Jusletter IT

Ist Open Source Intelligence durch Botschaften rechtmäßig?

  • Authors: Erich Schweighofer / Walter Hötzendorfer / Stephan Varga / Janos Böszörmenyi
  • Category: Articles
  • Region: Austria
  • Field of law: SMART-Workshop--Surveillance-Technologies-and-Privacy
  • Collection: Tagungsband IRIS 2014
  • Citation: Erich Schweighofer / Walter Hötzendorfer / Stephan Varga / Janos Böszörmenyi, Ist Open Source Intelligence durch Botschaften rechtmäßig?, in: Jusletter IT 20 February 2014
Im Zusammenhang mit den Enthüllungen von Edward Snowden berichteten österreichische Medien im Spätsommer 2013 über den Verdacht, die USA betreiben über einen geheimen Lauschposten in Wien unter anderem Open Source Intelligence (OSINT), also die Auswertung öffentlich verfügbarer Informationen. Das Betreiben von OSINT wurde von den USA auch offiziell bestätigt. Die Liegenschaft (in den Medien «NSA-Villa» genannt) dürfte ein Außenposten der US-Botschaft sein. Wir setzen uns daher mit der Frage auseinander, ob das Betreiben von OSINT durch Botschaften rechtmäßig ist, analysieren die relevanten Bestimmungen des internationalen Rechts und untersuchen, ob die österreichische Rechtsordnung auf OSINT-Aktivitäten einer Botschaft in Österreich anwendbar ist. Schließlich unterziehen wir die Durchführung von OSINT einer datenschutzrechtlichen Zulässigkeitsprüfung.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Open Source Intelligence
  • 3. Völkerrechtliche Analyse
  • 3.1. Das Wiener Übereinkommen über diplomatische Beziehungen (WDK)
  • 3.2. Mögliche Maßnahmen gegen die Durchführung von OSINT
  • 3.3. Nachweis von OSINT
  • 4. OSINT aus datenschutzrechtlicher Perspektive
  • 4.1. Das Grundrecht auf Datenschutz
  • 4.2. Auftraggeber des öffentlichen oder privaten Bereichs
  • 4.3. Einfachgesetzliche Zulässigkeitsprüfung
  • 4.3.1. Interessenabwägung gem. § 8 Abs 1 Z 4 DSG
  • 4.3.2. Die Ausnahme für zulässigerweise veröffentlichte Daten
  • 4.3.3. Sensible Daten
  • 4.3.4. Daten über strafbare Handlungen oder Unterlassungen
  • 4.3.5. Zweckbindung
  • 4.3.6. Weitere einschlägige Bestimmungen
  • 5. Vorläufige Schlussfolgerungen
  • 6. Literatur

1.

Einleitung ^

[1]
Open Source Intelligence (OSINT), die Auswertung öffentlich verfügbarer Informationen, hat im Internetzeitalter massiv an Bedeutung gewonnen. Die ständig wachsende Menge der allgemein zugänglichen Information ist als Quelle nachrichtendienstlicher Arbeit von enormer Bedeutung. Seit Mitte 2013 wurde aufgrund der Snowden-Enthüllungen die ungeheure Dimension staatlicher Überwachung bekannt, die aufgrund der technischen und politischen Entwicklungen der letzten Jahre möglich und – nicht nur durch die USA – auch umgesetzt wurde. Die rechtswissenschaftliche Aufarbeitung der enthüllten Praktiken kann nur in einzelnen Teilen erfolgen.1 Dieser Beitrag widmet sich einer von den USA offiziell bestätigten Praxis mit Österreich-Bezug, der Durchführung von OSINT durch die diplomatische Vertretung der USA in Österreich.2

2.

Open Source Intelligence ^

[2]

Open Source Intelligence (OSINT) ist definiert als «intelligence that is produced from publicly available information and is collected, exploited, and disseminated in a timely manner to an appropriate audience for the purpose of addressing a specific intelligence requirement.»3 Für die rechtliche Einordnung von OSINT ist es wichtig, OSINT von anderen Arten der Informationssammlung zu unterscheiden.

[3]

Unter dem Begriff SIGINT werden «communications intelligence» (COMINT) – «[i]ntelligence derived from electromagnetic communications and communication systems by other than intended recipients or users» – und «electronic intelligence» (ELINT) – «[i]ntelligence derived from electromagnetic non-communications transmissions by other than intended recipients or users»4 – zusammengefasst. Unter SIGINT kann man also generell (Geheimdienst-)Informationen verstehen, die durch Abfangen von Signalen (Kommunikation oder Nicht-Kommunikation) gewonnen werden (z.B. IMSI-Catcher, …). OSINT hingegen beschäftigt sich mit öffentlich verfügbaren Informationen. «Human intelligence» (HUMINT) wiederum bezeichnet «[a] category of intelligence derived from information collected and provided by human sources»5. Die für OSINT herangezogenen Quellen sind gerade nicht unmittelbar Menschen, sondern öffentlich verfügbare Nachrichten.

[4]
Unter dem verhältnismäßig neuen Begriff Social Media Intelligence (SOCMINT)6 versteht man (Geheimdienst-)Informationen, die von Social-Media-Quellen gewonnen werden. SOCMINT weist somit eine Überschneidung mit OSINT auf. Von OSINT, nicht jedoch SOCMINT umfasst sind z.B. Informationen aus Internetausgaben von Zeitungen. Von SOCMINT, aber nicht von OSINT umfasst sind Informationen aus Social-Media-Quellen, die nicht allgemein zugänglich sind. Typische Anwendungsfälle von OSINT sind u.a. die Analyse von Personennetzwerken (z.B.: Welche Personen kennen sowohl A als auch B?) sowie Trendanalysen (z.B. Steigt oder sinkt die Anzahl des Vorkommens des Wortes «Occupy» verglichen mit früheren Perioden?).7
[5]

Typischerweise werden 4 Kategorien von OSINT-Quellen unterschieden8: (a) kommerzielle Daten (z.B. kommerzielle Satellitenbilder), (b) einer breiten Öffentlichkeit verfügbare Daten (Medien, Webseiten, …), (c) individuelle Experten und (d) «graue» Literatur (Information in geschriebener Form, deren Verfügbarkeit begrenzt ist, z.B. (noch nicht veröffentlichte) Dissertationen). Im Internetzeitalter am wichtigsten ist die zweite Kategorie, da immer mehr Informationen über das Internet öffentlich verfügbar sind, z.B. Online-Zeitungen, Blogs, Facebook-Posts, Twitter-Tweets etc. Diese Informationen sind in maschinenlesbarer Form vorhanden und können schnell und vergleichsweise billig (semi-)automatisch analysiert werden. Auch die Verschleierung des Informationsflusses ist durch die Verwendung von Proxys und ähnlichen Technologien leichter möglich.

