Betrifft: Entwurf eines Bundesgesetzes über eine Transparenzdatenbank (Transparenzdatenbankgesetz TDBG); Stellungnahme der Datenschutzkommission



Ähnliche Dokumente
Nutzung dieser Internetseite

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Drei Fragen zum Datenschutz im. Nico Reiners

Rehabilitation und Datenschutz

Datenschutz. Dr. Gregor König, LLM., Datenschutzkommission. E-Control

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Bestandskauf und Datenschutz?

Salzburg; Wohnbauförderungsgesetz-Novelle 2011; Änderung: Entwurf; zusammenfassende Stellungnahme des Bundes

Kommunalsteuer ONLINE

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Berufungsentscheidung

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Das neue Reisekostenrecht 2014

Betreff: Entwurf eines Bundesgesetzes, mit dem das Bankwesengesetz, das

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

Das digitale Klassenund Notizbuch

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012

Neue Kennzeichnungspflicht Die Button-Lösung kommt - Neuregelung der Hinweispflicht in Online-Shops -

Steuern. Die elektronische Lohnsteuerkarte

Bei Verträgen über Dienstleistungen beginnt die Widerrufsfrist mit jenem Tag des Vertragsabschlusses.

Internet- und -Überwachung in Unternehmen und Organisationen

Die rechtsformunabhängige Revisionspflicht

Umzug der abfallwirtschaftlichen Nummern /Kündigung

D i e n s t e D r i t t e r a u f We b s i t e s

1727/AB XXIII. GP. Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind möglich.

Befristung Inkrafttreten des TzBfG BeschFG Abs. 1; TzBfG 14 Abs. 2 Satz 1 und 2

Selbstständig als Buchführungshelfer interna

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

Datenschutzthema! Warum wurden meine Daten an mybigpoint verkauft?

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

DNotI. Fax - Abfrage. GrEStG 1 Abs. 3 Anteilsvereinigung bei Treuhandverhältnissen. I. Sachverhalt:

Befragung zum Migrationshintergrund

(J7, Osterrelchlscher Sta"" dte b und. i g!9 : i7 Jfl&PC. ...-GE/19... r1.. q /SN - b\/hg Betrifft G ZENTWUflF

Vorlage zur Kenntnisnahme. Stellungnahme des Senats zum Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2009

Urheberrecht in der Schule Was Lehrer, Eltern, Schüler, Medienzentren und Schulbehörden vom Urheberrecht wissen sollten

VKJF Seminare für Mitarbeitervertreter 2016

Dipl.-Ing. Herbert Schmolke, VdS Schadenverhütung

Elternzeit Was ist das?

REPUBLIK ÖSTERREICH BUNDESMINISTERIUM FÜR LANDESVERTEIDIGUNG Sachbearbeiter:

Stellungnahme der Bundesärztekammer

Deutschland-Check Nr. 35

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

White Paper Button-Lösung

Mobile Intranet in Unternehmen

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Dann zahlt die Regierung einen Teil der Kosten oder alle Kosten für den Dolmetscher.

Datenschutz im Alters- und Pflegeheim

Copyright 1997 Kammer der Wirtschaftstreuhänder All rights reserved

IHR PATIENTENDOSSIER IHRE RECHTE

Personalverleih im IT-Bereich

Datenschutz-Politik der MS Direct AG

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

Datenexport aus JS - Software

Der Arbeitsrechtler. GHR Arbeitsrechtsteam. Vertrauen ist gut Kontrolle besser?

Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

DELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom

Sonderrundschreiben. Arbeitshilfe zu den Pflichtangaben in Immobilienanzeigen bei alten Energieausweisen

Ab 2011 entfällt die Papier-Lohnsteuerkarte, die Lohnsteuerkarte 2010 gilt auch für 2011.

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Betreff: Begutachtungsentwurf eines Bundesgesetzes, mit dem das Versicherungsaufsichtsgesetz

Internationales Altkatholisches Laienforum

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

JBjIM WF BUNDESMINISTERIUM FÜR WISSENSCHAFT UND FORSCHUNG GZ 5442/10-7/91. Entwurf eines Bundesgesetzes, mit dem das

FRAGEBOGEN ANWENDUNG DES ECOPROWINE SELBSTBEWERTUNG-TOOLS

Die Aufgabe des Bestimmtheitsgrundsatzes im Recht der Personengesellschaft, was folgt daraus für die Praxis? Prof. Dr.

