GZ: 2020-0.697.744 vom 12. November 2020 (Verfahrenszahl: DSB-D124.564)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Ferdinand A*** (Beschwerdeführer) vom 6. Mai 2019 (ha. eingelangt am 9. Mai 2019) gegen das Arbeitsmarktservice Österreich (Beschwerdegegner) wegen Verletzung im Recht auf Auskunft (unvollständige Auskunft) wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen .
Rechtsgrundlagen : Art. 2 Abs. 1, Art. 4 Z 1, Z 2 und Z 6, Art. 15, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 4 Abs. 5, sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; § 1 des Arbeitsmarktservicegesetzes – AMSG, BGBl. Nr. 313/1994 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit verfahrenseinleitender Eingabe vom 6. Mai 2019 (ha. eingelangt am 9. Mai 2019) bringt der Beschwerdeführer zusammengefasst vor, dass ihn der Beschwerdegegner durch Erteilung einer unvollständigen Auskunft in seinem Recht auf Auskunft gemäß Art. 15 DSGVO verletzt habe. Der Beschwerdeführer habe am 26. September 2018 einen Auskunftsantrag an den Beschwerdegegner gestellt, welcher von diesem mit Schreiben vom 5. Oktober 2018 und unter Beilage eines Konvoluts an Dokumenten beantwortet worden sei. Nach Durchsicht der erteilten Auskunft habe der Beschwerdeführer festgestellt, dass die übermittelten Informationen nicht vollständig seien, da Frau Dr. Ulrike B*** dem Beschwerdeführer mitgeteilt habe, dass sich in ihrem Datenauszug ebenfalls Daten des Beschwerdeführers mehrfach wiederfinden würden. Dieser Umstand sei jedoch von dem Beschwerdegegner nicht beauskunftet worden. Auf Nachfrage der Datenschutzbehörde im Rahmen einer Mangelbehebung (Schreiben der Datenschutzbehörde vom 25. Juni 2019) teilte der Beschwerdeführer mit Schreiben vom 8. Juli 2019 (ha. eingelangt am 10. Juli 2019) mit, dass Frau Dr. Ulrike B*** eine Kundin des Beschwerdegegners sei und in ihren Datensätzen die personenbezogenen Daten des Beschwerdeführers deshalb aufscheinen würden, weil der Beschwerdeführer Frau Dr. Ulrike B*** bei einigen ihrer Termine, welche sie beim Beschwerdegegner wahrgenommen hätte, als Rechtsbeistand iSd § 10 Abs. 5 AVG unterstützt habe.
2. Mit Stellungnahme vom 1. Oktober 2019 (eingelangt am 2. Oktober 2019) brachte der Beschwerdegegner zusammengefasst vor, dass es richtig sei, dass sich der Name des Beschwerdeführers im Datensatz der Frau Dr. Ulrike B*** wiederfinde. Das Datum „Name“ sei dem Beschwerdeführer beauskunftet worden. Weitere Informationen - wie etwa der Kontext, dass der Beschwerdeführer in Betreuungsgesprächen des Beschwerdegegners mit Frau Dr. Ulrike B*** als deren „Rechtsbeistand“ fungiert habe, seien verfahrensbezogene Daten der Frau Dr. Ulrike B*** und als solche deren Datensatz und nicht jenem des Beschwerdeführers zugeordnet, weswegen diese Informationen einzig Dr. Ulrike B*** im Rahmen der ihr zustehenden Akteneinsicht zu beauskunften wären. Bezüglich dieser Informationen sei zudem der sachliche Anwendungsbereich der DSGVO nicht eröffnet, da weder nach den - im Datensatz der Frau Dr. Ulrike B*** - gespeicherten Informationen des Beschwerdeführers im System gesucht werden könne, noch der Datensatz der Dr. Ulrike B*** selbst durch die personenbezogenen Daten des Beschwerdeführers in irgendeiner Weise strukturiert sei. Vielmehr würden die personenbezogenen Daten des Beschwerdeführers (im Datensatz der Dr. Ulrike B***) als unstrukturierte Informationen verarbeitet und sei daher – wie auch bei einer manuellen Verarbeitung – der Anwendungsbereich der DSGVO mangels Vorliegens eines Dateisystems nach Art. 4 Z 6 leg. cit. ausgeschlossen. Da Informationen über Personen in ihren Funktionen als Beteiligte in einem Verfahren