K120.908/0009-DSK/2005 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]

[Anmerkung Bearbeiter: gleichlautend die Bescheide der Datenschutzkommission vom selben Tag, GZ K120.907/0009- DSK/2005, GZ K120.909/0009-DSK/2005, GZ K120.910/0009-DSK/2005 und GZ K120.916/0010-DSK/2005 (alle bis auf Letzteren nur in Bezug auf das Datenart „Geburtsdatum“)]

BESCHEID

Die Datenschutzkommission hat unter dem Vorsitz von Dr. Maier und in Anwesenheit der Mitglieder Dr. Blaha, Dr. Duschanek, Dr. Kotschy, Dr. Rosenmayr-Klemenz, Dr. Staudigl und Mag. Zimmer sowie des Schriftführers Mag. Suda in ihrer Sitzung vom 20. Mai 2005 folgenden Beschluss gefasst:

Spruch

Über die Beschwerde des Ing. Udo R*** in Graz (Beschwerdeführer), vertreten a) durch die ARGE Daten – Österr. Gesellschaft für Datenschutz, diese vertreten durch Mag. Donald Z***, Redtenbachergasse 20, 1160 Wien, und b) durch die Rechtsanwälte ***, U***straße 2/10, Wien, gegen die e*** GmbH, seit 12. April 2005 im Firmenbuch eingetragen als b*** GmbH in Wien (Beschwerdegegnerin), vertreten durch Mag. Harald T***, Rechtsanwalt, Z*** Straße 62, Wien vom 25. November 2003 wegen Verletzung im Recht auf Auskunft personenbezogener Daten, wird gemäß § 1 Abs. 3 Z. 1, § 26 Abs. 1 und § 31 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 13/2005, wie folgt entschieden:

Der Beschwerde wird teilweise stattgegeben. Die Beschwerdegegnerin hat den Beschwerdeführer in seinem Recht auf Auskunft verletzt, indem sie über die Herkunft der Datenarten „Geburtsdatum“ und „Qualifikation“ nur unvollständig Auskunft erteilt hat. Der Beschwerdegegnerin wird aufgetragen, binnen 14 Tagen ab Zustellung dieses Bescheides die am 15. März 2005 an den Beschwerdeführer gegebene Auskunft diesbezüglich zu vervollständigen.

Im übrigen wird die Beschwerde abgewiesen.

Begründung

I. Verfahrensgang und Vorbringen der Parteien:

a. Mit Eingabe (Beschwerde) vom 25. November 2003 brachte der Beschwerdeführer vor, am 12. November 2003 an die Beschwerdegegnerin ein Auskunftsbegehren gemäß § 26 DSG 2000 gerichtet zu haben. Dieses sei schnell, aber nur unzureichend erfüllt worden, insbesondere fehlten Angaben zu den tatsächlichen Eintragungen bei den laut DVR-Registrierung verarbeiteten Datenarten, sowie konkrete Angaben zu Datenherkunft, soweit sie über Telefonbucheintragungen hinausgingen, und Übermittlungsempfängern sowie zu Zweck und Rechtsgrundlagen der Datenanwendungen. Der Beschwerdeführer beantragte, der Beschwerdegegnerin die vollständige und richtige Erfüllung des Auskunftsbegehrens, insbesondere der tatsächlichen Eintragungen bei den einzelnen Datenarten, der Herkunft der Daten und der eventuellen Übermittlungsempfänger aufzutragen.

Nach Behebung von Formmängeln der Beschwerde (Nachweis einer Vollmacht durch den nicht zur berufsmäßigen Parteienvertretung befugten Verein ARGE Daten - österreichische Gesellschaft für Datenschutz), wurde die Beschwerdegegnerin zur Stellungnahme aufgefordert.

