|
Starker Anstieg von Genehmigungen im internationalen Datenverkehr
Wien (pk) - Bei der Datenschutzbehörde sind im Jahr 2016 180 Individualbeschwerden eingelangt. Außerdem
wurden 430 Kontroll- und Ombudsmannverfahren eingeleitet und in rund 2.000 Fällen Rechtsauskünfte erteilt.
Diese Zahlen sind dem Datenschutzbericht 2016 zu entnehmen, den Kanzleramtsminister Thomas Drozda dem Nationalrat
vorgelegt hat. Damit bewegt man sich in der Größenordnung der letzten Jahre. Signifikant gestiegen sind
die Genehmigungen im internationalen Datenverkehr, hier schlug die Aufhebung der so genannten Safe-Harbor-Regelung
durch den Europäischen Gerichtshof (EuGH) durch. Eine große aktuelle Herausforderung für die Behörde
ist die neue Datenschutzgrundverordnung der EU, die im Mai 2018 in Kraft treten wird.
Positiv vermerkt die Leiterin der Datenschutzbehörde Andrea Jelinek, dass das Bewusstsein für den Datenschutz
in den letzten Jahren merklich gestiegen ist. In diesem Sinn gibt es auch großes Interesse an der Expertise
der Behörde, was notwendige Vorbereitungsschritte von Unternehmen und öffentlichen Einrichtungen zur
Umsetzung der EU-Datenschutzgrundverordnung betrifft. Die Behörde selbst wird laut Jelinek trotz des Wegfalls
des Datenverarbeitungsregisters künftig zusätzliches Personal benötigen, in welchem Umfang wird
erst dann feststehen, wenn der Entwurf für ein nationales Datenschutzgesetz vorliegt.
Mobilfunkbetreiber muss Kunden Standtortdaten von Handys nicht bekanntgeben
An die Datenschutzbehörde können sich Personen wenden, die ihre datenschutzrechtlichen Rechte durch die
Tätigkeit eines Dritten, etwa eines Unternehmens, eines Nachbarn oder einer Behörde, verletzt sehen,
wobei ein formelles Beschwerdeverfahren im privaten Bereich nur dann zulässig ist, wenn Auskünfte über
gespeicherte bzw. verarbeitete Daten verweigert werden. Gegenüber der öffentlichen Verwaltung kann auch
das Recht auf Geheimhaltung, Löschung oder Richtigstellung geltend gemacht werden. Die Datenschutzbehörde
schreitet allerdings erst dann ein, wenn man zuvor vergeblich versucht hat, seine Rechte durchzusetzen.
Besonders relevante Beschwerdeentscheidungen werden von der Datenschutzbehörde im Rechtsinformationssystem
des Bundes (RIS) veröffentlicht und sind auch im Bericht dokumentiert. So hat die Behörde etwa die Beschwerde
gegen einen Mobilfunkbetreiber abgewiesen, der sich geweigert hatte, einer Kundin die gespeicherten Standortdaten
für zwei ihrer Handys in einem bestimmten Zeitraum bekanntzugeben. Das Telekommunikationsgesetz sehe nur das
Recht auf Erhalt eines Einzelentgeltnachweises vor, zudem sei nicht feststellbar gewesen, dass die Kundin im Zeitraum,
für den sie Auskunft verlangte, stets die tatsächliche Nutzerin der Handys war, wird in der Begründung
der Entscheidung festgehalten.
Der Beschwerde eines Mannes, dem von einem Wirtschaftsauskunftsdienst Informationen über das Zustandekommen
seiner – automatisiert durchgeführten – Bonitätsbeurteilung vorenthalten wurden, gab die Behörde
hingegen statt. Auch eine Beschwerde gegen die Präsidentin eines Landesverwaltungsgerichts wegen Verletzung
des Geheimhaltungsrechts durch die unvollständige Pseudonymisierung einer dokumentierten Entscheidung war,
zumindest in erster Instanz, erfolgreich.
