K121.616/0012-DSK/2010 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER und Dr. GUNDACKER sowie der Schriftführerin Mag. HAJICEK in ihrer Sitzung vom 27. August 2010 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Udo S*** in Wien (Beschwerdeführer), vertreten durch Ing. Mag. Dr. Richard B***, Rechtsanwalt in Wien, vom 14. März 2010 (ha. eingelangt am 17. März 2010), gegen die Ä*** Versicherungs AG in Y*** (Beschwerdegegnerin), wegen Verletzung im Recht auf Auskunft (inhaltliche Mangelhaftigkeit der Auskunft) wird entschieden:
Rechtsgrundlagen: § 1 Abs. 3 Z 1, § 26 und § 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idgF.
B e g r ü n d u n g:
A. Verfahrensgang und Vorbringen der Parteien
1. Der Beschwerdeführer erhob rechtsanwaltlich vertreten am 20. Dezember 2009 (ha. eingelangt am 4. Jänner 2010) gegen die Ä*** Versicherungs AG (Beschwerdegegnerin) Beschwerde an die Datenschutzkommission und behauptete darin zunächst eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin auf sein Auskunftsersuchen vom 8. Juni 2009 nicht geantwortet habe. Diese Beschwerde wurde zu K121.591 protokolliert.
2. Die Beschwerdegegnerin erteilte mit Schreiben vom 26. Februar 2010 im laufenden Verfahren vor der Datenschutzkommission eine Auskunft an den Beschwerdeführer (welche die behauptete Rechtsverletzung der Nichterteilung der Auskunft iSd § 31 Abs. 8 erster Satz DSG 2000, BGBl I Nr. 165/1999 idF BGBl I Nr. 135/2009, nachträglich beseitigte), deren Zugang er im dazu gewährten Parteiengehör mit Schreiben vom 14. März 2010 (ha. eingelangt am 17. März 2010) auch nicht bestritt. Er macht dort aber eine inhaltliche Mangelhaftigkeit dieser Auskunft geltend (nämlich in Bezug auf den Inhalt der Datenübermittlungen sowie die Rechtmäßigkeit der Datenverwendung). Damit war Verfahrensgegenstand nicht mehr das Unterbleiben einer Reaktion auf das Auskunftsbegehren vom 8. Juni 2009, sondern vielmehr die behauptete Mangelhaftigkeit der nunmehr erteilten Auskunft. Im Sinn des § 31 Abs. 8 DSG 2000 wurde dies daher als konkludente Zurückziehung der Beschwerde vom 20. Dezember 2009 bei gleichzeitiger Einbringung einer neuen Beschwerde am 17. März 2010 gedeutet. Das zu K121.591 protokollierte Verfahren wurde daher eingestellt und zu dieser Zahl ein neues Beschwerdeverfahren eröffnet.
3. Konkret behauptet der Beschwerdeführer im Schreiben vom 17. März 2010 nunmehr eine Verletzung im Recht auf Auskunft nach § 1 Abs. 3 Z 1 iVm § 26 DSG 2000 dadurch, dass die Äußerung der Beschwerdegegnerin vom 26. Februar 2010 deshalb zumindest teilweise unvollständig sei, weil keine Auskunft darüber erteilt worden sei, welche Daten an eine X*** Ges.m.b.H. (im Folgenden kurz: X***) mit welchem Auftrag übermittelt worden seien und welche Daten umgekehrt von der X*** an die Beschwerdegegnerin rückübermittelt worden seien. Erst dies würde den Beschwerdeführer in die Lage versetzen, zu prüfen, inwieweit die Vorschriften des Datenschutzgesetzes eingehalten worden seien.
Die Beschwerdegegnerin habe sich bei der Auskunftserteilung zu Unrecht auf ein anhängiges zivilgerichtliches Verfahren sowie auf ein laufendes Strafverfahren gestützt. Beide Verfahren seien zwar anhängig, doch sei im zivilgerichtlichen Verfahren die Verhandlung geschlossen, sodass kein neuerliches Vorbringen zu erwarten sei. Da die X*** keine Konzession für Detektivunternehmen habe, sondern laut Website *** vertreibe, stelle sich die Frage, warum überhaupt Daten des Beschwerdeführers von der Beschwerdegegnerin an die X*** weitergegeben worden seien. Im Strafverfahren habe der Beschwerdeführer zwischenzeitig Akteneinsicht genommen und liege auch hier nicht die Korrespondenz zwischen Beschwerdegegnerin und X*** in der Auskunft vor. In beiden Verfahren würden daher die Daten des Beschwerdeführers weder zur weiteren Prozessführung benötigt, noch zu einem späteren Zeitpunkt offengelegt, weil datenschutzrechtliche Bestimmungen verletzt worden seien.
