K121.102/0012-DSK/2006 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. HUTTERER, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 9. August 2006 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde der Erika N*** (Beschwerdeführerin) aus Wien vom 11. Oktober 2005 gegen das Arbeitsmarktservice, Geschäftsstelle Wien X***gasse (Beschwerdegegner, im Folgenden auch kurz AMS X***gasse), wegen Verletzung in den Rechten auf Geheimhaltung schutzwürdiger personenbezogener Daten, auf Auskunft über eigene Daten sowie auf Löschung und Richtigstellung eigener Daten wird gemäß § 1 Abs.1 und 3, § 4 Z 2, 5, 11 und 12, § 6 Abs. 1 Z 3, § 7, § 26 Abs.1 und 4 sowie 27 Abs.1 und 4 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr 165/1999 idgF wie folgt entschieden:
1.Der Beschwerde wird teilweise stattgegeben und festgestellt, dass der Beschwerdegegner als datenschutzrechtlicher Auftraggeber (DVR: 00***65) die Beschwerdeführerin dadurch, dass er ihr Auskunftsbegehren vom 16. Juni 2005 nicht beantwortete, in ihrem Recht auf Auskunft über eigene Daten verletzt hat.
2.Im Übrigen wird die Beschwerde abgewiesen.
B e g r ü n d u n g:
A) Vorbringen der Beteiligten
Mit Schreiben vom 11. Oktober 2005, eingegangen am 12. Oktober 2005, wandte sich die Beschwerdeführerin unter Vorlage mehrerer Urkundenkopien an die Datenschutzkommission und brachte vor, durch den Beschwerdegegner im Recht auf Geheimhaltung durch Übermittlung schutzwürdiger (sensibler) Daten, im Recht auf Auskunft über eigene Daten sowie im Recht auf Löschung und Richtigstellung von Daten verletzt worden zu sein. Im Zuge ihrer „Betreuungsübergabe“ von der AMS Geschäftsstelle Wien X***gasse an die „A*** Promotion für den Arbeitsmarkt Ges.m.b.H.“ seien unrechtmäßig sensible Daten, nämlich eine – noch dazu falsch wiedergegebene – psychiatrische Diagnose übermittelt worden, weiters seien Daten über ihren sozialversicherungsrechtlichen Beschäftigungsverlauf (Berufstätigkeiten) und durchgeführte Fortbildungsmaßnahmen falsch - nämlich unvollständig - erfasst und übermittelt worden. Am 16. Juni 2005 habe sie wegen dieser Mängel in der Datenverwendung ein Auskunftsbegehren an den Beschwerdegegner gerichtet, das nicht beantwortet worden sei. Weiters verlange sie die Löschung der gespeicherten medizinischen Diagnose beim Beschwerdegegner sowie die Richtigstellung der Daten betreffend ihre berufliche Laufbahn.
Der Beschwerdegegner, dessen Bundesgeschäftsstelle mit Erledigung der Datenschutzkommission vom 14. Oktober 2005, GZ: K121.102/0002-DSK/2005, zur Stellungnahme aufgefordert wurde, teilte zunächst – verspätet – mit, man werde direkt mit der Beschwerdeführerin in Kontakt treten um „im Rahmen eines persönlichen Gesprächs allenfalls bestehende Missverständnisse bzw. Unklarheiten zu beseitigen“ (Schreiben der AMS Bundesgeschäftsstelle vom 9. November 2005, Zl. BGS/SfA/0***6/9**8-2005, der Datenschutzkommission zugestellt am 30. November 2005), und ersuchte unter einem für eine inhaltliche Stellungnahme um Fristverlängerung bis zum 20. Dezember 2005. Diese wurde mit Erledigung der Datenschutzkommission vom 1. Dezember 2005, GZ: K121.102/0004- DSK/2005, gewährt. Diese Frist verstrich ungenützt. Am 2. März 2006 wurden sowohl die AMS Bundesgeschäftsstelle als auch die AMS Geschäftsstelle Wien X***gasse unter Setzung einer letzten Nachfrist von einer Woche nochmals zur Stellungnahme aufgefordert. Erst am 28. März 2006 langte eine Stellungnahme des AMS ein mit der Behauptung, diese sei bereits am 3. Jänner 2006 an die DSK