EÜR contra Bilanzierung

Änderung des IFRS 2 Anteilsbasierte Vergütung

GPA-Mitteilung Bau 5/2002

Änderungen zum Jahreswechsel 2010

I N N E N M I N I S T E R I U M B A D E N - W Ü R T T E M B E R G. Postfach Stuttgart poststelle@im.bwl.de FAX: 0711/

17/SN-341/ME XXII. GP - Stellungnahme zum Entwurf elektronisch übermittelt 1 von 5

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Datenschutz - Ein Grundrecht

Schriftliche Opfererklärung und Rederecht

Vorab per . Oberste Finanzbehörden der Länder

Antrag für die Übertragung von Softwarelizenzen, Wartungsverträgen oder Abonnements

Bürgerhilfe Florstadt

Anleitung über den Umgang mit Schildern

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

I Serverkalender in Thunderbird einrichten

Professionelle Seminare im Bereich MS-Office

104 WebUntis -Dokumentation

So wird s gemacht - Nr. 24

BERECHNUNG DER FRIST ZUR STELLUNGNAHME DES BETRIEBSRATES BEI KÜNDIGUNG

Vertragsnummer: Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH im folgenden "DKTIG"

Kurzanleitung für Verkäufer

Wir machen neue Politik für Baden-Württemberg

Datenschutzbestimmungen im Vergleich D.A.CH

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

PROTOKOLL ZWISCHEN DER REPUBLIK ÖSTERREICH UND DER REPUBLIK ZYPERN

Transkript:

7/SN-189/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt 1 von 5 REPUBLIK ÖSTERREICH A-1010 Wien, Hohenstaufengasse 3 Tel. ++43-1-531 15/0 Fax: ++43-1-531 15/2690 e-mail: dsk@dsk.gv.at DATENSCHUTZKOMMISSION DVR: 0000027 K054.101/0002-DSK/2010 An das Bundesministerium für Finanzen Abteilung VI/1 per E-Mail: e-recht@bmf.gv.at Betrifft: Entwurf eines Bundesgesetzes über eine Transparenzdatenbank (Transparenzdatenbankgesetz TDBG); Stellungnahme der Datenschutzkommission Die Datenschutzkommission nimmt zu dem im Betreff genannten Entwurf wie folgt Stellung: Zu 1: Bei der Transparenzdatenbank handelt es sich um eine Datenanwendung gemäß 4 Z 7 Datenschutzgesetz 2000 (DSG 2000). Dementsprechend darf ein Eingriff gemäß 1 Abs. 2 DSG 2000 in das Recht auf Geheimhaltung der Betroffenen nur im überwiegenden Interesse eines Dritten erfolgen, wobei dieser Eingriff in einem Gesetz hinreichend determiniert vorgesehen sein muss. In datenschutzrechtlicher Hinsicht ist es geboten, dass der Zweck der Datenanwendung, die datenschutzrechtliche Rollenverteilung, die Inhalte der Datenbank sowie allfällige Empfänger der Daten bereits im Gesetz klar definiert werden. Lediglich den Erläuterungen ist zu entnehmen, dass der Leistungsempfänger Zugriff auf verschiedene Datenbanken (darunter die neu zu errichtende Transparenzdatenbank) erhalten soll, um eine Übersicht über sein Einkommen und über Leistungen zu erhalten, die ihm von unterschiedlichen Stellen gewährt wurden. Dies soll der Vereinfachung von Behördenwegen dienen. Aus dem allgemeinen Teil der Erläuterungen ergibt sich weiters, dass für die politischen Entscheidungsträger die Transparenzdatenbank mit bereits vorhandenen Datenbanken ein Controllinginstrument sein soll, mit dem unter anderem vorhandene Doppelförderungen analysiert werden können und ein Überblick über gewährte Leistungen erfolgen kann. Aus der Zusammenschau mit dem Gesetzestext kann dies nur die vorgesehenen statistischen Auswertungen von anonymisierten und aggregierten Daten betreffen, da ansonsten keinerlei Zugriffsrechte (außer des Betroffenen selbst) oder Ähnliches vorgesehen werden.

