[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
BESCHEID
Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 12. November 2004 folgenden Beschluss gefasst:
Spruch
Über die Beschwerde des Peter E*** aus N*** (Beschwerdeführer), vertreten durch a) den T-Verein, dieser vertreten durch a) Mag. Hugo A*** und b) die Rechtsanwälte Dr. Ö***, Mag. R***, Dr. I*** und Dr. C***, B***straße *0/*2, **20 N**, wegen Verletzung des Rechts auf Auskunft über eigene Daten gegen die A-Z Direktmarketing AG in N*** (Beschwerdegegnerin), vertreten durch Mag. N***, Rechtsanwalt, Z***straße *6, **90 N***, wird gemäß §§ 1 Abs 5 und 31 Abs 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 136/2001, wie folgt entschieden:
Der Beschwerde wird teilweise stattgegeben und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer
Der Beschwerdegegnerin wird gem. § 59 Abs. 2 AVG aufgetragen, innerhalb einer Frist von zwei Wochen diese fehlenden Angaben dem Beschwerdeführer zu beauskunften.
Im Übrigen wird die Beschwerde gemäß den §§ 1 Abs. 3 Z 1 und 26 Abs. 1 DSG 2000 abgewiesen.
Weitere Rechtsgrundlagen dieses Bescheids: §§ 14 Abs. 3 und 26 Abs. 3 DSG 2000.
Begründung
I. Verfahrensgang und Vorbringen der Parteien
Mit Eingabe (Beschwerde) vom 8. Oktober 2003 brachte der Beschwerdeführer vor, am 3. September 2003 an die Beschwerdegegnerin ein Auskunftsbegehren gemäß § 26 DSG 2000 gerichtet zu haben. Dieses sei nur unzureichend erfüllt worden, insbesondere fehlten Angaben zu den tatsächlichen Eintragungen bei den verarbeiteten Datenarten, sowie Angaben zu Datenherkunft und Übermittlungsempfängern sowie zu Zweck und Rechtsgrundlagen der Datenanwendungen. Er beantragte, der Beschwerdegegnerin die vollständige und richtige Erfüllung des Auskunftsbegehrens aufzutragen.
Nach Behebung von Formmängeln der Beschwerde (Nachweis einer Vollmacht durch den nicht zur berufsmäßigen Parteienvertretung befugten T-Verein, wurde die Beschwerdegegnerin zur Stellungnahme aufgefordert.
Die Beschwerdegegnerin brachte, anwaltlich vertreten, mit Schriftsatz vom 9. Februar 2004 vor, es bestehe ein gewisser Widerspruch zwischen dem Begehren des Beschwerdeführers auf Auskunft und einem gleichzeitig erhobenen Widerspruch gemäß § 28 DSG 2000 gegen die Verwendung seiner Daten, da ein Auskunftsbegehren die Beschwerdeführerin bis zum Abschluss eines Beschwerdeverfahrens bei der Datenschutzkommission an der Löschung der Daten hindere (§ 26 Abs 7 DSG 2000). Zugestanden wurde eine Unvollständigkeit der erteilten Auskunft, diese habe nur die recherchierten aber nicht die statistisch errechneten Daten des Beschwerdeführers enthalten. Mit der Stellungnahme wurde der Datenschutzkommission daher eine Kopie des neuerlichen und ergänzten Auskunftsschreibens, datierend vom selben Tag, übermittelt. Diese entspreche dem Gesetz und enthalte die Daten aller Datenarten, die betreffend den Beschwerdeführer verarbeitet würden. Aus der Tatsache, dass die im Datenverarbeitungsregister ersichtliche Meldung auch weitere Datenarten vorsehe, dürften keine Schlüsse auf die tatsächliche Verarbeitung solcher Daten des Beschwerdeführers gezogen werden. Die Herkunft der Daten sei in der Branche der Adressverlage und Direktmarketingunternehmen oft, so wie auch in diesem Fall, nur bei unverhältnismäßig hohem Aufwand feststellbar. Ähnliches gelte für die Frage, an welche Empfänger, nämlich Kunden der Beschwerdegegnerin, genau die Daten, die der gewerblichen Nutzung dienten, übermittelt worden seien. Daher würde auch eine Angabe der Empfängerkreise der gesetzlichen Auskunftspflicht Genüge tun. Die Beschwerdegegnerin beantragte so die Einstellung des Verfahrens.
