K121.245/0009-DSK/2007 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. ZIMMER, Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ und Dr. STAUDIGL sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 21. März 2007 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Bernhard L*** in C*** (Beschwerdeführer), vom 17. August 2006 gegen die F***-Bank AG in Wien (Erstbeschwerdegegnerin) sowie gegen die Society for Worldwide Interbank Financial Telecommunication (SWIFT) SCRL in La Hulpe, Belgien, (Zweitbeschwerdegegnerin) wegen Verletzung im Recht auf Auskunft, wird gemäß § 1 Abs. 3 Z 1, § 3 Abs. 1 und 2, § 4 Z 4, § 26 Abs. 1 und 4 sowie § 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:

1. Das gegen SWIFT (Zweitbeschwerdegegnerin) gerichtete Beschwerdevorbringen wird zurückgewiesen.

2. Im Übrigen wird die Beschwerde abgewiesen.

B e g r ü n d u n g :

A. Vorbringen der Parteien

1. Der Beschwerdeführer behauptet eine Verletzung im Recht auf Auskunft dadurch, dass sein an die F***-Bank AG (im folgenden kurz F***) am 4. August 2006 gerichtetes Auskunftsbegehren, „ob und in welchem Ausmaß Transaktionsdaten meiner Auslandsüberweisungen über SWIFT an US-amerikanische Behörden weitergegeben wurden“, mit Mail der F*** vom 11. August 2006 abschlägig beantwortet wurde, indem die F*** angab, dass „auf Grund der laufenden Untersuchungen [...] SWIFT nicht berechtigt (sei) bekannt zu geben, in welche Daten Einsicht genommen wurde.“ „SWIFT informierte uns aber darüber, dass nur Einblick in jene Daten gewährt wird, bei denen der Verdacht auf einen terroristischen Hintergrund besteht. Sofern kein solcher Verdacht besteht, erhalten die amerikanischen Behörden keinen Zugriff auf SWIFT Daten.“

Mit Beschwerde an die Datenschutzkommission, eingelangt am 17. August 2006, beantragte der Beschwerdeführer „die Durchsetzung seines Auskunftsbegehrens, allenfalls auch im gerichtlichen Wege, sowohl gegenüber der F*** bzw. SWIFT“.

2. Von der Datenschutzkommission zur Stellungnahme aufgefordert, gab die Beschwerdegegnerin mit Schreiben vom 22. September 2006 an, die Society for Worldwide Interbank Financial Telecommunication SCRL (im folgenden kurz SWIFT) als Dienstleister für den Inlands- und Auslandszahlungsverkehr heranzuziehen, wobei in der vertraglichen Vereinbarung mit SWIFT ausdrücklich festgehalten sei, dass SWIFT berechtigt sei, „...to comply with a bona fide subpoena or other lawful process by a court or other competent authority“. Auf Daten der US-amerikanischen Niederlassung von SWIFT sei von der OFAC (US Department of Treasury´s Office of Foreign Assets Control) aufgrund einer subpoena gemäß Section 501.602 of Title 31 of the US Code of Federal Regulations zugegriffen worden. SWIFT habe angegeben, nach US-amerikanischem Recht von der OFAC während laufender Untersuchungen zur Verschwiegenheit verpflichtet worden zu sein. „Uns ist daher leider nicht bekannt, ob es zu einem Einblick in die Daten des Herrn L*** kam und ist uns auf Grund der laufenden Ermittlungen auch nicht möglich, unserem Kunden mitzuteilen, ob und in welchem Ausmaß Überweisungsdaten an das OFAC weitergegeben wurden“. Der Stellungnahme beigeschlossen waren die relevanten USamerikanischen Rechtsvorschriften und Ausführungen des Compliance Departments von SWIFT, wonach es für die OFAC unmöglich sei, solche Transaktionsdatensätze zu sehen, die keinen Hinweis auf mögliche terroristische Zusammenhänge enthalten.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich folgender Beschwerdegegenstand: Unrichtigkeit und Unvollständigkeit der Auskunftsbeantwortung durch den Beschwerdegegner vom 11. August 2006, in der die faktische Unmöglichkeit der Auskunftserteilung behauptet wird.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer ist Kunde der Erstbeschwerdegegnerin F*** und hat an diese am 4. August 2006 ein Auskunftsbegehren betreffend Einsicht in seine bei der Zweitbeschwerdegegnerin SWIFT vorhandenen Zahlungsverkehrsdaten durch das US Department of Treasury´s Office of Foreign Assets Control (OFAC) gestellt, dass die F*** umgehend dahingehend beantwortet hat, dass sie nicht wisse, ob die Daten des Beschwerdeführers vom (OFAC) bei SWIFT in den USA eingesehen worden seien.

