Jusletter IT

Die Novelle baut auf dem Entwurf einer DSG-Novelle 2008 auf, enthält aber doch beträchtliche Modifikationen, indem vor allem kontroversielle Punkte gestrichen wurden. Unmittelbarer Anlass für den im April 2008 zur Begutachtung versendeten Entwurf einer DSG-Novelle 2008 war der im Regierungsprogramm 2007 verankerte Auftrag, eine ausdrückliche gesetzliche Basis für die Videoüberwachung durch Private zu schaffen. Auch das Regierungsprogramm vom Dezember 2008 sieht die «Schaffung von gesetzlichen Regelungen über den Einsatz von Überwachungstechnologien (Videoüberwachung)» vor¹ . Im Regierungsprogramm ist auch die (nunmehr im Gesetz vorgesehene) Vereinfachung des Registrierungsverfahrens von Datenanwendungen genannt. Die Novelle ist auch durch im Vollzug aufgetretene Probleme motiviert, wie sie in Anfragen von Rechtsunterworfenen, in Entscheidungen der Datenschutzkommission (im Folgenden: DSK), des VfGH und des VwGH sowie den Datenschutzberichten zu Tage getreten sind. Weiters werden die Strafbestimmungen zum Teil ausgeweitet und berücksichtigen nun auch die Videoüberwachungsbestimmungen.

Bedauerlicherweise konnte das Vorhaben der – ebenfalls im Regierungsprogramm genannten – Schaffung einer einheitlichen Zuständigkeit des Bundes für Datenschutzangelegenheiten sowie die Reform des Grundrechtes (leichtere Verständlichkeit und Miteinbeziehung der allgemein verfügbaren Daten unter den Schutz des Grundrechts) nicht durchgeführt werden, weil im Dezember 2009 keine Gesetze beschlossen wurden, die einer Zweidrittelmehrheit bedurften.²

Das Datenverarbeitungsregister (DVR) soll künftig in Form einer Datenbank geführt und Meldungen im Prinzip über eine Internetanwendung erstattet werden, damit die Verwaltungsabläufe vereinfacht und beschleunigt werden können. Da der Kreis der Meldepflichtigen fast ausschließlich Personen umfasst, die Datenanwendungen – also automationsunterstützte Systeme – einsetzen, scheint die grundsätzliche Beschränkung auf den elektronischen Einbringungsweg sachlich gerechtfertigt und zumutbar. Manuelle Daten, die einer Meldepflicht unterliegen, können auch weiterhin auf herkömmlichen Weg (also auch postalisch) gemeldet werden können. Auch bei größeren Systemausfällen greift diese Ausnahme.

Die Bestimmungen der §§ 20 bis 22 bilden das «Herzstück» der Neuregelung des Registrierungsverfahrens. Als Grundsatz gilt, dass nicht vorabkontrollpflichtige Meldungen nur mehr einen automationsunterstützten Prüfalgorithmus durchlaufen sollen, dessen Ablauf in der Verordnung nach § 16 Abs. 3 näher zu bestimmen ist. Dabei würde es sich notwendigerweise um eine vergröberte Prüfung auf Vollständigkeit und Widerspruchsfreiheit («Plausibilität») handeln. Eine solche bloß automationsunterstützte Prüfung führt zu einer sofortigen Registrierung, von der der Auftraggeber auch sogleich im Rahmen der Internetanwendung verständigt werden kann.

Durch die genannten Entlastungen soll die DSK bzw. das dort angesiedelte DVR die Möglichkeit haben, sich umso mehr den heiklen, der Vorabkontrolle unterliegenden Meldungen zu widmen. Die Vorabkontrolle bleibt weiterhin im bisherigen Umfang aufrecht. Weiters ist ein vereinfachtes Verfahren der Meldung von Informationsverbundsystemen vorgesehen.

Die Bestimmungen zum Registrierungsverfahren sind erst anwendbar, wenn eine entsprechende Datenverarbeitungsregister-Verordnung (oder eine Novelle zur derzeit geltenden) erlassen wird. Die Erlassung dieser Verordnung wird wohl dann erfolgen, wenn die erforderlichen technischen Vorkehrungen beim DVR getroffen worden sind.

