[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
BESCHEID
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. DUSCHANEK, Dr. HEIßENBERGER, Dr. KOTSCHY und Mag. PREISS sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 16. November 2004 folgenden Beschluss gefasst:
Spruch
Über die Beschwerde des K in X vom 17. März 2004, vertreten durch den Verein Z in X, gegen das Zollamt Wien (Beschwerdegegner), wegen Verletzung in den Rechten auf Geheimhaltung und Löschung durch überschießende Verwendung von Protokolldaten im Bereich der elektronischen Arbeitszeiterfassung wird gemäß den §§ 1 Abs. 5 und 31 Abs. 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 136/2001, entschieden:
Das Hauptzollamt Wien bis 30. April 2004 bzw. der Beschwerdegegner ab 1. Mai 2004 haben den Beschwerdeführer durch die automatische Erfassung und weitere Verarbeitung der Zeitpunkte, zu denen er die ihm obliegenden Eintragungen in seine elektronische Zeitkarte vorgenommen hat, für Zwecke der Kontrolle der Plausibilität dieser Eintragungen im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG 2000 verletzt.
Die Daten sind gemäß § 27 Abs. 1 Z 1 DSG 2000 zu löschen.
Weitere angewendete Rechtsvorschriften: § 1 Abs. 2, § 4 Z 4, § 6 Abs. 1 Z 2, § 7, § 14 Abs. 1, Abs. 2 Z 7 und Abs. 4 sowie § 27 Abs. 3 DSG 2000; § 44, § 45 Abs. 1 und § 48 Abs. 1 des Beamten-Dienstrechtsgesetzes 1979 (BDG), BGBl Nr. 333/1979 idF BGBl I Nr. 142/2000; § 1 Abs. 1 und § 14 Abs. 1 des Abgabenverwaltungsorganisationsgesetzes (AVOG), BGBl Nr. 18/1975 idF vor der Novelle BGBl I Nr. 124/2003; § 1, § 14 Abs.3 erster Satz und § 17a Abs. 3 AVOG idF der Novelle BGBl I Nr. 124/2003; § 2 Abs. 1 und § 13 Abs. 1 der Wirtschaftsraum-Zollämter-Verordnung, BGBl II Nr. Nr. 121/2004; § 2 Abs. 2 des Dienstrechtsverfahrensgesetzes 1984 (DVG), BGBl. Nr. 29/1984 idF BGBl I Nr. 119/2002; Art. 20 Abs. 1 B VG; Abschnitt D Z 2 von Teil 2 der Anlage zu § 2 des Bundesministeriengesetzes 1986 (BMG), BGBl Nr. 76/1986 idF BGBl I Nr. 17/2003;
Begründung:
Der Beschwerdeführer macht geltend, das Hauptzollamt Wien, bei dem er im Zeitpunkt der Beschwerdeerhebung beschäftigt war, erfasse automatisch jenen Zeitpunkt, in dem er Beginn bzw. Ende seiner täglichen Arbeitszeit in eine Zeitkarte im Personalinformationssystem des Bundes einträgt, und verwende diese Daten zur Kontrolle der Plausibilität der vom Beschwerdeführer selbst getätigten Eintragungen.
Der Beschwerdegegner hält diese Vorgangsweise für rechtmäßig.
Auf Grund des von der Datenschutzkommission durchgeführten Ermittlungsverfahrens wird der folgende entscheidungsrelevante Sachverhalt festgestellt:
Der Beschwerdeführer steht als Beamter in einem öffentlichrechtlichen Dienstverhältnis zum Bund. Sein Arbeitsplatz befindet sich seit 1. Mai 2004 beim Beschwerdegegner, davor war er bei dem mit 30. April 2004 aufgelösten Hauptzollamt Wien tätig. Im gesamten Ressortbereich des Bundesministeriums für Finanzen findet seit 1. Jänner 2002 auf Grund einer entsprechenden Anordnung dieses Bundesministeriums eine automationsunterstützte Erfassung der Arbeitszeit statt, wobei innerhalb des 'Personalinformationssystems des Bundes (PIS)' eine Zeitkarte zu führen ist, in die die Mitarbeiter, also auch der Beschwerdeführer, den täglichen Arbeitsbeginn und das Arbeitsende möglicht zeitnahe selbst einzutragen haben. Der Zeitpunkt der Eintragung wird in einem 'Eingabeprotokoll' automatisch erfasst. Dieses wurde vom Hauptzollamt Wien bzw. wird vom Beschwerdegegner zur Kontrolle der Plausibilität der vom Beschwerdeführer getätigten Eintragungen verwendet. Einem sonstigen Zweck dienen die Eingabezeiten nicht.
