K121.358/0009-DSK/2008 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER, Mag. HUTTERER und Dr. STAUDIGL sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 20. Juni 2008 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Gernot V*** (Beschwerdeführer) in C***, vertreten durch den Verein ***Datenschutzvereinigung in C***, vom 19. Dezember 2007 gegen das Bundesministerium für Finanzen (Beschwerdegegner, kurz BMF) in Wien wegen Verletzung im Recht auf Löschung eigener Daten in Folge Ablehnung seines Löschungsbegehrens vom 30. September 2007 wird gemäß den §§ 7 Abs. 1 und 3, 8 Abs. 1 Z 4 und Abs. 3 Z 1, 27 Abs. 1 und 4 und 31 Abs. 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005 iVm § 45 Abs. 1 des Beamten-Dienstrechtsgesetzes 1979 (BDG), BGBl. Nr. 333/1979 idF BGBl. I Nr. 96/2007 entschieden:
1. Die Beschwerde wird als unbegründet abgewiesen.
B e g r ü n d u n g:
A. Vorbringen der Parteien
Das vorliegende datenschutzrechtliche Beschwerdeverfahren knüpft sachverhaltsmäßig und bei Identität der Parteien insbesondere an die Verfahren Zl. K121.259 (Auskunftsbeschwerde, erledigt mit Bescheid der Datenschutzkommission vom 23. Mai 2007, GZ: K121.259/0013- DSK/2007) und Zl. K121.289 (erste Löschungsbeschwerde, erledigt mit Bescheid der Datenschutzkommission vom 20. Juli 2007, GZ: K121.289/0006-DSK/2007) an. Insbesondere in ersterem Verfahren fanden umfangreiche Beweisaufnahmen (u.a. Einschau durch Beauftragte der Datenschutzkommission betreffend Zutrittskontrollsystem) statt, deren Ergebnis den Parteien offengelegt worden ist. Die erste Löschungsbeschwerde wurde mit der tragenden Begründung abgewiesen, dass das Recht auf Löschung vor Beschwerdeerhebung zunächst beim Auftraggeber geltend gemacht werden muss.
Der Beschwerdeführer behauptet in seiner Beschwerde vom 19. Dezember 2007 eine Verletzung im Recht auf Löschung dadurch, dass der Beschwerdegegner sein Löschungsbegehren vom 30. September 2007 mit Schreiben vom 4. Dezember 2007 (begründet) abgelehnt habe. Der Beschwerdeführer habe die Löschung all seiner Daten aus den Datenanwendungen des Beschwerdegegners für die Zwecke Zutrittskontrollsystem , Internetzugang und E-Mailverkehr verlangt. Die entsprechenden Datenanwendungen würden rechtswidrig durchgeführt, da sie nicht im Datenverarbeitungsregister registriert seien. Aus der Beschwerde samt Beilagen geht weiters hervor, dass der Beschwerdeführer als Bundesbediensteter beim Zollamt C*** Zugang zum Amtsgebäude E***straße 32, für das ein automatisches Zutrittskontrollsystem besteht, sowie zum EDV-Netz der Finanzverwaltung (einschließlich Internet- und E-Mail-Nutzung) hat. Der Beschwerdeführer sieht sich durch das Zutrittskontrollsystem und die durchgeführten Aufzeichnungen über seinen Internetverkehr (vgl. auch das mit Bescheid der Datenschutzkommission vom 23. Mai 2007, GZ: K121.259/0013- DSK/2007, erledigte Auskunftsbeschwerdeverfahren, RIS).einer automatisierten „personenbezogenen Rundumüberwachung“ ausgesetzt, der ohne konkreten Verdacht einer Rechts- oder Pflichtenverletzung die Rechtsgrundlage fehle, die aber jedenfalls nicht das gelindeste, zum Ziel führende Mittel im Sinne des DSG 2000 darstelle.
Er beantragte, die Löschung aller rechtswidrig ermittelten, nicht zum Zwecke der Dienstaufsicht unbedingt erforderlichen sowie aller Daten anzuordnen, die bloß zu präventiven, nicht im Verantwortungsbereich des Auftraggebers liegenden Zwecken erhoben werden.
Der Beschwerdegegner, von der Datenschutzkommission zur Stellungnahme aufgefordert, entgegnete dem mit Schreiben vom 17. Jänner 2008 Folgendes: Zunächst sei, wie u.a. aus der Systematik des DSG 2000 zu folgern, die Rechtmäßigkeit der Datenverwendung klar von der Registrierungspflicht zu trennen und die Erfüllung letzterer nicht Bedingung für erstere. Weiters habe der Beschwerdegegner hinsichtlich des Zutrittskontrollsystems seine Meldepflicht am 16. Oktober 2006 (samt folgendem Verbesserungsauftrag) erfüllt und auch den Abschluss einer entsprechenden Vereinbarung mit dem zuständigen Personalvertretungsorgan (Zentralausschuss für die Bediensteten der Finanzverwaltung – im Folgenden kurz: ZA) nachgewiesen (als Beilage vorgelegt). Dass die Registrierung der Datenanwendung, die nicht der Vorabkontrolle unterliege, noch nicht erfolgt sei, liege außerhalb der Einflusssphäre des Beschwerdegegners. Analog zu der durch Verordnung definierten Musteranwendung MA002 – Zutrittskontrollsysteme werde nicht bestritten, dass es sich um kein bloßes Schlüssel- oder Sperrsystem, sondern um eine Anlage mit Kontrollzweck, die Daten speichere, handle. Online verfügbar seien allerdings nur die Daten der Zutritte zu den Außeneingängen und Hochsicherheitsbereichen (EDV- und Lagerräume). Innerhalb des Gebäudes gebe es zwar ebenfalls mit Hilfe der Schlüsselkarte zu öffnende Schlösser, doch würden Daten zu Sperrvorgängen hier nur intern in den einzelnen Türschlössern gespeichert, was technisch auch gar nicht unterbunden werden könne. Mangels äußeren Zugriffs auf diese Daten sei aber deren Auswertung, etwa zur Erstellung eines Bewegungsprofils, nicht möglich. Auch die Auswertung der verfügbaren Zutrittsdaten erfolge auf Grund