K121.040/0018-DSK/2005 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Mag. HUTTERER, Dr. KOTSCHY, Mag. PREISS und Dr. ROSENMAYR-KLEMENZ sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 16. Dezember 2005 folgenden Beschluss gefasst:
S p r u c h
Über die datenschutzrechtliche Beschwerde des Sebastian R*** aus P***, vertreten durch Dr. Bernhard M***, Rechtsanwalt in **** P***, B***straße **2, vom 7. April 2005 gegen das Bundesministerium für Finanzen (Erstbeschwerdegegner) und die (ehemalige) Finanzlandesdirektion für Wien, Niederösterreich und das Burgenland (Zweitbeschwerdegegnerin, hinsichtlich der Belange der Dienstaufsicht nunmehr ebenfalls der Erstbeschwerdegegner zuständig), wegen zwischen dem 24. März und dem 10. Mai 2004 erfolgter Verletzungen in den Rechten auf Geheimhaltung, Löschung und Richtigstellung schutzwürdiger personenbezogener Daten durch Ermittlung des Benutzerverhaltens (Logfileanalyse), Übermittlung der Ergebnisse an die Zweitbeschwerdegegnerin, weitere disziplinarrechtliche Ermittlungen, Ermittlung weiterer personenbezogener Daten wegen des Verdachts disziplinärer Verfehlungen (einschließlich der Daten von Gattin und Kindern), unrechtmäßiger Erstattung einer Disziplinaranzeige trotz vorheriger Ermahnung, Gerüchten in der Kollegenschaft sowie Medienberichten, sowie wegen mit Schreiben vom 22. Juli 2004, GZ 61 5***/1-VI/01/2004, erfolgter Weigerung des Erstbeschwerdegegners, den Akt Zl. P 1**/1***1/04 der (nicht mehr bestehenden) Zweitbeschwerdegegnerin zu löschen bzw. hinsichtlich bestimmter Tatsachen richtig zu stellen, weiters wegen eines Entschädigungsbegehrens über Euro 14.535,-- für die erlittene Kränkung, wird gemäß §§ 1 Abs 1 und 3, 4 Z.6, 7 Abs 1 und 2, 14 Abs 4, 27 Abs 1, 31 Abs 2 und 32 Abs 4 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF sowie §§ 6, 37 und 39 Abs 2 Allgemeines Verwaltungsverfahrensgesetz 1991 (AVG), BGBl. Nr.51/1991 idgF wie folgt entschieden:
B e g r ü n d u n g
A) Vorbringen der Beteiligten im Verfahren
Mit Eingabe (Beschwerde) vom 7. April 2005 machte der anwaltlich vertretene Beschwerdeführer, im relevanten Zeitraum als Beamter der Finanzverwaltung tätig und Bewerber um die Stelle des Vorstands des Finanzamts P***, ein umfassendes Vorbringen und rügte die Verletzung seiner Rechte auf Geheimhaltung durch Ermittlung von Daten sowie im Recht auf Löschung (Richtigstellung) von Daten durch gegen ihn durchgeführte Maßnahmen der Dienstaufsicht. Es seien unrechtmäßig und ohne Anlass im Auftrag des Antikorruptionsbeauftragten beim Erstbeschwerdegegner die Logfiles betreffend seine Abfragen von Daten des Abgabenverfahrens ausgewertet worden. Dabei seien zahlreiche nicht dienstlich veranlasste Datenabfragen entdeckt worden, die aber allesamt die Steuerkonten von Verwandten, Bekannten und Freunden (bzw. diesen zuzurechnenden Unternehmen) betroffen hätten und von ihm aus Servicedenken bzw. Gefälligkeit gemacht worden seien, ohne dass dabei Daten übermittelt worden seien, die die Betroffenen nicht auch vom zuständigen Finanzamt im Auskunftswege erfahren hätten können. Ziel dieser Ermittlungen – so der sinngemäße Sukkus des Beschwerdeführers – sei es gewesen, seine dauerhafte Bestellung zum Vorstand des Finanzamts P*** zu verhindern, was auch gelungen sei. Die Ermittlung durch Auswertung ihn betreffender Logfiledaten sei unrechtmäßig erfolgt, weiters seien in dem Verfahrensakt falsche Angaben betreffend seine Befugnis zur Abfrage von bestimmten Daten des Abgabenverfahrens (so genannte S + Ü-Daten) eingeflossen. Dies alles habe dazu geführt, dass gegen ihn unrechtmäßig letztendlich noch eine Disziplinaranzeige erstattet worden sei.
Im Einzelnen brachte er vor
Weiters brachte der Beschwerdeführer vor, dadurch, dass sich „der öffentliche Auftraggeber“ geweigert habe, die Angabe, es sei ihm möglich gewesen, so genannte „S+Ü-Daten“ abzufragen, in den Akten richtig zu stellen, in seinem Recht auf Richtigstellung unrichtiger personenbezogener Daten verletzt zu sein (Faktum 2.).
Weiters brachte der Beschwerdeführer vor, dass er dadurch in seinem Recht auf Richtigstellung unrichtiger personenbezogener Daten verletzt sei (Faktum 3), dass der Erstbeschwerdegegner (als Nachfolger der aufgelösten Zweitbeschwerdegegnerin) sich geweigert habe, „jene Passagen, in denen ihm die Einsichtnahme in Geheimdaten („Fallgruppenzuordnungen S + Ü“) sowie die daraus folgenden Verdächtigungen von unerlaubten Datenabfragen und Datenweitergaben bis hin zum Verdacht auf Amtsmissbrauch vorgeworfen werde, aus dem Verfahrensakt P 1**/1***1/04 zu löschen“.
Der Beschwerdeführer beantragte zu den Fakten 2. und 3. die Löschung dieser Daten aus dem Akt P 1**/1***1/04 sowie die Verständigung der Stellen, denen diese Daten übermittelt wurden; in eventu beantragte der Beschwerdeführer die Beifügung „klarstellender Vermerke“ über die Unrichtigkeit dieser Daten des Inhalts: „Die Löschung sämtlicher Vermerke und Daten, in welchen die Wortfolge ’mit Fallkennzeichnung (S, Ü)’ in einem derartigen Zusammenhang festgehalten ist, dass dem Beschwerdeführer vorwerfbar sei, dass er in Daten der Fallkennzeichnung (S, Ü) Einsicht genommen und diese Daten der Fallkennzeichnung (S, Ü) weitergegeben habe“.