2 von 5 7/SN-189/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt Es sollte auch aus dem Gesetz klar hervorgehen, dass außer dem Betroffenen selbst niemand Zugriff auf (direkt) personenbezogene Daten der Transparenzdatenbank hat. Vielmehr wird im Hinblick auf den Verhältnismäßigkeitsgrundsatz und das gelindeste zum Ziel führende Mittel angeregt, eine Speicherung in indirekt personenbezogener Form vorzusehen. Dies wäre ausdrücklich im Gesetz festzulegen. Weiters sollte im Gesetz klar geregelt werden, wer als Auftraggeber gemäß 4 Z 4 DSG 2000 fungiert bzw. wer als Dienstleister im Sinne des 4 Z 5 DSG 2000 eingesetzt wird. Nur so kann festgelegt werden, wer welche Pflichten, die sich aus dem DSG 2000 ergeben, zu erfüllen hat. Offenbar ist die Bundesregierung als Auftraggeberin hinsichtlich der Transparenzdatenbank und des Transparenzportals eingerichtet (da von beauftragen die Rede ist). Aus 21 ergibt sich in weiterer Folge, dass die BRZ GmbH als Dienstleisterin fungiert. Dies sollte eindeutig zum Ausdruck kommen. Die Datenschutzkommission regt daher an, die notwendigen Determinierungen vorzunehmen. Zu 2: Der Zugriff auf die in der Transparenzdatenbank gespeicherten Leistungen soll gemäß Abs. 1 für den Betroffenen nach Eingabe einer elektronischen Zugangskennung erfolgen, wobei nicht bestimmt ist, um welche Art der Zugangskennung es sich handeln soll. In 22 Abs. 2 Z 1 wird zwar der Bundesminister für Finanzen ermächtigt, im Einvernehmen mit dem Bundeskanzler die Gewährung einer Zugangskennung festzulegen, die den Voraussetzungen des 3 des E-Government-Gesetzes (E-GovG) entspricht. Im elektronischen Verkehr mit Auftraggebern des öffentlichen Bereichs dürfen gemäß den Bestimmungen des E-GovG Zugriffsrechte auf personenbezogene Daten, an welchen ein schutzwürdiges Geheimhaltungsinteresse im Sinne des 1 Abs. 1 DSG 2000 besteht, nur dann eingeräumt werden, wenn die eindeutige Identität desjenigen, der zugreifen will, und die Authentizität seines Ersuchens nachgewiesen sind. Die eindeutige Identität ist die Bezeichnung der Nämlichkeit eines Betroffenen durch ein oder mehrere Merkmale, wodurch die unverwechselbare Unterscheidung von allen anderen bewirkt wird. Für die Feststellung der eindeutigen Identität bedarf es eines Elements, wodurch diese unverwechselbare Unterscheidung bewirkt wird. Dazu dient die Bürgerkarte mit ihrer qualifizierten digitalen Signatur. Zusätzlich zur eindeutigen Identität muss auch die Authentizität des Ersuchens nachgewiesen werden. Dies erfolgt durch die qualifizierte elektronische Signatur. In diesem Zusammenhang wird angemerkt, dass der Bürgerkarte (inkl. Handy-Signatur) aus Sicherheitsgründen gegenüber Username/Passwort-Lösungen der Vorzug zu geben ist. Username/Passwort-Lösungen können nämlich wesentlicher leichter kompromittiert werden als Lösungen, die auf der Bürgerkarte aufbauen. Es sollte daher auch für den Zugang zur 2