Der Beschwerdeführer replizierte darauf mit Schriftsatz vom 7. April 2004 folgendermaßen: Die Frage der gleichzeitigen Beanspruchung des Auskunftsrechts und des Widerspruchs gegen eine Datenverwendung lasse sich durch logische Auslegung der Bestimmungen des DSG 2000 dahingehend lösen, dass die Erfüllung des Auskunftsanspruchs als gesetzliche Verpflichtung zur Datenverwendung vom Widerspruch nicht betroffen sei. Zum Inhalt der ergänzten Auskunft bestritt der Beschwerdeführer dessen Vollständigkeit und Richtigkeit. So stünde die Angabe, die Daten wären der Herkunft nach selbst recherchiert oder statistisch errechnet worden, mit der Behauptung im Widerspruch, die Daten würden im Rahmen der Gesetze mit den Daten anderer Kunden- und Interessentendateien abgeglichen. Die Angabe, Daten wie die Altersklasse könnten (letztere mit behaupteter Zuverlässigkeit von 100 Prozent) statistisch errechnet werden, sei unglaubwürdig. Auch eine Recherche durch die Beschwerdegegnerin sei bei solchen Daten unwahrscheinlich, da sie nicht allgemein verfügbar seien und beim Betroffenen selbst erhoben werden müssten. Es fehlten außerdem Angaben zu den zur statistischen Berechnung herangezogenen Daten, die mit bestimmten Personendaten verknüpft würden und daher zu beauskunften seien. Die Behauptung der Beschwerdegegnerin, eine Auskunft über die Herkunft der Daten müsste bei unverhältnismäßigem Aufwand zur Informationsbeschaffung nicht erteilt werden, wurde vom Beschwerdeführer ausdrücklich bestritten. Die verfügbaren Informationen über die Herkunft der Daten müssten Teil einer Auskunft sein. Weiters sei es unwahrscheinlich, dass die Beschwerdegegnerin, die nach eigenen Angaben Daten im Umfang von zirka sechs Millionen Datensätzen von Verbrauchern verarbeite, keinen Dienstleister dafür heranziehe. Die Beschwerdegegnerin treffe weiters unter Hinweis auf Erwägungsgrund 46 zur Richtlinie 95/46/EG die Pflicht, ihre Datenverwendung so zu planen, dass die Rechte der Betroffenen berücksichtigt würden. Dies bedinge Aufzeichnungen über Datenübermittlungen, die eine Auskunftserteilung über allgemeine Empfängerkreise hinaus und damit eine Weiterverfolgung von Datenflüssen durch den Betroffenen ermöglichten. Überdies sei der Begriff der der Auskunftspflicht unterliegenden Daten gemäß § 26 Abs 1 DSG 2000 weiter und umfasse alle zu einer Person verwendeten Daten, nicht nur die, bei denen der Betroffene bestimmt oder bestimmbar sei. Aus all diesen Gründen entspreche auch die erweiterte Auskunft nicht dem Gesetz, und der Beschwerdeführer hielt dementsprechend seine ursprünglichen Anträge aufrecht.
Die Datenschutzkommission ordnete durch das geschäftsführende Mitglied für den 30. Juni 2004 eine Einschau gemäß § 30 Abs 4 DSG 2000 in die Datenanwendungen der Beschwerdegegnerin an. Über das Ergebnis dieser Einschau (Niederschrift vom 30. Juni 2004, GZ: K120.896/0009-DSK/2004) wurde aus technischer Sicht durch Prof. Dr. August D*** und Stephan G*** für das Zentrum für sichere Informationstechnologie – Austria (A-SIT) ein Amtssachverständigengutachten abgegeben (Projektnummer A-SIT 4.***-5, GZ K120.896/0010-DSK/2004 vom 26. Juli 2004).
