Jusletter IT

Der Schutz personenbezogener Daten vor Missbrauch hat in den letzten Jahren stetig an Bedeutung gewonnen. Der Einzelne soll davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird. Jeder Mensch soll grundsätzlich selbst entscheiden können, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz will auf diese Weise den so genannten «gläsernen Menschen» verhindern. Die Bedeutung des Datenschutzes stieg und steigt ständig an, da die Möglichkeiten der Datengewinnung, -verarbeitung und –speicherung mit den Möglichkeiten moderner Digitaltechnik enorm wachsen. Technische Entwicklungen wie Internet, E-Mail, Mobiltelephonie, Videoüberwachung und elektronische Zahlungsmethoden schaffen permanent neue Möglichkeiten zur Datenerfassung und stellen neue Herausforderungen für den Datenschutz dar.

Diese Möglichkeiten werden von zahlreichen behördlichen Stellen genutzt. Nicht nur Sicherheitsbehörden möchten – etwa durch Rasterfahndung und Telekommunikationsüberwachung – die Bekämpfung von Verbrechen verbessern, auch Finanzbehörden sind an Banktransaktionen interessiert, um etwa Steuerdelikte aufzudecken. Doch auch Unternehmen nutzen die vielfältigen Möglichkeiten der modernen Technologie. Sie versprechen sich von Mitarbeiterüberwachung eine höhere Effizienz und erstellen Kundenprofile, die beim Marketing einschließlich Preisdifferenzierung helfen sollen. Daneben haben Auskunfteien die Zahlungsfähigkeit der Kunden sicherzustellen. Von einer solchen Erfassung und Verarbeitung personenbezogener Daten sind nahezu alle Bürger betroffen. Die wenigsten zeigen jedoch Interesse für den Bereich des Datenschutzes. Vor allem durch die weltweite Vernetzung, insb. durch das Internet, nehmen die Gefahren hinsichtlich des Schutzes personenbezogener Daten laufend zu. Programme wie Google Streetview oder auch soziale Plattformen wie Facebook scheinen immer wieder Probleme mit dem Datenschutz zu haben. Doch trotz Medienberichterstattung zeigt sich auf Seiten der Bevölkerung oft eine gewisse «Gleichgültigkeit» gegenüber solchen «Datenkraken»¹ .

Nicht zuletzt aufgrund dieser Tatsache ist eine verstärkte Diskussion der Datenschutzproblematik besonders wünschenswert, was sich auch in den Sessionen des IRIS immer wieder zeigt. Die Session zum Thema Datenschutz hat im Rahmen von IRIS schon lange einen festen Platz. Doch wie hat sich der Datenschutz in Österreich entwickelt?

