K121.472/0003-DSK/2009 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. STAUDIGL, Mag. ZIMMER, Dr. BLAHA, Dr. KOTSCHY und Dr. ROSENMAYR-KLEMENZ sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 08. Mai 2009 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde der Q*** FZE, Vereinigte Arabische Emirate (Beschwerdeführerin), vertreten durch die H*** Rechtsanwälte OG in **** R***, vom 27. November 2008 in der Fassung (nach Mangelbehebungsauftrag) vom 3. Dezember 2008, gegen 1. das Landespolizeikommando Vorarlberg (Erstbeschwerdegegner), 2. die Staatsanwaltschaft Feldkirch (Zweitbeschwerdegegnerin) sowie, auf Grund der am 3. Dezember 2008 gestellten Anträge,
3. das Landesgericht Feldkirch und 4. Rechtsanwalt Dr. Alfons E*** aus K***, wegen Verletzung im Recht auf Geheimhaltung verbunden mit Anträgen nach § 31 Abs. 3 DSG 2000 wird entschieden:
Rechtsgrundlagen : Art. 90a des Bundes-Verfassungsgesetzes in der Fassung von 1929 (B-VG), BGBl. Nr. 1/1930 idF BGBl. I Nr. 2/2008; §§ 1 Abs. 5, 4 Z 4, 5 Abs. 2 und 3, 31 Abs. 2 und 3 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, und § 10 Abs. 1 und 6 des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991 idgF.
B e g r ü n d u n g:
A. Vorbringen der Beschwerdeführerin und verfahrensrechtlich relevanter Sachverhalt
Die anwaltlich vertretene Beschwerdeführerin brachte zunächst eine als „Anzeige gem §§ 30, 31.2, 51 und 52 DSG 2000” bezeichnete Eingabe ein, die wegen der Erwähnung der Bestimmung des § 31 Abs. 2 DSG 2000 auch als Datenschutzbeschwerde protokolliert wurde. Inhaltlich beschränkte sich das Vorbringen zunächst auf die Vorlage einer Kopie einer am selben Tag bei der Staatsanwaltschaft Wien erstatteten Strafanzeige sowie das ergänzende Vorbringen, die Tatsache, dass Bankdaten der Beschwerdeführerin unverschlüsselt aufbewahrt sowie für Akteneinsichtsberechtigte zugänglich seien, stelle eine „grob fahrlässige Verletzung des Datengeheimnisses“ dar. Aus dem Inhalt der Strafanzeige ergibt sich, dass die Beschwerdeführerin in der Gewährung von Akteneinsicht an Rechtsanwalt Dr. Alfons E*** aus K***, der namens von der Beschwerdeführerin angeblich geschädigter Personen einen Konkursantrag gegen die Beschwerdeführerin gestellt habe, eine Verletzung ihrer Geheimhaltungsrechte erblickte. Diese Einsichtgewährung habe auch die Ergebnisse mehrerer gerichtlich verfügter Kontenöffnungen bei österreichischen und slowakischen Banken umfasst. Mit Hilfe der Daten habe Dr. E*** daraufhin Kunden der Beschwerdeführerin angeschrieben und seine Dienste angeboten. Diese Daten würden teilweise in Form unverschlüsselter Excel-Tabellen auf CD-ROM in den Akten des Strafverfahrens aufbewahrt.
Die Datenschutzkommission erließ am 3. Dezember 2008 nach erster Prüfung der Beschwerde einen Mangelbehebungsauftrag, in dem der Beschwerdeführerin der Mangel vorgehalten wurde, es fehle eine bestimmte Bezeichnung des oder der datenschutzrechtlichen Auftraggeber, gegen die sich die Beschwerde richte, da es sich bei § 31 Abs. 2 DSG 2000 um ein förmliches, antragsbedürftiges Rechtsschutzverfahren handle. Auf die fehlende Zuständigkeit der Datenschutzkommission nach § 31 Abs. 2 DSG 2000 gegenüber den Gerichten und Auftraggebern des privaten Bereichs sowie auf Art. 90a B-VG wurde hingewiesen. Weiters wurde der Beschwerdegegnerin der Mangel einer fehlenden Behauptung betreffend die Kenntnisnahme von möglichen Datenschutzverletzungen (im Hinblick auf § 34 Abs. 1 DSG 2000) vorgehalten. Der Beschwerdeführerin wurde aufgetragen, die dargestellten Mängel binnen einer Woche zu verbessern.
