Stellungnahme zu Entwurf elektronisch übermittelt / PDF, 175 KB
Transcription
Stellungnahme zu Entwurf elektronisch übermittelt / PDF, 175 KB
36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt BALLHAUSPLATZ 2, A-1014 WIEN GZ ● BKA-817.386/0003-DSR/2011 TELEFON ● (+43 1) 53115/2527 FAX ● (+43 1) 53115/2702 E-MAIL ● [email protected] DVR: 0000019 An das Präsidium des Nationalrates Parlament Per E-Mail: begutachtungsverfahren@parla ment.gv.at Betrifft: Stellungnahme des Datenschutzrates Bundesgesetz, mit dem das Telekommunikationsgesetz 2003, das KommAustria-Gesetz sowie das VerbraucherbehördenKooperationsgesetz geändert werden In der Anlage wird die Stellungnahme des Datenschutzrates zu dem im Betreff genannten Gesetzesentwurf übermittelt. Anlagen: DSR Stellungnahme Votum Separatum 4. Mai 2011 Für den Datenschutzrat: Der Vorsitzende: MAIER Elektronisch gefertigt Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 1 von 12 2 von 12 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt BALLHAUSPLATZ 2, A-1014 WIEN GZ ● BKA-817.386/0003-DSR/2011 TELEFON ● (+43 1) 53115/2527 FAX ● (+43 1) 53115/2702 E-MAIL ● [email protected] DVR: 0000019 An das Bundesministerium für Verkehr, Innovation und Technologie Per Mail: [email protected] [email protected] Betrifft: Bundesgesetz, mit dem das Telekommunikationsgesetz 2003, das KommAustria-Gesetz sowie das VerbraucherbehördenKooperationsgesetz geändert werden Stellungnahme des Datenschutzrates Der Datenschutzrat hat in seiner 207. Sitzung am 2. Mai 2011 mehrheitlich – mit einer Gegenstimme – beschlossen, zu dem vorliegenden Gesetzesentwurf nachstehende Stellungnahme abzugeben: 2) Datenschutzrechtlich relevante Bestimmungen: Vorbemerkung Vorweg bemerkt der Datenschutzrat, dass er davon ausgeht, dass die gegenständliche EU-Richtlinie vollständig und richtig, insbesondere im Hinblick auf Art. 5 Abs. 3, umgesetzt wird. Kritisch anzumerken ist allgemein, dass im besonderen Teil der Erläuterungen z.T. keinerlei Bezüge zwischen vorgeschlagenen neuen Textelementen und den 1 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt 3 von 12 zugrunde liegenden EU-Richtlinienbestimmungen hergestellt werden, worunter die Nachvollziehbarkeit der Plausibilität bzw. Erforderlichkeit der Einfügungen entsprechend leidet und in der Begutachtung ein unnötig erhöhter Zeitaufwand entsteht (vgl. bspw. § 96 Abs. 3 TKGneu). Zu Art. 1 Z. 28 des Entwurfs (§ 16a Abs. 3, 4, 7 und 11) In § 16a Abs. 3, 4, und 7 ist hinsichtlich verschiedener Aufgabenstellungen jeweils eine „wahlweise“ Zuständigkeit von „Datenschutzkommission“ und „Regulierungsbehörde“ vorgesehen. Dieser Regelungsansatz steht in einem offenkundigen Spannungsverhältnis zu Art. 83 Abs. 2 B-VG. Nach stRsp des Verfassungsgerichtshofs verpflichtet letztere Norm den einfachen Gesetzgeber dazu, Behördenzuständigkeiten nach objektiven Kriterien, exakt, klar und eindeutig festzulegen (vgl. VfSlg. 3156/1953; 9937/1984; 11.288/1987 u.a.). Die Regelung der Behördenzuständigkeit muss präzise sein und strengen Prüfungskriterien standhalten (VfSlg. 12.788/1991; 13.029/1992). Die Zuständigkeit darf insbesondere nicht von Umständen abhängen, die vom Rechtsunterworfenen nicht vorhersehbar sind (VfSlg. 