K121.240/0002-DSK/2007 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. ZIMMER, Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 14. Februar 2007 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Sigismund I*** in Wien (Beschwerdeführer), vertreten durch Dr. Ingmar H***, Rechtsanwalt in Wien, vom 31. Juli 2006 gegen 1. die Bezirkshauptmannschaft Bruck/Leitha in Bruck an der Leitha (Erstbeschwerdegegnerin) und 2. die Sicherheitsdirektion Niederösterreich in St. Pölten (Zweitbeschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 3 Z 1, 26 und 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:
1. Der Beschwerde wird teilweise stattgegeben und festgestellt, dass die Zweitbeschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft über eigene Daten verletzt hat, dass die Auskunftsschreiben vom 19. Mai 2006 und vom 14. August 2006 unvollständig waren.
2. Die Beschwerde wird, soweit sie sich darauf bezieht, der Erstbeschwerdegegnerin mit Bescheid die Mitteilung gemäß § 26 Abs. 4 DSG 2000 aufzutragen sowie der Zweitbeschwerdegegnerin mit Bescheid die Mitteilung gemäß § 26 Abs. 4 DSG 2000 hinsichtlich der nicht-automationsunterstützt verarbeiteten Daten und hinsichtlich der automationsunterstützt außerhalb des EKIS und KPA verarbeiteten Daten sowie der erkennungsdienstlichen Daten aufzutragen (Antragspunkte 1.c und 2.c), als unzulässig zurückgewiesen.
3. Im Übrigen wird die Beschwerde abgewiesen.
B e g r ü n d u n g :
A. Vorbringen der Parteien
Der Beschwerdeführer behauptet, rechtsanwaltlich vertreten, eine Verletzung im Recht auf Auskunft dadurch, dass den Auskunftsersuchen vom 5. Mai 2006 von der Erstbeschwerdegegnerin gar nicht und von der Zweitbeschwerdegegnerin nur hinsichtlich der Datenanwendungen EKIS und KPA entsprochen worden sei. Damit würden die nichtautomationsunterstützt verarbeiteten und die außerhalb des EKIS oder KPA automationsunterstützt verarbeiteten sowie die erkennungsdienstlichen Daten unbegründet fehlen. Hinsichtlich der Erstbeschwerdegegnerin werde daher beantragt, die Gesetzmäßigkeit der Unterlassung der Mitteilung gemäß § 26 Abs. 4 DSG 2000 zu überprüfen (Antragspunkt 1.a), weiters festzustellen, dass der Beschwerdeführer durch die Nichtvornahme der Mitteilung gemäß § 26 Abs. 4 DSG 2000 in seinem Recht auf Erhalt einer solchen Mitteilung verletzt worden sei (Antragspunkt 1.b) und schließlich der Erstbeschwerdegegnerin mit Bescheid die Mitteilung gemäß § 26 Abs. 4 DSG 2000 aufzutragen (Antragspunkt 1.c). Hinsichtlich der Zweitbeschwerdegegnerin werde beantragt, die Gesetzmäßigkeit der Unterlassung der Mitteilung gemäß § 26 Abs. 4 DSG 2000 hinsichtlich der nicht-automationsunterstützt verarbeiteten Daten und hinsichtlich der automationsunterstützt außerhalb des EKIS und KPA verarbeiteten Daten sowie der erkennungsdienstlichen Daten zu überprüfen (Antragspunkt 2.a), weiters festzustellen, dass der Beschwerdeführer durch die Nichtvornahme der Mitteilung gemäß § 26 Abs. 4 DSG 2000 hinsichtlich der nichtautomationsunterstützt verarbeiteten Daten und hinsichtlich der automationsunterstützt außerhalb des EKIS und KPA verarbeiteten Daten sowie der erkennungsdienstlichen Daten in seinem Recht auf Erhalt einer solchen Mitteilung verletzt worden sei (Antragspunkt 2.b) und schließlich der Zweitbeschwerdegegnerin mit Bescheid die Mitteilung gemäß § 26 Abs. 4 DSG 2000 hinsichtlich der nicht-automationsunterstützt verarbeiteten Daten und hinsichtlich der automationsunterstützt außerhalb des EKIS und KPA verarbeiteten Daten sowie der erkennungsdienstlichen Daten aufzutragen (Antragspunkt 2.c). Über diese Anträge möge bescheidmäßig abgesprochen werden.
