K121.119/0012-DSK/2006 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. HEISSENBERGER, Dr. KOTSCHY, Mag. MAITZ-STRASSNIG und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 28. Juni 2006 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Richard F*** in W*** (Beschwerdeführer), gegen den Magistrat der Stadt Wien, Magistratsabteilung 62 in 1082 Wien, Lerchenfelder Straße 4 (Beschwerdegegner), vom 31. Oktober 2005 wegen Verletzung im Recht auf Geheimhaltung personenbezogener Daten durch Abfrage von Daten des elektronischen kriminalpolizeilichen Informationssystems (EKIS), und zwar der Personenfahndung, der Personeninformation, der Sachenfahndung, jeweils samt den daran angeschlossenen Teil des Schengener Informationssystems, und des Strafregisters, im Zuge der Ausstellung eines neuen Reisepasses nach Verlust des alten, wird gemäß § 1 Abs. 1, § 7 Abs. 1 und 3, § 8 Abs. 1 Z 4 iVm § 8 Abs. 3 Z 1, § 8 Abs. 4 Z 2 und § 31 Abs. 2 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 13/2005, iVm §§ 14 und 16 Abs. 1 Z 1 Passgesetz 1992 (PassG), BGBl 1995/507 idF BGBl I 104/2002, wie folgt entschieden:
Die Beschwerde wird als unbegründet abgewiesen.
B e g r ü n d u n g
I. Verfahrensgang und Vorbringen der Parteien:
a. Der Beschwerdeführer wandte sich per Schreiben vom 31. Oktober 2005 an die Datenschutzkommission und brachte im Wesentlichen vor, nach Verlust seines alten Reisepasses sei im Zuge der Neuausstellung des Reisepasses am 25. Oktober 2005 beim Passreferat des magistratischen Bezirksamts für den **. Bezirk routinemäßig eine Abfrage des elektronischen kriminalpolizeilichen Informationssystems (im Folgenden: EKIS) durchgeführt worden. Dabei sei ihm mitgeteilt worden, dass gegen ihn offene strafrechtliche Vorwürfe bestünden. Schließlich sei der Reisepass nach Rückfrage bei der Staatsanwaltschaft Wien doch ausgestellt worden.
Der Beschwerdeführer fühlt sich durch die seiner Ansicht nach sachlich nicht gerechtfertigte und gesetzlich nicht gedeckte Abfrage des EKIS in seinem verfassungsgesetzlich gewährleisteten Recht auf Geheimhaltung personenbezogener Daten gemäß § 1 Abs. 1 DSG 2000 verletzt.
b. Der Beschwerdegegner bestritt in seiner Stellungnahme vom 17. November 2005 den Sachverhalt nicht und ergänzte, der Beschwerdeführer habe am 25. Oktober 2005 gleichzeitig mit dem Antrag auf Neuausstellung eines Reisepasses seinen noch gültigen bisherigen Reisepass als verloren gemeldet. Die IDR-EKIS-Abfrage geschehe routinemäßig bei jedem Passwerber zur Feststellung des Bestehens von Passversagungs- oder Passentziehungsgründen. Dazu werde im Rahmen der Ausstellung der EKIS-Button betätigt, der den Zugriff auf die Personenfahndung, die Personeninformation, die Sachenfahndung, - samt dem jeweils daran angeschlossenen Teil des Schengener Informationssystems – und auf das Strafregister ermögliche. Im Fall des Beschwerdeführers habe diese Abfrage ergeben, dass er Einträge im Strafregister wegen sechs rechtskräftiger Verurteilungen von drei österreichischen und drei deutschen Gerichten von 1993 bis 1999 wegen Übler Nachrede, Beleidigung, Vergehen gegen das Waffengesetz und Beihilfe zum Meineid aufweise.
