K121.497/0007-DSK/2009 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. MAITZ-STRASSNIG, Dr. KOTSCHY, Dr. BLAHA, Dr. HEISSENBERGER und Mag. ZIMMER sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 10. Juli 2009 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Dr. Heribert S*** (Beschwerdeführer), in **** Wien, vom 19. Jänner 2009 gegen die Bundespolizeidirektion Graz (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft in Folge unvollständiger Beantwortung des Auskunftsbegehrens vom 2. Mai 2008, wird entschieden:

- Die B e s c h w e r d e wird a b g e w i e s e n.

Rechtsgrundlagen: §§ 1 Abs. 3 Z 1, 26 Abs. 1 und 4 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, iVm §§ 4, 7 Abs. 1 und 2, 8 Abs. 1 und 10 Abs. 1 des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991 idgF.

B e g r ü n d u n g

A. Vorbringen der Parteien

Der Beschwerdeführer behauptete in seiner vom 19. Jänner 2009 datierenden und am selben Tag bei der Datenschutzkommission per Telefax eingelangten Beschwerde eine Verletzung im Recht auf Auskunft über eigene Daten dadurch, dass die Beschwerdegegnerin sein Auskunftsbegehren vom 2. Mai 2008 unzureichend beantwortet habe. Das Auskunftsschreiben der Beschwerdegegnerin habe eine Auskunft hinsichtlich der Datenanwendung „PAD“ abgelehnt, da für „PAD“ das Landespolizeikommando Steiermark Auftraggeber sei. Dies widerspreche jedoch der ständigen Rechtsprechung des Verfassungsgerichtshofs zu dieser Frage. Der Beschwerdeführer beantragte, festzustellen, dass durch die fehlenden Mitteilungen gemäß § 26 Abs. 4 DSG 2000 das Auskunftsrecht („Recht auf Erhalt einer solchen Mitteilung“) verletzt worden ist, und der Beschwerdegegnerin durch Bescheid „die Mitteilung gemäß § 26 Abs. 4 DSG bzgl. des „PAD“ des Landespolizeikommandos Stmk aufzutragen.“

Die Beschwerdegegnerin brachte, von der Datenschutzkommission entsprechend aufgefordert, mit Stellungnahme vom 30. Jänner 2009 vor, die Beschwerdegegnerin habe die entsprechende Auskunft nun mit Schreiben vom selben Tag um die weitere Negativauskunft ergänzt, dass für ihren Behördenbereich per Stichtag keine auf den Beschwerdeführer bezogenen Daten in der Datenanwendung „PAD“ verarbeitet werden. Die ergänzte Auskunft wurde der Datenschutzkommission in Kopie vorgelegt. Die Beschwerdegegnerin brachte jedoch auch vor, die ursprüngliche Auskunft sei „vollkommen korrekt“ gewesen, da die Datenanwendung, die Personendaten und Funktionen des Systems PAD (sog. „Exekutiv-PAD“) umfasse, vom Landespolizeikommando für Steiermark (LPK Steiermark) unter der Bezeichnung „Allgemeine Protokolle des Landespolizeikommandos“ zu DVR-Nr. 0***0* der Datenschutzkommission gemeldet und von dieser per 28. August 2005 auch im Datenverarbeitungsregister (DVR) eingetragen worden sei. Diesbezüglicher Auftraggeber sei daher das LPK Steiermark für seinen gesamten Wirkungsbereich. Für die Beschwerdegegnerin sei zur Bestimmung der Auftraggebereigenschaft der (in Kopie vorgelegte) Registerauszug des DVR maßgebend gewesen. Entgegenstehende Judikatur sei der Beschwerdegegnerin nicht bekannt gewesen und habe offenbar auch keinen Niederschlag im Registerstand des DVR gefunden.

Der Beschwerdeführer gab nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens keine weitere Stellungnahme ab.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das Auskunftsbegehren des Beschwerdeführers vom 2. Mai 2008 gesetzmäßig beantwortet hat, insbesondere ob sie verpflichtet gewesen wäre, auch PAD-Daten aus dem gesamten Zuständigkeitsbereich des LPK Steiermark zu beauskunften.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer verlangte mit Schreiben vom 2. Mai 2008 schriftlich von der Beschwerdegegnerin „Auskunft über die zu seiner Person (automationsunterstützt oder nichtautomationsunterstützt) verarbeiteten Daten zu erteilen“, insbesondere welche Daten wie verarbeitet werden, die Herkunft dieser Daten bekannt zu geben, die Übermittlungen und Übermittlungsempfänger offen zu legen sowie den Zweck und die Rechtsgrundlagen der Datenverwendung bekannt zu geben. Weiters wurde auch Auskunft über Name und Adresse eventueller Dienstleister verlangt.

