GZ: DSB-D215.814/0003-DSB/2015 vom 01.07.2015
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
EMPFEHLUNG
Die Datenschutzbehörde spricht aus Anlass der Eingabe des Rolf B*** (Einschreiter) vom 5. Juni 2015 betreffend Stand des Datenverarbeitungsregisters (kurz: DVR) folgende Empfehlung an die J***-Komm-Netzsysteme Gesellschaft m.b.H. in **** H***hausen (DVR: 0*3*7*9, im Folgenden auch kurz: Auftraggeberin) aus:
1. Die Auftraggeberin möge durch eine Änderungsmeldung die Datenanwendung (kurz: DAN) mit der Bezeichnung „Verarbeitung und Speicherung von Vorratsdaten gemäß 102a ff iVm 94 TGK iVm DSVO sowie Übermittlung in verschlüsselten und gesicherten Dateiformaten an die Strafverfolgungs- und Sicherheitsbehörden über die Durchlaufstelle gemäß DSVO“ , DAN: 0*3*7*9/0002, aus dem DVR streichen lassen.
2. Die Auftraggeberin möge durch eine Änderungsmeldung ihre Bezeichnung (Firma) im DVR von „J***-Komm-Netzsysteme AG“ auf „J***-Komm-Netzsysteme Gesellschaft mit beschränkter Haftung“ oder eine entsprechende, firmenrechtlich zulässige Abkürzung richtigstellen.
3. Für die Umsetzung dieser Empfehlung wird eine Fr i s t von drei Tagen gesetzt.
Rechtsgrundlagen: § 17 Abs. 1 und 1a und § 22 Abs. 1 DSG 2000, BGBl. I Nr. 165/1999 idgF, iVm der Kundmachung des Bundeskanzlers über die Aufhebung von Bestimmungen des Telekommunikationsgesetzes 2003, der Strafprozeßordnung 1975 und des Sicherheitspolizeigesetzes durch den Verfassungsgerichtshof, BGBl. I Nr. 44/2014.
Gründe für diese Empfehlung
A. Vorbringen der Beteiligten und Verfahrensgang
Der Einschreiter wandte sich am 5. Juni 2015 mit einer Eingabe nach § 30 Abs. 1 DSG 2000 an die Datenschutzbehörde und rügte darin eine mögliche Pflichtenverletzung der Auftraggeberin. In deren DVR-Eintragung finde sich weiterhin eine DAN betreffend Vorratsdatenspeicherung (kurz: VDS). Diese Eintragung sei von der Auftraggeberin auch auf Vorhalt des Einschreiters nicht gelöscht worden, die DAN sei weiter „aktiv“ . Damit habe die Auftraggeberin gegen die datenschutzrechtliche Meldepflicht verstoßen.
Die Datenschutzbehörde ersuchte die Auftraggeberin daraufhin mit Schreiben vom 9. Juni 2015 um Stellungnahme und bezeichnete die Beibehaltung einer DAN mit dem Zweck VDS als „irreführend“ und „begründungsbedürftig“ .
Die Auftraggeberin brachte dazu mit Stellungnahme vom 15. Juni 2015 vor, sie habe die DAN nicht streichen lassen, weil die für Zwecke der VDS eingerichtete technische Durchlaufstelle weiterhin benützt werde und die entsprechende Verordnung (DSVO) weiter in Geltung stehe. Die Bezeichnung der DAN sei allerdings irreführend. Jedenfalls speichere die Auftraggeberin keine Vorratsdaten mehr.
Der Einschreiter brachte dazu, nach Gehör zu den Ergebnissen des Ermittlungsverfahrens, vor, es sei nicht klar, welche anderen Daten als für Zwecke der VDS verarbeitete die Auftraggeberin über die Durchlaufstelle übermittle und ob dafür eine DAN mit dem angegebenen Zweck registriert bleiben müsste.
B. Sachverhaltsfeststellungen
Die Auftraggeberin ist, noch unter der seit 8. Dezember 2012 (Umwandlung der Aktiengesellschaft in eine Gesellschaft mit beschränkter Haftung, Eintragung im Firmenbuch) geänderten Firma und Rechtsform „J***-Komm-Netzsysteme AG“ (FN: 3*6*0*p) unter der Registernummer DVR: 0*3*7*9 im DVR eingetragen.
Am 30. September 2012 hat die Auftraggeberin eine DAN mit der Bezeichnung „Verarbeitung und Speicherung von Vorratsdaten gemäß 102a ff iVm 94 TGK iVm DSVO sowie Übermittlung in verschlüsselten und gesicherten Dateiformaten an die Strafverfolgungs- und Sicherheitsbehörden über die Durchlaufstelle gemäß DSVO“ der früheren Datenschutzkommission gemeldet, die am 26. Mai 2014 von der Datenschutzbehörde im DVR registriert worden ist (DAN: 0*3*7*9/0002).
