K210.633/0007-DSK/2009 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. ZIMMER, Mag. HUTTERER, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ und Dr. HEISSENBERGER sowie der Schriftführerin Mag. KIMM in ihrer Sitzung vom 16. Dezember 2009 folgenden Beschluss gefasst:

Auf Grund der Eingabe des *** in Wien (Einschreiter) vom 7. Mai 2009, gerichtet gegen den Magistrat der Stadt Wien, Magistratsabteilung 15 – Gesundheitsdienst der Stadt Wien, Gesundheitsvorsorge Kinder und Jugendliche – Schulärztlicher Dienst (in der Folge kurz: MA 15), wegen behaupteter Verletzung des DSG 2000 im Zusammenhang mit der Weitergabe von durch die SchulärztInnen erhobenen Daten von Schülern und ihren Eltern an den Magistrat, MA 15, ergehen gemäß § 30 Abs. 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idgF, die folgenden Empfehlungen an die MA 15:

Die MA 15 möge in den bei den schulärztlichen Untersuchungen verwendeten Elternfragebögen eine den §§ 24 und 25 DSG 2000 genügende Information erteilen.

a) Eine solche Information muss jedenfalls den Auftraggeber der Datenermittlung samt seiner DVR-Nummer nennen. Derzeit werden auf dem Formular nur das Gesundheitsministerium und das Bildungsministerium angeführt, die jedoch nicht Auftraggeber sind. Falls die zuletzt genannten Bundesministerien auf dem Formular auch in Zukunft aufscheinen sollen, muss dies unter klarem Hinweis auf ihre Rolle im vorliegenden Zusammenhang geschehen.

b) Eine solche Information muss weiters jedenfalls alle Zwecke der Verwendung der ermittelten Daten aufzählen. Auf die Weiterverwendung der Daten für Zwecke des Kindergesundheitsberichts ist hinzuweisen und die Formulierung des Einleitungssatzes („Ihre Angaben sind nur für die Schulärztin/den Schularzt bestimmt. Sie werden streng vertraulich behandelt“) ist entsprechend anzupassen.

Für die Umsetzung dieser Empfehlungen wird eine F r i s t von e i n e m M o n a t gesetzt.

B e g r ü n d u n g

A. Vorbringen der Beteiligten

Der Einschreiter brachte in seiner Eingabe vom 15. Mai 2009 im Wesentlichen vor, er sei im Recht auf Geheimhaltung seiner personenbezogenen Daten dadurch verletzt worden, dass erhobene Daten von Schülern und ihren Eltern durch die SchulärztInnen an den Beschwerdegegner (Magistratsabteilung 15, MA 15) weitergegeben würden. Dabei sei ua. ein Formular „Elternfragebogen“ verwendet worden, das unter Einem vorgelegt wurde.

Mit diesen Vorwürfen konfrontiert, führte der Beschwerdegegner mit Stellungnahme vom 12. Juni 2009 zum Sachverhalt aus, dass es zu den Aufgaben des Gesundheitsdienstes der Stadt Wien gehört, Gesundheitsdaten zu dokumentieren und auszuwerten sowie den schulärztlichen Dienst in den städtischen Pflicht- und Berufsschulen zu besorgen. Der Beschwerdegegner werde hier als Bezirksverwaltungsbehörde tätig. Die Datenanwendung „Dokumentation schulärztlicher Leistungen in den öffentlichen Pflichtschulen und Berufsschulen der Stadt Wien“ sei auch beim Datenverarbeitungsregister gemeldet und werde rechtmäßig betrieben. Nach Ausführungen zu den Rechtsgrundlagen (Zuständigkeit, Amtsverschwiegenheit) meinte der Beschwerdegegner, da die SchulärztInnen in einem Dienstverhältnis zum Beschwerdegegner, MA 15, stünden und dem Beschwerdegegner daher organisatorisch und funktionell zuzuordnen seien, sei keine Übermittlung iSd § 7 Abs. 2 DSG 2000 erfolgt, sondern eine bloße Weitergabe der Daten im Rahmen des schulärztlichen Dienstes innerhalb desselben Aufgabengebietes von den SchulärztInnen an die Leiterin des Schulärztlichen Dienstes, ihrer gesetzlichen Vorgesetzten.

Über die Verletzung im Recht auf Geheimhaltung hat die Datenschutzkommission mit Bescheid vom 18. November 2009, GZ K121.530/0009-DSK/2009 entschieden.

B. Sachverhaltsfeststellungen

Der Elternfragebogen enthält eingangs folgende Erklärung:

„Liebe Eltern!

