josefbarth

“Leider nur ein Salzamt”

Interview. Datenschützer Hans Zeger über Lücken im Datenschutzgesetz und die Ohnmacht des Einzelnen, wenn dem Staat die vertraulichsten Informationen seiner Bürger abhandenkommen. (für profil)

Wenn es um die Weitergabe sensibler Informationen an einen Untersuchungsausschuss geht, schlagen Österreichs Ministerien Alarm – zumindest die ÖVP-geführten. Da verteidigt man geschwärzte Akten und misstraut demokratisch gewählten Abgeordneten. Geht es aber darum, die Rechte der Bürger gegenüber Schlampereien der Behörden zu stärken, sind die Regierenden auffallend still – auch die SPÖ-Minister. Da sollen Betroffene nicht einmal verständigt werden, wenn staatlichen Stellen sensible Informationen abhanden kommen.

Wie profil vergangene Woche enthüllte, sind dem Justizministerium bereits 2005 die Daten tausender Häftlinge abhandengekommen – ohne dass diese jemals davon erfahren hätten (profil 21/08). Die Lücken im bestehenden Datenschutzgesetz sind spätestens jetzt manifest.

Und die geplante Novelle dürfte diese keineswegs schließen. Im Gegenteil: Die Rechte für Videoüberwachung etwa werden ausgeweitet; in Zukunft kann jeder Österreicher die Hauszufahrt des Nachbarn filmen, jeder Lokalbesitzer die Gäste seines Cafés – wenn es ihm vielleicht irgendwann einmal bei der gerichtlichen Durchsetzung seiner Rechte helfen könnte.

Umgekehrt ist noch immer unklar, welche Rechte der Einzelne gegenüber öffentlichen Stellen hat, wenn private Daten in falsche Hände gelangen und sich vielleicht unkontrollierbar übers Internet verbreiten – weltweit und auf alle Zeit. So sind Behörden auch im neuen Gesetz nicht verpflichtet, Betroffene über den Verlust ihrer Daten zu informieren. Und auch amtliche Kontrollinstanzen wie die Datenschutzkommission bleiben mit dem neuen Gesetz zahnlos. Im Fall des Falles hat der Betroffene kaum eine Möglichkeit, sich gegen ein Versagen des Staates zur Wehr zu setzten. Hans Zeger, Obmann der ARGE Daten, wirft der Regierung im Interview vor, keine Sensibilität für diese Probleme zu haben, ja mehr noch: Der gläserne Bürger sei politisch erwünscht.

profil: Sie haben das neue Datenschutzgesetz schon im Vorfeld heftig kritisiert. Warum?

Zeger: Man hat leider aus den Erfahrungen der letzten acht Jahre seit Einführung des Datenschutzgesetzes nichts gelernt. Man will Dinge, die bisher nicht funktionierten, nicht verbessern. Wie zum Beispiel die Durchsetzbarkeit von Entscheidungen der Datenschutzkommission; wie das Informationsrecht für Betroffene, damit man erfährt, wenn Daten verloren gehen oder eventuell widerrechtlich kopiert wurden und in falsche Hände gelangten; wie ein Verbandsklagerecht, damit nicht jeder einzeln klagen muss, sondern eine Einrichtung wie die ARGE Daten oder der Verein für Konsumenteninformation tätig werden kann.

profil: Was kann ich tun, wenn ich das Gefühl habe, dass auf meine Daten unbefugt zugegriffen wurde?

Zeger: Wenn einer Behörde Daten abhandenkommen, kann man sich theoretisch an die Datenschutzkommission wenden. Die bleibt aber auch mit dem neuen Gesetz leider nur eine Art Salzamt. Die Datenschutzkommission stellt bestenfalls fest, dass eine Behörde das Datenschutzgesetz verletzt hat, sie kann aber ihre Entscheidungen nicht durchsetzen. Und das, obwohl die EU für jedes Land eine Behörde vorschreibt, die tatsächliche Kontroll- und Durchsetzungsmöglichkeiten hat.

profil: Aber mit dem Datenschutzgesetz sollte der Staat seine Bürger absichern.

