K500.974-033/0002-DVR/2005 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.

Dieser Bescheid wurde hinsichtlich des Spruches (Auflagen) als Musterentscheidung dokumentiert.]

B e s c h e i d

Die Datenschutzkommission hat unter dem Vorsitz von Dr. Spenling und in Anwesenheit der Mitglieder Dr. Duschanek, Mag. Hutterer, Dr. Kotschy, Mag. Preiss, Dr. Staudigl sowie der Schriftführer Mag. Suda und Fr. Haas in ihrer Sitzung am 1. Februar 2005 folgenden Beschluss gefasst:

Aufgrund der gemäß §§ 17 ff Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, erstatteten Meldung des Auftraggebers Bezirkshauptmannschaft Wiener Neustadt an das Datenverarbeitungsregister, GZ BKA- K500.974-033/0001- DVR/2004, betreffend die Datenanwendung „Betreuungsinformationssystem über die Gewährleistung der vorübergehenden Grundversorgung für hilfs- und schutzbedürftige Fremde in Österreich“, welche in Form eines Informationsverbundsystems iSd § 50 DSG 2000 geführt werden soll, werden der Bezirkshauptmannschaft Wiener Neustadt als teilnehmendem Auftraggeber (im Folgenden als „Auftraggeber“ bezeichnet) gemäß § 21 Abs. 2 DSG 2000 folgende Auflagen erteilt:

B e g r ü n d u n g

Mit Eingabe vom 4. Jänner 2005 hat der Auftraggeber eine geänderte Meldung gemäß §§ 17 ff DSG 2000 betreffend die Datenanwendung „Betreuungsinformationssystem über die Gewährleistung der vorübergehenden Grundversorgung für hilfs- und schutzbedürftige Fremde in Österreich“, welche in Form eines Informationsverbundsystems geführt werden soll, zur Registrierung vorgelegt.

Die zur Registrierung vorgelegte Datenanwendung „Betreuungsinformationssystem über die Gewährleistung der vorübergehenden Grundversorgung für hilfs- und schutzbedürftige Fremde in Österreich“ unterliegt der Vorabkontrolle, da sie sensible Daten zum Inhalt hat (§ 18 Abs. 2 Z 1 DSG 2000) und darüber hinaus in Form eines Informationsverbundsystems geführt werden soll (§ 18 Abs. 2 Z 4 DSG 2000).

Die Zulässigkeit einer Datenanwendung erfordert gemäß § 7 DSG 2000 das Vorliegen einer ausreichenden gesetzlichen Zuständigkeit oder rechtlichen Befugnis des Auftraggebers, die Berücksichtigung schutzwürdiger Geheimhaltungsinteressen der Betroffenen und dass die Grundsätze des § 6 DSG 2000 eingehalten werden.

In der vorliegenden Meldung wurde als Rechtsgrundlage für das gesamte Informationsverbundsystem die „Vereinbarung zwischen dem Bund und den Ländern gemäß Art 15a B-VG über gemeinsame Maßnahmen zur vorübergehenden Grundversorgung für hilfs- und schutzbedürftige Fremde (Asylwerber, Asylberechtigte, Vertriebene und andere aus rechtlichen oder faktischen Gründen nicht abschiebbare Menschen) in Österreich (Grundversorgungsvereinbarung – Art 15a B-VG) iVm.

Bundesbetreuungsgesetz (BGBl Nr. 405/1991 idF BGBl I Nr. 32/2004) iVm Asylgesetz (BGBl. I Nr. 76/1997 idgF) iVm Fremdengesetz iVm. § 9 Z 6 und 7 DSG 2000 iVm Sozialhilfegesetze der Länder iVm Jugendwohlfahrtsgesetze der Länder“ angeführt.

Die Betreuung von Flüchtlingen ist laut Mitteilung des Amtes der Niederösterreichischen Landesregierung vom 23. Dezember 2004, GZ LAD1-VD-10059/284-2004, eine Tätigkeit, die im Land Niederösterreich nach derzeitiger Rechtslage der Privatwirtschaftsverwaltung (Art 17 B-VG) zuzurechnen ist.

Die Grundversorgungsvereinbarung hat – soweit sie nicht durch Bundes- bzw. Landesgesetz umgesetzt ist - nur den Charakter eines „Selbstbindungsgesetzes“: Der VfGH geht davon aus, dass Vereinbarungen nach Art. 15a B-VG jedenfalls einer speziellen Transformation bedürfen, um Rechtswirkungen für Dritte zu entfalten ( Walter/Mayer Bundesverfassungsrecht [9.Aufl.] Rz 851, Mayer , B-VG [3. Aufl.] Art 15a B-VG), weil eine rechtliche Befugnis nur objektivrechtlichen Gehalt hat und noch nichts über das Ausmaß zulässiger Eingriffe in das Geheimhaltungsrecht eines Dritten besagt. Eine konkrete gesetzliche Grundlage „mit Außenwirkung“ ist nach § 1 Abs. 2 DSG 2000 allerdings nur für behördliche Eingriffe in das Grundrecht auf Datenschutz durch Verwendung personenbezogener Daten erforderlich. Angesichts des privatrechtlichen Charakters der Bundesbetreuung liefert daher Art I Abs. 3 Grundversorgungsvereinbarung zumindest eine rechtliche Befugnis im Sinne von § 7 Abs. 1 DSG 2000, sodass dieses Erfordernis für die Rechtmäßigkeit einer Datenverwendung gegeben ist.