[6]

Es ist prinzipiell anerkannt, dass Informationsgewinnung durch OSINT nützlich ist. Es herrscht jedoch Uneinigkeit darüber, welchen Wert OSINT gegenüber traditioneller Intelligence besitzt und wie viel Ressourcen somit für OSINT verwendet werden sollen. Es werden drei verschiedene Meinungen vertreten: Gemäß der ersten Meinung ist OSINT nur als zusätzliche Kontextinformation sinnvoll, nicht aber als Träger von kritischer Information. Gemäß der zweiten Meinung ist OSINT als zusätzliche Kontextinformation, aber auch als Träger von kritischer Information selbst nützlich (z.B. Propagandamaterial). Gemäß der dritten Meinung ist OSINT als erster Schritt der Informationssammlung beziehungsweise als Indikator dafür, was als geheim anzusehen ist, wichtig, die «smoking gun» wird durch OSINT jedoch nicht auffindbar sein.9

[7]

Daten in OSINT-Systemen durchlaufen in der Regel drei Schritte: Zunächst werden die Daten gesammelt («crawler»). Danach wird – durch Einsatz verschiedener Methoden – ein Zusatznutzen generiert. Der Zusatznutzen kann z.B. darin bestehen, dass ausgehend von einer Erkennung der verwendeten Sprache(n) benannte Entitäten extrahiert, Klassifikationen erstellt und die im Text transportierte Gefühlslage erkannt werden. Zusätzlich können Metadaten wie GPS-Informationen, Publikationsdatum etc. zur Informationsbereicherung herangezogen werden. Schlussendlich muss das Ergebnis aufgrund einer entsprechenden Anfrage visualisiert werden.10

[8]
Im Folgenden wird analysiert, ob das Betreiben von OSINT durch die US-Botschaft – d.h. durch eine diplomatische Mission – in Österreich rechtmäßig ist. Zunächst behandeln wir das Völkerrecht und die Frage der Anwendbarkeit des nationalen Rechts, anschließend prüfen wir die datenschutzrechtliche Zulässigkeit. Außer Betracht bleiben die Durchführung von OSINT außerhalb der Räumlichkeiten der diplomatischen Mission sowie die Durchführung anderer Überwachungsmaßnahmen (insbesondere SIGINT) durch die diplomatische Mission.

3.

Völkerrechtliche Analyse ^

3.1.

Das Wiener Übereinkommen über diplomatische Beziehungen (WDK) ^

[9]

Die Beschaffung von Informationen zählt ausdrücklich zu den Aufgaben einer diplomatischen Mission. Diese darf sich im Empfangsstaat mit allen rechtmäßigen Mitteln über die Verhältnisse und Entwicklungen im Empfangsstaat unterrichten (Art. 3 Abs. 1 lit. d WDK). Der Anwendungsbereich dieser Bestimmung umfasst alle politischen, kulturellen, sozialen und wirtschaftlichen Entwicklungen sowie generell alle Aspekte des Lebens, die von Interesse für den Entsendestaat sein könnten.11

[10]

Um ihre Aufgaben bewältigen zu können, genießen die Mitglieder einer Mission volle Bewegungs- und Reisefreiheit (Art. 26 WDK).12 Der Empfangsstaat ist verpflichtet, der Mission jede Erleichterung zur Wahrnehmung ihrer Aufgaben zu gewähren (Art. 25 WDK) und alle Maßnahmen zu ergreifen, damit die Mission ihren Aufgaben zufriedenstellend nachkommen kann.13 Jedoch sind der Informationsbeschaffung auch Schranken gesetzt. Aus Gründen der nationalen Sicherheit kann das Betreten bestimmter Zonen untersagt werden (Art. 26 WDK), die Größe der Mission kann beschränkt werden (Art. 11 WDK) und die ausdrückliche Zustimmung des Empfangsstaates ist erforderlich, um zur Mission gehörende Büros an einem Ort zu errichten, der vom Sitz der Mission verschieden ist (Art. 12 WDK).14

[11]

Darüber hinaus ergeben sich allgemeine Schranken aus Art. 41 Abs. 1 WDK. Vorgeschrieben wird allen Personen, die Vorrechte und Immunitäten genießen, die Beachtung der Gesetze und anderer Rechtsvorschriften des Empfangsstaates. Zusätzlich dürfen die Räumlichkeiten der Mission in keiner Weise verwendet werden, die mit ihren Aufgaben unvereinbar ist (Art. 41 Abs. 3 WDK). Unter Beachtung der Gesetze verstand laut Denza die ältere Literatur, dass diese Bestimmung eine Begleiterscheinung der Pflicht des Empfangsstaates darstellt, Vorrechte und Immunitäten einzuräumen. Die Mission müsste sich lediglich aufgrund einer moralischen Pflicht, oder aus Höflichkeit (courtesy) daran halten. Die moderne Theorie nehme hingegen an, dass abgesehen von gesetzlichen Ausnahmen die Gesetze des Empfangsstaates einzuhalten sind.15

[12]

Andererseits muss der Empfangsstaat gemäß Art. 25 WDK der Mission jede Erleichterung zur Wahrung ihrer Aufgaben gewähren und ist verpflichtet die Unverletzlichkeit der Räumlichkeiten der Mission zu beachten (Art. 22 WDK). Die Wahrnehmung der Aufgaben der Mission darf nicht behindert werden. Die bloße Informationsbeschaffung muss hingegen gemäß Art. 3 Abs. 1 lit. d WDK auf die Verwendung rechtmäßiger Mittel beschränkt werden. Sofern aufgrund nationaler Rechtsvorschriften die Möglichkeiten der Mission, sich mit rechtmäßigen Mitteln zu unterrichten, in einer Weise beschränkt werden, dass sie ihre Aufgaben nicht im vorgesehenen Ausmaß erfüllen kann, liegt wohl ein Verstoß gegen die WDK vor. Dies wird in Österreich in der Regel aber nicht vorkommen, weil die WDK im Gesetzesrang steht16 und im Konfliktfall wohl als lex specialis angesehen werden muss.

