K121.415/0002-DSK/2009 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. HEILEGGER, Dr. BLAHA, Dr. KOTSCHY, Dr. HEISSENBERGER und Dr. ROSENMAYR-KLEMENZ sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 21. Januar 2009 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Ulf K*** (Beschwerdeführer) gegen die Z*** GmbH (Beschwerdegegnerin) vom 20. August 2008 wegen Verletzung im Recht auf Auskunft wird wie folgt entschieden:

a) über die in den Datenanwendungen „Ersatzzeiten aus SIM, VAC, KK, BRB, SU“, „internal und external Remarks pro TLC“, „Accounts aller Absences pro Crew“, „jegliche Leg Information“, „Notifications“, „History über jede Dienstplanänderung“ und „Event im Tagfile“ konkret verarbeiteten Daten des Beschwerdeführers;

b) über die in den Rechnungen des vom Beschwerdeführer genutzten Diensthandys gespeicherten Daten;

c) über die im elektronischen Melde- und Reporting System (PVR-System) der Beschwerdegegnerin gespeicherten personenbezogenen Daten des Beschwerdeführers (Meldungen) und deren Empfänger bzw. Empfängerkreise und

d) über die von der Beschwerdegegnerin gespeicherte Anzahl der im Betriebsrestaurant vom Beschwerdeführer konsumierten Mahlzeiten und die Empfänger bzw. Empfängerkreise dieser Daten;

zu geben oder zu begründen, weshalb eine Auskunft nicht oder nicht vollständig erteilt wird.

Rechtsgrundlagen: §§ 1 Abs. 3 Z 1, 26 und 31 Abs. 1 des Datenschutzgesetzes 2000, BGBl I Nr. 165/1999 idgF (DSG 2000)

B e g r ü n d u n g :

A. Vorbringen der Parteien und Verfahrensgang

Der Beschwerdeführer behauptet in seiner Beschwerde vom 20. August 2008 eine Verletzung im Recht auf Erteilung einer vollständigen Auskunft aus folgenden Gründen:

I) fehlende Angabe über den Zweck und die Rechtsgrundlage

Die Auskunft führe als Zweck und Rechtsgrundlage lediglich pauschal „die Einhaltung der Gesetze, Normen, kollektiven Rechtsgestaltung und [??]“ an, ohne aber im Einzelnen anzugeben, aufgrund welcher konkreten gesetzlichen und kollektivvertraglichen Bestimmung oder aufgrund welcher dienstvertraglichen Regelung die Datenanwendung geführt werde.

II) fehlende Angabe über personenbezogene Daten

1) Krankenstand und Urlaub

In Bezug auf die Datenkategorien „Krankenstand“, „Urlaub“, „Sonderurlaub“ werde nicht konkret angeführt, welche Daten über den Beschwerdeführer gespeichert werden, sondern lediglich mitgeteilt „je nach Anfall“. Auch wisse der Beschwerdeführer in diesem Zusammenhang nicht, zu welchem Zweck diese Daten gespeichert würden und an wen sie übermittelt worden seien.

2) Ersatzzeiten aus SIM, VAC usw.

Dasselbe gelte für die Datenkategorien „Ersatzzeiten aus SIM, VAC, KK, BRB, SU“, „internal und external Remarks pro TLC“, „Accounts aller Absences pro Crew“, „jegliche Leg Information“, „Notifications“, „History über jede Dienstplanänderung“ und „Event im Tagfile“.

3) Zutrittssystem

Jeder Mitarbeiter der Beschwerdegegnerin erhalte eine ID-Karte, die zB. für den Zutritt zum Parkhaus am Flughafengelände, zu den einzelnen Räumen etc. notwendig sei. Die mittels dieser ID Karte ermittelten Daten seien in der Auskunft nicht genannt, insbesondere auch nicht, an wen und zu welchem Zweck diese Daten übermittelt wurden.

4) Freiflugreglement

Es würden auch keine Daten in Bezug auf ein bei der Beschwerdegegnerin geführtes „Freiflugreglement“ genannt.

5) Emergency Trainings

Die Beschwerdegegnerin führe regelmäßig elektronisch Emergency Trainings und Dangerous Goods Tests durch. Die Ergebnisse würden von der Beschwerdegegnerin elektronisch gespeichert. Die Auskunft enthalte allerdings keine Angaben über diese Daten.

6) medizinische Tests

Der Beschwerdeführer müsse sich regelmäßig medizinischen Tests unterziehen. Die Auskunft gebe allerdings nicht bekannt, welche konkreten medizinischen Daten gespeichert und an wen diese Daten zu welchem Zweck übermittelt worden seien.

7) Diensttelefon

Der Beschwerdeführer besitze ein Diensttelefon. Die Auskunft enthalte keine Angaben darüber, welche konkreten Daten im Zusammenhang mit der Verwendung dieses Telefones gespeichert seien (Telefonkosten, angerufene Telefonnummern, empfangene Telefonate, SMS, etc.).

8) PVR System

Die Beschwerdegegnerin betreibe ein elektronisches Melde- und Reporting System („PVR System“). Weder dieses System sei genannt, noch gebe die Beschwerdegegnerin Auskunft darüber, welche konkreten Daten für welche Zwecke in diesem System verarbeitet werden würden.

9) „Mitarbeiterbeurteilungssystem“

Bei der Beschwerdegegnerin gebe es ein Mitarbeiterbeurteilungssystem („Mitarbeitergespräch“); die Ergebnisse würden elektronisch verarbeitet. Welche konkreten Daten des Beschwerdeführers in diesem Zusammenhang verarbeitet, und an wen diese Daten übermittelt worden seien, sei allerdings nicht beauskunftet worden.

10) Speicherung von E-Mails

Die Beschwerdegegnerin betreibe einen Mail Server. Die Auskunft enthalte keine Angaben darüber, welche im Zusammenhang mit dem Senden und Empfangen von E-Mails anfallenden Daten (Verkehrsdaten) die Beschwerdegegnerin verarbeite.

11) Mahlzeiten im Betriebsrestaurant

Auch enthalte die Auskunft keine Angaben darüber, welche Daten im Zusammenhang mit den „Crew-Meals“ über den Beschwerdeführer gespeichert würden und welche Verarbeitungen und Übermittlungen die Beschwerdegegnerin damit durchführe.

III) fehlende Auskunft über Empfänger der Daten

12) Weiters sei die Auskunft auch in Bezug auf die Empfänger unvollständig, weil der Beschwerdeführer vom Hersteller des Handbuches „***“ an seine private Adresse Ergänzungslieferungen bekomme.