Der Beschwerdeführer brachte im Rahmen des ihm gewährten Parteiengehörs dazu mit Stellungnahme vom 23. August 2004 (Eingangsdatum, irrtümlich datiert mit '7. April 2004') vor, die durch Einschau und Gutachten hervorgekommene Nicht-Protokollierung tatsächlicher Verarbeitungsvorgänge wie der Übermittlung von Daten durch die Beschwerdegegnerin entspreche nicht dem Gesetz, im Speziellen § 14 DSG 2000. Das eingesetzte Datenbankprogramm sei veraltet und entspreche nicht dem Stand der Technik. Eine bessere Protokollierung der Verarbeitungsvorgänge sei auch durchaus wirtschaftlich vertretbar (Preisverfall bei Speichermedien, Erhöhung der Rechnerleistung durch technischen Fortschritt etc.). Der Beschwerdeführer regte dazu Kontrollverfahren betreffend alle Branchenführer unter den Adressverlagen und Restriktionen der Datenschutzkommission betreffend die Datenanwendungen der Beschwerdegegnerin an. Des Weiteren äußerte der Beschwerdeführer den Verdacht, die auf ihn und andere bezogenen Daten, deren Herkunft nicht feststehe, seien unrechtmäßig ermittelt worden, etwa aus Datenanwendungen der N*** Mail AG, deren Konzern ebenfalls auf dem Gebiet des Adressenhandels aktiv sei. Es stehe weiters fest, dass das Geburtsdatum beim Beschwerdeführer wie bei der Mehrzahl der geprüften Fälle nicht statistisch errechnet sondern auf andere Weise ermittelt worden sei, die Rechtmäßigkeit dieser Datenermittlung werde ausdrücklich bestritten. Im Hinblick auf (beim Beschwerdeführer nicht benützte) Datenfelder mit Bezeichnungen wie 'Assimilierungsgrad' äußerte der Beschwerdeführer Zweifel an der Vollständigkeit des der Datenschutzkommission bei der Einschau zugänglich gemachten Datenbestandes. Bezüglich der so genannten 'SVD-Sperrdatei', einer unternehmensinternen Datei zur Erfassung jener Personen, deren Daten auf Dauer nicht von der Beschwerdegegnerin verwendet (also auch nicht neuerlich ermittelt und verarbeitet) werden sollen, bestritt der Beschwerdeführer die Legalität dieser Maßnahme, die einer Verweigerung der Löschung gleichkomme. Zur Ausscheidung der Daten solcher Betroffener genüge die von der Wirtschaftskammer Österreich geführte Sperrdatei ('Robinson-Liste'). Jedenfalls habe es die Beschwerdegegnerin verabsäumt, aus der SVD-Sperrdatei Auskunft zu geben. Überhaupt müsse die Beschwerdegegnerin über alle 107 Datenfelder, bei denen nach Meinung des Beschwerdeführers Daten über ihn vorlägen, Auskunft erteilen. Weitere der sehr umfangreichen Ausführungen sind für die zu entscheidende Auskunftsbeschwerde weniger relevant und umfassen Vorbringen zu Fragen der Daten- und Betriebssicherheit in den EDV-Anlagen der Beschwerdegegnerin und bei der technischen Datenübertragung.
Die Beschwerdegegnerin erstattete zu den Ergebnissen des Ermittlungsverfahrens ebenfalls eine Stellungnahme, datierend vom 13. August 2004. Darin brachte sie vor, nur wenige der in den verknüpfbaren Datenbanktabellen vorgesehenen 107 Datenarten würden tatsächlich mit personenbezogenen Daten 'befüllt', wie sich auch aus dem Amtssachverständigengutachten ergebe. Die Datenbankstruktur sei von der Schweizer Muttergesellschaft der Beschwerdegegnerin vorgegeben worden, gesetzlich gebe es keine Verpflichtung, leere Felder für nicht ermittelte Datenarten zu entfernen. In verschiedenen Datenbanktabellen doppelt erfasste Daten seien nur einmal zu beauskunften. Die im Gutachten (Punkt 3.2.2.5.) angesprochenen Daten, die nicht in der Auskunft aufscheinen würden (etwa die firmeninterne Personennummer A-Z, die Anzahl der Umzüge, die Gemeindenummer, die Postleitzahl, Gemeinde- und Zellennummern) seien auch nicht personenbezogene Daten des Beschwerdeführers und anderer Betroffener sondern 'interne Einteilungs- bzw. Suchkriterien'. Die Personen-Nr A-Z sei allerdings so genannter 'primary key' bei einer Suche nach Daten einer Person und gegen eine Auskunftserteilung