4. Mit diesen Vorwürfen erneut konfrontiert, gab die Beschwerdegegnerin in ihrer Stellungnahme vom 19. April 2010 an, die Auskunft vom 26. Februar 2010 habe sämtliche Fragen aus der Sachverhaltsdarstellung vom 20. Dezember 2009 gemäß § 26 Abs. 1 DSG 2000 und unter Berücksichtigung des § 26 Abs. 2 DSG 2000 beantwortet. Die X***, FN ****, verfüge einerseits zu Register Nr. *** der BH ***, Registernummer **-0-00*** seit 24. April 1997 über die Gewerbeberechtigung zur „Rückholung von gemieteten und beweglichen Sachen, ausgenommen jener Tätigkeit, die den Berufsdetektiven und Güterbeförderungsunternehmen vorbehalten sind“, andererseits über einen „Detektivausweis“ in Ungarn (insbes. Auffindung gestohlener Fahrzeuge etc.). Die X*** habe der Beschwerdegegnerin im Zuge ihrer Erhebungen ausschließlich zwei Berichte, nämlich vom 28. Mai 2009 und 3. Juni 2009, übermittelt. Beide seien in der Auskunft vom 26. Februar 2010 (Punkt 1b.) genannt. Vom Inhalt dieser Berichte dürfte der Beschwerdeführer durch die Akteneinsicht in den Strafakt bzw. bei der Staatsanwaltschaft bereits Kenntnis erlangt haben. Im Übrigen berufe sich die Beschwerdegegnerin (wie schon in der Auskunft selbst) auf § 26 Abs. 2 DSG 2000. Dies gelte auch in Bezug auf den Mailverkehr zwischen X*** und der Beschwerdegegnerin.
Zur Weigerung der Auskunftserteilung gemäß § 26 Abs. 2 DSG 2000 wurde ausgeführt, dass dieser Fall auch vorliege, wenn der Auftraggeber bei voller Auskunftserteilung etwa in einem anhängigen Rechtsstreit mit dem Auskunftswerber seine eigene Prozesssituation schwächen würde. Die Beschwerdegegnerin sei zu ** ** ***/0* vor dem LGZRS Y*** beklagte Partei. Unrichtig sei, dass die Verhandlung in erster Instanz bereits geschlossen worden sei, vielmehr habe der Kläger gegen die Verhandlungsrichterin einen Ablehnungsantrag erhoben, welcher vom Befangenheitssenat des Gerichts abgewiesen worden sei, weshalb die Verhandlungsrichterin das Verfahren wiedereröffnet habe. Weiters habe sie den Antrag des Klägers auf Enthebung des Sachverständigen abgewiesen und ihm einen Gutachtensergänzungsauftrag erteilt, der auch den Zeitwert des Fahrzeuges darstellen möge, unter der Annahme, dass das Fahrzeug am 10. Oktober 2008 jene Ausstattung aufgewiesen habe, wie es in der Ausstattungsliste vom 5. Mai 2009 angeführt worden sei. Wenngleich die Berichte der X*** noch nicht eingewendet worden seien, seien diese nach gutachterlicher Feststellung der abweichenden Fahrzeugbewertungen weitere Beweismittel und bei Bedarf vorzulegen.
Auch gegen die X*** seien zwei Verfahren anhängig, eines vor der Gewerbebehörde BH ***, eines vor den Zivilgerichten. Da auch die Interessen der X*** beeinträchtigt werden würden, werde unter Berufung auf die bestehende Geschäftsverbindung und die überwiegend berechtigten Interessen der X*** die Auskunft zum momentanen Zeitpunkt verweigert. Auch die Interessen der gesamten Versicherungsgemeinschaft seien bei Auskunftserteilung beeinträchtigt. Schließlich werde auch das Geschäftsgeheimnis ins Treffen geführt.
