wie die Datenschutzkommission zuvor ist die Datenschutzbehörde nach wie vor in Reichweite des Bundeskanzleramtes angesiedelt . Die Unabhängigkeit der Datenschutzbehörde wurde formal eingerichtet. Nicht ausgeschlossen sind informelle Einflussnahmen. Neuer Name – alte Probleme
, wie es Albert Steinhauser, Abgeordneter der Grünen im Nationalrat kommentierte.
Zweifel an der EU Rechtskonformität des Datenschutzgesetzes-DSG 2018
Nur zwei EU Mitgliedsstaaten hatten gegen die Datenschutz Grundverordnung (DSGVO) gestimmt: Österreich und Slowenien. Der österreichische Justizminister Brandstetter argumentierte, dass durch die DSGVO das hohe Datenschutzniveau in Österreich geschwächt werde. Dabei unterläuft Österreich mit dem Datenschutz-Anpassungsgesetz 2018 wesentliche, in der DSGVO vorgesehenen Schutzrechte Betroffener.
Kurz nach Bekanntgabe vorzeitiger Nationalratswahlen wurde im Juli 2017 in aller Eile das Datenschutz-Anpassungsgesetz 2018 verabschiedet. Eine Husch-Pfusch
Gesetzgebung wurde das verschiedentlich genannt. Erforderliche Verfassungsänderung wurden nicht vorgenommen.
Stattdessen wurden Bestimmungen der DSGVO nicht umgesetzt, weil diese gegen österreichische Verfassungsgrundsätze verstießen. So wurde u.a. Personen in Österreich der Weg an die Gerichte verwehrt (siehe „Österreichs Datenschutzgesetz und die EU DSGVO”) und in der DSGVO vorgesehene Verbandsklagen werden nicht zugelassen.
Wesentliche Teile des DSG 2000 wurden übernommen, um, wie es den Anschein hat, die bisherige Praxis weitgehend beibehalten zu können - unabhängig von der DSGVO. (Siehe dazu den Beitrag: Österreichs Sonderwege im Datenschutz
) Die Behördenleiterin der DSB formulierte es so: Das DSGVO wurde in das DSG 2000 eingearbeitet. ((#cba-interview-jelinek →))
Es werden wohl wiederum Klagen Betroffener und / oder der EU Kommission gegen Österreich und Urteile des EuGH erforderlich werden, um die EU Rechtskonformität des österreichischen Datenschutzgesetzes herzustellen.
Die Datenschutzbehörde in Österreich bleibt eine Behörde alten Stils
Vor allem aber unterscheidet sich der Geist des österreichischen Datenschutzgesetzes deutlich vom Geist der EU DSGVO.
Im Zentrum der EU DSGVO stehen die Bürger, bzw. weiter gefasst, natürliche Personen, die in Europa leben. Ihre Rechte sollen bezogen auf die Verarbeitung ihrer Daten geschützt werden. Die EU DSGVO ist ein Verbotsgesetz mit Erlaubnisvorbehalt zum Schutz persönlicher Daten natürlicher Personen. Dabei geht es um die Einhaltung der beiden EU-Grundrechte, das auf Achtung des Privatlebens
(Art. 7 GRCh) und das auf Schutz personenbezogener Daten
(Art. 8 GRCh). (Siehe: Womit begründet Brüssel den aktuellen Regulierungsbedarf zu Datenschutz und Schutz der Privatsphäre?
)
Immerhin haben die EU-Grundrechte auch in Österreich Verfassungsrang, ohne die Möglichkeit der gefälligen Ausgestaltung durch parlamentarische Gesetzgebung.
Beim österreichischen Datenschutzgesetz scheinen die Interessen betroffener Personen gegen die Interessen von Politik, Wirtschaft etc. abgewogen zu werden.
Die Leitung der Datenschutzbehörde und ihre Nähe zur polizeilichen Exekutive
Geleitet wird die Datenschutzbehörde derzeit von Dr. Andrea Jelinek. Sie war 2003 als erste Frau in der Geschichte der Bundespolizeidirektion Wien zur Leiterin eines Kommissariats ernannt worden und setzte Ihre Karriere als Chefin der Wiener Fremdenpolizei fort. Zuletzt wurde Sie als aussichtsreichste Kandidatin für den Posten der Wiener Landespolizeivizepräsidentin in Nachfolge von Dr. Michaela Kardeis gehandelt. Michaela Kardeis ist inzwischen Generaldirektorin für die öffentliche Sicherheit im österreichischen Innenministerium. Stellvertretender Leiter der Datenschutzbehörde ist Dr. Matthias Schmidl. Er war zuvor schon in der Datenschutzkommission tätig.