darüber bestünden, falls notwendig, keine Bedenken. Im Gegensatz zur Schweizer Muttergesellschaft würde die Beschwerdegegnerin allen Betroffenen ihrer Datenanwendungen den Sprachcode für Deutsch zuordnen, da andere Sprachen in Österreich nicht relevant seien. Betreffend das Geburtsdatum einer Person sei eine Umstellung im Gange, wonach zukünftig, unabhängig von der Ermittlungsmethode (statistisch berechnet oder recherchiert), nur mehr Angaben zur Altersgruppe verarbeitet werden sollen. Das Programm zur automatischen Erstellung eines Auskunftsblattes gehe bereits von einer solchen Datenerfassung aus, und eine andere Bearbeitung von Auskunftsbegehren sei aus administrativen Gründen nicht möglich, das Vorhandensein weiterer Daten könne bei dieser Methode aber nicht ausgeschlossen werden. Die ebenfalls in Punkt 3.2.2.5 des Gutachtens erwähnten Kennzeichnungen 'O*** GmbH-Sperrflag' und 'x***-mail Status' seien rein interne Arbeitsbehelfe. Bestritten wurden Schlussfolgerungen der Sachverständigen, dass die Datenbank Informationen zum Grund einer Änderung enthalte sowie dass Daten regelmäßig an die Schweizer Muttergesellschaft übermittelt würden. Nicht bestritten wurden hingegen vierteljährlich stattfindende 'Übergaben' des Datenbestandes an die Firma O*** GmbH zwecks Erstellung der bekannten 'Marketing CD' sowie an die Muttergesellschaft zwecks Backups. Dies stelle allerdings keine Datenübermittlung oder Datenüberlassung im rechtlichen Sinne dar. Im Übrigen wiederholte die Beschwerdegegnerin ihr Vorbringen, die Führung detaillierter Aufzeichnungen über Herkunft und Übermittlung der Daten sei nur mit unverhältnismäßig hohem Aufwand möglich, und verwies auf ihr bisheriges Vorbringen samt Anträgen.
II. Von der Datenschutzkommission verwendete Beweismittel
Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einsichtnahme in die von den Parteien vorgelegten Urkunden(kopien) und sonstigen Dokumente, Durchführung einer Einschau in die Datenanwendungen der Beschwerdegegnerin im Rahmen eines Augenscheins (samt Sicherstellung von Datenkopien und Ausdrucken) und Einholung eines Amtssachverständigengutachtens zur Frage der verarbeiteten Daten sowie der technischen Nachvollziehbarkeit ihrer Herkunft und durchgeführter Übermittlungen.
Den Parteien wurde zu den Ergebnissen des Ermittlungsverfahrens Parteiengehör eingeräumt.
III. Festgestellter Sachverhalt und Beweiswürdigung
Die Datenschutzkommission stellt folgenden entscheidungsrelevanten Sachverhalt fest:
Die Beschwerdegegnerin betreibt das Gewerbe des Adressverlags und Direktmarketingunternehmens gemäß § 151 Gewerbeordnung 1994 (GewO 1994), BGBl Nr 194 idF BGBl I Nr 111/2002. Sie verarbeitet für diesen Zweck personenbezogene Daten in den zu DVR 10**7*2 im Datenverarbeitungsregister der Datenschutzkommission registrierten Datenanwendungen.
Beweiswürdigung: Diese Feststellungen beruhen auf bei der Datenschutzkommission amtsbekannten Tatsachen so wie auf eigenen Angaben und Publikationen der Beschwerdegegnerin.
Am 3. September 2003 richtete der T-Verein namens des Beschwerdeführers und unter Berufung auf eine erteilte Vollmacht ein Auskunftsbegehren gemäß § 26 DSG 2000 an die Beschwerdegegnerin. Verlangt wurde Auskunft zu den betreffend den Beschwerdeführer gespeicherten Daten, zur Herkunft der Daten, zu Übermittlungsempfängern, zum Zweck der Datenanwendungen und zu den Vertrags- bzw. Rechtsgrundlagen der Datenverwendung. Für den Fall einer Datenüberlassung wurde Auskunft über Name und Anschrift von Dienstleistern verlangt. Unter einem erhob der Beschwerdeführer gemäß § 28 Widerspruch gegen die weitere Verwendung seiner Daten und verlangte die Abgabe einer entsprechenden Unterlassungserklärung.
Mit Schreiben vom 29. September 2003 erteilte die die Beschwerdegegnerin die Auskunft, es würden nur die Datenarten 'Name' und Adresse' gespeichert.
