GZ: DSB-D121.220/0005-DSB/2014 vom 13. März 2014
[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
Spruch:
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der Sozialversicherungsanstalt der gewerblichen Wirtschaft (Beschwerdeführerin) vom 11. Mai 2006 gegen Anton N*** aus **** Wien als früheren Inhaber des gewerblichen Einzelunternehmens mit der Bezeichnung „N***-Wirtschaftsauskunftei“ , vertreten durch Dr. Florian A***, Rechtsanwalt in **** Wien, wegen Verletzung im Recht auf Auskunft in Folge mangelhafter Beantwortung des datenschutzrechtlichen Auskunftsverlangens vom 15. Februar 2006 nach (zuletzt) Aufhebung des (Ersatz-) Bescheids der früheren Datenschutzkommission vom 19. Februar 2010, GZ: K121.220/0005-DSB/2010, durch Erkenntnis des Verwaltungsgerichtshofs vom 25. Juni 2013, Zl. 2010/17/0051-5, wie folgt:
Die Beschwerde wird abgewiesen.
Rechtsgrundlagen : § 1 Abs. 3 Z 1, § 4 Z 4, § 26 Abs. 1 und 7, § 31 Abs. 1 und 7 und § 61 Abs. 9 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.
Begründung:
A. Vorbringen der Parteien und Verfahrensgang
Die Beschwerdeführerin behauptet in der vom 11. Mai 2006 datierenden und am 22. Mai 2006 bei der früheren Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Auskunft durch den Beschwerdegegner. Dieser habe mit Schreiben vom 22. Februar 2006 zunächst die Erteilung einer Auskunft überhaupt abgelehnt und zwar mit der Begründung, die Beschwerdeführerin sei kein Betroffener im Sinn des DSG 2000. Nachdem daraufhin die Beschwerdeführerin den Beschwerdegegner am 1. März 2006 nochmals zur Auskunftserteilung aufgefordert habe, habe ihr der Beschwerdegegner schließlich mit Schreiben vom 6. März 2006 mitgeteilt, dass er keine Daten über sie verwende.
Die Beschwerdeführerin bezeichnet diese Behauptung mit der Begründung als unrichtig, dass ihr von Versicherten Schreiben übermittelt wurden, in denen der Beschwerdegegner als „Quelle“ von bonitätsrelevanten Daten, insbesondere von Exekutionsdaten, genannt werde. (Derartige Schreiben von Versicherten waren der Beschwerde zu Beweiszwecken auch angeschlossen). Die Exekutionsdaten würden ausdrücklich die Beschwerdeführerin als Gläubigerin samt Gerichtszahl enthalten. Dementsprechend begehrt die Beschwerdeführerin von der Datenschutzkommission, dafür Sorge zu tragen, dass das im DSG verankerte Auskunftsrecht vom Beschwerdegegner erfüllt wird, insbesondere durch Bekanntgabe sämtlicher Daten über sie als betreibende Gläubigerin in Exekutionsverfahren, die Herkunft dieser Daten sowie die Rechtsgrundlage ihrer Verwendung.
Der Beschwerdegegner hielt in seiner Stellungnahme vom 13. Juni 2006 an der Negativauskunft vom 6. März 2006 fest. Zum Beweis verweist er auf beigelegte Ausdrucke von ergebnislosen Abfragen betr. die Beschwerdeführerin (unter verschiedenen Bezeichnungen) in seiner Datenbank – in der Folge auch als „N***-Datenbank“ bezeichnet – und einige zur Probe abgefragte Datensätze von Schuldnern. Im Übrigen könne die Datenbank des Beschwerdegegners überhaupt nur nach Schuldnern und nicht nach betreibenden Gläubigern abgefragt werden. Die Gläubiger seien bei den Schuldnern zumeist gar nicht angeführt, wenn doch, seien sie in der Regel nur mit Kürzeln (d.h. nicht namentlich, nur dem Gläubigertypus nach) bezeichnet, „die als Legende auch dem Nutzer (der Datenbank) zur Verfügung stehen“ . Das Kürzel „SVA“ werde nach dieser Legende für forderungsbetreibende „Sozialversicherungsträger welcher Art auch immer“ verwendet. Da in der Datenbank des Beschwerdegegners überhaupt nur nach Schuldnern und nicht nach betreibenden Gläubigern abgefragt werden könne, müsste der Beschwerdegegner seine gesamte Datenbank durchforsten, um feststellen zu können, wo eine Eintragung der Kürzel „SV“ oder „SVA“ im Gläubigerfeld bestehe und ob hier zufällig neben dem allenfalls enthaltenen Kürzel auch eine Bezeichnung eingetragen sei, die eindeutig nur die Sozialversicherungsanstalt der gewerblichen Wirtschaft betreffen könne. Der Beschwerdegegner könne aber nicht sequentiell 2.220.000 Akten und Daten durchsuchen – „damit würde das Auskunftsrecht zur Schikane“ . Da der Betroffene am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken habe, möge die Beschwerdeführerin die Schuldner bezeichnen, betreffend derer sie Auskunft begehre, ob sie selbst als Gläubiger aufscheine.
