K120.877/0017-DSK/2004 – Datenschutzkommission Entscheidung

BESCHEID

Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 25. Juni 2004 folgenden Beschluss gefasst:

Spruch

Über die Beschwerde des Dr. med. H (Beschwerdeführer) gegen das Amt der niederösterreichischen Landesregierung (Beschwerdegegner) als registrierter Auftraggeber zu DVR 0059986 für die Datenanwendung 'Impfdokumentation' wegen Verletzung seines Rechts auf Geheimhaltung und Löschung schutzwürdiger personenbezogener Daten durch Verarbeitung in obbezogener Datenanwendung sowie zahlreiche weitere Anbringen wird gemäß §§ 1 Abs 1, 7 Abs 1, 8 Abs 1 Z 4, Abs 3 Z 1, 16 Abs 2, 27 Abs 4 und 31 Abs 2 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 136/2001, wie folgt entschieden:

1. Der Beschwerde wird insoweit stattgegeben, als der Beschwerdegegner den Beschwerdeführer dadurch, dass auf sein Löschungsbegehren vom 13. April 2003 keine Antwort gemäß § 27 Abs 4 DSG 2000 (Mitteilung über erfolgte Löschung oder begründete Ablehnung des Löschungsbegehrens) erteilt wurde in seinem im Recht auf Löschung enthaltenen subjektiven Recht auf Erhalt einer solchen Mitteilung verletzt hat.

2. Dem Beschwerdegegner wird aufgetragen, binnen zwei Wochen ab Zustellung sich gemäß § 27 Abs 4 DSG 2000 dem Beschwerdeführer gegenüber zum Löschungsbegehren zu äußern.

A) Beschwerdevorbringen und Replik darauf

Mit Schreiben vom 13. Juli 2003 wandte sich der Beschwerdeführer an die Datenschutzkommission (Datenverarbeitungsregister), rügte die nicht erfolgte Reaktion des Beschwerdegegners auf seinen 'Löschungsantrag' vom 13. April 2003 und ersuchte darum, gegen den Beschwerdegegner 'vorzugehen'. Er bestritt, dass die für Zwecke der Dokumentation von Impfungen vom Beschwerdegegner durchgeführte Datenanwendung 'Impfdokumentation' über eine ausreichende Rechtsgrundlage verfügt, daher sei die Verarbeitung personenbezogener Daten für diesen Zweck rechtswidrig. Er legte dazu und in weiterer Folge umfangreiche Korrespondenz mit dem Beschwerdegegner und dem Datenverarbeitungsregister vor. Er stellte in diesen Eingaben verschiedene Anträge, behauptete unter anderem ein subjektives Recht auf Tätigwerden der Datenschutzkommission gemäß § 30 DSG 2000 sowie auf Parteistellung im tatsächlich derzeit anhängigen Verfahren gemäß § 22 Abs 4 DSG 2000 zur Überprüfung der Registrierung der Datenanwendungen des Beschwerdegegners, Zl. K095.021 der Datenschutzkommission.

Der Beschwerdegegner brachte vor, die entsprechenden Daten für Dokumentation, Abrechnung und zum Nachweis der Verwendung öffentlicher Mittel zu benötigen. Der Beschwerdeführer führe als Kinderarzt Impfungen durch, die für die Patienten gratis aus öffentlichen Mitteln finanziert würden, dafür seien eine entsprechende Dokumentation sowie Daten für Verrechnungszwecke (Bezahlung des Impfstoffes, Honorar des Impfarztes) erforderlich.

Mit Erledigung vom 19. Februar 2004, GZ K120.877/0005- DSK/2004, wurde dem Beschwerdeführer zur Behebung inhaltlicher Mängel seiner Beschwerde ein Vorbringen zu bestimmten Punkte sowie die Stellung eines bestimmten Begehrens (Beschwerdeantrag) aufgetragen. Der Beschwerdeführer beantragte darauf mit Eingabe vom 10. März 2004:

B) Ermittlungsverfahren und verwendete Beweismittel

Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einholung von Stellungnahmen des Beschwerdegegners (GSxxxxxxxx/128-04 vom 6. Februar 2004 sowie ergänzende E-Mail von Landessanitätsdirektor Dr. F vom 9. April 2004), Einsichtnahme in das Datenverarbeitungsregister, DVR: 0059986, Einsichtnahme in die vom Beschwerdeführer vorgelegten Schriftsätze und Urkunden(-kopien), sowie Durchführung eines Augenscheins durch Beauftragte der Datenschutzkommission beim Amt der nö. Landesregierung (Niederschrift darüber: GZ K120.877/0012- DSK/2004 samt Beilagen). Dem Beschwerdeführer wurde zu den Ergebnissen des Ermittlungsverfahrens, so weit sie nicht von ihm selbst stammen, Parteiengehör gewährt.

