[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
BESCHEID
Die Datenschutzkommission hat unter dem Vorsitz von Dr. Maier und in Anwesenheit der Mitglieder Dr. Blaha, Dr. Duschanek, Dr. Kotschy, Dr. Staudigl, und Mag. Zimmer, sowie des Schriftführers Mag. Suda in ihrer Sitzung vom 20. Mai 2005 folgenden Beschluss gefasst:
Spruch
Über die Beschwerde des Herrn Maximilian L*** (Beschwerdeführer) aus München, Deutschland, gegen die K*** Hotelbetriebs Aktiengesellschaft (Beschwerdegegnerin) in Wien, vertreten durch Dr. I***, Rechtsanwalt in 1*** Wien, ***gasse *, vom 2. April 2004 wegen Verletzung im Recht auf Auskunft über eigene Daten durch Erteilung einer unzureichenden Auskunft hinsichtlich Dateninhalte und internationale Datentransfers (Schreiben (Fax) vom 18. März 2004) wird gemäß §§ 1 Abs 3 Z 1, 26 Abs 1 und 31 Abs 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999, wie folgt entschieden:
1. Der Beschwerde wird stattgegeben und festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer durch die mangelhafte Auskunftserteilung am 18. März 2004 in seinem Recht auf Auskunft verletzt hat.
2. Der Beschwerdegegnerin wird aufgetragen, die verlangte Auskunft über den genauen Inhalt der über den Beschwerdeführer ins Ausland weiter gegebenen Daten, sowie über die Rechtsgrundlagen für die Weitergabe der Daten ins Ausland binnen zwei Wochen bei sonstiger Exekution schriftlich zu erteilen.
Begründung:
A) Verfahrensgang und Vorbringen der Parteien
Mit Schreiben (E-Mail) an die Datenschutzkommission vom 2. April 2004 brachte der Beschwerdeführer unter Beifügung von Kopien zweier Schriftstücke folgende Beschwerde vor: Er sei im Jänner 2004 während eines Aufenthaltes in Wien als Gast im Hotel G*** in Wien abgestiegen. Dieses gehöre zu einem US-Konzern, der Hotelkette 'O***'. Etwa zwei Wochen nach seinem Aufenthalt in Wien sei ihm ein Fragebogen der Firma O*** zugestellt worden, dessen Begleitschreiben sich auf seinen Aufenthalt in Wien bezog. Er habe niemals seine Zustimmung dazu gegeben, dass Daten, die anlässlich seines Aufenthalts im Hotel G*** ermittelt wurden, außerhalb der Rezeption und des Hotelbetriebs Verwendung finden würden. Er sei darüber auch nie informiert worden. Er betrachte die Sicherheit seiner personenbezogenen Daten in den Vereinigten Staaten von Amerika als nicht gewährleistet und vermute eine Reihe von Rechts- und Pflichtenverletzungen. Er habe daher am 16. März 2004 ein datenschutzrechtliches Auskunftsbegehren an das Hotel G*** gerichtet, in dem er Auskunft darüber verlangt habe, welche seiner Daten an die Firma O*** in den Vereinigten Staaten übermittelt worden seien und auf welcher Rechtsgrundlage dies geschehen sei.
Dieses Auskunftsbegehren sei mit Schreiben (Fax) vom 18. März 2004 nur unzureichend beantwortet worden. Er erachte sich daher in seinem Recht auf Auskunft über eigene Daten als verletzt und erhebe gemäß § 31 Abs 1 DSG 2000 Beschwerde.
