2024-0.112.476 – Datenschutzbehörde Entscheidung
Text
GZ: 2024-0.112.476 vom 26. September 2024 (Verfahrenszahl: DSB-D124.3492)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
Der Name der Beschwerdegegnerin wurde nicht pseudonymisiert, da er aus Rechtsgrundlagen der Entscheidung (insbesondere §§ 3 und 16a BStMG) hervorgeht.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der A*** GmbH (Beschwerdeführerin) vom 18. Jänner 2021 gegen die ASFINAG Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft (Beschwerdegegnerin), vertreten durch B*** und C*** Rechtsanwälte GmbH, wegen Verletzung im Recht auf Geheimhaltung wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen .
Rechtsgrundlagen : Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; §§ 16a, 19a ff Bundesgesetz über die Mauteinhebung auf Bundesstraßen (Bundesstraßen-Mautgesetz 2002 – BStMG).
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Eingabe vom 18. Jänner 2021, verbessert mit Eingabe vom 11. März 2021, behauptete die Beschwerdeführerin im Wesentlichen eine Verletzung im Recht auf Geheimhaltung und brachte zusammengefasst vor, dass die Verletzung aufgrund einer unzulässigen Speicherung jeder einzelnen Mautdurchfahren, im Rahmen der Streckenmaut, verursacht werde. Bei der Streckenmaut handle es sich um eine rein zeitbezogene Abrechnungsbasis. Die einzelnen Durchfahrten seien für die Abrechnung weder der Anzahl nach noch dem Zeitpunkt nach relevant. Diese Art und der Umfang der gespeicherten Daten seien jedoch geeignet sehr detaillierte Bewegungsprofile eines Fahrzeuges zu erstellen. Die digitale Vignette speichere demgegenüber jedoch keine Daten, was zeige, dass derartige Speicherungen jedenfalls nicht notwendig seien.
Der Beschwerde war eine Zeitkarte für das Kennzeichen „AT Ü**4*X“ im Zeitraum vom 6. Jänner 2020 bis 18. Dezember 2020 beigefügt.
Die Beschwerdeführerin gab auch an, dass die Zeitkarte mit dem angeführten Kennzeichen nur eines von vielen betroffenen Fahrzeugen sei und dieses nur exemplarisch herangezogen worden sei. Weiters falle die Speicherung der Daten nicht unter das Recht gem. § 16a Abs. 3 BStMG und somit verstoße die Beschwerdegegnerin auch gegen Art. 5 DSGVO. Zusammengefasst sei diese Speicherung von keiner gesetzlichen Grundlage gedeckt, beschränke sich nicht auf das erforderliche Minimum und sei insgesamt überschießend und somit als rechtswidrig zu qualifizieren.
2. Am 16. April 2021 langte die Stellungnahme der Beschwerdegegnerin bei der Datenschutzbehörde ein. Darin brachte die anwaltlich vertretene Beschwerdegegnerin zusammengefasst wie folgt vor:
Anfangs stellte die Beschwerdegegnerin fest, dass drei unterschiedliche Arten zur Mautentrichtung gegeben seien, die Vignette, die LKW-Maut (GO Maut) sowie die hier verfahrensgegenständliche Streckenmaut. Diese sei für einige ausgewählte Autobahnabschnitte zur Einhebung der Maut eingerichtet. Die Streckenmaut soll spezielle Bauten (Errichtungskosten und spezielle Bauten) refinanzieren, wobei man zwischen einer Einzelfahrt und Jahreskarte wählen könne. Die Streckenmaut erhebe beim jeweiligen Kontrollpunkt den Durchfahrtszeitpunkt eines spezifischen KFZ-Kennzeichens. Dieses System bestehe bereits seit vielen Jahren und bislang habe es keine Beschwerden im Zusammenhang dieser Datenverarbeitung gegeben.
Die Beschwerdegegnerin brachte auch vor, dass die Beschwerdeführerin als juristische Person – obwohl § 1 DSG auch für juristische Personen Anwendung finde – nur gewisse Teil-Rechte habe. Dahingehend könne sich die Beschwerdeführerin nicht auf die DSGVO-Rechte stützen. Die Beschwerdeführerin sei durch kamera-gestützte Erhebungen von Transaktionsdaten nicht in personenbezogenen Daten verletzt, da durch die Videoüberwachung denkunmöglich das Recht gem. § 1 DSG verletzt sein könne. Dies habe die DSB bereits zur GZ: DSB-D216.713/0006-DSB/2018 ausgesprochen.
Die Beschwerdegegnerin mache punktuelle und isolierte Bildaufnahmen des Kennzeichens. Die Beschwerdegegnerin habe jedenfalls die gegenständliche Datenverarbeitung auf überwiegend berechtigte Interessen gestützt. Die von der Beschwerdeführerin vorgebrachten Geheimhaltungsinteressen, dass ein Bewegungsprofil aufgenommen werde, sei nicht der Fall, da ausschließlich der Zeitpunkt des Auffahrens und nicht des Abfahrens erfasst werde. Die Eingriffsintensität sei auch sehr gering, da es sich um ein punktuelles Datum handle und dabei keine Daten unmittelbar auf eine Person zurückzuführen seien. Weiters sei die Verarbeitung auf das notwendig zeitliche Ausmaß beschränkt und werde lediglich das Kennzeichen ausgelesen. Außerdem sei das automationsunterstützte Kennzeichenerfassungssystem auch bei Garagen- und Parkplatzbetrieben in Betrieb.
§ 16a Abs. 3 BStMG bestimme, dass die Beschwerdegegnerin im Rahmen der Streckenmaut erforderliche Daten der vorgenommenen Fahrten erfasse und zur Verrechnung verwenden dürfe. Die Erhebung der betreffenden Daten sei jedenfalls erforderlich, um die Fahrten erfassen zu können.
