Österreich: Datenschutz-Entwicklungen 2008

In Österreich wird der Internationale Tag des Datenschutzes am 28. Jänner weitgehend unbemerkt vorübergehen. Wie bereits im Jahr 2008 werden die Datenschutzkommission (DSK) und der Datenschutzrat (DSR) wieder eine gemeinsame Veranstaltung für eine streng limitierte Anzahl interessierter Teilnehmer (maximal 100 Teilnehmer) abhalten, bei der sie europäische und internationale Entwicklungen im Datenschutz präsentieren werden. Im Gegensatz zu 2008, wo die Veranstalter mit weit mehr als 100 Anmeldungen konfrontiert waren, wurde die Veranstaltung sehr schlecht angekündigt. Auf der Homepage der DSK und der Homepage des Europarates zum Internationalen Tag des Datenschutzes wird die Veranstaltung nicht einmal erwähnt.

Diese Situation ist einigermaßen symptomatisch für den Datenschutz in Österreich. Datenschutz ist hier üblicherweise nichts für die breite Öffentlichkeit, es ist ein administrativer Akt, der eher formalisierte Entscheidungen beinhaltet als öffentliche Debatten und offene Diskussionen. Es ist schade, dass die Organisatoren des heurigen Events beschlossen haben, die Zugangsbeschränkungen aufrecht zu erhalten. Eine Öffnung für einen größeren Teilnehmerkreis hätte die Möglichkeit für eine Weiterentwicklung der Veranstaltung in Richtung einer jährlichen österreichischen Datenschutzkonferenz eröffnet. Für heuer ist diese Chance vertan, aber nächstes Jahr gibt es diese Chance erneut. Wir halten Sie auf dem laufenden.

Die folgenden Absätze bieten eine Zusammenfassung von wesentlichen Datenschutz-Entwicklungen des letzen Jahres in den Bereichen Gesetzesinitiativen, Überwachungstrends und wichtige Datenschutzverletzungen. Abschließend wird ein Ausblick auf die folgenden Jahre gegeben.

Gesetzesinitiativen:
Am 6. Dezember 2007 hat das Österreichische Parlament eine Reform des Sicherheitspolizeigesetzes beschlossen. Zehn Minuten vor Mitternacht dieses Tages (dem letzten parlamentarischen Verhandlungstag des Jahres) haben Mitglieder der Regierungsparteien (SPÖ und ÖVP) einen Abänderungsantrag eingebracht, der die Überwachungsmöglichkeiten der Sicherheitspolizei wesentlich erweitert hat. Dabei wurde der übliche parlamentarische Arbeitsablauf, Abänderunsanträge vor der Abstimmung im zuständigen Ausschuss zu diskutieren, ignoriert wurde. Ergebnis dieser Initiative ist, dass Mobiltelefonie- und Internet-Anbieter Standortinformationen von Mobiltelefonen und IP-Adressen auf Verlangen der Polizei aushändigen müssen. Ein Gerichtsbeschluss ist dafür nicht erforderlich! In den ersten fünf Wochen des Jahres 2008 wurden Standortdaten von 82 Mobiltelefon-Benutzern und die Identität von 2.766 Anschlussinhabern von der Polizei angefordert. Einem Artikel der Tageszeitung „Die Presse“ zufolge gibt es täglich 32 derartige Anforderungen. Die Abgeordneten, die den erwähnten Abänderungsantrag im Parlament eingebracht haben, erhielten dafür den Big Brother Award 2008. Beim Verfassungsgerichtshof wurden einige Beschwerden gegen deas Sicherheitspolizeigesetz eingebracht.

Im April 2008 wurde ein Entwurf zur Reform des Datenschutzgesetzes 2000 veröffentlicht. Schlüsselelemente sind rechtliche Anforderungen an die Betreiber von privaten Videoüberwachungsanlagen, eine neue Anforderung an Unternehmen ab 20 Mitarbeitern die Position eines betrieblichen Datenschutzbeauftragten zu schaffen und die Harmonisierung der Zuständigkeiten (alle Datenschutz-Kompetenzen werden an den Bund übertragen). Derzeit ist es Aufgabe der Datenschutzkommission die Inbetriebnahme von Videoüberwachungsanlagen privater Betreiber genehmigen. Gemäß dem Reformvorschlag wird Videoüberwachung künftig erlaubt sein, wenn innerhalb der letzten 10 Jahre im fraglichen Bereich gefährliche Angriffe vorgefallen sind, oder wenn teure Gegenstände mit einem Wert von mehr als 100.000 EUR oder von außergewöhnlichem künstlerischem Wert geschützt werden sollen. Videoüberwachung muss laut dem Entwurf ausreichend angekündigt werden und wird in Toileten und Umkleidekabinen verboten bleiben. Weiters schlägt er Reformvorschlag vor, eine zentrale Datenbank aller privaten Videoüberwachungsanlagen einzurichten. Im Bedarfsfall wird es der Polizei gestattet auf die Daten dieser Anlagen zuzugreifen. Grundsätzlich wird die zulässige Speicherdauer von Videodaten auf 48 Stunden beschränkt, diese kann mittels Antrag an die DSK verlängert werden. Künftig wird es nicht erforderlich sein Echtzeit-Videoüberwachungen an die DSK zu melden. Polizeizugriffe auf die Daten der Autobahn-Videoüberwachung sind angedacht und Zufallsfunde dürfen für Strafverfolgungszwecke vewendet werden. Aufgrund der vorzeitigen Neuwahl des Österreichischen Parlaments im Jahr 2008 konnte die Reform des Datenschutzgesetzes 2000 seinen Weg durch den parlamentarischen Prozess nicht vollenden. Es wird erwartet, dass die Novelle im Jahr 2009 wieder aufleben wird.

