Massive Kritik am Vorschlag zum Datenschutzanpassungsgesetz

Hier ist unsere Stellungnahme zum ersten netzpolitischen Gesetz der neuen Bundesregierung. Unsere Hauptkritikpunkte am Datenschutzanpassungsgesetz - Inneres haben wir am Mittwoch, 07. Februar 2018 im Rahmen einer Fotoaktion vorgestellt.

Wir haben auch die Stellungnahmen anderer wichtiger Institutionen gelesen und die wichtigsten Punkte herausgehoben (siehe unten).

Eckpunkte der Stellungnahme von epicenter.works

  • Automatisierte Datenschutzverletzung: Bei sogenannten „automatisierten Abfragen“ sollen die wichtigsten Informationen schlichtweg nicht mehr protokolliert werden. Nach den Plänen der Regierung wird nicht mehr aufgezeichnet, wer sie durchführt, oder wer die abgefragten Informationen erhält. Datenmissbrauch wäre so kaum mehr nachzuweisen oder aufzuklären. Um die Einhaltung von Grundrechten und Datenschutzvorschriften zu gewährleisten, ist es unerlässlich, dass jeder Datenzugriff durch (Sicherheits-)Behörden nachvollziehbar ist – auch ein automatisierter. Praktischer Grundrechtsschutz bedeutet, dass natürlich auch Informationen über die Personen protokolliert werden, die auf die Daten zugreifen oder diese empfangen. Das Problem entsteht mit der Definition des Begriffes „automatisiert“. Laut EU-Datenschutz-Grundverordnung (DSGVO), die auch Anlass für die gesetzliche Anpassung ist, ist unter einem „automatisierten“ Abruf „insbesondere die Abfrage von Datenbanken zu verstehen“. Somit kann so gut wie jede Abfrage als automatisiert gelten.

  • Dramatische Einschränkung von Beschwerdemöglichkeiten für Betroffene von Datenmissbrauch: Künftig sollen nicht nur lückenhafte Protokolldaten gespeichert werden, auch eine Senkung der Speicherfristen ist geplant. Sie sollen sogar kürzer sein als die Beschwerdefristen. Wer sich etwa fristgerecht mit einer Beschwerde an die Behörden wendet, muss künftig damit rechnen, dass keine Informationen mehr vorliegen, um diese nachzuvollziehen. Ein Beispiel: Die Beschwerdefrist an die Datenschutzbehörde ist mit maximal drei Jahren nach Feststellung des Ereignisses festgesetzt. Die Protokolldaten würden nach dem neuen Gesetz schon nach zwei Jahren gelöscht. Besonders bedenklich ist, dass sie sogar gelöscht werden können, wenn schon eine Beschwerde erhoben wurde. Die Reduktion wird mit Hinweis auf die Grundsätze der „Datenminimierung und Speicherbegrenzung“ begründet. Diese wurden in der DSGVO aber formuliert, um die Privatsphäre der Betroffenen zu schützen und nicht die Institutionen, die Daten verarbeiten.

  • Schutzsuchende bekommen schlechteren Datenschutz: Das geplante Gesetz enthält einige Verschärfungen im Zusammenhang mit dem Fremdenrecht. Zum einen werden die Informationspflichten aufgeweicht: Es soll keine Informationsblätter mehr in einer für Betroffene verständlichen Sprache geben, die darüber informieren, welche Daten über die Personen erfasst und verarbeitet werden. Zum anderen wird das Auskunftsrecht beschnitten. Mit einer unklar definierten Regelung kann die Auskunft verweigert werden, wenn sie "überwiegenden öffentlichen Interessen" gegenübersteht. Es ist nicht nachvollziehbar, was damit gemeint sein könnte. Wenn es um sicherheitspolizeiliche Daten geht, ist das im Sicherheitspolizeigesetz bzw. im Polizeilichen Staatsschutzgesetz geregelt.

  • Problematische Zuständigkeiten – Innenminister als Auftragsverarbeiter: Im Gesetzesvorschlag wird das Innenministerium als Auftragsverarbeiter bezeichnet. Das ist normalerweise ein Dienstleister, der im Auftrag Daten verarbeitet. Damit kommt es zur widersprüchlichen Situation, dass der Bundesminister in vielen Bereichen weisungsbefugt ist, aber dennoch nicht Verantwortlicher im Sinne der DSGVO. Dies steht auch im Widerspruch zur Bundesverfassung.

Hier ist die gesamte >>Stellungnahme<<.

