[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. HUTTERER, Mag. MAITZ-STRASSNIG, Dr. KOTSCHY, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 02. April 2008 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde der Frau Petra S*** in L*** (Beschwerdeführerin) vom 28. Jänner 2004 gegen die M*** Adressdaten Ges.m.b.H. Co. KG – nunmehr: M*** Adressdaten GmbH – in N*** (Beschwerdegegnerin), wegen Verletzung im Recht auf Auskunft über eigene Daten wird gemäß § 1 Abs. 3 und 5, § 26 Abs. 1, 2 und 4 und § 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, entschieden:
1. Der Beschwerde wird gemäß § 26 Abs. 1 DSG 2000 insoweit stattgegeben, als der Beschwerdegegnerin bei sonstiger Exekution aufgetragen wird, binnen 3 Wochen ab Zustellung dieses Bescheides
2. Im Übrigen wird die Beschwerde zurückgewiesen.
B e g r ü n d u n g:
A. Parteienvorbringen
1. In Ihrer Beschwerde vom 28. Jänner 2004 an die Datenschutzkommission hat die Beschwerdeführerin Frau Petra S***, vertreten durch den Ö***-Datenschutzverein, behauptet, dass durch den Ö***-Datenschutzverein im Namen der Beschwerdeführerin an M*** Adressdaten GmbH Co KG am 12. November 2003 ein Auskunftsbegehren gestützt auf § 26 DSG 2000 gestellt worden sei. Innerhalb der gesetzlichen Frist von 8 Wochen sei „gegenüber dem Ö***-Datenschutzverein keine Reaktion auf das Auskunftsbegehren erfolgt“. Die Beschwerdegegnerin habe dadurch „das Recht des Antragstellers auf Auskunft verletzt“. Es werde deshalb der Antrag an die Datenschutzkommission gestellt, die Beschwerdegegnerin bei sonstiger Exekution zu beauftragen, „eine den Vorgaben des § 26 DSG 2000 entsprechende Auskunft“ zu erteilen.
2. Darauf replizierte die Beschwerdegegnerin M*** Adressdaten GmbH Co KG in ihrer Stellungnahme vom 5. April 2004,
a) dass inhaltlich Auskunft gegeben worden sei, und zwar am 12. Jänner 2004 direkt an die Beschwerdeführerin, da Zweifel an der Befugnis des Ö***-Datenschutzverein zum Einschreiten im vorliegenden Fall entstanden seien. Die Auskunft sei „eingeschrieben und mit Rückschein zur eigenhändigen Übernahme“ versandt worden, da seitens der Beschwerdeführerin kein Identitätsnachweis beigebracht worden war;
b) der vom Ö***-Datenschutzverein behauptete „Nachweis der Identität“ in Form des Verweises auf das Vereinsregister reiche nicht aus, da die Identität des Auskunftswerbers und nicht die Identität des Vertreters nachzuweisen sei;
c) die vom Ö***-Datenschutzverein vorgelegte Vollmacht beziehe sich nicht auf Auskunftsbegehren, sondern nur undifferenziert auf „Vertretung in allen Datenschutzangelegenheiten“.
3. Im Rahmen des Parteiengehörs vom 2. Juni 2004 wurde von der Beschwerdeführerin zunächst ausgeführt, dass der Ö***- Datenschutzverein vertretungsbefugt gewesen sei. Es wird jedoch nicht mehr bestritten, dass die Beschwerdeführerin tatsächlich Auskunft erhalten hat und es werden die näheren diesbezüglichen Umstände nicht weiter in die Beschwerde einbezogen. Die Beschwerdeführerin brachte jedoch nunmehr vor, dass
a) zwischen der Auskunft von M*** Adressdaten GmbH Co KG vom 12. Jänner 2004 und einer von der A*** Direktmarketing AG am 19. November 2003 der Beschwerdeführerin erteilten Auskunft eine wesentliche Diskrepanz bestehe: Während die A*** mitgeteilt habe, dass bezüglich der Antragstellerin keine Daten verwendet würden, habe M*** angegeben, dass die Daten der Datenanwendung „M*** Privatdaten Marketing CD“ ausschließlich von A*** stammen. Durch diesen Widerspruch und die Unüberblickbarkeit der Art und Weise, wie dieser „mehr oder weniger gemeinsame Datenbestand“ verwendet werde, mangle es der Datenverwendung an der Einhaltung des Grundsatzes von Treu und Glauben nach § 6 DSG 2000.
b) Das Schreiben vom 12. Jänner 2004 enthalte keinerlei Information über eventuelle Übermittlungsempfänger.
Es werde daher der Antrag an die Datenschutzkommission gestellt,
1. der Antragsgegnerin möge aufgetragen werden, den aktuellen Stand bezüglich allfälliger Übermittlungen und Übermittlungsempfänger zu beauskunften;
2. die Datenschutzkommission möge angesichts der widersprüchlichen Angaben von M*** Adressdaten GmbH Co KG und A*** Direktmarketing AG ein Prüfverfahren einleiten.
