LINZ (ee) - Österreichs Parlamentarier halten offensichtlich nicht viel vom Sachverstand der EDV-Spezialisten, wenn es um Datenschutzbelange geht. Das Mitte Oktober beschlossene "Bundesgesetz über den Schutz personenbezogener Daten" setzt zum Beispiel bei Streitigkeiten, die sich aus diesem Gesetz ergeben, eine Datenschutzkommission ein, in der die Mitgliedschaft von "Datenverarbeitern" ausdrücklich untersagt ist. Kritisch setzt sich Oberpostrat Dr. Friedrich Kieslich Post- und Telegraphenvenvaltung Linz/Donau, mit den wesentlichen Merkmalen des Paragraphenwerks im privatwirtschaftlichen Bereich auseinander; das Datenschutzgesetz hat in Österreich Verfassungsrang.

Durch eine Verfassungsbestimmung im ersten Abschnitt des Gesetzes ist für jedermann die Geheimhaltung der seine Person betreffenden Daten gewährleistet. Und jeder hat im Rahmen dieses Gesetzes das Recht, wenn seine Daten automationsunterstützt verarbeitet werden, Auskunft darüber zu verlangen, wer und wer welche Daten über ihn ermittelt oder verarbeitet, woher diese Daten stammen und wozu sie verwendet werden, aber auch wem sie übermittelt werden. Außerdem hat jeder das Recht, daß Daten berichtigt und bei unzulässiger Ermittlung oder Verarbeitung gelöscht werden. Einschränkungen dieser verfassungsmäßig gewährleisteten Rechte sind nur nach Art. 8 Abs. 2 der Menschenrechtskonvention 1958 zulässig. Der Schutz diese Grundrechtes wird für den privaten Bereich den ordentlichen Gerichten zugewiesen.

Der 3. Abschnitt des Gesetzes regelt die Datenverarbeitung im Bereich der privaten Rechtsträger. In diesem Bereich sind grundsätzlich zwei Arten der Verarbeitung personenbezogener Daten zu unterscheiden.

Die erste Art der Verarbeitung stellt auf den berechtigten Zweck des Rechtsträgers ab, wie er sich aus der Rechtsordnung ableitet. Grundlage ist hier in der Regel die Gewerbeordnung oder das ABGB. Einer Beschränkung unterliegt die Übermittlung von Daten an einen anderen Empfänger als den Betroffenen, den Auftraggeber oder den Verarbeiter. Auch das Verknüpfen von Daten verschiedener Aufgabenbereiche gilt als Übermittlung. Die Übermittlung ist zulässig, wenn der Betroffene ausdrücklich schriftlich zugestimmt hat, wobei ein Widerruf jederzeit zulässig ist. Weiters ohne Zustimmung, wenn die Übermittlung zum berechtigten Geschäftszweck des Rechtsträgers gehört oder wenn diese zur Wahrung überwiegender berechtigter Interessen eines Dritten notwendig ist. Selbstredend ist die Übermittlung auf Grund gesetzlicher Verpflichtungen und bei anonymisierter Übermittlung gestattet. Die Problematik liegt hier in der dehnbaren Festlegung der Grenzbegriffe, die erst in langwierigen Verfahren durch die Gerichte entschieden werden können.

Die zweite Art der Verarbeitung von Daten für den privaten Bereich gilt für die eigenen Zwecke des Rechtsträgers und berührt die Daten von Personen ,die mit dem Rechtsträger in einem Dienst-- oder Vertragsverhältnis stehen, und auch für die Mitglieder von Vereinen. Voraussetzung für die Zulässigkeit der Verarbeitung ist die umfassende schriftliche Information des Betroffenen über Art, Umfang und Zweck der Verarbeitung. Übermittlungen sind nur zulässig auf Grund gesetzlicher Verpflichtungen, zur Abwicklung des Geld- und Zahlungsverkehrs sowie mit Zustimmung des Betroffenen in Einzelfällen an genau bezeichnete Empfänger.

