K121.289/0006-DSK/2007 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Dr. KOTSCHY, Mag. HUTTERER, Mag. HEILEGGER und Mag. MAITZ-STRASSNIG sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 20. Juli 2007 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Nebudkadnezar T*** in Wien (Beschwerdeführer), vertreten durch den Z-Verein, vom 2. April 2007 (verbessert am 25. Mai 2007) gegen das Bundesministerium für Finanzen in Wien (Beschwerdegegner) wegen Verletzung im Recht auf Löschung wird gemäß § 1 Abs. 3 Z 2, § 27 und § 31 Abs. 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:

Die Beschwerde wird abgewiesen.

B e g r ü n d u n g :

A. Vorbringen der Parteien

1. Der Beschwerdeführer hatte zunächst am 22. Juni 2006 mit der Begründung Beschwerde erhoben, der Beschwerdegegner habe auf ein Auskunftsbegehren vom 7. April 2006 nicht reagiert. Nachdem der Beschwerdegegner am 18. Juli 2006 doch in Form einer Aufforderung zur Mitwirkung an den Beschwerdeführer reagiert und ihm am 20. September 2006 Auskunft erteilt hatte, behauptete der Beschwerdeführer mit der Stellungnahme an die Datenschutzkommission vom 20. Oktober 2006 eine Unvollständigkeit bzw. Unrichtigkeit dieser Auskunft. Diese Änderung des Verfahrensgegenstandes hat die Datenschutzkommission mit Verfügung vom 17. November 2006 als wesentlich im Sinn von § 13 Abs. 8 AVG angesehen und daher als konkludente Zurückziehung der ursprünglichen Beschwerde unter gleichzeitiger Einbringung einer neuen gedeutet. Daher wurde das ursprüngliche Beschwerdeverfahren (Grundzahl K121.227) eingestellt und ein neues eröffnet (Grundzahl K121.259).

2. In einer Stellungnahme vom 2. April 2007 im Verfahren K121.259 hat der Beschwerdeführer ausdrücklich hinsichtlich der Internet-Anwendungen begehrt, den Beschwerdegegner zur Unterlassung der Protokollierung von Internetzugriffen zu verpflichten, und weiters die Prüfung der Registrierung von H*** [Anmerkung Bearbeiter: H*** = Bezeichnung eines Softwareprodukts] beantragt. Damit wurde der Beschwerdegegenstand (erneut) wesentlich ausgedehnt, weshalb die Datenschutzkommission diesbezüglich von einer weiteren Beschwerde nach § 1 Abs. 5 iVm § 31 Abs. 2 DSG 2000 ausgeht, die nunmehr zur Grundzahl K121.289 protokolliert wurde.

3. Zur Verbesserung aufgefordert präzisierte der Beschwerdeführer sein Begehren mit Schreiben vom 25. Mai 2007 dahingehend, dass er die Löschung der Internetaufzeichnungen gemäß § 27 DSG 2000 mangels Vorliegen der erforderlichen Verarbeitungs- und Verwendungsvoraussetzungen sowie die Löschung der H***-Aufzeichnungen und -Daten gemäß § 27 DSG 2000 wegen fehlender bzw. unzureichender Registrierung und daher wegen Verletzung von Bestimmungen des DSG 2000 verlange.

B. Beschwerdegegenstand

Aufgrund des Vorbringens des Beschwerdeführers ist Beschwerdegegenstand, ob der Beschwerdeführer durch den Beschwerdegegner dadurch im Recht auf Löschung verletzt wurde, dass dieser seine Internet-Zugriffe protokolliert und seine personenbezogenen Daten im Programm „H***“ speichert.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt wie im Bescheid vom 23. Mai 2007, K121.259/0013- DSK/2007, festgestellt:

Bei der vom Beschwerdegegner damit beauftragten C*** GmbH wird jeder Zugriff eines zum BMF-Netzwerk gehörigen PC auf eine Internetanwendung derart protokolliert, dass die IP-Adresse dieses PC mit dem angesteuerten Internetziel verknüpft wird („Logfile“). Ein Personenbezug zu einem BMF-Mitarbeiter könnte auf mehrfache Art und Weise hergestellt werden: Einerseits über die im System „Kompass“ geführte Zuordnung der PCs zu Mitarbeitern, andererseits über die User-Protokollierung („Login-Files“): Die C*** GmbH führt – getrennt von den Internet-Logfiles – auch Protokolle über die mittels Dienstkarte und Eingabe eines PIN-Codes von den Mitarbeitern durchgeführten und standardmäßig mit der Anmeldung am BMF-Server verbundenen Anmeldungen an den PCs. Die Logfiles werden sowohl zum Zweck der technischen Systemüberprüfung und - wartung als auch zum Nachvollziehen unrechtmäßiger bzw. auch strafbarer Internetzugriffe geführt. Sie werden (ebenso wie die Login-Files) standardmäßig 14 Tage lang aufbewahrt. Logfiles und Loginfiles werden unstrukturiert („sequentiell“) geführt. Mittels Standardsoftware wie z.B. MS-Excel könnte aber eine Strukturierung (zB Gliederung nach IP-Adressen) hergestellt werden.

