Und wieder eine Verordnung gesetzwidrig

Der Kampf gegen die Pandemie hat das Thema Datenschutz wieder in den Vordergrund gebracht: Nicht einmal Ministerien schaffen es immer, Maßnahmen zu treffen, die den komplizierten Bestimmungen der EU-Datenschutz Grundverordnung (DSGVO) voll entsprechen.

Ein Beispiel ist der aktuelle Bescheid der Datenschutzbehörde zum Thema „Gästeregistrierung“ in der Wiener Gastronomie: Ein Gastwirt hatte die mit der „Contact Tracing Verordnung“ vorgeschriebene Registrierung der Gäste vorbildlich organisiert: Die Gäste konnten ihre Kontaktdaten (Name, Telefonnummer oder Mail­adresse, Tischnummer) elektronisch oder auf Papier eingeben und erhielten eine ausführliche „Datenschutzerklärung“ über den Zweck der Datenerfassung und Verarbeitung, in Anlehnung an den Text der Verordnung: „Zum Schutz von Leben und Gesundheit unserer MitarbeiterInnen und Gäste in Zusammenhang mit dem Auftreten des Corona-Virus sowie zur Unterstützung der Bezirksverwaltungsbehörde bei der Ermittlung von Kontaktpersonen beim Auftreten eines Infektionsfalles“. Dazu noch der Hinweis, dass die Datenabgabe freiwillig erfolgt, bei Verweigerung aber der Zugang zum Lokal verwehrt werden kann. Ein Gast, der brav seine Daten angegeben hatte, verlangte zunächst – wie in der DSGVO vorgesehen – umfangreiche Informationen über das Datenhandling und erhielt die Auskunft, dass mit der gesamten Aktion nur der Rechtsvorgabe durch die Contact Tracing Verordnung der Stadt Rechnung getragen wurde. Der Gast rea­gierte mit einer Beschwerde bei der Datenschutzbehörde: Er sehe sich in seinem Grundrecht auf Geheimhaltung seiner personenbezogenen Daten verletzt, die Datenverarbeitung sei „ohne Rechtsgrundlage“ erfolgt, eine „Rechtliche Verpflichtung“, die dies lt. DSGVO erlaubt hätte, sei nicht gegeben gewesen.

Die Datenschutzbehörde kam zu einem 19 (!) Seiten langen „Bescheid“, der mit seinen juristischen Wortklaubereien für Normalbürger unverdaulich bleibt. Nur ein paar Schmankerln: Sowohl in der „Contact Tracing“- Verordnung als auch in der Datenschutzerklärung wird als Ziel der Registrierung der „Schutz von Leben und Gesundheit der MitarbeiterInnen und Gäste“ angeführt. Damit werden aus „personenbezogenen“ Daten automatisch „gesundheitsbezogene“, auch die Telefonnummer gehört damit zu den besonders „sensiblen“ Daten mit wesentlich verschärfter Geheimhaltungspflicht. Der entscheidende Punkt: Der Wortlaut der Verordnung schreibt zwar vor, welche Daten im Infektionsfall an die Verwaltungsbehörde weiterzugeben sind, die Datenschutzbehörde erkennt daraus aber keine eindeutige Verpflichtung zur Erhebung und Verarbeitung dieser Daten. Ohne gesetzliche Verpflichtung fehlt für die Datenverarbeitung tatsächlich die von der DSGVO geforderte Rechtsgrundlage – die Beschwerde ist berechtigt.

Aber damit nicht genug: Die Datenschutzbehörde stellt fest, dass die Anwendungsregeln für die vorgeschriebenen Maßnahmen nicht „klar und präzise“ genug seien, um die von der DSGVO geforderte Garantie für die Sicherheit sensibler Daten zu gewährleisten. Für diesen Fall gilt das Prinzip, dass wenn „Unions­recht“ grundsätzlich Vorrang hat, haben die innerstaatlichen Bestimmungen „unangewendet“ zu bleiben. In Kurzform: Wieder ist eine Verordnung gesetzwidrig. Das bleibt zwar folgenlos, weil sie inzwischen ohnedies ausgelaufen ist, wenn es zu den angedachten „Eingangstests“ (oder Impfungen) kommt, wird genau diese Materie aber wieder aktuell.

Wer diesen – ohnedies simplifizierten – Text bis hierher geschafft hat, wird nicht bestreiten, dass es beim Datenschutz um einen sehr komplizierten und aufwendigen Rechtsbereich geht. Tatsächlich war beim Inkrafttreten der DSGVO im Jahr 2018 die Meinung weit verbreitet, sie sei in dieser Form nicht exekutierbar. Umso erstaunlicher ist es, dass die Datenschutzbehörde laut ihrer Homepage in den vier Jahren DSGVO lächerliche 97 Beschwerden zu behandeln hatte. Einfache Erklärung: Sie wird nur bei Beschwerden aktiv und außer missliebigen Konkurrent­Innen und QuerulantInnen will sich das kaum jemand antun. Man hat gelernt, mit dem Datenschutz zu leben, wobei sehr hilfreich ist, dass der breiten Öffentlichkeit das Thema weitgehend wurscht ist: Die einzige erkennbare Bedrohung sind Berge unerwünschter Mails im Spam-Filter, zwar lästig, aber nicht wirklich gefährlich. Diese lockere Einstellung verdeckt die Tatsache, dass es zwar wenige, aber wichtige Bereiche gibt, wo ein vernünftiger Datenschutz notwendig ist. Derzeit ist er maßlos überzogen: In einer liberalen Gesellschaft ist es absurd, Namen, Adresse oder Telefonnummer unter Geheimhaltungspflicht zu stellen. Nur Europa stellt sich freiwillig unter Datenschutz-Kuratel und schaut zu, wie die übrige Welt das Geschäft mit den Daten macht.