[13]

Immunität kann nur eingeräumt werden, wenn nationale Jurisdiktion grundsätzlich besteht17 und bedeutet, dass sich Personen, die Immunitäten genießen, nicht vor den nationalen Gerichten des Empfangsstaates zu verantworten haben.18 Sie sind jedoch den Gesetzen des Empfangsstaates unterworfen, lediglich die gegen sie gerichtete Durchsetzung dieser Gesetze ist gehemmt.19 «Immunität ist eine verfahrensrechtliche und keine materielle Norm.»20 Aus der WDK ergibt sich daher, dass das österreichische Datenschutzrecht materiell anwendbar ist, sofern die Wahrnehmung der Aufgaben der Mission nicht behindert wird. Nur die Durchsetzung von Sanktionen aufgrund von Verstößen ist gehemmt.21 Entgegenstehendes lässt sich auch aus Art. 4 Abs. 1 lit. b der EG-Datenschutzrichtlinie (95/46/EG; DSRL) schon deswegen nicht ableiten, weil diese Bestimmung im österreichischen Datenschutzgesetz (DSG 2000) nicht umgesetzt wurde.22

3.2.

Mögliche Maßnahmen gegen die Durchführung von OSINT ^

[14]

Diplomaten genießen Immunität vor der Gerichtsbarkeit des Empfangsstaates. Daher können nur bestimmte Maßnahmen ergriffen werden, um auf Gesetzesverstöße durch Diplomaten zu reagieren. So ermöglicht Art. 9 WDK dem Empfangsstaat, Diplomaten jederzeit zur persona non grata zu erklären. Der Einsatz von OSINT wird aber in der Regel nicht von einem einzelnen Diplomaten sondern vom Entsendestaat entschieden. Der Sinn des persona non grata-Verfahrens besteht jedoch gerade darin, dass die betroffene Person selbst den Empfangsstaat kränkt. Richtet sich der Unmut aber gegen die Politik des Entsendestaates, ist eine andere Maßnahme vorzuziehen. Beispielsweise kann der Empfangsstaat seinen Botschafter zu Konsultationen zurückberufen, den Botschafter des Entsendestaates ins Außenamt zitieren oder sogar die diplomatischen Beziehungen abbrechen.23 Im Teheraner Geisel-Fall bejahte der Internationale Gerichtshof (IGH), dass, wenn der Missbrauch der Funktionen durch Mitglieder der Mission ernsthafte Ausmaße erreicht, der Empfangsstaat nach eigenem Ermessen die diplomatischen Beziehungen abbrechen und die sofortige Schließung der Mission verlangen kann.24

3.3.

Nachweis von OSINT ^

[15]

Voraussetzung für Maßnahmen gegen die Durchführung von OSINT ist, dass diese nachgewiesen werden kann. «Die Räumlichkeiten der Mission sind unverletzlich» (Art. 22 Abs. 1 Satz 1 WDK). Daraus ergibt sich, dass die Behörden des Empfangsstaates keine Möglichkeit haben, die Mission zu durchsuchen und Beweisstücke zu sichern, die die Durchführung von OSINT nachweisen könnten. Das Abhören der Räumlichkeiten einer Mission sowie die Einrichtung elektronischer Abhörmaßnahmen verletzen ebenfalls Art. 22 WDK.25

[16]

Ob eine Mission OSINT anwendet, kann somit nicht aufgrund von Untersuchungen von Vorgängen innerhalb der Mission festgestellt werden. Auch die Kommunikation der Mission darf gemäß Art. 27 WDK nicht inspiziert werden. Die Mission darf sich aller geeigneten Mittel für die Kommunikation bedienen; dies umfasst wohl auch die elektronische Kommunikation.26 Die amtliche Korrespondenz der Mission ist – wie die Räumlichkeiten der Mission – unverletzlich. Daraus folgt, dass eine inhaltliche Inspektion mit der WDK nicht vereinbar ist. Allerdings handelt es sich bei OSINT zwar um Ausübung von Amtsgewalt, aber nicht um Korrespondenz. Denn amtliche Korrespondenz umfasst nur die Kommunikation «mit der Regierung, den anderen Missionen und den Konsulaten des Entsendestaates» (Art. 27 Abs. 1 u. 2 WDK).27 Der Zugriff einer Mission auf Webseiten wäre von dieser Bestimmung also nicht umfasst. Auch andere Bestimmungen der WDK sehen eine Einschränkung oder gar ein Verbot der Überwachung des Zugriffs auf Webseiten durch Missionen nicht vor. Außerhalb der Räumlichkeiten der Mission, könnte daher die Überwachung des Websitezugriffs rechtmäßig sein, sofern dies technisch möglich ist, ohne die Kommunikation der Mission zu beeinträchtigen. Zunächst wäre daher zu bestimmen, welche technischen Möglichkeiten bestehen. Diese müssten dann einzeln auf ihre Vereinbarkeit mit der WDK überprüft werden.

4.

OSINT aus datenschutzrechtlicher Perspektive ^

4.1.

Das Grundrecht auf Datenschutz ^

[17]
OSINT erfasst per Definition nur öffentlich verfügbare Daten. Daraus kann allerdings nicht gefolgert werden, dass OSINT in jedem Fall datenschutzrechtlich zulässig ist. Vielmehr ist – sowohl auf grundrechtlicher als auch auf einfachgesetzlicher Ebene – eine datenschutzrechtliche Zulässigkeitsprüfung durchzuführen. Dabei kommt das österreichische Datenschutzgesetz zur Anwendung, da dieses grundsätzlich auf Datenverwendungen in Österreich anzuwenden ist (§ 3 Abs. 1 DSG 2000).
[18]

