Jusletter IT

Datenschutz – von Geheimhaltung, Geheimniskrämerei und Transparenz

  • Author: Lothar Gamper
  • Region: Austria
  • Field of law: Information law
  • Collection: Festschrift Erich Schweighofer
  • Citation: Lothar Gamper, Datenschutz – von Geheimhaltung, Geheimniskrämerei und Transparenz, in: Jusletter IT 22 February 2011
Datenschutz als Regelung des Rechts auf Privatsphäre in der (elektronischen) Datenverarbeitung wird in allgemeiner Unkenntnis der Materie überwiegend auf einen Geheimhaltungsanspruch reduziert, der rechtlich jedoch nur sehr eingeschränkt existiert. Wenn moderner Datenschutz erreichen soll, dass die Grundrechtsträger weitgehend die Kontrolle über ihre digitalen Spuren behalten, wird das Augenmerk in Zukunft sehr viel stärker auf Prinzipien wie strikte Zweckbindung, die Persönlichkeitsrechte auf Auskunft, Berichtigung, Löschung und Widerspruch und, auch wenn das zunächst überraschend klingen mag, auf Transparenz zu richten sein; zur besseren Durchsetzbarkeit der Regelungen wird ein adäquater Umgang mit Protokolldaten ebenso wie verschuldens- und schadens¬unabhängige Sanktionen notwendig sein. Im hoheitlichen Bereich muss hingegen der Abwehranspruch gegenüber dem Staat weiterhin oberste Priorität behalten. Verbesserter (technischer) Datenschutz muss nach Ansicht des Autors dieses Beitrages mit einer stärkeren Beachtung des Grundrechts auf Privatsphäre durch den Staat und gleichzeitig mit einer verbesserten Transparenzordnung einhergehen, denn er darf nicht zu verstärkter Überwachung führen, während gleichzeitig Informationsbedürfnisse der Öffentlichkeit und die Kontrolle behördlichen Handelns im Rechtsstaat verunmöglicht werden, indem Geheimhaltung gerade dort postuliert wird, wo eigentlich mehr Transparenz vonnöten wäre.

Inhaltsverzeichnis

  • 1. Datenschutz – das unbekannte Wesen
  • 2. Datenschutz und Privatsphäre: ein ungleiches Paar?
  • 2.1. Soziale Netzwerke, §1 Abs. 1 DSG 2000 und die Europäische Menschenrechtskonvention
  • 2.2. Effektive Kontrolle: Transparenz statt Geheimniskrämerei
  • 2.3. Grenzziehungen
  • 2.4. Rechtsdurchsetzung
  • 3. Liberale Rechtsordnung und staatliches Handeln
  • 4. Transparenz öffentlichen Handelns

1.

Datenschutz – das unbekannte Wesen ^

[1]

Datenschutz ist als Thema heute medial regelmäßig präsent, doch die anlassgeleitete Berichterstattung, aktuell etwa zu «Street View», dokumentiert von Artikeln über Kommentare bis hin zu Leserbriefen vor allem eine weit verbreitete Unkenntnis des Rechtsgebietes – selbst Juristen, in deren universitärer Ausbildung die Querschnittsmaterie in aller Regel nicht behandelt wird, unterliegen häufig verbreiteten Irrtümern. Zu diesen Irrtümern trägt schon der im Deutschen übliche Begriff1 selbst einiges bei, suggeriert er doch, es gehe in erster Linie um die Geheimhaltung personenbezogener Daten, die im Alltag dann allzu oft mit berechtigten Interessen Dritter und Informationsbedürfnissen der Allgemeinheit kollidiert. Die Unkenntnis erweckt bei Laien zudem oft genug den Eindruck, Datenschutz behindere Alltagsvorgänge ausgerechnet da, wo Betroffene diese ausdrücklich wünschen, mit unnötiger Bürokratie, während alles, was tatsächlich stört, ohnehin gemacht werde und wohl auch meistens gemacht werden dürfe. Nicht zuletzt unsere Staaten, die zu Gunsten der öffentlichen Sicherheit auf nationaler und internationaler Ebene, aber auch im Sozialbereich in den letzten zehn Jahren viel zu wenig Sensibilität gezeigt haben und wiederholt von den Höchstgerichten zu mehr Zurückhaltung ermahnt werden mussten, haben daran nicht unerheblichen Anteil. Letztlich ist der Datenschutz dadurch bedroht, an Ansehen und Legitimität in der öffentlichen Meinung zu verlieren oder als überflüssig zu gelten.

[2]

Die allgemeine Verwirrung um den Datenschutz wird schließlich vollständig, wenn selbst ernannte Meinungsbildner in Print- und Onlinemedien regelmäßig dieses Recht für tot erklären und dabei je nach Interessenlage für gut befinden oder mit belehrendem Unterton beklagen, dass Millionen von Menschen ihre offensichtlichen Kommunikationsbedürfnisse in Blogs und sozialen Netzwerken ausleben. Kritikerinnen ebenso wie Enthusiasten übersehen, dass die Bloggerinnen und sozialen Netzwerker dabei ganz selbstverständlich genau jenes für tot erklärte Recht, zu dessen Wahrung der Datenschutz einst angetreten war, keineswegs aufgeben, sondern für sich selbst in Anspruch nehmen: die eigenbestimmte Gestaltung der sozialen Beziehungen und des eigenen Bildes in den verschiedenen, nicht nur digitalen Lebenswelten als Ausdruck des Rechts auf Privatsphäre – vom Bundesverfassungsgericht Deutschlands einst als «Grundrecht auf informationelle Selbstbestimmung»2 weitaus prägnanter und treffender ausgedrückt als vom leider so missverständlichen Begriff «Datenschutz» .

[3]

Der Gesetzgeber in Österreich hat dazu beigetragen, die Missverständnisse noch zu fördern, indem er in §1 Abs. 1 des Datenschutzgesetzes (DSG 2000) und damit im Verfassungsrang einen gewissen Absolutheitsanspruch erweckt, wenn er im ersten Satz feststellt: «Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.» Dieser Geheimhaltungsanspruch wird in der Folge erheblich relativiert und lenkt, so formuliert, vor allem vom darüber hinaus gehenden Gehalt des Grundrechts auf selbstbestimmte Privatsphäre und damit von den Persönlichkeitsrechten auf Auskunft, Berichtigung und Widerspruch in §1 Abs. 3 DSG 2000 ab. Am Anfang meiner Überlegungen steht daher eine Ziel- und Begriffsbestimmung.

2.

Datenschutz und Privatsphäre: ein ungleiches Paar? ^

[4]

Datenschutz war, bevor er in den Rang eines eigenständigen Grundrechts erhoben wurde,3 nichts anderes als die einfachgesetzliche Umsetzung des Rechts auf Privatsphäre, schwerpunktmäßig den Bereich der elektronischen Datenverarbeitung regelnd. Von anfänglich simplen Ermächtigungsnormen für die öffentliche Verwaltung, Daten zu verarbeiten, entwickelte er sich im Laufe der ersten Jahrzehnte hin zur Einräumung vonPersönlichkeitsrechten mit unmittelbarer Drittwirkung, d.h. er wurde nicht nur als Abwehr- und Geheimhaltungsanspruch gegenüber dem Staat ausgestaltet, sondern soll auch positive Schutzpflichten des Staates gegenüber Eingriffen Privater erfüllen.

