Die Datenschutzbehörde. Siebenundzwanzig Namen. Leitung, Team, Kanzlei, Sekretariat. Anders, als in Interviews gerne unterstrichen, abgeschlossen, bürgerfern. So zumindest haben ich und andere das erfahren, als es galt, im Zusammenhang mit Recherchen zur EU Datenschutz Grundverordnung die Herausforderung für die österreichische Datenschutzbehörde, Unternehmen, Organisationen und Privatpersonen zu erfragen.

Datenschutz in Österreich und das EU Recht auf Datenschutz

Österreich wird 2012 vom EuGH wegen Verletzung der EU „Datenschutzrichtlinie” verurteilt

Der EuGH hatte Österreich in einem Vertragsverletzungsverfahren verurteilt, weil die in Art. 28 Abs. 1 Unterabs. 2 der EU Richtlinie 95/46/EG vorgesehene Unabhängigkeit der Datenschutzkommission nicht gegeben war.  Es bestanden Zweifel, ob deren Handlungen unter allen Umständen über jeden Verdacht der Parteilichkeit erhaben sind.  Im Vorfeld hatte die Republik Österreich vergeblich alles versucht, damit die Klage abgewiesen wird.

Aus der Datenschutzkommission ging in Folge die Datenschutzbehörde hervor. Aus dsk.gv.at ist 2014 dsb.gv.at geworden. Wie die Datenschutzkommission zuvor ist die Datenschutzbehörde nach wie vor in Reichweite des Bundeskanzleramtes angesiedelt  . Die Unabhängigkeit der Datenschutzbehörde wurde formal eingerichtet. Nicht ausgeschlossen sind informelle Einflussnahmen. Neuer Name – alte Probleme, wie es Albert Steinhauser, Abgeordneter der Grünen im Nationalrat kommentierte.  

Zweifel an der EU Rechtskonformität des Datenschutzgesetzes-DSG 2018

Nur zwei EU Mitgliedsstaaten hatten gegen die Datenschutz Grundverordnung (DSGVO) gestimmt: Österreich und Slowenien. Der österreichische Justizminister Brandstetter argumentierte, dass durch die DSGVO das hohe Datenschutzniveau in Österreich geschwächt werde. Dabei unterläuft Österreich mit dem Datenschutz-Anpassungsgesetz 2018 wesentliche, in der DSGVO vorgesehenen Schutzrechte Betroffener.

Kurz nach Bekanntgabe vorzeitiger Nationalratswahlen wurde im Juli 2017 in aller Eile das Datenschutz-Anpassungsgesetz 2018 verabschiedet. Eine Husch-Pfusch Gesetzgebung wurde das verschiedentlich genannt.  Erforderliche Verfassungsänderung wurden nicht vorgenommen.

Stattdessen wurden Bestimmungen der DSGVO nicht umgesetzt, weil diese gegen österreichische Verfassungsgrundsätze verstießen. So wurde u.a. Personen in Österreich der Weg an die Gerichte verwehrt (siehe „Österreichs Datenschutzgesetz und die EU DSGVO”) und in der DSGVO vorgesehene Verbandsklagen werden nicht zugelassen.

Wesentliche Teile des DSG 2000 wurden übernommen, um, wie es den Anschein hat, die bisherige Praxis weitgehend beibehalten zu können - unabhängig von der DSGVO. (Siehe dazu den Beitrag: Österreichs Sonderwege im Datenschutz) Die Behördenleiterin der DSB formulierte es so: Das DSGVO wurde in das DSG 2000 eingearbeitet. → 

Es werden wohl wiederum Klagen Betroffener und / oder der EU Kommission gegen Österreich und Urteile des EuGH erforderlich werden, um die EU Rechtskonformität des österreichischen Datenschutzgesetzes herzustellen.

Die Datenschutzbehörde in Österreich bleibt eine Behörde alten Stils

Vor allem aber unterscheidet sich der Geist des österreichischen Datenschutzgesetzes deutlich vom Geist der EU DSGVO.

Im Zentrum der EU DSGVO stehen die Bürger, bzw. weiter gefasst, natürliche Personen, die in Europa leben. Ihre Rechte sollen bezogen auf die Verarbeitung ihrer Daten geschützt werden. Die EU DSGVO ist ein Verbotsgesetz mit Erlaubnisvorbehalt zum Schutz persönlicher Daten natürlicher Personen. Dabei geht es um die Einhaltung der beiden EU-Grundrechte, das auf  Achtung des Privatlebens (Art. 7 GRCh) und das auf Schutz personenbezogener Daten (Art. 8 GRCh). (Siehe: Womit begründet Brüssel den aktuellen Regulierungsbedarf zu Datenschutz und Schutz der Privatsphäre?)

Immerhin haben die EU-Grundrechte auch in Österreich Verfassungsrang, ohne die Möglichkeit der gefälligen Ausgestaltung durch parlamentarische Gesetzgebung.

