K121.410/0008-DSK/2008 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. HEILEGGER, Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ und Dr. STAUDIGL sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 05. Dezember 2008 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Dr. Sebastian M*** in Wien (Beschwerdeführer) gegen die Bundespolizeidirektion Wien (Beschwerdegegnerin) vom 15. Juli 2008 wegen Verletzung im Recht auf Löschung wird wie folgt entschieden:
R e c h t s g r u n d l a g e:
Begründung:
A. Vorbringen der Partei
In seiner Beschwerde vom 15. Juli 2008 behauptet der Beschwerdeführer eine Verletzung im Recht auf Löschung. Er habe durch die Datenauskunft der Beschwerdegegnerin vom 28. April 2008 erfahren, dass diese zu seiner Person Daten wegen des Verdachts des Deliktes des Betruges speichere. Er habe daraufhin mit Schreiben vom 25. Mai 2008 die Löschung dieser Daten bei der Beschwerdegegnerin begehrt. Mit Schreiben vom 5. Juni 2008 habe die Beschwerdegegnerin unter Hinweis auf § 26 Abs. 7 DSG 2000 die begehrte Löschung verweigert. Erst nach dem 10. August 2008 werde bekannt, ob die Löschung (nach diesem Datum) durchgeführt werde oder nicht. Die Daten in den Allgemeinen Protokollen und im Erhebungsakt würden jedenfalls überhaupt nicht gelöscht werden.
Die Datenschutzkommission habe in ihrem Bescheid vom 20. Mai 2005, Zl. K121.019/0010-DSK/2005 ausgesprochen, dass die Löschungssperre gemäß § 26 Abs. 7 DSG 2000, wie schon aus dem logisch-systematischen Zusammenhang zu folgern ist, nur im Verfahren zur Durchsetzung des Rechts auf Auskunft über eigene Daten wirke. Sie diene der Sicherung eines im Fall einer Beschwerde gemäß § 31 Abs. 1 DSG 2000 möglicher Weise aufzunehmenden Beweises über den tatsächlichen Datenbestand. Auf das Löschungsrecht hat sie nur dann eine Auswirkung, wenn die Rechte auf Auskunft und Löschung gleichzeitig geltend gemacht würden. Hinsichtlich der Erhebungsakte werde im Übrigen bemerkt, dass diese nicht mehr (nur) auf Papier geführt werden, sondern vielmehr im Rahmen der allgemeinen Protokolle in elektronischer Form. Die bisherige Judikatur zu Papierakten sei auf diese elektronischen Akten nicht übertragbar, zumal sie nach verschiedensten Kriterien (leicht) durchsuchbar seien.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob sich die Beschwerdegegnerin am 5. Juni 2008 zu Recht geweigert hat, Daten des Beschwerdeführers zu löschen.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer hat am 10. April 2008 per Telefax ein Auskunftsbegehren gemäß § 26 DSG 2000 bei der Beschwerdegegnerin eingebracht.
Beweiswürdigung: Diese Feststellung ergibt sich aus dem der Beschwerde beigelegten Schreiben des Beschwerdegegners vom 5. Juni 2008.
Daraufhin hat die Beschwerdegegnerin dem Beschwerdeführer mit Schreiben vom 28. April 2008 Auskunft erteilt.
Beweiswürdigung: Diese Feststellung ergibt sich aus dem Beschwerdevorbringen.
Der Beschwerdeführer hat nach Erhalt der Auskunft keine ausdrückliche Erklärung betreffend die Geltendmachung des Beschwerderechts gemäß § 31 Abs. 1 DSG 2000 gegenüber der Beschwerdegegnerin abgegeben.
Beweiswürdigung: Diese Feststellung ergibt sich aus dem, im Übrigen verspäteten, Vorbringen des Beschwerdeführers in seiner Stellungnahme vom 28. Oktober 2008.
Mit Schreiben vom 25. Mai 2008 teilte der Beschwerdeführer der Beschwerdegegnerin mit, er habe durch die Auskunft vom 28. April 2008 erfahren, dass zu seiner Person Daten wegen des Verdachts des Delikts des Betruges gespeichert werden. Da die Anzeige der Staatsanwaltschaft in dieser Sache zurückgelegt worden sei und die Daten insofern nicht mehr benötigt werden, begehrte der Beschwerdeführer die Löschung sämtlicher zu seiner Person im Zusammenhang mit diesen sicherheitsbehördlichen Ermittlungen und der Anzeige der Staatsanwaltschaft Wien verarbeiteten Daten, insbesondere im KPA, in den Allgemeinen Protokollen und in den entsprechenden Erhebungsakten.
Beweiswürdigung: Diese Feststellungen ergeben sich aus dem der Beschwerde beigelegten Schreiben des Beschwerdeführers vom 25. Mai 2008.
Die Beschwerdegegnerin teilte dem Beschwerdeführer mit Schreiben vom 5. Juni 2008 unter Hinweis auf § 26 Abs. 7 DSG 2000 mit, dass seinem Löschungsbegehren frühestens mit 10. August 2008 nachgekommen werden kann, sofern er zwischenzeitlich keine Beschwerde gemäß § 31 DSG 2000 bei der Datenschutzkommission einbringt. Der Löschungsantrag des Beschwerdeführers wird in Evidenz gehalten, bereits jetzt mit der Prüfung des Zutreffens der Voraussetzungen für eine Löschung begonnen und der Beschwerdeführer nach Ablauf der Sperrfrist gemäß § 27 Abs. 4 DSG 2000 über das Ergebnis der Prüfung informiert.