Zeger: Es zeigt sich, dass die Regierenden kein Interesse am effektiven Schutz ihrer Bürger haben. Es könnte sich ja herausstellen, dass ihre Behörden und Beamten Dinge tun, die nicht datenschutzkonform sind. Sogar die Gebührenbehörde des ORF hat mehr Rechte, wenn sie ein unangemeldetes Kofferradio aufspüren will. Chancen hat man nur bei Gericht, wenn die Daten, die verloren gingen, bloßstellenden Charakter haben: also Daten über eine etwaige Verurteilung, wie zuletzt in der Justizaffäre um abhandengekommene Häftlingsdaten. Hier kann Schadenersatz für die Bloßstellung zugesprochen werden.

profil: Dazu muss man aber erst wissen, dass die eigenen Daten in falsche Hände gerieten.

Zeger: Das ist das Hauptproblem. Auch das neue Datenschutzgesetz sieht keine Informationspflicht der Behörden vor, wenn ihnen ein dramatischer Fauxpas unterlaufen ist. Und jeder Einzelne muss selbst klagen. Jemand mit einer CD über tausende Daten sitzt damit am längeren Ast. Heute scheinen immer mehr Informationen über jeden Einzelnen im Internet auf. Und die derzeitigen österreichischen Bestimmungen sagen entgegen dem EU-Recht: Was einmal öffentlich über jemanden verfügbar ist, darf jeder andere für seine eigenen Interessen verwerten. Das ist viel zu weit reichend. Heute könnte jemand eine höhere Versicherungsprämie für sein Auto bezahlen müssen, nur weil die Versicherung im Internet herausgefunden hat, dass er gern Computerspiele mit Autorennen spielt, das wäre formal legal, ist aber offensichtlich diskriminierend. Möglich ist auch, dass jemand einen Job nicht bekommt, weil jemand über ihn im Netz geschrieben hat, dass er unzuverlässig war. Diese Auswüchse muss der Gesetzgeber schon in den Ansätzen abstellen, tut er aber mit dem jetzigen Entwurf nicht.

profil: Aber wie soll man beweisen, dass man aufgrund solcher Informationen diskriminiert wurde?

Zeger: Das ist sicher schwierig. Aber es würde Behörden, Arbeitgeber und andere Unternehmen abschrecken, derlei zu versuchen, wenn klargestellt wäre, dass es sich dabei um einen widerrechtlichen Tatbestand handelt. Vor dem Anti-Diskriminierungs-Gesetz konnte man beispielsweise Frauen oder Menschen anderer Hautfarbe auch einfacher als heute benachteiligen und argumentieren: Warum sollen wir das nicht machen? Es ist ja nicht verboten.

profil: Auf der einen Seite will der Staat immer mehr Daten sammeln, auf der anderen Seite übernimmt er nur in geringem Bereich die Verantwortung, wenn diese in falsche Hände geraten. Sind die Sicherheitsvorkehrungen der Behörden zum Schutz der von ihnen verwalteten Daten derzeit ausreichend, um Missbrauch durch einzelne Beamte zu verhindern?

Zeger: Das ist ja das Kuriose. Der Bürger wird mehr und mehr überwacht, um Straftaten zu verhindern. Hier sagt man, die Abschreckung durch Strafen reiche nicht aus. Der Beamte aber, der die Verantwortung für Daten des Bürgers hat, wird weniger kontrolliert. Hier sagt man, die Androhung einer Strafe bei Missbrauch würde schon ausreichend abschrecken.

profil: Muss man den Beamten misstrauen?

Zeger: Nein, man soll hier nicht per se etwas unterstellen. Aber früher musste ein Beamter beispielsweise überlegen, welche zwölf Zettel er zu einer Bauverhandlung mitnimmt. Der ganze Akt wäre zu groß gewesen. Heute denkt er sich: Wer weiß, welche Teile ich brauche – und speichert sich die ganze Aktensammlung auf einen USB-Stick. Die Gefahr, dass etwas abhandenkommt, ist damit ungleich größer geworden.

profil: Kann der Österreicher überprüfen, was welche Behörde über ihn gespeichert hat?