der mit dem ZA getroffenen Vereinbarung nur durch koordiniertes Zusammenwirken der Amtsleitung und des Dienststellenausschusses (im Folgenden kurz: DA) für Zwecke der Aufrechterhaltung der Sicherheit und zum Schutz des Lebens und der Gesundheit. Die Speicherdauer von jeweils vier Tagen liege deutlich unter der in der MA002 vorgesehenen (Höchst )Frist von sechs Monaten. Was die Protokollierung des Internetverkehrs betreffe, handle es sich um eine Standardkonfiguration u.a. der eingesetzten Proxyserver, deren Abänderung (sofortige Datenlöschung nach Beendigung einer Internetverbindung) „nicht praktikabel und wirtschaftlich nicht zumutbar“ sei. Die Aufzeichnung der Kommunikationsdaten (Internet- und E-Mail-Verkehr) sei auch erforderlich, um die Funktionsfähigkeit der IT-Systeme zu gewährleisten. Es werde serverseitig lediglich die IP-Adresse mitgeloggt (dreiwöchige Speicherfrist); eine Identifizierung eines individuellen Nutzers (durch Auswertung der und Verknüpfung mit den so genannten Login-Protokollen) erfolge aber nur im Bedarfsfall, ohne dass ein automationsunterstütztes Programmtool dafür bereit stehe. Der Personenbezug sei daher „äußerst schwach“. Neben dem Zweck der Sicherung der Funktionsfähigkeit des Systems werde auch ein gewisser Kontrollzweck nicht bestritten. Dieser rechtfertige sich durch den allgemeinen dienst- und arbeitsrechtlichen Grundsatz der Kontrollunterworfenheit des Arbeitnehmers . Der Dienstgeber habe das Recht, die Einhaltung seiner Anordnungen (etwa hinsichtlich der im Ressortbereich des Beschwerdegegners beschränkt zugelassenen privaten Nutzung des Internet- und E-Mail-Zugangs am Arbeitsplatz) zu kontrollieren. Eine „markante Abweichung vom normalen IT-Gebrauch“ begründe ein überwiegendes berechtigtes Interesse des Dienstgebers an einer näheren, personenbezogenen Auswertung solcher Daten; weitere Gründe für eine solche Datenverwendung könnten sich etwa aus Anhaltspunkten für gesetzmäßig gebotene disziplinar- oder strafrechtliche Maßnahmen (z.B. Anzeigen wegen des Verdachts des Besitzes von Kinderpornografie) ergeben. Der Beschwerdeführer sei jedoch nicht Betroffener einer solchen Protokollauswertung gewesen. Der Beschwerdegegner beantragte die Abweisung der Beschwerde.
Der Beschwerdeführer replizierte mit Schreiben vom 28. Februar 2008 auf das Vorbringen des Beschwerdegegners. Er bestritt sachverhaltsmäßig die Unmöglichkeit oder wirtschaftliche Untunlichkeit einer geänderten Serverkonfiguration sowie die Unmöglichkeit der Unterbindung der Datenspeicherung in den Türschlössern und wies darauf hin, dass das Vorbringen des Beschwerdegegners insoweit widersprüchlich sei, als er ein Abkommen mit dem ZA geschlossen habe, die konkrete Überwachung jedoch vom DA (im Zusammenwirken mit dem örtlichen Amtsleiter) kontrolliert werden sollte. Er, der Beschwerdeführer, sei eben nicht im zentralen Ressortbereich des Beschwerdegegners beschäftigt. Hinsichtlich der Internet-Protokolldaten vertrat er nachdrücklich die Ansicht, es handle sich um personenbezogene Daten, die unzulässigerweise – weil ohne konkreten Verdacht und „auf Vorrat“ – gespeichert würden. Es handle sich dabei um „ Auswüchse präventivstaatlichen Verhaltens “ (Unterstreichung im Original). Auch amtswegige Anzeigepflichten für Behörden, wie sie etwa in der StPO vorgesehen seien, würden nicht zu einer präventiven Überwachung ermächtigen. Auch Amtshilfe sei nur auf Ersuchen und im gesetzlichen Wirkungsbereich des ersuchten Organs zulässig.
Nach ergänzendem Parteiengehör durch GZ: K121.358/0004- DSK/2008 vom 9. Mai 2008 (Vorhalt insbesondere der Tatsache, dass das Zollamt C*** unter DVR 00***23 mit einer Musteranwendung MA002 – Zutrittskontrollsystem als Auftraggeber registriert sei), brachten die Parteien vor:
Der Beschwerdegegner führte mit ergänzender Stellungnahme vom 21. Mai 2008 aus, es sei durch die Vereinbarung mit dem ZA die Einrichtung eines Zutrittskontrollsystems für das gesamte Ressort betrieben worden, gestützt auf die Zuständigkeit in Personalangelegenheiten, Raum- und Gebäudefragen gemäß Anlage 2 zu § 2 BMG. Die erfolgte Registrierung der MA0002 durch das Zollamt C*** habe bloß „deklarativen Charakter“ und begründe keine Zuständigkeit des Zollamts C***. Wäre es anders, hätte der Beschwerdeführer den falschen Beschwerdegegner belangt und die Beschwerde hätte hinsichtlich des Zutrittskontrollsystems mangels Passivlegitimation gar nicht zugelassen werden dürfen. Zu den Daten der Protokollierung des Internet-Verkehrs vertrat der Beschwerdegegner nun betont die Position, die Logfiles (serverseitige Aufzeichnungen der IP-Adressen hergestellter Verbindungen) und die Login-Files (Daten zu im Netzwerk angemeldeten Nutzern), deren Daten nicht laufend zusammengeführt und ausgewertet würden, bildeten, jeweils für sich, keine personenbezogenen Datenanwendungen. Nur weil eine Zusammenführung und Auswertung „theoretisch herstellbar“ sei, könne „nicht der Betrieb einer Datenanwendung unterstellt werden“. Sollte die Datenschutzkommission zu anderen Schlussfolgerungen kommen, wären weitreichende Konsequenzen hinsichtlich des Meldeumfangs der gesamten öffentlichen Verwaltung zu erwarten.