abgeschickt worden; die am 2. März 2006 erfolgte Urgenz seitens der Datenschutzkommission habe durch ein Missverständnis nicht zu einer sofortigen nochmaligen Zusendung der Stellungnahme an die DSK geführt. In der Sache selbst wird in dieser Stellungnahme ausgeführt, dass „die Diagnosedaten der Pensionsversicherungsanstalt als vermittlungs- und betreuungsrelevante Informationen angeführt wurden“. Dass die Bezeichnung der Diagnose fehlerhaft gewesen sei, werde bedauert. Aus Sicht des Arbeitsmarktservice sei die Ermittlung und Verarbeitung dieser personenbezogenen „Gesundheitsdaten“ jedenfalls im Sinne des § 25 AMSG erfolgt. Was die Auskunftsbeschwerde betrifft, führte der Beschwerdegegner aus, dass die Beschwerdeführerin zu einer persönlichen Vorsprache am 23.6.2005 eingeladen worden sei, diesen Termin aber nicht eingehalten habe; „bei einer nachfolgenden Vorsprache am 18.7. 2006“ (!) „wurde Fr. N*** dann nochmals ein Schriftsatz zur Beantragung einer Datenschutzauskunft ausgefolgt, der laut Aktenlage bisher jedoch ebenfalls nicht eingebracht wurde.“
Im dazu gewährten Parteiengehör hat die Beschwerdeführerin die sachliche Notwendigkeit der Übermittlung der Diagnosedaten an die Firma A*** bestritten und weiters angegeben, bei der Vorsprache am 18.7.2005 an Ort und Stelle ein Formular mit einem Ersuchen um Datenschutzauskunft unterschrieben und der Bearbeiterin des AMS übergeben zu haben, freilich ohne dass ihr eine Kopie hievon ausgefolgt worden wäre.
B) Sachverhaltsfeststellung samt Beweiswürdigung
Die Beschwerdeführerin bezog seit 1. Juli 1998 – mit Unterbrechungen durch 6 Beschäftigungsverhältnisse, von denen keines länger als vier Monate, das kürzeste nur einen Tag dauerte – Leistungen der gesetzlichen Kranken- und Arbeitslosenversicherung (Krankengeld, Arbeitslosengeld und Notstandshilfe/Überbrückungshilfe) sowie Beihilfen nach dem AMFG. Seit 1. Juni 2005 war die Beschwerdeführerin nach einem mehr als einmonatigen Krankenstand bei der Geschäftsstelle Wien X***gasse des AMS als arbeitssuchend gemeldet und bezog Notstandshilfe/Überbrückungshilfe.
Am 24. März 2004 war ihr Antrag auf Gewährung einer Berufsunfähigkeitspension von der Pensionsversicherungsanstalt (PVA), Landesstelle Wien, mit Bescheid abgewiesen worden, da keine Berufsunfähigkeit vorliege. In der Begründung führt die PVA aus, das Ermittlungsverfahren habe auf Grund der vorliegenden medizinischen Gutachten „zusammenfassend folgende maßgebliche Diagnose (ergeben):
bipolar affektive Störung gegenwärtig remittiert
Maßnahmen der Rehabilitation kommen in Ihrem Fall nicht in Betracht, da Berufsunfähigkeit derzeit nicht vorliegt und (voraussichtlich) auch in absehbarer Zeit nicht eintreten wird.“
Dieser Bescheid wurde von der Beschwerdeführerin dem Beschwerdegegner für Zwecke der Beurteilung von Ansprüchen nach verschiedenen, vom AMS zu vollziehenden sozialrechtlichen Vorschriften vorgelegt.
Beweiswürdigung : Diese Sachverhaltsfeststellungen stützen sich auf den Inhalt des zitierten Bescheids (Bescheid der Pensionsversicherungsanstalt vom 24. März 2004, Zl. WLKQ/5**9 12***9 in Kopie der Datenschutzkommission vorliegend), den von der Beschwerdeführerin vorgelegten Versicherungsdatenauszug der österreichischen Sozialversicherung vom 8. August 2005 und Zeugnis des L***- Instituts betreffend als Schulungsmaßnahme des AMS Wien von der Beschwerdeführerin absolvierten Sprachkurs vom 18. März 2005 sowie das glaubwürdige Vorbringen der Beschwerdeführerin. Entgegenstehende Vorbringen oder Beweisergebnisse liegen nicht vor.