Zur Stellungnahme aufgefordert, übermittelte die Erstbeschwerdegegnerin der Datenschutzkommission das an den Beschwerdeführer ergangene Auskunftsschreiben vom 14. August 2006. Die Zweitbeschwerdegegnerin ergänzte am 14. August 2006 ihre Auskunft vom 19. Mai 2006, eine Kopie des entsprechenden Schreibens übermittelte sie am selben Tag der Datenschutzkommission.
Im dazu gewährten Parteiengehör bestreitet der Beschwerdeführer mit Schreiben vom 20. August 2006, dass die Erstbeschwerdegegnerin keine Daten über den Beschwerdeführer verarbeite, da dieser von Beamten der GPI W***, deren Handeln der Erstbeschwerdegegnerin zuzurechnen sei, festgenommen und einvernommen worden sei. Üblicherweise würden Protokollbucheintragungen gemacht sowie ein Papierakt angelegt. Die Auskunft der Zweitbeschwerdegegnerin beinhalte nur Daten aus dem AMKO, hingegen keine nichtautomationsunterstützt verarbeiteten Daten (inkl. solcher in Erhebungsakten), automationsunterstützt außerhalb des EKIS, der KPA und des AMKO verarbeiteten Daten, und über erkennungsdienstliche Daten. Die Beschwerde werde daher aufrechterhalten.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand hinsichtlich der Erstbeschwerdegegnerin (mittlerweile) die Richtigkeit der Negativauskunft vom 14. August 2006 und hinsichtlich der Zweitbeschwerdegegnerin die Vollständigkeit der Auskunft vom 19. Mai samt Ergänzung vom 14. August 2006 ist.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer stellte am 5. Mai 2006 schriftlich Auskunftsbegehren an die Erstbeschwerdegegnerin betreffend der automationsunterstützt und nicht-automationsunterstützt verarbeiteten Daten (gestützt auf § 26 DSG 2000 und §§ 55-63 SPG) und an die Zweitbeschwerdegegnerin betreffend die zu seiner Person verarbeiteten Daten „einschliesslich erkennungsdienstlicher Daten“ (gestützt auf § 26 DSG 2000 und §§ 55-63, 80 SPG) und begehrte in beiden Fällen Auskunft darüber, welche Daten wie verarbeitet werden, die Herkunft dieser Daten, wann und an wen im In- und Ausland diese Daten übermittelt wurden (Empfänger und Empfängerkreise), welchem Zweck die Verarbeitung(en) sowie die Übermittlungen dien(t)en, auf welcher Rechtsgrundlage die Verarbeitung(en) und die Übermittlungen erfolg(t)en und welche Dienstleister mit der Verarbeitung der den Beschwerdeführer betreffenden Daten beauftragt sind (Name und Adresse).
Am 19. Mai 2006 erteilte die Zweitbeschwerdegegnerin dem Beschwerdeführer folgende Auskunft:
„Aufgrund Ihres Antrages auf Auskunftserteilung aus den Datenanwendungen des EKIS und den Kriminalpolizeilichen Aktenindex vom 05.05.2006 ho. eingelangt am 15.05.2006, wird Ihnen gemäß § 26 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, i.V.m. § 62 Sicherheitspolizeigesetz mitgeteilt, dass keine Eintragungen vorhanden sind.“
Beweiswürdigung : Diese Feststellungen beruhen auf dem Beschwerdevorbringen und dem Inhalt der Beilagen zur Beschwerde.
Am 14. August 2006 erteilte die Erstbeschwerdegegnerin dem Beschwerdeführer die Auskunft, dass bei ihr weder automationsunterstützt noch nicht automationsunterstützt verarbeitete, seine Person betreffende Daten aufscheinen. Dass diese Auskunft unzutreffend wäre, kann nicht festgestellt werden.
