JudikaturDSB

K120.990/0005-DSK/2005 – Datenschutzkommission Entscheidung

Entscheidung
20. Mai 2005
K120.990/0005-DSK/2005 – Datenschutzkommission Entscheidung

Text

Text

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]

BESCHEID

Die Datenschutzkommission hat unter dem Vorsitz von Dr. Maier und in Anwesenheit der Mitglieder Dr. Blaha, Dr. Duschanek, Dr. Kotschy, Dr. Staudigl und Mag. Zimmer, sowie des Schriftführers Mag. Suda in ihrer Sitzung vom 20. Mai 2005 folgenden Beschluss gefasst:

Spruch

Die Beschwerde des Mag. Norbert T*** in Wien (Beschwerdeführer), vertreten durch den U***-Verein, dieser vertreten durch Dr. P***, gegen die I* GmbH Co KG, H*** Straße 1***, 2*** N*** (Beschwerdegegnerin), vom 18. August 2004 wegen Verletzung im Recht auf Auskunft personenbezogener Daten, wird gemäß § 1 Abs. 3 Z. 1, § 26 Abs. 1 und § 31 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr. 13/2005 wird als unbegründet abgewiesen.

Begründung

I. Verfahrensgang und Vorbringen der Parteien:

Mit Eingabe (Beschwerde) vom 18. August 2004 brachte der Beschwerdeführer vor, am 7. Juli 2004 an die Beschwerdegegnerin ein Auskunftsbegehren gemäß § 26 DSG 2000 gerichtet zu haben, welches mit Schreiben vom 21. Juli 2004 beantwortet worden sei. In der Auskunft der Beschwerdegegnerin seien allerdings entgegen dem Begehren und § 26 Abs. 1 DSG 2000 keine Angaben bezüglich eventueller Datenübermittlungen gemacht worden. Da in den Registrierungsunterlagen für die I*** CD *** angegeben worden sei, dass die CD nur an Käufer vertrieben werde, die vertragliche Verpflichtungen mit der Beschwerdegegnerin eingegangen seien, müssten die Übermittlungsempfänger leicht zu ermitteln sein. Weiters lägen sicher keine besonderen, einer Bekanntgabe entgegen stehenden Interessen der Beschwerdegegnerin oder der Übermittlungsempfänger vor.

Der Beschwerdeführer stellte daher den Antrag, die Datenschutzkommission möge der Beschwerdegegnerin bei sonstiger Exekution auftragen, eine vollständige Auskunft zu erteilen, wobei insbesondere alle Übermittlungsempfänger vollständig und konkret zu beauskunften seien.

Die Beschwerdegegnerin brachte mit Schriftsatz vom 12. Oktober 2004 vor, das Fehlen der Übermittlungsempfänger im Schreiben vom 21. Juli 2004 sei auf ein Versehen des I***- Kundenservices zurückzuführen.

In der der Datenschutzkommission in Kopie vorliegenden Ergänzung des Auskunftsschreibens vom 21. Juli 2004 teilt die Beschwerdegegnerin mit, dass Empfänger der Daten des Beschwerdeführers die Käufer der I*** CD *** seien, also ausschließlich Unternehmen, die vertraglich verpflichtet worden seien, die auf der CD-ROM enthaltenen Daten ausschließlich zu eigenen Marketingzwecken zu verwenden. Die Bekanntgabe eines jeden einzelnen Käufers der I*** CD sei im Datenschutzgesetz nicht vorgesehen.

In Ergänzung dazu brachte die Beschwerdegegnerin vor, dass gemäß § 26 Abs. 1 DSG 2000 „allfällige Empfänger oder Empfängerkreise“ zu benennen seien. Die Benennung einzelner Käufer der I*** CD *** werde nicht erfolgen, da die Beschwerdegegnerin zum einen mit Bekanntgabe des Empfängerkreises ihrer datenschutzrechtlichen Auskunftspflicht vollinhaltlich nachgekommen sei und zum anderen berechtigte Interessen sowohl der Beschwerdegegnerin als auch deren Kunden vorlägen, die einer Bekanntgabe der einzelnen Empfänger entgegenstehen würden, da damit sämtliche Geschäftsbeziehungen offen gelegt werden müssten.

Die L*** GmbH, sei Datenlieferant für die I*** CD ***, der Beschwerdegegnerin. Da ein Zugriff auf die Daten der CD bzw. deren Abfrage in personenbezogener Form nicht direkt möglich sei und lediglich Datenselektionen nach bestimmten Kriterien vorgenommen werden könnten, könne eine Auskunft über die auf der CD zu einer bestimmten Person gespeicherten Daten nur unter Einschaltung der L*** GmbH erfolgen, die diese Daten in personenbezogen suchbarer Form verarbeite. Aus diesem Grund könnten Auskunftsbegehren erst nach Einholung entsprechender Informationen beim Datenlieferanten beantwortet werden.