14.192/1995). Dem vorliegenden Entwurf sind gerade ebensolche Kriterien, die eine klare Abgrenzung der Zuständigkeiten zwischen Datenschutzkommission und Regulierungsbehörde erlauben würden, nicht zu entnehmen. Zu Abs. 4 ist festzuhalten, dass die Datenschutzkommission „im Rahmen ihrer gesetzlichen Aufgaben“ keinerlei Zuständigkeit besitzt, Betreiber der öffentlichen Kommunikationsnetze zu verpflichten, sich einer Sicherheitsprüfung durch die Datenschutzkommission zu unterziehen, oder eine solche durchzuführen. Darüber hinaus steht der Datenschutzkommission für diese vorgesehene Kontrolltätigkeit kein (insbesondere auch kein hiefür geschultes) Personal zur Verfügung. Zu Art. 1 Z. 33 des Entwurfs (§ 23 Abs. 4) Nach dieser Bestimmung soll „die Übertragung der Rufnummer des Teilnehmers ohne seine „zumindest in elektronischer Form erteilte Zustimmung“ unzulässig sein. Das dezidierte Abstellen auf ein bestimmtes Medium, bzw. einen bestimmten technischen Kommunikationsweg erscheint im vorliegenden Fall nicht unbedingt sachadäquat. Aus datenschutzrechtlicher Sicht kommt es lediglich auf das Vorliegen 2 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 4 von 12 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt der Kriterien des § 4 Z 14 DSG 2000 an (informierte, zwangsfreie Einwilligung). Schriftlichkeit oder gar eine bestimmte mediale Form (Papier, elektronischer Weg) wird von § 4 Z 14 DSG 2000 nicht verlangt. Im vorliegenden Kontext spricht sicher einiges dafür, aus Beweissicherungsgründen auf Schriftlichkeit abzustellen. Ob diese Schriftlichkeit durch eine Einwilligung in elektronischer Form oder durch Unterschrift auf einem Papierformular gewährleistet wird, ist dagegen sekundär. Die im Text vorgesehen Formulierung „zumindest in elektronischer Form“ erweckt freilich den Eindruck, bei Letzterer handle es sich um eine geringwertigere Form. Dies trifft allerdings nicht zu. Es kommt, wie gesagt vielmehr auf die sonstigen Aspekte (echte Freiwilligkeit, ausreichende Transparenz etc an). Es sollte daher sichergestellt werden, dass auch die elektronische Zustimmung als ausreichend angesehen wird. Zu Art. 1 Z. 99 des Entwurfs (§ 92 Abs. 3 Z 11) Diese Ziffer definiert die “Verletzung des Schutzes personenbezogener Daten“ als „jede Verletzung der Sicherheit, die auf versehentliche oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlicher Kommunikationsdienste in der Gemeinschaft verarbeitet werden“. Diese Textierung entspricht wörtlich der deutschen Fassung des damit umgesetzten Art. 2 lit. i der Richtlinie (RL) 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl. L 201 vom 31.7.2002, S. 37, i.d.F. der RL 2009/136/EG, ABl. Nr. L 337 vom 18.12.2009, S. 11. Bei genauer Betrachtung fällt auf, dass sich hier allerdings ein sinnstörender Fehler eingeschlichen hat. Die Verwendung des Bindeworts „und“ nach „Veränderung“ erweckt nämlich den Eindruck, dass nur eine „versehentliche oder unrechtmäßige“ Veränderung, die mit einer unbefugten Weitergabe einhergeht, unter den Begriff der „Datenschutzverletzung“ fallen soll. Dies wäre aber weder sachlogisch begründbar noch im Einklang mit Art. 17 Abs. 1 der „allgemeinen“ Datenschutzrichtlinie 95/46/EG, ABl. L 281, vom 23.11.1995, 31. Tatsächlich zeigt ein Blick in die englische Sprachfassung des Art. 2 lit. i der Richtlinie (RL) 2002/58/EG, dass hier 3 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt 5 von 12 ein Übersetzungs- bzw. Redaktionsversehen vorliegen dürfte. Nach der englischen Fassung bedeutet ein “personal data breach” nämlich “a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed in connection with the provision of a publicly available electronic communications service in the Community.” Im Ergebnis wäre somit, nach Überprüfung der einschlägigen Sprachfassungen, in § 92 Abs. 3 Z 11 TKGneu das Bindewort “und” durch das Wort “oder” zu ersetzen. Zu Art. 1 Z. 101 des Entwurfs (§ 95a) § 95 a Abs.1 des Entwurfes legt eine Informationsverpflichtung durch den Betreiber der öffentlichen Kommunikationsdienste, im Falle einer Verletzung des Schutzes personenbezogener Daten von Personen fest. Soweit anzunehmen ist, dass Personen in ihrer Privatsphäre selbst beeinträchtigt werden, hat der Betreiber auch die betroffenen Personen unverzüglich von dieser Verletzung zu benachrichtigen. Mit