K121.713/0019-DSK/2011 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KÖNIG, Dr. ROSENMAYR-KLEMENZ, Mag. HEILEGGER und Dr. GUNDACKER sowie des Schriftführers Mag. HILD in ihrer Sitzung vom 24. August 2011 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Dr. X*** (Beschwerdeführer) vom 2. März 2011 gegen 1. das Bundesministerium für Finanzen (Erstbeschwerdegegnerin) und 2. das Finanzamt A (Zweitbeschwerdegegner) wegen Verletzung im Recht auf Geheimhaltung wird wie folgt entschieden:
- Die Beschwerde wird a b g e w i e s e n.
Rechtsgrundlagen: §§ 1 Abs. 1 und 2, 31 Abs. 2 Datenschutzgesetz 2000 (DSG 2000) BGBl I Nr. 165/1999 idgF.
B e g r ü n d u n g
A. Vorbringen der Parteien
1. Der Beschwerdeführer behauptet in seiner Beschwerde vom 2. März 2011 (verbessert mit Schreiben vom 14. März 2011) eine Verletzung in seinem Recht auf Geheimhaltung. Am 24. November 2010 habe seine Kollegin, Frau S***, ein Fax erhalten, in dem ein Auszug seines Einkommensbescheides übermittelt worden sei. Absender dieses Faxes sei die Ä*** GmbH gewesen. Wie es zu der Übermittlung seines Einkommensbescheides an die Ä*** GmbH gekommen sei, sei für ihn weder nachvollziehbar, noch habe die Ä*** GmbH dazu Angaben machen können. Da es zwischen ihm und Frau S*** keine schriftliche Kommunikation gebe, gehe er davon aus, dass sein Einkommensteuerbescheid von der „Finanzverwaltung“ an die Firma Ä*** übermittelt worden sei. Auf Nachfrage betonte der Beschwerdeführer, seine Beschwerde richte sich explizit gegen beide Beschwerdegegner.
2. In ihrer Stellungnahme vom 8. April 2011 führt die Erstbeschwerdegegnerin aus, dass sie keine Daten zur Arbeitnehmerveranlagung des Beschwerdeführers verarbeite. Auftraggeber sei allein das für den Beschwerdeführer zuständige Finanzamt, der Zweitbeschwerdegegner. Man weise daraufhin, dass der Bescheid bereits am 10. November 2010 an den Beschwerdeführer zugestellt worden sei und er am 23. November 2010 nachweislich Kenntnis von den Bescheiddaten erlangt habe. Sein Vorbringen liefere keinen Beweis, dass von der Finanzbehörde Steuerdaten unzulässiger Weise an Dritte übermittelt worden seien. Eine vom Büro für interne Angelegenheiten durchgeführte Auswertung habe keine unzulässigen Zugriffe auf die Daten des Beschwerdeführers durch Mitarbeiter der Finanzverwaltung ergeben.
3. In seinen Stellungnahmen vom 5. April 2011 und 25. Mai 2011 führte der Zweitbeschwerdegegner aus, der Beschwerdeführer habe am 28. Oktober 2010 eine Erklärung für die Arbeitnehmerveranlagung 2009 elektronisch über Finanz Online eingebracht. Der Einkommenssteuerbescheid sei dem Beschwerdeführer am 10. November 2010 elektronisch in seine FinanzOnline DataBox zugestellt worden. Ab diesem Zeitpunkt läge der weitere Weg des elektronischen Einkommenssteuerbescheides „ausschließlich“ in der Verantwortung des Empfängers und könne seitens der Finanzverwaltung nicht mehr weiter verfolgt werden.
Der Zweitbeschwerdegegner habe den Einkommenssteuerbescheid nicht an Dritte, insbesondere nicht an die Ä*** GmbH übermittelt. Die durch das Büro für interne Angelegenheiten vorgenommene systematische Analyse der Logzugriffe habe keine Verdachtsmomente auf unzulässige Datenbankzugriffe ergeben. Nicht eruiert werden könne, ob der Beschwerdeführer bzw. der Faxempfänger den Bescheid nach der Auslesung irrtümlich an die Ä*** GmbH weitergeleitet habe und von dieser in weiterer Folge versucht worden sei, den Bescheid am 24. November 2011 (am Tag nach der Auslesung) zurückzusenden.
4. Im Parteiengehör dazu führte der Beschwerdeführer mit Schreiben vom 25. April 2011 aus, dass er – da nicht nachvollziehbar sei, von welcher Stelle sein Einkommenssteuerbescheid weitergegeben worden sei – die Erstbeschwerdegegnerin als Oberbehörde und das zuständige Finanzamt (Zweitbeschwerdegegner) zur Verantwortung gezogen habe. Eine ausschließliche Verantwortung nach Auslesen des Bescheides sei nicht gegeben. Auch eine irrtümliche Weitergabe seinerseits könne ausgeschlossen werden. Die Frage, wie die Firma Ä*** GmbH an den Bescheid gelangt sei, sei durch diese Stellungnahmen nicht aufgeklärt worden.