Der Beschwerdegegner stufte die Beschwerdeführerin als Arbeitslose mit hohem Unterstützungsbedarf in Folge einer psychischen Erkrankung ein und übergab ihre Betreuung zwecks beruflicher Reintegration und Qualifikation Anfang Juni 2005 an eine externe Betreuungseinrichtung, die „A*** Promotion für den Arbeitsmarkt Ges.m.b.H.“ (im Folgenden kurz: A***). Zu diesem Zweck wurde der mit Hilfe automationsunterstützter Datenverarbeitung erstellte Betreuungsplan (§ 38c AMSG) für die Beschwerdeführerin erstellt, der in einem als „Übergabebericht“ betitelten Teil unter anderem folgende Angaben enthält:
Beweiswürdigung : Diese Feststellungen stützen sich auf die zitierte Urkunde (“Übergabebericht AMS an REHA-BBE“ (Ausdruck), undatiert, samt Kenntnisnahmevermerk der Beschwerdeführerin vom 11. Juni 2005 und Betreuungsplan) und das eigene Vorbringen der Beschwerdeführerin. Entgegenstehende Vorbringen oder Beweisergebnisse liegen nicht vor.
Am 16. Juni 2005 richtete die Beschwerdeführerin aus Anlass dieser Datenweitergabe, gestützt auf § 26 DSG 2000, ein schriftliches Begehren um Auskunft über alle beim AMS X***gasse „gesammelten und über EDV verarbeiteten“, die Beschwerdeführerin betreffenden Daten. Das Auskunftsbegehren wurde laut vorliegendem Aufgabeschein der Post am selben Tag beim Postamt/der Postfiliale 1**6 Wien als eingeschriebene Briefsendung aufgegeben und ist auch beim Beschwerdegegner eingelangt.
Dieses Auskunftsbegehren blieb unbeantwortet.
Ein Löschungs- oder Richtstellungsbegehren wurde nicht gestellt. Erst in der Beschwerde an die Datenschutzkommission begehrt die Beschwerdeführerin die Löschung sensibler Daten sowie die Richtigstellung der Daten zu den von ihr ausgeübten Beschäftigungen.
Beweiswürdigung : Diese Feststellungen stützen sich auf die zitierte Urkunde (Auskunftsbegehren samt Aufgabeschein) und das eigene, glaubwürdige Vorbringen der Beschwerdeführerin. Entgegenstehende Vorbringen oder Beweisergebnisse liegen nicht vor.
C) rechtliche Beurteilung
1. anzuwendende Rechtsvorschriften :
Die Verfassungsbestimmung § 1 Abs.1 bis 4 DSG 2000 lautet unter der Überschrift „Grundrecht auf Datenschutz“:
„ § 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.“
§ 4 DSG 2000 lautet hinsichtlich der hier relevanten Ziffern:
„2. ‚sensible Daten’ (‚besonders schutzwürdige Daten’):
Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
[...]
5. ‚Dienstleister’: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zu Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Z 8);“
[...]
„11. ‚Überlassen’: die Weitergabe von Daten vom Auftraggeber an einen Dienstleister;
12. ‚Übermitteln’: die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister....“
§ 7 Abs.1 und 2 DSG 2000 lautet unter der Überschrift „Zulässigkeit der Verwendung von Daten“:
„ § 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
(2) Daten dürfen nur übermittelt werden, wenn
§ 9 DSG 2000 lautet unter der Überschrift „Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten“:
„ § 9. Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung sensibler Daten ausschließlich dann nicht verletzt, wenn
§ 26 Abs.1 und 4 DSG 2000 lautet unter der Überschrift „Auskunftsrecht“:
„ § 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
[...]