Insgesamt hat die Datenschutzbehörde im vergangenen Jahr 173 formelle Beschweredev erfahren abgeschlossen
und 122 Bescheide ausgestellt. 51 Verfahren wurden eingestellt. Die Bescheide der Datenschutzbehörde können
beim Bundesverwaltungsgericht bekämpft werden, laut Bericht wurden 2016 34 derartige Verfahren eingeleitet.
Kampf gegen Schwarzarbeit: Datenschutzbehörde bremst Wirtschaftskammern
Höher als die Zahl der Individualbeschwerden ist die Zahl der Kontroll- und Ombudsmannverfahren, die die Datenschutzbehörde
weitgehend formlos führt und deren Ziel es ist, eine datenschutzrechtlich zufriedenstellende Situation zu
erreichen. 2016 hat die Behörde 340 solcher Verfahren über Antrag und 90 von sich aus eingeleitet. Meist
werden in Folge solcher Verfahren Empfehlungen ausgesprochen. Die Behörde hat etwa der Wirtschaftskammer Tirol
empfohlen, die Ermittlung und Speicherung von Daten (Fotos und Personalien) zum Zweck der Aufdeckung von Schwarzarbeit
und illegaler Gewerbeausübung zu unterlassen, weil es keine gesetzliche Berechtigung zur Durchführung
solcher Kontrollen durch die Wirtschaftskammern gibt.
Amtswegig geprüft wurden unter anderem fünf öffentliche Krankenanstaltenträger in fünf
Bundesländern. Dabei wurde festgestellt, dass datenschutzrechtliche Bestimmungen im überwiegenden Ausmaß
eingehalten werden und der Schutz personenbezogener Daten fester Bestandteil interner Verfahrensabläufe ist.
Dennoch gab es einige Empfehlungen, etwa was mangelnde Löschungsroutinen von Patientendaten, unzureichende
Kontrollen der Zugriffe auf Patientendaten und überschießende Videoüberwachungen betrifft.
BodyCams für ÖBB-MitarbeiterInnen
Neu im Datenverarbeitungsregister registriert wurde unter anderem die Verwendung so genannter "BodyCams"
durch SicherheitsmitarbeiterInnen der ÖBB. Sie sollen dazu dienen, Übergriffe auf das Bahnpersonal zu
reduzieren, wobei gefilmte Personen vor Aktivierung der Aufzeichnung ausdrücklich in Kenntnis gesetzt werden
und auch weitere Restriktionen gelten. Auch die Landespolizeidirektion Wien hat die Verwendung von Körperkameras,
diesfalls mit Bild- und Tonaufzeichnung, angezeigt.
Nur mit Auflagen zugelassen wurde ein zentrales Informationssystem der österreichischen Versicherungswirtschaft
im Bereich der Kranken- und Lebensversicherung. In diesem System sollen insbesondere Daten von Personen gespeichert
werden, deren Antrag auf Versicherungsabschluss auf Dauer oder vorübergehend abgelehnt wurde. Untersagt wurde
hingegen die Videoüberwachung eines Teilabschnitts einer Bundesstraße durch einen österreichischen
Flughafenbetreiber – die Straße führt unter einer Landebahn durch.
Starker Anstieg bei Genehmigungen im internationalen Datenverkehr
Den verzeichneten starken Anstieg von Anträgen auf Genehmigungen im internationalen Datenverkehr führt
die Datenschutzbehörde nicht zuletzt auf die Aufhebung der Safe-Harbor-Regelung durch den Europäischen
Gerichtshof (EuGH) im Oktober 2015 zurück. Zwar gibt es mit dem "EU-US-Privacy-Shield" seit Juli
2016 eine Nachfolgeregelung, die es wieder erlaubt, personenbezogene Daten genehmigungsfrei an bestimmte – zertifizierte
– US-Unternehmen weiterzugeben, allerdings gibt es hier offenbar größere Informationslücken. Die
Datenschutzbehörde hat mehrfach Antragsteller darauf hinweisen müssen, dass ein Empfänger in den
USA unter die Regelung des Datenschutzschilds fällt und daher keine Genehmigung erforderlich ist.