Markus Holzweber (Zur Geschichte und den theoretischen Anfängen des Datenschutzes in Österreich) widmet sich im Rahmen seines Vortrages diesem Thema. Im Zuge des vom Jubiläumsfond der Österreichischen Nationalbank (OeNB) geförderten Forschungsprojekts «Eine Geschichte der Informatisierung des Rechts in Österreich - GIRO» beschäftigt sich Markus Holzweber mit einer historischen Aufarbeitung. Holzwebers Vortrag widmet sich dabei dem zentralen Komplex «Daten» – «Datensicherung» – «Datenschutz». Im Jahr 2009 war es genau 50 Jahre her, als 1959 erstmals IT-Verfahren (für die Besoldung der Beamten) in der öffentlichen Verwaltung eingesetzt wurden. Die Euphorie über die neuen technischen Möglichkeiten überwog. Nur vereinzelt wurde «ein neuer Schutz der Intimsphäre» gefordert (Winkler 1967). Neben den, im Zuge der Forschungen am Wiener System weiterentwickelten Datenbanken (z.B. SozDok), waren es schlicht Datenbanken mit personenbezogenen Daten, die in den 70er Jahren für politische Debatten sorgten. 1972 ersuchten ÖVP Abgeordnete um Auskunft über den Datenschutz der im Bundesbereich betriebenen Datenbanken und Informationssysteme. Dabei kommt die zweifache Ausrichtung des Begriffes «Datenschutz» bereits zur Geltung, nämlich als Schutz/Sicherung der Daten und als Schutz der mit diesen Daten verknüpften Personen. Im Erhebungsbericht des Bundes hieß es zu dieser Zeit, dass sich ein Datenschutzgesetz «notwendigerweise wohl auf wenige allgemeine und damit programmatische Aussagen beschränken» wird müssen. Forderte 1972 die Arbeiterzeitung eine Art «Datengeheimnis» so sahen andere in Österreich noch kein Datenschutzproblem (dies gäbe es «nur im Ausland»). Es folgte die Phase der Arbeit und der Diskussion an einem Datenschutzgesetz. Die Vorlage zu diesem Bundesgesetz wurde 1975 eingereicht; 1975 wurde auch ein Gegenentwurf einiger ÖVP-Abgeordneten präsentiert. Es dauerte dann aber doch noch Jahre, bis das «Bundesgesetz vom 18. Oktober 1978 über den Schutz personenbezogener Daten» beschlossen wurde. Das Datenschutzgesetz erschien als erste Publikation der Reihe «Die Bundesregierung informiert.» Diese wurde vom Bundeskanzleramt herausgegeben und sollte Informationen über Rechtsvorschriften allen Interessierten in leichtverdaulicher Weise zur Verfügung zu stellen. Es ist als ein Baustein des Versuches anzusehen, dem Bürger einen besseren Zugang zum Recht zu verschaffen. Der Datenschutz präsentiert sich somit in einer zweifachen Ausrichtung: als Schutz- bzw. Sicherungselement / defensives Element einerseits und als Zugangsschleuse /offensives Element andererseits.

Mit den aktuellen Problemen des Datenschutzes im Internet beschäftigt sichMartin S. Haase (Datenschutzrecht 2.0) in seinem Vortrag. Ein Schwerpunkt des Vortrages liegt dabei auf den unterschiedlichen Perspektiven von Juristen Ökonomen und Technikern auf das Internet, das von diesen Personengruppen durchaus differenziert gesehen wird. Insbesondere wird diskutiert, ob das System der aktuellen datenschutzrechtlichen Regelungen (Anwendungsbereich: personenbezogenes Datum; Verbot mit Erlaubnisvorbehalt, Prinzip der Einwilligung, ...) geeignet ist, das Internet adäquat zu regeln und die persönliche Freiheit des einzelnen zu schützen. Denn immer mehr Menschen sehen sich mit dem Problem konfrontiert, dass andere nicht nur ihre Identität kennen, sondern etwa auch ihre Vorlieben, Freunde, Fotos, etc. Informationen über das Privatleben und das Verhalten am Arbeitsplatz können von Fremden relativ problemlos erlangt werden. Kann das Datenschutzrecht uns tatsächlich vor derartigen Problemen schützen? Oder wissen Fremde, wer wir sind und keiner kann sie bremsen? Um wirklich einen umfassenden Schutz erlangen zu können, müssen ökonomische, technische und juristische Mittel kombiniert werden.

Doch nicht nur Informationen über das Verhalten am Arbeitsplatz können von Fremden erlangt werden. Auch und gerade Studierende hinterlassen eine (Daten-)Spur, die verfolgt werden kann.Christian Krökel (Moodle, Blackboard & Co – den Studierenden auf der (Daten-)Spur)² versucht diese Spur zu verfolgen und dabei auftretende datenschutzrechtliche Fragestellungen zu beleuchten. Im Zuge der raschen technischen Entwicklung Ende der 90er Jahre ist eLearning zu einem vieldiskutierten und weitverbreiteten Konzept der heutigen Lehre geworden. Während unter pädagogischen Gesichtpunkten große Hoffnungen und Erwartungen mit eLearning verbunden werden, wirft es gleichwohl eine signifikante Zahl an juristischen Fragestellungen auf, die damit in Verbindung stehen, vor allem aus dem Bereich des Urheberrechts und des Datenschutzes. Insbesondere der Einsatz interaktiver Lernumgebungen wie Moodle und Blackboard oder vergleichbarer Anwendungen mit den typischen Web 2.0-Elementen (oft als eLearning 2.0 bezeichnet), welche die –interaktive- Kommunikation und Kooperation von Studierenden ermöglichen und befördern, bieten unter datenschutzrechtlichen Gesichtspunkten eine große Angriffsfläche.

