Datenschutznovelle mit Sicherheitslücken

Die letzte Woche vom Nationalrat beschlossene Datenschutznovelle bringt neue Regeln für die Videoüberwachung und führt erstmals eine - wenn auch zahme - Meldepflicht bei Datenmissbrauch ein. Obwohl auch Kritiker das Gesetz als "Schritt in die richtige Richtung" bezeichnen, vermissen sie Datenschutzbestimmungen für das Internet.

Zwei Jahre war über die Datenschutznovelle verhandelt worden, am vergangenen Freitag wurde sie in etwas abgespeckter Form mit den Stimmen von SPÖ und ÖVP im Nationalrat verabschiedet, am Freitag geht sie durch den Bundesrat.

• Abänderungsantrag

• Nationalratsbeschluss

• Fahrplan der Gesetzesvorlage

Eigentlich sollte die Novelle unter anderem das Grundrecht auf Datenschutz und die einheitliche Zuständigkeit des Bundes für Gesetzgebung und Vollziehung in diesem Bereich regeln. Da diese Punkte eine Verfassungsänderung notwendig machten und die Opposition ihre Stimmen für die dafür erforderliche Zweidrittelmehrheit wegen des Disputs über den Spitzeluntersuchungsausschuss verweigert hatte, wurden diese Punkte in einem kurzfristigen Abänderungsantrag vor der Abstimmung herausgenommen. Übrig blieben nun unter anderem erstmals klare Regeln für die Videoüberwachung.

Videoüberwachung muss genehmigt werden

Die Novelle legt fest, dass grundsätzlich jede private Videoüberwachung bei der Datenschutzkommission (DSK) zur Kontrolle vorab angemeldet, geprüft und protokolliert werden muss.

Es gilt der Verhältnismäßigkeitsgrundsatz. Rechtmäßiger Zweck einer Überwachung sowie der Auswertung und Übermittlung der dabei ermittelten Daten sollen laut Gesetz der Schutz eines überwachten Objekts beziehungsweise einer überwachten Person oder die Erfüllung rechtlicher Sorgfaltspflichten sein. Der "höchstpersönliche Lebensbereich" darf nicht gefilmt werden.

Videoüberwachte Orte und Objekte müssen entsprechend gekennzeichnet sein, außer die Überwachung findet "im Rahmen der Vollziehung hoheitlicher Aufgaben" statt. Von der Anmeldung ausgenommen sind Echtzeitüberwachungen und wenn die "Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt", also etwa einer VHS-Kassette.

Die Überwachung muss außerdem nicht vorab von der DSK kontrolliert werden, wenn der Antragsteller in der Meldung zusagt, die "Videoüberwachungsdaten zu verschlüsseln und unter Hinterlegung des einzigen Schlüssels bei der Datenschutzkommission sicherzustellen, dass eine Auswertung der Videoaufzeichnungen nur im begründeten Anlassfall durch eine bestimmte Stelle stattfindet".

72 Stunden Speicherdauer für Aufnahmen

Die Bilder dürfen - so sie nicht als Beweismittel für den Auftraggeber oder Sicherheitsbehörden benötigt werden - 72 Stunden gespeichert und "nicht automationsunterstützt mit anderen Bilddaten abgeglichen und nicht nach sensiblen Daten als Auswahlkriterium" durchsucht werden. Zutrittskontrollen auf Basis von Bildvergleichen könnten somit rechtswidrig sein.

Auf Verlangen können Betroffene, also Personen, die von einer Videoüberwachung erfasst wurden, unter genauer Angabe von Zeit und Ort eine Kopie der Aufnahme "in einem üblichen technischen Format", das nicht näher spezifiziert wird, verlangen. Bei Echtzeitüberwachung ist das aufgrund der technischen Gegebenheiten naturgemäß nicht möglich.

Ausdrücklich verboten ist auch die Videoüberwachung zum Zweck der Mitarbeiterkontrolle an Arbeitsstätten. Die Installation einer Videokamera am Empfang aus Sicherheitsgründen ist natürlich weiterhin möglich.

Mehr Möglichkeiten für Datenschutzkommission

Neben der Festlegung der Kriterien für die Videoüberwachung wurden weiters die Rechte und Möglichkeiten der Datenschutzkommission (DSK) bei der Durchsetzung des Datenschutzes etwas gestärkt, allerdings ist sie immer noch nicht vollständig unabhängig, wie auch immer wieder von EU-Seite gefordert wird. Die DSK sei durch ihre Unterbesetzung aber ohnedies "richtig ausgehungert", meint Rainer Knyrim, Rechtsanwalt mit Spezialisierung auf Datenschutz, gegenüber ORF.at, und schaffe es bereits jetzt nicht mehr, Stichproben zu machen und somit ihrer Arbeit nachzugehen.