Der Beschwerdeführer brachte mit ergänzender Stellungnahme vom 23. Mai 2008 vor, auch eine bloß anlassbezogene Auswertung sonst getrennt gespeicherter Daten (betreffend Zutrittskontrollsystem, Internet- und E-Mail-Überwachung) stelle eine Datenanwendung dar, die zu registrieren wäre. Wäre nur das Zollamt C*** Auftraggeber, müssten Daten bei der vom Beschwerdegegner dargestellten Vorgehensweise erst an den Beschwerdegegner übermittelt werden, oder es läge ein Informationsverbundsystem vor; beides sei nicht von der bestehenden Registrierung (MA0002) gedeckt. Die in der Vereinbarung mit dem ZA ebenfalls aufgestellte Behauptung, dass Aufzeichnungen der internen Sperrvorgänge nicht unterbunden werden könnten, werde bestritten, überhaupt fehle eine Vereinbarung mit dem örtlich zuständigen DA. Jede ohne oder entgegen den Registrierungen betriebene Datenanwendung sei aber unzulässig und ihre Daten zu löschen. Im gegebenen Zusammenhang regte der Beschwerdeführer eine Überprüfung der Registrierung aller im Ressortbereich des Beschwerdegegners gemeldeten Zutrittskontrollanwendungen an. Das vorliegende Löschungsbegehren, das an den Bundesminister für Finanzen persönlich als oberstes, ressortzuständiges Organ gerichtet worden sei, habe eine Löschungspflicht für Daten in Zutrittskontrollsystemen, Internet- und E-Mail-Überwachungssystemen bis auf die Ebene der untersten nachgeordneten Dienststellen im Ressortbereich ausgelöst.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner durch die am 4. Dezember 2007 schriftlich ausgesprochene Weigerung, die laufend verarbeiteten, den Beschwerdeführer betreffenden Daten in den Datenanwendungen „Zutrittskontrollsystem“, „Kontrolle des Internetzugangs“ und „Kontrolle des E-Mail-Verkehrs“ zu löschen, dessen Recht auf Löschung gemäß § 27 Abs. 1 DSG 2000 verletzt hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Bei der vom Beschwerdegegner damit beauftragten Ö*** GmbH wird jeder Zugriff eines zum BMF-Netzwerk gehörigen PC auf eine Internetanwendung derart protokolliert, dass die IP-Adresse dieses PC mit dem angesteuerten Internetziel verknüpft wird („Logfile“). Ein Personenbezug zu einem BMF-Mitarbeiter könnte auf mehrfache Art und Weise hergestellt werden: Einerseits über die im System „PC***-Network“ geführte Zuordnung der PCs zu Mitarbeitern, andererseits über die User-Protokollierung („Login-Files“): Die Ö*** GmbH führt – getrennt von den Internet-Logfiles – auch Protokolle über die mittels Dienstkarte und Eingabe eines PIN-Codes von den Mitarbeitern durchgeführten und standardmäßig mit der Anmeldung am BMF-Server verbundenen Anmeldungen an den PCs. Die Logfiles werden sowohl zum Zweck der technischen Systemüberprüfung und - wartung als auch zum Nachvollziehen unrechtmäßiger bzw. auch strafbarer Internetzugriffe geführt. Sie werden (ebenso wie die Login-Files) standardmäßig drei Wochen lang aufbewahrt. Logfiles und Login-Files werden unstrukturiert („sequentiell“) geführt. Mittels Standardsoftware wie z.B. MS-Excel könnte aber eine Strukturierung (zB Gliederung nach IP-Adressen) hergestellt werden.
Zum Versenden und Empfangen von E-Mails sowie zur Terminverwaltung eines Bediensteten ist beim Beschwerdegegner das Programm „***-Mail-Workgroups“ im Einsatz. Der darin geführte Terminkalender sowie die Mailbox eines Bediensteten kann von diesem auch zur Einsicht für andere Benutzer freigegeben werden. Eine Freischaltung des Terminkalenders, nicht aber der Mailbox, kann allenfalls durch den zuständigen Abteilungsleiter angeordnet werden. Wenn im Rahmen der Terminverwaltung Einladungen versendet werden, nimmt ***-Mail-Workgroups automatisch eine Prüfung vor, ob der gewählte Termin beim eingeladenen Teilnehmer bereits blockiert wird, was gegebenenfalls dem Einlader mitgeteilt wird. In ***-Mail-Workgroups erfolgt auch eine Protokollierung des E-Mail-Verkehrs. Gespeichert werden wiederum in sequentieller Form Zeitpunkt sowie Ziel- und Absenderadresse eines E-Mail-Verkehrs. Die Zwecke sind mit jenen der Internet-Logfiles identisch. Die E-Mails selbst können von ihrem Verfasser jederzeit gelöscht werden, wobei nach seiner Entscheidung sowohl bloßes Verschieben in den elektronischen „Papierkorb“, der standardmäßig erst nach einiger Zeit geleert wird, als auch „Löschen und Tilgen“ möglich ist, was zur sofortigen grundsätzlich unwiderruflichen Löschung des Mails führt. Lediglich über ein Serverbackup wäre dieses dann noch 2 Wochen lang wiederherstellbar. Die Backupmöglichkeit dient lediglich der Sicherung von Daten zum Schutz vor Verlust durch technische Probleme bzw. Fehler der User. ***-Mail-Workgroups bietet weiters Adressbücher an: Ein ressortweites, auf das alle Mitarbeiter Zugriff haben, sowie gruppenspezifische, bei denen der Zugriff auf die jeweiligen Gruppenmitglieder beschränkt ist.
Im Rahmen des am Zollamt C*** (Amtsgebäude E***straße 32 in **** C***) eingesetzten Zutrittskontrollsystems, welches mit Zutrittskarten funktioniert, wird jeder Zutritt eines Bediensteten zum Gebäude selbst, aber auch zu den Arbeitsräumen elektronisch kontrolliert und nur bei Berechtigung freigegeben. Zweck des Systems ist der Schutz vor unberechtigten Zutritten zum Gebäude und zu den Arbeitszimmern. Es kommt ein Zutrittssteuerungssystem der LOCK*** Sicherheitssysteme GmbH zum Einsatz.