In einer weiteren über Aufforderung der früheren Datenschutzkommission erstatteten Stellungnahme vom 1. August 2006 betonte der Beschwerdegegner nochmals, er verarbeite Daten der betreibenden Gläubiger nicht in einer Abfrageverknüpfungsform. Er verarbeite derartige Daten auch nicht regelmäßig, es sei allerdings möglich, dass im Einzelfall Informationen über den Gläubiger vorhanden seien. Deshalb habe er um Bekanntgabe jener Fälle ersucht, in denen die Datenschutzkommission vermeine, dass die Beschwerdeführerin aufscheine.
Mit Bescheid vom 2. Februar 2007, GZ: K121.220/0001-DSK/2007, hat die frühere Datenschutzkommission der Beschwerde teilweise stattgegeben und – nachdem schon festgestellt worden war, dass Daten der Beschwerdeführerin in den direkt abfragbaren Datenfeldern der N***-Datenbank nicht vorhanden sind - dem Beschwerdegegner aufgetragen, innerhalb einer Frist von zwei Wochen hinsichtlich der nicht im Wege direkter Suche abfragbaren Datenfelder der N***-Datenbank der Beschwerdeführerin Auskunft im Umfang des § 26 Abs. 1 DSG 2000 zu geben oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.
Die gegen diesen Bescheid von der Beschwerdeführerin eingebrachte höchstgerichtliche Beschwerde war erfolgreich. Mit Erkenntnis vom 27. Mai 2009, Zl. 2007/05/0052-7, hat der Verwaltungsgerichtshof (VwGH) den Bescheid aus dem ersten Rechtsgang mit der Begründung aufgehoben , dass die Beschränkung der Auskunftspflicht auf die „nicht im Wege direkter Suche abfragbare(n) Datenfelder der N***-Datenbank“ die Beschwerdeführerin in ihrem geltend gemachten Recht auf Auskunft gemäß § 26 DSG 2000 verletze.
Der Beschwerdegegner brachte im ergänzenden Ermittlungsverfahren vor und bescheinigte urkundlich, er habe der Beschwerdeführerin im Sinne des ergangenen VwGH-Erkenntnisses mit Schreiben vom 27. Juli 2009 ergänzend Auskunft in folgender Weise erteilt: Die gewünschte Auskunft könne gemäß § 26 Abs. 2 DSG 2000 nicht erteilt werden, da überwiegende berechtigte Interessen der „N***-Wirtschaftsauskunftei“ als Auftraggeber vorhanden seien. Dass Daten der Beschwerdeführerin in der Datei vorhanden seien, sei nicht auszuschließen, doch könne „die Datei seriell nicht abgefragt werden. Eine Durchsicht von mehr als 2,2 Mio. Daten würde einen Aufwand von mehreren Monaten dauern und wäre auch nicht wirtschaftlich leistbar.“
Die Beschwerdeführerin wiederholte im ergänzenden Parteiengehör zu den vom Beschwerdeführer vorgelegten Schreiben in ihrer Stellungnahme vom 3. Dezember 2009, dass in Bonitätsauskünften aus der Datenbank des Beschwerdegegners mehrfach eine „SVA“ als Gläubigerin genannt werde und „dass auch weiterhin missbräuchlich unaktuelle Daten, die offensichtlich nicht aus öffentlichen Registern stammen, für Versicherte der SVA kreditschädigend verwendet werden und der falsche Anschein erweckt wird, dass diese Daten von der SVA weitergeleitet werden.“ Das Schreiben der Beschwerdeführerin habe sie zwar erhalten, es erfülle jedoch nicht ihr einfachgesetzliches Recht auf Auskunft, wie es der VwGH im bereits zitierten Erkenntnis festgehalten habe.
