Jusletter IT

§ 26 DSG räumt jedem Betroffenen das Recht ein Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten über ihn in einer Datenanwendung verarbeitet werden, woher diese stammen, wozu sie verwendet werden und an wen sie übermittelt wurden, wobei der Betroffene in einem ihm zumutbarem Ausmaß mitzuwirken hat, um ungerechtfertigten und unverhältnismäßigen Aufwand beim datenschutzrechtlichen Auftraggeber nach Möglichkeit zu vermeiden (§ 26 Abs. 3 DSG). Eine solche Mitwirkung könnte beispielsweise darin bestehen, dass der Betroffene jenen Verwaltungsbereich benennt, in welchem er ihn betreffende personenbezogene Daten vermutet.¹

Ein behördliches ELAK-System könnte die Erfüllung dieser Auskunftsverpflichtung in der Weise erleichtern, indem eine Suchfunktion zur Verfügung gestellt wird, welche es ermöglicht, den Aktenbestand oder Teile dessen nach bestimmten Kriterien zu durchsuchen. Dabei ist jedoch das datenschutzrechtliche und auch im E-GovG² normierte Erfordernis der Trennung der Verwaltungsbereiche zu beachten, wodurch eine Suche nur innerhalb eines solchen zulässig sein kann. Ansonsten könnte eine der Intention des E-GovG und DSG entgegenstehende uneingeschränkte Datenübermittlung über Verwaltungsbereiche hinweg technisch ermöglicht werden. Die rechtlich mögliche Grenze einer solchen Suchanfrage innerhalb der behördlichen Organisationsstruktur bildet somit die Verwaltungseinheit, da Suchanfragen über Aufgabengebiete hinweg eine Übermittlung personenbezogener Daten i.S.d. § 4 Z. 12 DSG³ darstellen würden, welche nur unter bestimmten im Einzelfall zu prüfenden Voraussetzungen zulässig wäre. Doch auch eine Suche nur innerhalb eines Verwaltungsbereiches wirft gewisse datenschutzrechtliche Fragestellungen auf, da auf diese Weise möglicherweise bestimmte Informationen aus dem ELAK-System extrahiert werden könnten, welche dem Suchenden nicht zugänglich sein dürften. Dabei sei beispielsweise an inkriminierende Informationen wie Verwaltungsstrafen bestimmter Organwalter zu denken. Auch wenn die Einsicht in jene Akten, welche das Ergebnis einer solchen Suchanfrage bilden, vom System verweigert werden sollte, könnten sich dennoch aus der Ergebnisliste bereits in der Form kritische Informationen ableiten lassen, dass es überhaupt Suchtreffer oder eben keine solchen gibt.

Um den Schutz personenbezogener Daten zu gewährleisten, empfiehlt sich ein Berechtigungssystem einzuführen, welches Zugriffsrechte dahingehend abbildet, dass Rollen nur entsprechend ihrer Suchberechtigung Ergebnisse einer Suchanfrage erhalten und darauf aufbauend Einsicht in Akten nehmen können. Damit wird auch dem Kompetenzklarheits- und dem Auftragsprinzip⁴ gem. § 14 Abs. 2 Z 1 und 2 DSG entsprochen, da auch «Abfragen» eine Datenverarbeitung i.S.d. § 4 Z. 9 DSG darstellen und somit nur insoweit zulässig sind, als dies für den Zweck der Datenanwendung wesentlich ist und über diesen Zweck nicht hinausgeht (§ 6 Abs. 1 Z. 3 DSG). Somit erscheint es angebracht und im Sinne des DSG, ein solches Berechtigungssystem zu etablieren, durch welches jeder Mitarbeiter nur von jenen Sachverhalten Kenntnis erlangt, welche für seine operative Tätigkeit notwendig erscheinen. Grundsätzlich unterliegen solche Informationen zwar der Amtsverschwiegenheit (Art. 20 Abs. 3 B-VG) und dem Datengeheimnis (§ 15 DSG), jedoch wird eine auch technisch bedingte Beschränkung des Zugangs zu schutzwürdigen Informationen außerhalb der eigenen Zuständigkeit der Gewährleistung dieser Geheimhaltungsverpflichtung nur zuträglich sein. Darüber hinaus darf auch die Umsetzung der anderen Datensicherheitsmaßnahmen gem § 14 nicht vernachlässigt werden.