5. Im dazu gewährten Parteiengehör bestritt der Beschwerdeführer die Notwendigkeit der Verwendung der Berichte der X*** für das anhängige zivilgerichtliche Verfahren „im Rahmen irgendwelcher Prozessstrategien“. Hätte die Beschwerdegegnerin das behauptete Geheimhaltungsinteresse, hätte sie spätestens in der letzten Verhandlung das Datenmaterial vorlegen müssen, da sie nicht damit habe rechnen können, dass die Richterin der Rechtsmeinung des Klägers folge und das Verfahren tatsächlich wieder eröffne. Völlig unklar sei weiterhin, welche Daten die X*** für die Beschwerdegegnerin erhoben habe. Das Strafverfahren gegen den Beschwerdeführer wegen Versicherungsbetrug (§§ 146, 147 Abs. 1 Z 1 und Abs. 2 StGB) sei mittlerweile durch die Staatsanwaltschaft Wien eingestellt worden, weshalb auch das Argument entfalle, dass ein berücksichtigungswürdiges Interesse im Rahmen eines Strafverfahrens noch aufrecht wäre.
Der Beschwerdeführer sei mit der bisher erteilten Auskunft nicht in der Lage, entscheiden zu können, die Löschung bzw. Richtigstellung welcher Daten er fordern könne. Ein Fall des § 26 Abs. 2 DSG 2000 liege nicht vor, da allfällige Ermittlungsergebnisse im Zivilprozess längst vorgelegt hätten werden müssen und im Strafverfahren bereits eine Verfahrenseinstellung erfolgt sei. Zu den Verfahren mit der X*** habe es die Beschwerdegegnerin unterlassen, die konkreten Geheimhaltungsinteressen darzulegen.
6. Nach entsprechender Aufforderung legte die Beschwerdegegnerin mit Schreiben vom 17. Mai 2010 sämtliche bei ihr befindlichen Dokumente betreffend den Beschwerdeführer in Kopie vor. Diese waren getrennt in einerseits elektronisch archivierte Daten sowie ausschließlich in Papierform aufbewahrte Dokumente. Diese unstrukturierte Aufbewahrung beruhe auf der noch nicht konsequent durchgeführten elektronischen Archivierung im Anfangsstadium des Projekts „elektronischer Schadensakt“.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin auf das Begehren des Beschwerdeführers vom 8. Juni 2009 vollständig und richtig iSd DSG 2000 Auskunft erteilt hat (in Bezug auf jene Daten, die sie an die X*** weitergeleitet hat bzw. die sie von der X*** erhalten hat).
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer ist bei der Beschwerdegegnerin seit 16. Juli 2008 betreffend das in seinem Eigentum stehende Fahrzeug der Marke BMW 525d zu einem Zeitwert von € 60.000,-- versichert. Im Oktober 2008 wurde das Fahrzeug in Ungarn von unbekannten Tätern gestohlen, sodass der Beschwerdeführer den Versicherungsfall Diebstahl reklamierte und die Auszahlung einer Entschädigungssumme entsprechend dem Zeitwert des Fahrzeugs im Vorfallzeitpunkt beanspruchte. Da die von der Beschwerdegegnerin zugezählte Entschädigungssumme strittig war und eine außergerichtliche Einigung scheiterte, brachte der Beschwerdeführer zur gerichtlichen Geltendmachung seiner Ansprüche am 27. Mai 2009 Klage beim Landesgericht für Zivilrechtssachen Y*** ein (protokolliert zu ** ** 000/0*). Im Vorfeld des Zivilprozesses wurde der Beschwerdeführer auch des Versicherungsbetruges verdächtigt.
Die Beschwerdegegnerin hat am 27. April 2009 die X*** GmbH beauftragt und bevollmächtigt, Ermittlungen gegen den Beschwerdeführer anzustrengen. Die X*** GmbH war daher im Namen der Beschwerdegegnerin tätig (und hat dazu Daten betreffend den Beschwerdeführer von der Beschwerdegegnerin erhalten) und hat der Beschwerdegegnerin sowohl am 28. Mai 2009 und am 3. Juni 2009 schriftlich Bericht erstattet. Diese Berichte sind Teil des elektronischen Aktes.