Mit Ausnahme der Verarbeitungen der zweiten Art für eigene Zwecke des Rechtsträgers unterliegt der gesamte Datenverkehr im privatrechtlichen Bereich der Registrierungspflicht beim öffentlichen Datenschutzregister, das beim Österreichischen Statistischen Zentralamt eingerichtet wird. Auch Datenverarbeitung als Dienstleistung ist registrierungspflichtig, ebenso der ausländische Datenverkehr, wenn Daten von Inländern nach dem Ausland übermittelt werden. Durch die Registrierung von Verarbeitungen für eigene Zwecke kann der Rechtsträger die Informationspflicht des Betroffenen umgehen, andererseits kann durch eine Verordnung des Bundeskanzlers nach Anhörung des Datenschutzrates ein bestimmter Verarbeitungsbereich der Registrierung unterworfen werden.

Über Registrierung oder Ablehnung entscheidet die Datenschutzkommission nach Anhörung des Registeramtes binnen sechs Wochen nach Einlangen. Als Ablehnungsgründe sind im Gesetz angeführt fehlende behördliche Bewilligung für internationalen Datenverkehr oder Unvollständigkeit des Antrages. Die bei der Registrierung zugewiesene Registernummer ist bei allen Übermittlungen und Ausgaben sowie bei Auskünften an den Betroffenen beizufügen. Die Verarbeiter werden daher nicht darum herumkommen, in den Datenbanken und Dateien ein Datenschutzsegment oder Datenschutzfeld vorzusehen, um den gesetzlichen Verpflichtungen zu genügen.

Für die berufsmäßig im EDV-Bereich Beschäftigten wurde ein dem Amtsgeheimnis im öffentlichen Bereich entsprechendes Datengeheimnis geschaffen, das zur Geheimhaltung von Tatsachen verpflichtet, die in Ausübung des Berufes zur Kenntnis gelangt sind.

Kontrollorgane des Datenschutzes sind die Datenschutzkommission und der Datenschutzrat. Die Datenschutzkommission als Verwaltungs- und Entscheidungsgremium des Datenschutzes setzt sich aus einem richterlichen Mitglied über Vorschlag des Obersten Gerichtshofes, zwei Vertretern der Länder und einem rechtskundigen Beamten des Bundes zusammen. Ausgeschlossen sind Mitglieder des Bundes und der Landesregierungen einschließlich der Staatssekretäre und Personen, die mit der Verarbeitung von Daten, auf die die Bestimmungen dieses Bundesgesetzes Anwendung finden, befaßt sind. Außerdem müssen die Mitglieder zum Nationalrat wählbar sein.

Legisvakanz bis 1980

Die Datenschutzkommission hat über Verlangen den Betroffenen in Streitigkeiten aus Ansprüchen nach diesem Bundesgesetz zu vertreten und für das Gericht Gutachten zu erstatten, Bewilligungen im internationalen Datenverkehr zu erteilen und Bescheide in Registerangelegenheiten zu erlassen. Ich überlasse es der Beurteilung des Lesers, was bei den Entscheidungen und Gutachten dieser Kommission herauskommen soll, wenn Personen mit Sachkenntnis von Gesetzes wegen von der Mitgliedschaft ausgeschlossen sind. Auch bei den Richtern und Beamten des Bundes und die Länder habe ich in meiner langjährigen Laufbahn noch keinen EDV-Fachmann angetroffen, der nicht auch im EDV-Bereich tätig ist. Da aber nach einer weiteren Verfassungsbestimmung dieses Gesetzes diese Kommission auch Berichte und Empfehlungen zur Verbesserung des Datenschutzes und zur Anwendung neuer Technologien im EDV-Bereich sowie zu Rechtsvorschriften erstatten soll, frage ich mich, wie die Kommissionsmitglieder die dafür notwendigen Erfahrungen und Kenntnisse erlangen sollen, wenn sie nicht im EDV-Bereich mitarbeiten dürfen.

Der Datenschutzrat ist das politische Gremium des Datenschutzes, das von den politischen Parteien entsprechend ihrer Mandatsstärke im Nationalrat, den Berufsvertretungen sowie Vertretern des Bundes, der Länder, des Städte- und Gemeindebundes beschickt wird, für deren Mitglieder jedoch keine Ausschließungsgründe analog denen der Datenschutzkommission genannt sind. Ihre Aufgabe ist vor allem die Beratung der Bundesregierung und der Landesregierungen sowie der gesetzgebenden Organe zur Verbesserung des Datenschutzes.

Es ist nur zu hoffen, daß die gesetzgebenden Organe die Zeit der Legisvakanz, das ist bis 1980, noch dazu nützen, die Ungereimtheiten dieses Gesetzes zu beseitigen, um es zum Wohle der Betroffenen administrierbar zu machen.