Die Bestimmung des § 1 Abs. 1 DSG normiert ein Grundrecht auf Datenschutz, von dem jedoch allgemein verfügbare Daten ausdrücklich ausgenommen sind. Allgemein verfügbar ist gleichbedeutend mit öffentlich verfügbar und trifft somit auf die mittels OSINT gesammelten Daten zu.28 Anders als § 1 Abs. 1 DSG kennt das Grundrecht des Art. 8 EMRK29 keine Ausnahme für öffentlich verfügbare Daten. Der EGMR hat ausgesprochen, dass öffentliche Information unter den Begriff der Privatsphäre i.S.d. Art. 8 EMRK fallen kann, wenn sie systematisch gesammelt und gespeichert wird.30 Beide genannten Grundrechte sehen in Abs. 2 einen materiellen Gesetzesvorbehalt vor, d.h. Grundrechtseingriffe einer staatlichen Behörde sind grundsätzlich möglich, bedürfen allerdings einer gesetzlichen Grundlage, die einem bestimmten öffentlichen (oder individuellen) Interesse dient.31 Für Auftraggeber des privaten Bereichs bedarf der Grundrechtseingriff hingegen weder einer gesetzlichen Grundlage, noch unterliegt er den Bestimmungen des § Art. 8 Abs. 2 ERMK.32 Das Grundrecht auf Datenschutz des § 1 DSG ist jedoch auch auf Auftraggeber des privaten Bereichs anzuwenden, da es unmittelbare Drittwirkung besitzt.33

4.2.

Auftraggeber des öffentlichen oder privaten Bereichs ^

[19]

Der Botschaft kommt keine Rechtspersönlichkeit zu,34 sodass nicht diese selbst, sondern der Entsendestaat als datenschutzrechtlicher Auftraggeber zu qualifizieren ist. Ob dieser ein Auftraggeber des öffentlichen oder des privaten Bereichs ist, ist fraglich. Für die Zurechnung zum öffentlichen Bereich sprechen sowohl der Wortlaut von § 5 Abs. 2 Z 1 DSG: «Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber, ... die in Formen des öffentlichen Rechts eingerichtet sind» als auch von § 7 Abs. 1 Fall 1 DSG: «Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten ... des jeweiligen Auftraggebers gedeckt sind». «Gesetzliche Zuständigkeit» bedeutet nämlich, dass ein gesetzlicher Auftrag besteht,35 und ein solcher besteht wohl jedenfalls nach den Gesetzen des Entsendestaates bzw. könnte sich aus der WDK ergeben.

[20]
Denza geht darauf ein, dass die USA Botschaften – trotz ausdrücklich entgegenstehendem Wortlaut – in der Nairobi-ITU-Konvention wie private Dienststellen behandelt werden.36 Dies mag zwar ebenfalls umstritten gewesen sein, dennoch könnte auch argumentiert werden, den Entsendestaat als Auftraggeber des privaten Bereichs zu qualifizieren, weil er nicht in Vollziehung der Gesetze des Empfangsstaates tätig wird und im Umkehrschluss daher kein öffentlicher Auftraggeber sein kann.
[21]

Letztlich ist aber die Frage, ob Botschaften als Auftraggeber des öffentlichen oder des privaten Bereichs zu qualifizieren sind, im Ergebnis hier nicht relevant, weil die Zweiteilung zwischen öffentlichem und privatem Bereich grundsätzlich im DSG 2000 aufgehoben wurde und nur noch in Bezug auf den Rechtsschutz eine wesentliche Rolle spielt.37 Da aber Botschaften (bzw. Staaten) von der Jurisdiktion des Empfangsstaates ausgenommen sind, spielt es keine Rolle welcher Rechtsschutz nicht zur Anwendung kommt. Auch grundrechtlich spielt die Zuordnung aufgrund der Drittwirkung des Grundrechts des § 1 DSG keine entscheidende Rolle.

4.3.

Einfachgesetzliche Zulässigkeitsprüfung ^

[22]
Die Verwendung personenbezogener Daten ist gemäß § 7 DSG zulässig, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzt werden. Auftraggeber ist hier der Entsendestaat, dessen gesetzliche Zuständigkeit bzw. rechtliche Befugnis zur Datenverwendung für den Zweck, sich über Verhältnisse und Entwicklungen im Empfangsstaat zu unterrichten, aus Art. 3 WDK ergibt (siehe oben), denn ohne Datenverarbeitung, d.h. ohne das Festhalten von Informationen über die Verhältnisse und Entwicklungen im Empfangsstaat, ist die Erfüllung dieses Zwecks nicht denkbar.
[23]

Von den Fällen des § 8 DSG, in denen schutzwürdige Geheimhaltungsinteressen als nicht verletzt gelten, sind hier die ausdrückliche gesetzliche Ermächtigung (Z 1) und überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten (Z 4) denkbar. Eine gesetzliche Ermächtigung könnte in Art. 3 WDK gesehen werden, da die WDK in Österreich im Rang eines einfachen Bundesgesetzes steht.38 Fraglich ist jedoch, ob hier das Kriterium der Ausdrücklichkeit erfüllt ist.39

4.3.1.

Interessenabwägung gem. § 8 Abs 1 Z 4 DSG ^

[24]

Wie Art. 3 WDK festlegt, hat der Entsendestaat ein legitimes Interesse, sich mit allen rechtmäßigen Mitteln über die Verhältnisse und Entwicklungen im Empfangsstaat zu unterrichten. Dem steht das Interesse der einzelnen Bürger des Empfangsstaates gegenüber, dass ihre Daten nicht vom Entsendestaat verarbeitet werden. Mittels OSINT werden allerdings nur veröffentlichte Daten erfasst, an deren Geheimhaltung – wenn überhaupt – nur ein geringes Interesse besteht. Dies gilt umso weniger, wenn der Betroffene eine Person des öffentlichen Lebens ist. Je länger die Veröffentlichung der Daten zurückliegt, und je eher jene Daten, die durch Analyse und Kombination der veröffentlichten Daten entstanden sind,40 als neue Daten zu beurteilen sind, desto höher ist das Geheimhaltungsinteresse jedoch wieder einzustufen. Zu berücksichtigen ist auch, ob die Daten im Zuge medialer Berichterstattung, z.B. in der Onlineausgabe einer Zeitung, oder – öffentlich zugänglich – in einem privaten Facebook-Profil veröffentlicht wurden.

[25]
Somit überwiegt i.d.R. bei der Erfassung des aktuellen politischen, wirtschaftlichen, gesellschaftlichen und sonst der medialen Berichterstattung zu entnehmenden Geschehens mittels OSINT das Interesse des Entsendestaates über das Geheimhaltungsinteresse der Betroffenen. Am anderen Ende des Spektrums wird hingegen etwa das systematische Ableiten von Dossiers über Personen, die nicht höchsten politischen Kreisen angehören, aus OSINT-Daten nicht gerechtfertigt sein.