Beide Eintragungen waren am 30. Juni 2015 unverändert im DVR öffentlich abrufbar.
Gemäß der am 30. Juni 2014 erfolgten Kundmachung des Bundeskanzlers über die Aufhebung von Bestimmungen des Telekommunikationsgesetzes 2003, der Strafprozeßordnung 1975 und des Sicherheitspolizeigesetzes durch den Verfassungsgerichtshof, BGBl. I Nr. 44/2014, endete die Pflicht der Auftraggeberin, Vorratsdaten zu speichern, mit Ablauf des Tages der Kundmachung.
Beweiswürdigung : Diese Feststellungen stützen sich auf das offene DVR, die Akten dieses Verfahrens, das Firmenbuch bzw. Unternehmensregister sowie die Stellungnahme der Auftraggeberin vom 15. Juni 2015 und den Aktenvermerk vom 18. Juni 2015 über ein Telefongespräch zwischen Mag. Michael Suda von der Datenschutzbehörde und Mag. Carl Ü*** von der Rechtsabteilung der Auftraggeberin.
C. In rechtlicher Hinsicht folgt daraus:
Die Auftraggeberin hat zweimal ihre datenschutzrechtliche Meldepflicht gemäß § 17 Abs. 1 DSG 2000 vernachlässigt.
Gemäß der zitierten Gesetzesbestimmung hat jeder Auftraggeber auch „Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken“ , durch Änderungsmeldung ins DVR eintragen zu lassen.
Daraus folgt, dass jeder datenschutzrechtliche Auftraggeber jederzeit für die Richtigkeit und Vollständigkeit aller ihn betreffenden Daten im DVR, wie diese als Inhalte des DVR in den Anlagen 1 bis 3 zur DVRV 2012 vorgesehen sind, einstehen muss. Änderungen muss er unverzüglich selbst gemäß § 17 Abs. 1a DSG 2000 über die Internetanwendung DVR-Online melden. Der Auftraggeber darf sich dabei nicht darauf verlassen, dass der Datenschutzbehörde Änderungen gemäß § 22 Abs. 2 DSG 2000 bekannt werden, oder dass die Datenschutzbehörde auf bloßen Verdacht hin entsprechende Ermittlungen anstellt und amtswegige Richtigstellungen im DVR vornimmt.
Dies gilt hier zunächst für Änderungen der Rechtsform und damit der Firma einer Kapitalgesellschaft (Punkt 2. der Empfehlung).
Der Zweck der DAN 0*3*7*9/0002, nämlich die gesetzlich angeordnete, anlasslose und bloß durch einen Fristenlauf begrenzte Speicherung von Daten gemäß § 102a TKG 2003 idF BGBl. I Nr. 27/2011, ist durch die Aufhebung insbesondere der zitierten Gesetzesbestimmung durch den Verfassungsgerichtshof gemäß BGBl. I Nr. 44/2014 ab 1. Juli 2014 weggefallen.
Das DVR dient insbesondere der „Publizität der Datenanwendungen“ (Überschrift des 4. Abschnitts des DSG 2000 vor § 16). Darunter ist zu verstehen, dass das DVR jedermann ein wahrheitsgemäßes, der Realität der meldepflichtigen Datenverwendung durch einen datenschutzrechtlichen Auftraggeber bestmöglich angenähertes Bild bieten soll. Derzeit erweckt der Stand des DVR den Eindruck, die Auftraggeberin würde weiterhin die VDS vollziehen, was einen gesetzwidrigen Eingriff in das Grundrecht auf Datenschutz einer Vielzahl von Personen darstellen würde.
DAN, die ausschließlich einem speziellen, gesetzlich festgelegten Zweck dienen, sind daher nach Wegfall dieses Zwecks bzw. der Rechtsgrundlage unverzüglich durch Änderungsmeldung gemäß § 22 Abs. 1 DSG 2000 zu streichen (Punkt 1. der Empfehlung).
Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Eine Frist von 3 Tagen scheint angesichts der Einfachheit der vorzunehmenden Änderungsmeldungen, der Möglichkeit, diese mittels der verpflichtend zu verwendenden Internetanwendung DVR-Online vorzunehmen, sowie der Tatsache, dass die Datenschutzbehörde bereits bei Einleitung dieses Verfahrens ihre rechtlichen Bedenken gegen den Stand des DVR mitgeteilt hat, angemessen.
RIS