7/SN-189/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt 3 von 5 Transparenzdatenbank sichergestellt werden, dass nicht von Hackern auf fremde Daten zugegriffen werden kann. Zu Abs. 2 wird angemerkt, dass die Haushaltsbetrachtung bei Verwendung der Bürgerkarte auch ohne weitere Eingabe einer Zugangskennung möglich wäre, indem Leistungsempfänger, die gemeinsam die erhaltenen Leistungen abfragen wollen, gleichzeitig gemeinsam mit der jeweiligen Bürgerkarte eine Abfrage vornehmen. Das Abstellen auf die Haushaltsbetrachtung scheint allerdings aus datenschutzrechtlicher Sicht nicht unproblematisch, da bei zusammenlebenden Personen nicht automatisch davon auszugehen ist, dass sie damit einverstanden sind, dass die anderen Mitbewohner ihre Daten einsehen. Grundsätzlich gilt das Grundrecht auf Datenschutz auch zwischen Familienmitgliedern oder anderen miteinander lebenden Personen. Dass es sich bei der gemeinsamen Eingabe einer Kennung immer um eine datenschutzrechtliche Zustimmung nach 4 Z 14 DSG 2000 handelt, bei der (die auch von der RL 95/46/EG [ EG-Datenschutz- Richtlinie ] geforderte) hinreichende Freiwilligkeit gegeben ist, kann bezweifelt werden. Zu 4: Auch an dieser Stelle wäre auf eine klare datenschutzrechtliche Rollenverteilung zu achten. Auftraggeberin der Auswertungen soll wie schon oben ausgeführt offenbar die Bundesregierung sein (und nicht die im zweiten Satz zur Speicherung ermächtigte BRZ GmbH siehe zur Rolle der BRZ GmbH bei Auswertungen aber die nachstehenden Ausführungen). Daher kann die BRZ GmbH als Dienstleisterin ihr nicht Daten übermitteln (sondern allenfalls rücküberlassen, vgl. 4 Z 11 DSG 2000). In diesem Zusammenhang sollte klargestellt werden, dass die Bundesregierung obwohl sie datenschutzrechtlicher Auftraggeber ist keinen Zugriff auf (direkt) personenbezogene Daten der Betroffenen hat. Dies wäre allerdings am besten dadurch zu gewährleisten, dass die Daten bereits indirekt personenbezogen in die Transparenzdatenbank einfließen. Auf der anderen Seite wäre sofern die Datenbank direkt personenbezogene Daten beinhaltet der Auftraggeber für die Gewährung von Betroffenenrechten (Auskunfts-, Richtigstellungs- und Löschungsrecht) verantwortlich und hätte dementsprechend auch die Verfahren abzuwickeln. Insofern fragt es sich, ob das vorgeschlagene Konzept, die Bundesregierung als Auftraggeber für die Transparenzdatenbank fungieren zu lassen, überhaupt zielführend ist. Für die in Abs. 1 zweiter Satz vorgesehene Speicherung von Daten sollten konkrete, über das DSG 2000 hinausgehende Datensicherheitsmaßnahmen im Gesetz normiert werden. Unklar scheint, was damit gemeint ist, dass der jeweilige Bundesminister im Rahmen seines Wirkungsbereiches über Daten verfügen kann. Die Formulierung ist insofern missverständlich, als sie auch derart verstanden werden könnte, dass der Bundesminister generell ohne nähere gesetzliche Ermächtigung zur Verwendung personenbezogener, in seinem Ressort 3

4 von 5 7/SN-189/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt vorhandener Daten (samt Vornahme von Auswertungen) ermächtigt wird, was viel zu unbestimmt und daher mit 1 Abs. 2 DSG 2000 nicht vereinbar wäre, wenn es sich um personenbezogene Daten handelt. Insbesondere wäre die Einrichtung einer umfassenden Datei über einzelne Personen, bei der Daten aus verschiedenen Verwaltungsbereichen verknüpft werden, bei einzelnen Bundesministern unzulässig. Wenn mit dem letzten Satz des Abs. 1 bloß ausgedrückt werden soll, dass sich durch die Übermittlung von Daten an die Transparenzdatenbank durch diesen Bundesminister nichts an dessen Stellung als datenschutzrechtlicher Auftraggeber für andere Datenanwendungen ändert, dann sollte der Entwurf entsprechend präzisiert werden. Zu den 15 bis 17: In 16 Abs. 2 wäre der Ausdruck Zurverfügungstellen durch den datenschutzterminologisch richtigen Ausdruck Übermittlung zu ersetzen. Weiters scheint es im Lichte des Verhältnismäßigkeitsgrundsatzes als ausreichend, diese Übermittlung anonymisiert bzw. nur mit verschlüsselten bpk vorzunehmen. Die Treffsicherheit bei der Abfrage von Datenbanken ist Grundvoraussetzung für eine korrekte Zuordnung der Daten zur Person. Bei Verwendung von Namen und Geburtsdatum als Suchkriterien in Datenbanken ist diese korrekte Zuordnung nicht möglich. Auch eine Verwendung der Sozialversicherungsnummer (wie in 17 Abs. 1 Z 3 normiert) als Suchkriterium ergibt wie es die Praxis gezeigt hat besonders bei einer Abfrage über mehrere Verwaltungsbereiche in einer Vielzahl von Fällen nicht zulässige Falschzuordnungen. Es sind daher die Suchkriterien Namen und Geburtsdatum sowie Sozialversicherungsnummer abzulehnen, da Mehrfachtreffer oder Falschzuordnungen denkbar sind. In diesem Zusammenhang wird auch auf die Stellungnahme des Datenschutzrates vom 25. Februar 2010 verwiesen, in der festgehalten wird, dass eine Verwendung der Sozialversicherungsnummer für Bereiche, die nicht in der Ingerenz der Sozialversicherung liegen, aus datenschutzrechtlicher Sicht abzulehnen und den E-Government-Lösungen des Bundes unter Gewähr der höchstmöglichen Datensicherheitsmaßnahmen der Vorzug zu geben ist. Die Verwendung von bpk stellt (wie bereits im Rahmen der Registerzählung erfolgt) das gelindere Mittel bei der Verwendung der personenbezogenen Daten dar, da diese nur mehr indirekt personenbezogen und damit für den Auftraggeber und Dienstleister nicht auf konkrete Personen rückführbar sind. Es wird daher empfohlen, entsprechend der E-Government-Strategie des Bundes für die Zuordnung zu Personen bpk zu verwenden. In 17 Abs. 1 Einleitungssatz sollte den Erläuterungen entsprechend das Wort insbesondere entfallen und eine taxative Aufzählung aufgenommen werden. 4

