Schnellauswahl

Datenschutz-Expertin: "Rute im Fenster könnte stärker sein"

(c) Presse Digital (Philipp Splechtna)
  • Drucken

Datenschutzkommissions-Mitglied Eva Souhrada-Kirchmayer im DiePresse.com-Interview über ihre Arbeit und warum es einer weltweiten Datenschutzregelung bedarf.

In letzter Zeit häufen sich die Schreckensmeldungen über Datensicherheit in Österreich. DiePresse.com sprach mit Eva Souhrada-Kirchmayer von der Datenschutzkommission über das Thema.

DiePresse.com: Das Datenschutzgesetz in Österreich hat den Zusatz "2000". Jetzt haben wir 2011. Inzwischen haben wir die Entstehung von Diensten wie Facebook erlebt. Ist das Gesetz überhaupt noch zeitgemäß?

Eva Souhrada-Kirchmayer: Zum einen muss man dazu sagen, dass das Datenschutzgesetz 2010 novelliert wurde, indem einige Bestimmungen eingefügt wurden, insbesondere die Videoüberwachung. Das Datenschutzgesetz ist an und für sich technologieneutral. Es gibt aber neue Technologien, denen man vielleicht mehr Rechnung tragen sollte und auf die das Datenschutzgesetz vielleicht nicht mehr die ganz  richtigen Antworten gibt. Es wird auch an einer europäischen Regelung gearbeitet, die dieser Online-Umgebung besonders Rechnung tragen will. Einer der Punkte, die nach Wunsch der Europäischen Kommission enthalten sein sollen, ist die Stärkung der Rechte des Betroffenen in der Online-Umgebung.

Bleiben wir beim Thema europäischer Datenschutz. Hat Österreich als kleines Land mit seinen Einzelbestimmungen angesichts der weltweiten Ausmaße der Entwicklungen überhaupt noch eine Chance, seine Bürger zu schützen?

Jedes EU-Land hat die Datenschutzrichtlinie in einem eigenen Datenschutzgesetz umgesetzt. Natürlich haben wir Bestimmungen, die von denen anderer Länder ein bisschen divergieren. Im Prinzip sind wir alle an diese Datenschutzrichtlinie gebunden. Aber es stimmt, dass es immer mehr Probleme gibt, die grenzüberschreitend sind, mit denen mehrere Datenschutzbehörden beschäftigt sind. Eines dieser Probleme war zum Beispiel Google Street View. Problematisch bleibt der Bereich außerhalb Europas. Eigentlich bräuchte man ein globales Rechtsinstrument. Selbst dann, wenn es das neue europäische Rechtsinstrument geben wird, das die alte Richtlinie ablöst, bleibt das Problem bestehen, dass die Datenflüsse in Drittstaaten wie die USA oder asiatische Länder immer ad-hoc-Lösungen brauchen.

Stichwort Datenfluss in die USA, Flugdaten und SWIFT. Wie fühlen Sie sich - nicht als Mitglied der Datenschutzkommission, sondern als Person - dabei, wenn Sie wissen, die USA können einfach so erfragen, wo Sie hinfliegen und welche Überweisungen Sie tätigen?

Das, was mich ganz persönlich beunruhigt ist, dass hier vorbeugend Daten gesammelt werden, obwohl man nichts angestellt hat, sondern nur ein Flugzeug benützt. Das ist so eine Art kleine Vorratsdatenspeicherung. Dass es dann auch noch zu gewissen Auswertungen kommen soll, wer verdächtig wirkt, ist schon ein intensiver Eingriff in das Grundrecht auf Datenschutz.

Zur Vorratsdatenspeicherung: Jetzt hat man in den letzten Wochen gesehen, dass viele staatsnahe Einrichtungen nicht über die beste Daten- und Serversicherheit verfügen. Wie groß kann überhaupt das Vertrauen sein, dass Vorratsdaten sicher sind?

Es sind schon spezielle Datensicherheitsmaßnahmen vorgesehen und eine Datensicherheitsverordnung wurde vom Verkehrsministerium in Begutachtung geschickt. Da hat man sich schon Gedanken gemacht. Ich hoffe schon, dass diese Daten relativ sicher sein werden. Allerdings muss man einräumen, dass es eine absolute Sicherheit nicht gibt, das wissen wir alle.

