K121.518/0005-DSK/2009 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 18. September 2009 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Hugo B*** (Beschwerdeführer) aus Salzburg, vertreten durch den Verein R**** aus Wien, vom 8. April 2009 gegen das Bundesministerium für Inneres (Beschwerdegegner) als Betreiber des Informationsverbundsystems „Zentrales Melderegister“ wegen Verletzung im Recht auf Auskunft über den verantwortlichen datenschutzrechtlichen Auftraggeber wird entschieden:

- Die Beschwerde wird a b g e w i e s e n.

Rechtsgrundlagen: §§ 26 Abs. 1, 50 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, iVm § 16 Abs. 2 des Meldegesetzes 1991 (MeldeG), BGBl. Nr. 9/1992 idgF.

B e g r ü n d u n g

A. Vorbringen der Parteien

Der vertretene Beschwerdeführer behauptet in seiner vom 7. April datierenden und am 8. April 2009 per Telefax bei der Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Auskunft dadurch, dass der Beschwerdegegner ein Auskunftsbegehren des Beschwerdeführers vom 2. Jänner 2009 mit Schreiben vom 5. März 2009 betreffend Daten des Zentralen Melderegisters lediglich dahingehend beantwortet habe, dass datenschutzrechtliche Auftraggeber des Zentralen Melderegister (kurz: ZMR) die Meldebehörden seien. Damit habe der Beschwerdegegner gegen die sich aus § 50 DSG 2000 ergebende Pflicht verstoßen, dem Auskunftswerber alle Auskünfte zu geben, die notwendig sind, um den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber festzustellen. Der Beschwerdeführer beantragte, dem Beschwerdegegner die entsprechenden Auskünfte aufzutragen.

Der Beschwerdegegner , von der Datenschutzkommission zur Stellungnahme aufgefordert, übersendete als Stellungnahme im Wesentlichen die Kopie eines an den Beschwerdeführer ergangenen (ergänzenden) Auskunftsschreibens vom 4. Mai 2009.

Der Beschwerdeführer hat sich nach Parteiengehör zu diesem Ergebnis des Ermittlungsverfahrens nicht mehr geäußert.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner auf das Auskunftsbegehren des Beschwerdeführers vom 2. Jänner 2009 hin gesetzmäßig Auskunft erteilt hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer richtete (noch unvertreten) am 2. Jänner 2009 ein spezielles Auskunftsbegehren, das sich auf § 26 DSG 2000 stützte, an den Beschwerdegegner, in dem er unter Angabe seines gegenwärtigen und früheren Hauptwohnsitzes Auskunft darüber begehrte, wer seine Daten im Zeitraum vom 1. Jänner 2008 bis zum 2. Jänner 2009 in der „ZMR-Evidenz“ abgefragt bzw. darauf zugegriffen habe.

Mit Schreiben vom 5. März 2009, GZ: BMI-LR**00/0**3-IV SU-ZMR/2009, wurde der Beschwerdeführer vom Beschwerdegegner darüber informiert, dass datenschutzrechtlich verantwortliche Auftraggeber für im Rahmen des gesetzlichen Informationsverbundsystems ZMR verarbeiteten Daten die Meldebehörden (Bürgermeister) seien, an die auch ein Auskunftsbegehren zu richten wäre. Darüber hinaus äußerte der Beschwerdegegner seine Rechtsansicht, dass das ZMR ein öffentliches Register sei, für das sich das Auskunftsrecht nach § 26 Abs. 8 DSG 2000 richte.

Beweiswürdigung: Diese Feststellungen beruhen auf den zitierten Urkunden, die der Beschwerdeführer in Kopie als Beilagen zu seiner Beschwerde vom 7. April 2009 vorgelegt hat.

Am 8. April 2009 brachte der Beschwerdeführer die vorliegende Beschwerde gemäß § 31 Abs. 1 DSG 2000 ein.