vor dem Beschwerdegegner in vielerlei Formen und Feldern von Datensätzen auftreten können, sei die vom Beschwerdeführer geforderte Auskunft nur mittels manueller Durchsuchung des gesamten Systems mit all seinen vernetzten Informationen möglich, da kein aktuell verfügbarer Mechanismus die Komplexität einer Personenbezogenheit bei und zwischen Daten feststellen könne. Es müsste vielmehr der Umstand, dass jemand als Verfahrensbeteiligter in einem Verfahren einer anderen Person in Erscheinung tritt, vom Beschwerdegegner jedes Mal manuell auch in den Datensatz des jeweiligen Verfahrensbeteiligten eingepflegt werden. Dies sei nicht nur mit einem enormen Aufwand verbunden, sondern würden sich dadurch auch weitere Problemfelder eröffnen, beispielsweise wenn der Verfahrensbeteiligte selbst beim Beschwerdegegner noch nicht vorgemerkt sei, für ihn daher noch kein Datensatz vorliege und ein solcher in weiterer Folge allein hierfür anzulegen wäre. Die Vornahme eines solchen Aufwandes sei weder der DSGVO zu entnehmen (Art. 11 DSGVO), noch könne dies im Hinblick auf den Grundsatz der Datenminimierung eine denkmögliche Intention des Auskunftsrechts sein. Darüber hinaus würde der damit verbundene exzessiv erhöhte Verwaltungsaufwand die Aufgabenerfüllung des Beschwerdegegners gefährden. Nach Meinung des Beschwerdegegners käme insofern auch eine Einschränkung des Auskunftsrechts gemäß § 4 Abs. 5 DSG in Frage. Selbst wenn jedoch ein derartiges Auskunftsrecht aus einem fremden Datensatz bejaht werden würde, so dürften dennoch die Rechte und Freiheiten anderer Personen nach Art. 15 Abs. 4 DSGVO nicht beeinträchtigt werden. Dies würde aber der Fall sein, wenn Informationen aus dem Datensatz von Dr. Ulrike B*** beauskunftet würden. Eine allfällige manuelle Schwärzung der fremden Daten wäre bei mehreren hundert Seiten vom Aufwand her nicht zu rechtfertigen und scheitere eine technische Lösung an der Prämisse der einwandfreien und sicheren Identifikation des Personenbezugs von Daten. Die vom Beschwerdegegner erteilte Auskunft sei im Ergebnis vollständig und rechtmäßig gewesen und entspräche insoferne auch der gesetzlichen Verpflichtung zur Wirtschaftlichkeit, Sparsamkeit und Zweckmäßigkeit nach § 31 Abs. 5 AMSG, weswegen insgesamt beantragt werde, dass die Datenschutzbehörde die Beschwerde als unbegründet abweisen möge.
3. Im Rahmen des gewährten Parteiengehörs brachte der Beschwerdeführer zusammengefasst mit Schreiben vom 28.11.2019 (ha. eingelangt am 3. Dezember 2019) vor, dass es sachlich unrichtig sei, wenn der Beschwerdegegner argumentiere, die personenbezogenen Daten des Beschwerdeführers würden als unstrukturierte Informationen verarbeitet werden, denn alle Daten seien in der Struktur des Datenbanksystems abgelegt. Ein relationales Datenbanksystem mit der zugehörigen Anwendung stelle auch eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten iSd Art. 2 Abs. 1 DSGVO dar. Ebenso sei die Behauptung des Beschwerdegegners, das Kriterium der Personenbezogenheit wäre komplex und durch aktuell verfügbare Mechanismen nicht feststellbar, unrichtig. Vielmehr sei es eine für jedermann leicht erfassbare Tatsache, dass eine etwaige Personenbezogenheit von Daten in einem Text sich zuallererst in der Nennung des Personennamens manifestiere. Ebenso sei es sachlich unrichtig, dass gespeicherte Informationen im IT-System des Beschwerdegegners nicht gesucht werden können, da auf der Datenbankebene sehr wohl nach allen gespeicherten Informationen gesucht werden könne, zumal dies geradezu der ureigenste Sinn von Datenbanksystemen sei. Dies könne der Beschwerdeführer als Software-Architekt mit zwanzigjähriger Expertise in der