Der Beschwerdeführer erhob am 8. Oktober 2003 Beschwerde an die Datenschutzkommission wegen Verletzung seines Rechts auf Auskunft.
Beweiswürdigung: Diese Feststellungen beruhen auf den zitierten Urkunden, GZ: K120.896/0001-DSK/2003 samt Beilagen.
Mit Schreiben vom 9. Februar 2004 ergänzte die Beschwerdegegnerin ihre Auskunft. Die neue Auskunft hat in sinngemäßer Wiedergabe folgenden Umfang:
Name: Peter E***
Adresse: F***straße *7, ***0 N***
Telefon: 0***/8*7*4*2*1
Anrede: Herr
Sprache: Deutsch
Haushaltsstatus Haushaltsvorstand [kursiv]
Haushaltsgröße: 2 Personen
Geburtsjahr bzw. Altersklasse: 197*
Zuverlässigkeit Altersklasse: 100 %
Jahresmindesteinkommen: EUR 23.000 [kursiv]
Adresse seit: 0* 2003
Gebäudeart: 3-4 Familienhaus [kursiv]
Die kursiv wiedergegebenen Daten wurden als 'statistisch berechnet' gekennzeichnet [Anmerkung Bearbeiter: Kennzeichnung im RIS durch nachgestellten Klammerausdruck '[kursiv]'].
Als Herkunft der Daten wurde 'persönlich recherchiert und statistisch hochgerechnet' angegeben. Es würden keine Schlüssel-, Such- und Referenzbegriffe zu diesen Daten verarbeitet.
Betreffend Übermittlung wurde angegeben, die Daten würden 'an Gewerbetreibende in Österreich und zwar im Einzel-, Retail- und Großhandel sowie Banken, Versicherungen, Versandhäuser und Non Governmental Organisations (NGO's), welche schriftlich Werbung betreiben, übermittelt.'
Als Rechtsgrundlage der Datenverwendung wurde die Gewerbeberechtigung als Adressverlag und Direktmarketingunternehmen und die erfolgte Meldung an die Datenschutzkommission und die Registrierung im Datenverarbeitungsregister (DVR 10**7*2) angegeben. Diese berechtigten zur Verarbeitung und, nach Prüfung im Einzelfall, Übermittlung der Daten zum Zwecke von Marketingaussendungen.
Die Fragen nach Dienstleistern und Übermittlungen im internationalen Datenverkehr wurden verneint.
Beweiswürdigung: Diese Feststellungen gründen sich auf den Inhalt der zitierten Urkunde, Beilage zur Stellungnahme der Beschwerdegegnerin vom 9. Februar 2004, GZ: K120.896/0001- DSK/2004.
Mit Stand 30. Juni 2004 konnten aus insgesamt 3 Datentabellen (Personenstammtabelle, Haushaltsstammtabelle, Sourcepool) der Datenanwendungen der Beschwerdegegnerin 107 Datenarten mit Bezug zum Beschwerdeführer ausgewählt werden, wobei 26 Datenarten leer waren, also keinen erkennbaren Inhalt (Feldwert = leer) aufwiesen und bei anderen die Bedeutung der jeweiligen Datenart auch von den Sachverständigen nicht eindeutig ermittelt werden konnte.
Als wesentliche Abweichungen von der erteilten Auskunft stehen fest:
Wie bereits ausgeführt konnte der Zweck und die Aussage aller Datenarten/Felder auch von den Sachverständigen nicht festgestellt werden. Nach den Angaben in der Haushaltsstammtabelle (Datenart/Feld 'dchdgte') wurden die Daten zwischen Stellung des Auskunftsbegehrens und der Einschau der Datenschutzkommission zumindest einmal, nämlich am 12. März 2003, geändert.
Die Herkunft der Daten sowie die Empfänger von Übermittlungen können an Hand der in den geprüften Datenanwendungen enthaltenen Daten nicht festgestellt werden.