Beweiswürdigung: Diese Feststellungen beruhen auf dem Vorbringen in der Beschwerde selbst und wurden von der Beschwerdegegnerin auch nicht bestritten (das Datum der Klage ergibt sich aus dem bedingten Zahlungsbefehl, der dem Konvolut der von der Beschwerdegegnerin übermittelten Papierakten beilag). Unbestritten ist auch, dass die X***, soweit es den Beschwerdeführer betrifft, lediglich Ermittlungen für die Beschwerdegegnerin angestellt hat, nicht aber in eigenem Namen tätig wurde. Die Feststellungen zu den Berichten ergeben sich aus dem von der Beschwerdegegnerin übermittelten Akten zur Person des Beschwerdeführers, getrennt nach reinen Papierakten und elektronisch verarbeiteten Daten.
Der Beschwerdeführer stellte am 8. Juni 2009 rechtsanwaltlich vertreten ein Auskunftsbegehren folgenden wesentlichen Inhalts an die Beschwerdegegnerin:
„…
Mein Mandant stellt folgendes Auskunftsbegehren gem. DSG und werden Sie aufgefordert fristgerecht folgende Fragen zu beantworten:
…“
Beweiswürdigung: Diese Feststellungen ergeben sich aus der Beilage zur Beschwerde (Auskunftsschreiben) selbst.
Die Beschwerdegegnerin reagierte (nach Ablauf der achtwöchigen Frist des § 26 Abs. 4 DSG 2000) zunächst mit folgendem Schreiben vom 27. Jänner 2010 auf das Auskunftsbegehren des Beschwerdeführers (wesentliche Inhalte):
„...
Bezugnehmend auf ein aufgrund einer Sachverhaltsdarstellung des Herrn Rechtsanwalt Dr. B*** an uns ergangenes Schreiben der Datenschutzkommission dürfen wir Ihnen gemäß § 26 DSG 2000 nachfolgende Auskunft übermitteln:
Die Ä*** ist auf Basis ihrer Zulassung zum Versicherungsbetrieb berechtigt, die im Rahmen der ordnungsgemäß gemeldeten Datenanwendung „Schaden- und Unfallversicherung“ genannten Daten ihrer Versicherungsnehmer zu verarbeiten, die bei ihr eine KFZ-Kaskoversicherung abschließen. Bei den zu verarbeitenden Daten handelt es sich naturgemäß um Angaben über
• die Person des Versicherungsnehmers (Name, Adresse und Geburtsdatum)
• über das zu versichernde Fahrzeug
• sowie um Angaben rund um ein allfälliges Schadensereignis.
Diese Daten werden von der Ä*** Versicherung AG rechtmäßig erhoben, gespeichert und verarbeitet, da diese Daten für die Erbringung der Leistungen bzw. deren Abrechnung notwendig sind. Dementsprechend sind auch Nachforschungen hinsichtlich eines Schadenereignisses und einer allfälligen Deckungspflicht im Zusammenhang mit dem Vertragsverhältnis zwischen der Ä*** Versicherung AG und dem Versicherungsnehmer zu sehen.
Sehr geehrter Herr S***, Sie haben im Zuge der Anzeige des gegenständlichen Schadenereignisses mit Unterschrift vom 28. 10 .2008 die Ä*** Versicherung AG bzw. eine von dieser beauftragte Person bevollmächtigt „in alle, diesen Vorfall betreffenden Akten bei Behörden, Gerichten und anderen Institutionen, insbesondere KFZ-Werkstätten, Einsicht zu nehmen und eine Aktenabschrift anzufertigen“.
Auf Basis dieser Bevollmächtigung wurde ein Dienstleister mit den entsprechenden Ermittlungen beauftragt. Um die im Rahmen der Vollmacht möglichen Erhebungen durchführen zu können mussten diesem naturgemäß Daten Ihre Person (Name, Adresse, Geburtsdatum) sowie das Fahrzeug und den Tathergang betreffend überlassen werden. Entsprechende Daten wären allerdings auch im Zuge der Ermittlungen bekannt geworden.
Die der Ä*** Versicherung AG vorliegenden und oben bereits angeführten Daten entstammen Ihren eigen Angaben gegenüber unserem Unternehmen (Versicherungsantrag, Erhebungsblatt) bzw. auch dem im Zusammenhang mit dem Tathergang angeforderten und für eine Auszahlung der Entschädigungssumme unerlässlichen Polizeiprotokoll der Polizei Q***.
