K120.903/0015-DSK/2004 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
BESCHEID
Die Datenschutzkommission hat unter dem Vorsitz von Dr. Maier und in Anwesenheit der Mitglieder Dr. Blaha, Dr. Kotschy, Dr. Rosenmayr-Klemenz, Dr. Staudigl und Mag. Zimmer sowie des Schriftführers Mag. Flendrovsky in ihrer Sitzung vom 12. November 2004 folgenden Beschluss gefasst:
Spruch
Über die die Beschwerde des Sebastian V*** aus L*** (Beschwerdeführer), vertreten a) durch den T-Verein, dieser vertreten durch Mag. H***, und b) durch die Rechtsanwälte Dr. M***, Mag. A***, Dr. B*** und Dr. H***, B***straße *0/*2, **20 N***, vom 4. November 2003 wegen Verletzung des Rechts auf Auskunft über eigene Daten gegen die U*** Direktmarketing Ges.m.b.H. in T*** (Beschwerdegegnerin), vertreten durch Mag. O***, Rechtsanwalt, G*** 2*, ***0 T***, wird gemäß §§ 1 Abs 5 und 31 Abs 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 136/2001, wie folgt entschieden:
1. Der Beschwerde wird teilweise stattgegeben, und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer
Weitere Rechtsgrundlagen dieses Bescheids: §§ 14 Abs. 3 und 26 Abs. 3 DSG 2000.
Begründung
I. Verfahrensgang und Vorbringen der Parteien
Mit Eingabe (Beschwerde) vom 4. November 2003 brachte der Beschwerdeführer vor, am 7. Oktober 2003 an die Beschwerdegegnerin ein Auskunftsbegehren gemäß § 26 DSG 2000 gerichtet zu haben. Dieses sei nur unzureichend erfüllt worden, insbesondere fehlten Angaben zu den tatsächlichen Eintragungen bei den laut DVR-Registrierung verarbeiteten Datenarten, sowie konkrete Angaben zur Herkunft der Daten, soweit sie über Telefonbucheintragungen hinausgingen, und zu den Übermittlungsempfängern sowie zu Zweck und Rechtsgrundlagen der Datenanwendungen. Er beantragte, der Beschwerdegegnerin die vollständige und richtige Erfüllung des Auskunftsbegehrens, insbesondere hinsichtlich der tatsächlichen Eintragungen bei den einzelnen Datenarten, der Herkunft der Daten und der eventuellen Übermittlungsempfänger aufzutragen.
Nach Behebung von Formmängeln der Beschwerde (Nachweis einer Vollmacht durch den nicht zur berufsmäßigen Parteienvertretung befugten T-Verein), wurde die Beschwerdegegnerin zur Stellungnahme aufgefordert.
Die Beschwerdegegnerin brachte, anwaltlich vertreten, mit Schriftsatz vom 15. Jänner 2004 vor, es bestehe ein gewisser Widerspruch zwischen dem Begehren des Beschwerdeführers auf Auskunft und einem gleichzeitig erhobenen Widerspruch gemäß § 28 DSG 2000 gegen die Verwendung seiner Daten, da ein Auskunftsbegehren die Beschwerdeführerin bis zum Abschluss eines Beschwerdeverfahrens bei der Datenschutzkommission an der Löschung der Daten hindere (§ 26 Abs 7 DSG 2000). Die dem Beschwerdeführer erteilte Auskunft wurde als vollständig und richtig bezeichnet. Im Gegensatz zum Beschwerdeführer stehe die Beschwerdegegnerin auf dem Standpunkt, dass die Nichtverarbeitung bestimmter, der Datenschutzkommission (DVR) gemeldeter Datenarten keine besonderen Auskunfts- oder Aufklärungspflichten auslöse, die entsprechenden Datenarten würden betreffend den Beschwerdeführer eben nicht verarbeitet und die diesbezüglichen Datenfelder seien leer. Bestimmte gemeldete Datenarten (insbesondere Sprachstamm/Assimilationsgrad) seien aus einer für die mehrsprachige Schweizer Praxis der Muttergesellschaft der Beschwerdegegnerin erstellten Vorlage übernommen worden, ohne dass solche Daten in Österreich erhoben oder verarbeitet worden seien. Die Meldung für das Datenverarbeitungsregister legalisiere die Datenverwendung, schaffe aber