K121.259/0013-DSK/2007 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. STAUDIGL, Dr. KOTSCHY, Dr. BLAHA, Dr. ROSENMAYR-KLEMENZ und Mag. ZIMMER sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 23. Mai 2007 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Thomas U in Ä (Beschwerdeführer), vertreten durch den Verein S, vom 20. Oktober 2006 gegen das Bundesministerium für Finanzen in Wien (Beschwerdegegner) wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 5, 26 Abs. 1, 31 Abs. 1 und 40 Abs. 4 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:
1. Die Beschwerde wird, soweit darin über die Feststellung einer Verletzung im Recht auf Auskunft hinaus die Herstellung eines gesetzmäßigen Zustandes (und damit die Vornahme von faktischen Handlungen durch die Datenschutzkommission) beantragt wird (Antragspunkt 2.), sowie hinsichtlich der begehrten Feststellung einer Rechtsverletzung alleine durch die verspätete Auskunftserteilung im Hinblick auf 57 Blatt SAP-Screenshots zurückgewiesen.
2. Der Beschwerde wird teilweise Folge gegeben und festgestellt, dass der Beschwerdegegner den Beschwerdeführer
im Recht auf Auskunft verletzt hat.
3. Ansonsten wird die Beschwerde abgewiesen.
B e g r ü n d u n g:
A. Verfahrensgang und Vorbringen der Parteien
1. Der Beschwerdeführer hatte zunächst am 22. Juni 2006 mit der Begründung Beschwerde erhoben, der Beschwerdegegner habe auf sein Auskunftsbegehren vom 7. April 2006 nicht reagiert. Nachdem der Beschwerdegegner am 18. Juli 2006 doch in Form einer Aufforderung zur Mitwirkung an den Beschwerdeführer reagiert und ihm am 20. September 2006 Auskunft erteilt hatte, behauptete der Beschwerdeführer mit der Stellungnahme an die Datenschutzkommission vom 20. Oktober 2006 eine Unvollständigkeit bzw. Unrichtigkeit dieser Auskunft. Diese Änderung des Verfahrensgegenstandes hat die Datenschutzkommission mit Verfügung vom 17. November 2006 als wesentlich im Sinn von § 13 Abs. 8 AVG angesehen und daher als konkludente Zurückziehung der ursprünglichen Beschwerde unter gleichzeitiger Einbringung einer neuen gedeutet. Daher wurde das ursprüngliche Beschwerdeverfahren (Grundzahl K121.227) eingestellt und das nunmehrige neu eröffnet.
2. Konkret erachtete sich der Beschwerdeführer in der neuen Beschwerde im Recht auf Auskunft dadurch verletzt, dass im Auskunftsschreiben vom 20. September 2006
Beantragt wird vom Beschwerdeführer, die Datenschutzkommission möge endlich das gesetzmäßig zustehende Auskunftsrecht im vollen Umfang durchsetzen (Antragspkt. 1.) und weiters hinsichtlich der drei letzten Beschwerdepunkte (-Infotyp 0134…) sowie des Beschwerdepunktes betreffend die unrichtige Rollenzuordnung/Berechtigungsverwaltung den gesetzmäßigen Zustand soweit herstellen, dass der Betroffene seine Auskunfts- und Richtigstellungsrechte auch im Hinblick auf die Personaldatenverarbeitungen wahrnehmen könne, die nicht Standardanwendungen darstellen (Antragspkt. 2.).
3. Der Beschwerdegegner hielt dem in seiner Stellungnahme vom 1. Dezember 2006 entgegen weder bei Internet noch bei Groupwise handle es sich um ihm zuzurechnende Datenanwendungen. Groupwise sei vielmehr ein Dienst, bei dem das einzige personenbezogene Datum die E-Mail-Adresse des Beschwerdeführers sei. Diese werde über die Datenanwendung „Kompass“ verwaltet und sei im Zusammenhang mit dieser beauskunftet worden. Das Zutrittskontrollsystem sei im Zeitpunkt der Auskunftserteilung noch als Pilotanwendung betrieben und erst am 16. Oktober 2006 beim Datenverarbeitungsregister gemeldet worden.
Die Behauptungen, wonach der Beschwerdeführer für alle Anwendungen des Beschwerdegegners zugriffsberechtigt sei bzw. die Auskunft falsch erteilt worden sein soll, seien unrichtig, vielmehr seien die konkreten Berechtigungen des Beschwerdeführers aus der Datenanwendung „Kompass“ beauskunftet worden.
Die dem Beschwerdeführer übersendeten Screenshots würden die Auskünfte hinsichtlich der Datenanwendung „Personalverwaltung des Bundes“ (SA 013) enthalten, die dem Beschwerdeführer allerdings bereits während seiner Einsichtnahme am 20. September 2006 gegeben worden seien. Bei einer Vorbesprechung am 27. Juli 2006 sei nämlich vereinbart worden, dass die Auskunft aus der Datenanwendung SA 013 in Form einer persönlichen Einsichtnahme unter Beiziehung eines Applikationssachverständigen erfolgen solle, was durch ein dem Beschwerdeführer per E-Mail übermitteltes Besprechungsprotokoll belegt sei und von ihm niemals in Frage gestellt worden sei. Auch die Terminvereinbarung sei einvernehmlich erfolgt. Die Einsichtnahme habe in den Räumen der Abteilung V/1 des Beschwerdegegners im Beisein des Leiters IT-Planung, -Controlling und -Sicherheit sowie eines Referenten der Applikation Personalinformationssystem stattgefunden, der vereinbarungsgemäß die Abfrage am System vorgenommen und als Sachverständiger die Fragen des Beschwerdeführers beantwortet habe. Letzterer habe innerhalb dieses Zeitraumes Gelegenheit gehabt, zu allen abgefragten personenbezogenen Daten Fragen zu stellen und habe von dieser Möglichkeit auch Gebrauch gemacht. Mit dieser Einsichtnahme sei der Vereinbarung zwischen Beschwerdeführer und –gegner vollinhaltlich Rechnung getragen worden. Auf Wunsch des Beschwerdeführers hin seien die mit der Einsichtnahme beauskunfteten Daten noch zusätzlich am gleichen Tag zur Dokumentation in Form von Screenshots übermittelt worden. Auf eine weitere Anfrage des Beschwerdeführers vom 12. Oktober 2006 seien ihm am 20. Oktober 2006 weitere, mit ergänzenden Erklärungen versehene Screenshots sowie zusätzliche Erläuterungen per E-Mail geschickt worden.
Der Beschwerdeführer moniere den Aufbau der SAP-Infotypen und damit letztlich die Strukturierung der Datenanwendungen durch den Beschwerdegegner. Ein Anspruch auf klare Strukturierung einer Datenanwendung komme dem Betroffenen aber nach der Rechtsprechung der Datenschutzkommission nicht zu. In diesem Sinn sei auch der Feststellung entgegenzutreten, dass eine Fülle von Infotypen, die bei SAP in Verwendung sind, nicht beauskunftet worden seien. Der Auftraggeber sei nicht angehalten, ein von ihm verwendetes System zu erklären. Vollständig wiedergegeben werden müsse nur der Inhalt der tatsächlich gespeicherten Daten. Der Behauptung, dass die in Listenform dargestellten Daten, deren Detaildaten erst in Folgebildschirmen darstellbar sind, unvollständig beauskunftet worden seien, werde entgegnet, dass sich, wie dem Beschwerdeführer bereits mündlich beauskunftet worden sei, nicht hinter allen erkennbaren Reitern zu beauskunftende Daten verbergen würden, da nicht notwendigerweise in sämtlichen Registern auch die Person des Beschwerdeführers betreffende Datenanwendungen enthalten seien.
