Empfehlungen der Datenschutzkommission betreffend Zentrales Melderegister


Empfehlungen der Datenschutzkommission gemäß § 30 Abs. 6 DSG 2000 vom 9. Mai 2003, Geschäftszahl K213.002/008-DSK/2003

[Anmerkung: Text anonymisiert, soweit andere Beteiligte als Datenschutzkommission und Bundesministerium für Inneres betroffen sind.]

Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 9. Mai 2003 folgenden Beschluss gefasst:

Gemäß § 30 Abs. 6 DSG 2000, BGBl I Nr 156/1999 idF BGBl I Nr 136/2001 (DSG 2000) richtet die Datenschutzkommission an den Bundesminister für Inneres als Betreiber und Dienstleister mit besonderen gesetzlich festgelegten Pflichten und Aufgaben (§§ 16 und 16a Meldegesetz 1991, BGBl. Nr. 9/1992 idF BGBl I Nr 98/2001 (MeldeG)) zur Herstellung und Sicherung des gesetzmäßigen Zustands beim Betrieb des Zentralen Melderegisters (ZMR) die folgenden

Empfehlungen:

  1. Der Bundesminister für Inneres möge durch programmtechnische Maßnahmen dafür sorgen, dass bei der Übermittlung von personenbezogenen Daten aus dem ZMR durch Abfrage an sonstige Abfrageberechtigte (§ 1 Z 4 Meldegesetz- Durchführungsverordnung, BGBl II Nr 66/2002 (MeldeV) und § 16a Abs 5 MeldeG) § 16 Abs 1 MeldeG eingehalten wird. Dies bedeutet, dass die Eingabe von Vor- und Familienname, des Geburtsdatums des gesuchten Menschen (Meldepflichtigen) und eines weiteren Merkmals durch den Übermittlungsempfänger (sonstigen Abfrageberechtigten) zwingend vor der Übermittlung von Daten des in Frage kommenden Menschen (Meldepflichtigen) erfolgen muss.
  2. Der Bundesminister möge auf Grundlage der Ermächtigung in § 16a Abs 6 MeldeG durch Verordnung den Ablauf einer zulässigen Abfrage aus dem ZMR durch sonstige Abfrageberechtigte innerhalb der Grenzen von § 16 Abs 1 MeldeG genauer regeln.
  3. Der Bundesminister für Inneres möge durch geeignete Maßnahmen, insbesondere die Androhung und Einleitung von Verfahren zur Entziehung der Abfrageberechtigung (§ 16a Abs 7 MeldeG), dafür Sorge tragen, dass sonstige Abfrageberechtigte die Daten des ZMR ausschließlich für den in § 16a Abs 5 MeldeG umschriebenen Zweck ('zur erwerbsmäßigen Geltendmachung oder Durchsetzung von Ansprüchen') verwenden und ZMR-Daten keinesfalls zur Übermittlung an Dritte ermitteln oder neben der Verwendung für eigene, rechtmäßige Zwecke auch an Dritte übermitteln.

Zur Umsetzung dieser Empfehlungen wird dem Bundesminister für Inneres gemäß § 30 Abs 6 DSG 2000 unter sinngemäßer Anwendung von Z 4 leg.cit. eine Frist von zwölf Wochen eingeräumt.

Gründe für diese Empfehlungen:

I) Allgemeines

A. Überprüfungslegitimation:

Gemäß § 30 Abs 2 DSG 2000 kann die Datenschutzkommission im Falle eines begründeten Verdachtes auf Verletzung der Rechte oder Pflichten eines Auftraggebers oder Dienstleisters Datenanwendungen überprüfen. Ein begründeter Verdacht an der Gesetzmäßigkeit der Abfragemöglichkeiten für 'sonstige Abfrageberechtigte' aus dem Zentralen Melderegister hat sich aus zahlreichen Veröffentlichungen in elektronischen Medien und Printmedien ergeben, in welchen unter anderem auch Anbote zur Meldedaten- Vermittlung durch sonstige Abfrageberechtigte abgedruckt wurden. Dies hat die Datenschutzkommission zur Einleitung des gegenständlichen Prüfverfahrens bewogen.

B. Anzuwendende Rechtsvorschriften

Gemäß § 8 Abs 1 Z 1 DSG 2000 sind bestehende schutzwürdige Geheimhaltungsinteressen gemäß § 1 Abs 1 DSG 2000 (Verfassungsbestimmung, Grundrecht auf Datenschutz) dann nicht verletzt, wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht.

§ 16 Abs 1 MeldeG legt unter der Überschrift 'Zentrales Melderegister; Informationsverbundsystem' die beschränkte Öffentlichkeit des Informationsverbundsystems ZMR fest. Wegen der zentralen Bedeutung für dieses Kontrollverfahren wird die Bestimmung (idF BGBl I Nr 28/2001) im Wortlaut wiedergegeben (Hervorhebungen durch die Datenschutzkommission): 'Das zentrale Melderegister ist insofern ein öffentliches Register, als der Hauptwohnsitz eines Menschen oder jener Wohnsitz, an dem dieser Mensch zuletzt mit Hauptwohnsitz gemeldet war, abgefragt werden kann, wenn der Anfragende den Menschen durch Vor- und Familiennamen, das Geburtsdatum und ein zusätzliches Merkmal, wie etwa Geburtsort, ZMR-Zahl oder einen bisherigen Wohnsitz, bestimmt. Über andere gemeldete Wohnsitze dieses Menschen darf einem Abfragenden nur bei Nachweis eines berechtigten Interesses Auskunft erteilt werden.'

Gemäß § 16 Abs 2 MeldeG ist der Bundesminister für Inneres Betreiber des Informationsverbundsystems ZMR und zentraler Dienstleister sämtlicher Meldebehörden (Bürgermeister, § 13 Abs 1 MeldeG). Darüber hinaus ist der Bundesminister für Inneres unter anderem gemäß § 16 Abs 4 MeldeG ermächtigt, jedem Gesamtdatensatz eines Menschen zur Sicherung der Unverwechselbarkeit eine Melderegisterzahl (ZMR-Zahl) beizugeben, sowie entsprechend weiteren Spezialbestimmungen (siehe sogleich unten) die Daten des ZMR auch zu verarbeiten und deren Verwendung durch andere Auftraggeber als Meldebehörden zu regeln.

§ 16a MeldeG regelt gemäß Überschrift die 'Zulässigkeit des Verwendens der Daten des Zentralen Melderegisters'. Demnach hat gemäß Abs 2 leg.cit. der Bundesminister für Inneres die ihm 'überlassenen' - zur Undeutlichkeit dieses Begriffs siehe weiter unten, Punkt B. - Daten weiter zu verarbeiten und deren Auswählbarkeit aus der gesamten Menge nach dem Namen der An- und Abgemeldeten vorzusehen. Hiebei bildet die Gesamtheit der Meldedaten (§ 1 Abs 5 MeldeG) eines bestimmten Menschen, mögen diese auch mehrere Unterkünfte betreffen, den Gesamtdatensatz.

§ 16a Abs 5 MeldeG, eine für das gegenständliche Kontrollverfahren entscheidende Bestimmung, regelt die beschränkte Abfrage des ZMR durch Personen außerhalb der öffentlichen Verwaltung ('sonstige Abfrageberechtigte' gemäß § 1 Z 4 MeldeV), die einen regelmäßigen, rechtlich begründeten Bedarf nach Meldeauskünften bescheinigen können, wie beispielsweise berufsmäßige Parteienvertreter (z.B. Notare, Rechtsanwälte), Banken oder Versicherungen. Die Bestimmung sei im Wortlaut wiedergegeben (Hervorhebungen durch die Datenschutzkommission):

'Abgesehen von den in Abs 4 genannten Fällen [Anmerkung: betrifft Organe von Gebietskörperschaften, Gemeindeverbände und Sozialversicherungsträger] ist der Bundesminister für Inneres ermächtigt, bestimmten Personen im Rahmen des § 16 Abs 1 auf Antrag eine Abfrageberechtigung im Wege des Datenfernverkehrs auf die im Zentralen Melderegister verarbeiteten Daten, für die keine Auskunftssperre besteht, zu eröffnen; hiefür muss glaubhaft sein, dass diese Personen regelmäßig Meldeauskünfte zur erwerbsmäßigen Geltendmachung oder Durchsetzung von Rechten oder Ansprüchen benötigen, wobei eine derartige Abfrage im konkreten Fall nur für die glaubhaft gemachten Zwecke erfolgen darf.'

§ 16a Abs 6 MeldeG ermächtigt den Bundesminister für Inneres durch Verordnung die Vorgangsweise bei der Datenverwendung gemäß - unter anderem - Abs 5 leg.cit. sowie die Voraussetzung für die Abfrageberechtigung im ZMR (insbesondere im Hinblick auf zu treffende Datensicherheitsmaßnahmen) sowie die Kosten der Abfrageberechtigung durch Verordnung festzulegen. Die entsprechende Verordnung ist die bereits zitierte Meldegesetz- Durchführungsverordnung, BGBl II Nr 66/2002 (MeldeV), deren relevante Bestimmungen hier nicht gesammelt wiedergegeben werden.

§ 16a Abs 7 MeldeG legt fest, dass die 'Eröffnung der Abfrageberechtigung' gemäß § 16a Abs 5 MeldeG im ZMR durch den Bundesminister für Inneres zu unterbinden ist, wenn die Voraussetzungen, unter denen die Abfrageberechtigung erteilt wurde, nicht mehr vorliegen (Z 1), schutzwürdige Geheimhaltungsinteressen Betroffener von Auskünften verletzt wurden (Z 2), gegen Datensicherheitsmaßnahmen verstoßen wurde (Z 3) oder ausdrücklich auf die Abfrageberechtigung verzichtet wird (Z 4).

Die Bestimmungen der so genannten 'Flexi- oder Support-Unit- Verordnung' (Verordnung des Bundesministers für Inneres über die Bestimmung der Support-Unit Zentrales Melderegister (ZMR) als Organisationseinheit, bei der die Flexibilisierungsklausel zur Anwendung gelangt, BGBl II Nr 20/2003), die durch das Echo, das sie in der Medienberichterstattung hervorgerufen haben, zur Einleitung dieses Kontrollverfahrens beigetragen haben, sind hingegen tatsächlich haushaltsrechtlicher Natur und greifen materiell in Datenschutzrechte nicht ein. Besagtes Echo beruht nach Meinung der Datenschutzkommission auf missverständlichen und unglücklich formulierten Sätzen programmatischen Charakters im Anhang dieser Verordnung.

B. Gründe für die direkte Verantwortlichkeit des Bundesministers für Inneres

Gemäß § 30 Abs 1, 2 und 4 DSG 2000 kann die Datenschutzkommission zwar Datenanwendungen beim Auftraggeber ebenso wie beim Dienstleister überprüfen, aus Abs 6 leg.cit., insbesondere Z 3 und 4, geht aber doch hervor, dass Empfehlungen der Datenschutzkommission sich an den Auftraggeber der Datenanwendung zu richten haben. Würde man sich nach dem Wortlaut der einschlägigen Definitionen (§ 16 Abs 2 MeldeG, § 1 Z 1 MeldeV) halten, so müssten sämtliche Bürgermeister Österreichs als Meldebehörden und Auftraggeber des ZMR Adressaten dieser Empfehlungen sein. Dies wäre aber, wie schon eine oberflächliche Analyse der einschlägigen Bestimmungen des MeldeG ergibt, verfehlt und zweckwidrig. Zwar bezeichnet das MeldeG die Meldebehörden als Auftraggeber des ZMR und den Bundesminister für Inneres als bloßen Betreiber des Informationsverbundsystems und Dienstleister der Meldebehörden. In Wahrheit weist das MeldeG dem Bundesminister jedoch materiell eine Rolle zu, die über die eines bloßen Betreibers und Dienstleisters - die Begriffe wurden offenbar dem DSG 2000 (§§ 4 Z 5 und § 50 Abs 1 Satz 1 DSG 2000) entlehnt - deutlich hinausgeht. Schon die Gesetzesmaterialien (424 Blg NR XXI GP, 23) sprechen in Würdigung dieses Umstands vom Bundesminister als 'Dienstleister mit besonderen, in den nachfolgenden Absätzen sowie in den §§ 16a und 16b bereits auf gesetzlicher Ebene festgelegten Pflichten und Aufgaben'. So wird der Bundesminister für Inneres durch § 16a Abs 2 MeldeG angewiesen, die ZMR-Daten zu 'verarbeiten', durch § 16 Abs 4 MeldeG wird er ermächtigt, ein neues Datum, nämlich die ZMR- Zahl, zu kreieren und dem Gesamtdatensatz hinzuzufügen, und § 16a Abs 5 MeldeG weist dem Bundesminister für Inneres - nicht den Meldebehörden! - die alleinige Kontrolle darüber zu, welcher 'sonstige Abfrageberechtigte' als Empfänger von Datenübermittlungen zugelassen wird. Generell ergibt sich eine besondere Verantwortung des Bundesministers für Inneres in Angelegenheiten des Zentralen Melderegisters schon aus dem Umstand, dass er oberste und weisungsberechtigte Behörde im Meldewesen ist, und daher eine zentrale Vollziehung von Angelegenheiten des Meldewesens, wie sie das ZMR darstellt, diese Zuständigkeit nicht ganz außer Acht lassen kann. Die Datenschutzkommission zieht daraus den Schluss, dass dem Bundesminister für Inneres im Sinne von § 4 Z 4 DSG 2000 jedenfalls und insbesondere auf Grund besonderer gesetzlicher Ermächtigung im MeldeG zumindest teilweise auch die Rolle des Auftraggebers für das ZMR zukommt, und es daher zulässig ist, eine Empfehlung, die sich im Kernpunkt mit Datenverwendung im Sinne von § 16a MeldeG beschäftigt (Zuständigkeitsbereich des Bundesministers für Inneres, nicht der Meldebehörden), direkt an den Bundesminister zu richten, da nur er über die Rechtsmacht verfügt, die nach Meinung der Datenschutzkommission bestehenden Missstände zu beseitigen. Auch § 50 Abs 3 DSG 2000, der ausdrücklich vom Abs 1 leg.cit. abweichend aufgebaute Informationsverbundsysteme vorsieht, ist auf diesen Fall anwendbar.

C. Feststellungen der Datenschutzkommission im Überprüfungsverfahren

Die Datenschutzkommission stützt sich bei ihren Empfehlungen auf die Ergebnisse folgender Ermittlungsschritte:

  • Besprechung zwischen Vertretern des Bundesministers für Inneres und Vertretern der Datenschutzkommission unter Führung des Geschäftsführenden Mitglieds der Datenschutzkommission am 28. Februar 2003, Protokoll, GZ: K213.002/003-DSK/2003;
  • Demonstration der Funktionsweise der ZMR-Abfragen gemäß § 16a Abs 4 und 5 MeldeG (Augenschein der Datenschutzkommission) im Rahmen einer weiteren Besprechung zwischen Vertretern des Bundesministers für Inneres und Vertretern der Datenschutzkommission unter Führung des Geschäftsführenden Mitglieds der Datenschutzkommission am 7. März 2003, Protokoll, GZ: K213.002/005-DSK/2003;
  • Von Mitarbeitern des Büros der Datenschutzkommission im Auftrag des Geschäftsführenden Mitglieds durchgeführte ZMR- Testabfragen (User-ID, Behördenkennzahl und Passwort vom BMI zur Verfügung gestellt, Behördenzugang und Zugang für 'Business-Partner' [= sonstige Abfrageberechtigte]), Aktenvermerk (Protokoll) und Screenshots, GZ: K213.002/006- DSK/2003;
  • Recherche von Mitarbeitern des Büros der Datenschutzkommission im Internet.

Die Datenschutzkommission kam dabei zu folgenden Feststellungen:

Am 7. März 2003 beim Augenschein des Geschäftsführenden Mitglieds der Datenschutzkommission war es möglich,

  1. im Rahmen einer ZMR-Abfrage als sonstiger Abfrageberechtigter nach Eingabe von Vorname, Familienname und Staatsbürgerschaft (sowie formellem Ausfüllen eines Feldes mit dem Namen 'Begründung'), aus einer von der Datenbank generierten Liste von Geburtsdaten möglicher Treffer ein Geburtsdatum auszuwählen und so hinsichtlich des ausgewählten Betroffenen die Daten 'Aktualität' (= aktueller oder zuletzt gemeldeter Hauptwohnsitz), 'Geburtsdatum', 'Geburtsort', 'Familienname', 'Vorname', 'Straße', 'Postleitzahl' und 'Ort' übermittelt zu erhalten;
  2. im Rahmen einer ZMR-Abfrage als sonstiger Abfrageberechtigter nach Eingabe von Vorname, Familienname und Wohnort bzw. Geburtsort (sowie formellem Ausfüllen eines Feldes mit dem Namen 'Begründung'), aus einer von der Datenbank generierten Liste von Geburtsdaten möglicher Treffer ein Geburtsdatum auszuwählen und so hinsichtlich des ausgewählten Betroffenen die Daten 'Aktualität' (= aktueller oder zuletzt gemeldeter Hauptwohnsitz), 'Geburtsdatum', 'Geburtsort', 'Familienname', 'Vorname', 'Straße', 'Postleitzahl' und 'Ort' übermittelt zu erhalten;
  3. im Rahmen einer ZMR-Abfrage als sonstiger Abfrageberechtigter das Eingabefeld 'Geburtsdatum' unvollständig, das heißt mit Platzhaltern an Stelle von Tag und Monat wie zum Beispiel '??.??.1970' auszufüllen (so genannte 'Wildcard-Abfrage'). Diese Abfrage nach Vorname, Familienname und bloßem Geburtsjahr ergab ebenfalls eine Auswahlliste der Geburtsdaten von in Frage kommenden Betroffenen.

Am 19. März 2003 war es im Rahmen der dokumentierten ZMR- Testabfragen des Büros der Datenschutzkommission (https://portala.bmi.gv.at)

  1. möglich, im Rahmen einer ZMR-Abfrage als sonstiger Abfrageberechtigter nach Eingabe von Vorname, Familienname und 'Ort' oder 'Staatsangehörigkeit' (sowie formellem Ausfüllen eines Feldes mit dem Namen 'Begründung'), aus einer von der Datenbank generierten Liste von Geburtsdaten möglicher Treffer ein Geburtsdatum auszuwählen und so hinsichtlich des ausgewählten Betroffenen die Daten 'Aktualität' [Anmerkung: aktueller oder zuletzt gemeldeter Hauptwohnsitz], 'Geburtsdatum', 'Fam-/Vorname', 'Straße', und 'Plz/Ort' übermittelt zu erhalten;
  2. nicht möglich, eine Suche nach oder eine Übermittlung der Datenart 'Geburtsort' durchzuführen;
  3. nicht mehr möglich, eine 'Wildcard-Abfrage', bei der das Geburtsdatum teilweise durch Platzhalter ersetzt wird, durchzuführen; das Geburtsdatum musste im Format TT.MM.JJJJ vollständig eingegeben werden;
  4. weiterhin möglich, die Betroffenen (Meldepflichtigen) aus einer Liste in Frage kommender Personen nach dem Geburtsdatum auszuwählen; eine solche Auswahl musste auch erfolgen, wenn Vor-, Familienname und Geburtsdatum (oder ähnliche Suchkriterien) nur einen Betroffenen zur Auswahl übrig ließen, in anderer Kombination wie Vor-, Familienname und Staatsangehörigkeit wurden auch längere Auswahllisten generiert;
  5. möglich, bei einer Abfrage des ZMR als Behörde folgende ZMR-Daten übermittelt zu erhalten: 'ZMR-Zahl', 'Titel, Fam- /Vorname', 'Geb.Dat./Geb.Ort', 'Meldegrund' [Anmerkung: scheint zweimal auf], 'Durchgef. am' [Anmerkung: bezeichnet das Datum der Übernahme der Meldedaten ins ZMR], 'Gültig bis', 'W-Qualität' [Anmerkung: Wohnsitzqualität = Hauptwohnsitz oder sonstiger Wohnsitz], 'Straße', 'PLZ/Gemeindebez.', 'Gem.von', 'Gem.bis' [Anmerkung: Dauer der Anmeldung].

Am 8. April 2003 war unter URL http://www.xxxxxxxxxx.at/zmr/help/erstanmeldung.html eine Anbotsbeschreibung der X-Unternehmensberatung Y & Z GmbH abrufbar, die unter anderem folgendes enthielt: [Wiedergabe eines Screenshots, verkleinertes Faksimile eines Browserfensters]

[Anmerkung: Screenshot aus Anonymisierungsgründen nicht wiedergegeben]

Durch dieses Beispiel ist bewiesen, dass einzelne sonstige Abfrageberechtigte die gemäß § 16a Abs 5 MeldeG ermittelten Daten nicht nur für eigene Zwecke verwenden, sondern ZMR-Daten auch gegen Entgelt an Dritte übermitteln.

Beweiswürdigung: Diese Feststellungen stützen sich auf die Protokollaufzeichnungen zu GZ K213.002/005-DSK/2003 und, hinsichtlich der Feststellungen über Form und Inhalt der Abfragen am 19. März 2003, auf die Screenshots, Beilagen Screenshot1 bis Screenshot18, zu GZ K213.002/006- DSK/2003.Hinsichtlich der Feststellungen zur Firma 'X' wird auf den oben wiedergegebenen, direkt in dieses Winword- Textdokument eingebetteten Screenshot verwiesen.

II) zu den einzelnen Empfehlungen im Besonderen

Ad 1.) § 16 Abs 1 MeldeG erklärt das ZMR zum 'öffentlichen Register' insofern als der aktuelle und der vorhergehende Hauptwohnsitz einer Person abgefragt werden kann, wenn der Anfrager Vor- und Zunamen, Geburtsdatum und ein weiteres Identifikationsmerkmal dieser Person angibt. Auch wenn der aktuelle und der vorhergehende Hauptwohnsitz somit 'öffentliche' Daten sind, sind sie dies jeweils nur für eine solche Person, die denjenigen, über den Auskunft aus dem ZMR verlangt wird, mit seinen wesentlichen Identitätsdaten beschreiben kann. Die 'Öffentlichkeit' des ZMR ist somit nicht in der Form gegeben, dass Private darin 'blättern' könnten, sondern nur in der Form, dass ein ganz bestimmter, eng begrenzter Ausschnitt demjenigen zur Verfügung steht, der jene Daten bekannt gibt, durch die der Ausschnitt eindeutig abgegrenzt gefunden werden kann. Es handelt sich daher beim ZMR um ein Register, dessen 'Öffentlichkeit' von ganz spezifischer, eingeschränkter Natur ist.

Anders geartet ist der Zugang, der den staatlichen Stellen durch das Meldegesetz eingeräumt wird: Umfassender Zugang zu ZMR-Daten wird den Gebietskörperschaften, Gemeindeverbänden und Sozialversicherungsträgern ermöglicht, und zwar - soweit sie dies zur Erfüllung ihrer gesetzlichen Aufgaben benötigen - zum gesamten über eine Person im ZMR gespeicherten Datensatz. Hinsichtlich der technischen Form des Zugangs zu diesen Daten kann der Bundesminister für Inneres die 'Übermittlung im Datenfernverkehr' zulassen (§ 16 Abs 4).

Die Zulassung einer solchen - elektronischen - Übermittlungsform an Private (- vom Meldegesetz als 'sonstige Abfrageberechtigte' bezeichnet - ) kann vom Bundesminister für Inneres gemäß § 16a Abs 5 MeldeG hingegen nur 'im Rahmen des § 16 Abs 1' eröffnet werden, das heißt nur betreffend Hauptwohnsitzdaten und nur bei Angabe der im § 16 Abs 1 verlangten näheren Zusatzinformationen zur Identität des Betroffenen.

Daraus folgt, dass sich die Abfragelogik für Online-Abfragen der 'sonstigen Abfrageberechtigten', die der Bundesminister für Inneres auch als 'Businesspartner' bezeichnet (http://zmr.bmi.gv.at/pages/Businesspartner.htm), an das in § 16 Abs 1 MeldeG vorgegebenen Schema halten muss, um gesetzmäßig zu sein: Die Eingabe von Vorname, Familienname und Geburtsdatum ist zwingend vorgeschrieben, zusätzlich ist ein weiterer Identifikator einzugeben, wobei die in Frage kommenden Parameter im Gesetz nur demonstrativ (arg: 'wie Geburtsort, ZMR-Zahl oder einen bisherigen Wohnsitz') aufgezählt werden. Die derzeit vom Bundesminister für Inneres vorgesehene Abfragelogik, die alternativ das Geburtsdatum oder einen weiteren Suchparameter zulässt und anschließend die Auswahl aus einer Liste in Frage kommender Betroffener nach dem Geburtsdatum gestattet, entspricht daher nicht dem Gesetz. Die entsprechende Aufzählung in § 16 Abs 1 MeldeG ist unmissverständlich kumulativ gemeint. Eine Abfrage des ZMR in zwei Schritten, wie sie als Leistungsbeschreibung für potentielle 'Businesspartner' auch auf einer Website des Bundesministers für Inneres dargestellt wird (http://zmr.bmi.gv.at/pages/abfrage.htm), ist in § 16 Abs 1 MeldeG nicht vorgesehen.

Die Datenschutzkommission übersieht dabei nicht, dass eine Abfrage unter genauer Einhaltung der Vorgaben des § 16 Abs 1 MeldeG die Benutzung des ZMR für sonstige Abfrageberechtigte deutlich erschweren und die Zahl der interessierten 'Businesspartner' sinken lassen könnte. Doch würde eine ausweitende Auslegung, die auf eine bestmögliche 'Vermarktung' des durch § 16a Abs 5 MeldeG eröffneten Online-Zugangs zum ZMR für sonstige Abfrageberechtigte abzielt, nicht nur fundamentalen rechtsstaatlichen Prinzipien (Art 18 Abs 1 B-VG, Legalitätsprinzip) sondern auch der Natur von Grundrechtseingriffen nach § 1 Abs 2 DSG 2000 widersprechen, wonach zulässige Beschränkungen des Grundrechts auf Geheimhaltung schutzwürdiger personenbezogener Daten stets nur im absolut unerlässlichen Ausmaß und 'nur in der gelindesten, zum Ziel führenden Art' vorgenommen werden dürfen. Dies verbietet die ausweitende Interpretation von Normen, die Eingriffe in den Geheimhaltungsanspruch vorsehen. Dem Bundesminister für Inneres war daher durch Empfehlung nahe zu legen, die Abfragelogik für 'sonstige Abfragberechtigte' nach 16a Abs 5 MeldeG in einer mit §§ 16 Abs 1 MeldeG konformen Weise zu gestalten.

Ad 2.) Die MeldeV regelt, im Gegensatz zur legistischen Verheißung in § 16a Abs 6 MeldeG, die 'Vorgangsweise bei dem in Abs 4 und 5 vorgesehenen Verwenden von Daten' nicht näher. Unter dieser 'Vorgangsweise' versteht die Datenschutzkommission unter anderem die Festlegung des programmtechnischen Verfahrensablaufs, gemäß dem Meldedaten abgefragt werden dürfen, gewissermaßen also die nähere Ausführung der in § 16 Abs 1 MeldeG festgelegten Grundsätze. Zwar werden in der MeldeV die, insbesondere technischen aber auch organisatorischen Voraussetzungen samt den zu treffenden Datensicherheitsmaßnahmen näher ausgeführt und die Kosten festgesetzt, über den eigentlichen Vorgang der Datenverwendung schweigt die MeldeV aber. Der Bundesminister hat also den ihm vom Gesetzgeber eingeräumten, wenn auch zugegebenermaßen bescheidenen Gestaltungsspielraum nicht genützt. Die Datenschutzkommission ist der Meinung, dass eine Festlegung der Abfragelogik durch Verordnung, etwa dahin gehend,

  • welche Daten der 'sonstige Abfrageberechtigte' bereits kennen muss, um Hauptwohnsitzdaten übermittelt zu erhalten,
  • ob ein Spielraum bei der Genauigkeit der Suchparameter zulässig ist (z.B. vollständiges oder ungefähres Geburtsdatum, Türnummer oder nur Hausnummer bei der Eingabe einer Adresse) und
  • ob Auswahllisten angeboten werden,

sowohl im Interesse des Datenschutzes als auch der sonstigen Abfrageberechtigten bzw. 'Businesspartner' des Bundesministers für Inneres geboten ist. Andernfalls bleibt, wie offenbar derzeit der Fall, die Konkretisierung der 'Vorgangsweise' den Software-Technikern bzw. internen Vorgängen innerhalb des Bundesministeriums für Inneres vorbehalten, was im Lichte des vorstehend Gesagten nicht zielführend erscheint. Die 'sonstigen Abfrageberechtigten' haben wiederum aus Gründen des Vertrauensschutzes einen Anspruch darauf, dass ihre Rechte bei der Benutzung des ZMR möglichst konkret und in rechtsverbindlicher Weise festgelegt werden. Dabei muss allerdings betont werden, dass die unter Punkt 1. ausgeführte Unzulässigkeit der alternativen Abfrage nach Geburtsdatum oder sonstigem Merkmal, die in § 16 Abs 1 MeldeG selbst verankert ist, durch eine solche Verordnung nicht beseitigt werden kann. Dem Bundesminister für Inneres war daher durch Empfehlung nahe zu legen, die MeldeV im Sinne von § 16a Abs 6 MeldeG dahin gehend zu ergänzen, dass der Ablauf einer ZMR-Abfrage durch 'sonstige Abfrageberechtigte' auch hinsichtlich der programmtechnischen Abfragelogik näher geregelt wird.

ad 3.) Insbesondere durch die in § 16a Abs 5 MeldeG iVm § 6 MeldeV und § 16a Abs 7 MeldeG iVm § 7 Abs 3 MeldeV eingeräumte Befugnis, bestimmten Privaten Abfrageberechtigungen für das ZMR zu erteilen und diesen sonstigen Abfrageberechtigten dieses Recht wieder zu entziehen, wird dem Bundesminister für Inneres vom Gesetzgeber eine gewisse Verantwortung für das gesetzeskonforme Verhalten dieser externen Benutzer des ZMR zugewiesen. Dabei ist zu unterscheiden zwischen dem Verantwortlichen (§ 3 MeldeV), dem Abfrageberechtigten (§ 16a Abs 5 MeldeG), dem Zugriffsberechtigten (§§ 1 Z 5, 4 MeldeV) und dem Dienstleister des Abfrageberechtigten (§ 3 Abs 2 MeldeV). Der Verantwortliche, er kann auch mit dem gewerbsmäßigen (EDV-)Dienstleister (Zugangs-Provider) des sonstigen Abfrageberechtigten ident sein, ist gemäß § 3 Abs 1 MeldeV vom Abfrageberechtigten zu benennen. Er kann vom Betreiber des ZMR, dem Bundesminister für Inneres, gemäß § 4 Abs 1 MeldeV auch ermächtigt werden, Zugriffsberechtigungen zu erteilen, und er hat Anträge auf Einräumung der Abfrageberechtigung an den Betreiber weiterzuleiten (§ 6 Abs 1 MeldeV). Der Verantwortliche leistet gemäß § 5 Abs 1 MeldeV Gewähr dafür, dass die laut MeldeV vorgeschriebenen Datensicherheitsmaßnahmen eingehalten werden. Zugriffsberechtigte sind (einzelne) Menschen, denen (durch Zuteilung einer Benutzerkennung und eines Passwortes, dies erfolgt entweder - § 4 Abs 1 MeldeV - durch den Betreiber des ZMR oder - § 4 Abs 2 MeldeV - durch den Verantwortlichen) der physische Zugriff auf die ZMR-Daten eingeräumt wurde (§ 1 Z 5 MeldeV).

In der Praxis des ZMR-Betriebs hat sich, wie die am 8. April 2003 festgestellte Geschäftspraxis der Firma X beweist, zumindest vereinzelt die rechtswidrige Vorgangsweise eingeschlichen, übermittelte ZMR-Daten gegen Entgelt an Dritte weiter zu übermitteln. Dies ist durch § 16a Abs 5 MeldeG ausgeschlossen, da die Eröffnung einer Abfrageberechtigung an die Bedingung geknüpft ist, dass diese Personen - das sind die sonstigen Abfrageberechtigten - regelmäßig Meldeauskünfte zur erwerbsmäßigen Geltendmachung und Durchsetzung von Rechten oder Ansprüchen benötigen, wobei eine derartige Abfrage im konkreten Fall nur für die anlässlich des Antrags auf Einräumung des Online-Zugriffs glaubhaft gemachten Zwecke erfolgen darf. Oder mit anderen Worten: Eine Verwendung von ZMR-Daten durch sonstige Abfrageberechtigte für Zwecke Dritter ist vom Gesetz untersagt. Ein sonstiger Abfrageberechtigter darf in keiner Form, auch nicht durch Ermöglichung einer indirekten Abfrage, per Briefpost, Fax, E-Mail oder per Telefon, ZMR-Daten an Dritte übermitteln. Jede einzelne Abfrage des ZMR muss nachweislich dem Zweck der eigenen 'erwerbsmäßigen Geltendmachung oder Durchsetzung von Rechten oder Ansprüchen' dienen. Dies umfasst freilich auch die berufsmäßige Parteienvertretung durch Rechtsanwälte, Notare und vergleichbare Tätigkeiten, die ihnen übermittelte ZMR- Daten dazu verwenden, um namens und im Auftrag eines Mandanten dessen Rechte und Ansprüche durchzusetzen, was zumindest im Wortsinn von § 16a Abs 5 MeldeG noch Deckung findet und erkennbar von Ziel und Zweck des Gesetzes umfasst ist. Auch der berufsmäßige Parteienvertreter darf aber ZMR-Daten nur im Zusammenhang mit der Durchsetzung von Rechten und Ansprüchen, also etwa zwecks Adressierung einer Klage oder Namhaftmachung eines Zeugen, verwenden. Einen bloßen Auftrag zur Ermittlung von Meldedaten für einen Mandaten durch ZMR-Abfrage darf er nicht übernehmen. Die bei 'öffentlichen Daten' grundsätzlich bestehende Zulässigkeit der Weiterverwendung der Daten für jeden erlaubten Zweck ist hier durch Gesetz auf ganz bestimmte Weise beschränkt. Dies steht im Einklang mit der im Vorstehenden dargestellten besonderen und beschränkten Form der 'Öffentlichkeit' der Hauptwohnsitzdaten.

Dazu kommen noch folgende rechtspolitische Erwägungen: Im Rahmen der Bestrebungen, Verwaltungsvereinfachung durch Einsatz moderner Informations- und Kommunikationstechnologien zu erreichen (Schlagwort 'e‑Government'), kommt den ZMR-Daten, insbesondere der ZMR-Zahl, eine besondere Bedeutung zu. Das ZMR als zentrales und nach einheitlichen Grundsätzen geführtes Register aller Personen mit Wohnsitz im Inland wird zur Identifizierung im elektronischen Verkehr mit Behörden entscheidende Bedeutung haben, die ZMR-Zahl gemäß § 16 Abs 4 MeldeG ist bereits jetzt de lege lata als indirektes Personenkennzeichen bzw. Identifikationsschlüssel, nämlich gemäß § 13 Abs 4a Allgemeine Verwaltungsverfahrensgesetz 1991, BGBl Nr 51/1991 idF BGBl I Nr 65/2002 (AVG) als 'Ausgangsbasis für eine verwaltungsbereichsspezifisch unterschiedliche, abgeleitete und verschlüsselte Personenkennzeichnung' vorgesehen (vgl. auch Ausschussbericht, 885 BlgNR XXI GP, 3). Zitat: 'Das Zentrale Melderegister zählt zu einer der Schlüsselanwendungen im e‑Government. Es stellt die Basistechnologie für die Identifikation von natürlichen Personen bei Online-Verfahren dar. AnbringerInnen können durch Heranziehung des Zentralen Melderegisters davon ausgehen, dass Verfahren eindeutig zugeordnet werden und Unbefugte keinen Zugang zu diesen erhalten' (e‑Government-Strategien (Online- Verfahren) Teil I, IKT-Strategie des Bundes (CIO-Bund), Seite 15, herunterzuladen unter http://www.cio.gv.at/egovernment/strategy/Teil_I.pdf). Soll eine bundesweite IKT-Strategie, die darauf abzielt, die Verwaltung durch Einsatz von e‑Government-Methoden zu vereinfachen und mittelfristig Kosten zu senken, Erfolg haben, so ist unabdingbare Voraussetzung, dass die Bürgerinnen und Bürger zu den Datenanwendungen, die e‑Government-Applikationen zu Grunde liegen, ein hohes Maß an Vertrauen haben, bildlich gesprochen: 'ihre Daten für sicher halten'. Halten umgekehrt die Betroffenen das ZMR nicht für sicher und befürchten, insbesondere von Privaten über das ZMR regelrecht bespitzelt, für Marketingzwecke erfasst oder mit Werbesendungen bombardiert zu werden - ganz gleich, ob diese Befürchtungen nun realistisch sind -, so besteht die Gefahr, dass entweder die Meldedisziplin sinkt oder e‑Government-Applikationen wegen ihres Zusammenhangs mit dem ZMR aus Misstrauen nicht angenommen werden. Dem Bundesminister für Inneres als ZMR-Betreiber fällt daher über seinen eigentlichen Ressortbereich hinaus durch die Schaffung von Vertrauen in die Rechtmäßigkeit der Datenverwendung eine wichtige Verantwortung für die IKT- Strategie des Bundes zu.

Freilich wird die Möglichkeit, die Verantwortung in der Öffentlichkeit überzeugend wahrnehmen zu können, wesentlich von der Art und Weise abhängen, in der das ZMR finanziert wird. Solange die Finanzierung über den 'Verkauf' von Meldedaten erfolgt, wird der Eindruck in der Öffentlichkeit bestehen bleiben, dass hier mit Daten, die dem Bürger zwangsweise abverlangt werden, Handel getrieben wird, was unweigerlich Misstrauen erweckt. Auch werden die für das ZMR Verantwortlichen durch die Notwendigkeit, die finanzielle Basis des ZMR durch entsprechende Zugriffsfrequenz auf die Daten des ZMR zu sichern, geradezu dazu gedrängt, Aspekte des Grundrechtsschutzes gegenüber kaufmännischen Erwägungen hintanzustellen. Dass dies dem öffentlichen Vertrauen in das ZMR als Drehscheibe des e‑Government nicht förderlich sein kann, liegt auf der Hand.

Zur Wahrnehmung seiner Verantwortung - und hier endet die rechtspolitische Argumentation - scheint es der Datenschutzkommission geboten, dem Bundesminister für Inneres die strengere Überprüfung der 'sonstigen Abfrageberechtigten' zu empfehlen. Ein 'sonstiger Abfrageberechtigter', der Daten regelmäßig an Dritte übermittelt oder diese Möglichkeit sogar geschäftlich ausbeutet (wofür Werbung, geschäftliche Ankündigungen, Anbote etc. deutliche Anzeichen sind), verletzt dadurch die schutzwürdigen Geheimhaltungsinteressen von Betroffenen im Sinne von § 16a Abs 7 Z 2 MeldeG. Überdies indiziert eine solche Datenverwendung nach Meinung der Datenschutzkommission den Verdacht, dass gemäß § 16a Abs 7 Z 1 MeldeG die Voraussetzungen, unter denen die Abfrageberechtigung erteilt wurde, nicht mehr vorliegen oder gar nie vorgelegen haben. In beiden Fällen wäre der Bundesminister für Inneres durch § 16a Abs 7 MeldeG verpflichtet, die Online-Abfrageberechtigung zu unterbinden. Dem Bundesminister für Inneres war daher durch Empfehlung nahe zu legen, die ihm gemäß § 16a Abs 7 MeldeG und § 7 MeldeV eingeräumten Befugnisse zu gebrauchen, und sonstige Abfrageberechtigten iSd § 16a Abs 5 MeldeG durch Androhung oder Anwendung der entsprechenden Sanktionen zur Einhaltung der gesetzlichen Regeln zu bewegen.


Stellungnahme des Bundesministeriums für Inneres

[Das Bundesministerium für Inneres (BMI) hat zu diesen Empfehlungen mit Schreiben GZ 10.010/144-III/3/03 vom 22. August 2003 Stellung genommen; die Begründung der Stellungnahme wird im Folgenden gemäß Beschluss der Datenschutzkommission vom 4. November 2003, K213.002/015-DSK/2003, gemäß § 30 Abs 6 Z 4 DSG 2000 der Öffentlichkeit zur Kenntnis gebracht. Nach Zitierung der Empfehlungen der Datenschutzkommission wird vom BMI ausgeführt:]

'Dazu nimmt das Bundesministerium für Inneres wie folgt Stellung:

1. Allgemein

Die Datenschutzkommission widmet der Begründung, warum der Bundesminister für Inneres Adressat der Empfehlungen ist, breiten Raum und legt ihr eine Gesetzinterpretation zu Grunde, die in der dargelegten Form nicht gänzlich überzeugt. § 30 Abs 6 Z 4 DSG normiert nämlich eindeutig, dass Empfehlungen der DSK an Auftraggeber des öffentlichen Bereiches zu richten sind. § 16 Abs 2 MeldeG sieht ausdrücklich vor, dass Auftraggeber des ZMR die Meldebehörden sind und das ZMR als Informationsverbundsystem (§ 4 Z 13 DSG 2000) geführt wird, wobei das Bundesministerium für Inneres sowohl die Funktion eines Betreibers gemäß § 50 DSG 2000 als auch die eines Dienstleisters im Sinne des § 4 Z 5 DSG 2000 für die Datenanwendung ausübt. Zudem ist hier auf die Erläuternden Bemerkungen zur Regierungsvorlage (BlgNr. 424 XXI. GP) zu verweisen, die den Wortlaut des Gesetzes noch unterstreichen: 'Der Bundesminister für Inneres wird Dienstleister mit besonderen, in den nachfolgenden Absätzen und in den § 16a und 16b bereits auf gesetzlicher Ebene festgelegten Pflichten und Aufgaben. Die Datenverantwortlichkeit bleibt bei den Meldebehörden.' Dass dabei dem Bundesminister für Inneres teilweise auch Datenverarbeitungsschritte übertragen werden, tut dabei seiner Funktion als Betreiber und Dienstleister - entgegen der offensichtlichen Annahme der Datenschutzkommission - keinen Abbruch. § 4 Z 5 DSG sieht nämlich vor, dass Dienstleister natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe sind, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden. Das Verwenden von Daten ist gemäß § 4 Z 8 DSG wiederum jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten als auch das Übermitteln von Daten. Die Argumentation der Datenschutzkommission geht also insoweit ins Leere, als sie offenbar vermeint, aus der Übertragung von Verarbeitungsschritten an das Bundesministerium für Inneres eine Auftraggebereigenschaft ableiten zu können; die Verarbeitung von Daten ist einem Dienstleister definitionsgemäß immanent.

Auch der Umstand, dass dem Bundesminister für Inneres den Meldebehörden gegenüber die Stellung einer Oberbehörde zukommt, kann nicht dafür ins Treffen geführt werden, ihn als Auftraggeber erscheinen zu lassen. Träfe zu, dass immer dann, wenn zwischen einem Auftraggeber und einer Oberbehörde ein Weisungszusammenhang besteht, die Oberbehörde als der eigentliche Auftraggeber und damit als Adressat von Empfehlungen der Datenschutzkommission anzusehen ist, liefe die Bestimmung des § 30 Abs 6 DSG teilweise ins Leere. Bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, ist das zuständige oberste Organ nur dann zu befassen, wenn der Auftraggeber den Empfehlungen der Datenschutzkommission nicht entspricht. Dass der Gesetzgeber hier eine inhaltsleere Regelung schaffen wollte, darf nicht angenommen werden.

Im Lichte der von verschiedenen Stellen initiierten öffentlichen Diskussion und der damit einhergehenden Verunsicherung der Bevölkerung, wird ungeachtet der oben stehenden Argumente davon Abstand genommen, sich auf diesen formalrechtlichen Standpunkt zurückzuziehen.

2. Zu den einzelnen Empfehlungen

2.1. Änderung der Abfragelogik

Die Datenschutzkommission hält die bislang für sonstige Abfrageberechtigte vorgesehene Abfragelogik für nicht dem Gesetz entsprechend, weil vorgesehen war, dass dem Abfrager nach Eingabe von Vor- und Familienname sowie eines sonstigen Merkmals des Betroffenen eine Liste von Geburtsdaten zur Verfügung gestellt wurde, an Hand derer der Gesuchte zu bestimmen war. Natürlich wird nicht übersehen, dass damit einem Abfrager die Bestimmung des Gesuchten insoweit erleichtert wurde, als ihm eine Hilfestellung bei der tagesgenauen Angabe des Geburtsdatums geboten wurde. In den Ausführungen der Datenschutzkommission findet jedoch keine Berücksichtigung, dass die Abfrage erst durchgeführt und schlussendlich eine Auskunft erteilt wurde, wenn der Gesuchte auch durch das so festzulegende Geburtsdatum bestimmt worden ist. Es mussten demnach alle von § 16 Abs 1 MeldeG vorgesehenen Abfragekriterien angegeben werden, bevor eine Meldeauskunft erteilt wurde. Inwiefern diese Logik nicht dem § 16 Abs 1 MeldeG entsprochen haben soll, kann daher nicht gesehen werden.

In Anbetracht der Empfehlung der dem Schutz personenbezogener Daten in besonderem Maße verpflichteten Datenschutzkommission hat das Bundesministerium für Inneres die Abfragelogik dennoch in der Weise geändert, dass die Abfrage nunmehr nur noch in der dort zum Ausdruck gebrachten Weise durchgeführt werden kann.

2.2. Erlassung einer Verordnung

Die Datenschutzkommission bemängelt, dass der Bundesminister für Inneres die ihm eingeräumte Verordnungsermächtigung nicht im vollen Umfang in Anspruch genommen hat. Wie die Datenschutzkommission selbst ausführt, hält sich der vom Gesetzgeber eingeräumte Gestaltungsspielraum für eine Regelung des Abfragevorgangs in sehr bescheidenem Rahmen. Im Interesse von mehr Publizität und der damit einhergehenden Erhöhung der Rechtssicherheit wird das Bundesministerium für Inneres dieser Empfehlung im Rahmen einer anstehenden Änderung der Meldegesetz-Durchführungsverordnung dennoch nachkommen. Da sich auch in anderen Bereichen Adaptierungsbedarf gezeigt hat, werden Regelungen über den Abfragevorgang gemeinsam mit diesen Änderungen Eingang in die Verordnung finden. Notwendige Abklärungen und Vorarbeiten lassen dieses Vorhaben erst in den nächsten Monaten möglich erscheinen. Selbstredend wird die Datenschutzkommission im Zuge des Begutachtungsverfahrens eingebunden werden.

2.3. Maßnahmen gegen rechtswidrige Verwendung der Abfragemöglichkeit

Das Bundesministerium für Inneres nimmt die ihm vom Gesetz zugewiesene Verantwortung im Hinblick auf die rechtskonforme Verwendung der Abfragemöglichkeit im besonderen Maße und im Rahmen der rechtlichen Möglichkeiten wahr. Bereits erfolgte Entziehungen der Berechtigung und laufende Verfahren sind ein deutlicher Beweis dafür. Anzumerken ist in diesem Zusammenhang, dass die Gestaltung von Internetauftritten bestimmter Firmen, mögen sie mitunter auch Anlass für ein Prüfverfahren geben oder gegeben haben, nicht in die Zuständigkeit des Bundesministeriums für Inneres fällt. Sollten also einstmals mit einer Zugriffsberechtigung ausgestattete Firmen trotz Entzug der Berechtigung ihre Ankündigungen im Internet nicht ändern, ist dies keine Frage der Vollziehung des Meldegesetzes. Neben der Durchführung von Entzugsverfahren, die in den hier maßgeblichen Kreisen sicher die notwendige Aufmerksamkeit und damit generalpräventive Wirkung zeitigen, hat das Bundesministerium für Inneres in einer an jeden Abfrageberechtigten gerichteten Nachricht nochmals deutlich auf die gesetzlichen Bestimmungen und die von der Datenschutzkommission dazu vertretene Rechtsansicht verwiesen.

3. Zusammenfassung

Das Bundesministerium für Inneres ist den Empfehlungen der Datenschutzkommission nachgekommen und, soweit es die Änderung der Meldegesetz-Durchführungsverordnung betrifft, wird es diesen vollinhaltlich nachkommen. Dies vor allem im Interesse der Bürger. Die bisher im Zusammenhang mit dem ZMR von verschiedenen Seiten mit unrichtigen und unsachlichen Argumenten geführte Diskussion war nicht dazu angetan, das Vertrauen der Bevölkerung in diese Datenanwendung zu stärken. Wenn das Zentrale Melderegister als Schlüsselanwendung im e- Governement dienen soll, ist es unabdingbar, dass es keinen Anlass zu datenschutzrechtlichen Diskussionen bietet. Dem Gebot dieser Notwendigkeit folgend war aus der Sicht des Bundesministeriums für Inneres auf eine juristische Diskussion zu verzichten und den Empfehlungen der Datenschutzkommission ohne weiteres vollinhaltlich zu folgen. Die Aufrechterhaltung eines Zustandes, bei dem von einem obersten Organ in datenschutzrechtlichen Fragen an einem anderen Rechtsstandpunkt festgehalten wird als ihn die Datenschutzkommission, als oberste Kontrollinstanz in diesen Angelegenheiten, einnimmt, würde einen jedenfalls ungünstigen Erfolg zeitigen. Es wäre weder der Sache noch dem Vertrauen der Bevölkerung in die Institutionen des Staates gedient.'


Antwort der Datenschutzkommission

[Die Datenschutzkommission hat darauf hin mit Beschluss vom 4. November 2003, GZ K213.002/015-DSK/2003, folgende Antwort an das Bundesministerium für Inneres gerichtet:]

Der Empfehlung der Datenschutzkommission, den Abfragemodus bei Wohnsitzabfragen so zu gestalten, dass er im Hinblick auf das Geburtsdatum § 16 Abs 1 des Meldegesetzes 1991 zweifelsfrei entspricht, wurde durch den seit 1. September 2003 eingerichteten Abfragemodus Rechnung getragen.

Die zur Empfehlung der Datenschutzkommission, 'der Bundesminister möge auf Grundlage der Ermächtigung in § 16a Abs 6 MeldeG durch Verordnung den Ablauf einer zulässigen Abfrage aus dem ZMR durch sonstige Abfrageberechtigte innerhalb der Grenzen des § 16 Abs 1 MeldeG genauer regeln', abgegebene Zusage des Bundesministerium für Inneres, der Empfehlung im Rahmen einer anstehenden Änderung der Meldegesetz-Durchführungsverordnung nachkommen zu wollen, wird zur Kenntnis genommen. Die Datenschutzkommission ersucht, sie von der Erfüllung dieser Zusage in Kenntnis zu setzen.

Zur Empfehlung, 'dafür Sorge zu tragen, dass sonstige Abfrageberechtigte die Daten des ZMR ausschließlich für den in § 16 Abs 5 MeldeG umschriebenen Zwecke verwenden', hat das BMI darauf hingewiesen, dass die Entziehung einiger Berechtigungen bereits erfolgt sei und dass derzeit einige Überprüfungsverfahren laufen, worin ein deutlicher Beweis dafür zu sehen sei, dass das BMI 'seine Verantwortung im Hinblick auf die rechtskonforme Verwendung der Abfragemöglichkeiten im besonderen Maße und im Rahmen der rechtlichen Möglichkeiten wahrnehme'. Die Datenschutzkommission nimmt dies zur Kenntnis.