Außerdem erhebe die Beschwerdegegnerin nicht nur aufgrund gesetzlicher Normen die Daten, sondern verarbeite diese auch aufgrund Interessen Dritter. Dies sei für den Nachweis der Abrechnungen bei Reklamationen, bei Betrugsbekämpfung, betreffend Statistiken zu den Durchfahren (Übersicht der Nutzung), für Anfragen von Behörden (z.B. Strafverfolgung) und als Durchfahrtsbestätigungen für Mautkunden notwendig.
Zusammengefasst sei die Interessenabwägung zu Gunsten der Interessen der Beschwerdegegnerin und Dritter gegenüber ausgefallen, da diese deutlich überwiegen.
3. Bezugnehmend auf die Stellungnahme des Beschwerdegegners brachte die Beschwerdeführerin in ihrem Parteiengehör 19. Juli 2021 sowie ergänzender Eingabe vom 20. Juli 2021, zusammengefasst vor, dass im Zuge der automatisierten Kontrolle der digitalen Vignette keine derartigen Daten von jedermann gespeichert werden. Es sei eine derartige Datenspeicherung nicht erforderlich. Weiters sei es irrelevant, ob es bisher derartige Beschwerden gegeben habe oder nicht. Außerdem verwehre sie sich mit einem Generalverdacht der „Mautprellerei“ in Verbindung gebracht zu werden. Es sei jedenfalls die Datenspeicherung betreffend nicht ordnungsgemäß entrichteter Mauten klar von der gegenständlichen Beschwerde zu unterscheiden. Im konkreten Fall werde die Durchfahrtszeit ohne Verdacht auf ordnungswidriges Verhalten grundlos gespeichert.
Betreffend das Argument der Beschwerdegegnerin, die Beschwerdeführerin sei eine juristische Person, entgegnete diese, dass eine juristische Person mangels Handlungsfähigkeit unmöglich ein Kraftfahrzeug lenken könne. Dahingehend sind sämtliche Fahrzeuglenker betroffen, jedoch seien alle Fahrzeuge auf die Beschwerdeführerin zugelassen. Die Beschwerdeführerin gehe dabei auch als Geschäftsführung einer juristischen Person ihren Fürsorgepflichten gegenüber ihren Mitarbeitern nach. Die erhobenen Daten der Beschwerdegegnerin seien jedenfalls geeignet, festzustellen, auf welcher Seite eines Tunnels sich Fahrzeuge überwiegend befinden, so sei auch eine „Section Control“ möglich.
Bei Garagen- und Parkplatzbetrieben werde die Einfahrt regelmäßig bzgl. Verrechnungen kontrolliert, hingegen sei gegenständlich die Anzahl der Benutzungen der Sondermautstrecken unerheblich. Im vorliegenden Fall sei die Durchfahrtskontrolle ausschließlich auf eine gültige Streckenmaut abzuzielen und die aufgenommenen / geprüften Daten können nach erfolgter Prüfung verworfen werden, wie es bei der digitalen Vignette praktiziert werde.
Das Argument der Einzelverrechnung sei nicht bei der Speicherung von einzelnen Durchfahrten notwendig. Die Ermächtigung zur Überprüfung werde nicht bestritten, jedoch die automationsgestützte Verarbeitung über einen längeren Zeitraum zu speichern.
Sollte fälschlicherweise von einem Delikt ausgegangen werden, so werde dies in einem Servicecenter manuell kontrolliert, jedoch könne man keine pauschale Speicherung ohne Verdacht vornehmen. Die Beschwerdegegnerin verstehe auch nicht, warum die Daten nicht anonymisiert gespeichert werden. Das Argument der Beschwerdegegnerin, dass Behörden Abfragen tätigen würden, widerlege die Beschwerdeführerin dahingehend, dass dies ohne richterlichen Beschluss jedenfalls nicht möglich sei.
Auskünfte von Mitarbeitern dürfen auch nicht bearbeitet werden, da auf diese die Fahrzeuge nicht zugelassen seien und auch nicht die Streckenmaut von ihnen bezahlt werde, weswegen diese kein Recht auf Auskunft haben.
Zusammengefasst sei die Erhebung von Daten rechtlich gedeckt, jedoch nicht die Speicherung, weswegen eine EU-rechtswidrige Vorratsdatenspeicherung stattfinde, mit der jedermann, der Zeitkarten nutze, unter Generalverdacht strafbarer Handlungen gestellt werde.
4. Mit Schreiben vom 27. Dezember 2022 ersuchte die Beschwerdeführerin um Bekanntgabe des Verfahrensstandes.
5. Mit Schreiben vom 8. Februar 2023 forderte die Datenschutzbehörde die Beschwerdegegnerin auf ergänzende Fragen zu beantworten und teilte ebenfalls mit Schreiben vom 8. Februar 2023 der Beschwerdeführerin den Verfahrensstand mit.
6. Mit Eingabe vom 1. März 2023 übermittelte die Beschwerdegegnerin eine ergänzende Stellungnahme und brachte zunächst vor, dass die beschwerdegegenständlichen Daten der Beschwerdeführerin nach wie vor gespeichert seien, allerdings ausschließlich zu Zwecken der Dokumentation und zur Wahrung von Rechtsansprüchen im Verfahren und nicht zu Zwecken der Abwicklung der Streckenmaut. In den Streckenmaut-Systemen seien die beschwerdegegenständlichen Daten der Beschwerdeführerin gelöscht worden. Weiters schlüsselte die Beschwerdegegnerin die Funktionsweise der Entrichtung der Streckenmautgebühr und die technischen Einrichtungen zur Kontrolle auf.