Konzeption, Implementierung und Wartung von IT-Systemen - wie jenen des Beschwerdegegners - jederzeit beweisen. Ebenso gehe der vom Beschwerdegegner vorgebrachte Einwand, die Durchführung einer Suche bzw. die Implementierung einer Suchfunktion nach personenbezogenen Daten im IT-System würde dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO entgegenstehen, ins Leere, da die Implementierung einer derartigen Suchfunktion in keiner Weise die Menge der personenbezogenen Daten im IT-System vermehre. Der vom Beschwerdegegner vorgebrachte Einwand, die Erteilung von – nach Meinung des Beschwerdeführers – DSGVO konformen Datenauskünften würde die Erfüllung der ihm gesetzlich übertragenen Aufgaben gefährden, da es den Verwaltungsaufwand exzessiv erhöhen würde, stimme nicht, da eine ordentliche und technisch leicht realisierbare Suchfunktion im IT-System des Beschwerdegegners den Verwaltungsaufwand für – nach Meinung des Beschwerdeführers – DSGVO konforme Datenauskünfte – erst ermöglichen und enorm reduzieren würde. Im Ergebnis sei es dem Beschwerdegegner daher möglich, Datenauskünfte so zu erteilen, dass diese DSGVO konform seien. Der Beschwerdegegner müsse jedoch hierzu sein IT-System entsprechend anpassen. Der Beschwerdeführer stelle daher den Antrag, dass die Datenschutzbehörde dem Beschwerdegegner auftragen möge, das Entity Relationship Diagramm seines IT-Systems vorzulegen, den Namen des Anbieters und die Versionsbezeichnung seines Datenbanksystems offenzulegen, damit der Beschwerdeführer ein Datenbankskript vorbereiten könne, welches beweise, dass auf der Datenbankebene sehr wohl nach allen gespeicherten Informationen gesucht werden könne.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen des Beschwerdeführers ist der Beschwerdegegenstand die Frage, ob der Beschwerdegegner den Beschwerdeführer durch Erteilung einer unvollständigen Auskunft im Recht auf Auskunft verletzt hat.
C. Sachverhaltsfeststellungen
Der Beschwerdeführer ist Kunde, Dr. Ulrike B*** ist Kundin des Beschwerdegegners. Der Beschwerdeführer hat darüber hinaus Dr. Ulrike B*** bei einigen Terminen vor dem Beschwerdegegner begleitet.
Der Beschwerdeführer hat am 26. September 2018 ein pauschales Auskunftsverlangen an den Beschwerdegegner gerichtet, das der Beschwerdegegner mit Schreiben vom 5. Oktober 2018 beantwortet hat, wobei dem Schreiben ein 146 Seiten umfassendes Konvolut mit den – den Beschwerdeführer betreffenden –Datenauszügen beigefügt war.
In dem bezogenen Schreiben des Beschwerdegegners wurde unter anderem der Name des
Beschwerdeführers wie folgt beauskunftet ( Formatierung nicht 1:1 wiedergegeben ):
Name
Titel: Mag.
Vorname: Ferdinand
Familien-/Nachname: A***
Beweiswürdigung : Die Feststellungen ergeben sich aus den insofern unstrittigen Parteienvorbringen samt dem beigefügten Schriftverkehr.
Unter zumindest einem - vom Beschwerdegegner zur Person der Dr. Ulrike B*** - elektronisch gespeicherten Datensatz findet sich der Name des Beschwerdeführers sowie ein Vermerk über seine funktionale Rolle als „Rechtsbeistand“ im Rahmen eines von Frau Dr. Ulrike B*** beim Beschwerdegegner wahrgenommenen Termins ( Formatierung nicht 1:1 wiedergegeben ):
29.03.2018 Informationen / Gesprächsnotizen / Vermerke
Kd. spricht mit Ihrem "Rechtsbeistand" vor - Hr. Ferdinand A***
NS El aufgenommen
Bewerbungsliste ausgegeben
neue Strategie mit kurzen Terminintervallen und intensiver Vermittlung erklärt
2 VV ausgegeben
Die Eintragung des Beschwerdeführers unter dem Datensatz von Dr. Ulrike B*** wurde vom Beschwerdegegner weder im Schreiben vom 5. Oktober 2018 noch im Laufe des bescheidgegenständlichen Verfahrens vor der Datenschutzbehörde beauskunftet.
