120.536/26-DSK/98 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in Anwesenheit der Mitglieder Dr. HELMREICH, Mag. KLEISER und Dr. SOUHRADA-KIRCHMAYER sowie der Schriftführerin Mag. HROVAT-WESENER in ihrer Sitzung vom 24. März 1998 folgenden Beschluss gefaßt:
S p r u c h
Aufgrund der Beschwerde des B. gegen den Magistrat wird gemäß § 36 Abs. 1 Z 1 Datenschutzgesetz, BGBl. Nr. 565/1978 idgF (DSG), entschieden:
Der Magistrat hat den Beschwerdeführer dadurch, daß durch den Dienstleister X. personenbezogene Daten des Beschwerdeführers aus der 'Berechtigungsverwaltung' des klinischen Informationssystems im Zeitraum vom Mai 1995 bis Mai 1996 ohne Genehmigung der Datenschutzkommission gemäß § 34 DSG an die Konzernmutter in den USA überlassen wurden, in seinem verfassungsmäßig gewährleisteten Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG verletzt.
B e g r ü n d u n g
I. Sachverhalt:
Mit Schreiben vom 10. Juni 1996 erhob B. Beschwerde bei der Datenschutzkommission gemäß § 14 DSG wegen Verletzung seiner Rechte nach dem Datenschutzgesetz, insbesondere des Grundrechts auf Datenschutz. In seiner Beschwerde behauptete B., daß der Magistrat zum Zweck der Fehlerbehebung Daten in das Ausland überlassen hat, ohne daß eine Genehmigung der Datenschutzkommission zur Datenüberlassung in das Ausland gemäß § 34 DSG vorliegt. Der Beschwerdeführer führte im Detail aus, daß er als selbstständiger Datenverarbeiter im wissenschaftlichtechnischen Bereich bei der Installation des Patientendaten-Managementsystem der Firma X. an Intensivstationen des Krankenhauses miteingebunden war. Aufgrund von Fehlfunktionen im Zuge der Installation wurden nach Angaben von Mitarbeitern der Firma X. mehrmals Kopien der Datenbank, d.h. sowohl Patientendaten als auch Daten der an diesem Projekt eingesetzten Mitarbeiter, an die mit der Programmierung des Produkts betraute Firmenniederlassung in den USA (Konzernmuttergesellschaft) überlassen. Als der Beschwerdeführer in weiterer Folge feststellte, daß die erforderliche Genehmigung zur Datenüberlassung iSd § 34 DSG weder für den Auftraggeber, noch für den Dienstleister X. vorliegt, erhob er Beschwerde bei der Datenschutzkommission und legte verschiedene Unterlagen vor, aus welchen ersichtlich war, daß Daten im März 1996 überlassen worden waren. Mit [Datumsangaben] übermittelte der Beschwerdeführer weitere Unterlagen, die seine Behauptungen unterstützen sollten.
Aufgrund des Ersuchschreibens der Datenschutzkommission teilte der Magistrat mit Schreiben mit, daß 'Personaldaten' - in dem Sinn, in dem dieser Begriff üblicherweise verwendet wird - des Beschwerdeführers keinesfalls gespeichert wurden, jedoch noch abzuklären sei, inwieweit der Name des Beschwerdeführers in der Berechtigungsverwaltung enthalten ist und diesbezüglich Daten zur Fehlerbehebung außer Haus gelangt sein könnten; gleichzeitig wurde um Fristerstreckung zur Abgabe einer endgültigen Stellungnahme ersucht.
