Problemkind Datenschutzbehörde

Anlaufstelle für Datenschutzangelegenheiten – ob die Registrierung einer Überwachungskamera oder eine Beschwerde über den Missbrauch der persönlichen Daten – ist in Österreich die Datenschutzkommission (DSK). Ihr werden eingeschränkte Befugnisse, schlechte Ausstattung und vor allem mangelnde Unabhängigkeit vorgeworfen. Die Reformbemühungen schreiten jedoch nur zäh voran.

Kein gutes Zeugnis erhielt die österreichische Behörde für Datenschutzangelegenheiten von der in Wien beheimateten EU-Grundrechteagentur FRA (European Union Agency for Fundamental Rights). In dem im vergangenen Mai veröffentlichten Jahresbericht über die nationalen Datenschutzbehörden im EU-Raum kam die Agentur zu dem Schluss, dass es in Österreich einige Mängel zu beheben gebe.

Im Blickfeld der Studie standen vor allem die personellen und finanziellen Ressourcen, die Unabhängigkeit der nationalen Behörden und mit welchen Befugnissen sie ausgestattet sind.

Mehr zum Thema:

• Kritik an EU-Datenschutzbehörden

• FRA-Jahresbericht 2010

Letztere fielen der FRA in Österreich negativ auf: Die DSK verfüge nur über eingeschränkte Befugnisse, da sie ihre Entscheidungen nicht durchsetzen könne. Die Behörde könne zwar Datenschutzverletzungen feststellen, diese aber nicht sanktionieren. Eine für ihren nachlässigen Umgang mit Daten kritisierte Institution könne etwa von der DSK nicht gezwungen werden, ihr ungesetzliches Verhalten zu beenden.

Mehr zum Thema:

Der Europäische Gerichtshof (EuGH) hat der EU-Kommission in einem Rechtsstreit gegen Deutschland im März dieses Jahres recht gegeben. Der Meinung des Höchstgerichts zufolge sind die deutschen Datenschützer vom Staat nicht unabhängig genug, weil sie staatlicher Aufsicht unterstellt seien. EU-Datenschützer Peter Hustinx begrüßte das Urteil als "wichtig für alle Datenschutzbehörden in den EU-Mitgliedsländern".

• EuGH: Mehr Freiheit für Datenschützer

Mangelnde Unabhängigkeit

Laut der europäischen Datenschutzrichtlinie 95/46/EG muss jeder Mitgliedsstaat über eine unabhängige Datenschutzbehörde verfügen, die über die Einhaltung des Datenschutzes im Lande wacht. In Österreich sei hingegen die DSK, die im Bundeskanzleramt angesiedelt ist, zu eng mit der Regierung verknüpft, so der FRA-Bericht. Dadurch sei es für die Behörde schwierig, sich den Weisungen der Regierung im Bedarfsfall zu widersetzen bzw. diese zu kritisieren.

Und schließlich fehle es der Behörde auch an personellen und finanziellen Mitteln in Österreich, so dass sie ihre Aufgaben nicht in vollem Ausmaß wahrnehmen könne. Ein Missstand der wiederum die Grundrechte von Betroffenen gefährde, so der Bericht. Derzeit verfügt die DSK über 20 Planstellen. 11,5 davon fallen auf das Datenverarbeitungsregister (DVR) und 8,5 auf den restlichen Teil der Geschäftsstelle.

Studie: Österreicher über Datenschutz

Mehr zum Thema:

• Österreicher für strengeren Datenschutz

• Oekonsult-Studie

Laut einer Umfrage des Instituts Oekonsult vom Mai sehen das auch die Österreicher großteils so: 68 Prozent der Befragten sind der Meinung, dass die heimischen Behörden zum Schutz von Datenmissbrauch und Cyberkriminalität nur über unzureichende budgetäre, technische und personelle Mittel verfügen.

Dementsprechend ohnmächtig fühlen sich auch die einzelnen Österreicher gegenüber Situationen, in denen personenbezogene Daten missbräuchlich verwendet wurden. 85 Prozent der Befragten meinten, dass sie sich "hilf- und machtlos fühlen", wenn es um die Durchsetzung des individuellen Datenschutzes gegenüber Konzernen geht. Und schließlich ist den Bürgern auch die Datenschutzmaterie viel zu kompliziert. Knapp 58 Prozent distanzieren sich vom Thema und wollen sich auch gar nicht allzu sehr damit belasten.

Mehr zum Thema:

• Datenschutz: Österreich vor EuGH-Verfahren

EU untersucht Unabhängigkeit Österreichs

Die Österreichische Gesellschaft für Datenschutz, ARGE Daten, hat 2005 eine Beschwerde bei der EU-Kommission eingereicht, wonach der DSK mangelnde Unabhängigkeit von Regierung und Staat vorgeworfen wird. Seitdem führt die Kommission ein Vertragsverletzungsverfahren gegen Österreich.