Mit (Ersatz-) Bescheid vom 19. Februar 2010, GZ: K121.220/0005-DSK/2010, hat die frühere Datenschutzkommission die Beschwerde zur Gänze abgewiesen.
Dagegen hat die Beschwerdeführerin neuerlich Beschwerde an den Verwaltungsgerichtshof erhoben. Mit Erkenntnis vom 25. Juni 2013, Zl.2010/17/0051-5, hat der Verwaltungsgerichtshof den Bescheid der früheren Datenschutzkommission neuerlich, diesmal wegen Unzuständigkeit der Behörde (unter Verweis auf sein Erkenntnis vom 23. April 2013, Zl. 2011/17/0156, und das Urteil des Gerichtshofs der Europäischen Union vom 12. Oktober 2012, Rs C-614/10 Kommission/Österreich), aufgehoben, ohne in seiner Begründung auf den Bescheidinhalt näher einzugehen.
Die frühere Datenschutzkommission (bis zum 31. Dezember 2013) und die neue Datenschutzbehörde (seit 1. Jänner 2014) haben in weiterer Folge das Ermittlungsverfahren ergänzt. Zunächst wurden die Parteien um Stellungnahmen zur aktuellen Sachlage ersucht. Den Parteien wurde dabei nach Einsichtnahme in das Datenverarbeitungsregister (DVR) vorgehalten, dass der Beschwerdegegner im Jahr 2010 seine unternehmerische Tätigkeit eingestellt und seine Streichung als datenschutzrechtlicher Auftraggeber (ehemals DVR: 02*4*99) aus dem DVR veranlasst habe.
Die Beschwerdeführerin brachte mit Stellungnahme vom 30. August 2013 vor, es sei richtig, dass der Beschwerdegegner seine Gewerbeberechtigung zurückgelegt habe. Dies ändere jedoch nichts am Auskunftsanspruch der Beschwerdeführerin, da der Beschwerdegegner (früher) als Auftraggeber agiert habe.
Auf die Aufforderung der früheren Datenschutzkommission antwortete Rechtsanwalt Mag. Peter S*** , der frühere rechtsfreundliche Vertreter des Beschwerdegegners in diesem Verfahren, zunächst mit der Mitteilung vom 3. September 2013, in der er das Erlöschen des Vollmachtverhältnisses anzeigte. Weiters legte er mit diesem Schreiben die Kopie einer Verständigung des Magistrats der Stadt Wien über das Erlöschen der Gewerbeberechtigung des Beschwerdegegners per 11. November 2010 vor. Nach seinem Kenntnisstand seien die Daten bzw. Datenträger der früheren „N***-Wirtschaftsauskunftei“ überdies im Zuge eines gegen den Beschwerdegegner anhängigen Strafverfahrens von der Staatsanwaltschaft beschlagnahmt worden, und sei schon aus diesem Grund keine Auskunftserteilung mehr möglich.
Der nunmehr persönlich aufgeforderte Beschwerdegegner hat zunächst keine Stellungnahme abgegeben.
Die frühere Datenschutzkommission ersuchte daraufhin die Wirtschafts- und Korruptionsstaatsanwaltschaft um Amtshilfe (zu den Ergebnissen der da. Ermittlungen hinsichtlich des Verbleibs der Daten der früheren „N***-Wirtschaftsauskunftei“ ). Sie hat den Beschwerdegegner am 25. Oktober 2013 als Partei einvernommen sowie weitere Stellungnahmen der C*** Ges.m.b.H., der Wirtschafts- und Korruptionsstaatsanwaltschaft sowie des Landesgerichts für Strafsachen Wien erhalten. Beiden Parteien wurde von der Datenschutzbehörde am 14. Jänner 2014 zu den Ergebnissen des ergänzten Ermittlungsverfahrens Parteiengehör gewährt.
Keine der beiden Parteien hat eine weitere Stellungnahme abgegeben.