Hinsichtlich des nicht bekannt gegebenen Dienstleisters R räumte der Beschwerdegegner eine Unvollständigkeit der Auskunft vom 20. September 2006 ein, legte jedoch gleichzeitig ein E-Mail an den Beschwerdeführer vom 1. Dezember 2006 vor, in dem nunmehr auch die Heranziehung der R GmbH als Dienstleisterin bestätigt wurde.
Bei seinen Ausführungen zur Errechnung von Nebengebührenwerten unterliege der Beschwerdeführer offenbar der irrtümlichen Annahme, er würde durch ein automatisiertes Beurteilungsverfahren im Sinne des § 49 DSG 2000 einer Rechtsfolgen nach sich ziehenden oder ihn erheblich beeinträchtigenden Entscheidung unterworfen. Wesentliches Tatbestandsmerkmal dieser Bestimmung sei jedoch, dass die Entscheidung ausschließlich auf Grund automationsunterstützter Datenverarbeitung ohne menschliche Einflussnahme erfolge. Dieser Fall sei aber nicht gegeben, da die vom Beschwerdeführer in diesem Zusammenhang angeführten Daten nicht automationsunterstützt generiert sondern vom zuständigen Referenten in das System eingegeben würden.
Zu der vom Beschwerdeführer als unzulässig angesehenen Datenart („Einkommen“ in Infotyp 0134) wurde darauf hingewiesen, dass diesbezüglich durch Bekanntgabe der Eintragung „Null“ im dem Sinn, dass darin keine Daten zum Beschwerdeführer verarbeitet würden dem Auskunftsbegehren, entsprochen worden sei.
Der Verweis auf die fehlende Übereinstimmung zwischen der Datenart „Beurteilung“ und der SA 013 sei nicht aussagekräftig: „Beurteilung“ stelle keine eigene Datenart dar sondern gehöre zur Datenart „Leistungsfeststellung“. Schließlich bekannte sich der Beschwerdegegner dazu, dass er Unklarheiten, die sich aus verwendeten Abkürzungen ergeben würden, zu beseitigen habe. Er habe allerdings von dem Moment an, wo er erstmals vom Auskunftsersuchen des Beschwerdeführers Kenntnis erlangt habe, den Kontakt zu diesem gesucht und aufrecht erhalten. Bei der Einsichtnahme am 20. September 2006 habe der Beschwerdeführer weder Art noch Umfang der Beauskunftung kritisiert und diese offenbar als ausreichend erachtet. Dass auch noch nach Auskunftserteilung Fragen des Beschwerdeführers beantwortet worden seien, belege das Entgegenkommen des Beschwerdegegners, nachträglich aufgetretene Unklarheiten zu beseitigen. Da der Beschwerdeführer im Zeitpunkt der Einbringung seiner neuen Beschwerde am 23. Oktober 2006 in Verbindung mit dem Beschwerdegegner gestanden sei, erscheine die fortgesetzte Beschreitung des Beschwerdeweges unverständlich.
4. In seiner Stellungnahme im Rahmen des Parteiengehörs vom 30. Dezember 2006 brachte der Beschwerdeführer vor, der Terminus Internet bezeichne alle Aufzeichnungen, die im Zusammenhang mit der Internetnutzung (ua. Webseitenabrufe, E-Mail-Empfang) durch den Beschwerdegegner getätigt werden. Insbesondere werde auf die Aussage von Herrn Ing. H (Leiter IT-Planung, -Controlling und –Sicherheit des Beschwerdegegners) im Rahmen der Sitzung des Datenschutzrates vom 21. Juli 2004 hingewiesen, wonach Internetzugriffe protokolliert und gespeichert würden. Dass im Rahmen des E-Mail/Termin-Systems (Groupwise oder Ähnliches) keinerlei Protokollierungen der ein- bzw. ausgehenden Mails erfolge, sei unglaubwürdig und würde auch der am 16. August 2004 durch Herrn E (Büro des Bundesministers Grasser) erteilten Auskunft widersprechen, dass „umfangreiche Protokolldaten und Log-Files zu führen sind, die zur Aufrechterhaltung eines ordnungsgemäßen Betriebes erforderlich sind.“
Weiters verweise der Beschwerdegegner in seinem eigenen Schreiben vom 28. Juli 2006 auf die Möglichkeit, personenbezogene Daten, die über die reine Mailadresse hinausgehen, in das Groupwise-System einzutragen (im konkreten Fall Termin- und Kalenderdaten im Zusammenhang mit dem Beschwerdeführer). Es wäre lebensfremd anzunehmen, dass just zum Zeitpunkt der Beantwortung des Auskunftsbegehrens keine einzige Termininformation im Zusammenhang mit dem Beschwerdeführer existierte.
Ob es sich bei den angesprochenen Datenverarbeitungen um eigenständige Anwendungen oder nur um Dienste handelt (wie vom Beschwerdegegner behauptet) sei für die Auskunftserteilung nach dem DSG 2000 unerheblich. Welche Datenanwendungen davon umfasst sind, werde durch Bekanntgabe des Zwecks jedes einzelnen gespeicherten Datums festgestellt. Zu den angesprochenen Datenverwendungen seien keine Auskünfte erteilt worden.
Bezüglich des Zutrittskontrollsystems lägen Informationen vor, dass dieses auch schon zum Zeitpunkt der Auskunftserteilung betrieben worden sei. Ob das System als „Pilotanwendung“ oder als „Regelsystem“ betrieben wird, sei für die Auskunftserteilung unerheblich, ebenso ob das System schon beim DVR gemeldet sei.
Hinsichtlich der Rollenzuordnung werde die Stellungnahme des Beschwerdegegners zur Kenntnis genommen, allerdings sei die Auskunft für einige (explizit bezeichnete) Rollen im Hinblick auf verwendete Abkürzungen unverständlich. Es werde daher eine verständliche Auskunft urgiert.
Hinsichtlich der SAP-Screenshots wurde im Wesentlichen das frühere Vorbringen wiederholt und betont, der Beschwerdeführer wünsche eine schriftliche Auskunft. Seine Bereitschaft, im Rahmen von persönlichen Gesprächen und Terminen eine möglichst reibungslose Beauskunftung zu ermöglichen, als Zustimmung zu bloß mündlichen Auskünften umzudeuten, sei absurd. Auch der vom Beschwerdegegner vorgelegte E-Mail-Verkehr lasse keinen anderen Schluss zu.
Grundsätzlich sei anzumerken, dass Datenbankstrukturen, wie sie der Beschwerdegegner für die Personalverwaltung verwende, keine Datenfelder enthalten könnten, die für einzelne Personen „nichts“ enthalten. Sowohl der Eintrag „0“, ein leeres Feld oder ähnliche Platzhalter könnten von Bedeutung sein. Auf Grund welcher Datenanwendung im Infotyp 0002 das Feld „Rufname“ verwendet werde, könne der Stellungnahme nicht entnommen werden. Damit habe der Beschwerdeführer keine Möglichkeit zu erkennen, ob der vorliegende „Null-Eintrag“ korrekt ist und die ihn betreffenden Sachverhalte korrekt wiedergibt.
Auch das Zustandekommen der Daten betreffend Nebengebühren sei der Stellungnahme nicht zu entnahmen. Die Erklärung, dass „Referenten diese Daten eingeben“ sei nicht ausreichend, da davon auszugehen sei, dass diese Daten nicht willkürlich und auf Grund des persönlichen Ermessens von Referenten vergeben werden, sondern auf Grund von Detailinformationen, die dem Beschwerdeführer zuzurechnen seien.
Die Stellungnahme enthalte weiters keine Auskunft, zu welchem Zweck das Feld „Einkommen“ verwendet werde. Dasselbe gelte für den Infotyp „9125 Beurteilungen“. Die Zuordnung von „Beurteilungen“ als „Leistungsfeststellung“ sei nicht nachvollziehbar, das „Leistungsfeststellungen“ Tatsachenfeststellungen darstellen würden, während „Beurteilungen“ regelmäßig darüber hinaus gingen und Bewertungen darstellen würden.