Der Eindruck, dass die Datenschutzbehörde ein Naheverhältnis zur polizeilichen Exekutive hat, drängt sich auf. Dieses Naheverhältnis, und sei es auch nur der Anschein, sollte dringend ausgeräumt werden. Warum werden hier nicht fähige Jurist*innen aus dem Umfeld von NGOs in die Leitungsfunktionen berufen? Das wäre gerade angesichts problematischer datenschutzrechtlicher Initiativen seitens der Regierung auch von Nöten.
Die Datenschutzbehörde als Instrument der Staatsraison
Beim Datenschutzgesetz-DSG kann man sich des Eindrucks nicht erwehren, dass der Staatsapparat und Interessen aus vermeintlicher Staatsraison gegenüber Bürgern geschützt werden sollen. Was der Europäische Datenschutz, zuvor schon in einer Richtlinie und nun mit einer gesetzlich verbindlichen Verordnung Personen an Rechten einräumt, scheint Politikern und den Lobbys, die auf sie einwirken, deutlich zu weit zu gehen. In vielen Aspekten könnte man davon sprechen, dass das österreichische Datenschutzgesetz Sand im Getriebe der EU Datenschutz-Grundverordnung (DSGVO) ist.
Viele Branchen sehen ihre Geschäftsmodelle durch die DSGVO und die EU Privacy Verordnung in Frage gestellt, allen voran die Werbe- und Medienbranchen. Dazu kommt, dass die Digitalstrategie österreichischer Wirtschaftspolitik an die Erfolge internationaler Internet-, bzw. Social Media Plattformen anschließen will. Aber auch der Handel, Versicherungen und Banken greifen gerne auf personenbezogene Daten zu, direkt oder indirekt. Ihre wirtschaftlichen Interessen will der Staat schützen.
Zudem gibt es im Staat selbst große Begehrlichkeiten, im großen Stil personenbezogene Daten zu speichern (Vorratsdatenspeicherung), zu verarbeiten (Profilbildung), um daraus bspw. so genannte präventive Maßnahmen im Rahmen von Verbrechens- und Terrorabwehr ableiten zu können. Obwohl es dazu klare Entscheidungen des EuGH gibt, der Fragen der Vorratsdatenspeicherung in die EU Kompetenz verweist und im diskutierten Umfang als rechtswidrig qualifizierte, halten die Begehrlichkeiten vor allem eines Innenministers Sobotka und der hinter ihm stehenden Lobbys an.
Das 3. Hauptstück des Datenschutzgesetzes-DSG zielt ganz darauf ab. Es titelt: Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs
. (§§ 36-45 DSG) Dieses Hauptstück wurde nach § 35 DSG, Besondere Befugnisse der Datenschutzbehörde
, eingefügt.
Die Datenschutzbehörde als Obrigkeit
In autoritären Staaten sind Bürger, die gegen etwas klagen oder sich beschweren schnell verdächtig. Bürger als Untertanen. Fallweise scheint es, als stünden manche österreichische Behörden in Ihrem Selbstverständnis und ihrer Gebarung noch ganz in der Tradition einer – um wohlwollend zu bleiben – k&k Bürokratie. Kläger und Beschwerer stören die Ruhe behördlichen Amtswaltens, so scheint es. Diesen Eindruck hinterlässt mangelnde Service- und Bürgerorientierung schnell.
Während nach DSGVO Unternehmen, die beschuldigt werden, ohne Einwilligung personenbezogene Daten zu verarbeiten, in der Nachweispflicht stehen, stellt sich das Datenschutzgesetz in Österreich vor Unternehmen und Organisationen. Der Datenschutzbehörde gegenüber muss die Person erst glauben machen, dass eine wesentliche Beeinträchtigung
ihrer schutzwürdigen Geheimhaltungsinteressen durch die Verarbeitung seiner personenbezogenen Daten gegeben ist (§ 25 Abs. 1 DSG). Erst dann kann die Datenschutzbehörde die Weiterführung der Datenverarbeitung mit Bescheid […] untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenverarbeitung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Ebenso kann die Datenschutzbehörde auf Antrag einer betroffenen Person eine Einschränkung der Verarbeitung […] anordnen, wenn der Verantwortliche einer diesbezüglichen Verpflichtung nicht fristgerecht nachkommt. Wird einer Untersagung nicht unverzüglich Folge geleistet, hat die Datenschutzbehörde nach Art. 83 Abs. 5 DSGVO vorzugehen.