Protokolliert in dem Sinne, dass die Zutrittsdaten nachprüfend gelesen werden könnten, werden nur die Zutritte an den Außenzonen (Betreten des Gebäudes) und von sicherheitsrelevanten Bereichen (EDV-Betriebs- und Lagerräume). Für diese Zutrittsstellen wird das Programmmodul LOCK*** SECURE (Online, zentral überwachte Zutritte) eingesetzt.
Die Zutritte zu anderen Räumen als den sicherheitsrelevanten Bereichen werden zwar durch das elektronische Türschloss (LOCK*** Porta-Türbeschlag) ebenfalls aufgezeichnet, dieses Protokoll wird jedoch dem Gerät nicht entnommen (Offline-System), und es wird auch entsprechend der Vereinbarung mit dem Zentralbetriebsrat keiner Auswertung zugeführt
Zentraler Dienstleister für das Zutrittskontrollsystem, das im gesamten Finanzressort eingesetzt wird, ist die Ö*** Ges.m.b.H. In den Dienststellen des Ressorts ist jeweils ein eigener PC installiert, der mit den LOCK*** SECURE Online Zutrittskontrollstellen und mit den LOCK*** Porta-Türbeschlägen sowie mit der Zentralen Applikation beim Dienstleister verbunden ist. Positive Sperrvorgänge werden nur hinsichtlich der LOCK*** SECURE Online Zutrittsstellen vom PC aufgezeichnet und somit nachprüfbar protokolliert; diese Daten bleiben mit Bezug auf den Berechtigten einer Zutrittskarte im Online-System für vier Tage gespeichert. Die in den Steuerelementen des Offline-Systems (Türschlössern) aufgezeichneten Zutritte werden in den Türschlössern für einen unbekannten Zeitraum gespeichert, was aber irrelevant ist, da diese Aufzeichnungen NICHT in den PC der Dienststelle („Auswertungssystem“) überführt werden und auch sonst gemäß Vereinbarung mit dem Zentralbetriebsrat nicht ausgewertet werden. „Auswertungen umfassen ausschließlich vom Online-System LOCK*** SECURE protokollierte Sperrvorgänge und dürfen nur erstellt werden, wenn diese zur Aufrechterhaltung der Sicherheit (z.B. bei strafrechtlichen Ermittlungen durch die Sicherheitsbehörden, wie Diebstahl, Einbruch etc) und zum Schutz der Gesundheit und des Lebens der zutrittsberechtigten Personen(z.B. im Brandfall) erforderlich sind.“ „Die Auswertung von Zutrittsprotokollen erfordert ein Vier-Augen-Prinzip“, nämlich die Anwesenheit eines Vertreters der Amtsleitung und eines Vertreter des Dienststellenausschusses; Zugang zur Datenanwendung wird nur mit beiden Benutzerkennungen gemeinsam gewährt (Systembeschreibung durch das BMF).
Beweiswürdigung : Diese Feststellungen beruhen auf den Feststellungen der Datenschutzkommission in den Bescheiden vom 23. Mai 2007, GZ: K121.259/0013-DSK/2007, und vom 20. Juli 2007, GZ: K121.289/0006-DSK/2007. Von Seiten beider Parteien liegen keine Vorbringen vor, die eine Änderung relevanter Sachverhaltselemente seither behaupten – mit Ausnahme des Punktes Zeitdauer der Internet-Logfilespeicherung, wo scheinbar eine Ausweitung von zwei auf drei Wochen vorgenommen worden ist. Ergänzende Feststellungen hinsichtlich des Zutrittskontrollsystems wurden auf Grund der vom Beschwerdegegner in diesem Verfahren vorgelegten Unterlage „Vereinbarung des Bundesministeriums für Finanzen mit dem Zentralausschuss für die Bediensteten der Finanzverwaltung über den Betrieb eines elektronischen Zutrittssteuerungssystems in den Amtsgebäuden“ vom 22. Juni 2007, Punkt 4. Systemdarstellung, getroffen (Beilage zur Stellungnahme vom 17. Jänner 2008).
D. In rechtlicher Hinsicht folgt daraus :
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung § 1 Abs.1 und 2 DSG 2000 lautet unter Überschrift „Grundrecht auf Datenschutz“:
„ § 1 . (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“
§ 4 Z 4 und 7 DSG 2000 lautet unter der Überschrift „Definitionen“:
„ § 4 . Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
[...]
§ 6 Abs. 1 und 2 DSG 2000 lautet unter der Überschrift „Grundsätze“:
„ § 6 . (1) Daten dürfen nur
(2) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.“
§ 7 DSG 2000 lautet unter der Überschrift „Zulässigkeit der Verwendung von Daten“
„ § 7 . (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
(2) Daten dürfen nur übermittelt werden, wenn
(3) Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.“
§ 8 Abs. 1 bis 3 DSG 2000 lautet unter der Überschrift „Schutzwürdige Geheimhaltungsinteressen bei Verwendung nichtsensibler Daten“:
„ § 8 . (1) Gemäß § 1 Abs. 1 bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder
(2) Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die Verwendung solcher Daten gemäß § 28 Widerspruch zu erheben, bleibt unberührt.
(3) Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten
§ 27 Abs. 1 bis 4 DSG 2000 lautet unter der Überschrift „Recht auf Richtigstellung und Löschung“:
„ § 27 . (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
(2) Der Beweis der Richtigkeit der Daten obliegt - sofern gesetzlich nicht ausdrücklich anderes angeordnet ist - dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.
(3) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.
(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.“
§ 45 Abs. 1 bis 3 BDG lautet unter der Überschrift „Dienstpflichten des Vorgesetzten und des Dienststellenleiters“:
„ § 45 . (1) Der Vorgesetzte hat darauf zu achten, daß seine Mitarbeiter ihre dienstlichen Aufgaben gesetzmäßig und in zweckmäßiger, wirtschaftlicher und sparsamer Weise erfüllen. Er hat seine Mitarbeiter dabei anzuleiten, ihnen erforderlichenfalls Weisungen zu erteilen, aufgetretene Fehler und Mißstände abzustellen und für die Einhaltung der Dienstzeit zu sorgen. Er hat das dienstliche Fortkommen seiner Mitarbeiter nach Maßgabe ihrer Leistungen zu fördern und ihre Verwendung so zu lenken, daß sie ihren Fähigkeiten weitgehend entspricht.