Weiter beantragte der Beschwerdeführer, da er unrechtmäßig verdächtigt, „gemobbt und denunziert“ worden sei, was die Eignung gehabt habe, ihn öffentlich bloß zu stellen, die Datenschutzkommission möge ihm für die erlittene Kränkung eine angemessene Entschädigung in Höhe von Euro 14.535,-- zusprechen; die Geltendmachung weiterer Schadenersatzansprüche behalte er sich ausdrücklich vor.
Der Erstbeschwerdegegner - die Zweitbeschwerdegegnerin, die Finanzlandesdirektion für Wien, Niederösterreich und das Burgenland, wurde durch BGBl. I Nr. 124/2003 aufgelöst, ihre Aufgaben sind auf die Finanzämter und den Erstbeschwerdegegner übergegangen - brachte mit Stellungnahme vom 2. Juni 2005, GZ: BMF-3***0/0007-I/20/2005, unter Vorlage von Kopien aus den Verwaltungsakten zu Zl. P 1**/1***1/04 der ehemaligen FLD Wien, NÖ, Bgld. (und weiterer Aktenstücke) vor, es seien tatsächlich am 23. März 2004 Logfiles betreffend Datenhandhabung des AIS-DB2 ausgewertet worden, um die Zulässigkeit der vom Beschwerdeführer getätigten Abfragen im Hinblick auf seine beabsichtigte Betrauung mit der Leitung des Finanzamts P*** überprüfen zu können. Diese Datenverwendung sei durch § 14 Abs 2 Z 7 DSG 2000 gedeckt gewesen. Der Beschwerdeführer sei davon mittels E-Mail am 24. März 2004 in Kenntnis gesetzt worden. Gleichzeitig habe man ihm das Ergebnis der Auswertung vorgehalten und ihn zur Stellungnahme zu Abfragen zu elf angeführten Steuernummern aufgefordert. Die Auswertung der Logfiles bilde keine gesonderte Datenanwendung, sondern diene ausschließlich dem in § 14 Abs.2 Z.7 DSG 2000 angeführten gesetzmäßigen Kontrollzweck (Zulässigkeit der Verwendung des protokollierten Datenbestands, insbesondere der dienstlichen Veranlassung von Abfragen). Für solche Kontrollen bedürfe es auch weder eines vorherigen Verdachts noch einer Einschaltung von Personalvertretern. Die vom Beschwerdeführer behauptete Abfrage von Daten von Gattin und Kindern des Beschwerdeführers am 28. April 2004 durch HR Dr. N*** werde entschieden bestritten. Der Akt GZ P 1**/1***1/04 selbst sei als Papierakt geführt worden. Der Beschwerdeführer habe am 13. Juni 2004 ein Löschungsbegehren an den Erstbeschwerdegegner gestellt, dieses sei mit Erledigung vom 22. Juli 2004 negativ beantwortet worden.
Der Beschwerdeführer, dem zu diesen Ergebnissen des Ermittlungsverfahrens Parteiengehör gewährt wurde, brachte mit Stellungnahme vom 8. August 2005 unter Vorlage weiterer Urkunden und Datenausdrucke vor, die von den Beschwerdegegnern veranlasste Logfileauswertung sei weit über jene „stichprobenweise Logfileauswertung gem. § 14 Abs.2 Z.7 DSG“ hinausgegangen, mit der er selbst als provisorischer Leiter eines Finanzamts im Rahmen der Dienstaufsicht befasst gewesen sei. Das vorgenommene „vollständige Screening des Logfiledatenbestandes von 1995 bis 10/2003“ stelle vielmehr eine eigene Datenanwendung dar und gehe weit über die gesetzlich gebotenen Datensicherheitsmaßnahmen hinaus. Es stelle vielmehr eine Kontrolle der Arbeitsleistung des Beschwerdeführers (Suche nach möglicher „Pfuschtätigkeit“) dar und sei im Zusammenhang mit seiner Bewerbung um eine leitende Stelle gestanden. An Hand der Aktenkopien, zu denen er jetzt von der Datenschutzkommission Parteiengehör erhalten habe, habe er erstmals Einblick in einige Aktenbestandteile bzw. E-Mails erhalten, die im vorher vorenthalten worden seien. Aus dem Akt GZ P 1**/1***1/04 gehe unter anderem hervor, dass Dr. N*** am 28. April 2004 das Personalinformationssystem des Bundes nach Daten der Gattin und der Kinder des Beschwerdeführers abgefragt habe, dies ohne dienstliche Veranlassung. Das Grundrecht auf Datenschutz (einschließlich der Rechte auf Auskunft, Richtigstellung und Löschung) gelte für alle Arten von Daten, unabhängig von der Art der Verarbeitung, also auch für Akten, die lediglich nach Namen, Adressen oder Berufen geordnet seien. Aus dem ihm bisher unbekannten E-Mail von Dr. E*** vom 28.4.2004 ergebe sich etwa, dass durch die Inaussichtstellung eines „Schnellverfahrens“ (lediglich Ermahnung statt vollem Disziplinarverfahren) Druck auf den Beschwerdeführer ausgeübt worden sei, auf seine Bewerbung zu verzichten. Das dem Beschwerdeführer zugeteilte Bedienerkennzeichen (BKZ), aus dem sich der Umfang der Zugriffsberechtigung ergebe, habe gar nicht den Zugriff auf die – geheime - Fallgruppenzuordnung „S“ (Soforterledigung) oder „Ü“ (Überprüfung) von Steuerfällen bei Fremdfinanzämtern ermöglicht. Der Beamte (Mag. Arno W***), der die vom Beschwerdeführer gemachten Datenabfragen überprüft habe, habe ein viel umfassenderes BKZ. Die von Mag. W*** mit dessen BKZ gemachten Abfragen seien allerdings im entsprechenden Aktenvermerk so dargestellt, als habe der Beschwerdeführer Zugriff auf die „S“- und „Ü“-Daten gehabt. Diese Daten seien daher unrichtig und damit Gegenstand seines Löschungsrechts.
Die Finanzprokuratur, der die Beschwerde im Hinblick auf die geltend gemachte Schadenersatzforderung vorgelegt wurde, teilte mit Erledigung vom 13. Juli 2005, SM/***7/1a, lediglich mit, sie gehe davon aus, dass sich der anwaltlich vertretene Beschwerdeführer bei Geltendmachung von Schadenersatzforderung aus dem Titel der Amtshaftung mit seinen Ansprüchen selber gemäß § 1 Abs 4 Prokuraturgesetz an sie wenden werde.
