K121.649/0003-DSK/2011 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. GUNDACKER, Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 18. Februar 2011 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Edmund W*** (Beschwerdeführer) aus V*** vom 28. August 2010 gegen das Bundesministerium für Inneres (Beschwerdegegner) in Wien wegen Verletzung im Recht auf Auskunft in Folge Nichtbeantwortung der Frage nach Abfragen von EKIS-Daten (unvollständige Auskunft) wird entschieden:

- Die Beschwerde wird abgewiesen.

Rechtsgrundlagen: §§ 1 Abs 3 Z 1, 4 Z 12 und 13, 26 Abs 1, 4 und 5, 31 Abs 1 sowie 50 Abs 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr 165/1999 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Der Beschwerdeführer behauptet in seiner am 1. September 2010 bei der Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Auskunft dadurch, dass der Beschwerdegegner im Auskunftsschreiben vom 10. August 2010 und dessen Ergänzung vom 17. August 2010 keine Auskunft darüber erteilt habe, von wem und zu welchem Zeitpunkt etwaige EKIS-Abfragen durchgeführt wurden.

Der Beschwerdegegner hielt dem (unter Vorlage von Ausdrucken und Aktenkopien) entgegen, es sei im Auskunftsschreiben vom 10. August 2010 gemäß § 26 Abs 5 DSG 2000 vorgegangen worden. Eine Suche nach Daten des Beschwerdeführers im EKIS habe Datensätze ergeben, die im Auftrag der Bezirkshauptmannschaft Tamsweg (Sachenfahndung) und der Bezirkshauptmannschaft Salzburg-Umgebung (kriminalpolizeilicher Aktenindex – KPA) verarbeitet werden. Dies habe das BMI als Systembetreiber dem Beschwerdeführer gemäß § 50 Abs 1 DSG 2000 mitgeteilt, im Übrigen sei die Auskunft auf den formalen Satz „Es werden im Auftrag des Bundesministeriums für Inneres keine der Auskunftspflicht unterliegenden Daten verwendet“ beschränkt. Hinsichtlich der Datenanwendungen „Evidenthaltung von Aufnahmewerbern für den Exekutivdienst“, für die der Beschwerdegegner selber Auftraggeber sei, sei dem Beschwerdeführer eine Negativauskunft erteilt worden, eine Auskunft aus dem Strafregister sei gemäß § 26 Abs 9 DSG 2000 abgelehnt worden. Dem ergänzenden Auskunftsersuchen des Beschwerdeführers habe man erwidert, dass Übermittlungen gemäß § 4 Z 12 DSG 2000 nur die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister (sowie die Datenverwendung für ein anderes Aufgabengebiet) sei. Für die Datenanwendungen des Beschwerdegegners sei diese Auskunft auch korrekt erfolgt.

Der Beschwerdeführer hat nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens keine weitere Stellungnahme abgegeben.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob das BMI als Beschwerdegegner verpflichtet war, dem Beschwerdeführer über Abfragen seiner Daten im EKIS (einschließlich der Person des Abfragenden) Auskunft zu geben.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer verlangte unter Erbringung eines Identitätsnachweises mit Schreiben vom 31. Juli 2010 (Posteingang beim Beschwerdegegner: 5. August 2010) eine umfassende datenschutzrechtliche Auskunft und nahm dabei Bezug auf den KPA, das EKIS insgesamt und die Evidenthaltung von Aufnahmewerbern für den Exekutivdienst.

Der Beschwerdegegner erteilte mit Schreiben vom 10. August 2010, GZ: BMI-LR**99/004*-III/3/b/2010, dem Beschwerdeführer Auskunft. Die Auskunft besagte, dass in den EKIS Datenanwendungen Personenfahndung, Personeninformation, KPA, Sachenfahndung, erkennungsdienstliche Evidenz, automationsunterstütztes Fingerabdrucksystem und DNA-Datenbank im Auftrag des Beschwerdegegners keine der Auskunftspflicht unterliegenden Daten verarbeitet würden. Es wurde darauf hingewiesen, dass in der Datenanwendung Sachfahndung durch die Bezirkshauptmannschaft Tamsweg (verlorener Führerschein) und in der Datenanwendung KPA durch die Bezirkshauptmannschaft Salzburg-Umgebung Daten zur Person des Beschwerdeführers verarbeitet würden. Weitere Auskunfts- oder Löschungsbegehren wären an diese Sicherheitsbehörden zu richten. In der Datenanwendung „Evidenthaltung von Aufnahmewerbern für den Exekutivdienst“ würden keine den Beschwerdeführer betreffenden Daten verarbeitet. Eine Auskunft aus dem Strafregister sei gemäß Strafregistergesetz (Ausstellung einer Strafregisterbescheinigung) einzuholen.

Die erteilten Auskünfte entsprachen den Tatsachen (dokumentierter EKIS-Datenbestand per 9. August 2010).

Am 17. August 2010 rügte der Beschwerdeführer in einem E-Mail die erhaltene Auskunft dahingehend, dass sie nur auf die Übermittlungen an Dritte Bezug nehme, dies aber nicht ausschließe, dass Abfragen durchgeführt wurden. Weiters:

„Hiermit ersuche ich Sie, mir laut § 26 Datenschutzgesetz 2000 Auskunft zu erteilen, von wem und zu welchem Zeitpunkt etwaige EKIS-Abfragen durchgeführt wurden.“

Der Beschwerdegegner erwiderte darauf ergänzend im Schreiben vom 17. August 2010, BMI-LR**99/005*-III/3/b/2010, dass Übermittlungen gemäß § 4 Z 12 DSG 2000 nur die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister (sowie die Datenverwendung für eine anderes Aufgabengebiet) sei. Für die Datenanwendungen, in denen der Beschwerdegegner Daten verarbeite, sei diese Auskunft auch korrekt erfolgt. Auf die Daten, die im Auftrag weiterer Sicherheitsbehörden verarbeitet würden, werde nochmals verwiesen.