Mit Schreiben vom 23. Mai 2008, Zl. *-00/***-, erteilte die Beschwerdegegnerin dem Beschwerdeführer eine mehrseitige schriftliche Auskunft zu den ihn betreffenden personenbezogenen Daten in verschiedenen Datenanwendungen und manuellen Dateien, teils auch in Form einer begründeten Negativauskunft. Der diesbezügliche Inhalt der Auskunft wurde vom Beschwerdeführer in weiterer Folge nicht gerügt. Das Auskunftsschreiben der Beschwerdegegnerin enthält weiters den folgenden Satz:

„Die von ihnen namhaft gemachte Datenanwendung „PAD“ steht bei der BPD Graz nicht in Verwendung. Hingegen verwendet das Landespolizeikommando Steiermark, 8053 Graz, Straßganger Straße 280, die Datenanwendung „PAD“. Bei allen Fragen im Zusammenhang mit dieser Applikation werden Sie gebeten, sich an die genannte Behörde zu wenden.“

Beweiswürdigung: Diese Feststellungen beruhen auf dem Vorbringen des Beschwerdeführers und den von ihm vorgelegten Kopien der betreffenden Korrespondenz (Beilagen zur Beschwerde vom 19. Jänner 2009).

Mit Stand 1. September 2006 (und, wie eine amtswegige Überprüfung ergeben hat, bis heute unverändert) ist für den datenschutzrechtlichen Auftraggeber „Landespolizeikommando für Steiermark“, DVR: ***0000, eine Datenanwendung (DAN) mit der Bezeichnung „Allgemeine Protokolle des Landespolizeikommandos“ (DAN-Nr. ***000/***) registriert. In der Meldung an das DVR vom 1. Juli 2005 wird der Zweck dieser DAN folgendermaßen umschrieben: „Zweck der Datenanwendung ist die Dokumentation der Amtshandlungen, die Verwaltung von Dienststücken und die Auffindung von Aktenstücken.“ Eine gleich lautende DAN („Allgemeine Protokolle der Bundespolizeidirektion Graz“) wurde von der Beschwerdegegnerin am 29. Oktober 2007 zu DVR:

0***000 beim DVR gemeldet und per 11. Dezember 2007 registriert (DAN-Nr. 000****/00*).

Beweiswürdigung: Diese Feststellungen stützen sich auf das öffentliche Datenverarbeitungsregister und den von der Beschwerdegegnerin als Beilage zur Stellungnahme vom 30. Jänner 2009 vorgelegten Registerauszug des LPK Steiermark (Stand 1.September 2006).

Mit Schreiben vom 30. Jänner 2009 ergänzte die Beschwerdegegnerin ihre Auskunft inhaltlich um folgenden Satz (Unterstreichung im Original):

„Zu ihrem Antrag auf Auskunftserteilung über Eintragungen ihre Person betreffend aus der Datenanwendung „PAD“ wird ihnen für den Behördenbereich der Bundespolizeidirektion Graz mitgeteilt, dass mit Stichtag 29. 1. 2009 keine Daten ermittelt oder verarbeitet waren und somit keine Eintragung bestand.“

Beweiswürdigung: Diese Feststellungen beruhen auf der von der Beschwerdegegnerin als Beilage zur Stellungnahme vom 30. Jänner 2009 vorgelegten Kopie des ergänzenden Auskunftsschreibens, Zl. *-**/000-.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die hier wesentlichen Bestimmungen des DSG 2000 lauten auszugsweise:

„§ 1. (1) […]

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

[…]

§ 16. (1) Bei der Datenschutzkommission ist ein Register der Datenanwendungen zum Zweck der Prüfung ihrer Rechtmäßigkeit und zum Zweck der Information der Betroffenen eingerichtet.

[…]

§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

[…]

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“

§ 4 Abs. 1 und 2 SPG lautet samt Überschrift:

„Sicherheitsbehörden

§ 4. (1) Oberste Sicherheitsbehörde ist der Bundesminister für Inneres.

(2) Dem Bundesminister für Inneres unmittelbar unterstellt besorgen Sicherheitsdirektionen, ihnen nachgeordnet Bezirksverwaltungsbehörden und Bundespolizeidirektionen, die Sicherheitsverwaltung in den Ländern.“

§ 7 Abs. 1 und 2 SPG lautet samt Überschrift:

„Sicherheitsdirektionen

§ 7. (1) Für jedes Bundesland besteht eine Sicherheitsdirektion mit dem Sitz in der Landeshauptstadt.

(2) An der Spitze einer Sicherheitsdirektion steht der Sicherheitsdirektor. Bei Besorgung der Sicherheitsverwaltung sind ihm das Landespolizeikommando und dessen hiefür bestimmten inneren Gliederungen unmittelbar unterstellt.“

§ 8 Abs. 1 SPG lautet samt Überschrift:

„Bundespolizeidirektionen

§ 8. (1) An der Spitze einer Bundespolizeidirektion steht der Polizeidirektor, an der Spitze der Bundespolizeidirektion Wien der Polizeipräsident. Die Bezirks- oder Stadtpolizeikommanden und deren Polizeiinspektionen sind den Bundespolizeidirektionen außer Wien bei der Besorgung der Sicherheitsverwaltung unterstellt. Den Exekutivdienst versehen der Polizeidirektor (Polizeipräsident) und die ihm beigegebenen, zugeteilten oder unmittelbar unterstellten Organe des öffentlichen Sicherheitsdienstes.“