keine Pflicht dazu. Aus der Tatsache, dass die im Datenverarbeitungsregister ersichtliche Meldung auch weitere Datenarten vorsehe, dürften keine Schlüsse auf die tatsächliche Verarbeitung solcher Daten des Beschwerdeführers gezogen werden. Die Herkunft der Daten sei in der Branche der Adressverlage und Direktmarketingunternehmen oft, so wie auch in diesem Fall, nur bei unverhältnismäßig hohem Aufwand feststellbar. Ähnliches gelte für die Frage, an welche Empfänger, nämlich Kunden der Beschwerdegegnerin genau die Daten, die der gewerblichen Nutzung dienten, übermittelt worden seien. Daher würde auch eine Angabe der Empfängerkreise der gesetzlichen Auskunftspflicht Genüge tun. Die Beschwerdegegnerin beantragte so die Einstellung des Verfahrens. Ergänzend präzisierte die Beschwerdegegnerin die Empfängerkreise als 'Gewerbetreibende in Österreich, welche schriftlich Werbung betreiben, und zwar im Einzel-, Retailhandel und Großhandel sowie Banken, Versicherungen, Versandhäuser'.
Der Beschwerdeführer replizierte darauf mit Schriftsatz vom 24. Februar 2004 folgendermaßen: Die Frage der gleichzeitigen Beanspruchung des Auskunftsrechts und des Widerspruchs gegen eine Datenverwendung lasse sich durch logische Auslegung der Bestimmungen des DSG 2000 dahingehend lösen, dass die Erfüllung des Auskunftsanspruchs als gesetzliche Verpflichtung zur Datenverwendung vom Widerspruch nicht betroffen sei. Zum Inhalt der ergänzten Auskunft bestritt der Beschwerdeführer dessen Vollständigkeit und Richtigkeit. So stünde die Angabe, die Daten wären der Herkunft nach selbst recherchiert oder statistisch errechnet worden, mit der Behauptung im Widerspruch, die Daten würden im Rahmen der Gesetze mit den Daten anderer Kunden- und Interessentendateien abgeglichen. Die Angabe, Daten wie die Altersklasse könnten statistisch errechnet werden, sei unglaubwürdig. Auch eine Recherche durch die Beschwerdegegnerin sei bei solchen Daten unwahrscheinlich, da sie nicht allgemein verfügbar seien und beim Betroffenen selbst erhoben werden müssten. Es fehlten außerdem Angaben zu den zur statistischen Berechnung herangezogenen Daten, die mit bestimmten Personendaten verknüpft würden und daher zu beauskunften seien. Die Behauptung der Beschwerdegegnerin, eine Auskunft über die Herkunft der Daten müsste bei unverhältnismäßigem Aufwand zur Informationsbeschaffung nicht erteilt werden, wurde vom Beschwerdeführer ausdrücklich bestritten. Die verfügbaren Informationen über die Herkunft der Daten müssten Teil einer Auskunft sein. Weiters sei es unwahrscheinlich, dass die Beschwerdegegnerin, die nach eigenen Angaben Daten im Umfang von zirka sechs Millionen Datensätzen von Verbrauchern verarbeite, keinen Dienstleister dafür heranziehe. Die Beschwerdegegnerin treffe weiters unter Hinweis auf Erwägungsgrund 46 zur Richtlinie 95/46/EG die Pflicht, ihre Datenverwendung so zu planen, dass die Rechte der Betroffenen berücksichtigt würden. Dies bedinge Aufzeichnungen über Datenübermittlungen, die eine Auskunftserteilung über allgemeine Empfängerkreise hinaus und damit eine Weiterverfolgung von Datenflüssen durch den Betroffenen ermöglichten. Überdies sei der Begriff der der Auskunftspflicht unterliegenden Daten gemäß § 26 Abs 1 DSG 2000 weiter und umfasse alle zu einer Person verwendeten Daten, nicht nur die, bei denen der Betroffene bestimmt oder bestimmbar sei. Aus all diesen Gründen entspreche auch die erweiterte Auskunft nicht dem Gesetz, und der Beschwerdeführer hielt dementsprechend seine ursprünglichen Anträge aufrecht.