4.3.2.

Die Ausnahme für zulässigerweise veröffentlichte Daten ^

[26]

Für nicht-sensible Daten normiert § 8 Abs. 2 DSG, dass schutzwürdige Geheimhaltungsinteressen bei Verwendung zulässigerweise veröffentlichter Daten als nicht verletzt gelten. Dabei ist allerdings zu beachten, dass die Ausnahme des § 8 Abs. 2 DSG nicht für neue Daten gilt, die durch Kombination aus zulässigerweise veröffentlichten Daten entstehen, die aber selbst nirgends zulässigerweise veröffentlich sind.41 In der Praxis ist die Abgrenzung überaus schwierig, ab wann neue Daten in diesem Sinne vorliegen. Die Erläuterungen zur Regierungsvorlage des DSG merken bezüglich § 8 Abs. 2 DSG an, «da[ss] bei allen Datenanwendungen, die solche Daten enthalten, jeweils die Frage zu stellen ist, ob sie ausschließlich veröffentlichte Daten enthalten (z.B. bei einem elektronischen Telefon-Teilnehmerverzeichnis) oder ob nicht auch zusätzliche, durch Auswertung der veröffentlichten Daten gewonnene Daten in der Datenanwendung enthalten sind, die ihrerseits nirgends veröffentlicht sind.»42

4.3.3.

Sensible Daten ^

[27]
Es ist davon auszugehen, dass unweigerlich auch Daten über die politische Meinung und möglicherweise auch über die rassische und ethnische Herkunft sowie die religiöse Überzeugung von Personen erfasst werden, die als sensible Daten gemäß § 4 Z 2 DSG zu qualifizieren sind. Für sensible Daten sind die Ausnahmetatbestände, bei deren Vorliegen schutzwürdige Geheimhaltungsinteressen als nicht verletzt gelten, in § 9 DSG taxativ aufgezählt. Relevant ist jedenfalls der Fall, dass der Betroffene die Daten offenkundig selbst öffentlich gemacht hat (Z 1). Eine weitere Ausnahme besteht, wenn sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen Interesses dienen (Z 3). Hierbei wäre wie oben auf die WDK zu verweisen, und die durch OSINT verfolgten sicherheits- und außenpolitischen Interessen können grundsätzlich als wichtige öffentliche Interessen erachtet werden,43 da durch die Gewährung der WDK-Rechte in Österreich diese auch reziprok österreichischen diplomatischen Missionen zustehen.

4.3.4.

Daten über strafbare Handlungen oder Unterlassungen ^

[28]

Auch Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen können Gegenstand von OSINT sein. § 8 Abs. 4 DSG zählt taxativ Fälle auf, in denen dies zulässig ist.44 Eine ausdrückliche gesetzliche Ermächtigung zur Verwendung solcher Daten (Z 1) ist in der WDK nicht zu sehen. Bei Qualifikation als Auftraggeber des öffentlichen Bereichs wäre wohl Z 2 – wieder mit einem Verweis auf die WDK – einschlägig. Ansonsten wären – obiger Interessenabwägung folgend – auch hier schutzwürdige Geheimhaltungsinteressen des Betroffenen überwiegende berechtigte Interessen des Auftraggebers (Z 3) denkbar, fraglich ist jedoch, ob und wie von der ausländischen Mission «die Wahrung der Interessen der Betroffenen […] gewährleistet» wird.  

4.3.5.

Zweckbindung ^

[29]

OSINT führt sehr leicht zu einer übermäßigen Datensammlung, sodass über solchen Systemen stets das Damoklesschwert der Verletzung des Zweckbindungsgrundsatzes schwebt. § 6 Abs. 1 Z 2 DSG legt fest, dass Daten nur «für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden» dürfen. Bereits die Datenerhebung, d.h. die Informationsbeschaffung, muss aus einem ausreichend festgelegten, eindeutigen und rechtmäßigen Zweck erfolgen.45 Der Zweckbindungsgrundsatz beschränkt jedenfalls das Ausmaß der zulässigen OSINT-Aktivitäten. Die Datenerhebung muss einem möglichst konkreten, im Zeitpunkt des Erhebens festgelegten Zweck dienen und es dürfen nur jene Daten gespeichert werden, die für diesen Zweck relevant sind, sodass eine wahllose Datensammlung auf Vorrat jedenfalls unzulässig ist.46 «Daten in großen Datenbanken (‹data warehouse›) zu sammeln, um diese zu einem späteren Zeitpunkt nach bestimmten Kriterien zu durchforsten (‹data mining›)»47 ist daher mit dem Zweckbindungsgrundsatz nicht vereinbar.48 Daraus kann abgeleitet werden, dass nur solche Daten erhoben und gespeichert werden dürfen, deren Zweck und Relevanz durch die WDK gedeckt sind. Darüber hinausgehende OSINT-Aktivitäten sind jedenfalls unzulässig.

4.3.6.

Weitere einschlägige Bestimmungen ^

[30]
Gemäß § 49 Abs. 1 DSG darf niemand einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht. Dies ist bei der Datenverarbeitung im Rahmen von OSINT generell zu beachten, für OSINT durch Botschaften jedoch wohl weniger relevant.
[31]
Die Zulässigkeit der Übermittlung der mittels OSINT gesammelten Daten in das Ausland kann auf Grundlage von § 12 Abs. 3 Z. 3 DSG (Grundlage, die im innerstaatlichen Recht den Rang eines Gesetzes hat) i.V.m. Art. 3 Abs. 1 lit. d WDK argumentiert werden. Darüber hinaus sind die Auftraggeberpflichten und Betroffenenrechte des DSG zu erwähnen. Eine uneingeschränkte Anwendung der Meldepflicht (§ 17 DSG), des Auskunftsrechts (§ 26 DSG) etc. würde wohl die Wahrnehmung der Aufgaben der Mission behindern, sodass diese – analog wie in Bezug auf österreichische Behörden – nicht bzw. nicht uneingeschränkt auf ausländische Missionen anzuwenden sind.

5.