Durch die Bestimmung des § 22a soll das bisher nur wenig geregelteVerfahren zur Überprüfung der Meldepflicht insbesondere im Hinblick auf die Befugnisse der DSK neu geregelt werden. Dies stellt auch einen Ausgleich für den Entfall der Detailprüfung bei nicht vorabkontrollpflichtigen Datenanwendungen dar. Abs. 1 ermöglicht in diesem Sinn eine jederzeitige Überprüfung registrierter Meldungen durch die DSK. Wenn diese «interne» Prüfung den Verdacht einer Nichterfüllung der Meldepflicht erhärtet, so ist ein Verfahren zur Berichtigung des DVRs durchzuführen.

Eine Stärkung der Befugnisse der DSK ist auch durch dasVerfahren nach § 30 Abs. 6a gegeben: Für die Fälle der rechtswidrigen Unterlassung einer Meldung sieht § 22a Abs. 4 bereits die Untersagung einer Datenanwendung vor. Es gibt aber auch abseits von Verletzungen der Meldepflicht Fälle, in denen Datenanwendungen untersagt werden müssen, um eine Gefährdung schutzwürdiger Geheimhaltungsinteressen hintan zu halten. Zu denken ist hier zunächst an gar nicht meldepflichtige Datenanwendungen aber auch an Fälle, in denen die Meldung zwar der Form nach korrekt ist, die Datenanwendung aber auf eine Art und Weise betrieben wird, die den Grundsätzen des § 6 Abs. 1 krass widerspricht (z.B. systematische Verarbeitung nicht aktueller oder im Hinblick auf den Verwendungszweck unrichtiger Daten). Da in diesen Fällen von Gefahr im Verzug auszugehen ist, erfolgt die Untersagung mit Mandatsbescheid.

Zunächst stellte sich die Frage nach dem Regelungsgegenstand. So könnte man prinzipiell andenken, alle Arten der Bildaufnahmen zu regeln. Es sprach aber einiges dafür, auf Grund des besonderen Risikos der auf Kontrolle gerichteten «Videoüberwachung» nur diese einer speziellen Regelung zu unterwerfen. Von der Miteinbeziehung einer «akustischen Überwachung» wurde bewusst abgesehen, da diese als wesentlich größerer Eingriff in die Privatsphäre und das Grundrecht auf Datenschutz zu qualifizieren wäre und hier nicht ein «Lauschangriff durch Private» ermöglicht werden sollte.

Um europarechtlichen Bedenken zu begegnen, wird nunmehr auch die «Echtzeitüberwachung» geregelt. In diesem Zusammenhang entfällt auch die bisher in § 4 DSG 2000 genannte Definition des «Ermittelns», die diese bisher darauf abstellte, dass die Daten im Hinblick auf eine weitere Verarbeitung erfasst werden, was aber bei Echtzeitüberwachung nicht der Fall ist.

In § 50a Abs. 1 ist eine gesetzliche Definition der Videoüberwachung vorgesehen. Videoüberwachung bezeichnet demnach die systematische, insbesondere fortlaufende Feststellung von Ereignissen, die ein bestimmtes Objekt («überwachtes Objekt») oder eine bestimmte Person («überwachte Person») betreffen, durch technische Bildübertragungs- oder Bildaufzeichnungsgeräte. Von «Überwachung» kann nur dann die Rede sein, wenn «Kontrolle» ausgeübt werden soll. Gegenstand der Überwachung kann etwa ein bestimmtes Objekt oder auch eine Person sein. Aufnahmen etwa aus rein touristischen oder künstlerischen Beweggründen fallen nicht darunter, sehr wohl aber gezieltes Fotografieren.

