Mit dem Inkrafttreten des Informationsfreiheitsgesetzes (IFG) ist das tradierte Amtsgeheimnis einem grundrechtlich verankerten Zugang zu amtlichen Informationen gewichen – ein Paradigmenwechsel, der datenschutzrechtlich sorgfältig gestaltet werden muss. Aus fachlicher Sicht stehen damit zwei Grundrechte in einem strukturierten Spannungsverhältnis: das Recht auf Zugang zu Informationen einerseits und das Recht auf Schutz personenbezogener Daten andererseits, die im Einzelfall in eine nachvollziehbare Interessenabwägung gebracht werden müssen. Das neue Zugangsrecht und die proaktive Informationspflicht öffentlicher Stellen entfalten ihre Wirkung nur dann rechtssicher, wenn klar definiert ist, wann Informationen personenbezogene Daten enthalten, wer datenschutzrechtlich verantwortlich ist und welche Geheimhaltungsgründe – einschließlich besonderer Kategorien von Daten – einer Offenlegung (teilweise) entgegenstehen können.
Neues Zugangsrecht und proaktive Informationspflicht
Mit dem Informationsfreiheitsgesetz (IFG) ist das jahrzehntelang prägende Amtsgeheimnis in Österreich einem verfassungsrechtlich verankerten Recht auf Zugang zu Informationen gewichen. Seit 1. September 2025 besteht nicht mehr bloß ein Auskunftsrecht nach den bisherigen Auskunftspflichtgesetzen, sondern ein moderner Anspruch auf Informationszugang, der durch eine proaktive Veröffentlichungspflicht vieler Behörden ergänzt wird, etwa über Websites oder Open-Data-Plattformen. Kern des IFG ist das Recht jeder Person, Zugang zu Informationen von informationspflichtigen Stellen zu erhalten, ohne ein besonderes rechtliches Interesse darlegen zu müssen. Damit verschiebt sich der Schwerpunkt von der punktuellen Aktenauskunft hin zu einer strukturierten, planbaren Informationsordnung, die Transparenz als Regelfall und Geheimhaltung als begründete Ausnahme versteht. Diese neue Transparenzordnung wirft unweigerlich die Frage auf, wie sie mit dem Grundrecht auf Datenschutz zusammenspielt – insbesondere dann, wenn angefragte oder proaktiv veröffentlichte Inhalte personenbezogene Daten enthalten.
Personenbezogene Daten als Prüfstein
Nicht jede Informationserteilung oder Veröffentlichung ist datenschutzrechtlich relevant – entscheidend ist, ob personenbezogene Daten betroffen sind. Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen und diese identifizierbar machen, also etwa Namen, Kontakt- und Identifikationsdaten, aber auch Kombinationen von Umständen, die Rückschlüsse auf eine Person zulassen. Erst wenn solche Daten verarbeitet werden, greifen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und es stellt sich die Frage, ob und in welchem Umfang eine Offenlegung zulässig ist.
Wer ist datenschutzrechtlich verantwortlich?
Datenschutzrechtlich verantwortlich ist jene Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. In der Praxis wird das meist jene Behörde oder sonstige öffentliche Stelle sein, die nach dem IFG informationspflichtig ist, also etwa ein Ministerium, eine Gemeinde oder eine andere Verwaltungseinheit. Im Einzelfall können diese Rollen auseinanderfallen – etwa wenn mehrere Stellen gemeinsam über Datenverarbeitungen entscheiden oder ausgelagerte Einheiten technisch-organisatorische Aufgaben übernehmen.
Kein automatischer Vorrang des Datenschutzes
Enthält eine Information personenbezogene Daten, ist sie nicht allein deshalb vom Zugang ausgeschlossen. Das Recht auf Schutz personenbezogener Daten ist „bloß“ ein Geheimhaltungsgrund im Sinne des IFG, der der Herausgabe entgegenstehen kann, aber nicht zwingend entgegenstehen muss. Sowohl das Recht auf Informationszugang als auch das Recht auf Datenschutz sind verfassungsrechtlich geschützte Grundrechte, zwischen denen eine Interessenabwägung im Einzelfall vorzunehmen ist. Es gibt keinen pauschalen Vorrang des einen Grundrechts vor dem anderen; vielmehr sind Kontext, Sensibilität der Daten, Intensität des Eingriffs und Gewicht des Informationsinteresses zu berücksichtigen.
