JudikaturDSB

K121.312/0002-DSK/2008 – Datenschutzkommission Entscheidung

Entscheidung
18. Januar 2008
K121.312/0002-DSK/2008 – Datenschutzkommission Entscheidung

Text

Text

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. MAITZ-STRASSNIG, Dr. KOTSCHY, Dr. BLAHA, Mag. ZIMMER und Dr. STAUDIGL sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 18. Jänner 2008 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Sigisbert C*** in W*** (Beschwerdeführer) vom 19. Juni 2007 gegen die Q*** G.m.b.H. in E*** (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 3 Z 1, 26 Abs. 1 und 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:

1. Der Beschwerde wird teilweise stattgegeben und der Beschwerdegegnerin aufgetragen, dem Beschwerdeführer binnen einer Frist von zwei Wochen bei sonstiger Exekution Auskunft über die zu seiner Person im Zusammenhang mit dem von der Beschwerdegegnerin verwendeten Zutrittskontrollsystem und dem Projektmanagementsystem verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hierfür in allgemein verständlicher Form, zu erteilen.

2. Im Übrigen wird die Beschwerde abgewiesen.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Der Beschwerdeführer behauptet in seiner Beschwerde vom 19. Juni 2007 eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin seinem Auskunftsbegehren vom 26. Dezember 2006 für das Jahr 2006 nicht nachgekommen sei, da diese mit ihrem Schreiben vom 16. Februar 2007 lediglich auf eine Stellungnahme vom 10. November 2006 verwies, mit dem bereits Auskunft erteilt worden sei. Diese Stellungnahme beziehe sich aber auf eine Beschwerde hinsichtlich einer nicht erteilten Auskunft im Jahr 2005. Die tatsächlich bis Ende Dezember 2006 verwendeten personenbezogenen Daten, Übermittlungs- und Überlassungsempfänger zu 2006 seien darin nicht enthalten gewesen.

Die damit konfrontierte Beschwerdegegnerin übersandte der Datenschutzkommission und dem Beschwerdeführer zunächst nur einen Auszug aus der Datenanwendung „Personalverwaltung“, in dem keine konkreten Daten des Beschwerdeführers, sondern nur die in dieser Datenanwendung verarbeiteten Datenarten enthalten waren.

Mit dem Auskunftsrecht nach §§ 1 Abs. 3 Z 1 iVm 26 DSG 2000 durch Einschreiten der Datenschutzkommission vertraut gemacht, erteilte die Beschwerdegegnerin dem Beschwerdeführer mit Schreiben vom 1. August 2007 erneut Auskunft, welche nunmehr die konkreten Daten des Beschwerdeführers enthielt.

Dem Beschwerdeführer wurde dazu Parteiengehör gewährt, in welchem er wie folgt ausführte:

„Die vorgelegten Daten sind unvollständig. Es fehlen Zeugnisse die noch zur Auskunft 2005 beigefügt waren sowie Daten zu Anwendungen die im DVR nicht gemeldet sind aber schon einmal beauskunftet wurden. Zutrittskontrollsystem, Telefondatenbank (sa Vorgang ***). Auch fehlen die Daten zum Projektmanagementsystem.

Dienstleister sind verständlicherweise nur schwer ermittelbar, wird auf Anfrage bei zuständigen Kollegen angegeben, dass Druck ausgeübt würde wenn sich herausstellt, dass solcherart Informationen weitergegeben wurden.

Optische Archivierung: ***

Zutrittskontrollsystem: ***

Div. Applikationen: ***

Mitarbeiterbefragung: ***?

Mailfiltering: ***“

[Anmerkung Bearbeiter: die gelöschten Begriffe beziehen sich auf bestimmte Unternehmen]

Neuerlich zur Stellungnahme aufgefordert übermittelte die Beschwerdegegnerin der Datenschutzkommission und dem Beschwerdeführer die fehlenden Zeugnisse. Hinsichtlich der genannten Dienstleister wurde ausgeführt, dass an diese keine bzw. lediglich anonymisierte Daten übermittelt wurden.

