Der österreichische VfGH hat jüngst eine Bestimmung des Sicherheitspolizeigesetzes als verfassungswidrig aufgehoben, bei der datenschutzrechtliche Überlegungen zu DNA-Analysen eine zentrale Rolle spielten (Erkenntnis vom 12. März 2013, G 76/12-7.)
Sacherverhalt
Beim VfGH war zunächst eine auf Art 144 B-VG gestützte Beschwerde eingelangt, wonach beim Beschwerdeführer nach einer strafgerichtlichen Verurteilung wegen Untreue eine erkennungsdienstliche Behandlung sowie ein Mundhöhlenabstrich durchgeführt worden waren.
Ein später gestellter Antrag auf Löschung der Daten war abgewiesen worden. Der VfGH hegte die Vermutung, dass dies einen Eingriff in Art 8 EMRK, in § 1 DSG sowie darüber hinaus auch in Art 8 der Grundrechte-Charta der Europäischen Union darstelle, insbesondere als es um DNA-Daten ging (EGMR 4.12.2008 Fall Appl. 30.562/04 ua. (S. und Marper), EuGRZ 2009, 299) und leitete von Amtswegen das Verfahren zur Prüfung der Verfassungsmäßigkeit der in Frage stehenden Norm ein.
Der VfGH hegte die Vermutung, dass die Ermittlung und die Speicherung des DNA-Profils von Menschen unter dem Gesichtspunkt der präventiven Gefahrenabwehr, wie dies im SPG (Sicherheitspolizeigesetz) vorgesehen ist, in keinem Verhältnis zur besonderen Sensibilität dieser Daten stehe. Die Zulässigkeit einer erkennungsdienstlichen Behandlung ist gemäß § 65 Abs 1 SPG an zwei Voraussetzungen geknüpft:
Zum einen hat der Betroffene im Verdacht zu stehen, eine mit Strafe bedrohte Handlung begangen zu haben, zum anderen muss er entweder im Rahmen einer kriminellen Verbindung tätig geworden sein oder die erkennungsdienstliche Behandlung muss auf Grund der Art oder Ausführung der Tat oder der Persönlichkeit des Betroffenen zur Vorbeugung weiterer gefährlicher Angriffe erforderlich scheinen.
Im Rahmen einer derartigen erkennungsdienstlichen Behandlung darf gemäß § 67 Abs 1 SPG auch die DNA eines Menschen ermittelt werden, wenn der Betroffen im Verdacht steht, einen gefährlichen Angriff begangen zu haben und wenn im Hinblick auf diese Tat oder die Persönlichkeit des Betroffenen erwartet werden kann, dieser werde bei Begehung weiterer gefährlicher Angriffe Spuren hinterlassen, die seine Wiedererkennung auf Grund der ermittelten genetischen Informationen ermöglichen würde. Als gefährlicher Angriff wiederum bezeichnet § 16 Abs 2 SPG die Bedrohung eines Rechtsgutes durch die rechtswidrige Verwirklichung des Tatbestandes einer gerichtlich strafbaren Handlung, die vorsätzlich begangen wurde (…) sofern es sich um den
Straftatbestand eines taxativ aufgezählten Gesetzes (StGB) handelt.
Entgegnung der Bundesregierung
Die Bundesregierung verteidigte die in Frage stehende Norm mit folgenden Argumenten: die Ermittlung von DNA-Daten im Rahmen einer erkennungsdienstlichen Behandlung gemäß § 67 SPG diene dem Zweck der Widererkennung eines Menschen, dabei werde nur jener Teil der menschlichen Erbsubstanz untersucht, der zwar zur eindeutigen Identifizierung einer Person diene, der aber darüber hinaus keinerlei Informationen über Erbkrankheiten oder sonstige spezielle Eigenschaften enthalte. Die darüber hinaus gehenden sensibleren Teile der DNA würden demgegenüber nicht untersucht und würden daher auch nicht in die gespeicherten DNA-Daten einfließen. Die Untersuchung erfolge nicht im kodierten Bereich der DNA, die unter dem Gesichtspunkt der Achtung der Privatsphäre ungleich sensibler wäre, sondern im hochvariablen und individualspezifischen nicht-kodierten Bereich der DNA. (Die Bundesregierung verweist dabei auf das Verhältnsimäßigkeitsgebot des § 29 Abs 1 SPG und auf § 67 Abs 3 SPG.)
Die Durchführung einer DNA-Untersuchung und die Speicherung ihrer Ergebnisse unterliege angemessenen Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen im Sinn des § 1 Abs 2 DSG 2000. Zu diesen Garantien zählen die Einschränkung des Untersuchungsbereichs auf den nicht-kodierten Teil der DNA sowie die pseudonymisierte molekulargenetische Auswertung des ermittelten Materials durch die Gerichtsmedizinischen Institute der Universitäten Innsbruck, Salzburg oder Wien. Die pseudonymisierte Auswertung bedeute, dass das gesamte Untersuchungsmaterial den gerichtsmedizinischen Instituten ohne Hinweis auf die Identität des Betroffenen auszufolgen sei.( § 67 Abs 2 letzter Satz SPG, § 67 Abs 2 SPG.)
