K121.344/0002-DSK/2007 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. BLAHA, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 29. Februar 2008 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Dorian Q*** in M*** (Beschwerdeführer) vom 1. Oktober 2007, gegen Karl I*** (Beschwerdegegner) aus N*** als Inhaber des nicht im Firmenbuch eingetragenen Unternehmens mit der Geschäftsbezeichnung „L***“, vertreten durch ***, wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 3 Z 1, 26 Abs. 1 und 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:

Der Beschwerde wird stattgegeben und dem Beschwerdegegner aufgetragen, dem Beschwerdeführer binnen einer Frist von zwei Wochen bei sonstiger Exekution Auskunft über die zur Person des Beschwerdeführers verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.

B e g r ü n d u n g:

A. Verfahrensgang und Vorbringen der Parteien

a. Der Beschwerdeführer wandte sich mit Schreiben vom 28. Dezember 2006 an die Datenschutzkommission und behauptete eine Verletzung im Recht auf Auskunft sowie auf Löschung durch den Beschwerdegegner. Dieses Schreiben nahm die Datenschutzkommission zum Anlass, zunächst ein Verfahren nach § 30 DSG 2000 (Kontroll- und Ombudsmannverfahren) einzuleiten (protokolliert zu K211.768). In einem Verbesserungsschreiben forderte die Datenschutzkommission den Beschwerdeführer auf, das Auskunftsbegehren sowie den Identitätsnachweis beizubringen, widrigenfalls die Angelegenheit nicht weiter behandelt werden könnte, und empfahl ihm, die Auskunft für sein Löschungsbegehren abzuwarten. Der Beschwerdeführer übersandte daraufhin ein Auskunftsbegehren vom 10. Jänner 2007 und eine Kopie seines Führerscheins, welche dem Auskunftsbegehren beigelegt war. Dem Beschwerdeführer wurde deshalb mitgeteilt, dass er sich im Fall der nicht ordnungsgemäßen Erfüllung des Auskunftsbegehrens nach Ablauf der 8-Wochen-Frist erneut an die Datenschutzkommission mit einer Eingabe nach § 30 DSG 2000 oder einer Beschwerde nach § 31 DSG 2000 wenden könne.

b. Mit Schreiben vom 11. März 2007 behauptete der Beschwerdeführer, diesem Auskunftsbegehren sei nicht nachgekommen worden. Daraufhin wurde zunächst das Verfahren nach § 30 DSG 2000 fortgeführt.

c. Der mit den Vorwürfen konfrontierte Beschwerdegegner brachte vor, die Anfrage habe folgendermaßen gelautet: „Q*** Dorian, B***straße 81, *2*1 M***“. Unter diesen Angaben lägen keine Vormerkungen vor. Es werde auch ausgeschlossen, dass diesbezügliche Eintragungen zwischenzeitig gelöscht worden seien. Diese Auskunft solle dem Betroffenen nur dann weitergegeben werden, wenn ein lesbarer Ausweis vorgelegt werde, was bisher nicht der Fall gewesen sei.

d. Erneut zur Stellungnahme aufgefordert, inwiefern der Beschwerdegegner direkt gegenüber dem Beschwerdeführer auf sein Auskunftsbegehren reagiert hätte, brachte der Beschwerdegegner vor, bereits am 23. Oktober (gemeint: 2006) die Auskunft erteilt zu haben, dass an der in der Anfrage angeführten Adresse keine Daten in der Datenbank aufscheinen würden. Diese Auskunft sei nach wie vor korrekt, weshalb es keinen Anlass gegeben habe, etwas richtig zu stellen. Ein Verstoß gegen das Datenschutzgesetz liege schon deshalb nicht vor, weil der Beschwerdeführer bereits im Oktober (2006) eine Auskunft bekommen habe. Dem Schreiben war ein Bildschirmausdruck beigelegt, aus dem sich ergeben soll, dass unter dem Namen und Wohnort des Beschwerdeführers keine Daten gespeichert seien.

e. Nach Durchführung einer Einschau unter Beiziehung von Sachverständigen durch Beauftragte der Datenschutzkommission in die Datenanwendungen der „L***“ am 25. April 2007 (Niederschrift GZ: K211.768/0009-DSK/2007) wurde dem Beschwerdegegner Gehör zu den vorliegenden Ergebnissen des Ermittlungsverfahrens gewährt.