(§ 22 Abs. 4 DSG)
Es scheint, als wolle man es Beschwerdeführern schwer und leidig machen, sie dazu zu bringen eher früher als später aufzugeben und zu resignieren. Die Statistiken des Datenschutzberichtes 2016 leisten dieser Vermutung Vorschub:
| Jahr | Individualbeschwerden | davon Bescheide | davon Zurücklegungen |
|---|---|---|---|
| 2014 | 220 | 117 | 103 |
| 2015 | 147 | 95 | 52 |
| 2016 | 173 | 122 | 51 |
Ebenso aufschlussreich ist die Statistik zu den in den letzten Jahren stark rückläufigen Rechtsauskünften:
| Jahr | Rechtsauskünfte |
|---|---|
| 2014 | 2261 |
| 2015 | 2163 |
| 2016 | 1980 |
Es ist höchst erstaunlich, dass bei einer im EU Vergleich überdurchschnittlich hohen Durchdringung mit digitalen Technologien, angesichts nicht abreißender Berichterstattung rund um Themenbereiche Verletzung des Datenschutzes und negative Auswirkungen, so wenige Beschwerden eingegangen sind.
Das mag wohl auch daran liegen, dass die DSB offenbar keine Rechtsauskünfte außerhalb anhängiger Verfahren gibt (vgl. Anfragebeantwortung durch DSB („Nicht Auskunft”))
Die Datenschutzbehörde wird durch die EU DSGVO herausgefordert
Im Geiste der EU Datenschutz-Grundverordnung ist die Aufsichtsbehörde (Datenschutzbehörde) dazu da, die durch die DSGVO geschützten Interessen von Privatpersonen zu verteidigen und Verstöße zu ahnden.
Nachdem in Österreich ausschließlich der Beschwerdeweg zur Datenschutzbehörde möglich ist, sitzt die Behörde am entscheidenden Hebel.
Zwar gibt es grundsätzlich die Möglichkeit das Bundesverwaltungsgericht anzurufen, bis hin zur Revision an den VwGH, aber auch nur dann, wenn diese Möglichkeit durch die Datenschutzbehörde, bzw. Bundesverwaltungsgericht nicht ausgeschlossen wurde.
Es braucht Transparenz
Die Datenschutzbehörde ist offenbar auch hinsichtlich ihres Geschäftsgebarens und ihrer Geschäftsauffassung unabhängig, zumindest lautet so die Auskunft des Bundeskanzleramtes. Das kann man durchaus als bedenklich bezeichnen. Die gegenwärtige Geschäftspraxis lässt deutlich zu wünschen übrig.
Es braucht eine klare Service-Orientierung
Sich auf hoheitliches behördliches Handeln als Vollzugsbehörde zu beschränken heißt nur einen Teil die Verpflichtungen zu erfüllen, die die EU DSGVO den Aufsichtsbehörden insb. in Art 57 Abs. 1 zuschreibt. (Siehe Die Datenschutzbehörde (DSB) in Österreich
)
Leider fehlt eine verlässliche Evaluation der Serviceleistung der DSB, d.h. in wie vielen Fällen die DSB telefonisch erreichbar war, telefonisch Auskunft gegeben hat, bzw. die Anfrageerledigung zugesagt und eingelöst hat, auch wie lange es brauchte, bis E-Mails beantwortet wurden und die Antwort tatsächlich als Auskunft und Beratung im Sinne der DSGVO gewertet werden konnte.
Allerdings gibt es Erfahrungsberichte, die Rückschlüsse auf eine unzureichende Servicequalität zulassen.
Derzeit ist die österreichische Datenschutzbehörde nur schwer erreichbar. Telefonisch (+43 1 531 15-202525) wird der Anrufer bei allen Fragen, die nicht den Rubriken Aktivierung Bürgerkarte (1), Unternehmensservice-Portal (2) und DVR (3) zuzuordnen sind, auf den Kontaktweg via E-Mail an dsb@dsb.gv.at verwiesen. Für E-Mails gibt es weder eine Empfangsbestätigung noch erfolgt irgendein Hinweis, der darauf schließen ließe, dass diese bearbeitet werde, von einer Mitteilung, bis wann mit einer Antwort zu rechnen sei ganz abgesehen. Erinnerungsmails sind oftmals erforderlich. Auskünfte, wenn sie dann gegeben werden, beschränken sich häufig auf die Mitteilung, dass man keine Auskünfte erteilen könne.