Beweiswürdigung: Diese Feststellungen beruhen auf den in sachverhaltsmäßiger Hinsicht unwidersprochen gebliebenen – in der Stellungnahme des Beschwerdegegners vom 7. Mai 2004 lediglich ergänzten - Beschwerdebehauptungen und dem in Kopie vorgelegten 'Eingabeprotokoll'.
In rechtlicher Hinsicht folgt daraus:
1. Anzuwendende Rechtsvorschriften:
a. Verfassungsbestimmungen:
Gemäß § 1 Abs. 1 DSG 2000, hat jedermann, insbesondere auch im Hinblick auf die Achtung des Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind nach Abs. 2 leg. cit. Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 EMRK genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
b. einfachgesetzliche Bestimmungen und Durchführungsverordnungen
Gemäß § 4 Z 4 DSG 2000 sind Auftraggeber natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten […].
Gemäß § 6 Abs. 1 Z 2 DSG 2000 dürfen Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.
§ 7 DSG 2000 lautet:
'Zulässigkeit der Verwendung von Daten
§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und
Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
(2) Daten dürfen nur übermittelt werden, wenn
1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und
2. der Empfänger dem Übermittelnden seine ausreichende
gesetzliche Zuständigkeit oder rechtliche Befugnis soweit
diese nicht außer Zweifel steht im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
(3) Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.'
Die für den folgenden Fall maßgeblichen Bestimmungen des §14
DSG 2000 über Protokolldaten lauten:
'Datensicherheitsmaßnahmen
§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.
(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,
[…]
7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
[…]
(4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck - das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes - unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.'
§ 27 Abs. 1 und 3 DSG 2000 lauten:
'Recht auf Löschung
§ 27. (1) Jeder Auftraggeber hat unrichtige oder entgegen den
Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
2. auf begründeten Antrag des Betroffenen.
Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. [....] Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; [...].
(3) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.'
Gemäß § 45 Abs. 1 BDG hat der Vorgesetzte für die Einhaltung der Dienstzeit zu sorgen.
Gemäß § 48 Abs. 1 BDG hat der Beamte die im Dienstplan vorgeschriebenen Dienststunden einzuhalten, wenn er nicht vom Dienst befreit oder enthoben oder gerechtfertigt vom Dienst abwesend ist. Die tatsächlich erbrachte Dienstzeit ist, sofern nicht wichtige dienstliche Interessen entgegenstehen, automationsunterstützt zu erfassen.
Gemäß § 14 Abs. 1 AVOG idF vor der Novelle BGBl I Nr. 124/2003, war das Hauptzollamt Wien Zollbehörde erster Instanz mit allgemeinem Aufgabenkreis für die Länder Wien, Niederösterreich und Burgenland.
Gemäß § 14 Abs. 3 erster Satz AVOG idF der Novelle BGBl I Nr. 124/2003 hat der Bundesminister für Finanzen mit Verordnung den Sitz (die Sitze) und Amtsbereich der Zollämter mit allgemeinem Aufgabenkreis in organisatorisch zweckmäßiger, einer einfachen und kostensparenden Vollziehung, wie auch den Bedürfnissen einer bürgernahen Verwaltung dienenden Weise nach regionalen Gesichtspunkten festzulegen.
Nach § 2 Abs. 1 der (gemäß ihrem § 13 Abs. 1) am 1. Mai 2004 in Kraft getretenen Wirtschaftsraum-Zollämter-Verordnung, BGBl II Nr. Nr. 121/2004, wird das Zollamt Wien für den örtlichen Bereich des Bundeslandes Wien eingerichtet.
Nach § 17a Abs. 3 AVOG idF der Novelle BGBl I Nr. 124/2003 treten an die Stelle der Zuständigkeiten des Hauptzollamtes oder der Hauptzollämter (§ 14 in der Fassung vor dem Bundesgesetz BGBl. I Nr. 124/2003) die in § 14 dieses Bundesgesetzes definierten Zollämter.
Gemäß § 1 AVOG idF der Novelle BGBl I Nr. 124/2003 (inhaltlich übereinstimmend mit § 1 Abs. 1 AVOG in der vorherigen Fassung) obliegt dem Bundesministerium für Finanzen die Besorgung der Geschäfte der obersten Verwaltung des Bundes nach Maßgabe des BMG in der jeweils geltenden Fassung. Im Zusammenhalt mit § 2 Abs. 2 DVG sowie Abschnitt D Z 2 von Teil 2 der Anlage zu § 2 BMG ergibt sich daraus die Stellung des Bundesministers für Finanzen als oberste Dienstbehörde im Bereich der Finanzverwaltung.