Die unverständlichen Abkürzungen (SW-Aut, DST und KON) seien nach wie vor nicht erklärt worden.
5. Der neuerlich zur Stellungnahme aufgeforderte Beschwerdegegner entgegnete darauf am 18. Jänner 2007, es sei zutreffend, dass er Zugriffe von Dienstnehmern auf Websites aufzeichne. Die Gründe hiefür lägen darin, strafrechtswidrige Internetnutzungen verfolgen zu können. Eine Auskunftspflicht darüber werde im Hinblick auf den Ausschussbericht zu § 26 DSG 2000, wonach bei Protokolldaten, die nur bei sequentieller Suche aufgefunden werden können, keine Auskunftspflicht bestehe, bestritten.
Hinsichtlich des E-Mail-Systems Groupwise bestritt der Beschwerdegegner seine Auftraggebereigenschaft. Es werde nur ein technisches Werkzeug zur Verfügung gestellt, über dessen Nutzungsausmaß der Dienstnehmer selbst entscheide. Dieser bleibe eindeutig Herr über seine Daten, er könne Termine eintragen oder löschen, nur er verfasse oder lösche E-Mails. Das Zutrittskontrollsystem sei im Zeitpunkt der seinerzeitigen Auskunftserteilung noch als Pilotanwendung betrieben worden, um dem Dienststellenausschuss im Zuge der damals mit diesem über den Einsatz geführten Verhandlungen die auf Grund der Leistungsfähigkeit des Systems vorhandenen Möglichkeiten – vor allem hinsichtlich Protokollierung – aufzuzeigen. Die im Rahmen dieser Datenanwendung verarbeiteten Daten seien dem Beschwerdeführer jedoch nunmehr am 16. Jänner 2007 per E-Mail beauskunftet worden (Kopie wurde vorgelegt).
Hinsichtlich der Rollenzuordnung seien dem Beschwerdeführer nunmehr auch alle Abkürzungen erklärt worden (eine Kopie der entsprechenden Ergänzung war ebenfalls beigelegt).
Im Übrigen wurde nochmals nachdrücklich die Auffassung vertreten, dem Beschwerdeführer sei hinsichtlich der Daten aus PM-SAP am 20. September mit seinem Einverständnis mündlich Auskunft erteilt worden, die Screenshots seien daher nicht die eigentliche Auskunft sondern lediglich Abschriften im Sinn des letzten Satzes von § 26 Abs. 1 DSG 2000. Der Beschwerdeführer nehme die vorliegende Beschwerde in Wahrheit zum Anlass, die Ausgestaltung des vom Beschwerdegegner verwendeten Systems zu kritisieren.
6. In seiner Stellungnahme vom 7. Februar 2007 im Rahmen des neuerlich gewährten Parteiengehörs wiederholte der Beschwerdeführer im Wesentlichen seine Ansicht zur Protokollierung der Internetzugriffe, den im Groupwise-System verarbeiteten Daten (E-Mails und Termine) sowie SAP-Screenshots.
Die zum Zutrittskontrollsystem am 16. Jänner 2007 erteilte Auskunft erachtete er als „vollkommen unzureichend“, weil die protokollierten Zutritte nicht beauskunftet worden seien. Als Beleg dafür wurde ein Auszug derartiger Protokolldaten vorgelegt.
7. Die Datenschutzkommission führte am 16. März 2007 in den Räumlichkeiten des Beschwerdegegners einen Lokalaugenschein durch, bei dem auch ein Amtssachverständiger zugegen war.
8. In dem dazu wiederum eingeräumten Parteiengehör stellte der Beschwerdeführer in seiner Stellungnahme vom 2. April 2007 die Ergebnisse des Lokalaugenscheins nicht in Frage. Er sah dadurch jedoch zusammengefasst sein Beschwerdebegehren bestätigt und dehnte weiters seine Beschwerde in Richtung einer Verletzung im Recht auf Geheimhaltung aus (dazu sogleich unten B., letzter Absatz).
B. Beschwerdegegenstand
Das Vorbringen des Beschwerdeführers bzw. das daraus abgeleitete Begehren in der Beschwerde sowie den weiteren Stellungnahmen bis einschließlich jener vom 7. Februar 2007 ist nicht ganz eindeutig und daher auslegungsbedürftig:
Einerseits spricht er im Betreff sowohl der ursprünglichen Beschwerde vom 22. Juni 2006 als auch der gegenständlichen Beschwerde von „Verweigerung der Datenschutzauskunft“ bzw. von einer „Beschwerde wegen nicht erteilter Auskunft“, andererseits enthält die Beschwerde auch Behauptungen, die zusätzlich Verletzungen im Recht auf Geheimhaltung (§ 1 Abs. 1 DSG 2000) nahe legen würden (insbesondere wenn davon gesprochen wird, die Verarbeitung bestimmter Daten sei nicht durch die Standardanwendung SA 013 gedeckt; dazu auch unten D.2.4.). Aus den abschließend formulierten ausdrücklichen Anträgen des Beschwerdeführers ergibt sich aber, dass Beschwerdegegenstand alleine die Vollständigkeit, Richtigkeit und Verständlichkeit der am 20. September 2006 (mündlich oder schriftlich) erteilten Auskünfte ist. Dies wird auch in den Folgestellungnahmen immer wieder betont.
Konkret wird die Unvollständigkeit der Auskunft im Hinblick auf das gänzliche Fehlen einer Auskunft zu beim Beschwerdegegner in Betrieb befindlichen Internet- und E-Mail bzw. Terminverwaltungsanwendungen behauptet. Hinsichtlich übermittelter SAP-Screenshots wird ebenfalls deren Unvollständigkeit geltend gemacht, darüber hinaus deren Unverständlichkeit. Letzterer Behauptung liegt die Ansicht zu Grunde, es bestehe ein Anspruch des Beschwerdeführers auf eine schriftliche Auskunft. Als unverständlich wird auch die Auskunft über die Rollenzuordnung angesehen. Die Behauptung, die Auskunft aus dem System Kompass sei falsch erteilt worden, hat der Beschwerdeführer in seiner Stellungnahme vom 2. Jänner 2007 hingegen nicht weiter aufrecht erhalten. Schließlich wird auch eine Unvollständigkeit der zum Zutrittskontrollsystem am 16. Jänner 2007 erteilten Auskunft im Hinblick auf die Protokollierung der einzelnen Zutritte releviert.
Erst in der Stellungnahme vom 2. April 2007 hat der Beschwerdeführer ausdrücklich hinsichtlich Internet-Anwendungen begehrt, den Beschwerdegegner zur Unterlassung der Protokollierung von Internetzugriffen zu verpflichten, und weiters die Prüfung der Registrierung der in Groupwise betriebenen Anwendungen beantragt. Damit wurde - wie der Beschwerdeführer durch die Formulierung „Ergänzend zum weiterhin fehlerhaften Auskunftsbegehren…“ selbst offen legt - der Beschwerdegegenstand wesentlich ausgedehnt, weshalb diesbezüglich eine weitere Beschwerde vorliegt, die nicht mit diesem Bescheid behandelt wird, sondern vielmehr zur Zahl K121.289 protokolliert wurde.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer steht als Beamter beim Zollamt Wien in einem öffentlich-rechtlichen Dienstverhältnis zum Bund.
Beweiswürdigung : Diese Feststellung beruht auf dem Schreiben des Beschwerdeführers vom 19. Juli 2006 an den Beschwerdegegner (s. sogleich) bzw. den Ergebnissen des Verfahrens der Datenschutzkommission zur Grundzahl, K120.951, in dem ebenfalls eine Beschwerde dieses Beschwerdeführers zu behandeln war.