In der Folge stellt sich im Zusammenhang mit einem solchen Berechtigungssystem praktisch auch das Bedürfnis nach einer Regelung für jenen Fall, in welchem Mitarbeiter erkranken oder den Dienst quittieren. Tritt ein solcher Fall ein, so müssen die entsprechenden Akten einem anderen Mitarbeiter zugeteilt werden, wobei es durchaus sinnvoll sein wird, dass auch dieser Vertreter bzw. Nachfolger auf die bearbeiteten Akten Suchanfragen absetzen und Einsicht nehmen kann. Dadurch könnte auch eine gewisse Erledigungskontinuität hinsichtlich relativ gleich gelagerter Sachverhalte erzielt werden. Die gleiche Problematik stellt sich auch im Fall einer möglichen Befangenheit i.S.d. § 7 AVG, auf Grund derer bestimmte Organwalter ihre Vertretung zu veranlassen haben. In Ermangelung spezieller Vorschriften obliegt es den Behörden selbst, entsprechende Vertretungsregelungen in ihren Geschäfts- und Kanzleiordnungen vorzusehen bzw. im Rahmen des DSG Kriterien für Suchabfragen im ELAK-System festzulegen.

Um diesen rechtlichen Anforderungen auch in technischer Hinsicht gerecht zu werden ist es notwendig, die behördliche Organisationsstruktur im ELAK-System abzubilden. Durch die Entwicklung eines Rollenkonzepts, welches sämtliche Planstellen (Dienstposten) abbildet und mit den entsprechenden Zugriffsrechen auf das Aktensystem versieht, kann gewährleistet werden, dass jeder Mitarbeiter nur auf die ihm zum aktuellen oder einem früheren Zeitpunkt vorgeschriebenen Akten Zugriff hat. Auf diese Weise kann auch die Möglichkeit geschaffen werden, unterschiedliche Sichten auf einen Akt zu erlauben, sodass beispielsweise nur bestimmte Aktenteile eingesehen werden können.

In der technischen Abbildung dieser Hierarchie erscheint es sinnvoll, die entsprechenden Zugriffsberechtigungen bis zu einer gewissen Stufe in der Verwaltungshierarchie nach oben hin zu aggregieren, woraus sich die Möglichkeit ergibt, dass die übergeordnete Planstelle auf sämtliche Akten aller ihr untergeordneten Stellen Zugriff hat. Somit ist dieser Stelle eine Suchanfrage auf die Akten der ihr untergeordneten Dienstposten erlaubt, was z.B. die Erfüllung eines Auskunftsbegehrens für die gesamte Organisationseinheit erleichtert. Andererseits würde die technische Möglichkeit einer «globalen» Suchanfrage über den gesamten Aktenbestand einer Behörde bzw. jenem einer Verwaltungseinheit hinweg das Risiko einer Verletzung der gesetzlichen Vorschriften erhöhen, weswegen auch die Berechtigungsaggregation auf einer bestimmten Stufe der Verwaltungsorganisation enden muss, um das System der bereichsspezifischen Personen-kennzeichen des E-GovG nicht ad absurdum zu führen.

Auf Grund der Komplexität mancher Verwaltungsverfahren ist es möglich, dass ein und derselbe Akt im Laufe des behördlichen Ermittlungsverfahrens mehrere Planstellen durchläuft. Auch in diesem Fall erscheint es geboten, dass jeder Mitarbeiter einer Planstelle nur jene Aktenteile einsehen kann, welche er selbst oder seine Vorbearbeiter verfasst bzw. bearbeitet haben. Die Notwendigkeit einer Kenntnisnahme der weiteren Bearbeitung des Aktes wird in der Regel nicht gegeben sein, sofern der Akt im Laufe des Verfahrens derselben Planstelle nicht nochmals vorgeschrieben wird. Dieser Umstand kann möglicherweise das Erfordernis nach sich ziehen, dass zusätzlich zur Organisationsstruktur (Aufbauorganisation) auch die Ablauforganisation der Behörde für das entsprechende Verwaltungsverfahren abgebildet werden muss, um verschiedene vom Verfahrensstatus abhängige Sichten auf den Akt zu ermöglichen.