Abschließend nahm die Beschwerdegegnerin zum Vorbringen der Beschwerdeführerin Stellung, legte die rechtlichen Grundlagen der Mautentrichtung dar und begründete die Erforderlichkeit der Speicherung der Passage-Daten. Die Beschwerdegegnerin legte auch dar, weshalb kein Beschwerderecht juristischer Personen für Videoaufzeichnungen gegeben sei, und dass ein Arbeitgeber nicht das Grundrecht auf Datenschutz der Arbeitnehmer geltend machen könne. Die Beschwerdegegnerin bleibe überdies nicht bei den Fakten und unterstelle global rechtswidrige Verhaltensweise oder gar eine anlasslose Vorratsdatenspeicherung.
Zusammenfassend ergebe sich, dass die Beschwerdegegnerin die Daten im Rahmen der Streckenmaut im Einklang mit den gesetzlichen Vorgaben verarbeite und die Beschwerdeführerin nicht in Ihrem Recht auf Geheimhaltung gem. § 1 DSG verletzt sei, da die Vorwürfe der Beschwerdeführerin inhaltlich unzutreffend seien.
7. Mit Schreiben vom 9. Mai 2023 gewährte die Datenschutzbehörde der Beschwerdeführerin Parteiengehör und forderte die Beschwerdeführerin auf ergänzende Fragen zu beantworten.
8. Mit Eingabe vom 29. Mai 2023 übermittelte die Beschwerdeführerin eine Gegenstellungnahme und beantwortete die ergänzenden Fragen der Datenschutzbehörde. Zusammengefasst nutze die Beschwerdeführerin für alle KFZ Jahreskarten, die im Vorhinein gegen einen Pauschalbetrag erworben werden. Die Beschwerdegegnerin speichere unabhängig vom Prüfungsergebnis jede einzelne Durchfahrt und ermögliche die Erstellung eines Bewegungsprofiles jedes einzelnen Jahreskartenbesitzers. Bei Jahreskarten werde im Vorhinein ein Fixbetrag bezahlt; durch die Anzahl der Durchfahrten verändere sich an der Abrechnung nichts. Die erhobenen Daten seien für die Beschwerdegegnerin unerheblich. Die Beschwerdegegnerin widerspreche sich selbst hinsichtlich der Auskunftserteilung und habe im Verfahren selbst eingeräumt, dass mehrmals im Monat Daten an die Finanzbehörden auf Nachfrage der Finanzbehörden übermittelt würden. Die Beschwerdeführerin stellte auch den Antrag das rechtswidrige Verhalten der Beschwerdegegnerin zu erkennen und aufgrund des gewaltigen Umfanges der erhobenen Daten eine angemessene Verwaltungsstrafe gegen die Beschwerdegegnerin zu verhängen.
9. Mit Schreiben vom 5. September 2023 forderte die Datenschutzbehörde die Beschwerdegegnerin auf ergänzende Fragen zu beantworten und übermittelte die Eingabe der Beschwerdeführerin vom 29. Mai 2023 zum Parteiengehör.
10. Mit Stellungnahme vom 19. September 2023 beantwortete die Beschwerdegegnerin die von der Datenschutzbehörde gestellten Fragen und führte zusammengefasst aus, dass die Ausführungen der Beschwerdeführerin in ihrer Stellungnahme vom 29. Mai 2023 oftmals nicht nachvollziehbar und redundant seien. Die Beschwerdegegnerin verweise auf ihre Stellungnahmen vom 16. April 2021 und 1. März 2023 und stelle klar, dass die unterschiedliche Behandlung von Mautprellerei-Verdachtsfällen und allen anderen Durchfahrten bereits ausführlich erläutert worden sei, wonach bei Mautprellerei-Verdachtsfällen - zusätzlich zu den bei jeder Durchfahrt erfassten Passage-Daten - Bilddaten gespeichert und zur Feststellung der ordnungsgemäßen Entrichtung der Maut und zur Verfolgung von Mautprellerei gemäß § 19a BStMG verwendet würden.
Abschließend nahm die Beschwerdeführerin zur verfahrensgegenständlichen Speicherdauer Stellung und erstattete ein ergänzendes Vorbringen zum Grundrecht auf Datenschutz juristischer Personen. Da die Erfassung der Passage-Daten auch nicht mittelbar zur Identifizierung einer dahinterstehenden natürlichen Person durch die Beschwerdegegnerin führen könne, sei in diesem Zusammenhang auch die DSGVO nicht anwendbar.
11. Mit Eingabe vom 4. Oktober 2023 führte die Beschwerdegegnerin ergänzend aus, das die Beschwerdeführerin als juristische Person nicht nach § 24 DSG aktivlegitimiert sei und zitierte das rezente BVwG Erkenntnis vom 19.09.2023, GZ: W298 2261568-1/16E. Aus diesem Grund stelle die Beschwerdegegnerin den Antrag, die Datenschutzbehörde möge die Beschwerde mangels Aktivlegitimation zurückweisen. Sämtliche übrigen vorgebrachten Argumente und Anträge blieben davon unberührt aufrecht.
12. Mit Eingabe vom 8. Februar 2024 ersuchte die Beschwerdeführerin die Datenschutzbehörde um Mitteilung des Verfahrensstandes.
13. Mit Schreiben vom 19. Februar 2024 übermittelte die Datenschutzbehörde die Eingaben der Beschwerdegegnerin vom 19. September 2023 sowie 4. Oktober 2023 zum Parteiengehör.
14. Mit Eingabe vom 07. März 2024 übermittelte die Beschwerdeführerin eine Gegenstellungnahme und verwies zunächst auf ihr bisheriges Vorbringen.