Vorläufige Schlussfolgerungen ^

[32]
Diplomatische Missionen müssen sich an nationale Gesetze und andere Rechtsvorschriften halten (Art. 41 WDK). Die Informationsbeschaffung ist grundsätzlich zulässig, es dürfen dafür jedoch nur «rechtmäßige Mittel» verwendet werden (Art. 3 Abs. 1 lit. d WDK). Das österreichische Datenschutzrecht ist materiell anwendbar. Die Wahrnehmung der Aufgaben der Mission darf nicht behindert werden (Art. 25 WDK). Dieser rechtliche Rahmen zur Informationsbeschaffung überlässt es der nationalen Praxis, diese Bestimmungen weiter zu verfeinern.
[33]
Die datenschutzrechtliche Zulässigkeitsprüfung zeigt, dass der Gesetzgeber die Anwendung des DSG auf eine ausländische Mission in Österreich wohl nicht vor Augen hatte, sodass es schwierig ist, das österreichische Datenschutzrecht auf die Aktivitäten einer ausländischen diplomatischen Mission anzuwenden. Jedenfalls ergibt sich, dass selbst das Durchführen von OSINT, das von den USA offiziell bestätigt wird und gegenüber anderen Überwachungsmaßnahmen vergleichsweise harmlos erscheinen mag, datenschutzrechtlich alles andere als unproblematisch ist. Zwar ergeben sich einige Konstellationen, in denen die Erhebung bestimmter Daten zulässig ist – z.B. betreffend zulässigerweise veröffentlichter nicht sensibler Daten –, die wahllose Speicherung von Informationen aus den österreichischen Online-Medien und dem österreichischen Social Web ist aber mangels genereller Zulässigkeitsgründe und aufgrund des Zweckbindungsgrundsatzes jedenfalls unzulässig.
[34]
Die Unverletzlichkeit der Räumlichkeiten (Art. 22 WDK) und der amtlichen Korrespondenz (Art. 27 (2) WDK) der Mission ist zu wahren und die Mission muss ihre Aufgaben zufriedenstellend wahrnehmen können (Art. 25 WDK). Die «Verkehrsdaten» einer Botschaft (d.h. das Stattfinden von Kommunikationsvorgängen) dürften nach ständiger (aber sehr unterschiedlicher) Praxis vom Empfangsstaat überwacht werden. Geheimhaltungsmethoden wie Verschlüsselung sind aber ausdrücklich erlaubt. Bei standardmäßiger IT-Sicherheit ist es daher schwierig herauszufinden, ob eine Mission OSINT einsetzt; man kann dies allenfalls am Ausmaß des Datenverkehrs erkennen. Falls die Mission gegen Gesetze oder anderen Rechtsvorschriften des Empfangsstaates verstößt, darf letzterer Maßnahmen ergreifen, wie den Botschafter ins Außenamt zu zitieren oder in schwerwiegenden Fällen sogar die diplomatischen Beziehungen abzubrechen.
[35]
Die Überprüfung der Einhaltung der Datenschutzbestimmungen ist unserer Auffassung nach Sache des jeweiligen Außenministeriums (eine sogenannte «Technische Frage»). Diese Praxis überlagert bzw. verdrängt anderslautende nationale Bestimmungen. Langfristig ist es natürlich notwendig, dass diese derzeit noch notwendige Praxis durch Beachtung der formalen Vorschriften des nationalen Datenschutzrechts ersetzt wird. Dieses müsste aber dann Sonderbestimmungen für diplomatische Missionen enthalten.

6.

Literatur ^

Best, Richard A. Jr./Cumming, Alfred, Open Source Intelligence (OSINT): Issues for Congress, http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA475067 aufgerufen 6. Dezember 2013 (2007).

Berka, Walter, Die Grundrechte: Grundfreiheiten und Menschenrechte in Österreich, Springer, Wien/New York (1999).

Dammann, Ulrich/Simitis, Spiros, EG-Datenschutzrichtlinie, Nomos, Baden-Baden (1997).

Dohr/Pollirer/Weiss/Knyrim, DSG2, 15. EL, rdb.at aufgerufen 16. Dezember 2013 (2013).

Denza, Eileen, Diplomatic law3, Oxford University Press, Oxford (2008).

Chesterman, Simon, Secret Intelligence. In Max Planck Encyclopedia of Public International Law, http://opil.ouplaw.com/view/10.1093/law:epil/9780199231690/law-9780199231690-e992?rskey=7ko7mc&result‌=1&prd=OPIL aufgerufen 13. Dezember 2013 (2009).

International Law Commission, Report of the International Law Commission covering the work of its tenth session, 28 April to 4 July 1958 (A/3859). In Yearbook of the International Law Commission: 1958, vol. II, http://legal.un.org/ilc/documentation/english/ a_cn4_117.pdf aufgerufen 13. Dezember 2013 (1958).

Jahnel, Dietmar, Handbuch Datenschutzrecht, Sramek, Wien (2010).

Knyrim, Rainer, Datenschutzrecht², Praxishandbuch für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen, Outsourcen, Werben u.v.m., Manz, Wien (2012).

Köck, Heribert Franz, Die Organe des völkerrechtlichen Verkehrs. In Neuhold, Hanspeter/Hummer, Waldemar/Schreuer, Christian (Hrsg.), Österreichisches Handbuch des Völkerrechts4, Band I-Textteil, Manz, Wien, 324–345 (2004).

Kotschy, Waltraut, Das Grundrecht auf Geheimhaltung personenbezogener Daten (Teil I): Rückblick und Ausblick (§ 1 Abs. 1 DSG (1978) bzw. DSG 2000) in Jahnel (Hrsg.) Jahrbuch Datenschutzrecht und E-Government 2012.

Kriebaum, Ursula, Privilegien und Immunitäten im Völkerrecht. In Reinisch, August (Hrsg.), Österreichisches Handbuch des Völkerrechts5, Band I-Textteil, Manz, Wien, 404–421 (2013).

Maciołek, Przemysław/Dobrowolski, Grzegorz, CLUO: Web-scale text mining system for open source intelligence purposes. In Kitowski, Jacek (Hrsg.), Computer Science, 14 (1) 2013, http://journals.agh.edu.pl/csci/article/view/107 aufgerufen 6. Dezember 2013 (2013).

NATO Standardization Agency, NATO Glossary of Terms and Definitions (English and French), http://nsa.nato.int/nsa/zPublic/ap/aap6/AAP-6.pdf aufgerufen 6. Dezember 2013 (2013).