SWIFT ist eine Genossenschaft mit Sitz in La Hulpe, Belgien. Eine österreichische Niederlassung existiert nicht. Das OFAC hat mehrfach auf Zahlungsverkehrsdaten europäischer Bankkunden in der US-Niederlassung von SWIFT zugegriffen mit dem Zweck der Terrorismusbekämpfung. Rechtsgrundlage dafür war eine von der genannten Behörde vorgewiesene administrative Zwangsverfügung („subpoena“) zur Gewährung des Zugriffs.

Die technische Durchführung des Zugriffs erfolgte in Form automationsunterstützter Durchsuchung eines Datenbestandes nach Datensätzen, die gewisse von der OFAC bestimmte Kriterien erfüllen. Datensätze, die diese Kriterien nicht erfüllen, kommen der OFAC nicht zur Kenntnis. Hinsichtlich der Trefferfälle hat SWIFT ausgeführt, dass „aufgrund der laufenden Untersuchung der OFAC keine Auskunft darüber erteilt werden darf, ob es zu einem Einblick in die Daten eines bestimmten Kunden kam“. Die Beschwerdegegnerin hat daher von SWIFT keine Information darüber bekommen, ob Daten des Beschwerdeführers im Rahmen der Untersuchungen des OFAC von diesem eingesehen wurden.

Auf das Auskunftsbegehren vom 4. August 2006 reagierte die F*** am 11. August 2006 mit einem E-mail an den Beschwerdeführer, in dem sie ihn über die rechtliche Konstruktion von SWIFT informierte und ihm weiters mitteilte, dass SWIFT in den USA ein Datenverarbeitungszentrum unterhalte, welches amerikanischem Recht unterliege. Die amerikanischen Behörden hätten im Rahmen der Terrorismusbekämpfung Einsichtnahme in SWIFT-Transaktionen verlangt. Nach amerikanischem Recht sei SWIFT zur Auskunftserteilung verpflichtet gewesen.

Auf Grund der laufenden Untersuchungen sei SWIFT nicht berechtigt, bekannt zu geben, in welche Daten Einsicht genommen wurde. SWIFT habe die Beschwerdegegnerin aber darüber informiert, dass Einblick nur in jene Daten gewährt werde, bei denen Verdacht auf einen terroristischen Hintergrund bestehe. Ansonsten würden die amerikanischen Behörden keinen Zugriff auf SWIFT-Daten erhalten.

Beweiswürdigung : Diese Feststellungen beruhen im Wesentlichen auf dem Beschwerdevorbringen, der - was den Sachverhalt betrifft - unwidersprochenen Stellungnahme der Beschwerdegegnerin samt dem Inhalt der Beilagen zur Stellungnahme, sowie Sachverhaltsfeststellungen in der dem Beschwerdeführer im Parteiengehör ebenfalls zugänglich gemachten Opinion 10/2006 der Working Party Art. 29 vom 22. November 2006 betreffend die Verarbeitung personenbezogener Daten durch SWIFT.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.

Gemäß § 3 Abs. 1 DSG 2000 sind die Bestimmungen dieses Bundesgesetzes auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist dieses Bundesgesetz auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers (§ 4 Z 4) geschieht. Abweichend von Abs. 1 ist nach Abs. 2 leg. cit. das Recht des Sitzstaates des Auftraggebers auf eine Datenverarbeitung im Inland anzuwenden, wenn ein Auftraggeber des privaten Bereichs (§ 5 Abs. 3) mit Sitz in einem anderen Mitgliedstaat der Europäischen Union personenbezogene Daten in Österreich zu einem Zweck verwendet, der keiner in Österreich gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist.

§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten.