Die ARGE Daten kritisiert an der aktuellen Novelle unter anderem, dass nicht jede Form von personenbezogener Bildaufzeichnung geregelt wurde, und Paragraf 24 Abs 2a nur eine Meldepflicht bei Schaden, nicht aber bei einer grundsätzlichen Rechtsverletzung vorsieht.

• ARGE Daten

"Revolutionäre" Informationspflicht bei Missbrauch

Er sieht in der aktuellen Novelle grundsätzlich einen guten Schritt in die richtige Richtung, auch wenn er eigentlich zu klein sei. Als "revolutionär" bezeichnet Knyrim dafür Paragraf 24 Abs 2a, der eine Informationspflicht im Falle von Datenmissbrauch vorsieht: "Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert."

Obwohl Österreich damit nach Deutschland Vorreiter in Sachen Auskunftspflicht sei, könne man diesen Abschnitt durchaus als Gummiparagrafen bezeichnen, da er "viele dehnbare Begriffe" beinhalte, die nicht glücklich gewählt seien, wie Knyrim meint. So lässt etwa "geringfügiger Schaden" genügend Interpretationspielraum offen, außerdem gebe es keine Verpflichtung, einen Datenmissbrauch bei der DSK zu melden. Knyrim bemängelt zudem, dass der Arbeitnehmerdatenschutz und der Datenschutz im Internet von der Novelle vollkommen ausgeklammert wurden.

Weitere Novellen stehen an

Johann Maier (SPÖ), Vorsitzender des Datenschutzrates, gab gegenüber ORF.at zu, dass Paragraf 24 Absatz 2a verbesserungswürdig sei, vom Verhandlungspartner ÖVP sei aber nicht mehr rauszuholen gewesen. "Ich bin froh, dass wir sie so durchgebracht haben", so Maier. Über den Arbeitnehmerdatenschutz soll kommendes Jahr erneut diskutiert werden, zudem hofft Maier, dass die Opposition ihre Blockade aufgebe und die Verfassungsbestimmungen 2010 beschlossen werden können.

Angesprochen auf die fehlenden Datenschutzregeln für das Internet meinte Maier, diese könnten im DSG nicht geregelt werden, da diese vom kürzlich auf EU-Ebene beschlossenen Telekompaket abgedeckt werden. Bei dessen Umsetzung müsse nun überhaupt zuerst die Frage geklärt werden, ob sie im DSG oder im Telekomgesetz (TKG) zu regeln sind.

Außerdem stünden unter anderem noch die Umsetzung des Lissabon-Vertrags und des Stockholm-Programms an, die ebenfalls jeweils Änderungen für den EU-weit geltenden Datenschutz mit sich bringen. Und dann sei noch die Entscheidung des deutschen Bundesverfassungsgerichts über die Verfassungsmäßigkeit der in Deutschland bereits in Kraft getretenen Vorratsdatenspeicherung abzuwarten. "Es wird aufgrund der vielen EU-Entwicklungen noch weitere Novellen geben", sagte Maier.

"Wenigstens gibt es Rechtssicherheit"

Hans-Jürgen Pollirer, Obmann der Bundessparte Information und Consulting der Wirtschaftskammer Österreich (WKÖ), findet es schade, dass es eine einheitliche Kompetenzenregelung in Sachen Datenschutz zwischen Bund und Länder nicht in die Novelle geschafft hat. Die Regelung der Videoüberwachung in der jetzigen Form sei aber in Ordnung: "Wenigstens gibt es Rechtssicherheit." 72 Stunden seien der WKÖ zwar zu wenig, "aber damit können wir leben". Ein Problem sieht er, wie auch Knyrim, allerdings im nun verbotenen automatisierten Bildabgleich: "Damit müssten die Zutrittskontrollen an Flughäfen eigentlich abgeschaltet werden", so Pollirer.

Mehr zum Thema:

• Regierung bringt Datenschutznovelle durch

• Datenschutzgesetz-Novelle in Begutachtung

• Forderung nach strengerem Datenschutz

• Weiter Kritik an Datenschutznovelle

(futurezone/Nadja Igler)