f. Der Beschwerdegegner brachte, nunmehr anwaltlich vertreten, nachdem er wegen behaupteter Verfahrensmängel eine Vorlage des Aktes an die übergeordnete Behörde, „nämlich das Bundesministerium“, verlangte, in der Sache wesentlich vor, der Beschwerdeführer habe in seiner Anfrage ersucht, bekannt zu geben, welche Daten unter seinem Namen mit der Adresse M*** gespeichert seien. Die Einschau habe ergeben, dass bei Abfrage mit diesen Kriterien keine Daten abgefragt werden könnten und kein Treffer gespeichert sei. Dies habe der Beschwerdegegner im Rahmen seiner Auskunftsverpflichtung dem Beschwerdeführer mitgeteilt, wobei er ausdrücklich darauf hingewiesen habe, dass aufgrund der Anfrage mit Namen und der Adresse kein Treffer vorhanden sei und keine Daten gefunden werden könnten und gespeichert seien. Der Vorwurf gehe offenbar dahin, dass man auch mit Geburtsdatum oder anderen Suchkriterien (z.B. einer anderen Adresse) hätte anfragen können. Dazu sei darauf verwiesen, dass der Beschwerdegegner verpflichtet sei, im Rahmen der Gesetze korrekte Auskünfte zu erteilen. Diese Auskunft richte sich daher nach den Angaben in der Anfrage.

Der Beschwerdegegner könne weder beurteilen, ob der Beschwerdeführer Adresse oder eigene Daten richtig angebe, noch überprüfen, ob es Personen mit gleichlautendem Namen und/oder gleichen Geburtsdaten gebe oder ob Identität zwischen „einem gekürztem oder einem langen Vornamen“ vorliege. Auch im Telefonbuch seien unter dem Namen des Beschwerdeführers „zumindest“ zwei Treffer zu finden, wobei sich diese nur durch die Adresse unterscheiden würden. Ohne Feststehen der Identität der Daten mit der Anfrage werde mit den bekannt gegebenen Anfragekriterien abgefragt und bekannt gegeben, ob damit ein Treffer vorhanden sei. Da es auch Namens- und Geburtsdatenidentitäten gebe, sei auch ein eventuelles Anfragen unter dem Geburtsdatum kein 100%-iges Ausschließungskriterium. Es wird daher beantragt, die Beschwerde „mangels Berechtigung“ abzuweisen.

g. Der Beschwerdeführer wurde darauf aufmerksam gemacht, dass seine Eingabe auch als Beschwerde nach § 31 DSG 2000 behandelt werden kann. Das Verfahren wurde nach entsprechendem Begehren des Beschwerdeführers mit Schreiben vom 28. September 2007 (protokolliert am 1. Oktober 2007) zu K121.344 als Beschwerdeverfahren protokolliert.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner auf das Auskunftsbegehren des Beschwerdeführers vom 10. Jänner 2007 rechtmäßig gemäß § 1 Abs. 3 Z 1 iVm § 26 DSG 2000 Auskunft erteilt hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdegegner, der eine nicht im Firmenbuch eingetragene Auskunftei über Kreditverhältnisse (Gewerbe nach § 152 GewO 1994) unter der Geschäftsbezeichnung „L***“ betreibt, ist als datenschutzrechtlicher Auftraggeber unter DVR: *** im bei der Datenschutzkommission eingerichteten Datenverarbeitungsregister eingetragen.

Der Beschwerdeführer richtete am 10. Jänner 2007 an den Beschwerdegegner ein Auskunftsbegehren folgenden wesentlichen Inhalts:

„Dorian Q***

B***straße 81

*2*1 M***

An

L*** – Karl I***

S*** 52/6

*1*3 N***

10.01.07

Gegenstand: Auskunft gemäß DSG 2000 (§§ 1, 26 u.a.) Sehr geehrte Damen! Sehr geehrte Herren!

Sie führen personenbezogene Datenverarbeitung(en) und Datenanwendungen.

Ich ersuche Sie unter Hinweis auf § 1 § 26DSG 2000 und alle weiteren anwendbaren Bestimmungen des DSG 2000 um Beantwortung der folgenden Fragen:

Dem Auskunftsbegehren war als Identitätsnachweis eine Kopie des Führerscheins des Beschwerdeführers beigelegt, welche das zitierte Geburtsdatum des Beschwerdeführers enthält.

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen des Beschwerdeführers in seiner Beschwerde und den Beilagen dazu. Der Beschwerdegegner hat auch nicht bestritten, das Auskunftsbegehren erhalten zu haben, sondern nur moniert, der Identitätsnachweis sei nicht lesbar gewesen (seine Stellungnahme vom 28. März 2007).