Beweiswürdigung: Diese Feststellungen beruhen auf dem Ergebnis der Einschau in die Datenanwendungen der Beschwerdegegnerin durch Beauftragte der Datenschutzkommission, Niederschrift vom 30. Juni 2004, GZ K120.896/0009-DSK/2004 samt Beilagen ./A bis ./Q sowie auf dem auf Grundlage dieser Ermittlungsergebnisse erstellten Amtssachverständigengutachten vom 19. Juli 2004,
GZ: K120.896/0010-DSK/2004. Die Feststellungen zu den tatsächlich verarbeiteten oder zur Verarbeitung vorgesehenen Datenarten beruhen insbesondere auf den tabellarischen Aufstellungen der Sachverständigen zu den Beschwerdeführerdaten (Kapitel 5.3 des Gutachtens), auf den Erläuterungen (Kapitel 5.2 des Gutachtens) zu den Datenarten der drei ausgewerteten Quelldateien (Datenstammtabellen) und auf den gutachterlichen Schlussfolgerungen (Kapitel 4 des Gutachtens). Weitere Erläuterungen zur Bedeutung der einzelnen Datenarten/Felder der Quelldateien wurden den Beilagen ./O und ./P zu GZ: K120.896/0009-DSK/2004 entnommen. Das Amtssachverständigengutachten wurde auch von der Beschwerdegegnerin, die in ihrer Stellungnahme vom 13. August 2004 einige kritische Anmerkungen gemacht hat, in den hier relevanten Punkten nicht in Zweifel gezogen.
Daten der Datenanwendung 'Datenbank A-Z' werden zwecks Datensicherung (Backup) in regelmäßigen Abständen in die Schweiz an die Schweizer Muttergesellschaft der Beschwerdegegnerin überlassen. Ebenso werden die Daten der 'Datenbank A-Z' regelmäßig vierteljährlich vollständig der O*** GmbH für Zwecke der von dieser datenschutzrechtlichen Auftraggeberin vertriebenen 'O*** Marketing CD' übermittelt. In kürzeren Abständen werden auch als 'Updates' bezeichnete Datenübermittlungen vorgenommen, die jeweils die A-Z-Personennummern der Betroffenen umfassen, die bei der Beschwerdegegnerin die Löschung ihrer Daten für Marketingzwecke verlangt haben.
Beweiswürdigung: Diese Feststellung beruht auf den Angaben des Geschäftsführers N*** der Beschwerdegegnerin anlässlich der Einschau am 30. Juni 2004.
IV. Rechtliche Beurteilung
1. Der Umfang des Auskunftsrechts hinsichtlich des Dateninhalts, des Datenbankaufbaus und der Betriebssicherheit der Datenbank
Nach § 26 Abs. 1 DSG 2000 enthält der Anspruch auf Auskunft das Recht, Auskunft über die verarbeiteten Daten IN ALLGEMEIN VERSTÄNDLICHER FORM [Anmerkung Bearbeiter: im Original unterstrichen] zu erhalten. Dies bedeutet, dass der Betroffene nicht nur über die Art (Kategorien) der über ihn verarbeiteten Daten aufzuklären ist, sondern dass ihm der Inhalt dieser Daten bekannt zu geben ist.
Daraus ergibt sich, dass etwa die erteilte Auskunft hinsichtlich der Datenart 'Sprache', nämlich Deutsch, richtig und vollständig war.
Das Recht auf Auskunft ist nicht mit einem Recht auf Einsicht in die Datenbank gleichzusetzen, d.h. dass zwar der Inhalt der verarbeiteten Daten in allgemein verständlicher Form bekannt gegeben werden muss, jedoch nicht gleichzeitig eine detaillierte Darstellung der Speicherlogik geliefert werden muss, aus der sich die Inhalte der beauskunfteten Daten ergeben. Es war somit im gegenständlichen Fall nicht erforderlich, die Bezeichnung aller 107 Datenfelder anzuführen. § 26 DSG 2000 erfordert nur die vollständige Angabe der Inhalte der tatsächlich gespeicherten Daten. Das Auskunftsrecht ist angesichts seiner Beschränkung durch § 26 DSG 2000 auf Dateninhalte, Herkunft, Empfänger/Empfängerkreise von Übermittlungen, Zweck der Datenverarbeitung und Rechtsgrundlagen auch keine Handhabe, um Fragen der Daten- und Betriebssicherheit der EDV-Anlagen des Auftraggebers abzuhandeln. Die diesbezüglichen Ausführungen des Beschwerdeführers gehen daher ins Leere.