In dem dazu gewährten Parteiengehör äußerte sich der Beschwerdeführer nicht mehr.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin der Pflicht zur Auskunftserteilung gemäß § 1 Abs. 3 Z 1 iVm § 26 DSG 2000 rechtmäßig, d.h. insbesondere vollständig, nachgekommen ist.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer richtete am 26. Dezember 2006 ein Auskunftsbegehren folgenden wesentlichen Inhalts für das Jahr 2006 an die Beschwerdegegnerin:

Auskunftsersuchen nach §26 DSG

Entsprechend §23 Abs1 DSG ersuche ich um Mitteilung, welche Standardanwendungen das Unternehmen betreibt. Entsprechend den Bestimmungen des §26 DSG ersuche ich um Beantwortung nachstehender Fragen:

1. Welcher Art sind die zu meiner Person verwendeten Daten und was ist der genaue Dateninhalt in allen in Frage kommenden Datenanwendungen?

2. Woher stammen diese Daten und welchen Datenanwendungen sind sie zugeordnet?

3. Wofür werden bzw. wurden diese Daten verwendet und aufgrund welcher Rechtsgrundlagen erfolgt diese Verwendung?

4. An welche Empfänger mit welcher Rechtsgrundlage werden bzw. wurden diese Daten übermittelt?

5. An welche Dienstleister werden bzw. wurden diese Daten überlassen? Bitte um Angabe von Name und Anschrift der Dienstleister.

6. Erfolgt die Datenanwendung im Rahmen eines Informationsverbundsystems? Wenn dies zutrifft, ersuche ich um Angabe von Name und Anschrift des Betreibers und um Angabe der Geschäftszahl(en) allfälliger Genehmigungsbescheide der DSK.

7. Wenn Sie Daten im internationalen Datenverkehr Übermitteln oder Überlassen, ersuche ich um Angabe der Geschäftszahl(en) allfälliger Genehmigungsbescheide der DSK.

Diesem Auskunftsbegehren kam die Beschwerdegegnerin zunächst nur insofern nach, da lediglich auf die im Jahr 2005 erteilte Auskunft verwiesen wurde.

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen des Beschwerdeführers in seiner Beschwerde und den Beilagen dazu. Überdies wurde dieser Sachverhalt auch von der Beschwerdegegnerin nicht bestritten.

Im Verfahren vor der Datenschutzkommission erteilte die Beschwerdegegnerin mit Schreiben vom 9. Juli 2007 und vom 1. August 2007 hinsichtlich der über ihn im Zusammenhang mit der Personalverwaltung verarbeiteten Daten Auskunft an den Beschwerdeführer. Bereits im Schreiben vom 9. Juli 2007 wurde unter den Übermittlungsempfängern (Empfängerkreise) „Zutrittskontrollsysteme: EDV-Abteilung, Sicherheitsdienst“ angeführt. Das Schreiben vom 1. August 2007 enthielt ua. die beruflichen wie privaten Telefon- und Faxnummer(n) des Beschwerdeführers sowie seine berufliche E-Mail-Adresse.

Beweiswürdigung: Diese Feststellungen ergeben sich aus den auch der Datenschutzkommission übermittelten Schreiben der Beschwerdegegnerin an den Beschwerdeführer selbst.

Im Parteiengehör gab der Beschwerdeführer an, dass die erteilte Auskunft insofern unvollständig sei, als Zeugnisse fehlen, sowie Daten im Zusammenhang mit dem Zutrittskontrollsystem, der Telefondatenbank und dem Projektmanagementsystem. Ebenso seien Dienstleister nicht beauskunftet worden.

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen des Beschwerdeführers in seiner Stellungnahme vom 4. September 2007.

In Folge wurden dem Beschwerdeführer seitens der Beschwerdegegnerin die fehlenden Zeugnisse (Kopien von einem Zertifikat und einem Tätigkeitsprofil) übermittelt. Weiters wurde angegeben, dass die vom Beschwerdeführer angegebenen Firmen („Dienstleister“) keine bzw. nur anonymisierte Daten erhalten haben (und damit keine Dienstleister iSd DSG 2000 sind).

