Registerforschung: Regierung auf Kollisionskurs mit dem Datenschutz
Im Juli 2021 veröffentlichte die türkis-grüne Bundesregierung ein Gesetz zum Thema Registerforschung. Damit sollen staatliche Datenbanken für die (Markt)Forschung geöffnet werden. In der Begutachtung hagelte es massive Kritik von der Datenschutzbehörde, dem überparteilichen Datenschutzrat der Arbeiterkammer und epicenter.works. Das Gesetz verstößt nicht nur gegen die Datenschutzgrundverordnung, es geht sogar so weit, dass es nationales Recht über EU-Recht stellt. Weiters lädt es zu massivem Missbrauch der Daten der Bevölkerung aus fast allen Lebensbereichen ein und bricht überdies auch eine Säule des E-Government (Bereichsspezifische Personenkennzeichen - bPK's), wodurch potentiell in allen E-Government-Anwendungen des Bundes (z.B. ELGA, Sterbehilferegister, etc.) Betroffenenrechte und Datensicherheitsstandards unterwandert werden.
Trotz dieser Kritik in der Begutachtung wurde das Gesetz am 13. Oktober fast unverändert und einstimmig von allen Minister*innen beschlossen. Nun soll es am 3. November im zuständigen Ausschuss des Parlaments durchgewunken werden. Der finale Beschluss im Plenum des Nationalrats könnte bereits am 16. November erfolgen, wo aufgrund der am selben Tag stattfindenden Auslieferung von Sebastian Kurz wohl niemand darüber berichten wird. In einem offenen Brief wenden sich heute deshalb 13 namenhafte Datenschützer*innen und Forscher*innen an die Abgeordneten von Bundes- und Nationalrat mit der inständigen Bitte, dieses Gesetz noch einmal zu überdenken.
Bereits im Jahr 2018 gab es einen Versuch, Registerforschung in Österreich in diesem Umfang zu ermöglichen. Damals hat die türkis-blaue Bundesregierung aber auf die Kritik aus dem Datenschutzbereich reagiert und das Gesetz abgeschwächt. Entgegen der in letzter Zeit lauter werdenden Beteuerungen, den Datenschutz doch als wichtig zu erachten, ging es der ÖVP in ihrer damaligen Ablehnung eher darum, Registerdaten nicht an die unabhängige Forschung geben zu wollen. Das hätte nicht ins Konzept der "Message Control" gepasst. Der jetzige Versuch ist nach unseren Informationen aber hauptsächlich auf das Bestreben des Grünen Parlamentsklubs zurück zu führen. Wie es einer Partei, die den Datenschutz über viele Jahrzehnte wirklich hoch gehalten hat, passieren kann, die vielen unterbreiteten Lösungsvorschläge trotz lauter Kritik nicht aufzugreifen, verstehen wir nicht.
Worum geht es?
Bislang sah das Bundesstatistikgesetz vor, dass die Verwendung von personen- und unternehmensbezogenen Statistiken für wissenschaftliche Zwecke unzulässig ist, was speziell in Zeiten der Corona-Pandemie zu vermehrter Kritik führte. Der vorliegende Gesetzesentwurf verfolgt nun das Anliegen, wissenschaftliche Forschung anhand von staatlichen Registerdaten zu ermöglichen, indem wissenschaftlichen Einrichtungen Online-Zugriffe auf jene Daten gewährt werden. Zu diesem Zweck wird die Statistik Austria um das "Austrian Micro Data Center" erweitert, das als zentrale Anlaufstelle fungieren soll.
Während die Ermöglichung von Registerforschung zweifelsfrei einen positiven Beitrag zu innovativer Forschung darstellt, liegt es jedoch auf der Hand, dass dies in einem Spannungsverhältnis mit dem Grundrecht auf Datenschutz geschieht. Um so wichtiger ist es dementsprechend einen Weg zu finden, der beiden Anliegen gerecht wird. Im Projekt des Austrian Micro Data Centers war laut Bildungsministerium mit der Plattform Registerforschung jedoch nur ein einzelner Stakeholder in den Prozess eingebunden.