5. In der Folge wurde der Zweitbeschwerdegegner aufgefordert, für den Zeitraum 9. November 2010, 0:00 Uhr bis 24. November 2010, 24:00 Uhr das Logfile der Zugriffe auf Finanz-Online in Bezug auf den Beschwerdeführer in geeignetem technischen Format zu übermitteln. Mit Schreiben vom 25. Mai 2011 führte der Zweitbeschwerdegegner unter Bezugnahme auf das beigelegte Protokoll (Bildschirmausdrucke der Suchanfrage nach Zustellungen für den angefragten Zeitraum und des Suchergebnisses) aus, die Zustellung des Bescheides über die Arbeitnehmerveranlagung 2009 vom 9.11.2010 sei am 2010-11-10- *** in die Databox des Beschwerdeführers (TID ***) zugestellt und am 2010-11-23-*** durch den Beschwerdeführer ausgelesen worden. Beim Auslesen eines Bescheides aus der FON-Databox erhalte der Teilnehmer die Möglichkeit, den Bescheid anzusehen, auszudrucken oder über die Funktionalität ‚ZIP-Datei erstellen’ den Bescheid lokal zu speichern. Damit seien die Bescheiddaten in seine Sphäre gelangt und unterlägen allein seiner Disposition. Dass das Finanzamt die Bescheiddaten (im gesetzlichen Auftrag) auch nach Zustellung speichere und hinsichtlich dieser Daten Auftraggeber bleibe, ändere nichts daran, dass es ab dem Zeitpunkt der Zustellung an den Beschwerdeführer nicht mehr Herr über die zugestellten Daten sei.
Die Auswertung sämtlicher Datenbanken habe ergeben, dass nach der Bescheiderstellung außer der angeführten Abfrage kein Zugriff auf den Bescheid erfolgt sei.
6. Im Parteiengehör dazu führte der Beschwerdeführer mit Schreiben vom 25. April 2011 aus, dass die Behauptung, dass nach dem Auslesen der Daten durch den Steuerpflichtigen die Bescheiddaten „in seine Sphäre gelangt“ (seien) und „allein seiner Disposition“ unterlägen, absurd sei. Es wäre durchaus denkbar, dass eine andere Stelle innerhalb der Finanzverwaltung dafür verantwortlich wäre.
7. Nach entsprechender Aufforderung übermittelte der Zweitbeschwerdegegner mit Schreiben vom 18. Juli 2011 das Protokoll aller externen und internen Zugriffe auf die Daten des Beschwerdeführers für den oben genannten Zeitraum. Externe Zugriffe seien nur mit der TID (Teilnehmer-ID) des Beschwerdeführers erfolgt, intern sei lediglich vor Bescheiderlassung zugegriffen worden.
8. Im Parteiengehör dazu äußerte sich der Beschwerdeführer nicht mehr.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegner den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt haben, dass sie seinen Bescheid vom 9. November 2010 betreffend die Arbeitnehmerveranlagung 2009 an die Ä*** GmbH übermittelt haben.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer brachte am 28. Oktober 2010 die Erklärungen für die Arbeitnehmerveranlagung 2009 elektronisch über Finanz Online beim für ihn zuständigen Finanzamt, dem Zweitbeschwerdegegner, ein. Der Einkommensbescheid erging am 9. November 2010 und wurde dem Beschwerdeführer am 10. November 2010, 13:49 Uhr, wiederum (ausschließlich) elektronisch in seine FinanzOnline DataBox zugestellt. Am 23. November 2010, 12:05 Uhr, wurde der Bescheid ausgelesen.
Beweiswürdigung: Diese Feststellungen beruhen auf dem Vorbringen des Zweitbeschwerdegegners in seinen Stellungnahmen vom 5. April, 25. Mai und 18. Juli 2011 in Zusammenhang mit dem für den Zeitraum 9. November 2010, 0:00 Uhr bis 24. November 2010, 24:00 Uhr vorgelegten Logfiles zu Zustellungen und Zugriffen auf Finanz-Online in Bezug auf den Beschwerdeführer.