2. Rechtliche Beurteilung
a. Auftraggebereigenschaft
Im vorliegenden Fall hat der Beschwerdegegner vorgebracht, die automationsunterstützte Zeiterfassung sei 'im BMF' mit Wirksamkeit 1. Jänner 2002 eingeführt worden; er habe keinen Einfluss auf Art und Inhalt der angezeigten Daten. Somit hat der Beschwerdegegner seine Eigenschaft als Auftraggeber des 'Eingabeprotokolls' in Frage gestellt.
Der Auftraggeberbegriff des § 4 Z 4 DSG 2000 stellt auf die faktische Willensbildung zur Verarbeitung personenbezogener Daten und nicht auf die (abstrakte) Befugnis dazu ab. Dennoch kommt Organisations- und Zuständigkeitsvorschriften (zur Begriffsbildung s. Walter/Mayer, Verwaltungsverfahrensrecht,
8. Aufl. Rz. 4 und 37 ff), wenn solche bestehen, eine wichtige Indikatorfunktion für die Qualifikation als Auftraggeber zu. Ergibt das Ermittlungsverfahren nicht eindeutige Anhaltspunkte, dass von den Organisations- bzw. Zuständigkeitsvorschriften abgewichen wurde, so ist das nach diesen Vorschriften zuständige Organ als Auftraggeber anzusehen.
Mit seinem Hinweis auf die Einführung des Zeiterfassungssystems im gesamten Wirkungsbereich des Bundesministeriums für Finanzen zeigt der Beschwerdegegner keine derartige Abweichung auf. Er weist vielmehr lediglich darauf hin, dass die Einführung offenbar vom Bundesministerium für Finanzen angeordnet wurde, also die Erteilung einer Weisung, Arbeitszeitdaten der Bediensteten automationsunterstützt zu erfassen, durch die in Dienstrechtsangelegenheiten zuständige oberste Behörde (Art 20 Abs. 1 B VG iVm § 1 AVOG, Abschnitt D Z 2 von Teil 2 der Anlage zu § 2 BMG 1986 und § 2 Abs. 2 DVG) erfolgte. Dadurch fasste jedoch das Bundesministerium keineswegs den Entschluss, selbst, also im eigenen Namen, die Arbeitszeit von sämtlichen Bediensteten des Ressorts zu erfassen, sondern hielt die hiefür zuständigen Organe – das sind die Vorgesetzten nach § 45 Abs. 1 BDG - zu einer derartigen Erfassung an. Die Erfassung erfolgte also nicht automatisch durch die Weisung des Bundesministeriums, sondern bedurfte eines weiteren Willensaktes des Vorgesetzten. Daran ändert es nichts, wenn sich für den Vorgesetzten aus Art. 20 Abs. 1 B-VG und § 44 BDG eine Verpflichtung zur Befolgung der Weisung ergibt, weil es nach § 4 Z 4 DSG 2000 auf das Motiv, welches schließlich zum Entschluss zur Datenverarbeitung führt, nicht ankommt. Eine Zurechnung zu einem individuell bestimmten Vorgesetzten kann unterbleiben, weil sich dieser jedenfalls des Geschäftsapparats 'Hauptzollamt' bzw. 'Zollamt' (begründet durch § 14 Abs. 1 AVOG idF vor der Novelle BGBl I Nr. 124/2003 bzw. § 14 Abs. 3 AVOG idF der Novelle BGBl I Nr. 124/2003 iVm § 2 Abs. 1 Wirtschaftsraum-Zollämter-Verordnung) bedienen kann bzw. Teil dieses Geschäftsapparats ist, der nach § 4 Z 4 DSG 2000 selbst als Auftraggeber in Betracht kommt, sodass das Hauptzollamt Wien bzw. nach dessen Auflösung das Zollamt Wien als Auftraggeber anzusehen sind. Auf Grund der Übergangsbestimmung des § 17a Abs. 3 AVOG ist das Zollamt Wien nunmehr alleiniger Beschwerdegegner.
b. Recht auf Geheimhaltung
Die beschwerdegegenständlichen automatisch erfassten Eingabezeitdaten erweisen sich zunächst schon deshalb als problematisch, weil entgegen § 6 Abs. 1 Z 2 DSG 2000 der Zweck ihrer Verarbeitung nicht eindeutig erkennbar ist.