Mit Schreiben vom 28. November 1996, MDI - 152/96, legte die Magistratsdirektion eine weitere als 'Zwischenerledigung' bezeichnete Stellungnahme vor, in welcher ausgeführt wurde, daß es zutrifft, daß personenbezogene Daten aus dem System zur Fehleranalyse und zur Fehlerbereinigung an die Liefer- und Wartungsfirma X. zu verschiedenen Zeitpunkten (8 mal im Zeitraum vom 29. Mai 1995 bis 6. Mai 1996) ausgefolgt werden mußten. Weiters wurde darauf verwiesen, daß anläßlich der Ausfolgung der Übernehmende ausdrücklich darauf hingewiesen worden sei, daß die übergebenen Daten als personenbezogene Daten besonders zu behandeln, entsprechend zu schützen und nach Abschluß der Analyse zu löschen sind. Ergänzend wurde festgehalten, daß mit der Firma X. im Lauf der Jahre mehrere Verträge abgeschlossen wurden. Insbesondere, daß in der 1989 abgeschlossenen - als grundsätzlich beabsichtigten - Datenschutzvereinbarung ausdrücklich bestimmt worden sei, daß dieser Vertrag als Bestandteil jedes damit zusammenhängenden Leistungsvertrages und darüber hinaus 'jedes künftig zwischen den Vertragspartnern abgeschlossenen Vertrages für die Geltung dieser Datenschutzvereinbarung ausdrücklich vereinbart wird' zu gelten habe. Außerdem sei vertraglich festgesetzt worden, daß diese Datenschutzvereinbarung weiters bei jeder Einzelbeauftragung der Firma mit Wartungsarbeiten und Fehlerinterventionen außerhalb eines Vertrages gelte. In diesem Vertrag sei die Verpflichtung enthalten, daß X. für den Fall der Notwendigkeit der Weitergabe von Unterlagen einschließlich personenbezogener Daten an im Ausland tätige Konzerngesellschaften, eine 'erforderliche Genehmigung der Datenschutzkommission (§§ 33, 34 DSG) für den Internationalen Datenverkehr einholen wird oder darzulegen habe, warum eine solche Genehmigung nicht erforderlich ist'. Weiters wurde ausgeführt, daß in den 1992 abgeschlossenen Grundverträgen Hardware-Wartung (in deren Rahmen gemäß Software-Wartung-Ergänzungsabkommen für das Patientenmanagement vorgekehrt wurde), wurde bestimmt: 'Die sich aufgrund des Datenschutzgesetzes und anderer geltenden Geheimhaltungsbestimmungen ergebenden Verpflichtungen werden in der einen Bestandteil dieses Vertrages bildenden Datenschutzvereinbarung geregelt'. Gleichzeitig wurde ausgeführt, daß eine ausdrücklich auf diesen Wartungsvertrag bezogene anderslautende Datenschutzvereinbarung nicht aufgefunden werden konnte, jedoch - nach Ansicht des Magistrats - für Einzelbeauftragungen eine solche nach den Bestimmungen des Vertrages vom Jahre 1989 nicht erforderlich sei. Abschließend wurde festgehalten, daß aufgrund der Korrespondenz mit X., diese die Ansicht vertritt, daß grundsätzlich der Auftraggeber (für die Einholung der erforderlichen Genehmigung zur Datenüberlassung in das Ausland) zuständig wäre; dies entspräche nach Ansicht des Magistrats nicht der Vertragslage. Es wurde daher zugesagt, an der exakten Klärung dieser Kommunikationsprobleme ehestens zu arbeiten und innerhalb kürzester Frist eine abschließende Stellungnahme vorzulegen. Diese Stellungnahme ist jedoch bei der Datenschutzkommission trotz mehrmaliger telefonischer Urgenz nicht eingetroffen.
Mit Schreiben vom 29. Jänner 1997 legte der Magistrat eine weitere 'Zwischenerledigung' vor, in welcher ausgeführt wird, daß eine bereits vereinbarte Besprechung mit der Firma X. bedauerlicherweise nicht zustande gekommen sei, jedoch die Firma X. den Magistrat telefonisch informiert habe, daß ihrer Ansicht nach der Export der Daten in die USA durch den Bescheid der Datenschutzkommission vom 30. Dezember 1986, GZ 175.172/10- DSK/86, gedeckt sei und daß X. bzw. deren Rechtsanwalt sich diesbezüglich an die DSK richten werde.
Mit Schreiben vom 6. Juni 1997 wurde von der Datenschutzkommission eine Sachverhaltsdarstellung an den Landeshauptmann übermittelt. Gleichzeitig wurde der um eine ergänzende Stellungnahme ersucht. Trotz der Zusage des Magistrats wurde der Datenschutzkommission keine weitere Stellungnahme vorgelegt.
Am 23. Mai 1997 nahm der Beschwerdeführer Akteneinsicht gemäß § 17 AVG in seinen Beschwerdeakt und legte ergänzend dazu Unterlagen betreffend seinen Beschwerdefall vor.
Mit Schreiben vom 31. Juli 1997 erfolgte eine weitere Urgenz beim Magistrat; insbesondere wurde auch die 'grundsätzlich beabsichtigte Datenschutzvereinbarung' eingefordert.