NEWS, «Sind Sie eine Spionin?». Die US-Botschafterin über ihren Freund Obama und ihre Abhörzentrale mitten in Wien, http://www.news.at/a/us-botschafterin-alexa-wesner-spionin aufgerufen 6. Dezember 2013 (2013).

Omand, David et al., #Intelligence, http://www.demos.co.uk/files/_Intelligence_-_web.pdf?1335197327 aufgerufen 6. Dezember 2013 (2012).

Richtsteig, Michael, Wiener Übereinkommen über diplomatische und konsularische Beziehungen2, Nomos, Baden-Baden (2010).

Roberts, Ivor/Satow, Ernest Mason, Satow’s diplomatic practice6, Oxford Press University, Oxford (2009).


 

Erich Schweighofer

Ao. Universitätsprofessor

Schottenbastei 10-16/2/5, 1010 Wien, AT

erich.schweighofer@univie.ac.at; http://rechtsinformatik.univie.ac.at

 

Walter Hötzendorfer

Projektassistent

Schottenbastei 10-16/2/5, 1010 Wien, AT

walter.hötzendorfer@univie.ac.at; http://rechtsinformatik.univie.ac.at

 

Stephan Varga

Wissenschaftlicher Mitarbeiter Universität Wien, Arbeitsgruppe Rechtsinformatik

Schottenbastei 10-16/2/5, 1010 Wien, AT

stephan.varga@univie.ac.at; http://rechtsinformatik.univie.ac.at

 

Janos Böszörmenyi

Projektassistent

Schottenbastei 10-16/2/5, 1010 Wien, AT

janos.böszörmenyi@univie.ac.at; http://rechtsinformatik.univie.ac.at

 