13) Weiters würde auch die S*** AG und der Betreiber des Parkhauses am Flughafengelände über gewisse Daten des Beschwerdeführers verfügen. Bei Einfahrt in das Parkhaus werde der Beschwerdeführer nämlich mit seinem vollen Namen am Display begrüßt.

14) Der Betreiber des Crew Busses verfüge über die Zusammensetzung der Crew für bestimmte Flüge und damit über personenbezogene Daten. Die Auskunft enthalte keine Angaben dazu, welche Daten an dieses Unternehmen übermittelt wurden.

Mit der Datenschutzkommission in Kopie vorgelegtem Schreiben vom 29. September 2008 erteilte die Beschwerdegegnerin dem Beschwerdeführer eine näher konkretisierte ergänzende Auskunft über die Rechtsgrundlagen und den Zweck der Verarbeitung der Daten (I.1.) sowie deren Empfänger (II.12. und III.14.). Weiters brachte sie zu den einzelnen Beschwerdepunkten des Beschwerdeführers folgendes vor:

1) Krankenstand und Urlaub

Der Urlaub, Krankenstand, etc. des Beschwerdeführers könne logisch nur „nach Anfall“ gespeichert werden. Der Beschwerdeführer sei in genauer Kenntnis darüber, wie viel Krankenstand, Urlaub er derzeit aufweise, und fehle es ihm insofern am rechtlichen Interesse. Darüberhinaus habe der Beschwerdeführer hinsichtlich tagfiles jederzeit die Möglichkeit, in diese tagfiles Einsicht zu nehmen. Wenn er davon nicht Gebrauch mache, fehle ihm auch deshalb das rechtliche Interesse und sei die Antragsstellung missbräuchlich.

3) Zutrittssystem

Die Beschwerdegegnerin speichere keine Daten des Beschwerdeführers in Bezug auf das Zutrittskontrollsystem und würden mit der „ID-Karte“ auch keine Daten durch die Beschwerdegegnerin erfasst.

6) medizinische Tests

In Bezug auf die vom Beschwerdeführer genannten medizinischen Tests zur Ermittlung der Flugtauglichkeit des Beschwerdeführers erhalte die Beschwerdegegnerin vom Fliegerarzt keine medizinischen Befunde, diese würden direkt vom Fliegerarzt an die I*** weitergeleitet werden.

7) Diensttelefon

Das „Dienstmobiltelefon“ des Beschwerdeführers sei nur auf firmeninterne Telefonnummern beschränkt, es dürften daher gar keine privaten Telefongespräche geführt bzw. gespeichert werden. Die Beschwerdegegnerin erhalte in diesem Zusammenhang lediglich Rechnungen über die geführten Telefonate. Im Übrigen erfolge auch keine Rechnungslegung nach Namen, sondern nur nach Nummern. Es würden daher gar keine personenbezogenen Daten des Beschwerdeführers gespeichert werden.

8) PVR-System

Beim PVR-System würden Meldungen des Beschwerdeführers gespeichert, die er über Ereignisse eines Fluges berichtet habe.

9) „Mitarbeiterbeurteilungssystem“

Ein Mitarbeiterbeurteilungssystem gebe es bei der Beschwerdegegnerin nicht. Eine Beurteilung des „Mitarbeitergespräches“ fließe nicht in den Personalakt ein.

11) Mahlzeiten im Betriebsrestaurant

Das „Crew-Meal-System“ speichere nur aus Gründen der Verrechnung, wie viele Crewmeals ein Dienstnehmer zu sich nehme.

In seiner Stellungnahme vom 13. Oktober 2008 bringt der Beschwerdeführer im Wesentlichen zu I) vor, es sei nach wie vor nicht klar, auf welche konkrete gesetzliche bzw. kollektivvertragliche Bestimmung oder welcher in einer BV oder im Dienstvertrag enthaltenen Bestimmung sich die Datenanwendung stützt. Die Datenanwendungen „Ausweis Office Park“, „internal external Remarks pro TLC und D[…]“, „Event im Tagfile“ erfolgten ohne Rechtsgrundlage, da damit weder eine gesetzliche Verpflichtung, noch eine solche aus Kollektivvertrag, BV oder Dienstvertrag erfüllt werde. Eine BV nach § 96 ArbVG oder zumindest § 96a ArbVG sei nicht abgeschlossen worden. Bei diesen Datenkategorien handle es sich auch nicht um solche, die bereits in der SA002 enthalten seien. Weiters wird vorgebracht:

1) Urlaub und Krankenstand

Die Beschwerdegegnerin gebe nach wie vor nicht bekannt, welche konkreten Daten in Zusammenhang mit seinem Urlaub und Krankenstand über den Beschwerdeführer gespeichert werden. Es sei zwar richtig, dass der Beschwerdeführer selbst wisse, wie viel Krankenstand, Urlaub er derzeit aufweise bzw. dies nunmehr offenbar auch mittels Einsicht in Tagfiles selbständig eruieren könne, das schließe die Verpflichtung der Beschwerdegegnerin zur Auskunft aber nicht aus. Die Beschwerdegegnerin habe dem Beschwerdeführer daher sehr wohl die gespeicherten Daten mitzuteilen, woher sie diese Daten habe, und an wen diese Daten zB übermittelt oder überlassen worden seien.

2) „Ersatzzeiten aus SIM, VAC, KK, BRB, SU“ usw.

Auch werde nach wie vor keine Auskunft darüber erteilt, welche konkreten Daten die Beschwerdegegnerin unter den Datenkategorien „Ersatzzeiten aus SIM, VAC, KK, BRB, SU“, „internal external Remarks pro TLC und [??]“, „Accounts aller Absences pro Crew“, „Notifications“, „History über jede Dienstplanänderung“ und „Event im Tagfile“ habe.

3) Zutrittssystem

Die Behauptung der Beschwerdegegnerin, dass auf der ID-Karte „keine Daten gespeichert“ würden, sei unverständlich, weil damit der Sinn einer ID-Karte in Frage gestellt werden würde.

4) und 5) Freiflugreglement, Emergency Training

Gleichfalls enthalte die Auskunft nach wie vor keine Angaben über das „Freiflugreglement“ und welche personenbezogenen Daten des Beschwerdeführers im Rahmen der „Emergency Trainings“ gespeichert werden würden.

7) Diensttelefone

Darüber hinaus enthalte die Auskunft nach wie vor keine Angaben darüber, welche konkreten Daten im Zusammenhang mit der Verwendung der Diensttelefone gespeichert werden. Dabei handle es sich entgegen der Ansicht der Beschwerdegegnerin sehr wohl um bestimmbare personenbezogene Daten. Auch wenn vom Diensttelefon keine aktiven Telefonate geführt werden dürften, fallen auch beim passiven Telefonieren (= Angerufen werden) personenbezogene Arbeitnehmerdaten an, zB die Gebühren beim Angerufenen, bei SMS, bei der Übertragung von Datenpaketen im Ausland etc.