Der Beschwerdeführer replizierte darauf mit Schriftsatz vom 10. Februar 2005 folgendermaßen: Die Interpretation des § 26 Abs. 1 DSG 2000 könne nur im Zusammenspiel mit der Verfassungsbestimmung des § 1 Abs. 3 DSG 2000, die Betroffenen insbesondere ein Recht auf Auskunft darüber einräume, an wen Daten übermittelt worden seien, erfolgen. Bei entsprechender richtlinien- und verfassungskonformen Auslegung ergebe sich ein Recht des Betroffenen auf eine Auskunft der konkreten Übermittlungsempfänger. Andernfalls wären Betroffene von der Möglichkeit abgeschnitten, ihre Rechte gegenüber diesen Empfängern geltend zu machen. Auch der OGH habe in seiner Rechtsprechung mehrfach in diese Richtung entschieden und zB in der Entscheidung 6 Ob 12/85 erkannt, dass sich das Auskunftsrecht des Betroffenen auch auf die Offenlegung der Person des (Übermittlungs ) Empfängers beziehe. Die Auskunft von Empfängerkreisen anstelle tatsächlicher Empfänger beziehe sich nur auf jene Fälle, in denen bis zu einem gegebenen Zeitpunkt keine Übermittlungen stattfanden.

Eine Offenlegung sämtlicher Geschäftsbeziehungen sei nicht gefordert worden, eine Beeinträchtigung der Interessen der Übermittlungsempfänger durch diese Auskunft sei insofern ausgeschlossen, als diese ohnehin Auftraggeber von Datenanwendungen seien. Jeder Auftraggeber müsse damit rechnen, Anfragen von Betroffenen zu erhalten und entsprechende technische und organisatorische Maßnahmen zur Bearbeitung dieser Anfragen zu treffen. Die Geltendmachung von Rechten stehe dem Betroffenen gegenüber den Übermittlungsempfängern unabhängig von der Auskunft der Beschwerdegegnerin zu.

Eine etwaig befürchtete Veröffentlichung der geschäftlichen Beziehungen der Beschwerdegegnerin sei schon aufgrund der strengen Zweckbindung (Durchsetzung der Betroffenenrechte) bezüglich der Verwendung der im Rahmen des Auskunftsverfahrens mitgeteilten Daten durch den Betroffenen gesetzlich ausgeschlossen.

Im Übrigen bezögen sich die Bestimmungen der Datenschutzrichtlinie auf den Schutz der Rechte natürlicher Personen, eine Einschränkung dieser Rechte auf Grundlage der Interessen anderer als natürlicher Personen wäre mit den Bestimmungen der Richtlinie nicht vereinbar.

II. Von der Datenschutzkommission verwendete Beweismittel:

Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einsichtnahme in die von den Parteien vorgelegten Urkunden(kopien) und sonstigen Dokumente. Den Parteien wurde zu den Ergebnissen des Ermittlungsverfahrens Parteiengehör eingeräumt.

III. Festgestellter Sachverhalt und Beweiswürdigung

Die Beschwerdegegnerin betreibt das Gewerbe des Adressverlags und Direktmarketingunternehmens gemäß § 151 Gewerbeordnung 1994 (GewO 1994), BGBl Nr 194 idF BGBl I Nr 111/2002.

Beweiswürdigung : Diese Feststellungen beruhen auf bei der Datenschutzkommission amtsbekannten Tatsachen so wie auf eigenen Angaben der Beschwerdegegnerin.

Am 7. Juli 2004 richtete der Beschwerdeführer ein Auskunftsbegehren gemäß § 26 DSG 2000 an die Beschwerdegegnerin. Verlangt wurde Auskunft zu den betreffend den Beschwerdeführer gespeicherten Daten, zur Herkunft der Daten, zu Übermittlungsempfängern, zum Zweck der Datenanwendungen und zu den Vertrags- bzw. Rechtsgrundlagen der Datenverwendung. Mit Schreiben vom 21. Juli 2004 erteilte die Beschwerdegegnerin Auskunft über die betreffend den Beschwerdeführer (ausschließlich zum Produkt I*** CD ***) gespeicherten Daten, deren Herkunft und die Rechtsgrundlagen der Verarbeitung, nicht aber über die Empfänger der Übermittlung von personenbezogenen Daten. Der Beschwerdeführer erhob am 18. August 2004 Beschwerde an die Datenschutzkommission wegen Verletzung seines Rechts auf Auskunft.

Mit Schreiben vom 12. Oktober 2004 ergänzte die Beschwerdegegnerin ihre dem Beschwerdeführer gegebene Auskunft dahingehend, dass Empfänger der personenbezogenen Daten des Beschwerdeführers die Käufer der I*** CD *** seien, also ausschließlich Unternehmen, die vertraglich verpflichtet worden seien, die auf der CD-ROM enthaltenen Daten ausschließlich zu eigenen Marketingzwecken zu verwenden. Einer Bekanntgabe jedes einzelnen Käufers der CD wurde nicht nachgekommen.