B) Ermittlungsverfahren und verwendete Beweismittel
Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einsichtnahme in die von den Beteiligten vorgelegten Urkundenkopien und Datenausdrucke, insbesondere aus dem Akt GZ P 1**/1***1/04 der ehemaligen Finanzlandesdirektion Wien, Niederösterreich, Burgenland, sowie durch Einholung einer Stellungnahme des Erstbeschwerdegegners.
Dem Beschwerdeführer wurde, soweit die Beweismittel und Vorbringen nicht von ihm selbst stammen, zu den Ergebnissen des Ermittlungsverfahrens Parteiengehör eingeräumt.
C) Sachverhaltsfeststellung samt Beweiswürdigung
Für die Datenschutzkommission steht folgender Sachverhalt fest:
Mitte März 2004 führte der Antikorruptionsbeauftragte (AKBA) beim Bundesministerium für Finanzen im Auftrag des Erstbeschwerdegegners (BMF/Sektion I) eine Logfileanalyse der Systemnutzung (des AIS-DB) für insgesamt acht Bedienstete aus dem Ressortbereich des BMF, die Bewerbungen um leitende Funktionen in der Finanzverwaltung abgegeben hatten, durch, darunter auch für den Beschwerdeführer (- er wurde am 17. März 2004 zum provisorischen Vorstand des Finanzamts P*** bestellt). Vordringliches Ziel dieser Datenanalyse war die Überprüfung des Benutzerverhaltens der Betroffenen (abgefragte Daten im Prüfungszeitraum 1995 bis 2003) auf Anhaltspunkte für unerlaubte nebenberufliche Tätigkeiten („Pfuschtätigkeit“). Diese Analyse ergab hinsichtlich des Beschwerdeführers Abfragen von Daten zu insgesamt 11 Drittbetroffenen (Steuerpflichtigen, bezeichnet durch die Steuernummer) bei der Dienststelle des Beschwerdeführers und anderen Finanzämtern als datenschutzrechtlichen Auftraggebern, für die keine eindeutige dienstliche Veranlassung erkennbar war. Diese Fakten wurden dem Beschwerdeführer vorgehalten. Er rechtfertigte sich per E-Mail am 24. März 2004 damit, es handle sich um Daten betreffend Verwandte, Freunde und Bekannte bzw. deren Unternehmen, die sich mit Auskunfts- und Hilfestellungsersuchen an ihn gewandt hätten. Der AKBA erstattete am 24. März 2004 zu GZ 1***/**8-AKBA/BMF/04, dem Erstbeschwerdegegner (Abt. I/22) über diese Ermittlungsergebnisse Bericht. Am 13. April 2004 fand noch eine Besprechung zwischen dem Beschwerdeführer und Mitarbeitern des ABKA statt, die – außer dem Vorbringen des Beschwerdeführers, er habe aus dem Motiv des „Servicegedankens“ gehandelt – nichts Neues ergab.
Beweiswürdigung : Diese Feststellungen ergeben sich insbesondere aus dem angeführten Bericht des AKBA vom 24. März 2004 und der Gesprächszusammenfassung von Mag. V*** vom 13. April 2004, beide einliegend im Akt GZ P 1**/1***1/04 der ehemaligen FLD WNB. Nicht bestätigt werden konnte insbesondere das Vorbringen des Beschwerdeführers, dass es sich um eine grundlose Überprüfung ohne Anlass gehandelt habe. Der Anlass war, dies geht sowohl aus den vorliegenden Akten wie sogar aus dem Vorbringen des Beschwerdeführers selbst hervor, dessen provisorische Bestellung zum Finanzamtsvorstand, verbunden mit der Bewerbung um die dauerhafte Ernennung auf diesen Posten. Auch war nicht der Beschwerdeführer allein von einem solchen „Screening“ betroffen, es wurden vielmehr sieben weitere, der Datenschutzkommission namentlich bekannte Bewerberinnen und Bewerber aus der Finanzverwaltung im fraglichen Zeitraum in gleicher Weise überprüft. Der Zweck der Logfileanalyse ergibt sich klar aus dem Schreiben des AKBA vom 24. März 2004, GZ 1***/**8-AKBA/BMF/04.
Auf Grund dieses Berichts sah der Erstbeschwerdegegner den Verdacht von Dienstpflichtverletzungen für gegeben und zog die Einleitung eines Disziplinarverfahrens gegen den Beschwerdeführer in Betracht. Die Zweitbeschwerdegegnerin (damals gesetzlich noch für die Dienstaufsicht über das Personal der ihr unterstehenden Finanzämter zuständig) wurde mit entsprechenden Ermittlungen beauftragt, und es wurden zu diesem Zweck die vorliegenden Ermittlungsergebnisse, einschließlich von Ausdrucken der Ergebnisse der Logfileauswertungen, per E-Mail (z.Hd. HR Dr. N***) an die Zweitbeschwerdegegnerin übermittelt. Das Verfahren wurde dort zu Zl. P 1**/1***1/04 geführt. Am 20. April 2004 wurde der Beschwerdeführer bei der Zweitbeschwerdegegnerin von Dr. N*** unter Hinweis auf den Verdacht von Dienstpflichtverletzungen und ein zwar noch nicht anhängiges, aber drohendes Disziplinarverfahren als Verdächtiger in Anwesenheit einer Vertrauensperson und eines Schriftführers niederschriftlich zur Sache befragt. Am 21. und 23. April 2004 führte Mag. Arno W*** für die Zweitbeschwerdegegnerin im Auftrag und teilweise in Anwesenheit von HR. Dr N***, HR Dr. F*** und ADir. A*** nähere Ermittlungen (probeweise Abfragen betreffend Abgabenkonto zu Steuernummer 3****31/0788 = WOS Zugangskontrollsysteme GmbH) zu den vom ABKA vorgelegten Logfileauswertungen durch. Über das Ergebnis dieser Ermittlungen wurde am 23. April 2004 ein Aktenvermerk angelegt, der festhält, dass der Beschwerdeführer keine (hier so genannten) „sensiblen Daten“ abgefragt hat bzw. dass „aus dem Abgabenkonto keine Meldungen ersichtlich“ waren, „die dem Abgabepflichtigen nicht bekannt sein sollten/dürften“. Am 23. April erstattete die Zweitbeschwerdegegnerin (HR Dr. N***) per E-Mail einen Vorhabensbericht an den Erstbeschwerdegegner. Danach konnte nicht erwiesen werden, dass der Beschwerdeführer Daten, die vor Abgabepflichtigen geheim zu halten gewesen wären, im Speziellen die Fallgruppeneinteilung in S- und Ü-Fälle, übermittelt hätte. Es liege kein Anhaltspunkt für einen entstandenen Schaden vor, demnach auch nicht der Verdacht des (gerichtlich strafbaren) Amtsmissbrauchs. Es sei aber der Verdacht entstanden, der Beschwerdeführer habe sich entgegen bestehenden erlassmäßigen Regelungen in zahlreichen Befangenheitsfällen nicht der Ausübung seines Amts enthalten und Abfragen durchgeführt sowie Auskünfte erteilt. Die Zweitbeschwerdegegnerin beabsichtige, den Beschwerdeführer förmlich zu ermahnen, aber von der Erstattung einer Disziplinaranzeige abzusehen.
