BESCHEID
Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. ROSENMAYR-KLEMENZ, Dr. SOUHRADA-KIRCHMAYER, Dr. STAUDIGL, und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 12. Dezember 2003 folgenden Beschluss gefasst:
Spruch
Über die Beschwerde des Dr. E (Beschwerdeführer), Rechtsanwalt in O, auch vertreten durch E Partner, Rechtsanwälte in XXXX O, XXXXXXXXX 1, vom 5. August 2003, gegen die T Gesellschaft m. b.H. [Anmerkung: Firmenwortlaut aus Anonymisierungsgründen verändert] (Beschwerdegegnerin) in XXXX O, XXXXXXXXXX XXXXXXXX, wegen Verletzung des Rechts auf Auskunft über eigene Daten wird gemäß §§ 1 Abs 3 Z 1, 26 Abs 1 und 4, 31 Abs 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 136/2001, wie folgt entschieden:
1. Der Beschwerde wird hinsichtlich der Verletzung im Recht auf Auskunft stattgegeben und der Beschwerdegegnerin aufgetragen, binnen vier Wochen ab Zustellung dieses Bescheides dem Beschwerdeführer nach Erbringung eines Identitätsnachweises schriftlich Auskunft über die zu seiner Person verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung, Namen und Adressen von Dienstleistern sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form zu geben oder schriftlich zu begründen, warum die Auskunft nicht erteilt wird.
2. Im Übrigen wird die Beschwerde, insbesondere hinsichtlich des Antrags auf Feststellung von Verletzungen im Auskunftsrecht und im Grundrecht auf Datenschutz, abgewiesen.
Begründung
I) Verfahrensgang und Vorbringen der Parteien
Mit Schriftsatz ('Antrag') vom 5. August 2003, eingegangen und protokolliert am 13. August 2003, wandte sich der Beschwerdeführer an die Datenschutzkommission und erstattet unter Anschluss von Beweismitteln (Screenshots von Websites, Ausdruck von E-Mail-Header, Kopie Aufforderung an die Beschwerdegegnerin) ein umfangreiches Vorbringen mit auf § 30 DSG 2000 bezogenen Anträgen. Der Beschwerdeführer erachtet sich danach durch Verwendung seiner personenbezogenen Daten für ein unaufgefordert zugesendetes Werbe-E-Mail und Nichterfüllung eines Auskunftsbegehrens in seinen Rechten gemäß DSG 2000 verletzt.
Die Datenschutzkommission hat mit Erledigung vom 5. September 2003, GZ K120.881/002-DSK/2003, die Eingabe des Beschwerdeführers als inhaltlich mangelhaft im Sinne von § 13 Abs 3 Allgemeines Verwaltungsverfahrensgesetz 1991 (AVG), BGBl Nr 51/1991 idF BGBl I Nr 117/2002, qualifiziert und die Behebung dieser Mängel aufgetragen.
Der Beschwerdeführer hat mit Schriftsatz ('Stellungnahme') vom 8. Oktober 2003, eingegangen und protokolliert am 10. Oktober 2003, diese Mängel behoben und die spruchgemäß erledigten Anträge eingebracht.
Auf Vorhalt der Frage des Identitätsnachweises durch ein E-Mail des mit der Beschwerde befassten Sachbearbeiters hat der Beschwerdeführer zu dieser Frage am 17. November 2003 ein zusätzliches Vorbringen erstattet (GZ K120.881/006-DSK/2003).
Die Beschwerdegegnerin hat kein inhaltliches Vorbringen erstattet.
II) Beweismittel, Sachverhaltsfeststellung und Beweiswürdigung
Die Datenschutzkommission hat Beweis aufgenommen durch Einsichtnahme in die vom Beschwerdeführer vorgelegten Unterlagen (zwei Ausdrucke von Screenshots, Ausdruck eines E-Mail-Headers, Kopie des Auskunftsbegehrens des Beschwerdeführers) und seine Stellungnahme zur Frage des Identitätsnachweises vom 17. November 2003. Den Parteien wurde zum Ergebnis des Ermittlungsverfahrens Parteiengehör eingeräumt.