Die Vorratsdaten-Richtlinien wurde in Deutschland überschießend umgesetzt

Eva Souhrada-Kirchmayer

In Deutschland hat es eine besonders heftige Diskussion über die Vorratsdatenspeicherung gegeben. Einige meinten sogar, Erinnerungen an die Stasi werden wach. Warum war der Protest in Österreich nicht so stark ausgeprägt?

Zum Einen vielleicht deshalb, weil die Vorratsdatenspeicherungs-Richtlinie in Deutschland überschießend umgesetzt wurde. Das hat das Bundesverfassungsgericht auch festgestellt. Man hat von vornherein auch vorgesehen, dass für sicherheitspolizeiliche Zwecke und zur Strafverfolgung geringfügiger Delikte diese Daten verwendet werden dürfen. Bei uns hat der Prozess wesentlich länger gedauert, weil man lange mit der Umsetzung gezögert hat. Und dann wurde das Boltzmann-Institut für Menschenrechte, einer der größten Kritiker der Vorratsdatenspeicherung, beauftragt einen Gesetzesentwurf zu machen. Damit hat man vielen Kritikern den Wind aus den Segeln genommen, weil das Institut sich natürlich bemüht hat, im Rahmen der Richtlinie eine Minimumumsetzung vorzusehen. Im letzten Stadium ist dann schon Kritik laut geworden, weil dann die Strafprozessordnungs- und Sicherheitspolizeigesetznovellen erlassen wurden, in denen die Zugriffsrechte auf die Vorratsdaten geregelt sind

Das grundsätzliche Problem aus Sicht eines Datenschützers muss doch sein, dass hunderttausende Daten einfach so gespeichert werden...

Die Gruppe der unabhängigen Datenschutzbehörden, in der auch die österreichische Datenschutzkommission vertreten ist, hat sich wiederholt kritisch zur Vorratsdatenspeicherung ausgesprochen. Und wir haben immer darauf hingewiesen, dass sich hier die Frage der Verhältnismäßigkeit stellt.

Das Gesetz regelt, wer wann auf die Daten zugreifen darf. Verzeihen Sie meinen Unglauben, dass immer alles korrekt abläuft...

Überall wo Daten anfallen, ist auch die Gefahr des Missbrauchs gegeben. Das muss man einfach zur Kenntnis nehmen. Man kann versuchen, mit effizienten Datensicherheitsmaßnahmen das Schlimmste zu verhindern. Was ich zum Beispiel nie verhindern kann ist, dass eine Person, die rechtmäßig Kenntnis von Daten erlangt, diese Daten weitergibt. Es ist ja auch nicht ausgeschlossen, dass das bei den Polizeidaten, die Anonymous veröffentlicht hat, geschehen ist. Da mögen zwar vielleicht Missbrauch der Amtsgewalt und andere strafbare Tatbestände vorliegen, aber verhindern kann man es nicht.

Bleiben wir bei Sanktionen. Dem Verursacher des Datenlecks bei der Tiroler Gebietskrankenkasse etwa droht maximal eine Verwaltungsstrafe von 10.000 Euro. Für viele ist das gering.

Wenn es um eine reine Verletzung der Datensicherheit geht, ist dies Maximalgrenze gegeben. Die Frage ist, ob sonstige Tatbestände erfüllt sind. Das kann ich nicht sagen, da wir selbst nicht Strafbehörde sind. Für Verwaltungsstrafen sind die Bezirksverwaltungsbehörden zuständig. Und über gerichtlich strafbare Handlungen urteilen die Gerichte.

In anderen Staaten haben Datenschutzbehörden Strafbefugnisse

Eva Souhrada-Kirchmayer

Können die Bezirksverwaltungen das überhaupt korrekt beurteilen? Ich kann mir schwer vorstellen, dass in jedem kleinen Bezirk ein Datenschutzexperte sitzt.

Wir müssen davon ausgehen, dass diese Behörden sich das Datenschutz-Knowhow zulegen. In einigen anderen Staaten haben wohl deshalb die Datenschutzbehörden Strafbefugnisse. In der EU-Richtlinie steht nur, dass Sanktionen vorgesehen sein müssen. Darum gibt es diesen Spielraum.

Ärgert Sie das eigentlich, dass Sie das, auf was Sie eigentlich aufpassen müssen, nicht exekutieren dürfen?

Manchmal hab ich den Eindruck, dass die Rute im Fenster etwas stärker wäre, wenn wir auch Strafen verhängen könnten. Von manchen europäischen Datenschutzbehörden wurden auch schon sehr hohe Strafen ausgesprochen.

Was wäre da ein Wunschvorbild?