8) PVR-System

Die Beschwerdegegnerin betreibe gemeinsam mit anderen Konzerngesellschaften ein elektronisches Melde- und Reporting System. Dabei könne es sich um ein Informationsverbundsystem handeln, für dessen Betrieb aber keine Genehmigung der DSK vorliege. Es sei unrichtig, dass in diesem Zusammenhang keine Daten des Beschwerdeführers gespeichert würden, weil sich der Beschwerdeführer für die Erstattung solcher Berichte im System einloggen müsse, und es sei auch nicht davon auszugehen, dass diese Reports alle anonym verarbeitet werden würden. Beim PVR handle es sich vielmehr um ein Personalinformationssystem, für dessen Verwendung zwingend eine BV iSd § 96a ArbVG abgeschlossen worden sein müsste.

9) „Mitarbeiterbeurteilungssystem“

Es gebe sehr wohl ein Mitarbeiterbeurteilungssystem und müsse der Beschwerdeführer regelmäßig zB Tests am Simulator durchführen, deren Ergebnisse sehr wohl Eingang in den Personalakt finden würden, andernfalls solche Tests ja sinnlos wären.

zu 10) und 11) Speicherung von E-Mails und von Mahlzeiten im Betriebsrestaurant

Die Auskunft enthalte nach wie vor keine Angaben darüber, welche im Zusammenhang mit dem Senden und Empfangen von E-Mails anfallenden Daten (Verkehrs- und Inhaltsdaten) von der Beschwerdegegnerin verarbeitet werden sowie darüber, welche Daten im Zusammenhang mit den „Crew-Meals“ über den Beschwerdeführer gespeichert werden.

13) fehlende Auskunft über Empfänger (S*** und Betreiber des Parkhauses)

Die Auskunft enthalte nach wie vor keine Angaben darüber, dass personenbezogene Daten im Zusammenhang mit der Verwendung der Parkkarte an Dritte weitergegeben worden seien. Der Personalleiter der Beschwerdegegnerin habe in einem Verfahren vor dem Arbeits- und Sozialgericht Wien selbst ausgesagt, dass personenbezogene Daten an die S*** weitergegeben worden seien.

In ihren Stellungnahmen vom 4. November 2008, vom 3. Dezember 2008 und vom 18. Dezember 2008 erteilte die Beschwerdegegnerin dem Beschwerdeführer eine näher konkretisierte ergänzende Auskunft in Bezug auf den Urlaub und Krankenstand (1), das Freiflugreglement (4), die Emergency Trainigs (5), das „Mitarbeiterbeurteilungssystem“ (9) und die Empfänger seiner Daten (13). Weiters führte sie aus, dass sie beim Zutritt des Beschwerdeführers zu den Räumlichkeiten des Flughafenadministrationsgebäudes am Flughafen ZY*** und zum Parkhaus keine Daten speichere, sondern der Ausweis ausschließlich Schlüsselfunktion habe (3). Die Telefonrechnungen des Diensthandys des Beschwerdeführers würden ausschließlich körperlich nach Vertragspartner, Datum und in letzter Linie nach Rechnungsnummer von der Beschwerdegegnerin abgelegt werden. Unter einem legte die Beschwerdegegnerin eine Telefonrechung des Diensthandys des Beschwerdeführers vor (7).

Dem Beschwerdeführer wurde zu den Schreiben der Beschwerdegegnerin vom 4. November 2008, vom 3. Dezember 2008 und vom 18. Dezember 2008 Parteiengehör gewährt.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin dem Beschwerdeführer auf sein Begehren vom 14. März 2008 eine dem Gesetz entsprechende vollständige Auskunft erteilt hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer richtete am 14. März 2008 folgendes auszugsweise wiedergegebenes Auskunftsbegehren an die Beschwerdegegnerin:

„…

Entsprechend den Bestimmungen des § 26 DSG ersuche ich weiters um Beantwortung nachstehender Fragen:

….“

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem der Beschwerde beigelegten Auskunftsbegehren des Beschwerdeführers vom 14. März 2008.

Daraufhin erteilte die Beschwerdegegnerin dem Beschwerdeführer mit Schreiben vom 28. Juli 2008 folgende auszugweise wiedergegebene Auskunft:

„…

Art der

Daten Empfänger Dienstleister Ulf K***

Name F*; G**; Y** P*, O* Ulf K***

Personalnummer F*; G**; Y** P* 000***===

….

Anschrift F*; G** P*; O* F****

Familienstand F*; G** P* ledig

Bezugspersonen F*; G** P* Vater, Mutter,

Kind

Bankverbindung P* ****

Sozialversiche-

rungsnummer F*; G** P* *****

Geburtsdatum F*; G** P* **.00.****

Geschlecht F*; G**, B** P* männlich

Eintrittsdatum/

Austrittsdatum P* **.00.****

….

Telefonnummern 06****, 06***,

06***

Ausweis Office-Park Airport *** ***

….

Krankenstand G** je nach Anfall

Urlaub je nach Anfall

Sonderurlaub/Pflegeurlaub je nach Anfall

….

Ersatzzeiten aus SIM,

VAC, KK, BRB, SU je nach Anfall

Internal external Remarks

pro TLC und D je nach Anfall

Accounts aller absences

pro Crew je nach Anfall

…

Jegliche Leg Informationen je nach Anfall

History über jede

Dienstplanänderung je nach Anfall

Event im Tagfile je nach Anfall

…“

Als Zweck und Rechtsgrundlage der jeweiligen Datenverarbeitungen nannte die Beschwerdegegnerin die §§ 6 ff DSG 2000 sowie die Einhaltung der Gesetze, Normen der kollektiven Rechtsgestaltung und des Arbeitsvertrages.

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen und den beigelegten Unterlagen der Beschwerdegegnerin in ihrer im Verfahren zur Zl. K121.389 erstatteten Stellungnahme vom 28. Juli 2008.