[5]

Moderner «Datenschutz» geht von der zunächst überraschenden Erkenntnis aus, dass es letztlich unmöglich ist, Datenabsolut zu schützen – wer immer soziale Beziehungen eingeht, seien sie privater Natur oder im Arbeitsverhältnis, oder beispielsweise staatliche Leistungen in Anspruch nimmt, istgezwungen , Daten von sich preiszugeben. Die vom Datenschutz eingeräumten Persönlichkeitsrechte verfolgen daher das Ziel, das einzelne Individuum in die Lage zu versetzen, ab dem Zeitpunkt der Datenweitergabe dieKontrolle darüber zu behalten, was mit diesen Daten geschieht, und sind in den Rechten aufAuskunft ,Berichtigung, Löschung undWiderspruch konkretisiert. Der Europäische Gerichtshof für Menschenrechte hatte, beginnend mit dem UrteilLeander gegen Schweden vom 26. März 1987, letztlich keine Mühe, diese Persönlichkeitsrechte und so verstandenen Datenschutz (den eingeschränkten Geheimhaltungsanspruch eingeschlossen) direkt aus dem Recht auf Privatsphäre in Art. 8 EMRK und dem Anspruch des Individuums, selbstbestimmt zu leben, abzuleiten – insofern erzeugt die Erhebung von Datenschutz in den Rang eines Grundrechts eine Redundanz. Im Folgenden werden daher beide Begriffe gleichwertig verwendet.

[6]

Es sind mE gerade die Rechte auf Auskunft, Berichtigung, Löschung und Widerspruch, die in der zunehmend komplexen (digitalen) Welt gegenüber dem nur eingeschränkt möglichen und wirksamen Geheimhaltungsanspruch an Bedeutung gewinnen müssen. Gestärkt werden müssen aber auch die weiteren Datenschutzprinzipien der strikten Zweckbindung, der Datensparsamkeit und der sachlichen Richtigkeit (§6 DSG 2000), der Transparenz (§24 DSG 2000), der Beschränkung der Weiterübermittlung in Drittländer (§12 f. DSG 2000) sowie der Datensicherheit (§14 DSG 2000), wie an den folgenden Beispielen hoffentlich deutlich wird. Konsequent angewendet machen sie zudem so manche spezialgesetzliche Regelung völlig überflüssig und tragen damit zur Vereinfachung der Rechtslage bei. Dieses Fazit ist für jene, die sich mit der Weiterentwicklung des Datenschutzes befassen, nicht neu;4 die grundrechtliche Notwendigkeit der «Prinzipientreue» möchte ich an ein paar mE praxisrelevanten Beispielen unter besonderer Berücksichtigung der österreichischen Rechtslage verdeutlichen.

2.1.

Soziale Netzwerke, §1 Abs. 1 DSG 2000 und die Europäische Menschenrechtskonvention ^

[7]

Das Phänomen «Web 2.0» mit user-generiertem Content ist auf den ersten Blick nur schwer mit den datenschutzrechtlichen Begriffen wie Auftraggeber, Betroffene etc. zu fassen; die Aufgabe ist bei genauer Betrachtung dennoch lösbar. Eine Diensteanbieterin (Hosting von Weblogs, Betreiberin eines sozialen Netzwerks) kann natürlich nicht als Auftraggeberin jeglicher Datenerhebungen und –verarbeitungen, die vorgenommen werden, gelten, sondern nur für jene verantwortlich sein, die sie selbst beabsichtigt und zu eigenen Zwecken vornimmt – mehr dazu später.

[8]

Die Durchschnitts-Bloggerin oder Nutzerin eines Dienstes wird diesen ausschließlich für private Zwecke einsetzen5 und ist damit weitgehend von den Pflichten aus dem DSG 2000 befreit. Datenschutzrechtlich gesehen nimmt die Person, wenn sie den Adressatenkreis nicht einschränkt, eineVeröffentlichung von Daten vor – genau dieser Vorgang interessiert zunächst im Folgenden.6 Es handelt sich m.E. noch nicht um einen Eingriff in das Recht auf Geheimhaltung, sondern um nichts anderes als die Inanspruchnahme der Grundrechte auf Privatsphäre und auf freie Meinungsäußerung, die der Einzelperson die Freiheit der Entscheidung einräumen, in welchem Umfang sie die Öffentlichkeit – oder auch kleinere Empfängerkreise, etwa vordefinierte Gruppen im sozialen Netzwerk – an ihrem Leben teilhaben lässt. Sobald nun Dritte Kenntnis von den personenbezogenen Inhalten nehmen, ist dies allerdings als datenschutzrechtlich relevanter Vorgang zu werten, der als Eingriff in die Privatsphäre nur durch die vorherige im- oder explizite Zustimmung der Betroffenen legitimiert werden kann.

[9]

Dieser Aspekt wirft interessante Fragen auf, denn es ist von entscheidender Bedeutung für das weitere Schicksal der Privatsphäre der Betroffenen, fürwelche Vorgänge sie ihre Zustimmung erteilt hat. In diesem Zusammenhang zeigt sich, wie verhängnisvoll §1 Abs. 1 2. Satz des DSG 2000 wirkt: «Das Bestehen eines solchen Interesses [am Geheimhaltungsanspruch, Anm. d. Verf.] ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.» Diese Norm, die pauschal die Erhebung, Speicherung und Weiterverarbeitung inkl. Weitergabe einmal veröffentlichter Daten für beliebige rechtlich zulässige Zwecke legitimiert,7 ist m.E. gleich in zweifacher Hinsicht systemwidrig. Am gravierendsten ist die Rechtsfolge, dass bei einmal veröffentlichten Daten automatisch die Rechte auf Widerspruch der Weiterverwendung aus §1 Abs. 3 sowie aus §28 Abs. 1 DSG 2000 entfallen, da überwiegende schutzwürdige Interessen von der Norm im Verfassungsrang ausgeschlossen werden; nur das Recht auf Löschung unrichtiger Daten aus §27 DSG 2000 bleibt unberührt, ebenso das Widerspruchsrecht aus §28 Abs. 2 DSG 2000, das jedoch nur Rechtsschutz vor der jeweiligen Veröffentlichung im Einzelfall gewährt, nicht aber vor anderen Folgenutzungen. Der Betroffenen wird damit aber gerade die Kontrolle über ihre Privatsphäre und darüber, was nach der Preisgabe von Daten mit diesen passiert, entzogen. Denn es ist ebennicht davon auszugehen, dass eine Veröffentlichung einer Zustimmung zurbeliebigen Weiterverwendung der Daten8 gleichzusetzen ist. Vielmehr wäre es realitätsnäher und systemkonform, das Datenschutzprinzip der strikten Zweckbindung aus §6 DSG 2000 zu beachten: «Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.» Es wäre in der Folge davon auszugehen, dass eine Veröffentlichung von Daten immer nur bestimmten Zwecken dient – soweit diese nicht explizit angegeben werden, muss den Personen, die von den Daten Kenntnis nehmen, die datenschutzrechtliche Pflicht auferlegt werden, nur jenen Gebrauch zu machen, den die betroffene Person erkennbarerweisebeabsichtigt hat. Nur dafür hat sie auch die Zustimmung gegeben, die in §4 Z4 DSG 2000 als«die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt» , definiert wird.