Die Datenschutzkommission stellt folgenden entscheidungsrelevanten Sachverhalt fest:
Aus Anlass eines am 8. Mai 2003 von der Beschwerdegegnerin an die E-Mailadresse seiner Rechtsanwaltskanzlei gesendeten Werbe-E-Mails richtete der Beschwerdeführer am 2. Juni 2003 ein auf § 26 DSG 2000 gestütztes und eigenhändig unterschriebenes Auskunftsbegehren an die Beschwerdegegnerin. Er verlangte darin, neben einem Unterlassungs- und einem Kostenersatzbegehren wegen Verletzung des so genannten SPAM-Verbots gemäß § 101 Telekommunikationsgesetz (TKG), BGBl I Nr 98/1998 idF BGBl I Nr 16/2003, 'Auskunft über meine bei ihnen gespeicherten Daten zu geben. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür anzuführen.' Weiters verlangte der Beschwerdeführer auch Auskunft über Name und Adresse von Dienstleistern.
Die Beschwerdegegnerin ließ dieses Auskunftsbegehren unbeantwortet.
Am 15. Mai 2003 gab es ein Telefongespräch zwischen dem Geschäftsführer der Beschwerdegegnerin und einem Kanzleimitarbeiter des Beschwerdeführers. Ein sonstiger persönlicher Kontakt zwischen Beschwerdeführer und Beschwerdegegnerin fand nicht statt, ein Identitätsnachweis wurde anlässlich des Auskunftsbegehrens vom Beschwerdeführer nicht erbracht.
Beweiswürdigung: Diese Feststellungen gründen sich auf die vom Beschwerdeführer vorgelegten Unterlagen und Urkundenkopien, insbesondere auf die Kopie des zitierten Auskunftsbegehrens, vorgelegt als Beilage zur Beschwerde vom 8. August 2003, GZ K120.881/001-DSK/2003. Die Beschwerdegegnerin hat, trotz Aufforderung durch die Datenschutzkommission, Vorlage der Beweismittel und Einräumung von Parteiengehör (GZ K120.881/004-DSK/2003 vom 10. Oktober 2003 sowie GZ K120.881/007-DSK/2003 vom 19. November 2003) kein eigenes inhaltliches Vorbringen zur Sache gemacht. Die Feststellung, dass der Beschwerdeführer keinen tauglichen Identitätsnachweis erbracht hat, gründet sich auf die Stellungnahme des Beschwerdeführers vom 17. November 2003, die dieser auf Anfrage des Sachbearbeiters des Büros der Datenschutzkommission eingebracht hat (GZ K120.881/006- DSK/2003). Darin heißt es u.a.: 'Es ist daher festzuhalten, dass durch dieses Ferngespräch (Anmerkung: vom 15. Mai 2003) und die an die T GmbH gesandten anwaltlichen Schreiben die Identität in geeigneter Form (im Sinne des § 26 DSG) nachgewiesen wurde. [Absatz] Weiters ist festzuhalten, dass der Nachweis der Identität im Verhältnis zwischen meiner Kanzlei und der T GmbH zu keiner Zeit strittig war.' Es besteht kein Grund, dieses Vorbringen des Beschwerdeführers nicht für wahr zu halten. Die sachverhaltsmäßige Schlussfolgerung, dass kein Identitätsnachweis erbracht wurde, ergibt sich daher aus dem Vorbringen des Beschwerdeführers selbst, der offenkundig den Standpunkt vertritt, beiderseitiges Vertrauen auf die Identität des Gegenübers mache einen Identitätsnachweis überflüssig. Darauf wird noch in der rechtlichen Begründung einzugehen sein.
