K121.483/0004-DSK/2009 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Mag. HUTTERER, Mag. MAITZ-STRASSNIG, Mag. HEILEGGER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 25. Februar 2009 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Ronald B*** in O*** (Beschwerdeführer) vom 17. Dezember 2008 gegen die ZX*** GmbH in Wien (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wird wie folgt entschieden:
Rechtsgrundlagen: § 1 Abs. 3 Z 1, § 26 Abs. 1 und 4 und § 31 Abs. 1 Datenschutzgesetz 2000 – DSG 2000
B e g r ü n d u n g :
A. Vorbringen der Parteien
In seiner Beschwerde vom 17. Dezember 2008 behauptet der Beschwerdeführer eine Verletzung im Recht auf Auskunft. Er habe die Beschwerdegegnerin mit – der Beschwerde beigelegtem – Schreiben vom 5. September 2008 um Auskunft ersucht. Die Beschwerdegegnerin habe diesem Begehren aber nicht innerhalb von acht Wochen entsprochen, weil ihm das am 31. Oktober 2008 bei der Post abgegebene Antwortschreiben der Beschwerdegegnerin vom 30. Oktober 2008 erst am 4. November 2008 zugestellt worden sei. Zudem sei das Auskunftsschreiben der Beschwerdegegnerin auch unzureichend, weil darin nur beispielhaft seine Daten angeführt seien. Am Ende seiner Ausführungen stellt der Beschwerdeführer den – auch ausdrücklich als solchen bezeichneten – Antrag, die Datenschutzkommission möge der Beschwerdegegnerin auftragen, binnen einer angemessenen Frist die begehrte Auskunft entsprechend dem Beschwerdevorbringen zu erteilen, richtig zu stellen oder zu ergänzen.
In ihrer Stellungnahme vom 16. Jänner 2009 teilte die Beschwerdegegnerin der Datenschutzkommission allgemein mit, dass sie jene Daten von Mitgliedern speichere, die ihr laut Mitgliedsvertrag bekannt seien.
B. Beschwerdegegenstand
Aufgrund des Beschwerdevorbringens ergibt sich, dass Gegenstand der Beschwerde die Frage ist, ob die Beschwerdegegnerin dem Beschwerdeführer auf sein Auskunftsbegehren vom 5. September 2008 eine dem Gesetz entsprechende Auskunft erteilt hat.
C. Sachverhalt:
Mit Telefax vom 5. September 2008 richtete der Beschwerdeführer folgendes auszugsweise wiedergegebenes Auskunftsbegehren an die Beschwerdegegnerin:
„….
Ich ersuche Sie unter Hinweis auf § 1 § 26 DSG 2000 und alle weiteren anwendbaren Bestimmungen des DSG 2000 um Beantwortung der folgenden Fragen:
….“
Daraufhin teilte die Beschwerdegegnerin dem Beschwerdeführer mit am 31. Oktober 2008 zur Post gegebenen und am 4. November 2008 dem Beschwerdeführer zugestellten Schreiben vom 30. Oktober 2008 folgendes mit:
„Sehr geehrter Herr B***,
wie von Ihnen per Fax angefragt, hier die Auskünfte zur Ihren Daten:
Daten die wir über Sie speichern sind zB Adresse und Telefonnummer um im Zuge der Mitgliedschaft über Neuigkeiten zu informieren. Diese werden nicht an Dritte kommuniziert.
Die Daten erhielten wir über den Vertrag den Sie mit uns abgeschlossen haben.
UID Nummer ***
Sollten Sie noch weitere Fragen haben, stehen wir ihnen gerne zur Verfügung.“
Beweiswürdigung: Diese Feststellungen beruhen auf den vom Beschwerdeführer vorgelegten Schreiben vom 5. September 2008 und vom 30. Oktober 2008 sowie auf seinem unbestrittenen Vorbringen in seiner Beschwerde.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die hier wesentlichen Bestimmungen des Datenschutzgesetzes 2000, BGBl I Nr. 165/1999 idgF (DSG 2000), lauten auszugsweise:
㤠1.
…..
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
…..
§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.
Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
…….
(8) Soweit Datenanwendungen von Gesetzes wegen öffentlich einsehbar sind, hat der Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht. Für das Verfahren der Einsichtnahme gelten die näheren Regelungen der das öffentliche Buch oder Register einrichtenden Gesetze.“
2. rechtliche Schlussfolgerungen
Im vorliegenden Fall hat der Beschwerdeführer mit Telefax vom 5. September 2008 von der Beschwerdegegnerin Auskunft über die zu seiner Person verarbeiteten Daten, über die Herkunft und die Empfänger dieser Daten sowie den Zweck und die Rechtsgrundlage ihrer Verarbeitung begehrt. Die Beschwerdegegnerin hat dem Beschwerdeführer mit dem Schreiben vom 30. Oktober 2008 eine Auskunft erteilt. (Auf die Frage der Gesetzmäßigkeit des Zeitpunkts der Zustellung der Auskunft braucht nicht näher eingegangen zu werden, da der Beschwerdeführer in seinem – ausdrücklich als solchen bezeichneten - Beschwerdeantrag auf eine allenfalls verspätete Erteilung der Auskunft nicht Bezug nimmt.)
Eine Auskunft gemäß § 26 DSG 2000 hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Dies bedeutet, dass der Betroffene nicht nur über die Art (Kategorien) der über ihn verarbeiteten Daten aufzuklären ist, sondern dass ihm der Inhalt der über ihn gespeicherten Daten bekannt zugeben ist. Es genügt daher nicht festzustellen, dass etwa der 'Name und das Geburtsdatum' gespeichert seien, sondern es muss offengelegt werden, wie die tatsächlichen Eintragungen bei diesen Datenarten 'Name' und 'Geburtsdatum' lauten (siehe dazu u. a. den Bescheid der Datenschutzkommission vom 23. November 2001, K120.748/022-DSK/2001).
Die allgemeine Auskunft der Beschwerdegegnerin, sie speichere „z.B. Adresse und Telefonnummer“ des Beschwerdeführers genügt diesen Anforderungen nicht. Auch die auf diesen Angaben über die verwendeten personenbezogenen Daten aufbauende Auskunft der Beschwerdegegnerin über die Herkunft und die Empfänger dieser Daten sowie über den Zweck und die Rechtsgrundlage ihrer Verarbeitung kann nicht als ausreichend angesehen werden, weil die Überprüfung der Richtigkeit dieser Angaben mangels Kenntnis der tatsächlich verarbeiteten Daten nicht möglich ist. Die Beschwerdegegnerin hat die Erteilung einer vollständigen Auskunft auch in ihrer – im Übrigen alleine gegenüber der Datenschutzkommission erstatteten – Stellungnahme vom 16. Jänner 2009 nicht nachgeholt.
Somit hat die Beschwerdegegnerin den Beschwerdeführer dadurch, dass sie ihm keine vollständige Auskunft im Sinne des § 26 Abs. 1 DSG 2000 erteilt hat, in seinem Recht auf Auskunft verletzt. Es war daher spruchgemäß ein vollstreckbarer Leistungsauftrag unter Setzung einer angemessenen Frist (§ 59 Abs. 2 AVG) zu erlassen.