[10]

Die Probleme, die mit §1 Abs. 1 2. Satz des DSG 2000 verbunden sind, sind längst bekannt. Es ist diese Norm, die beispielsweise Sondernormen wie den Anti-Spam-Paragraphen 107 im TKG 2003 überhaupt erst erforderlich macht, da es andernfalls juristisch sehr einfach begründbar wäre, dass die Veröffentlichung von Kontaktdaten auf einer Homepage keine Legitimation zur unbegrenzten Zustellung von Spam und Werbung darstellt, sondern eben begrenzten Zwecken dient; auch privater Kontext einer Veröffentlichung von E-Mail-Adressen in sozialen Netzwerken könnte von Kontaktdaten am Arbeitsplatz mühelos unterschieden werden hinsichtlich des Veröffentlichungszwecks.

[11]

Die aus der problematischen Norm resultierenden Erkenntnisse der Datenschutzkommission erscheinen mE im Ergebnis wenig systematisch. So stellte sie etwa 2009 fest: «Vom Schutz des Grundrechts infolge »allgemeiner Verfügbarkeit» können personenbezogene Daten nur dann ausgeschlossen sein, wenn sie in gleichem oder weiterem Umfang als durch die in Beschwerde gezogene Verwendung bereits allgemein verfügbar waren.»9 Nur durch diesen normativ nicht begründbaren Kunstgriff konnte die Veröffentlichung der Nicht-Teilnahme eines Arztes an einem von seiner Ärztekammer ausgerufenen «Ärztestreik», die er durch einen Anschlag an seiner Ordination den Patienten angekündigt hatte, im Intranet der Kammer als Verletzung des Datenschutzrechts erkannt werden. Hingegen wurde 2008 die Weitergabe von Daten, die infolge einer öffentlich zugänglichen Sitzung eines Gemeinderates und deren öffentlich zugänglichem Protokoll «allgemein» zugänglich waren, an eine Zeitungsredaktion und die nachfolgende Berichterstattung unter Hinweis auf §1 Abs. 1 DSG 2000 nicht als Verstoß gegen den Datenschutz gewertet10 – obwohl durchaus bezweifelt werden darf, dass damit die «allgemeine Verfügbarkeit» vom Umfang her nicht deutlich erweitert wurde und daher einer entsprechenden Rechtfertigung, d.h. der Prüfung eines überwiegenden Interesses der Allgemeinheit an dieser Information, bedurft hätte. Letztlich würden außerdem trotz dieser Hilfskonstruktion veröffentlichte Daten zumindest innerhalb des Verbreitungskreises – und damit im Internet und weitreichenden Printmedien schrankenlos – völlig ungeschützt bleiben. Mir selbst erscheint ein Abstellen auf den jeweiligen Zweck der Veröffentlichung und daraus resultierende zulässige Folgenutzungen der Daten als die weitaus kohärentere und einzige grundrechtskonforme Lösung.

[12]

Aufgrund der vielfältigen Rechtsfragen, die diese Norm aufwirft, war durch die DSG-Novelle 2010 eine Abwandlung in folgende Formulierung geplant:«§ 1. (Verfassungsbestimmung) (1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. (2) Der Anspruch besteht nicht, wenn Daten zulässigerweise allgemein verfügbar sind. [...]»11 Die novellierte Fassung fiel im Spätherbst 2009 allerdings im letzten Moment der damaligen Blockade von Änderungen der Verfassungsgesetze durch die Oppositionsparteien zum Opfer, mit der sie die Ladung von Ministerinnen vor einen U-Ausschuss erzwingen wollten. Damit wären zwar wenigstens Folgenutzungenrechtswidrig veröffentlichter Daten unterbunden worden (was häufig schwer erkennbar sein dürfte), mE wäre jedoch weiterhin keine Rechtslage hergestellt worden, die Art. 8 EMRK nicht verletzt. Denn es bleibt dabei, dass die uferlose Verwendung zulässig veröffentlichter Daten unzulässig in das Grundrecht auf Privatsphäre der Betroffenen eingreifen kann. Ein drastisches Beispiel: Es kann durchaus im öffentlichen Interesse liegen, dass Straftäter in bestimmten Fällen der Öffentlichkeit namentlich bekannt werden – etwa im Bereich der Wirtschaftskriminalität, wo Unternehmerinnen, Anleger und Verbraucherinnen vor Betrügern geschützt werden müssen. Das bedeutet aber nicht, dass die strafrechtlichen Daten einer Person, die sich danach dauerhaft rechtskonform verhält und längst aus dem Strafregister getilgt wurden, noch vorbehaltlos weiter verbreitet werden dürfen, nur weil sie Jahre zuvor in Printmedien veröffentlicht wurden. Hier wird der Geheimhaltungsanspruch der betroffenen Person im Laufe der Zeit wieder gegenüber den Informationsbedürfnissen der Allgemeinheit überwiegen; nicht zuletzt können sich auch Namensgleichheiten verhängnisvoll auswirken. Aus diesem Grund muss etwa die Auffindbarkeit strafrechtlicher Verurteilungen in Online-Medien, soweit es sich nicht um Personen des öffentlichen Lebens handelt, m.E. zeitlich limitiert sein.

[13]

Zusammenfassend wahrt Datenschutz die Persönlichkeitsrechte aus Art. 8 EMRK nur dann, wenn der einzelnen Person die selbstbestimmte Außendarstellung und eine effektive Kontrolle ihrer Darstellung durch andere ermöglicht wird und die Schranken aus Art. 8 Abs. 2 EMRK nicht überschritten werden. Der §1 Abs. 1 2. Satz des DSG 2000 muss aus meiner Sicht daher ersatzlos gestrichen werden – um auf die Beispiele der Bloggerin und der sozialen Netzwerkerin zurückzukommen nicht nur, damit sie die Kontrolle über die von ihnen selbst veröffentlichten Daten behalten, sondern auch über jene Daten, welche Dritte von ihnen veröffentlichen.

2.2.