b. Die Beschwerdegegnerin brachte, anwaltlich vertreten, mit Schriftsatz vom 15. Jänner 2004 vor, es bestehe ein gewisser Widerspruch zwischen dem Begehren des Beschwerdeführers auf Auskunft und einem gleichzeitig erhobenen Widerspruch gemäß § 28 DSG 2000 gegen die Verwendung seiner Daten, da ein Auskunftsbegehren die Beschwerdegegnerin bis zum Abschluss eines Beschwerdeverfahrens bei der Datenschutzkommission an der Löschung der Daten hindere (§ 26 Abs 7 DSG 2000). Die dem Beschwerdeführer erteilte Auskunft sei vollständig und richtig. Im Gegensatz zum Beschwerdeführer stehe die Beschwerdegegnerin auf dem Standpunkt, dass die Nichtverarbeitung bestimmter, der Datenschutzkommission (DVR) gemeldeter Datenarten keine besonderen Auskunfts- oder Aufklärungspflichten auslöse, wenn die entsprechenden Datenarten betreffend den Beschwerdeführer nicht verarbeitet würden und die diesbezüglichen Datenfelder leer seien. Bestimmte gemeldete Datenarten (insbesondere Sprachstamm/Assimilationsgrad) seien aus einer für die mehrsprachige Schweizer Praxis der Muttergesellschaft der Beschwerdegegnerin erstellten Vorlage übernommen worden, ohne dass solche Daten in Österreich erhoben oder verarbeitet worden seien. Die Meldung für das Datenverarbeitungsregister legalisiere die Datenverwendung, schaffe aber keine Pflicht dazu. Aus der Tatsache, dass die im Datenverarbeitungsregister ersichtliche Meldung auch weitere Datenarten vorsehe, dürften keine Schlüsse auf die tatsächliche Verarbeitung solcher Daten des Beschwerdeführers gezogen werden. Über die Herkunft der Daten sei – im Gegensatz zu den Behauptungen des Beschwerdeführers – konkret Auskunft erteilt worden, nämlich dass die Daten von der S*** Ges.m.b.H. stammten. Für die Frage, an welche Empfänger, nämlich Kunden der Beschwerdegegnerin genau die Daten, die der gewerblichen Nutzung dienten, übermittelt worden seien, gelte, dass aus Sicht der Beschwerdegegnerin die Verarbeitung der Daten für Zwecke eines Kunden nur im Unternehmen der Beschwerdegegnerin selbst erfolge. Weiters räume das Gesetz auch die Möglichkeit ein, nur über die Empfängerkreise Auskunft zu geben. Daher würde auch eine Angabe der Empfängerkreise der gesetzlichen Auskunftspflicht Genüge tun. Dies sei durch Angabe des Verwendungszwecks (Marketingaussendungen im Auftrag Dritter) auch erfolgt. Nur in eventu für den Fall, dass die Datenschutzkommission anderer Ansicht sei, werde die Auskunft um die Angabe folgender Empfängerkreise ergänzt:

„Gewerbetreibende in Österreich, welche schriftlich Werbung betreiben, und zwar im Einzel-, Retailhandel und Großhandel, sowie Banken, Versicherungen, Versandhäuser“.

Dienstleister würden nicht herangezogen.

Die Beschwerdegegnerin beantragte die Einstellung des Verfahrens.

c. Der Beschwerdeführer replizierte darauf mit Schriftsatz vom 11. Februar 2004 folgendermaßen: Die Frage der gleichzeitigen Beanspruchung des Auskunftsrechts und des Widerspruchs gegen eine Datenverwendung lasse sich durch logische Auslegung der Bestimmungen des DSG 2000 dahingehend lösen, dass die Erfüllung des Auskunftsanspruchs als gesetzliche Verpflichtung zur Datenverwendung vom Widerspruch nicht betroffen sei. Zum Inhalt der Auskunft bestritt der Beschwerdeführer weiterhin deren Vollständigkeit und Richtigkeit. So stehe die Angabe, die Daten wären von der S*** GmbH. übermittelt worden, mit deren Behauptung in einem anderen Verfahren im Widerspruch, nur Adress- aber keine (direkt) personenbezogenen Daten an die Beschwerdegegnerin übermittelt zu haben. Mangels einer zu diesem Zeitpunkt erfolgten Registrierung der S*** im Datenverarbeitungsregister hätte im Übrigen diese Übermittlung gar nicht erfolgen dürfen. Die Behauptung, ohne Dienstleister einen Bestand von angeblich sechs Millionen Personendatensätzen zu verarbeiten, sei unglaubwürdig (Notwendigkeit von Backups, Wartung etc.). Betreffend die Schwierigkeit, konkrete Datenübermittlungen anzugeben, bestritt der Beschwerdeführer entsprechende Behauptungen und brachte vor, dass schon auf Grund der gesetzlichen Regelungen zur Rechnungslegung Aufzeichnungen über Kundenaufträge sieben Jahre lang aufbewahrt werden müssten. Die Angaben der Beschwerdegegnerin seien überhaupt widersprüchlich, da einerseits Übermittlungen überhaupt bestritten, andererseits Übermittlungsempfänger für den Fall, dass die Datenschutzkommission anderer Ansicht sein sollte, bekannt gegeben würden. Außerdem entspreche eine bloße Bekanntgabe von Empfängerkreisen nicht den Vorgaben des „DSG“ und der „Datenschutzrichtlinie“. Eine Registrierung von Datenarten „auf Vorrat“ erachtete der Beschwerdeführer für unzulässig. Die Beschwerdegegnerin treffe weiters unter Hinweis auf Erwägungsgrund 46 zur Richtlinie 95/46/EG die Pflicht, ihre Datenverwendung so zu planen, dass die Rechte der Betroffenen berücksichtigt werden könnten. Dies bedinge Aufzeichnungen über Datenübermittlungen, die eine Auskunftserteilung über allgemeine Empfängerkreise hinaus und damit eine Weiterverfolgung von Datenflüssen durch den Betroffenen ermöglichten. Überdies sei der Begriff der der Auskunftspflicht unterliegenden Daten gemäß § 26 Abs 1 DSG 2000 weiter und umfasse alle zu einer Person verwendeten Daten, nicht nur die, bei denen der Betroffene bestimmt oder bestimmbar sei. Aus all diesen Gründen entspreche auch die erweiterte Auskunft nicht dem Gesetz. Der Beschwerdeführer hielt dementsprechend seine ursprünglichen Anträge aufrecht.

