Das Ergänzungsregister: „Der größte Datenschutzskandal der Republik“?
Im Laufe des Donnerstags, 7.5.2020, hat eine politische Partei im Rahmen einer Aussendung eine Pressekonferenz für Freitag angekündigt, in der es um den „größten Datenschutzskandal der Republik“ gehen soll. Gegenstand dieses Skandals ist ein „Datenleck“ und das sogenannte „Ergänzungsregister“.
Worum geht es? Beim Ergänzungsregister handelt es sich um eine Datenbank, in der sämtliche österreichischen Unternehmer eingetragen sind, die weder im Firmenbuch eingetragen noch in einem anderen öffentlichen Register (etwa dem Vereinsregister) eingetragen sind. Das Ergänzungsregister war (zugegebenermaßen) wenigen Menschen in Österreich bereits in der Vergangenheit ein Begriff. Es kannten lediglich jene (nicht im Firmenbuch eingetragenen) Unternehmer, die etwa eine Förderung beantragten (in der Vergangenheit verlangte etwa das Bundeskanzleramt einen aktuellen Eintrag im Ergänzungsregister).
Stellt dies einen Skandal dar?
Ob es sinnvoll ist, dieses Register (wie auch das Vereinsregister oder das Firmenbuch) öffentlich im Internet abrufbar zu machen, ist eine politische Frage. Aus datenschutzrechtlicher Sicht ist das Register prinzipiell nicht zu beanstanden, zumal es für die Führung eine gesetzliche Grundlage gibt (die Ergänzungsregisterverordnung 2009 wurde aufgrund des E-Government-Gesetz erlassen und trat am 12.12.2009 in Kraft). Da es eine gesetzliche Grundlage gibt, kann es sich auch nicht um ein „Datenleck“ handeln.
Die mangelhafte Transparenz (nämlich die Tatsache, dass natürliche Personen als Unternehmer in dieses öffentliche Register eingetragen werden und darüber keine Kenntnis erlangen) kann tatsächlich einen Verstoß gegen die DSGVO darstellen, zumal auch die öffentliche Verwaltung eine Informationspflicht gemäß Art 13 DSGVO trifft, wenn diese personenbezogene Daten über Betroffene verarbeitet. Da die wenigsten Personen, die im Ergänzungsregister eingetragen sind, Kenntnis über das Ergänzungsregister haben, scheint die öffentliche Verwaltung diese Pflicht nicht ordnungsgemäß wahrgenommen zu haben. Ob dieser Verstoß gegen die Informationspflicht gemäß Art 13 DSGVO tatsächlich stattgefunden hat oder nicht, lässt sich (derzeit) nicht nachprüfen, da das Ergänzungsregister online nicht mehr abrufbar ist. Lesen Sie hier weitere Details.
Der Fall zeigt jedoch eines: Die öffentliche Verwaltung muss – wie jedes Unternehmen auch – regelmäßig prüfen, ob die verwendeten Dienste der DSGVO entsprechen.
Selbstverständlich stehe ich Ihnen für Rückfragen gerne zur Verfügung.