Am 7. April 2006 richtete er an den Beschwerdegegner ein umfassendes Auskunftsbegehren, welches er am 19. Juli 2006 über entsprechende Aufforderung des Beschwerdegegners vom 18. Juli 2006 durch Bezeichnung der Datenanwendungen, in denen er Daten zu seiner Person vermutete, konkretisierte. In der Aufforderung waren weder die Protokollierung von Internetzugriffen noch das System „Groupwise“ noch das Zutrittskontrollsystem enthalten gewesen.
Über entsprechende Vereinbarung fand am 27. Juli 2006 in den Räumlichkeiten des Beschwerdegegners eine Vorbesprechung über die weiteren Modalitäten der Auskunftserteilung statt. Am 28. Juli 2006 übermittelte der Beschwerdegegner dem Beschwerdeführer das folgende E-Mail:
„Sehr geehrter Herr U,
wie besprochen übermittle ich Ihnen ein Kurzprotokoll unserer
Besprechung vom 27. Juli 2006:
1. Die Auskünfte zu den von Ihnen genannten Datenanwendungen werden Ihnen nicht "en bloc" erst nach Vorliegen der letzten Erhebungen, sondern sukzessive übermittelt werden.
2. Als erste Auskunft zu Ihrer Anfrage teile ich Ihnen mit, dass Sie in den IT-Anwendungen "Schulungsinformationsystem f. d. ADV-bezogene Aus- und Fortbildung der Bediensteten (Pkt. 3 Ihrer Anfrage) sowie "Auswertung d. Überstunden, d. Freizeitausgleichstunden u.d. Sonn- und Feiertagsstunden" (Pkt. 4 Ihrer Anfrage) nicht enthalten sind. Beide IT-Anwendungen beziehen sich ausschließlich auf Mitarbeiter der IT-Sektion, wie auch den konkreten Meldungsunterlagen zu entnehmen ist.
3. Mit Ihrer Zustimmung wird Ihnen die Auskunft zur IT-Anwendung "Personalverwaltung des Bundes" (SA013) gem. § 26 Abs. 1, letzter Satz DSG 2000 mündlich gegeben werden, indem Ihnen am Bildschirm die Einsichtnahme in Ihre Daten geboten wird und Ihnen Ausdrucke der gezeigten Daten übergeben werden. Als ersten möglichen Termin habe ich nach Rücksprache mit Herrn D, der die Online-Auskunft durchführen wird, den 6. September 2006, 15 Uhr 30, ins Auge gefasst und im groupwise eingetragen.
4. Erste Darstellungen der Auskunft zur IT-Anwendung "Aktenverwaltung" (SA029) habe ich Ihnen gezeigt. Der Ausdruck einiger Datenarten ist noch zu ergänzen.
5. Wir haben vereinbart, dass Sie, sollten Sie Mängel bei einer Auskunft feststellen, diese bei mir deponieren und ich eine möglichst umgehende Mängelbehebung veranlasse. Mit freundlichen Grüßen
F. H “ (Anmerkung der DSK: Ing. Felix H ist „Leiter IT-Planung, -Controlling und -Sicherheit“ in der IT-Sektion des Beschwerdegegners)
Am 14. September 2006 sendete der Beschwerdegegner ein weiteres E-Mail an den Beschwerdeführer:
„Sehr geehrter Herr U,
ich ersuche Sie um Terminvereinbarung, um Ihnen die gewünschten Auskünfte erteilen und eine Fülle von Auswertungen übergeben zu können.
Bei mir wäre nächste Woche, Dienstag (19.9.), ganztägig oder Mittwoch (20.9.) bis 15 Uhr möglich.
Ich ersuche Sie um Rückantwort per Mail oder Anruf.
Mit freundlichen Grüßen
Ing. Felix H“
Daraufhin wurde für 20. September 2006 ein Termin in den Räumlichkeiten des Beschwerdegegners vereinbart, bei dem dem Beschwerdeführer Einsicht in die zu seiner Person im Rahmen des Programms „pm-SAP“ (pm steht für Personalmanagement) verarbeiteten Daten gewährt wurde. Noch am selben Tag erging das folgende E-Mail an den Beschwerdeführer:
„Sehr geehrter Herr U,
wie in der Besprechung am 20. September 2006 vereinbart, übermittle ich Ihnen
* das offizielle Antwortschreiben (Anlage UAuskunft.doc)
* die von Ihnen übermittelte Konkretisierung der Auskunft
(Anlage UAuskunftBegehrenkonkret.pdf)
* Ihre Person betreffende Dateninhalte der Datenanwendung Personalverwaltung des Bundes (Anlage UAuskunftPMSAP * Ihre Person betreffende Dateninhalte der Datenanwendung Verwaltung und Steuerung der IT-Infrastruktur (Anlage UAuskunftKompass) sowie
* Ihre Person betreffende Dateninhalte der Datenanwendung Aktenverwaltung (Anlagen
UDokumentationAkt28703_0009_V_1_2005.mht und UDokumentationAkt28703_0004_V_1_2006.mht).
Wenn Sie dazu Fragen haben sollten, ersuche ich Sie um direkte
Kontaktaufnahme mit mir.
Mit freundlichen Grüßen
Ing. Felix H“
Das „offizielle Antwortschreiben“ lautete folgendermaßen:
„Sehr geehrter Herr U,
Bezugnehmend auf die Konkretisierung Ihres Auskunftsbegehrens vom 19. Juli 2006 (siehe Anlage 1) teilen wir Ihnen Folgendes mit:
1. Bei folgenden Datenanwendungen sind keine Daten Ihrer Person enthalten:
3.1. Personalverwaltung des Bundes (SA013):
3.2. Verwaltung und Steuerung der IT-Infrastruktur (Kompass)
3.3. Aktenverwaltung (SA029)
Die angekündigten Anlagen waren dem E-Mail ebenfalls angeschlossen, insbesondere 57 Screenshots aus pm-SAP. Einige Datenfelder, in denen sich keine Eingabe bzw. nur die Eintragung „0“ befindet, waren jedoch in den Ausdrucken nicht enthalten (zB die Reiter „Signierung“, „Kontaktdaten“ und „Statusinformationen“ im Infotyp „9150 elektronische Dienstkarte“).
Am 12. Oktober 2006 wendete sich der Beschwerdeführer mit dem folgenden E-Mail an den Beschwerdegegner:
„Sehr geehrter Herr Ing. H!
Wie telefonisch besprochen, ersuche ich um detaillierte Auskunft zu folgenden Punkten der SA013.
Pkt. 12: Was bedeutet Terminverfolgung - Termin am 1.2.2008?
Pkt. 21: Die Forderung in der Höhe von ? 5.741,20 besteht seit 1996 nicht mehr.
Pkt. 32: Was bedeuten die Abkürzungen in den folgenden
Spalten?
Verw.: Z001, Z005 und Z007
Planstelle: 0
OrgEinh.: 0, 70304582, 70455830
Dienststelle: 0, 50002506
Pkt. 33: Was bedeuten die Codierungen in den folgenden
Spalten?
Bild, Verans, Kurs-Code, Grprg, B
Pkt 35: Bei der Dienstkarte sind die Reiter Signierung,
Kontraktdaten und Statusinformationen nicht ersichtlich.
Mit freundlichen Grüßen
Thomas U“
Am 16. Oktober 2006 folgte ein weiteres E-Mail, in welchem sich der Beschwerdeführer ausschließlich mit der rechtlichen Zulässigkeit des Zutrittskontrollsystems auseinandersetzte. Am 20. Oktober 2006 erteilte der Beschwerdegegner dem Beschwerdeführer im Hinblick auf die Anfrage vom 12. Oktober 2006 per E-Mail eine ergänzende Auskunft zu den Pkt. 32, 33 und 35.
Eine weitere ergänzende Auskunft wurde am 1. Dezember 2006 erteilt: Dem Beschwerdeführer wurde (in Reaktion auf die vorliegende Beschwerde) mitgeteilt, dass der Beschwerdegegner auch die Fa. R GmbH als Dienstleister heranziehe.