d. Die Datenschutzkommission ordnete durch das geschäftsführende Mitglied für den 30. Juni 2004 eine Einschau gemäß § 30 Abs. 4 DSG 2000 in die Datenanwendungen der Beschwerdegegnerin an. Über das Ergebnis dieser Einschau (Niederschrift vom 30. Juni 2004, GZ: K120.896/0009-DSK/2004, Kopie einliegend in diesem Akt zu GZ: K120.908/0008-DSK/2004) wurde aus technischer Sicht vom Zentrum für sichere Informationstechnologie – Austria (A-SIT) ein Amtssachverständigengutachten (gezeichnet von Univ.Prof. DI Dr. Siegfried Q*** und Norbert I***) abgegeben (Projektnummer A-SIT ***, GZ K120.896/0010-DSK/2004 vom 26. Juli 2004, Kopie einliegend zu GZ K120.908/0010-DSK/2004 in diesem Akt).

e. Der Beschwerdeführer brachte im Rahmen des ihm gewährten Parteiengehörs dazu nichts vor. Allerdings soll die durch die ARGE Daten – österreichische Gesellschaft für Datenschutz in einem anderen Verfahren (K120.896) namens des dortigen Beschwerdeführers abgegebene Stellungnahme vom 23. August 2004 (Eingangsdatum, irrtümlich datiert mit „7. April 2004“) erkennbar für alle von diesem Verein vertretenen Personen gelten. Man bringt vor, die durch Einschau und Gutachten hervorgekommene Nicht-Protokollierung tatsächlicher Verarbeitungsvorgänge wie der Übermittlung von Daten durch die Beschwerdegegnerin entspreche nicht dem Gesetz, im Speziellen nicht § 14 DSG 2000. Das eingesetzte Datenbankprogramm sei veraltet und entspreche nicht dem Stand der Technik. Eine bessere Protokollierung der Verarbeitungsvorgänge sei auch durchaus wirtschaftlich vertretbar (Preisverfall bei Speichermedien, Erhöhung der Rechnerleistung durch technischen Fortschritt etc.). Dazu werden Kontrollverfahren betreffend alle Branchenführer unter den Adressverlagen und Restriktionen der Datenschutzkommission betreffend die Datenanwendungen der Beschwerdegegnerin angeregt. Des Weiteren äußert man den Verdacht, die auf den Beschwerdeführer und andere bezogenen Daten, deren Herkunft nicht feststehe, seien unrechtmäßig ermittelt worden, etwa aus Datenanwendungen der österreichischen R*** AG, deren Konzern ebenfalls auf dem Gebiet des Adressenhandels aktiv sei. Es stehe weiters fest, dass das Geburtsdatum beim Beschwerdeführer wie bei der Mehrzahl der geprüften Fälle nicht statistisch errechnet sondern auf andere Weise ermittelt worden sei, die Rechtmäßigkeit dieser Datenermittlung werde ausdrücklich bestritten. Im Hinblick auf (beim Beschwerdeführer nicht benützte) Datenfelder mit Bezeichnungen wie „Assimilierungsgrad“ äußerte man Zweifel an der Vollständigkeit des der Datenschutzkommission bei der Einschau zugänglich gemachten Datenbestandes. Bezüglich der so genannten „SVD-Sperrdatei“, einer unternehmensinternen Datei zur Erfassung jener Personen, deren Daten auf Dauer nicht von der Beschwerdegegnerin verwendet (also auch nicht neuerlich ermittelt und verarbeitet) werden sollen, bestritt der Beschwerdeführer die Legalität dieser Maßnahme, die einer Verweigerung der Löschung gleichkomme. Zur Ausscheidung der Daten solcher Betroffener genüge die von der Wirtschaftskammer Österreich geführte Sperrdatei („Robinson-Liste“). Jedenfalls habe es die Beschwerdegegnerin verabsäumt, aus der SVD-Sperrdatei Auskunft zu geben. Überhaupt müsse die Beschwerdegegnerin über alle 107 Datenfelder, bei denen nach Meinung des Beschwerdeführers Daten über ihn vorlägen, Auskunft erteilen. Weitere der sehr umfangreichen Ausführungen sind für die zu entscheidende Auskunftsbeschwerde weniger relevant und umfassen Vorbringen zu Fragen der Daten- und Betriebssicherheit in den EDV-Anlagen der Beschwerdegegnerin und bei der technischen Datenübertragung.