Weiters führt die Beschwerdeführerin zusammengefasst aus, dass sie mit der gegenständlichen Beschwerde lediglich aufzeigen möchte, dass es technisch umgesetzt werde, dass eine positive Durchfahrt zur Löschung des Bildmaterials führe. Wenn die Beschwerdegegnerin behaupte, die Beschwerdeführerin würde wiederholt insinuieren, die Durchfahrten würden zu Abrechnungszwecken gespeichert werden, so sei dies inhaltlich falsch. Vielmehr habe die Beschwerdeführerin in ihrer Stellungnahme vom 20. Mai 2023 ausführlich dargelegt, dass die einzelne Durchfahrt eben keine Abrechnungsrelevanz habe, da im Vorhinein ein Fixbetrag gezahlt werde.
Wenn die Beschwerdegegnerin behaupte, es sei sachlich unrichtig, dass Bewegungsprofile der Fahrzeuge erstellt werden können, so sei festzuhalten, dass beispielsweise aufgrund der Durchfahrten nachvollzogen werden könne, auf welcher Seite der jeweiligen Mautstrecke ein Fahrzeug üblicherweise tagsüber bzw. über Nacht stehe.
Es sei festzuhalten, dass auch juristische Personen ein berechtigtes Geheimhaltungsinteresse an den Bewegungsdaten ihrer Fahrzeuge hätten. Die Beschwerdegegnerin könne nicht leugnen, dass sich ein Fahrzeug, das im Eigentum der Beschwerdeführerin stehe, bewegen könne. Es komme nicht darauf an, ob sich die juristische Person physisch bewegen könne. Der Versuch der Beschwerdegegnerin, der Beschwerdeführerin die Aktivlegitimation abzusprechen, würde zur Folge haben, dass juristische Personen „Freiwild“ für Datenschutzverletzungen seien. Aus reiner Vorsicht trete jedoch Dr. Arnold A*** als Geschäftsführer der Beschwerdeführerin und Halter mehrerer (Privat-)Fahrzeuge dem Verfahren als Beschwerdeführer bei und behalte sich vor, ein neuerliches Verfahren mit seinen Privatfahrzeugen anzustrengen.
B. Beschwerdegegenstand
Beschwerdegegenstand ist die Frage, ob die Beschwerdegegnerin die Beschwerdeführerin dadurch in ihrem Recht auf Geheimhaltung verletzt hat, indem sie die Passage-Daten der Beschwerdeführerin im Zusammenhang der Streckenmaut unrechtmäßig gespeichert hat.
Vorab ist jedoch zu prüfen, ob die Beschwerdeführerin als juristische Person beschwerdelegitimiert ist.
C. Sachverhaltsfeststellungen
1. Die Beschwerdegegnerin ist Betreiberin des hochrangigen Straßennetzes in Österreich, wobei sie zum Zweck der Mauteinhebung, Mautaufsicht und Verfolgung von Mautprellerei technische Einrichtungen zur automatisierten Berechtigungskontrolle einsetzt.
2. Bei der Beschwerdeführerin handelt es sich um eine Gesellschaft mit beschränkter Haftung, eingetragen im Firmenbuch zur FN *3**99*t mit Sitz in M***. Sie besitzt die Gewerbeberechtigung für das Handelsgewerbe, für die Herstellung von Arzneimittel und Giften und deren Großhandel als auch Erzeugung von kosmetischen Artikeln.
Beweiswürdigung : Diese Feststellungen ergeben sich einerseits aus dem unbestrittenen Vorbringen der Beschwerdeführerin sowie andererseits aus einer amtswegigen Einsicht in das Firmenbuch (durchgeführt am 24. September 2024) sowie in das GISA (durchgeführt am 23. Februar 2024).
3. Die Beschwerdeführerin hatte im Beschwerdezeitpunkt ein Fahrzeug mit dem Kennzeichen AT Ü**4*X in Betrieb, welches auf sie zugelassen ist.
4. Die Beschwerdeführerin verfügte für das Fahrzeug mit dem Kennzeichen AT Ü**4*X im Zeitraum vom 6. Jänner 2020 bis 5. Jänner 2021 über eine ordnungsgemäße Jahresvignette sowie eine Streckenmaut-Jahreskarte.
5. Die Beschwerdegegnerin hat die Nummerntafel des Fahrzeugs mit dem Kennzeichen AT Ü**4*X mehrmals im Rahmen einer automatisierten Kontrolle der digitalen Streckenmaut erfasst und die Passage-Daten (das sind: KFZ-Kennzeichen, Zulassungsstaat, Ort, Datum und Uhrzeit der passierten Mautstelle und Mautstraße, Art des Tickets) auf einer Zeitkarte protokolliert. Diese Zeitkarte stellte sich im Beschwerdezeitpunkt wie folgt dar:
[Anmerkung Bearbeiter/in: Das an dieser Stelle im Original als Faksimile (grafische Datei) wiedergegebene Zeitkarte mit den angeführten Daten kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Beweiswürdigung : Die Feststellungen ergeben sich aus den übereinstimmenden und insofern unstrittigen Vorbringen der Verfahrensparteien sowie den vorgelegten Unterlagen.
6. Infolge der gegenständlichen Beschwerde und des laufenden Verfahrens vor der Datenschutzbehörde werden die beschwerdegegenständlichen Daten der Beschwerdeführerin im Entscheidungszeitpunkt nach wie vor gespeichert. Dies erfolgt zu Zwecken der Dokumentation und zur Wahrung von Rechtsansprüchen im Verfahren und nicht zu Zwecken der Abwicklung der Streckenmaut. In den Streckenmaut-Systemen wurden die beschwerdegegenständlichen Passage-Daten der Beschwerdeführerin bereits gelöscht.