Die Beschwerdegegnerin, als welche von der Datenschutzkommission amtswegig die K*** Hotelbetriebs AG,
DVR: 0***7*1, Betreiberin des Hotels G***, identifiziert wurde, brachte, von der Datenschutzkommission zur Stellungnahme aufgefordert, mit Schreiben vom 28. Mai 2004
Folgendes vor: Der Beschwerdeführer habe während seines Aufenthalts vom 30. Jänner bis 1. Februar 2004 das Gästebuchblatt mit der laufenden Nummer 2***2 ausgefüllt und dabei selbst die Daten Vor-, Familienname, Geburtsdatum und ordentlicher Wohnsitz bekannt gegeben. Ein auf dem Formular vorgesehenes Kästchen, wonach er keine Zusendung eines anonymen Fragebogens wünsche, habe er nicht angekreuzt. Die Versendung solcher Kundenfragebögen sei im internationalen Hotelbetrieb ein völlig normaler Vorgang und die Beschwerdegegnerin sei auf Grundlage der vom Beschwerdeführer abgegebenen Erklärung berechtigt gewesen, seine Zustimmung zu dieser Datenverwendung anzunehmen. Die Versendung solcher Fragbögen und die Verarbeitung der nur anonymisiert Verwendung findenden Daten sei von der internationalen Hotelgruppe A*** Hotels Resorts, in deren Verbund unter der Marke 'O***' auch das Hotel G*** arbeite, an eine Gesellschaft in den Vereinigten Staaten von Amerika übertragen worden. Auf seine Anfrage hin sei dem Beschwerdeführer jedenfalls die ihm zustehende Auskunft erteilt worden. Eine Verletzung im Recht auf Auskunft gemäß § 26 DSG 2000 liege daher nicht vor, die Beschwerdegegnerin beantragte daher die Einstellung des Verfahrens.
B) Ermittlungsverfahren und verwendete Beweismittel
Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einsichtnahme in folgende Urkundenkopien und schriftlichen Unterlagen:
Registerauszug und Einlagebögen des Datenverarbeitungsregisters (Stand 21. April 2004), DVR:
0***7*1, sowie Firmenbuchauszug vom selben Tag (FN 1*08**f); Auskunftsbegehren vom 16. März 2004, vorgelegt von beiden Parteien, Auskunftsschreiben des Hotels G*** vom 18. März 2004, vorgelegt von beiden Parteien, sowie Gästebuchblatt des Hotels G*** Lfd. Nr. 2***2, von der Beschwerdegegnerin mit ihrer Stellungnahme vom 28. Mai 2004 vorgelegt.
Den Parteien wurde, soweit die Beweismittel nicht von ihnen selber stammen, zu den Ergebnissen des Ermittlungsverfahrens Parteiengehör eingeräumt. Die Beschwerdegegnerin hat dazu die schon mehrmals zitierte Stellungnahme vom 28. Mai 2005 eingebracht, der Beschwerdeführer hat keine weitere Stellungnahme abgegeben.
C) Sachverhaltsfeststellung samt Beweiswürdigung
Für die Datenschutzkommission steht folgender Sachverhalt fest:
Das Hotel G*** in Wien wird von der zu FN 1*08**f beim Handelsgericht Wien protokollierten Firma ' K*** Hotelbetriebs Aktiengesellschaft', der Beschwerdegegnerin, betrieben. Die Beschwerdegegnerin verarbeitet personenbezogene Daten laut den zu DVR: 0***7*1 bei der Datenschutzkommission registrierten Datenanwendungen.
Der Beschwerdeführer richtete am 16. März 2004 per Fax ein Auskunftsbegehren per Adresse 'Hotel G***' ein Auskunftsbegehren über eigene Daten an die Beschwerdegegnerin. Darin verlangte er genaue ('lückenlose') Auskunft darüber
Beweiswürdigung : Diese Feststellungen stützen sich auf den Inhalt der zitierten Urkundenkopien und schriftlichen Unterlagen, insbesondere das Auskunftsschreiben vom 18. März 2004.
D) rechtliche Beurteilung
Vorauszuschicken ist, dass die Datenschutzkommission in dieser auf § 31 Abs 1 DSG 2000 gestützten Beschwerdesache im privaten Bereich durch Bescheid nur über die Verletzung des Beschwerdeführers im subjektiven Recht auf Auskunft erkennen kann. Betreffend denkbare mögliche weitere Rechts- und Pflichtenverletzungen der Beschwerdegegnerin (etwa im Bereich der Meldepflicht [§ 17ff DSG 2000], des internationalen Datenverkehrs [§ 12f DSG 2000] und der Informationspflicht des Auftraggebers [§ 24 DSG 2000]) werden noch weitere Schritte in einem Verfahren gemäß § 30 DSG 2000 zu setzen sein.
