DSB-D122.106/0008-DSB/2014 – Datenschutzbehörde Entscheidung
Text
GZ: DSB-D122.106/0008-DSB/2014 vom 25. Juli 2014
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
Spruch:
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Mag. Dr. Karl A*** (Beschwerdeführer), vertreten durch C*** Rechtsanwälte OG, Z*** xx, V***, vom 18. Februar 2014 gegen die Austro Control GmbH (Beschwerdegegnerin) wegen Verletzung im Recht auf Löschung wie folgt:
1. Die Beschwerde wird, soweit begehrt wird, die Datenschutzbehörde möge der Beschwerdegegnerin die Löschung bestimmter Daten auftragen, zurückgewiesen.
2. Im Übrigen wird die Beschwerde als unbegründet abgewiesen.
Rechtsgrundlagen : §§ 1 Abs. 3 Z 2, 27 Abs. 1 Z 2, 31 Abs. 2 und 7 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF
Begründung:
A. Vorbringen der Parteien und Verfahrensgang:
In seiner Beschwerde vom 18. Februar 2014 (ha. eingelangt am 20. Februar 2014) behauptet der – zunächst unvertretene – Beschwerdeführer eine Verletzung im Recht auf Auskunft und Löschung dadurch, dass die Beschwerdegegnerin auf sein am 19. Dezember 2013 gestelltes Auskunfts- und Löschungsbegehren nicht reagiert habe. Seine Gesundheitsdaten seien im Rahmen einer fliegerärztlichen Untersuchung im System EMPIC gespeichert worden. Er habe bei einem fliegerärztlichen Sachverständigen die Ausstellung eines Tauglichkeitszeugnisses („medical“) beantragt und habe sich, um ein „medical“ zu erhalten, mit der Weitergabe seiner Gesundheitsdaten an die Beschwerdegegnerin einverstanden erklärt. Durch die Weitergabe seiner Gesundheitsdaten an die Beschwerdegegnerin sei keinerlei Erhöhung der Sicherheit in der Luftfahrt zu gewinnen.
Mit Schreiben vom 26. März 2014 konfrontierte die Datenschutzbehörde die Beschwerdegegnerin mit der vorliegenden Beschwerde und forderte sie zur Abgabe einer Stellungnahme auf.
In ihrer Stellungnahme vom 9. April 2014 gab die Beschwerdegegnerin an, dass sie dem Beschwerdeführer bereits mit (beigelegtem) Schreiben vom 14. März 2014 die begehrte Auskunft betreffend die im System EMPIC gespeicherten Daten erteilt habe. Das Löschungsersuchen des Beschwerdeführers habe keine gemäß § 27 Abs. 1 Z 2 DSG 2000 geforderte Begründung enthalten. Eine Löschung der Daten sei gemäß § 27 Abs. 3 DSG 2000 ausgeschlossen, da der Dokumentationszweck der Datenanwendung nachträgliche Änderungen nicht zulasse. In diesem Zusammenhang verwies die Beschwerdegegnerin auf näher genannte Bestimmungen der Verordnung (EU) Nr. 1178/2011 (geändert durch Verordnung (EU) Nr. 290/2102).
Zur Stellungahme aufgefordert, brachte der Beschwerdeführer – nunmehr rechtsfreundlich vertreten – mit Schreiben vom 19. Mai 2014 mit näherer Begründung vor, nach wie vor in seinem Recht auf Löschung nach § 27 Abs. 1 DSG 2000 verletzt zu sein, da eine Löschung der entgegen § 6 Abs. 1 Z 3 DSG 2000 übermittelten Daten nicht erfolgt sei. Er beantrage, das Verfahren gemäß §§ 31 Abs. 2 i.V.m. 27 Abs. 1 Z 2 DSG 2000 fortzusetzen und der Beschwerdegegnerin die Löschung näher genannter Daten aufzutragen.
Infolge der Auskunftserteilung durch die Beschwerdegegnerin mit Schreiben vom 14. März 2014 stellte die Datenschutzbehörde das Beschwerdeverfahren, soweit es die behauptete Verletzung im Recht auf Auskunft betrifft, mit Schreiben vom heutigen Tag, GZ DSB-D122.106/0008-DSB/2014 , gemäß § 31 Abs. 8 DSG 2000 formlos ein.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand nunmehr die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Löschung verletzt hat, indem sie die vom Beschwerdeführer mit Löschungsbegehren vom 19. Dezember 2013 begehrte Löschung aller ihn betreffenden personenbezogenen sensiblen Daten aus dem System EMPIC verweigert hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer wandte sich mit Schreiben vom 19. Dezember 2013 an die Beschwerdegegnerin. Dieses Schreiben hatte folgenden Wortlaut:
„…
Betr.: Auskunft und Löschen von Daten gem. § 26 und § 27 DSG 2000
Sehr geehrte Abteilung!
Ich ersuche um Auskunft, welche mich betreffende personenbezogene sensible Daten im System EMPIC gespeichert sind und beantrage eine Löschung dieser Daten.
Mit freundlichen Grüßen
Der Beschwerdeführer “
Beweiswürdigung: Dies ergibt sich aus dem vom Beschwerdeführer vorgelegten Auskunfts- und Löschungsersuchen vom 19. Dezember 2013.
Mit Schreiben vom 14. März 2014 (somit nach Beschwerdeerhebung, aber noch bevor die Beschwerdegegnerin erstmals von der Datenschutzbehörde mit der Beschwerde konfrontiert wurde) reagierte die Beschwerdegegnerin auf die Ersuchen des Beschwerdeführers und führte diesem gegenüber hinsichtlich des Löschungsbegehrens aus:
„…
2. Eine Löschung Ihrer Daten ist aus folgenden Gründen nicht möglich :
- Ihr Antrag enthält keine gemäß § 27 Abs. 1 Z 2 DSG 2000 geforderte Begründung im Hinblick auf das Löschungsbegehren.