4. Mit 1. April 2008 hat die Beschwerdegegnerin an die Datenschutzkommission eine mit „Stellungnahme“ betitelte Äußerung übermittelt, in welcher dargelegt wird, warum die Beschwerdegegnerin die Auffassung vertritt, keine Auskunft über die Identität der einzelnen Übermittlungsempfänger geben zu müssen.
B. Beschwerdegegenstand:
Aufrechter Gegenstand der Beschwerde ist:
1. die Behauptung, dass die Auskunft vom 12. Jänner 2004 unvollständig gewesen sei, da sie keine Aussage über allfällige Übermittlungen und Übermittlungsempfänger enthalten habe, und
2. der Antrag, ein Prüfverfahren bei der Beschwerdegegnerin durchzuführen.
C. Festgestellter Sachverhalt:
1. Am 12. November 2003 wurde von der Beschwerdeführerin, vertreten durch den Ö***-Datenschutzverein, ein Auskunftsbegehren nach § 26 DSG 2000 an die M*** Adressdaten GmbH Co KG gestellt. Dies geht aus vorgelegter und unbestritten echter Urkunde hervor.
Näherhin wurde unter Berufung auf die §§ 1 und 26 DSG 2000 Auskunft über folgende Fragen verlangt:
2. Aus den von der Beschwerdegegnerin vorgelegten Unterlagen geht hervor, dass am 12. Jänner 2004 eingeschrieben mit Rückschein Auskunft unter Berufung auf § 26 DSG 2000 an die Beschwerdeführerin erteilt wurde .
Die erteilte Auskunft führte – nach von der Beschwerdeführerin unbestritten echter vorgelegter Urkunde – an, dass über die Auskunftswerberin in den M***-Produkten „Telefonbuch“, in der „Telefonbuch CD“ sowie im Internet unter „M***.at“ keine Daten gespeichert seien. Nur in der „M*** Privatdaten Marketing CD“ scheine die Auskunftswerberin auf mit ihrem
Namen („Frau S***, Petra“),
der Adresse: „W*** Straße **, **** L***“,
dem Bundesland: „Steiermark L***“,
der Stadtregion: „L***“ und
dem Zählsprengel: „****5431“.
Bei den anderen (einzeln angegebenen) Datenarten der „M*** Privatdaten Marketing CD“ sei jeweils „unbekannt“ vorhanden.
Als Rechtsgrundlage der Datensammlung auf der „M*** Privatdaten Marketing CD“ wird § 151 GewO 1994 genannt und weiters wird festgestellt, dass der für die Befüllung des Dateninhalts der CD zuständigen A*** Direktmarketing AG bereits der Auftrag zur Löschung gegeben worden sei.
3. In ihrem Schreiben vom 2. Juni 2004 an die DATENSCHUTZKOMMISSION hat die Beschwerdeführerin ihre Beschwerde auf Unvollständigkeit der Auskunftserteilung eingeschränkt , und zwar durch Nicht-Beauskunftung des aktuellen Standes bezüglich allfälliger Übermittlungen und Übermittlungsempfänger, und hat die Prüfung der Datenanwendungen der Beschwerdegegnerin verlangt.
4. Der die ggst. Beschwerde erledigende Bescheid der Datenschutzkommission vom 7. Dezember 2004, GZ K120.929/0007-DSK/2004, wurde mit Erkenntnis des VfGH
v. 2. Oktober 2007, Zl B 227/05-8, aufgehoben wegen Verletzung der Beschwerdeführerin in ihrem verfassungsgesetzlich gewährleisteten Recht auf Gleichheit aller Staatsbürger vor dem Gesetz: Eine qualifizierte Verkennung der Rechtslage durch den aufgehobenen Bescheid wird darin erblickt, dass er sich hinsichtlich der Rechtsmeinung, dass nur Empfängerkreise zu beauskunften seien, allein auf § 14 Abs. 3 DSG 2000 gründe, obwohl grundsätzlich über alle tatsächlich vorhandenen Daten Auskunft zu geben sei und es daher eine „entsprechende Abwägung erfordere“, wenn von diesem Grundsatz im Einzelfall abgegangen werde. „In der Begründung des angefochtenen Bescheides fehlt jeder Aspekt einer Abwägung, ob die nach objektiven Maßstäben zu bewertenden konkreten Datenschutzinteressen der M*** Adressdaten GmbH Co KG und ihrer Kunden die ebenso objektiv zu bewertenden Interessen der betroffenen Beschwerdeführerin überwiegen und damit einer Auskunftserteilung teilweise oder ganz entgegenstehen.“
5. Die Rechtssache ist somit in den Stand vor Erlassung des Bescheides der DATENSCHUTZKOMMISSION am 7. Dezember 2004 zurückgetreten und bedarf einer neuerlichen Entscheidung zum Ersatz des aufgehobenen Bescheides.