Die Datenschutzkommission ordnete durch das geschäftsführende Mitglied für den 30. Juni 2004 eine Einschau gemäß § 30 Abs 4 DSG 2000 in die Datenanwendungen der Beschwerdegegnerin an. Über das Ergebnis dieser Einschau (Niederschrift vom 30. Juni 2004, GZ: K120.896/0009-DSK/2004, Kopie einliegend in diesem Akt zu GZ: K120.903/0010-DSK/2004) wurde aus technischer Sicht durch Prof. Dr. August D*** und Stephan G*** vom Zentrum für sichere Informationstechnologie – Austria (A-SIT) ein Amtssachverständigengutachten abgegeben (Projektnummer A-SIT 4.***-5, GZ K120.896/0010-DSK/2004 vom 26. Juli 2004, Kopie einliegend zu GZ K120.903/0011-DSK/2004 in diesem Akt).
Der Beschwerdeführer brachte im Rahmen des ihm gewährten Parteiengehörs dazu nichts vor. Allerdings soll die durch den T-Verein in einem anderen Verfahren (K120.896) namens des dortigen Beschwerdeführers abgegebene Stellungnahme vom 23. August 2004 (Eingangsdatum, irrtümlich datiert mit '7. April 2004') erkennbar für alle von diesem Verein vertretenen Personen gelten. Man bringt vor, die durch Einschau und Gutachten hervorgekommene Nicht-Protokollierung tatsächlicher Verarbeitungsvorgänge wie der Übermittlung von Daten durch die Beschwerdegegnerin entspreche nicht dem Gesetz, im Speziellen § 14 DSG 2000. Das eingesetzte Datenbankprogramm sei veraltet und entspreche nicht dem Stand der Technik. Eine bessere Protokollierung der Verarbeitungsvorgänge sei auch durchaus wirtschaftlich vertretbar (Preisverfall bei Speichermedien, Erhöhung der Rechnerleistung durch technischen Fortschritt etc.). Dazu werden Kontrollverfahren betreffend alle Branchenführer unter den Adressverlagen und Restriktionen der Datenschutzkommission betreffend die Datenanwendungen der Beschwerdegegnerin angeregt. Des Weiteren äußert man den Verdacht, die auf den Beschwerdeführer und andere bezogenen Daten, deren Herkunft nicht feststehe, seien unrechtmäßig ermittelt worden, etwa aus Datenanwendungen der N*** Mail AG, deren Konzern ebenfalls auf dem Gebiet des Adressenhandels aktiv sei. Es stehe weiters fest, dass das Geburtsdatum beim Beschwerdeführer wie bei der Mehrzahl der geprüften Fälle nicht statistisch errechnet sondern auf andere Weise ermittelt worden sei, die Rechtmäßigkeit dieser Datenermittlung werde ausdrücklich bestritten. Im Hinblick auf (beim Beschwerdeführer nicht benützte) Datenfelder mit Bezeichnungen wie 'Assimilierungsgrad' äußerte man Zweifel an der Vollständigkeit des der Datenschutzkommission bei der Einschau zugänglich gemachten Datenbestandes. Bezüglich der so genannten 'SVD-Sperrdatei', eine unternehmensinternen Datei zur Erfassung jener Personen, deren Daten auf Dauer nicht von der Beschwerdegegnerin verwendet (also auch nicht neuerlich ermittelt und verarbeitet) werden sollen, bestritt der Beschwerdeführer die Legalität dieser Maßnahme, die einer Verweigerung der Löschung gleichkomme. Zur Ausscheidung der Daten solcher Betroffener genüge die von der Wirtschaftskammer Österreich geführte Sperrdatei ('Robinson-Liste'). Jedenfalls habe es die Beschwerdegegnerin verabsäumt, aus der SVD-Sperrdatei Auskunft zu geben. Überhaupt müsse die Beschwerdegegnerin über alle 107 Datenfelder, bei denen nach Meinung des Beschwerdeführers Daten über ihn vorlägen, Auskunft erteilen. Weitere der sehr umfangreichen Ausführungen sind für die zu entscheidende Auskunftsbeschwerde weniger relevant und umfassen Vorbringen zu Fragen der Daten- und Betriebssicherheit in den EDV-Anlagen der Beschwerdegegnerin und bei der technischen Datenübertragung.