Neben Verbesserungen im Bereich der Transparenz sowie der Nachschärfung der Verschwiegenheitspflicht, gibt es trotz der 103 eingebrachten Stellungnahmen während der Begutachtungsfrist leider wenige Lichtblicke, die die neue Regierungsvorlage zu bieten hat. Im Folgenden soll ein Überblick über das geplante Vorgehen der Regierung und die damit einhergehenden Problematiken aufgezeigt werden.
Zugriffsberechtigung
Die Novelle regelt, welchen wissenschaftlichen Einrichtungen auf Antrag der jeweiligen Einrichtung durch die Statistik Austria Zugriff auf die entsprechenden (pseudonymisierten) Daten gewährt werden kann. Der Fokus des Antragswesens liegt dabei jedoch auf formalen Aspekten, während ethische Maßstäbe, öffentliches Interesse der Forschung oder die wirtschaftlichen Interessen hinter Forschungsprojekten leider vollkommen außer Betracht bleiben. Im Gegenteil, die Erläuterungen erlauben explizit auch Forschung, die von der Wirtschaft in Auftrag gegeben wird und es müssen Ergebnisse zudem nur in Teilen der Öffentlichkeit zugänglich gemacht werden.
Um dem entgegenzuwirken, forderten mehrere Organisationen in ihren Stellungnahmen die Einrichtung eines Beirates, der die Statistik Austria im Zuge des Antragswesens unterstützen sollte, um auch bestehende forschungsethische Fragen zu berücksichtigen. Leider mussten wir jedoch feststellen, dass auch in der neuen Regierungsvorlage nicht vorgesehen ist, dahingehend für eine Verbesserung zu sorgen. Die einzige Änderung der Regierungsvorlage ist es vielmehr, dass sogar wenn ein Antrag auf Zugriff auf Registerdaten von der Statistik Austria abgelehnt wird, die Einrichtung nochmal eine Chance hat, beim Statistikrat in Berufung zu gehen, um so an die Daten zu kommen. Entweder hat die Regierung seit der Begutachtung das Problem nicht verstanden, oder sich dazu entschieden, es aktiv schlimmer zu machen.
Transparenz
In unserer Stellungnahme forderten wir eine Reihe an weiteren, durch die Statistik Austria bereitzustellenden Informationen, um angemessene Transparenz zu gewährleisten. Dabei ging es uns besonders um die Benennung des konkreten Forschungsvorhabens, die Dauer des Zugriffs, die dafür zur Verfügung gestellten Datenkategorien sowie die Veröffentlichung von Verstößen gegen Verschwiegenheitsverpflichtungen auf der Website.
Auch wenn nicht all diesen Punkten entsprochen wurde, gilt es zu betonen, dass es hinsichtlich der Transparenz zu eindeutigen Verbesserungen kam: Fortan hat die Statistik Austria auf der Website zu veröffentlichen, welchen wissenschaftlichen Einrichtungen der Online-Zugang eingeräumt wird. Weiters hat sie anzugeben, für welches Forschungsvorhaben dies geschieht und auf welche Arten von Statistikdaten der Zugriff gewährt wurde. Auch die wissenschaftliche Leitung des Forschungsvorhabens hat die Bundesanstalt zukünftig auf der Website zu benennen. Wir begrüßen diese Änderungen ausdrücklich, die zumindest eine öffentliche Debatte über die zugriffsberechtigte Forschung ermöglichen.
Aufbereitung der für den Fernzugriff bestimmten Daten
Grundsätzlich verpflichtet der Gesetzgeber die Statistik Austria zu einer Anonymisierung der für den Online-Zugriff bestimmten Daten, was aber leider mit zwei wesentlichen Problemen einhergeht.
Einerseits beschränkt die Bestimmung diese essentielle Aufgabe lediglich auf eine Identifikation der betroffenen Personen und Unternehmen anhand deren Namen, ihrer Anschrift, oder einer öffentlich zugänglichen Identifikationsnummer.