D. Rechtliche Würdigung:
a) Anzuwendende Rechtsvorschriften
§ 26 Abs. 1 bis 4 DSG 2000 lautet unter der Überschrift „Auskunftsrecht“:
„ § 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.
Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“
§ 30 Abs. 1 – 3 DSG 2000 lautet unter der Überschrift „Kontrollbefugnisse der Datenschutzkommission“:
„ § 30 . (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.
(2) Die Datenschutzkommission kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.
(3) Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§ 26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.“
b) Rechtliche Erwägungen:
aa) zur Unvollständigkeit der Auskunft:
Die Beschwerdeführerin hat ihre Beschwerde betreffend die Unvollständigkeit der erteilten Auskunft auf die mangelnde Bekanntgabe von Übermittlungen bzw. Übermittlungsempfängern gestützt.
Tatsächlich nimmt die Auskunft der Beschwerdegegnerin vom 12. Jänner 2004 keinerlei Bezug auf die Frage allfälliger Übermittlungen jener Daten der Beschwerdeführerin, die laut dieser Auskunft für die „M*** Privatdaten Marketing CD“ verwendet wurden.
Die Beschwerde besteht daher insofern zu Recht: Die Beschwerdegegnerin hätte der Auskunftswerberin auch auf die ausdrücklich gestellte Frage: „An wen wurden personenbezogene Daten des Antragstellers übermittelt“ Auskunft erteilen müssen oder begründen müssen, warum keine – oder keine vollständige – Auskunft erteilt wird. Da die Beschwerdegegnerin dies bis dato unterlassen hat, hat sie die Beschwerdeführerin in ihrem Recht auf Auskunft verletzt. Die Datenschutzkommission sieht nach ihrer – seit 2005 entwickelten und – zwischenzeitig ständigen Entscheidungspraxis die Pflicht zur Auskunftserteilung erst dann als erfüllt an, wenn gegenüber dem Auskunftswerber inhaltlich Auskunft erteilt oder begründet wurde, warum keine inhaltliche Auskunft erteilt wird. Äußerungen, die gegenüber der Datenschutzkommission abgegeben werden, können dieses Erfordernis nicht ersetzen, da nur der Auskunftswerber darüber befinden kann, ob er die ihm gegenüber abgegebene Auskunft bzw. Begründung für die Nichterteilung der Auskunft als zufriedenstellend ansieht oder nicht. Eine solche Äußerung der Beschwerdegegnerin hinsichtlich der Übermittlungsempfänger gegenüber der Beschwerdeführerin fehlt; eine Erklärung gegenüber der Datenschutzkommission kann diese nicht supplieren (siehe den Bescheid der Datenschutzkommission vom 11. Oktober 2006, GZ: K121.166/0006-DSK/2006, Rechtssatz 1, RIS, mit Verweis auf die Judikatur des VwGH). Die Auskunft wird daher – tunlichst unter Beachtung der vom VfGH in seinem Erkenntnis vom 2. Oktober 2007, Zl B 227/05-8 geäußerten rechtlichen Überlegungen – zunächst nachzuholen sein. Die Datenschutzkommission hätte sich mit der Gesetzmäßigkeit einer solchen Äußerung erst dann wieder zu befassen, wenn die Auskunftswerberin gegen diese Äußerung neuerlich Beschwerde erheben sollte.
bb) Zum sonstigen Vorbringen:
Die von der Beschwerdeführerin behauptete Unvereinbarkeit der Art der Führung jenes Datenbestandes, der der „M*** Privatdaten Marketing CD“ zugrunde liegt, mit dem Grundsatz von Treu und Glauben, betrifft die inhaltliche Zulässigkeit der in Rede stehenden Datenanwendungen. Sie geht also über den zulässigen Gegenstand einer Auskunftsbeschwerde hinaus. Da die Datenschutzkommission im privaten Bereich nur zur Entscheidung über Auskunftsbeschwerden zuständig ist, fehlt ihr für eine Beurteilung der inhaltlichen Zulässigkeit von Datenanwendungen im vorliegenden Fall die Zuständigkeit, weshalb die Beschwerde diesbezüglich zurückzuweisen war.
Auch die Anregung eines Prüfverfahrens kann nicht Gegenstand einer Entscheidung nach § 31 DSG 2000 sein. Dieser „Antrag“ bezieht sich offenbar auf die Zuständigkeit der Datenschutzkommission, gemäß § 30 Abs. 2 DSG 2000 „im Falle eines begründeten Verdachts auf Verletzung der im (§ 30) Abs. 1 genannten Rechte und Pflichten Datenanwendungen (zu) überprüfen.“ Auf die Ausübung der Kontrollrechte der Datenschutzkommission nach § 30 DSG 2000 hat jedoch niemand ein subjektives (öffentliches) Recht, weshalb ein derartiges Begehren zurückzuweisen ist.
Rückverweise
Keine Ergebnisse gefunden
RIS