Die Beschwerdegegnerin erstattete zu den Ergebnissen des Ermittlungsverfahrens ebenfalls eine Stellungnahme, datierend vom 13. August 2004. Darin brachte sie vor, nur wenige der in den verknüpfbaren Datenbanktabellen vorgesehenen 107 Datenarten würden tatsächlich mit personenbezogenen Daten 'befüllt', wie sich auch aus dem Amtssachverständigengutachten ergebe. Die Datenbankstruktur sei von der Schweizer Muttergesellschaft der Beschwerdegegnerin vorgegeben worden, gesetzlich gebe es keine Verpflichtung, leere Felder für nicht ermittelte Datenarten zu entfernen. In verschiedenen Datenbanktabellen doppelt erfasste Daten seien nur einmal zu beauskunften. Die im Gutachten (Punkt 3.2.2.5.) angesprochenen Daten, die nicht in der Auskunft aufscheinen würden (etwa die firmeninterne U***-Personen-Nr, die Anzahl der Umzüge, die Gemeindenummer, die Postleitzahl, Gemeinde- und Zellennummern) seien auch nicht personenbezogene Daten des Beschwerdeführers und anderer Betroffener sondern 'interne Einteilungs- bzw. Suchkriterien'. Die U***-Personen-Nr sei allerdings so genannter 'primary key' bei einer Suche nach Daten einer Person und gegen eine Auskunftserteilung darüber bestünden, falls notwendig, keine Bedenken. Im Gegensatz zur Schweizer Muttergesellschaft würde die Beschwerdegegnerin allen Betroffenen ihrer Datenanwendungen den Sprachcode für Deutsch zuordnen, da andere Sprachen in Österreich nicht relevant seien. Betreffend das Geburtsdatum einer Person sei eine Umstellung im Gange, wonach zukünftig, unabhängig von der Ermittlungsmethode (statistisch berechnet oder recherchiert), nur mehr Angaben zur Altersgruppe verarbeitet werden sollen. Das Programm zur automatischen Erstellung eines Auskunftsblattes gehe bereits von einer solchen Datenerfassung aus, und eine andere Bearbeitung von Auskunftsbegehren sei aus administrativen Gründen nicht möglich, das Vorhandensein weiterer Daten könne bei dieser Methode aber nicht ausgeschlossen werden. Die ebenfalls in Punkt 3.2.2.5 des Gutachtens erwähnten Kennzeichnungen ' D*** Sperrflag' und 'x***-mail Status' seien rein interne Arbeitsbehelfe. Bestritten wurden Schlussfolgerungen der Sachverständigen, dass die Datenbank Informationen zum Grund einer Änderung enthalte sowie dass Daten regelmäßig an die Schweizer Muttergesellschaft übermittelt würden. Nicht bestritten wurden hingegen vierteljährlich stattfindende 'Übergaben' des Datenbestandes an die Firma D*** GmbH Co OEG zwecks Erstellung der bekannten 'Marketing CD' sowie an die Muttergesellschaft zwecks Backups. Dies stelle allerdings keine Datenübermittlung oder Datenüberlassung im rechtlichen Sinne dar. Im Übrigen wiederholte die Beschwerdegegnerin ihr Vorbringen, die Führung detaillierter Aufzeichnungen über Herkunft und Übermittlung der Daten sei nur mit unverhältnismäßig hohem Aufwand möglich, und verwies auf ihr bisheriges Vorbringen samt Anträgen.
II. Von der Datenschutzkommission verwendete Beweismittel
Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einsichtnahme in die von den Parteien vorgelegten Urkunden(kopien) und sonstigen Dokumente, Durchführung einer Einschau in die Datenanwendungen der Beschwerdegegnerin im Rahmen eines Augenscheins (samt Sicherstellung von Datenkopien und Ausdrucken) und Einholung eines Amtssachverständigengutachtens zur Frage der verarbeiteten Daten sowie der technischen Nachvollziehbarkeit ihrer Herkunft und durchgeführter Übermittlungen.
Den Parteien wurde zu den Ergebnissen des Ermittlungsverfahrens Parteiengehör eingeräumt.