B. Beschwerdegegenstand
Auf Grund des Vorbringens der Beschwerdeführerin sowie dem Vorbringen der Parteien im ergänzenden Ermittlungsverfahren ergibt sich, dass Beschwerdegegenstand zunächst die Frage ist, ob der Beschwerdegegner noch datenschutzrechtlicher Auftraggeber und damit Auskunftspflichtiger gemäß § 26 DSG 2000 ist. Im Fall der Bejahung wäre zu entscheiden, ob er dem Auskunftsanspruch der Beschwerdeführerin gesetzmäßig nachgekommen ist, und ob ihm bei Verneinung letzterer Frage eine neuerliche oder ergänzende Auskunftserteilung aufzutragen wäre.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdegegner hat mit einer Berechtigung zur Ausübung des Gewerbes der „Auskunftei über Kreditverhältnisse“ unter der Bezeichnung „N***-Wirtschaftsauskunftei“ vom Beginn dieses Verfahrens bis zum 11. November 2010 ein gewerbliches Unternehmen betrieben. Für diesen Zweck war er unter der Registernummer DVR: 02*4*99 im nunmehr von der Datenschutzbehörde geführten DVR als datenschutzrechtlicher Auftraggeber eingetragen. Mit 11. November 2010 wurde er nach Meldung der Zurücklegung der Gewerbeberechtigung aus dem DVR gestrichen.
Der Beschwerdegegner hat den Betrieb des Unternehmens „N***-Wirtschaftsauskunftei“ im Oktober 2010 eingestellt. Die Datenverarbeitungsanlage IBM AS/400 Model 520, auf der die für Zwecke des ausgeübten Gewerbes verarbeiteten Daten gespeichert waren, wurde zur Entsorgung an die C*** Ges.m.b.H. veräußert.
Lange vor dem 11. November 2010, nämlich am 1. März 2006, wurde durch die Beschwerdeführerin an den Beschwerdegegner wegen dessen Datenverwendung für Zwecke des Unternehmens „N***-Wirtschaftsauskunftei“ ein Auskunftsverlangen gerichtet, das darauf abzielte, zu erfahren, ob vom Beschwerdegegner Daten der Beschwerdeführerin als Quelle von bonitätsrelevanten Informationen (Daten zu Exekutionen wegen ausständiger Beitragszahlungen in der gesetzlichen Sozialversicherung) verarbeitet und übermittelt wurden.
Dieses Auskunftsverlangen wurde vom Beschwerdegegner beantwortet (inhaltlich erstmals mit Schreiben vom 6. März 2006), über die Richtigkeit der erteilten Auskünfte und den Umfang des Auskunftsrechts der Beschwerdeführerin war seit dem 22. Mai 2006 (Datum des Einlangens der Beschwerde bei der früheren Datenschutzkommission) ein datenschutzrechtliches Beschwerdeverfahren anhängig. Dieses wurde erstmals durch den Bescheid der früheren Datenschutzkommission vom 2. Februar 2007, GZ: K121.220/0001-DSK/2007, rechtskräftig beendet. Dieser Bescheid wurde durch das Erkenntnis des Verwaltungsgerichtshofs vom 27. Mai 2009, Zl. 2007/05/0052-7, der früheren Datenschutzkommission zugestellt am 9. Juli 2009, aufgehoben und damit dessen Rechtskraft beseitigt.
Mit (Ersatz-) Bescheid vom 19. Februar 2010, GZ: K121.220/0005-DSK/2010, beiden Parteien zugestellt am 24. Februar 2010, hat die frühere Datenschutzkommission das Beschwerdeverfahren wiederum rechtskräftig beendet.
Die Rechtskraft dieses Bescheids wurde durch das Erkenntnis des Verwaltungsgerichtshofs vom 25. Juni 2013, Zl.2010/17/0051-5, der früheren Datenschutzkommission zugestellt am 1. August 2013, neuerlich beseitigt.
Beweiswürdigung : Diese Feststellungen, die von Seiten der Beschwerdeführerin nicht bestritten worden sind, beruhen auf dem öffentlichen DVR, den Angaben des Beschwerdegegners in seiner Einvernahme durch die frühere Datenschutzkommission am 25. Oktober 2013, Niederschrift einliegend in GZ: DSK-K121.220/0012-DSK/2013, der von Rechtsanwalt Mag. Peter S*** als Beilage zur Mitteilung vom 3. September 2013 (protokolliert als GZ: DSK-K121.220/0002-DSK/2013) vorgelegten Kopie der Verständigung des Magistrats der Stadt Wien, MBA **, vom 7. Dezember 2010, Zl. MBA/135378/10, über den Tag des Erlöschens der Gewerbeberechtigung des Beschwerdegegners, dem Schreiben der C*** Ges.m.b.H. (betreffend die Übernahme der erwähnten Datenverarbeitungsanlage, protokolliert als GZ: DSK-K121.220/0015-DSK/2013) vom 18. November 2013 sowie den Mitteilungen der Wirtschafts- und Korruptionsstaatsanwaltschaft vom 28. November 2013, GZ: 1 St **5/10t-1 (protokolliert als GZ: DSK-K121.220/0017-DSK/2013) und des Landesgerichts für Strafsachen Wien vom 21. Dezember 2013, GZ: *4 Hv *76/13i-1 (protokolliert als GZ: DSB-K121.220/0001-DSB/2014).