Hierbei kann keinesfalls von einer wirkungsvollen Anonymisierung gesprochen werden, da Betroffene durch Informationen wie etwa Arbeitgeber*in, letzter Krankenstand oder Impftermin nach wie vor ohne größeren Aufwand identifizierbar bleiben. Demgemäß würde es sich weiterhin um personenbezogene Daten handeln, die dem Schutz der DSGVO unterliegen müssten.
Andererseits spricht der Gesetzgeber, wie bereits angeführt, dezidiert von einer Anonymisierung der jeweiligen Daten. Damit bricht die türkis-grüne Bundesregierung mit einem in Österreich seit vielen Jahrzehnten festgeschriebenen Grundsatz: Daten, die mit einem bereichspezifischen Personenkennzeichen (bPK) versehen sind, galten bislang als pseudonyme Daten und nicht als anonyme Daten. Wichtig zu unterscheiden dabei ist, dass auf anonyme Daten weder die DSGVO noch das DSG anwendbar sind. Die Vorgehensweise in der Formulierung im nunmehrigen Entwurf ("Anonymisierung") hat nun aber zur Folge, dass das gesamte Datenschutzregime ausgehebelt und Personen um all ihre Betroffenenrechte aus der DSGVO gebracht werden. Das ist ein Dammbruch, da bPKs im gesamten E-Government in Österreich zum Einsatz kommen. Folgt man dieser Rechtsauffassung, könnten Betroffene in fast allen staatlichen Datenbanken um ihre Datenschutzrechte umfallen.
Das Gesetz sieht sich über der DSGVO
Darüber hinaus gilt es, auch den Erläuterungen zum vorgelegten Entwurf ein besonderes Augenmerk zu schenken. Denn auch hier schlägt der Gesetzgeber einen Weg ein, der so nicht nachvollziehbar ist, gar einen gefährlichen Präzedenzfall darstellen könnte: Um bestehende Unvereinbarkeiten mit der DSGVO aufzulösen, räumt man der Verordnung über europäische Statistiken (Verordnung (EG) Nr. 223/2009) einen Anwendungsvorrang gegenüber der DSGVO ein. Jedoch können die Vorgaben der DSGVO nicht durch früheres Unionsrecht aufgehoben werden, wenn die DSGVO derartiges nicht explizit in ihren Schlussbestimmungen zulässt. Da dies durch die DSGVO im Hinblick auf Unionsrechtsakte aus dem Bereich der Statistik nicht erfolgt ist, kann ein solches Vorgehen, wie es im Gesetzesentwurf erfolgt, auch nicht als europarechtskonform erachtet werden und stellt damit einen Verstoß gegen die DSGVO dar.
Verschwiegenheit
Auch hier kam es zu einer positiven Entwicklung, indem die Verschwiegenheitspflicht der am Forschungsvorhaben mitwirkenden Personen nachgeschärft wurde. Neben einer allgemeinen, bereits im ersten Gesetzesentwurf vorgesehenen, schriftlichen Verschwiegenheitserklärung müssen sich diese Personen von nun an zusätzlich dazu verpflichten, die ihnen für die Zwei-Faktor-Authentifizierung zugewiesenenen persönlichen Zugangsdaten geheim zu halten. Dies stellt zweifelos einen richtigen Schritt dar, um einem bestehenden Missbrauchspotenzial entgegenzuwirken.
Stichprobenartige Kontrolle
Obwohl das Gesetz eine massive Ausweitung der zugriffsberechtigten Personen und der über die Bevölkerung zusammengetragenen Daten mit sich bringt, werden gleichzeitig auch die Protokollpflichten abgeschwächt. Bisher musste jeder Zugriff auf personenbezogene Daten "lückenlos protokolliert" werden. Die Regierung will das abschwächen, künftig ist nur noch:
"Protokoll zu führen, damit tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können."