Auch eine Verwendung von Daten oder auch nur die Existenz eines Papierakts auf der nunmehrigen Polizeiinspektion W*** kann nicht festgestellt werden.
Am selben Tag erteilte die Zweitbeschwerdegegnerin dem Beschwerdeführer „ergänzend zur Auskunft vom 19.05.2006“ folgende Auskunft:
„Nach langwierigen Ermittlungen konnte ermittelt werden, dass im so genannten AMKO des Landeskriminalamtes eine Eintragung, die ihre Person betrifft existiert. Langwierig deshalb, da es sich beim AMKO lediglich um eine Aktenverwaltungsdatei handelt, die sonst von keiner Organisationseinheit abgerufen werden kann.
Beim GPI W*** existieren keine Daten (weder elektronisch verarbeitete, noch Handakten), die Ihre Person betreffen, da die Amtshandlung damals von der Kriminalabteilung des LGK für NÖ (heute LKA für NÖ) übernommen wurde.
Ein Auszug aus dem AMKO wird diesem Schreiben beigelegt.“
Beweiswürdigung: Diese Feststellungen beruhen zunächst auf dem Inhalt der den jeweiligen Stellungnahmen an die Datenschutzkommission in Kopie angeschlossenen Schreiben der Erst- und Zweitbeschwerdegegnerin an den Beschwerdeführer. Dass die BH selbst keine Daten verarbeitet, hat der Beschwerdeführer nicht bestritten. Er behauptet lediglich eine Verarbeitung von Daten bzw. Papierakten zu seiner Person auf der GPI W*** (zur im Übrigen nicht gegebenen Zurechnung zur BH siehe, die rechtlichen Ausführungen unter D.2.), da er von Beamten dieser GPI verhaftet worden sei. Die Zweitbeschwerdegegnerin hat jedoch in ihrer Stellungnahme vom 14. August 2006 dafür eine vom Beschwerdeführer nicht substantiiert bestrittene schlüssige Erklärung gegeben: Die betreffende Amtshandlung (Festnahme und Einvernahme des Beschwerdeführers) ist nämlich gar nicht von Beamten des damaligen GPI W***, sondern von solchen der Kriminalabteilung des Landesgendarmeriekommandos für Niederösterreich (heute Landeskriminalamt für Niederösterreich) durchgeführt worden. Dass bei der GPI W*** keine Protokollbucheintragungen bzw. Papierakten vorliegen, erscheint daher entgegen der Meinung des Beschwerdeführers sehr wohl glaubwürdig.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß § 26 Abs. 1. DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
Gemäß Abs. 4 leg. cit. ist die Auskunft innerhalb von acht Wochen nach Einlangen des Begehrens zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.
Gemäß Abs. 5 leg. cit. ist in jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen: Es ist in allen Fällen, in welchen keine Auskunft erteilt wird also auch weil tatsächlich keine Daten verwendet werden , anstelle einer inhaltlichen Begründung der Hinweis zu geben, dass keine der Auskunftspflicht unterliegenden Daten über den Betroffenen verwendet werden.
§ 13 Abs. 2 des Sicherheitspolizeigesetzes idF BGBl I Nr. 151/2004 lautet:
„Der Bundesminister für Inneres, die Sicherheitsdirektionen, Bundespolizeidirektionen und Polizeikommanden sind ermächtigt, sich bei der Wahrnehmung gesetzlich übertragener Aufgaben für die Dokumentation von Amtshandlungen und die Verwaltung von Dienststücken der automationsunterstützten Datenverarbeitung zu bedienen. Zu diesen Zwecken dürfen sie Daten über natürliche und juristische Personen sowie Sachen verwenden, auf die sich der zu protokollierende Vorgang bezieht, wie insbesondere Datum, Zeit und Ort, Fahrzeugdaten, Betreff und Aktenzeichen samt Bearbeitungs- und Ablagevermerken sowie Namen, Rolle des Betroffenen, Geschlecht, frühere Namen, Aliasdaten, Staatsangehörigkeit, Geburtsdatum, Geburtsort, Wohnanschrift und andere zur Erreichbarkeit des Menschen dienende Daten. Soweit es erforderlich ist, dürfen auch sensible Daten (§ 4 Z 2 DSG 2000) sowie Daten im Sinne des § 8 Abs. 4 DSG 2000 verwendet werden. […]“
2. rechtliche Schlussfolgerungen
a. betreffend die Erstbeschwerdegegnerin (Antrag 1.b)
Mit Schreiben vom 14. August 2006 erteilte die Erstbeschwerdegegnerin dem Beschwerdeführer in Bezug auf sein Begehren vom 5. Mai 2006 (Negativ )Auskunft. Die vom Beschwerdeführer zunächst relevierte Verletzung der Verpflichtung gemäß § 26 Abs. 4 DSG 2000, innerhalb von acht Wochen auf das Auskunftsbegehren zu reagieren, ist damit gegenstandslos geworden. Der Beschwerdeführer hat den Beschwerdegegenstand dementsprechend auf die Richtigkeit der Auskunft geändert.