Zuletzt - im November 2009 - stellte die Kommission in einem Schreiben an das BKA fest, dass die "Sicherstellung der Unabhängigkeit der Datenschutzbehörden unzureichend ist", so ARGE-Daten-Chef Zeger. Die Regierung bekam eine zweimonatige Frist zur Stellungnahme, ansonsten würde eine Klage beim EuGH drohen. Passiert ist bis dato nichts. Auf Anfrage des ORF.at bei der zuständigen Sachbearbeiterin in der EU-Kommission hieß es: "Das Vertragsverletzungsverfahren gegen Österreich ist weiterhin offen und die Kommission bearbeitet diesen Fall."

"Langsame Mühlen"

"Die EU-Mühlen mahlen langsam, im Augenblick scheint die angedrohte Klage auf Eis gelegt zu sein", meinte Zeger gegenüber ORF.at. Dafür könne es mehrere Gründe geben. Zum einen die Ende 2009 beschlossene Novelle des Datenschutzgesetzes (DSG), die nach zweijährigen Verhandlungen jedoch nur noch in abgespeckter Form durchgebracht werden konnte. Zeger kritisiert, dass auch diese Reform keine unabhängige Datenschutzbehörde gebracht habe.

• DSK

Zum anderen gab es personelle Änderungen in der DSK, die vor der Kommission als Rechtfertigung für eine unabhängige Behörde eingereicht worden sein könnten, meinte Zeger. Geschäftsführerin Waltraut Kotschy wurde mit 1. Juli in ihrem Amt von Eva Souhrada-Kirchmayer abgelöst. Insbesondere an der ehemaligen Geschäftsführerin Kotschy gab es Kritik seitens der ARGE Daten: "Sie hat als Leiterin der Abteilung Datenschutz im BKA gearbeitet, d. h. am Vormittag Bescheide erlaubt und am Nachmittag dagegen Beschwerde erheben müssen."

Personelle Verflechtungen

Kotschys Abgang war jedoch ein "natürlicher", nach jahrzehntelanger Tätigkeit in der Datenschutzkommission ging sie in die Pension. Nachdem Souhrada-Kirchmayer zuvor DSK-Ersatzmitglied war, wurde auch dieser Posten neu besetzt. Doch "die gesamte DSK ist nicht unabhängig, weil sie personell und organisatorisch mit dem BKA verflochten ist", sagte Zeger. Von Souhrada-Kirchmayer erwarte er sich eine Verbesserung in der Beobachtung des Datenschutzes in Österreich. "Sie genießt ein Vorschussvertrauen."

Zeger wünscht sich eine "ausreichend besetzte" DSK, mit eigenem Budget und 40 bis 50 Mitarbeitern. Das Personal sollte über Fachkenntnisse im rechtlichen wie auch technischen Bereich verfügen. Und "die Behörde soll unmittelbar dem Nationalrat verantwortlich sein, ähnlich dem Rechnungshof". Zudem ließe sich der Bereich Datenschutz noch bürokratisch vereinfachen. Als Beispiel nennt Zeger Deutschland oder Schweden, wo etwa Firmen mit eigenem Datenschutzbeauftragten von einer Registrierungspflicht entbunden seien.

Souhrada keine Bedenken

Die neue DSK-Geschäftsführerin wehrte sich gegen Zegers Vorwürfe, die Behörde sei nicht unabhängig. Bereits 2004 habe es eine Trennung der Abteilung Datenschutz im BKA gegeben. "Eine Abteilung befasst sich mit der Legistik, die zweite arbeitet ausschließlich für den Datenschutz", so Souhrada-Kirchmayer. Und schließlich müsse die DSK "irgendwo angesiedelt sein", die nahe Verbindung zum BKA sei ihrer Meinung nach kein Problem.

• DSK-Datenschutzbericht 2007-2009

Was das Personal betrifft, zeigt sich Souhrada-Kirchmayer optimistisch. Das in der DSG-Novelle 2010 neu angelegte Verfahren für die Registrierung von Meldungen an das Datenverarbeitungsregister würde eine Entlastung bringen. Denn künftig würden nur mehr vorabkontrollpflichtige Datenanwendungen von der DSK inhaltlich geprüft. Erfahrungsgemäß seien das etwa die Hälfte aller gemeldeten Datenanwendung, wie der im August veröffentlichte Datenschutzbericht 2009 der DSK informiert.

DSK-Bericht kritisiert Verhältnisse

Im Bericht, der noch unter Waltraut Kotschys Leitung erstellt wurde, finden sich hingegen einige Kritikpunkte zur Gestaltung der DSK. An Personal würde es sehr wohl mangeln und die DSG-Novelle müsse nicht unbedingt für eine Entlastung sorgen. Die frei werdenden Kapazitäten würden eher ein "Gleichgewicht zwischen Arbeitsanfall und Erledigungskapazität herstellen", so der Bericht. Zudem würden die wichtigsten Arbeiten auf der EU-Ebene "durch besondere Anstrengungen gerade noch möglich" sein.