C) Die Datenschutzkommission stellt folgenden

entscheidungsrelevanten Sachverhalt fest:

Der Beschwerdeführer führt eine Praxis als Facharzt für Kinderheilkunde in Z, Niederösterreich, und führt als solcher auch gesundheitsbehördlich empfohlene Schutzimpfungen an seinen Patienten durch (Tätigkeit als Impfarzt). Diese Impfungen werden aus gesundheitspolitischen Erwägungen für Patienten im Alter bis 14 Jahre mit Impfstoff durchgeführt, der dem Impfarzt wie den Patienten auf Rechnung der öffentlichen Hand (niederösterreichische Landesregierung) von den Apotheken zur Verfügung gestellt wird, ebenso erhält der Impfarzt dafür ein Honorar, das von der Landesverwaltung überwiesen wird. Die Bereitstellung der dafür notwendigen Haushaltsmittel sowie die Aufteilung der Kosten erfolgt im Rahmen der Privatwirtschaftsverwaltung des Bundes und der Länder nach Anteilen unter Einbeziehung des Hauptverbands der Sozialversicherungsträger (zentrale Impfstoffbestellung, Statistik) auf Grundlage einer als 'Impfkonzept 1999' bezeichneten vertraglichen Vereinbarung (mündliche Vereinbarung und korrespondierender Briefwechsel der damals zuständigen Bundesministerin mit den neun Landesregierungen und dem Hauptverband der Sozialversicherungsträger) aus dem Jahr 1999.

Beweiswürdigung: Diese Feststellungen gründen sich teils auf eigenes Vorbringen des Beschwerdeführers, teils auf die Angaben des Beschwerdegegners (Stellungnahme vom 6. Februar 2004, Kennzeichen GSxxxxxxxx/128-04). Weiters auf das Schreiben (E-Mail) des Landessanitätsdirektors Dr. F vom 9. April 2004, protokolliert als GZ K120.877/0011-DSK/2004 und das vom Beschwerdegegner anlässlich des Augenscheins am 4. Juni 2004 als Beilage vorgelegte 'Ablaufdiagramm Impfkonzept' (Beilage zu GZ K120.877/0012-DSK/2004).

Das Amt der niederösterreichischen Landesregierung hat am 6. Juni 2000 (Datum des Eingangs beim Datenverarbeitungsregister) als verantwortlicher Auftraggeber der Datenschutzkommission (Datenverarbeitungsregister) unter der ihm zugeteilten Registernummer DVR: 0059986 die Datenanwendung 'Impfdokumentation' neu gemeldet. Diese Datenanwendung wurde ohne Verbesserungsverfahren registriert. Diese Datenanwendung sieht die Verarbeitung folgender Datenarten vor, die den Beschwerdeführer als Angehörigen der betroffenen Personengruppe 'Impfarzt' (laufende Nr 2 des Einlagebogens zur Datenanwendung 'Impfdokumentation') betreffen:

Die Übermittlung aller angeführten Datenarten an die Bezirksverwaltungsbehörden (Abt. Gesundheitsamt) ist vorgesehen, ebenso die Übermittlung der Datenarten 'Name', 'Anschrift' und 'Bankverbindung' an die Buchhaltungsabteilung beim Auftraggeber.

Beweiswürdigung: Diese Feststellungen gründen sich auf den Stand des Datenverarbeitungsregisters, Einlagebogen (undatiert), Eingang vom 6. Juni 2000, ausgedruckt am 15. Jänner 2004, einliegend als GZ K120.877/002-DSK/2004.

In der Praxis erfolgt die Datenverwendung für Zwecke der 'Impfdokumentation' so, dass der Impfarzt die erforderlichen Daten seiner Patienten, einschließlich seiner eigenen, anlässlich der Impfung seines Patienten mittels einer von der Gesundheitsbehörde aufgelegten amtlichen Impfliste erhebt und festhält. Diese Impflisten werden sodann in regelmäßigen Abständen vom Impfarzt im Falle des Beschwerdeführers dem Magistrat der Stadt Z als zuständiger Bezirksverwaltungs- und Gesundheitsbehörde übersendet. Dort erfolgt die Erfassung und Speicherung der Daten für den Beschwerdegegner als Auftraggeber in der Datenanwendung 'Impfdokumentation'.