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“
§ 27 Abs.1 und 4 DSG 2000 lautet unter der Überschrift „Recht auf Richtigstellung oder Löschung“:
„ § 27. (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.“
§ 25 Abs.1 bis 3 Arbeitsmarktservicegesetz (AMSG), BGBl. Nr.313/1994 idF BGBl. I Nr. 148/1998, lautet unter der Überschrift „Datenverarbeitung“:
„ § 25. (1) Das Arbeitsmarktservice und das Bundesministerium für Arbeit, Gesundheit und Soziales sind zur Ermittlung und Verarbeitung von personenbezogenen Daten im Sinne des Datenschutzgesetzes, BGBl. Nr. 565/1978, das sind Namen; Geburtsdatum; Geschlecht; Adresse (Wohnsitz);
Staatsangehörigkeit; Familienstand; Sorgepflichten;
Rechtsgrundlage für den Aufenthalt in Österreich;
Versicherungsnummer; sonstige in den persönlichen Umständen gelegene Gründe, die für die Erfüllung von Dienstleistungen und den zweckmäßigen Beihilfeneinsatz (§ 31 Abs. 3) notwendig sind; Dienstgeberkontonummer; auf das Arbeits- und Beschäftigungsverhältnis bezogene Daten; auf Ausbildung und Ausbildungswünsche bezogene Daten; vermittlungsrelevante Betriebsdaten und sonstige vermittlungsrelevante Daten, insoweit ermächtigt, als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung sind.
(2) Die vom Arbeitsmarktservice oder vom Bundesministerium für Arbeit, Gesundheit und Soziales ermittelten und verarbeiteten Daten dürfen an Behörden, Gerichte, Träger der Sozialversicherung, die Bundesrechenzentrum GmbH, die gesetzlichen Interessenvertretungen der Arbeitgeber und der Arbeitnehmer und das Statistische Zentralamt, soweit sie für die Vollziehung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden, und an Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen sind, soweit die Daten unabdingbare Voraussetzung für die Erfüllung der übertragenen Aufgaben sind, im Wege der automationsunterstützten Datenverarbeitung übermittelt werden.
(3) Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen sind, dürfen die von ihnen ermittelten und verarbeiteten Daten im Wege der automationsunterstützten Datenverarbeitung an das Arbeitsmarktservice und an das Bundesministerium für Arbeit, Gesundheit und Soziales übermitteln, wobei gilt, daß die übermittelten Daten in unmittelbarem Zusammenhang mit der übertragenen Aufgabe (§ 30 Abs. 3) stehen müssen.“
2. Anwendung auf den Beschwerdefall :
a) Verletzung im Recht auf Auskunft :
b) Zulässigkeit der Weitergabe sensibler Daten (psychiatrische Diagnose) durch das AMS :
Der Beschwerdegegner, eine regionale Geschäftsstelle des AMS, vertritt die Rechtsauffassung, dass die Weitergabe der aus dem Bescheid der Pensionsversicherungsanstalt hervorgehenden Diagnose an die vom AMS herangezogene private Betreuungseinrichtung durch § 25 AMSG gedeckt sei.
aa) Voraussetzung für die Zulässigkeit jeder Weitergabe von personenbezogenen Daten ist, dass die Daten von demjenigen, der sie weitergeben will, selbst zulässigerweise verarbeitet werden (vgl. § 7 DSG 2000). § 25 Abs. 1 AMSG bestimmt, dass das Arbeitsmarktservice bestimmte Daten ermitteln und verarbeiten darf, insoweit diese zur Erfüllung seiner gesetzlichen Aufgaben eine wesentliche Voraussetzung sind. Zu diesen Datenarten gehören u.a. „sonstige in den persönlichen Umständen gelegene Gründe, die für die Erfüllung von Dienstleistungen (des AMS) notwendig sind“ sowie „sonstige vermittlungsrelevante Daten“.
Die Verwendung von Gesundheitsdaten ist, da es sich hiebei um besonders schutzwürdige (sensible) Daten im Sinne des § 4 Z 2 DSG 2000 handelt, nur in den Fällen des § 9 DSG 2000 zulässig. § 9 Z 3 DSG 2000 erlaubt die Verwendung sensibler Daten, wenn sich die Ermächtigung oder Verpflichtung hiezu aus gesetzlichen Vorschriften ergibt, die der Wahrung eines wichtigen öffentlichen Interesses dienen.
