K121.461/0003-DSK/2009 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Mag. HUTTERER, Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 24. April 2009 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Mag. Richard J*** (Beschwerdeführer) aus Wien vom 7. November 2008 gegen die C*** Verlag Gesellschaft m.b.H. aus München, Zweigniederlassung Salzburg (Beschwerdegegnerin), wegen Verletzung im Recht auf Auskunft in Folge mangelhafter Beantwortung des Auskunftsbegehrens vom 5. September 2008 wird entschieden:
2. Im Übrigen wird die Beschwerde abgewiesen.
Rechtsgrundlagen : §§ 1 Abs. 3 Z 1, 23 Abs. 1, 26 Abs. 1, 4, 7 und 8, 31 Abs. 1 und 49 Abs. 3 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.
B e g r ü n d u n g:
A. Vorbringen der Parteien
Der Beschwerdeführer behauptet in seiner am 12. November 2008 bei der Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin sein Auskunftsbegehren vom 5. September 2008 unzureichend beantwortet habe. Sie habe ihn nämlich mit Schreiben vom 11. September 2008 um Mitwirkung durch Bekanntgabe des auf einer an den Beschwerdeführer ergangenen Werbeaussendung aufgedruckten „Keycodes“ ersucht, nach Bekanntgabe des Keycodes aber nichts mehr von sich hören lassen. Der Beschwerdeführer beantragte, der Beschwerdegegnerin die Auskunftserteilung im Umfang seines Auskunftsbegehrens vom 5. September 2008 durch Bescheid aufzutragen.
Die Beschwerdegegnerin brachte in ihrer Stellungnahme vom 25. November 2008 unter Vorlage entsprechender Kopien vor, dem Beschwerdeführer mit Schreiben vom 29. Oktober 2008 Auskunft erteilt zu haben. Weiters legte die Beschwerdegegnerin eine Kopie eines „Anforderungs-Zertifikates“ vor, aus dem hervorgehe, dass die Kunden und Werbeadressaten darüber informiert würden, dass mit „befreundeten Unternehmen“ Daten ausgetauscht werden und unter welcher URL die kompletten „Datenschutzrichtlinien“ der Beschwerdegegnerin abgerufen werden könnten.
Der Beschwerdeführer hat sich nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens nicht mehr geäußert.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das Auskunftsbegehren des Beschwerdeführers vom 5. September 2008 gesetzmäßig beantwortet hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Die Beschwerdegegnerin ist eine in Deutschland registrierte Gesellschaft mit beschränkter Haftung mit Sitz in München (Amtsgericht München, HRB **2*3). In Österreich ist sie mit einer Zweigniederlassung in Salzburg zu FN 6**34v des Landesgerichts Salzburg unternehmens- und firmenbuchrechtlich protokolliert.
Beweiswürdigung : Diese Feststellungen beruhen auf dem offenen Firmenbuch.
Der Beschwerdeführer hat am 5. September 2008 (Zustellung an die Beschwerdegegnerin per 9. September 2008 nachgewiesen) ein datenschutzrechtliches Auskunftsbegehren an die Beschwerdegegnerin gerichtet.
Darin ersuchte er, unter Bezugnahme auf eine ihm zugegangene Werbeaussendung als Anlass, um folgende Auskünfte (Unterstreichungen durch die Datenschutzkommission):
Weiters begehrte der Beschwerdeführer Auskunft über durch „Schlüssel-, Such- und Referenzbegriffe“ mit seinen Daten verknüpfbare Daten , Name und Anschrift von Dienstleistern , Geschäftszahlen von eventuellen Genehmigung für den internationalen Datenverkehr , Bekanntgabe der DVR-Nummer und einer Liste der Datenanwendungen sowie Auskunft über den logischen Ablauf automatisierter Einzelentscheidungen .
Mit Schreiben vom 11. September forderte die Beschwerdegegnerin den Beschwerdeführer auf, den auf der erwähnten Werbeaussendung angebrachten Keycode bekanntzugeben. Mit Schreiben (Einschreibbrief) vom 26. September 2008 gab der Beschwerdeführer den Keycode „AT 23** 0*4 14* 6***345**“ bekannt.
Beweiswürdigung : Diese Feststellungen beruhen auf dem Vorbringen des Beschwerdeführers in der Beschwerde vom 7. November 2008 und den dieses unter Beweis stellenden Urkundenkopien, nämlich Kopien der zitierten Schreiben und Zustellnachweise. Die Beschwerdegegnerin ist diesem Sachverhaltsvorbringen in ihrer Stellungnahme vom 25. November 2008 nicht entgegengetreten.