Mit Schreiben vom 29. September 2008 teilte die Beschwerdegegnerin dem Beschwerdeführer in Bezug auf den Zweck und die Rechtsgrundlage (I.1.) ergänzend mit, sie verwende die von der Standardverordnung vorgegebenen Bezeichnungen „Einhaltung der Gesetze, Normen der kollektiven Rechtsgestaltung und des Arbeitsvertrages“ (SA 002). „Zweck der Datenanwendung: Verarbeitung und Übermittlung von Daten für Lohn, Gehalts- und Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist, einschließlich automationsunterstützt erstellter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten. Rechtsgrundlagen sind daher der Dienstvertrag und die einschlägigen zu SA 002 bei Empfängerkreisen jeweils zitierten (arbeitsrechtlichen Sonder ) Gesetze (insbesondere EFZG, BMVG, EStG, etc.)“. Weiters führte sie ergänzend aus, dass der Name und die Anschrift des Beschwerdeführers an den Hersteller des Handbuches J*** auf Grundlage der SA 002 übermittelt wurde (12.). Überdies werde auch der Name des Beschwerdeführers an den Crewbusbetreiber (Shuttledienst) auf Grundlage des Dienstvertrages übermittelt, damit dieser Kenntnis über die Zusammensetzung der jeweiligen Crew habe (14.).

Beweiswürdigung: Diese Feststellungen ergeben sich aus der ergänzenden Auskunft der Beschwerdegegnerin vom 29. September 2008.

Die Beschwerdegegnerin verarbeitet beim Zutritt des Beschwerdeführers zu den einzelnen Bereichen des Firmengebäudes der Beschwerdegegnerin sowie zum Parkhaus mittels Identitätskarte keine personenbezogenen Daten des Beschwerdeführers.

Beweiswürdigung: Die Beschwerdegegnerin führte bereits erstmals in ihrer im Verfahren zur Zl. K121.389 erstatteten Stellungnahme vom 10. Juni 2008 aus, sie würde im Hinblick auf die Parkplatzbenützung mittels „Mitarbeiterkarte“ keine Nutzungsdaten ermitteln oder verarbeiten. Die Karte erfülle funktional reine „Schlüsselfunktion“. Auch in Bezug auf das Zutrittskontrollsystem im Flughafenadministrationsgebäude am Flughafen *** führte die Beschwerdegegnerin in ihrer Stellungnahme vom 3. Dezember 2008 aus, der Ausweis der Dienstnehmer funktioniere ausschließlich als „Schlüssel“, und würden dabei keine Daten beim Zutritt gespeichert werden. Dennoch behauptet der Beschwerdeführer, die Beschwerdegegnerin ermittle und verarbeite mit Hilfe der Identitätskarte sehr wohl Angaben dazu, wo und wie lange sich der Beschwerdeführer in den einzelnen Bereichen des Betriebsgebäudes bzw des Parkhauses aufhalte. Andernfalls sei nämlich nicht ersichtlich, welchen Sinn eine Identitätskarte überhaupt habe, wenn darauf keine personenbezogenen Daten gespeichert werden würden. Dem Beschwerdeführer kann zwar insofern Recht gegeben werden, dass dem Zweck einer Identitätskarte entsprechend auf einer Identitätskarte die Identität des Verwenders, folglich dessen Name, gespeichert sein wird (dessen Speicherung dem Beschwerdeführer im Übrigen auch beauskunftet wurde). Daraus kann aber keinesfalls geschlossen werden, dass auch Protokolldaten über den Zutritt zu einzelnen Bereichen im Betriebsgebäude sowie zur Parkgarage gespeichert werden. Sonstige konkrete Anhaltspunkte, die für eine Verarbeitung solcher Daten im vorliegenden Fall überhaupt sprechen würden, sind weder hervorgekommen, noch wurden solche vom Beschwerdeführer im Übrigen behauptet. Es bestand daher von Seiten der Datenschutzkommission kein Anlass, an der Glaubwürdigkeit des Vorbringens der Beschwerdegegnerin, sie verarbeite keine Protokolldaten, zu zweifeln.

Die Beschwerdegegnerin verarbeitet über die vom Beschwerdeführer absolvierten medizinischen Tests zur Ermittlung der Flugtauglichkeit keine Gesundheitsdaten .

Beweiswürdigung: Die Beschwerdegegnerin führte dazu in ihrer Stellungnahme vom 29. September 2008 aus, sie erhalte keine medizinischen Befunde, die für die Beurteilung der Flugtauglichkeit erforderlich seien, sondern würden diese direkt vom Fliegerarzt an die I*** weitergeleitet werden. Der Beschwerdeführer bestreitet dieses Vorbringen in seiner Eingabe vom 13. Oktober 2008 nicht. Da im Übrigen Anhaltspunkte, die für eine Verarbeitung dieser Daten durch die Beschwerdegegnerin sprechen würden, nicht vorliegen, besteht auch an dieser Stelle für die Datenschutzkommission kein Anlass, an der Glaubwürdigkeit des Vorbringens der Beschwerdegegnerin zu zweifeln.

Die Beschwerdegegnerin teilte dem Beschwerdeführer mit Schreiben vom 3. Dezember 2008 mit, dass sie zum Zweck des von ihr angebotenen „Freiflugreglement“ (4.) – das Dienstnehmern und bestimmten nahen Angehörigen des Dienstnehmers nach einer Mindestdienstdauer Freiflüge (unentgeltlich) ermöglicht – das Eintrittsdatum des Beschwerdeführers sowie die vom Beschwerdeführer jeweils gestellten Freiflugansuchen verarbeite. Weiters teilte sie dem Beschwerdeführer darin mit, dass sie zum Zweck der bei ihr durchgeführten „Emergency Trainings“ (5.) neben dem Namen des Beschwerdeführers, das Datum des Absolvierens durch den Beschwerdeführer und das „Ablaufdatum“ des gültigen Trainings verarbeite. In Bezug auf die vom Beschwerdeführer genannten „Mitarbeiterbeurteilungen“

(9.) führte sie aus, dass sie im Rahmen der zweimal im Jahr durchgeführten „Proficency tests“ („Mitarbeiterbeurteilungen“) speichere, wann ein solcher stattfand, ob er bestanden wurde und wenn nicht, aus welchen Gründen.

Beweiswürdigung: Diese Feststellung ergibt sich aus der vom Beschwerdeführer nicht beanstandeten Stellungnahme der Beschwerdegegnerin vom 3. Dezember 2008 sowie der von dieser angeschlossenen Aufstellung der „Emergency Trainings“ und der „Proficency Tests“.

Die Ergebnisse der vom Beschwerdeführer absolvierten „Emergency Trainings“ werden von der Beschwerdegegnerin nicht verarbeitet.

Beweiswürdigung: Diese Feststellung ergibt sich aus dem unbestrittenen Vorbringen der Beschwerdegegnerin in ihrer Stellungnahme vom 3. Dezember 2008, insbesondere aus der vorgelegten Aufstellung über die vom Beschwerdeführer absolvierten „Emergency Trainings“, aus welchen hervorgeht, dass die Trainingsergebnisse nicht gespeichert werden. Der Beschwerdeführer hat sich dazu – trotz Gewährung von Parteiengehör – nicht geäußert. Im Hinblick darauf und aufgrund des Umstandes, dass der Beschwerdeführer in seiner Beschwerde auch nichts vorgebracht hat, das überhaupt auf eine Verarbeitung dieser Daten schließen läßt, kann daher davon ausgegangen werden, dass die in Rede stehenden Daten nicht gespeichert werden.