Beweiswürdigung: Diese Feststellungen gründen sich auf die glaubwürdigen Angaben des Beschwerdegegners (Stellungnahme vom 6. Februar 2004, Kennzeichen GSxxxxxxxx/128-04). Vom Beschwerdeführer wurde kein gegenteiliges Vorbringen gemacht.

Am 14. April 2003 richtete der Beschwerdeführer, nach mehrmaligem vorangegangenen Briefwechsel rund um die Frage der Rechtmäßigkeit der Datenanwendung 'Impfdokumentation', an den Beschwerdegegner – unter Bezugnahme auf das Verfahren zur Überprüfung des für die Erfüllung der Meldepflicht erheblichen Sachverhalts (§ 22 Abs 4 DSG 2000), Zl. K095.021 der Datenschutzkommission – ein Schreiben mit unter anderem folgendem Begehren:

'Daher verlange ich folgendes:

Bis zur Entscheidung der Datenschutzkommission ist jegliche Weitergabe der Impfdaten einzustellen. Die Ihnen übergebenen Impflisten sind zurück zu geben oder zu löschen.'

Auf dieses, dem Beschwerdeführer zugegangene Schreiben erfolgte keine Antwort.

Beweiswürdigung: Diese Feststellungen stützen sich auf die vorliegende Kopie (nicht unterschriebener Ausdruck) des zitierten Schreibens, vorgelegt als Beilage zur Beschwerde vom 13. Juli 2003. Die Feststellung, dass das Schreiben vom 14. April 2003 unbeantwortet geblieben ist, stützt sich auf das unbestritten gebliebene Vorbringen des Beschwerdeführers (zuletzt bestätigt in der Stellungnahme vom 10. März 2003).

Der Beschwerdegegner benützt zum Betrieb der Datenanwendung 'Impfdokumentation' die von der YXZ Software Systeme GmbH [Anmerkung des Bearbeiters: Name/Firma aus Anonymisierungsgründen verändert] gelieferte Software 'Impfdatenbank IMPF98 (Version 02.00.01). Sie wird seit 1. April 2002 im Echtbetrieb geführt.

Folgende Daten über den Beschwerdeführer waren am 4.Juni 2004 in der Datenanwendung 'Impfdokumentation' verarbeitet:

[Datenart (Dateninhalt)]

Datengruppe 'Persönliche Angaben'

Zuname (H)

Vorname (******)

Titel (Dr.)

Straße (********************)

PLZ (****)

Ort (Z)

Gemeinde (Z)

BH (** [Anmerkung: Abkürzung Kfz-Kennzeichen] Z))

Arzt-Nr. (N-****)

Telefon (0***-*****)

Datengruppe 'Weitere Angaben'

Arztgruppe (Arzt (Allgemein, Kinderfacharzt)) LACNNR/LACNA (*********)

BLZ (*****)

Konto-Nr (*****)

Code (3972 ***5 18*0 0*** 3***10)

Im Verzeichnis 'Durchgeführte Impfungen' ist weiters für den Zeitraum 01.04.2002 bis 04.06.2004 eine einzige vom Beschwerdeführer durchgeführte Impfung dokumentiert (31.03.2003, Auffrischungsimpfung mit Impfstoff 'FSME Encepur', Charge '0****1A', Kategorie 'Amtlicher Impfstoff' in der Ordination des Beschwerdeführers). Die übrigen Daten in dieser Rubrik beziehen sich auf den Patienten/Impfling.

Weitere Daten, die den Beschwerdeführer betreffen, konnten nicht gefunden werden (allgemeine Personensuche negativ).

Die Bedeutung der meisten Datenarten spricht für sich selbst. Bei der Datenart 'LACNNR/LACNA' handelt es sich um ein Sammelkonto der Landesbuchhaltung für Zwecke der Honorarverrechnung. Die Datenart 'Code' gibt einen 22- stelligen Zugangscode an, der für die Teilnahme an der ADVgestützten Übermittlung von Impfdaten benötigt wird. Das Programm vergibt diesen Code selbständig für jeden erfassten Arzt, unabhängig davon, ob er die Daten zu durchgeführten Impfungen automationsunterstützt übermittelt oder – wie der Beschwerdeführer – in Impflisten erfasst. Es handelt sich um eine Zahl, die keine Rückschlüsse auf die Person des Impfarztes zulässt.