Mit Schreiben vom 3. Dezember 2008 führte die Beschwerdeführerin aus, die Beschwerde richte sich (kumulativ) gegen das Landespolizeikommando Vorarlberg, Landeskriminalamt (im Folgenden kurz: LKA) sowie gegen die Staatsanwaltschaft Feldkirch, die beide auftraggeberisch für die Datenübermittlung an Rechtsanwalt Dr. E*** verantwortlich sein könnten. Art. 90a B-VG sei in dieser Frage nicht anzuwenden, da die entsprechenden Verfahrensschritte vor dem 1. Jänner 2008 gesetzt worden seien. Überdies verstoße die Zuständigkeitsbeschränkung des § 31 Abs. 2 DSG 2000 gegen Art. 28 der Richtlinie 95/46/EG. Kenntnis davon erlangt habe die Beschwerdeführerin im Zuge einer Akteneinsichtnahme am 8. September 2008. Da die Daten jedem, der Akteneinsicht nehme, zugänglich seien, bestehe die Gefahr weiterer Datenschutzverletzungen. Die Beschwerdeführerin stellte daher gemäß § 31 Abs. 3 DSG 2000 die Anträge, die „Datenschutzkommission möge
B. In rechtlicher Hinsicht folgt daraus :
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung § 1 Abs. 5 DSG 2000 lautet unter der Überschrift „Grundrecht auf Datenschutz“:
„ § 1 . (1) [...]
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, daß Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.“
§ 4 Z 4 DSG 2000 lautet unter der Überschrift „Definitionen“:
„ § 4 . Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
§ 5 DSG 2000 lautet unter der Überschrift „Öffentlicher und privater Bereich“:
„ § 5 . (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Abs. 2) durchgeführt werden.
(2) Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,
(3) Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.“
§ 31 Abs. 1, 2 und 3 DSG lautet unter der Überschrift „Beschwerde an die Datenschutzkommission“:
„ § 31 . (1) Die Datenschutzkommission erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26 durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) Zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz ist die Datenschutzkommission dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist.
(3) Bei Gefahr im Verzug kann die Datenschutzkommission im Zuge der Behandlung einer Beschwerde nach Abs. 2 die weitere Verwendung von Daten zur Gänze oder teilweise untersagen oder auch - bei Streitigkeiten über die Richtigkeit von Daten - dem Auftraggeber die Anbringung eines Bestreitungsvermerks auftragen.“
Art. 90a B-VG lautet:
„ Artikel 90a . Staatsanwälte sind Organe der Gerichtsbarkeit. In Verfahren wegen mit gerichtlicher Strafe bedrohter Handlungen nehmen sie Ermittlungs- und Anklagefunktionen wahr. Durch Bundesgesetz werden die näheren Regelungen über ihre Bindung an die Weisungen der ihnen vorgesetzten Organe getroffen.“
§ 10 SPG Abs. 1 und 6 lauten unter der Überschrift „Polizeikommanden“:
„ § 10 . (1) Für jedes Bundesland ist ein Landespolizeikommando, dem Bezirks- und Stadtpolizeikommanden sowie deren Polizeiinspektionen untergeordnet sind, eingerichtet.
[...]
(6) Soweit für den inneren Dienst automationsunterstützt Daten verwendet werden, ist das jeweilige Polizeikommando Auftraggeber (§ 4 Z 4 DSG 2000).“
Art. 3 der Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt Nr. L 281 vom 23. November 1995 S. 31 – 50, lautet:
„ Artikel 3 – Anwendungsbereich
(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
2. rechtliche Schlussfolgerungen
Die auch nach Verbesserung teilweise unschlüssige und inkonsistente Beschwerde erweist sich aus folgenden Gründen als unzulässig:
1. Beschwerde gegen das LKA
Das Landespolizeikommando ist eine (innere) Organisationseinheit der Bundespolizei gemäß § 10 SPG und kommt gemäß § 10 Abs. 6 SPG nur soweit als datenschutzrechtlicher Auftraggeber in Frage, als Daten für Zwecke des „inneren Dienstes“ der Bundespolizei (u.a. der behördeninternen Organisation, der Diensteinteilung und der personellen und dienstrechtlichen Angelegenheiten, vgl. § 10 Abs. 2 SPG) verwendet werden.
