K121.133/0007-DSK/2006 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. HUTTERER, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 31. Mai 2006 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde der D in G (Beschwerdeführerin), vertreten durch den Verein H, vom 14. Februar 2006 gegen das Bundesministerium für Inneres, Bundesamt für Verfassungsschutz und Terrorismusbekämpfung in Wien (Beschwerdegegner), wegen Verletzung im Recht auf Auskunft wird gemäß § 1 Abs. 5 sowie § 31 Abs. 1 und 4 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:

Die Beschwerde wird gemäß § 26 Abs. 1, Abs. 2 Z 1 und 5 sowie Abs. 5 DSG 2000 abgewiesen.

B e g r ü n d u n g:

Die Beschwerdeführerin behauptet eine Verletzung im Recht auf Auskunft dadurch, dass der Beschwerdegegner in Beantwortung ihres Auskunftsbegehrens vom 24. November 2005 am 28. November 2005 eine Auskunft dahin gegeben habe, dass die Daten der Protokollierung ihres Auskunftsbegehrens wiedergegeben worden seien und daran der Satz „Im Übrigen werden über Sie keine der Auskunftspflicht unterliegenden Daten verwendet,“ angeschlossen gewesen sei. Daher sei davon auszugehen, dass der Beschwerdegegner personenbezogene Daten über die Beschwerdeführerin speichere, die über die Protokollierung des Auskunftsbegehrens hinausgingen.

Der Beschwerdegegner bestreitet das Beschwerdevorbringen in sachverhaltsmäßiger Hinsicht nicht. Er hat sich allerdings auch gegenüber der Datenschutzkommission auf § 26 Abs. 5 DSG 2000 berufen und hält seine Vorgangsweise für rechtmäßig. Er sei mit der Wahrnehmung der Aufgaben des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich sowie der Vorbeugung, Verhinderung und Verfolgung von Straftaten betraut. Durch das Auskunftsrecht dürfe nicht der legale Zweck der Datenanwendung unterbunden werden. Daher dürfe dem Auskunftswerber nicht die Möglichkeit gegeben werden, zu unterscheiden, ob der Beschwerdegegner überhaupt keine den Auskunftswerber betreffenden Daten ermittelt bzw. verarbeitet habe oder ob Daten, die in den Schutzbereich des § 26 Abs. 2 Z 1 und 5 DSG 2000 fallen, vorliegen. Würde der Satz „Im Übrigen...“ nur bei Auskünften angefügt, bei denen eine Beauskunftung von Daten tatsächlich verweigert werde, hätte der Auskunftswerber aber die Möglichkeit, anhand der Gestaltung der Auskunft auf das Vorhandensein von Daten zu schließen. Dies hätte vielfach negative Auswirkungen auf die Aufgabenerfüllung durch den Beschwerdegegner. Daher müsse dieser Satz immer angefügt werden, egal ob weitere Daten vorhanden seien oder nicht.

Da sich der Beschwerdegegner auch ihr gegenüber auf § 26 Abs. 5 DSG 2000 berufen hat, hat die Datenschutzkommission das Beschwerdeverfahren nach den besonderen Bestimmungen des § 31 Abs. 4 DSG 2000 durchgeführt.

Der folgende Sachverhalt wird festgestellt:

Die Beschwerdeführerin richtete am 24. November 2005 eine schriftliche Anfrage an den Beschwerdegegner (konkret das als Organisationseinheit im Bundesministerium für Inneres eingerichtete Bundesamt für Verfassungsschutz und Terrorismusbekämpfung-BVT), ob ein Akt über sie angelegt worden sei. Sollte das der Fall sein, beantrage sie Einsicht.

Der Beschwerdegegner wertete dieses Anbringen als datenschutzrechtliches Auskunftsbegehren. Er teilte ihr mit Schreiben vom 28. November 2005 mit, dass die Anfrage vom 24. November 2005 gemäß § 12 BMG protokolliert sei und informierte sie über die damit zusammenhängenden gespeicherten Daten. Dieser Auskunft war der Satz angeschlossen „Im Übrigen werden über Sie keine der Auskunftspflicht unterliegenden Daten verwendet.“

Beweiswürdigung : Diese Feststellungen beruhen auf dem unbestrittenen Beschwerdevorbringen.