§ 25 Abs. 1 und 2 AMSG sind als gesetzliche Regelungen im Sinne des § 9 Z 3 DSG 2000 anzusehen: An der Wiedereingliederung arbeitsloser Menschen in den Arbeitsprozess besteht ein wichtiges öffentliches Interesse – dies kommt u.a. auch in der gesetzlichen Schaffung eines öffentlich-rechtlichen Arbeitsmarktservice zum Ausdruck. Zur Umsetzung dieses wichtigen öffentlichen Interesses erlaubt § 25 Abs. 1 AMSG die Verwendung von „vermittlungsrelevanten Daten“. Da die Fähigkeit, bestimmte Tätigkeiten im Rahmen eines Arbeitsverhältnisses auszuüben, durch gesundheitliche Faktoren wesentlich bestimmt - insbesondere beeinträchtigt - sein kann, können auch Gesundheitsdaten im konkreten Einzelfall „vermittlungsrelevant“ sein. Die Zulässigkeit der Verwendung von Gesundheitsdaten durch das AMS ist daher in diesem Umfang auch im Lichte des § 9 DSG 2000 gegeben, der die gemeinschaftsrechtlichen Vorgaben für die Verwendung von sensiblen Daten ins nationale Recht transponiert.
bb) Gemäß § 25 Abs. 2 AMSG dürfen solche Daten u.a. an „Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen sind, übermittelt werden, soweit die Daten unabdingbare Voraussetzung für die Erfüllung der übertragenen Aufgaben sind“. Diese Bestimmung wurde durch die Nov. BGBl I 1998/148 in das AMSG eingefügt. Aus datenschutzrechtlicher Sicht ist nun festzuhalten, dass das in § 25 Abs. 2 AMSG verwendete Wort „Übermittlung“ im Hinblick auf den Datenverkehr zwischen dem AMS und „Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen werden“ seit dem Inkrafttreten des DSG 2000 am 1. Jänner 2000 nicht mehr mit der datenschutzrechtlichen Terminologie übereinstimmt: Als „Übermittlung“ ist - und war auch vor dem DSG 2000 - nur der Datenfluss zwischen zwei verschiedenen Auftraggebern zu verstehen, d.h. zwischen zwei Rechtsträgern, die bestimmte Daten jeweils für ihren eigenen Rechtszweck verwenden. Der Datenverkehr zwischen Auftraggeber und Dienstleister wird - und wurde auch vor dem DSG 2000 - als „Überlassung“ bezeichnet. Allerdings wurde der Dienstleisterbegriff durch das DSG 2000 verändert: Während nach alter Rechtslage nur die Erbringung von EDV-Dienstleistungen als datenschutzrechtliche „Dienstleistung“ definiert war (vgl. § 3 DSG), weshalb die beauftragten Einrichtungen nicht als „Dienstleister“ verstanden werden konnten, ist nach der seit Inkrafttreten des DSG 2000 geltenden Rechtslage „Dienstleister“ gemäß § 4 Z 5 DSG 2000 jede natürliche oder juristische Person, „wenn sie Daten, die ihr zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwendet.“ Genau diese Relation besteht in datenschutzrechtlicher Hinsicht zwischen dem AMS als Auftraggeber und den „Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen werden“: Den Letzteren werden Daten der zu vermittelnden Personen übergeben, damit sie die mit dem AMS vereinbarte Vermittlungsleistung erbringen - darüber hinaus ist ihnen jede Verwendung der übergebenen Daten untersagt. Die Rechtsgrundlage für die Zulässigkeit der Verwendung der Daten der Arbeitssuchenden leiten die beauftragten Einrichtungen aus den Rechtsgrundlagen des AMS ab, wie dies für einen Dienstleister typisch ist.
Wenn nun aber nach dem DSG 2000, das als spätere Norm dem AMSG materiell derogiert, eine vom AMS beauftragte Einrichtung als datenschutzrechtlicher „Dienstleister“ des AMS zu sehen ist, ist eine Datenweitergabe vom AMS an die beauftragte Einrichtung nach geltender Rechtslage als „Überlassung“ zu qualifizieren, für die – außer dem Erfordernis der Verlässlichkeit des Dienstleisters - keine besonderen rechtlichen Bedingungen bestehen. Die Überlassung von Daten an einen Dienstleister ist unter den Voraussetzungen der §§ 10 und 11 DSG 2000 zulässig. Auch die im Text des § 25 Abs. 2 AMSG enthaltene Einschränkung, dass Daten an die beauftragten Einrichtungen nur „übermittelt“ werden dürfen, „soweit die Daten unabdingbare Voraussetzung für die Erfüllung der übertragenen Aufgaben sind“, entspricht der durch das DSG 2000 geschaffenen späteren Rechtslage, gemäß § 6 Abs. 1 DSG 2000, der die Grundsätze der Verwendung personenbezogener Daten festlegt, dürfen immer nur solche Daten verwendet werden, die für den Zweck der Datenanwendung wesentlich sind und über diesen Zweck nicht hinausgehen (§ 6 Abs. 1 Z 3).
