Mit 23. Juni 2017 endete die Begutachtung zum Datenschutz-Anpassungsgesetz 2018. Die ARGE DATEN hat in ihrer ausführlichen Stellungnahme zahlreiche Mängel und Widersprüche aufgelistet und Lösungsvorschläge erarbeitet (http://ftp.freenet.at/privacy/gesetze/stellungnahme-dsg-2018.pdf).

Fehlende Scoringregelung
Seit 2009 ist der österreichische Gesetzgeber säumig. Trotz einer parlamentarischen Entschließung, trotz eines umfassenden Justizskandals um entwendete Exekutionsdaten, der mehreren Millionen ÖsterreicherInnen schadete und trotz immer dubioser werdender Scoring- und Bonitätsbewertungsmethoden, hat der Gesetzgeber die Chance zur Sanierung dieser Rechtslücke verpasst.

Dr. Hans G. Zeger (Foto: Georg Lembergh)

Hans G. Zeger, Obmann ARGE DATEN: „Gerade im Big-Data-Zeitalter ist es besonders wichtig der willkürlichen Bewertung und Interpretation harmloser Bürgerdaten einen Riegel vorzuschieben. Es besteht sonst die unmittelbare Gefahr, dass aus der permanenten Auswertung und Interpretation des Bürgerverhaltens Einschränkungen sowohl in der Meinungsbildung, als auch in den Konsummöglichkeiten erfolgen.“ Nicht bloß zielgerichtete Werbung, sondern auch individualisierte politische Aussagen, individualisierte Preis- und Vertragsgestaltung und personalisierte Berichterstattung sind heute schon möglich. Den Bürgern droht der Verlust der eigenen freien Lebensgestaltung.

Österreich könnte sich das deutsche Datenschutzanpassungs-Gesetz zum Vorbild nehmen. Hier wurde dieser Rechtsmissstand behoben.

Whistleblowing-Hotlines droht das AUS
Der Entwurf hat es auch verabsäumt die bestehenden und sehr effektiven Whistleblowing-Plattformen auf eine ordentliche rechtliche Basis zu stellen. Gemäß der europäischen Datenschutzbestimmungen (DSGVO) dürfen Datenverarbeitungen zu Straftaten nur unter behördlicher Aufsicht unternommen werden. Wie diese Aufsicht bei Whistleblowing-Hotlines auszusehen hat, ist im Entwurf NICHT geregelt.

Freibrief zum Datenmissbrauch für Behörden und „öffentliche Stellen“
Gesetzlich festgeschrieben werden soll die völlige Straffreiheit von Behörden, ein geradezu absurdes Ansinnen. Hans G. Zeger: „Frei nach dem alten Feudalmotto, eine Behörde kann sich niemals irren, schreibt der Entwurf gleich die generelle Straffreiheit der Behörden fest. Das ist offensichtlich Gleichheitswidrig.“

Zusätzlich ärgerlich ist, dass der Begriff der ‚öffentlichen Stellen‘ nicht definiert ist und Begehrlichkeiten vieler (parteinaher) Organisationen weckt. Es passt ins Bild, dass in zahlreichen Stellungnahmen von Vereinen diese Straffreiheit auch für ihre Tätigkeit reklamiert wurde.

Missglückte Regelung der Videoüberwachung
Missglückt ist auch die Regelung der Videoüberwachung. Unter dem irreführenden Titel „Bildaufnahmen“ wird auch eine Erlaubnis von Tonaufzeichnungen geschaffen. Der Entwurf übersieht dabei, dass Tonaufzeichnungen unter strengen strafrechtlichen Sanktionen stehen. Auch die geplanten Ausnahmen von der Kennzeichnungspflicht bei der Videoüberwachung sind nicht DSGVO-konform. Offenbar wurde dem Drängen der Detektei-Lobby nachgegeben.

Videoüberwachung sollte weiterhin geregelt werden. Jedoch als Technik die der fortlaufenden Beobachtung von Menschen dient, jedenfalls einer strengen Datenschutzfolgenabschätzung unterliegen.