Am 28. April 2004 erteilte der Erstbeschwerdegegner (Dr. Leo E***, Bereichsleiter Personal) ebenfalls per E-Mail die Weisung, den Akt mit einer förmlichen, schriftlichen Ermahnung nur vorzubereiten und an den Erstbeschwerdegegner zu übermitteln. Die Erlassung (Aushändigung) der Ermahnung oder die Erstattung der Disziplinaranzeige sollte von einer Besprechung mit dem Beschwerdeführer am 30. April 2004 abhängig gemacht werden, dies in der Form, dass dem Beschwerdeführer angeboten werden sollte, gegen seinen Verzicht auf seine Bewerbung auf die Erstattung einer Disziplinaranzeige zu verzichten.
Am 30. April 2004 erteilte die Zweitbeschwerdegegnerin dem Beschwerdeführer zu GZ P 1**/1***1/04 gemäß § 109 Abs.2 BDG eine förmliche schriftliche Ermahnung, deren Ausfertigung dem Beschwerdeführer am selben Tag persönlich übergeben wurde.
Am 10. Mai 2004 erstattete der Erstbeschwerdegegner zu GZ DR-1**4/2-01/08/04 Disziplinaranzeige gegen den Beschwerdeführer an die Disziplinarkommission beim Bundesministerium für Finanzen.
Beweiswürdigung : Diese Feststellungen ergeben sich aus dem Akteninhalt zu Zl. P 1**/1***1/04 der Zweitbeschwerdegegnerin, hinsichtlich des dem Beschwerdeführer angebotenen wechselseitigen Verzichts stützen sie sich ausdrücklich auf die einliegende, die Weisung enthaltende E-Mail von Dr. E*** an Dr. N*** und Dr. Ä*** vom 28. April 2004,
17.31 Uhr. Darin heißt es wörtlich: „Ich sehe das angedachte Schnellverfahren bzw. die Ermahnung nur vor dem Hintergrund einer Gesamtlösung/Verzicht auf die Vorstandsfunktion für vertretbar.“ [Absatz] „Am 30.4. ist zu diesem Zweck ein Gespräch zw. E.Ä***, Herrn R*** und mir geplant.“ [Absatz] „Ich ersuche sie daher, die Ermahnung lediglich vorzubereiten und den fertigen Akt bis Freitag, 9.00 Uhr, zu mir bringen zu lassen. Je nach Ausgang des Gespräches werde ich selbst die Aushändigung der Ermahnung vornehmen oder die Erstattung einer Disziplinaranzeige in Auftrag geben.“ Ausdrücklich nicht festgestellt werden konnte – im Gegensatz zu mehrfachen Behauptungen des Beschwerdeführers -, dass der Aktenvermerk vom 23. April 2004 die Feststellung trifft, der Beschwerdeführer habe Zugriff auf den unter dem Kürzel „PROG“ aufgelisteten Datenbestand LEKV „Auskunft E1, mit Fallkennzeichnung (S, Ü)“ gehabt. Der Aktenvermerk listet lediglich die Bedeutung dieses Kürzels auf und hält bei den Eintragungen zum LOG-Datum 20.3.1998 fest, die Ausgabe der Fallgruppenzuordnung – es ist dies der einzige näher überprüfte Datenverarbeitungsschritt, bei dem das Kürzel „UE“ bzw. „Ü“ überhaupt aufscheint - sei hier unwesentlich (und daher nicht näher zu überprüfen), da eine neu (am 10. 2. 1998) als steuerpflichtig mit einer Steuernummer erfasste Ges.m.b.H. immer ein Überprüfungsfall sei. Die Schlussfolgerung im Aktenvermerk lautet jedenfalls, dass dem Beschwerdeführer keine Daten ausgegeben wurden, die nicht auch dem Abgabepflichtigen bekannt sein sollten und dürften. Die weiter reichende Schlussfolgerung, es bestehe der Verdacht, der Beschwerdeführer habe Zugang zu geheim zu haltende Daten erhalten, scheint erst später in der gegen den Beschwerdeführer erstatteten Disziplinaranzeige (GZ DR- 1***4/2-01/08/4 des BMF vom 10. Mai 2004, Seite 7) aufzuscheinen.
Beim Akt der Zweitbeschwerdegegnerin zur Zahl Zl. P 1**/1***1/04 handelt es
sich um eine Sammlung von Urkunden unter einer bestimmten Grundzahl, er enthält:
Beim Inhalt dieses Akts handelt es sich demnach im Wesentlichen um Fließtext, der keine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den manuellen Datenträgern oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind. Darüber hinaus sind die im Akt enthaltenen Daten nicht nach bestimmten Kriterien zugänglich, das heißt, es bestehen keine vereinfachten Möglichkeiten der inhaltlichen Erschließung, beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme. Die einzelnen Aktenstücke haben zwar eine ungefähre aber keine zwingende chronologische Sortierung (keine Reihung nach Ordnungsnummern oder –zahlen, keine Seitennummerierung); die Angaben, die etwa der Beschwerdeführer als Verdächtiger sowie andere Personen, die an Ermittlungen oder Beweisaufnahmen mitgewirkt haben, zu bestimmten anderen Personen oder Tatsachen gemacht haben, einschließlich der Aussagekraft von Datenausdrucken, können im Akt, ohne ihn zu lesen oder zumindest durchzublättern, nicht vereinfacht erschlossen werden. Dies gilt auch und insbesondere für Unterlagen (Ausdrucke auf Papier), die das Ergebnis eines Datenverarbeitungsvorgangs darstellen.