Beweiswürdigung: Diese Feststellungen beruhen aus den der Datenschutzkommission übermittelten Schreiben der Beschwerdegegnerin vom 26. September 2007 und den Beilagen dazu. Im Parteiengehör hat sich der Beschwerdeführer nicht geäußert.

Die Auskunft enthielt keine Daten aus dem Zutrittskontrollsystem sowie dem Projektmanagementsystem. Im Datenverarbeitungsregister scheint unter DVR-Nr. ***, Nr. *** die Datenanwendung „Projektmanagementsystem“ auf, in welcher personenbezogene Daten verarbeitet werden. Hinsichtlich der Telefondatenbank schweigt die Auskunft zwar ebenfalls, doch enthält sie sowohl die privaten wie auch beruflichen Telefon- und Faxnummer(n) des Beschwerdeführers wie auch seine berufliche E-Mail-Adresse.

Beweiswürdigung: Diese Feststellungen beruhen auf den der Datenschutzkommission vorliegenden Unterlagen, insbesondere aus der Stellungnahme der Beschwerdegegnerin vom 26. September 2007, worin lediglich auf die Zeugnisse und die Dienstleister eingegangen wird. Der Inhalt des Datenverarbeitungsregisters entspricht Stand 10. Dezember 2007.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.

§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß § 26 Abs. 1. DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

Gemäß Abs. 4 leg. cit. ist die Auskunft innerhalb von acht Wochen nach Einlangen des Begehrens zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.

2. rechtliche Schlussfolgerungen

Die Beschwerdegegnerin hat dem Beschwerdeführer, wenn auch großteils erst während des ha. Verfahrens, Auskunft erteilt. Nach ständiger Rechtsprechung der Datenschutzkommission wird der Auskunftsanspruch eines Betroffenen auch dann erfüllt, wenn die Auskunft nach Ablauf der achtwöchigen Frist des § 26 Abs. 4 DSG 2000 erteilt wird. Die Nichteinhaltung der achtwöchigen Frist stellt zwar eine Verletzung im Recht auf Auskunft dar, die aber durch Nachholung der Auskunftserteilung bis zum Ende des Verfahrens vor der Datenschutzkommission sanierbar ist (zB Bescheid vom 7. Juni 2005, GZ K120.912/0008- DSK/2005; zur äquivalenten Frist beim Recht auf Löschung nach § 27 Abs. 4 DSG 2000 hat dies auch der Verwaltungsgerichtshof in seinem Erkenntnis vom 28. März 2006, Zl. 2004/06/0125, Rechtsinformationssystem des Bundes – RIS unter http://www.ris.bka.gv.at/vwgh/, allerdings unter dem falschen Datum 27. März 2006 bereits bestätigt). Insoweit war die Beschwerde daher abzuweisen.

Wenn der Beschwerdeführer weiters meint, Daten aus einer „Telefondatenbank“ wären nicht beauskunftet worden, so ist schon oben festgestellt worden, dass die Auskunft sowohl seine privaten wie auch beruflichen Telefon- und Faxnummer(n) wie auch seine berufliche E-Mail-Adresse enthält. Welche seine Person betreffende Daten die Telefondatenbank darüber hinaus enthalten soll, hat der Beschwerdeführer nicht angeführt und ist auch für die Datenschutzkommission nicht erkennbar. Auch in diesem Punkt ist dem Beschwerdeführer daher nicht Recht zu geben.

Die Auskunft lässt allerdings Daten aus bzw. eine Aussage zu dem Zutrittskontrollsystem wie auch aus dem Projektmanagementsystem vermissen. Das Projektmanagementsystem ist eine (gemeldete) Datenanwendung iSd § 4 Z 7 DSG 2000, die personenbezogene Daten enthält; das Zutrittskontrollsystem ist eine Datenanwendung, die als „Empfängerkreis“ die personenbezogenen Daten des Beschwerdeführers in der Auskunft vom 9. Juli 2007 bezeichnet.

Daher war der Beschwerdegegnerin spruchgemäß die diesbezügliche Auskunft aufzutragen. Da es sich – falls Daten vorhanden sind – nur um aktuelle Daten handelt, war eine Frist zur Auskunftserteilung von zwei Wochen angemessen.

Rückverweise