JudikaturDSB

K501.349-040/003-DVR/2003 – Datenschutzkommission Entscheidung

Entscheidung
01. Juli 2003
K501.349-040/003-DVR/2003 – Datenschutzkommission Entscheidung

Text

Text

BESCHEID

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. DUSCHANEK, Mag. HUTTERER, Dr. KLEISER, Mag. PREISS und Dr. SOUHRADA-KIRCHMAYER sowie der Schriftführerin Mag. FERCHENBAUER in ihrer Sitzung vom 1. Juli 2003 folgenden Beschluss gefasst:

Spruch

Die Registrierung der mit Eingabe vom 17. Dezember 2002 von der Bundespolizeidirektion X bei der Datenschutzkommission (Datenverarbeitungsregister) gemeldeten Datenanwendung 'Allgemeine Protokolle der Bundespolizeidirektion X (automationsunterstützt) Verwaltung der Dienststücke (Akten, Depositen etc.)' wird gemäß § 20 Abs. 4 Datenschutzgesetz 2000, BGBl. I 565/1999 (DSG 2000), abgelehnt.

Begründung

Mit Eingabe vom 17. Dezember 2002 wurde von der Bundespolizeidirektion X die Datenanwendung 'Allgemeine Protokolle der Bundespolizeidirektion X (automationsunterstützt) Verwaltung der Dienststücke (Akten, Depositen etc.)' zum Zweck der Registrierung im Datenverarbeitungsregister gemeldet.

Zu dieser Eingabe erging ein Verbesserungsauftrag, in dem auf Folgendes hingewiesen wurde:

Die in der gegenständlichen Meldung angeführten Rechtsgrundlagen sowie einzelne Datenarten - wie etwa die genaue Personenbeschreibung, Daten von beteiligten/betroffenen Fahrzeugen, Daten zur Tat (z. B. Tatzeit, Tatort, Vorfall, Vorgang, Sachverhalt) - lassen den Schluss zu, dass die gemeldete Datenanwendung 'Allgemeine Protokolle der Bundespolizeidirektion X (automationsunterstützt)' über ihren Zweck, nämlich der 'Verwaltung von Dienststücken (Akten, Depositen etc.)' hinausgeht.

Für ein reines Aktenprotokollierungssystem würden Datenarten wie etwa 'Behörde', 'Protokollzahl', 'Datum', 'Sachbearbeiter', 'Status des Aktes' (wo liegt der Akt, an wen und wann ist er weitergeleitet worden), 'zum Akt gehörige Schriftstücke', 'Name und Geburtsdatum des Betroffenen' und die Bezeichnung des 'Betreffs' ausreichen. In der gemeldeten Datenanwendung sind jedoch Datenarten enthalten, welche eindeutig Akteninhalt darstellen dürften.

Der Bundespolizeidirektion wurde X aufgetragen, einerseits entsprechende Rechtsgrundlagen im Sinne der §§ 7 ff DSG 2000 für die Führung der gemeldeten Datenanwendung bekannt zu geben, andererseits Überlegungen anzustellen, ob im Lichte der Verhältnismäßigkeit des Grundrechtseingriffes eine Notwendigkeit besteht, ein Aktenprotokollierungssystem dieses Ausmaßes einzusetzen. Es wurde darüber hinaus ersucht, nähere Erläuterungen über die beabsichtigte Führung der Datenanwendung vorzulegen

In ihrer Stellungnahme vom 13. Februar 2003 führte die Bundespolizeidirektion X Argumente an, warum nach ihrer Ansicht die Durchführung der gemeldeten Datenanwendung in der gemeldeten Form notwendig sei. Sie wies darauf hin, dass bereits eigene Protokollierungssysteme für einzelne größere Bereiche polizeilichen Handels bestehen, nämlich im Rahmen des Verwaltungsstrafverfahrens, des Fremdenwesens sowie der Akten des Kriminalinspektorates und des Generalinspektorates der Xer Sicherheitswache. Die gemeldete Datenanwendung 'Allgemeine Protokolle der Bundespolizeidirektion X (automationsunterstützt) Verwaltung der Dienststücke (Akten, Depositen etc.)' solle die Aktenverwaltung der verbleibenden, noch nicht versorgten Aufgabenbereiche abdecken. Eine weitere aufgabenbezogene Trennung in einzelne Datenanwendungen würde für die Bundespolizeidirektion X einen erheblichen zusätzlichen Aufwand bedeuten.

Dazu war rechtlich Folgendes zu erwägen:

1. Zur fehlenden Rechtsgrundlage für die Datenverwendung:

Gemäß § 1 Abs. 2 DSG 2000 sind, soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958 genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten zum Ziel führenden Art vorgenommen werden.