Effektive Kontrolle: Transparenz statt Geheimniskrämerei ^

[14]

Angesichts des heutigen Umfanges anfallender digitaler Spuren der Durchschnittsbürgerin ist es ausgeschlossen, dass irgendwelche behördlichen oder betrieblichen Aufsichtsorgane, und seien sie personell noch so gut ausgestattet, mehr als Stichprobenkontrollen zur Überprüfung der rechtmäßigen Datenverwendung durchführen können. Es ist auch fraglich, ob darüber hinausgehende institutionelle Kontrolle beispielsweise in Betrieben überhaupt wünschenswert ist, da es nicht einer gewissen Ironie entbehrte, wenn ausgerechnet Datenschutzbeauftragte ein Klima der Überwachung erzeugen wollten.12

[15]

Ein lohnenswerter Ansatz könnte eine dezentrale Kontrolle durch die in ihrer Privatsphäre berührten Grundrechtsträgerinnen selbst sein, der beispielsweise durch die Öffnung anfallender Realdaten und Protokolldaten den Betroffenen gegenüber mittels direktem online-Zugriff auf einfache Weise realisiert werden könnte. Dass die personenbezogenen Protokolldaten dem Recht auf Auskunft gemäß §26 DSG 2000 unterliegen, hat die Datenschutzkommission bereits festgestellt.13 Wenn Angestellte am Bildschirm anonymisiert, d.h. ohne Angabe des Sachbearbeiters, zeitnah mitverfolgen könnten, wann der Arbeitgeber ihre Daten verwendet und an wen er sie weitergibt, wäre dies nicht nur eine Transparenz erzeugende und Vertrauen erweckende, sondern auch eine Missbrauch vorbeugende Maßnahme. Natürlich wird diese Möglichkeit ihre Grenzen dort finden, wo die Komplexität der Daten eine unmittelbare Durchschaubarkeit der Datenverarbeitungsvorgänge nicht zulässt – hier wird also weiterhin der Weg über eine Anfrage nach §26 DSG 2000 zu gehen sein und es in der Pflicht des Auftraggebers liegen, die Daten allgemein verständlich aufzubereiten.

[16]

Dass das Auskunftsrecht nicht uneingeschränkt in Anspruch genommen werden kann, sondern in einzelnen Fällen praxisnahe eingeschränkt wurde, etwa bei nicht ausgewerteten Daten einer Videoüberwachung,14 erscheint mE grundrechtlich unbedenklich. Kritischer betrachte ich die noch auf jene Zeiten, als Speicherplatz auf Datenträgern einen weitaus größeren Kostenfaktor als heute darstellte, zurückgehende Entbindung eines Auftraggebers von der Pflicht, Datenübermittlungen zu protokollieren, soweit es sich um in einer Datenanwendung gemeldete Empfängerkreise handelt. Der Pflicht, einzelfallbezogene, unvorhergesehene Datenübermittlungen gegenüber den Betroffenen zu beauskunften, kann in diesen Fällen nur organisatorisch durch manuelle Aufzeichnungen nachgekommen werden. Beim heute erreichten Stand der Technik wäre eine vollständige Protokollierung aller Vorgänge, die auf eine mögliche Datenübermittlung an Dritte schließen lassen, wohl vorzuziehen, sinnvollerweise mit verpflichtender Angabe eines Grundes im EDV-System.15

[17]

Auf unser Beispiel der sozialen Netzwerke zurückkommend wäre auch hier der transparentere Umgang mit personenbezogenen Daten ein Weg, die Privatsphäre zu stärken. Weshalb sollte den Betroffenen für eine eng begrenzte Zeitspanne nicht ersichtlich sein, welche Mitglieder eines Netzwerks auf welche Daten ihres Profils zugegriffen haben?

[18]

Der Datengebrauch durch Freunde und Dritte ist vom Grundrechtsträger immerhin noch selbst beeinflussbar, so lange er die Kontrolle darüber behält, wem er Zugriff auf welche digitalen Identitäten gibt und wie er sich dort darstellt. Weitaus intransparenter für ihn ist jedoch die Art der Datenverwendung durch die Anbieter digitaler Dienste, von E-Mail-Accounts bis hin zu den sozialen Netzwerken, die durch die zunehmende Vernetzung und Integration der Dienste noch undurchschaubarer wird. Nur wenige Online-Shops etwa machen ihren Nutzern gegenüber transparent, auf welcher Datenbasis sie ihre personalisierte Werbung aufbauen. Doch schon die Auswahl von Angeboten in Abhängigkeit von unterstellter Finanzkraft und bisherigen Vorlieben – etwa für die Farbe Türkis – bedeutet letztlich eine Einschränkung der Entscheidungsfreiheit der Kundinnen. Diese wird erst recht evident, wenn gezielt Billigprodukte oder Luxusartikel bei der Suche im Online-Shop gar nicht erst angeboten würden oder sogar der Preis vom bisherigen Kaufverhalten abhängig gemacht würde. Noch weitaus stärker wiegt der Eingriff in die Privatsphäre, wenn etwa durch das Klicken auf ein personalisiertes Werbebanner damit der Werbenden automatisch signalisiert wird, dass der interessierte Konsument mit größter Wahrscheinlichkeit homosexuell ist.16

[19]

Einfachgesetzlicher Maßstab für die rechtliche Zulässigkeit solcher Datenverarbeitungen ist §49 DSG 2000.17 Die Norm lässt reichlich Interpretationsspielraum offen: Zählen die genannten Beispiele personalisierter Werbung oder eines unfreiwilligen «Outings» bereits als erheblich beeinträchtigende Entscheidungen, und wo liegt die genaue Grenze? Sinnvoll wäre es m.E., in diesem äußerst kritischen Bereich, dessen Bedeutung durch die Integration verschiedener Datenquellen voraussichtlich noch erheblich wächst, generelle und uneingeschränkte Transparenz hinsichtlich Datenverwendung und Logik rechtlich zu verankern – andernfalls läuft die einfachgesetzliche Norm unter Umständen sogar Gefahr, nicht nur das Grundrecht auf Privatsphäre, sondern beispielsweise auch das Verbot von Diskriminierung zu verletzen.18

2.3.

Grenzziehungen ^

[20]

Transparenz reicht bei Profiling nicht aus – als Eingriffstatbestand kann in den meisten Fällen nur §8 Abs. 1 Z2 DSG 2000, also die explizite Zustimmung der Betroffenen, herangezogen werden. Da diese immer freiwillig, d.h. ohne Zwang, eingeholt werden muss, ist jedenfalls erforderlich, dass sie nicht mit der Leistungserbringung verknüpft werden darf.19

[21]

Ebenso wichtig erscheinen mir in diesem Zusammenhang zwei weitere Aspekte: Die Zustimmung darf sich erstens nicht auf die Daten Dritter erstrecken, weil darüber gar nicht rechtmäßig verfügt werden kann. So ist es aus meiner Sicht zwar beispielsweise zulässig, dass jemand den Zugriff seiner sozialen Netzwerk-Software für seine privaten Zwecke auf seine E-Mail-Adressbücher an anderer Stelle erlaubt – eine inhaltliche Auswertung dieser Daten Dritter durch die Diensteanbieterin, auch nur um z.B. damit potentielle Freunde und Bekannte im Netzwerk zu identifizieren und den Netzwerker darauf aufmerksam zu machen, kann m.E. nur mit deren Zustimmung rechtmäßig erfolgen, deren Einholung in der Praxis wohl am Aufwand scheitert.20