Mit Schreiben vom 4. Mai 2009, GZ: BMI-LR**00/0**4-IV SU-ZMR/2009, erteilte der Beschwerdegegner dem Beschwerdeführer unter Angabe der jeweiligen Postadresse ergänzend die Auskunft, dass für den Zeitraum 1. Jänner 2008 bis 13. November 2008 das Meldeamt der Gemeinde J*** bei Salzburg, vom 14. November 2008 bis zum 1. Februar 2009 jedoch das Meldeamt des Magistrates der Stadt Salzburg für seine Meldedaten verantwortlicher datenschutzrechtlicher Auftraggeber gewesen sei. Entsprechende Auskunftsbegehren seien daher an diese Auftraggeber zu richten.

Beweiswürdigung: Wie bisher; die Feststellungen zum Inhalt des ergänzenden Auskunftsschreibens des Beschwerdegegners stützen sich auf eine vom Beschwerdegegner mit Stellungnahme vom 4. Mai 2009 vorgelegte Kopie dieses Schreibens, zu der sich der Beschwerdeführer im Parteiengehör nicht mehr geäußert hat.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 2, Abs. 3 Z 1 und Abs. 4 DSG 2000 lautet samt Überschrift:

„Grundrecht auf Datenschutz

§ 1. (1) […]

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

2. […]

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.“

§ 26 Abs. 1, 4 und 8 DSG 2000 lautet samt Überschrift:

„Auskunftsrecht

§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) … (3)

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) … (7)

(8) Soweit Datenanwendungen von Gesetzes wegen öffentlich einsehbar sind, hat der Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht. Für das Verfahren der Einsichtnahme gelten die näheren Regelungen der das öffentliche Buch oder Register einrichtenden Gesetze.“

§ 50 Abs. 1 und 2 DSG 2000 lautet samt Überschrift:

„Informationsverbundsysteme

§ 50. (1) Die Auftraggeber eines Informationsverbundsystems haben, soweit dies nicht bereits durch Gesetz geregelt ist, einen geeigneten Betreiber für das System zu bestellen. Name (Bezeichnung) und Anschrift des Betreibers sind in der Meldung zwecks Eintragung in das Datenverarbeitungsregister bekannt zu geben. Unbeschadet des Rechtes des Betroffenen auf Auskunft nach § 26 hat der Betreiber jedem Betroffenen auf Antrag binnen zwölf Wochen alle Auskünfte zu geben, die notwendig sind, um den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber festzustellen; in Fällen, in welchen der Auftraggeber gemäß § 26 Abs. 5 vorzugehen hätte, hat der Betreiber mitzuteilen, daß kein der Pflicht zur Auskunftserteilung unterliegender Auftraggeber benannt werden kann. Die Unterstützungspflicht des Betreibers gilt auch bei Anfragen von Behörden. Den Betreiber trifft überdies die Verantwortung für die notwendigen Maßnahmen der Datensicherheit (§ 14) im Informationsverbundsystem. Von der Haftung für diese Verantwortung kann sich der Betreiber unter den gleichen Voraussetzungen, wie sie in § 33 Abs. 3 vorgesehen sind, befreien. Wird ein Informationsverbundsystem geführt, ohne daß eine entsprechende Meldung an die Datenschutzkommission unter Angabe eines Betreibers erfolgt ist, treffen jeden einzelnen Auftraggeber die Pflichten des Betreibers.

(2) Durch entsprechenden Rechtsakt können auch weitere Auftraggeberpflichten auf den Betreiber übertragen werden. Soweit dies nicht durch Gesetz geschehen ist, ist dieser Pflichtenübergang gegenüber den Betroffenen und den für die Vollziehung dieses Bundesgesetzes zuständigen Behörden nur wirksam, wenn er - auf Grund einer entsprechenden Meldung an die Datenschutzkommission - aus der Registrierung im Datenverarbeitungsregister ersichtlich ist.“

§ 16 Abs. 1 und 2 MeldeG lautet samt Überschrift:

„Zentrales Melderegister;

Informationsverbundsystem

§ 16. (1) Das zentrale Melderegister ist insofern ein öffentliches Register, als der Hauptwohnsitz eines Menschen oder jener Wohnsitz, an dem dieser Mensch zuletzt mit Hauptwohnsitz gemeldet war, abgefragt werden kann, wenn der Anfragende den Menschen durch Vor- und Familiennamen sowie zumindest ein weiteres Merkmal, wie etwa das wirtschaftsbereichsspezifische Personenkennzeichen (§ 14 des E-Government-Gesetzes), Geburtsdatum, Geburtsort oder einen bisherigen Wohnsitz, im Hinblick auf alle im ZMR verarbeiteten Gesamtdatensätze eindeutig bestimmen kann. Wird ein wbPK zur Identifizierung des Betroffenen angegeben, so muss der Anfragende auch seine eigene Stammzahl zwecks Überprüfung der Richtigkeit des wbPK zur Verfügung stellen. Über andere gemeldete Wohnsitze dieses Menschen darf einem Abfragenden nur bei Nachweis eines berechtigten Interesses Auskunft erteilt werden.