der Datenschutzgesetz - Novelle 2010 wurde erstmals bereits in § 24 Abs. 2a DSG 2000, eine neue Informationspflicht bei Datenmissbrauch (Data Breach Notification Duty) eingeführt. Um einheitliche Informationsverpflichtungen zu gewährleisten, könnte vom zuständigen Ressort geprüft werden, ob im Zuge dieses Gesetzgebungsverfahrens und im Einklang mit den Entwicklungen auf europäischer Ebene, nicht auch eine Anpassung der Bestimmungen des § 24 Abs. 2 a DSG 2000, an die zukünftige Regelung im Telekommunikationsgesetz erfolgen sollte. Zu Art. 1 Z. 103 des Entwurfs (§ 96 Abs. 3 Satz 2 und 3) Zufolge des § 96 Abs. 3 Satz 1 TKGneu sind Betreiber öffentlicher Kommunikationsdienste verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Diese Regelung entspricht im Wesentlichen der geltenden Rechtslage. In Umsetzung des Art. 5 Abs. 3 der RL 2002/58/EG i.d.F. der RL 2009/136/EG wird nun der zweite Satz neu gefasst. Demnach „ist eine Ermittlung dieser Daten ist 4 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 6 von 12 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat“. Dies, so der geringfügig modifizierte Folgesatz, „steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“. Um das Verhältnis der beiden zuletzt zitierten Sätze zueinander zu verdeutlichen bzw. den Sinngehalt des Letzteren leichter fassbar zu machen, sollte Satz 3 des § 96 Abs. 3 leg. cit. etwas zielgerichteter formuliert bzw. eingeleitet werden, uzw. etwa wie folgt: „Keiner solche Einwilligung bedarf es für eine technische Speicherung oder den Zugang zu solchen Daten, wenn deren alleiniger Zweck die Durchführung […] ist […]. Die zunehmende Verwendung so genannter „Cookies“ und vergleichbarer technischer Gestaltungen werfen Bedenken im Hinblick auf den Schutz des Grundrechts auf Datenschutz und der Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme auf. Dies gilt insbesondere im Hinblick auf die Gefahr einer Profilbildung durch die Verknüpfung einer Vielzahl von – z. B. unter Einsatz von „Cookies“ gewonnener - Informationen und Daten, ohne das der Nutzer hiervon Kenntnis oder Einfluss hierauf hat. Zur Problematik von „Cookies“ verweist in diesem Zusammenhang der Datenschutzrat auf Erwägungsgrund 66 der Richtlinie 2009/136/EG, zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und –diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz, sowie auf die laufende Diskussion auf europäischer Ebene, wo Guidelines für die Umsetzung des Artikel 5 Abs. 3 der gegenständlichen Richtlinie erarbeitet werden. 5 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt 7 von 12 Zu Art. 1 Z. 110 des Entwurfs (§ 106 Abs. 2 und 3) Zur in § 106 TKG schon bisher geregelten „Fangschaltung“ ist anzumerken, dass dem Gesetz keinerlei Befristungen – etwa im Sinne einer Höchstdauer - für solche Maßnahmen zu entnehmen sind. Da in bestimmten sensiblen Zusammenhängen (Bsp.: Hotline für psychische Krisenfälle uä.) ein grundsätzliches Interesse von Anrufern bestehen kann, insbesondere durch die angerufene Stelle nicht identifiziert zu werden, böte es sich im Zuge der Novellierung an, auch diese Frage zu regeln. Sonstiges In den Erläuterungen zu § 16a ist sinnstörender Weise die Rede davon, dass „[…] diese Probleme auch Gefahren der Sicherheit oder Vertraulichkeit der Daten selbst verursachen [können], die die Datenschutzkommission gemäß § 95a zu vollziehen hat“. Abschließend hält der Datenschutzrat aus grundsätzlichen Überlegungen Folgendes fest: Um die Tätigkeit der Datenschutzkommission als Kontrollbehörde in diesem Zusammenhang sicherzustellen, wäre für deren Kontrolltätigkeit zuerst die gesetzliche Zuständigkeit klarzustellen. Sollten der Datenschutzkommission Kontrollaufgaben nach dem TKG im Sinne dieses Entwurfes übertragen werden, muss