III) Rechtliche Beurteilung
Aus dem festgestellten Sachverhalt ergeben sich die folgenden rechtlichen Schlussfolgerungen:
a) anzuwendende Rechtsvorschriften
Unter Überschrift 'Grundrecht auf Datenschutz' enthält die Verfassungsbestimmung § 1 Abs 3 Z 3 DSG 2000 folgende Grundsätze des datenschutzrechtlichen Auskunftsrechts über eigene Daten:
'Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden'.
Gemäß Abs 5 leg.cit ist das Grundrecht auf Datenschutz mit Ausnahme des Rechts auf Auskunft gegenüber Rechtsträgern, die in Formen des Privatrechts eingerichtet sind, auf dem Zivilrechtsweg geltend zu machen.
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs 3 Z 1 DSG 2000 ('nach Maßgabe gesetzlicher Bestimmungen') Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß Abs 1 leg.cit. hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt UND SEINE IDENTITÄT IN GEEIGNETER FORM NACHWEIST (Unterstreichung nicht im Gesetzestext [Anmerkung: Unterstreichung durch Großbuchstaben ersetzt]). Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
Gemäß § 26 Abs 4 DSG 2000 ist die Auskunft binnen acht Wochen zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.
b) Umfang des Auskunftsrechts, Identitätsnachweis, Mitwirkungsobliegenheit
§ 26 Abs 1 DSG 2000 knüpft die Auskunftserteilung an die Bedingung, dass der Betroffene gegenüber dem Auftraggeber seine Identität nachweist. Der Identitätsnachweis ist conditio sine qua non für das Entstehen eines Anspruchs auf inhaltliche Auskunft. Diese Bestimmung hat den klar erkennbaren Zweck, jedem möglichen Missbrauch des Auskunftsrechts zur Informationsbeschaffung durch Dritte einen Riegel vorzuschieben. Ein Auftraggeber darf ohne Vorliegen eines Identitätsnachweises keine Daten an den Auskunftswerber – von dem er in diesem Moment nur annehmen kann, dass er tatsächlich der Betroffene ist – übermitteln, da er sonst das Datengeheimnis gemäß § 15 Abs 1 DSG 2000 verletzen könnte. Bloßes Vertrauen auf die Identität des Auskunftswerbers kann den Identitätsnachweis nicht ersetzen, da mit einer derart großzügigen Auslegung der Wortfolge 'in geeigneter Form nachweist' dem Schutzzweck der Norm die Grundlage entzogen wäre. Auch ein Außerstreitstellen dieser Frage ist nicht möglich, ebenso wenig kann ein Telefongespräch zwischen einem Dritten und einem Organ der Beschwerdegegnerin (Geschäftsführer) den Identitätsnachweis ersetzen. Die Ausübung des Auskunftsrechts ist eine persönliche Rechtshandlung, die grundsätzlich vom Betroffenen selbst vorzunehmen ist. Denkmögliche Ausnahmen müssen an dieser Stelle nicht erörtert werden.
Allerdings enthebt das Nichtvorliegen eines Identitätsnachweises den datenschutzrechtlichen Auftraggeber nicht von der Pflicht, auf das Auskunftsbegehren zu reagieren. Denn gemäß § 26 Abs 3 DSG 2000 hat der Betroffene auf Verlangen ('Befragen') des Auftraggebers am Auskunftsverfahren mitzuwirken (so genannte Mitwirkungsobliegenheit) – damit steht dem Auftraggeber ein Instrument zur Verfügung, das Nachholen des Identitätsnachweises zu erwirken –, und hat der datenschutzrechtliche Auftraggeber gemäß Abs 4 leg.cit. zumindest gegenüber dem Auskunftswerber schriftlich zu begründen, warum die Auskunft nicht erteilt wird. Diese Begründung könnte etwa sinngemäß auch lauten: 'Auskunft wird nicht erteilt, weil sie ihre Identität trotz Aufforderung nicht nachgewiesen haben.' Weist der Auskunftswerber also seine Identität nicht nach, so reduziert sich der Vollanspruch auf inhaltliche Auskunft darauf, eine entsprechende schriftliche Begründung für das Nichterteilen der Auskunft zu erhalten. Das Unterbleiben jeglicher Reaktion des datenschutzrechtlichen Auftraggebers auf ein Auskunftsbegehren verletzt den Betroffenen aber jedenfalls in seinem subjektiven Recht gemäß § 26 Abs 1 und 4 DSG 2000 und damit implizit auch im Grundrecht auf Datenschutz (Auskunft) gemäß § 1 Abs 3 Z 1 DSG 2000.