Eine Übermittlung der Daten erfolgte an einen beauftragen Dienstleister, unseren Rechtsbeistand sowie an die Staatsanwaltschaft Y***.
…“
In weiterer Folge ergänzte die Beschwerdegegnerin ihre Auskunft mit Schreiben vom 26. Februar 2010 wie folgt:
„…
Bezugnehmend auf ein aufgrund Ihrer Sachverhaltsdarstellung an uns ergangenes Schreiben der Datenschutzkommission dürfen wir Ihnen als anwaltlichen Vertreter des Herrn S*** Ewald im Rahmen des gesetzlichen Auskunftsrechts Ihres Mandanten nachfolgende Auskunft übermitteln:
1. Welcher Art und Inhalt sind die gespeicherten Daten?
a) Daten im internen (Versicherungs-) Bestandsverwaltungssystem:
Allgemeine Daten:
[Es folgen die Daten des Beschwerdeführers]
Daten aus dem Kaskoversicherungsvertrag zu Polizzennummer ***:
[Es folgen die Daten des Beschwerdeführer]
Schadenfall zu dieser Polizze (*****)
[Es folgen die Daten zum Schadensfall]
Daten aus dem Kfz-Haftpflichtversicherungsvertrag zu Polizzennummer ***:
[Es folgen die Daten zum Vertrag]
Daten aus dem nicht zustandegekommenen Lebensversicherungsvertrag (Ä*** Pluspension) zu Polizzennummer ***:
Vermerke (im System): Wurde ab Beginn storniert
b) Dokumente:
Dokumente zum Kaskoversicherungsvertrag zu Polizzennummer ***:
Dokumente zum Kfz-Haftpfilchtversicherungsvertrag zu Polizzennummer ***:
Dokumente zum nicht zustandegekommenen Lebensversicherungsvertrag zu Polizzennummer ****00000:
2. Woher stammen diese Daten?
Die unter 1 a angeführten Daten stammen aus den von Herrn S*** der Ä*** vorgelegten Urkunden, aus den
Es ist daher festzuhalten, dass die unter 1a angeführten Daten den von Herrn S*** an die Ä*** vorgenommenen Mitteilungen und Anträgen entstammen und weiters die unter 1b angeführten Dokumente Herrn S*** großteils vertraut sind; dies insbesondere weil viele dieser Dokumente entweder von Herrn S*** der Ä*** übermittelt wurden oder aber weil diese an Herrn S*** oder an Sie, Herr Dr. B*** adressiert wurden. Andere Herrn S*** unbekannte Dokumente (interner Aktenvermerk, Korrespondenz mit Herrn Dr. M*** etc.) betreffen den konkreten Schadensfall (Diebstahl) zu Polizzennummer ***. Dieser Schadenfall ist bereits Gegenstand eines anhängigen Rechtsstreites vor dem Landesgericht Y*** und Prüfungsgegenstand der Staatsanwaltschaft ***. Die Ihnen und Herrn S*** folglich nicht bekannten Dokumente umfassen Ermittlungsergebnisse und -korrespondenz, an welchen aus nachfolgenden Gründen ein überwiegendes Geheimhaltungsinteresse der Ä*** besteht.
Gemäß § 26 Abs 2 ist die Auskunft nicht zu erteilen, soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen der Auskunftserteilung entgegenstehen. Überwiegende berechtigte Interessen des Auftraggebers (oder eines Dritten) und damit eine begründete Ablehnung sind insbesondere anzunehmen, wenn der Auftraggeber bei voller Auskunftserteilung etwa in einem anhängigen Rechtsstreit mit dem Auskunftswerber seine eigene Prozesssituation schwächen würde (vgl. Dohr/Pollirer/Weiss/Knyrim, DSG Datenschutzrecht Kommentar, 2. Aufl., DSG 2000, § 26, Anmerkung 22). Die Ä*** ist beklagte Partei in dem beim Landesgericht Y*** zu *** anhängigen Rechtsstreit. Um konsequenterweise eine Beweismittelverkürzung und Offenlegung von Prozessstrategien zu verhindern ist die Auskunft in einem größeren, die Ermittlungen und den Prozess betreffenden Umfang aufgrund überwiegender berechtigter Geheimhaltungsinteressen der Ä*** nicht zu erteilen.