7/SN-189/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt 5 von 5 Zu den 20 und 21: 20 erster Satz dürfte davon ausgehen, dass die mitgeteilten Daten und der Inhalt der Transparenzdatenbank stets übereinstimmen. Die Frage der Verantwortung stellt sich sollte nicht das Konzept der indirekt personenbezogenen Daten aufgegriffen werden aber gerade in den Fällen, in denen hier Divergenzen auftreten; vor diesem Hintergrund erscheint die Bedeutung des 20 erster Satz im Zusammenhang mit der Regelung des 21 Abs. 2 unklar. Für den Betroffenen stellt sich im Zusammenhang mit diesen Regelungen vor allem die Frage, wie und bei wem das Auskunfts- und Richtigstellungs- oder Löschungsrecht geltend gemacht werden kann. Es ist wird daher nochmals auf die Notwendigkeit hingewiesen, die Verantwortung insb. für die Frage der Datenaktualität und -richtigkeit durch eine klare datenschutzrechtliche Rollenverteilung eindeutig festzulegen. Auch im Lichte der EG- Datenschutzrichtlinie ist es geboten, dass für jede Datenanwendung ein Auftrageber ( für die Verarbeitung Verantwortlicher in der Diktion der Richtlinie) vorhanden sein muss, dem die Rechte und Pflichten nach 1 Abs. 1 sowie den 24 ff DSG 2000 zugeordnet sind, auch wenn die faktische Erfüllung dieser Rechte und Pflichten teilweise im Innenverhältnis durch einen Dienstleister erfolgt. Datenschutzrechtlich ist der Auftraggeber für die Richtigkeit der verwendeten Daten verantwortlich. Die Formulierung, dass der Dienstleister vertraglich zur Einhaltung sämtlicher Datenschutzbestimmungen verpflichtet werden soll, scheint missverständlich. Vielmehr muss die BRZ GmbH die in 11 DSG 2000 normierten Dienstleisterpflichten einhalten. Diese datenschutzrechtliche Rollenverteilung und damit verbundenen Verantwortlichkeiten können auch nicht geändert werden. Die Haftungsregelung sollte nicht darauf beschränkt werden, zu normieren, wer für etwas nicht haftet, sondern auszusprechen, wer tatsächlich die Verantwortung trägt. Zu 22: Es wird angeregt, bei den Verordnungsermächtigungen zu Eingriffen in das Grundrecht auf Datenschutz ( 22 Abs. 1) im Gesetz wesentlich detailliertere Festlegungen vorzunehmen. Wie oben bereits ausgeführt, sollen grundlegenden Datensicherheitsbestimmungen bereits im Gesetz selbst festgelegt werden. Es wird aber angeregt, eine Verordnungsermächtigung für eine detaillierte Regelung der technischen und organisatorischen Datensicherheitsstandards vorzusehen. Diese Stellungnahme wird im auch dem Präsidium des Nationalrats zur Kenntnis gebracht. 27. September 2010 Für die Datenschutzkommission Das geschäftsführende Mitglied: SOUHRADA-KIRCHMAYER 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback