Empfehlungen der Datenschutzkommission gemäß § 30 Abs. 6 DSG 2000 vom 9. Mai 2003, Geschäftszahl K213.002/008-DSK/2003
[Anmerkung: Text anonymisiert, soweit andere Beteiligte als Datenschutzkommission und Bundesministerium für Inneres betroffen sind.]
Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in Anwesenheit der Mitglieder Dr. BLAHA,
Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 9. Mai 2003 folgenden Beschluss gefasst:
Gemäß § 30 Abs. 6 DSG 2000, BGBl I Nr 156/1999 idF BGBl I Nr 136/2001 (DSG 2000) richtet die Datenschutzkommission an den Bundesminister für Inneres als Betreiber und Dienstleister mit besonderen gesetzlich festgelegten Pflichten und Aufgaben (§§ 16 und 16a Meldegesetz 1991, BGBl. Nr. 9/1992 idF BGBl I Nr 98/2001 (MeldeG)) zur Herstellung und Sicherung des gesetzmäßigen Zustands beim Betrieb des Zentralen Melderegisters (ZMR) die folgenden
Empfehlungen:
- Der Bundesminister für Inneres möge durch programmtechnische Maßnahmen dafür sorgen, dass bei der
Übermittlung von personenbezogenen Daten aus dem ZMR durch Abfrage an sonstige Abfrageberechtigte (§ 1 Z 4 Meldegesetz- Durchführungsverordnung, BGBl II Nr 66/2002 (MeldeV) und § 16a Abs 5
MeldeG) § 16 Abs 1 MeldeG eingehalten wird. Dies bedeutet, dass die Eingabe von Vor- und Familienname, des
Geburtsdatums des gesuchten Menschen (Meldepflichtigen) und eines weiteren Merkmals durch den
Übermittlungsempfänger (sonstigen Abfrageberechtigten) zwingend vor der Übermittlung von Daten des in Frage
kommenden Menschen (Meldepflichtigen) erfolgen muss.
- Der Bundesminister möge auf Grundlage der Ermächtigung in § 16a Abs 6 MeldeG durch Verordnung
den Ablauf einer zulässigen Abfrage aus dem ZMR durch sonstige Abfrageberechtigte innerhalb der Grenzen von
§ 16 Abs 1 MeldeG genauer regeln.
- Der Bundesminister für Inneres möge durch geeignete Maßnahmen, insbesondere die Androhung und
Einleitung von Verfahren zur Entziehung der Abfrageberechtigung (§ 16a Abs 7 MeldeG), dafür Sorge
tragen, dass sonstige Abfrageberechtigte die Daten des ZMR ausschließlich für den in § 16a Abs 5
MeldeG umschriebenen Zweck ('zur erwerbsmäßigen Geltendmachung oder Durchsetzung von Ansprüchen') verwenden
und ZMR-Daten keinesfalls zur Übermittlung an Dritte ermitteln oder neben der Verwendung für eigene,
rechtmäßige Zwecke auch an Dritte übermitteln.
Zur Umsetzung dieser Empfehlungen wird dem Bundesminister für Inneres gemäß § 30 Abs 6
DSG 2000 unter sinngemäßer Anwendung von Z 4 leg.cit. eine Frist von zwölf Wochen eingeräumt.
Gründe für diese Empfehlungen:
I) Allgemeines
A. Überprüfungslegitimation:
Gemäß § 30 Abs 2 DSG 2000 kann die Datenschutzkommission im Falle eines begründeten
Verdachtes auf Verletzung der Rechte oder Pflichten eines Auftraggebers oder Dienstleisters Datenanwendungen
überprüfen. Ein begründeter Verdacht an der Gesetzmäßigkeit der Abfragemöglichkeiten
für 'sonstige Abfrageberechtigte' aus dem Zentralen Melderegister hat sich aus zahlreichen Veröffentlichungen in
elektronischen Medien und Printmedien ergeben, in welchen unter anderem auch Anbote zur Meldedaten- Vermittlung durch
sonstige Abfrageberechtigte abgedruckt wurden. Dies hat die Datenschutzkommission zur Einleitung des gegenständlichen
Prüfverfahrens bewogen.
B. Anzuwendende Rechtsvorschriften
Gemäß § 8 Abs 1 Z 1 DSG 2000 sind bestehende schutzwürdige Geheimhaltungsinteressen
gemäß § 1 Abs 1 DSG 2000 (Verfassungsbestimmung, Grundrecht auf Datenschutz) dann nicht verletzt,
wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht.
§ 16 Abs 1 MeldeG legt unter der Überschrift 'Zentrales Melderegister; Informationsverbundsystem'
die beschränkte Öffentlichkeit des Informationsverbundsystems ZMR fest. Wegen der zentralen Bedeutung für
dieses Kontrollverfahren wird die Bestimmung (idF BGBl I Nr 28/2001) im Wortlaut wiedergegeben (Hervorhebungen
durch die Datenschutzkommission): 'Das zentrale Melderegister ist insofern
ein öffentliches Register, als der Hauptwohnsitz eines Menschen oder
jener Wohnsitz, an dem dieser Mensch zuletzt mit Hauptwohnsitz gemeldet war, abgefragt werden kann, wenn der Anfragende den Menschen durch Vor- und Familiennamen, das Geburtsdatum und ein
zusätzliches Merkmal, wie etwa Geburtsort, ZMR-Zahl oder einen bisherigen Wohnsitz, bestimmt. Über andere gemeldete Wohnsitze dieses Menschen darf einem
Abfragenden nur bei Nachweis eines berechtigten Interesses Auskunft erteilt werden.'
Gemäß § 16 Abs 2 MeldeG ist der Bundesminister für Inneres Betreiber des
Informationsverbundsystems ZMR und zentraler Dienstleister sämtlicher Meldebehörden (Bürgermeister,
§ 13 Abs 1 MeldeG). Darüber hinaus ist der Bundesminister für Inneres unter anderem
gemäß § 16 Abs 4 MeldeG ermächtigt, jedem Gesamtdatensatz eines Menschen zur Sicherung der
Unverwechselbarkeit eine Melderegisterzahl (ZMR-Zahl) beizugeben, sowie entsprechend weiteren Spezialbestimmungen (siehe
sogleich unten) die Daten des ZMR auch zu verarbeiten und deren Verwendung durch andere Auftraggeber als Meldebehörden
zu regeln.
§ 16a MeldeG regelt gemäß Überschrift die 'Zulässigkeit des Verwendens der Daten des
Zentralen Melderegisters'. Demnach hat gemäß Abs 2 leg.cit. der Bundesminister für Inneres die ihm
'überlassenen' - zur Undeutlichkeit dieses Begriffs siehe weiter unten, Punkt B. - Daten weiter zu verarbeiten und
deren Auswählbarkeit aus der gesamten Menge nach dem Namen der An- und Abgemeldeten vorzusehen. Hiebei bildet die
Gesamtheit der Meldedaten (§ 1 Abs 5 MeldeG) eines bestimmten Menschen, mögen diese auch mehrere
Unterkünfte betreffen, den Gesamtdatensatz.
§ 16a Abs 5 MeldeG, eine für das gegenständliche Kontrollverfahren entscheidende Bestimmung,
regelt die beschränkte Abfrage des ZMR durch Personen außerhalb der öffentlichen Verwaltung ('sonstige
Abfrageberechtigte' gemäß § 1 Z 4 MeldeV), die einen regelmäßigen, rechtlich
begründeten Bedarf nach Meldeauskünften bescheinigen können, wie beispielsweise berufsmäßige
Parteienvertreter (z.B. Notare, Rechtsanwälte), Banken oder Versicherungen. Die Bestimmung sei im Wortlaut
wiedergegeben (Hervorhebungen durch die Datenschutzkommission):
'Abgesehen von den in Abs 4 genannten Fällen [Anmerkung: betrifft Organe von Gebietskörperschaften,
Gemeindeverbände und Sozialversicherungsträger] ist der Bundesminister für Inneres ermächtigt,
bestimmten Personen im Rahmen des § 16 Abs 1 auf Antrag eine
Abfrageberechtigung im Wege des Datenfernverkehrs auf die im Zentralen Melderegister verarbeiteten Daten, für die
keine Auskunftssperre besteht, zu eröffnen; hiefür muss glaubhaft sein, dass diese Personen regelmäßig Meldeauskünfte zur erwerbsmäßigen Geltendmachung oder Durchsetzung von Rechten oder Ansprüchen benötigen,
wobei eine derartige Abfrage im konkreten Fall nur für die glaubhaft gemachten Zwecke erfolgen darf.'
§ 16a Abs 6 MeldeG ermächtigt den Bundesminister für Inneres durch Verordnung die Vorgangsweise
bei der Datenverwendung gemäß - unter anderem - Abs 5 leg.cit. sowie die Voraussetzung für die
Abfrageberechtigung im ZMR (insbesondere im Hinblick auf zu treffende Datensicherheitsmaßnahmen) sowie die Kosten der
Abfrageberechtigung durch Verordnung festzulegen. Die entsprechende Verordnung ist die bereits zitierte Meldegesetz-
Durchführungsverordnung, BGBl II Nr 66/2002 (MeldeV), deren relevante Bestimmungen hier nicht gesammelt
wiedergegeben werden.
§ 16a Abs 7 MeldeG legt fest, dass die 'Eröffnung der Abfrageberechtigung' gemäß
§ 16a Abs 5 MeldeG im ZMR durch den Bundesminister für Inneres zu unterbinden ist, wenn die
Voraussetzungen, unter denen die Abfrageberechtigung erteilt wurde, nicht mehr vorliegen (Z 1), schutzwürdige
Geheimhaltungsinteressen Betroffener von Auskünften verletzt wurden (Z 2), gegen Datensicherheitsmaßnahmen
verstoßen wurde (Z 3) oder ausdrücklich auf die Abfrageberechtigung verzichtet wird (Z 4).
Die Bestimmungen der so genannten 'Flexi- oder Support-Unit- Verordnung' (Verordnung des Bundesministers für
Inneres über die Bestimmung der Support-Unit Zentrales Melderegister (ZMR) als Organisationseinheit, bei der die
Flexibilisierungsklausel zur Anwendung gelangt, BGBl II Nr 20/2003), die durch das Echo, das sie in der
Medienberichterstattung hervorgerufen haben, zur Einleitung dieses Kontrollverfahrens beigetragen haben, sind hingegen
tatsächlich haushaltsrechtlicher Natur und greifen materiell in Datenschutzrechte nicht ein. Besagtes Echo beruht nach
Meinung der Datenschutzkommission auf missverständlichen und unglücklich formulierten Sätzen
programmatischen Charakters im Anhang dieser Verordnung.
B. Gründe für die direkte Verantwortlichkeit des Bundesministers für Inneres
Gemäß § 30 Abs 1, 2 und 4 DSG 2000 kann die Datenschutzkommission zwar Datenanwendungen beim
Auftraggeber ebenso wie beim Dienstleister überprüfen, aus Abs 6 leg.cit., insbesondere Z 3 und 4, geht
aber doch hervor, dass Empfehlungen der Datenschutzkommission sich an den Auftraggeber der Datenanwendung zu richten haben.
Würde man sich nach dem Wortlaut der einschlägigen Definitionen (§ 16 Abs 2 MeldeG, § 1
Z 1 MeldeV) halten, so müssten sämtliche Bürgermeister Österreichs als Meldebehörden und
Auftraggeber des ZMR Adressaten dieser Empfehlungen sein. Dies wäre aber, wie schon eine oberflächliche Analyse
der einschlägigen Bestimmungen des MeldeG ergibt, verfehlt und zweckwidrig. Zwar bezeichnet das MeldeG die
Meldebehörden als Auftraggeber des ZMR und den Bundesminister für Inneres als bloßen Betreiber des
Informationsverbundsystems und Dienstleister der Meldebehörden. In Wahrheit weist das MeldeG dem Bundesminister jedoch
materiell eine Rolle zu, die über die eines bloßen Betreibers und Dienstleisters - die Begriffe wurden offenbar
dem DSG 2000 (§§ 4 Z 5 und § 50 Abs 1 Satz 1 DSG 2000) entlehnt - deutlich
hinausgeht. Schon die Gesetzesmaterialien (424 Blg NR XXI GP, 23) sprechen in Würdigung dieses Umstands vom
Bundesminister als 'Dienstleister mit besonderen, in den nachfolgenden Absätzen sowie in den §§ 16a und
16b bereits auf gesetzlicher Ebene festgelegten Pflichten und Aufgaben'. So wird der Bundesminister für Inneres durch
§ 16a Abs 2 MeldeG angewiesen, die ZMR-Daten zu 'verarbeiten', durch § 16 Abs 4 MeldeG wird
er ermächtigt, ein neues Datum, nämlich die ZMR- Zahl, zu kreieren und dem Gesamtdatensatz hinzuzufügen, und
§ 16a Abs 5 MeldeG weist dem Bundesminister für Inneres - nicht den Meldebehörden! - die alleinige
Kontrolle darüber zu, welcher 'sonstige Abfrageberechtigte' als Empfänger von Datenübermittlungen zugelassen
wird. Generell ergibt sich eine besondere Verantwortung des Bundesministers für Inneres in Angelegenheiten des
Zentralen Melderegisters schon aus dem Umstand, dass er oberste und weisungsberechtigte Behörde im Meldewesen ist, und
daher eine zentrale Vollziehung von Angelegenheiten des Meldewesens, wie sie das ZMR darstellt, diese Zuständigkeit
nicht ganz außer Acht lassen kann. Die Datenschutzkommission zieht daraus den Schluss, dass dem Bundesminister
für Inneres im Sinne von § 4 Z 4 DSG 2000 jedenfalls und insbesondere auf Grund besonderer gesetzlicher
Ermächtigung im MeldeG zumindest teilweise auch die Rolle des Auftraggebers für das ZMR zukommt, und es daher
zulässig ist, eine Empfehlung, die sich im Kernpunkt mit Datenverwendung im Sinne von § 16a MeldeG
beschäftigt (Zuständigkeitsbereich des Bundesministers für Inneres, nicht der Meldebehörden), direkt an
den Bundesminister zu richten, da nur er über die Rechtsmacht verfügt, die nach Meinung der Datenschutzkommission
bestehenden Missstände zu beseitigen. Auch § 50 Abs 3 DSG 2000, der ausdrücklich vom Abs 1
leg.cit. abweichend aufgebaute Informationsverbundsysteme vorsieht, ist auf diesen Fall anwendbar.
C. Feststellungen der Datenschutzkommission im Überprüfungsverfahren
Die Datenschutzkommission stützt sich bei ihren Empfehlungen auf die Ergebnisse folgender Ermittlungsschritte:
- Besprechung zwischen Vertretern des Bundesministers für Inneres und Vertretern der Datenschutzkommission unter
Führung des Geschäftsführenden Mitglieds der Datenschutzkommission am 28. Februar 2003, Protokoll, GZ:
K213.002/003-DSK/2003;
- Demonstration der Funktionsweise der ZMR-Abfragen gemäß § 16a Abs 4 und 5 MeldeG (Augenschein
der Datenschutzkommission) im Rahmen einer weiteren Besprechung zwischen Vertretern des Bundesministers für Inneres
und Vertretern der Datenschutzkommission unter Führung des Geschäftsführenden Mitglieds der
Datenschutzkommission am 7. März 2003, Protokoll, GZ: K213.002/005-DSK/2003;
- Von Mitarbeitern des Büros der Datenschutzkommission im Auftrag des Geschäftsführenden Mitglieds
durchgeführte ZMR- Testabfragen (User-ID, Behördenkennzahl und Passwort vom BMI zur Verfügung gestellt,
Behördenzugang und Zugang für 'Business-Partner' [= sonstige Abfrageberechtigte]), Aktenvermerk (Protokoll) und
Screenshots, GZ: K213.002/006- DSK/2003;
- Recherche von Mitarbeitern des Büros der Datenschutzkommission im Internet.
Die Datenschutzkommission kam dabei zu folgenden Feststellungen:
Am 7. März 2003 beim Augenschein des Geschäftsführenden Mitglieds der Datenschutzkommission war es möglich,
- im Rahmen einer ZMR-Abfrage als sonstiger Abfrageberechtigter nach Eingabe von Vorname, Familienname und
Staatsbürgerschaft (sowie formellem Ausfüllen eines Feldes mit dem Namen 'Begründung'), aus einer von der
Datenbank generierten Liste von Geburtsdaten möglicher Treffer ein Geburtsdatum auszuwählen und so hinsichtlich
des ausgewählten Betroffenen die Daten 'Aktualität' (= aktueller oder zuletzt gemeldeter Hauptwohnsitz),
'Geburtsdatum', 'Geburtsort', 'Familienname', 'Vorname', 'Straße', 'Postleitzahl' und 'Ort' übermittelt zu
erhalten;
- im Rahmen einer ZMR-Abfrage als sonstiger Abfrageberechtigter nach Eingabe von Vorname, Familienname und Wohnort bzw.
Geburtsort (sowie formellem Ausfüllen eines Feldes mit dem Namen 'Begründung'), aus einer von der Datenbank
generierten Liste von Geburtsdaten möglicher Treffer ein Geburtsdatum auszuwählen und so hinsichtlich des
ausgewählten Betroffenen die Daten 'Aktualität' (= aktueller oder zuletzt gemeldeter Hauptwohnsitz),
'Geburtsdatum', 'Geburtsort', 'Familienname', 'Vorname', 'Straße', 'Postleitzahl' und 'Ort' übermittelt zu
erhalten;
- im Rahmen einer ZMR-Abfrage als sonstiger Abfrageberechtigter das Eingabefeld 'Geburtsdatum' unvollständig, das
heißt mit Platzhaltern an Stelle von Tag und Monat wie zum Beispiel '??.??.1970' auszufüllen (so genannte
'Wildcard-Abfrage'). Diese Abfrage nach Vorname, Familienname und bloßem Geburtsjahr ergab ebenfalls eine
Auswahlliste der Geburtsdaten von in Frage kommenden Betroffenen.
Am 19. März 2003 war es im Rahmen der dokumentierten ZMR- Testabfragen des Büros der
Datenschutzkommission (https://portala.bmi.gv.at)
- möglich, im Rahmen einer ZMR-Abfrage als sonstiger Abfrageberechtigter nach Eingabe von Vorname, Familienname und
'Ort' oder 'Staatsangehörigkeit' (sowie formellem Ausfüllen eines Feldes mit dem Namen 'Begründung'), aus
einer von der Datenbank generierten Liste von Geburtsdaten möglicher Treffer ein Geburtsdatum auszuwählen und so
hinsichtlich des ausgewählten Betroffenen die Daten 'Aktualität' [Anmerkung: aktueller oder zuletzt gemeldeter
Hauptwohnsitz], 'Geburtsdatum', 'Fam-/Vorname', 'Straße', und 'Plz/Ort' übermittelt zu erhalten;
- nicht möglich, eine Suche nach oder eine Übermittlung der Datenart 'Geburtsort' durchzuführen;
- nicht mehr möglich, eine 'Wildcard-Abfrage', bei der das Geburtsdatum teilweise durch Platzhalter ersetzt wird,
durchzuführen; das Geburtsdatum musste im Format TT.MM.JJJJ vollständig eingegeben werden;
- weiterhin möglich, die Betroffenen (Meldepflichtigen) aus einer Liste in Frage kommender Personen nach dem
Geburtsdatum auszuwählen; eine solche Auswahl musste auch erfolgen, wenn Vor-, Familienname und Geburtsdatum (oder
ähnliche Suchkriterien) nur einen Betroffenen zur Auswahl übrig ließen, in anderer Kombination wie Vor-,
Familienname und Staatsangehörigkeit wurden auch längere Auswahllisten generiert;
- möglich, bei einer Abfrage des ZMR als Behörde folgende ZMR-Daten übermittelt zu erhalten: 'ZMR-Zahl',
'Titel, Fam- /Vorname', 'Geb.Dat./Geb.Ort', 'Meldegrund' [Anmerkung: scheint zweimal auf], 'Durchgef. am' [Anmerkung:
bezeichnet das Datum der Übernahme der Meldedaten ins ZMR], 'Gültig bis', 'W-Qualität' [Anmerkung:
Wohnsitzqualität = Hauptwohnsitz oder sonstiger Wohnsitz], 'Straße', 'PLZ/Gemeindebez.', 'Gem.von', 'Gem.bis'
[Anmerkung: Dauer der Anmeldung].
Am 8. April 2003 war unter URL http://www.xxxxxxxxxx.at/zmr/help/erstanmeldung.html eine Anbotsbeschreibung der
X-Unternehmensberatung Y & Z GmbH abrufbar, die unter anderem folgendes enthielt: [Wiedergabe eines Screenshots,
verkleinertes Faksimile eines Browserfensters]
[Anmerkung: Screenshot aus Anonymisierungsgründen nicht wiedergegeben]
Durch dieses Beispiel ist bewiesen, dass einzelne sonstige Abfrageberechtigte die gemäß § 16a
Abs 5 MeldeG ermittelten Daten nicht nur für eigene Zwecke verwenden, sondern ZMR-Daten auch gegen Entgelt an
Dritte übermitteln.
Beweiswürdigung: Diese Feststellungen stützen sich auf die Protokollaufzeichnungen zu GZ K213.002/005-DSK/2003
und, hinsichtlich der Feststellungen über Form und Inhalt der Abfragen am 19. März 2003, auf die Screenshots,
Beilagen Screenshot1 bis Screenshot18, zu GZ K213.002/006- DSK/2003.Hinsichtlich der Feststellungen zur Firma 'X' wird auf
den oben wiedergegebenen, direkt in dieses Winword- Textdokument eingebetteten Screenshot verwiesen.
II) zu den einzelnen Empfehlungen im Besonderen
Ad 1.) § 16 Abs 1 MeldeG erklärt das ZMR zum 'öffentlichen Register' insofern als der aktuelle
und der vorhergehende Hauptwohnsitz einer Person abgefragt werden kann, wenn der Anfrager Vor- und Zunamen, Geburtsdatum
und ein weiteres Identifikationsmerkmal dieser Person angibt. Auch wenn der aktuelle und der vorhergehende Hauptwohnsitz
somit 'öffentliche' Daten sind, sind sie dies jeweils nur für eine solche Person, die denjenigen, über den
Auskunft aus dem ZMR verlangt wird, mit seinen wesentlichen Identitätsdaten beschreiben kann. Die
'Öffentlichkeit' des ZMR ist somit nicht in der Form gegeben, dass Private darin 'blättern' könnten, sondern
nur in der Form, dass ein ganz bestimmter, eng begrenzter Ausschnitt demjenigen zur Verfügung steht, der jene Daten
bekannt gibt, durch die der Ausschnitt eindeutig abgegrenzt gefunden werden kann. Es handelt sich daher beim ZMR um ein
Register, dessen 'Öffentlichkeit' von ganz spezifischer, eingeschränkter Natur ist.
Anders geartet ist der Zugang, der den staatlichen Stellen durch das Meldegesetz eingeräumt wird: Umfassender
Zugang zu ZMR-Daten wird den Gebietskörperschaften, Gemeindeverbänden und Sozialversicherungsträgern
ermöglicht, und zwar - soweit sie dies zur Erfüllung ihrer gesetzlichen Aufgaben benötigen - zum gesamten
über eine Person im ZMR gespeicherten Datensatz. Hinsichtlich der technischen Form des Zugangs zu diesen Daten kann
der Bundesminister für Inneres die 'Übermittlung im Datenfernverkehr' zulassen (§ 16 Abs 4).
Die Zulassung einer solchen - elektronischen - Übermittlungsform an Private (- vom Meldegesetz als 'sonstige
Abfrageberechtigte' bezeichnet - ) kann vom Bundesminister für Inneres gemäß § 16a Abs 5
MeldeG hingegen nur 'im Rahmen des § 16 Abs 1' eröffnet werden, das heißt nur betreffend
Hauptwohnsitzdaten und nur bei Angabe der im § 16 Abs 1 verlangten näheren Zusatzinformationen zur
Identität des Betroffenen.
Daraus folgt, dass sich die Abfragelogik für Online-Abfragen der 'sonstigen Abfrageberechtigten', die der
Bundesminister für Inneres auch als 'Businesspartner' bezeichnet (http://zmr.bmi.gv.at/pages/Businesspartner.htm), an
das in § 16 Abs 1 MeldeG vorgegebenen Schema halten muss, um gesetzmäßig zu sein: Die Eingabe von
Vorname, Familienname und Geburtsdatum ist zwingend vorgeschrieben, zusätzlich ist ein weiterer Identifikator
einzugeben, wobei die in Frage kommenden Parameter im Gesetz nur demonstrativ (arg: 'wie Geburtsort, ZMR-Zahl oder einen
bisherigen Wohnsitz') aufgezählt werden. Die derzeit vom Bundesminister für Inneres vorgesehene Abfragelogik, die
alternativ das Geburtsdatum oder einen weiteren Suchparameter zulässt und anschließend die Auswahl aus einer
Liste in Frage kommender Betroffener nach dem Geburtsdatum gestattet, entspricht daher nicht dem Gesetz. Die entsprechende
Aufzählung in § 16 Abs 1 MeldeG ist unmissverständlich kumulativ gemeint. Eine Abfrage des ZMR in
zwei Schritten, wie sie als Leistungsbeschreibung für potentielle 'Businesspartner' auch auf einer Website des
Bundesministers für Inneres dargestellt wird (http://zmr.bmi.gv.at/pages/abfrage.htm), ist in § 16
Abs 1 MeldeG nicht vorgesehen.
Die Datenschutzkommission übersieht dabei nicht, dass eine Abfrage unter genauer Einhaltung der Vorgaben des
§ 16 Abs 1 MeldeG die Benutzung des ZMR für sonstige Abfrageberechtigte deutlich erschweren und die
Zahl der interessierten 'Businesspartner' sinken lassen könnte. Doch würde eine ausweitende Auslegung, die auf
eine bestmögliche 'Vermarktung' des durch § 16a Abs 5 MeldeG eröffneten Online-Zugangs zum ZMR
für sonstige Abfrageberechtigte abzielt, nicht nur fundamentalen rechtsstaatlichen Prinzipien (Art 18 Abs 1 B-VG,
Legalitätsprinzip) sondern auch der Natur von Grundrechtseingriffen nach § 1 Abs 2 DSG 2000
widersprechen, wonach zulässige Beschränkungen des Grundrechts auf Geheimhaltung schutzwürdiger
personenbezogener Daten stets nur im absolut unerlässlichen Ausmaß und 'nur in der gelindesten, zum Ziel
führenden Art' vorgenommen werden dürfen. Dies verbietet die ausweitende Interpretation von Normen, die Eingriffe
in den Geheimhaltungsanspruch vorsehen. Dem Bundesminister für Inneres war daher durch Empfehlung nahe zu legen, die
Abfragelogik für 'sonstige Abfragberechtigte' nach 16a Abs 5 MeldeG in einer mit §§ 16 Abs 1
MeldeG konformen Weise zu gestalten.
Ad 2.) Die MeldeV regelt, im Gegensatz zur legistischen Verheißung in § 16a Abs 6 MeldeG, die
'Vorgangsweise bei dem in Abs 4 und 5 vorgesehenen Verwenden von Daten' nicht näher. Unter dieser 'Vorgangsweise'
versteht die Datenschutzkommission unter anderem die Festlegung des programmtechnischen Verfahrensablaufs, gemäß
dem Meldedaten abgefragt werden dürfen, gewissermaßen also die nähere Ausführung der in § 16
Abs 1 MeldeG festgelegten Grundsätze. Zwar werden in der MeldeV die, insbesondere technischen aber auch
organisatorischen Voraussetzungen samt den zu treffenden Datensicherheitsmaßnahmen näher ausgeführt und die
Kosten festgesetzt, über den eigentlichen Vorgang der Datenverwendung schweigt die MeldeV aber. Der Bundesminister hat
also den ihm vom Gesetzgeber eingeräumten, wenn auch zugegebenermaßen bescheidenen Gestaltungsspielraum nicht
genützt. Die Datenschutzkommission ist der Meinung, dass eine Festlegung der Abfragelogik durch Verordnung, etwa dahin
gehend,
- welche Daten der 'sonstige Abfrageberechtigte' bereits kennen muss, um Hauptwohnsitzdaten übermittelt zu
erhalten,
- ob ein Spielraum bei der Genauigkeit der Suchparameter zulässig ist (z.B. vollständiges oder ungefähres
Geburtsdatum, Türnummer oder nur Hausnummer bei der Eingabe einer Adresse) und
- ob Auswahllisten angeboten werden,
sowohl im Interesse des Datenschutzes als auch der sonstigen Abfrageberechtigten bzw. 'Businesspartner' des
Bundesministers für Inneres geboten ist. Andernfalls bleibt, wie offenbar derzeit der Fall, die Konkretisierung der
'Vorgangsweise' den Software-Technikern bzw. internen Vorgängen innerhalb des Bundesministeriums für Inneres
vorbehalten, was im Lichte des vorstehend Gesagten nicht zielführend erscheint. Die 'sonstigen Abfrageberechtigten'
haben wiederum aus Gründen des Vertrauensschutzes einen Anspruch darauf, dass ihre Rechte bei der Benutzung des ZMR
möglichst konkret und in rechtsverbindlicher Weise festgelegt werden. Dabei muss allerdings betont werden, dass die
unter Punkt 1. ausgeführte Unzulässigkeit der alternativen Abfrage nach Geburtsdatum oder sonstigem Merkmal, die
in § 16 Abs 1 MeldeG selbst verankert ist, durch eine solche Verordnung nicht beseitigt werden kann. Dem
Bundesminister für Inneres war daher durch Empfehlung nahe zu legen, die MeldeV im Sinne von § 16a
Abs 6 MeldeG dahin gehend zu ergänzen, dass der Ablauf einer ZMR-Abfrage durch 'sonstige Abfrageberechtigte' auch
hinsichtlich der programmtechnischen Abfragelogik näher geregelt wird.
ad 3.) Insbesondere durch die in § 16a Abs 5 MeldeG iVm § 6 MeldeV und § 16a
Abs 7 MeldeG iVm § 7 Abs 3 MeldeV eingeräumte Befugnis, bestimmten Privaten Abfrageberechtigungen
für das ZMR zu erteilen und diesen sonstigen Abfrageberechtigten dieses Recht wieder zu entziehen, wird dem
Bundesminister für Inneres vom Gesetzgeber eine gewisse Verantwortung für das gesetzeskonforme Verhalten dieser
externen Benutzer des ZMR zugewiesen. Dabei ist zu unterscheiden zwischen dem Verantwortlichen (§ 3 MeldeV), dem
Abfrageberechtigten (§ 16a Abs 5 MeldeG), dem Zugriffsberechtigten (§§ 1 Z 5, 4 MeldeV)
und dem Dienstleister des Abfrageberechtigten (§ 3 Abs 2 MeldeV). Der Verantwortliche, er kann auch mit dem
gewerbsmäßigen (EDV-)Dienstleister (Zugangs-Provider) des sonstigen Abfrageberechtigten ident sein, ist
gemäß § 3 Abs 1 MeldeV vom Abfrageberechtigten zu benennen. Er kann vom Betreiber des ZMR, dem
Bundesminister für Inneres, gemäß § 4 Abs 1 MeldeV auch ermächtigt werden,
Zugriffsberechtigungen zu erteilen, und er hat Anträge auf Einräumung der Abfrageberechtigung an den Betreiber
weiterzuleiten (§ 6 Abs 1 MeldeV). Der Verantwortliche leistet gemäß § 5 Abs 1
MeldeV Gewähr dafür, dass die laut MeldeV vorgeschriebenen Datensicherheitsmaßnahmen eingehalten werden.
Zugriffsberechtigte sind (einzelne) Menschen, denen (durch Zuteilung einer Benutzerkennung und eines Passwortes, dies
erfolgt entweder - § 4 Abs 1 MeldeV - durch den Betreiber des ZMR oder - § 4 Abs 2 MeldeV -
durch den Verantwortlichen) der physische Zugriff auf die ZMR-Daten eingeräumt wurde (§ 1 Z 5
MeldeV).
In der Praxis des ZMR-Betriebs hat sich, wie die am 8. April 2003 festgestellte Geschäftspraxis der Firma X
beweist, zumindest vereinzelt die rechtswidrige Vorgangsweise eingeschlichen, übermittelte ZMR-Daten gegen Entgelt an
Dritte weiter zu übermitteln. Dies ist durch § 16a Abs 5 MeldeG ausgeschlossen, da die Eröffnung
einer Abfrageberechtigung an die Bedingung geknüpft ist, dass diese Personen - das sind die sonstigen
Abfrageberechtigten - regelmäßig Meldeauskünfte zur erwerbsmäßigen Geltendmachung und
Durchsetzung von Rechten oder Ansprüchen benötigen, wobei eine derartige Abfrage im konkreten Fall nur für
die anlässlich des Antrags auf Einräumung des Online-Zugriffs glaubhaft gemachten Zwecke erfolgen darf. Oder mit
anderen Worten: Eine Verwendung von ZMR-Daten durch sonstige Abfrageberechtigte für Zwecke Dritter ist vom Gesetz
untersagt. Ein sonstiger Abfrageberechtigter darf in keiner Form, auch nicht durch Ermöglichung einer indirekten
Abfrage, per Briefpost, Fax, E-Mail oder per Telefon, ZMR-Daten an Dritte übermitteln. Jede einzelne Abfrage des ZMR
muss nachweislich dem Zweck der eigenen 'erwerbsmäßigen Geltendmachung oder Durchsetzung von Rechten oder
Ansprüchen' dienen. Dies umfasst freilich auch die berufsmäßige Parteienvertretung durch
Rechtsanwälte, Notare und vergleichbare Tätigkeiten, die ihnen übermittelte ZMR- Daten dazu verwenden, um
namens und im Auftrag eines Mandanten dessen Rechte und Ansprüche durchzusetzen, was zumindest im Wortsinn von
§ 16a Abs 5 MeldeG noch Deckung findet und erkennbar von Ziel und Zweck des Gesetzes umfasst ist. Auch der
berufsmäßige Parteienvertreter darf aber ZMR-Daten nur im Zusammenhang mit der Durchsetzung von Rechten und
Ansprüchen, also etwa zwecks Adressierung einer Klage oder Namhaftmachung eines Zeugen, verwenden. Einen bloßen
Auftrag zur Ermittlung von Meldedaten für einen Mandaten durch ZMR-Abfrage darf er nicht übernehmen. Die bei
'öffentlichen Daten' grundsätzlich bestehende Zulässigkeit der Weiterverwendung der Daten für jeden
erlaubten Zweck ist hier durch Gesetz auf ganz bestimmte Weise beschränkt. Dies steht im Einklang mit der im
Vorstehenden dargestellten besonderen und beschränkten Form der 'Öffentlichkeit' der Hauptwohnsitzdaten.
Dazu kommen noch folgende rechtspolitische Erwägungen: Im Rahmen der Bestrebungen, Verwaltungsvereinfachung durch
Einsatz moderner Informations- und Kommunikationstechnologien zu erreichen (Schlagwort 'e-Government'), kommt den
ZMR-Daten, insbesondere der ZMR-Zahl, eine besondere Bedeutung zu. Das ZMR als zentrales und nach einheitlichen
Grundsätzen geführtes Register aller Personen mit Wohnsitz im Inland wird zur Identifizierung im elektronischen
Verkehr mit Behörden entscheidende Bedeutung haben, die ZMR-Zahl gemäß § 16 Abs 4 MeldeG ist
bereits jetzt de lege lata als indirektes Personenkennzeichen bzw. Identifikationsschlüssel, nämlich
gemäß § 13 Abs 4a Allgemeine Verwaltungsverfahrensgesetz 1991, BGBl Nr 51/1991 idF
BGBl I Nr 65/2002 (AVG) als 'Ausgangsbasis für eine verwaltungsbereichsspezifisch unterschiedliche,
abgeleitete und verschlüsselte Personenkennzeichnung' vorgesehen (vgl. auch Ausschussbericht, 885 BlgNR XXI GP, 3).
Zitat: 'Das Zentrale Melderegister zählt zu einer der Schlüsselanwendungen im e-Government. Es stellt die
Basistechnologie für die Identifikation von natürlichen Personen bei Online-Verfahren dar. AnbringerInnen
können durch Heranziehung des Zentralen Melderegisters davon ausgehen, dass Verfahren eindeutig zugeordnet werden und
Unbefugte keinen Zugang zu diesen erhalten' (e-Government-Strategien (Online- Verfahren) Teil I, IKT-Strategie des
Bundes (CIO-Bund), Seite 15, herunterzuladen unter http://www.cio.gv.at/egovernment/strategy/Teil_I.pdf). Soll eine
bundesweite IKT-Strategie, die darauf abzielt, die Verwaltung durch Einsatz von e-Government-Methoden zu vereinfachen und
mittelfristig Kosten zu senken, Erfolg haben, so ist unabdingbare Voraussetzung, dass die Bürgerinnen und Bürger
zu den Datenanwendungen, die e-Government-Applikationen zu Grunde liegen, ein hohes Maß an Vertrauen haben, bildlich
gesprochen: 'ihre Daten für sicher halten'. Halten umgekehrt die Betroffenen das ZMR nicht für sicher und
befürchten, insbesondere von Privaten über das ZMR regelrecht bespitzelt, für Marketingzwecke erfasst oder
mit Werbesendungen bombardiert zu werden - ganz gleich, ob diese Befürchtungen nun realistisch sind -, so besteht die
Gefahr, dass entweder die Meldedisziplin sinkt oder e-Government-Applikationen wegen ihres Zusammenhangs mit dem ZMR aus
Misstrauen nicht angenommen werden. Dem Bundesminister für Inneres als ZMR-Betreiber fällt daher über seinen
eigentlichen Ressortbereich hinaus durch die Schaffung von Vertrauen in die Rechtmäßigkeit der Datenverwendung
eine wichtige Verantwortung für die IKT- Strategie des Bundes zu.
Freilich wird die Möglichkeit, die Verantwortung in der Öffentlichkeit überzeugend wahrnehmen zu
können, wesentlich von der Art und Weise abhängen, in der das ZMR finanziert wird. Solange die Finanzierung
über den 'Verkauf' von Meldedaten erfolgt, wird der Eindruck in der Öffentlichkeit bestehen bleiben, dass hier
mit Daten, die dem Bürger zwangsweise abverlangt werden, Handel getrieben wird, was unweigerlich Misstrauen erweckt.
Auch werden die für das ZMR Verantwortlichen durch die Notwendigkeit, die finanzielle Basis des ZMR durch
entsprechende Zugriffsfrequenz auf die Daten des ZMR zu sichern, geradezu dazu gedrängt, Aspekte des
Grundrechtsschutzes gegenüber kaufmännischen Erwägungen hintanzustellen. Dass dies dem öffentlichen
Vertrauen in das ZMR als Drehscheibe des e-Government nicht förderlich sein kann, liegt auf der Hand.
Zur Wahrnehmung seiner Verantwortung - und hier endet die rechtspolitische Argumentation - scheint es der
Datenschutzkommission geboten, dem Bundesminister für Inneres die strengere Überprüfung der 'sonstigen
Abfrageberechtigten' zu empfehlen. Ein 'sonstiger Abfrageberechtigter', der Daten regelmäßig an Dritte
übermittelt oder diese Möglichkeit sogar geschäftlich ausbeutet (wofür Werbung, geschäftliche
Ankündigungen, Anbote etc. deutliche Anzeichen sind), verletzt dadurch die schutzwürdigen
Geheimhaltungsinteressen von Betroffenen im Sinne von § 16a Abs 7 Z 2 MeldeG. Überdies indiziert
eine solche Datenverwendung nach Meinung der Datenschutzkommission den Verdacht, dass gemäß § 16a
Abs 7 Z 1 MeldeG die Voraussetzungen, unter denen die Abfrageberechtigung erteilt wurde, nicht mehr vorliegen
oder gar nie vorgelegen haben. In beiden Fällen wäre der Bundesminister für Inneres durch § 16a
Abs 7 MeldeG verpflichtet, die Online-Abfrageberechtigung zu unterbinden. Dem Bundesminister für Inneres war
daher durch Empfehlung nahe zu legen, die ihm gemäß § 16a Abs 7 MeldeG und § 7 MeldeV
eingeräumten Befugnisse zu gebrauchen, und sonstige Abfrageberechtigten iSd § 16a Abs 5 MeldeG durch
Androhung oder Anwendung der entsprechenden Sanktionen zur Einhaltung der gesetzlichen Regeln zu bewegen.
[Das Bundesministerium für Inneres (BMI) hat zu diesen Empfehlungen mit Schreiben GZ 10.010/144-III/3/03 vom
22. August 2003 Stellung genommen; die Begründung der Stellungnahme wird im Folgenden gemäß Beschluss
der Datenschutzkommission vom 4. November 2003, K213.002/015-DSK/2003, gemäß § 30 Abs 6
Z 4 DSG 2000 der Öffentlichkeit zur Kenntnis gebracht. Nach Zitierung der Empfehlungen der Datenschutzkommission
wird vom BMI ausgeführt:]
'Dazu nimmt das Bundesministerium für Inneres wie folgt Stellung:
1. Allgemein
Die Datenschutzkommission widmet der Begründung, warum der Bundesminister für Inneres Adressat der
Empfehlungen ist, breiten Raum und legt ihr eine Gesetzinterpretation zu Grunde, die in der dargelegten Form nicht
gänzlich überzeugt. § 30 Abs 6 Z 4 DSG normiert nämlich eindeutig, dass Empfehlungen der
DSK an Auftraggeber des öffentlichen Bereiches zu richten sind. § 16 Abs 2 MeldeG sieht
ausdrücklich vor, dass Auftraggeber des ZMR die Meldebehörden sind und das ZMR als Informationsverbundsystem
(§ 4 Z 13 DSG 2000) geführt wird, wobei das Bundesministerium für Inneres sowohl die Funktion
eines Betreibers gemäß § 50 DSG 2000 als auch die eines Dienstleisters im Sinne des § 4
Z 5 DSG 2000 für die Datenanwendung ausübt. Zudem ist hier auf die Erläuternden Bemerkungen zur
Regierungsvorlage (BlgNr. 424 XXI. GP) zu verweisen, die den Wortlaut des Gesetzes noch unterstreichen: 'Der Bundesminister
für Inneres wird Dienstleister mit besonderen, in den nachfolgenden Absätzen und in den § 16a und 16b
bereits auf gesetzlicher Ebene festgelegten Pflichten und Aufgaben. Die Datenverantwortlichkeit bleibt bei den
Meldebehörden.' Dass dabei dem Bundesminister für Inneres teilweise auch Datenverarbeitungsschritte
übertragen werden, tut dabei seiner Funktion als Betreiber und Dienstleister - entgegen der offensichtlichen Annahme
der Datenschutzkommission - keinen Abbruch. § 4 Z 5 DSG sieht nämlich vor, dass Dienstleister
natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft
beziehungsweise die Geschäftsapparate solcher Organe sind, wenn sie Daten, die ihnen zur Herstellung eines
aufgetragenen Werkes überlassen wurden, verwenden. Das Verwenden von Daten ist gemäß § 4 Z 8
DSG wiederum jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten als auch das
Übermitteln von Daten. Die Argumentation der Datenschutzkommission geht also insoweit ins Leere, als sie offenbar
vermeint, aus der Übertragung von Verarbeitungsschritten an das Bundesministerium für Inneres eine
Auftraggebereigenschaft ableiten zu können; die Verarbeitung von Daten ist einem Dienstleister
definitionsgemäß immanent.
Auch der Umstand, dass dem Bundesminister für Inneres den Meldebehörden gegenüber die Stellung einer
Oberbehörde zukommt, kann nicht dafür ins Treffen geführt werden, ihn als Auftraggeber erscheinen zu lassen.
Träfe zu, dass immer dann, wenn zwischen einem Auftraggeber und einer Oberbehörde ein Weisungszusammenhang
besteht, die Oberbehörde als der eigentliche Auftraggeber und damit als Adressat von Empfehlungen der
Datenschutzkommission anzusehen ist, liefe die Bestimmung des § 30 Abs 6 DSG teilweise ins Leere. Bei
Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, ist das zuständige oberste
Organ nur dann zu befassen, wenn der Auftraggeber den Empfehlungen der Datenschutzkommission nicht entspricht. Dass der
Gesetzgeber hier eine inhaltsleere Regelung schaffen wollte, darf nicht angenommen werden.
Im Lichte der von verschiedenen Stellen initiierten öffentlichen Diskussion und der damit einhergehenden
Verunsicherung der Bevölkerung, wird ungeachtet der oben stehenden Argumente davon Abstand genommen, sich auf diesen
formalrechtlichen Standpunkt zurückzuziehen.
2. Zu den einzelnen Empfehlungen
2.1. Änderung der Abfragelogik
Die Datenschutzkommission hält die bislang für sonstige Abfrageberechtigte vorgesehene Abfragelogik für
nicht dem Gesetz entsprechend, weil vorgesehen war, dass dem Abfrager nach Eingabe von Vor- und Familienname sowie eines
sonstigen Merkmals des Betroffenen eine Liste von Geburtsdaten zur Verfügung gestellt wurde, an Hand derer der
Gesuchte zu bestimmen war. Natürlich wird nicht übersehen, dass damit einem Abfrager die Bestimmung des Gesuchten
insoweit erleichtert wurde, als ihm eine Hilfestellung bei der tagesgenauen Angabe des Geburtsdatums geboten wurde. In den
Ausführungen der Datenschutzkommission findet jedoch keine Berücksichtigung, dass die Abfrage erst
durchgeführt und schlussendlich eine Auskunft erteilt wurde, wenn der Gesuchte auch durch das so festzulegende
Geburtsdatum bestimmt worden ist. Es mussten demnach alle von § 16 Abs 1 MeldeG vorgesehenen
Abfragekriterien angegeben werden, bevor eine Meldeauskunft erteilt wurde. Inwiefern diese Logik nicht dem § 16
Abs 1 MeldeG entsprochen haben soll, kann daher nicht gesehen werden.
In Anbetracht der Empfehlung der dem Schutz personenbezogener Daten in besonderem Maße verpflichteten
Datenschutzkommission hat das Bundesministerium für Inneres die Abfragelogik dennoch in der Weise geändert, dass
die Abfrage nunmehr nur noch in der dort zum Ausdruck gebrachten Weise durchgeführt werden kann.
2.2. Erlassung einer Verordnung
Die Datenschutzkommission bemängelt, dass der Bundesminister für Inneres die ihm eingeräumte
Verordnungsermächtigung nicht im vollen Umfang in Anspruch genommen hat. Wie die Datenschutzkommission selbst
ausführt, hält sich der vom Gesetzgeber eingeräumte Gestaltungsspielraum für eine Regelung des
Abfragevorgangs in sehr bescheidenem Rahmen. Im Interesse von mehr Publizität und der damit einhergehenden
Erhöhung der Rechtssicherheit wird das Bundesministerium für Inneres dieser Empfehlung im Rahmen einer
anstehenden Änderung der Meldegesetz-Durchführungsverordnung dennoch nachkommen. Da sich auch in anderen
Bereichen Adaptierungsbedarf gezeigt hat, werden Regelungen über den Abfragevorgang gemeinsam mit diesen
Änderungen Eingang in die Verordnung finden. Notwendige Abklärungen und Vorarbeiten lassen dieses Vorhaben erst
in den nächsten Monaten möglich erscheinen. Selbstredend wird die Datenschutzkommission im Zuge des Begutachtungsverfahrens eingebunden werden.
2.3. Maßnahmen gegen rechtswidrige Verwendung der Abfragemöglichkeit
Das Bundesministerium für Inneres nimmt die ihm vom Gesetz zugewiesene Verantwortung im Hinblick auf die rechtskonforme Verwendung der Abfragemöglichkeit im besonderen Maße und im Rahmen der rechtlichen Möglichkeiten wahr. Bereits erfolgte Entziehungen der Berechtigung und laufende Verfahren sind ein deutlicher Beweis dafür. Anzumerken ist in diesem Zusammenhang, dass die Gestaltung von Internetauftritten bestimmter Firmen, mögen sie mitunter auch Anlass für ein Prüfverfahren geben oder gegeben haben, nicht in die Zuständigkeit des Bundesministeriums für Inneres fällt. Sollten also einstmals mit einer Zugriffsberechtigung ausgestattete Firmen trotz Entzug der Berechtigung ihre Ankündigungen im Internet nicht ändern, ist dies keine Frage der Vollziehung des Meldegesetzes. Neben der Durchführung von Entzugsverfahren, die in den hier maßgeblichen Kreisen sicher die notwendige Aufmerksamkeit und damit generalpräventive Wirkung zeitigen, hat das Bundesministerium für Inneres in einer an jeden Abfrageberechtigten gerichteten Nachricht nochmals deutlich auf die gesetzlichen Bestimmungen und die von der Datenschutzkommission dazu vertretene Rechtsansicht verwiesen.
3. Zusammenfassung
Das Bundesministerium für Inneres ist den Empfehlungen der Datenschutzkommission nachgekommen und, soweit es die Änderung der Meldegesetz-Durchführungsverordnung betrifft, wird es diesen vollinhaltlich nachkommen. Dies vor allem im Interesse der Bürger. Die bisher im Zusammenhang mit dem ZMR von verschiedenen Seiten mit unrichtigen und unsachlichen Argumenten geführte Diskussion war nicht dazu angetan, das Vertrauen der Bevölkerung in diese Datenanwendung zu stärken. Wenn das Zentrale Melderegister als Schlüsselanwendung im e- Governement dienen soll, ist es unabdingbar, dass es keinen Anlass zu datenschutzrechtlichen Diskussionen bietet. Dem Gebot dieser Notwendigkeit folgend war aus der Sicht des Bundesministeriums für Inneres auf eine juristische Diskussion zu verzichten und den Empfehlungen der Datenschutzkommission ohne weiteres vollinhaltlich zu folgen. Die Aufrechterhaltung eines Zustandes, bei dem von einem obersten Organ in datenschutzrechtlichen Fragen an einem anderen Rechtsstandpunkt festgehalten wird als ihn die Datenschutzkommission, als oberste Kontrollinstanz in diesen Angelegenheiten, einnimmt, würde einen jedenfalls ungünstigen Erfolg zeitigen. Es wäre weder der Sache noch dem Vertrauen der Bevölkerung in die Institutionen des Staates gedient.'
Antwort der Datenschutzkommission
[Die Datenschutzkommission hat darauf hin mit Beschluss vom 4. November 2003, GZ K213.002/015-DSK/2003, folgende Antwort an das Bundesministerium für Inneres gerichtet:]
Der Empfehlung der Datenschutzkommission, den Abfragemodus bei Wohnsitzabfragen so zu gestalten, dass er im Hinblick auf das Geburtsdatum § 16 Abs 1 des Meldegesetzes 1991 zweifelsfrei entspricht, wurde durch den seit 1. September 2003 eingerichteten Abfragemodus Rechnung getragen.
Die zur Empfehlung der Datenschutzkommission, 'der Bundesminister möge auf Grundlage der Ermächtigung in § 16a Abs 6 MeldeG durch Verordnung den Ablauf einer zulässigen Abfrage aus dem ZMR durch sonstige Abfrageberechtigte innerhalb der Grenzen des § 16 Abs 1 MeldeG genauer regeln', abgegebene Zusage des Bundesministerium für Inneres, der Empfehlung im Rahmen einer anstehenden Änderung der Meldegesetz-Durchführungsverordnung nachkommen zu wollen, wird zur Kenntnis genommen. Die Datenschutzkommission ersucht, sie von der Erfüllung dieser Zusage in Kenntnis zu setzen.
Zur Empfehlung, 'dafür Sorge zu tragen, dass sonstige Abfrageberechtigte die Daten des ZMR ausschließlich für den in § 16 Abs 5 MeldeG umschriebenen Zwecke verwenden', hat das BMI darauf hingewiesen, dass die Entziehung einiger Berechtigungen bereits erfolgt sei und dass derzeit einige Überprüfungsverfahren laufen, worin ein deutlicher Beweis dafür zu sehen sei, dass das BMI 'seine Verantwortung im Hinblick auf die rechtskonforme Verwendung der Abfragemöglichkeiten im besonderen Maße und im Rahmen der rechtlichen Möglichkeiten wahrnehme'. Die Datenschutzkommission nimmt dies zur Kenntnis.