Da seitens des Magistrats auch auf diese Urgenz keine Reaktion erfolgte, wurde dem Beschwerdeführer mit Schreiben vom 13. August 1997 Parteiengehör gewährt. Mit Schreiben vom 27. September 1997 teilte der Beschwerdeführer mit, daß die bisherigen Ermittlungsergebnisse der Datenschutzkommission auch seinem Kenntnisstand entsprechen. Gleichzeitig ersuchte er weitere Fristsetzungen - soweit gesetzlich möglich - gegenüber dem Magistrat nicht mehr vorzunehmen, da es für ihn nicht nachvollziehbar sei, daß dem Magistrat es nicht möglich sei, einen Lieferanten, der jährlich mehrstellige Millionenbeträge erhält, zu einer Stellungnahme zu bewegen. Am 10. Dezember 1997 sprach der Beschwerdeführer nochmals persönlich im Büro der Datenschutzkommission vor, um sich nach dem Stand des Verfahrens zu erkundigen sowie nachzufragen, ob zwischenzeitlich eine Genehmigung im internationalen Datenverkehr im Zusammenhang mit dem System erteilt worden sei; es wurde ihm mitgeteilt, daß zwischenzeitlich eine Genehmigung der Datenschutzkommission erteilt wurde und im Datenverarbeitungsregister in diesen Bescheid Einsicht genommen werden kann.
Mit Schreiben vom 13. März 1998 wurde dem Magistrat mitgeteilt, daß die DSK aufgrund der vom Beschwerdeführer vorgelegten Unterlagen davon ausgehen muß, daß der Beschwerdeführer in der 'Berechtigungsverwaltung' (mit Name und Zugriffsermächtigung) zum Zeitpunkt der Überlassungen enthalten war und somit Betroffener iSd § 3 Z 2 DSG ist. Der Magistrat wurde zu einer entsprechenden Stellungnahme aufgefordert, sollte die Betroffeneneigenschaft des Beschwerdeführers bestritten werden.
In der Stellungnahme des Magistrates vom 23. März 1998 wurden keine neuen Argumente vorgebracht, die geeignet waren, die Betroffeneneigenschaft des B. zu widerlegen.
Somit ergibt sich folgender entscheidungsrelevanter Sachverhalt:
Der Magistrat zieht seit 1992 als Auftraggeber iSd § 3 Z 3 DSG die X. als Dienstleister iSd § 3 Z 4 DSG zur Installation und Hard- und Software-Wartung des Patientendaten-Managementsystems heran. Der Beschwerdeführer war in diese Verarbeitung miteingebunden, sodaß in diesem Datenbanksystem auch personenbezogene Daten von ihm als Betroffenener im Zusammenhang mit der Berechtigungsverwaltung enthalten waren (Familienname, Vorname, Berufstitel, Sozialversicherungsnummer, administrative Benutzerrechte und Passwort). Der Dienstleister überließ - mit Wissen des Auftraggebers - im Zeitraum vom 29. Mai 1995 bis 6. Mai 1996 Daten aus der Datenbank zum Zweck der Fehleranalyse und Fehlerbehebung an seine ausländische Konzernmuttergesellschaft. Weder der Auftraggeber, Magistrat, noch der Dienstleister, X., besaßen zum Zeitpunkt oa. Überlassungen die für eine Datenüberlassung in das Ausland erforderliche Genehmigung der Datenschutzkommission.
II. Rechtlich war zu erwägen:
1. Gemäß § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden pesonenbezogenen Daten, soweit er daran ein schutzwürdiges Interesse, insbesondere im Hinblick auf Achtung seines Privat- und Familienlebens hat.
Gemäß § 1 Abs. 2 DSG sind Beschränkungen des Rechts nach Abs. 1 nur zur Wahrung berechtigter Interessen eines anderen oder aufgrund von Gesetzen zulässig, die aus den in Art. 8 Abs. 2 EMRK genannten Gründen notwendig sind. Auch im Falle solcher Beschränkungen muß der vertraulichen Behandlung personenbezogener Daten Vorrang gegeben werden.
