K211.496/0003-DSK/2004 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert. In diesem Bescheidtext wurde auch ein Ausfertigungsfehler im Sinne der vorliegenden Urschrift des Beschlusses berichtigt.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. DUSCHANEK, Mag. HEIßENBERGER, Dr. SOUHRADA-KIRCHMAYER und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 18. Mai 2004 folgenden Beschluss gefasst:

S p r u c h

Über das Anbringen des H**** (Einschreiter) aus N***, vertreten durch die L**** Rechtsanwalts-GmbH in N***, betreffend Ausübung der Befugnisse der Datenschutzkommission gemäß § 30 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 136/2001, wegen behaupteter datenschutzrechtlicher Rechts- und Pflichtenverletzungen durch J**** Inc. als Betreiberin der Internet-Suchmaschine 'J****' samt Usenet-Archiv 'J****-Archiv', wird hinsichtlich des Antrags auf bescheidmäßigen Abspruch über das Begehren auf Einschreiten der Datenschutzkommission zur Durchsetzung der Rechte des Einschreiters nach DSG 2000 und E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/2001, gemäß §§ 1 Abs. 5 und 30 DSG 2000 sowie § 26 ECG wie folgt entschieden:

B e g r ü n d u n g:

Herr H****, vertreten durch die L**** Rechtsanwalts-GmbH. hat am 25. März 2003 ein als "Beschwerde gemäß § 30, 31 DSG 2000" getiteltes Schreiben an die Datenschutzkommission gerichtet.

In diesem Schreiben wurden Vorwürfe gegen das Unternehmen J**** Inc. an der Adresse seines Büros in Hamburg, Deutschland, erhoben. Der Einschreiter warf J**** Inc. Verstöße gegen das österreichische Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, und das E-Commerce-Gesetz, BGBl. I Nr. 152/2001, im Zusammenhang mit Postings, die er in der Newsgroup [Name der Newsgroup] gemacht hatte. Das Schreiben war zwar als "Beschwerde gemäß § 30, 31 DSG 2000" bezeichnet, enthielt aber keine Beschwerde nach § 31 DSG 2000, sondern nur einen Antrag nach § 30 DSG 2000 und eine Aufforderung, J**** Inc. zur Löschung bestimmter Postings zu verpflichten. Die letztere Aufforderung enthielt keine Berufung auf bestimmte Rechtsgrundlagen.

Die Datenschutzkommission hat mit Schreiben vom 21. Juni 2003 den Einschreiter um Präzisierung des Vorbringens ersucht. Insbesondere wurde ersucht, die Beschwerdepunkte klar nach § 30 und 31 DSG 2000 aufzutrennen und auch zu den behaupteten Verstößen gegen das E-Commerce-Gesetz ein klares Vorbringen zu erstatten, insbesondere in welcher Form dies die Datenschutzkommission betrifft.

Mit Schriftsatz vom 17. Juli 2003 wurde ausdrücklich erklärt, dass keine Entscheidung gemäß § 31 DSG 2003 beantragt wird. Stattdessen wurde behauptet, dass ein Rechtsanspruch auf Einschreiten der Datenschutzkommission auch im Bereich des § 30 DSG 2000 bestünde. Falls die Datenschutzkommission dieser Ansicht nicht zustimmen sollte, wurde ein Bescheid verlangt.

Zu Punkt 1 des Spruches

§ 30 DSG 2000 ist ein Aufsichtsrecht, auf dessen Ausübung durch die Behörde kein subjektiver Rechtsanspruch besteht. Insbesondere besteht kein Anspruch auf bescheidmäßige Erledigung. Die Ausübung des Aufsichtsrechtes kann zwar angeregt, nicht aber erzwungen werden (vgl. hiezu die Entscheidungen des Verwaltungsgerichtshofes vom 6. November 2002, Zl. 2000/04/0112 16. September 1997, Zl. 97/05/0209, und vom, 18. März 1994, Zl. 94/12/0034, sowie den Beschluss vom 14. Dezember 1995, Zl. 94/19/1203).

Der Einschreiter will sein subjektives Recht auf Geheimhaltung bzw. Löschung von Daten geltend machen. Diese Rechte sind gegenüber Rechtsträgern, die in Formen des Privatrechts eingerichtet sind, auf dem Zivilrechtsweg geltend zu machen (§§ 1 Abs. 5 und 32 Abs. 1 DSG 2000). Die Zuständigkeit der Gerichte zur Entscheidung über subjektive Rechte darf nicht im Wege der Untersuchungs- und Kontrollrechte nach § 30 DSG 2000 umgangen werden.

Zu Punkt 2 des Spruches

Was die Ausführungen des Einschreiters zum E-Commerce-Gesetz betrifft, ist auszuführen, dass die Datenschutzkommission zur Vollziehung des E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/2001, nicht zuständig ist. Dies wurde dem Rechtanwalt des Einschreiters mit Schreiben vom 21. Juni 2003 mitgeteilt. Er wurde auch an die zuständigen Behörden verwiesen, womit dem Erfordernis des § 6 Abs. 1 AVG Genüge getan ist. Das E-Commerce-Gesetz enthält Bestimmungen zur Zuständigkeit (§ 30 ECG); die Datenschutzkommission kommt darin nicht vor.

In seinem Schriftsatz vom 17. Juli 2003 behauptete der Rechtsanwalt des Einschreiters, dass gemäß Art. 19 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt ("Richtlinie über den elektronischen Geschäftsverkehr") alle Behörden ohne Berücksichtigung der nationalen Zuständigkeit zusammenzuarbeiten hätten. Die Datenschutzkommission solle bei der "nächsten Bezirksverwaltungsbehörde" (sic!) Anzeige erstatten und mit Hilfe der deutschen Behörden eine Strafe gegen die J**** Inc. erwirken.

Diese Ausführungen sind rechtlich nicht haltbar. Die Richtlinie 2000/31/EG sieht eine Zusammenarbeit zwischen so genannten Verbindungsstellen vor, deren Anschrift der EU-Kommission und den Mitgliedstaaten mitzuteilen ist. Seitens Österreichs wurde die Datenschutzkommission nicht als Verbindungsstelle nominiert. Sie ist deshalb weder auf Grund der Richtlinie 2000/31/EG noch auf Grund des E-Commerce-Gesetzes, das die Richtlinie in Österreich umsetzt, im Bereich des E-Commerce zuständig. Es besteht daher auch kein subjektives Recht auf Anzeige bei der Bezirksverwaltungsbehörde durch die Datenschutzkommission.

In seinem Schriftsatz vom 17. Juli 2003 behauptete der Rechtsanwalt des Einschreiters auch, es sei gemäß Art. 28 Abs. 4 Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("Datenschutzrichtlinie") zulässig, sich an jede Kontrollstelle in jedem EU-Land zu wenden. Diese Ansicht ist falsch.

Die Kontrollstellen werden in Art. 28 Abs. 4 im Plural angesprochen, weil gemäß Art. 28 Abs. 2 der genannten Richtlinie die Mitgliedstaaten das Recht haben, eine oder mehrere öffentliche Stellen mit der Aufgabe der Kontrollstellen zu betrauen. Grundsätzlich ist es den Mitgliedstaaten überlassen, welche Behörden sie betrauen, und es ist der Richtlinie nichts zu entnehmen, was auf einen Willen des europäischen Parlaments hindeutet, alle Kontrollstellen europaweit für alle Fälle ohne Rücksicht auf die örtliche und sachliche Zuständigkeit zuständig zu machen.

Es war daher spruchgemäß zu entscheiden.