3. Wozu werden diese Daten verwendet?
Herr S*** hat bei der Ä*** Versicherung AG unter anderem eine KFZ-Kaskoversicherung für sein Fahrzeug abgeschlossen. Die im Zusammenhang mit diesem Versicherungsverhältnis erforderlichen personenbezogenen Daten (Name, Geburtsdatum, Adresse, Bankverbindung) sowie Vertragsdaten (Polizzennummer, Vertragssparte, Versicherungssumme etc.) und Daten zum Schadenereignis werden ausschließlich im Rahmen des Versicherungsbetriebes verwendet. Das bedeutet, diese Daten sind erforderlich um regelmäßige Prämienvorschreibungen, die Prüfung der Deckungspflicht bzw. die Prüfung eines Schadenfalles, die Zahlung von Versicherungsleistungen etc. vornehmen zu können.
Bezüglich der Rechtsgrundlagen für die Datenverwendung ist auszuführen, dass es sich bei den zur Person des Herrn S*** gespeicherten Daten um sogenannte nicht-sensible Daten iSd DSG handelt (sensible Daten werden in § 4 Z 2 DSG definiert; es sind dies etwa Gesundheitsdaten und Daten über rassische und ethnische Herkunft). Als Rechtsgrundlage für die Datenverarbeitung sind daher die §§ 7 iVm 8 DSG heranzuziehen, welche die Zulässigkeit der Verarbeitung von nicht-sensiblen Daten regeln. Gemäß diesen Bestimmungen dürfen Daten nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers (in diesem Fall die Ä*** Versicherung AG) gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzen. Die rechtliche Befugnis der Ä*** Versicherung AG zur Datenverarbeitung ergibt sich aus ihrer Tätigkeit als Versicherungsunternehmen.
Die Ä*** ist auf Basis ihrer Zulassung zum Versicherungsbetrieb berechtigt, die im Rahmen der ordnungsgemäß gemeldeten Datenanwendung „Schaden- und Unfallversicherung“ genannten Daten ihrer Versicherungsnehmer zu verarbeiten, die bei ihr eine KFZ-Kaskoversicherung abschließen.
Aufgrund der vertraglichen Geschäftsbeziehung sind auch schutzwürdige Geheimhaltungsinteressen des Herrn S*** insbesondere deshalb nicht verletzt, weil die Verwendung der Daten zur Erfüllung einer vertraglichen Verpflichtung zwischen der Ä*** Versicherung AG und dem Herrn S*** notwendig ist (vgl. § 8 Abs 3 Z4 DSG). Die erforderlichen Daten werden sohin von der Ä*** Versicherung AG rechtmäßig erhoben, gespeichert und verarbeitet, um auf Grundlage dieser Daten Leistungen aus dem Versicherungsvertrag zu erbringen (Versicherungsschutz, Entschädigungsleistungen etc.) (vgl. auch § 11a VersVG).
Die Mitteilung von Daten erfolgt nicht nur bei Vertragsabschluss, sondern ist eine entsprechende Mitteilung auch eine Verpflichtung des Versicherungsnehmers im Schadenfall Der Versicherungsnehmer ist gemäß Art 7 der Allgemeinen Bedingungen der Ä*** Versicherung AG für die Kraftfahrzeug-Kaskoversicherung vertraglich verpflichtet bei Diebstahl des Fahrzeuges ein Behördenprotokoll vorzulegen. Es muss daher einerseits der Diebstahl bei der nächsten Polizeidienststelle unverzüglich angezeigt werden und andererseits muss der Versicherungsnehmer unter Wahrung seiner Pflicht zur Feststellung de Sachverhalts beizutragen dieses dem Versicherer vorzulegen (dies alles wurde von Herrn S*** veranlasst).
4. An wen wurden diese Daten übermittelt?
Daten aus dem Kaskoversicherungsvertrag und zum Schadensfall zu Polizzennummer ***0000 (Punkt 1a) wurden folgende Empfängern überlassen:
Hinsichtlich eines darüber hinausgehenden Umfanges von überlassenen Daten verweisen wir auf die Ausführungen zu Punkt2.. Den angeführten Stellen wurden Daten im für die Rechtsvertretung im gegenständlichen anhängigen Rechtsstreit sowie für erforderliche Ermittlungen und Erhebungen den streitgegenständlichen Schadenfall betreffend erforderlichen Ausmaß überlassen. Unter Bezugnahme auf Punkt 2. steht eine weiterführende Beauskunftung in diesem Punkt einem ordnungsgemäßen Prozessverlauf entgegen und besteht somit ein berechtigtes überwiegendes Geheimhaltungsinteresse der Ä*** an den den angeführten Stellen überlassenen Dokumenten.
5. Welche Daten wurden unter Berufung auf die erteilte Vollmacht bisher von Ämtern, Behörden und sonstigen Stellen eingeholt? Zu welchem Zweck und an wen wurden diese übermittelt?
Es wurden keine Unterlagen aufgrund der Vollmacht, erteilt durch Herrn S*** bei Behörden, Ämtern oder sonstigen Stellen eingeholt.
6. In welchem Rechtsverhältnis steht die Ä*** Versicherung AG zu X*** Ges.m.b.H bzw. Herrn Heribert E***? Wurden Daten an diesen weitergeleitet? Wenn ja welche?
Die X*** Ges.m.b.H wurde mit den Schadenfall betreffenden Ermittlungen im Ausland beauftragt (Einzelauftrag). Um Erhebungen durchführen zu können wurden Daten die Person des Herrn S*** sowie das Fahrzeug und den Schadenhergang betreffend überlassen. Im Übrigen wird auf die Ausführungen unter Punkt 1. und Punkt 4. verwiesen.
…“
Beweiswürdigung: Diese Feststellungen ergeben sich aus den jeweiligen Schreiben selbst.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung des § 1 DSG 2000 lautet auszugsweise:
„Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
…“
§ 4 lautet auszugsweise:
„Definitionen
§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
…
4."Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;
5."Dienstleister": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Z 8);
…
11."Überlassen von Daten": die Weitergabe von Daten vom Auftraggeber an einen Dienstleister;
12."Übermitteln von Daten": die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;
…“
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Er lautet im Wesentlichen wie folgt:
„Auskunftsrecht
§ 26. (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.
Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
(3) Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
…“
2. Rechtliche Schlussfolgerungen:
Der Beschwerdeführer bezog sich in seinem Auskunftsbegehren vom 8. Juni 2010 auf das DSG und stellte dazu verschiedene Fragen. In seiner nunmehrigen Beschwerde vom 17. März 2010 (wesentliche Änderung des Verfahrensgegenstandes) machte er geltend, dass diese Auskunft nach wie vor vermissen lasse, welche Daten zwischen Beschwerdegegnerin und X*** jeweils weitergegeben wurden.
Zunächst ist dazu auszuführen, dass eine „Sanierung“ einer ursprünglich nicht erbrachten durch eine zwar nach Beschwerdeerhebung, aber noch vor Bescheiderlassung erteilte Auskunft (wie hier jene vom 26. Februar 2010) sowohl von der Datenschutzkommission in ständiger Spruchpraxis anerkannt (vgl. für viele zB den Bescheid vom 18. September 2009, GZ K121.537/0013-DSK/2009, mwH) als auch nunmehr vom Gesetzgeber so vorgesehen ist (vgl. § 31 Abs. 8 erster Satz DSG 2000 idF der DSG-Novelle 2010).
Des weiteren ist zu beachten, dass sowohl die Datenschutzkommission in ständiger Rechtssprechung (vgl. für viele den Bescheid vom 14. Februar 2007, GZ K121.240/0002- DSK/2007, abrufbar im RIS) wie auch die Gerichtshöfe des öffentlichen Rechts (siehe weitere Hinweise im zitierten Bescheid) die Rechtsauffassung vertreten, dass sich das Auskunftsrecht nach DSG 2000 nicht auf Papierakten erstreckt (§ 1 Abs. 3 Z 1 iVm § 26 DSG 2000). Soweit also die vom Beschwerdeführer geführte Korrespondenz der Beschwerdegegnerin mit der X*** ausschließlich in Papierform vorliegt, ist ein Auskunftsanspruch schon aufgrund dieser Judikatur nicht gegeben.