(2) Der Leiter einer Dienststelle oder eines Dienststellenteiles hat außerdem für ein geordnetes Zusammenwirken der einzelnen ihm unterstehenden Organisationseinheiten zum Zwecke der Sicherstellung einer gesetzmäßigen Vollziehung sowie einer zweckmäßigen, wirtschaftlichen und sparsamen Geschäftsgebarung zu sorgen.
(3) Wird dem Leiter einer Dienststelle in Ausübung seines Dienstes der begründete Verdacht einer von Amts wegen zu verfolgenden gerichtlich strafbaren Handlung bekannt, die den Wirkungsbereich der von ihm geleiteten Dienststelle betrifft, so hat er dies, sofern er nicht ohnehin gemäß § 109 Abs. 1 vorzugehen hat, unverzüglich der zur Anzeige berufenen Stelle zu melden oder, wenn er selbst hiezu berufen ist, die Anzeige zu erstatten. Die Anzeigepflicht richtet sich nach § 78 der Strafprozessordnung 1975 (StPO), BGBl. Nr. 631.“
2. rechtliche Schlussfolgerungen
2.1 Auftraggeberrolle – Passivlegitimation
Im Verlauf dieses Beschwerdeverfahrens sind im Hinblick darauf, dass das Zollamt C*** als datenschutzrechtlicher Auftraggeber (DVR: 00***23) die Musteranwendung MA002 Zutrittskontrollsysteme gemäß Anlage zur Verordnung des Bundeskanzlers über Standard- und Musteranwendungen nach dem Datenschutzgesetz 2000 (Standard- und Muster-Verordnung 2004 - StMV 2004, BGBl. II Nr. 312/2004), aufrecht gemeldet hat (siehe zur weiteren Gültigkeit der vor Inkrafttreten der StMV 2004 registrierten Musteranwendungen § 4 leg.cit.), gewisse Zweifel an der Auftraggeberschaft (und damit der Passivlegitimation des Beschwerdegegners) hinsichtlich des Zutrittskontrollsystems entstanden.
Angesichts der Tatsache, dass zum einen auch der Beschwerdegegner eine entsprechende (individuelle) Meldung erstattet hat, zum anderen nach den Sachverhaltsfeststellungen tatsächlich ein System vorliegt, das durch einen hohen Grad an Zentralisierung gekennzeichnet ist (u.a. zentrale Eingriffsmöglichkeit in die Zutrittsprivilegien), bestehen im vorliegenden Beschwerdeverfahren keine Zweifel, dass der Beschwerdegegner jedenfalls als Auftraggeber gemäß § 4 Z. 4 DSG 2000 passiv als Beschwerdegegner legitimiert ist. Die Frage einer möglichen Mitauftraggeberschaft des Zollamts Wien wäre hingegen allenfalls in einem künftigen, amtswegig einzuleitenden Registrierungsverfahren zu klären.
2.2 Registrierung und Rechtmäßigkeit der Datenverwendung
Der Beschwerdeführer hat u.a. behauptet, dass die Löschung seiner Daten auch deshalb geboten sei, weil die beschwerdegegenständlichen Datenanwendungen nicht registriert seien – die Erfüllung der Meldepflicht nach §§ 17 ff DSG 2000 sei aber für die Rechtmäßigkeit einer Datenanwendung konstitutiv.
Abgesehen davon, dass das Zutrittskontrollsystem vom Auftraggeber als MA 002 zur Registrierung gemeldet wurde und dass die Standardverarbeitung SA 013 (Personalverwaltung des Bundes) Datenarten (z.B. Nr. 28) kennt, die nicht ohne Weiteres als bedeutungslos für den vorliegenden Fall bezeichnet werden können, ist festzuhalten, dass die Meldung und Registrierung von Datenanwendungen im Datenverarbeitungsregister in erster Linie der Publizität der Verarbeitung personenbezogener Daten dient und daher nicht notwendig mit der Frage der Zulässigkeit einer Datenanwendung verbunden ist; erst in zweiter Linie erfolgt vor der Registrierung auch eine „vorläufige“ Prüfung der Zulässigkeit der Datenanwendung, deren Ergebnis (in Form der Registrierung) jedoch keine endgültige Bindungswirkung erzeugt: Weder die Gerichte noch auch die Datenschutzkommission selbst sind letztlich an die Beurteilung der Zulässigkeit im Registrierungsverfahren gebunden - das Registrierungsverfahren kann vielmehr von der Datenschutzkommission wieder eröffnet werden, wenn Zweifel an der Zulässigkeit einer registrierten Datenanwendung entstanden sind. Über den vom Beschwerdeführer geltend gemachten Löschungsanpruch wird daher durch Untersuchung der Zulässigkeit der beschwerdegegenständlichen Verwendung von Daten im Sinne der §§ 7 und 8 DSG 2000 (da keine sensiblen Daten involviert sind) zu entscheiden sein.
2.3 materiellrechtliche Prüfung – Internet-Überwachung (WWW und E-Mail)
a) Zunächst ist die Frage zu prüfen, ob für diesen Bereich der – strengere – Eingriffsvorbehalt gemäß § 1 Abs. 2 DSG 2000 zur Anwendung kommt: Eingriffe einer „staatlichen Behörde“ sind „nur auf Grund von Gesetzen“ zulässig. Die Gesetzesmaterialien (Erläuterungen zur RV des DSG 2000, 1613 BlgNR XX. GP, 35) betonen mehrfach, dass dieser strenge Vorbehalt für den Staat als Hoheitsträger gilt.
Der Beschwerdeführer ist Beamter im Ressortbereich des BMF. Dienstrechtliche Maßnahmen, wie insbesondere auch dienstliche Kontrollmaßnahmen, gegenüber dem Beschwerdeführer, wären wohl als hoheitliche Datenverwendung im Sinne des § 1 Abs. 2 DSG 2000 zu qualifizieren, wenn hiezu die personenbezogenen Daten des Beschwerdeführers verarbeitet würden.