Beweiswürdigung : Diese Feststellungen gründen sich auf die Form und den Inhalt der zitierten Urkunden(sammlung).
Der Beschwerdeführer richtete am 13. Juni 2004, 21:51:42 Uhr per E-Mail ein an verschiedene Empfänger in der Domain „bmf.gv.at“ versandtes Löschungsbegehren gemäß § 27 DSG 2000 hinsichtlich des Faktums „Zugriffsberechtigung auf Fallgruppenzuordnung S + Ü“ in verschiedenen Teilen des Aktes Zl. P 1**/1**1/04, darunter im Aktenvermerk vom 23. April 2004 sowie in der später gegen ihn erstatteten Disziplinaranzeige. Er führte darin aus, warum dies seiner Meinung nach nicht stimmen könne und verlangte die „umgehende Löschung dieser unrichtigen Daten“ und Verständigung an ihn, alternativ die „Feststellung, dass ich keinen Einblick auf diese Geheimdaten hatte und somit der Verdacht auf Amtsmissbrauch nie gegeben sein konnte.“
Mit Erledigung des Erstbeschwerdegegners (BMF/Abteilung VI/1) vom 22. Juli 2004, GZ. 61 ***0/1-VI/01/2004, wurde mitgeteilt, dass die begehrte Datenlöschung verweigert werde. Das Löschungsbegehren sei unklar, könne sich aber nur auf Protokolldaten gemäß § 14 Abs. 2 lit. 7 DSG 2000 – in diesem Fall wären sie nur zu löschen, wenn die protokollierten Daten unrichtig oder unzulässig wären, beides sei aber nicht der Fall – oder auf den Inhalt der aktenmäßigen Dokumentation der gegen den Beschwerdeführer erhobenen Vorwürfe beziehen – in diesem Fall wären die Ergebnisse des Verfahrens wie jeder physische Akteninhalt nach einer gewissen Zeit zu skartieren aber nicht gemäß § 27 DSG 2000 zu löschen.
Beweiswürdigung : Diese Feststellungen gründen sich auf den Inhalt der zitierten Urkunden, vorgelegt als Beilagen zur Stellungnahme des Erstbeschwerdegegners vom 2. Juni 2005, GZ. BMF-3***0/0007-I/20/2005.
D) rechtliche Beurteilung
1. anzuwendende Rechtsvorschriften :
§ 1 Abs DSG 2000 lautet unter der Überschrift „Grundrecht auf Datenschutz“
„§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, daß Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.“
§ 14 DSG 2000 lautet unter der Überschrift „Datensicherheitsmaßnahmen“
„§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.
(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,
(3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung.
(4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck - das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes - unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.
(5) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird.
(6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können.“
2. Anwendung auf den Beschwerdefall :
a) Haupt- und Grundsatzfragen :
aa) kein Löschungs- oder Richtigstellungsrecht betreffend den Akt Zl. P1**/1***1/04
Die Datenschutzkommission verneint in ständiger Spruchpraxis ein Recht auf Löschung oder Richtigstellung von Daten, die nicht in einer automationsunterstützt geführten Datenanwendung oder in manuellen Dateien verarbeitet sind. Dies ergibt sich schon aus dem ersten Satz der Verfassungsbestimmung des § 1 Abs 3 DSG 2000 (arg: „soweit...bestimmt sind“). Aus § 27 Abs 1 DSG 2000, der Ausführungsbestimmung zu § 1 Abs. 3, „nach (deren) Maßgabe“ das Grundrecht im hier zu entscheidenden Fall auszuüben ist, ergibt sich kein über § 1 Abs 3 DSG 2000 hinausgehendes Recht auf Löschung oder Richtigstellung von Daten. Daten müssen daher zumindest in einer manuellen Datei gemäß § 4 Z.6 DSG 2000 verarbeitet sein, um dem Löschungs- und Richtigstellungsrecht zu unterliegen. „Akten“ im Sinne einer behördenüblichen Sammlung von Urkunden und sonstigen Verfahrensergebnissen in Papierform sind, wenn nicht spezielle Strukturierungsmerkmale vorliegen, weder allein noch als Sammlung eine „Datei“.
Mit Erkenntnis vom 21. Oktober 2004, Zl. 2004/06/0086, hat der Verwaltungsgerichtshof diese Rechtsauffassung bestätigt und dazu folgenden Rechtssatz veröffentlicht:
„Zur Bestimmung der Begriffe "strukturierte Datei" und "Datei" tritt der VwGH den Erwägungen des OGH in der Entscheidung vom 28.Juni 2000, 6 Ob 148/00h, bei: Die Struktur einer manuellen Datei als einer strukturierten Sammlung personenbezogener Daten im Sinne des § 1 Abs. 3 DSG 2000 iVm Art. 3 Abs. 1 der Richtlinie 95/46/EG ist dann zu bejahen, wenn sie - im Gegensatz zu einem Fließtext - eine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den manuellen Datenträgern oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind. Darüber hinaus müssen die Daten nach bestimmten Kriterien zugänglich sein, d. h. es bestehen vereinfachte Möglichkeiten der inhaltlichen Erschließung, beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme. Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen, wie dies auch Erwägungsgrund 27 der genannten Richtlinie zum Ausdruck bringt. Das Vorliegen einer manuellen Datei im Sinne des § 1 Abs. 3 DSG 2000 setzt daher voraus, dass sie sich durch den in der zitierten Entscheidung des OGH erwähnten bestimmten "Organisationsgrad" der "Akten" auszeichnen muss, um von einer Strukturierung im Sinne des DSG 2000 sprechen zu können, der aber beim vorliegenden "Papierakt" nicht gegeben ist.“
Im Sinne der zitierten Rechtsmeinung des Verwaltungsgerichtshofs wurden Feststellungen zur Struktur der Akten der Zweitbeschwerdegegnerin betreffend disziplinarrechtliche Ermittlungen gegen den Beschwerdeführer, Zl. P 1**/1***1/04 der (ehemaligen) Finanzlandesdirektion für Wien, Niederösterreich und das Burgenland, getroffen. Diese lassen nur den Schluss zu, dass kein Akt vorliegt, der die Eigenschaften einer Datei im Sinne der zitierten Gesetzesbestimmung aufweist.