Zeger: Theoretisch ja, praktisch nein. Jeder darf einmal pro Jahr bei einer Behörde anfragen, welche Daten über ihn gespeichert sind. Wenn die aber – wie oft vorgekommen – unvollständige Auskünfte erteilt, kann man nichts Wirksames dagegen tun. Das Datenschutzgesetz bleibt auch hier mit der Novelle lückenhaft.

profil: Mit dem elektronischen Gesundheitsakt plant die Regierung, die sensibelsten Patientendaten zentral zu verwerten. Würden diese dann sicherer verwaltet?

Zeger: Der elektronische Gesundheitsakt (ELGA) ist jedenfalls ein GAU. Ob Super-GAU oder nur einfacher, wird sich erst zeigen. Die Verantwortlichen haben offensichtlich überhaupt keine Ahnung, welche komplexen Probleme auf sie zukommen.

profil: Wer hat Zugriff auf diese Daten?

Zeger: Diese Akten werden nicht nur Ärzten zugänglich sein, sondern auch Sozialversicherungen, Privatversicherungen und den Spitalserhaltern wie Landesregierungsämtern oder dem Gesundheitsministerium. Wenn ich eine Lebens- oder Krankenversicherung abschließen will, wird die Versicherung meinen gesamten Gesundheitsakt auf etwaige Vorerkrankungen durchblättern wollen. Und die ärztliche Schweigepflicht führt sich ad absurdum, wenn sogar Landesbedienstete Zugriff auf meine Krankengeschichte haben werden.

profil: Lässt sich das technisch nicht gegen Missbrauch absichern?

Zeger: Grundsätzlich ja, wenn man das machen würde, wäre es aber nicht mehr praktikabel. Die bisherigen Systeme wie Melderegister, Strafregister, Datenbanken der Justiz, Sozialversicherungsdaten erlauben einen Zugriff auf alle Daten, sobald man mit seinem Passwort im System ist. Es gibt keine Prüfung, ob eine bestimmte Person auch tatsächlich auf Daten eines Bürgers zugreifen darf, das öffnet Missbrauch Tür und Tor. Gäbe es eine derartige detaillierte Zugriffskontrolle, bei der auch geprüft wird, warum man jetzt auf einen Akt zugreift, wäre der Aufwand so hoch, dass die Verwaltungsersparnis wieder weg wäre. Automatisierte Bürgerverwaltung lässt sich nur ohne Datenschutz der Bürger effizient organisieren. Die Aufhebung bestehender Datenschutzregeln fordert im Übrigen auch die ELGA-Machbarkeitsstudie.

profil: Was würde beispielsweise passieren, wenn ein Krankenpfleger ein paar tausend Patientendaten herunterlädt und einer Pharmafirma verkauft?

Zeger: Wenn nicht beweisbar ist, dass ihn die Firma dazu angestiftet hat, nicht viel. Der Krankenpfleger würde wohl verurteilt werden, für die Firma wäre das aber nur eine Verwaltungsübertretung mit einer Strafobergrenze von 18.890 Euro, und auch das nur im Wiederholungsfall. Gegenüber der Firma könnte jeder Geschädigte bestenfalls auf Unterlassung klagen. Aber wer tut sich das an? Welchen multinationalen Konzern schreckt das ab? Und: Vermutlich würde man nie draufkommen.

Hans Zeger, Obmann der ARGE Daten, der Österreichischen Gesellschaft für Datenschutz. Der Verein äußert sich immer wieder zu aktuellen Entwicklungen und Gesetzesvorhaben im Datenschutzbereich und vertritt auch Betroffene in gerichtlichen Verfahren. Seit 1996 ist der Magister der Mathematik und Doktor der Philosophie auch Mitglied des Datenschutzrates im Bundeskanzleramt.