Seit Donnerstag (07.05.2020) beschäftigt sich die mediale Berichterstattung mit dem als „größtes Datenleck der Republik“ bezeichnete „Ergänzungsregister für sonstige Betroffene“ (ERsB), ein öffentliches Register, das online und ohne Zugangsbeschränkung (sei es durch Entgelt oder bestimmte Voraussetzungen) geführt wird und in dem nicht nur juristische Personen, sondern auch natürliche Personen, und zwar teilweise auch mit ihrer Privatadresse, abrufbar sind. Die Opposition vermutet – der Berichterstattung folgend – eine Unrechtmäßigkeit. Aber ist das so? Ein Blick in das Gesetz verrät, wie so oft, mehr.

Das ERsB ist Teil und Instrument des E-Government, d.h. von jenen digitalen Services, die die österreichische Verwaltung digital zur Verfügung stellt; maßgebliche Rechtsgrundlage dafür ist das E-Government-Gesetz.

Diese digitalen Services der Verwaltung können unter bestimmten Voraussetzungen in Anspruch genommen werden; das ist etwa eine eindeutige Identifikation der (natürlichen oder juristischen) Person, denn für die Zwecke der digitalen Verwaltungsservices sind die ansonsten üblicherweise zur Identifikation herangezogenen Parameter (Name, Geburtsdatum) nicht ausreichend, um eine Verwechslung gänzlich ausschließen zu können. Das wird durch die sogenannte „E-ID“ sichergestellt; abhängig davon, ob die E-ID für eine natürliche oder juristische Person gebildet wird, werden unterschiedliche Wege angezogen:

  • Bei natürlichen Personen wird die E-ID aus der ZMR-Zahl gewonnen. Die ZMR-Zahl wird in der Folge aber nicht in ihrer „Roh“-Form genutzt, sondern so weiterverwendet, dass daraus die „Stammzahl“ gebildet wird, aus der wiederum die „bereichsspezifischen Personenkennzeichen“ (bPK) generiert werden.

Bereichsspezifische Personenkennzeichen dürfen nur jeweils auf jenen Tätigkeitsbereich beschränkt verwendet werden, in der diese auch verarbeitet werden soll; das ist zumindest die gesetzliche Vorgabe. Daher können aus der Stammzahl einer natürlichen Person mehrere unterschiedliche bereichsspezifische Personenkennzeichen generiert und angewendet werden.

  • Bei juristischen Personen wird anstelle der ZMR-Zahl als Grundlage die Firmenbuchnummer, sofern vorhanden, herangezogen.

Nun gibt es einige (wenn auch wenige) Exoten, die weder einer ZMR-Zahl noch einer Firmenbuchnummer o.Ä. zugeordnet werden können. Damit aber auch dieser „Restpool“ an den digitalen Verwaltungsservices teilnehmen kann, gibt es die sogenannten „Ergänzungsregister“; das „Ergänzungsregister für natürliche Personen“ und das – eben medial diskutierte – „Ergänzungsregister für sonstige Betroffene“.

Aber gerade die ausdrückliche Separierung in zwei Register macht die Frage auf, wieso auch im ERsB natürliche Personen eingetragen sind und wie die Eintragung im ERsB erfolgt. Diese Frage, „wie“ eine Eintragung erfolgt, ist bedingt durch die Frage, „wieso“ eine Eintragung erfolgt:

Die Eintragung in das ERsB kann auf zwei Wegen erfolgen: Entweder auf Antrag des Betroffenen oder – unter bestimmten Voraussetzungen – auch auf Antrag des „Verantwortlichen der Datenverarbeitung“. Faktisch werden aber nicht nur diese „nicht-natürlichen“ Betroffenen eingetragen, sondern auch deren „Funktionsträger“; Funktionsträger können natürliche Personen sein, sodass dieselben sich auch im ERsB finden.

Für die Eintragung der Funktionsträger im ERsB gibt es keine ausdrückliche gesetzliche Grundlage im E-Government-Gesetz. Im Formular, das online zur Verfügung steht und mit dem man die Eintragung im ERsB beantragen kann, wird die Angabe des Funktionsträgers dementsprechend auch als optionales Feld ausgewiesen.

Dass etwa eine juristische Person gemeinsam mit ihrem „Funktionsträger“ eingetragen wird, ist verständlich. Dass die Eintragung der Funktionsträger gesetzlich nicht vorgesehen ist, macht diese aber nicht automatisch unrechtmäßig. Die datenschutzrechtliche Brille aufgesetzt, ist zu fragen, durch welchen Rechtfertigungstatbestand der DSGVO diese Datenverarbeitung, nämlich die Veröffentlichung des Namens und weiteren, identifizierenden Daten des Funktionsträgers, legitimiert.

Die DSGVO sieht einen abschließenden Rechtfertigungskatalog vor, d.h. nur, wenn einer der Rechtsfertigungstatbestände aus diesem Katalog vorliegen, ist die Datenverarbeitung auch gerechtfertigt. Das sind die Einwilligung, die Erfüllung eines Vertrages, Erfüllung einer rechtlichen Verpflichtung, der Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person, Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde und die Wahrnehmung der berechtigten Interessen, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern.

Gegenständlich scheidet die rechtliche Verpflichtung zumindest nach dem E-Government-Gesetz sowie der zu dem Ergänzungsregister ergangenen Verordnung aus, weil die Bestimmungen dieser gesetzlichen Grundlagen die Eintragung von Funktionsträgern nicht vorsehen. Die Wahrnehmung einer im öffentlichen Interesse gelegenen Aufgabe kommt dem Grunde nach in Frage; es ist zumindest denkbar, dass die Eintragung von Funktionsträgern eben im Zusammenhang mit der Verwaltung bzw. deren Digitalisierung erforderlich ist.

Die gewählte gesetzliche Ausgestaltung scheint aber nicht in der konkreten Form erforderlich zu sein, um den Zweck, nämlich die verwaltungsinterne Generierung der E-ID, zu erfüllen; dies vor allem, wenn man die uneingeschränkte öffentliche Zugänglichmachung von Funktionsträgern im ERsB berücksichtigt.

Zusammengefasst – auch unabhängig von einem Rechtfertigungstatbestand ist eine Anpassung der Ausgestaltung des ERsB jedenfalls wünschenswert und auch aus datenschutzrechtlicher Sicht erforderlich. Zur Bildung der E-ID von sonstigen Betroffenen besteht keine Veranlassung dafür, Daten in einem öffentlich zugänglichen Register vorzusehen.

Bis zu der erforderlichen legistischen Anpassung stehen den Funktionsträgern, die sich nun im ERsB beim Selbsttest wiederfinden, aber auch Handlungsmöglichkeiten zur Verfügung. Das sind unter die Betroffenenrechte der DSGVO. In einem ersten Schritt könnten Funktionsträger von dem Auskunftsrecht Gebrauch machen und erfragen, wieso eine Eintragung ihrer Person erfolgt ist. Auf die Beantwortung darf man gespannt sein.