Die Protokollierung des Eingabezeitpunktes auf der Rechtsgrundlage des § 14 DSG 2000 kommt wohl deshalb nicht in Frage, weil Gegenstand des § 14 DSG 2000 die Gewährleistung der Datensicherheit ist, d.h. die Aufzeichnung von Zugriffen auf Daten, um die Berechtigung des Zugriffs allenfalls überprüfen zu können. Dies kann im gegenständlichen Fall nicht Grund der Protokollierung sein, da hier der Betroffene selbst seine Daten einträgt in ein nur ihm zugängliches Formular. Im Übrigen wäre die Weiterverwendung der Zeitaufzeichnungen im Falle ihrer Qualifizierung als 'Protokolldaten' iSd § 14 DSG 2000 im vorliegenden Fall jedenfalls unzulässig, da gemäß § 14 Abs. 4 'Protokoll- und Dokumentationsdaten nicht für Zwecke weiterverwendet werden dürfen, die mit dem Ermittlungszweck – das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle der Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind'. Die belangte Behörde hat in ihrer Stellungnahme erkennen lassen, dass sie Kontrollzwecke im Hinblick auf die Bediensteten selbst als Grund für die Datenermittlung ansieht, und zwar offenbar Kontrolle im Hinblick auf die Übereinstimmung von eingetragener Arbeitszeit und tatsächlicher Arbeitszeit. Hiefür ist die Protokollierung der Eintragungszeit jedoch ein ungeeignetes Mittel:
Ausgehend von dem Umstand, dass die belangte Behörde keine dienstrechtliche Pflicht behauptet hat, die Eintragung in das Arbeitszeitformular sofort nach Betreten des Arbeitsplatzes und unmittelbar vor Verlassen des Arbeitsplatzes vorzunehmen, ist der Zeitpunkt der Eintragung evidentermaßen nicht signifikant für die tatsächliche Arbeitszeit, und zwar aus mehreren Gründen:
Der Bedienstete könnte außerhalb der Dienststelle Dienst zu versehen haben – dann kann eine Eintragung erst eine gewisse Zeit nach dem Dienstantritt oder Dienstende eingetragen werden.
Ein Bediensteter könnte rationellerweise auch die Dienstzeit mehrerer Tage, z.B. aufgrund handschriftlicher Aufzeichnungen, auf einmal in die elektronische Zeitkarte eintragen. Es könnte – was kein völlig außergewöhnliches Ereignis ist – die IT-Ausstattung am Arbeitsplatz nicht funktionsfähig zur Verfügung stehen, was Eintragungen erst zu einem späteren Zeitpunkt ermöglicht, usw.
Aus allen diesen und noch weiteren denkbaren Gründen kann der Zeitpunkt der Eintragung der Dienstzeit für den Zeitpunkt des tatsächlichen Dienstantritts oder Dienstendes bedeutungslos sein. Daraus erhellt, dass die Protokollierung des Zeitpunkts der Eintragung kein geeignetes Mittel für Informationen über die tatsächlich am Arbeitsort verbrachte Zeit ist und daher auch für die Kontrolle der Arbeitszeit keine verlässlichen Daten bringt.
Ist jedoch die Ermittlung von personenbezogenen Daten für den angegebenen Zweck sachlich nicht geeignet, kann der Eingriff in das Grundrecht auf Datenschutz, der durch jede Ermittlung personenbezogener Daten verursacht wird, die weder allgemein verfügbar noch indirekt personenbezogen sind, keinesfalls verhältnismäßig und damit keinesfalls rechtlich zulässig sein. Auch wenn daher ein grundsätzlich berechtigtes Interesse des Dienstgebers an der Kontrolle der Einhaltung der Arbeitszeit durch die Dienstnehmer nicht bezweifelt werden kann, stellt die Kontrolle durch Ermittlung von Daten, die für Kontrollzwecke nicht signifikant sind, einen unzulässigen Eingriff in das Grundrecht auf Geheimhaltung dar.
Die dadurch eingetretene Rechtsverletzung des Beschwerdeführers war somit spruchgemäß festzustellen.
c. Verpflichtung zur Löschung
Aus der soeben unter Pkt. 2.b. dargelegten Unzulässigkeit der Verarbeitung ergibt sich schon gemäß § 27 Abs. 1 Z 1 DSG 2000 eine Verpflichtung des Beschwerdegegners zur Löschung dieser Daten. Dem steht § 27 Abs. 3 DSG 2000 nicht entgegen, weil ein (zulässiger) Dokumentationszweck der Daten, wie er etwa bei Daten, die (auch) Protokollzwecken im Sinn von § 14 DSG 2000 dienen, anzunehmen wäre, nicht zu erkennen ist.
Es war daher antragsgemäß die Löschung der Daten anzuordnen.
[Literaturhinweis: veröffentlicht; ecolex 2005, 216; kritisch besprochen: Brodil, Zeiterfassung ohne Zeiterfassung? Kritische Anmerkungen zu einer E der Datenschutzkommission, ecolex 2005, 459]
Rückverweise
RIS