Dem Beschwerdeführer kommt daher kein bei der DSK geltend zu machendes Recht zu, Daten aus dem Inhalt dieses Aktes löschen, richtig stellen oder mit richtig stellenden Anmerkungen versehen zu lassen: Jedes darauf abzielende Begehren war daher als unbegründet abzuweisen.
ab) keine 'Allzuständigkeit' der DSK unter dem Gesichtspunkt des Datenschutzes
Weiters hat die Datenschutzkommission schon wiederholt Versuche von Beschwerdeführern abgewiesen, sie mit Hilfe der Geltendmachung der Rechte auf Geheimhaltung, Löschung oder Richtigstellung von Daten zu veranlassen, die Verfahrensführung anderer, sachlich zuständiger Behörden zu kontrollieren oder gar zu korrigieren. Die Datenschutzkommission verweist daher auch hier auf ihre Entscheidungspraxis (vgl. insbesondere den Bescheid vom 28. Februar 2003, GZ: K120.806/002-DSK/2003; veröffentlicht, http://www.ris.bka.gv.at/dsk/), wonach datenschutzrechtliche Beschwerden nicht geeignet sind, in der Sache vor andere Behörden gehörende Rechtsfragen (wie die Zulässigkeit einer Bestrafung oder die Frage der Wertung der Ergebnisse eines Verwaltungsverfahrens durch andere Behörden) neuerlich prüfen zu lassen (Bescheid der Datenschutzkommission vom 20. Mai 2005, GZ: K120.956/0003-DSK/2005; veröffentlicht, http://www.ris.bka.gv.at/dsk/). Der Beschwerdeführer überschätzt die Prüfungsbefugnis der Datenschutzkommission, indem er die Feststellung begehrt, dass der „Verdacht auf Amtsmissbrauch“ nie gegeben war, und auch, indem er eventualiter begehrt, richtig stellende Anmerkungen hinsichtlich seiner Zugriffsberechtigung auf S + Ü-Daten anzuordnen. „Das Beschwerdebegehren, die Ermittlung von Daten oder Verwendung von Beweismitteln durch die zuständige Behörde, die sie zur Feststellung eines von ihr zu ermittelnden Sachverhalts zu benötigen glaubt, zu überprüfen, würde bewirken, dass die Datenschutzkommission – zumindest teilweise – an die Stelle der sachlich zuständigen Behörde tritt und sich im Umwege über den Abspruch über die Zulässigkeit von Sachverhaltsermittlungen eine sachliche Allzuständigkeit arrogiert. Dass dies angesichts des Grundsatzes der festen Zuständigkeitsverteilung zwischen staatlichen Organen und dem Grundrecht auf ein Verfahren vor dem gesetzlichen Richter nicht zulässig sein kann, ist evident (Bescheid der Datenschutzkommission vom 2. August 2005, GZ K121.005/0014-DSK/2005, veröffentlicht;
http://www.ris.bka.gv.at/dsk/).“ Ebenso bleibt es den Disziplinarbehörden vorbehalten, nach einem entsprechenden Ermittlungsverfahren zu beurteilen, ob etwa der Inhalt einer Disziplinaranzeige auf Tatsachen beruht und diese Tatsachen rechtlich korrekt gewürdigt wurden. Es ist nicht Aufgabe der Datenschutzkommission, rückwirkend festzustellen, ob ein von einer Dienstbehörde in einer Disziplinaranzeige angenommener Sachverhalt auf „richtigen“ oder „falschen“ Daten beruht, solange diese Daten in einem denkmöglichen Zusammenhang („Übermaßverbot“, vgl. den oben zitierten Bescheid der Datenschutzkommission vom 20. Mai 2005, GZ K120.956/0003- DSK/2005) mit dem Gegenstand des Disziplinarverfahrens stehen und daher rechtmäßig verwendet (hier: ermittelt und in Form der Disziplinaranzeige übermittelt) wurden
Die Beschwerde war daher hinsichtlich der Fakten 2 und 3 als unbegründet abzuweisen.
ac) Verwendung von ADV-Protokolldaten für Zwecke der Kontrolle von Bediensteten :
Aus § 14 Abs 4 iVm Abs 5 DSG 2000 ergibt sich, dass während einer drei Jahre dauernden Zeitspanne Protokolldaten dazu benützt werden dürfen, die Rechtmäßigkeit des Zugriffs auf den durch Zugriffsprotokollierung abgesicherten Datenbestand zu kontrollieren, und zwar – mangels näherer gesetzlicher Regelung – in jeder Art, die der Auftraggeber der Datenanwendung für zweckmäßig erachtet, wobei als Grenze das Verhältnismäßigkeitsprinzip bzw. das Übermaßverbot gilt. Die Heranziehung von Protokolldaten zur Kontrolle der Rechtmäßigkeit des Zugriffs kann daher in verschiedener Intensität und nach verschiedenen Methoden, also sowohl durch routinemäßige Kontrolle aller Zugriffsvorgänge sowie durch anlassbezogene Kontrollen oder durch Kontrolle bestimmter Kategorien von Abfragen, durch Kontrolle der Abfragen bestimmter Mitarbeiter oder Mitarbeiterkategorien oder durch stichprobenweise Kontrollen erfolgen. Eines besonderen Anlasses bedarf es dazu, im Gegensatz zur Rechtsansicht des Beschwerdeführers, nicht. Die betroffenen Mitarbeiter sind aber gemäß §§ 14 Abs 6 und 24 Abs 1 DSG 2000 über Art und Weise des Kontrollsystems – allerdings nicht über einzelne beabsichtigte Kontrollmaßnahmen - zu informieren.