Am 24. November 2010, 07:49 Uhr, erfolgte von der Faxnummer 0*** an die Nummer *** eine Faxsendung. Die Nummer 0*** ist der Ä*** GmbH in *** zugeordnet. Die (Wiener) Nummer *** ist einer Frau S***, *** zugeordnet. Die Faxsendung bestand aus einer Seite und war mit „Fehlerbericht 24-Nov-10 07:49“ übertitelt. Sie enthielt ein Faksimile eines Teiles der ersten Seite des Einkommenssteuerbescheides 2009 des Beschwerdeführers. Diesem Faksimile waren neben Daten des Zweitbeschwerdegegners die Adressdaten des Beschwerdeführers sowie Teile seiner Steuer- und Sozialversicherungsnummer zu entnehmen. Auf einem anderen Teil des Faksimiles war „Nicht leserlich! Seite neu faxen.“ in Großbuchstaben vermerkt.
Beweiswürdigung: Diese Feststellungen ergeben sich aus der Faxsendung (Beilage zur Beschwerde) selbst. Die den Faxnummern zugeordneten Anschlussinhaber stammen aus dem Telefondatensammlungen (betreffend Ä*** GmbH www.*******.at, betreffend Frau S*** www.*****.at).
Eine Weitergabe auch nur von Teilen des Einkommenssteuerbescheides 2009 des Beschwerdeführers durch die Beschwerdegegner hat sich nicht erweisen lassen.
Beweiswürdigung: Wiewohl dem Absender der Faxsendung ein Teil des Einkommenssteuerbescheides 2009 des Beschwerdeführers vorgelegen haben muss, so ist doch mit Sicherheit anzunehmen, dass die Beschwerdegegner den Bescheid nicht weitergeleitet haben können. Dies geht in erster Linie aus den übermittelten Protokollen zu Zustellungen und Zugriffen hervor. Nach Bescheiderstellung am 9. November 2010 hat es keinerlei interne Zugriffe auf den Bescheid gegeben, extern ist bloß mit der TID des Beschwerdeführers auf den Bescheid zugegriffen worden. Auch der Beschwerdeführer hat lediglich Vermutungen hinsichtlich des Weges des Bescheides angestellt. Für die Datenschutzkommission sind die Überlegungen des Beschwerdeführers zwar in Teilen nachvollziehbar, doch ist eine Feststellung einer Verletzung nur dann möglich, wenn ein Beweis für die behauptete Datenweitergabe vorhanden ist. Ein solcher Beweis konnte nicht gefunden werden. Die von einem Auftraggeber für solche Beweiszwecke im Rahmen des § 14 DSG 2000 vorzunehmende Protokollierung hat gerade nicht den Beweis erbracht. Weitere Pflichten zur Sicherstellung der Beweisbarkeit von datenschutzrechtlich relevanten Vorgängen legt das DSG 2000 einem Auftraggeber nicht auf.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die hier wesentlichen Bestimmungen des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999 idgF., lauten auszugsweise:
„§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
…
§ 31 (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht
(2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.
…“
2. rechtliche Beurteilung
Die Datenschutzkommission betont zunächst nochmals, dass Gegenstand dieses Beschwerdeverfahrens nicht die Aufklärung der Herkunft des Bescheid(teils) bei der Ä*** GmbH ist, sondern „lediglich“, ob die Beschwerdegegner den Bescheid bzw. Teile dessen unzulässig an die Ä*** GmbH bzw. an andere Dritte weitergegeben hat.
Auftraggeber der in Rede stehenden Daten des Beschwerdeführers ist der Zweitbeschwerdegegner. Der Zweitbeschwerdegegner irrt, wenn er im Ergebnis vermeint, dass ab dem Zeitpunkt des Auslesens des Bescheids durch dessen Empfänger die Daten allein in der Sphäre des Teilnehmers wären und damit die Verantwortung als Auftraggeber endete (was es im Ergebnis bedeuten würde). Nachdem die Daten auch nach Auslesen weiter beim Auftraggeber vorhanden sind, ist eine Übermittlung an Dritte (ob rechtmäßig oder nicht) weiterhin möglich. Da als Ergebnis des Ermittlungsverfahrens aber weder eine Übermittlung an die Erstbeschwerdegegnerin noch an sonstige Dritte stattgefunden hat, ist die Beschwerde gegen den Zweitbeschwerdegegner abzuweisen.
Da die Erstbeschwerdegegnerin über die entsprechenden Daten gar nicht verfügt hat, war es ihr schon faktisch unmöglich, den Einkommenssteuerbescheid 2009 des Beschwerdeführers bzw. Daten daraus an Dritte weiterzugeben. Auch insoweit war die Beschwerde abzuweisen.
Abschließend sei der Beschwerdeführer auf die Möglichkeit eines Auskunftsbegehrens nach § 26 DSG 2000 an die Ä*** GmbH verwiesen, dem allerdings nur automationsunterstützt oder in manuellen Dateien verarbeitete Daten unterliegen.