Wieso beim Datenschutz-Anpassungsgesetz Inneres und den Protokollierungspflichten aufs Detail geachtet werden muss.

Vergangene Woche veröffentlichte die neue Bundesregierung ihren ersten netzpolitischen Gesetzesentwurf. Wir möchten ein paar Missverständnisse aufklären, die schon um diesen Entwurf, des „Datenschutz-Anpassungsgesetz Inneres“ kursieren.

Die Datenschutzgrundverordnung (DSGVO) wird nicht geändert

Da die DSGVO Unionsrecht ist, kann die Österreichische Bundesregierung dieses EU-Gesetz nicht selbstständig verändern. Das neue Datenschutzgesetz (DSG), das im Mai in Kraft treten wird, ist vielmehr nur die schlechte nationale Durchführung dieses EU-Gesetzes. Das neue „Datenschutz-Anpassungsgesetz Inneres“ soll das österreichische Recht an die neue EU-Gesetzeslage anpassen. Es betrifft verschiedene Gesetze, auf deren Grundlage Behörden Daten verarbeiten, z.B. das Meldegesetz, das Passgesetz, das Personenstandsgesetz, das Wählerevidenzgesetz, das Sicherheitspolizeigesetz, etc.

Auch bisher gab es im Meldegesetz kein Widerspruchsrecht

Im neuen DSG ist zwar ein allgemeines Widerspruchsrecht vorgesehen, für Behörden sind aber Ausnahmen möglich und genau solche sollen mit diesem Gesetzesentwurf geschaffen werden. Es gilt weiterhin die Verpflichtung, den eigenen Wohnsitz dem zuständigen Meldeamt bekannt zu geben. Dafür gab es in Österreich auch noch nie eine Ausstiegsmöglichkeit. Es ist verwunderlich, dass dennoch jetzt zum Anlass der neuen EU-Datenschutz-Gesetzgebung plötzlich Kritik an der Grundidee des Meldegesetzes aufkommt.

Es besteht auch weiterhin u.a. das Recht auf Löschung und auf Berichtigung. Sollte man also mit falschem Namen im Melderegister aufscheinen, so hat man wie bisher das Recht, dies korrigieren zu lassen.

Ein ernstes Problem: Lückenhafte Kontrolle staatlicher Überwacher

Sehr wohl besorgniserregend sind aber die Einschränkungen der Protokollierungspflichten im sicherheitspolizeilichen Bereich. Um die Einhaltung von Grundrechten und Datenschutzvorschriften zu gewährleisten, ist es unerlässlich, dass jeder Datenzugriff – auch ein automatisierter – durch die Sicherheitsbehörden genau dokumentiert wird. Praktischer Grundrechtsschutz bedeutet deshalb, dass nicht nur Datum, Uhrzeit und Zweck der Abfrage sowie die verarbeiteten Daten dokumentiert werden müssen, sondern natürlich auch die Identität der Person, die auf die Daten zugreift oder diese empfängt.

Ausnahmen für „automatisierte Abfragen“

Bei automatisierten Abfragen ist genau so eine Kontrolle im heiklen Sicherheitspolizeigesetz (SPG) ausdrücklich nicht vorgesehen: Diese müssen nicht auf eine bestimme Person rückführbar sein. So ist nicht feststellbar, wer die Daten empfangen hat. Außerdem soll die Speicherfrist der Protokolldaten von drei auf zwei Jahre verkürzt werden.

Verwirrung bereiten jedoch zwei Fragen: erstens, was „automatisierte Abfrage“ nun tatsächlich bedeutet, und zweitens, ob sich mit diesem Entwurf die Gesetzeslage ändern würde, oder sie ohnehin gleich bleibt.

Die Geschichte der Ausnahmen in der Protokollierungspflicht

Um dies zu beurteilen, hilft ein chronologischer Blick auf die Protokollierungspflichten im SPG. Bis 2005 musste jede Datenabfrage protokolliert werden. 2005 kam eine Ausnahme für die automatisierte Kfz-Kennzeichenerkennung hinzu, die bis heute besteht. Hier müssen jedoch Treffer sehr wohl protokolliert werden.

2016 kam in der gleichen Reform, mit der auch das Polizeiliche Staatsschutzgesetz eingeführt wurde, eine weitere Ausnahme hinzu: die Protokollierung der Identität des Organwalters ist bei automatisierten Abfragen seither nicht mehr erforderlich. Eine Ausnahme für Treffer wie bei der Kfz-Kennzeichenerfassung wurde nicht gemacht. In den Erläuterungen dieser Reform hieß es, bei automatisierten Abfragen erfolge „die gesamte Datenverwendung programmgesteuert“. Ein Beispiel sei der Abgleich einer Wohnsitzmeldung mit dem Register zur Personenfahndung. Diese Ausnahme träfe also nur auf vollautomatisierte Abfragen zu, hieß es damals.

Das Datenschutzgesetz enthält eine neue Definition

Durch die jetzige Reform sollen insbesondere – so wieder die Erläuterungen – „die materienspezifischen Datenschutzregelungen mit der neuen datenschutzrechtlichen Terminologie in Einklang gebracht werden“. Das Ziel ist also, dass Begrifflichkeiten in den verschiedenen Gesetzen gleich definiert sind.

Nun kennt auch das neue Datenschutzgesetz aber eine Definition des Begriffs „automatisiert“ – und zwar eine sehr viel weitere: so sei, laut Erläuterungen unter einem „automatisierten“ Abruf „insbesondere die Abfrage von Datenbanken zu verstehen“.

Somit fällt unter das neue Datenschutzrecht so gut wie jede Abfrage, nicht nur die vollautomatisierten. Damit bekäme die zuvor schon problematische Ausnahme der Protokollierungspflichten einen noch viel weiteren Anwendungsbereich.

Beide Lesarten sind problematisch

Es gibt nun also zwei mögliche Lesarten: Entweder wird die „automatisierte“ Abfrage im SPG auch weiterhin eine viel engere Bedeutung als im Datenschutzrecht haben, was heißt, dass die Harmonisierung mit dem neuen Datenschutzrecht nicht erreicht werden würde. Oder aber es gilt die Anwendbarkeit der neuen Definition, die Protokollierungspflichten würden empfindlich eingeschränkt und es entstünde eine sehr ernstzunehmende Rechtsschutzlücke. In beiden Lesarten erweist sich der Entwurf also als problematisch.

Gerade im Hinblick auf vergangene Missbrauchsfälle im österreichischen Sicherheitsapparat ist eine solche Unklarheit bei den Protokollpflichten sehr bedenklich, besonders wenn auch der Innenminister selbst bei Fällen, die wegen Datenmissbrauchs zu einer Verurteilung geführt haben, keine klare Grenze zieht. Die Folge kann sein, dass Betroffene sich künftig gegen die missbräuchliche Verwendung dieser Daten oder deren illegaler Datenweitergabe nicht beschweren könnten, da es keine Möglichkeit gäbe, um herauszufinden, wer zu belangen ist. Wir fordern daher lückenlosen Rechtsschutz, klare Regelungen und strenge Kontrolle bei Datenverarbeitungen!

Die Begutachtung zum „Datenschutz-Anpassungsgesetz Inneres“ läuft noch bis zum 8. Februar 2018.