Ihre Angaben sind nur für die Schulärztin/den Schularzt bestimmt. Sie werden streng vertraulich behandelt und sollten in Ihrem eigenen Interesse in einem Kuvert verschlossen der Schulärztin/dem Schularzt übermittelt werden. Ein vollständiges Ausfüllen erleichtert die Arbeit der Schulärztin/des Schularztes.“ (Fettdruck im Original)

Folgende Daten werden im Elternfragebogen zu den Eltern - getrennt nach Vater und Mutter - abgefragt:

Am Ende des Formulars sind das „Bundesministerium für Gesundheit und Frauen“ und das „Bundesministerium für Bildung, Wissenschaft und Kultur“, jeweils mit einer DVR-Nummer genannt. Ein Hinweis auf andere Behörden als allenfalls Verantwortliche für die Datenerhebung findet sich im Formular nicht.

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Formular selbst, das der Datenschutzkommission vorliegt.

Am 21. April 2009 richtete der Beschwerdegegner, „MA 15 – Gesundheitsdienst der Stadt Wien, Gesundheitsvorsorge Kinder und Jugendliche – Schulärztlicher Dienst“, folgendes Schreiben an alle städtischen SchulärztInnen:

„Liebe KollegInnen!

DRINGEND

Die von uns SchulärztInnen erhobenen Daten können nun in einer Studie ausgewertet werden. Dazu benötigen wir folgende Unterlagen:

4. Schulstufe und 8. Schulstufe: GESUNDHEITSBLATT

ELTERNFRAGEBOGEN

Bitte die oben angeführten Unterlagen nach Möglichkeit in der Schule kopieren und in ein Kuvert stecken, mit Schulkennzahl und Bezirk beschriften (jahrgangsweise – nicht nach Klassen getrennt), zukleben. Voraussetzung sind vollständig ausgefüllte Gesundheitsblätter (Größe, Gewicht, Sehtest). Bitte ehebaldigst mit der Dienstpost an den Schulärztlichen Dienst übermitteln.

Wer an der Schule keine Möglichkeit zum Kopieren hat, muss bitte mit den vollständigen Unterlagen zu uns kommen und wir kopieren hier und geben Ihnen/Euch die Blätter sofort wieder mit.

Danke für Ihre/Eure Mühe

Mit freundlichen Grüßen

e.h. I***“

I*** war dabei als Leiterin des Schulärztlichen Dienstes (einer Organisationseinheit innerhalb der MA 15 – Gesundheitsdienst der Stadt Wien) tätig.

Beweiswürdigung: Diese Feststellung ergibt sich aus diesem mit der ursprünglichen Beschwerde vorgelegten Schreiben selbst. Die Feststellungen zur Funktion der handelnden Organe ergeben sich aus zwei E-Mails des Beschwerdegegners (vertreten durch die MA 26) vom 7. September 2009.

In der Folge wurden der vom Beschwerdeführer ausgefüllte Elternfragebogen und das Gesundheitsblatt des Sohnes des Beschwerdeführers vom Schularzt an die Leiterin des Schulärztlichen Dienstes zum Zweck der Erarbeitung des Wiener Kindergesundheitsberichtes 2010 durch die damit im Gesundheitsamt betraute Stelle weitergeleitet. Die Magistratsabteilung 15 des Magistrats der Stadt Wien ist bei der Erstellung des Wiener Kindergesundheitsberichts als Bezirksverwaltungsbehörde (Gesundheitsamt) tätig.

Beweiswürdigung: Die erste Feststellung ergibt sich aus dem Vorbringen in der ursprünglichen Beschwerde und wurde vom Beschwerdegegner nicht bestritten. Die zweite Feststellung stützt sich auf die Angaben des Beschwerdegegners in seiner Stellungnahme im Beschwerdeverfahren vom 12. Juni 2009.

C. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die relevanten Vorschriften des DSG 2000 lauten auszugsweise:

„Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

[…]

Definitionen

§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

[…]

12. „Übermitteln von Daten'': die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;

[…]

Grundsätze

§ 6. (1) Daten dürfen nur

1. nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;

[…]

Informationspflicht des Auftraggebers

§ 24. (1) Der Auftraggeber einer Datenanwendung hat aus Anlaß der Ermittlung von Daten die Betroffenen in geeigneter Weise

1. über den Zweck der Datenanwendung, für die die Daten ermittelt werden, und

2. über Namen und Adresse des Auftraggebers,

zu informieren, sofern diese Informationen dem Betroffenen nach den Umständen des Falles nicht bereits vorliegen.