Der Beschwerdegegner bestreitet weiters seine passive Beschwerdelegitimation, da nur die Übermittlung der Daten aus dem EKIS durch das Bundesministerium für Inneres als Auftraggeber den Beschwerdeführer in seinem Recht auf Geheimhaltung verletzen könne, nicht aber der bloße Empfang der Daten durch den Beschwerdegegner.
c. In dem dazu gewährten Parteiengehör brachte der Beschwerdeführer mit Schreiben vom 21. Jänner 2006 im Wesentlichen vor, es sei ihm aufgrund der EKIS-Abfrage mitgeteilt worden, dass gegen ihn „offene Strafverfahren“ vorgelegen seien. Diese Information sei falsch. Die Verurteilungen würden von einem österreichischen Gericht stammen und beträfen Privatanklagedelikte, zwei seien überdies nicht rechtskräftig, da sie nach Aufhebung durch eine Nichtigkeitsbeschwerde bisher nicht rechtsgültig nachverhandelt worden seien. Die Verurteilungen der deutschen Gerichte seien nicht nach rechtsstaatlichen Grundsätzen zustande gekommen. Eine gesetzliche Grundlage für die gegenständliche EKIS-Abfrage bestehe nicht. Die passive Beschwerdelegitimation des Beschwerdegegners sei gegeben, weil er selbst die Daten aktiv, sohin mit eigenem Zutun, abgefragt habe.
II. Von der Datenschutzkommission verwendete Beweismittel:
Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einsichtnahme in die von den Parteien vorgelegten Urkunden(kopien) und sonstigen Dokumente. Dem Beschwerdeführer wurde zu den Ergebnissen des Ermittlungsverfahrens, soweit sie nicht von ihm selbst stammen oder er selbst darauf Bezug genommen hat, Parteiengehör eingeräumt.
III. Festgestellter Sachverhalt und Beweiswürdigung
Der Beschwerdeführer beantragte am 25. Oktober 2005 auf dem Passreferat des magistratischen Bezirksamts für den **. Bezirk die Neuausstellung eines Reisepasses. Gleichzeitig meldete er seinen noch gültigen Reisepass, ausgestellt von der Bundespolizeidirektion Wien mit einer Gültigkeitsdauer vom 23. Dezember 1997 bis zum 22. Dezember 2007, als am Vortag verloren gegangen.
Beweiswürdigung : Diese Feststellungen beruhen auf dem insoweit unbestrittenen Beschwerdevorbringen. Die Gültigkeitsdauern und die Ausstellungsbehörde des verloren gegangenen Reisepasses stammen aus der Stellungnahme des Beschwerdegegners vom 17. November 2005, welchen insoweit wiederum der Beschwerdeführer in dem dazu gewährten Parteiengehör nicht entgegen getreten ist.
Im Zuge der Ausstellung des Passes wurde vom Beschwerdegegner - wie bei jedem Passwerber - eine Abfrage folgender Teile des EKIS durch Betätigen des so genannten „EKIS-Buttons“ vorgenommen: der Personenfahndung, der Personeninformation, der Sachenfahndung – jeweils samt dem daran angeschlossenen Teil des Schengener Informationssystems – und des Strafregisters.
Beweiswürdigung : Die Feststellung, dass eine EKIS-Abfrage vorgenommen wurde, ist unbestritten. Welche Teile abgefragt wurden und dass dies routinemäßig bei jedem Passwerber geschieht, beruht auf dem Vorbringen des Beschwerdegegners. Da es sich dabei um Details des Verfahrens handelt, kann dies durch die derartige Verfahren laufend durchführende Behörde besser beurteilt werden als durch den Beschwerdeführer, der in seinem Parteiengehör behauptet hat, der Button müsse gesondert gedrückt werden, weshalb die routinemäßige Abfrage nicht sichergestellt scheint. Im Übrigen hat sich die Datenschutzkommission in diesem Verfahren auf die Beurteilung der Rechtmäßigkeit der Abfrage des EKIS hinsichtlich des Beschwerdeführers zu beschränken.