Beweiswürdigung : Diese Feststellungen beruhen auf der Stellungnahme des Beschwerdegegners vom 1. Dezember 2006 sowie den damit vorgelegten E-Mails und der angeschlossenen „Chronologie“. Alldem hat der Beschwerdeführer im Parteiengehör in sachverhaltsmäßiger Hinsicht nicht widersprochen. Insbesondere ist zur Einsichtnahme am 20. September 2006 in pm-SAP anzumerken, dass der Beschwerdeführer diese faktisch nicht bestritten hat, sondern nur deren rechtliche Deutung als mündliche Auskunftserteilung (dazu unten D.2.4.).
Am 7. Jänner 2007 richtete der Beschwerdeführer ein E-Mail an den Beschwerdegegner, in dem er bestritt, einer mündlichen Auskunftserteilung bezüglich der SA 013 zugestimmt zu haben. Die Besprechung vom 27. Juli bzw. das Angebot vom 28. Juli 2006 könne nicht in eine entsprechende Zustimmung uminterpretiert werden.
Beweiswürdigung : Diese Feststellung beruht auf dem der Stellungnahme des Beschwerdeführers vom 7. Februar 2007 angeschlossenen E-Mail, das der Beschwerdegegner unbestritten erhalten hat.
Am 16. Jänner 2007 beauskunftete der Beschwerdegegner auch zur Person des Beschwerdeführers verarbeitete Daten in der Datenanwendung „Zutrittskontrollsystem“. Darin nicht enthalten waren jedoch Daten über einzelne dem Beschwerdeführer zugeordnete Zutritte, die vom Beschwerdegegner ebenfalls protokolliert werden. Weiters wurden sämtliche in der vorliegenden Beschwerde als unverständlich bezeichnete Abkürzungen in der im Rahmen des Systems „Kompass“ geführten Rollenzuordnung/Benutzerberechtigung erklärt.
Beweiswürdigung : Diese Feststellungen beruhen auf der Stellungnahme des Beschwerdegegners vom 18. Jänner 2007 sowie den damit vorgelegten E-Mails. Der Beschwerdeführer hat dem wiederum im Parteiengehör in sachverhaltsmäßiger Hinsicht nicht widersprochen und in seiner Stellungnahme vom 7. Februar 2007 den Erhalt der ergänzenden Auskünfte ausdrücklich bestätigt.
Bei der vom Beschwerdegegner damit beauftragten BRZ GmbH wird jede Internet-Kommunikation eines zum BMF-Netzwerk gehörigen PC derart protokolliert, dass die IP-Adresse dieses PC mit der jeweils angesteuerten Internetadresse und dem Zeitpunkt der Kommunikation verknüpft abgespeichert wird („Log-Files“). Ein Personenbezug zu einem BMF-Mitarbeiter könnte auf mehrfache Art und Weise hergestellt werden: Einerseits über die im System „Kompass“ geführte Zuordnung der PCs zu Mitarbeitern, andererseits über die User-Protokollierung („Log – in - Files“): Die BRZ GmbH führt - getrennt von den Internet-Log-Files - auch Protokolle über die mittels Dienstkarte und Eingabe eines PIN-Codes von den Mitarbeitern durchgeführten und standardmäßig mit der Anmeldung am BMF-Server verbundenen Anmeldungen an den PCs (Log-in-Files). Die Log-Files werden sowohl zum Zweck der technischen Systemüberprüfung und – wartung als auch – unter zusätzlicher Heranziehung der Log - in - Files - zum Nachvollziehen unrechtmäßiger bzw. auch strafbarer Internetzugriffe geführt. Sie werden (ebenso wie die Log – in - Files) standardmäßig 14 Tage lang aufbewahrt. Log-Files und Log-in-Files werden unstrukturiert („sequentiell“) geführt. Mittels Standardsoftware wie zB MS-Excel könnte aber eine Strukturierung (zB Gliederung nach IP-Adressen) hergestellt werden.
Zum Versenden und Empfangen von E-Mails sowie zur Terminverwaltung eines Bediensteten ist beim Beschwerdegegner das Programm „Groupwise“ im Einsatz. Der darin geführte Terminkalender sowie die Mailbox eines Bediensteten kann von diesem auch zur Einsicht für andere Benutzer freigegeben werden. Eine Freischaltung des Terminkalenders, nicht aber der Mailbox, kann allenfalls durch den zuständigen Abteilungsleiter angeordnet werden. Wenn im Rahmen der Terminverwaltung Einladungen versendet werden, nimmt Groupwise automatisch eine Prüfung vor, ob der gewählte Termin beim eingeladenen Teilnehmer bereits blockiert wird, was gegebenenfalls dem Einlader mitgeteilt wird. Auch in Groupwise erfolgt eine Protokollierung des E-Mail-Verkehrs. Gespeichert werden wiederum in sequentieller Form Zeitpunkt sowie Ziel- und Absenderadresse eines E-Mail-Verkehrs. Die Zwecke sind mit jenen der Internet-Log-Files identisch. Die E-Mails selbst können von ihrem Verfasser jederzeit gelöscht werden, wobei nach seiner Entscheidung sowohl bloßes Verschieben in den elektronischen „Papierkorb“, der standardmäßig erst nach einiger Zeit geleert wird, als auch „Löschen und Tilgen“ möglich ist, was zur sofortigen grundsätzlich unwiderruflichen Löschung des Mails führt. Lediglich über ein Serverbackup wäre dieses dann noch 2 Wochen lang wiederherstellbar. Die Backupmöglichkeit dient lediglich der Sicherung von Daten zum Schutz vor Verlust durch technische Probleme bzw. Fehler der User. Groupwise bietet weiters Adressbücher an: Ein ressortweites, auf das alle Mitarbeiter Zugriff haben, sowie gruppenspezifische, bei denen der Zugriff auf die jeweiligen Gruppenmitglieder beschränkt ist.
Im Rahmen des am Zollamt Wien eingesetzten Zutrittskontrollsystems, welches mit Zutrittskarten funktioniert, wird jeder Zutritt eines Bediensteten aufgezeichnet. Zweck des Systems ist der Schutz vor unberechtigten Zutritten zum Gebäude bzw. auch zu Zimmern darin, insbesondere zum eigenen Arbeitszimmer, wobei darunter auch eine Auswertung etwa im Fall von Diebstählen im Gebäude fiele. Zentral protokolliert werden nur die Zutritte an den Außenzonen. Die Zutritte zu den Zimmern werden lokal durch einen Speicher in den Lesegeräten protokolliert.
Beweiswürdigung : Diese Feststellungen beruhen auf dem Beschwerdevorbringen, dem der Beschwerdegegner in sachverhaltsmäßiger Hinsicht nicht widersprochen hat, sowie zusätzlich auf den Ergebnissen des von der Datenschutzkommission im Beisein des für sie als Amtssachverständigen tätigen DI Daniel Konrad am 16. März 2007 in den Räumlichkeiten des Beschwerdegegners durchgeführten Lokalaugenscheins. Auch gegen den beim Lokalaugenschein ermittelten Sachverhalt hat der Beschwerdeführer im Parteiengehör nichts vorgebracht.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften (samt allenfalls relevanten Materialien)
Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.
§ 4 DSG 2000 lautet unter der Überschrift „Definitionen“ auszugsweise folgendermaßen:
„Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber ( Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
[…]
4. „Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;
5. „Dienstleister": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Z 8);
[…]
7. „Datenanwendung" (früher: „Datenverarbeitung“): die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
8. „Verwenden von Daten": jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten.
9. „Verarbeiten von Daten": das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (Z 12) von Daten;
[…]“
§ 14 DSG 2000 lautet auszugsweise:
„Datensicherheitsmassnahmen
§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.
(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,
[…]
7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.
(3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung.
