K121.527/0013-DSK/2009 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. HUTTERER, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER und Dr. STAUDIGL sowie der Schriftführerin Mag. KIMM in ihrer Sitzung vom 16. Oktober 2009 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Julian M*** (Beschwerdeführer) aus Wien, vertreten durch Dr. Ignaz S***, Rechtsanwalt in **** Wien, vom 3. Mai 2009 gegen die Bundespolizeidirektion Wien (Beschwerdegegnerin) wegen Verletzung im Recht auf Löschung wird entschieden:

2. Im Ü b r i g e n wird die Beschwerde a b g e w i e s e n.

Rechtsgrundlagen: §§ 1 Abs. 3 Z 2, 27 Abs. 1 Z 1 und Abs. 4, 31 Abs. 2 und 40 Abs. 4 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.

B e g r ü n d u n g

A. Vorbringen der Parteien

Der anwaltlich vertretene Beschwerdeführer behauptet in seiner vom 3. Mai 2009 datierenden und am folgenden Tag bei der Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Löschung dadurch, dass die Beschwerdegegnerin entgegen § 40 Abs. 4 DSG 2000 den der Rechtsansicht der Datenschutzkommission im Bescheid vom 11. Juli 2008, GZ: K120.849/0007-DSK/2008 (der im Übrigen vom Beschwerdeführer beim Verwaltungsgerichtshof angefochten worden ist, VwGH-Zl. 2009/17/0011) entsprechenden Zustand nicht hergestellt, keine weiteren Löschungen vorgenommen und es insbesondere unterlassen habe, eine Mitteilung über die erfolgte Löschung an den Beschwerdeführer zu erstatten.

Die Beschwerdegegnerin , von der Datenschutzkommission zur Stellungnahme aufgefordert, brachte am 20. Mai 2009 vor, der rechtmäßige Zustand entsprechend dem Bescheid der Datenschutzkommission vom 11. Juli 2008, GZ: K120.849/0007- DSK/2008, sei bereits vor Erlassung dieses Bescheids durch den Löschungsauftrag vom 22. Februar 2008 sowie die in weiterer Folge ergangene Löschungsmitteilung an den Beschwerdeführer vom 26. Februar 2008, AZ: *****/0/20**, hergestellt worden.

Der Beschwerdeführer bestritt dies in seiner Stellungnahme vom 30. Mai 2009 (nach Erhalt von Parteiengehör). Die während des Verfahrens Zl. K120.849 der Datenschutzkommission vorgenommenen Löschungen seien nämlich im schon mehrfach zitierten Bescheid vom 11. Juli 2008 von der Datenschutzkommission für ungenügend befunden und der Beschwerde teilweise stattgegeben worden. Andernfalls hätte die Datenschutzkommission die Beschwerde nämlich wegen Klaglosstellung abgewiesen.

Nach weiterem Parteiengehör zum Ergebnis einer im Auftrag der Datenschutzkommission vorgenommenen Einschau in die verfahrensgegenständlichen Steckzettelkarten und Protokollbücher brachte der Beschwerdeführer weiters vor, es stehe nun insbesondere fest, dass betreffend das Verfahren Zl. 00-****-**/00 bzw. 1 K ****/00 lediglich der Bezug zum früheren § 209 StGB und nicht die Eintragung zu Gänze gelöscht worden sei.

Die Beschwerdegegnerin hat keine weiteren Stellungnahmen abgegeben.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Stand der den Beschwerdeführer betreffenden Daten-Eintragungen auf den im Auftrag der Beschwerdegegnerin (kriminalpolizeiliche Abteilung) geführten manuellen Dateien Steckzettel und Protokollbuch (betreffend Zl. 00-***-SB/00 bzw * K ****/00) der Rechtsansicht der Datenschutzkommission, ausgedrückt im Bescheid vom 11. Juli 2008, GZ: K120.849/0007-DSK/2008 dem gesetzmäßigen Zustand entspricht.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende

Sachverhalt festgestellt:

Die Datenschutzkommission hat mit Bescheid vom 11. Juli 2008,

GZ: K120.849/0007-DSK/2008, rechtskräftig festgestellt, „dass die Beschwerdegegnerin den Beschwerdeführer durch die Weigerung, sämtliche personenbezogenen Daten des Beschwerdeführers im Zusammenhang mit dem Ermittlungsverfahren Zl. **-00**-**/00 bzw. **0000**/** aus den Hilfsdateien für Zwecke der Verfahrensdokumentation und der Aktenverwaltung (Steckzettel und Protokollbücher des ehemaligen Sicherheitsbüros bzw. des Landeskriminalamts – Kriminaldirektion 1) zu löschen, in seinem Recht auf Löschung personenbezogener Daten verletzt hat.“

Beweiswürdigung: Diese Feststellungen bilden den – stattgebenden – Hauptinhalt des Spruchpunkts 1. des zitierten Bescheids.

Am 5. bzw. 18. August 2009 wurden folgende, den Beschwerdeführer betreffende Daten in den manuellen Dateien „Steckzettel“ und „Protokollbuch“ mit Bezug zu den Ermittlungsverfahren Zl. **-00**-**/** bzw. ***000/** verarbeitet:

Steckzettel in der phonetischen, elektromechanisch sortierbaren Steckzettelkartei der kriminalpolizeilichen Abteilung der Beschwerdegegnerin (Eintragung in Handschrift):

„Julian M***

00.**.** Wien

Öster.

00, A***

***00

[5 Zeilen Eintragungen von Aktenzahlen]

[Rückseite, Zeilen 1 und 3 durch Schwärzung gelöscht, 4. Zeile:]

. 1K10390/KD1/03

[eine weitere Zeile]“

Beweiswürdigung: Diese Feststellungen gründen sich auf die Niederschrift samt Beilagen (Lichtbilder) über die Einschaunahme in die Steckzettelkartei im Auftrag der Datenschutzkommission, GZ: K121.527/0007-DSK/2009, vom 5. August 2009 (mit Ergänzung vom 18. August 2009), samt Beilagen, namentlich die Lichtbilder 1 und 2.

Protokollbuch * K **** bis **** aus dem Jahr 2003 (handschriftliche Eintragungen):

In der Eintragung zur Geschäftszahl ***** findet sich neben Vor-, Familienname und Geburtsdatum des Beschwerdeführers der Vermerk der Vorzahl ***00/00 (im Kopf der Spalte „Betreff“). Die inhaltlichen Eintragungen beziehen sich auf Stellungnahmen und Beweismittelvorlagen an das Büro für Rechtsfragen und Datenschutz der Beschwerdegegnerin im Zuge des Beschwerdeverfahrens zur Vorzahl der Datenschutzkommission (Zl. K120.849). In der Spalte „Betreff“ ist in der dritten vorgesehenen Zeile eine Eintragung gelöscht, das heißt durch Schwärzen unleserlich gemacht. Über den unteren Teil der Seite des Protokollbuchs wurde schräg quer zweizeilig über die Spalten „Zwischenerledigung“ und „Abgang“ der Vermerk „PAD-Zahl **/0000/20**“ angebracht.

Beweiswürdigung: Diese Feststellungen gründen sich auf die Niederschrift samt Beilagen (Lichtbilder) über die Einschaunahme in die Steckzettelkartei im Auftrag der Datenschutzkommission, GZ: K121.527/0007-DSK/2009, vom 5. August 2009 (mit Ergänzung vom 18. August 2009), samt Beilagen, namentlich die Lichtbilder 3, 4 und 5. Insbesondere das Lichtbild 5 zeigt, dass die gelöschte Eintragung gründlich geschwärzt und damit unleserlich ist.