Beweiswürdigung : Diese Feststellungen ergeben sich aus der insofern unstrittigen ergänzenden Stellungnahme der Beschwerdegegnerin vom 1. März 2023.
7. Grundsätzlich werden Passage-Daten für ein Jahr ab der Mautstellen-Durchfahrt von der Beschwerdegegnerin gespeichert.
Beweiswürdigung : Diese Feststellung ergibt sich aus der insofern unstrittigen ergänzenden Stellungnahme der Beschwerdegegnerin vom 19. September 2023.
8. Grundsätzlich kann die Streckenmautgebühr auf mehrere Arten entrichtet werden, welche jeweils Einfluss auf die notwendigen technischen Einrichtungen und die Funktionsweise haben. Darüber hinaus kam es im September 2020 zu einer Umstellung des Systems der digitalen Streckenmaut.
Die Entrichtung an der Mautstelle stellt sich wie folgt dar:
Beweiswürdigung : Diese Feststellungen zur Entrichtung der Streckenmaut ergeben sich aus der insofern unstrittigen ergänzenden Stellungnahme der Beschwerdegegnerin vom 1. März 2023.
9. Die Beschwerdegegnerin speichert die Passage-Daten insbesondere zu Zwecken der Betrugsbekämpfung und zum Nachweis bei Reklamationen. Eine Speicherung zu Abrechnungszwecken erfolgt nicht.
Eine Falschlesung des KFZ-Kennzeichens, bei der fälschlicherweise eine automatische Abfertigung erfolgt, kann nur dann nachvollzogen werden, wenn die Passage-Daten erhoben wurden. Weiters kann es zur fehlerhaften Zuordnung von Durchfahrten zu einem graphisch sehr ähnlichen Kennzeichen kommen, da die automatisierte Erkennung des KFZ-Kennzeichens technologiebedingt aufgrund ähnlicher Zeichen nie zu 100% erfolgreich ist. In derartigen Fällen kommt es bei der Beschwerdegegnerin zu (berechtigten) Reklamationen, denen die Beschwerdegegnerin ebenso nachgehen muss, wie den zahlreichen Fällen unberechtigter Reklamationen.
Bei Streckenmaut-Jahreskarten sind zwei Arten von Betrugsfällen denkbar: Das Ergebnis der Kennzeichenprüfung kann mit der physischen Jahreskarte bei der Mautstelle „overruled“ werden, wobei in diesem Fall durch die Weiterverarbeitung der Jahreskarte oder des Barcodes die Möglichkeit zum Betrug besteht. Weiters kommt es bei der Beschwerdegegnerin auch immer wieder zu internen Betrugsfällen, bei denen Mitarbeiter das Ergebnis der Kennzeichenprüfung „overrulen“. Ziel dieser Betrugsfälle ist es, den Mautbetrag für sich zu behalten oder bekannten Personen ohne gültiges Ticket die Durchfahrt zu gewähren. Eine Nachprüfung dieser Fälle erfolgt notwendigerweise über die gespeicherten Passage-Daten.
Beweiswürdigung : Die Feststellungen zu den Verarbeitungszwecken ergeben sich aus der insofern unstrittigen und schlüssigen Stellungnahme der Beschwerdegegnerin vom 19. September 2023.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Zur Beschwerdelegitimation der Beschwerdeführerin
Bei der Beschwerdeführerin handelt es sich um eine juristische Person in der Form einer Gesellschaft mit beschränkter Haftung mit Sitz in Österreich.
Die Beschwerdegegnerin führt in der Eingabe vom 4. Oktober 2023 das BVwG Erkenntnis vom 19.09.2023, GZ: W298 2261568-1/16E an, wonach juristische Personen keine Aktivlegitimation zur Erhebung von Datenschutzbeschwerden hätten. Die gegenständliche Beschwerde sei daher zurückzuweisen.
In der Beschwerdesache gegen dieses BVwG Erkenntnis führt der VfGH im Erkenntnis vom 12. März 2024, GZ: E 3436/2023-16 aus, dass er keinen Zweifel daran habe, dass die Grundrechtsbestimmungen in § 1 DSG nicht nur natürliche Personen, sondern auch juristische Personen als Grundrechtsträger erfasse (zB VfSlg. 19.673/2012). Daran habe auch die DSGVO nichts geändert. Eine davon zu trennende Frage sei jedoch, ob eine juristische Person eine Beschwerde bei der Datenschutzbehörde wegen Verletzung ihres Rechtes auf Geheimhaltung personenbezogener Daten gemäß § 1 Abs. 1 DSG erheben und ferner ob und unter welchen Voraussetzungen eine juristische Person eine Verletzung ihres Rechtes auf Auskunft, Richtigstellung oder Löschung personenbezogener Daten gemäß § 1 Abs. 3 DSG - bei Fehlen entsprechender Ausführungsregelungen im Datenschutzgesetz - bei der Datenschutzbehörde geltend machen kann. Allerdings konnte der VfGH diese Frage im Beschwerdefall dahinstehen lassen, weil die Datenschutzbehörde auf keinen Fall zur Entscheidung über Beschwerden im Zusammenhang mit Veröffentlichungen ("Investorenwarnungen") gemäß § 92 Abs. 11 WAG vierter Satz 2018 zuständig sei (vgl. Rz 27 und Rz 28 im Erkenntnis vom 12. März 2024, GZ: E 3436/2023-16).
Die Datenschutzbehörde vertrat schon bisher die Ansicht, dass sich juristische Personen, ebenso wie natürliche Personen, auf § 1 DSG stützen können und dieser innerstaatlich ausgestaltete Grundrechtsschutz auch in Übereinstimmung mit der DSGVO steht.