Die Zulässigkeit der Videoüberwachung ist in § 50a des Entwurfes generell geregelt, wobei aber klar gestellt wurde, dass Videoüberwachung im öffentlichen Bereich bei Wahrnehmung von hoheitlichen Aufgaben immer einer gesonderten gesetzlichen Regelung bedarf. Hinsichtlich der Videoüberwachung Privater soll im Prinzip die von der DSK in ihrer Rechtsprechung eingeschlagene Linie der Videoüberwachung jedenfalls nicht komplett über Bord geworfen werden. Zunächst einmal sei an die Fälle erinnert, in denen schon jetzt sensible Daten erhoben werden dürfen, etwa im lebenswichtigen Interesse einer Person, mit ausdrücklicher Zustimmung des Betroffenen oder bei einem Verhalten, das darauf gerichtet ist, öffentlich wahrgenommen zu werden (diese Fälle der Videoüberwachung sollten im öffentlichen und privaten Bereich zulässig sein). Weiters scheinen bestimmte Formen der Echtzeitüberwachung (jene des Auftraggebers zum Eigenschutz) geringere Risiken in sich zu bergen als andere Videoüberwachungen durch Private und werden daher auch grundsätzlich für zulässig erachtet.

Im Übrigen geht man davon aus, dass eine Videoüberwachung bei einer gewissen Gefährdung des überwachten «Objekts» oder der «überwachten Person» rechtmäßig sein soll. Wenn also bestimmte Tatsachen die Annahme rechtfertigen, das überwachte Objekt könnte das Ziel oder der Ort eines gefährlichen Angriffs werden, so wäre – unter der Voraussetzung des Grundsatzes der Verhältnismäßigkeit und des Einsatzes des gelindesten Mittels – eine Videoüberwachung gerechtfertigt. Die Die Erläuterungen enthalten eine demonstrative Aufzählung von Beispielen.

Eine Videoüberwachung wird etwa dann gerechtfertigt sein, wenn das Objekt – z.B. ein Gebäude - schon früher Gegenstand eines gefährlichen Angriffs war oder als besonders gefährdet erachtet wird (sei es ein besonders künstlerisch wertvoller Gegenstand, der Aufenthaltsort eines verfassungsmäßigen Organs, wie etwa Parlament oder Bundeskanzleramt/Bundesministerien oder eine besonders bekannte gefährdete Person oder deren Aufenthaltsort).

Ein «Patentrezept», nach dem vorzugehen ist, kann aber auch in einer gesetzlichen Regelung nicht gefunden werden. Im Zentrum jeder Zulässigkeitsüberlegung muss nämlich auch weiterhin der Grundsatz der Verhältnismäßigkeit im Einzelfall stehen.

Nach dem Verhältnismäßigkeitsprinzip zu beurteilen wird etwa die Zulässigkeit einer Gebäudeüberwachung sein, die mehrere Mieter und deren Besucher betrifft. Insbesondere können sich auch Konstellationen ergeben, in denen Rückschlüsse auf besonders sensible Daten der Hausbesucher möglich sind (etwa beim Besuch einer Arztpraxis oder eine politischen Vereins). Die Zulässigkeit einer Videoüberwachung kann auch hier nur unter Bedachtnahme auf die konkrete Situation und unter sorgfältiger Abwägung der Geheimhaltungsinteressen der Betroffenen gegenüber den Interessen Dritter – unter Einhaltung des Grundsatzes des gelindesten zum Ziel führenden Mittels – beurteilt werden.

Besonders wichtig scheint es, «Tabuzonen», also jene Orte, die zum höchstpersönlichen Lebensbereich eines Menschen gehören (in den Erläuterungen sind als Beispiele Privatwohnungen, Umkleidekabinen und WC-Kabinen genannt), von der Überwachung auszunehmen. Schließlich enthält der Entwurf ein generelles Verbot der Überwachung zur Mitarbeiterkontrolle an Arbeitsstätten. Weitere Garantien soll das Verbot des automationsunterstützten Abgleichs mit anderen Bilddaten oder das Verbot, derartige Verarbeitungen nach sensiblen Daten als Auswahlkriterium zu durchsuchen, darstellen. Weiters wurde als Datensicherheitsmaßnahme die Protokollierungspflicht jeglicher Verwendungsvorgänge vorgesehen.