f. Die Beschwerdegegnerin erstattete zu den Ergebnissen des Ermittlungsverfahrens ebenfalls eine Stellungnahme, datierend vom 13. August 2004. Darin brachte sie vor, nur wenige der in den verknüpfbaren Datenbanktabellen vorgesehenen 107 Datenarten würden tatsächlich mit personenbezogenen Daten „befüllt“, wie sich auch aus dem Amtssachverständigengutachten ergebe. Die Datenbankstruktur sei von der Schweizer Muttergesellschaft der Beschwerdegegnerin vorgegeben worden, gesetzlich gebe es keine Verpflichtung, leere Felder für nicht ermittelte Datenarten zu entfernen. In verschiedenen Datenbanktabellen doppelt erfasste Daten seien nur einmal zu beauskunften. Die im Gutachten (Punkt 3.2.2.5.) angesprochenen Daten, die nicht in der Auskunft aufscheinen würden (etwa die firmeninterne Personennummer B***, die Anzahl der Umzüge, die Gemeindenummer, die Postleitzahl, Gemeinde- und Zellennummern) seien auch nicht personenbezogene Daten des Beschwerdeführers und anderer Betroffener sondern „interne Einteilungs- bzw. Suchkriterien“. Die Personen-Nr B*** sei allerdings so genannter „primary key“ bei einer Suche nach Daten einer Person und gegen eine Auskunftserteilung darüber bestünden, falls notwendig, keine Bedenken. Im Gegensatz zur Schweizer Muttergesellschaft würde die Beschwerdegegnerin allen Betroffenen ihrer Datenanwendungen den Sprachcode für Deutsch zuordnen, da andere Sprachen in Österreich nicht relevant seien. Betreffend das Geburtsdatum einer Person sei eine Umstellung im Gange, wonach zukünftig, unabhängig von der Ermittlungsmethode (statistisch berechnet oder recherchiert), nur mehr Angaben zur Altersgruppe verarbeitet werden sollen. Das Programm zur automatischen Erstellung eines Auskunftsblattes gehe bereits von einer solchen Datenerfassung aus, und eine andere Bearbeitung von Auskunftsbegehren sei aus administrativen Gründen nicht möglich, das Vorhandensein weiterer Daten könne bei dieser Methode aber nicht ausgeschlossen werden. Die ebenfalls in Punkt 3.2.2.5 des Gutachtens erwähnten Kennzeichnungen „I*** Sperrflag“ und „S*** Status“ seien rein interne Arbeitsbehelfe. Bestritten wurden Schlussfolgerungen der Sachverständigen, dass die Datenbank Informationen zum Grund einer Änderung enthalte sowie dass Daten regelmäßig an die Schweizer Muttergesellschaft übermittelt würden. Nicht bestritten wurden hingegen vierteljährlich stattfindende „Übergaben“ des Datenbestandes an die Firma I*** zwecks Erstellung der bekannten „N*** CD“ sowie an die Muttergesellschaft zwecks Backups. Dies stelle allerdings keine Datenübermittlung oder Datenüberlassung im rechtlichen Sinne dar. Im Übrigen wiederholte die Beschwerdegegnerin ihr Vorbringen, die Führung detaillierter Aufzeichnungen über Herkunft und Übermittlung der Daten sei nur mit unverhältnismäßig hohem Aufwand möglich, und verwies auf ihr bisheriges Vorbringen samt Anträgen.

g. Mit Schreiben vom 15. März 2005 erteilte die Beschwerdegegnerin durch ihren Rechtsvertreter neuerlich Auskunft an den Beschwerdeführer (eine Kopie dieses Schreibens wurde auch der Datenschutzkommission übersandt).

h. In dem dazu gewährten Parteiengehör äußerte sich die ARGE Daten namens des Beschwerdeführers mit Schreiben vom 7. April 2005 dahingehend , dass die neuerlich erteilte Auskunft hinsichtlich der Angaben über die Herkunft und über die Empfänger nach wie vor unvollständig sei: Dieser Äußerung hat sich die anwaltliche Rechtsvertretung des Beschwerdeführers vollinhaltlich angeschlossen.

II. Von der Datenschutzkommission verwendete Beweismittel:

Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einsichtnahme in die von den Parteien vorgelegten Urkunden(kopien) und sonstigen Dokumente sowie durch Anordnung einer Einschau gemäß § 30 Abs. 4 DSG 2000 in die Datenanwendungen der Beschwerdegegnerin. Über das Ergebnis dieser Einschau wurde ein Amtssachverständigengutachten abgegeben. Den Parteien wurden zu den Ergebnissen des Ermittlungsverfahrens Parteiengehör eingeräumt.