III. Festgestellter Sachverhalt und Beweiswürdigung
Die Datenschutzkommission stellt folgenden entscheidungsrelevanten Sachverhalt fest:
Die Beschwerdegegnerin betreibt das Gewerbe des Adressverlags und Direktmarketingunternehmens gemäß § 151 Gewerbeordnung 1994 (GewO 1994), BGBl Nr 194 idF BGBl I Nr 111/2002. Sie verarbeitet für diesen Zweck personenbezogene Daten in den zu DVR *0**8*2 im Datenverarbeitungsregister der Datenschutzkommission registrierten Datenanwendungen.
Beweiswürdigung: Diese Feststellungen beruhen auf bei der Datenschutzkommission amtsbekannten Tatsachen so wie auf eigenen Angaben und Publikationen der Beschwerdegegnerin.
Am 7. Oktober 2003 richtete der T-Verein namens des Beschwerdeführers und unter Berufung auf eine erteilte Vollmacht ein Auskunftsbegehren gemäß § 26 DSG 2000 an die Beschwerdegegnerin. Verlangt wurde Auskunft zu den betreffend den Beschwerdeführer gespeicherten Daten, zur Herkunft der Daten, zu Übermittlungsempfängern, zum Zweck der Datenanwendungen und zu den Vertrags- bzw. Rechtsgrundlagen der Datenverwendung. Für den Fall einer Datenüberlassung wurde Auskunft über Name und Anschrift von Dienstleistern verlangt. Unter einem erhob der Beschwerdeführer gemäß § 28 Widerspruch gegen die weitere Verwendung seiner Daten und verlangte die Abgabe einer entsprechenden Unterlassungserklärung.
Der Beschwerdeführer erhob am 4. November 2003 Beschwerde an die Datenschutzkommission wegen Verletzung seines Rechts auf Auskunft.
Beweiswürdigung: Diese Feststellungen beruhen auf den zitierten Urkunden, GZ: K120.903/0001-DSK/2003 samt Beilagen.
Mit Schreiben vom 24. Oktober 2003 erteilte die Beschwerdegegnerin dem Beschwerdeführer Auskunft. Die Auskunft hat in sinngemäßer Wiedergabe folgenden Umfang:
Name: Sebastian V***
Adresse: S***straße *4+*6, **70 L***
Telefon: 0***4/2**7
Haushaltsstatus Haushaltsvorstand
Haushaltsgröße: 2 Personen Haushalt
Jahresmindesteinkommen: Euro 22.000
Gebäudeart: 3-4 Familienhaus
Die kursiv wiedergegebenen Daten – das sind alle außer Name, Adresse und Telefonnummer - wurden als 'statistisch berechnet' gekennzeichnet.
Als Herkunft der Daten wurde 'persönlich recherchiert bzw. von anderen Dienstleistern zur Verfügung gestellt (öffentliches Telefonbuch – Name und Anschrift)' angegeben.
Betreffend Übermittlung wurde angegeben, die Daten würden nicht an Dritte übermittelt sondern lediglich im Rahmen der Gewerbeberechtigung für Marketingaussendungen ('zur Vervollständigung von Marketingaussendungen') verwendet. Sollten Daten jedoch an Dritte übermittelt werden, so würden 'bei diesen die Einhaltung der Bestimmungen des DSG im Rahmen der gesetzlichen Verpflichtungen überprüft'.
Auf die Fragen nach Dienstleistern und Übermittlungen im internationalen Datenverkehr wurde nicht eingegangen.
Beweiswürdigung: Diese Feststellungen gründen sich auf den Inhalt der zitierten Urkunden, Beilagen zur Beschwerde vom 4. November 2003, GZ K120.903/001-DSK/2003 und zur Stellungnahme der Beschwerdegegnerin vom 15. Jänner 2004, GZ: K120.903/0002- DSK/2004.
Mit Stand 30. Juni 2004 konnten aus insgesamt 3 Datentabellen (Personenstammtabelle, Haushaltsstammtabelle, Sourcepool) der Datenanwendungen der Beschwerdegegnerin 107 Datenarten mit Bezug zum Beschwerdeführer ausgewählt werden, wobei 26 Datenarten leer waren, also keinen erkennbaren Inhalt (Feldwert = leer) aufwiesen und bei anderen die Bedeutung der jeweiligen Datenart auch von den Sachverständigen nicht eindeutig ermittelt werden konnte.
