"Wiener Zeitung": Wie funktioniert das Datenverarbeitungsregister (DVR)?

Thomas Sonnenschein: Das DVR ist ein Verzeichnis von Datenanwendungen, die uns von Auftraggebern gemeldet wurden. Diese können unter anderem Unternehmen, Firmen oder Behörden sein. Wenn sie personenbezogene Daten verwenden, fallen sie in vielen Fällen unter die Meldepflicht. Das dient der Transparenz für die Bürger, die durch Einsichtnahme in das Register feststellen können, welcher Auftraggeber welche Datenanwendungen registriert bekommen hat. Wenn es sich um sensible - zum Beispiel gesundheitsrelevante, religiöse - oder strafrechtsrelevante Daten handelt, die Datenanwendung in ein Informationsverbundsystem eingebettet ist oder es sich um eine Videoüberwachung handelt, dann unterliegt die Anwendung der Vorabkontrolle durch einen Mitarbeiter. Alle anderen Datenanwendungen werden automatisch registriert, wenn sie uns über das DVR-Online gemeldet werden.

2015 gab es mehr als 1000 Verbesserungsaufträge seitens des DVR. Wo liegen dabei die Probleme? Was könnten die Unternehmen besser machen?

Sonnenschein: Eine Vielzahl der mangelhaften Meldungen sind Videoüberwachungen, da wird uns oft nicht mitgeteilt, unter welchen Rahmenbedingungen diese durchgeführt werden. Wie lange ist die Speicherdauer? Gibt es Hinweisschilder? Welche Örtlichkeiten sind noch betroffen? Diese Fragen werden oft im ersten Schritt nicht beantwortet - wir fragen dann telefonisch nach oder erteilen einen Verbesserungsauftrag. Letztere sind oft auch inhaltlicher Natur, zum Beispiel wenn die Speicherdauer zu lange ist oder ein Privater ein öffentliches Grundstück überwachen möchte, was natürlich nicht geht. Wir überprüfen auch, ob eine Datenart, die verwendet wird, für den angegebenen Zweck überhaupt notwendig ist.

Die Datenschutzbehörde (DSB) prüft - anders als die frühere Datenschutzkommission (DSK) - jährlich in Schwerpunktverfahren Auftraggeber bestimmter Sektoren im Hinblick auf die Einhaltung datenschutzrechtlicher Bestimmungen. Welche Sektoren wurden seit Einrichtung der DSB im Jahr 2014 und 2015 geprüft? Wie funktioniert die Prüfung in der Praxis?

Matthias Schmidl: Die DSB hat ein Schwerpunktverfahren abgeschlossen, in dem wesentliche Kreditauskunfteien aus allgemeiner datenschutzrechtlicher und aus DVR-Sicht überprüft wurden. 2015 wurden fünf Krankenanstaltenträger geprüft. Dieses Verfahren ist noch anhängig, neigt sich aber dem Ende zu, und in der verbleibenden Zeit des Jahres 2016 werden wir die fehlenden vier Krankenanstaltenträger prüfen - es ist dann also jedes Bundesland einmal drangekommen. Es gibt einen Fragebogen zu allgemeinen datenschutzrechtlichen Fragen und zum DVR. Außerdem hat bisher bei jedem Schwerpunktverfahren eine Einschau stattgefunden. Wenn wir in einem Bereich vermehrt Beschwerden feststellen, dann sehen wir uns diesen genauer an.

Deutsche Datenschutzbehörden drohen Unternehmen, die sich nach Safe Harbor nicht um eine alternative Rechtsgrundlage gekümmert haben, empfindliche Strafen an. Wird sich die DSB im Hinblick auf das mögliche Privacy Shield hier weiter zurückhaltend verhalten oder nun auch aktiv werden?

Schmidl: Im Gegensatz zu unseren deutschen Partnerbehörden können wir nicht strafen. Allerdings sind wir schon kurz nachdem Safe Harbor für ungültig erklärt wurde, mit den wesentlichen Interessenvertretungen - Arbeiterkammer, Wirtschaftskammer und Rechtsanwaltskammertag - in einen Dialog getreten. Wir haben auch als einzige DSB noch am Tag des Endes von Safe Harbor auf unserer Homepage auf dessen Folgen hingewiesen.

Bleibt die Empfehlung aufrecht, sich aktiv selbst zu überlegen, welche alternativen Rechtsgrundlagen es gibt, und nicht auf das Privacy Shield zu warten?

Schmidl: Ja. Wer bis Oktober 2015 auf Basis von Safe Harbor Daten in die USA übermittelt oder überlassen hat und sich jetzt keine andere Rechtsgrundlage sucht, der ist ganz klar im illegalen Raum. Es ist völlig offen, wann das Privacy Shield kommt und ob es hält. Ich würde also nicht darauf warten.