Der Beschwerdegegner hat auf dieses Auskunftsbegehren gegenüber dem Beschwerdeführer innerhalb der gesetzlichen Frist des § 26 Abs. 4 DSG 2000 nicht geantwortet, sondern nur gegenüber der Datenschutzkommission angegeben, dass unter den Angaben „Q*** Dorian, B***str. 81, *2*1 M***“ keinerlei Vormerkungen vorlägen.

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen des Beschwerdegegners in seiner Stellungnahme vom 28. März 2007.

Eine Einschau unter Beiziehung von Sachverständigen durch Beauftragte der Datenschutzkommission in die Datenanwendungen der „L***“ am 25. April 2007 hat ergeben, dass zwölf Datensätze mit dem vollen Namen des Beschwerdeführers und seinem (im Auskunftsbegehren vom 10. Jänner 2007) angegebenen Geburtsdatum (10. September 1972) existieren. Zwar werden diese Datensätze nicht gefunden, wenn mit dem Namen und dem im Auskunftsbegehren angegebenen Wohnort (M***) des Beschwerdeführers gesucht wird, die Angabe des Namens allein führt aber zu diesen 12 Datensätzen, die jeweils das Geburtsdatum 10. September 1972 enthalten.

Beweiswürdigung: Diese Feststellungen sind Ergebnis der Einschau und wurden insoweit im dazu gewährten Gehör vom Beschwerdegegner auch nicht bestritten. Die Suche mit Namen und Wohnort hat er selbst schon in seiner Stellungnahme vom 28. März 2007 beschrieben.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.

§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten:

§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen: Es ist in allen Fällen, in welchen keine Auskunft erteilt wird - also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Betroffenen verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.

(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Betroffene im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.“

2. rechtliche Schlussfolgerungen

Es steht fest, dass der Beschwerdegegner ein Auskunftsbegehren des Beschwerdeführers vom 10. Jänner 2007 zwar erhalten hat, gegenüber dem Beschwerdeführer aber darauf nicht geantwortet hat. Damit hat er aber § 26 Abs. 4 DSG 2000 verletzt: Demnach hat der Auftraggeber innerhalb von acht Wochen nach Einlangen des Begehrens die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Wenn also der Beschwerdegegner der Meinung war, der der Auskunft beiliegende Identitätsnachweis sei nicht lesbar oder sonst mangelhaft gewesen, so hätte er unter dieser Begründung gegenüber dem Beschwerdeführer von der Auskunftserteilung Abstand nehmen müssen bzw. dem Beschwerdeführer durch entsprechende Mitteilung die Möglichkeit bieten müssen, einen lesbaren Identitätsnachweis nachzubringen. Eine dementsprechende Berufung auf mangelnden Identitätsnachweis zu einem Auskunftsbegehren gegenüber der Datenschutzkommission ist nicht ausreichend.

Die Suche nach einem Auskunftswerber in den Datenanwendungen des Auftraggebers muss anhand aller vom Auskunftswerber bekannt gegebenen Identifikationsdaten erfolgen. Wenn daher zB in den Datenanwendungen des Auftraggebers eine Person mit Namen und Geburtsdatum des Auskunftswerbers aufscheint, und Zweifel an der Identität bestehen, muss der Auftraggeber im Sinn des § 26 Abs. 3 DSG 2000 den Auskunftswerber zur Mitwirkung dahingehend auffordern, weitere Identifikationskriterien anzugeben. Ein unterschiedlicher Wohnort kann – wenn die übrigen Identifikationsdaten übereinstimmen – nicht als eindeutiges Indiz für unterschiedliche Identität angenommen werden, da der Wohnort ja jederzeit geändert worden sein kann. Dementsprechend enthalten etwa die „Identitätsdaten“ nach § 1 Abs. 5a MeldeG keinen Wohnort. Eine Verweigerung der Auskunft oder gar keine Reaktion ist jedenfalls im Sinn des § 26 DSG 2000 nicht ausreichend. Um seiner Auskunftspflicht zu entsprechen, hätte der Beschwerdegegner vielmehr durch Rückfrage beim Beschwerdeführer dessen Identität abklären müssen.

Es war daher spruchgemäß die Auskunftserteilung aufzutragen. Eine Frist von zwei Wochen schien dafür im Sinn des § 59 Abs. 2 AVG angemessen.