Die Polizei: österreichs Freund und Auftragsverarbeiter?
Thomas Reisinger | 08.July 2020Artikelinhalt
Wir sind im Juli und wie schon die gleichnamige Band von der perfekten Welle gesungen hat, so ist man weltweit darum bemüht gerade eine solche zweite Welle der Pandemie zu verhindern. In Österreich will man hierbei auf die personellen Ressourcen der Polizei zurückgreifen. Eine Novellierung des Epidemiegesetzes soll dies möglich machen.
Die Bestimmung ist auch aus datenschutzrechtlicher Sicht ein "Schmankerl"...
Um eine gefürchtete zweite Corona-Welle zu verhindern ist man aktuell darum bemüht im Bereich des Contact-Tracing - also dem Identifizieren und Isolieren von Kontaktpersonen von (potentiell) an Covid-19-Erkrankten - besser zu werden.
Neben Handy-Apps - welche ein Kapitel für sich sind - setzt man dabei auch auf Gästelisten und die gute alte Detektivarbeit, welche aus dem Befragen der Infizierten nach deren Kontakten besteht.
Die liebe Polizei
Gerade in diesem Bereich möchte man hierzulande auf die Ressourcen der Polizei zurückgreifen, da diese - in den Worten des Bundeskanzlers - bereits "Verhörerfahrung" besitzen und somit gute Erfolgsaussichten haben herauszufinden mit wem man Kontakt hatte. Um das rechtlich auf saubere Füße zu stellen ist man gerade bemüht das Epidemiegesetz im § 28a entsprechend anzupassen und Gesundheitsbehörden die Möglichkeit einzuräumen die Polizei mit dem Contact-Tracing zu beauftragen. Die geplante Bestimmung soll wie folgt lauten:
*„(1b) Die Organe des öffentlichen Sicherheitsdienstes haben nach Maßgabe der ihnen zur Verfügung stehenden Ressourcen auf Ersuchen der nach diesem Bundesgesetz zuständigen Behörden an Maßnahmen gemäß § 5 mitzuwirken. Die Mitwirkungspflicht umfasst die Ermittlung von
1. Identitätsdaten (Name, Wohnsitz),
2. allfälligen Krankheitssymptomen und
3. Kontaktdaten (Telefonnummer, E-Mail-Adresse)
von kranken, krankheitsverdächtigen oder ansteckungsverdächtigen Personen als Auftragsverarbeiter (Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.5.2018 S. 2) für die nach diesem Bundesgesetz zuständigen Behörde. Zu diesem Zweck dürfen die Organe des öffentlichen Sicherheitsdienstes Abfragen aus dem Zentralen Melderegister durchführen. Diese Daten sind den nach diesem Bundesgesetz zuständigen Behörden in elektronischer Form über eine gesicherte Leitung unverzüglich nach der Erhebung zu übermitteln. Die von den Organen des öffentlichen Sicherheitsdienstes erhobenen Daten dürfen ausschließlich zum Zweck der Kontaktierung der betroffenen Person verarbeitet werden und sind nach Übermittlung an die nach diesem Bundesgesetz zuständige Behörde unverzüglich zu löschen. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig.“*
Im Grunde alles klar! Die Polizei soll in die Lage versetzt werden, auf Ersuchen der Magistrate und Bezirkshauptmänner die oben genannten Daten zu ermitteln. Zu diesem Zweck darf man auch das Zentrale Melderegister (ZMR) abfragen.
Interessant ist aber die - auf den ersten Blick sehr unscheinbare - Formulierung "als Auftragsverarbeiter (Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.5.2018 S. 2) für die nach diesem Bundesgesetz zuständigen Behörde."
In den Augen des Gesetzgebers ist die Polizei somit im Bereich des Contact-Tracing nach dem Epidemiegesetz als ein Auftragsverarbeiter zu werten. Dies ist interessant in so mancher Hinsicht:
Es stellt sich die Frage ob denn nun zwischen den Bezirksverwaltungsbehörden und der Polizei eine Auftragsverarbeitervereinbarung zu schließen ist? Falls ja: in welchen Konstellationen? Reicht eine Vereinbarung auf Bundes- oder Landesebene? Oder braucht es gar einer Vereinbarung mit den einzelnen Polizeiinspektionen? Muss eine Bezirksverwaltungsbehörde aus dem Land Oberösterreich auch eine Vereinbarung mit einer Polizeiinspektion in Wien treffen für den Fall, dass man Teile der Infektionskette in Wien vermutet?
Und wie ist ein etwaiges Contact-Tracing rechtlich zu beurteilen, wenn keine Auftragsverarbeitervereinbarung vorliegt? Liegt damit eine Datenschutz-Verletzung vor? Besteht gar ein Anspruch auf Amtshaftung/Schadenersatz gegenüber dem Staat?
Generell ist die Annahme einer Auftragsverarbeitung hier problematisch, da die Polizei zwar im Auftrag (Ersuchen) der Bezirksverwaltungsbehörde tätig wird. Genauso "im Auftrag" wird die Polizei aber auch im Bereich des Strafrechtes für die Staatsanwaltschaft tätig. Mit dem Unterschied, dass hier jedenfalls keine Auftragsverarbeitung angenommen wird.
Bei konsequenter Auslegung kann man letztlich zu dem Schluss kommen, dass die geplante Bestimmung des Epidemiegesetzes der DSGVO widerspricht. Insofern läge ein Widerspruch zu EU-Recht vor und wäre - jedenfalls theoretisch - der Rechtsweg an den Europäischen Gerichtshof (EuGH) eröffnet.
Freilich handelt es sich hier um juristische Spitzfindigkeiten - und dass unsere aktuelle Regierung kein großes Interesse an sauberen juristischen Lösungen hat, sollte spätestens, seit der Verfassungsgerichtshof erklärt hat dass die Corona-Betretungsverbote weitgehend gesetzeswidrig waren allen klar sein.
Links zum Artikel
Geplanter Gesetzestext
derstandard.at Betretungsverbote laut VfGH gesetzeswidrig