Erste Anzeichen für einen ernsthaften Schritt in Richtung unabhängige Datenschutzbehörde wagte die Bundesregierung mit der Ankündigung, die DSK im Zuge der Verwaltungsgerichtsbarkeitsnovelle 2010 auflösen zu wollen und die DSK-Agenden künftig einem "Verwaltungsgericht des Bundes" zu überlassen.

Verwaiste DSK-Kompetenzen

Die Krux dabei: Der "weit überwiegende" Teil der DSK-Kompetenzen ist nicht "gerichtsfähig", so der DSK-Bericht. Beim Großteil handle es sich um informellen Rechtsschutz oder vorbeugenden Rechtsschutz durch die Kontrolle von Datenanwendungen, die unabhängig vom Vorliegen von Beschwerden seien. Im Endeffekt würden "bestenfalls zehn Prozent der Tätigkeit der DSK überhaupt für eine Übertragung auf die Verwaltungsgerichte infrage kommen", denn für Aufgaben wie Rechtsberatung, Führung des Datenverarbeitungsregisters oder Ombudsmannverfahren seien diese nicht die geeignete Institution.

Der Entwurf für die Reform der Verwaltungsgerichtsbarkeit, die seit Jahren geplant ist, wurde im Februar vom BKA vorgelegt. Er sieht die Auflösung von etwa 120 weisungsfrei gestellten Berufungssenaten und Sonderbehörden vor. Derzeit werden die während der Begutachtungsfrist eingelangten Stellungnahmen geprüft. Im Prinzip gebe es Zustimmung zur Reform, Kritik jedoch an Details. So wird etwa stark bezweifelt, dass sie auch Einsparungen bringe.

Ausschuss begonnen und gestoppt

"Auf Ebene der Verfassungssprecher wird es noch lange Diskussionen dazu geben", schätzt der Vorsitzende des österreichischen Datenschutzrates (DSR), Johann Maier (SPÖ), gegenüber ORF.at. Er betont zudem, dass der Entwurf auch offen lasse, welche Behörden künftig die nicht streitigen Verfahrensarten übernehmen sollen. Mit dem Stockholmer Programm der EU würden zudem die Kontrollaufgaben der Datenschutzbehörden in den Mitgliedstaaten zunehmen.

Nachdem die europäische Datenschutzrichtlinie eine unabhängige Kontrollstelle vorschreibt, beschloss der DSR im April dieses Jahres einen Ausschuss mit dieser Angelegenheit zu betrauen. Die Arbeiten sind schnell ins Stocken geraten. "Momentan passiert im Ausschuss überhaupt nichts, weil alle den Bericht der EU-Kommission zur Neuordnung des europäischen Datenschutzrechts abwarten", so Maier. Denn laut FRA-Bericht sei mit einer Neuregelung zu rechnen.

Warten auf EU-Reformvorschlag

Ein erster Vorschlag vonseiten der EU-Datenschutzkommissarin Viviane Reding zur Novellierung der EU-Datenschutzrichtlinie soll bis Jahresende kommen, so Rechtsanwalt Rainer Knyrim. Möglicherweise bereits im November. Der Datenschutzexperte beruft sich auf einen Vortrag des europäischen Datenschutzbeauftragten Peter Hustinx bei der im Sommer stattgefundenen internationalen Datenschutzkonferenz in Cambridge.

Hustinx habe im Vortrag auch seine Vorstellungen für den Entwurf formuliert. Auch er betonte, dass die Unabhängigkeit der Datenschutzbehörden gesichert sein sollte. Daneben forderte er unter anderem, dass die Durchsetzungsbefugnisse der Behörden im EU-Raum vereinheitlicht werden.

Herausforderungen für EU-Kommissarin

"Als Herausforderungen", so Knyrim, "nannte Hustinx die Diversität, die bei der nationalen Umsetzung der Richtlinie aus dem Jahr 1995 entstanden ist, die bessere Regulierung der mittlerweile globalisierten Datenströme und die Verhinderung eines Effektivitätsverlustes der Richtlinie."

Wenn Kommissarin Reding den Zeitplan einhält, dann könne laut Hustinx 2013 bzw. 2014 der Gesetzgebungsprozess im EU-Parlament stattfinden. Danach erfolgt die nationale Implementierung. Bei der letzten EU-Datenschutzrichtlinie aus dem Jahr 1995 dauerte der Anpassungsprozess in Österreich fünf Jahre.

Mehr zum Thema:

• Videoüberwachung hat sich 2009 verdreifacht

• Viele Überwachungskameras nicht angemeldet

• Österreich-Start von Street View muss warten

• Flugdaten: "US-Heimatschutz belügt EU"

• Datenschutznovelle mit Sicherheitslücken

(futurezone/Claudia Glechner)