Nach Durchführung der DNA-Analysen werden die DNA-Profilwerte elektronisch unter Angabe eines Strichcodes, der den Sicherheitsbehörden als Schlüssel zur Zuordnung des DNA-Profils zu den Identitätsdaten dient (dem Dienstleister jedoch keine Zuordnung zu einer bestimmten Person ermöglicht) an den Zentralen Erkennungsdienst des Bundeskriminalamts übermittel und dort gespeichert bzw. mit anderen Profilwerten abgeglichen. Damit würden ausschließlich Informationen untersucht, ermittelt und gespeichert, die der Identifikation dienten (die aber keine darüber hinausgehende Aussagekraft besitzen würden) und sämtliche Auswertungen von Dienstleistern erbracht würden, die über die Personen, deren DNA Gegenstand der Auswertung sei, keine Informationen erhalten würden. Im Ergebnis sei damit ein hohes Niveau der Datensicherheit gegeben.
Die Auffassung des VfGH
Dieser Argumentationslinie der Bundesregierung folgte der VfGH nicht, da sie nach dessen Erachten den Versuch einer Verharmlosung des Eingriffes darstelle. Selbst dann, wenn die Daten „nur“ geeignet seien, einer bestimmten Person zugeordnet zu werden, (d.h. diese zu identifizieren), handle es sich dabei um einen Eingriff in Rechte, der ausschließlich unter verfassungsrechtlichen Kautelen zulässig sei. Tatsächlich gehe es nicht um die „technische Seite“ der DNA-Analyse, sondern darum, ob in diesem Sinne die Eingriffsvoraussetzungen durch den Gesetzgeber hinreichend normiert würden. Die Speicherung von Daten, die das Privatleben einer Person betreffen, ist demnach gemäß Art 8 EMRK nur insoweit zulässig, als der Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist.
Art 8 EMRK und Datenschutz
Nach der Rechtsprechung des EGMR muss das innerstaatliche Recht für den Schutz personenbezogener Daten geeignete Schutzvorkehrungen vorsehen, die verhindern, dass personenbezogene Daten in einer Weise verwendet werden, die mit den Garantien des Art 8 EMRK nicht vereinbar ist. Noch größer ist die Notwendigkeit solcher Vorkehrungen, wenn es um den Schutz personenbezogener Daten geht, die einer automatischen Verarbeitung unterzogen werden, insbesondere, wenn diese zu polizeilichen Zwecken genutzt werden. Das innerstaatliche Recht sollte insbesondere sicherstellen, dass diese Daten für die Zwecke, zu denen sie gespeichert sind, erheblich sind. (EGMR, Fall S. und Marper, Appl. 30.562/04 ua., EuGRZ 2009, Z. 103.)
Die Speicherung von Daten, die das Privatleben einer Person betreffen, stellen einen Eingriff in Art 8 EMRK sowie in § 1 DSG 2000 dar. Eingriffe sind gem § 1 Abs 2 DSG 2000 bei Eingriffen einer staatlichen Behörde nur aufgrund des Gesetzes zulässig, die aus den in Art 8 Abs 2 EMRK genannten Gründen notwendig sind und die ausreichend präzise, also für jedermann vorhersehbar sind und die zugleich regeln, unter welchen Voraussetzungen die Ermittlung bzw. die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist.( VfSlg 16.369, 18.146/2007, 18.963/2009, 18.975/2009, 19.657/2012.)
§ 67 Abs 1 erster Satz SPG normiert als wesentliche Voraussetzung für die Ermittlung der DNA, dass „der Betroffene in Verdacht steht, einen gefährlichen Angriff begangen zu haben“.
Mit § 16 SPG werden aber selbst Vorsatzdaten der leichtesten Vermögensdelikte erfasst. Der Gesetzgeber habe es verabsäumt, mit Blick auf den mit der DNA-Ermittlung verbundenen Grundrechtseingriff hinsichtlich der verschiedenen Deliktstypen hinreichend zu differenzieren oder manche überhaupt auszunehmen. Ebensowenig sei die im Einzelfall vorzunehmende Prognoseentscheidung entsprechend determiniert („wenn im Hinblick auf diese Tat oder die Persönlichkeit des Betroffenen erwartet werden kann, dieser werde bei Begehung weiterer gefährlicher Angriffe Spuren hinterlassen, die seine Wiedererkennung auf Grund der ermittelten genetischen Informationen ermöglichen würde“.) Damit sei mit der in § 67 Abs 1 erster Satz SPG normierten gesetzlichen Ermächtigung zur Ermittlung von DNA-Daten die Grenzen des verfassungsrechtlich Erlaubten überschritten.
Relevante Gesetze/Judikatur: Bundesgesetz über die Organisation der Sicherheitsverwaltung und die Ausübung der Sicherheitspolizei, BGBl Nr 566/1991; VfGH, Erkenntnis vom 12. März 2013, G 76/12-7.
Abb.: Wikipedia/gemeinfrei
@UBIFACTS/2013