(2) Datenschutzrechtlicher Auftraggeber des Zentralen Melderegisters sind die Meldebehörden. Das Zentrale Melderegister wird als Informationsverbundsystem (§ 4 Z 13 DSG 2000) geführt, wobei das Bundesministerium für Inneres sowohl die Funktion des Betreibers gemäß § 50 DSG 2000 als auch die eines Dienstleisters im Sinne des § 4 Z 5 DSG 2000 für diese Datenanwendung ausübt. Die Meldebehörden haben dem Bundesminister für die Zwecke des Zentralen Melderegisters ihre Meldedaten - mit Ausnahme der Angaben zum Religionsbekenntnis - samt allenfalls bestehenden Auskunftssperren sowie zugehörigen Abmeldungen zu überlassen.“

2. rechtliche Schlussfolgerungen

Die Beschwerde ist unbegründet.

Der Beschwerdeführer hat in seiner Beschwerde vom 7. April 2009 lediglich die Nichterfüllung der besonderen, das Auskunftsrecht gemäß §§ 1 Abs. 3 Z 1 und 26 Abs. 1 DSG 2000 ergänzenden Auskunftspflicht gemäß § 50 Abs. 1 DSG 2000 geltend gemacht.

Mit ergänzendem Auskunftsschreiben vom 4. Mai 2009 wurden dem Beschwerdeführer die für den fraglichen Zeitraum und seinen Hauptwohnsitz zuständigen Meldeämter als verantwortliche datenschutzrechtliche Auftraggeber bekannt gegeben.

Damit ist der Beschwerdegegner seiner Pflicht gemäß § 50 Abs. 1 DSG 2000 iVm § 16 Abs. 1 und 2 MeldeG, wenn auch verspätet, jedenfalls nachgekommen, womit sich ein näheres Eingehen auf die vom Beschwerdegegner aufgeworfene Frage der Öffentlichkeit des ZMR und der damit möglicherweise verbundenen Beschränkung des Auskunftsrechts (auch im Hinblick auf die Verfassungsbestimmung § 1 Abs. 4 DSG 2000) in dieser Sache erübrigt.

In der vorliegenden Beschwerdesache hat der Beschwerdegegner dem Beschwerdeführer nach Beschwerdeerhebung, aber noch vor Bescheiderlassung ergänzende Auskünfte erteilt. Dass ein Auskunftspflichtiger (hier: Betreiber eines Informationsverbundsystems) eine ursprünglich nicht vollständig erbrachte Auskunft durch spätere Auskunft „sanieren“ kann, ist von der Datenschutzkommission in ständiger Spruchpraxis anerkannt: „Die Nichteinhaltung der hier achtwöchigen Frist stellt nach ständiger Rechtsprechung der Datenschutzkommission zwar eine Verletzung im Recht auf Auskunft dar, die aber durch Nachholung der Auskunftserteilung bis zum Ende des Verfahrens vor der Datenschutzkommission sanierbar ist“ (vgl. u.a. den Bescheid der Datenschutzkommission vom 11. Oktober 2006, GZ: K121.214/0006- DSK/2006). Entscheidend ist also, ob dem Beschwerdeführer als Betroffenem und Auskunftswerber noch vor einer bescheidmäßigen Erledigung seines Anbringens durch die Datenschutzkommission vollständig und richtig auf sein Auskunftsbegehren geantwortet wurde. Gleiches gilt für die Nichteinhaltung der Zwölfwochenfrist gemäß § 50 Abs. 1 DSG 2000.

Die Beschwerde war daher spruchgemäß abzuweisen.