Die Frage, ob sich juristische Personen auf das Grundrecht auf Datenschutz berufen können ist - wie auch der VfGH im Erkenntnis vom 12. März 2024 ausführte - von der Frage zu unterscheiden, ob auch die einfachgesetzlichen Bestimmungen des DSG - insbesondere § 24 - auf juristische Personen Anwendung finden.
Gemäß § 4 Abs. 1 DSG gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Nach dem Willen des Gesetzgebers sind die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach § 24 DSG, daher auf den Schutz natürlicher Personen beschränkt. Die Datenschutzbehörde hat jedoch bereits mehrfach ausgesprochen, dass sich § 1 DSG auch juristische Personen schützt.
Eine Auslegung der einfachgesetzlichen Bestimmungen - insbesondere der §§ 4 und 24 DSG - dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen Personen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, dass dieser ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln wollte als natürliche Personen (siehe den Bescheid vom 25. Mai 2020, GZ: 2020-0.191.240, mwN). Dass es dem nationalen Gesetzgeber möglich ist, ein rein nationales Konzept des Schutzes personenbezogener Daten juristischer Personen vorzusehen, wurde vom EuGH bejaht (vgl. das Urteil vom 10. Dezember 2020, C-620/19 Rz 47), sodass die o.a. Rechtsprechung der Datenschutzbehörde damit nicht im Widerspruch steht.
Es gibt daher keinen spezifischen Grund, das Rechtsschutzniveau für juristische Personen niedriger anzusetzen. Dies wird durch den Wortlaut des § 24 Abs. 1 DSG untermauert, wo das Beschwerderecht nicht nur bei Verletzungen der DSGVO, sondern auch im Hinblick auf § 1 DSG zugestanden wird .
Nicht unerheblich ist weiters jener Punkt, dass neben natürlichen und juristischen Personen auch Personengemeinschaften unter diesen Grundrechtsschutz fallen. Folgt man den oben genannten Ausführungen des Bundesverwaltungsgerichts hätten Personengruppen von gesellschaftsrechtlichen Formen ohne Rechtspersönlichkeit bis hin zu Bürgerinitiativen und Haus- und Eigentümergemeinschaften ebenfalls keinen Grundrechtsschutz, weil die DSGVO auch diese Personengemeinschaften nicht in ihren Anwendungsbereich einbezieht (vgl. Lachmayer in Knyrim , DatKomm Art. 1 DSGVO Rz 85; siehe dazu ebenso Eberhard in Korinek/Holoubek et al § 1 DSG Rz 25 und Ennöckl , Privatsphäre 145 ff; s zur Geltendmachung von Ansprüchen durch Personengemeinschaften ebenda, 147).
Im Ergebnis bedeutet dies, dass juristische Personen – entgegen den Ausführungen des Bundesverwaltungsgerichts im Erkenntnis vom 19. September 2023 - im Umfang der ihnen durch § 1 DSG eingeräumten Rechte beschwerdelegitimiert sind.
Um aber § 1 DSG keinen gleichheits- und damit verfassungswidrigen Inhalt zu unterstellen, kann die Datenschutzbehörde ihre Zuständigkeit gegenüber juristischen Personen nur in jenem Umfang wahrnehmen, wie ihr dies auch bei natürlichen Personen bei gleichen Sachverhalten zukommt.
§ 1 DSG kann nämlich nicht dahingehend ausgelegt werden, dass die Datenschutzbehörde Beschwerden juristischer Personen inhaltlich zu behandeln hat, jene natürlicher Personen bei gleichem Sachverhalt hingegen nicht. Dies würde auf eine nicht objektiv begründbare Besserstellung juristischer Personen hinauslaufen und somit § 1 DSG einen gleichheitswidrigen Inhalt unterstellen.
Es ist daher festzustellen, dass die Beschwerdeführerin als juristische Person zwar grundsätzlich aktiv legitimiert ist, eine Beschwerde nach § 24 DSG vor der Datenschutzbehörde zu erheben, sofern sie eine Verletzung der durch § 1 DSG gewährleisteten Rechte behauptet, jedoch nur in jenem Umfang, in welchem dies auch einer natürlichen Person möglich wäre.
Mit anderen Worten: Die Geltendmachung subjektiver Rechte einer juristischen Person ist auf die in § 1 DSG normierten Rechte (Geheimhaltung, Auskunft, Löschung, Richtigstellung) begrenzt. Die in der DSGVO zusätzlich normierten Rechte (wie bspw. Widerspruch, Einschränkung der Verarbeitung etc.) finden hingegen auf juristische Personen keine Anwendung .
Im gegenständlichen Fall ist die Beschwerdeführerin sohin zur Beschwerdeerhebung gemäß § 1 DSG iVm § 24 DSG bei der Datenschutzbehörde als zuständige Aufsichtsbehörde aktiv legitimiert .
D.2. Grundrecht auf Geheimhaltung
§ 1 DSG normiert das Grundrecht auf Geheimhaltung, nach dessen ersten Absatz jedermann, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, einen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit daran ein schutzwürdiges Interesse besteht. Das Grundrecht auf Datenschutz gilt jedoch nicht absolut, sondern darf durch bestimmte, zulässige Eingriffe beschränkt werden.
Gemäß § 1 Abs. 2 DSG sind Beschränkungen des Anspruchs auf Geheimhaltung, soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, wobei bei Eingriffen einer staatlichen Behörde diese nur auf Grund von Gesetzen erfolgen dürfen, die aus den in Art. 8 Abs. 2 EMRK genannten Gründen notwendig sind.
D.3. KFZ-Kennzeichen als personenbezogene Daten
In Bezug auf KFZ-Kennzeichen geht die Datenschutzbehörde davon aus, dass es sich hierbei um personenbezogene Daten iSv. Art. 4 Z 1 DSGVO handelt, da der Zulassungsbesitzer anhand des Kennzeichens im Wege einer Auskunft nach § 47 Abs. 2a KFG 1967 mit verhältnismäßigen Mitteln identifiziert werden kann.