(4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck - das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes - unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.
[…]“
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß § 26 Abs. 1. DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
Gemäß Abs. 4 leg. cit. ist die Auskunft innerhalb von acht Wochen nach Einlangen des Begehrens zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.
Im Bericht des Verfassungsausschusses zu § 26 DSG 2000 (2028 BlgNR XX. GP) findet sich der folgende Satz:
„Die Verpflichtung zur Auskunftserteilung gemäß § 26 besteht nicht bei Protokolldaten, die nur durch sequentielle Suche aufgefunden werden können.“
§ 40 Abs. 4 DSG 2000 lautet:
„Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses Bundesgesetzes durch einen Auftraggeber des öffentlichen Bereichs festgestellt hat, so hat dieser mit den ihm zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen.“
Der Erwägungsgrund 47 der Richtlinie 95/46/EG (DS-RL) lautet:
„Wird eine Nachricht, die personenbezogene Daten enthält, über Telekommunikationsdienste oder durch elektronische Post übermittelt, deren einziger Zweck darin besteht, Nachrichten dieser Art zu übermitteln, so gilt in der Regel die Person, von der die Nachricht stammt, und nicht die Person, die den Übermittlungsdienst anbietet, als Verantwortlicher für die Verarbeitung der in der Nachricht enthaltenen personenbezogenen Daten. Jedoch gelten die Personen, die diese Dienste anbieten, in der Regel als Verantwortliche für die Verarbeitung der personenbezogenen Daten, die zusätzlich für den Betrieb des Dienstes erforderlich sind.“
Die §§ 863 f ABGB lauten auszugsweise:
„ § 863. (1) Man kann seinen Willen nicht nur ausdrücklich durch Worte und allgemein angenommene Zeichen; sondern auch stillschweigend durch solche Handlungen erklären, welche mit Überlegung aller Umstände keinen vernünftigen Grund, daran zu zweifeln, übrig lassen.
(2) In Bezug auf die Bedeutung und Wirkung von Handlungen und Unterlassungen ist auf die im redlichen Verkehr geltenden Gewohnheiten und Gebräuche Rücksicht zu nehmen.
§ 864. (1) Ist eine ausdrückliche Erklärung der Annahme nach der Natur des Geschäftes oder der Verkehrssitte nicht zu erwarten, so kommt der Vertrag zustande, wenn dem Antrag innerhalb der hierfür bestimmten oder den Umständen angemessenen Frist tatsächlich entsprochen worden ist.
[...]“
2. rechtliche Schlussfolgerungen
2.1. teilweise Unzulässigkeit des Beschwerdebegehrens
Nach ständiger Rechtsprechung der Datenschutzkommission sowie des Verwaltungsgerichtshofes (vgl. das Erkenntnis vom 28. Juni 2006, Zl. 2005/06/0366, abrufbar wie alle weiteren zitierten Entscheidungen im Rechtsinformationssystem des Bundes - RIS unter www.ris.bka.gv.at) sind im Hinblick auf § 40 Abs. 4 DSG 2000 Rechtsverletzungen durch Auftraggeber des öffentlichen Bereichs lediglich festzustellen. Ein darüber hinaus gehendes Leistungsbegehren oder wie im vorliegenden Fall gar ein Begehren, das auf eine faktische Tätigkeit der Datenschutzkommission gerichtet ist, ist in einem Beschwerdeverfahren nach § 31 Abs. 1 DSG 2000 daher unzulässig.
Ebenso im Beschwerdeverfahren nicht geltend gemacht werden können nach ständiger Rechtsprechung von Datenschutzkommission und Verwaltungsgerichtshof (vgl. dazu das Erkenntnis vom 27. März 2006, Zl. 2004/06/0125) im Entscheidungszeitpunkt nicht mehr aktuelle Rechtsverletzungen, insbesondere die bloße Nichteinhaltung der achtwöchigen Frist des § 26 Abs. 4 DSG 2000, wenn die Auskunft mittlerweile erteilt wurde. Das Beschwerdebegehren war daher im Spruchpunkt 1. insoweit zurückzuweisen.
2.2. Speicherung von Internet-Verbindungsdaten (Log-Files)
Der Beschwerdegegner speichert (unter Heranziehung der BRZ GmbH als Dienstleister, § 4 Z 5 DSG 2000) über die Zeitdauer der Verbindung im Internet hinaus, nämlich für jeweils 14 Tage, Internetverkehrsdaten von in seinem Netzwerk befindlichen PCs zum Zweck der Systemüberprüfung und –wartung sowie zu dem Zweck, strafrechtswidrige Internetnutzungen verfolgen zu können. Diese Daten sind auf Mitarbeiter der Finanzverwaltung rückführbar, da parallel zur Aufzeichnung der Verkehrsdaten pro Endgerät (Log-Files) Aufzeichnungen darüber geführt werden, welches Gerät wann von welchem User benutzt wurde (Log-in-Files). Die Log-Files stellen zusammen mit den Log-in-Files daher “personenbezogene Daten“ im Sinn von § 4 Z 1 DSG 2000 dar.
Dem Einwand des Beschwerdegegners, dass es sich bei den aufgezeichneten Log-Files und Log-in-Files um sequentiell gespeicherte Protokolldaten im Sinn von § 14 DSG 2000 handle und entsprechend der diesbezüglichen Bemerkung im Ausschussprotokoll zu § 26 DSG 2000 daher keine Auskunft gegeben werden müsse, kann in dieser Allgemeinheit nicht gefolgt werden: Zum einen betrifft § 14 DSG 2000 nur Datensicherheitsmaßnahmen, die zur Vermeidung von unberechtigten Zugriffen auf Datenanwendungen des Auftraggebers ergriffen werden müssen, wohingegen im vorliegenden Fall Zugriffe auf nicht dem Auftraggeber zuzurechnende Datenanwendungen protokolliert werden; zum anderen ist ein kategorischer Ausschluss der Auskunftserteilung aus sequentiell gespeicherten Daten grundrechtswidrig, da es darauf ankommt, ob der Auftraggeber in concreto nicht selbst über Suchinstrumente verfügt, die ihm eine gezielte Suche trotz der zeitlich sequentiellen Speicherform ermöglichen oder zumindest erheblich erleichtern. Der Beschwerdegegner wird daher in derselben Weise Auskunft geben müssen, in der er selbst eine Suche zu den von ihm angestrebten Zwecken durchführen würde, wie z.B. bei der Überprüfung von strafrechtswidrigem Zugang zum Internet. Nur wenn eine Suche in diesen strukturiert gespeicherten Daten tatsächlich ausschließlich sequentiell, und zwar durch nichtautomationsunterstütztes Lesen der Protokolle erfolgen müsste, wäre es denkbar, dass der Auftraggeber im Sinne des § 26 Abs. 2 DSG 2000 unverhältnismäßigen Aufwand geltend macht, abhängig davon wie umfangreich das in die Prüfung miteinzubeziehende Datenvolumen jeweils ist. Die Bemerkung im Bericht des Verfassungsausschusses zu § 26 DSG 2000, wonach „die Verpflichtung zur Auskunftserteilung….bei Protokolldaten nicht (besteht), die nur durch sequentielle Suche aufgefunden werden können“ ist bei verfassungskonformem Verständnis in genau diesem Sinne zu interpretieren: Hier geht es nicht darum, dass „Protokolldaten“ nicht der Auskunft unterliegen, sondern darum, dass bei bloß sequentiell möglicher Suche ein unverhältnismäßiger Suchaufwand entsteht, wobei die „Protokolldaten“ nur als Beispiel für umfangreiche Datensammlungen erwähnt wurden, weil sie – zumindest im Zeitpunkt der Gesetzwerdung des DSG 2000 - üblicherweise nur zeitlich geordnet und daher nur sequentiell durchsuchbar sind.