Beweiswürdigung : Die Feststellung beruht auf dem – in der Eingabe des Beschwerdeführers vom 28. November 2019 (ha. eingelangt am 3. Dezember 2019) in Vorlage gebrachten – Datenauszug. Der Beschwerdegegner bestätigte in seiner Stellungnahme vom 1. Oktober 2019 ausdrücklich, dass sich der Name des Beschwerdeführers und der Kontext seiner funktionalen Rolle als „Rechtsbeistand“ im Datensatz der Frau Dr. Ulrike B*** wiederfinden.
D. In rechtlicher Hinsicht folgt daraus:
Der Beschwerdeführer releviert die fehlende Beauskunftung der Informationen / Vermerke des Beschwerdegegners als Rechtsbeistand betreffend seiner namentlichen Erwähnung im Datensatz / in den Datensätzen der Dr. Ulrike B*** als deren „Rechtsbeistand“ er fungierte.
D.1. Zum Personenbezug der behauptet unvollständig beauskunfteten Daten:
Gemäß Art. 4 Z 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen […] oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Der EuGH hat in Bezug auf Art. 2 lit. a der Richtlinie 95/46/EG bereits festgehalten, dass dem Begriff „personenbezogene Daten“ ein weites Verständnis zugrunde liegt. Demnach ist der Begriff nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt (vgl. das Urteil des EuGH vom 20. Dezember 2017, Rs Nowak, C-434/16).
Diese Überlegungen können auf die nunmehrige Rechtslage nach der DSGVO umgelegt werden, da die Begriffsdefinition von „personenbezogenen Daten“ gemäß Art. 2 lit. a der Richtlinie 95/46/EG sinngemäß in Art. 4 Z 1 DSGVO übernommen wurde.
Informationen „über“ eine bestimmte Person liegen u.a. dann vor, wenn sich Daten auf die Situation einer Person beziehen (vgl. die Stellungnahme der Art.-29-Datenschutzgruppe 4/2007 zum Begriff „personenbezogene Daten“, WP 136, 01248/07/DE, S. 10).
Davon ausgehend ist als Zwischenresümee festzuhalten, dass es sich beim Vermerk im Datensatz der Frau Dr. Ulrike B***, um ein personenbezogenes Datum gemäß Art. 4 Z 1 DSGVO handelt. Es liegen nämlich insofern (auch) Informationen „über“ den Beschwerdeführer vor, als anhand dieser Informationen, verknüpft mit seinem Namen, auf seine funktionale Rolle als Rechtsbeistand geschlossen werden kann.
D.2. Zum sachlichen Anwendungsbereich der DSGVO für den Aktenvermerk/Notizen unter dem Datensatz von Dr. Ulrike B***
Der Beschwerdegegner bezweifelt in seiner Argumentation den sachlichen Anwendungsbereich der DSGVO betreffend des in Rede stehenden Datensatzes, wenn er in seiner Stellungnahme anführt, dass die beschwerdegegenständliche Information als unstrukturierte Information unter dem Datensatz von Dr. Ulrike B*** verarbeitet und daher – wie auch bei einer manuellen Verarbeitung – der Anwendungsbereich der DSGVO mangels Vorliegens eines Dateisystems nach Art. 4 Z 6 leg. cit. ausgeschlossen sei.
Art 2 DSGVO normiert den sachlichen Anwendungsbereich der DSGVO. Art. 2 Abs. 1 DSGVO spricht von „ganz oder teilweise automatisierte[r] Verarbeitung personenbezogener Daten sowie nicht automatisierte[r] Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“ (vgl. Heißl in Knyrim [Hrsg.], DatKomm, Art 2 DSGVO, Rz. 44).
Die Verarbeitung definiert Art. 4 Z 2 DSGVO als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ .
Unter einem Dateisystem versteht Art. 4 Z 6 DSGVO „ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.
Es muss daher ein bestimmtes Kriterium geben, nach denen eine Sammlung zugänglich ist, wie etwa Name, Anschrift oder Geschlecht bzw. muss es sich um eine planmäßige Zusammenstellung einzelner Angaben handeln, die einen inneren Zusammenhang aufweisen (vgl. Hödl in Knyrim [Hrsg.], DatKomm, Art. 4 DSGVO, Rz 72).