Als Rechtsgrundlage für die Durchführung der gegenständlichen Datenanwendung führt die Bundespolizeidirektion X die Bestimmung § 13 Sicherheitspolizeigesetz (SPG) idgF, BGBl. Nr. 566/1991 zuletzt geändert durch BGBl. I Nr. 104/2002, iVm der Kanzleiordnung der Bundespolizeidirektion X sowie sämtlichen Rechtsmaterien, zu denen der BPD X Mitwirkungsbefugnisse oder -verpflichtungen an der Vollziehung zukommen, insbesondere SPG, StPO, StGB u. strafrechtl. Nebengesetze, VStG, AVG, VVG, EGVG, FrG, StVO, KFG, FSG, BDG, GG, VBG, EO, VerG, WaffG, PyrotechnG usw., jeweils iVm § 8 Abs. 1 Z 1, § 8 Abs. 1 Z 4 iVm Abs. 3 Z 1, 3 oder 6, § 8 Abs. 4 sowie § 9 Z 1 bis 8 DSG 2000 an.

§ 13 SPG erhält die Ermächtigung für die Bundespolizeidirektion X, eine eigene Kanzleiordnung für die formale Behandlung der von ihr zu besorgenden Geschäfte festzulegen. In dieser Kanzleiordnung ist auch zu bestimmen, in welchem Umfang diese formale Behandlung automationsunterstützt erfolgen darf.

Wie bereits oben ausgeführt, müsste eine legitime Beschränkung des Grundrechts auf Datenschutz der Betroffenen durch eine gesetzliche Bestimmung geregelt sein, die nicht nur der EMRK entspricht, sondern im Fall der Verwendung sensibler Daten (die gegenständliche Meldung an die Datenschutzkommission geht von der Verwendung sensibler Daten aus) auch noch angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen beinhaltet.

Bei § 13 SPG handelt es sich zwar um eine Bestimmung in Gesetzesform, jedoch um keine, welche materiell den Grundrechtseingriff selbst regelt, sondern nur um die Ermächtigung für bestimmte Behörden, gewisse interne (Geschäftsbesorgungs ) Regeln ohne jegliche Außenwirkung festzulegen. Überdies enthält diese Bestimmung keinerlei angemessene Garantien i. S. des § 1 Abs. 2 zweiter Satz DSG 2000.

Die Kanzleiordnung der Bundespolizeidirektion X stellt ebenfalls keine geeignete Rechtsgrundlage für Eingriffe in das Grundrecht auf Datenschutz dar, zumal es sich hier erst recht um keine Gesetz im Sinne des § 1 Abs. 2 DSG 2000 handelt. Im Gegensatz zu Gesetzen oder Verordnungen dient eine Kanzleiordnung nicht dazu, rechtsverbindliche Wirkungen gegenüber außenstehenden Normunterworfenen zu entfalten, sondern dient zur Festlegung eines einheitlichen Ablaufes von Geschäftsbesorgungen innerhalb jener Behörde, für welche sie geschaffen wurde. Eine Kanzleiordnung stellt somit auch keinen Akt dar, der sich an Dritte richtet.

Die ebenfalls als besondere Rechtsgrundlage für die gemeldete Datenanwendung angeführten Materiengesetze regeln zwar jeweils bestimmte Bereiche polizeilicher Tätigkeiten, sind jedoch als Rechtsgrundlage speziell für die gegenständliche Datenanwendung, welche eine automationsunterstützt geführte Datei darstellt, in der alle natürlichen und juristischen Personen, auf die sich ein zu protokollierender Vorgang bezogen hat, gespeichert werden sollen, zu allgemein und entsprechen nicht den in § 1 Abs. 2 DSG 2000 genannten Kriterien.

In den in der Meldung weiters angeführten Paragrafen des Datenschutzgesetzes 2000 ist geregelt, wann schutzwürdige Geheimhaltungsinteressen von Betroffenen nicht verletzt werden; sie ersetzen jedoch keinesfalls die gemäß § 7 Abs. 1 DSG 2000 ebenfalls notwendige gesetzliche Zuständigkeit oder stellen gar eine gesetzliche Grundlage im Sinne des § 1 Abs. 2 bzw. des § 8 Abs. 1 Z 1 DSG 2000 dar.

Ein Eingriff in das Grundrecht auf Datenschutz, wie er durch die Datenanwendung 'Allgemeine Protokolle der Bundespolizeidirektion X (automationsunterstützt) Verwaltung der Dienststücke (Akten, Depositen etc.)' erfolgt, scheint somit durch keine der in der Meldung angegebenen Rechtsgrundlagen gerechtfertigt.

2. Zur Unverhältnismäßigkeit des Grundrechtseingriffes:

Nach herrschender Lehre hat jeder Eingriff in Grundrechte dem Grundsatz der Verhältnismäßigkeit zu entsprechen. Überdies enthält § 1 Abs. 2 DSG 2000 eine Bestimmung, wonach auch im Falle zulässiger Beschränkungen der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden darf.