Weitere namhafte Kritikerinnen und Kritiker

Hier eine paar weitere Zitate aus Stellungnahmen zum Gesetzesvorschlag:

Rechtsanwaltskammer (Stellungnahme)

"Anschließend an die soeben getätigten Ausführungen weist der ÖRAK darauf hin, dass die in § 63 Abs 3 SPG und § 11 PolKG enthaltene Bestimmung jeglicher vernünftiger Grundlage entbehrt."

"In generalisierender Betrachtung des vorliegenden Gesetzesentwurfs fällt auf, dass in nahezu allen zur Änderung stehenden Materiengesetzen das Widerspruchsrecht der Betroffenen vollständig eingeschränkt wird."

"Hierbei wird zunächst unterstellt, dass es sich bei Protokollierungsdaten selbst um Daten handelt, welche nach datenschutzrechtlichen Bestimmungen zu schützen sind. In diesem Sinne werden jedoch jene Personen, welche personenbezogene Daten verarbeiten, indem sie diese beispielsweise abrufen oder löschen, als schutzwürdig erachtet. Eine solche Interpretation der Datenschutzbestimmungen würde diese allerdings völlig ad absurdum führen. Ziel derselben ist es nämlich gerade nicht, den Verantwortlichen einer Datenverarbeitung zu schützen, sondern jene Person, deren Daten von diesem verarbeitet werden."

BM f. Verfassung, Reformen, Deregulierung und Justiz – Verfassungsdienst (Stellungnahme)

"Vor diesem Hintergrund erscheint es problematisch, wenn die vorgeschlagenen §§ 63 Abs. 3 SPG  und  11  PolKG  normieren,  dass die  Zuordnung  zu  einem  bestimmten  Organwalter  bei automatisierten  Abfragen  nicht  erforderlich  ist,  zumal die  Protokollierungspflichten  des Art. 25 Abs. 1 RL (EU) 2016/680 gerade spezifisch für automatisierte Verarbeitungssysteme gelten."

Datenschutzbehörde (Stellungnahme)

"Gegen die Festlegung einer zweijährigen Speicherdauer für Protokolldaten bestehen seitens der DSB insoweit Bedenken, als diese nicht mit der dreijährigen objektiven Präklusionsfrist für die Geltendmachung des Beschwerderechts gemäß § 24 Abs. 4 DSG korreliert."

"Art. 23 Abs. 3 DSGVO sieht darüber hinaus vor, dass Gesetzgebungsmaßnahmen, die Betroffenenrechte beschränken, bestimmte spezifische Vorschriften enthalten müssen. Der völlige, undifferenzierte Ausschluss des Widerspruchsrechts scheint mit diesen Vorgaben nicht in Einklang zu stehen."

ÖGB (Stellungnahme)

"Im Fall automatisierter Abfragen nach dem Sicherheitspolizeigesetz besteht keine Protokollierungspflicht des konkreten Organwalters, der auf Daten zugreift. Möglichst lückenlose, detaillierte Protokollierungen dienen aber dem Rechtsschutzinteresse der Betroffenen (etwa um herauszufinden, wer im Missbrauchsfall zu belangen ist). Entsprechende Protokollierungen sollten deshalb gemäß Art 25 der RL 2016/680 nur aus Gründen der Unmöglichkeit bei vollautomatisierten Abfragen entfallen. Im Übrigen sollten auch jene Personen protokolliert werden, die gesetzlich nicht auf Dauer anlegte, automatisierte Abfragen veranlassen bzw Treffer auswerten."

INSTITUTE FOR PARLAMENTARISM, SECURITY AND SCIENCE, Dr. Peter Pointner, Mitglied des Datenschutzrates (Stellungnahme)

"Die Prüfung und Darstellung, ob diese Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, ist ungenügend bzw. fehlt überhaupt."

Hauptverband der Sozialversicherungsträger (Stellungnahme)

"Die (neue) Verknüpfungsermächtigung scheint überschießend formuliert zu sein."

Österreichischer Städtebund (Stellungnahme)

"Auch ist es bedenklich, wenn der Bundesminister nur als Auftragsverarbeiter vorgesehen wird. Er entscheidet über den Dateneinsatz bzw. verwendet Daten zu eigenen Zwecken und ist daher i.S.d. DS-GVO Verantwortlicher."