Mein Wunsch wäre, dass die Kompetenzen der europäischen Datenschutzbehörden vereinheitlicht werden. Man muss sich überlegen, in welche Richtung, aber es ist sehr unbefriedigend, dass eine Datenschutzbehörde etwas darf, was die andere nicht darf. Das muss stärker harmonisiert werden.

Hat die Datenschutzkommission zu wenig Handlungsspielraum?

Es ist eine rechtspolitisch zu entscheidende Frage, welche Kompetenzen man der Datenschutzkommission gibt. Gewisse Grundkompetenzen sind von Artikel 28 der EU-Datenschutzrichtlinie vorgegeben.

Wenn ich §14 Datenschutzgesetz richtig verstanden habe, müssen Firmen, wenn sie Daten verarbeiten, selbst eine Risikoeinschätzung vornehmen und anhand dieser Schutzmaßnahmen einführen. Macht man da nicht den Bock zum Gärtner?

Die Datenschutzbehörden können nicht alle Auftraggeber überprüfen. Diejenigen, die die Daten verarbeiten, müssen daher stärker in die Pflicht genommen werden. Angedacht wird auch im Zusammenhang mit dem künftigen europäischen Rechtsinstrument das sogenannte "accountability principle", wonach Firmen und Organisationen, die Daten verarbeiten, für ihr Tun verantwortlich sind und das nach außen auch sichtbar machen sollen, dass der Datenschutz eingehalten wird. Da denkt man zum Beispiel an "privacy impact assessments", oder Gütesiegel. Der Grundsatz "privacy by design" sollte von vornherein berücksichtigt werden. Je sensibler die Daten sind, desto größer muss natürlich der Sicherheitsaufwand sein.

Wird das auch geprüft? Da können Firmen ja einfach etwas behaupten?

Im Einzelfall können wir das prüfen. Aber das ist in dieser Kumulation wie zuletzt ein neues Problem. Da haben wir bisher wenige Beschwerden gehabt. Mit diesen Anonymous-Aktionen ist die Datensicherheit plötzlich ein zentrales Thema geworden.

Weil es früher nicht beachtet wurde?

Offenbar ist früher nicht so viel passiert. Vielleicht hatten die öffentlichen Stellen und Unternehmen auch einfach nur Glück, dass nicht so viel passiert ist. Die klassischen Beschwerden beziehen sich auf Datenweitergabe oder unrechtmäßige Ermittlung von Daten. Wegen mangelnder Datensicherheit kann man sich ohnehin nicht förmlich beschweren, da kann man nur ein Ombudsmannverfahren anstoßen. Aber das ist bis jetzt in dieser Ansammlung auch nicht vorgekommen.

Wie oft prüft die Datenschutzkommission Unternehmen?

Formlose Verfahren gibt es zahlreiche, Systemprüfungen an Ort und Stelle finden jedoch eher selten statt.

Sie haben Anonymous erwähnt. Sehen Sie das, was diese Gruppe tut, als intensiven Eingriff in die Privatsphäre anderer Menschen? Oder ist es nicht so schlimm, weil es bisher nicht hochsensible Informationen waren?

Man darf nicht übersehen, dass die Gruppe Anonymous dann gegen den Datenschutz verstößt, wenn sie sich Daten widerrechtlich aneignet. Es ist aber noch zu prüfen, ob wirklich etwas gehackt wurde. Es ist aber nicht nur beim Beschaffen der Daten geblieben, sondern zu Veröffentlichungen gekommen. Und das ist natürlich schon ein Problem, weil man da Polizisten vielleicht beeinträchtigt, wenn sie dann bedroht werden. Das ganze war ja angeblich als Akt gegen die Vorratsdatenspeicherung gedacht. Und die Polizisten haben diese Regelung ja wirklich nicht beschlossen. Das hat der europäische Gesetzgeber gemacht und dann der nationale Gesetzgeber umgesetzt

Glauben Sie, dass diese Aktionen als Protest gegen die Vorratsdatenspeicherung nach hinten losgehen? Kommen dann nicht diejenigen, die nach noch mehr Überwachung rufen?

Es ist nicht ausgeschlossen, dass jetzt nach härteren Strafbestimmungen und neuen Staftatbeständen gerufen wird. Das muss allerdings nicht schlecht sein, soweit es sinnvoll ist und hier wirklich Regelungslücken bestehen. Momentan ist der positive Effekt gegeben, dass man über Datensicherheit spricht.