Beweiswürdigung : Diese Feststellungen gründen sich auf den Inhalt der zitierten Urkunden, sowie Beilagen zur Stellungnahme der Beschwerdegegnerin.

IV. Rechtliche Schlussfolgerungen

Gemäß der Verfassungsbestimmung des § 1 Abs. 3 Z. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999, hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.

Gemäß § 26 Abs. 1 DSG 2000, der einfachgesetzlichen Ausformulierung dieser Verfassungsbestimmung, hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

Die Beschwerdegegnerin hat im Rahmen des Verfahrens mit Schreiben vom 12. Oktober 2004 ihre Auskunft ergänzt und damit den Forderungen des Beschwerdeführers in weiteren Punkten entsprochen. Dieser rügt in dem dazu gewährten Parteiengehör allerdings neuerlich die Vollständigkeit der (ergänzten) Auskunft in Bezug auf die Angabe von Empfängerkreisen, die es unmöglich machen würde, die Betroffenenrechte gegenüber den einzelnen Empfängern geltend zu machen, und hält diese nicht für ausreichend im Sinne des DSG 2000 und der Datenschutzrichtlinie.

Hiezu ist zunächst auf § 14 Abs. 3 DSG 2000 zu verweisen, wonach „nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 DSG 2000 unterliegen, so zu protokollieren sind, dass dem Betroffenen Auskunft gemäß § 26 DSG 2000 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6 DSG 2000) oder in der Musterverordnung (§ 19 Abs. 2 DSG 2000) vorgesehene Übermittlungen bedürfen keiner Protokollierung“. Daraus ist abzuleiten, dass einer Pflicht zur besonderen Protokollierung nur jene Übermittlungen unterliegen, die aus der Meldung des Auftraggebers beim Datenverarbeitungsregister nicht hervorgehen. In den Standard- und Musteranwendungen sind Übermittlungsempfänger naturgemäß nur in Kategorien angegeben, in den anderen Registrierungen sind die Übermittlungsempfänger in der überwiegenden Anzahl der Fälle in Form von Kategorien bezeichnet. Daraus ergibt sich, dass der Gesetzgeber davon ausgegangen ist, dass eine Offenlegung der Empfängerkreise im Auskunftsverfahren grundsätzlich ausreichend ist; dies gilt insbesondere auch dann, wenn, wie im vorliegenden Zusammenhang, der Beschwerdegegner selbst über keinen Zugriff auf die Daten einzelner Betroffener verfügt. Im übrigen garantiert auch die vom Beschwerdeführer angesprochene Datenschutzrichtlinie in Art. 12 ein Auskunftsrecht u.a. nur hinsichtlich der Empfänger oder Kategorien der Empfänger, an die Daten übermittelt werden.

Dies entspricht so auch der Entscheidungspraxis der Datenschutzkommission (vgl. die Bescheide vom 12. November 2004, GZ K120.902/0017-DSK/2004, oder zuletzt vom 7. Dezember 2004, GZ K120.929/0007-DSK/2004, beide abrufbar im Internet unter http://www.ris.bka.gv.at).

Für die Rechtsverfolgung durch Betroffene in der vorliegenden Konstellation ist eine solche Auskunft jedenfalls nicht notwendig, da eine Untersagung der Weiterverwendung der Daten des Betroffenen an I*** mit der Wirkung gerichtet werden kann, dass es auch für alle Käufer der „I*** CD ***“ wirksam wird (vgl. hiezu die Auflagen an die Erwerber der „I*** CD ***“ in den Allgemeinen Geschäftsbedingungen, Punkt 3, 3.

Absatz: „Der Lizenznehmer wird davon in Kenntnis gesetzt, dass eine Zustellung von Werbematerial durch Untersagung der Verwendung von Daten durch den Empfänger ausgeschlossen werden kann. In diesem Fall verpflichtet sich der Lizenznehmer, keine Zusendungen an den Betroffenen vorzunehmen. Der Lizenznehmer hat sich vor Durchführung einer Marketing- und Werbeaussendung davon zu überzeugen, dass keine Personen angeschrieben werden, die der Verwendung ihrer Daten widersprochen haben. Dies kann beispielsweise durch Erstellung einer Zusatzdatei mit Daten jener Personen, die keine Zusendung wünschen, sichergestellt werden.“).

Schließlich ist auch das Argument des Beschwerdeführers, dass eine Einschränkung datenschutzrechtlicher Ansprüche nur zugunsten von Interessen natürlicher Personen zulässig wäre, nicht tragfähig. Sowohl § 1 Abs. 4 iVm Abs. 2 DSG 2000 als auch Art. 13 Abs. 1 lit. g Datenschutzrichtlinie erlauben nach herrschender Meinung Eingriffe in datenschutzrechtliche Ansprüche auch zugunsten juristischer Personen.

Es war daher davon auszugehen, dass die erteilte Auskunft hinsichtlich der eventuellen Empfänger von Übermittlungen vollständig war, weshalb die Beschwerde spruchgemäß abzuweisen war.

Rückverweise