K210.583/0009-DSK/2008 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

E M P F E H L U N G E N

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER, Mag. HUTTERER, und Dr. STAUDIGL sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 20. Juni 2008 folgenden Beschluss gefasst:

Auf Grund der Eingabe des Isidor E*** in X*** (Einschreiter) vom 27. August 2007, gerichtet gegen das Arbeitsmarktservice Niederösterreich in Wien (in der Folge kurz: AMS NÖ), wegen behaupteter Verletzung des DSG 2000 im Zusammenhang mit der Ermittlung von Gesundheitsdaten durch das AMS NÖ bzw. ein durch dieses beauftragtes Kursinstitut ergehen gemäß § 30 Abs. 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idgF, die folgenden Empfehlungen an das AMS NÖ:

Für die Umsetzung dieser Empfehlungen wird eine Frist von sechs Monaten gesetzt.

B e g r ü n d u n g:

A. Vorbringen des Einschreiters bzw. Gegenäußerungen vom AMS NÖ

Der Einschreiter brachte in seiner Eingabe im Wesentlichen vor, er sei im Rahmen des Besuches des AMS Kurses „***“, der von der Firma A*** durchgeführt werde, von einer Trainerin über Gesundheitsdaten für einen Anamnese-Fragebogen befragt worden, ohne dass ihm das bewusst gewesen sei. Weder die Vorgangsweise (Weiterleitung dieses Anamnese-Fragebogens an Mediziner), noch die Namen der Mediziner noch die Berichtspflicht der Trainerin sei bekannt gewesen. Der Einschreiter legte eine Kopie der Antwort des AMS NÖ auf sein Schreiben an das AMS Österreich vor und ersuchte um Prüfung, ob eine Datenschutzverletzung vorliege.

Das AMS NÖ gab in seiner Stellungnahme vom 8. Oktober 2007 an, der gegenständliche Kurs werde auf Grundlage eines mit dem Kursinstitut A*** abgeschlossenen Fördervertrages durchgeführt. A*** habe als Subauftragnehmer den Leiter des Instituts für B***, Herrn Mag. Dr. C***, beauftragt. Der Vertrag mit diesem Subauftragnehmer sei „konzeptmäßig“ gewesen und somit mit der Zustimmung des AMS NÖ erfolgt. Die Trainerin, die mit dem Einschreiter den Anamnesebogen ausgefüllt habe, sei Mitarbeiterin des Subauftragnehmers – der Anamnesebogen sei dann Dr. C*** zur Begutachtung vorgelegt worden. In der Folge habe der Einschreiter mehrere Gespräche mit Dr. C*** persönlich gehabt, um die gesundheitlichen Einschränkungen persönlich abzuklären und die Kursmaßnahmen optimal abzustimmen. Der Stellungnahme war das Anamneseblatt des Einschreiters beigelegt.

In einer weiteren Stellungnahme vom 19. November 2007 wurde der Kooperationsvertrag zwischen A*** und dem Subauftragnehmer übermittelt (sowie die Fördervereinbarung des AMS NÖ mit A***). Außerdem wurde angegeben, dass der Anamnesebogen dem Kunden nur auf Wunsch ausgehändigt werde. Das AMS habe A*** bzw. dem Subauftragnehmer keine Gesundheitsdaten überlassen, diese seien vielmehr vom Dienstleister im Gespräch mit dem Kunden selbst erhoben worden.

Auf Aufforderung, die entsprechenden Dienstleisterverträge vorzulegen, übermittelte das AMS NÖ mit Stellungnahme vom 13. Februar 2008 erneut Kooperationsvertrag und Fördervereinbarung sowie das Konzept der Firma A*** und die Allgemeinen Bestimmungen des AMS NÖ zur Gewährung von Beihilfen an Bildungsträger für die entstehenden Personal- und Sachkosten bei der Durchführung von Bildungsmaßnahmen, die vom AMS übertragen werden.