Gemäß § 26 Abs. 1. DSG 2000 hat „der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. ...“

Gemäß Abs. 4 leg. cit. ist die Auskunft innerhalb von acht Wochen nach Einlangen des Begehrens zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.

Richtlinie 95/46/EG Erwägungsgrund 47: Wird eine Nachricht, die personenbezogene Daten enthält über Telekommunikationsdienste oder durch elektronische Post übermittelt, deren einziger Zweck darin besteht, Nachrichten dieser Art zu übermitteln, so gilt in der Regel die Person, von der die Nachricht stammt, und nicht die Person, die den Übermittlungsdienst anbietet, als Verantwortlicher für die Verarbeitung der in der Nachricht enthaltenen personenbezogenen Daten. Jedoch gelten die Personen, die diese Dienste anbieten, in der Regel als Verantwortliche für die Verarbeitung der personenbezogenen Daten, die zusätzlich für den Betrieb des Dienstes erforderlich sind.

2. rechtliche Schlussfolgerungen

a. internationale Zuständigkeit

SWIFT hat seinen Sitz in Belgien und verfügt über keine österreichische Niederlassung. Damit ist nach § 3 Abs. 1 und 2 DSG 2000 die Anwendung österreichischen Datenschutzrechts und damit auch die Zuständigkeit der Datenschutzkommission zur Entscheidung über einen gegen SWIFT gerichteten Anspruch ausgeschlossen.

Soweit sich die Beschwerde auch gegen SWIFT richtet, war sie – da ausdrücklich eine Durchsetzungshandlung von der österreichischen Datenschutzkommission begehrt wurde – mangels (internationaler) Zuständigkeit zurückzuweisen.

b. keine Auftraggebereigenschaft der Erstbeschwerdegegnerin [Anmerkung Bearbeiter: im Original (offenkundiges Redaktionsversehen) "Auftraggeberliegenschaft"]

Nach § 26 Abs. 1 DSG 2000 ist der Auftraggeber zur Auskunftserteilung verpflichtet. Auftraggeber ist nach § 4 Z 4 DSG 2000 jemand, der „die Entscheidung getroffen hat, Daten für einen bestimmten Zweck zu verarbeiten (Z 9)“, wobei auch der Transfer von Daten in ein Drittland ein „Verarbeitungs“- Schritt ist und daher Gegenstand einer „Entscheidung“ im Sinne der Z 4 sein kann. Der Begriff „Auftraggeber“ entspricht dem „für die Verarbeitung Verantwortlichen“ in Art. 2 lit. d DS-RL wobei „Verarbeiten“ im Sinn von Art. 2 lit. b DS-RL auch das Übermitteln im Sinn von § 4 Z 12 DSG 2000 mit einschließt.

In der dem Beschwerdeführer im Wege des Parteiengehörs zur Kenntnis gebrachten – und auch sonst öffentlich zugänglichen – Opinion 10/2006 der Gruppe nach Art. 29 der DS-RL vom 22. November 2006 betreffend die Verarbeitung personenbezogener Daten durch SWIFT, wird die Rechtsauffassung vertreten, dass zwar SWIFT und die Kreditinstitute gemeinsame datenschutzrechtliche Verantwortung tragen für die im Zahlungsverkehr verwendeten Daten der Bankkunden, dass aber die Hauptverantwortung für die Verwendung der Daten in den USA bei SWIFT liegt, da SWIFT diese Daten ohne Kenntnis der Kreditinstitute in die USA transferiert hat.

Weiters wird auf die Schlussfolgerung der belgischen Datenschutzbehörde Commission de la Protection de la Vie Privee (abrufbar unter http://www.privacycommission.be) verwiesen, die bezüglich der in ihrem Hoheitsgebiet niedergelassenen Genossenschaft zu einem ähnlichen Schluss kommt: SWIFT käme im Hinblick auf die Verarbeitung von personenbezogenen Daten für den Dienst SWIFTNet FIN Auftraggebereigenschaft zu. Die Situation sei insofern nicht mit dem Standardfall einer Auftraggeber-Dienstleister-Beziehung vergleichbar, als es sich bei SWIFT um ein internationales, genossenschaftlich organisiertes Netzwerk mit starkem zentralen Management handle, das mehreren tausend Finanzinstituten seinen Dienst anbiete. SWIFT arrogiere eindeutig eine Auftraggeberrolle, da die von SWIFT autonom getroffene Entscheidung, Daten in die USA zu transformieren, über den Rahmen der Verfügungsmöglichkeiten eines Dienstleisters im datenschutzrechtlichen Sinn hinausgeht. Auch den beteiligten Finanzinstituten kommt aber insoweit ebenfalls Auftraggebereigenschaft zu, als sie die Art und Weise der Durchführung der Zahlungsverkehrsaufträge ihrer Kunden bestimmen.