Da dem Beschwerdeführer keine Auskunft erteilt wurde bzw. ihm gegenüber auch keine Gründe angeführt wurden, warum die Auskunft nicht erteilt werden kann (§ 26 Abs. 2 DSG 2000), war diesbezüglich spruchgemäß eine Verletzung im Recht auf Auskunft festzustellen. Die Frage, ob einer Beauskunftung allenfalls nach § 26 Abs. 2 DSG 2000 relevante Gründe entgegenstehen - obwohl der Beschwerdegegner im Ermittlungsverfahren die Möglichkeit des Einsatzes von Suchhilfen bereits zugestanden hat - , konnte im Hinblick auf den Beschwerdegegenstand - Verweigerung der Auskunft dem Grunde nach – in diesem Verfahren noch nicht abschließend beurteilt werden. Sollte der Beschwerdegegner der Ansicht sein, dass derartige Gründe vorliegen, hätte er dies dem Beschwerdeführer direkt mitzuteilen.
2.3. Speicherung von E-Mails
Der Beschwerdeführer verlangt Auskunft über die in seinem E-Mail Account gespeicherten E-Mails, die mit Hilfe des Programms „Groupwise“ kommuniziert und auf den IT-Anlagen des Beschwerdegegners bzw. seines Dienstleistungsverarbeiters BRZ gespeichert werden.
Das Vorbringen des Beschwerdegegners, es handle sich um keine ihm zurechenbare Datenanwendung, weil seine Mitarbeiter selbst darüber entscheiden, was in ihrem E-Mail Account gespeichert ist, scheint zwar der besonderen Dienstnehmer-Dienstgeber-Relation nicht zur Gänze gerecht zu werden, da immerhin der Beschwerdegegner als Dienstgeber des Beschwerdeführers „Auftraggeber“ des dienstlichen Mail-Verkehrs ist, enthält jedoch den im Endeffekt richtigen Gedanken, dass der Mitarbeiter betreffend die Kenntnis vom Inhalt seines E-Mail Accounts insofern volle Verfügungsgewalt (- und damit eine Auftraggeber- ähnliche Stellung -) besitzt, als er sein Account jederzeit einsehen kann und den Inhalt auch nach eigenem Gutdünken löschen kann.
Dass das DSG 2000 ganz grundsätzlich ein besonderes Auskunftsrecht neben einem bestehenden Einsichtsrecht für überflüssig – weil den Auftraggeber unnötig beschwerend – hält, ergibt sich aus der Bestimmung des § 26 Abs. 8 DSG 2000, wonach Auskunft über Daten, soweit sie aus einem öffentlichen, d. h. jedermann einsehbaren Register (Buch) ersichtlich sind, nur im Umfang der Einsicht zusteht. Der Ausschussbericht zu § 26 DSG 2000 formuliert dies so: „Durch Abs. 8 wird festgelegt, dass bei öffentlichen Büchern (Registern) das Recht auf Auskunft nicht neben dem Recht auf Einsicht besteht, sondern nur in Form der Einsicht.“ Diese Wertung wird auch hier zum Tragen kommen: Die Inanspruchnahme eines Auskunftsrechts über einen Datenbestand, der dem Betroffenen jederzeit einsehbar ist – und wie im vorliegenden Fall darüber hinaus auch von diesem jederzeit löschbar ist – wird, soweit die Kenntnis vom Inhalt durch die Einsicht gewonnen werden kann, als unverhältnismäßige, weil sachlich nicht erforderliche Inanspruchnahme des Auftraggebers nach § 26 Abs. 2 DSG 2000 zu werten sein.
Insgesamt muss auf die Bedeutung eines erkennbaren Rechtsschutzinteresses des Betroffenen für den Umfang seines Auskunftsrechts hingewiesen werden: Das Auskunftsrecht ist nicht absolut, sondern seiner Funktion nach (nur) ein Begleitgrundrecht, das der Durchsetzung des Grundrechts auf Geheimhaltung dient. Der Umfang des Auskunftsrechts muss daher in Relation zum jeweiligen Rechtsschutzinteresse gesehen werden. Daraus folgt, dass es im vorliegenden Zusammenhang insbesondere einen Aspekt gibt, der – entgegen der Bestimmung des § 26 Abs. 8 - doch einem gesonderten Auskunftsrecht unterliegt: Während nämlich bei öffentlichen Registern infolge der allgemeinen Zugänglichkeit ein rechtswidriger Zugang grundsätzlich nicht denkbar ist und daher auch kein Rechtsschutzinteresse an der Kenntnis der Identität der „Übermittlungsempfänger“ (Einsichtnehmer) besteht, weshalb § 26 Abs. 8 auch ein über die Einsicht hinausgehendes Auskunftsrecht gänzlich verneint, liegen die Dinge im vorliegenden Fall etwas anders:
Da das E-Mail Account eines Bediensteten nicht einmal im dienstlichen Bereich als – innerhalb des Dienstgebers - unbeschränkt zugängliche Datensammlung gesehen werden kann, wird - anders als im § 26 Abs. 8 DSG 2000 - hier ein Rechtsschutzinteresse des Account-Inhabers gegenüber seinem Dienstgeber und damit ein Anspruch auf Auskunft hinsichtlich der Frage zuzuerkennen sein, ob und wer auf sein (dienstliches) E-Mail Account allenfalls zugegriffen hat. Diese Frage kann durch die jederzeitige Möglichkeit der Einsichtnahme des Betroffenen in sein Account nicht beantwortet werden und ist daher, wie im Spruch vorgesehen, vom Beschwerdegegner zu beantworten.
2.4. Terminverwaltung mit Hilfe des Programms „Groupwise“:
Wie im Falle des E-Mail Accounts gilt auch hier, dass der Beschwerdeführer als Benutzer der Terminverwaltung Einsicht in die dort gespeicherten Eintragungen hat. Wie unter Pkt. 2.3 muss daher auch hier gefolgert werden, dass der Beschwerdeführer infolge mangelnden Rechtsschutzinteresses insoweit kein Recht auf Auskunft besitzt, als ihm die in der Datenanwendung gespeicherten Daten zugänglich sind. Dass im Terminverwaltungssystem Daten gespeichert würden, die am Bildschirm nicht einsehbar sind, wurde vom Beschwerdeführer nicht behauptet und hat sich auch sonst im Ermittlungsverfahren nicht ergeben, sodass insgesamt davon auszugehen ist, dass eine gesonderte Auskunft angesichts der dem Beschwerdeführer zur Verfügung stehenden Einsichtsmöglichkeit nicht erforderlich war.
Anders als im Fall des E-Mail Accounts, bei welchem ein teilweise privater Charakter nicht ausgeschlossen werden kann, ist bei der Terminverwaltung, auf die auch die anderen Mitarbeiter der Organisationseinheit und weitere Vorgesetzte Zugriff haben, von einer dienstlichen „Quasi-Öffentlichkeit“ dieser Daten auszugehen, sodass – ähnlich wie in § 26 Abs. 8 – eine Auskunft über die Personen, die Zugriff genommen haben, durch kein objektiv erkennbares Rechtsschutzinteresse des Beschwerdeführers unterlegt ist. Im Übrigen können Mitarbeiter und Vorgesetzte hier nicht als „Übermittlungsempfänger“ gesehen werden, da sie im dienstlichen Bereich keine „Dritten“ sind, sondern genauso wie der Beschwerdeführer Organwalter ein- und desselben Auftraggebers.
Der Beschwerdegegner hat daher ein Recht auf Auskunft über die Terminverwaltungsdaten infolge ihres ausschließlich dienstlichen Verwendungszwecks und ihrer vollen Einsehbarkeit durch den Beschwerdeführer zu Recht abgelehnt.