B. Sachverhaltsannahmen

Der folgende Sachverhalt wird als Grundlage der Empfehlung angenommen:

Der Einschreiter besuchte in der Zeit vom 10. Mai 2005 bis 15. August 2005 den vom AMS NÖ durchgeführten Kurs „***“. Der Kurs wurde von der Firma A*** GmbH (im Folgenden kurz A***) durchgeführt. Grundlage für die Durchführung war einerseits die Kursbeschreibung der Firma A*** (ohne Datumsangabe) sowie eine Fördermittelung durch das AMS NÖ vom 17. Jänner 2005.

Laut Kursbeschreibung sind Inhalte des Kurses Gesundheitsaspekte (Bewegungs- und Krafttraining), die berufliche Orientierung, die aktive Arbeitssuche, EDV (ECDL) sowie Praktika. Für die Gesundheitsaspekte werden laut dieser Beschreibung vom „Institut für B***“ die sportwissenschaftliche und Trainingskompetenz zugekauft.

Laut Fördermitteilung (aufgrund § 34 iVm § 32 Abs. 3 AMSG) gilt „diese Beauftragung … gleichzeitig als Zuschlagserteilung im zugrundeliegenden Vergabeverfahren“. Das Kurskonzept (wohl die Kursbeschreibung gemeint) wird zum integrierten Bestandteil der Fördermitteilung erklärt. Überdies gelten die „Allgemeinen Bestimmungen zur Gewährung von Beihilfen an Bildungsträger für die entstehenden Personal- und Sachkosten bei der Durchführung von Bildungsmaßnahmen, die vom AMS übertragen werden“. Nachfolgend finden sich Einzelheiten zur gewährten Beihilfe.

Die „Allgemeinen Bestimmungen zur Gewährung von Beihilfen an Bildungsträger für die entstehenden Personal- und Sachkosten bei der Durchführung von Bildungsmaßnahmen, die vom AMS übertragen werden“ (Version 1.04, gültig ab 24. Mai 2004) enthalten keine datenschutzrechtlichen Regelungen.

Beweiswürdigung: Diese Feststellungen beruhen auf dem durch Urkundenkopien belegten Vorbringen des Einschreiters bzw. des AMS NÖ. Dem zuständigen Sachbearbeiter wurde außerdem in einem Telefonat mit Herrn D*** vom AMS NÖ am 26. Februar 2008 mitgeteilt, dass es dabei kein Einzelfall ist, wenn die Übertragung von Bildungsaufgaben vom AMS NÖ an einen Dritten nicht von datenschutzrechtlichen Bestimmungen begleitet ist.

Die Firma A*** zog auf Grundlage eines Kooperationsvertrages die B*** GmbH CO KEG (im Folgenden kurz Institut für B***) zur Erbringung jenes Teils der Maßnahmen im Rahmen der mit dem AMS abgeschlossenen Verträge im Bereich der Betreuung von Arbeitslosen, welche als „Anleitung“ zu körperlicher Bewegung/Sporttherapie samt Unterricht umschrieben ist. Auch dieser Kooperationsvertrag enthält keine datenschutzrechtlichen Bestimmungen.

Beweiswürdigung: Diese Feststellungen beruhen auf dem Kooperationsvertrag selbst, den das AMS NÖ mit Stellungnahme vom 19. November 2007 vorgelegt hat.

Am 29. April 2005 führte der Einschreiter ein Anamnesegespräch mit einer Mitarbeiterin des Instituts für B***, in dessen Zuge ein Anamneseblatt ausgefüllt wurde, welches auch Gesundheitsdaten enthält (Rubriken ua. „Aktuelle körperliche Probleme/gesundheitliche

Einschränkungen/Kontraindikationen/Besonderheiten“, „Blutdruck“, „Medikamente“). Aus dem Anamneseblatt selbst ergibt sich nicht, durch wen die Befragung durchgeführt wird und wofür diese Daten verwendet werden bzw. an wen sie überlassen/übermittelt werden. Das Anamneseblatt wird dem Kursteilnehmer auch nur auf Wunsch ausgehändigt.

Das Anamneseblatt wird an die Firma A*** übermittelt, wo die Daten in Papierform aufbewahrt bleiben, allerdings nach Kursen und innerhalb dieser nach Namen sortiert.