Mittels einer Auskunft gem. § 47 Abs. 2a KFG 1967 ist nur der Zulassungsbesitzer und nicht der Fahrzeuglenker eruierbar. Im konkreten Fall ist durch die Benutzung des Fahrzeuges mit der Kennzeichennummer AT Ü**4*X jedenfalls die Beschwerdeführerin als Zulassungsbesitzerin und somit als juristische Person identifizierbar.
D.4. Gesetzliche Grundlage
Verfahrensgegenständlich sind Beschränkungen des Geheimhaltungsanspruchs nur bei Vorhandensein einer qualifizierten gesetzlichen Grundlage zulässig, da es sich bei der Beschwerdegegnerin um eine „staatliche Behörde“ iSv. § 1 Abs. 2 DSG (Verantwortliche des öffentlichen Bereichs) handelt (vgl. § 6 ASFINAG-Ermächtigungsgesetz 1997, wonach die Beschwerdegegnerin zur Einhebung von Maut ermächtigt wurde).
Eine gesetzliche Grundlage im Sinne des § 1 Abs. 2 DSG betreffend die Verarbeitung (Speicherung) der Passage-Daten findet sich im Bundesstraßen-Mautgesetz 2002 – BStMG:
Maßgebliche Bestimmungen des Bundesgesetzes über die Mauteinhebung auf Bundesstraßen (Bundesstraßen-Mautgesetz 2002 – BStMG)
§ 14 BStMG und die Mautordnung
Die Entrichtung der digitalen Streckenmaut erfolgt gemäß den nach § 14 BStMG genehmigten Bestimmungen über die Benützung der Mautstrecken („Mautordnung“).
§ 16a BStMG normiert zur Datenverarbeitung:
(1) Die Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft ist berechtigt, die zur Mauteinhebung, zur Mautaufsicht und zur Verfolgung von Mautprellerei erforderlichen personenbezogenen Daten automationsunterstützt zu verarbeiten.
(2) Die Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft darf im Anwendungsbereich der fahrleistungsabhängigen Maut folgende Daten verarbeiten:
1. Daten über Geräte zur elektronischen Entrichtung der fahrleistungsabhängigen Maut;
2. Daten über Fahrzeuge, deren Verwendung auf Bundesstraßen der fahrleistungsabhängigen Maut unterliegt;
3. Kontakt-, Kommunikations-, Zahlungs-, Transaktions- und Verrechnungsdaten;
4. Daten im Zusammenhang mit interoperablen Mautsystemen;
5. Daten über Fälle der Mautprellerei (einschließlich Verdachtsfälle);
6. Daten, die gemäß § 19a Abs. 3 gespeichert werden;
7. Daten, die gemäß §§ 30 und 30a Abs. 2 erlangt werden.
(3) Die Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft darf im Anwendungsbereich der zeitabhängigen Maut sowie der Streckenmaut (§ 32 Abs. 1) folgende Daten verarbeiten:
1. Daten über Fahrzeuge, die über eine digitale Vignette oder über eine digitale Streckenmautberechtigung verfügen;
2. Kontakt-, Kommunikations-, Zahlungs- und Verrechnungsdaten;
3. Transaktionsdaten bei der Streckenmaut;
4. Daten über Fälle der Mautprellerei (einschließlich Verdachtsfälle);
5. Daten, die gemäß § 19a Abs. 3 gespeichert werden;
6. Daten, die gemäß §§ 30 und 30a Abs. 2 erlangt werden.
(4) Spätestens drei Jahre nach Zahlung der Ersatzmaut oder nach Abschluss des Verwaltungsstrafverfahrens sind Zulassungsdaten, die auf Grund von automationsunterstützten Abrufen im Wege der Nationalen Kontaktstelle gemäß § 30a Abs. 2 erlangt wurden, in nicht rückführbarer Weise zu löschen. Dies gilt nicht, solange gerichtliche Verfahren über Maut, Ersatzmaut oder Verwaltungsstrafen oder Verfahren zur Vollstreckung der Verwaltungsstrafe anhängig sind.
§ 19a BStMG normiert zur automatischen Überwachung:
(1) Die Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft darf zur Feststellung der ordnungsgemäßen Entrichtung der Maut und zur Verfolgung von Mautprellerei technische Einrichtungen einsetzen, die insbesondere die Erfassung von Fahrzeugart, Achsenzahl, Windschutzscheibe des Fahrzeugs, Fahrzeuglenker, Kennzeichen, Klebevignette, Ort und Zeit der Straßenbenützung ermöglichen. Der Einsatz bildgebender technischer Einrichtungen zur Feststellung der ordnungsgemäßen Entrichtung der zeitabhängigen Maut hat an regelmäßig wechselnden Mautabschnitten zu erfolgen, wobei aber an jedem Mautabschnitt mehrfach im Jahr ein solcher Einsatz erfolgen darf.
(2) Bilddaten und daraus gewonnenen Kennzeichen und Kontrolldaten, die Fälle erwiesenermaßen ordnungsgemäßer Entrichtung der Maut betreffen, sind unverzüglich in nicht rückführbarer Weise zu löschen. Bilddaten, die Fälle der Mautprellerei (einschließlich Verdachtsfälle) dokumentieren, dürfen im Mautsystem gespeichert, aber nur für Zwecke der Einbringung der Maut, der Aufforderung zur Zahlung einer Ersatzmaut und der Verfolgung von Mautprellerei verarbeitet werden.