Zum Vorschlag der Europäischen Kommission zur Verwendung von Fluggastdaten (Passenger Name Records) haben SPÖ-Abgeordnete einen Entschließungsantrag im Parlament eingebracuth. Sie schlugen darin vor, die Entscheidung des Europäischen Gerichtshof zur strukturell ähnlichen Vorratsdatenspeicherungs-Richtlinie und das Inkrafttreten des Vertrags von Lissabon abzuwarten. Weiters empfahlen sie, sich an der Stellungnahme der Artikel 29 Arbeitsgruppe (das ist die gemeinsame Arbeitsgruppe aller EU-Datenschutzbehörden) zum Kommissionsvorschlag zu orientieren, da es in dieser Sache schwerwiegende Datenschutzbedenken gibt.

Vorratsdatenspeicherung: Die EU-Richtlinie zur Vorratsdatenspeicherung ist in Österreich noch immer nicht umgesetzt. Es sind auch keine Pläne bekannt, dies in der näheren Zukunft zu tun.

Zu biometrischen Daten im Reisepaß hat der Ministerrat im Juni 2008 beschlossen, dass die Abdrücke der beiden Zeigefinger (sofern vorhanden) auf einem RFIDi-Chip im Reisepass gespeichert werden. Zusätzlich werden diese Daten für bis zu vier Monate in der Staatsdruckerei gespeichert, welche die Pässe herstellt. Derzeit ist der parlamentarische Entscheidungsprozess im laufen. Am 21.01.2009 hat der Nationalrat das entsprechende Gesetz, mit den Stimmen aller vertretenen Parteien außer den Grünen, verabschiedet. Der Bundesrat wird am 27.01.2009 darüber abstimmen, einen Tag vor dem Internationalen Tag des Datenschutzes. Es wird erwartet, dass das Gesetz dort nicht zurückgewiesen werden wird.

Im Jahr 2007 haben sie der Innenminister und die Justizministerin auf den verdeckten Einsatz von Remote Forensic Software (sogenannte Bundestrojaner) geeinigt und eine Arbeitsgruppe zur Ausarbeitung der technischen und juristischen Details eingesetzt. Im April 2008 hat diese Arbeitsgruppe ihren Endbericht veröffentlicht. Die Experten führten aus, dass aus verfassungsrechtlicher Sicht eine Reihe von Grundrechten durch den Einsatz derartiger Software betroffen wären, wodurch die Umsetzung derartiger Online-Durchsuchungen eingeschränkt werden und Haftungen für den Staat begründet würden.

Überwachungstrends:
Die größten Überwachungstrends des Jahres 2008 fokussieren alle auf den Einsatz von Videoüberwachung. Bei der Verkehrsüberwachung haben wir die Einführung von Systemen zur automatischen Vignettenkontrolle, die automatische Erfassung von KFZ-Kennzeichen bei der die Erfassten Daten mit Fahndungslisten abgeglichen werden und die Verwendung von Videoüberwachung zur Durchsetzung von Geschwindigkeitsbeschränkungen (Section Control) gesehen. Im Fall der Section Control haben österreichische Höchstgerichte entschieden, dass diese nur auf konkrete fallbezogene Anordnung des zuständigen Ministers einschließlich einer detaillierten Beschreibung der konkreten Einsatzbedingungen eingesetzt werden darf.

Andere Beispiele verstärkter Videoüberwachung sind die Piltotversuche zur Videoüberwachung in Zügen der Wiener U-Bahn, wo daten für 48 Stunden gespeichert werden, Videoüberwachung in Zügen der ÖBB und Videoüberwachung in Wohnhausanlagen der Statdt Wien wo Garagen, Aufzüge und Misträume überwacht werden. Die Pilotphase der sogenannten Mistkübelüberwachung wurde von der DSK genehmigt und wird bis Ende 2009 dauern. Ziel ist der Schutz gegen Vandalismus.