[22]

Zweitens stellt sich die rechtstheoretische Frage, inwieweit eine Grundrechtsträgerin mit ihrer Zustimmung Eingriffe in ihr Grundrecht legitimieren kann. Gerade in der Privatwirtschaft wird häufig versucht, jegliche Folgenutzung einer anfänglichen Datensammlung durch die Zustimmung zu rechtfertigen, daher geht die Tendenz in moderner Datenschutzgesetzgebung zur Stärkung der Verhandlungsposition des (schwächeren) Einzelnen und zur Einschränkung seiner Dispositionsfreiheit.21 Belege dafür finden sich in der Datenschutz-Richtlinie der EU (RL 95/46/EG), die es gemäß Art. 8 Abs. 2 den Mitgliedstaaten überlässt, ein Verbot der Verarbeitung sensibler Daten auch bei Vorliegen einer Zustimmung zu normieren, sowie in Art. 14 ein Widerspruchsrecht gegen rechtmäßige Datenverarbeitung einräumt, wenn schutzwürdige Interessen des Betroffenen Vorrang haben («opt-out»).22 Aus Art. 8 Abs. 2 lässt sich jedenfalls schließen, dass der EU-Gesetzgeber es als grundrechtskonform ansieht, die Privatautonomie der Betroffenen einzuschränken. Rechtstheoretisch ist diese Position nicht völlig unumstritten, nach heute überwiegender Meinung ist jedoch ein Grundrechtsverzicht des Trägers nur unter einer Bedingung zulässig, nämlich dem überwiegenden Interesse des Einzelnen gegenüber dem öffentlichen Interesse der Allgemeinheit an der Einhaltung der Grundrechtsgarantie durch den Staat.23 Auch in dieser Hinsicht wirkt §1 Abs. 1 2. Satz des DSG 2000 problematisch, denn er setzt implizit voraus, dass die Zustimmung zu jeglicher Folgenutzung veröffentlichter Daten erteilt werden könne, sogar bei Daten Dritter.

[23]

Wertet man schließlich Einschränkungen der Privatautonomie ihrerseits als Eingriffe in das Recht auf eine eigenbestimmte Privatsphäre, im Einzelfall auch in andere Grundrechte, wäre wiederum Konformität mit den jeweiligen Schranken zu beachten, u.a. mit Art. 8 Abs. 2 EMRK.

2.4.

Rechtsdurchsetzung ^

[24]

Die vorgeschlagenen Maßnahmen können bei allgemein zugänglichen Daten in Blogs und in sozialen Netzwerken Missbrauchsmöglichkeiten und unerwünschte Zugriffe nicht verhindern, selbst die Aussagekraft von Protokolldaten würde schon wegen der Möglichkeiten, die Identität zu verschleiern, mitunter entfallen. Es wird daher immer in der Verantwortung der Grundrechtsträger liegen, ihre digitale Identität nicht selbst zu kompromittieren. Aber zumindest würde der in den meisten Fällen auf die Pflege privater sozialer Beziehungen beschränkte Zweck eines Profils in einem sozialen Netzwerk die Auswertung durch eine potentielle Arbeitgeberin theoretisch als rechtswidrig ausschließen, wenn man die strikte Zweckbindung veröffentlichter Daten konsequent anwendet. Datenmissbrauch ist allerdings kein Spezifikum öffentlich zugänglicher Daten, sondern findet alltäglich auch im Kontext nicht-öffentlicher Datenverarbeitung statt. Letztendlich wird eine bessere Einhaltung des Datenschutzes wohl nur dadurch erreicht werden, dass Verstöße schadens- und verschuldensunabhängig sanktioniert werden, wobei das Strafmaß in Relation zum Gefährdungspotential stehen sollte und pro Einzelfall verhängt werden muss. In diesem Zusammenhang würde auch die Zulässigkeit von Sammelbeschwerden Bedeutung erlangen, denn von Klagen Einzelner werden sich jene Diensteanbieter, die mit personenbezogener Datenverarbeitung Milliardengewinne erzielen, kaum abschrecken lassen. In Einzelbereichen können zusätzlich Spezialregelungen zielführend sein, beispielhaft sei die in Belgien mittlerweile gesetzlich geregelte anonyme Bewerbung genannt.

[25]

Nimmt man schließlich die Privatautonomie des Betroffenen und sein Recht auf Privatsphäre ernst, muss konsequenterweise überall dort, wo die Zustimmung zu einer Datenverarbeitung erforderlich ist, da weder (grundrechtskonforme) gesetzliche Regelungen noch überwiegende Interessen Dritter diese legitimieren, ein jederzeitiges Widerspruchs- und Löschungsrecht angenommen werden. Dies entspricht leider nicht geltendem Recht, weshalb mE noch auszujudizieren ist, inwieweit Datenschutzbestimmungen auch hier Art. 8 EMRK verletzen. So ist der Ausschluss des Rechts auf Widerspruch in Art. 7 Abs. 5 des neuen Verbraucherkreditgesetzes (VKrG)24 bei der Verarbeitung von Daten zur Bonitätsbeurteilung, die auf einer vorherigen Zustimmung des Betroffenen beruht, kaum in Einklang mit dem Grundrecht auf Privatsphäre und informationelle Selbstbestimmung zu bringen. Im Zusammenhang mit Blogs und sozialen Netzwerken ist darauf hinzuweisen, dass diese bei privater Nutzung idR nicht einer «Datenanwendung» iSd DSG 2000 entsprechen und somit im Einzelfall vorgenommene Verarbeitungen der Daten Dritter nicht vom Widerspruchsrecht des §28 umfasst sind. Grundsätzlich sollten die Rechte auf Berichtigung, Löschung und Widerspruch m.E. nicht auf Datenanwendungen beschränkt sein, sondern jegliche Datenverwendung umfassen – nur beim Auskunftsrecht ist eine entsprechende Einschränkung vertretbar, wenn der Aufwand zur Einhaltung unverhältnismäßig wird.

3.

Liberale Rechtsordnung und staatliches Handeln ^

[26]

Gegenüber dem heute mehr denn je allmächtigen Staat behält das Grundrecht auf Privatsphäre in seiner klassischen Ausgestaltung als liberales Abwehrrecht vor behördlichen Eingriffen und damit der Geheimhaltungsanspruch seine überragende Bedeutung. Was in der Privatwirtschaft durch die Privatautonomie gerade noch gerechtfertigt sein mag, gilt daher nicht im staatlichen Bereich: Selbst auf Grundlage einer Einwilligung dürfen nur personenbezogene Daten verarbeitet werden, die zur Gewährleistung einer gesetzmäßigen Aufgabenwahrnehmung erhoben werden müssen.25

[27]

Auch hier interessieren m.E. besondersabsolute Grenzen, etwa im Bereich der öffentlichen Sicherheit. Lange Zeit erhielt die Privatsphäre normativ in den Grundrechtskatalogen keinen «Kerngehalt», der unverletzlich wäre26 – erst das deutsche Bundesverfassungsgericht sicherte 2004 in seinem Urteil zu akustischer Wohnraumüberwachung einen solchen:

«Zur Entfaltung der Persönlichkeit im Kernbereich privater Lebensgestaltung gehört die Möglichkeit, innere Vorgänge wie Empfindungen und Gefühle sowie Überlegungen, Ansichten und Erlebnisse höchstpersönlicher Art zum Ausdruck zu bringen, und zwar ohne Angst, dass staatliche Stellen dies überwachen. Vom Schutz umfasst sind auch Gefühlsäußerungen, Äußerungen des unbewussten Erlebens sowie Ausdrucksformen der Sexualität.»