Protokollbuch des ehemaligen Sicherheitsbüros der BPD Wien, Zlen 00** bis 00** aus dem Jahr 1997 (handschriftliche Eintragungen):

Bis auf drei durch gründliches Schwärzen gelöschte Passagen (Zeilen), eine davon in der ersten Zeile der Spalte „Abgang“, zwei davon in der dritten Zeile der Spalte „Betreff“ ist die gesamte Eintragung betreffend das strafrechtliche Ermittlungsverfahren („Vorerhebungen im Dienste der Strafjustiz“) gegen den Beschwerdeführer zur Zahl **** erhalten, das im Jahr 1997 vom Sicherheitsbüro der Beschwerdegegnerin geführt wurde. Die Eintragung ist durch die Angabe von Vor-, Familienname und Geburtsdatum des Beschwerdeführers weiterhin direkt personenbezogen. Entsprechend dem glaubwürdigen Vorbringen der Beschwerdegegnerin und dem aktenkundigen Wissen der Datenschutzkommission aus den Vorverfahren haben die gelöschten Passagen direkte Bezugnahme auf den aufgehobenen früheren § 209 des Strafgesetzbuches enthalten. Über den unteren Teil der Seite des Protokollbuchs wurde schräg quer zweizeilig über die Spalten „Eingang“, Zwischenerledigung“ und „Abgang“ der Vermerk „** ****/***/00“ angebracht.

Beweiswürdigung: Diese Feststellungen gründen sich auf die Niederschrift samt Beilagen (Lichtbilder) über die Einschaunahme in die Steckzettelkartei im Auftrag der Datenschutzkommission, GZ: K121.527/0007-DSK/2009, vom 5. August 2009 (mit Ergänzung vom 18. August 2009), samt Beilagen, namentlich die Lichtbilder 6 und 7.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 2, 3 Z 2 und 4 DSG 2000 lautet samt Überschrift:

„Grundrecht auf Datenschutz

§ 1. (1)

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. […];

2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.“

§ 27 Abs. 1 bis 4 DSG 2000 lautet samt Überschrift:

„Recht auf Richtigstellung oder

Löschung

§ 27. (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar

1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder

Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§ 46 und 47.

(2) Der Beweis der Richtigkeit der Daten obliegt - sofern gesetzlich nicht ausdrücklich anderes angeordnet ist - dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.

(3) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.

(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.“

§ 40 Abs. 4 DSG 2000 lautet samt Überschrift:

„Wirkung von Bescheiden der Datenschutzkommission

und des geschäftsführenden Mitglieds

§ 40. (1) …(3)

(4) Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses Bundesgesetzes durch einen Auftraggeber des öffentlichen Bereichs festgestellt hat, so hat dieser mit den ihm zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen.“

2. rechtliche Schlussfolgerungen

Die Beschwerde ist zum Teil berechtigt.

a) materielles Löschungsrecht auf Grund rechtskräftiger Feststellung

Die Beschwerdegegnerin übersieht, dass die Datenschutzkommission im Spruch des Bescheids vom 11. Juli 2008, GZ: K120.849/0007-DSK/2008, eine rechtskräftige und für sie gemäß § 40 Abs. 4 DSG 2000 bindende Entscheidung getroffen hat, wonach die Verweigerung der Löschung „sämtlicher Daten“ des Beschwerdeführers aus den Eintragungen im Zusammenhang mit dem Ermittlungsverfahren Zl. 00-****-00/** bzw. 0*****/** aus den Hilfsdateien für Zwecke der Verfahrensdokumentation und der Aktenverwaltung (Steckzettel und Protokollbücher) einen Eingriff in das verfassungsgesetzlich geschützte Löschungsrecht des Beschwerdeführers dargestellt hat.

Die Datenschutzkommission folgte mit diesem Spruch den für sie bindenden Vorgaben des Verfassungsgerichtshofs aus dem Erkenntnis vom 14. Dezember 2007, B 295/05, VfSlg 18.324.