Zum Versenden und Empfangen von E-Mails eines Bediensteten ist bei der Beschwerdegegnerin das Programm „Outlook“ und „Microsoft Exchange“ im Einsatz. Auf den E-Mail Account des Beschwerdeführers kann nur mittels Eingabe eines Passwortes, welches ausschließlich dem Beschwerdeführer bekannt ist, zugegriffen werden. Ein Zugriff durch Dritte ist bisher nicht erfolgt. Dies teilte die Beschwerdegegnerin dem Beschwerdeführer mit Schreiben vom 3. Dezember 2008 und vom 18. Dezember 2008 mit (10.).

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem vom Beschwerdeführer nicht beanstandeten Vorbringen der Beschwerdegegnerin in ihren Stellungnahmen vom 3. und vom 18. Dezember 2008.

Die Beschwerdegegnerin teilte dem Beschwerdeführer mit Schreiben vom 18. Dezember 2008 mit, dass sie dem Parkhausbetreiber und der S*** seinen Namen, sein Geburtsdatum und seine Personalnummer übermittelt habe (13.).

Beweiswürdigung: Diese Feststellung ergibt sich aus dem Vorbringen der Beschwerdegegnerin in ihrer Stellungnahme vom 18. Dezember 2008.

Die Beschwerdegegnerin betreibt ein elektronisches Melde- und Reporting System (PVR-System), in welchem Meldungen des Beschwerdeführers über Ereignisse eines Fluges gespeichert werden.

Beweiswürdigung: Diese Feststellung beruht auf dem unbestrittenen Vorbringen des Beschwerdeführers in seiner Stellungnahme vom 13. Oktober 2008 sowie dem Vorbringen der Beschwerdegegnerin in ihrer Stellungnahme vom 29. September 2008.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die hier wesentlichen Bestimmungen des Datenschutzgesetzes 2000, BGBl I Nr. 165/1999 idgF (DSG 2000), lauten auszugsweise:

㤠1.

……

3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

…..

§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.

Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder

2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder

3. der Sicherung der Interessen der umfassenden Landesverteidigung oder

4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union oder

5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4.

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

…….

(8) Soweit Datenanwendungen von Gesetzes wegen öffentlich einsehbar sind, hat der Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht. Für das Verfahren der Einsichtnahme gelten die näheren Regelungen der das öffentliche Buch oder Register einrichtenden Gesetze.“

2. rechtliche Schlussfolgerungen

Der Beschwerdeführer hat mit Schreiben vom 14. März 2008 von der Beschwerdegegnerin gemäß § 26 DSG 2000 u.a. Auskunft über die zu seiner Person verarbeiteten Daten, über ihre Herkunft und über allfällige Empfänger von Übermittlungen ersucht.

In der vorliegenden Beschwerdesache hat die Beschwerdegegnerin dem Beschwerdeführer nach Beschwerdeerhebung, aber noch vor Bescheiderlassung, Auskunft erteilt. Dass ein datenschutzrechtlicher Auftraggeber eine ursprünglich nicht (vollständig) erbrachte Auskunft durch spätere Auskunft „sanieren“ kann, ist von der Datenschutzkommission in ständiger Spruchpraxis anerkannt: „Die Nichteinhaltung der achtwöchigen Frist stellt nach ständiger Rechtsprechung der Datenschutzkommission zwar eine Verletzung im Recht auf Auskunft dar, die aber durch Nachholung der Auskunftserteilung bis zum Ende des Verfahrens vor der Datenschutzkommission sanierbar ist“ (vgl. u.a. den Bescheid der Datenschutzkommission vom 11. Oktober 2006, GZ: K121.214/0006- DSK/2006). Entscheidend ist also, ob dem Beschwerdeführer als Betroffenem und Auskunftswerber noch vor einer bescheidmäßigen Erledigung seines Anbringens durch die Datenschutzkommission vollständig und richtig auf sein Auskunftsbegehren geantwortet wurde.

Der Beschwerdeführer behauptet nun, die Auskunft sei aus mehreren Gründen unvollständig. Relevant ist eine Gesamtbetrachtung aller bisher erteilten Auskünfte.

I) Rechtsgrundlagen und Zweck der Datenanwendungen

Es ist für die Datenschutzkommission nicht nachvollziehbar, inwiefern die Angabe der Beschwerdegegnerin, sie verarbeite den Beschwerdeführer betreffende Daten, wie Name, Anschrift, Sozialversicherungsnummer, Bankkonto, Krankenstände usw. zur Erfüllung der ihr aufgrund des zwischen ihr und dem Beschwerdeführer bestehenden Dienstvertrages erwachsenden Pflichten zur Lohn, Gehalts- und Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, zu unbestimmt sei.

Sinn und Zweck des Auskunftsrechts und damit des Anspruchs auf Bekanntgabe der Rechtsgrundlage ist es, dem Betroffenen die Verfolgung seiner sonstigen subjektiven Datenschutzrechte, insbesondere des Rechts auf Geheimhaltung zu ermöglichen (siehe den Bescheid des Datenschutzkommission vom 5. April 2005, Zl. K 120.972/0004-DSK/2005).

Eine Mitteilung des Auftraggebers, dass sich seine Berechtigung (bzw. Verpflichtung) zur Verarbeitung von Dienstnehmerdaten aus dem bestehenden Dienstvertrag und den daraus resultierenden Arbeitgeberpflichten, wie Lohn, Gehalts- und Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten ergibt, entspricht diesem Zweck, weil der Betroffene damit zweifellos in die Lage versetzt wird, zu beurteilen, ob bzw. welche Daten zB. für die Lohnverrechnung des Arbeitsgebers erforderlich erscheinen. Eine (vollständige) Auflistung der gesetzlichen Bestimmungen, die solche Arbeitgeberpflichten und damit eine Berechtigung zur Datenverarbeitung begründen, ist unter diesem Aspekt hingegen nicht mehr erforderlich.

Im Übrigen bestätigt der Beschwerdeführer diese Ansicht selbst, wenn er bereits an dieser Stelle weiters vorbringt, diese von der Beschwerdegegnerin aus dem Dienstvertrag abgeleitete Berechtigung bzw. Verpflichtung sei für manche Datenarten unzutreffend.