2. 'Der durch § 1 Abs. 2 zweiter Satz DSG normierte Vorrang der vertraulichen Behandlung personenbezogener Daten schließt das Gebot in sich, sowohl die Voraussetzungen, die im Sinn der Ermächtigung des § 1 Abs. 2 erster Satz DSG gesetzliche Beschränkungen des Grundrechtes auf Datenschutz zu rechtfertigen vermögen, als auch die zufolge dieser Ermächtigung erlassenen, das Grundrecht beschränkenden Rechtsvorschriften restriktiv auszulegen. Dem Gesetzgeber erwächst daraus die Verpflichtung, derartige Rechtsvorschriften inhaltlich so zu gestalten, daß die Beschränkung des Grundrechtes zur Erreichung des von ihm angestrebten - iS des § 1 Abs. 2 erster Satz DSG zulässigen - Zieles erforderlich und geeignet ist und zu ihm in einem angemessenen Verhältnis steht (vgl. zu all dem etwa Matzka/Kotschy, Datenschutzrecht für die Praxis, Kommentar zu § 1 DSG, S 7; Funk, Marktforschung und Datenschutz, Öbl. 1987, S 1 ff, hier S 5; Duschanek, Datenschutzrechtliche Schranken der Publizität umweltrelevanter Betriebsdaten, RdW 1988, S 310).
Die Verfassungsbestimmung des § 1 Abs. 2 DSG ermächtigt somit den einfachen Gesetzgeber, Beschränkungen des durch § 1 Abs. 1 DSG gewährleisteten Grundrechtes auf Datenschutz vorzusehen, setzt aber seiner Regelung zugleich insofern inhaltliche Grenzen, als solche Beschränkungen (unter anderem) aus den in Art. 8 Abs. 2 EMRK angeführten Gründen vorgesehen werden dürfen.'(VfGH vom 30.9.1989 VfSlg. 12166)
3. In diesem Sinne normiert § 34 DSG, daß in den nicht dem § 32 DSG unterliegenden Fällen vor der Überlassung von Daten in das Ausland zum Zweck der Erbringung einer Dienstleistung eine Genehmigung der Datenschutzkommission einzuholen ist.
Im Ergebnis ist daher eine Überlassung (iS einer Weitergabe) von Daten in das Ausland vor Erteilung der Genehmigung unzulässig.
4. Gemäß § 34 Abs. 2 Z 3 DSG ist die Genehmigung zu versagen, wenn Bedenken bestehen, daß schutzwürdige Geheimhaltungsinteressen der Betroffenen durch den Datenverkehr im Ausland gefährdet sind.
5. Diese Bestimmung dient daher dem Schutz der Betroffenen:
Darauf weist auch der Verfassungsgerichtshof in seinem Erkenntnis vom 8. März 1985 VfSlg. 10393 hin.
'Eine gesetzliche Bestimmung, wie sie im § 32 DSG' (vor der DSG-Novelle 1986) 'getroffen ist, ist zum Schutze der Rechte der Betroffenen unentbehrlich, sofern die Überlassung der Daten in einen Staat erfolgen soll, in dem ein dem DSG vergleichbarer Datenschutz nicht Anwendung findet.'
Diese Bestimmung dient auch dem Schutz des Grundrechts auf Datenschutz:
'Die gesetzlich vorgesehene behördliche Genehmigung hat den sachlich offensichtlich gerechtfertigten Zweck, daß durch die Überlassung von automationsunterstützt verarbeiteten Daten aus Österreich in das Ausland das in Österreich gewährleistete Grundrecht auf Datenschutz nicht durch Überlassung von Daten in das Ausland preisgegeben werden kann.' (ebenso VfGH vom 8. März 1985, VfSlg. 10393)
6. Daher stellt eine gegen § 34 Abs. 1 DSG verstoßende Überlassung von personenbezogenen Daten eine Verletzung des verfassungsgesetzlich gewährleisteten Grundrechts auf Geheimhaltung iSd § 1 Abs. 1 DSG dar.
7. Laut Sachverhalt wurden die Daten des Beschwerdeführers offensichtlich vor Erteilung der Genehmigung der Datenschutzkommission vom 23. Oktober 1997, GZ 177.886/5-DSK/97, mit entsprechenden Auflagen und Einschränkungen ('soweit dies zur Erfüllung der mit dem Vertragspartner vereinbarten Verpflichtungen unbedingt notwendig ist und in Österreich nicht durchgeführt werden kann') überlassen.
Somit war spruchgemäß zu entscheiden.