Wie im Bericht ausgeführt wird, enthält der neue "EU-US-Privacy-Shield" klare Schutzvorkehrungen
und Transparenzpflichten, was den Zugriff von US-Behörden auf die an US-Unternehmen übermittelten Daten
betrifft. Zudem wurden die Rechtsschutzmechanismen für EU-BürgerInnen verbessert. Ihnen stehen bei vermeintlichem
Datenmissbrauch nunmehr mehrere Möglichkeiten der Streitbeilegung offen, Einzelpersonen können sich auch
an die jeweilige nationale Datenschutzbehörde wenden. Für Rechtsschutzbegehren, die den Bereich der nationalen
Sicherheit betreffen, hat das US-Außenministerium eine Ombudsstelle eingerichtet.
Dynamische IP-Adressen können personenbezogenes Datum sein
Ein eigenes Kapitel im Datenschutzbericht widmet sich höchstgerichtlichen Entscheidungen im Bereich des
Datenschutzes. Der Verwaltungsgerichtshof (VwGH) hat im Berichtszeitraum unter anderem klargestellt, dass auch
jene so genannten "Dashcams" im Auto, die nicht automatisch, sondern erst bei Auslösen eines – jederzeit
aktivierbaren – Notfallknopfs Geschehnisse außerhalb des Autos aufzeichnen, unzulässig sind. Das Recht
auf Auskunft erlischt laut VwGH mit dem Tod der betroffenen Person: Dem Masseverwalter eines verstorbenen Rechtsanwalts
wurde daher rechtmäßig eine Auskunft im Zusammenhang mit dessen Bonität verweigert.
Gemäß einer Entscheidung des Europäischen Gerichtshofs (EuGH) handelt es sich bei dynamischen IP-Adressen
dann um ein "personenbezogenes Datum", wenn der Internet-Provider über weitere zusätzliche
Daten verfügt, die die Identifizierung des Nutzers der IP-Adresse ermöglichen. Zudem hat er festgestellt,
dass eine Vorratsdatenspeicherung für Zwecke der Bekämpfung schwerer Kriminalität unter Beachtung
gewisser Kriterien zulässig sein kann.
Was die europäische Zusammenarbeit betrifft, berichtet die Datenschutzbehörde unter anderem über
den Beschluss, die Erstellung einer Website von Europol mit Fahndungsausschreibungen aus allen EU-Mitgliedsländern
zu prüfen. Zudem weist sie auf das Vorhaben der EU-Kommission hin, das "Eurodac"-System auszuweiten.
Dieses ermöglicht es den Mitgliedstaaten der EU, anhand von Fingerabdrücken festzustellen, ob ein Fremder
bereits in einem anderen Mitgliedstaat Asyl beantragt hat oder ob ein Asylwerber illegal in die EU eingereist ist.
Ausstellung von 200 Millionen bereichsspezifischen Personenkennzeichen
In ihrer Funktion als Stammzahlenregisterbehörde hat die Datenschutzbehörde im vergangenen Jahr mehr
als 200 Millionen bereichsspezifische Personenkennzeichen (bPK) ausgestellt. Das entspricht einer Steigerung von
50% gegenüber 2015. Hauptgrund für diesen Anstieg ist die Erstausstattung der heimischen Kreditinstitute
für Meldungen in das neue Kontenregister. In diesem Zusammenhang wurden mehr als 83 Millionen Datensätze
für 640 Banken verarbeitet. Auch für die Umsetzung der neuen Bestimmungen zur steuerlichen Absetzbarkeit
von Spenden – künftig müssen Spendenorganisationen Name und Geburtsdatum der Spender erfassen – war die
Entwicklung neuer technischer Konzepte erforderlich.
Insgesamt hat die Stammzahlenregisterbehörde in ihrem 12jährigen Bestehen bereits mehr als eine Milliarde
bereichsspezifische Personenkennzeichen berechnet. Derartige Personenkennzeichen sind Voraussetzung für die
Verwendung elektronischer Signaturen wie der Bürgerkarte oder der Handysignatur. Über die zur Verfügung
gestellten Schnittstellen laufen monatlich 3,3 Milliarden Abfragen.
|