«letztes Refugium» ein Mittel zur Wahrung der Menschenwürde. Dies verlangt zwar nicht einen absoluten Schutz der Räume der Privatwohnung, wohl aber absoluten Schutz des Verhaltens in diesen Räumen, soweit es sich als individuelle Entfaltung im Kernbereich privater Lebensgestaltung darstellt.»27
[28]

Gerade Datenschützer laufen jedoch Gefahr, mit der einseitigen Konzentration auf Datenschutz-Prinzipien und den sehr eingeschränkten Geheimhaltungsanspruch, der im Wesentlichen nur im Verhältnismäßigkeitsgrundsatz unüberwindbare Hürden findet, den viel weitergehenden Geheimhaltungsanspruch anderer Grundrechte zu übersehen.28 So wurde die Vorratsdatenspeicherung bislang nur von den Verfassungsrichtern in Rumänien als Verstoß gegen die Unschuldsvermutung und damit auch gegen Art. 6 Abs. 2 EMRK gewertet29 – bislang war mW kein westeuropäisches Höchstgericht oder der EGMR mit dieser Frage befasst, da sie von den meisten Datenschützerinnen bislang nicht aufgeworfen wurde. Im Einzelfall können auch noch andere Grundrechte verletzt sein.30

[29]

Eine absolute Grenzziehung wird an Bedeutung gewinnen, denn jegliche vorhandene Datensammlung weckte erfahrungsgemäß über kurz oder lang Begehrlichkeiten von staatlicher Seite. Daher kann die oben vorgeschlagene verstärkte Protokollierung von Datenverarbeitungsvorgängen nur dann befürwortet werden, wenn der Staat die strenge Zweckbestimmung dieser Daten in Art. 14 Abs. 4 DSG 2000 dauerhaft beibehält und hier den Geheimhaltungsanspruch wahrt. Abweichend von der Rechtsmeinung des OGH in seinem Urteil vom 14. Juli 2009,31 in dem er derzeit keine Rechtsgrundlage in Österreich für die Verarbeitung von Verkehrsdaten durch Internet-Access-Provider zu anderen als im TKG 2003 vorgesehenen Zwecken sieht, erlaubt Art. 14 Abs. 4 DSG 2000 mE die Verwendung von Verkehrsdaten zu Zwecken der Datensicherheit und Kontrolle der Integrität elektronischer Systeme, strikt begrenzt auf den dafür erforderlichen Zeitraum.32 Auch die restriktive Weiterverwendung für strafrechtliche Zwecke wahrt, anders als in den bisher vom BMVIT vorgelegten Entwürfen zur Umsetzung der Vorratsdatenspeicherung, den Grundsatz der Verhältnismäßigkeit.

[30]

Ein weiteres Beispiel von hoher Praxisrelevanz für die Notwendigkeit einer Selbstbeschränkung der Staatsmacht sei noch angeführt: In der datenschutzrechtlich vieldiskutierten «Cloud» kann ein Dienstleister m.E. nur dann ein Datensicherheitsniveau, das jenem bei der Auftraggeberin entspricht, garantieren, wenn sichergestellt ist, dass die Anzahl der Behörden, die potenziell Zugriff haben, sich nicht ausweitet – mangels zwischenstaatlicher Übereinkommen zur Daten-Enthaltsamkeit wird daher die Datenverarbeitung und -speicherung im Ausland, selbst innerhalb der Europäischen Union,33 in der «Cloud» regelmäßig abzulehnen sein. Das Problem ist noch nicht einmal auf die «Public Cloud» beschränkt, sondern kann auch innerhalb eines multinational operierenden Unternehmens in der «Private Cloud» oder bei so einfachen Verarbeitungsvorgängen wie einer Datensicherung auftreten. Der wohl bekannteste Fall der letzten Jahre, nämlich die Spiegelung derSWIFT -Daten europäischer Banktransaktionen in den USA, die zu massenhaften Zugriffen der amerikanischen Geheimdienste führte, wäre mE von vornherein nicht zulässig gewesen, da es Pflicht des Auftraggebers war, ein adäquates Sicherheitsniveau der Daten zu garantieren.34

4.

Transparenz öffentlichen Handelns ^

[31]

Ein letztes Mal auf Protokolldaten zurückkommend, darf nicht vergessen werden, dass lückenlose Protokollierung Datenverarbeitungsvorgänge weitgehend nachvollziehbar macht. Neben den Chancen, die sich dadurch bieten, ergeben sich auch Risiken – so wäre es etwa unmöglich, im öffentlichen Bereich unbemerkt Einsicht in elektronische Akten zu nehmen. Das ist auch nicht zu beanstanden, wenn überwiegende Interessen Dritter ausreichend gewahrt sind.Wikileaks oder auchWhistleblowing dokumentieren jedoch ein Informationsbedürfnis der Öffentlichkeit, dem bislang ein m.E. insbesondere im deutschen Sprachraum übertriebener Geheimhaltungsanspruch des Staates und öffentlicher Institutionen entgegensteht. Nur in ganz wenigen Fällen überhaupt lässt sich aber Geheimniskrämerei gegenüber den Bürgern rechtfertigen. Bislang sind die Rechte auf Information vor allem im Umweltschutz europa- und völkerrechtlich verankert, werden aber von den Behörden in vielen Fällen nach wie vor nur sehr zögerlich bedient, oft genug mit dem fadenscheinigen Hinweis auf Datenschutzrechte der Behörde oder Dritter.

[32]

Der internationale Trend geht u.a. aus Gründen der Korruptionsprävention jedenfalls eindeutig in Richtung Transparenz öffentlichen Handelns, zu den Vorreitern zählt Skandinavien und neuerdings auch Großbritannien. Datenschutz verlangt mE geradezu nach einer Transparenzordnung und steht mit seinem (wie aufgezeigt) nur sehr eingeschränkten Geheimhaltungsanspruch schon heute nicht in Widerspruch dazu: Gemäß § 8 Abs. 3 Z 6 DSG 2000 liegt eine Verletzung schutzwürdiger Geheimhaltungsinteressen z.B. dann nicht vor, wenn die Verwendung von Daten ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat,35 doch auch ohne Sondernormen wird in den allermeisten Fällen ein überwiegendes Interesse der Öffentlichkeit an der Kontrolle staatlichen und behördlichen Handelns zu erkennen sein.