Verband des wissenschaftlichen und künstlerischen Personals an den österreichischen Universitäten (ULV) (Stellungnahme)

"Zur Wahrung der Rechtssicherheit sind daher aus Sicht des ULV Protokolldaten – selbstverständlich und insbesondere auch bei Zugriffen durch Exekutivorgane – grundsätzlich fünf Jahre sicher aufzubewahren. Darüber hinaus sind bei anhängigen Verfahren bezugnehmende Protokolle bis zu deren rechtskräftigen Abschluss als allfällige Beweismittel aufzubewahren. Die gegenüber dem DSG gewählte Verkürzung auf zwei Jahre wird aus den genannten Gründen abgelehnt. Die Bezugnahme auf die in der DSGVO normierten Datenminimierung gem. Art 5 DSGVO verfängt hier nicht, da es sich um Protokolldaten infolge von EDV-Verwendungen handelt."

"Die Regelung der Verantwortlichen nach DSGVO ist klärungsbedürftig. ZB wird als Auftragsdatenverarbeiter das BMI genannt, gelegentlich 'die Behörde', manchmal der BM."

Chaos Computer Club Wien (C3W) (Stellungnahme)

"Stattdessen werden mit dem vorgelegten Entwurf nicht Bürgerrechte gestärkt, vielmehr wird die bisher schon schwierige Klärung solcher Vorwürfe generell verunmöglicht: Die Sicherheitsbehörden bekommen einen weitreichenden 'Cordon Sanitaire', da für automatisierte Abfragen und Verarbeitungen die bisherige Pflicht zu ordentlicher Protokollierung entfallen soll. Es scheint, als habe die Verwaltung aus Problemen der Vergangenheit gelernt, allerdings nicht im Interesse potentiell Geschädigter, vielmehr wird die Verfolgung von Rechtsbrüchen weiter erschwert."

"Die Verkürzung der Aufbewahrungspflicht auf zwei Jahre, also unter die Fristen der Auskunftspflicht, mit Begründung 'Datensparsamkeit'iv erscheint lächerlich und lässt den Schluss zu, die DSGVO sei absichtlich falsch verstanden worden."

Greenpeace in Zentral- und Osteuropa (Stellungnahme)

"Der Entfall von Protokollierungspflichten führt zur Nichtnachvollziehbarkeit von Vorgängen und verunmöglicht das Aufdecken von Missbrauch und Fehlverhalten. Dies widerspricht den Interessen der Rechtssicherheit und der Aufrechterhaltung eines gebotenen Datenschutzniveaus."

"Die Zuordnung der Abfrage zu einem bestimmten Organwalter ist bei allen automatisierten Abfragen Standard. Die Ansicht in den erläuternden Bemerkungen, eine solche Zuordnung sei 'bei automatisierten Abfragen auch weiterhin nicht erforderlich' ist unbegründet und unsachlich. In Wahrheit wurden unberechtigte Abfragen im Bereich des Innenministeriums von unberechtigten Personen vor nicht allzu langer Zeit durchgeführt. Aufgrund dieser rezenten Missbrauchsfälle ergibt sich die Notwendigkeit einer Identifizierung der Organwalter zumindest im Sinne des Art. 25 Richtlinie (EU) 2016/680."

Rechnungshof (Stellungnahme)

"Da eine Protokolldatei entsprechend der Art. 24, 25 und 32 der DS-GVO dem Nachweis dienen kann, dass eine Verarbeitung durch den Verantwortlichen entsprechend der DS-GVO und der jeweiligen bestimmten Verarbeitungszwecke erfolgt, weist der RH auf diese unterschiedlichen Fristen – zwei Jahre (im vorliegenden Entwurf) sowie drei Jahre in § 24 Abs. 4 DSG 2000 - hin."

Amt der Wiener Landesregierung  Magistratsdirektion der Stadt Wien  Geschäftsbereich Recht (Stellungnahme)

"Es wird eine Pflicht zur Protokollierung von tatsächlich durchgeführten Verarbeitungsvorgängen normiert. Die Aufbewahrungsfrist dieser Protokolldaten soll zwei Jahre betragen. Auch wenn dies im Sinne der Datenminimierungspflicht zu begrüßen wäre, wird darauf hingewiesen, dass Protokolldaten im Wesentlichen dem Schutz der betroffenen Person dienen – etwa um nachzuweisen, dass ihre Daten missbräuchlich verarbeitet wurden. Es wird daher angeregt, die Aufbewahrungsfrist auf die – zumeist übliche – Verjährungsfrist von drei Jahren anzupassen."