Der Beschwerdegegner hat der Datenschutzkommission den zur Person der Beschwerdeführerin im BVT tatsächlich vorhandenen Datenbestand zur Überprüfung offen gelegt. Dabei sind keine Daten hervorgekommen, die die Unrichtigkeit bzw. Unvollständigkeit der Auskunft vom 28. November 2005 bewirkt hätten.

Beweiswürdigung : Diese Feststellungen beruhen auf den vom Beschwerdegegner der Datenschutzkommission erteilten Auskünften über die zur Person der Beschwerdeführerin verarbeiteten Daten. Da die Datenschutzkommission die von § 26 Abs. 2 DSG 2000 geschützten Interessen in ihrem Verfahren zu wahren hat, konnten diese Daten der Beschwerdeführerin – abweichend von § 45 Abs. 3 AVG – nicht offen gelegt werden.

In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften:

Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.

§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Diese Bestimmung lautet auszugsweise:

„Auskunftsrecht

§ 26 (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen: Es ist in allen Fällen, in welchen keine Auskunft erteilt wird also auch weil tatsächlich keine Daten verwendet werden , anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Betroffenen verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.

[...]“

§ 31 DSG 2000 lautet auszugsweise:

„Beschwerde an die Datenschutzkommission

§ 31 (1) Die Datenschutzkommission erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26 durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.

[...]

(4) Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder Löschungsrechts gegenüber der Datenschutzkommission auf die §§ 26 Abs. 5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit der Geheimhaltung die geschützten öffentlichen Interessen in ihrem Verfahren zu wahren. [...]“

2. rechtliche Schlussfolgerungen:

Der Beschwerdegegner unterhält in seiner Organisationseinheit BVT unbestritten Datenanwendungen für die in § 26 Abs. 2 Z 1 und 5 DSG 2000 genannten Zwecke. Damit besteht auf Grund ausdrücklicher gesetzlicher Regelungen eine Verpflichtung des Beschwerdegegners zur Auskunftsverweigerung, die freilich nur so weit reicht, als das durch diese Zwecke verwirklichte öffentliche Interesse einer Auskunftserteilung entgegensteht. Das Wort „soweit“ in § 26 Abs. 2 DSG 2000 zeigt deutlich, dass eine derartige Datenanwendung nicht automatisch zur Gänze der Auskunftsverweigerung unterliegt, sondern dass dies jeweils für jedes Datum konkret zu prüfen ist.

Der Beschwerdegegner bringt zutreffend vor, dass diese Standardantwort bei Vorliegen der Gründe des § 26 Abs. 2 DSG 2000 immer zu verwenden ist, und zwar unabhängig vom Vorliegen von konkreten Daten, um nicht seine Aufgabenerfüllung zu erschweren oder zu behindern. Andernfalls könnte aus unterschiedlichen Auskünften auf den tatsächlichen Inhalt der Datenanwendungen geschlossen werden, was aber deren geschützte Zwecke vereiteln könnte.

Um gegenüber dieser – unzweifelhaft das Grundrecht auf Auskunft und damit die Durchsetzung des Grundrechts auf Datenschutz insgesamt einschränkende – Vorgangsweise effizienten Rechtsschutz zu gewährleisten, unterliegt der Inhalt der Datenanwendung der Kontrolle durch die vom Auftraggeber unabhängige Datenschutzkommission, die aber gemäß § 31 Abs. 4 DSG 2000 die durch § 26 Abs. 2 Z 1 bis 5 DSG 2000 geschützten Interessen ebenfalls zu wahren hat, damit diese nicht im Weg einer Beschwerde an die Datenschutzkommission vereitelt werden. Daher muss auch die Datenschutzkommission, wenn sie wie im vorliegenden Fall die Auskunftsverweigerung als rechtmäßig angesehen hat, die Geheimhaltung der über die Beschwerdeführerin verarbeiteten Daten wahren.

Da die von der Datenschutzkommission nach der Sonderbestimmung des § 31 Abs. 4 DSG 2000 durchgeführte Prüfung, keine Zweifel am Vorliegen der Gründe des § 26 Abs. 2 Z 1 und 5 DSG 2000 erbracht hat, liegt die von der Beschwerdeführerin behauptete bzw. vermutete Verletzung im Recht auf Auskunft durch die vom Beschwerdegegner verwendete Formulierung der Beantwortung nicht vor. Die Beschwerde war somit spruchgemäß abzuweisen.