Wichtige Datenschutzverletzungen:
Im Jahr 2008 erhielt der Fall einer jugendlichen Asylwerberin und ihrer Familie viel mediale Aufmerksamkeit. Als der Druck auf das Innenministerium zu stark wurde, sind personenbezogene Daten eines Familienmitglieds aus dem Polizeiinformationssystem EKIS und dem polizeilichen Aktenindex in die Öffentlichkeit durchgesickert. Bilder aus diesen Akten wurden gemeinsam mit einer entsprechenden Pressemeldung von einem hochrangigen Beamten des Innenministeriums im Internet veröffentlicht. Die Polizeilichen Ermittlungen zum Durchsickern der Daten dauern noch an.

Die Verwaltung der Wohnhausanlagen der Gemeinde Wien, Wiener Wohnen, schickte an alle 220.000 Mieter ihrer Wohnungen einen Fragebogen, in dem sie deren Meinung über ihre Wohnung, ihre Nachbarn, die Wohnumgebung, die Sicherheitssituation, ihre Verwaltung und die Stadt Wien abfragten. Wiener Wohnen bot dabei an, dass der Fragebogen auch anonymisiert zurückgeschickt werden könne, indem man den aufgedruckten Familiennamen ausschwärzt. Der zuständige Stadtrat sagte, dass der Barcode auf der zweiten Seite des Fragebogens lediglich als Referenz auf den Verwaltungsbezirk verwendet würde, auf den sich die jeweilige Beantwortung des Fragebogens bezog. Diese Darstellung war bestenfalls irreführend, da der Barcode die vollständige Kundennummer des jeweiligen Mieters enthielt, wodurch eine nachträgliche Personalisierung der gegebenen Antworten ermöglicht wurde. Die Direktorin von Wiener Wohnen erhielt dafür den österreichischen Big Brother Award 2008

Ausblick:
Nach den vorzeitigen Neuwahlen im Jahr 2008 wurde voriges Jahr eine neue Regierung angelobt. Deren Regierungsprogramm beinhaltet die folgenden Datenschutzrelevanten Themen: Die polizeiliche Verwendung von Remote Forensic Software (so genannte Bundestrojaner) wird erlaubt werden. Es wird klargestellt werden, dass die DSK für Fälle, in denen die Kriminalpolizei im Bereich der Strafrechtspflege tätig ist, nicht zuständig ist. Die Kooperation mit den Schengen-Partnern wird intensiviert werden, gemeinsame Visa- und Biometrie-Zentren werden errichtet werden, mögliche Kooperationen mit externen Dienste-Anbietern (Outsourcing) werden analysiert werden. Eine DNA-Offensive hat zum Ziel, die bundesweite Sammlung und Analyse von DNA-Spuren als Basis für neue Anwendungsfälle zu nutzen. Elektronische Gesundheitsakten werden zunehmende Wichtigkeit erlangen.

Die Umsetzung der Richtlinie zur Vorratsdatenspeicherung wird im Regierungsprogramm nicht erwähnt.

Eine Entscheidung des Verfassungsgerichtshofs über die Beschwerden gegen das Sicherheitspolizeigesetz wird für 2009 erwartet.

Bei der heurigen Wahl zur Österreichischen Hochschülerschaft im Mai 2009 plant die Bundesregierung einen E-Voting Versuch durchzuführen. Die Österreichische Hochschülerschaft spricht sich aufgrund ungelöster rechlicher und technischer Fragen entschieden gegen diese Pläne aus. Auch der Datenschutzrat hat empfohlen von diesen Plänen Abstand zu nehmen. Dieser Pilotversucht wird allgemein als Testfall für den Einsatz von E-Voting bei Nationalratswahlen angesehen.

Datenschutzkommission

Datenschutzrat

Europarat – Internationaler Tag des Datenschutzes

Sicherheitspolizeigesetz

Österreichische Big Brother Awards zum Sicherheitspolizeigesetz

Die Presse zum Zugriff auf Standortdaten und IP-Adressen durch die Sicherheitspolizei:
“Polizei-Überwachung: Tausende Fälle”

Österreichische Big Brother Awards zum Sicherheitspolizeigesetz

Reformentwurf zum Datenschutzgesetz 2000

Entschließungsantrag zu PNR-Daten

Parlamentarische Entscheidung zu biometrischen Reisepässen

Endbericht der Arbeitsgruppe zu Remote Forensic Software (sogenannten Bundestrojanern)

Big Brother Awards Austria: Datenmissbrauch im Zusammenhang mit Asylwerbern

Big Brother Awards Austria: Fragebogen Wiener Wohnen

Regierungsprogramm der Österreichischen Bundesregierung

Stellungnahme des Datenschutzrates zum E-Voting bei den ÖH-Wahlen

(Michael Hofer und Andreas Krisch – VIBE!AT)