Das Ergänzungsregister als Spiegelbild digitaler Unbedarftheit in Österreich
Einleitung⌗
“Wir haben alles falsch gemacht, was man falsch machen kann” so Margarete Schramböck, die Ministerin für Digitalisierung und Wirtschaft. Sie meinte damit freilich nicht sich selbst und den Datenschutz-Skandal um das Ergänzungsregister, sondern den Schutz gegen den Ausverkauf von Schlüsselunternehmen durch Fernost in der EU.
Aus aktuellem Anlass hier ein kleiner Faktencheck zu den aktuellen Meldungen.
Disclaimer: Die Analyse gründet sich auf allgemein verfügbaren Meldungen. Die Datenbank ist offline, die Details können derzeit nicht nachgeprüft werden.
A. Die Datenschutz-Grundverordnugn – ein dem Digitalisierungsministerium unbekanntes Gesetzeswerk?⌗
Das Ministerium sehe “weder ein Datenleck noch Datendiebstahl”.
Das Ministerium sieht also weder ein technisches Problem noch einen strafrechtlich relevanten Vorfall. Auf den Gedanken, dass das eigene Verwaltungshandeln rechtswidrig sein könnte, wofür inzwischen doch einige Indizien sprechen (siehe gleich unten), kommt es freilich nicht.
Im Qualitätsmanagement gibt es fünf Reifestufen für Software-Prozesse (CMMI – Capability Maturity Model Integration): Auf dem niedrigsten Level 1 (Initial) reagiert man anlassbezogen (ad hoc) und weiss oft gar nicht, dass es überhaupt einen Prozess gibt oder geben sollte.
Die Aussage des Digitalisierungsministeriums entspricht somit wohl diesem Level 1. Das Erreichen des Level 3, die Definition klarer Prozesse für die Beschickung, den Betrieb und das Löschen solcher Daten wäre nicht nur wünschenswert, sondern ist auch rechtlich geboten.
B. Das Legalitätsprinzip – ein unbekanntes Wesen?⌗
Das Ministerium stehe “einer rechtlichen Anpassung und Verbesserung jederzeit offen gegenüber”.
Offener kann das Digitalisierungsministerium seine eigene Unbedarftheit wohl kaum eingestehen: Nach Art 18 des B-VG darf die gesamte österreichische Verwaltung nur auf Grund der Gesetze ausgeübt werden.
Es ist zwar löblich, wenn das Ministerium sich offen zeigt, um rechtliche Korrekturen durchzuführen, allerdings dürfte es selbst ja nur auf Grund und entsprechend den Gesetzen tätig werden. Und die Datenschutzgrundverordnung gehört mit den Konzepten der Datensparsamkeit, Datenschutz als Voreinstellung, den Anforderungen zum Führen eines Datenverarbeitungsverzeichnisses et cetera jedenfalls mit dazu.
Es wirkt befremdlich und irritierend, wenn das Digitalisierungsministerium sich wie ein naives Startup verhält und die von allen Gewerbetreibenden und von Vereinen strikt eingeforderten Pflichten zum Datenschutz selbst nicht nur nicht einhält, sondern offenbar nicht einmal kennt und zu einer Art Ideenwettbewerb dazu aufruft.
Die deutsche Bundeskanzlerin Merkel wurde wegen ihrer Aussage zum Internet als “Neuland” verspottet. Für das österreichische Digitalisierungsministerium scheint Datenschutz Neuland darzustellen, wobei ihm das, im Unterschied zu Frau Merkel, nicht einmal bewusst zu sein scheint.
C. Künstliche Aufregung?⌗
ÖVP-Klubchef Wöginger warf NEOS vor, „in künstlicher Aufregung einen Skandal zu basteln“. Er verwies darauf, dass die Verordnung 2009 erlassen wurde und vorsieht, das Register öffentlich zu führen.
Die Verordnung unterscheidet zwischen dem Ergänzungsregister für natürliche Personen und dem für sonstige Betroffene. Das Ergänzungsregister für natürliche Personen unterliegt nach Art 9 Abs 2 ganz besonderem Zugriffsschutz: Jede Abfrage ist dort auch einzeln zu protokollieren.
Herr Wöginger bezieht sich aber wohl auf das Ergänzungsregister für sonstige Betroffene (ERsB), das ist eben die aktuell in Diskussion gekommene Datenbank. Dazu steht im Artikel 14 Absatz 1 Satz 2 der Verordnung tatsächlich:
Das ERsB ist als öffentliches Register zu führen, das von der Stammzahlenregisterbehörde im Internet verfügbar gehalten wird.