III. Festgestellter Sachverhalt und Beweiswürdigung

Die Beschwerdegegnerin betreibt das Gewerbe des Adressverlags und Direktmarketingunternehmens gemäß § 151 Gewerbeordnung 1994 (GewO 1994), BGBl Nr 194 idF BGBl I Nr 111/2002. Sie verarbeitet für diesen Zweck personenbezogene Daten in den zu DVR 1*** im Datenverarbeitungsregister der Datenschutzkommission registrierten Datenanwendungen.

Beweiswürdigung: Diese Feststellungen beruhen auf bei der Datenschutzkommission amtsbekannten Tatsachen so wie auf eigenen Angaben und Publikationen der Beschwerdegegnerin.

1. Am 12. November 2003 richtete der Verein ARGE Daten – österreichische Gesellschaft für Datenschutz namens des Beschwerdeführers und unter Berufung auf eine erteilte Vollmacht ein Auskunftsbegehren gemäß § 26 DSG 2000 an die Beschwerdegegnerin. Verlangt wurde Auskunft zu den betreffend den Beschwerdeführer gespeicherten Daten, zur Herkunft der Daten, zu Übermittlungsempfängern, zum Zweck der Datenanwendungen und zu den Vertrags- bzw. Rechtsgrundlagen der Datenverwendung. Für den Fall einer Datenüberlassung wurde Auskunft über Name und Anschrift von Dienstleistern verlangt. Unter einem erhob der Beschwerdeführer gemäß § 28 Widerspruch gegen die weitere Verwendung seiner Daten und verlangte die Abgabe einer entsprechenden Unterlassungserklärung.

2. Gegen die umgehend erteilte Auskunft erhob der Beschwerdeführer am 25. November 2003 Beschwerde an die Datenschutzkommission wegen Verletzung seines Rechts auf Erteilung einer vollständigen Auskunft

Beweiswürdigung: Die Feststellungen unter Pkt 1. und 2. beruhen auf vorgelegten Urkunden.

3. Mit Schreiben vom 15. März 2005 erteilte die Beschwerdegegnerin dem Beschwerdeführer zu Handen der ARGE

Daten neuerlich Auskunft, lautend wie folgt:

„ Folgende personenbezogene Daten sind gespeichert:

Name: Ing. Udo R***

Adresse: 2) I***gasse 9, Graz

Anrede: Herr

Sprache: Deutsch

Personen-Nr-B***: ***

Haushalts-Nr-B***: ***

Stellung im Haushalt: *** 1)

Haushaltsgröße: 1 Person

Geburtsdatum: ***

Altersklasse: 30-40 Jahre

Qualifikation: höhere Fachausbildung

Jahresmindestnettoeinkommen Person: Euro *** 1)

Jahresmindestnettoeinkommen Haushalt: Euro *** 1)

Kaufkraftklasse: *** 1)

Gebäudeart: 5 und mehr Familienhaus 1)

Die Überlassung an den genannten Dienstleister im Rahmen des (internationalen) Datenverkehrs ist gemäß § 12 DSG 2000 genehmigungsfrei, da für die Schweiz eine entsprechende Datenschutzangemessenheits-Verordnung (BGBl II 1999/521) besteht.

Ansonsten gibt es keinen internationalen Datenverkehr.

Abschließend dürfen wir der Ordnung halber noch festhalten, dass Ihre Daten aufgrund Ihres zeitgleichen Widerrufes der Datenanwendung bereits gesperrt wurden, d.h. dass Ihre Daten seit der Sperre nicht mehr übermittelt, erhoben und bearbeitet werden, sodass es sich bei dem angegebenen Datenbestand um den Datenbestand zum Zeitpunkt der Sperre handelt und bitten wir dies allenfalls entsprechend zu bedenken.

Eine vollständige (physische) Löschung Ihrer Daten ist nach unserer Ansicht jedoch bedauerlicherweise derzeit nicht möglich, um dauerhaft sicherstellen zu können, dass Ihre Daten von uns nicht neuerlich erhoben bzw ermittelt werden, und bitten wir diesbezüglich um Ihr Verständnis.

Sollten Sie jedoch die vollständige (physische) Löschung Ihrer Daten wünschen, ersuchen wir um entsprechende Mitteilung, wobei wir jedoch darauf hinweisen müssen, dass in diesem Fall sodann eine neuerliche Erhebung, Ermittlung und Verarbeitung Ihrer Daten nicht ausgeschlossen werden kann, da Ihre Daten, sohin auch Ihr Widerruf der Datenanwendung, bei uns nicht mehr vorhanden sind.“

Beweiswürdigung: Die Feststellung der erneuten Auskunftserteilung beruht auf dem am 15. März 2005 der DSK in Kopie (protokolliert unter OZ 0002/2005) vorgelegten Auskunftsschreiben an den Beschwerdeführer, dessen Erhalt von diesem auch nicht bestritten wurde.