Die Abfrage betreffend den Beschwerdeführer ergab als Gesamtergebnis der vier abgefragten EKIS-Dateien folgende Einträge: sechs Verurteilungen von österreichischen und deutschen Gerichten aus den Jahren 1993 bis 1999 wegen Übler Nachrede, Beleidigung, Vergehen gegen das Waffengesetz und Beihilfe zum Meineid. Zwei der österreichischen Verurteilungen sind nicht rechtskräftig, nachdem sie nach Aufhebung durch eine Nichtigkeitsbeschwerde bis dato nicht neu verhandelt wurden.
Beweiswürdigung: Die Anzahl, die Tatbestände und der Zeitraum der Verurteilungen beruhend auf dem Vorbringen des Beschwerdegegners im Schreiben vom 17. November 2005 und wurden vom Beschwerdeführer in dem ihm dazu gewährten Parteiengehör nicht bestritten. Dem Beschwerdeführer wird aber insoweit gefolgt, als zwei der von einem österreichischen Gericht ausgesprochenen Verurteilungen bisher nicht rechtskräftig sind.
VI. Rechtliche Schlussfolgerungen
1. Anzuwendende Rechtsvorschriften
Gemäß § 1 Abs. 1 Datenschutzgesetz 2000, BGBl I Nr 165/1999 idF BGBl I Nr 13/2005 (DSG 2000), hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
§ 4 Z 1, 4, 9 und 10 DSG 2000 lauten:
㤠4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen'' sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
...
4. „Auftraggeber“: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;
...
9. „Verarbeiten von Daten“: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (Z 12) von Daten;
10. „Ermitteln von Daten”: das Erheben von Daten in der Absicht, sie in einer Datenanwendung zu verwenden;
...“
§ 7 Abs. 1 und 3 DSG 2000 lauten:
„§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
...
(3) Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.“
Nach § 8 Abs. 1 Z 4 DSG 2000 sind gemäß § 1 Abs. 1 leg. cit. bestehende schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.
Schutzwürdige Geheimhaltungsinteressen sind nach § 8 Abs. 3 Z 1 DSG 2000 aus dem Grunde des Abs. § 8 Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist.
Gemäß § 8 Abs. 4 Z 2 DSG 2000 verstößt die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen nur dann nicht gegen schutzwürdige Geheimhaltungsinteressen des Betroffenen, wenn die Verwendung der Daten für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist.
Gemäß § 31 Abs. 2 DSG 2000 ist zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz die Datenschutzkommission dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist.
§ 14 Abs. 1 Passgesetz 1992, BGBl 1995/507 idF BGBl I 104/2002 (PassG), lautet unter dem Titel „Paßversagung“:
„§ 14. (1) Die Ausstellung, die Erweiterung des Geltungsbereiches und die Änderung eines Reisepasses sind zu versagen, wenn
Gemäß § 16 Abs. 1 Z 1 PassG obliegen die Ausstellung, die Verlängerung der Gültigkeitsdauer, die Erweiterung des Geltungsbereiches, die Änderung, die Entziehung und die Einschränkung von Reisepässen bei gewöhnlichen Reisepässen im Inland den Bezirksverwaltungsbehörden, im örtlichen Wirkungsbereich einer Bundespolizeidirektion dem Bürgermeister, im Ausland den Vertretungsbehörden.
2. Zur Passivlegitimation des Beschwerdegegners
Der Beschwerdegegner bestreitet (zumindest in eventu) seine passive Beschwerdelegitimation im gegenständlichen Verfahren mit dem Argument, die seinerseits im Verfahren zur Ausstellung eines Reisepasses durchgeführte Abfrage des EKIS bezog sich auf vom Bundesministerium für Inneres als Auftraggeber zur Verfügung gestellte Daten, womit auch die Beschwerde gegen dieses zu richten sei.