Zum Versenden und Empfangen von E-Mails sowie zur Terminverwaltung eines Bediensteten ist beim Beschwerdegegner das Programm „H***“ im Einsatz. Der darin geführte Terminkalender sowie die Mailbox eines Bediensteten kann von diesem auch zur Einsicht für andere Benutzer freigegeben werden. Eine Freischaltung des Terminkalenders, nicht aber der Mailbox, kann allenfalls durch den zuständigen Abteilungsleiter angeordnet werden. Wenn im Rahmen der Terminverwaltung Einladungen versendet werden, nimmt H*** automatisch eine Prüfung vor, ob der gewählte Termin beim eingeladenen Teilnehmer bereits blockiert wird, was gegebenenfalls dem Einlader mitgeteilt wird. In H*** erfolgt auch eine Protokollierung des E-Mail-Verkehrs. Gespeichert werden wiederum in sequentieller Form Zeitpunkt sowie Ziel- und Absenderadresse eines E-Mail-Verkehrs. Die Zwecke sind mit jenen der Internet-Logfiles identisch. Die E-Mails selbst können von ihrem Verfasser jederzeit gelöscht werden, wobei nach seiner Entscheidung sowohl bloßes Verschieben in den elektronischen „Papierkorb“, der standardmäßig erst nach einiger Zeit geleert wird, als auch „Löschen und Tilgen“ möglich ist, was zur sofortigen grundsätzlich unwiderruflichen Löschung des Mails führt. Lediglich über ein Serverbackup wäre dieses dann noch 2 Wochen lang wiederherstellbar. Die Backupmöglichkeit dient lediglich der Sicherung von Daten zum Schutz vor Verlust durch technische Probleme bzw. Fehler der User. H*** bietet weiters Adressbücher an: Ein ressortweites, auf das alle Mitarbeiter Zugriff haben, sowie gruppenspezifische, bei denen der Zugriff auf die jeweiligen Gruppenmitglieder beschränkt ist.

Der Beschwerdeführer hat kein Löschungsbegehren an den Beschwerdegegner gerichtet.

Beweiswürdigung : Dazu wird auf die Beweiswürdigung im Bescheid vom 23. Mai 2007, GZ K121.259/0013-DSK/2007 verwiesen. Der Beschwerdeführer hat auch nicht behauptet, ein Löschungsbegehren gestellt zu haben. In seiner Stellungnahme vom 25. Mai 2007 meint er lediglich, sein Antragspunkt (2) im Schreiben vom 2. April 2007 an die Datenschutzkommission sei ein im Sinne des § 27 Abs. 1 Z 2 DSG 2000 begründeter Löschungsantrag (außerdem nur in Bezug auf die in H*** verarbeiteten Daten). Zur rechtlichen Wertung dieses Vorbringens s. unten D.2.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 2 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

Gemäß § 27 Abs. 1 DSG 2000 hat jeder Auftraggeber unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtig zu stellen oder zu löschen, und zwar

1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder

2. auf begründeten Antrag des Betroffenen.

Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, dass ihre Archivierung rechtlich zulässig ist und dass der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§ 46 und 47.

2. rechtliche Schlussfolgerungen

Nach ständiger Rechtsprechung der Datenschutzkommission sowie des Verwaltungsgerichtshofes (vgl. das Erkenntnis vom 28. Juni 2006, Zl. 2005/06/0366, abrufbar wie alle weiteren zitierten Entscheidungen im Rechtsinformationssystem des Bundes - RIS unter http://www.ris.bka.gv.at/) sind im Hinblick auf § 40 Abs. 4 DSG 2000 Rechtsverletzungen durch Auftraggeber des öffentlichen Bereichs lediglich festzustellen. Ein darüber hinaus gehendes Leistungsbegehren wäre in einem Beschwerdeverfahren nach § 31 Abs. 1 DSG 2000 daher unzulässig. Wenn der Beschwerdeführer wie hier die Löschung von Daten, also eine Leistung, beantragt, wird dies in rechtschutzfreundlicher Auslegung so verstanden, dass mit diesem Antrag gemeint ist, die Verpflichtung zur Löschung festzustellen. Bei anderer Auslegung wäre das über die Feststellung hinaus gehende Begehren zurückzuweisen.