Gegenstand der Beschwerde ist jedoch die Datenermittlung - IP-Adressen und Zutrittsdaten - in einem Stadium, in dem sie zunächst rein technische Gründe hat und in welchem ein dienstlicher Kontrollzweck bestenfalls – soweit nicht durch Vereinbarung mit dem Zentralausschuss ausgeschlossen – als entfernte Möglichkeit der Weiterverwendung denkbar ist. Die Ermittlung bzw. der technisch bedingte Anfall von Daten in diesem Stadium stellt keine hoheitliche Tätigkeit des Arbeitgebers dar – diese wäre erst gegeben, wenn er die beschwerdegegenständlichen Daten für eine dienstliche Kontrollmaßnahme heranzieht.
b) Der Beschwerdegegner bestreitet zunächst, dass die (getrennte) Speicherung von Logfiles und Login-Files (samt – unbestrittener - Auswertung im Bedarfsfall ) eine Datenanwendung bilden würden. Das Vorbringen, dass es sich dabei überhaupt um keine Verwendung personenbezogener Daten handeln würde, hat die Datenschutzkommission bereits in einer der früheren Entscheidungen verworfen (vgl. den Bescheid vom 20. Juli 2007, GZ: K121.289/0006-DSK/2007, RIS). Und auch die nunmehrige Argumentation des Beschwerdegegners vermag nicht zu überzeugen, da es offenbar doch Situationen gibt, in welchen die beiden – an sich getrennten – Files (Log-file und Loginfile) verknüpft werden, um in Einzelfällen die Identität eines Nutzers zu bestimmen. IP-Adressen stellen jedenfalls „bestimmbare“ und damit „personenbezogene“ Daten dar, wenn der Zweck der Speicherung nicht eindeutig jegliche Identifizierungsabsicht ausschließt (in welch letzterem Fall aber immer noch „indirekt personenbezogene Daten“ verwendet würden). Da der Beschwerdegegner jedoch selbst von der Auswertung der Daten, d.h. der Identifizierung des Benutzers, im Bedarfsfall spricht, muss davon ausgegangen werden, dass die Speicherung von IP-Adressen im vorliegenden Fall eine Verwendung personenbezogener Daten, nämlich von Daten über „bestimmbare“ Personen, darstellt.
c) Zur Zulässigkeit der Speicherung der (jeweiligen) IP-Adresse, die dem PC eines Bediensteten im Intranet des BMF zugeordnet wurde:
Der Beschwerdegegner hat zur Rechtfertigung der Aufzeichnung von IP-Adressen mehrfache Begründungen vorgebracht:
aa) So wurde u.a. auf das Vorliegen der Zustimmung oder Einbeziehung kollektiver Personalvertretungsorgane (hier: des ZA oder DA) verwiesen. Dies kann freilich keine Rechtsgrundlage im datenschutzrechtlichen Sinn schaffen, da, wie der Beschwerdeführer richtig vorgebracht hat, durch kollektive Rechtsgestaltung nicht in – zwingende - subjektivöffentliche Datenschutzrechte wie die Rechte auf Geheimhaltung und Löschung eigener Daten eingegriffen werden kann. Eine Rechtsgrundlage für die Überwachung des Internet-Gebrauchs könnten sich vielmehr nur auf überwiegende berechtigte Interessen gründen, die sich aus der Stellung des Beschwerdegegners als Dienstgeber des Beschwerdeführers ableiten ließen.
bb) Der Beschwerdegegner hat für seinen Standpunkt, zur Aufzeichnung der IP-Adressen der für die Dienstverrichtung zur Verfügung gestellten Endgeräte berechtigt zu sein, weiters vor allem das Argument der Betriebssicherheit und Funktionstüchtigkeit des IT-Systemkomplexes ins Spiel gebracht. Der Beschwerdeführer hat diese Argumentation des Beschwerdegegners bestritten und bringt dagegen vor, dass personenbezogene (hier besser: durch Verknüpfung mit Login-Files personifizierbare) Logfiles für den Zweck der Betriebssicherheit und Funktionstüchtigkeit nicht zwingend erforderlich seien.
Zunächst ist klarzustellen, dass es sich bei der gegenständlichen Nutzung der Logfiles nicht um den Protokollführungszweck gemäß § 14 Abs. 2 Z 7 DSG 2000 handelt, da dieser der konkreten Datensicherheit, d.h. der Kontrolle, ob personenbezogene Daten Dritter (Betroffener) ordnungsgemäß verwendet worden sind, dienen muss, nicht jedoch der abstrakten (technischen) Systemsicherheit.
Aus der auf Erfahrung gegründeten Sicht der Datenschutzkommission ist der Argumentation des Beschwerdegegners Gewicht zuzuerkennen. Ein komplexes EDV-System wie ein behördeninternes Netzwerk mit Zugang zum Internet (WorldWideWeb) bedarf zwingend eines umfassenden Schutzes gegen Angriffe von Außen wie das Eindringen schädlicher Software, aber auch gegen nachteiligen Gebrauch des Systems von Innen (u.a. durch die Verwendung der EDV-Geräte mit erheblich negativer Auswirkung auf die Systemperformance). Dabei kann es zu Situationen kommen, in denen die nach dem Stand der Technik eingesetzte automatischen Präventivmaßnahmen (wie Virenscanner, Firewalls und URL-Filterprogramme, die den Zugriff auf die Daten bestimmter Websites sperren) nicht ausreichen, sondern vielmehr eine Analyse des Datenverkehrs über das Internet ex post, das heißt nach einem Zwischenfall, zur Aufklärung des Sachverhalts und zur Planung des weiteren Vorgehens zwecks möglichster Verhinderung ähnlicher Vorkommnisse geboten ist.
Die Erforderlichkeit der Aufzeichnung von IP-Adressen der von den Bediensteten benutzten Endgeräte ergibt sich dabei vor allem daraus, dass bei einem Nutzerverhalten, das die Funktionsfähigkeit des Gesamtsystems - auch völlig unverschuldet - gefährdet, der PC des Nutzers identifiziert werden muss, um Abhilfe schaffen zu können (z.B. einen Virus zu entfernen). Daraus folgt nicht automatisch auch die Notwendigkeit, den Nutzer selbst zu identifizieren, was ja auch allein aufgrund der gespeicherten IP-Adressen nicht möglich ist. Zu einer Verknüpfung der IP-Adresse mit dem Login-File muss es nur dann kommen, wenn es tatsächlich notwendig ist, mit dem Nutzer selbst Kontakt aufzunehmen (- etwa um ihn vor dem weiteren systemschädigenden Gebrauch zu warnen).