Beweiswürdigung: Diese Feststellung ergibt sich aus dem der Beschwerde beigelegten Schreiben der Beschwerdegegnerin vom 5. Juni 2008.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die hier wesentlichen Bestimmungen des Datenschutzgesetzes 2000, BGBl I Nr. 165/1999 idgF (DSG 2000), lauten auszugsweise:
„§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
…
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
…
(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten.
§ 27. (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
2. auf begründeten Antrag des Betroffenen.
Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§ 46 und 47.
…
(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.“
2. rechtliche Schlussfolgerungen
Die Beschwerdegegnerin hat dem Beschwerdeführer am 5. Juni 2008 eine § 27 Abs. 4 DSG 2000 entsprechende Antwort erteilt und war mit ihrer Ansicht, durch § 26 Abs. 7 DSG 2000 an der Löschung der Daten gehindert zu sein, im Recht.
Im Bescheid vom 5. April 2005, GZ: K120.873/0003-DSK/2005 (RIS), hat die Datenschutzkommission § 26 Abs. 7 DSG 2000 eine Konkurrenz von Auskunfts- und Löschungsrecht wie folgt ausgelegt:
„Die Beschwerdegegnerin wendet hier zu Recht ein, dass während eines anhängigen Auskunftsbegehrens und eines darauf folgenden Beschwerdeverfahrens vor der Datenschutzkommission jede Löschung von Daten des Betroffenen gemäß § 26 Abs. 7 DSG 2000 gesetzlich verboten ist. Der Begriff 'vernichten' in § 26 Abs. 7 DSG 2000 umfasst dabei sowohl das Löschen von Daten in automationsunterstützt geführten Datenanwendungen wie auch das Unleserlichmachen von Daten auf oder die physische Zerstörung von sonstigen Datenträgern einer (manuellen) Datei. Dieses Verbot ist durch die Strafbestimmung von § 52 Abs. 1 Z 4 DSG 2000 sanktioniert; ein vorsätzliches Zuwiderhandeln ist als Verwaltungsübertretung mit einer Geldstrafe bis zu 18.890 Euro bedroht. Diese massive Strafdrohung unterstreicht die Bedeutung des Verbots nachdrücklich. Stellt ein Betroffener daher gleichzeitig ein Auskunfts- und ein Löschungsbegehren, so geht § 26 Abs. 7 DSG 2000 als lex specialis § 27 Abs. 1 und 4 DSG 2000 vor, auch dann, wenn grundsätzlich die Voraussetzungen für die Löschung gegeben sind. Die Daten dürfen in einem solchen Fall erst gelöscht werden, wenn das Auskunftsbegehren im Sinne von § 26 Abs. 7 DSG 2000 als erledigt gelten kann (Ablauf der Viermonatsfrist bzw. Beendigung des Beschwerdeverfahrens vor der Datenschutzkommission).“
Dem vom Beschwerdeführer zitierten Bescheid vom 20. Mai 2005, GZ: K121.019/0010-DSK/2005 (RIS), lag dagegen ein Sachverhalt zu Grunde, auf Grundlage dessen sich der Auftraggeber zu Unrecht auf § 26 Abs. 7 DSG 2000 berufen hatte, da gar kein Auskunfts-, sondern nur ein Löschungsbegehren gestellt worden war.
Was im erstzitierten Bescheid für den Fall einer gleichzeitigen Geltendmachung des Auskunfts- und des Löschungsrechts gesagt worden ist, gilt, mutatis mutandis, auch in dem Fall, dass sich die relevanten Fristen wegen zeitlicher Abfolge der Rechtsausübung überschneiden .
Nach der Rechtsprechung der Datenschutzkommission ist zumindest vier Monate nach einem Auskunftsbegehren jede endgültige, unwiderrufliche „Vernichtung“ der Daten verboten. Nach Ablauf dieser Frist darf gelöscht werden, wenn der Auftraggeber bis dahin keine Kenntnis von einem anhängigen Beschwerdeverfahren wegen Verletzung des Auskunftsrechts (§ 31 Abs. 1 DSG 2000) erlangt hat (siehe dazu den Bescheid der Datenschutzkommission vom 18. Jänner 2008, Zl. K121.327/0002- DSK/2008).
Da der Beschwerdeführer, wie als Tatsache festgestellt, keine Erklärung abgegeben hat, die als Verzicht auf dieses Recht gedeutet werden kann, können Erwägungen zu der Rechtsfrage unterbleiben, ob diesfalls bereits innerhalb von 8 Wochen nach Einlangen des Löschungsantrags eine Löschung bzw. Mitteilung nach § 27 Abs. 4 DSG 2000 vorzunehmen gewesen wäre.
Ergibt die Prüfung eines im Anschluss an ein Auskunftsbegehren gestellten Löschungsbegehrens gemäß § 27 Abs. 1 DSG 2000 das Bestehen eines Löschungsanspruchs, so ist die Löschung nach Ablauf der Viermonatsfrist ohne weiteren Aufschub (also etwa ohne Lauf einer weiteren Achtwochenfrist iSv § 27 Abs. 4 DSG 2000) durchzuführen und dies dem Betroffenen mitzuteilen.
Die von der Beschwerdegegnerin am 5. Juni 2008 dem Beschwerdeführer gegebene Erklärung, derzeit durch § 26 Abs. 7 DSG 2000 an der Datenlöschung gehindert zu sein, war daher zutreffend und hat den Beschwerdeführer somit keinesfalls im Recht auf Löschung eigener Daten verletzt. Das weitere Vorgehen der Beschwerdegegnerin in Bezug auf die Frage des Bestehens eines Löschungsrechts nach Auslaufen der Löschungssperre ist nicht Gegenstand dieser Beschwerdesache.