Am 7. November 2008 erhob der Beschwerdeführer gemäß § 31 Abs. 1 DSG 2000 Beschwerde an die Datenschutzkommission. Datiert mit 29. Oktober 2008 erteilte die Beschwerdegegnerin dem Beschwerdeführer inhaltlich wiedergegeben folgende Auskunft:
Seine Adressdaten (sogenannter „kleiner Datenrahmen“, bestehend aus Vorname, Nachname und Anschrift) seien im Rahmen üblicher Austauschtransaktionen zwischen Versandunternehmen von der Firma „G***“ zur Verfügung gestellt worden. Diese Adressdaten würden nicht bzw. höchstens in Form einer Sicherheitskopie maximal drei Monate nach Aussendung gespeichert und dann gelöscht und nicht an Dritte weitergegeben. Die Beschwerdegegnerin habe veranlasst, dass seine Adresse in Zukunft nicht mehr für adressierte Werbeaussendungen verwendet würde. Darüber hinaus habe er die Möglichkeit, seine Adresse für Direktwerbung durch einen Eintrag in die so genannte „Robinson-Liste“ in Deutschland sperren zu lassen.
Dem Beschwerdeführer ist dieses Antwortschreiben spätestens im Zuge des Parteiengehörs zu den Ergebnissen des Ermittlungsverfahrens (GZ: K121.461/0004-DSK/2009 vom 5. Dezember 2008, Zustellung durch Rückschein per 10. Dezember 2008 nachgewiesen) zur Kenntnis gelangt.
Beweiswürdigung : Diese Feststellungen beruhen auf dem Akteninhalt dieses Beschwerdeverfahrens sowie auf den der Stellungnahme der Beschwerdegegnerin vom 25. November 2008 angeschlossenen Urkundenkopien, insbesondere dem zitierten Auskunftsschreiben.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung § 1 Abs. 3 DSG 2000 lautet unter der Überschrift „Grundrecht auf Datenschutz“:
„ § 1 . (1) [...]
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;“
§ 3 Abs. 1 DSG 2000 lautet unter der Überschrift „Räumlicher Anwendungsbereich“:
„ § 3 . (1) Die Bestimmungen dieses Bundesgesetzes sind auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist dieses Bundesgesetz auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers (§ 4 Z 4) geschieht.“
§ 23 Abs. 1 DSG 2000 lautet unter der Überschrift „Pflicht zur Offenlegung nicht-meldepflichtiger Datenanwendungen“:
„ § 23 . (1) Auftraggeber einer Standardanwendung haben jedermann auf Anfrage mitzuteilen, welche Standardanwendungen sie tatsächlich vornehmen.“
§ 26 Abs. 1, 3 und 4 und 7 DSG 2000 lautet unter der Überschrift „Auskunftsrecht“:
„ § 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) [...]
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
[...]
(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten.“
§ 49 Abs. 3 DSG 2000 lautet unter der Überschrift „Automatisierte Einzelentscheidungen“:
„ § 49 . (1) [...]
(3) Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen.“
§ 52 Abs. 1 Z 4 DSG 2000 lautet unter der Überschrift „Verwaltungsstrafbestimmungen“:
„ § 52 . (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 18 890 Euro zu ahnden ist, wer
2. rechtliche Schlussfolgerungen
I) Zuständigkeit und anzuwendendes Recht:
Formell besteht eine im Firmenbuch eingetragene österreichische Zweigniederlassung eines deutschen Auftraggebers, für deren Zwecke Daten verwendet worden sind. Auf diese Datenverwendung ist daher gemäß § 3 Abs. 1 DSG 2000 in jeder Hinsicht, unabhängig von der Frage des tatsächlichen Orts der Datenverarbeitung, österreichisches Datenschutzrecht anzuwenden.
Hier unterliegt die Beschwerdegegnerin der Jurisdiktion der Datenschutzkommission.
II) in der Sache selbst:
Die Beschwerde erweist sich aus folgenden Gründen teilweise als berechtigt:
a) nur Auskunfts-, kein Löschungsbegehren
Der Beschwerdegegnerin fällt zur Last, dass sie das umfangreiche aber klar formulierte Auskunftsbegehren des Beschwerdeführers offenkundig teilweise falsch interpretiert hat.