Aber auch ein solches Feststellungsbegehren ist nicht berechtigt:

Der Beschwerdegegner protokolliert (unter Heranziehung der C*** GmbH als Dienstleisterin, § 4 Z 5 DSG 2000) Internetzugriffe von in seinem Netzwerk befindlichen PCs zum Zweck der Systemüberprüfung und -wartung sowie zu dem Zweck, strafrechtswidrige Internetnutzungen verfolgen zu können. Diese Daten sind (auf mehrfachem Weg) auf Mitarbeiter der Finanzverwaltung rückführbar, was ausreichend ist, um von personenbezogenen Daten im Sinn von § 4 Z 1 DSG 2000 sprechen zu können.

Zunächst ist klarzustellen, dass es sich bei den so gewonnenen Logfiles nicht um Protokolldaten im Sinn von § 14 DSG 2000 handelt. Diese Bestimmung enthält, wie schon ihr Abs. 1 klar erkennen lässt, nur Datensicherheitsmaßnahmen zur Sicherung des Datenschutzes. Abs. 2 Z 7 spricht dementsprechend auch nur von der Protokollierung von „Verwendungsvorgängen“, worunter im Hinblick auf § 4 Z 8 iVm Z 9 und 12 DSG 2000 nur das Verwenden personenbezogener Daten aus Datenanwendungen des Auftraggebers gemeint sein kann, nicht aber die Protokollierung von Zugriffen auf Datenbestände, für die den Erfasser keine Verantwortung trifft, weil es sich gar nicht um „seine“ Datenanwendungen handelt. Gerade Letzteres ist beim Internet der Fall, weil dies keine Datenanwendung des Beschwerdegegners ist.

Im System „H***“ erfolgt einerseits eine Protokollierung des E-Mail-Verkehrs, andererseits enthält das System ein Adressbuch sowie Termine, die – allenfalls auch gegen den Willen bzw. ohne Wissen des einzelnen Mitarbeiters – anderen Mitarbeitern zugänglich werden können. Damit liegt eine Datenanwendung (§ 4 Z 7 DSG 2000) vor (möglicherweise auch mehrere, wofür die unterschiedlichen nicht kongruenten Zwecke sprechen).

Der Beschwerdeführer hat weder behauptet, ein Löschungsbegehren an den Beschwerdegegner betreffend die Löschung seiner personenbezogenen Daten aus den Internetzugriffsaufzeichnungen sowie aus H*** gestellt zu haben, noch ist ein solches für die Datenschutzkommission erkennbar. Vielmehr behauptet er – bezogen auf die in H*** verarbeiteten Daten –, sein Antragspunkt (2) im Schreiben vom 2. April 2007 an die Datenschutzkommission sei als begründeter Löschungsantrag im Sinn des § 27 Abs. 1 Z 2 DSG 2000 zu sehen. Dabei übersieht der Beschwerdeführer, dass ein Löschungsbegehren direkt an den Auftraggeber und nicht an die Datenschutzkommission zu stellen ist, um wirksam zu sein. Ganz allgemein können im Verhältnis Auftraggeber – Betroffener zu setzende Rechtshandlungen nicht durch Anbringen im (anschließenden) Verfahren vor der Datenschutzkommission ersetzt werden. Dies hat die Datenschutzkommission in ihrer Rechtsprechung zum Auskunftsrecht schon wiederholt zum Ausdruck gebracht: So wird der Auskunftsanspruch nicht erfüllt, wenn die Auskunft nicht direkt gegenüber dem Betroffenen sondern nur gegenüber der Datenschutzkommission erteilt wird (vgl. den Bescheid vom 29. November 2006, GZ K121.223/0008-DSK/2006). Umgekehrt ist eine Verletzung im Recht auf Auskunft nicht gegeben, wenn der Beschwerdegegner das Auskunftsbegehren gar nicht erhalten, hat (vgl. den Bescheid vom 22. April 2005, GZ K120.879/0003-DSK/2005).

Schon deshalb sind damit die Voraussetzungen für die Feststellung einer Verletzung im Recht auf Löschung gemäß § 27 Abs. 1 Z 2 DSG 2000 nicht gegeben. Wenn nun der Beschwerdeführer in seinem Schreiben vom 25. Mai 2007 argumentiert, der Beschwerdegegner hätte im Sinn des § 27 Abs. 1 Z 1 DSG 2000 die Daten aus eigenem zu löschen, so übersieht er dabei, dass darauf kein subjektives Recht besteht – vielmehr handelt es sich um eine einen Auftraggeber treffende Verpflichtung, die von einem Betroffenen in einem Beschwerdeverfahren nach § 31 DSG 2000 nicht geltend gemacht werden kann. Dies hat auch der Verwaltungsgerichtshof jüngst in seinem Erkenntnis vom 6. Juni 2007, Zl. 2001/12/0008, bestätigt. Die Beschwerde war daher spruchgemäß abzuweisen.