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Anamneseblatt selbst, welches das AMS NÖ mit Stellungnahme vom 8. Oktober 2007 vorgelegt hat. Dass das Anamneseblatt nur auf Wunsch, aber nicht automatisch jedem Kursteilnehmer ausgehändigt wird, hat das AMS NÖ in seiner Stellungnahme vom 19. November 2007 selbst angegeben. Wie das Anamneseblatt weiter aufbewahrt wird, ergibt sich aus einem Telefonat, das der zuständige Sachbearbeiter mit DSA E*** von A*** (dort zuständig für den Kurs „***“) am 11. Juni 2008 geführt hat. Insbesondere gibt er an, dass die Papieranamnesebögen geordnet aufbewahrt werden.

C. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die relevanten Vorschriften des DSG 2000 lauten auszugsweise:

„ Grundrecht auf Datenschutz

§ 1 . (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

[...]

Definitionen

§ 4 . Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

[...]

Grundsätze

§ 6 . (1) Daten dürfen nur

Zulässigkeit der Verwendung von Daten

§ 7 . (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.

(2) Daten dürfen nur übermittelt werden, wenn

(3) Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.

Schutzwürdige Geheimhaltungsinteressen bei

Verwendung nichtsensibler Daten

§ 8 . (1) Gemäß § 1 Abs. 1 bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn

[...]

4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.

Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen

§ 10 . (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.

(2) Die beabsichtigte Heranziehung eines Dienstleisters durch einen Auftraggeber des öffentlichen Bereichs im Rahmen einer Datenanwendung, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegt, ist der Datenschutzkommission mitzuteilen, es sei denn, daß die Inanspruchnahme des Dienstleisters auf Grund ausdrücklicher gesetzlicher Ermächtigung erfolgt oder als Dienstleister eine Organisationseinheit tätig wird, die mit dem Auftraggeber oder einem diesem übergeordneten Organ in einem Über- oder Unterordnungsverhältnis steht. Kommt die Datenschutzkommission zur Auffassung, daß die geplante Inanspruchnahme eines Dienstleisters geeignet ist, schutzwürdige Geheimhaltungsinteressen der Betroffenen zu gefährden, so hat sie dies dem Auftraggeber unverzüglich mitzuteilen. Im übrigen gilt § 30 Abs. 6 Z 4.

Pflichten des Dienstleisters

§ 11 . (1) Unabhängig von allfälligen vertraglichen Vereinbarungen haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:

(2) Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der in Abs. 1 genannten Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten.

[...]

Kontrollbefugnisse der Datenschutzkommission

§ 30 . (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.

(2) Die Datenschutzkommission kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.

(3) Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§ 26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.

[...]

(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere

(7) Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde.

[...]

Manuelle Dateien

§ 58 . Soweit manuell, dh. ohne Automationsunterstützung geführte Dateien für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gelten sie als Datenanwendungen im Sinne des § 4 Z 7. § 17 gilt mit der Maßgabe, daß die Meldepflicht nur für solche Dateien besteht, deren Inhalt gemäß § 18 Abs. 2 der Vorabkontrolle unterliegt.“

Die maßgeblichen Vorschriften des Arbeitsmarktservicegesetzes (AMSG), BGBl Nr. 313/1994 idgF, lauten:

„ Datenverarbeitung

§ 25 . (1) Das Arbeitsmarktservice und das Bundesministerium für Wirtschaft und Arbeit sind zur Verarbeitung von personenbezogenen Daten im Sinne des Datenschutzgesetzes, BGBl. I Nr. 165/1999, insoweit ermächtigt, als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung sind. Gesundheitsdaten im Sinne der Z 4 dürfen nur vom Arbeitsmarktservice für die den lit. a und b jeweils entsprechenden Zwecke verarbeitet werden. Die in Frage kommenden Datenarten sind:

[...]

4. Gesundheitsdaten:

(4) Die vom Arbeitsmarktservice verarbeiteten Daten gemäß Abs. 1 dürfen an die Bundesrechenzentrum GmbH und an Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen sind (§ 30 Abs. 3), im Rahmen der von diesen zu erbringenden Dienstleistungen im Wege der automationsunterstützten Datenverarbeitung überlassen werden.