So hat der Beschwerdeführer keinesfalls eine Löschung seiner Daten oder eine Sperre dieser Daten für Zwecke der Direktwerbung verlangt, sondern sich ausschließlich auf die Auskunftsrechte nach §§ 26 Abs. 1, 23 Abs. 1 und 49 Abs. 3 DSG 2000 bezogen. Somit stehen Daten, die die Beschwerdegegnerin für Direktwerbungszwecke in Form einer Sicherungskopie verarbeitet (gespeichert) hat – was sie selbst ausdrücklich zugesteht -, unter der durch die Strafbestimmung des § 52 Abs. 1 Z 4 DSG 2000 sanktionierten Löschungssperre gemäß § 26 Abs. 7 DSG 2000 und müssen weiterhin für Zwecke der Auskunftserteilung erschließbar sein, da auf die viermonatige Frist nach der zitierten Bestimmung das vorliegende datenschutzrechtliche Beschwerdeverfahren gefolgt ist.
b) fehlende Antworten auf begründete Punkte des gestellten Auskunftsbegehrens
Von den Punkten des Auskunftsbegehrens vom 5. September 2008, deren bescheidmäßige Durchsetzung der Beschwerdeführer begehrt hat, sind noch Antworten zu folgenden Fragen ausständig:
Der Anspruch auf Auskunft enthält das Recht, Auskunft über die verarbeiteten Daten in allgemein verständlicher Form zu erhalten, dies bedeutet, dass der Betroffene nicht nur über die Art (Kategorien) der über ihn verarbeiteten Daten aufzuklären ist, sondern dass ihm der Inhalt dieser Daten bekanntzugeben ist. Es genügt daher nicht festzustellen, dass etwa der Name und das Geburtsdatum gespeichert seien, sondern es muss offengelegt werden, wie die tatsächlichen Eintragungen bei diesen Datenarten Name und Geburtsdatum lauten. Weiters sind bezüglich aller in Frage kommenden Datenarten die Herkunft dieser Daten und allfällige Übermittlungen zu beauskunften und zwar in hinlänglich konkreter Form, damit der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann. Darüber hinaus sind der Zweck und die Rechtsgrundlagen der Datenverwendung zu beauskunften (Bescheid der Datenschutzkommission vom 23. November 2001, GZ: K120.748/022-DSK/2001, RIS, ständige Rechtsprechung).
Lediglich der Zweck der Datenverwendung (Direktwerbung), die Herkunft der Daten (Firma „G***“) und die Frage nach Übermittlungsempfängern (keine Übermittlungen) wurden durch das inhaltliche Auskunftsschreiben vom 29. Oktober 2008 in ausreichender Weise dargelegt.
Bei § 49 Abs. 3 DSG 2000 handelt es sich um eine besondere Auskunftspflicht, die ausnahmsweise unabhängig vom Tatbestand der tatsächlichen dauerhaften Verarbeitung, insbesondere Speicherung personenbezogener Daten besteht (Bescheid der Datenschutzkommission vom 25. April 2008, GZ: K121.348/0007- DSK/2008, RIS). Die Beschwerdegegnerin hätte daher auf das entsprechende Begehren insoweit eingehen müssen, als sie die Durchführung automatisierter Einzelentscheidungen (wie z.B. Bonitätsbewertungen, vgl. dazu den zuletzt zitierten Bescheid der Datenschutzkommission) erläutern oder in Abrede stellen hätte müssen.
Durch die Nichtbeantwortung der Fragen zu den aufgezählten Punkten hat die Beschwerdegegnerin den Beschwerdeführer in seinem gesetzlichen Recht auf Auskunft verletzt.
Da § 40 Abs. 4 DSG 2000 nur für Auftraggeber des öffentlichen Bereichs gilt, war gegenüber der Beschwerdegegnerin, die als Gesellschaft mit beschränkter Haftung zum privaten Bereich zu zählen ist, ein Leistungsbescheid zu erlassen, der im Fall der Nichterfüllung auch durch die zuständige Vollstreckungsbehörde zwangsweise durchgesetzt werden kann (vgl. Bescheid der Datenschutzkommission vom 27. September 2005, GZ: K073.025/0007-DSK/2005; RIS).
c) teilweise unbegründete Punkte des gestellten Auskunftsbegehrens
Kein subjektives Recht auf Auskunft besteht jedoch hinsichtlich einer möglichen DVR-Nummer und eventueller Genehmigungsbescheide für den internationalen Datenverkehr. Falls eine entsprechende Eintragung besteht, können diese Daten dem öffentlichen Datenverarbeitungsregister entnommen werden (§ 16 Abs. 2 DSG 2000). Gemäß § 26 Abs. 8 DSG 2000 ist das Recht auf Auskunft hier auf die Einsichtnahme in das öffentliche Datenverarbeitungsregister beschränkt, da dieses die gesetzlich gebotene Publizität, unabhängig von individuellen Auskunftsbegehren, bereits herstellt.
Auch auf die vom Beschwerdeführer begehrte „Liste der von ihnen betriebenen Datenanwendungen“ besteht nur Anspruch, insoweit es sich um tatsächlich vorgenommene Standardanwendungen handelt, da diese nicht aus dem Datenverarbeitungsregister ersichtlich sind und auf sie beschränkt ein besonderes subjektives Recht auf Auskunft besteht.
Insoweit war die Beschwerde abzuweisen bzw. dem Antrag des Beschwerdeführers nur teilweise zu folgen.