4. Dagegen brachte der Beschwerdeführer im Rahmen des zur neuerlichen Auskunft eingeräumten Parteiengehörs Folgendes vor:

Die Angabe, dass Daten persönlich recherchiert worden seien, sei keine Auskunft über die Herkunft der Daten im Sinne des § 1 Abs. 3 iVm § 26 Abs. 1 DSG 2000. Zusätzlich müsse zumindest angegeben werden, aus welchen Quellen (z.B. Telefonbuch) die Daten des Beschwerdeführers recherchiert worden seien.

Überdies würden als Übermittlungsempfänger neben der I*** GmbH Co KG nur allgemeine Empfängerkreise, die im vorliegenden Fall beinahe jedes österreichische Unternehmen einschließen, genannt, was nicht den Vorgaben des DSG und der EU-Datenschutzrichtlinie entspreche. Das Grundrecht auf Auskunft solle es den Betroffenen ermöglichen, Datenflüsse, die die eigene Person betreffen, nachzuvollziehen und gegebenenfalls unrechtmäßige Datenverwendungen zu unterbinden. Da die Beschwerdegegnerin offensichtlich Datenarten verwende, die von den angegebenen Übermittlungsempfängern (z.B. Banken, Versicherungen, Versandhäuser) auch zur Einschätzung der Kreditwürdigkeit herangezogen werden könnten (Jahresmindestnettoeinkommen Person/Haushalt, Kaufkraftklasse) und insofern einen großen Einfluss auf die wirtschaftlichen und persönlichen Möglichkeiten des Beschwerdeführers haben könnten, bestehe ein besonderes Interesse des Beschwerdeführers, seine Betroffenenrechte auch direkt gegenüber den Übermittlungsempfängern geltend machen zu können.

IV. Rechtliche Schlussfolgerungen

1. Gemäß der Verfassungsbestimmung des § 1 Abs. 3 Z 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 13/2005, hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.

Gemäß § 26 Abs. 1 DSG 2000, der einfachgesetzlichen Ausformulierung dieser Verfassungsbestimmung, hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

2. Die Beschwerdegegnerin hat im Rahmen des Verfahrens mit Schreiben vom 15. März 2005 erneut Auskunft erteilt. Nach der ständigen Entscheidungspraxis der DSK (vgl. etwa K120.760/004- DSK/2002, K120.782/001-DSK/2003, K120.892/0003-DSK/2004 u. a.m.) werden allfällige Mängel einer Auskunftserteilung durch eine zwischenzeitig ergangene richtige und vollständige Auskunft geheilt, sodass im gegenständlichen Verfahren nur mehr die Frage zu beurteilen war, ob die (neuerliche) Auskunft vom 15. März 2005 gemeinsam mit der in dieser Auskunft ausdrücklich bezogenen ersten Auskunft vom 19. November 2003 ein richtiges und vollständiges Gesamtergebnis bewirkt.

a) Zur Frage der Richtigkeit und Vollständigkeit der in der Auskunft vom 15. März 2005 angeführten verarbeiteten Daten enthält die Äußerung des Beschwerdeführers im Parteiengehör keine Angaben. Die Datenschutzkommission ist ihrerseits aufgrund Vergleichs des Einschauergebnisses mit der erteilten Auskunft der Auffassung, dass die Auskunft hinsichtlich Richtigkeit und Vollständigkeit der beauskunfteten verarbeiteten Daten ausreichend ist: Eine Auskunft hat in allgemein verständlicher Form die zur Person des Betroffenen verarbeiteten Daten wiederzugeben. Dies bedeutet nicht, dass die einzelnen Felder einer Datenbank vollständig aufgezählt und hinsichtlich ihres Inhalts (z.B. auch „leer“) kommentiert werden müssten. Vielmehr ist nur der in unmittelbarer Relation zum Betroffenen stehende Dateninhalt, der sich aus der Widmung eines oder mehrerer Datenfelder und ihrer Befüllung insgesamt ergibt, in der Auskunft darzustellen. Dies gilt im vorliegenden Zusammenhang insbesondere für jene mehreren Datenfelder, die alle unterschiedliche geographische Aufschlüsselungen der Adresse der Betroffenen enthalten und hinsichtlich jener Datenfelder, die interne organisatorische Anmerkungen des Auftraggebers enthalten, die in keiner unmittelbaren Relation zum Betroffenen stehen.

b) Der Beschwerdeführer rügt in dem zur Auskunft vom 15. März gewährten Parteiengehör jedoch die Vollständigkeit der Auskunft in folgenden zwei Punkten:

aa) Die Angabe, dass Daten persönlich recherchiert worden seien, stelle keine Auskunft über die Herkunft der Daten im Sinne des § 1 Abs. 3 iVm § 26 Abs. 1 DSG 2000 dar, weil zusätzlich zumindest angegeben werden müsse, aus welchen Quellen (z.B. Telefonbuch) die Daten des Beschwerdeführers recherchiert worden seien.