Beweiswürdigung: Diese Feststellung gründen sich auf die im Rahmen eines Augenscheins in Anwesenheit von Beauftragten der Datenschutzkommission am 4. Juni 2004 durchgeführten Abfragen aus der Impfdokumentation samt Beilagen (Ausdrucken so genannter Screenshots) und den von den Anwesenden gemachten Erläuterungen (GZ K120.877/0012-DSK/2004).

D) In rechtlicher Hinsicht folgt daraus

1) anzuwendende Rechtsvorschriften

Gemäß § 7 Abs 1 DSG 2000 dürfen Daten verarbeitet werden, wenn Zweck und Inhalt der Datenanwendung Deckung in den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Auftraggebers findet und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzt. Solche Geheimhaltungsinteressen sind bei Verwendung nichtsensibler Daten gemäß § 8 Abs 1 DSG 2000 dann nicht verletzt, wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht (Z 1) oder wenn überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern (Z 4). Aus letzterem Grunde sind schutzwürdige Geheimhaltungsinteressen insbesondere gemäß § 8 Abs 3 DSG 2000 unter anderem dann nicht verletzt, wenn die Verwendung der Daten für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist (Z 1) oder wenn die Verwendung der Daten zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem erforderlich ist.

Gemäß § 27 Abs 1 DSG 2000 hat jeder Auftraggeber unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist (Z 1) oder auf begründeten Antrag des Betroffenen (Z 2).

Gemäß § 27 Abs 4 DSG 2000 hat der Auftraggeber innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung diesem zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.

2) Anwendung auf den Beschwerdefall

Kein Recht auf 'Löschung sämtlicher Daten' einer Datenanwendung für einen Betroffenen

Der Beschwerdeführer behauptet nach seinem gesamten Vorbringen ein Recht, die Löschung aller in der Datenanwendung 'Impfdokumentation' verarbeiteten Daten aus verschiedenen formellen Gründen (verspätete Meldung, Fehlerhaftigkeit der Meldung, mangelnde Rechtsgrundlagen etc.) erreichen zu können. Dazu ist zunächst zu sagen, dass der Beschwerdeführer zunächst einmal nur ein subjektives Recht beanspruchen kann, die Löschung seiner personenbezogenen Daten im Sinne von § 4 Z 1 DSG 2000 als Betroffener gemäß § 4 Z 3 DSG 2000 zu erreichen. Er ist weder berechtigt, die Löschung sämtlicher personenbezogenen Daten, die in der Datenanwendung 'Impfdokumentation' verarbeitet werden, noch die Rückgabe irgendwelcher Urkunden, wie der Impflisten, die zur Erhebung dieser Daten gedient haben, zu verlangen. Dieser Schluss ergibt sich schon daraus, dass die Verfassungsbestimmung § 1 Abs 3 DSG 2000 zwar das Grundrecht auf Löschung von Daten 'Jedermann' einräumt, dies allerdings nur soweit 'ihn betreffende personenbezogene Daten' zur Verarbeitung bestimmt sind. Niemand hat daher ein subjektives Recht, die Löschung fremder Daten zu verlangen.

Kein Anspruch auf Ausübung der Kontrollbefugnisse nach § 30 DSG 2000

Auch auf die Ausübung der Kontrollbefugnisse der Datenschutzkommission gemäß § 30 DSG 2000 hat niemand ein subjektives Recht. Die Datenschutzkommission ist durch Gesetz gemäß § 30 Abs 7 DSG 2000 verpflichtet, den Einschreiter, der die Ausübung dieser Befugnisse durch seine Eingabe angeregt hat, darüber zu informieren, wie mit seiner Eingabe verfahren wurde (das heißt beispielsweise, ob die Datenschutzkommission überhaupt nähere Ermittlungen durchgeführt hat oder durchführen wird oder die in § 30 Abs 6 DSG 2000 vorgesehenen Maßnahmen zur Anwendung bringen wird). Dies wird hinsichtlich des Vorbringens des Beschwerdeführers, das nur nach § 30 DSG 2000 behandelt werden kann, zum gegebenen Zeitpunkt geschehen. Dem Einschreiter kommt aber in keinem der in § 30 DSG 2000 vorgesehenen Verfahren Parteistellung zu. Auch das Einschreiten gemäß § 30 Abs 1 DSG 2000 ist kein Recht für jedermann sondern an die Bedingung geknüpft, dass der Einschreiter eine ihn betreffende Rechts- oder Pflichtenverletzung eines Auftraggebers behaupten muss, weshalb die diesbezüglichen Anträge gemäß Punkt 4 des Spruches zurückzuweisen waren.