allerdings sichergestellt sein, dass zur Erfüllung dieser Aufgaben auch die dafür erforderlichen Ressourcen zur Verfügung gestellt werden. Darüber hinaus ersucht der Datenschutzrat, vor Erlassung der im Gesetzesentwurf vorgesehenen Verordnungsermächtigungen und im Falle eines datenschutzrechtlichen Bezugs, dem Datenschutzrat die Möglichkeit zur Abgabe einer Stellungnahme zu geben. Anlage: Votum Separatum Dr. Zeger 6 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 8 von 12 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt 4. Mai 2011 Für den Datenschutzrat Der Vorsitzende: MAIER Elektronisch gefertigt 7 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt 9 von 12 Hans G. Zeger1, Datenschutzrat - Votum Separatum Dr. Hans G. Zeger vom 2. Mai 2011 betreffend den Entwurf zur Änderung des Telekommunikationsgesetzes 2003 (TKG 2003) VORBEMERKUNG Die Stellungnahme des Datenschutzrates zum Entwurf Änderung des Telekommunikationsgesetzes 2003 wird ausdrücklich begrüßt, erfordert jedoch an entscheidender Stelle, die offenbar aus klientenpolitischen Gründen nicht konsensfähig ist, eine Klarstellung. UNZUREICHENDE UMSETZUNG DER RICHTLINIE 2009/136/EG Die Richtlinie 2009/136/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 25. November 2009 enthält wesentliche Verbesserungen des Schutzes der Bürger, insbesondere im Bereich des Datenschutzes. Unter anderem erfolgt eine Neuformulierung des Art. 5 Abs. 3 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Kern der Neuformulierung ist eine verbesserte Rechtsstellung von Teilnehmern und Nutzern bei der Verwendung und Übertragung von Nachrichten (inklusive persönlicher Daten der Teilnehmer und Nutzer). Dies betrifft alle Formen der elektronischen Kommunikation, also sowohl alle "elektronischen Kommunikationsdienste", alle "Dienste mit Zusatznutzen", als auch alle "Dienste der Informationsgesellschaft". Auch aus dem Erwägungsgrund 66 der RL 2009/136/EG, der detaillierte Hinweise zur Speicherung von Informationen auf Endeinrichtungen des Benutzers enthält (inklusive der Speicherung sogenannter Cookies oder des Einsatzes von Smartfon-Apps), geht hervor, dass das Ziel der Richtlinie nicht bloß die Regelung von Systemen, Diensten oder Webseiten von Telekom- und Internetanbietern (Netzbetreibern) ist, sondern alle elektronischen Kommunikationsdienste und Kommunikationsformen einschließt, egal unter welchen Titeln und von wem sie angeboten werden, jedenfalls auch alle öffentlich nutzbaren Internetangebote, Smartfondienste, soweit sie zur Kommunikation geeignet sind, egal wer sie erbringt (etwa "Anbieter" von "Diensten der Informationsgesellschaft" oder von "Diensten mit Zusatznutzen"). Eine entsprechende Klarstellung findet sich auch in den bestehenden Erwägungsgründen zur Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG), u.a. werden in EW 18 und 35 beispielhaft 1 Autor von "MENSCH. NUMMER. DATENSATZ. Unsere Lust an totaler Kontrolle", Residenzverlag 2008, "Paralleluniversum Web2.0", Kremayr&Scheriau 2009 und zahlreicher weiterer Fachpublikationen, Lektor am Juridicum Wien, Mitglied des Datenschutzrates im Bundeskanzleramt und Geschäftsführer der "e-commerce monitoring GmbH", Obmann der "ARGE DATEN - Österreichische Gesellschaft für Datenschutz" (http://www.zeger.at) 03.05.2011, 12:22/neu [korrigiert/endgültig] tkg-novelle-2011.doc, 1/4 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 10 von 12 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt Datenschutzrat - Votum Separatum Dr. Hans G. Zeger vom 2. Mai 2011 betreffend den Entwurf zur Änderung des Telekommunikationsgesetzes 2003 (TKG 2003) Navigationshilfen, Wetterdienste oder Verkehrsdienste als Beispiele für derartige Dienste genannt und auf die Verarbeitung sonstiger, über die