  1. 1 Siehe zu einem anderen Aspekt z.B. Hötzendorfer/Schweighofer, Safe Harbor in der «Post-Snowden-Ära». In: Lück-Schneider/Gordon/Kaiser/von Lucke/Schweighofer/Wimmer/Löhe (Hrsg.): Gemeinsam Electronic Government ziel(gruppen)gerecht gestalten und organisieren. Gemeinsame Fachtagung Verwaltungsinformatik (FTVI) und Fachtagung Rechtsinformatik (FTRI) 2014, GI-Edition Lecture Notes in Informatics, GI, Bonn, S. 123–134 (2014).
  2. 2 NEWS, «Sind Sie eine Spionin?». Die US-Botschafterin über ihren Freund Obama und ihre Abhörzentrale mitten in Wien, http://www.news.at/a/us-botschafterin-alexa-wesner-spionin aufgerufen 6. Dezember 2013 (2014).
  3. 3 National Defense Authorization Act for Fiscal Year 2006, Pub. L. No. 109–163, § 931(a)(1).
  4. 4 NATO Standardization Agency, NATO Glossary of Terms and Definitions (English and French), http://nsa.nato.int/nsa/zPublic/ap/aap6/AAP-6.pdf aufgerufen 6. Dezember 2013 (2013). S. 62, 86, 187.
  5. 5 NATO Standardization Agency, NATO Glossary of Terms and Definitions (English and French), http://nsa.nato.int/nsa/zPublic/ap/aap6/AAP-6.pdf aufgerufen 6. Dezember 2013 (2013). S. 109.
  6. 6 Vgl. Omand et al., #Intelligence, http://www.demos.co.uk/files/_Intelligence_-_web.pdf?1335197327 aufgerufen 6. Dezember 2013 (2012), S. 9.
  7. 7 Vgl. Maciołek /Dobrowolski, CLUO: Web-scale text mining system for open source intelligence purposes. In Kitowski, Jacek (Hrsg.), Computer Science, 14 (1) 2013, http://journals.agh.edu.pl/csci/article/view/107 aufgerufen 6. Dezember 2013 (2013), S. 46.
  8. 8 Vgl. Best/Cumming, Open Source Intelligence (OSINT): Issues for Congress, http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA475067 aufgerufen 6. Dezember 2013 (2007), S. 6 f.
  9. 9 Vgl. Best/Cumming, Open Source Intelligence (OSINT): Issues for Congress, http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA475067 aufgerufen 6. Dezember 2013 (2007), S. 2 f.
  10. 10 Vgl. Maciołek, Przemysław/Dobrowolski, Grzegorz, CLUO: Web-scale text mining system for open source intelligence purposes. In Kitowski (Hrsg.), Computer Science, 14 (1) 2013, http://journals.agh.edu.pl/csci/article/view/107 aufgerufen 6. Dezember 2013 (2013), S. 47–49.
  11. 11 Vgl. International Law Commission, Report of the International Law Commission covering the work of its tenth session, 28 April to 4 July 1958 (A/3859). In Yearbook of the International Law Commission: 1958, vol. II, http://legal.un.org/ilc/documentation/english/a_cn4_117.pdf aufgerufen 13. Dezember 2013 (1958), S. 90.
  12. 12 Vgl. International Law Commission, Report of the International Law Commission covering the work of its tenth session, 28 April to 4 July 1958 (A/3859). In Yearbook of the International Law Commission: 1958, vol. II, http://legal.un.org/ilc/documentation/english/a_cn4_117.pdf aufgerufen 13. Dezember 2013 (1958), S. 96.
  13. 13 Vgl. International Law Commission, Report of the International Law Commission covering the work of its tenth session, 28 April to 4 July 1958 (A/3859). In Yearbook of the International Law Commission: 1958, vol. II, http://legal.un.org/ilc/documentation/english/a_cn4_117.pdf aufgerufen 13. Dezember 2013 (1958), S. 96.
  14. 14 Vgl. Chesterman, Secret Intelligence. In Max Planck Encyclopedia of Public International Law, http://opil.ouplaw.com/view/10.1093/law:epil/9780199231690/law-9780199231690-e992?rskey=7ko7mc&result=1&prd=OPIL aufgerufen 13. Dezember 2013 (2009), S. 3.
  15. 15 Vgl. Denza, Diplomatic law3, Oxford University Press, Oxford (2008), S. 40–41.
  16. 16 BGBl. Nr. 66/1966.
  17. 17 Vgl. Kriebaum, Privilegien und Immunitäten im Völkerrecht. In Reinisch (Hrsg.), Österreichisches Handbuch des Völkerrechts5, Band I-Textteil, Manz, Wien, 404–421 (2013), Rz. 1547.
  18. 18 Vgl. International Law Commission, Report of the International Law Commission covering the work of its tenth session, 28 April to 4 July 1958 (A/3859). In Yearbook of the International Law Commission: 1958, vol. II, http://legal.un.org/ilc/documentation/english/a_cn4_117.pdf aufgerufen 13. Dezember 2013 (1958), S. 104.
  19. 19 Köck, Die Organe des völkerrechtlichen Verkehrs. In Neuhold/Hummer/Schreuer (Hrsg.), Österreichisches Handbuch des Völkerrechts4, Band I-Textteil, Manz, Wien, 324–345 (2004), Rz. 1764.
  20. 20 Kriebaum, Privilegien und Immunitäten im Völkerrecht. In Reinisch (Hrsg.), Österreichisches Handbuch des Völkerrechts5, Band I-Textteil, Manz, Wien, 404–421 (2013), Rz. 1548.
  21. 21 In der Literatur wird hingegen – allerdings ohne Begründung – argumentiert, aus völkerrechtlichen Grundsätzen ergäbe sich, dass das Recht des Empfangsstaates zurücktritt und ausschließlich das Datenschutzrecht des Entsendestaates in der Mission zur Anwendung gelangt. Richtigerweise gilt dies aufgrund von Art. 4 Abs. 1 lit. b DSRL jedoch nur für Vertretungen anderer Mitgliedstaaten. Vgl. Jahnel, Handbuch Datenschutzrecht, Sramek, Wien (2010), RZ 3/21; Dohr/Pollirer/Weiss/Knyrim, DSG2, 15. EL, § 3 Anm. 5 rdb.at aufgerufen 16. Dezember 2013 (4. Juni 2013); Dammann/Simitis, EG-Datenschutzrichtlinie, Nomos, Baden-Baden (1997) Anm. 5 zu Artikel 4.
  22. 22 Vgl. Jahnel, Dietmar, Handbuch Datenschutzrecht, Sramek, Wien (2010), S. 92, Fn. 72.
  23. 23 Vgl. Roberts/Satow, Satow’s diplomatic practice6, Oxford Press University, Oxford (2009), S. 206.
  24. 24 Vgl. International Court of Justice, United States Diplomatic and Consular Staff in Tehran (USA v Iran), Judgement of 24 May 1980, http://www.icj-cij.org/docket/files/64/6291.pdf aufgerufen 13. Dezember 2013 (1980), Rz. 85.
  25. 25 Vgl. Richtsteig, Wiener Übereinkommen über diplomatische und konsularische Beziehungen2, Nomos, Baden-Baden (2010), S. 46 u. 51.
  26. 26 Vgl. Denza, Diplomatic law3, Oxford University Press, Oxford (2008), S. 213.
  27. 27 Vgl. Denza, Diplomatic law3, Oxford University Press, Oxford (2008), S. 226.
  28. 28 Die beiden Termini «zulässigerweise veröffentlichte Daten» (§ 8 Abs. 2 DSG) und «allgemein verfügbare Daten» sind laut Jahnel (Datenschutzrecht, Rz. 2/19) im Ergebnis als Synonyme zu verstehen: Durch zulässige Veröffentlichung werden Daten allgemein verfügbar. Letzteres deckt sich auch mit der Ansicht von Kotschy, die jedoch die Meinung vertritt, dass auch unzulässigerweise veröffentlichte Daten als allgemein Verfügbar im Sinne des § 1 DSG gelten (Kotschy, Das Grundrecht auf Geheimhaltung personenbezogener Daten (Teil I): Rückblick und Ausblick (§ 1 Abs. 1 DSG (1978) bzw. DSG 2000) in Jahnel (Hrsg.) Jahrbuch Datenschutzrecht und E-Government 2012, 27, S. 46).
  29. 29 Konvention zum Schutze der Menschenrechte und Grundfreiheiten (Europäische Menschenrechtskonvention).
  30. 30 EGMR 4. Mai 2000, 28341/95, Rotaru, Rz. 43.
  31. 31 Zu den verschiedenen Arten von Gesetzesvorbehalten siehe z.B. Berka, Grundrechte, Rz. 252.
  32. 32 Vgl. Jahnel 2010, Rz. 2/47.
  33. 33 Dohr/Pollirer/Weiss/Knyrim, DSG, Anm. 29 zu § 1.
  34. 34 OGH 21. Juli 2011, 1 Ob 70/11t m.w.N.
  35. 35 Vgl. Knyrim, Datenschutzrecht2; (2012), S. 86.
  36. 36 Denza, Diplomatic law³ (2008), S. 217.
  37. 37 Vgl. Knyrim, Datenschutzrecht2 (2012), S. 11.
  38. 38 Ob nach den Gesetzen des Entsendestaates eine Ermächtigung besteht kann hingegen hier nicht relevant sein, da dem österr. Gesetzgeber sicherlich nicht unterstellt werden kann, dass er sich hinsichtlich der Zulässigkeit gem. § 8 Abs. 1 Z 1 DSG auf – außerhalb seiner Kontrolle liegende – Akte ausländischer Gesetzgeber stützen wolle.
  39. 39 Vgl. Jahnel, Datenschutzrecht, Rz. 4/30.
  40. 40 Vgl. dazu die Argumentation von Dohr et al. bezüglich § 8 Abs. 2 DSG (Dohr/Pollirer/Weiss/Knyrim, DSG, Anm. 10 zu § 8).
  41. 41 Vgl. Dohr/Pollirer/Weiss/Knyrim, DSG, Anm. 10 zu § 8.
  42. 42 RV betreffend das DSG 2000, 1613 d.B. NR XX. GP zu § 8.
  43. 43 Vgl. Jahnel, Datenschutzrecht, Rz. 4/73.
  44. 44 Nach dem Wortlaut des § 8 Abs. 4 betrifft dies nur Daten, die nicht der Ausnahme des § 8 Abs. 2 unterliegen.
  45. 45 Vgl. Knyrim, Datenschutzrecht2 (2012), S. 77.
  46. 46 Knyrim, Datenschutzrecht2 (2012), S. 77.
  47. 47 Knyrim, Datenschutzrecht2 (2012), S. 77.
  48. 48 Jahnel, Datenschutzrecht, Rz. 4/26.