2. Der Umfang des Auskunftsrechts hinsichtlich der Herkunft von Daten
Der Beschwerdeführer scheint nach seinem Vorbringen ein subjektives Recht darauf zu behaupten, dass der Auftraggeber Protokolldaten über die Herkunft der von ihm verarbeiteten Daten speichert. Er führt dazu aus (Stellungnahme vom 23. August 2004, Seite 3), dass die Protokollierung der Datenherkunft wirtschaftlich zumutbar und notwendig sei, um das Auskunftsrecht durchsetzbar zu machen. Er beruft sich dazu auch auf Art. 12 der Richtlinie des Europäischen Parlaments und das Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (kurz: RL 95/46/EG). Sowohl die RL 95/46/EG als auch § 26 DSG 2000 enthalten jedoch kein absolutes Recht auf Bekanntgabe der Herkunft verarbeiteter Daten, sondern nur ein Recht auf Bekanntgabe der 'verfügbaren Informationen über ihre Herkunft'. Diese Formulierung ist im Lichte des Grundsatzes des Art. 6 der RL (= § 6 DSG 2000) zu verstehen, wonach Daten nach 'Treu und Glauben' verarbeitet werden müssen, sodass es nicht als allein im Belieben des Auftraggebers stehend angesehen werden kann, welche Aufzeichnungen über die 'Herkunft der Daten verfügbar' sein müssen. Wesentlich werden im vorliegend Zusammenhang jedoch auch das Wesen und die zulässigen Beschränkungen des Auskunftsrechtes nach § 1 Abs. 4 DSG 2000 sein:
Aus § 1 Abs. 3 und 4 DSG 2000 ergibt sich, dass das Auskunftsrecht kein absolutes Recht ist: Das Auskunftsrecht steht vielmehr unter einem doppelten (!) Gesetzesvorbehalt (§ 1 Abs. 3 und Abs. 4). Wie in § 26 Abs. 3 nochmals auf einfachgesetzlicher Stufe ausdrücklich ausgeführt, hat das Auskunftsrecht seine Grenze auch in den berechtigten Interessen (z.B. Datenschutzinteressen) des Auftraggebers oder Dritter, sofern diese Interessen in einer konkreten Situation als 'überwiegend' zu werten sind.
Der Beschwerdegegner hat Angaben über die Herkunft der beauskunfteten Daten in allgemeiner Form gemacht und im Übrigen geltend gemacht, dass nur bei unverhältnismäßig hohem Aufwand detaillierte Aufzeichnungen über die Herkunft der Daten verfügbar gemacht werden könnten. Damann/Simits (Kommentar zur Datenschutzrichtlinie, S 194) gehen diesbezüglich davon aus, dass es 'hierbei keine Rolle spielt, ob die Herkunftsangaben in einer Datei gespeichert sind. Es genügt, wenn die Informationen ggf. mit Hilfe der von der betroffenen Person gemachten Angaben auffindbar oder feststellbar sind.'
Im vorliegenden Zusammenhang wäre die Auffindbarkeit von Informationen über die Herkunft der Daten des Betroffenen im Einzelnen jedoch nur mit unverhältnismäßigem Aufwand möglich. Sie würde voraussichtlich auch nicht hergestellt werden können, da in den Unterlagen von Direktmarketingunternehmen der Erwerb und die Weitergabe von Datenbeständen regelmäßig nicht betroffenenbezogen dokumentiert werden.
3. Umfang des Auskunftsrechts über Übermittlungen und Überlassungen
Der Beschwerdeführer hat die Nichterteilung der Auskunft über die Empfänger der vom Beschwerdegegner über ihn verarbeiteten Daten gerügt. Er hat in diesem Zusammenhang insbesondere das Fehlen von Protokollaufzeichnungen über Übermittlungsempfänger geltend gemacht.
Hierzu ist jedoch auf § 14 Abs. 3 DSG 2000 zu verweisen, wonach 'nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, so zu protokollieren sind, dass dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung'. Daraus ist abzuleiten, dass einer Pflicht zur besonderen Protokollierung nur jene Übermittlungen unterliegen, die aus der Meldung des Auftraggebers beim DVR nicht hervorgehen.
Im vorliegenden Fall sind in der Meldung des Auftraggebers die folgenden Übermittlungsempfänger angeführt:
'Unternehmen, Gewerbetreibende, Firmen, Betriebe sowie Non-Profit-Organisationen, Vereine, gemeinnützige Einrichtigungen, Initiativen, politische Parteien, und ähnliches, die in den Ländern der EU oder der Schweiz angesiedelt bzw. situiert sind, soweit diese Marketingaktionen und schriftliche Werbung durchführen bzw. betreiben und eine Erklärung nach § 151 GewO 2002 abgegeben haben.' Unter die auf diese Weise bezeichneten Übermittlungsempfänger kann die im Ermittlungsverfahren hervorgekommene Weitergabe an die O*** GmbH nicht eingereiht werden. Aus diesem Grund wurde das Auskunftsrecht des Betroffenen in diesem Punkt verletzt.