Beim österreichischen Datenschutzgesetz scheinen die Interessen betroffener Personen gegen die Interessen von Politik, Wirtschaft etc. abgewogen zu werden.

Die Leitung der Datenschutzbehörde und ihre Nähe zur polizeilichen Exekutive

Geleitet wird die Datenschutzbehörde derzeit von Dr. Andrea Jelinek. Sie war 2003 als erste Frau in der Geschichte der Bundespolizeidirektion Wien zur Leiterin eines Kommissariats ernannt worden und setzte Ihre Karriere als Chefin der Wiener Fremdenpolizei fort. Zuletzt wurde Sie als aussichtsreichste Kandidatin für den Posten der Wiener Landespolizeivizepräsidentin in Nachfolge von Dr. Michaela Kardeis gehandelt. Michaela Kardeis ist inzwischen Generaldirektorin für die öffentliche Sicherheit im österreichischen Innenministerium. Stellvertretender Leiter der Datenschutzbehörde ist Dr. Matthias Schmidl. Er war zuvor schon in der Datenschutzkommission tätig.

Der Eindruck, dass die Datenschutzbehörde ein Naheverhältnis zur polizeilichen Exekutive hat, drängt sich auf. Dieses Naheverhältnis, und sei es auch nur der Anschein, sollte dringend ausgeräumt werden. Warum werden hier nicht fähige Jurist*innen aus dem Umfeld von NGOs  in die Leitungsfunktionen berufen? Das wäre gerade angesichts problematischer datenschutzrechtlicher  Initiativen seitens der Regierung auch von Nöten.

Die Datenschutzbehörde als Instrument der Staatsraison

Beim Datenschutzgesetz-DSG kann man sich des Eindrucks nicht erwehren, dass der Staatsapparat und Interessen aus vermeintlicher Staatsraison gegenüber Bürgern geschützt werden sollen. Was der Europäische Datenschutz, zuvor schon in einer Richtlinie und nun mit einer gesetzlich verbindlichen Verordnung Personen an Rechten einräumt, scheint Politikern und den Lobbys, die auf sie einwirken, deutlich zu weit zu gehen. In vielen Aspekten könnte man davon sprechen, dass das österreichische Datenschutzgesetz Sand im Getriebe der EU Datenschutz-Grundverordnung (DSGVO) ist.

Viele Branchen sehen ihre Geschäftsmodelle durch die DSGVO und die EU Privacy Verordnung in Frage gestellt, allen voran die Werbe- und Medienbranchen. Dazu kommt, dass die Digitalstrategie österreichischer Wirtschaftspolitik an die Erfolge internationaler Internet-, bzw. Social Media Plattformen anschließen will. Aber auch der Handel, Versicherungen und Banken greifen gerne auf personenbezogene Daten zu, direkt oder indirekt.  Ihre wirtschaftlichen Interessen will der Staat schützen.

Zudem gibt es im Staat selbst große Begehrlichkeiten, im großen Stil personenbezogene Daten zu speichern (Vorratsdatenspeicherung), zu verarbeiten (Profilbildung), um daraus bspw.  so genannte präventive Maßnahmen im Rahmen von Verbrechens- und Terrorabwehr ableiten zu können. Obwohl es dazu klare Entscheidungen des EuGH gibt, der Fragen der Vorratsdatenspeicherung in die EU Kompetenz verweist und im diskutierten Umfang als rechtswidrig qualifizierte, halten die Begehrlichkeiten vor allem eines Innenministers Sobotka und der hinter ihm stehenden Lobbys an. 

Das 3. Hauptstück des Datenschutzgesetzes-DSG zielt ganz darauf ab. Es titelt: Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs. (§§ 36-45 DSG) Dieses Hauptstück wurde nach § 35 DSG, Besondere Befugnisse der Datenschutzbehörde, eingefügt. 

Die Datenschutzbehörde als Obrigkeit

In autoritären Staaten sind Bürger, die gegen etwas klagen oder sich beschweren schnell verdächtig. Bürger als Untertanen. Fallweise scheint es, als stünden manche österreichische Behörden in Ihrem Selbstverständnis und ihrer Gebarung noch ganz in der Tradition einer  – um wohlwollend zu bleiben – k&k Bürokratie. Kläger und Beschwerer stören die Ruhe behördlichen Amtswaltens, so scheint es. Diesen Eindruck hinterlässt mangelnde Service- und Bürgerorientierung schnell.