Voraussetzungen für die Aufgabenerfüllung

§ 30 . (1) Das Arbeitsmarktservice hat die erforderlichen Voraussetzungen zu schaffen und die erforderlichen Vorkehrungen zu treffen, um die im 2. und 3. Hauptstück genannten Leistungen so gestalten zu können, daß sie der Erreichung des in § 29 genannten Zieles bestmöglich dienen.

(2) Das Arbeitsmarktservice hat für die Arbeitsmarktbeobachtung und -statistik sowie für Grundlagen- und Entwicklungsarbeit und die Forschung in den Bereichen Arbeitsmarkt, Beschäftigung und Berufswelt zu sorgen.

(3) Soweit das Arbeitsmarktservice Aufgaben gemäß Abs. 2 nicht selbst besorgen kann oder deren Besorgung unzweckmäßig oder unwirtschaftlich wäre, hat es dafür Vorsorge zu treffen, daß diese Aufgaben auf Grund vertraglicher Vereinbarungen, zB durch Übertragung an geeignete Einrichtungen oder Beteiligung an solchen, besorgt werden. Durch eine solche vertragliche Vereinbarung dürfen schutzwürdige Interessen Dritter im Sinne des § 1 Abs. 1 des Datenschutzgesetzes nicht verletzt werden.

[...]

Dienstleistungen

§ 32 . (1) Das Arbeitsmarktservice hat seine Leistungen in Form von Dienstleistungen zu erbringen, deren Zweck die Vermittlung von Arbeitsuchenden auf offene Stellen, die Beschäftigungssicherung und die Existenzsicherung im Sinne des § 29 ist.

(2) Dienstleistungen zur Vorbereitung, Ermöglichung oder Erleichterung einer solchen Vermittlung oder Beschäftigungssicherung sind im besonderen

(3) Soweit das Arbeitsmarktservice Dienstleistungen im Sinne des Abs. 2 nicht selbst bereitstellen kann oder deren Bereitstellung unzweckmäßig oder unwirtschaftlich wäre, hat es dafür Vorsorge zu treffen, daß solche Leistungen auf Grund vertraglicher Vereinbarungen, zB durch Übertragung an geeignete Einrichtungen, auf andere Weise zur Verfügung gestellt werden. Dabei dürfen schutzwürdige Interessen Dritter im Sinne des § 1 Abs. 1 des Datenschutzgesetzes nicht verletzt werden.

(4) Dienstleistungen sind grundsätzlich kostenlos. Für besondere Dienstleistungen, wie Testung und Vorauswahl von Bewerbern oder spezielle Werbemaßnahmen und Maßnahmen der Personalberatung für Betriebe, kann der Verwaltungsrat ein angemessenes Entgelt festsetzen, das dem Arbeitsmarktservice zufließt. Dienstleistungen für Arbeitnehmer, Arbeitslose und Arbeitsuchende sind jedenfalls kostenlos zu erbringen.

[...]“

2. rechtliche Schlussfolgerungen

Das AMS NÖ hat grundsätzlich die Bestimmungen des AMSG anzuwenden. Danach darf es Gesundheitsdaten nur für die den § 25 Abs. 1 Z 4 lit. a und b AMSG jeweils entsprechenden Zwecke verarbeiten. Nach § 25 Abs. 1 Z 4 lit. a AMSG sind Gesundheitsdaten gesundheitliche Einschränkungen, die die Arbeitsfähigkeit oder die Verfügbarkeit in Frage stellen oder die berufliche Verwendung berühren. Anhaltspunkte, dass dieser Rahmen überschritten wurde, liegen hier nicht vor.

Weiters hat das AMS NÖ die in § 32 Abs. 1 AMSG allgemein beschriebenen und in Abs. 2 leg. cit. beispielhaft aufgezählten Dienstleistungen zu erbringen. Kann es die Dienstleistungen nicht selbst bereitstellen, hat es durch vertragliche Vereinbarungen zB durch Übertragung an geeignete Einrichtungen dafür Vorsorge zu treffen, dass die Leistungen auf andere Weise zur Verfügung gestellt werden (Abs. 3 leg. cit.). Im vorliegenden Fall wurde der Firma A*** mit Mitteilung vom 17. März 2005, die ausdrücklich auf § 32 Abs. 3 AMSG Bezug nimmt, eine Beihilfe gewährt. Diese „Beauftragung gilt gleichzeitig als Zuschlagserteilung im zugrundeliegenden Vergabeverfahren“.