Beiden Bewertungen kann grundsätzlich gefolgt werden. Die Auftraggebereigenschaft ist nicht davon abhängig, ob eine Entscheidung, personenbezogene Daten zu verarbeiten, zulässigerweise getroffen wurden – die Eigenschaft, Auftraggeber (- und damit „Verantwortlicher“ -) zu sein, ist vielmehr die Folge eines faktischen Verhaltens, nämlich einer autonom getroffenen Entscheidung, bestimmte Verarbeitungsschritte zu setzen. Die Aussage, dass SWIFT hinsichtlich bestimmter Datenverarbeitungsschritte „Auftraggeber“ sei, ist somit vollständig unabhängig von der Frage zu sehen ob die Vornahme dieser Verarbeitungsschritte rechtmäßig war. Für eine Auskunftsbeschwerde genügt es auch festzustellen, wer als Auftraggeber und damit als „richtiger“ Adressat eines Auskunftsbegehrens in Frage kommt. Die Frage, ob die in der Auskunft zu benennenden Daten zulässigerweise verarbeitet wurden, wäre mit einer Löschungsbeschwerde zu stellen.

Um festzustellen, an welchen der beiden in Frage kommenden Auftraggeber das gegenständliche Auskunftsbegehren zu richten ist, müssen zunächst die einzelnen Datenverwendungsschritte dennoch beiden Auftraggebern konkret zugeordnet werden. Erwägungsgrund 47 der RL 95/46/EG liefert dafür wesentliche Anhaltspunkte.

Gemäß dem Erwägungsgrund 47 gilt für den Versand einer personenbezogenen Nachricht über Telekommunikationsdienste oder durch elektronische Post in der Regel jene Person, als Auftraggeber, von der die Nachricht stammt (und nicht die Person die den Übermittlungsdienst anbietet). Umgekehrt gilt der Anbieter des Übermittlungsdienstes in der Regel als Verantwortlicher für die Verarbeitung von Daten, „die zusätzlich für den Betrieb des Dienstes erforderlich sind“.

Die Zahlungsverkehrsnachrichten der Bankinstitute werden einem E-Mail-Dienst vergleichbar über ein von SWIFT betriebenes, sogenanntes Virtual Private Network transportiert (vgl. Auslandsüberweisungen von Banken unter Einschaltung von SWIFT, Stellungnahme des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein vom 23. August 2006; https:// www.datenschutzzentrum.de/wirtschaft/swift/060825swift.htm).

Soweit SWIFT im Rahmen der vertragsgemäßen Durchführung seiner Hauptleistungspflicht für seine Kunden Transportleistungen erbringt, werden demnach die beteiligten Finanzinstitute als Versender von Nachrichten, die Kundendaten enthalten, entsprechend dem zitierten Erwägungsgrund der DS-RL auch als datenschutzrechtliche Auftraggeber anzusehen sein.

Die Entscheidung von SWIFT, ein Rechenzentrum in den USA zu betreiben und dorthin die Datenbestände zum Zweck der Datensicherung (durch Spiegelung) zu übermitteln, kann als Verarbeitungsschritt im Sinn des zweiten Satzes des Erwägungsgrundes angesehen werden, nämlich zusätzlich Daten zu verarbeiten (diesfalls in die USA zu übermitteln), weil es SWIFT für Zwecke ihrer eigenständig entwickelten Datensicherheitsstruktur für nötig erachtete (und die beteiligten Finanzinstitute im übrigen von dieser Verarbeitung nicht informiert worden sind). Die Datenverwendung in den USA geht über die bloße Abwicklung der Überweisungsaufträge hinaus, da hierfür die Nachrichtenübermittlung zwischen den an der Transaktion beteiligten Bankinstituten ausreicht und eine Weiterleitung der Daten in die USA jedenfalls nicht erforderlich ist. Bezüglich der Übermittlung, Speicherung und allfälligen Weitergabe von Daten an Behörden in die bzw. in den USA kommt SWIFT deshalb Auftraggebereigenschaft im Sinn von Art 2 lit d der Richtlinie 95/46/EG zu.