Dass die vom Beschwerdeführer behauptete Unrichtigkeit dieser Auskunft nicht vorliegt, ergibt sich jedoch zunächst schon aus dem festgestellten Sachverhalt. Weder unmittelbar bei der BH noch bei der GPI W*** konnte die Existenz von Daten des Beschwerdeführers – und sei es auch nur in Form von Papierakten – erwiesen werden.
Hinsichtlich der Papierakten ist darüber hinaus darauf zu verweisen, dass sich nach ständiger Rechtsprechung der Datenschutzkommission (vgl. für viele GZ K120.810/005-DSK/2002 vom 4. Juni 2002, GZ K120.871/004-DSK/2003 vom 14. November 2003, und GZ K121.017/0009-DSK/2005 vom 12. Juli 2005, alle abrufbar unter http://www.ris.bka.gv.at/dsk und nach Rechtsprechung des Verfassungs- wie des Verwaltungsgerichtshofes (siehe die Erkenntnisse des VfGH vom 15. Dezember 2005, Zl B 1590/03, und des VwGH vom 21. Oktober 2004, Zl. 2004/06/0086, und vom 13. Dezember 2004, Zl. 2004/06/0018) das Auskunftsrecht nicht auf Papierakten erstreckt, weil es sich bei letzteren weder um eine (automationsunterstützte) Datenanwendung noch um eine manuelle Datei handelt, und nur in derartiger Form verwendete Daten dem Auskunftsrecht nach § 1 Abs. 3 Z 1 iVm § 26 DSG 2000 unterliegen.
Hinsichtlich Protokollbucheintragungen und Steckzettel (oder vergleichbare automationsunterstützt geführte Systeme wie PAD) ist auf den von der Datenschutzkommission mehrfach betonten Dokumentationszweck dieser Systeme, die nunmehr § 13 Abs 2 SPG idF BGBl I Nr. 151/2004 unterliegen, hinzuweisen (vgl. zuletzt den Bescheid vom 9. Juni 2006, GZ K121.127/0009-DSK/2006). Daher sind auch insbesondere die Bestimmungen des 4. Teils des SPG über das Verwenden personenbezogener Daten im Rahmen der Sicherheitspolizei (§§ 51 bis 80), auf die der Beschwerdeführer sein Auskunftsbegehren auch stützt, im vorliegenden Fall nicht anzuwenden. Da in § 13 Abs. 2 SPG weiters die Bezirkshauptmannschaft als Auftraggeber nicht genannt ist, entfällt schon aus diesem Grund auch die Verpflichtung zur Auskunftserteilung nach § 26 DSG 2000 darüber.