Sowohl die Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (kurz: RL 95/46/EG) als auch § 26 DSG 2000 schaffen kein absolutes Recht auf Bekanntgabe der Herkunft verarbeiteter Daten, sondern nur ein Recht auf Bekanntgabe der „verfügbaren Informationen über ihre Herkunft“.

Auch aus den Verfassungsbestimmungen des § 1 Abs. 3 und 4 DSG 2000 ergibt sich, dass das Auskunftsrecht kein absolutes Recht ist, sondern vielmehr infolge des darin enthaltenen doppelten Gesetzesvorbehalts einfachgesetzlich weitgehend gestaltbar, wenn auch nicht gänzlich beseitigbar ist. Im Rahmen dieses Gestaltungsspielraums legt § 26 Abs. 1 DSG 2000 auf einfachgesetzlicher Ebene fest, dass nur die verfügbaren Informationen über die Herkunft von Daten zu beauskunften sind.

Die Beschwerdegegnerin hat Angaben über die Herkunft der beauskunfteten Daten in allgemeiner Form gemacht und in der Auskunft eigens gekennzeichnet, welche Daten durch „persönliche Recherchen“ und welche Daten durch „Errechnung“ ermittelt wurden. Sie hat weiters geltend gemacht, dass, wie in § 26 Abs. 2 DSG 2000 ausdrücklich ausgeführt wird, das Auskunftsrecht nur besteht, soweit berechtigte Interessen (z.B. Datenschutzinteressen) des Auftraggebers oder Dritter in einer konkreten Situation nicht als „überwiegend“ zu werten sind. Im vorliegenden Zusammenhang wäre das Auffinden von Informationen über die Herkunft der einzelnen Daten eines konkreten Betroffenen nur mit unverhältnismäßigem Aufwand möglich, da diese üblicherweise aus vielen unterschiedlichen, großteils auch öffentlich zugänglichen Quellen stammen. Genaue Informationen würden im übrigen auch bei größerem Suchaufwand voraussichtlich nicht geliefert werden können, da in den Unterlagen von Direktmarketingunternehmen der Erwerb und die Weitergabe von Datenbeständen regelmäßig – also branchenüberlicherweise – nicht auf den Betroffenen bezogen dokumentiert werden. Dass übermäßiger Suchaufwand beim Auftraggeber die Pflicht zur Auskunftserteilung über die Herkunft einschränken kann, ist in der Entscheidungspraxis der Datenschutzkommission bereits gelegentlich anerkannt worden (vgl. dazu auch den Bescheid der Datenschutzkommission vom 12. November 2004, GZ K120.902/0017-DSK/2004; abrufbar unter http://www.ris.bka.gv.at/dsk/).

Die Datenschutzkommission stimmt den Ausführungen der Beschwerdegegnerin daher insofern zu, als die Beauskunftung der konkreten Herkunft der einzelnen Daten des Beschwerdeführers voraussichtlich tatsächlich einen übermäßigen Aufwand bedeuten würde und daher unterbleiben durfte.

Die Datenschutzkommission ist jedoch der Auffassung, dass zumindest eine allgemeine Auskunft über die Quellen der einzelnen Datenarten möglich sein muss. Dies wird auch durch die Angaben deutlich, die im Zuge der mehrfachen Stellungnahmen der Beschwerdegegnerin im Laufe des Verfahrens ergangen sind: Hier wurden als Quellen u.a. der Erwerb von Namens- und Adressdaten von der Fa. S*** GmbH genannt (Schreiben an den Beschwerdeführer vom 19. November 2003) oder der Abgleich mit anderen Kunden- und Interessentendateien (Stellungnahme an die Datenschutzkommission vom 15. Jänner 2004). Daraus folgt, dass die Angaben in der Auskunft vom 15. März 2005, die – neben der Errechnung von Daten – nur „eigene Recherche“ des Auftraggebers als Herkunft der Daten angibt, nicht alle beim Auftraggeber vorhandenen Informationen über die Datenherkunft offenlegen: Während es im Zuge des Ermittlungsverfahrens seitens des Auftraggebers gelungen ist, die Ermittlung von Daten durch „Errechnung“ hinsichtlich der besonders bezeichneten Datenarten plausibel zu erklären, widerspricht es der Lebenserfahrung, dass Datenarten wie das Geburtsdatum oder der Ausbildungsstand (Qualifikation) durch „eigene Recherchen“, das heißt wohl: aus öffentlichen Quellen, für einen erheblichen Teil der 6 Millionen Betroffenen ermittelt werden können. Zumindest hiefür müssen regelmäßig wohl andere Quellen zusätzlich herangezogen werden, die in einer vollständigen Auskunft – sei es auch nur in allgemeiner Form – zu benennen wären.