Um Missbrauch im Nachhinein wenigstens aufzudecken, sind die statistischen Auswertungen und Ergebnisse des Forschungsvorhabens schließlich durch die Statistik Austria dahingehend zu überprüfen, ob Rückschlüsse auf Betroffene ausgeschlossen werden können. Diese Überprüfung erfolgt jedoch weiterhin nur „stichprobengestützt und unter Anwendung automatisierter Algorithmen", während es gleichzeitig zu einer Abschwächung der Protokollpflichten für zugriffsberechtigte Personen kommt.
Ob man dabei von einer ernstgemeinten Berücksichtigung datenschutzrechtlicher Interessen sprechen kann, erscheint höchst zweifelhaft und hier wird aus unserer Sicht ein Anreiz für Missbrauch geschaffen. Auch diesbezüglich mussten wir leider feststellen, dass der Gesetzgeber unsere Forderungen nicht berücksichtigt hat und weiterhin nicht auf eine vollumfängliche Kontrolle der Datenverarbeitung setzt.
Ausleitung der Daten
Weiters möglich scheint darüber hinaus die Ausleitung von Daten zu sein. Schon in der Begutachtung war vorgesehen, dass Daten nicht auf externen Datenträgern abgespeichert werden dürfen. In Anbetracht der Tatsache, dass ein Online-Zugriff aber jedenfalls eine direkte oder indirekte Anbindung der jeweiligen Arbeitsgeräte ans Internet erfordert, ist diese Bestimmung zu eng gefasst. Vielmehr muss die Ausleitung von Daten auf jedwedem Weg unterbunden sein. Ohne einer Klarstellung wäre eine Kopie der Daten über das Netzwerk keine Umgehung der Bestimmungen der gesicherten Umgebung, wie wir bereits in unsererer Stellungnahme festgehalten haben.
Stattdessen wurde die Bestimmung dahingehend geändert, dass Forscher*innen selbst auf die Registerdaten keinen Schreibzugriff haben sollen, was technisch gesehen wenig Sinn ergibt und die ganze Bestimmung in Zweifel zieht.
"Der Online-Zugang darf nur bei Vorhandensein einer gesicherten Umgebung für wissenschaftliche Arbeiten unter Ausschluss der Möglichkeit der Abspeicherung von vertraulichen Daten auf externe Datenträger und der Hinzufügung von Daten durch die wissenschaftliche Einrichtung gewährt werden."
Conclusio
Zusammenfassend muss festgehalten werden, dass dem Gesetzgeber der Spagat zwischen der Ermöglichung innovativer Forschung und den Anforderungen des Datenschutzes nicht gelungen ist. Darüber täuschen auch die Fortschritte in den Bereichen der Transparenz und Verschwiegenheit nicht hinweg. Dabei möchten wir nochmals darauf hinweisen, dass sich für all die genannten Probleme Lösungsvorschläge in unserer Stellungnahme befinden, die der Gesetzgeber jedoch leider nicht bzw. nicht ausreichend beherzigt hat. Gerade einfach zu lösende Probleme, wie die Aufhebung der Verpflichtung, dass Forscher*innen ihren Umgang mit personenbezogenen Registerdaten lückenlos protokollieren, sind ein Beleg für den fehlenden Anspruch der Bundesregierung, ein gutes Gesetz vorzulegen. Der heute veröffentlichte offene Brief der namenhaftesten Datenschützer*innen in Österreich und sogar Forscher*innen ist hoffentlich ein Weckruf.
Da du hier bist!
… haben wir eine Bitte an dich. Du möchtest der Regierung auf die Finger schauen? Möchtest du immer auf dem neuesten Stand sein zu Überwachung, Datenschutz, Netzneutralität, und allen Themen, die unsere Grund- und Freiheitsrechte im Netz betreffen? Abonniere unseren Newsletter und wir informieren dich etwa einmal im Monat über das netzpolitische Geschehen in Österreich und Europa, unsere Aktionen, juristischen Analysen und Positionspapiere.
Gemeinsam verteidigen wir unsere Grund- und Freiheitsrechte im digitalen Zeitalter, denn Zivilgesellschaft wirkt! Bleib informiert!