Standortdaten der Netzbetreiber hinausgehenden Daten bezug genommen, die detaillierter als die Daten der Netzbetreiber sein können. Es ist systemwidrig und für Bürger nicht nachvollziehbar, warum ein bestimmtes Kommunikationsangebot, z.B. eine webbasierte E-Mail-Plattform unter den besonderen Schutz der Richtlinie 2009/136/EG (inkl. 2002/58/EG und 2002/22/EG) fällt und eine andere, möglicherweise sogar technisch idente E-Mail-Plattform nicht, bloß weil der Anbieter in einem Fall unter die im Entwurf nach § 3 Z 3 einschränkende Definition des "Betreibers eines Kommunikationsdienstes" (Z 6 des Entwurfs) fällt und im anderen Fall nicht, da in einem Fall eine eigene Signal- bzw. Netzinfrastruktur betrieben wird und im anderen Fall nur die Infrastruktur eines Dritten genutzt wird. Gleiches gilt auch bei Diensten, die über intelligente Telefongeräte (sog. "Smartphones") erbracht werden. Nach dem derzeitigen Entwurf wäre zwar die Verwendung und Aufzeichnung von Standortdaten durch den Telefondienstbetreiber geregelt, nicht jedoch die Aufzeichnung und Verwendung derartiger Daten durch den Hersteller des Mobiltelefons, dem Hersteller des Smartphone-Betriebssystems oder durch sonstige Dritte. Die Aufzeichnung und Verwendung dieser Daten hätte jedoch dieselbe Eingriffsintensität und wäre für die Betroffenen in den Auswirkungen auf seine Grundrechte und Privatsphäre nicht unterscheidbar. Aus der Regelung würden auch alle Dienstangebote herausfallen, die Internetverkehrsdaten zum Zwecke des "Behavioral targeting" für UserTraking verwenden. Auch hier ergibt sich dasselbe Bild, Netzbetreiber wären strengen Regelungen unterworfen, sonstige Dienstanbieter, die kein eigenes Netz verwenden - das ist die Mehrzahl der Dienstanbieter - wären diesen Regelungen nicht unterworfen, obwohl in der Richtlinie kein derartiger Unterschied gemacht wird. Ebenfalls nicht geregelt wäre der Einsatz von sogenannten Apps durch Dritte (etwa Verkehrsinformationen, Navigations- und Wetterdienste, wie sie in der Richtlinie ausdrücklich als Beispiele für "Dienste mit Zusatznutzen" angeführt wurden). Betreibern von Kommunikationsnetzen wäre deren Einsatz größtenteils verboten bzw. auf Grund der Richtlinie streng reguliert, Dritte könnten dieselben Apps mit derselben Funktionalität weitgehend unreguliert einsetzen. Im Ergebnis erlegt der Entwurf einerseits den Betreibern von Kommunikationsnetzen sachlich unbegründet strengere Datenschutzbestimmungen auf als sonstige Dienstanbieter ohne eigene Infrastruktur ("Dienste mit Zusatznutzen", "Dienste der Informationsgesellschaft"), andererseits ist das Gesetz geradezu eine Einladung zu Umgehungskonstruktionen. Betreiber von Kommunikationsnetzen die Zusatzdienste an Tochterunternehmen oder Dienstleister ohne eigene Infrastruktur auslagern, wären von der Regelung nicht (mehr) betroffen. Der Änderungsentwurf des TKG 2003 zitiert zwar an verschiedenen Stellen Datenschutzbestimmungen aus der Richtlinie, u.a. in § 96 (Z 103 des Entwurfes) bzw. § 3 Z 23 (Z 11 des Entwurfes), unterlässt jedoch in den Begriffsbestimmungen (§ 3) bzw. in den speziellen Datenschutzbestimmungen (§ 92) eine Klarstellung wer und in welcher Form als "Anbieter" von 03.05.2011, 12:22/neu tkg-novelle-2011.doc, 2/4 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt 11 von 12 Datenschutzrat - Votum Separatum Dr. Hans G. Zeger vom 2. Mai 2011 betreffend den Entwurf zur Änderung des Telekommunikationsgesetzes 2003 (TKG 2003) Diensten der Informationsgesellschaft zu verstehen ist und was unter "Dienste der Informationsgesellschaft" zu verstehen ist. Es wird daher dringend empfohlen den Entwurf dahingehend zu korrigieren, dass alle modernen Angebote und Formen von Kommunkationsdiensten erfasst werden. Insbesondere ist