In Artikel 10 steht allerdings auch, wer eine Eintragung vornehmen darf und in Artikel 11, was überhaupt einzutragen ist. Nach Artikel 11 Abs 1 Ziffer 5 kann soweit vorhanden die Identität der Vertretungsbefugten entsprechend § 2 Ziffer 2 E-GovG eingetragen werden, das ist die “Nämlichkeit” der Person, also die klar unterscheidbare Erfassung durch Namen und weitere Merkmale.
Ob diese Regelung de lege lata datenschutzkonform ist, ist die eine Frage. Das Ergänzungsregister sei ja zur Identifizierung für nicht-österreichische EPUs gedacht gewesen sein, die nicht im Melderegister aufscheinen. Die zu klärende Frage lautet an dieser Stelle also: Welchem Datenschutzparadigma unterliegt das Erfassen des Namens einer vertretungsbefugten Person eines Unternehmens, das (vermutlich als ausländisches) nicht im Firmenbuch geführt wird, in einem öffentlich geführten und frei einsehbaren Register?
Die Frage kann – so wie die Frage nach der Sinnhaftigkeit und Rechtmässigkeit der öffentlichen Bereitstellung für ein solches Register, im Unterschied zu anderen öffentlichen Registern – aber einmal geparkt werden, weil in der Datenbank offenbar ohnehin Daten weit über den gesetzlich vorgesehen Umfang hinterlegt waren:
Dass in dieser Datenbank entgegen Artikel 11 personenbezogene Daten von privaten Einzelpersonen inklusive ihrer Adresse und weiterer persönlicher Angaben und dass diese Daten mit sehr hoher Wahrscheinlichkeit entgegen den Bestimmungen zur Beschickung der Datenbank nach Artikel 10 gespeichert und öffentlich zugänglich gemacht worden sind, ist rechtlich durch die Verordnung nicht gedeckt und widerspricht zudem konkreten Bestimmungen und Prinzipien der DSGVO.
Zusätzlich stellt § 4b für die Ergänzungsregister eindeutig den subsidiären Charakter klar, der sich ja schon aus dem Namen als “Ergänzungsregister” ergibt:
Dabei ist eine Speicherung nur vorzunehmen, soweit die personenbezogenen Daten nicht bereits in dieser Datenverarbeitung, im Zentralen Melderegister oder dem Ergänzungsregister zur Verfügung stehen.
Nur so kann auch dem Zweck der Stammdatenregister Rechnung getragen werden, nämlich eindeutige digitale Identitäten für Rechtssubjekte zu schaffen. Nichts ist schädlicher für eine Digitalisierung, als wenn idente Subjekte oder Objekte unter mehreren digitalen Kennungen aufscheinen, die digitale Entropie also jede Ordnungswirkung unterhöhlt.
Wenn nun hier unter anderem Namen von Ministern und des Bundespräsidenten auftauchen, liegt offenbar ein klares Indiz für einen Verstoss gegen diese Bestimmung vor: Dass alle diese Personen (!) nicht im zentralen Melderegister aufscheinen, ist nämlich nicht nur schwer vorstellbar sondern kann wohl ausgeschlossen werden.
Der Verdacht erhärtet sich erneut, dass (unter anderem) Personen, die Nebeneinkünfte irgendwelcher Art gehabt haben, ohne ihr Wissen und entgegen den Vorschriften zur subsidiären Nutzung, entgegen den inhaltlichen und verfahrensbezogenen rechtlichen Vorgaben rechtswidrig in diese Datenbank aufgenommen worden waren.
D. Nutzung durch die WKO⌗
Die Betrauung der Wirtschaftskammer Österreich (WKO) als in Österreich rechtlich zwingend verankerte Interessenvertretung mit nur bedingt demokratischem Wahlsystem (da es EPUs benachteiligt, vgl. z. B. https://www.diepresse.com/3827515/wko-bevorzugt-wahlrecht-die-ovp) mit dem Auszahlungsmanagement des Härtefallfonds ist bereits kritisiert worden. Warum öffentliche Gelder an Bedürftige nicht über eine staatliche Behörde wie das Finanzamt erfolgen, ist und bleibt nicht nachvollziehbar.
Die APA hatte zuvor berichtet, dass die WKO die Daten des Ergänzungsregisters benötigt habe, falls jemand als Antragsteller nicht in den WKO-Datenbanken aufgeschienen sei (https://orf.at/stories/3164870/).