(2) Über Abs. 1 hinausgehende Informationen sind in geeigneter Weise zu geben, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist; dies gilt insbesondere dann, wenn

1. gegen eine beabsichtigte Verarbeitung oder Übermittlung von Daten ein Widerspruchsrecht des Betroffenen gemäß § 28 besteht oder

2. es für den Betroffenen nach den Umständen des Falles nicht klar erkennbar ist, ob er zur Beantwortung der an ihn gestellten Fragen rechtlich verpflichtet ist, oder

3. Daten in einem Informationsverbundsystem verarbeitet werden sollen, ohne daß dies gesetzlich vorgesehen ist.

(3) Werden Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Auftraggebers oder aus Anwendungen anderer Auftraggeber ermittelt, darf die Information gemäß Abs. 1 entfallen, wenn

1. die Datenverwendung durch Gesetz oder Verordnung vorgesehen ist oder

2. die Information im Hinblick auf die mangelnde Erreichbarkeit von Betroffenen unmöglich ist oder

3. wenn sie angesichts der Unwahrscheinlichkeit einer Beeinträchtigung der Betroffenenrechte einerseits und der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. Dies liegt insbesondere dann vor, wenn Daten für Zwecke der wissenschaftlichen Forschung oder Statistik gemäß § 46 oder Adreßdaten im Rahmen des § 47 ermittelt werden und die Information des Betroffenen in diesen Bestimmungen nicht ausdrücklich vorgeschrieben ist. Der Bundeskanzler kann durch Verordnung weitere Fälle festlegen, in welchen die Pflicht zur Information entfällt.

(4) Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind.

[…]

Pflicht zur Offenlegung der Identität des Auftraggebers

§ 25. (1) Bei Übermittlungen und bei Mitteilungen an Betroffene hat der Auftraggeber seine Identität in geeigneter Weise offenzulegen, sodaß den Betroffenen die Verfolgung ihrer Rechte möglich ist. Bei meldepflichtigen Datenanwendungen ist in Mitteilungen an Betroffene die Registernummer des Auftraggebers anzuführen.

[…]

Kontrollbefugnisse der Datenschutzkommission

§ 30. (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.

(2) Die Datenschutzkommission kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.

(3) Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§ 26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.

[…]

(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere

(7) Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde.“

2. rechtliche Schlussfolgerungen

Dass die vom Einschreiter monierte Datenweitergabe rechtlich gedeckt ist, wurde schon im Bescheid der Datenschutzkommission vom 18. November 2009, GZ K121.530/0009-DSK/2009, mit ausführlicher Begründung ausgesprochen. Auf diese Begründung wird an dieser Stelle verwiesen.

Nach Ansicht der Datenschutzkommission wird darüber hinaus im Elternfragebogen selbst über die in der zugrundeliegenden Beschwerde gerügte Datenweitergabe nicht ausreichend informiert, sodass die obige Empfehlung auszusprechen war.

a) Nach § 24 Abs. 1 DSG 2000 sind zumindest der Auftraggeber und die Zwecke der Datenverwendung zu benennen. Die Information über den Auftraggeber fehlt. Die Information über den Verwendungszweck ist unvollständig, weil die Erwähnung der Weiterverwendung für den Gesundheitsbericht fehlt.

Darüber hinaus ist gemäß § 25 Abs. 1 DSG 2000 bei meldepflichtigen Datenanwendungen in Mitteilungen an Betroffene (- auch der vorliegende Fragebogen ist eine solche Mitteilung -) die Registernummer des Auftraggebers anzuführen. Die gegenständliche Datenanwendung ist zu DVR *** (DAN ***) gemeldet. Diese DVR-Nummer scheint jedoch auf dem Elternfragebogen nicht auf.

b) Gemäß § 24 Abs. 2 DSG 2000 ist Maßstab einer sachgerechten Information der Grundsatz von Treu und Glauben. Dieser ist durch die Formulierung des Elternfragebogens zweifach verletzt: Wenn dort ausgeführt wird, dass „Ihre Angaben nur für die Schulärztin/den Schularzt bestimmt [sind]. Sie werden streng vertraulich behandelt und sollten in Ihrem eigenen Interesse in einem Kuvert verschlossen der Schulärztin/dem Schularzt übermittelt werden“ (Fettdruck nicht im Original) wird dem Betroffenen der Eindruck vermittelt, die Daten würden nur beim konkreten Schularzt unter Verschluss bleiben und an niemanden sonst weitergegeben werden. Dies widerspricht dem festgestellten Sachverhalt und garantiert daher nicht, dass die Einhaltung des Grundsatzes der Datenverwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1 und § 24 Abs. 2 DSG 2000) gesichert ist.

Ein irreführender Effekt wird auch hinsichtlich der Identität des Auftraggebers nicht ausgeschlossen, indem im Formular nur zwei Bundesministerien samt ihren DVR-Nummern ohne nähere Rollenbezeichnung angeführt werden, sodass beim Leser des Formulars der Eindruck entstehen muss, dass diese beiden Bundesministerien für die Datenermittlung verantwortliche Auftraggeber wären.