STANDARD: Hacker veröffentlichen immer wieder sensible Daten. Im jüngsten Fall fast 25.000 Namen und Adressen von Polizisten. Ein Fall für die Datenschutzkommission?

Eva Souhrada-Kirchmayer: Die näheren Umstände sind noch nicht bekannt. Generell muss der Auftraggeber einer Datenanwendung dafür Sorge tragen, dass Daten vor unbefugtem Zugriff sicher sind.

STANDARD: Und wenn nicht?

Souhrada-Kirchmayer: Im Falle eines begründeten Verdachts auf Vorliegen eines Verstoßes gegen das Datenschutzgesetz kann die Datenschutzkommission ein Kontrollverfahren durchführen, das allenfalls mit einer Empfehlung enden kann. Jeder Betroffene kann eine förmliche Beschwerde bei der Datenschutzkommission einbringen, wenn er glaubt, durch einen Auftraggeber des öffentlichen Bereichs im Recht auf Geheimhaltung verletzt zu sein.

STANDARD: Das Datenschutzgesetz (DSG) stammt aus dem Jahr 2000 und basiert auf EU-Richtlinien von 1995. Ist das noch zeitgemäß?

Souhrada-Kirchmayer: Gewisse Ansätze stammen sogar noch aus dem ersten Datenschutzgesetz 1978, wurden aber natürlich der Datenschutzrichtlinie angepasst. Derzeit wird in der EU auf Grundlage des Vertrages von Lissabon ein neues Instrumentarium für Datenschutz entwickelt.

STANDARD: Was konkret?

Souhrada-Kirchmayer: Betroffenenrechte in der Online-Umgebung sollen gestärkt werden. Ganz wichtig ist es, die Globalisierung zu berücksichtigen, Datenschutz ist längst kein rein nationales Anliegen mehr. Insgesamt wird mehr Transparenz angestrebt. Als konkretes Beispiel kann die verhaltensorientierte Internetwerbung genannt werden. Auch der besonderen Schutzwürdigkeit von Kindern und Jugendlichen soll mehr Rechnung getragen werden, gerade in sozialen Netzwerken. Wichtig ist das sogenannte "Principle of Accountability", also dass Auftrageber von Datenverarbeitungen sich mehr ihrer Verantwortung bewusst werden und nach außen sichtbar machen, dass sie den Datenschutz ernst nehmen. In diesem Zusammenhang könnten Gütesiegel für Datenschutz vorgesehen werden.

STANDARD: Betreiber sozialer Netzwerke waren bisher nachlässig mit dem Datenschutz. Deswegen haben heimische Studenten Facebook in Irland angezeigt, weil sich dort der Europasitz befindet. Gab es auch in Österreich Beschwerden über soziale Netzwerke?

Souhrada-Kirchmayer: Kaum, weil die europäischen Niederlassungen nicht in Österreich liegen und die Datenschutzkommission dann, wenn soziale Netzwerke Nutzerdaten sammeln, nicht zuständig ist.

STANDARD: Bestimmend für das DSG ist der Umgang mit Datenbanken. Greift das in Zeiten von Cloud-Computing noch?

Souhrada-Kirchmayer: Das DSG 2000 ist technologieneutral formuliert. Als es noch keine Regelung für Videoüberwachung gab, konnte das DSG 2000 trotzdem angewendet werden. Aber Adaptierungen sind natürlich notwendig.

STANDARD: Wie weit darf denn die private Videoüberwachung gehen?

Souhrada-Kirchmayer: Voraussetzung ist immer eine rechtliche Befugnis, wie zu schützendes Eigentum oder Sorgfaltspflicht. Prinzipiell darf die Überwachung nur das erfassen, was in meinem Besitz ist, also nicht den öffentlichen Raum. Dabei gibt es eine gewisse Toleranzgrenze, also es dürfen vielleicht ein paar Zentimeter vom Gehsteig mitgefilmt werden. Ein Stiegenhaus eines Mehrparteienhauses mit Videoaufzeichnung zu überwachen wäre hingegen problematisch.

STANDARD: Und wo ist der Unterschied zu genehmigten Kameras in Wiener Gemeindebauten?

Souhrada-Kirchmayer: Das betrifft nur Teile wie Garagen, Müllräume, Aufzüge oder heikle Eingangsbereiche.

STANDARD: Wie teuer kann ein Verstoß gegen das DSG werden?

Souhrada-Kirchmayer: Die Verwaltungsstrafen sind mit der jüngsten Novelle erhöht worden. Der Maximalbetrag, den die Bezirksverwaltungsbehörde bei vorsätzlichen Delikten verhängen kann, beträgt 25.000 Euro. Für andere Tatbestände, wie Verletzung der Meldepflicht, höchstens 10.000 Euro.

STANDARD: Die Polizei sagt, Datenschutz darf nicht Täterschutz werden. Sehen Sie das auch so?

Souhrada-Kirchmayer: Es kommt auf die Formulierung an. Wenn jemand sagen würde "Datenschutz ist Täterschutz", würde ich heftig widersprechen. Das DSG 2000 und europäische Gesetze sehen genügend Ausnahmen vor, damit Gefahrenabwehr und Strafverfolgung nicht zu kurz kommen. Was eingriffsintensive Gesetze betrifft, so hat die Datenschutzkommission sie anzuwenden, solange sie in Kraft sind. Ob einzelne Bestimmungen im Einklang mit der Verfassung stehen, muss der Verfassungsgerichtshof beurteilen.

STANDARD: Manchmal steht auf amtlichen Briefen neben dem Adressaten auch dessen Geburtsdatum. Gehört das Geburtsdatum nicht zu sensiblen Personendaten?

Souhrada-Kirchmayer: Ein Geburtsdatum ist schutzwürdig, aber nicht von übermäßig großer Sensibilität. Wir haben die zusätzliche Angabe des Geburtsdatums für zulässig erachtet, wenn dadurch eine Verwechslungsgefahr ausgeschlossen wird und der Inhalt der Zusendung von gewisser Sensibilität war. ( Das Gespräch führte Michael Simoner, DER STANDARD Printausgabe, 27. September 2010)