AuchHeidi Schuster (Science needs Privacy)³ beschäftigt sich mit dem Thema Datenschutz in der Forschung. Allerdings betrachtet sie nicht die Seite der Studierenden, sondern beschäftigt sich mit jenen Wissenschaftsgebieten, in denen der Mensch Forschungsgegenstand – also Objekt der Forschung – ist. Die auf diesen Gebieten tätigen Wissenschaftler benötigen in vielen Fällen – zumindest vorübergehend – detaillierte sensible Daten über einzelne Personen. Der augenscheinliche Widerspruch von Erkenntnisinteresse der Forschung einerseits und dem Selbstentscheidungsrecht des Einzelnen über seine Privatangelegenheiten andererseits kann auf den ersten Blick zu Konflikten führen. Zwischen diesen beiden Rechtspositionen ist ein Ausgleich zu finden, der es ermöglicht, beide Grundrechte in wechselseitiger Beziehung mit dem Ziel einer gegenseitigen Optimierung zu realisieren.

Wie schon zu Beginn erwähnt gewinnen Auskunfteien stetig an Bedeutung.Markus Kastelitz undMartin Leitner (Bonität und Datenschutz: Aktuelle Entwicklungen in Österreich und Deutschland)⁴ befassen sich in ihrem Beitrag mit aktuellen Fragen zu den (datenschutz)rechtlichen Rahmenbedingungen des Tätigwerdens von Auskunfteien und berücksichtigen dabei rezente europäische, deutsche und österreichische Entwicklungen.

Das österreichische Datenschutzrecht – und insb. das Thema Videoüberwachung – findet besondere Beachtung im Vortrag vonArzu Sedef (DSG-Novelle 2010: Videoüberwachung (re)loaded). Ausgehend von den neuen Regelungen zur Videoüberwachung beschäftigt sich die Vortragende mit bereits vor der Novelle bestehender Judikatur und Entscheidungspraxis der DSK und derzeit noch offenen Fragestellungen.

Gerade im Strafprozess besteht mit dem Grundrecht auf Datenschutz ein besonderes Spannungsverhältnis.Sabine Adamek (Beweisverbote im Strafprozess – Spannungsverhältnis zum Grundrecht auf Datenschutz)⁵ geht darauf ein, dass «Akte der Gerichtsbarkeit» von der Zuständigkeit der Datenschutzkommission gemäß § 31 Abs 2 DSG explizit ausgeschlossen sind. Aus diesem Grund muss die StPO für den Strafprozess ein eigenes Rechtsschutzsystem für behauptete Datenschutzverletzungen vorsehen. Hier kollidiert der Grundsatz der Wahrheitsfindung des § 3 StPO mit dem Grundrecht auf Datenschutz nach § 1 DSG, und äußert sich in einem komplexen System aus Beweisverboten.

Im Mittelpunkt des Beitrages vonEgmar Wolfeil (E-Government und Zweckbindung im Datenschutz bei Amtshilfe)⁶ stehen die unterschiedlichen Personenkennzeichen der österreichischen Verwaltung – wie Bürgerkarte, Sozialversicherungsnummer, Steuernummer – und deren Nutzung für Zwecke der Amtshilfe. Zwischen Amtshilfe und Datenschutz besteht ein gewisser Widerspruch, der durch die Zweckbindung der Auskunft gelöst wird. Im Rahmen des Beitrages wird versucht anhand der Einbeziehung von Entscheidungspraxis der Datenschutzkommission und Judikatur eine kritische Analyse des «Status quo» durchzuführen und den Begriff der Zweckbindung genauer zu beleuchten, sowie Lösungsansätze für den Datenschutz im ämterübergreifenden Verwaltungshandeln aufzuzeigen. In einer Welt zunehmender Datenverarbeitung wird es immer schwieriger divergierende Ziele – wie effektive Verwaltung mit unmittelbarem Zugriff auf alle für die Bearbeitung notwendigen Daten einerseits und effektiven Datenschutz mit Beachtung der Erforderlichkeit, Zweckbindung und Transparenz andererseits – entsprechend miteinander zu vereinbaren. Hier setzt der Beitrag an und versucht entsprechende Lösungswege darzustellen.

Die Frage, ob Geoinformationen (Einzel-)Angaben über eine Person sind, erläuternTina Krügel undNikolaus Forgo in ihrem Referat. Warum interessieren sich Datenschützer überhaupt für Geodaten? Und welche Dienste haben sich im Bereich der GPS-Ortung entwickelt? Weist eine adressgenaue Karte über Altlasten oder über das Durchschnittseinkommen einer bestimmten Straße Personenbezug auf? Und wie sieht es mit Satellitenbildern oder den Außenansichten von Häusern aus? Diese und weitere Fragen werden im Rahmen des Vortrages aufgeworfen, der Stand der Diskussion am Beispiel von Google Streetview gezeigt und anschließend in die interne Diskussion eingestiegen.

Mit datenschutzrechtlichen Fragestellungen in Bezug auf Google beschäftigt sich auchSebastian Meyer (Google und der Datenschutz)⁷ . Im Rahmen seines Vortrages beleuchtet er, inwieweit sich die Dienste von Google noch an dem traditionellen datenschutzrechtlichen Prinzip des Verbots mit Erlaubnisvorbehalt bei der Datenverarbeitung orientieren.

Ewald Lichtenberger befasst sich in seinem Beitrag mit dem Thema Datenschutz in der Verkehrstelematik.

Doch nicht nur die datenschutzrechtliche Problematik von Internetanwendungen soll in der Datenschutz-Session im Rahmen von IRIS Beachtung finden. Auch die Frage, ob es Unternehmen zusteht von (potentiellen) Angestellten Blutproben zur Ermittlung von Gesundheitszustand und Erkrankungsrisiken zu verlangen, wird erörtert.Christian Klügel (Die «Bitte» im Blut im Einstellungsverfahren)⁸ befasst sich mit dem Thema Datenschutz für Arbeitnehmer. Können Unternehmen bereits im vor-arbeitsvertraglichen Bereich – also auch im Einstellungsverfahren – Blutproben von (potentiellen) Angestellten verlangen? Ist dies vor allem auch unabhängig von der konkret zu bewältigenden Tätigkeit des (potentiellen) Arbeitnehmers möglich? Gibt es für ein solches Vorgehen, seitens der Arbeitgeber, eine gesetzliche Grundlage? Und wie steht es um die «Freiwilligkeit», wenn ein Arbeitsplatzbewerber in eine Blutentnahme einwilligt – hat er überhaupt eine Wahl? Diesen Fragen kommt – insbesondere in Anbetracht der mannigfaltigen, ja geradezu unbegrenzten medizinischen Erkenntnisse, die sich aus einer Blutprobenanalyse gewinnen lassen – eine besondere Prägnanz zukommt. Aber fruchten die Versuche des deutschen Gesetzgebers, durch die Novellierungen des Bundesdatenschutzgesetzes (BDSG) den Beschäftigtendatenschutz voranzutreiben und welcher Einfluss kommt hier den europäischen Vorgaben, insb. der Datenschutzrichtlinie (95/46/EG ) zu? Der Beitrag widmet sich insbesondere den Fragen um die Spezialität und Anforderungen etwaiger Befugnisnormen des deutschen Datenschutzrechts im europarechtlichen Kontext, sowie der Entscheidungsfreiheit die einem Stellenbewerber im Einstellungsverfahren, für die Entscheidung über das «Ob» der Einwilligung tatsächlich verbleibt.

Ines Staufer, Universität Salzburg, Schwerpunkt Recht, Wirtschaft und Arbeitswelt
Churfürststrasse 1, 5020 Salzburg AT
ines.staufer@sbg.ac.at ;www.uni-salzburg.at/rwa