Durch eine solche vertragliche Vereinbarung dürfen schutzwürdige Interessen Dritter im Sinne des § 1 Abs. 1 des Datenschutzgesetzes nicht verletzt werden. Weitere datenschutzrechtliche Regelungen trifft das AMSG nicht. Es gelangt daher das DSG 2000 zur Anwendung.

Nach § 10 Abs. 1 DSG 2000 dürfen Auftraggeber bei ihren Datenanwendungen Dienstleister (§ 4 Z 5 DSG 2000) in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten.

Fraglich ist in diesem Zusammenhang zunächst, ob gegenständlich eine Datenanwendung iSd § 4 Z 7 DSG 2000 vorliegt. Die Anamneseblätter werden lediglich in Papierform, das aber nach Kurs und innerhalb diesem nach Namen geordnet, aufbewahrt. Damit liegt wohl keine Datenanwendung, aber eine Datei iSd § 4 Z 6 DSG 2000 (strukturierte Sammlung, die nach mindestens einem Suchkriterium – wie hier dem Namen – zugänglich ist) vor. Der Dienstleister-Begriff in § 4 Z 5 DSG 2000 stellt nun zwar auf das „Verwenden von Daten“ ab, was nach § 4 Z 8 DSG 2000 jede Art der Handhabung von Daten einer Datenanwendung ist, doch dehnt § 58 DSG 2000 diese Regelung aus: danach gelten manuell geführte Dateien dann als Datenanwendungen, wenn sie für Zwecke von Angelegenheiten, in denen die Gesetzgebung Bundessache ist, bestehen. Dies ist hier der Fall: die Angelegenheiten des AMS fallen in die Gesetzgebung des Bundes (Art 10 Z 11 B-VG), sodass in diesem Bereich Dateien wie Datenanwendungen zu behandeln sind – es müssen daher ua. auch die Vorschriften über Dienstleister beachtet werden.

Um nun die Gewähr für eine rechtmäßige und sichere Datenverwendung iSd § 10 Abs. 1 DSG 2000 zu bieten, hat der Auftraggeber ua. mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen. § 11 Abs. 1 DSG 2000 zählt auf, welche Pflichten Dienstleister unabhängig von allfälligen vertraglichen Vereinbarungen jedenfalls haben. Da Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der in Abs. 1 genannten Pflichten zu Zwecken der Beweissicherung schriftlich festzuhalten sind (§ 11 Abs. 2 DSG 2000;

Dienstleistervertrag), dies im vorliegenden Fall aber nicht geschehen ist (und über diesen Fall hinausgehend nicht üblich scheint), war die Empfehlung 1 auszusprechen.

Empfehlung 2 befasst sich mit den inhaltlichen Mindesterfordernissen eines Dienstleistervertrages, wobei darüber hinaus ausdrücklich auch auf § 11 Abs. 1 DSG 2000 hingewiesen wird.

Da Dienstleister definitionsgemäß (§ 4 Z 5 DSG 2000) Daten nur zur und nur im Rahmen der Herstellung eines aufgetragenen Werkes verwenden dürfen, waren die Empfehlungen 2.a, 2.b und

2. d auszusprechen. Empfehlung 2.c ist der Bestimmung des § 11 Abs. 1 Z 3 DSG 2000 nachempfunden.

Die Erstattung der vorliegenden Empfehlung ist auch deshalb angeraten, weil die Datenschutzkommission auch in mehreren anderen Beschwerdeverfahren feststellen konnte, dass die datenschutzrechtlichen Beziehungen zwischen den Dienststellen des AMS und den von diesen herangezogenen Dienstleistern oft nicht klar geregelt sind.

Schließlich wird an dieser Stelle auch auf die Pflicht zur Meldung von Datenanwendungen nach den §§ 17ff DSG 2000 hingewiesen.