Soweit sich die Korrespondenz zwischen Beschwerdegegnerin und X*** aber auf (zumindest auch) in elektronischer Form verarbeitete Daten des Beschwerdeführers bezieht, übersieht der Beschwerdeführer bei seiner Argumentation in Bezug auf sein Recht auf Auskunft gegenüber der Beschwerdegegnerin Folgendes:
Die Beschwerdegegnerin hat zunächst auf sein Auskunftsbegehren vom 8. Juni 2009 nicht reagiert. Erst im Lauf des (ersten) Beschwerdeverfahrens vor der Datenschutzkommission hat die Beschwerdegegnerin Auskunftsschreiben vom 27. Jänner bzw. 26. Februar 2010 an den Beschwerdeführer gerichtet. Dem Beschwerdeführer ist bekannt, dass die X*** nicht aus Eigenem, sondern auf Entscheidung der Beschwerdegegnerin tätig war. Außerdem wurde bereits im Schreiben vom 27. Jänner 2010 von einer Überlassung an einen „mit den entsprechenden Ermittlungen beauftragten“ Dienstleister gesprochen und dieser im Schreiben vom 26. Februar 2010 durch Erwähnung der X*** konkretisiert (Schreiben, Seite 7), und das obwohl mangels konkreter Nachfrage nach Dienstleistern (wie von § 26 Abs. 1 DSG 2000 gefordert) die Beschwerdegegnerin zur Nennung des Dienstleisters nicht einmal verpflichtet gewesen wäre. Die X*** ist aufgrund dieser Angaben bzw. der von ihr (unbestrittenen) geforderten Leistungen unzweifelhaft selbst nicht Auftraggeber gemäß § 4 Z 4 DSG 2000, sondern nur Dienstleister gemäß § 4 Z 5 DSG 2000 für die Beschwerdegegnerin. Die Weitergabe von Daten an einen Dienstleister ist aber keine Übermittlung von Daten (§ 4 Z 12 DSG 2000), die im Rahmen eines Auskunftsbegehrens dem Betroffenen mitzuteilen wäre, sondern eine Überlassung iSd § 4 Z 11 DSG 2000. Daraus folgt, dass – wie oben erwähnt auf Verlangen – die Dienstleister (sofern sie mit der Verarbeitung von Daten des Auskunftswerbers betraut sind) zu nennen sind, nicht aber, welche Daten an diese weitergegeben bzw. empfangen wurden.
Im Rahmen des Begehrens des Beschwerdeführers unterliegt daher dem Grunde nach der Auskunft des § 26 DSG 2000 nur jene Weitergabe von Daten (zwischen Beschwerdegegnerin und X***), die nicht ausschließlich auf Papier und die nicht im Rahmen des genannten Dienstleistungsverhältnisses erfolgte. Aufgrund der Beschreibung des Zwecks der Überlassung von Daten durch die Beschwerdegegnerin und aufgrund der gewerblichen Tätigkeit der X*** bestand Grund zur Annahme, dass sämtliche Korrespondenz zwischen Beschwerdegegnerin und X*** im Rahmen des Dienstleistungsverhältnisses stattgefunden hat. Die Datenschutzkommission hat aber überdies den ihr in Kopie übermittelten gesamten elektronischen Verfahrensakt betreffend den Beschwerdeführer geprüft und auch in diesem keine Anhaltspunkte für Korrespondenz gefunden, die dem Auskunftsrecht unterläge.
Aus diesem Grund erübrigt sich ein Eingehen auf den Verweis auf § 26 Abs. 2 DSG 2000 durch die Beschwerdegegnerin als Begründung für die Verweigerung der Auskunft.
Dass die Auskunft verspätet erteilt worden ist, ist nicht nachteilig für den Beschwerdeführer, da auch bei Auskunftserteilung innerhalb der gesetzlichen Fristen von acht Wochen das zivilgerichtliche Verfahren anhängig gewesen wäre. Eine Verschlechterung der Rechtsposition für das zivilgerichtliche Verfahren ist für den Beschwerdeführer ebenfalls nicht verbunden. Sollten die Berichte tatsächlich im gerichtlichen Verfahren zum Vorbringen der Beschwerdegegnerin gemacht werden, ist im Rahmen des Parteiengehörs sichergestellt, dass die für das gerichtliche Verfahren relevanten Daten dem Beschwerdeführer ohnedies zur Kenntnis gelangen.
Da die Beschwerdegegnerin somit durch ihre Schreiben vom 27. Jänner 2010 und vom 26. Februar 2010 gesetzmäßig auf das Auskunftsbegehren des Beschwerdeführers vom 8. Juni 2010 reagiert hat, war die Beschwerde spruchgemäß abzuweisen.