Die letztendliche Beurteilung der Zulässigkeit einer Datenverarbeitung ist – wie bereits oben ausgeführt – nicht Gegenstand dieses Verfahrens (siehe wiederum den Bescheid der Datenschutzkommission vom 5. April 2005). Die Beschwerde war daher in diesem Punkt als unbegründet abzuweisen.

II. Angaben über personenbezogene Daten

1) Urlaub, Krankenstand, Sonderurlaub

Die Beschwerdegegnerin teilte dem Beschwerdeführer in ihrer vom Beschwerdeführer im Übrigen nicht beanstandeten Stellungnahme vom 4. November 2008 konkret seinen Urlaubsanspruch zum Stichtag, seinen Urlaubsverbrauch in den Jahren 2006, 2007 und 2008 sowie seine Krankenstände im Jahr 2008 und damit seine in diesem Zusammenhang von der Beschwerdegegnerin gespeicherten Daten mit. Davon abgesehen hat der Beschwerdeführer überdies – wie von ihm auch selbst zugestanden – die Möglichkeit in die Anzahl seiner Krankenstands-, Urlaubs- und Sonderurlaubstage mittels „Tagfiles“ laufend einzusehen.

Dass das DSG 2000 ganz grundsätzlich ein besonderes Auskunftsrecht neben einem bestehenden Einsichtsrecht für überflüssig – weil den Auftraggeber unnötig beschwerend – hält, ergibt sich aus der Bestimmung des § 26 Abs. 8 DSG 2000, wonach Auskunft über Daten, soweit sie aus einem öffentlichen, d. h. jedermann einsehbaren Register (Buch) ersichtlich sind, nur im Umfang der Einsicht zusteht. Der Ausschussbericht zu § 26 DSG 2000 formuliert dies so: „Durch Abs. 8 wird festgelegt, dass bei öffentlichen Büchern (Registern) das Recht auf Auskunft nicht neben dem Recht auf Einsicht besteht, sondern nur in Form der Einsicht.“ Diese Wertung wird auch hier zum Tragen kommen: Die Inanspruchnahme eines Auskunftsrechts über einen Datenbestand, der dem Betroffenen jederzeit einsehbar ist wird, soweit die Kenntnis vom Inhalt durch die Einsicht gewonnen werden kann, als unverhältnismäßige, weil sachlich nicht erforderliche Inanspruchnahme des Auftraggebers nach § 26 Abs. 2 DSG 2000 zu werten sein. Insgesamt muss auf die Bedeutung eines erkennbaren Rechtsschutzinteresses des Betroffenen für den Umfang seines Auskunftsrechts hingewiesen werden: Das Auskunftsrecht ist nicht absolut, sondern seiner Funktion nach (nur) ein Begleitgrundrecht, das der Durchsetzung des Grundrechts auf Geheimhaltung dient. Der Umfang des Auskunftsrechts muss daher in Relation zum jeweiligen Rechtsschutzinteresse gesehen werden (siehe dazu den Bescheid der Datenschutzkommission vom 23. Mai 2007, Zl. K121.259/0013-DSK/2007, unter Punkt 2.3.).

In Bezug auf die Empfänger dieser Daten geht bereits aus der Auskunft vom 28. Juli 2008 zweifellos hervor, dass Empfänger der Krankenstandsdaten die G** ist, und die Daten über den Urlaub und Sonderurlaub an niemanden übermittelt worden sind.

Sonstige Gründe, die nunmehr eine Vollständigkeit dieser Auskunft in Zweifel ziehen würden, sind für die Datenschutzkommission nicht ersichtlich und wurden vom Beschwerdeführer in seiner Beschwerde im Übrigen auch nicht vorgebracht. Die Beschwerde erweist sich daher auch in diesem Punkt im relevanten Zeitpunkt insgesamt als nicht (mehr) berechtigt, weshalb spruchgemäß zu entscheiden war.

2) Ersatzzeiten aus SIM, VAC, KK, BRB, SU usw.

Der Beschwerdeführer meint weiters, die Auskunft sei unvollständig, weil die Beschwerdegegnerin zwar ausgeführt habe, sie verarbeite in den Datenkategorien „Ersatzzeiten aus SIM, VAC, KK, BRB, SU“, „internal und external Remarks pro TLC“, „Accounts aller Absences pro Crew“, „jegliche Leg Information“, „Notifications“, „History“ über jede Dienstplanänderung“ und „Event im Tagfile“ personenbezogene Daten über den Beschwerdeführer, die Angabe je nach Anfall sei aber keineswegs als ausreichend anzusehen.

Trotz Aufforderung durch die Datenschutzkommission hat sich die Beschwerdegegnerin dazu (gegenüber dem Beschwerdeführer) nicht konkret geäußert. Es war der Datenschutzkommission auch nicht möglich, die in den Stellungnahmen vom 25. September 2008 und vom 4. November 2008 vorgelegten umfangreichen Ausdrucke der Beschwerdegegnerin angesichts fehlender näherer Erläuterungen mit den obigen Datenkategorien in Verbindung zu bringen.

Die in der Auskunft vom 28. Juli 2008 gemachte Angabe „je nach Anfall“ genügt – wie der Beschwerdeführer richtig bemängelt – dem Erfordernis einer Auskunft nach § 26 DSG 2000 jedenfalls nicht. Der Anspruch auf Auskunft enthält nämlich nicht nur das Recht des Betroffenen über die Art (Kategorien) der über ihn verarbeiteten Daten Auskunft zu erhalten, sondern auch dass ihm der Inhalt dieser Daten bekannt gegeben wird (vgl. den Bescheid der Datenschutzkommission vom 23. November 2001, Zl. K120.748/022-DSK/2001).

Da dem Beschwerdeführer in diesem Punkt nach Ansicht der Datenschutzkommission keine (zumindest allgemein verständliche) Auskunft erteilt wurde bzw. ihm gegenüber gemäß § 26 Abs. 4 DSG 2000 auch keine Gründe angeführt wurden, warum die Auskunft nicht erteilt werden kann war in diesem Punkt wie in Spruchpunkt 1a) ein vollstreckbarer Leistungsauftrag unter Setzung einer angemessenen Frist (§ 59 Abs. 2 AVG) zu erlassen.

3) Zutrittssystem

Da – wie festgestellt wurde – eine Verarbeitung von Protokolldaten über den Zutritt zum Parkhaus und in den einzelnen Bereichen des Firmengebäudes der Beschwerdegegnerin nicht erwiesen werden konnte, kann die Datenschutzkommission keine Unvollständigkeit der Auskunft in diesem Punkt erkennen. Die Beschwerde erweist sich daher in diesem Punkt als unberechtigt.