(3) Ebenfalls im Mautsystem gespeichert werden dürfen aus der automatischen Überwachung gewonnene Daten von Fahrzeugen (Kennzeichen und technische Fahrzeugmerkmale) und Auskunftsdaten von automationsunterstützten Abrufen gemäß § 20a Abs. 2 betreffend Fahrzeuge, bei denen nicht eindeutig erkennbar ist, welcher Art der Mautentrichtung (§§ 2 und 32) diese unterliegen. Die Speicherung dieser Daten darf ausschließlich in pseudonymisierter Form und für den Zweck erfolgen, bei einer zukünftigen Erfassung von Fahrzeugen im Rahmen der automatischen Überwachung Fehlerkennung automationsunterstützt zu minimieren. Die Speicherung hat in einer Weise zu erfolgen, die keine Rückschlüsse auf den Zeitpunkt und den Ort der Erfassung der Daten zulässt. Diese Daten sind spätestens am Ende des Jahres, das dem Jahr der letzten Erfassung folgt, in nicht rückführbarer Weise zu löschen. Die Speicherung von Bilddaten für diesen Zweck ist unzulässig.
(4) Spätestens drei Jahre nach Einbringung der Maut, nach Zahlung der Ersatzmaut oder nach Abschluss des Verwaltungsstrafverfahrens sind im Mautsystem Bilddaten und daraus gewonnene Kennzeichen- und Kontrolldaten, die Fälle der Mautprellerei dokumentieren, in nicht rückführbarer Weise zu löschen. Dies gilt nicht, solange gerichtliche Verfahren über Maut, Ersatzmaut oder Verwaltungsstrafe oder Verfahren zur Vollstreckung der Verwaltungsstrafe anhängig sind.“
§ 32 Abs. 2 BStMG normiert zur automatischen Überwachung:
(2) Die näheren Bestimmungen über die Höhe der Entgelte für Einzelfahrten und Mehrfahrtenkarten sowie über die Art und Bedingungen der Entrichtung der Maut für die Benützung der in § 10 Abs. 2 genannten Mautabschnitte (Streckenmaut) sind in der Mautordnung zu treffen. Sie müssen die Entrichtung der Maut ohne Verwendung elektronischer Einrichtungen gewährleisten. Die Mautabwicklung kann auch durch Registrierung des Kennzeichens des Fahrzeugs im Mautsystem der Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft erfolgen.
D.5. Anforderungen an eine gesetzliche Grundlage
Der ständigen Rechtsprechung des Verfassungsgerichtshofes zur Qualität einer Eingriffsnorm im Sinne des § 1 Abs. 2 DSG ist zu entnehmen, dass eine gesetzliche Grundlage ausreichend präzise, also für jedermann vorhersehbar zu sein hat, und überdies regeln muss, unter welchen Voraussetzungen die Ermittlung bzw. die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist (vgl. dazu zuletzt die Erkenntnisse vom 11. Dezember 2019, G 72/2019 u.a, und vom 12. Dezember 2019, G 164/2019 u.a.). Der jeweilige Gesetzgeber muss somit nach den Vorgaben des § 1 Abs. 2 DSG eine materienspezifische Regelung in dem Sinn vorsehen, dass die Fälle zulässiger Eingriffe in das Grundrecht auf Datenschutz konkretisiert und begrenzt werden (VfSlg 18.643/2008).
D.6. Ergebnis
§16a Abs. 1 BStMG berechtigt die Beschwerdegegnerin, die zur Mauteinhebung, zur Mautaufsicht und zur Verfolgung von Mautprellerei erforderlichen personenbezogenen Daten automationsunterstützt zu verarbeiten. § 16a Abs. 3 BStMG bestimmt ferner, dass die Beschwerdegegnerin im Anwendungsbereich der Streckenmaut unter anderem Transaktionsdaten verarbeiten darf (vgl. Z 3 leg. cit.). Eine Rechtsgrundlage im Sinne des § 1 Abs. 2 DSG liegt damit vor.
Im Ergebnis ist festzustellen, dass die Speicherung der Passage-Daten in Übereinstimmung mit den gesetzlichen Vorgaben erfolgt . Die gesetzliche Grundlage ist ausreichend präzise und regelt die Voraussetzungen, unter denen eine Datenverarbeitung (und somit ein Eingriff in das Grundrecht auf Datenschutz) zulässig sein soll. Die Fälle der zulässigen Datenverarbeitung sind auch hinreichend konkretisiert und durch höchstzulässige Speicherdauern begrenzt.
Diese Überlegung entspricht auch der Judikatur des Verwaltungsgerichtshofs, wonach es ausreichend ist, wenn die wahrzunehmende Aufgabe in der Rechtsgrundlage ausreichend beschrieben wird und die Datenverarbeitung dem Zweck der Aufgabenerfüllung dient (vgl. das Erkenntnis des VwGH vom 21. Dezember 2023, Ro 2021/04/0010).
Die Verarbeitung erfolgt im Sinne des Datenminimierungsgrundsatzes dem gesetzlichen Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt. Nämlich nur solange für die Abwicklung der Streckenmaut erforderlich, wobei die Betrugsbekämpfung und die Bearbeitung von Reklamationen eine sofortige Löschung der Passage-Daten verunmöglichen. Die Speicherung der Passage-Daten für ein Jahr ab der Mautstellen-Durchfahrt ist für die Zwecke der Betrugsbekämpfung und Reklamation angemessen. Eine Speicherung zu Abbrechungszwecken erfolgt hingegen – wie festgestellt – nicht.
Der Beschwerdegegnerin ist daher im Ergebnis zuzustimmen, dass die Erfassung und Speicherung der Passage-Daten zur elektronischen Mautabwicklung gesetzlich zulässig ist.
Es war spruchgemäß zu entscheiden.