- Eine Löschung der Daten ist gemäß § 27 Abs. 3 DSG 2000 ausgeschlossen, da der Dokumentationszweck der Datenanwendung nachträgliche Änderungen nicht zulässt.
Gemäß ARA.MED.150 leg.cit der Verordnung (EU) Nr. 290/2102 hat die zuständige Behörde zusätzlich zu den in ARA.GEN.220 erforderlichen Aufzeichnungen Einzelheiten zu den von AME, AeMC und Ärzten für Allgemeinmedizin vorgelegten flugmedizinischen Untersuchungen und Beurteilungen in ihr Aufzeichnungssystem aufzunehmen. Gemäß ARA.MED.150 leg.cit. beträgt die Aufbewahrungsfrist für alle flugmedizinischen Aufzeichnungen von Lizenzinhabern mindestens 10 Jahre nach Ablauf des letzten Tauglichkeitszeugnisses.
Auf Grund dieser gesetzlichen Verpflichtung der Beschwerdegegnerin , diese Daten über den oben genannten Zeitraum aufzubewahren, kann die Löschung Ihrer Daten nicht vorgenommen werden.
….“
Beweiswürdigung: Dies ergibt sich aus dem von der Beschwerdegegnerin vorgelegten Schreiben vom 14. März 2014.
D. In rechtlicher Hinsicht folgt daraus:
Zu Spruchpunkt 1:
Da § 31 Abs. 7 DSG 2000 – mit Ausnahme des hier nicht vorliegenden Falles einer Verletzung im Recht auf Auskunft durch einen Auftraggeber des privaten Bereichs – der Datenschutzbehörde nur die Kompetenz zur Erlassung von Feststellungsbescheiden einräumt, war das Mehrbegehren spruchgemäß zurückzuweisen.
Zu Spruchpunkt 2:
Gemäß § 27 Abs. 1 DSG 2000 hat jeder Auftraggeber unrichtige oder entgegen den Bestimmungen des DSG 2000 verarbeitete Daten richtig zu stellen oder zu löschen, und zwar aus eigenem, sobald ihm die Unrichtigkeit der Daten oder die Unzulässigkeit der Verarbeitung bekannt geworden ist, oder auf begründeten Antrag des Betroffenen.
In der Systematik des § 27 DSG 2000 kommt zum Ausdruck, dass das subjektive Recht auf Löschung oder Richtigstellung jedenfalls (zunächst) im Wege eines Antrages an den Auftraggeber durchzusetzen ist (vgl. das Erkenntnis des Verwaltungsgerichtshofes vom 6. Juni 2007, Zl. 2001/12/0004). Ein solcher Antrag hat gemäß § 27 Abs. 1 Z 2 DSG 2000 eine Begründung zu enthalten, die den in Abs. 1 angeführten Umständen entspricht (vgl. Dohr/Pollirer/Weiss/Knyrim , DSG² (15. Erg.-Lfg. 2013) § 27 Anm. 6). Der Betroffene hat also in seiner Begründung die Unrichtigkeit der Daten oder die Unzulässigkeit der Verarbeitung anzuführen (vgl. Jahnel , Datenschutzrecht (2010) Rz 7/66).
Ein Löschungsbegehren gemäß § 27 Abs. 1 Z 2 DSG 2000 erfordert somit ein höheres Maß an Präzisierung, als es der Beschwerdeführer in seinem Schreiben vom 19. Dezember 2013 zum Ausdruck gebracht hat. Dieses Ersuchen bezog sich auf die Löschung aller sensiblen Daten und enthielt keine (auch nur ansatzweise) Begründung dahingehend, warum eine Löschung dieser Daten begehrt werde.
Dass der Beschwerdeführer in seiner Stellungnahme vom 19. Mai 2014 ausgeführt hat, welche konkreten Daten aus welchen rechtlichen Gründen seiner Ansicht nach zu löschen seien, vermag daran nichts mehr zu ändern, dass das ursprüngliche Löschungsbegehren nicht gesetzeskonform gestellt wurde.
Die Datenschutzbehörde hat nämlich darüber zu entscheiden, ob auf ein zeitlich dem Beschwerdeverfahren nach § 31 Abs. 2 DSG 2000 zwingend vorausgehendes Löschungsbegehren dem Gesetz entsprechend reagiert worden ist. Ein an die Datenschutzbehörde an Stelle der Beschwerdegegnerin gerichtetes, präzisiertes und begründetes Löschungsbegehren geht daher ins Leere (vgl. in diesem Sinne den Bescheid der Datenschutzkommission vom 22. Mai 2013, GZ K121.928/0005-DSK/2013). Die Beschwerdegegnerin hat die vom Beschwerdeführer begehrte Löschung mit Schreiben vom 14. März 2014 daher schon allein auf Grund der mangelnden Begründung des Löschungsbegehrens zu Recht abgelehnt.
Der Vollständigkeit halber sei erwähnt, dass die Verpflichtung des Auftraggebers, aus eigenem Daten zu löschen, kein subjektives Recht des Betroffenen begründet und eine allfällige Verletzung dieser Pflicht in einem Verfahren nach § 31 Abs. 2 DSG 2000 daher nicht geltend gemacht werden kann (vgl. das bereits zitierte Erkenntnis des Verwaltungsgerichtshofes vom 6. Juni 2007) .
Aus diesen Erwägungen war die Beschwerde als unbegründet abzuweisen.