I.4., II.5. und III.9.) Freiflugreglement, Emergency Tests, “Mitarbeiterbeurteilungssystem

Die in der Beschwerde urgierte Auskunft über im Rahmen des „Freiflugreglement“, des „Emergency Trainings“ und des „Proficency tests“ (laut Beschwerdeführer: Mitarbeiterbeurteilung) gespeicherten Daten hat die Beschwerdegegnerin mit dem ergänzenden vom Beschwerdeführer im Parteiengehör nicht weiter beanstandeten Schreiben vom 3. Dezember 2008 erteilt. Eine Verarbeitung der Ergebnisse der „Emergency Trainings“ konnte – wie festgestellt wurde – nicht erwiesen werden. Damit sind diese Ansprüche im hier relevanten Zeitpunkt erfüllt.

6) medizinische Tests

Da – wie festgestellt wurde – die Beschwerdegegnerin über die vom Beschwerdeführer absolvierten medizinischen Tests zur Ermittlung der Flugtauglichkeit keine Gesundheitsdaten speichert, kann die Datenschutzkommission auch in diesem Punkt keine Unvollständigkeit der Auskunft erkennen.

7) Diensttelefone

Die Beschwerdegegnerin führte mit Schreiben vom 29. September 2008 selbst aus, dass sie Rechnungen in Zusammenhang mit dem Diensthandy des Beschwerdeführers erhalte. Die jeweilige Rechnung enthalte aber keine personenbezogenen Daten des Beschwerdeführers, weil die Rechnungslegung nicht nach Namen, sondern nach Telefonnummer erfolge, und das Diensthandy im Übrigen ohnedies ausschließlich zu Firmenzwecken verwendet werden dürfte.

Mit diesem Vorbringen verkennt die Beschwerdegegnerin aber, dass personenbezogene Daten nach § 4 Z 1 DSG 2000 auch Angaben über Betroffene sind, deren Identität (für den jeweiligen Auftraggeber) bestimmbar ist. Im vorliegenden Fall speichert die Beschwerdegegnerin in Zusammenhang mit dem Beschwerdeführer die Nummer seines Diensthandys. Da es für die Beschwerdegegnerin daher unschwer möglich ist, anhand der auf der Rechnung befindlichen Nummer des Diensthandys einen Personenbezug zum Beschwerdeführer herzustellen, handelt es sich – entgegen der Ansicht der Beschwerdegegnerin – sehr wohl um personenbezogene, weil bestimmbare Daten des Beschwerdeführers. Dass die Diensthandys ausschließlich für firmeninterne Zwecke zu verwenden sind, ändert nichts daran, dass diese Daten (auch) in Zusammenhang mit dem Beschwerdeführer stehen und daher (auch) seine personenbezogenen Daten darstellen.

Die Rechnungen des Beschwerdeführers werden ausschließlich in Papierform von der Beschwerdegegnerin verarbeitet und nach dem Netzbetreiber, dem Datum und letztlich nach der Rechungsnummer von ihr abgelegt. Wie sich aus dem klaren Gesetzeswortlaut der §§ 1 Abs. 3 Z 1 iVm 26 DSG 2000 ergibt, bezieht sich das datenschutzrechtliche Auskunftsrecht nicht nur auf automationsunterstützt verarbeitete Daten, sondern auch auf Daten, die in manuellen Dateien enthalten oder zur Verarbeitung in solchen bestimmt sind. Das Gesetz versteht darunter eine strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind. Die Struktur einer manuellen Datei als einer strukturierten Sammlung personenbezogener Daten ist dann zu bejahen, wenn sie – im Gegensatz zu einem Fließtext – eine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den manuellen Datenträgern oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind. Darüber hinaus müssen die Daten nach bestimmten Kriterien zugänglich sein, d.h. es bestehen vereinfachte Möglichkeiten der inhaltlichen Erschließung, beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme (siehe das Erkenntnis des Verwaltungsgerichtshofes vom 21. Oktober 2004, Zl.2004/06/0086). Dass eine Telefonrechnung, deren Zweck die nachvollziehbare Auflistung der in Anspruch genommenen Leistung und der dafür verrechneten Entgelte sein soll und die in diesem Sinne – wie auch im vorliegenden Fall – zunächst nach Kundennummer, Rechnungsnummer, Rechnungsdatum und Rufnummer geordnet, die in Anspruch genommene Leistung und die dafür verrechneten Entgelte in übersichtlicher und für jedermann schnell erkennbarer Form durch Inanspruchnahme von Tabellen, Absätzen, Überschriften usw. darstellt, eine solche äußere Ordnung und damit eine Struktur aufweist, bedarf nach Ansicht der Datenschutzkommission keiner näheren Erläuterungen. Da diese Rechungen von der Beschwerdegegnerin – wie von ihr auch selbst eingeräumt – nach Netzbetreiber, Rechnungsdatum und Rechnungsnummer aufbewahrt werden und somit nach diesen Kriterien für die Beschwerdegegnerin zugänglich sind, kann im vorliegenden Fall vom Vorliegen einer Datei im Sinne des § 4 Z 1 DSG 2000 ausgegangen werden. Daran ändert auch nichts, dass die Rufnummer nicht Sortierungskriterium ist, weil mittels der Rufnummer in der Regel auch der Netzbetreiber erkennbar und damit die Rechnung des Diensthandys des Beschwerdeführers – wenn auch unter erschwerten Bedingungen – auffindbar ist. Dass die Auskunft sämtlicher Rechnungen einen unverhältnismäßigen Aufwand gemäß § 26 Abs. 2 DSG 2000 darstellen würde, hat die Beschwerdegegnerin dem Beschwerdeführer nicht mitgeteilt.

Da dem Beschwerdeführer in diesem Punkt somit keine Auskunft erteilt wurde bzw. ihm gegenüber auch keine Gründe angeführt wurden, warum die Auskunft nicht erteilt werden kann (§ 26 Abs. 2 DSG 2000), war diesbezüglich spruchgemäß (Spruchpunkt 1b) ein vollstreckbarer Leistungsauftrag unter Setzung einer angemessenen Frist (§ 59 Abs. 2 AVG) zu erlassen.

8) PVR-System

Die Beschwerdegegnerin teilte dem Beschwerdeführer mit Schreiben vom 25. September 2008 mit, dass sie im Zusammenhang mit dem elektronischen „PVR-System“ Meldungen des Beschwerdeführers über seine Flüge verarbeite; welche personenbezogenen Daten des Beschwerdeführers sie darin konkret elektronisch verarbeitet, teilte sie dem Beschwerdeführer hingegen nicht mit bzw. führte sie ihm gegenüber gemäß § 26 Abs. 4 DSG 2000 auch keine Gründe an, warum die Auskunft nicht erteilt werden kann. Die lediglich allgemein gehaltene Auskunft der Beschwerdegegnerin genügt dem Erfordernis einer Auskunft nach § 26 DSG 2000 jedenfalls nicht. Der Anspruch auf Auskunft enthält nämlich nicht nur das Recht des Betroffenen über die Art (Kategorie) der über ihn verarbeiteten Daten Auskunft zu erhalten, sondern auch dass ihm der Inhalt dieser Daten bekannt gegeben wird (vgl. den Bescheid der Datenschutzkommission vom 23. November 2001, K120.748/0022-DSK/2001).