cc) Im vorliegenden Fall wurden Gesundheitsdaten (-eine Diagnose-) zunächst beim AMS im Zuge der Betreuung der Beschwerdeführerin gespeichert. Die Beschwerdeführerin hat die Diagnose dem AMS selbst mitgeteilt, indem sie einen Bescheid der Pensionsversicherungsanstalt, in dem diese Diagnose enthalten war, dem AMS vorgelegt hat. Die der Pensionsversicherungsanstalt vorliegenden ärztlichen Gutachten hatten das Vorhandensein einer psychischen Störung („Bipolare affektive Störung“) festgestellt, die allerdings - da zum Zeitpunkt der Erstellung der ärztlichen Gutachten im Stadium der Remission befindlich - nicht als ausreichend für die vorzeitige Pensionierung betrachtet wurde. Da eine Verhaltensstörung aus dem Kreis der manisch-depressiven Erkrankungen geeignet ist, das Verhalten und die Belastbarkeit des Betroffenen in einem Arbeitsverhältnis zu beeinflussen, ist dieses Datum vermittlungsrelevant. Die Zulässigkeit der Speicherung des Diagnosedatums durch das AMS war daher gemäß § 9 Z 3 DSG 2000 iVm § 25 Abs. 1 AMSG gegeben.
Da die Beschwerdeführerin in dem von ihr vorgelegten Bescheid der Pensionsversicherungsanstalt als arbeitsfähig bezeichnet wurde, hatte das AMS in Wahrnehmung seiner gesetzlichen Aufgaben die Vermittlung der Beschwerdeführerin zum Zweck ihrer Beschäftigung zu betreiben. Die Beschwerdeführerin wurde zu diesem Zweck der Firma A***, einer Einrichtung im Sinne des § 25 Abs. 2 AMSG, zur Betreuung übergeben. Im Sinne der obigen Ausführungen unter bb) ist die Firma A*** datenschutzrechtlicher Dienstleister des AMS und verwendet die Daten der zu Betreuenden aufgrund „Überlassung“ im Sinne des § 4 Z 11 DSG 2000, mit welchem Terminus die „Weitergabe von Daten vom Auftraggeber an einen Dienstleister“ bezeichnet wird. Wie unter bb) ausgeführt, ist die Zulässigkeit der Weitergabe von Daten vom Auftraggeber an seinen Dienstleister an keine besonderen rechtlichen Voraussetzungen geknüpft, sondern im Gegenteil grundsätzlich zulässig. Daraus folgt, dass durch die Weitergabe von Daten vom Auftraggeber an den Dienstleister das Grundrecht auf Datenschutz nicht verletzt werden kann, da der Dienstleister datenschutzrechtlich als alter ego des Auftraggebers zu sehen ist.
Das Relevanzprinzip des § 6 Abs. 1 Z 3 DSG 2000 kann hier nur insofern ein Rolle spielen, als Daten, die der Auftraggeber zulässigerweise verarbeitet, dann nicht zur Gänze dem Dienstleister zur Verfügung gestellt werden dürfen, wenn dieser nur eine Teilleistung erbringt, für die nur ein Teil der beim Auftraggeber vorhandenen Daten relevant sind. Im vorliegenden Fall wurde die gesamte Betreuung zwecks Vermittlung der Beschwerdeführerin am Arbeitsmarkt vom AMS an die A*** übergeben. Diesem Dienstleister durften daher auch alle Daten zur Verfügung gestellt werden, die das AMS selbst als vermittlungsrelevant verarbeiten durfte. Aus diesem Grund kann in der Weitergabe einer für die Vermittlungsfähigkeit der Beschwerdeführerin relevanten Diagnose und weiterer ihre Beschäftigungszeiten betreffende und laut der Beschwerdeführerin nicht vollständiger Daten weiterer an die beauftragte Einrichtung A*** keine Verletzung des Rechtes der Beschwerdeführerin auf Geheimhaltung erblickt werden. Die Beschwerde war daher hinsichtlich der gerügten „Übermittlung“ abzuweisen (Spruchpunkt 2).
c) Zur Verletzung im Recht auf Richtigstellung bzw. Löschung