Als wesentliche Abweichungen von der erteilten Auskunft stehen fest:
Die Herkunft der Daten sowie die Empfänger von Übermittlungen können an Hand der in den geprüften Datenanwendungen enthaltenen Daten nicht festgestellt werden.
Beweiswürdigung: Diese Feststellungen beruhen auf dem Ergebnis der Einschau in die Datenanwendungen der Beschwerdegegnerin durch Beauftragte der Datenschutzkommission, Niederschrift vom 30. Juni 2004, GZ K120.896/0009-DSK/2004 samt Beilagen ./A bis ./Q, Kopie einliegend zu GZ K120.903/0011-DSK/2004, sowie auf dem auf Grundlage dieser Ermittlungsergebnisse erstellten
Amtssachverständigengutachten vom 19. Juli 2004, GZ: K120.896/0010-DSK/2004, Kopie einliegend zu GZ: K120.903/0011- DSK/2004. Die Feststellungen zu den tatsächlich verarbeiteten oder zur Verarbeitung vorgesehenen Datenarten beruhen insbesondere auf den tabellarischen Aufstellungen der Sachverständigen zu den Beschwerdeführerdaten (Kapitel 5.3 des Gutachtens), auf den Erläuterungen (Kapitel 5.2 des Gutachtens) zu den Datenarten der drei ausgewerteten Quelldateien (Datenstammtabellen) und auf den gutachterlichen Schlussfolgerungen (Kapitel 4 des Gutachtens). Weitere Erläuterungen zur Bedeutung der einzelnen Datenarten/Felder der Quelldateien wurden den Beilagen ./O und ./P zu GZ: K120.896/0009-DSK/2004 entnommen. Das Amtssachverständigengutachten wurde auch von der Beschwerdegegnerin, die in ihrer Stellungnahme vom 13. August 2004 einige kritische Anmerkungen gemacht hat, in den hier relevanten Punkten nicht in Zweifel gezogen.
Daten der Datenanwendung 'Datenbank U***' werden zwecks Datensicherung (Backup) in regelmäßigen Abständen in die Schweiz an die Schweizer Muttergesellschaft der Beschwerdegegnerin (bis vor kurzem die U*** Direktmarketing AG) überlassen. Ebenso werden die Daten der 'Datenbank U***' regelmäßig vierteljährlich vollständig der D*** GmbH Co OEG für Zwecke der von dieser datenschutzrechtlichen Auftraggeberin vertriebenen 'D*** Privatpersonen Marketing CD' übermittelt. In kürzeren Abständen werden auch als 'Updates' bezeichnete Datenübermittlungen vorgenommen, die jeweils die U***-Personen-Nr der Betroffenen umfassen, die bei der Beschwerdegegnerin die Löschung ihrer Daten für Marketingzwecke verlangt haben.
Beweiswürdigung: Diese Feststellung beruht auf den Angaben des Geschäftsführers R*** der Beschwerdegegnerin anlässlich der Einschau am 30. Juni 2004.
IV. rechtliche Beurteilung
1. Der Umfang des Auskunftsrechts hinsichtlich des Dateninhalts, des Datenbankaufbaus und der Betriebssicherheit der Datenbank
Nach § 26 Abs. 1 DSG 2000 enthält der Anspruch auf Auskunft das Recht, Auskunft über die verarbeiteten Daten in allgemein verständlicher Form zu erhalten. Dies bedeutet, dass der Betroffene nicht nur über die Art (Kategorien) der über ihn verarbeiteten Daten aufzuklären ist, sondern dass ihm der Inhalt dieser Daten bekannt zu geben ist.
Daraus ergibt sich, dass etwa die erteilte Auskunft hinsichtlich der Datenart 'Sprache', nämlich Deutsch, richtig und vollständig war.