DVR-Registermeldung und Rechtmäßigkeit einer Datenanwendung

Zu dem Vorwurf, dass die in Rede stehende Datenanwendung mangels rechtzeitiger Meldung nicht zulässig sei, ist auszuführen: Die Registrierung einer Datenanwendung hat deklarativen Charakter, es handelt sich dabei um die Erfüllung einer Pflicht. Die materiellrechtliche Zulässigkeit einer Datenanwendung muss der Datenschutzkommission bereits anlässlich der DVR-Meldung gemäß § 19 Abs 1 Z 2, 3 und 5 DSG 2000 bescheinigt werden, sie wird nicht durch die Meldung oder Registrierung erworben. Es kann somit die rechtliche Zulässigkeit einer Datenanwendung auch in Fällen gegeben sein, wenn eine Meldung nicht rechtzeitig eingebracht wurde. Dies stellt allenfalls eine Verletzung der Registrierungspflicht gemäß §§ 17ff DSG 2000 dar.

Materiellrechtliche Grundlagen der Impfdokumentation – Privatwirtschaftsverwaltung

Der Beschwerdeführer ist nur als Impfarzt Betroffener der Datenanwendung 'Impfdokumentation', verarbeitet werden die oben festgestellten Daten. Daraus folgt, dass ihn betreffend keine sensiblen (etwa gesundheitsbezogenen) Daten verarbeitet werden.

Für den Bereich des öffentlichen Gesundheitswesens (Amtsärzte, Gesundheitspolizei, Impfwesen) stellt das Reichssanitätsgesetz, RGBl Nr. 68/1870, die allgemeine Rechtsgrundlage dar.

Gemäß Art 10 Abs 1 Z 12 Bundes-Verfassungsgesetz (B-VG) fällt das 'Gesundheitswesen mit Ausnahme des Leichen- und Bestattungswesens sowie des Gemeindesanitätsdienstes und Rettungswesens' in Gesetzgebung und Vollziehung in die Zuständigkeit des Bundes und ist – Art 102 Abs 2 B-VG e contrario – gemäß Art 102 Abs 1 B-VG in so genannter 'mittelbarer Bundesverwaltung' vom Landeshauptmann und den ihm unterstellten Landesbehörden zu vollziehen. Der Beschwerdegegner ist auf Grund des Bundesverfassungsgesetzes vom 30. Juli 1925 betreffend Grundsätze für die Einrichtung und Geschäftsführung der Ämter der Landesregierungen außer Wien, BGBl Nr 289/1925, im Sinne von § 4 Z 4 DSG 2000 Geschäftsapparat der Landesregierung bzw. des Landeshauptmanns als Organ der mittelbaren Bundesverwaltung und als solcher zunächst einmal grundsätzlich mit Aufgaben der Gesundheitsverwaltung befasst, die Organisation der Durchführung von Impfungen liegt daher gemäß § 7 Abs 1 DSG 2000 im Rahmen der gesetzlichen Zuständigkeit des Beschwerdegegners.

Auch wenn es keine allgemeine gesetzliche Regelung für die Durchführung von Schutzimpfungen, die Aufgaben des Beschwerdegegners dabei und die dabei zu verwendenden personenbezogenen Daten gibt, so ist dem Beschwerdegegner doch beizupflichten, dass die öffentliche Finanzierung solcher Impfungen sowie die Auszahlung eines Honorars an den Impfarzt einen Grund bildet, von einem überwiegenden berechtigten Interesse des Beschwerdegegners an der Verwendung der den Beschwerdeführer betreffenden Daten zu sprechen. Der Beschwerdegegner kann sich dabei zwar nicht auf § 8 Abs 3 Z 1 DSG 2000, sehr wohl aber auf Z 4 leg cit stützen, wenn man davon ausgeht, dass die Honorierung der Tätigkeit des Impfarztes im Rahmen der Privatwirtschaftsverwaltung und damit auf Grund eines Vertragsverhältnisses erfolgt. Dem Bund wie den Ländern steht es frei, bestimmte öffentliche Aufgaben hoheitlich, das heißt durch Gesetz, unter Begründung von Pflichten und unter Androhung behördlicher Zwangsmaßnahmen bei Nichtbefolgung, oder vertraglich im Wege der so genannten Privatwirtschaftsverwaltung (vgl. Art 17 B-VG) zu regeln. Hier wurde zweiterer Weg gewählt und ein mehrseitiger Vertrag über die Finanzierung von Schutzimpfungen an Kindern und Jugendlichen geschlossen. Es handelt sich um einen Vertrag, der Rechte Dritter begründet (Vertrag zu Gunsten Dritter):