b. betreffend die Zweitbeschwerdegegnerin (Antrag 2.b)
Mit Schreiben vom 14. August 2006 hat die Zweitbeschwerdegegnerin ihre am 19. Mai 2006 erteilte Auskunft ergänzt. In einer Gesamtschau beider Auskunftsschreiben hat der Beschwerdeführer Auskunft aus den Datenanwendungen EKIS (Elektronisches Kriminalpolizeiliches Informationssystem), dem KPA (Kriminalpolizeilicher Aktenindex; in Wahrheit nur ein Teil des EKIS) und dem AMKO (Automatisierte Kanzleiordnung; Aktenverwaltungsdatei des Landeskriminalamtes) erhalten. Sein Auskunftsbegehren war allerdings umfassend auf alle ihn betreffenden personenbezogenen Daten, insbesondere erkennungsdienstliche Daten, gerichtet. Mit den ihm nun vorliegenden Auskunftsumfang hat der Beschwerdeführer aber nicht die Möglichkeit, zu erkennen, ob diese ihm erteile Auskunft vollständig ist, dh ob über die beauskunfteten Datenanwendungen hinaus auch alle anderen Datenanwendungen der Zweitbeschwerdegegnerin, insbesondere solche, die zu erkennungsdienstlichen Zwecken geführt werden, durchsucht wurden. Dies wird in der Beschwerde zu Recht releviert. Wenn dies der Fall ist, hätte die Zweitbeschwerdegegnerin im Hinblick darauf, dass sie zur Verarbeitung erkennungsdienstlicher Daten nach den §§ 65 ff SPG abstrakt befugt ist, entsprechend § 26 Abs. 5 DSG 2000 ausdrücklich zu sagen gehabt, dass über die erteilten Auskünfte hinaus keine der Auskunftspflicht unterliegenden Daten verarbeitet werden. Wurden aber nicht alle Datenanwendungen durchsucht, so ist die Auskunft aus diesem Grund unvollständig.
Diese Rechtsverletzung war spruchgemäß festzustellen.
Keine Rechtsverletzung stellt es hingegen im Hinblick auf das bereits zur Erstbeschwerdegegnerin Ausgeführte dar, dass die Auskunft keine Angaben zu Papierakten enthält (gleichgültig ob solche überhaupt existieren). Insoweit war die Beschwerde auch hinsichtlich der Zweitbeschwerdegegnerin abzuweisen.
c. weitere Anträge
Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses Bundesgesetzes durch einen Auftraggeber des öffentlichen Bereichs festgestellt hat – wie dies im Gegenstande der Fall ist –, so hat dieser gemäß § 40 Abs. 4 DSG 2000 mit den ihm zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen.
Daraus ergibt sich, dass gegenüber Auftraggebern des öffentlichen Bereichs eine Rechtsverletzung lediglich festzustellen ist, wobei diese Feststellung eine unmittelbare gesetzliche Verpflichtung zur Herstellung des der Rechtanschauung der Datenschutzkommission entsprechenden Zustandes bewirkt (siehe dazu den Bescheid vom 22. April 2005, GZ K121.010/0004-DSK/2005, Rechtssatz 1; sowie den Bescheid vom 9. Juni 2006, GZ K121.127/0009-DSK/2006; beide veröffentlicht, http://www.ris.bka.gv.at/dsk/). Diese Ansicht der Datenschutzkommission wurde vom Verwaltungsgerichtshof in seinem jüngsten Erkenntnis vom 28. März 2006, Zl. 2004/06/0125-8 (abrufbar unter http://www.ris.bka.gv.at/dsk/) indirekt bestätigt.
Daher ist ein separates, auf dem Feststellungsbegehren aufbauendes Leistungsbegehren unzulässig.
Die Anträge, die Gesetzmäßigkeit der Unterlassung der Mitteilung gemäß § 26 Abs. 4 DSG 2000 zu überprüfen (1.a, hinsichtlich der Erstbeschwerdegegnerin) sowie die Gesetzmäßigkeit der Unterlassung der Mitteilung gemäß § 26 Abs. 4 DSG 2000 hinsichtlich der nicht-automationsunterstützt verarbeiteten Daten und hinsichtlich der automationsunterstützt außerhalb des EKIS und KPA verarbeiteten Daten sowie der erkennungsdienstlichen Daten zu überprüfen (2.a, hinsichtlich der Zweitbeschwerdegegnerin), wurden bereits faktisch durch das durchgeführte Ermittlungsverfahren und die Erlassung dieses Bescheids erledigt.
Da der Beschwerdeführer jedoch ausdrücklich beantragt hat, über alle „Anträge bescheidmäßig abzusprechen“, waren die Antragspunkte 1.c und 2.c als unzulässig zurückzuweisen.