Das Recht auf Auskunft ist nicht mit einem Recht auf Einsicht in die Datenbank gleichzusetzen, d.h. dass zwar der Inhalt der verarbeiteten Daten in allgemein verständlicher Form bekannt gegeben werden muss, jedoch nicht gleichzeitig eine detaillierte Darstellung der Speicherlogik geliefert werden muss, aus der sich die Inhalte der beauskunfteten Daten ergeben. Es war somit im gegenständlichen Fall nicht erforderlich, die Bezeichnung aller 107 Datenfelder anzuführen. § 26 DSG 2000 erfordert nur die vollständige Angabe der Inhalte der tatsächlich gespeicherten Daten.
Das Auskunftsrecht ist angesichts seiner Beschränkung durch § 26 DSG 2000 auf Dateninhalte, Herkunft, Empfänger/Empfängerkreise von Übermittlungen, Zweck der Datenverarbeitung und Rechtsgrundlagen auch keine Handhabe, um Fragen der Daten- und Betriebssicherheit der EDV-Anlagen des Auftraggebers abzuhandeln. Die diesbezüglichen Ausführungen des Beschwerdeführers gehen daher ins Leere.
2. Der Umfang des Auskunftsrechts hinsichtlich der Herkunft von Daten
Der Beschwerdeführer scheint nach seinem Vorbringen ein subjektives Recht darauf zu behaupten, dass der Auftraggeber Protokolldaten über die Herkunft der von ihm verarbeiteten Daten speichert. Er führt dazu aus (Stellungnahme vom 23. August 2004, Seite 3), dass die Protokollierung der Datenherkunft wirtschaftlich zumutbar und notwendig sei, um das Auskunftsrecht durchsetzbar zu machen. Er beruft sich dazu auch auf Art. 12 der Richtlinie des Europäischen Parlaments und das Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (kurz: RL 95/46/EG). Sowohl die RL 95/46/EG als auch § 26 DSG 2000 enthalten jedoch kein absolutes Recht auf Bekanntgabe der Herkunft verarbeiteter Daten, sondern nur ein Recht auf Bekanntgabe der 'verfügbaren Informationen über ihre Herkunft'. Diese Formulierung ist im Lichte des Grundsatzes des Art. 6 der RL (= § 6 DSG 2000) zu verstehen, wonach Daten nach 'Treu und Glauben' verarbeitet werden müssen, sodass es nicht als allein im Belieben des Auftraggebers stehend angesehen werden kann, welche Aufzeichnungen über die 'Herkunft der Daten verfügbar' sein müssen. Wesentlich werden im vorliegend Zusammenhang jedoch auch das Wesen und die zulässigen Beschränkungen des Auskunftsrechtes nach § 1 Abs. 4 DSG 2000 sein:
Aus § 1 Abs. 3 und 4 DSG 2000 ergibt sich, dass das Auskunftsrecht kein absolutes Recht ist: Das Auskunftsrecht steht vielmehr unter einem doppelten (!) Gesetzesvorbehalt (§ 1 Abs. 3 und Abs. 4). Wie in § 26 Abs. 3 nochmals auf einfachgesetzlicher Stufe ausdrücklich ausgeführt, hat das Auskunftsrecht seine Grenze auch in den berechtigten Interessen (z.B. Datenschutzinteressen) des Auftraggebers oder Dritter, sofern diese Interessen in einer konkreten Situation als 'überwiegend' zu werten sind.
Der Beschwerdegegner hat Angaben über die Herkunft der beauskunfteten Daten in allgemeiner Form gemacht und im Übrigen geltend gemacht, dass nur bei unverhältnismäßig hohem Aufwand detaillierte Aufzeichnungen über die Herkunft der Daten verfügbar gemacht werden könnten. Damann/Simits (Kommentar zur Datenschutzrichtlinie, S 194) gehen diesbezüglich davon aus, dass es 'hierbei keine Rolle spielt, ob die Herkunftsangaben in einer Datei gespeichert sind. Es genügt, wenn die Informationen ggf. mit Hilfe der von der betroffenen Person gemachten Angaben auffindbar oder feststellbar sind.'
Im vorliegenden Zusammenhang wäre die Auffindbarkeit von Informationen über die Herkunft der Daten des Betroffenen im Einzelnen jedoch nur mit unverhältnismäßigem Aufwand möglich. Sie würde voraussichtlich auch nicht hergestellt werden können, da in den Unterlagen von Direktmarketingunternehmen der Erwerb und die Weitergabe von Datenbeständen regelmäßig nicht betroffenenbezogen dokumentiert werden.