Wägt man nun die Interessen des Beschwerdeführers, keinerlei auch nur theoretisch möglicher Überwachung durch Speicherung von IP-Adressen seines dienstlichen Internetzugangs ausgesetzt zu sein, gegen das Interesse des Auftraggebers an der Gewährleistung der Systemsicherheit unter Einhaltung einer moderaten Speicherdauer für IP-Adressen (- die vom BMF genannten drei Wochen sind nicht unverhältnismäßig -) ab, ergibt sich ein Überwiegen des Eingriffsinteresses des Beschwerdegegners im Sinne des § 8 Abs. 1 Z 4 DSG 2000.
Auch an der Identifizierung des Benutzers durch Verknüpfung von Logfiles (IP-Adressen) mit dem Login-Files (Benutzeranmeldung) in Fällen, in welchen die Kontaktaufnahme mit dem Benutzer selbst zum künftigen Funktionsschutz des Systems notwendig ist, wird dem Arbeitgeber ein überwiegendes berechtigtes Interesse zuzuerkennen sein: Die Funktionsfähigkeit des IT-Systems ist für die Funktionsfähigkeit einer Behörde oder eines Unternehmens so essentiell, dass es dem Auftraggeber zugebilligt werden muss, dass er diese Funktionsfähigkeit mit allen vernünftigerweise in Betracht kommenden Mitteln zu gewährleisten versucht.
cc) Die unter bb) behandelten Fälle der Identifizierung eines Benutzers sind zu unterscheiden von der Suche nach „Mustern im Verhalten der Zugriffsberechtigten“ - diesbezüglich hat die Datenschutzkommission bereits einmal klargestellt, dass eine solche Suche in einem ansonsten gesetzmäßig geführten Systemlog den rechtmäßigen Kontrollzweck gemäß § 14 Abs. 4 DSG 2000 überschreiten wird (Bescheid vom 16. Dezember 2005, GZ: K121.040/0018-DSK/2005, RIS [RS1]).
Der Beschwerdegegner hat in diesem Zusammenhang vorgebracht, dass öffentlich-rechtliche Dienstverhältnisse wie jenes des Beschwerdeführers durch eine Kontrollunterworfenheit gekennzeichnet sind. Für Bundesbeamte gründet sich diese auf § 45 Abs. 1 BDG (Pflicht der Vorgesetzten zur Führung der Dienstaufsicht). Darunter fällt auch die Pflicht der Vorgesetzten (als Organe des Dienstgebers bzw. der Dienstbehörde), etwa die Einhaltung der Dienstzeit, die Erledigung der Dienstpflichten und den vorgeschriebenen Umgang mit Arbeitsmitteln (wozu auch das Internet bzw. das E-Mail-System zählen) zu kontrollieren. Das Gesetz setzt der Kontrolle jedoch inhaltliche Schranken. Die Dienstaufsicht berechtigt nur zu stichprobenartigen, nicht aber zu permanenten Kontrollen: „Die Pflicht jedes Vorgesetzten zur Dienstaufsicht bedeutet nicht, dass der Vorgesetzte jeden der Schritte und/oder Handlungen seiner untergebenen Mitarbeiter/innen zu kontrollieren und nachzuvollziehen hätte, sondern ist bei verständiger Auslegung dahingehend zu beschränken, dass der Vorgesetzte das Verhalten seiner untergebenen Mitarbeiter/innen fallweise, stichprobenartig und unter Bezugnahme auf ihre bisher dargetane Verlässlichkeit (als je verlässlicher sich ein/e Mitarbeiter/in erwiesen hat, desto seltener besteht die Notwendigkeit zur Dienstaufsicht bzw. Kontrolle) zu überprüfen hat (vgl. zur Unmöglichkeit einer lückenlosen Kontrolle z.B. VwGH 21.9.2005, 2002/09/0135 mwH)“ (Disziplinaroberkommission, 13. April 2007, GZ: 90/11- DOK/06, RIS [RS1]). Eine dauernde Kontrolle der Bediensteten hinsichtlich ihres Gebrauchs der dienstlich zur Verfügung gestellten EDV-Ausstattung würde wohl überdies in Widerspruch zu § 79c BDG 1979 geraten, wonach „die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren“, unzulässig ist.
Die §§ 7 Abs. 1 und 8 Abs. 3 Z 1 DSG 2000 iVm § 45 Abs. 1 BDG ermächtigen den Dienstgeber daher nach einer Interessenabwägung unter Einbeziehung von § 7 Abs. 3 DSG 2000 (Grundsatz der Anwendung des gelindesten Mittels) isoliert betrachtet allein nicht zur permanenten Verknüpfung von Logfiles über den Internet- und E-Mail-Verkehr mit den zur Identifizierung von Nutzern führenden Daten der Login-Files, um damit Dienstaufsicht zum Zwecke der Kontrolle des Arbeitserfolgs vorzunehmen.
Gleichfalls ist die Bezugnahme des Beschwerdegegners auf die Amtshilfepflicht oder bestehende Anzeigepflicht bei Verdacht strafrechtlich relevanter Handlungen kein tragfähiger Grund für permanente identifizierende Überwachung des Internet- und E-mail-Verkehrs der Bediensteten: Amtshilfe kann überhaupt nur auf konkretes Ersuchen im Einzelfall hin geübt werden und kommt als Rechtsgrundlage ständiger Datenverarbeitung „auf Vorrat“ und „für den Bedarfsfall“ nicht in Betracht (vgl. dazu auch die Erwägungen der Datenschutzkommission im Bescheid vom 29. November 2006, GZ: K121.229/0006-DSK/2006 RIS [RS1]). Auch aus einer Anzeigepflicht für den Fall, dass ein behördliches Organ Kenntnis von einem strafrechtswidrigen Verhalten erhält, kann keine Überwachungspflicht (oder ein Überwachungsrecht) abgeleitet werden. Dass im konkreten Verdachtsfall unter Wahrung der Verhältnismäßigkeit durchgeführte überwachende Maßnahmen allerdings zulässig sein können, wird durch die vorstehenden Erwägungen nicht präjudiziert.