Wer direkt im Sekretariat anruft (hier muss man erst genau suchen, um die Rufnummer zu finden, bzw. sich gezielt über die Telefonvermittlung des Bundeskanzleramtes verbinden lassen) kann auch während der Geschäftszeiten nicht immer damit rechnen, jemanden anzutreffen. Das ist, so es so nicht gewollt ist, höchst unbefriedigend und entspricht schon seit Jahren nicht mehr dem Stand von Bürger- oder Serviceorientierung, von Beratungsqualität ganz zu schweigen.
Es braucht eine aktive, nicht nur reaktive Datenschutzpraxis
Vielen Personen ist gar nicht bewusst, dass ihre personenbezogenen Daten rechtswidrig genutzt, verarbeitet und gehandelt werden. Wie könnten diese sich an die Datenschutzbehörde wenden? Der Staat steht in der Verpflichtung seine Bürger, eigentlich alle Personen im Land zu schützen, insbesondere dann, wenn diese nicht in der Lage sind, selbst die Bedrohung zu erkennen. Dazu braucht es sowohl ein entsprechendes Selbstverständnis als auch eine entsprechende technische Kompetenz. Angesprochen auf fehlende technische Expertise bei der DSB, entgegnet die Behördenleiterin, dass diese im Bedarfsfall zugekauft werden könne. Dies ist ohne Zweifel das Eingeständnis eines rein reaktiven, bürokratischen Aufgabenverständnisses, das es umgehend zu korrigieren gilt.
Interview mit Andrea Jelinek, Leiterin der Datenschutzbehörde (by CBA):
Position der Datenschutzbehörde
2 Kommentare, 1 webmention
Webmention von: www.npo-consulting.net
Kommentar von: Gerlinde Mair
Sind die MitarbeiterInnen bei der Datenschutzbehörde so schlecht gelaunt? Gibt es dort ein so mieses Betriebsklima? Wieso sind MitarbeiterInnen am Telefon zumeist so unfreundlich? Irgendwie fühlen sie sich gestört und zeigen das. Zumindest die im Sekretariat, die die Anrufe entgegennehmen, sollten dringend besser geschult werden. Da wundert es nicht, dass die Datenschutzbehörde einen so schlechten Ruf hat.
Kommentar von: Bettina Sumerauer
Den Beitrag (ein wenig lange ist er schon ;) finde ich ganz interessant. Was mir besonders gefällt ist die Kritik dieser Behördenarroganz. Ich hab zwar mit dieser noch nichts zu tun gehabt, aber so ticken einige.
Wenn die Datenschutzbehörde nicht aufklärt und berät, wer macht das dann? Ich bin keine Juristin. Ich bin auch keine Unternehmerin und kann mich nicht an die WKO wenden. Angestellte bin ich auch nicht - ich habs aber bei der AK noch nicht probiert. Ich bin freischaffende Künstlerin und hab da viele Kontakte, nutze alle möglichen Medien, verschicke Newsletter und habe einen kleinen Shop. Das Ganze ist für Einzelunternehmer_innen schon eine Zumutung, wenn man sich Informationen selbst zusammensuchen muss und dann noch nicht einmal weiß, ob das, was man liest alles so auch stimmt.
Ich glaube auch, dass die Behörde, die sich so gut auskennt, dass sie strafen darf, auch dazu da sein müsste, Anfragen zu beantworten und zu informieren. Warum gibt es keine Roadshows der Datenschutzbehörde - die kennt ja ohnehin kaum jemand?
Das alles ist echt ärgerlich. B
https://www.npo-consulting.net/blogs/pad.php/oesterreichs-eigenwilliges-rechtsverstaendnis
Der Eindruck, dass Parteien und Poltiker*innen, Interessensverbände und Lobbys in Österreich nach dem Leitspruch handeln „Ich mach’ mir die Welt - widdewidde wie sie mir gefällt … ” drängt sich immer wieder auf. Selbst im Bereich der Gesetzgebung.