Umsetzung der DSGVO – Novelle des Sicherheitspolizeigesetzes verstößt gegen Datenschutzrecht, Verfassungs- und Unionsrecht

Die Novelle des Sicherheitspolizeigesetzes verstößt gegen die DSGVO, Verfassungs- und Unionsrecht, denn die Protokollierung jener Person, die Daten von Betroffenen abfragt, wird explizit ausgeschlossen.

Man mag über die ab 25. Mai 2018 geltende Verordnung 2016/679 der Europäischen Union zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutz-Grundverordnung, besser bekannt als DSGVO) geteilter Meinung sein – endlich ein angemessenes Schutzniveau für personenbezogene Daten, das schon längst überfällig ist, werden die einen sagen (nach und nach setzt sich ja die Meinung durch, dass auch Daten ein Gut sind, das es, wie das Geld am Sparbuch, zu schützen gilt). Überbordender Regulierungszwang der Europäischen Union, der den kleinen Gewerbetreibenden an die Grenzen des Administrierbaren treibt, werden die anderen sagen.

Egal, welchem Lager man sich zugehörig fühlt, eines bewirkt die DSGVO in jedem Fall: Unternehmen müssen spätestens jetzt beginnen (bzw. wer erst jetzt beginnt, ist ohnehin schon spät dran), sich mit den internen Datenverarbeitungsprozessen auseinander zu setzen und zu hinterfragen, ob man tatsächlich für die Abwicklung der Geschäftsprozesse die vollständige Biografie des Geschäftspartners ermitteln und speichern muss (beides natürlich Datenverarbeitungsvorgänge iSd DSGVO). Durch die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (gem. Art 30 DSGVO) entsteht mit Sicherheit eine Sensibilisierung für den Umgang mit personenbezogenen Daten, was auch die Chance bietet, möglicherweise überfällige Maßnahmen zur Prozessoptimierung umzusetzen und die Sammelleidenschaft betreffend Daten zu beenden. Jetzt geht es ja in einem Aufwasch.

Wie sieht es nun aber mit dem Umgang mit Daten von Behördenseite aus? Hier liefert der neue Innenminister ein Paradebeispiel, das zeigt, dass es dem Staat wohl nicht um die Maximierung des Datenschutzes, sondern wohl eher um die Beschränkung des Datenschutzes geht. Warum das?

Ein Blick in das aktuell in Begutachtung befindliche Datenschutz-Anpassungsgesetz–Inneres (3/ME XXVI. GP), das auch eine Novelle des § 63 SPG beinhaltet, verrät so Einiges darüber, wie es der neue Innenminister mit dem Datenschutz hält.

Diesem Anpassungsgesetz nach soll § 63 Abs 3 SPG nunmehr wie folgt lauten: „§ 50 DSG gilt mit der Maßgabe, dass die Zuordnung zu einem bestimmten Organwalter bei automatisierten Abfragen nicht erforderlich ist. Die Protokollaufzeichnungen sind zwei Jahre aufzubewahren und danach zu löschen. […]“

Nun kann man hinterfragen, ob die Verkürzung der Speicherzeit von drei auf zwei Jahre dem Schutz der Daten des Bürgers oder nicht viel eher dem Schutz des abfragenden Beamten dient. Die offizielle Begründung laut Erläuterung zur Regierungsvorlage, dass diese zeitliche Limitierung dem Grundsatz der Speicherbegrenzung geschuldet sei, ist zumindest ein diskussionswürdiger Erklärungsversuch. Eine ganz wesentliche und tiefgreifende Änderung enthält jedoch der erste Satz dieser Bestimmung.

§ 50 DSG (in der Fassung, die am 25. Mai 2018 gleichzeitig mit der DSGVO in Kraft tritt; BGBl. I Nr. 120/2017) bestimmt, dass Verarbeitungsvorgänge in automatisierter Form zu protokollieren sind und aus den Protokolldaten unter anderem die Identifizierung der Person, die die personenbezogenen Daten verarbeitet hat, hervorgeht. Mit anderen Worten: Es muss nachvollziehbar sein, wer konkret personenbezogene Daten abgefragt hat.

Warum? Weil § 50 Abs 1 DSG bestimmt, dass die Möglichkeit bestehen muss, die Zulässigkeit der Verarbeitung nachzuvollziehen und zu überprüfen, und § 50 Abs 3 DSG besagt, dass die Protokolldaten „zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung einschließlich der Eigenüberwachung, der Gewährleistung von Integrität und Sicherheit der personenbezogenen Daten sowie in gerichtlichen Strafverfahren verwendet werden.“ Integrität und Vertraulichkeit einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sind auch gemäß Art 5 Abs 1 lit f DSGVO zu beachtende Grundsätze für die Verarbeitung personenbezogener Daten und daher unionsrechtliche Vorgaben – gemäß Art 5 Abs 2 DSGVO muss der Verantwortliche (die Sicherheitsbehörden) auch die Einhaltung dieses Grundsatzes nachweisen können. Und, für jene, denen diese Bestimmungen noch immer nicht reichen, sogar der in Verfassungsrang stehende § 1 Abs 3 DSG regelt, dass jedermann das Recht auf Auskunft darüber hat, wer welche Daten über ihn verarbeitet.