§ 27 DSG räumt Betroffenen das Recht ein, unrichtig oder unvollständig verarbeitete Daten richtig stellen bzw. unzulässiger Weise verwendete Daten löschen zu lassen. Ausgeschlossen ist eine Richtigstellung oder Löschung dann, wenn durch diese Daten auf Grund des Dokumentationszwecks der entsprechenden Datenanwendung das gesamte Geschehen protokolliert werden muss. Diese Protokollierungspflicht bezieht sich auf ein reales Geschehen und darf nicht mit der Protokollierungspflicht des § 14 Abs. 2 Z 7 DSG verwechselt werden. Personenbezogene Daten dürfen zulässiger Weise nur so lange und nur in jenem Umfang gespeichert werden, als es der Zweck der Datenanwendung erforderlich macht, danach sind sie zu löschen. Eine Ausnahme davon besteht dann, wenn deren Archivierung rechtlich zulässig bzw. vorgeschrieben ist und der Zugang zu diesen Daten besonders geschützt ist (§ 6 Abs. 1 Z 3 u 5 DSG). Eine Löschung von Daten ist gem. § 26 Abs. 7 DSG für einen Zeitraum von mindestens 4 Monaten bzw. bis zum Abschluss des Verfahrens dann nicht zulässig, wenn hinsichtlich derer ein Auskunftsbegehren oder eine Beschwerde gem. § 31 DSG bei der DSK eingebracht wurde – ein Aspekt, der ebenfalls Auswirkungen auf die technische Implementierung hat.

Bestreitet ein Betroffener die Richtigkeit seiner in einer Datenanwendung verarbeiteten Daten und kann die Richtigkeit oder Unrichtigkeit zum gegebenen Zeitpunkt nicht mit Sicherheit festgestellt werden, so normiert § 27 Abs. 7 DSG, dass die Bestreitung vermerkt werden muss, wodurch auch ein ELAK-System diese Funktionalität zur Verfügung stellen muss. Dieser Vermerk darf in der Folge nur mehr mit Zustimmung des Betroffenen oder nach einer Entscheidung des zuständigen Gerichts wieder entfernt werden. Werden Daten, welche in einem Textdokument oder einem Freitext-Datenfeld verarbeitet werden, bestritten, so kann dieser Vermerk relativ einfach durch textliche Anmerkung in diesem Freitextfeld an entsprechender Stelle eingefügt werden. Nicht ganz so trivial stellt sich der Fall dar, in welchem bestimmte personenbezogene Daten in datentypgebundenen Datenfeldern verarbeitet werden. Eine mögliche Lösung für dieses Problem wäre, zu jedem kritischen Datenfeld ein zusätzliches Feld in die Datenbank einzufügen, welches eine derartige Streitanmerkung festhält. Eine je nach Konzeption andere Lösung könnte sein, eine eigene globale Tabelle für Streitanmerkungen in der Datenbank anzulegen, welche sowohl den Akt als auch das bestrittene Datenfeld identifiziert und somit alle gegenwärtigen und früheren Streitanmerkungen beinhaltet, wodurch auch deren Historisierung möglich wäre.

Dem DSG entsprechend muss das ELAK-System eine technische Funktionalität bereitstellen, durch welche in unzulässiger Weise verarbeitete Daten derart gelöscht werden können, dass sie gänzlich aus dem System und auch den entsprechenden Speichermedien entfernt werden. Der Betroffene soll durch eine solche Löschung letztendlich so gestellt werden, als ob seine Daten nur im rechtlich zulässigen Umfang verarbeitet worden wären. Die Implementierung dieser Funktionalität kann in der Praxis zu erheblichen technischen Schwierigkeiten führen, insbesondere hinsichtlich Datei-Historys oder im Zuge einer Dokumentenversionierung.

Manche Softwareprodukte sehen die Möglichkeit vor, dass bei der Bearbeitung von Dokumenten auch eine Änderungsprotokollierung erfolgt. Dadurch kann ersichtlich gemacht werden, welcher Benutzer zu welchem Zeitpunkt welche Änderungen durchgeführt hat, wodurch der gesamte Entstehungsprozess des Dokuments auch bei mehreren Bearbeitern nachvollzogen werden kann. Müssen im Zuge eines Löschungsbegehrens bestimmte Teile aus dem Dokument entfernt werden, so ist es in diesem Fall regelmäßig nicht ausreichend, den entsprechenden Text einfach im Dokument zu entfernen, da die entsprechenden Textfragmente dennoch in den Protokollinformationen der Dokumentendatei selbst – ohne für den Benutzer direkt sichtbar zu sein – bestehen bleiben können. Mit Hilfe spezieller Tools könnten solche Informationen möglicherweise wieder extrahiert werden. Eine einfache aber zuverlässige Methode einer nachhaltigen Löschung könnte zB das Kopieren des gesamten Textes in eine neue Datei, welche die alte gänzlich ersetzt, sein, wodurch sämtliche Änderungsprotokollierungen zuverlässig vernichtet werden.

Manche ELAK-Systeme stellen aus Dokumentationsgründen für Freitextfelder eine Versionierungsfunktion zur Verfügung, wodurch nicht nur der aktuelle Text dieses Freitextdatenfeldes gespeichert wird, sondern auch sämtliche Inhalte, welche je in solchen Datenfeld gespeichert wurden. Somit kann nachvollzogen werden, wer im Laufe des Ermittlungsverfahrens zu welchem Zeitpunkt welche Änderungen in bestimmten Datenfeldern durchgeführt hat. Da der Sinn dieser Versionierung genau die Evidenthaltung sämtlicher «Entwicklungsstufen» des betreffenden Aktes ist, wird es im Zuge der Erfüllung eines Löschungsbegehrens nicht ausreichend sein, die zu löschenden Informationen nur in der letztgültigen Version zu entfernen. Da es vor allem in Freitextdatenfeldern nicht möglich ist, automatisiert zwischen zulässiger Weise verarbeiteter und zu löschender Information zu unterscheiden, kann eine Anpassung sämtlicher Versionen auf Administratorebene oder die Löschung aller Vorgängerversionen, sofern dies der Protokollierungszweck des § 14 Abs. 2 Z. 7 DSG erlaubt, nötig werden. Eine wesentliche Erleichterung bei der Richtigstellung oder endgültigen Vernichtung solcher Informationen bietet § 27 Abs. 6 für den Fall, in welchem deren endgültige Durchführung aus Wirtschaftlichkeitsgründen erst zu einem späteren Zeitpunkt tunlich ist. Dies wird vor allem auch bei Backups der Fall sein, da eine Anpassung in jeder einzelnen Backupversion einen erheblichen Aufwand bedeuten würde und die anzupassende Information im Laufe der Zeit ohnedies aus dem Backupsystem «hinauswächst», sofern sie im Produktivsystem korrigiert wurde. Unmittelbar ist demnach nur eine Zugriffssperre auf die entsprechende Information zu setzen. Es muss jedoch technisch oder organisatorisch gewährleistet werden, dass durch einen Restore bereits richtig gestellte oder gelöschte Daten nicht wieder in das Produktivsystem übernommen werden.

ELAK-Systeme bzw Kollaborationswerkzeuge bieten ihren Nutzern die Möglichkeit, persönliche Anmerkungen oder Notizen zu verfassen. Grundsätzlich kann davon ausgegangen werden, dass solche Notizen regelmäßig ebenfalls personenbezogene Daten beinhalten werden, weswegen davon auszugehen ist, dass auch derartige anwenderspezifische Notizen den Betroffenenrechten der §§ 26 f. DSG unterliegen, da der VfGH⁵ auch hinsichtlich freiwillig ermittelter Daten ein Recht auf Auskunfterteilung gewährt. Demnach wird auch ein Recht auf Richtigstellung und Löschung auch für solche Notizen anzunehmen sein. Eine Erstreckung der Suchfunktion auf diese Notizen erscheint daher notwendig.

Grundsätzlich wurde das ELAK-System der Stadtgemeinde Schwechat nach dem «Neuen Managementkonzept» entwickelt, in welchem die Politik der Verwaltung gewisse technische Anforderungen vorgibt, welche von dieser umzusetzen sind. In der Folge wird diese Umsetzung auf deren Praktikabilität evaluiert und daraus wiederum Zielsetzungen abgeleitet, deren Realisierung durch die Politik vorangetrieben wird. Das Inkrafttreten der angeführten Gesetzesnovellen brachte im Allgemeinen für bestehende ELAK-Systeme keine grundlegenden Änderungen. Die meisten rechtlichen Anforderungen, welche technischer Umsetzungen bedürfen, ergeben sich nach wie vor aus dem DSG, wobei insbesondere die Abbildung des Rechts auf Auskunftserteilung, Richtigstellung und Löschung technisch sehr interessante Aspekte aufwirft. Eine wesentliche Erleichterung der Erfüllung eines Auskunftsbegehrens stellt eine Suchfunktion dar, um im Aktenbestand eines bestimmten Verwaltungsbereiches auf des Vorliegen bestimmter personenbezogener Daten zu durchsuchen. Dafür müssen jedoch Regelungen bezüglich der Suchberechtigungen getroffen werden, um dem Kompetenzklarheitsprinzip und dem Auftragsprinzip des § 14 Abs. 2 Z 1 u 2 DSG zu entsprechen. Es muss dabei auch darauf Rücksicht genommen werden, dass alleine durch eine entsprechende Wahl der Suchkriterien und der dadurch resultierenden Trefferliste keine für den Abfragenden nicht vorgesehenen Informationen aus dem ELAK-System extrahiert werden können. Für die Umsetzung eines solchen Berechtigungssystems ist es notwendig, zumindest die Aufbauorganisation – regelmäßig jedoch auch die Ablauforganisation durch Identifikation und Definition der einzelnen Verwaltungsprozesse – im ELAK-System abzubilden. Im Zuge der Umsetzung des Rechts auf Löschung ist darauf zu achten, dass die in unzulässiger Weise verarbeiteten Daten gänzlich und nachhaltig in der Art aus dem System gelöscht werden, dass der Betroffene so gestellt wird, als ob diese Daten niemals verarbeitet worden wären. Auch «private Notizen» unterliegen den Betroffenenrechten der §§ 26 ff DSG, da sie in der Regel mit der gleichen Wahrscheinlichkeit potentiell personenbezogene Daten beinhalten wie der Akt selbst.

Drobesch, Heinz / Grosinger, Walter: Das neue österreichische Datenschutzgesetz. Juridica Verlag Wien, 2000. ISBN 3-85131-128-0.
Jahnel, Dietmar (Hrsg): Aktuelle Fragen des Datenschutzrechts. Facultas WUV Wien, 2007. ISBN 978-3-7089-0057-5.
Jahnel, Dietmar: Datensicherheitsmaßnahmen nach dem DSG, www.internet4jurists.at/ literatur/datensicherheit.pdf, abgerufen am 10. April 2009.
Graf, Wolfgang: Datenschutzrecht im Überblick. Facultas Verlag Wien, 2004. ISBN 3-85114-835-5.
Mayer-Schönberger, Viktor / Brandl, Ernst: Datenschutzgesetz 2000. Linde Verlag Wien, 2006. ISBN 3-7073-0869-3.
Raschauer, Bernhard: Allgemeines Verwaltungsrecht2. Springer Verlag Wien New York, 2003. ISBN 3-211-40540-2.

Bernhard Horn, RISE-F&E, Schwechat, AT
Gerald Fischer, Forschungsgruppe Industrial Software der TU Wien, AT
Roman Trabitsch, Leiter der Forschungsgruppe INSO der TU Wien, AT
Thomas Grechenig, Stadtamtsdirektor der Stadtgemeinde Schwechat, AT
bernhard.horn@gmx.net