3. Umfang des Auskunftsrechts über Übermittlungen und Überlassungen
Der Beschwerdeführer hat die Nichterteilung der Auskunft über die Empfänger der vom Beschwerdegegner über ihn verarbeiteten Daten gerügt. Er hat in diesem Zusammenhang insbesondere das Fehlen von Protokollaufzeichnungen über Übermittlungsempfänger geltend gemacht.
Hierzu ist jedoch auf § 14 Abs. 3 DSG 2000 zu verweisen, 'wonach nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, so zu protokollieren sind, dass dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung'. Daraus ist abzuleiten, dass einer Pflicht zur besonderen Protokollierung nur jene Übermittlungen unterliegen, die aus der Meldung des Auftraggebers beim DVR nicht hervorgehen.
Im vorliegenden Fall sind in der Meldung des Auftraggebers die folgenden Übermittlungsempfänger angeführt:
'Unternehmen, Gewerbetreibende, Firmen, Betriebe sowie Non-Profit-Organisationen, Vereine, gemeinnützige Einrichtungen, Initiativen, politische Parteien, und ähnliches, die in den Ländern der EU oder der Schweiz angesiedelt bzw. situiert sind, soweit diese Marketingaktionen und schriftliche Werbung durchführen bzw. betreiben und eine Erklärung nach § 151 GewO 2002 abgegeben haben.' Unter die auf diese Weise bezeichneten Übermittlungsempfänger kann die im Ermittlungsverfahren hervorgekommene Weitergabe an die D*** GmbH Co OEG nicht eingereiht werden. Aus diesem Grund wurde das Auskunftsrecht des Betroffenen in diesem Punkt verletzt.
4. Unvollständige Auskunftserteilung hinsichtlich der verarbeiteten Daten:
Die erteilte Auskunft erweist sich auch im Hinblick auf ihre Vollständigkeit als mangelhaft. Die markantesten Unzulänglichkeiten werden im Folgenden näher behandelt:
Gemäß § 4 Z 1 DSG 2000 sind personenbezogene Daten Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Wird einem Betroffenen beispielsweise eine Kennzahl zugeordnet, wie im Beschwerdefall etwa die 'U***-Personen-Nr' aus den Datenanwendungen der Beschwerdegegnerin, so enthält dies die Angabe, dass Daten zum Beschwerdeführer unter eben dieser Kennzahl abrufbar sind oder mit ihrer Hilfe unverwechselbar gesucht oder verknüpft werden können. Selbst wenn es sich um eine Zahl handelt, der keinerlei Aussagewert zukommt – dies muss nicht so sein, die Zahl kann nämlich, verschlüsselt oder unverschlüsselt (vgl. etwa die österreichische Sozialversicherungsnummer, die offen das Geburtsdatum enthält), auch substanzielle Angaben zur Person enthalten -, so ist diese Zahl doch funktioneller Teil einer Datenanwendung gemäß § 4 Z 7 DSG 2000 und beschreibt im Sinne von § 4 Z 1 DSG 2000 den Betroffenen immerhin so weit, als sie dauerhaft verarbeitet wird und die Angabe vermittelt unter oder mit Hilfe welcher Personennummer weitere Daten zum Betroffenen abgerufen werden können. Es handelt sich dabei daher nicht bloß um einen Teil der programmtechnischen Suchlogik beziehungsweise 'interne Einteilungs- bzw. Suchkriterien'. Auch dauerhaft verarbeitete interne Personennummern, Personenkennzeichen und ähnliche Suchbegriffe sind dem Betroffenen daher im Rahmen einer Auskunft über eigene Daten (§ 26 DSG 2000) offen zu legen.
Durch das Nichterteilen einer Auskunft über die 'U***- Personen-Nr' wurde der Beschwerdeführer daher in seinem Recht auf Auskunft über eigene Daten gemäß §§ 1 Abs 3 Z 1, 26 DSG 2000 verletzt.
Da somit feststeht, dass die erteilte Auskunft teils unrichtig, teils unvollständig ist, war spruchgemäß zu entscheiden.