Weitere Geheimhaltungsgründe
Der Schutz personenbezogener Daten ist nur einer von mehreren möglichen Geheimhaltungsgründen. Weitere Gründe finden sich auf verfassungsrechtlicher Ebene in Art. 22a Abs. 2 S 2 B-VG und sind einfachgesetzlich in § 6 IFG näher konkretisiert. Dazu zählen etwa der Schutz der nationalen Sicherheit, die unbeeinträchtigte Vorbereitung von Entscheidungen oder die Wahrung von Rechten am geistigen Eigentum. Auch diese Gründe können einer Informationsgewährung entgegenstehen, müssen aber stets im Lichte des Transparenzgebots und des öffentlichen Interesses an Information interpretiert werden.
„Public watchdogs“ und gesteigertes Informationsinteresse
Ein besonderes Gewicht kommt dem Informationsinteresse sogenannter „public bzw. social watchdogs“ zu, wozu etwa Journalistinnen und Journalisten zählen. Personenbezogene Daten sind jedoch nicht allein deshalb offenzulegen sind, weil ein Medium sie anfragt; auch hier ist eine einzelfallbezogene Abwägung erforderlich. Dem Informationsinteresse bei Themen von öffentlichem Interesse kommt zwar eine erhöhte Bedeutung zu, doch bleibt der Schutz betroffener Personen ein relevanter Gegenpol. Damit wird vermieden, dass der Hinweis auf Medienanfragen pauschal jede datenschutzrechtliche Zurückhaltung verdrängt.
Schwärzung als datenschutzrechtliches Instrument
Ein zentrales praktisches Werkzeug zur Wahrung des Datenschutzes ist die Schwärzung personenbezogener Daten. Eine fehlerfrei durchgeführte Schwärzung kann eine geeignete technische Sicherheitsmaßnahme im Sinne von Art. 32 DSGVO sein. Entscheidend ist, dass geschwärzte Informationen vom Empfänger nicht wiederhergestellt werden können – etwa durch digitale Bearbeitung oder Vergleich mit anderen Quellen. Durch gezielte Schwärzung kann eine Behörde also den Informationsgehalt eines Dokuments weitgehend erhalten und zugleich einzelne schutzwürdige Daten unkenntlich machen.
Rechtsschutz bei unrechtmäßiger Offenlegung
Betroffene Personen sind nicht schutzlos gestellt, wenn sie die Offenlegung ihrer personenbezogenen Daten für rechtswidrig halten. Das IFG ändert nichts daran, dass bei behaupteter unrechtmäßiger Offenlegung eine Beschwerde an die zuständige Aufsichtsbehörde erhoben werden kann. Dieser Rechtsschutz ergänzt die gerichtlichen Wege, die sich gegen die Nichtgewährung von Informationen richten, und trägt dazu bei, das Spannungsverhältnis zwischen Transparenz und Datenschutz ausgewogen zu steuern.
Keine eigene Informationsfreiheitsbehörde
In Österreich existiert keine eigenständige Informationsfreiheitsbehörde, die über die Gewährung oder Verweigerung von Informationen entscheidet. Primär entscheidet die informationspflichtige Stelle selbst, ob sie eine Information zugänglich macht oder unter Berufung auf Geheimhaltungsgründe verweigert. Im Fall der Nichtgewährung steht den Informationswerberinnen und -werbern der Weg zu den zuständigen Verwaltungsgerichten offen. Das System setzt damit auf eine Kombination aus Eigenverantwortung der Verwaltung und nachgelagerter gerichtlicher Kontrolle.
In Summe zeigt sich das IFG als Versuch, Transparenz und Datenschutz in ein neues, strukturiertes Gleichgewicht zu bringen. Informationsfreiheit darf nicht als schrankenloses Offenbarungsgebot verstanden werden darf, sondern als grundrechtlich gerahmtes Zugangsrecht, das in jedem Einzelfall mit Geheimhaltungsinteressen – allen voran dem Schutz personenbezogener und sensibler Daten – abgewogen werden muss.