1. anzuwendende Rechtsvorschriften :
§ 26 Abs 1 DSG 2000 lautet unter der Überschrift 'Auskunftsrecht':
' § 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.'
2. Anwendung auf den Beschwerdefall :
Zunächst ist das Auskunftsbegehren, so es, wie hier, spezifisch formuliert ist, auf seinen Inhalt zu prüfen, wobei jener Maßstab anzulegen ist, der auch für einseitige privatrechtliche Willenserklärungen gilt (Wortlaut und Verständnis der Erklärung aus objektiver Sicht; 'wie sie der Empfänger nach ihrem Wortlaut und dem Geschäftszweck bei objektiver Betrachtung verstehen konnte', OGH EvBl 1974/185 [Kündigung]).
Zunächst geht aus dem Begehren des Beschwerdeführers klar hervor, dass er eine vollständige und umfassende Auskunft über den Inhalt seiner Daten wollte (arg 'lückenlos'), die vom Beschwerdegegner verwendet werden. Die Auskunft, es seien die Daten laut Gästebuchblatt verwendet worden, kann daher diesem Begehren nicht entsprechen, da ihr überhaupt nur ein Inhalt zukommt, wenn der auskunftspflichtige Auftraggeber sicher sein kann, dass der Betroffene über den Inhalt dieses Formulars im Bilde ist, etwa über eine Kopie verfügt. Die Spruchpraxis der Datenschutzkommission zu § 26 DSG 2000 stellt unmissverständlich klar, dass grundsätzlich stets eine inhaltliche Auskunft zu erteilen ist: 'Der Anspruch auf Auskunft enthält das Recht, Auskunft über die verarbeiteten Daten in allgemein verständlicher Form zu erhalten, dies bedeutet, dass der Betroffene nicht nur über die Art (Kategorien) der über ihn verarbeiteten Daten aufzuklären ist, sondern dass ihm der Inhalt dieser Daten bekannt zugeben ist. Es genügt daher nicht festzustellen, dass etwa der Name und das Geburtsdatum gespeichert seien, sondern es muss offengelegt werden, wie die tatsächlichen Eintragungen bei diesen Datenarten Name und Geburtsdatum lauten' (Bescheid der Datenschutzkommission vom 23. November 2001, GZ: K120.748/022- DSK/2001, Rechtssatz 1 (tw.); veröffentlicht, http://www.ris.bka.gv.at/dsk/).
Weiters lässt sich aus dem Zusammenhang des Auskunftsbegehrens ableiten, dass der Beschwerdeführer an jedem internationalen Transfer seiner Daten (Übermittlung an andere Auftraggeber wie Überlassung an Dienstleister) interessiert war. Es wird ihm daher auch Auskunft über Namen und Adressen konkreter Empfänger solcher Datentransfers sowie allfälliger Dienstleister zu erteilen sein. Dies bedeutet, dass deutlich präzisere Angaben zu machen sein werden als jene, überdies nur gegenüber der Datenschutzkommission gegebene Auskunft, dass eine Partnergesellschaft sinngemäß einen weiteren, unbekannten Dienstleister in den Vereinigten Staaten von Amerika mit der Auswertung von Fragebögen beauftragt hat. Dabei blieben zu viele Fragen offen (etwa die nahe liegende Frage: Wurden die Daten an A*** Hotels Resorts nun übermittelt oder überlassen?). Ähnliches gilt für die Frage nach den Rechtsgrundlagen der Datenverwendung, wobei das Begehren des Beschwerdeführers hier auf die Frage nach den rechtlichen Grundlagen internationaler Datentransfers beschränkt geblieben ist. Die Angabe, dass der Beschwerdeführer einer Fragebogenzusendung nicht (durch Ankreuzen) widersprochen hat, genügt zur Beantwortung dieser Frage nicht.
Aus diesen Gründen entspricht die erteilte datenschutzrechtliche Auskunft vom 18. März 2004 nicht dem Gesetz. Die Beschwerdegegnerin wird dem Beschwerdeführer daher neuerlich im Mindestumfang gemäß Spruchpunkt 2. Auskunft zu erteilen haben.
Es war daher spruchgemäß zu entscheiden.
Rückverweise
RIS