§ 10 Abs. 1 SPG lautet samt Überschrift:

„Polizeikommanden

§ 10. (1) Für jedes Bundesland ist ein Landespolizeikommando, dem Bezirks- und Stadtpolizeikommanden sowie deren Polizeiinspektionen untergeordnet sind, eingerichtet.“

2. rechtliche Schlussfolgerungen

Mangels eines über die Frage des Umfangs der Auskunftserteilung (= relevanter Beschwerdepunkt) hinausgehenden Vorbringens des Beschwerdeführers zum inhaltlichen Teil der Auskunft, war wie folgt zu erwägen:

Eine auftraggeberische, das heißt datenschutzrechtliche Verantwortung der Polizeikommanden kann nach Rechtsmeinung des Verfassungsgerichtshofs nur auf Fragen des „inneren Dienstes“ erstreckt werden, keinesfalls jedoch auf Datenverwendung hinsichtlich bestimmbarer Betroffener für Zwecke der Sicherheits- oder der Kriminalpolizei (st. Rspr. des VfGH, siehe VfSlg 17716, 17747,17748 und 18300). Die entsprechende auftraggeberische Verantwortung trifft demnach (außerhalb der Verarbeitungszwecke des „inneren Dienstes“) stets die Sicherheitsbehörden nach § 4 Abs. 1 und 2 SPG.

Die Datenschutzkommission geht davon aus, dass die datenschutzrechtliche Zuständigkeit und damit der auftraggeberische Verantwortungsbereich einer Sicherheitsbehörde sich mit dem Zuständigkeitsbereich der ihr unterstehenden Polizeikommanden deckt. Die Bundespolizeidirektion Graz als Beschwerdegegnerin kann als datenschutzrechtlicher Auftraggeber daher nur für Daten verantwortlich sein, die im Bereich des Stadtpolizeikommandos (SPK) Graz verarbeitet werden, das heißt auch nur für PAD-Daten in Verfahren, die von den im Zuständigkeitsbereich operierenden polizeilichen Einheiten geführt worden sind. Das LPK Steiermark wiederum ist gemäß § 7 Abs. 2 SPG der Sicherheitsdirektion für das Bundesland Steiermark beigeordnet und unterstellt, demnach ist diese Sicherheitsbehörde zweiter Instanz verantwortlicher datenschutzrechtlicher Auftraggeber für alle Daten, die in den PAD-Datenanwendungen dieses Polizeikommandos verwendet werden. Im Beschwerdefall konnte festgestellt werden, dass die Beschwerdegegnerin, im Gegensatz zu ihrem eigenen Vorbringen, im Zeitpunkt der Auskunftserteilung sehr wohl bereits eine der Funktionalität des PAD entsprechende DAN gemeldet hatte, die auch bereits registriert war.

Dadurch kann der Beschwerdeführer in seinen Rechten nicht verletzt sein, da das DVR gemäß § 16 Abs. 1 DSG 2000 nur Informationszwecken dient, jedoch durch eine Registrierung keine auftraggeberische Verantwortung bzw. Zuständigkeit konstitutiv begründet wird. Eine Widerlegung des Registerstandes ist möglich, und es ist in einem Beschwerdeverfahren die auftraggeberische Zurechnung von Amts wegen oder auf das Vorbringen einer Partei hin jederzeit zu prüfen.

Die Beschwerdegegnerin hat jedenfalls unzweifelhaft gegenüber dem Beschwerdeführer am 30. Jänner 2009 eine auf ihren Zuständigkeitsbereich beschränkte ergänzende Negativauskunft aus dem PAD bzw. zur DAN-Nr. **00*/00* „Allgemeine Protokolle der BPD Graz“ erteilt. Dies entspricht der Pflicht zur begründeten Ablehnung eines Auskunftsbegehrens gemäß § 26 Abs. 4 DSG 2000 (hier: faktische Unmöglichkeit einer inhaltlichen Auskunft mangels Daten). Für eine über diesen Bereich hinausgehende Auskunft betreffend den Zuständigkeitsbereich des LPK Steiermark wäre in Konsequenz der vom VfGH vertreten Ansicht zur auftraggeberischen Verantwortung die Sicherheitsdirektion für das Bundesland Steiermark zuständig, wobei anzumerken ist, dass diese Behörde nur hinsichtlich der Verfahren Auskunft geben könnte, die von den ihr beigeordneten Polizeieinheiten (insbesondere dem Landeskriminalamt) geführt worden sind. Da der Beschwerdeführer die ergänzte Auskunft vom 30. Jänner 2009 inhaltlich in keiner Weise gerügt hat, war die Beschwerde spruchgemäß als unbegründet abzuweisen (zur Frage der Nachholung bzw. Ergänzung einer Auskunft während eines bereits anhängigen Beschwerdeverfahrens nach § 31 Abs. 1 DSG 2000 sowie zum damit eventuell eintretenden „Wegfall des Rechtsschutzinteresses während des Verfahrens“, siehe VwGH Erkenntnis vom 27. März 2006, Zl. 2004/06/0125).