sicherzustellen, dass a) die Definition der "Dienste der Informationsgesellschaft" und der "Dienste mit Zusatznutzen" in die Begriffsbestimmungen (§ 3) aufgenommen wird und dazu auf die bewährte Definition des Notifikationsgesetzes 1999 (§ 1 Abs. 1 Z 2 lit b2) zurückgegriffen wird (inklusive der Korrektur der fehlerhaften und unvollständigen Definition von Z 23a "zugehörige Dienste" (Z 12 des Entwurfes)3, b) die "Anbieter" von "Diensten der Informationsgesellschaft" und von "Diensten mit Zusatznutzen" ausdrücklich als Normadressaten der Datenschutzbestimmungen in § 92 aufgenommen werden und c) der gesamte Entwurf dahingehend überarbeitet wird, dass die Datenschutzbestimmungen jedenfalls auf alle "Dienste der Informationsgesellschaft" und "Dienste mit Zusatznutzen" - wie in der Richtlinie vorgesehen - anwendbar ist. KONSEQUENZ EINER MANGELHAFTEN UMSETZUNG Es sei abschließend darauf hingewiesen, dass die Regelungen der Kommunikationsrichtlinien zwar vorrangig Anbieter und Betreiber von Telefon- und Internetnetzen betreffen, dass aber auch schon bisher einzelne Regelungen auch alle anderen Benutzer und Teilnehmer einbeziehen. Dies betrifft insbesondere die Datenschutzbestimmungen oder die Bestimmungen zu unerbetener Werbung. Schon bei der letzten Umsetzung des Kommunikationsrahmens wurde versucht in einem Teilbereich (den Spam-Bestimmungen) von den Richtlinienvorgaben abzuweichen. Mit der vorhersehbaren Konsequenz, dass die fehlerhafte Bestimmung vom EUGH aufgehoben wurde und Österreich eine Novellierung vornehmen musste. Die aus der damalig fehlerhaften Umsetzung resultierenden Unsicherheiten hatten sowohl das Vertrauen der Benutzer in elektronische Kommunikationsmittel belastet, als auch erhebliche Kosten bei den umsetzenden Unternehmen verursacht. 2 3 § 1 Abs. 1 Z 2 NotifG 1999: "„Dienst”: eine Dienstleistung der Informationsgesellschaft, das ist jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung, wobei im Sinne dieser Definition bedeuten: a) „im Fernabsatz erbrachte Dienstleistung”: eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Parteien erbracht wird, b) „elektronisch erbrachte Dienstleistung”: eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung, einschließlich digitaler Kompression, und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen und vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischen Weg gesendet, weitergeleitet und empfangen wird, und c) „auf individuellen Abruf eines Empfängers erbrachte Dienstleistung”: eine Dienstleistung, die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird; Die fehlende Berücksichtigung der "Dienste mit Zusatznutzen" und der "Dienste der Informationsgesellschaft" könnte sowohl als Korrektur der bestehenden Z 9 des § 3 TKG 2003 (“Kommunikationsdienst”) erfolgen oder durch zusätzliche Definition der beiden Dienste. 03.05.2011, 12:22/neu tkg-novelle-2011.doc, 3/4 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen. 12 von 12 36/SN-269/ME XXIV. GP - Stellungnahme zum Entwurf elektronisch übermittelt Datenschutzrat - Votum Separatum Dr. Hans G. Zeger vom 2. Mai 2011 betreffend den Entwurf zur Änderung des Telekommunikationsgesetzes 2003 (TKG 2003) Abgesehen von grundrechtlichen Überlegungen zum Schutz der Privatsphäre ist auch aus Wettbewerbsgründen die völlige und durch das Richtlinienpaket vorgegebene Gleichstellung aller Anbieter von Kommunikationsdiensten, Diensten mit Zusatznutzen und Diensten der Informationsgesellschaft, unabhängig von der Art der Nutzung der Kommunikationsnetze erforderlich. 03.05.2011, 12:22/neu tkg-novelle-2011.doc, 4/4 Dieses Dokument wurde mittels e-Mail vom Verfasser zu Verfügung gestellt. Für die Richtigkeit und Vollständigkeit des Inhaltes wird von der Parlamentsdirektion keine Haftung übernommen.