Soweit nun der Beschwerdegegner vermeint, dass die – durchaus glaubwürdig – erscheinende, mangelnde Strukturierung und Nichtauffindbarkeit der – unter dem Datensatz von Dr. Ulrike B*** – abgebildeten Information der Einschränkung des sachlichen Anwendungsbereichs von Art. 2 Abs. 1 DSGVO unterliege, verkennt er, dass diese Einschränkung ausschließlich bei nichtautomatisierten Verarbeitungen – also rein manuellen Verarbeitungen – zur Anwendung kommt (vgl. Kühling Buchner, Kommentar zur Datenschutz-Grundverordnung , Art. 2 DSGVO, Rz 17, vgl. hierzu auch den Bescheid der Datenschutzbehörde vom 14. Jänner 2019, GZ: DSB-D123.224/0004-DSB/2018). Dass es sich um eine rein manuelle Verarbeitung handelt, wurde aber selbst vom Beschwerdegegner nicht angeführt.
Als Zwischenresümee kann folglich festgehalten werden, dass der sachliche Anwendungsbereich der DSGVO, entgegen der Ansicht des Beschwerdegegners, im Ergebnis eröffnet ist.
D.3. Zum Auskunftsrecht
a. Gemäß Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und soweit dies der Fall ist, Auskunft über diese personenbezogenen Daten zu erhalten sowie Anspruch auf die Informationen gemäß lit. a bis h leg. cit.
Art. 15 Abs. 1 DSGVO lautet (Hervorhebungen durch die Datenschutzbehörde):
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
In der englischen Version der DSGVO lautet Art. 15. Abs. 1, 1. Satz „ The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed , and, where that is the case, access to the personal data and the following information: (…)“
Eine ähnliche Formulierung findet sich in Erwägungsgrund 63, 1. Satz leg. cit., wenn zu lesen ist
„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“
Wie die Datenschutzbehörde in ihrem Bescheid vom 18. April 2019, GZ D122.913/0001-DSB/2019, ausgesprochen hat, ist eine Auskunft gemäß Art. 15 DSGVO auf eigene Daten beschränkt, also auf Daten, die - dem Wortlaut des Art. 15 Abs. 1 DSGVO zufolge - „sie - dh. die betroffene Person - betreffende personenbezogene Daten“ sind. Daher besteht grundsätzlich auch weiterhin kein Recht auf Auskunft über die personenbezogenen Daten Dritter, soweit im Einzelfall nicht besondere Gründe dafür sprechen (vgl. dazu bspw. den Bescheid vom 6. Juni 2018, GZ DSB-D122.829/0003-DSB/2018).
Die Datenschutzbehörde vertritt dazu die Meinung, dass es sich bei den Aktenvermerken/Notizen unter dem Datensatz der Dr. Ulrike B***, wonach der Beschwerdeführer als „Rechtsbeistand“ bei Terminen fungiert habe, zumindest nicht den Beschwerdeführer unmittelbar betreffende Daten handelt . Vielmehr scheint der Name des Beschwerdeführers in einem - Dr. Ulrike B*** betreffenden - Datensatz auf, um in einer Aktenvermerk-ähnlichen Form die Anwesenheit des Beschwerdeführers als „Rechtsbeistand“ für Dr. Ulrike B*** gemäß § 10 Abs. 5 AVG bei einem Termin zu dokumentieren.
Die Datenschutzbehörde sieht daher mangels den Beschwerdeführer betreffende Daten - mögen diese auch durch die Namensnennung des Beschwerdeführers personenbezogen sein - keine Auskunftspflichtsverletzung des Beschwerdegegners im Sinne des Art. 15 Abs. 1 DSGVO. Auch liegen diesfalls keine besonderen Gründe, vor die in diesem Einzelfall für eine Auskunft sprechen würden, insbesondere da dem Beschwerdeführer seine Anwesenheit als „Rechtsbeistand“/Begleitung für Dr. Ulrike B*** während der Termine beim Beschwerdegegner bewusst war und er damit rechnen musste, dass seine Anwesenheit dokumentiert wurde.