Der Beschwerdegegnerin war daher spruchgemäß die diesbezügliche Ergänzung der erteilten Auskünfte aufzutragen.

bb) Der Beschwerdeführer hält auch die Angabe von bloßen Empfängerkreisen nicht für ausreichend im Sinne des DSG 2000 und der Datenschutzrichtlinie. Das Grundrecht auf Auskunft solle es den Betroffenen ermöglichen, Datenflüsse, die die eigene Person betreffen, nachzuvollziehen und gegebenenfalls unrechtmäßige Datenverwendungen zu unterbinden. Da die Beschwerdegegnerin offensichtlich Datenarten verwende, die von den angegebenen Übermittlungsempfängern (z.B. Banken, Versicherungen, Versandhäuser) auch zur Einschätzung der Kreditwürdigkeit herangezogen werden könnten (Jahresmindestnettoeinkommen Person/Haushalt, Kaufkraftklasse) und insofern einen großen Einfluss auf die wirtschaftlichen und persönlichen Möglichkeiten des Beschwerdeführers haben könnten, bestehe ein besonderes Interesse des Beschwerdeführers, seine Betroffenenrechte auch direkt gegenüber den Übermittlungsempfängern geltend machen zu können.

Abgesehen davon, dass die Heranziehung von Marketingdaten für andere Zwecke, wie etwa die Beurteilung der Kreditwürdigkeit, gesetzlich verboten ist (§ 151 Abs. 6 GewO 1994) und sachlich unsinnig wäre, da die Exaktheit solcher Daten im Einzelfall bekanntermaßen nicht gegeben ist, hat die Datenschutzkommission in ihrer Rechtsprechung (vgl. etwa zuletzt ihren Bescheid vom 14. Jänner 2005, GZ K120.970/0002- DSK/2005; abrufbar unter http://www.ris.bka.gv.at/dsk/) in sachlich vergleichbaren Fällen mehrfach § 14 Abs. 3 DSG 2000 angewendet und daraus, dass eine besondere Protokollierungspflicht zwecks Auskunftserteilung nur hinsichtlich nicht-registrierter Übermittlungen vorgesehen ist, geschlossen, dass die Angabe der in der Registrierung genannten Kategorien von Empfängern ausreichend sei. Diese Auslegung wird auch durch den letzten Satz des § 14 Abs. 3 gestützt, in dem ausdrücklich ausgeführt wird, dass in der Standard- und Musterverordnung vorgesehene Übermittlungen – bei welchen naturgemäß kaum konkret benannte Empfänger angegeben werden können – nicht zwecks Auskunftserteilung protokolliert werden müssen.

Im übrigen wurde in der gegenständlichen Auskunft in einem speziellen Fall der Empfänger ohnehin namentlich angeführt und in den anderen Fällen mit gutem Grund nur eine Beschreibung des Empfängerkreises gegeben:

Wie die Beschwerdegegnerin schlüssig ausführt (S. 6f des Schreibens vom 15. Jänner 2004), kommt es bei den in Rede stehenden Vertragsverhältnissen mit den werbetreibenden Empfängern zu keiner physischen Datenübermittlung und daher auch zu keiner Datenspeicherung bei den „Empfängern“: Die Daten werden nur (vom Direktmarketingunternehmen) für die Zwecke der werbetreibenden Kunden für Marketingaussendungen verwendet, ohne den Kunden tatsächlich zur Verfügung gestellt zu werden. Der Meinung des Beschwerdeführers (S. 1 des Schreibens vom 7. April 2005), dass das Auskunftsrecht dem Betroffenen ermöglichen soll, die eigene Person betreffende Datenflüsse nachzuvollziehen und gegebenenfalls unrechtmäßige Datenverwendungen zu unterbinden, ist zwar grundsätzlich zu folgen, geht aber dann ins Leere, wenn – wie im vorliegenden Fall – Daten nicht tatsächlich übermittelt werden, es also streng genommen keine „(physischen) Empfänger“ gibt.

Nur im Falle der Bereitstellung von Daten für das Produkt „N*** CD ***“ war der Empfänger in der Auskunft namentlich anzuführen, da in diesem Fall diesem Kunden der Beschwerdegegnerin tatsächlich Marketingdaten zum weiteren Gebrauch (Verkauf einer CD mit diesen Daten) zur Verfügung gestellt werden.

Hinsichtlich der Empfänger ist die erteilte Auskunft somit jedenfalls ausreichend.

Es war daher spruchgemäß zu entscheiden.