dd) Aus den vorstehenden Erwägungen ergibt sich insgesamt, dass der Beschwerdegegner den Beschwerdeführer durch die Weigerung, Daten der Internet- und E-Mail-Logfiles zu löschen, nicht in seinem Recht auf Löschung verletzt hat, da es überwiegende berechtigte Interessen des Dienstgebers an der Speicherung von IP-Adressen der dienstlichen Endgeräte für bestimmte zulässige Zwecke gibt. Die Beschwerde, die sich nicht gegen eine bestimmte tatsächliche Verwendung dieser Daten, sondern gegen die Ermittlung dieser Daten überhaupt gerichtet hat, war daher in diesem Punkt abzuweisen.
2.4 materiellrechtliche Prüfung – Zutrittskontrollsystem
Der Beschwerdegegner hat hier vorgebracht, die Zutrittskontrolle diene allgemeinen Sicherheitszwecken (Schutz gegen Eindringen Unbefugter, Schutz gelagerter Sachen) sowie der Nachvollziehbarkeit der Zutritte bei Zwischenfällen (Diebstählen etc.). Die Speicherdauer in der zentralen Einheit (vier Tage) sei vergleichsweise kurz.
Der Beschwerdegegner ist insoweit im Recht, als ihn eine allgemeine Pflicht trifft, das Eigentum des Bundes und die in seinen Amtsgebäuden aufhältigen Personen (Dienstnehmer, sonstige Personen) und eingebrachten Sachen gegen gefährliche Angriffe zu schützen (vgl. etwa die Begriffe „Eigenschutz“ und „Verantwortungsschutz“ [betr. Videoüberwachung] im Bescheid vom 3. Oktober 2007, GZ: K600.041-044/0003-DVR/2007, RIS).
Auch die Speicherdauer im Zentralsystem von vier Tagen erscheint angesichts der von der Datenschutzkommission in vergleichbaren Fällen (Videoüberwachung, Bildaufzeichnungssystem mit Ringspeicher) für angemessen erachteten Fristen als vertretbar. Es ist allerdings darauf hinzuweisen, dass der vom Beschwerdegegner gemachte Verweis auf eine sechsmonatige Speicherdauer für Zwecke der Musteranwendung „Zutrittskontrollsystem“ unzutreffend ist. Die in Anlage 1 zur StMV 2004 für die MA002 vorgesehene dementsprechende Frist gilt für die maximale Speicherdauer der Daten des Zutrittsberechtigten (nach dem Ende der Berechtigung), nicht jedoch für die Dauer der Speicherung der Zutrittsdaten , da eine solche in der MA002 gar nicht vorgesehen ist (reines Schlüsselsystem).
Die Speicherung der Zutrittsdaten zum Dienststellen-Gebäude für eine Dauer von vier Tagen ist angesichts des angegebenen Zwecks und der sehr engen Definition der Auswertungsgründe als zulässig, weil vom überwiegenden berechtigten Interesse des Auftraggebers gedeckt, anzusehen. Angesichts des Umstands, dass Bedienstete Anwesenheitspflicht in der Dienststelle innerhalb ihrer Dienstzeit haben und das Verlassen der Dienststelle innerhalb der Dienstzeit ohnehin einer besonderen Begründung und Evidenthaltung unterliegen, kann in der Ermittlung von Zutritts- und Abgangszeiten vom Dienststellengebäude kein unzulässiger Eingriff des Dienstgebers in die Datenschutzrechte der Dienstnehmer und insbesondere des Beschwerdeführers erblickt werden. Es liegt auch keine Unverhältnismäßigkeit dieser Kontrollmaßnahme vor, da auch sonst üblicherweise Aufzeichnungen über die Dienstzeit, die regelmäßig hauptsächlich in der Dienststelle zu verbringen ist, zu führen sind.
Anders wäre die Frage der Verhältnismäßigkeit bei der Kontrolle des Zutritts zum und Verlassen des Arbeitsraums zu sehen, wenn diese Daten tatsächlich einer Kontrolle unterworfen würden:
Der Beschwerdegegner hat schon im Vorgänger-Verfahren dargelegt, dass eine Kontrolle der Zu- und Abgänge von den Arbeitsräumen der Bediensteten des Zollamts C*** - abgesehen von den EDV-Betriebs- und Lagerräumen, für die schon im Hinblick auf § 14 DSG 2000 besondere Sicherheitserfordernisse herrschen – nicht stattfindet; eine entsprechende Vereinbarung ist nachweislich zwischen dem BMF und dem Zentralbetriebsrat geschlossen worden.
Bei der Frage der Rechtmäßigkeit einer Datenanwendung kommt es nicht in erster Linie darauf an, was aufgrund der eingesetzten Mittel technisch möglich wäre, sondern welche Verarbeitungsschritte der Auftraggeber mit den eingesetzten technischen Mitteln tatsächlich vornehmen will. Im vorliegenden Fall hat sich der Dienstgeber gegenüber der zentralen Bediensteten-Vertretung dahingehend gebunden, dass er Daten über den Zutritt zu den Arbeitsräumen NICHT auswerten wird. Dass der Dienstgeber diese Vereinbarung einhält, darf angenommen werden, solange nicht Hinweise darauf hervorgekommen sind, dass der Dienstgeber als Auftraggeber in Wahrheit eine Datenanwendung mit anderen (z.B. zusätzlichen) Verarbeitungsschritten vornimmt. Gerade dies ist jedoch weder in der Beschwerde behauptet worden, noch im Ermittlungsverfahren hervorgekommen. Aus diesem Grunde war der Verantwortung des Beschwerdegegners, dass er die Speicherung der Daten zwar technisch nicht unterdrücken könne, sie aber in keiner Weise benütze, der Vorrang zu geben gegenüber dem Begehren, die Löschung von Daten vorzunehmen, die zwar anfallen, aber nicht verwendet werden. Die Beschwerde war daher auch in diesem Punkt abzuweisen.