Das Auskunftsersuchen über die Datenverwendung in den USA hätte daher richtigerweise an SWIFT gestellt werden müssen, da SWIFT für die Datenhaltung in den USA als für diese Verarbeitung Verantwortlicher bzw. in der Terminologie des DSG 2000 als Auftraggeber dieser Übermittlung zu betrachten ist.

Die Erstbeschwerdegegnerin F*** war nach § 26 Abs. 1 DSG 2000 hingegen mangels Auftraggebereigenschaft für die Datenverwendung in den USA nicht zur Auskunftserteilung verpflichtet, weshalb es rechtmäßig war, dass sie eine solche mit Schreiben vom 11. August 2006 abgelehnt hat.

c. Pflicht der Beschwerdegegnerin zur Erzwingung einer Auskunft von SWIFT

Der Beschwerdeführer hat in seinen Ausführungen auch die Auffassung vertreten, dass die Beschwerdegegnerin zum Zweck der Auskunftserteilung die Pflicht hätte, ihrerseits SWIFT - etwa im Klagswege - zur Auskunft zu verhalten, da SWIFT als Erfüllungsgehilfe der F*** anzusehen sei, weshalb es nur der F*** möglich sei, die Herausgabe der entsprechenden Informationen von SWIFT zu erzwingen. Dies setzt voraus, dass hinsichtlich der Datenanwendung in den USA die F*** Auftraggeber und SWIFT Dienstleister im datenschutzrechtlichen Sinn wäre, was jedoch in den Ausführungen unter Pkt b) ausführlich in Frage gestellt wurde.

Für die Beschreitung eines solchen Umwegs bei der Auskunftserlangung besteht angesichts der Rechtsdurchsetzungsmöglichkeiten des Beschwerdeführers auch kein Anlass: Ein Auskunftsbegehren wäre vielmehr direkt an SWIFT zu stellen, das eine Genossenschaft nach belgischem Recht ist und daher zur Gänze dem Gemeinschaftsrecht unterliegt, sodass dem Beschwerdeführer ein Auskunftsrecht nach belgischem Recht zusteht, das im Wesentlichen inhaltsgleich mit dem Auskunftsrecht österreichischer Prägung ist.

Es wäre dem Beschwerdeführer sogar – trotz der unter a) dargelegten fehlenden internationalen Zuständigkeit der Datenschutzkommission zur Entscheidung – möglich, eine Auskunftsbeschwerde gegen SWIFT in Belgien im Wege der österreichischen Datenschutzkommission – und daher in deutscher Sprache – einzubringen, da diese ein solches Begehren an die belgische Datenschutzbehörde weiterzuleiten hätte (vgl. Art. 28 Abs. 6 letzter Satz DS-RL: „Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaates um die Ausübung ihrer Befugnisse ersucht werden“.) Eine Weiterleitung erschiene allerdings erst nach einer (erfolglosen) Befassung von SWIFT mit einem Auskunftsbegehren sinnvoll, die im vorliegenden Fall offenbar noch nicht erfolgt ist.

d. Begrenzung des Gegenstands eines Auskunftsbeschwerdeverfahrens

Vollständigkeitshalber sei festgehalten, dass die Frage der Rechtmäßigkeit einer Datenverarbeitung nicht Gegenstand eines Auskunftsbeschwerdeverfahrens sein kann – dieses ist nur zur Erkundung von Fakten geeignet. Fragen der Zulässigkeit einer Datenanwendung könnten nicht durch Auskunftsbeschwerde geklärt werden, sondern müssten im Rahmen eines Löschungsbegehrens oder allenfalls durch Geltendmachung eines Unterlassungsanspruchs (vgl. § 32 Abs. 2 DSG 2000) releviert werden.

Es war daher spruchgemäß zu entscheiden.