Daher war der Beschwerdegegnerin im Spruchpunkt 1. alternativ aufzutragen, entweder, nach Erbringung eines Identitätsnachweises durch den Beschwerdeführer, Auskunft zu erteilen oder eine schriftliche Begründung zu liefern, warum sie einen Anspruch auf Auskunft nicht für gegeben hält. Die Auskunftserteilung mit Stand Anfang Juni 2003 muss weiterhin möglich sein, da die Beschwerdegegnerin durch § 26 Abs 7 DSG 2000 unter Strafdrohung (§ 52 Abs 1 Z 4 DSG 2000) daran gehindert war, die Daten des Beschwerdeführers während eines anhängigen Auskunftsverfahrens bis zu einer rechtskräftigen Entscheidung der Datenschutzkommission zu löschen.
c) kein selbstständiges Feststellungsinteresse gegeben
Der Beschwerdeführer stellte auch einen Antrag (Punkt 1. der Anträge im Schriftsatz vom 8. Oktober 2003, GZ K120.881/003- DSK/2003) auf Feststellung der Verletzung seines Rechts 'auf Auskunft gemäß § 26 DSG' sowie seines 'Grundrechts auf Datenschutz'. Letzteres ist, um die durch § 1 Abs 5 DSG 2000 verfassungsrechtlich gezogene Zuständigkeitsgrenze zu wahren, gesetzeskonform so zu interpretieren, dass damit das Grundrecht auf Auskunft gemäß § 1 Abs 3 Z 1 DSG 2000 gemeint ist.
Wie die Datenschutzkommission in inzwischen gefestigter Spruchpraxis judiziert, müssen ohne ausdrücklich durch Gesetz eingeräumtes Recht auf Feststellung eines Rechts oder Rechtsverhältnisses – also auch einer Rechtsverletzung – besondere Voraussetzungen vorliegen, um ein entsprechendes Begehren bescheidmäßig erledigen zu können. Ein entsprechendes Parteienbegehren muss insbesondere ein notwendiges Mittel zweckentsprechender Rechtsverfolgung sein (Raschauer, Allgemeines Verwaltungsrecht (1998), Rz 942). Die Feststellung, dass der Auftraggeber zur Auskunft verpflichtet ist, beinhaltet aber auch als logische Voraussetzung die Feststellung, dass die bisherige Verweigerung der Auskunft rechtswidrig war. Damit ist ein separates Begehren auf Feststellung einer Rechtsverletzung aber kein notwendiges Mittel zweckentsprechender Rechtsverfolgung mehr, da der Beschwerdeführer durch den auf Auskunftserteilung lautenden Spruch bereits sein subjektives Recht erhalten hat und der gesetzmäßige Zustand dadurch hergestellt wurde (vgl. dazu etwa die Bescheide der Datenschutzkommission vom 26. Februar 2003, GZ K120.760/004-DSK/2002 (Auskunftsrecht), 20. August 2003, GZ K120.645/003-DSK/2002 (Löschungsrecht), vom 14. Februar 2003, GZ K120.782/001-DSK/2003 (Auskunftsrecht), sowie vom 12. September 2003, GZ K120.845/012-DSK/2003 (Löschungsrecht), alle enthalten in der RIS-Datenbank der Datenschutzkommission, http://www.ris.bka.gv.at/dsk/).
Das Feststellungsbegehren war daher spruchgemäß abzuweisen.
Rückverweise
Keine Verweise gefunden