Mit Schreiben vom 20. Jänner 2005, GZ K500.974-033/0001- DVR/2004, wurde dem Auftraggeber im Rahmen des Parteiengehörs mitgeteilt, dass für die Zulässigkeit der Datenanwendung Auflagen durch Bescheid vorgesehen sind.

Der Auftraggeber wendet in seiner Stellungnahme vom 25. Jänner 2005 Folgendes ein:

1. Die vorgeschlagenen Auflagen sind nur eine Wiederholung der §§ 7 Abs. 1 und 2 iVm § 9 Z 6, Z 7 und Z 8 sowie des § 14 Abs. 2 DSG 2000. Nach der Rechtssprechung des Verwaltungsgerichtshofes können aber Maßnahmen, zu denen bereits das Gesetz unmittelbar verpflichtet, nicht Gegenstand einer Bescheidauflage sein (VwSlg.10078/1980).

Die diesbezügliche Auffassung des Auftraggebers kann aus nachstehenden Gründen nicht geteilt werden:

Die Bestimmung § 21 Abs. 2 DSG 2000 enthält die

ausdrückliche gesetzliche Ermächtigung, dem Auftraggeber aufgrund der Ergebnisse des Prüfungsverfahrens Auflagen für die Vornahme der Datenanwendung durch Bescheid zu erteilen, soweit dies zur Wahrung der durch das DSG 2000 geschützten Interessen der Betroffenen notwendig ist. Die erteilten Auflagen bieten eine ausreichende Garantie dafür, dass die schutzwürdigen Geheimhaltungsinteressen der Betroffenen im konkreten Fall gewahrt werden. Entgegen der Auffassung des Auftraggebers handelt es sich nicht bloß um eine bloße Wiederholung gesetzlicher Bestimmungen, sondern um eine Konkretisierung für den Einzelfall.

2.1. Die Verwendung von Gesundheitsdaten ist zum Schutz der Gesundheit und zur Vermeidung der Übertragung von Krankheiten zur Wahrung lebenswichtiger Interessen anderer („Dritter“) notwendig, kann aber auch im Hinblick auf die Sicherstellung medizinischer Versorgung zur Wahrung lebenswichtiger Interessen des Betroffenen selbst notwendig sein (§ 9 Z 7 und Z 8 DSG 2000).

Die Auflage 1. entspricht ihrem Wortlaut nach ohnehin voll und ganz dem Anliegen des Auftraggebers.

2.2. Bei der Betreuung von Fremden nach der Grundversorgungsvereinbarung sind genaue Kenntnisse über die rassische und ethnische Herkunft sowie über die religiöse oder philosophische Überzeugung von großer Bedeutung, um Auseinandersetzungen und Ausschreitungen etwa bei der Anreise zu den Quartieren und bei der Unterbringung zu vermeiden. Die Verwendung von Daten über die rassische und ethnische Herkunft und über die religiöse oder philosophische Überzeugung ist daher zur Wahrung lebenswichtiger Interessen anderer notwendig (§ 9 Z 8 DSG 2000).

In der Auflage 3. wurde die Stellungnahme des Auftraggebers berücksichtigt.

Zu den notwendigen Voraussetzungen für die Zulässigkeit der Datenanwendung nach § 8 bzw. 9 DSG 2000 gilt Folgendes:

Hinsichtlich der nicht-sensiblen Daten sind schutzwürdige Geheimhaltungsinteressen der Betroffenen nicht beeinträchtigt, weil die Verarbeitung ihrer Daten zur Erfüllung des Betreuungsvertrages erforderlich ist (§ 8 Abs. 3 Z 4 DSG 2000), sodass ein überwiegendes berechtigtes Interesse der jeweils zur Betreuung verpflichteten Gebietskörperschaft vorliegt (§ 8 Abs. 1 Z 4 DSG 2000).

Da die Erfüllung rechtsgeschäftlicher Verpflichtungen nach § 9 DSG 2000 (in Verfolg von Art. 8 der RL 95/46/EG) nicht als Rechtsgrundlage für die Verarbeitung sensibler Daten herangezogen werden kann, dürfen sensible Daten, soweit ihre Verwendung nicht ohnehin gesetzlich ausdrücklich geregelt ist, nur mit ausdrücklicher Zustimmung des Betroffenen verwendet werden. Ausnahmsweise ist die Verwendung dieser Daten auch erlaubt, wenn dies zur Wahrung lebenswichtiger Interessen des Betroffenen notwendig ist und seine Zustimmung nicht rechtzeitig eingeholt werden kann, oder wenn die Verwendung der Daten zur Wahrung lebenswichtiger Interessen eines Dritten erfolgt.