[33]

Wie weit dieses Interesse gehen kann, hat etwa der Europäische Gerichtshof für Menschenrechte im UrteilÉditions Plon gegen Frankreich36 zu einem Buch mit Angaben zum Gesundheitszustand des ehemaligen französischen Präsidenten Mitterand von 1981 bis zu seinem Tod festgestellt: Je länger der Tod Mitterrands zurückliege, desto mehr überwiege das Interesse an der Aufarbeitung historischer Fakten, die Implikationen auf die Amtsführung des Präsidenten hatten, gegenüber dem immer weiter zurücktretenden Recht auf Persönlichkeitsschutz. Dieses öffentliche Interesse gilt noch weit mehr für behördliches Handeln im engeren Sinn – als Beispiel sei der Vertrag zwischen der deutschen Bundesregierung und der Atomindustrie von 2010 genannt, bei dem schon im Hinblick auf die Gesetzgebung zu Umweltinformationen Geheimhaltung kaum zu rechtfertigen sein dürfte.

[34]

DieÉditions Plon -Entscheidung wird gerne verschwiegen, wenn Personen des öffentlichen Lebens bzw. deren Anwälte sich auf das nur wenige Monate später ergangene, bekannte und viel zitierte «Caroline -Urteil»37 des EGMR berufen, in dem die Veröffentlichung von Fotos der Betroffenen in der Boulevardpresse als ein Eingriff in die Privatsphäre gewertet wurde, deren Schutz von den nationalen Gerichten in der Folge nur unzureichend gewährleistet worden sei. Die vermeintlichen Nutznießer übersehen ebenso wie die vielen Kritiker dieser Entscheidung die für das Urteil maßgebliche Begründung, dass die Fotografien Alltagsszenen rein privater Natur zeigten, denen der Gerichtshof jeglichen Informationswert absprach, und die Beschwerdeführerin zudem keine offizielle Funktion für das Fürstentum Monaco bekleidete. Daraus darf nicht geschlossen werden, dass Personen des öffentlichen Lebens immer dann geschützt sind, wenn sie sich nicht in der Öffentlichkeit bewegen: die Achtung der Privatsphäre ist und bleibt ein immer im Einzelfall unter Berücksichtigung aller maßgeblichen Umstände zu bewertendes Grundrecht.


Lothar Gamper, Datenschutzbeauftragter, Universität Innsbruck, Josef-Hirn-Straße 5-7, 6020 Innsbruck, AT,lothar.gamper@uibk.ac.at ;www.uibk.ac.at/datenschutz

  1. 1 Das im Englischen gebräuchliche «Privacy» wird auch in einigen anderen Sprachen, etwa im Italienischen, üblicherweise verwendet und drückt besser als «Datenschutz» aus, worum es eigentlich geht.
  2. 2 Volkszählungsurteil , 15. Dezember1983, BVerfGE 65, 1, 46, mittlerweile ergänzt um das «Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme», 27. Februar 2008, 1 BvR 370/07, 1 BvR 595/07
  3. 3 Neben §1 DSG 2000 ist v.a. Art. 8 der EU-Grundrechtecharta als erster internationaler Grundrechtekatalog zu nennen, der Datenschutz explizit einschließt.
  4. 4 z.B.Datenschutzbeauftragte des Bundes und der Länder , Ein modernes Datenschutzrecht für das 21. Jahrhundert, Eckpunktepapier vom 18. März 2010, abrufbar unterwww.bfdi.bund.de/cln_134/SharedDocs/Publikationen/Allgemein/79DSKEck punktepapierBroschuere.html?nn=1091786 .
  5. 5 Unternehmen und Institutionen oder auch Privatpersonen, die einen Blog oder ein soziales Netzwerk für andere als private Zwecke verwenden wollen und dabei Daten Dritter verarbeiten, bedienen sich mE des Diensteanbieters als Dienstleister bzw. Auftragsdatenverarbeiter und wären daher u.a. verpflichtet, gemäß §11 DSG 2000 einen Dienstleistervertrag abzuschließen, wenn die AGB keinen ausreichenden Schutz garantieren.
  6. 6 Die datenschutzrechtlichen Anforderungen an soziale Netzwerke wurden, soweit es sich um die Datenweitergabe an eingeschränkte Nutzerkreise statt um eine Veröffentlichung handelt, bereits an anderer Stelle sehr gut beschrieben:Holtz, Leif-Erik, Datenschutzkonformes Social Networking: Clique und Scramble!, in: DuD 7/2010, S. 439 ff.
  7. 7 Diese m..E nicht zwingend ableitbare Rechtsfolge ist jedenfalls hL, so auch die Datenschutzkommission (DSK) in Gzl. K120.966/0005-DSK/2005, 22. April 2005:«[...] die Übermittlung [...] kann eine Verletzung des Rechts auf Geheimhaltung [...] nicht begründen, handelt es sich doch [...] um allgemein verfügbare Daten im Sinn des § 1 Abs. 1 DSG 2000, für die ein schutzwürdiges Geheimhaltungsinteresse insofern nicht besteht, als für jene, die von dieser nunmehr allgemein verfügbaren Information Kenntnis nehmen, keine Weiterverwendungsbeschränkungen bestehen.» Dass sogar die Verknüpfung von Daten, die an unterschiedlichen Stellen veröffentlicht wurden, damit zulässig wird, zeigt sich in der Entscheidung der Datenschutzkommission vom 24. Oktober 2007, Gzl. K121.287/0024-DSK/2007.
  8. 8 Zu den Grenzen der Zustimmung siehe auch unten 2.3.
  9. 9 K121.419/0007-DSK/2009, 25. Februar 2009.
  10. 10 K121.405/0004-DSK/2008, 26. September 2008.
  11. 11 62/ME XXIV. GP–Ministerialentwurf–DSG-Nov. Textgegenüberstellung; schon heute findet sich eine ähnliche Formulierung in §8 Abs. 2 DSG 2000.
  12. 12 Die Datenschutzkommission hat in ihren Erkenntnissen vom 21. Juni 2005, Gzl., K121.014/0008-DSK/2005, sowie vom 16. Dezember 2005, Gzl. K121.040/0018-DSK/2005, eine Pflicht des datenschutzrechtlichen Auftraggebers einer Datenanwendung zu Stichprobenkontrollen aus §14 DSG 2000 abgeleitet, nicht ohne jeweils auf die gesetzlich strikt vorgegebene Zweckbindung von Protokolldaten zu verweisen. Diese resultiert u.a. aus den Möglichkeiten der Verhaltens- und Leistungskontrolle von Arbeitnehmern im Falle einer umfassenden Protokollierung und den Möglichkeiten der Profilbildung bei Konsumentinnen.
  13. 13 Z.B. 30. Juni 2005, Gzl. K121.015/0009-DSK/2005.
  14. 14 30. Juli 2010, Gzl. K121.605/0014-DSK/2010; mit der Entscheidung wurde die vor der DSG-Novelle 2010 bestehende Rechtslage bekräftigt.
  15. 15 Es ist mE erstaunlich, dass die DSG-Novelle 2010 §26 Abs. 1 unverändert belassen hat. Die Datenschutzkommission hat ihre Rechtsprechung bisweilen jedenfalls durchaus an den veränderten Stand der Technik angepasst: vgl. etwa das Erkenntnis mit Gzl. K121.259/0013-DSK/2007, 23.05.2007, Abschnitt 2.2, in dem die DSK die Auskunftspflicht auf nur sequentiell gespeicherte Protokolldaten erweitert hat, nachdem vom Beschwerdegegner ein unverhältnismäßiger Aufwand der Durchsuchung nicht nachgewiesen werden konnte. Der §50b Abs. 1 DSG 2000, der mit der Novelle 2010 eingeführt wurde, verlangt eine vollständige Protokollierung aller Verwendungsvorgänge von Daten im Zusammenhang mit einer Videoüberwachung.
  16. 16 Der Verdacht auf eine entsprechende Praxis entstand bereits durch den testweisen Vergleich von Profilen eines sozialen Netzwerks:http://derstandard.at/1287099772034/Facebook-scheint-Homosexuelle-an-Werber-zu-outen , Artikel vom 22. Oktober 2010.
  17. 17 «Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.

     (2) Abweichend von Abs. 1 darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn 1. dies gesetzlich ausdrücklich vorgesehen ist oder 2. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages ergeht und dem Ersuchen des Betroffenen auf Abschluß oder Erfüllung des Vertrages stattgegeben wurde oder 3. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen – beispielsweise die Möglichkeit, seinen Standpunkt geltend zu machen – garantiert wird.

     (3) Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen. § 26 Abs. 2 bis 10 gilt sinngemäß.»
  18. 18 Dass einfachgesetzlicher Datenschutz im DSG 2000 nicht immer Grundrechtskonformität garantiert, ist nichts Neues; Darstellung der bisherigen Rechtsprechung des Verfassungsgerichtshofs in: Bierlein, Brigitte, Zum Grundrecht auf Datenschutz, in: Matscher, F., Pernthaler, P., Raffeiner, A. (Hrsg.), Ein Leben für Recht und Gerechtigkeit, Festschrift für Hans R. Klecatsky zum 90. Geburtstag, NWV, Wien 2010, S. 84-92.
  19. 19 In diesem Sinn z.B. die Entscheidung des italienischen Garante per la protezione dei dati personali vom 22. Juli 2010. doc.web n. 1741988 (http://www.garanteprivacy.it/ garante/doc.jsp?ID=1741988). Zwar wäre bei einem werbefinanzierten Gratisangebot vorstellbar, dass die automatisierte Datenverarbeitung als notwendige Voraussetzung für die Leistungserbringung verlangt wird, aber dann müsste als Alternative zumindest eine werbe- und datenverwendungsfreie, bezahlte Variante zur Verfügung stehen. Zudem ist fraglich, ob die Verknüpfung zulässig ist, da das datenschutzrechtlich gebotene gelindere Mittel einer nicht personalisierten Werbung immer zur Verfügung steht.
  20. 20 Die Information der Betroffenen würde sich hingegen – da die E-Mail-Adressen ja vorliegen – ohne unverhältnismäßigen Aufwand realisieren lassen; eine opt-out-Lösung wäre derzeit jedoch normativ nicht gedeckt.
  21. 21 Brühann, Ulf , Die Anforderungen der Europäischen Datenschutzrichtlinie, in:Bäumler, Helmut / Mutius, Albert (Hrsg.), Datenschutzgesetze der dritten Generation. Texte und Materialien zur Modernisierung des Datenschutzrechts. Luchterhand, Neuwied, 1999, S. 12.
  22. 22 Vgl.Garstka, Hansjürgen , Selbstdatenschutz, in:Baeriswyl, Bruno / Rudin, Beat (Hrsg.), Perspektive Datenschutz. Praxis und Entwicklungen in Recht und Technik. Verl. Österreich, Wien 2002, S. 172.
  23. 23 Grabenwarter, Christoph, Europäische Menschenrechtskonvention. Ein Studienbuch. Beck, München und Manz, Wien, 2. Aufl. 2005, S. 116 f.
  24. 24 BGBl. I, 20. Mai 2010.
  25. 25 Mehde in:Heselhaus, Sebastian / Nowak, Carsten (Hrsg.): Handbuch der Europäischen Grundrechte. Beck, München 2006, S. 624 RN 37 f.
  26. 26 Wildhaber, Luzius/Breitenmoser, Stephan, Art. 8, RN 104, in:Karl, Wolfram (Hrsg., vormalsGolsong, Heribert ): Internationaler Kommentar zur Europäischen Menschenrechtskonvention, Loseblatt-Sammlung, Köln, 2. Lfg. 1992.
  27. 27 BVerfG, 1 BvR 2378/98, 3. März 2004 («Großer Lauschangriff»), Abs. 120.
  28. 28 Insbesondere deshalb ist m.E. die Aufnahme des Datenschutzes in Grundrechtskataloge nicht unkritisch zu bewerten.
  29. 29 Decizia Nr. 1.258, 8.Oktober 2009, Übers.:www.vorratsdatenspeicherung.de/content/view/342/1/lang,de/#Urteil
  30. 30 Siehe dazu auchGamper, Lothar, Datenschutz in Spezialgrundrechten, S. 342-350, in:Schweighofer, E., Geist, A., Heindl, G. und Szücs, Ch ., (Hrsg.), Komplexitätsgrenzen der Rechtsinformatik, Boorberg, Stuttgart 2008.
  31. 31 4 Ob 41/09x.
  32. 32 Da das TKG 2003 in §99 Abs. 1 zur zulässigen Verwendung von Verkehrsdaten allgemein auf gesetzliche Regelungen verweist, dürfte diese Interpretation rechtskonform sein, auch wenn eslex specialis zum DSG 2000 ist.
  33. 33 Zu unterscheiden ist der Fall einer Übermittlung innerhalb der Union an Dritte, die gesetzeskonform ohne Einschränkungen zulässig ist, von der Überlassung der Daten an einen Dienstleister, bei der es mangels Notwendigkeit der Verarbeitung im EU-Mitgliedstaat m.E. ein striktes Zugriffsverbot der mitgliedstaatlichen Behörden braucht, damit Datensicherheit uneingeschränkt erhalten bleibt; dies gilt auch bei Verarbeitung durch ein und denselben Auftraggeber im EU-Mitgliedstaat.
  34. 34 Seit Anfang 2010 ist das Problem beiSWIFT etwas entschärft, besteht allerdings bei anderen internationalen Anbietern von Finanzdienstleistungen wie etwaWestern Union unbeschränkt weiter.
  35. 35 siehe z.B. das Erkenntnis der DSK mit Gzl. K121.014/0008-DSK/2005, 21. Juni 2005.
  36. 36 Urteil Nr. 58148/00, 18. Mai 2004.
  37. 37 von Hannover gegen Deutschland , Urteil Nr. 59320/00, 24. September 2004.