In der Entscheidung GZ K121.014/0008-DSK/2005 hat die Datenschutzkommission festgehalten, dass „jeder Auftraggeber ...gemäß § 14 DSG 2000 die Pflicht (hat), durch geeignete Maßnahmen vorzukehren, dass auf die von ihm verarbeiteten Daten nicht unzulässigerweise zugegriffen wird. Der Zugriff auf Steuerdaten von Bürgern durch Bedienstete der Finanzverwaltung zu außerdienstlichen Zwecken ist eine unzulässige Datenverwendung. Die Protokollierung der Zugriffe und auswertende Kontrolle der Protokolle zum Zweck der Feststellung und künftigen Unterbindung unzulässiger Zugriffe ist ein nach dem Stand der Technik allgemein anerkanntes Mittel zur Verwirklichung von Datensicherheit in Form der Generalprävention gegen unzulässige Zugriffe. Aus § 14 DSG 2000 ist nicht nur die Verpflichtung erkennbar, Abfragedaten zu protokollieren, sondern auch die Verpflichtung, Protokolldaten für die Überprüfung der Zulässigkeit der Verwendung des Datensatzes heranzuziehen.“
In derselben Entscheidung wird weiters Folgendes ausgeführt:
„Der Rechtsvorschrift des § 14 Abs. 2 Z 7 DSG 2000 lässt sich auch nicht, wie der Beschwerdeführer vermeint, entnehmen, dass für die gegenständliche Auswertung ein genereller Verdacht nicht ausreichend und ein konkreter Verdacht dem Beschwerdeführer gegenüber notwendig sei. Die generelle, laufende Kontrolle der Protokolldaten ist eine gesetzliche Verpflichtung des Auftraggebers, die gänzlich unabhängig von tatsächlichen Vorfällen besteht. Es hat daher auch der Ausgang des Disziplinarverfahrens auf die Rechtmäßigkeit der gegenständlichen Auswertung der Logfiles und damit auf das Verfahren vor der Datenschutzkommission keinen Einfluss.“
Wie sich aus der Sachverhaltsfeststellung ergibt, sollte im vorliegenden Fall jedoch nicht nur die Zulässigkeit von Zugriffen auf Daten des AIS geprüft werden, sondern primär nach Mustern bei der Benutzung der AIS-Daten durch den Beschwerdeführer gesucht werden, die den Verdacht einer außerdienstlichen Beratungs- oder Vertretungstätigkeit begründen könnten: Die Sektion I des Erstbeschwerdegegners hatte den Antikorruptionsbeauftragten mit einer „ systematischen Analyse “ der Protokolldaten beauftragt, um Hinweise „ auf eine mögliche Pfuschtätigkeit “ zu finden. Die relativ häufigen Zugriffe des Beschwerdeführers auf Daten Dritter – ohne diese im Einzelnen nach Rechtswidrigkeit oder Rechtmäßigkeit beurteilen zu wollen – führten dabei offenkundig dazu, dass sein Benutzerverhalten in dem vom AKBA angelegten Analyseraster auffällig wurde. Die Verwendung von Protokolldatenauswertungen für die Gewinnung von Hinweisen oder von Beweismitteln für die Strafbarkeit eines Datenzugriffs aus einem anderen Aspekt als dem unmittelbar dienstlichen ist ausschließlich in den von § 14 Abs. 4 DSG 2000 ausdrücklich angeführten Fällen zulässig, das sind die „Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt“. Die Weiterverwendung der Auswertungsergebnisse der Protokolldaten zwecks Feststellung der „Pfuschtätigkeit“ stellt daher eine unzulässige Ausweitung ihres ursprünglichen Verwendungszwecks dar, da gemäß § 14 Abs. 4 DSG 2000 eine Weiterverwendung „aus einem anderen Grund als jenem der Prüfung der Zugriffsberechtigung“ als unvereinbar mit dem ursprünglichen Ermittlungszweck gilt.
Eine Analyse von Protokolldaten mit dem Zweck, nicht nur die Rechtmäßigkeit von Datenzugriffen zu überprüfen, sondern nach bestimmten Mustern im Verhalten der Zugriffsberechtigten zu suchen, die Schlüsse auf anderweitig rechtswidriges Verhalten der Betroffenen (hier: außerberufliche Beratungs- und Vertretungstätigkeit, „Pfuschtätigkeit“ von Finanzbeamten) ermöglichten, überschreitet den in § 14 Abs 4 DSG 2000 umschriebenen rechtmäßigen Kontrollzweck. Der Text des § 14 Abs. 4 stellt die Beschränkung des Verwendungszwecks von Protokolldaten unmissverständlich klar, insbesondere auch dadurch, dass er die wenigen zulässigen Erweiterungen des Verwendungszwecks ausdrücklich und abschließend anführt. Durch die Verwendung der Protokolldaten für die Feststellung allfälliger außerberuflicher Beratungstätigkeit in Steuerangelegenheiten wurde daher – ungeachtet des Umstandes, dass auf die Feststellung einer mangelnden Zugriffsberechtigung dienstrechtliche Konsequenzen gegründet werden können - in das Recht des Beschwerdeführers auf Geheimhaltung ihn betreffender personenbezogener Daten (Ermittlungsschutz) in unzulässiger Weise eingegriffen.
Auf Grund dieses Ergebnisses braucht auf weitere Fragen, wie etwa ob die Speicherung der Protokolldaten durch den Erstbeschwerdeführer über die grundsätzliche Dreijahresfrist gemäß § 14 Abs 5 DSG 2000 hinaus überhaupt ausnahmsweise zulässig war, nicht näher eingegangen werden.
Der Beschwerde war daher hinsichtlich des Faktums 1.a. stattzugeben und es waren die im Spruchpunkt 2.a. gemachten Feststellungen zu treffen.
b) weitere Beschwerdepunkte im Einzelnen :
ba) Übermittlung der Ergebnisse des AKBA an die Zweitbeschwerdegegnerin (Faktum 1.b) :
Der Erstbeschwerdegegner war nicht berechtigt, die Logfiles auszuwerten. Nach bisheriger Spruchpraxis der Datenschutzkommission kann man aber daraus nicht ableiten, dass es rechtswidrig war, dass das Ergebnis durch die Dienstbehörde (= Zweitbeschwerdegegnerin) disziplinarrechtlich beurteilt wurde. Es „besteht kein Verbot, Daten, die einer Behörde oder Behördenabteilung ohne eigene Initiative in Form schriftlicher Unterlagen als Beweismittel vorgelegt wurden, auch für behördliche Zwecke zu verwenden. Aus § 1 Abs 1 DSG 2000 kann sich zwar ein Verbot zur Ermittlung von Daten ergeben, es ist aber keinerlei Beweismittelverwertungsverbot ableitbar “ (Bescheid der Datenschutzkommission vom 8. Oktober 2004, GZ: K120.869/0002- DSK/2004 [Hervorhebung im Original]; veröffentlicht, http://www.ris.bka.gv.at/dsk/). Allerdings bindet § 7 Abs 2 DSG 2000 die Übermittlung von Daten an die Rechtmäßigkeit der Ermittlung. Daher war es dem Erstbeschwerdegegner nicht erlaubt, das Ergebnis der Logfileanalyse an die Zweitbeschwerdegegnerin zu übermitteln und es wurde dadurch ebenfalls in das Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten (Ermittlungsschutz) des Beschwerdeführers eingegriffen.