In der Rechtsprechung des Verfassungsgerichtshofs (VfGH) zu datenschutzrechtlichen Fragen wurden Bescheide, in denen die Datenschutzkommission Polizeikommanden als verantwortliche datenschutzrechtlichen Auftraggeber (in Angelegenheiten der Sicherheitspolizei, gestützt auf § 13 Abs. 2 SPG) und Beschwerdegegner behandelt hat, aufgehoben (zuletzt: VfGH Erkenntnis vom 16. Juni 2008, B 494/07, RIS).
Daraus folgt, dass in Angelegenheiten der Verwendung personenbezogener Daten für Zwecke der Sicherheits- wie der Kriminalpolizei nur die in § 4 SPG festgelegten Sicherheitsbehörden als verantwortliche datenschutzrechtliche Auftraggeber in Frage kommen.
2. Beschwerde gegen die Staatsanwaltschaft Feldkirch
Soweit sich die Beschwerde vom 27. November 2008 gegen die Staatsanwaltschaft Feldkirch richtet, ist sie seit 1. Jänner 2008 unzulässig, da sich die Zuständigkeit der Datenschutzkommission gemäß §§ 1 Abs. 5 und 31 Abs. 2 DSG 2000 seit diesem Zeitpunkt nicht mehr auf die Staatsanwaltschaften erstreckt, da Staatsanwälte seit 1. Jänner 2008 gemäß ausdrücklicher Anordnung des Verfassungsgesetzgebers in Art. 90a B-VG „Organe der Gerichtsbarkeit“ sind.
Die Beschwerdeführerin hält dem entgegen, die Beschwerde beziehe sich auf einen Zeitraum, der vor Inkrafttreten dieser Bestimmung liege. Außerdem widerspreche diese Beschränkung der Zuständigkeit der Datenschutzkommission Artikel 28 der Richtlinie 95/46/EG.
Soweit die Beschwerdeführerin durch letzteres Vorbringen, ohne dies allerdings näher auszuführen, eine richtlinienwidrige einfachgesetzliche Rechtslage in Österreich behauptet und ihre Ansprüche direkt auf die Richtlinie stützen möchte, so genügt es darauf zu verweisen, dass sich der Anwendungsbereich der betreffenden Richtlinie gemäß Art. 3 Abs. 2 leg.cit. ausdrücklich nicht auf Angelegenheiten der öffentlichen Sicherheit und „die Tätigkeiten des Staates im strafrechtlichen Bereich“ erstreckt. Die europarechtliche Garantie des Rechtsschutzes durch eine „unabhängige Kontrollstelle“ erstreckt sich auf Grundlage des unmissverständlichen Wortlauts der Richtlinie daher nicht auf die Überprüfung des Tätigwerdens der Staatsanwaltschaften und der Kriminalpolizei im strafprozessualen Ermittlungsverfahren.
Überdies widerspricht die Beschwerdeführerin ihrem eigenen Vorbringen insoweit, als sie am 3. Dezember 2008 einen ergänzenden Antrag auf Rechtsschutz gemäß § 31 Abs. 3 DSG 2000 gestellt hat, der unzweifelhaft darauf abzielt, der Staatsanwaltschaft Feldkirch ein bestimmtes, zukünftiges Verhalten (Ausschluss der Akteneinsicht) vorzuschreiben, demnach keineswegs auf ein bloßes Feststellen möglicher vergangener Rechtsverletzungen beschränkt ist.