Es genügt, dem entgegen zu halten, dass auch das Ermitteln von Daten aus einer Datenanwendung gemäß den Definitionen in § 4 Z 9 und 10 DSG 2000 ein Verarbeiten von Daten ist, das zu einer Verletzung im Recht auf Geheimhaltung personenbezogener Daten nach § 1 Abs. 1 DSG 2000 führen kann, wenn es in der Absicht erfolgt, die Daten in einer Datenanwendung zu verwenden. Diese Datenanwendung ist im vorliegenden Fall der „EKIS- Button“ bzw. das EKIS-IDR-Abfragesystem. Dieses ermittelt automationsunterstützt für Zwecke der Prüfung von Passversagungsgründen Daten aus den festgestellten Teilen des EKIS und liefert dementsprechend ein Ergebnis. Auftraggeber dieses – von den abgefragten EKIS-Teilen zu unterscheidenden - Systems ist der Magistrat der Stadt Wien. Er wird daher zutreffend vom Beschwerdeführer als Beschwerdegegner bezeichnet.
3. Zur Rechtmäßigkeit der Abfrage mit dem „EKIS-Button“
Gemäß § 7 Abs. 1 DSG 2000 dürfen Daten nur verarbeitet (also ua. auch ermittelt) werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten des Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen. Darüber hinaus ist nach § 1 Abs. 2 sowie § 7 Abs. 3 DSG 2000 stets die Verhältnismäßigkeit des Eingriffs in das Recht auf Geheimhaltung zu wahren.
a. Gesetzliche Zuständigkeit
Da gemäß § 16 Abs. 1 Z 1 PassG 1992 die Ausstellung eines gewöhnlichen Reisepasses im örtlichen Wirkungsbereich einer Bundespolizeidirektion (hier Wien) dem Bürgermeister obliegt, war der Beschwerdegegner zur Vornahme aller durch das PassG aufgetragenen Verfahrensschritte bei der Ausstellung des vom Beschwerdeführer beantragten neuen Passes, insbesondere die Prüfung von Passversagungsgründen nach § 14 PassG, zuständig und verpflichtet.
b. Nichtverletzung von schutzwürdigen Geheimhaltungsinteressen und Verhältnismäßigkeit
Da § 14 PassG die Prüfung von Passversagungsgründen vorschreibt, ist die Abfrage des EKIS im festgestellten Umfang im Hinblick auf solche Gründe eine wesentliche Voraussetzung für die Wahrnehmung der dem Beschwerdegegner übertragenen gesetzlichen Aufgaben war. Daher liegt gemäß § 8 Abs. 1 Z 4 iVm § 8 Abs. 3 Z 1 DSG 2000 (für nicht-sensible Daten) bzw nach § 8 Abs. 4 Z 2 DSG 2000 (für strafrechtlich relevante Daten) keine Verletzung schutzwürdiger Geheimhaltungsinteressen des Beschwerdeführers vor.
Dass sich die abgefragten Daten letztlich als für das Ergebnis des Passausstellungsverfahrens nicht weiter relevant erwiesen haben, ist für die datenschutzrechtliche Beurteilung nicht von Bedeutung. Die Datenschutzkommission hat bereits wiederholt ausgesprochen, dass in einem Verwaltungsverfahren oft erst am Schluss des Verfahrens feststeht, welcher zuvor ermittelte Sachverhalt für das Verfahrensergebnis wirklich entscheidend ist (vgl. zB den Bescheid vom 5. April 2006, GZ K121.113/0003-DSK/2006, abrufbar im Rechtsinformationssystem des Bundes – RIS unter http:www.ris.bka.gv.at/dsk). Wenn es denkmöglich ist, dass die von einer in der Sache zuständigen Behörde ermittelten Daten nach Art und Inhalt für die Feststellung des relevanten Sachverhalts geeignet sind, ist die Verhältnismäßigkeit (§ 7 Abs. 3 DSG 2000) und damit die Zulässigkeit der Ermittlung aus datenschutzrechtlicher Sicht gegeben (vgl. zB die Bescheide vom 29. November 2005, GZ K121.046/0016-DSK/2005, ebenfalls im RIS abrufbar). Diese Denkmöglichkeit lag bei der beschwerdegegenständlichen Datenermittlung vor. Sie war somit auch verhältnismäßig, weshalb die Beschwerde spruchgemäß als unbegründet abzuweisen war.