Was die Meldepflicht betrifft, so sollen gemäß § 50c Videoüberwachungen im Hinblick auf die zumindest potenzielle Sensibilität der Daten grundsätzlich auch weiterhin der Vorabkontrolle unterliegen. Nur einer «normalen» Meldung bedürfen hingegen Videoüberwachungen, bei denen die Daten verschlüsselt gespeichert werden, wobei der einzige Schlüssel bei der DSK hinterlegt wurde. Ausnahmen für weniger riskante Überwachungen – wie etwa bestimmte Fälle der oben genannten Echtzeitüberwachung oder analoge Aufzeichnungen – sind von der Meldepflicht ausgenommen. Darüber hinaus sollten Ausnahmen von der Meldepflicht – etwa für besonders gefährdete Branchen (etwa Trafiken, Juweliere) in Form von ergänzenden Standardanwendungen angedacht werden.³

Die DSK kann auch weiterhin Auflagen erteilen, wobei besonders die jeweilige Löschungsfrist festgesetzt werden kann. Diesbezüglich wurde eine Richtschnur von 72 Stunden festgelegt, von der nach oben nur in begründeten Fällen abgewichen werden darf.

Es hat eine Information der Betroffenen durch Kennzeichnung erfolgen, die in geeigneter Form die Videoüberwachung ankündigt und die örtlich so erfolgt, dass man dieser Überwachung auch tunlichst ausweichen kann. Ausnahmen von der Information sind nach dem Entwurf zulässig, etwa wenn die Kennzeichnung den Zweck der Datenanwendung konterkarieren würde (im öffentlichen Bereich).

In § 50e wurden Sonderregelungen zum Auskunftsrecht vorgesehen. So soll etwa der Auskunftswerber den Zeitraum, in dem er möglicherweise von der Überwachung betroffen war, möglichst präzise benennen und seine Identität in geeigneter Form nachweisen. Weiters wurde vorgesehen, dass der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten in einem üblichen technischen Format zu gewähren hat bzw. alternativ eine Einsichtnahme auf Lesegeräten des Auftraggebers anbieten könnte. Die übrigen Bestandteile der Auskunft (allenfalls Herkunft, Empfänger oder Empfängerkreise, Rechtsgrundlagen sowie allenfalls Dienstleister wären im Prinzip weiterhin schriftlich zu erteilen. Sollten gemäß § 26 Abs. 2 überwiegende Interessen Dritter einer Auskunftserteilung entgegenstehen, so wurde dem Auskunftswerber Anspruch auf eine schriftliche Beschreibung seines von der Überwachung verarbeiteten Verhaltens eingeräumt. Alternativ kann aber auch eine Einsicht unter Unkenntlichmachung der anderen Personen gewährt werden.

Im Übrigen wurden gewisse Übergangsbestimmungen vorgesehen, wenngleich nicht anzunehmen sein wird, dass sich die Spruchpraxis der DSK zur Videoüberwachung grundlegend ändern wird.

Die DSG-Novelle 2010 stellt insofern etwas «Besonderes» dar, als erstmals die Technologieneutralität des DSG 2000 aufgegeben wurde. Einige Themen wie etwa die Einführung eines betrieblichen Datenschutzbeauftragten, die Einführung eines Gütesiegels oder die Berücksichtigung anderer neuer Technologien werden weiter «auf dem Tisch» bleiben, so dass die jüngste Novelle wohl nur als «Zwischenstation» betrachtet werden kann. Insbesondere bleibt wohl auch die Beschlussfassung über jenen Teil der Regierungsvorlage, der keine Zweidrittelmehrheit finden konnte, ein Thema. Des Weiteren werden aber auch die europäischen Entwicklungen, insbesondere die Entwicklung eines neuen europäischen Datenschutz-Rechtsinstruments auf der Basis des Vertrags von Lissabon zu beobachten sein, die allenfalls neue Überarbeitungen des DSG 2000 notwendig machen können.

Eva Souhrada-Kirchmayer, Bundeskanzleramt-Verfassungsdienst, Ballhausplatz 2, 1014 Wien, AT
eva.souhrada-kirchmayer@bka.gv.at