Die Bedeutung der Wortfolge „sämtliche Daten“ kann dabei nicht unklar sein. Da alle Verfahren abgeschlossen und die Akten – nach Angaben der Beschwerdegegnerin – in Verstoß geraten bzw. längst skartiert worden sind, werden diese Daten nicht mehr für einen rechtmäßigen Zweck benötigt, und die entsprechenden Eintragungen in den Protokollbüchern hätten entfernt oder vollständig gelöscht (geschwärzt, zuverlässig unleserlich gemacht) werden müssen, die entsprechenden Verfahrenszahlen auf dem Steckzettel in gleicher Weise gelöscht werden müssen.

Der Einwand der Beschwerdegegnerin, der fragliche Bescheid der Datenschutzkommission wiederhole sinngemäß nur Anordnungen, die bereits vor Bescheiderlassung getroffen, und die den Beschwerdeführer eigentlich bereits klaglos gestellt hätten, trifft nicht zu. Aufgrund der Sachverhaltsfeststellungen im gegenständlichen Verfahren, die eine Diskrepanz zwischen den bescheidmäßigen Feststelllungen der Datenschutzkommission betreffend den Umfang des Löschungsrechts des Beschwerdeführers und den tatsächlich durchgeführten Löschungen aufzeigen, kann nur der Schluss gezogen werden, dass weder vor noch nach Bescheiderlassung der Löschungsanspruch des Beschwerdeführers erfüllt worden ist. Der schon mehrfach zitierte Spruch der Datenschutzkommission lautete eben nicht nur darauf , sämtliche Bezüge zum früheren § 209 StGB zu löschen.

Da die Beschwerdegegnerin somit § 40 Abs. 4 DSG 2000 zuwider gehandelt hat, hat sie eine im Sinne von § 27 Abs. 1 Z 1 DSG 2000 ihr bekannte, weil rechtskräftig festgestellte, amtswegige Löschungspflicht nicht erfüllt.

In diesem Fall (vgl. etwa den Bescheid der Datenschutzkommission vom 26. September 2008, GZK121.377/0008- DSK/2008, RIS) konnte der Eingriff in das Löschungsrecht auch ohne vorangehendes Verfahren gemäß § 27 Abs. 4 DSG 2000 festgestellt werden.

Dem Beschwerdebegehren war daher im Umfang des Punktes 1. spruchgemäß stattzugeben.

b) kein selbständiges subjektives Recht auf Erhalt einer Löschungsmitteilung

Das Recht auf Löschung besteht in seiner Substanz in dem Anspruch auf Durchführung einer gesetzlich gebotenen Datenlöschung. Begleitend und vorrangig zur Ermöglichung des Rechtsschutzes gegen abschlägige Entscheidungen von Auftraggebern enthält das Gesetz die Bestimmung des § 27 Abs. 4 DSG 2000, wonach dem Betroffenen auch im Fall der Ablehnung einer Löschung innerhalb von acht Wochen auf ein Löschungsbegehren zu antworten ist (Bescheid der Datenschutzkommission vom 29. Februar 2008, GZK120.841/0002- DSK/2008, RIS). Beim Erhalt dieser Mitteilung handelt es sich jedoch um kein subjektives Recht des Betroffenen, sondern eine begeleitende Pflicht des Auftraggebers. Wenn wie hier im Beschwerdeverfahren ein Eingriff in das Löschungsrecht des Beschwerdeführers festgestellt worden ist, so ist dessen Rechtsschutzinteresse, das nur auf Durchsetzung der Löschung gerichtet sein kann, jedenfalls erfüllt und kommt eine Feststellung der besagten Pflichtenverletzung ebenso wenig in Frage wie im Fall einer verspätet durchgeführten und notifizierten Löschung oder einer faktisch durchgeführten und dem Betroffenen nicht notifizierten Löschung (vgl. auch den zuletzt zitierten Bescheid der Datenschutzkommission). Das Beschwerdebegehren war daher im Umfang des Punkts 2. abzuweisen.