Verfassungsrechtlicher Historismus
Gut gemeint ist nicht immer gut getan. So findet sich im § 1 des Entwurfs ein verfassungsrechtlicher Verweis auf die Europäische Menschenrechtskonvention (EMRK). Dieser Passus wurde mehr oder minder unverändert aus dem DSG 1978 und dann DSG 2000 übernommen. Er übersieht jedoch, dass es seit 2009 eine zwingende verfassungsrechtliche Norm direkt zum Datenschutz gibt. Die EU-Grundrechtecharta normiert im Artikel 8 ausdrücklich Datenschutz. Der geplante § 1 bringt daher keinerlei grundrechtlichen Mehrwert, steht aber mit seiner veralteten Formulierung im Konflikt mit der EU-Grundrechtecharta, die vorrangig ist. Bei allem Verständnis für Historisches empfiehlt die ARGE DATEN diesen Passus zu streichen.

Weitere Problemfelder
Zusätzlich hat die ARGE DATEN weitere Problemfelder, wie unklare Befugnisse der Datenschutzbehörde, unzulässige Beschränkung des Datenschutzbeauftragten im öffentlichen Bereich, fehlerhafte Durchführungsbestimmungen und unklare Vertretungsregelung von Betroffenen durch Datenschutzorganisationen in der Stellungnahme angeführt.

Darüber hinaus wurden in den knapp 100 weiteren Stellungnahmen noch zahlreiche weitere Mängel angeführt, unter anderem unklare Regelungen zur Verwendung von Daten für Wissenschaft und Forschung.

Gänzlich missglückt ist der Versuch, die hohen Strafdrohungen der DSGVO als reine Verwaltungsstrafen abzuwickeln. Dazu bestehen erhebliche verfassungsrechtliche Bedenken.

Hans G. Zeger: „Die verfassungsrechtlich bedenkliche Lösung die hohen Datenschutzstrafen als reine Verwaltungsstrafen abzuhandeln lässt nur einen höchst fragwürdigen Schluss zu. Möglicherweise hat der Gesetzgeber gar nicht vor das volle Strafausmaß auszuschöpfen und erwartet bei Strafverhängung eine Aufhebung in letzter Instanz. Damit wäre für Private und Behörden wieder Gleichheit hergestellt, jedoch entgegen den EU-Vorgaben.“

Zurück an den Start
Österreich ist bei der Umsetzung der Datenschutz-Grundverordnung reichlich spät dran. Trotz dieser Verspätung ist der Entwurf überraschend unausgegoren, eine Neufassung wäre sinnvoll.

Damit wäre aber am 25. Mai 2018 ein geordneter Start ins neue Datenschutzzeitalter nicht mehr möglich. Das Parlament ist daher gefordert – notfalls mit Sondersitzung – raschest die wichtigsten Nachbesserungen zu machen. Dann könnten im Frühherbst die notwendigen Verordnungen erlassen werden und Österreichs Betriebe hätten zumindest minimale Rechtssicherheit.

Jetzt gründlich vorbereiten
Unabhängig von den Problemen um das österreichische Anpassungsgesetz ist klar:
Am 25. Mai 2018 MUSS das europäische Datenschutzrecht angewandt werden, MIT oder OHNE österreichische Anpassung. Es laufen daher die Vorbereitungen der ARGE DATEN auf diese neue Datenschutzära auf Hochtouren.

Am 18., 19. und 21. September 2017 haben alle Interessierten Gelegenheit in einem Intensivseminar die Neuerungen der DSGVO kennen zu lernen.
Anmeldung: http://seminar.e-monitoring.at/DSAG2018

Am 5. Oktober 2017 werden im Rahmen einer eintägigen Tagung nationale und internationale Experten die Auswirkungen der DSGVO auf Österreichs Betriebe analysieren.
Anmeldung: http://seminar.e-monitoring.at/betrieb2017

Weitgehend abgeschlossen ist auch ein praxisnahes Konzept zur Umsetzung der geforderten Datenschutz-Folgenabschätzung. Im Herbst wird es der Öffentlichkeit vorgestellt.

23.6.2017, www.argedaten.at