4. Unvollständige Auskunftserteilung hinsichtlich der verarbeiteten Daten:
Die erteilte Auskunft erweist sich auch im Hinblick auf ihre Vollständigkeit als mangelhaft. Die markantesten Unzulänglichkeiten werden im Folgenden näher behandelt:
4. a) Auskunft über interne Personennummern und Kennzeichen
Gemäß § 4 Z 1 DSG 2000 sind personenbezogene Daten Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Wird einem Betroffenen beispielsweise eine Kennzahl zugeordnet, wie im Beschwerdefall etwa die 'Personen-Nr- A-Z' aus den Datenanwendungen der Beschwerdegegnerin, so enthält dies die Angabe, dass Daten zum Beschwerdeführer unter eben dieser Kennzahl abrufbar sind oder mit ihrer Hilfe unverwechselbar gesucht oder verknüpft werden können. Selbst wenn es sich um eine Zahl handelt, der keinerlei Aussagewert zukommt – dies muss nicht so sein, die Zahl kann nämlich, verschlüsselt oder unverschlüsselt (vgl. etwa die österreichische Sozialversicherungsnummer, die offen das Geburtsdatum enthält), auch substanzielle Angaben zur Person enthalten -, so ist diese Zahl doch funktioneller Teil einer Datenanwendung gemäß § 4 Z 7 DSG 2000 und beschreibt im Sinne von § 4 Z 1 DSG 2000 den Betroffenen immerhin so weit, als sie dauerhaft verarbeitet wird und die Angabe vermittelt unter oder mit Hilfe welcher Personennummer weitere Daten zum Betroffenen abgerufen werden können. Es handelt sich dabei daher nicht bloß um einen Teil der programmtechnischen Suchlogik beziehungsweise 'interne Einteilungs- bzw. Suchkriterien'. Auch dauerhaft verarbeitete interne Personennummern, Personenkennzeichen und ähnliche Suchbegriffe sind dem Betroffenen daher im Rahmen einer Auskunft über eigene Daten (§ 26 DSG 2000) offen zu legen.
Durch das Nichterteilen einer Auskunft über die 'Personen-Nr- A-Z' wurde der Beschwerdeführer daher in seinem Recht auf Auskunft über eigene Daten gemäß §§ 1 Abs 3 Z 1, 26 DSG 2000 verletzt.
4 b) Auskunft über das volle Geburtsdatum
In der Auskunft vom 9. Februar 2004 wurde dem Beschwerdeführer nur sein Geburtsjahr 197* als Altersklasse mitgeteilt. Das Ermittlungsverfahren hat allerdings ergeben, dass das genaue Geburtsdatum (10.10.197*) gespeichert wird. Damit steht allerdings auch fest, dass dieses Datum nicht mit Hilfe mathematisch-statistischer Berechnungen sondern durch Recherche ermittelt worden sein muss – was in der Auskunft im Übrigen auch richtig angegeben war. Es handelt sich also nicht um ein so genanntes 'Marketinganalysedatum' im Sinne von § 151 Abs 6 Gewerbeordnung 1994 (GewO 1994), BGBl Nr 194 idF BGBl I Nr 111/2002. Das genaue Geburtsdatum kann nämlich, im Gegensatz zur Alterklasse oder zum Einkommensniveau, nicht mit hinreichender Wahrscheinlichkeit aus anderen Daten errechnet werden.
Durch das Nichterteilen einer Auskunft über das genaue verarbeitete Geburtsdatum wurde der Beschwerdeführer daher in seinem Recht auf Auskunft über eigene Daten gemäß §§ 1 Abs 3 Z 1, 26 DSG 2000 verletzt.
Da somit feststeht, dass die erteilte Auskunft teils unrichtig, teils unvollständig ist, war spruchgemäß zu entscheiden.
Codara Summary
Sachverhalt, Spruch und rechtliche Beurteilung – kompakt zusammengefasst.
Rückverweise
Keine Ergebnisse gefunden
RIS