sowohl der Impfling wie der Impfarzt empfangen bei Erfüllung bestimmter Bedingungen ein Leistungsversprechen (hier) des Landes Niederösterreich. Dem Impfling wird kostenloser Impfstoff zugesagt, dem Impfarzt ein Geldhonorar pro durchgeführter Impfung. Gemäß § 8 Abs 3 Z 4 DSG 2000 ist die Verwendung jener Daten, die zur Erfüllung eines Vertrags notwendig ist, zulässig. Da der Impfarzt einen Anspruch auf sein Honorar für die Durchführung von Impfungen hat, sind jene Daten, die zur Abrechnung notwendig sind, gedeckt.

Die Datenschutzkommission sieht hinsichtlich der subjektiven Rechte des Beschwerdeführers auf Geheimhaltung und Löschung seiner Daten keinen Grund, die durchgeführte und festgestellte Verarbeitung für exzessiv zu erachten. Es ist plausibel und nachvollziehbar, dass die verarbeiteten Daten für die Zwecke der Datenanwendung (Dokumentation durchgeführter Impfungen, Durchführung der Honorarabrechnung und –auszahlung) erforderlich sind, wobei es darauf ankommt, ob die Datenverwendung für einen außen stehenden Betrachter erkennbar überschießend ist, und nicht darauf, ob der Beschwerdeführer meint, man könnte auch mit weniger Daten das Auslangen finden. Im vorliegenden Beschwerdefall sind schutzwürdige Geheimhaltungsinteressen des Beschwerdeführers als Impfarzt aber nicht verletzt. Die ärztliche Schweigepflicht steht der fraglichen Datenübermittlung vom Impfarzt an das Amt der Landesregierung nicht entgegen. Vielmehr nimmt § 54 Abs. 2 Z 2 Ärztegesetz 1998 ausdrücklich 'Mitteilungen’, die unter anderem an 'sonstige Kostenträger’ ergehen, ausdrücklich von der Schweigepflicht aus. Die Gesetzesmaterialien (1386 BlgNR XX GP) nennen Impfungen, bei denen die Kosten von Gebietskörperschaften übernommen werden als einen solchen Fall.

Verletzung im Recht auf Löschung (Erhalt einer Mitteilung)

In einem Punkt allerdings kommt der Beschwerde Berechtigung zu. Gemäß § 27 Abs 1 Z 2 und Abs 4 DSG 2000 steht jedem Betroffenen das Recht zu, ein begründetes Begehren auf Löschung seiner Daten an einen Auftraggeber zu richten, der diesem innerhalb von acht Wochen entsprechen oder dem Betroffenen eine schriftliche Begründung geben muss, warum die verlangte Löschung nicht vorgenommen wird. Das Schreiben des Beschwerdeführers vom 14. April 2003 ist sinngemäß als solch ein Löschungsbegehren aufzufassen. Da dem Beschwerdeführer darauf bis heute keine Antwort zugegangen ist, wurde er damit in seinem Recht auf Löschung verletzt, und es war dem Auftraggeber wie im Spruchpunkt 2. die Nachholung dieses Schrittes aufzutragen.

Kein Recht auf Rückgabe von Originalurkunden aus dem DSG 2000 ableitbar

Hinsichtlich des vom Beschwerdeführer behaupteten Rechts auf Rückgabe oder Vernichtung von Impflisten und anderen schriftlichen Unterlagen, vertritt die Datenschutzkommission den Standpunkt, dass diese, soweit überhaupt Daten des Betroffenen enthalten sind (ein Großteil der Impfliste enthält jeweils Daten der Patienten, deren Rechte geltend zu machen der Beschwerdeführer, wie bereits ausgeführt, gar nicht legitimiert ist), wegen ihres Dokumentationszwecks gemäß § 27 Abs 3 DSG 2000 nicht möglich ist. Eine Rückgabe einer Impfliste in Form der eigenhändig vom Beschwerdeführer unterschriebenen Urkunde kann gestützt auf das DSG 2000 überhaupt nicht verlangt werden, da dieses nur ein subjektives Recht auf Löschung von Daten (bei manuellen Dateien:

Unleserlichmachung von Eintragungen, Vernichtung des gesamten Datenträgers) bzw. auf Richtigstellung von Daten kennt, jedoch kein Recht auf Herausgabe einer Urkunde oder anderer schriftlicher Unterlagen.