Der Beschwerde war somit auch hinsichtlich des Faktums 1.b. stattzugeben und es waren die im Spruchpunkt 2.b gemachten Feststellungen zu treffen.
bb) Gerüchte und Vorhalte aus der Kollegenschaft, Medienberichte (Fakten 1.c. bis 1.e., 1.g, 1.h. und 1.j) :
Hinsichtlich dieser Beschwerdepunkte fehlt ein hinreichend substantiierte Vorbringen, um ein Ermittlungsverfahren durchführen zu können. Die Datenschutzkommission kann der Frage nicht nachgehen, welche Gerüchte kursierten und aus welcher Quelle diese stammten bzw. wie Angaben betreffend die gegen den Beschwerdeführer erhobenen disziplinarrechtlichen Vorwürfe und die eingeleiteten Verfahrensschritte an bestimmte Medien gelangten. In der Beschwerde fehlen nähere Behauptungen dazu, wer aus der Kollegenschaft den Beschwerdeführer auf „unerlaubte Datenabfragen“ angesprochen haben soll, ebenso fehlen nähere Angaben zu relevanten Medienberichten. „Grundsätzlich trifft auch bei amtswegig durchzuführenden Verfahren die Partei eine entsprechende Mitwirkungspflicht, insbesondere dort, wo den amtswegigen behördlichen Erhebungen im Hinblick auf die nach den materiell-rechtlichen Verwaltungsvorschriften zu beachtenden Tatbestandsmerkmale faktische Grenzen gesetzt sind. Dort also, wo es der Behörde nicht möglich ist, von sich aus und ohne Mitwirkung der Partei tätig zu werden was insbesondere bei jenen in der Person des Antragstellers gelegenen Voraussetzungen der Fall sein wird, deren Kenntnis sich die Behörde nicht von Amts wegen verschaffen kann, ist die Partei selbst zu entsprechendem Vorbringen und Beweisanbot verpflichtet“ (VwGH 11. Mai 1993, Zl. 91/08/0122,). Dies trifft auch auf den vorliegenden Fall zu.- Ein Ermittlungsverfahren zur Ausforschung der Quelle von Gerüchten und Medienberichten hätte eines entsprechend ausgearbeiteten Vorbringens samt Beweisanboten bedurft. Da ein solches nicht vorlag und der Beschwerdeführer anwaltlich vertreten war, war das entsprechende Beschwerdevorbringen als unbewiesen weil unbeweisbar anzusehen und die Beschwerde diesbezüglich abzuweisen.
c) Behaupteter Eingriff in Rechte von Gattin und Kindern (Faktum 1.f) :
Das Grundrecht auf Datenschutz kann nur vom Betroffenen selbst (oder von einem vom Betroffenen bevollmächtigten Vertreter) vor der Datenschutzkommission geltend gemacht werden. Im Faktum 1.f seiner Beschwerde vom 7. April 2005 bringt der Beschwerdeführer vor, dadurch, dass HR N*** für die Zweitbeschwerdegegnerin in Daten seiner Gattin und seiner Kinder Einsicht genommen habe, im Recht auf Geheimhaltung verletzt worden zu sein.
Der Beschwerdeführer kann durch eine solche Datenermittlung in seinem (Grund )Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten nicht verletzt worden sein. Dafür, dass der namens des Beschwerdeführers einschreitende Rechtsanwalt auch die Gattin oder die Kinder des Beschwerdeführers vertritt, fehlt jeder Anhaltspunkt.
Die Beschwerde war diesbezüglich in Ermangelung eines denkmöglichen Eingriffs in Datenschutzrechte des Beschwerdeführers als unbegründet abzuweisen.
d) Entschädigungsbegehren in Höhe von Euro 14.535,-- :
Der Beschwerdeführer stellte weiters ein Begehren auf „Zuspruch einer angemessenen Entschädigung in Höhe von Euro 14 535,--„. Zur Entscheidung dieses Begehrens, fehlt der angerufenen Datenschutzkommission die Zuständigkeit. Zwar enthält das DSG 2000 in Form von § 33 eine eigene Schadenersatzklausel, § 33 Abs 4 DSG 2000 verweist dennoch Klagen wegen Schadenersatzforderungen in Folge Verletzung datenschutzrechtlicher Bestimmungen auf den streitigen Zivilprozessweg, nämlich an das gemäß § 32 Abs 4 DSG 2000 zuständige Gericht. Als „allgemeine Bestimmungen des bürgerlichen Rechts“ sind dabei bei ersatzpflichtig machenden Eingriffen von Auftraggebern des öffentlichen Bereichs die Bestimmungen des AHG heranzuziehen, weswegen auch die Finanzprokuratur von der Beschwerde und dem darin behaupteten Entschädigungsanspruch verständig wurde. Diese hat sich aber entschlossen, in diesem Verfahren nicht einzuschreiten.
Mangels Zuständigkeit der Datenschutzkommission in Folge Unzulässigkeit des Verwaltungsrechtswegs, war das Schadenersatzbegehren daher spruchgemäß zurückzuweisen.
e) Begehren auf Feststellung der Rechtswidrigkeit der Disziplinaranzeige (Faktum 1.j) :
Der Beschwerdeführer bringt vor, „indem in der Ermahnung vom 30. April 2004 von einer Disziplinaranzeige gem. § 109 Abs.2 BDG Abstand genommen worden ist, und dennoch eine Anzeige an die Disziplinarkommission erstattet worden ist“, in seinem Recht auf Geheimhaltung verletzt worden zu sein.
Damit erstattet der Beschwerdeführer kein Vorbringen, das eine datenschutzrechtliche Rechtsverletzung aufzeigt, da er keinen Vorgang der Datenverwendung sondern die rechtlichen Schlussfolgerungen der Dienstbehörde aus den Ergebnissen des disziplinarrechtlichen Ermittlungsverfahrens rügt. Es ist, wie bereits oben (Punkt ab)) aufgezeigt wurde, nicht Aufgabe der Datenschutzkommission, die rechtlichen Schlussfolgerungen anderer Behörden zu überprüfen.
Dieses Vorbringen lässt keinen Eingriff in Datenschutzrechte des Beschwerdeführers erkennen, weshalb die Beschwerde daher auch in diesem Punkt als unbegründet abzuweisen war.