In rechtlicher Hinsicht wirft das zwei Fragen auf:
- Auf Basis welcher Rechtsgrundlage hat und verwendet die WKO eigene Datenbanken mit zur Auszahlung öffentlicher Gelder und welche Sicherheitsmassnahmen zur korrekten Subjektidentifizierung (Stammdatenregister) wurden eingerichtet und auf welcher Rechtsgrundlage?
- Auf Basis welcher Rechtsgrundlage hat die WKO unter Nutzung anderer Datenquellen (wie eben dem Ergänzungsregister) über die Auszahlungen an Personen und Unternehmen entschieden, die NICHT in ihren eigenen Datenbanken aufgeschienen sind? Wurde hier auch auf andere Datenbanken seitens der WKO zuzurückgegriffen?
ad 1: Entweder führt die WKO eigene, von den offiziellen Stammdatenregistern getrennte Datenbanken, oder sie greift direkt auf die offiziellen Stammdatenbanken zu. Beide Fälle müssen rechtlich und im Hinblick auf die DSGVO und im Hinblick auf die Grundsätze der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, uam.) klar geregelt werden, erst recht aber nicht nur, wenn solche Datensätze zur Auszahlung öffentlich Gelder verwendet werden.
ad 2: Wenn man sich den nicht-kontrollierten und offenkundig entgegen den rechtlichen Vorgaben gespeicherten Inhalte des Ergänzungsregisters für sonstige Betroffene anschaut, könnte einem leicht übel werden, wenn man sich vor Augen hält, welchen Personen auf Grund solcher Datenquellen ohne eine korrekte datenschutzkonforme Rechtsgrundlage Auszahlungen verweigert oder zugesprochen worden sein könnten.
Nach Artikel 28 der DSGVO darf die WKO lediglich auf Grund eines Vertrags zur Auftragsdatenverarbeitung rechtlich korrekt tätig werden und dürfte dabei nur Daten des Auftragsgebers (Republik Österreich) nutzen, aber nicht eigene Datenquellen. Die WKO bietet originellerweise selber eine Vorlage dafür auf der eigenen Website an, jetzt müsste nur noch das Digitalisierungsministerium darauf aufmerksam gemacht werden.
E. Resümee⌗
Die Grundlage jeder Digitalisierung im Verwaltungsbereich ist eine eindeutige Identifizierung und Identifikation aller Rechtssubjekte und aller Rechtsobjekte. Nur so lässt sich eine rechtskonforme Digitalisierung durchführen.
In Österreich wurden die grundsätzlichen Hausaufgaben dazu anscheinend nicht gemacht: Datenquellen wurden offenbar auf Grund bestehender Machtverhältnisse zu politischen Vorfeldorganisationen und von existierenden Bereichszuordnungen nach faktischen Gegebenheiten für die Auszahlung von Geldern genutzt und das Ergänzungsregister weit über seinen definierten Anwendungsbereich hinaus ohne rechts- und datenschutzkonforme Reflexion und automationsunterstützt mit Daten befüllt.
Dass das zuständige Ministerium für Digitalisierung und Wirtschaft das Problem bisher nicht einmal erkennt und um Verbesserungsvorschläge ersucht, spricht Bände.
Der Betrieb des Ergänzungsregister entsprach somit nicht einmal ansatzweise den Anforderungen und konkreten rechtlichen Gegebenheiten, die die Verwaltung und das Rechtssystem an die eigenen Unternehmen und selbständigen Wirtschaftstreibenden stellt: Das Erstellen eines Datenverarbeitungsverzeichnisses ist nach Art 30 DSGVO seit Mai 2018 Pflicht, technisch-organisatorische Massnahmen (Art 32 DSGVO) und die Berücksichtigung von Prinzipien wie privacy by design (Art 25 DSGVO) ebenso.
Da wir derzeit nicht wissen, welche weiteren rechtswidrigen Datenverarbeitungsprozesse und Datenbanken es gibt und welche Risiken sich hier noch verbergen, wäre als erster Schritt die Durchführung einer sogenannten Datenschutz-Folgenabschätzung nach Art 35 DSGVO dringend anzuraten. Zusätzlich ist ein Programm zur internen Nachschulung als Organizational Awareness Programm dringend anzuraten, das Fehlen eines Grundverständnisses ausgerechnet im Digitalisierungsministerium wirkt mehr als befremdlich.