2.5. SAP-Screenshots
a) Hier ist zunächst auf die erforderliche Form der Auskunftserteilung (schriftlich oder mündlich) einzugehen: Das Gesetz sieht grundsätzlich einen Anspruch des Auskunftswerbers auf Erhalt einer schriftlichen Auskunft vor. Mit seiner Zustimmung kann allerdings die Auskunft auch mündlich erteilt werden. Das Gesetz verlangt keine ausdrückliche Zustimmung (vgl. demgegenüber § 9 Z 6 DSG 2000), weshalb im Hinblick auf die §§ 863 f ABGB, die auf datenschutzrechtliche Willenserklärungen analog anzuwenden sind, soweit das DSG 2000 keine abweichenden Regelungen enthält, davon auszugehen ist, dass auch eine konkludente Zustimmung, insbesondere durch tatsächliche Entgegennahme einer mündlich erteilten Auskunft möglich ist.
Im vorliegenden Fall ist der Beschwerdeführer dem Angebot des Beschwerdegegners vom 14. September 2006, in die im Rahmen des Systems pm-SAP verarbeiteten Daten an Ort und Stelle unter gleichzeitiger fachkundiger Erläuterung Einsicht zu nehmen, am 20. September 2006 faktisch nachgekommen. Darin kann nur eine konkludente Zustimmung zur mündlichen Auskunftserteilung gesehen werden. Daher wurde dem Auskunftsanspruch des Beschwerdeführers hinsichtlich des Auskunftsersuchens vom 7. April 2006 bereits durch die Gewährung der von fachkundigen Vertretern des Auftraggebers erläuterten Einsichtnahme entsprochen. Hiemit war die Auskunftspflicht grundsätzlich erfüllt. Die erst im Zuge des laufenden Beschwerdeverfahrens vor der DSK und damit nach der Einsichtnahme abgegebene Erklärung des Beschwerdeführers vom 7. Jänner 2007, er sei mit der mündlichen Auskunftserteilung nicht einverstanden, ist ohne Relevanz. Dass die mündliche Auskunftserteilung unvollständig gewesen sei, hat der Beschwerdeführer nicht behauptet.
b) Entsprechend den besonderen Vereinbarungen, die bei der Einsicht getroffen wurden, wurden dem Beschwerdeführer im unmittelbaren Anschluss an die Einsicht Screenshots über jene Einsichtsergebnisse zugesandt, in welchen Daten des Beschwerdeführers aufschienen. Darin ist die Einräumung der „Möglichkeit der Abschrift“ bei mündlicher Auskunftserteilung nach § 26 Abs. 1 letzter Satz DSG 2000 zu sehen.
Im Sinne des Grundsatzes der Datenverwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1 DSG 2000) wird auch bei Zustimmung eines Betroffenen zur mündlichen Auskunftserteilung eine Pflicht des Auftraggebers zu nachträglichen Erklärungen – insbesondere im Fall großer Datenmengen – wegen in der Folge erkannter Unklarheiten (wie im vorliegenden Fall nach Übersendung der Screenshots) nicht gänzlich auszuschließen sein. Dazu ist freilich eine konkrete Anfrage des Betroffenen an den Auftraggeber erforderlich sowie eine nach objektivem Verständnis erkennbare Unklarheit. Eine solche Anfrage hat der Beschwerdeführer am 12. Oktober 2006 gestellt und sie wurde auch vom Beschwerdegegner beantwortet. Dass sich in der Antwort des Beschwerdegegners vom 20. Oktober 2006 keine Aussage zur Bedeutung des Datums „Termin am 1.2.2008“ im Infotyp 0019 des pm-SAP „Terminverfolgung“ findet, stellt keine Verletzung des Auskunftsrechts dar, da aus dem diesbezüglich dem Beschwerdeführer zur Verfügung gestellten Screenshots hinlänglich deutlich hervorgeht, dass es sich nicht um Daten über den Beschwerdeführer sondern um behördeninterne Daten (Terminsetzungen für die personalverwaltende Stelle zur Bearbeitung/Überprüfung des Datensatzes) handelt.
Wenn nun der Beschwerdeführer weiters rügt, dass die übermittelten Screenshots nicht alle zur Person des Beschwerdeführers abrufbaren Datenfelder enthielten, weil auch Datenfelder mit keiner Eintragung bzw. mit der Eintragung „0“ Angaben zur Person des Beschwerdeführers darstellten, ist diesbezüglich Folgendes auszuführen: Der Rechtsansicht des Beschwerdegegners, wonach das Recht auf Auskunft kein Recht auf vollständige Darstellung einer Datenbank beinhalte, sondern nur ein Recht auf Bekanntgabe der zur Person des Auskunftswerbers verarbeiteten Daten, ist grundsätzlich zu folgen. Freilich muss auch hier entsprechend dem Grundsatz von Treu und Glauben geprüft werden, ob der Eintragung „0“ oder keiner Eintragung in einem Datenfeld vom Auftraggeber eine informative Bedeutung zugemessen wird oder nicht. In der Tat kann nicht ausgeschlossen werden, dass dem Eintrag „0“, im vorliegenden Fall vom Auftraggeber eine informative Bedeutung zugemessen wird.
Da bei der mündlichen Einsicht die Übersendung von Screenshots über alle den Beschwerdeführer betreffenden Datenfelder vereinbart wurde, sind daher Screenshots betreffend jene Datenfelder nachzuliefern, die den Beschwerdeführer im oben dargestellten Sinn unmittelbar – sei es auch negativ – betreffen.
c) Die Beschwerdebehauptung, der Beschwerdegegner habe hinsichtlich einiger Datenarten den Zweck ihrer Verwendung nicht richtig angegeben (dies kann nur im Rahmen der mündlichen Auskunftserteilung erfolgt sein), weil dieser über die in der Standardanwendung SA 013 genannten Datenarten hinausgehe, geht hingegen ins Leere. Der Beschwerdeführer hat nicht behauptet und es hat das Ermittlungsverfahren auch keine Anhaltspunkte dafür ergeben, dass diese Datenarten in Wahrheit regelmäßig für einen konkreten anderen Zweck als „Personalverwaltung“ verwendet würden. Selbst wenn, wie in der Beschwerde behauptet, ein (automatisches) Beurteilungsverfahren vorliegen sollte, könnte dies durchaus vom Zweck „Personalverwaltung“ umfasst sein. Somit macht der Beschwerdeführer in Wahrheit die Unzulässigkeit der Verwendung dieser Datenarten bzw. eine Verletzung der Meldepflicht nach § 17 Abs. 1 DSG 2000 geltend, was aber im Rahmen der Durchsetzung des Rechts auf Auskunft kein zulässiger Verfahrensgegenstand ist.
2.6. Zutrittskontrollsystem
Auch diesbezüglich erachtet sich der Beschwerdeführer dadurch beschwert, dass der Beschwerdegegner eine Auskunftserteilung über die einzelnen mitprotokollierten Zutritte unter Berufung auf den Ausschussbericht zu § 26 DSG 2000 dem Grunde nach abgelehnt hat, weil die Zutritte so protokolliert würden, dass nach dem Zutritt bestimmter Personen nur durch sequentielles Lesen der Protokolldaten gesucht werden könne.
Hiezu gilt vollinhaltlich das unter Pkt. 2.2 zum Bestehen einer Pflicht zur Auskunftserteilung aus Datenbeständen mit zeitlich sequentieller Speicherordnung Gesagte. Falls der Beschwerdegegner unverhältnismäßigen Aufwand geltend machen will, hätte er dies dem Betroffenen gegenüber begründet darzulegen.
2.7. Kompass und Dienstleister
Die in der Beschwerde urgierte Erklärung der Abkürzungen in Kompass sowie die Bekanntgabe von Dienstleistern hat der Beschwerdegegner mit den ergänzenden vom Beschwerdeführer im Parteiengehör nicht weiter beanstandeten Auskünften vom 1. Dezember 2006 bzw. 16. Jänner 2007 geliefert. Damit sind diese Ansprüche jedenfalls erfüllt.