Während nach DSGVO Unternehmen, die beschuldigt werden, ohne Einwilligung personenbezogene Daten zu verarbeiten, in der Nachweispflicht stehen, stellt sich das Datenschutzgesetz in Österreich vor Unternehmen und Organisationen. Der Datenschutzbehörde gegenüber muss die Person erst glauben machen, dass eine wesentliche Beeinträchtigung ihrer schutzwürdigen Geheimhaltungsinteressen durch die Verarbeitung seiner personenbezogenen Daten gegeben ist (§ 25 Abs. 1 DSG). Erst dann kann die Datenschutzbehörde die Weiterführung der Datenverarbeitung mit Bescheid […] untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenverarbeitung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Ebenso kann die Datenschutzbehörde auf Antrag einer betroffenen Person eine Einschränkung der Verarbeitung […] anordnen, wenn der Verantwortliche einer diesbezüglichen Verpflichtung nicht fristgerecht nachkommt. Wird einer Untersagung nicht unverzüglich Folge geleistet, hat die Datenschutzbehörde nach Art. 83 Abs. 5 DSGVO vorzugehen. (§ 22 Abs. 4 DSG)

Es scheint, als wolle man es Beschwerdeführern schwer und leidig machen, sie dazu zu bringen eher früher als später aufzugeben und zu resignieren. Die Statistiken des Datenschutzberichtes 2016 leisten dieser Vermutung Vorschub:

Ebenso aufschlussreich ist die Statistik zu den in den letzten Jahren stark rückläufigen Rechtsauskünften:

Es ist höchst erstaunlich, dass bei einer im EU Vergleich überdurchschnittlich hohen Durchdringung mit digitalen Technologien, angesichts nicht abreißender Berichterstattung rund um Themenbereiche Verletzung des Datenschutzes und negative Auswirkungen, so wenige Beschwerden eingegangen sind.

Das mag wohl auch daran liegen, dass die DSB offenbar keine Rechtsauskünfte außerhalb anhängiger Verfahren gibt (vgl. Anfragebeantwortung durch DSB („Nicht Auskunft”))

Die Datenschutzbehörde wird durch die EU DSGVO herausgefordert

Im Geiste der EU Datenschutz-Grundverordnung ist die Aufsichtsbehörde (Datenschutzbehörde) dazu da, die durch die DSGVO geschützten Interessen von Privatpersonen zu verteidigen und Verstöße zu ahnden.

Nachdem in Österreich ausschließlich der Beschwerdeweg zur Datenschutzbehörde möglich ist, sitzt die Behörde am entscheidenden Hebel.

Zwar gibt es grundsätzlich die Möglichkeit das Bundesverwaltungsgericht anzurufen, bis hin zur Revision an den VwGH, aber auch nur dann, wenn diese Möglichkeit durch die Datenschutzbehörde, bzw. Bundesverwaltungsgericht nicht ausgeschlossen wurde.

Es braucht Transparenz

Die Datenschutzbehörde ist offenbar auch hinsichtlich ihres Geschäftsgebarens und ihrer Geschäftsauffassung unabhängig, zumindest lautet so die Auskunft des Bundeskanzleramtes. Das kann man durchaus als bedenklich bezeichnen. Die gegenwärtige Geschäftspraxis lässt deutlich zu wünschen übrig.

Es braucht eine klare Service-Orientierung

Sich auf hoheitliches behördliches Handeln als Vollzugsbehörde zu beschränken heißt nur einen Teil die Verpflichtungen zu erfüllen, die die EU DSGVO den Aufsichtsbehörden insb. in Art  57 Abs. 1 zuschreibt. (Siehe Die Datenschutzbehörde (DSB) in Österreich)

Leider fehlt eine verlässliche Evaluation der Serviceleistung der DSB, d.h. in wie vielen Fällen die DSB telefonisch erreichbar war, telefonisch Auskunft gegeben hat, bzw. die Anfrageerledigung zugesagt und eingelöst hat, auch wie lange es brauchte, bis E-Mails beantwortet wurden und die Antwort tatsächlich als Auskunft und Beratung im Sinne der DSGVO gewertet werden konnte.

Allerdings gibt es Erfahrungsberichte, die Rückschlüsse auf eine unzureichende Servicequalität zulassen.  

Es braucht eine aktive, nicht nur reaktive Datenschutzpraxis

Vielen Personen ist gar nicht bewusst, dass ihre personenbezogenen Daten rechtswidrig genutzt, verarbeitet und gehandelt werden. Wie könnten diese sich an die Datenschutzbehörde wenden? Der Staat steht in der Verpflichtung seine Bürger, eigentlich alle Personen im Land zu schützen, insbesondere dann, wenn diese nicht in der Lage sind, selbst die Bedrohung zu erkennen. Dazu braucht es sowohl ein entsprechendes Selbstverständnis als auch eine entsprechende technische Kompetenz. Angesprochen auf fehlende technische Expertise bei der DSB, entgegnet die Behördenleiterin, dass diese im Bedarfsfall zugekauft werden könne. Dies ist ohne Zweifel das Eingeständnis eines rein reaktiven, bürokratischen Aufgabenverständnisses, das es umgehend zu korrigieren gilt.

 

---

 

Interview mit Andrea Jelinek, Leiterin der Datenschutzbehörde (by CBA):
Position der Datenschutzbehörde

 

---