Beweiswürdigung : Diese Feststellungen beruhen auf den Kopien der zu den beiden angeführten Geschäftszahlen geführten Akten des Beschwerdegegners (BMI-LR**99/004*- III/3/b/2010 und BMI-LR**99/005*-III/3/b/2010) samt Beilagen, insbesondere den EKIS-Ausdrucken vom 9. August 2010. Es liegt kein Vorbringen des Beschwerdeführers vor, dass mit diesem Sachverhalt im Widerspruch steht.

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs 1 bis Abs 3 Z 1 DSG 2000 lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

[…]

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

§ 4 Z 9, 12 und 13 DSG 2000 lauten samt Überschrift:

„ Definitionen

§ 4 . Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

[…]

[…]

§ 26 Abs 1, 4, 5 und 9 DSG 2000 lautet samt Überschrift:

„ Auskunftsrecht

§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

[…]

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen: Es ist in allen Fällen, in welchen keine Auskunft erteilt wird - also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Auskunftswerber verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.

[…]

(9) Für Auskünfte aus dem Strafregister gelten die besonderen Bestimmungen des Strafregistergesetzes 1968 über Strafregisterbescheinigungen.“

§ 50 Abs 1 DSG 2000 lautet samt Überschrift:

„ Informationsverbundsysteme

§ 50 . (1) Die Auftraggeber eines Informationsverbundsystems haben, soweit dies nicht bereits durch Gesetz geregelt ist, einen geeigneten Betreiber für das System zu bestellen. Name (Bezeichnung) und Anschrift des Betreibers sind in der Meldung zwecks Eintragung in das Datenverarbeitungsregister bekannt zu geben. Unbeschadet des Rechtes des Betroffenen auf Auskunft nach § 26 hat der Betreiber jedem Betroffenen auf Antrag binnen zwölf Wochen alle Auskünfte zu geben, die notwendig sind, um den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber festzustellen; in Fällen, in welchen der Auftraggeber gemäß § 26 Abs. 5 vorzugehen hätte, hat der Betreiber mitzuteilen, daß kein der Pflicht zur Auskunftserteilung unterliegender Auftraggeber benannt werden kann. Abgesehen von der abweichenden Frist gilt § 26 Abs. 3 bis 10 sinngemäß. Die Unterstützungspflicht des Betreibers gilt auch bei Anfragen von Behörden. Den Betreiber trifft überdies die Verantwortung für die notwendigen Maßnahmen der Datensicherheit (§ 14) im Informationsverbundsystem. Von der Haftung für diese Verantwortung kann sich der Betreiber unter den gleichen Voraussetzungen, wie sie in § 33 Abs. 3 vorgesehen sind, befreien. Wird ein Informationsverbundsystem geführt, ohne daß eine entsprechende Meldung an die Datenschutzkommission unter Angabe eines Betreibers erfolgt ist, treffen jeden einzelnen Auftraggeber die Pflichten des Betreibers.“

2. rechtliche Schlussfolgerungen

Die Beschwerde ist nicht berechtigt.

Im Fall der Datenanwendung EKIS handelt es sich um ein Informationsverbundsystem, für das der Beschwerdegegner nur insoweit Auftraggeber ist, als er selbst die Entscheidung trifft, Daten in den systemzugehörigen Datenanwendungen (wie dem KPA) zu verarbeiten.

Für Daten, die andere Sicherheitsbehörden verarbeiten, konnte sich der Beschwerdegegner als Betreiber mit Recht darauf beschränken, gemäß § 50 Abs 1 DSG 2000 „den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber“ bekanntzugeben.

Dies ist auch geschehen.

Der jeweilige Auftraggeber (BH Tamsweg für EKIS-Sachenfahndung bzw. BH Salzburg-Umgebung für EKIS-KPA) kann hinsichtlich des Auskunftsrechts zu Empfängern oder Empfängerkreisen von Datenübermittlungen in Anspruch genommen. Bereits an dieser Stelle erscheint jedoch der Hinweis angebracht, dass nicht jede Abfrage eine Datenübermittlung ist. So unterscheiden die datenschutzrechtlichen Definitionen des § 4 Z 9 und Z 12 DSG 2000 ausdrücklich zwischen dem Übermitteln von Daten und beispielsweise dem Abfragen oder Benutzen. Da gemäß § 26 Abs. 1 DSG 2000 aber nur „allfällige Empfänger und Empfängerkreise von Übermittlungen“ zu beauskunften sind, sind einzelne Vorgänge der Datenverarbeitung gemäß § 4 Z 9 DSG 2000, die durch Organwalter oder Bedienstete des Auftraggebers ausgeführt werden, wie das Abfragen, Benützen oder Ausgeben (inkl. Ausdrucken) von Daten, nicht Gegenstand der Pflicht zur Auskunftserteilung an den Betroffenen (vgl. Bescheid vom 20. August 2002, GZ: K120.800/010-DSK/2002, RIS).

Hinzuweisen ist weiters auf die Auskunftsbeschränkungen im § 26 Abs. 5 DSG 2000 etwa in Hinblick auf die Verfolgung von Straftaten, wonach vom Auftraggeber anstelle einer inhaltlichen Begründung mitgeteilt werden kann, dass keine der Auskunftspflicht unterliegenden Daten genutzt werden, worauf sich der Beschwerdegegner teilweise auch gestützt hat.

[veröffentlicht: jusIT 2011,69]