Die Feststellungen zum Auskunftsverlangen und zum Gang des Verfahrens stützen sich auf die Verfahrensakten (Zl. DSK-K121.220 der früheren Datenschutzkommission bzw. nunmehr Zl. DSB-D121.220 der Datenschutzbehörde).
Ermittlungsergebnisse, die belegen würden, dass der Beschwerdegegner weiterhin als datenschutzrechtlicher Auftraggeber personenbezogene Daten für den Zweck der Auskunftserteilung über Kreditverhältnisse aktiv verarbeiten oder auch nur über eine Dokumentation der früheren „N***-Wirtschaftsauskunftei“-Daten verfügen würde, liegen nicht vor.
Ob solche Daten bei anderen datenschutzrechtlichen Auftraggebern gespeichert sind (denkbar sind die Wirtschafts- und Korruptionsstaatsanwaltschaft und das Landesgericht für Strafsachen Wien sowie die T*** Ges.m.b.H., ehemals R*** Ges.m.b.H., die der Datenschutzbehörde amtsbekannte frühere Geschäftspartnerin des Beschwerdegegners – siehe dessen Angaben in der Niederschrift vom 25. Oktober 2013) ist für den Gegenstand dieses Verfahrens nicht entscheidend. Daher konnten insbesondere Feststellungen zu den gegen den Beschwerdegegner, für den die Unschuldsvermutung gilt, geführten strafprozessualen Ermittlungen unterbleiben.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung § 1 Abs. 2, Abs. 3 Z 1 und Abs. 4 DSG 2000 lautet samt Überschrift:
„ Grundrecht auf Datenschutz
§ 1 . (1) [....]
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. [...]
(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.“
§ 4 Z 4 DSG 2000 lautet samt Überschrift:
„ Definitionen
§ 4 . Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. [...] 3. [...]
4. „Auftraggeber“: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;“
§ 22 Abs. 1 DSG 2000 lautet samt Überschrift:
„ Richtigstellung des Registers und Rechtsnachfolge
§ 22 . (1) Streichungen aus dem Register und sonstige Änderungen des Registers sind auf Grund einer Änderungsmeldung des registrierten Auftraggebers oder von Amts wegen in den Fällen des Abs. 2, des § 22a Abs. 2 und des § 30 Abs. 6a vorzunehmen. Derartige Änderungen sind für die Dauer von sieben Jahren ersichtlich zu machen.“
§ 26 Abs. 1 DSG 2000 lautet samt Überschrift:
„ Auskunftsrecht
§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) [...] (6) [...]
(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Auskunftswerber innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzbehörde bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten. Diese Frist gilt nicht, wenn einem Löschungsantrag des Auskunftswerbers nach § 27 Abs. 1 Z 2 oder § 28 zu entsprechen ist.“
§ 31 Abs. 1 und 7 DSG 2000 lautet samt Überschrift:
„ Beschwerde an die Datenschutzbehörde
§ 31 . (1) Die Datenschutzbehörde erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) [...] (6) [...]
(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“
§ 61 Abs. 9 DSG 2000 lautet samt Überschrift:
„ Übergangsbestimmungen
§ 61 . (1) [...] (8) [...]
(9) Mit Ablauf des 31. Dezember 2013 tritt die Datenschutzbehörde an die Stelle der Datenschutzkommission. Zum Zeitpunkt des Inkrafttretens des Bundesgesetzes BGBl. I Nr. 83/2013 bei der Datenschutzkommission anhängige Verfahren sind nach Maßgabe der Bestimmungen dieses Bundesgesetzes in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 von der Datenschutzbehörde fortzuführen. Erledigungen der Datenschutzkommission gelten als entsprechende Erledigungen der Datenschutzbehörde. Die Bestimmungen des Verwaltungsgerichtsbarkeits-Übergangsgesetzes, BGBl. I Nr. 83/2013, bleiben unberührt. Nach Beendigung des Verfahrens vor dem Verwaltungsgerichtshof betreffend den Bescheid oder die Säumnis der Datenschutzkommission oder vor dem Verfassungsgerichtshof betreffend den Bescheid der Datenschutzkommission ist das Verfahren von der Datenschutzbehörde fortzusetzen.“
2. rechtliche Schlussfolgerungen
2.1. Zur Zuständigkeit der Datenschutzbehörde
Dieses Beschwerdeverfahren, das bei der früheren Datenschutzkommission eingeleitet worden ist, wird gemäß § 61 Abs. 9 DSG 2000 idF BGBl. I Nr.83/2013 von der an die Stelle der Datenschutzkommission getretenen und damit nunmehr formal zuständigen Datenschutzbehörde entschieden.