b. Doch selbst wenn man dieser Ansicht der Datenschutzbehörde nicht folgen würde und vermeint, dass die unter dem Datensatz von Dr. Ulrike B*** aufscheinenden Daten den Beschwerdeführer betreffenden Daten seien, erweist sich die Beschwerde aufgrund der nachfolgenden Erwägungen als unbegründet:
Um die vom Beschwerdeführer verlangten Daten in der Verarbeitung des Beschwerdegegners finden und beauskunften zu können, ist es erforderlich, zu wissen, dass der Beschwerdeführer im Rahmen eines von Frau Dr. Ulrike B*** beim Beschwerdegegner wahrgenommenen Beratungsgespräch als deren „Rechtsbeistand“ zugegen war, um in weiterer Folge nach diesem Umstand unter dem Datensatz der Dr. Ulrike B*** die diesbezüglichen Informationen/Dokumentation/Aktenvermerke zu suchen. Alternativ – ohne Angaben des Beschwerdeführers – hätte der Beschwerdegegner sämtliche Datensätze aller seiner bestehenden und vormaligen Kunden und der darunter befindlichen Informationen manuell durchsuchen müssen, um die diesbezüglichen Informationen aufzufinden.
Im gegenständlichen Fall beruft sich der Beschwerdegegner in diesem Zusammenhang auf die Ausnahme gemäß § 4 Abs. 5 DSG, wonach das Recht auf Auskunft gemäß Art. 15 DSGVO gegenüber einem hoheitlich tätigen Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen dann nicht besteht, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wäre.
Der Beschwerdegegner ist in Bezug auf die gegenständlichen Verarbeitungen zweifelsohne als Verantwortlicher des öffentlichen Bereichs anzusehen (vgl. Gerhartl in Jahrbuch Sozialversicherungsrecht 2018, Datenschutz und Arbeitslosenversicherung, 113, Seite 134 f).
§ 4 Abs. 5 DSG berechtigt hoheitlich tätige Verantwortliche zur Ablehnung bzw. auch Teilablehnung einer Auskunft , wenn andernfalls die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird (vgl. Thiele/Wagner [Hrsg.], Praxiskommentar zum Datenschutzgesetz, § 4, Rz. 83).
Der Beschwerdegegner verarbeitet eine große Menge an Informationen über den Beschwerdeführer, da dieser seit dem Jahr 1989 wiederkehrend Dienstleistungen des Beschwerdegegners in Anspruch nimmt, was sich auch aus dem 146 Seiten umfassenden Datenauszug, den der Beschwerdegegner im Rahmen der Auskunftserteilung an den Beschwerdeführer versandt hat, erhellt.
Aufgrund der glaubwürdigen Ausführungen des Beschwerdegegners, wonach eine Auffindung der releviert unvollständigen Auskunft das Durchsuchen sämtlicher Datensätze aller bestehenden und vormaligen Kunden und der darunter befindlichen Informationen erfordert hätte, sieht die Datenschutzbehörde eine allgemeine (und nicht nur die konkrete Datenauskunft des Beschwerdeführers betreffende) Gefährdung der - dem Verantwortlichen gemäß § 1 Abs. 1 AMSG übertragenen - Aufgaben der Durchführung der Arbeitsmarktpolitik des Bundes als gegeben an, wenn die Auskunftsverpflichtung mit einer derart weitgehenden Verpflichtung zur manuellen Durchsuchung des gesamten Kundenbestandes verbunden ist.
c. Sofern der Beschwerdeführer im Weiteren begehrt, die Datenschutzbehörde möge dem Beschwerdegegner auftragen, das Entity Relationship Diagramm seines IT-Systems vorzulegen, sowie den Namen des Anbieters und die Versionsbezeichnung seines Datenbanksystems offenzulegen, damit dem Beschwerdeführer zum Beweis, dass auf der Datenbankebene im IT-System des Beschwerdegegners nach allen gespeicherten Informationen gesucht werden kann, ist dies nach Ansicht der Datenschutzbehörde als Mutmaßung des Beschwerdeführers zu werten. Ein allgemeines Vorbringen, das aus Mutmaßungen besteht, läuft auf einen unzulässigen Erkundungsbeweis hinaus, zu dessen Aufnahme die Datenschutzbehörde nicht verpflichtet ist (vgl. das Erkenntnis des VwGH vom 3. Jänner 2018, Ra 2017/11/0207, Rs. 3).
Es war daher spruchgemäß zu entscheiden.
RIS