Dem Beschwerdeführer ist zudem ein Rechtsschutzinteresse hinsichtlich der Frage, ob und wer auf seine im PVR-System eingebrachten Meldungen allenfalls zugegriffen hat, zuzuerkennen. Dazu wurde dem Beschwerdeführer von der Beschwerdegegnerin keine Auskunft erteilt. Da dem Beschwerdeführer in diesem Punkt daher keine Auskunft erteilt wurde bzw. ihm gegenüber gemäß § 26 Abs. 4 DSG 2000 auch nicht begründet wurde, warum die Auskunft nicht erteilt werden kann, war wie in Spruchpunkt 1c) ein vollstreckbarer Leistungsauftrag unter Setzung einer angemessenen Frist (§ 59 Abs. 2 AVG) zu erlassen.

Sofern der Beschwerdeführer in diesem Zusammenhang auch eine Verletzung der Meldepflicht des „PVR-Systems“ bzw. die Unzulässigkeit dieser Datenanwendung an sich behauptet, ist ihm entgegen zu halten, dass es sich dabei um keinen im Rahmen des Rechts auf Auskunft durchsetzbar zulässigen Verfahrensgegenstand handelt.

10) Speicherung von Mails

Der Beschwerdeführer vertritt in seiner Beschwerde und in seiner ergänzenden Eingabe vom 13. Oktober 2008 die Ansicht, die Auskunft der Beschwerdegegnerin sei auch deshalb unvollständig, weil darin Angaben darüber fehlen, welche im Zusammenhang mit dem Senden und Empfangen von E-Mails anfallenden Daten (Inhalts- und Verkehrsdaten) die Beschwerdegegnerin verarbeite.

Damit übersieht der Beschwerdeführer aber, dass er betreffend die Kenntnis vom Inhalt seines E-Mail Accounts (der nicht nur den eigentlichen Inhalt einer Nachricht, sondern auch die im Zusammenhang mit der Weiterleitung dieser Nachricht an ein Kommunikationsnetz entstandenen Daten (E-Mail Header), wie zB. Angaben zum Absender, Empfänger, Datum der Erstellung der E-Mail, über den Weg den die E-Mail genommen hat usw., enthält) insofern volle Verfügungsgewalt (und damit eine vom Auftraggeber ähnliche Stellung) besitzt, als er seinen Account jederzeit einsehen kann und den Inhalt auch nach eigenem Gutdünken löschen kann. Da – wie aus § 26 Abs. 8 DSG 2000 hervorgeht – das DSG 2000 ganz grundsätzlich ein besonderes Auskunftsrecht neben einem bestehenden Einsichtsrecht für überflüssig hält, kann die Inanspruchnahme eines Auskunftsbegehrens über einen Datenbestand, der dem Betroffenen jederzeit einsehbar ist – und wie im vorliegenden Fall darüber hinaus auch von diesem jederzeit löschbar ist – als unverhältnismäßige, weil sachlich nicht erforderliche Inanspruchnahme des Auftraggebers nach § 26 Abs. 2 DSG 2000 angesehen werden (siehe dazu den bereits zitierten Bescheid der Datenschutzkommission vom 23. Mai 2007).

Im Übrigen führte die Beschwerdegegnerin in ihren Eingaben vom

3. und vom 18. Dezember 2008 auch aus, dass ein Zugriff auf den E-Mail Account des Beschwerdeführers nur mittels Passwort, welches ausschließlich dem Beschwerdeführer bekannt sei, möglich sei und insofern auch niemand auf den E-Mail Account des Beschwerdeführers zugegriffen habe. Eine Verletzung im Recht auf Auskunft ist für die Datenschutzkommission an dieser Stelle daher nicht (mehr) erkennbar, weshalb die Beschwerde spruchgemäß abzuweisen war.

11) Mahlzeiten im Betriebsrestaurant

Die Beschwerdegegnerin teilte dem Beschwerdeführer mit Schreiben vom 25. September 2008 mit, dass sie im Zusammenhang mit dem „Crew-Meal-System“ aus Gründen der Verrechnung die Anzahl der Mahlzeiten des Beschwerdeführers im Betriebsrestaurant („Crewmeals“) speichere. Wieviele Mahlzeiten der Beschwerdeführer im Betriebsrestaurant letztendlich konsumiert hat, ob und wer Empfänger dieser Daten ist, führt sie darin allerdings nicht an bzw. teilt sie dem Beschwerdeführer darin auch nicht mit, weshalb sie diese Auskunft nicht oder nicht vollständig erteilen kann. Dadurch hat sie den Beschwerdeführer aber in seinem Recht auf Auskunft verletzt, weshalb spruchgemäß (Spruchpunkt 1.d.) ein vollstreckbarer Leistungsauftrag unter Setzung einer angemessenen Frist (§ 59 Abs. 2 AVG) zu erlassen war.

III) Empfänger seiner Daten

Die Beschwerdegegnerin teilte dem Beschwerdeführer mit Schreiben vom 25. September 2008 ergänzend mit, dass sie seinen Namen und seine Adresse an den Hersteller des Handbuches *** übermittelt hat (12.). Auch hat sie dem Crewbusbetreiber seinen Namen übermittelt (14.). Weiters teilte die Beschwerdegegnerin dem Beschwerdeführer mit Schreiben vom 18. Dezember 2008 ergänzend mit, dass sie dem Parkhausbetreiber und der S*** seinen Namen, sein Geburtsdatum und seine Personalnummer übermittelt hat (13.). Damit hat die Beschwerdegegnerin die vom Beschwerdeführer bemängelte Auskunft der Empfänger seiner Daten nachgeholt. Gründe, die nunmehr gegen eine Vollständigkeit dieser Auskunft sprechen würden, sind nicht ersichtlich und wurden vom Beschwerdeführer im Übrigen auch nicht vorgebracht. Die Beurteilung der Zulässigkeit der Übermittlung seines Namens und seiner Adresse an den Hersteller des Handbuches *** ist nicht Gegenstand dieses Verfahrens.

Die Auskunft erweist sich daher in diesem Punkt im relevanten Zeitpunkt als nicht (mehr) berechtigt, weshalb spruchgemäß zu entscheiden war.