Wenn nun jedoch § 63 Abs 3 SPG bestimmen soll (die Begutachtungsfrist endet am 8.2.2018), dass „die Zuordnung zu einem bestimmten Organwalter bei automatisierten Abfragen nicht erforderlich ist“, so bedeutet das offenbar nichts anderes, als dass aus Sicht des Innenministers die Gewährleistung von Integrität und Sicherheit der personenbezogenen Daten bzw. der Grundsatz von Integrität und Vertraulichkeit im Rahmen der sicherheitspolizeilichen Tätigkeit nicht notwendig ist. Das ist starker Tobak.

Nun stellt sich die Frage: Ist das überhaupt rechtens? Ein Blick in die Richtlinie 2016/680 (Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden […]) lässt hier Zweifel aufkommen. Dort heißt es in Art 25 Abs 1: „Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identifizierung der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers solcher personenbezogenen Daten festzustellen.“

Das mag ausreichend klar sein und die Ansicht stützen, dass die Novelle des § 63 Abs 3 SPG, die § 50 DSG für eingeschränkt anwendbar erklärt, richtlinienwidrig ist. Aber hat das das Innenministerium nicht erkannt? Doch, aber der Innenminister hat die Bestimmung einfach eigenmächtig erweitert und damit gleichzeitig den Anwendungsbereich beschränkt. In den Erläuterungen des BMI heißt es dazu: „Die Zuordnung zu einem bestimmten Organwalter ist bei automatisierten Abfragen auch weiterhin nicht erforderlich (vgl. Art. 25 Abs.1 DS-RL, wonach die Identifizierung der Person, welche die Daten abgefragt oder offengelegt hat, nur so weit wie möglich zu ermöglichen ist).“ Und diese Begründung, dass die Zuordnung nicht erforderlich wäre, schreibt das BMI auch ins Gesetz.

Das Innenministerium hat hier allerdings einfach das Kriterium der Erforderlichkeit dazu geschummelt und erklärt selbstbewusst, dass die Protokollierungspflicht entfallen kann, da sie ja nicht erforderlich ist. Aber wie der Blick in die RL 2016/680 zeigt, ist die Erforderlichkeit kein relevantes Kriterium. Abgesehen davon, dass die Erforderlichkeit eine eigenmächtig ergänzte Voraussetzung ist, stellt sich die Frage, wo es denn überhaupt erforderlich ist, wenn nicht gerade bei jener Behörde, die Zugriff zu Überwachungsmaßnahmen hat und diese Maßnahmen auch noch erweitern will. Wenn die Protokollierung jener Person, die die Daten abgefragt hat, irgendwo erforderlich ist, dann wohl bei den Behörden mit sicherheitspolizeilichen Befugnissen.

Es wäre nun zumindest wünschenswert gewesen, würde das Innenministerium zumindest probieren, zu begründen, warum die Protokollierung der abfragenden Person nicht erforderlich bzw., wenn man die Richtlinie korrekt wiedergibt, nicht möglich ist. Warum soll die Protokollierung von Zweck, Art der verarbeiteten Daten, Datum und Uhrzeit der Verarbeitung möglich sein, nicht aber die Protokollierung jener Person, die die Daten abfragt? Diese Frage lässt das BMI offen.

Aber ist dieser Wegfall der Protokollierungspflicht und Zuordnung zur abfragenden Person im SPG bloß Zufall? Offenkundig nein, denn auch im Passgesetz (§ 22a Abs 6) und im Polizeikooperationsgesetz (§ 11) soll die Zuordnung zu dem abfragenden Organwalter entfallen. Auch bei den Erläuterungen zu diesen Bestimmungen sucht man eine sachgerechte Erklärung des BMI vergeblich.

Im Ergebnis bedeutet das: Die Richtlinie 2016/680 sieht explizit vor, dass in automatisierten Verarbeitungssystemen die Person, die auf personenbezogene Daten zugreift, protokolliert werden muss. § 50 DSG erläutert diese Bestimmung sogar in richtlinienkonformer Weise, indem das Gesetz bestimmt, dass die Gewährleistung von Integrität überprüft werden muss. Die Novelle des § 64 Abs 3 SPG sagt aber ganz trocken: „Bei uns, also Behörden im Rahmen der Vollziehung der Sicherheitsverwaltung und Ausübung der Sicherheitspolizei, ist das nicht erforderlich“ – und im Rahmen des Passgesetzes und des Polizeikooperationsgesetz im Übrigen auch nicht. Das ist schlicht richtlinienwidrig und stellt einen krassen Eingriff in das verfassungsmäßig gewährleistete Recht auf Datenschutz dar, das in § 1 DSG und Art 8 der EU-Grundrechtecharta verankert ist.

Bei dieser Gelegenheit eine Nachfrage: Ist Ihr Unternehmen schon fit für die DSGVO? Für alle Fragen dazu können Sie sich an mich wenden – keine Sorge, natürlich kostenlos und unverbindlich!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*