Die Zuständigkeitsbestimmung des § 31 Abs. 2 DSG 2000 geht ihrem Wortlaut nach von der gegenwärtigen, im Zeitpunkt der Einbringung der Beschwerde geltenden Einordnung eines Staatsorgans im System der Staatsgewalten aus (arg: „...ist die Datenschutzkommission dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist .“; Unterstreichung durch die Datenschutzkommission). Im Zeitpunkt der Beschwerdeerhebung war im vorliegenden Fall die Staatsanwaltschaft Feldkirch jedoch bereits ein Organ bzw. eine behördliche Organisationseinheit der Gerichtsbarkeit. Ein Bescheid der Datenschutzkommission, die eine Verwaltungsbehörde ist, gerichtet an ein Organ der Gerichtsbarkeit, und sei es auch nur in Form einer Feststellung von Rechtsverletzungen mit den „Vollstreckungsfolgen“ gemäß § 40 Abs. 4 DSG 2000, würde daher den Gewaltentrennungsgrundsatz, ein so genanntes „Baugesetz“ der österreichischen Bundesverfassung, der u.a. in Art. 94 B-VG ausgedrückt ist (Trennung von Justiz und Verwaltung, vgl. Walter/Mayer , Bundesverfassungsrecht
9. Aufl (2000), Rz 163), verletzen.
Diese Auslegung des Gesetzes wird auch durch die Übergangsbestimmungen zu den StPO-Novellen BGBl I Nr. 93/2007 und Nr. 109/2007 gestützt, die mit Art. 90a B-VG in einem engen zeitlichen wie sachlichen Zusammenhang stehen. Demnach sind grundsätzlich alle strafprozessualen Vorverfahren nach den neuen Bestimmungen (d.h. unter der Leitung der Staatsanwaltschaft) weiter zu führen, gerichtliche Voruntersuchungen wurden mit 1. Jänner 2008 ex lege beendet (§ 516 Abs. 1 und Abs. 2 3. Satz StPO). Daraus folgt, dass mit diesem Datum die Verantwortung der Staatsanwaltschaft und das gegen deren Handlungen eingerichtete – gerichtliche – Rechtsschutzsystem der StPO zum Tragen kommen sollten. Im Übrigen wird auf die in §§ 83 ff GOG vorgesehenen Rechtschutzmöglichkeiten verwiesen.
3. Antrag auf einstweilige Maßnahmen gegen das LG Feldkirch
Zunächst ist vorauszuschicken – und deshalb ist die Beschwerde auch eingangs der Begründung als unschlüssig und inkonsistent bezeichnet worden -, dass die Beschwerdeführerin die Reichweite und den Sinn des Antragsrechts nach § 31 Abs. 3 DSG 2000 verkennt. Diese Bestimmung ermächtigt die Datenschutzkommission, zur Sicherung des Beschwerdeverfahrens gegenüber Beschwerdegegnern (arg: „im Zuge der Behandlung einer Beschwerde“) bestimmte vorläufige Maßnahmen zu setzen. Eine derartige Anordnung kann jedoch nie weiter reichen als die abschließende Entscheidung der Datenschutzkommission und kann sich nicht gegen Auftraggeber richten, die nicht als Beschwerdegegner belangt worden sind.
Eine derartige Anordnung gegenüber dem Landesgericht Feldkirch erweist sich jedoch bereits im Lichte der oben unter 2. dargelegten Frage der Gewaltentrennung als unzulässig, da § 31 Abs. 2 DSG 2000 keine Zuständigkeit der Datenschutzkommission vorsieht, gegenüber Gerichten als Organen der Gerichtsbarkeit tätig zu werden.
4. Antrag auf einstweilige Maßnahmen gegen RA Dr. E***
Auch hier ist auf das oben unter 3. zur Frage der vorläufigen Maßnahmen Gesagte zu verweisen. Gegenüber einem Rechtsanwalt, der gemäß § 5 Abs. 2 und 3 DSG 2000 zu den Auftraggebern des privaten Bereichs zählt, ist überdies ebenfalls gemäß § 31 Abs. 2 DSG 2000 keine Zuständigkeit der Datenschutzkommission zur Durchführung eines Beschwerdeverfahrens wegen einer möglichen Verletzung des Geheimhaltungsrechts gegeben. Gemäß § 32 Abs. 1 und 3 DSG 2000 wäre jedoch eine Unterlassungsklage samt Sicherungsverfahren denkbar gewesen.
Die Beschwerde war daher insgesamt in Folge mangelnder Zuständigkeit der Datenschutzkommission bzw. mangels Vorliegens eines im gegebenen Zusammenhang vor der Datenschutzkommission belangbaren Auftraggebers zurückzuweisen.