Parlamentskorrespondenz Nr. 520 vom 18.05.2015

Neue Datenschutzbehörde legt ersten Datenschutzbericht vor

Wien (PK) – Mit 1. Jänner 2014 hat die neue, unabhängige, Datenschutzbehörde die Datenschutzkommission als nationale Kontrollstelle in Sachen Datenschutz abgelöst. Nun liegt mit dem Datenschutzbericht 2014 ein erster Tätigkeitsbericht der Behörde vor, den Kanzleramtsminister Josef Ostermayer vor kurzem dem Nationalrat übermittelt hat (III-175 d.B. und III-556-BR/2015 d.B. ). An der Zahl der Individualbeschwerden hat sich demnach gegenüber 2013 nichts verändert, deutlich gestiegen sind allerdings die Kontroll- und Ombudsmannverfahren sowie die Rechtsauskünfte. Viel Bewegung gab es überdies wieder im Datenverarbeitungsregister, eine statistische Aufstellung vermerkt unter anderem 1.175 Verbesserungsaufträge und 263 Ablehnungen von Datenanwendungen.

Konkret wurden 2014 224 Individualbeschwerden bei der Datenschutzbehörde eingereicht, exakt gleich viel wie 2013 bei der Datenschutzkommission. 117 von 220 erledigten Verfahren endeten mit einem Bescheid, die übrigen 103 wurden eingestellt, weil sich Unternehmen nach Einschreiten der Behörde in vielen Fällen schließlich doch noch einsichtig gezeigt haben, was Auskunfts- bzw. Löschungsverlangen betrifft. Auffallend ist laut Bericht, dass ein in den Medien präsentes Thema – etwa die Vorratsdatenspeicherung – oder ein bekannt gewordener konkreter Missstand sich umgehend in der Zunahme von Beschwerden niederschlägt, diese dann aber relativ rasch wieder abebben. Gegen Bescheide der Datenschutzbehörde können Betroffene Berufung beim Bundesverwaltungsgericht einlegen.

Höher als die Zahl der Individualbeschwerden ist die Zahl der Kontroll- und Ombudsmannverfahren, die die Datenschutzbehörde weitgehend formlos führt. 2014 wurden insgesamt 497 derartiger Verfahren abgewickelt, 399 davon auf Antrag und 98 in Form von amtswegigen Prüfungen. Ziel dieser Verfahren ist es, eine datenschutzrechtlich zufriedenstellende Situation zu erreichen, wobei auch Empfehlungen ausgesprochen werden können. Nur in Ausnahmefällen ist ein Mandatsbescheid vorgesehen. Am häufigsten ging es bei dieser Art von Verfahren um Videoüberwachungen. Elf Fälle betrafen die Entscheidung des Europäischen Gerichtshofs EuGH, wonach ein Betreiber von Internet-Suchmaschinen unter bestimmten Umständen Treffer, die zu personenbezogenen Daten führen, aus der Ergebnisliste streichen muss.

2.261 Mal hat die Datenschutzbehörde im vergangenen Jahr Rechtsauskünfte erteilt. Dazu kamen 14 Genehmigungen für die Verwendung von Daten für Forschungszwecke und für statistische Zwecke, 80 Genehmigungen für Datenübermittlungen ins Ausland durch internationale Konzerne, 33 Schengen-Auskünfte und verschiedenste Tätigkeiten im Zusammenhang mit der Führung des Datenverarbeitungsregisters.

Daten vom Dienst-PC dürfen als Beweismittel verwendet werden

Besonders relevante Beschwerdeentscheidungen werden von der Datenschutzbehörde im Rechtsinformationssystem des Bundes (RIS) veröffentlicht, einige davon sind auch im Bericht angeführt. So hat die Behörde etwa in Zusammenhang mit einem arbeitsgerichtlichen Prozess um das Dienstverhältnis einer Bediensteten einer Anstalt öffentlichen Rechts entschieden, dass es zulässig war, dass der Dienstgeber Daten vom Dienst-PC der Betroffenen verwendet hat, um den Beweis von Pflichtverletzungen zu erbringen. In einem anderen Fall hat sie hingegen eine "Zweitverwertung" von Ergebnissen einer gesetzesmäßig angeordneten Rufdaten- und Standortrückerfassung in einem Disziplinarverfahren für rechtswidrig erklärt.

Im Zuge durchgeführter Kontrollverfahren hat die Datenschutzbehörde unter anderem die Verwendung von Wählerevidenz-Daten für eine von einem Tiroler Bürgermeister selbst finanzierte Volksbefragung gerügt und einem Krankenanstaltenträger empfohlen, nur dann eine Meldung an den Jugendwohlfahrtsträger zu erstatten, wenn es einen hinreichend konkreten Verdacht auf Vernachlässigung, Misshandlung, Quälen oder sexuellen Missbrauch von jungen PatientInnen hat. Mit einem so genannten Mandatsbescheid ausdrücklich untersagt wurde die gezielte Videoüberwachung einer Wohnung mit einer versteckten Kamera durch einen vom Hausbesitzer engagierten Detektiv im Zuge eines Kündigungsstreits, dessen Anlass eine behauptete vertragswidrige Weitermietung der Wohnung durch den Mieter war.