Bei der Datenanwendung 'Allgemeine Protokolle der Bundespolizeidirektion X (automationsunterstützt) Verwaltung der Dienststücke (Akten, Depositen etc.)' handelt es sich den Ausführungen der Bundespolizeidirektion X zufolge um eine Datei, in der alle natürlichen und juristischen Personen gespeichert werden sollen, auf die sich ein zu protokollierender Vorgang bezieht, welche nicht in anderen, nach Aufgabengebieten unterschiedenen Dateien der Bundespolizeidirektion X erfasst werden. Es soll somit offensichtlich eine Datei geschaffen werden, die als 'Sammeldatei' all derjenigen Betroffenen fungieren soll, die keiner der übrigen vorhandenen Dateien zugeordnet werden können.

Es ist davon auszugehen, dass in dieser Datei aber keineswegs nur Daten einer vernachlässigbaren Anzahl von Personen gespeichert werden, die keiner der anderen Dateien zugeordnet werden konnten. Auf Grund des Umstandes, dass eine weitere aufgabenbezogene Trennung in zusätzliche elektronische Datenanwendungen nicht zielführend administrierbar wäre, verbunden mit der hohen Anzahl von Amtshandlungen pro Jahr im Bereich der Bundespolizeidirektion X, ist zu erwarten, dass die Zahl der in der Datei erfassten Personen sehr hoch sein dürfte.

Die gemeldeten Datenanwendung geht weit über ein reines Aktenprotokollierungssystem hinaus, da darin nämlich wesentlich mehr Datenarten eines Betroffenen verwendet werden, als dies zur Protokollierung und zur Weiterverfolgung der Akten bei Behörden üblicherweise notwendig wäre. Auch wenn man die besonderen Gegebenheiten bei Sicherheitsbehörden im Allgemeinen und bei der Bundespolizeidirektion X im Speziellen in Erwägung zieht, schiene es aus datenschutzrechtlicher Sicht bedenklich, wenn die Bundespolizeidirektion X im Zuge einer Dateneingabe bzw. einer Datenabfrage in der Lage wäre, quasi mit einem Knopfdruck, Einsicht in sämtliche Daten eines Betroffenen zu nehmen, die in der Datenanwendung 'Allgemeine Protokolle der Bundespolizeidirektion X (automationsunterstützt) Verwaltung der Dienststücke (Akten, Depositen etc.)' enthalten sind. Dadurch ist auch die Möglichkeit gegeben, alle Eintragungen im Zusammenhang mit früheren Amtshandlungen, welche mit der aktuellen Amtshandlung in keinem unmittelbaren Zusammenhang stehen, einzusehen. Mit der gegenständlichen Datei hätte die Bundespolizeidirektion X alle jemals darin über eine betroffene Person verwendeten Daten zur Verfügung, neben seinen Stammdaten, eben nicht nur Daten im Zusammenhang mit der Verwaltung des betreffenden Aktes, sondern darüber hinaus auch Personenbeschreibungen, Tatbestandsdaten, Sachverhaltsbeschreibungen, Fahrzeugdaten, Haftvermerke und Ähnliches. Es würde eine allgemeine Personendatei entstehen, in der alle im Laufe der Zeit zusammengetragenen Daten eines Betroffenen sofort abrufbar sind.

Das Argument, durch eine automationsunterstützte Aktenverwaltung im gegebenen Umfang, seien einzelne Aufgaben der Polizei effizienter zu erfüllen (wie zum Beispiel die Aktenzuordnung im Falle von Verkehrsunfällen, Zulassungsanfragen oder bei Verletzungsanzeigen von unbekannten Personen) rechtfertigt aus datenschutzrechtlicher Sicht im Hinblick auf die Schwere des Grundrechtsingriffs diesen nicht.

Die Datenschutzkommission verkennt nicht die Notwendigkeit der Einführung eines automationsunterstützt geführten Aktenprotokollierungssystems. Ein derartiges Aktenprotokollierungssystem, das vor allem bezüglich der Datenarten und Betroffenenkreise dem üblichen Standard der Aktenprotokollierung entspräche, wäre wohl als zulässig anzusehen.

Aus den Ausführungen der Bundespolizeidirektion X kann jedoch geschlossen werden, dass die geplante Datenanwendung nicht bloß dem dafür angegebenen Zweck (Protokollierung) dienen soll, sondern die Polizeiarbeit in ihrer Effizienz unterstützen soll. Im Hinblick auf den Zweck der Datenanwendung ist der geplante Eingriff überschießend und stellt überdies schon gar nicht das gelindeste Mittel dar, diesen Zweck zu erreichen.

Zusammenfassend kann festgestellt werden, dass nach Auffassung der Datenschutzkommission für die Datenanwendung 'Allgemeine Protokolle der Bundespolizeidirektion X (automationsunterstützt) Verwaltung der Dienststücke (Akten, Depositen etc.)' weder eine geeignete Rechtsgrundlage existiert noch die Verhältnismäßigkeit des Eingriffes in das Grundrecht auf Datenschutz im Hinblick auf Zweck und Inhalt der Datenanwendung gegeben ist.

Es war somit spruchgemäß zu entscheiden.

Rückverweise