Die Datenschutzbehörde erachtet sich auch in der Sache als zur Entscheidung über die vorliegende Beschwerde zuständig.
2.2. in der Sache selbst
Die Beschwerde erweist sich schon deswegen als unbegründet, als der Beschwerdegegner kein datenschutzrechtlicher Auftraggeber mehr ist, jedenfalls keiner für Datenverarbeitungszwecke und Datenanwendungen, auf die sich das ursprüngliche, im Jahr 2006 gestellte Auskunftsverlangen bezogen hat.
Das Recht auf eine inhaltliche Auskunft gemäß § 26 Abs. 1 DSG 2000 besteht nur gegenüber einem datenschutzrechtlichen Auftraggeber.
Das subjektive Recht auf Auskunft über eigene Daten gemäß § 26 Abs. 1 DSG 2000 umfasst den Anspruch, eine vollständige und richtige Auskunft im vom Gesetz umschriebenen Umfang über eigene Daten, die der Auftraggeber verarbeitet, vom Auftraggeber zu erhalten (ständige Spruchpraxis der früheren Datenschutzkommission seit dem Bescheid vom 23. August 2002, GZ: K120.819/003-DSK/2002, RIS).
Dabei ist zu berücksichtigen, dass vom 24. Februar 2010 (Erlassung des Bescheids der früheren Datenschutzkommission vom 19. Februar 2010, GZ. K121.220/0005-DSK/2010, durch Zustellung an beide Parteien) bis zum 1. August 2013 (Erlassung des Erkenntnisses des Verwaltungsgerichtshofs vom 25. Juni 2013, Zl. 2010/17/0051-5, durch Zustellung an die frühere Datenschutzkommission) eine durch Abweisung rechtskräftig entschiedene Datenschutzbeschwerdesache vorlag. Dies bewirkte wiederum, dass der Beschwerdegegner durch nichts, insbesondere durch keine gemäß § 26 Abs. 7 DSG 2000 in der jeweils anzuwendenden Fassung zu beachtende Löschungssperre, daran gehindert war, Daten der Beschwerdeführerin zu löschen. Damit war er auch nicht daran gehindert, seine Gewerbeberechtigung zurückzulegen, den Betrieb seines Unternehmens einzustellen und die Verfügungsmacht über die früher von ihm verwendeten Datenträger und Datenverarbeitungsanlagen aufzugeben, wie sachverhaltsmäßig festgestellt wurde.
Mit der Einstellung des Betriebs endete auch die Auftraggebereigenschaft des Beschwerdegegners für die für unternehmerische Zwecke durchgeführten Datenanwendungen. Auch wenn die entsprechende Eintragung im DVR nur deklarative Wirkung entfaltet, kann die Streichung aus dem Register gemäß § 22 Abs. 1 DSG 2000 in der vorliegenden Beschwerdesache aus rein praktischen Erwägungen als Stichtag herangezogen werden. Aus dem Gesetz kann nach Ansicht der Datenschutzbehörde keinesfalls abgeleitet werden, dass durch ein Auskunftsverlangen eine Perpetuierung der auftraggeberischen Verantwortung auch über die Dauer eines in weiterer Folge anhängig gemachten und rechtskräftig beendeten datenschutzrechtlichen Beschwerdeverfahrens hinaus eintritt.
Daraus folgt, dass der Beschwerdeführerin jedenfalls seit dem 11. November 2010, dem Datum der Streichung aus dem DVR, kein Recht auf Erhalt einer datenschutzrechtlichen Auskunft gegen den Beschwerdegegner mehr zukommt.
Die Beschwerde war daher gemäß § 31 Abs. 7 DSG 2000 als unbegründet abzuweisen.
Rückverweise