Private "Dashcams" in Autos sind nicht zulässig

Im Rahmen von Registrierungsverfahren zugelassen wurden unter anderem ein Fotovergleich-System für die manuell-visuelle Kontrolle von LiftkartenbesitzerInnen bei ausgewählten Skiliften sowie ein Probebetrieb der Whistleblower-Hotline der Wirtschafts- und Korruptionsstaatsanwaltschaft. Auch etliche Konzerne haben, unter Einhaltung bestimmter vorgegebener Auflagen, Whistleblower-Hotlines registrieren lassen. Eine Videoüberwachung im Garderobenbereich eines Freizeitunternehmens wurde unter der Bedingung genehmigt, dass die Aufnahmen nur grob verpixelt erfolgen und eine verdächtige Person erst nach dem Garderobenausgang durch eine hochauflösende Kamera identifiziert werden kann.

Abgelehnt hat die Datenschutzbehörde hingegen ein automationsunterstütztes Gesichtserkennungssystem zur Identifizierung von KundenkartenbesitzerInnen beim Betreten eines IT-Geschäfts mittels biometrischer Daten, den Antrag eines einzelnen Wohnungseigentümers zur Überwachung von Teilen der Tiefgarage eines Mehrparteienhauses mittels Videokamera und den Antrag eines Juweliers, einen öffentlichen Gehsteig vor seinem Geschäft bis zu einer Tiefe von einem Meter mitzufilmen. Zulässig sind nach ständiger Spruchpraxis in derartigen Fällen maximal 50 cm. In zwei Fällen wurden Videoüberwachungen auf dem eigenen Betriebsgelände untersagt, da trotz vorhandenen Betriebsrats keine Betriebsvereinbarung vorlag.

Mehrfach wurde auch das Ansinnen zurückgewiesen, im eigenen Auto eine Kamera zu installieren, um bei Verkehrsunfällen gegebenenfalls ein Beweismittel zu haben. Für den Betrieb dieser so genannten "Dashcams" bzw. "Crashcams" und der damit einhergehenden Überwachung öffentlicher Straßen und Plätze fehle Privatpersonen die geforderte gesetzliche Zuständigkeit bzw. rechtliche Befugnis gemäß Datenschutzgesetz, heißt es im Bericht. Die Rechtsansicht der Datenschutzbehörde wurde auch vom Bundesverwaltungsgericht bestätigt.

Schengen-Informationssystem: Keine Auffälligkeiten bei Datenabfragen

Amtswegig hat die Datenschutzbehörde unter anderem Datenverwendungen des Innenministeriums im Rahmen des Schengener Informationssystems geprüft. Dazu ist sie im Rahmen europarechtlicher Vorgaben verpflichtet. Die Prüfverfahren hätten keine Auffälligkeiten oder Abweichungen vom rechtmäßigen Zustand ergeben, so der Bericht. Auch ein Ermittlungsverfahren gegen das Bildungsinstitut BIFIE, das aufgrund des in der Öffentlichkeit große Aufmerksamkeit erregenden Datenlecks eingeleitet wurde, hat die Behörde eingestellt, nachdem sich ergeben hat, dass das BIFIE alle zumutbaren Schritte unternommen hatte, um die missbräuchliche Verwendung personenbezogener Daten zu minimieren.

Angeführt werden im Bericht auch wichtige höchstgerichtliche Entscheidungen, etwa das vom EuGH und vom Verfassungsgerichtshof (VfGH) verfügte Aus für die Vorratsdatenspeicherung sowie die EuGH-Entscheidung zur Entfernung bestimmter Treffer bei Suchmaschinen-Abfragen im Internet. Weiters hat der EuGH im vergangenen Jahr die EU-Datenschutzrichtlinie für Videoaufzeichnungen von Privaten, die – zumindest teilweise – auf öffentlichen Straßenraum gerichtet ist, für anwendbar erklärt.

Ein wegweisendes Urteil gibt es laut Bericht auch vom VfGH, und zwar zur Löschung von Daten aus Papierakten. Demnach hat über die Frage, ob ein Recht auf physische Vernichtung eines Akteninhalts besteht, nicht die Datenschutzbehörde sondern die jeweils aktenführende Behörde durch Bescheid zu entscheiden. Anlass für das Erkenntnis war die Beschwerde einer Frau, die die Löschung eines Eintrags zu ihrem Sexualleben aus dem Papierakt eines Finanzamts beantragt hat. Sie kann sich gemäß dem Urteil im Rechtsweg an die nächste Instanz, das Bundesfinanzgericht, und in weiterer Folge an die Höchstgerichte wenden, wenn das Finanzamt den Eintrag nicht von sich aus löscht. (Schluss) gs