K121.715/0010-DSK/2011 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER, Mag. HUTTERER und Dr. GUNDACKER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 2. September 2011 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Richard L*** (Beschwerdeführer) aus G*** vom 2. März 2011 gegen die Bundespolizeidirektion Linz (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft in Folge Weigerung, das Auskunftsbegehren vom 28. Oktober 2010 (betreffend Daten der Verwaltungsstrafevidenz) inhaltlich zu beantworten, wird entschieden:

- Der B e s c h w e r d e wird F o l g e g e g e b e n und f e s t g e s t e l l t, dass die Beschwerdegegnerin den Beschwerdeführer dadurch, dass sie sich geweigert hat, dessen Auskunftsbegehren vom 28. Oktober 2010 (betreffend Daten der Verwaltungsstrafevidenz) ohne Übermittlung der Vornamen der Eltern des Beschwerdeführers inhaltlich zu beantworten, diesen in seinem Recht auf Auskunft über eigene Daten verletzt hat.

Rechtsgrundlagen : §§ 1 Abs 3 Z 1, 26 Abs 1, 3 und 4 und 31 Abs 1 und 7 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Der Beschwerdeführer behauptet in seiner am 3. März 2011 bei der Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin auf sein Auskunftsbegehren vom 28. Oktober 2010 betreffend seine für Zwecke anhängiger und abgeschlossener Verwaltungsstrafverfahren gespeicherten Daten am 12. November 2010 mit der Aufforderung reagiert habe, sein Geburtsdatum, seinen Geburtsort sowie die Vornamen seiner Eltern anzugeben. Er sei dem nicht gefolgt, da er bereits durch die Übermittlung eines Identitätsnachweises (Kopie seines Führerscheins als Beilage zum Auskunftsbegehren) seiner Mitwirkungspflicht nachgekommen sei.

Die Beschwerdegegnerin brachte mit Stellungnahme vom 21. März 2011 vor, der Sachverhalt werde nicht bestritten, die Auskunft sei nicht erteilt worden, weil der Beschwerdeführer die Vornamen seiner Eltern auf Aufforderung nicht bekanntgegeben habe. Der Beschwerdeführer sei damit seiner Mitwirkungsverpflichtung gemäß § 26 Abs 3 DSG 2000 nicht nachgekommen. Damit sei eine Ermittlung und Auswahl der den Beschwerdeführer betreffenden Daten nicht ohne Gefahr der Verwechslung mit namensgleichen Betroffenen möglich gewesen.

Der Beschwerdeführer replizierte darauf mit Stellungnahme vom 24. März 2011, aus der Führerscheinkopie seien Namen, Tag und Ort der Geburt sowie Daten des Führerscheins (Nummer, ausstellende Behörde) ersichtlich. Mit Hilfe dieser Daten könnte (etwa durch Prüfung [Führerscheinregister, ZMR], ob eine namensgleiche, am selben Tag geborene Person existiere, was die Beschwerdegegnerin nicht einmal behaupte) eine Verwechslung ausgeschlossen werden. Überdies diene die Mitwirkungspflicht gemäß § 26 Abs 3 DSG 2000 vor allem dazu, unsubstanziierte Auskunftsbegehren hintanzuhalten. Jedenfalls habe er durch Vorlage der Ausweiskopie den gesetzlich vorgesehenen Identitätsnachweis erbracht. Die Verweigerung der Auskunftserteilung sei unberechtigt erfolgt.

Die Beschwerdegegnerin verwies in ihrer weiteren Stellungnahme vom 13. April 2011 in erster Linie auf die sie treffende Sorgfaltspflicht bei der Verwendung von Daten, die nach ihrer Rechtsansicht eine Prüfung der Identität an Hand der Elternnamen erforderlich mache.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin berechtigt war, dem Beschwerdeführer auf Grund der Weigerung, die Vornamen seiner Eltern bekannt zu geben, Auskunft über ihn betreffende Daten anhängiger und abgeschlossener Verwaltungsstrafverfahren zu verweigern.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer richtete am 28. Oktober 2010 ein datenschutzrechtliches Auskunftsbegehren an die Beschwerdegegnerin, das bei dieser am 2. November 2010 einlangte. Darin verlangte er Auskunft darüber, „welche Daten zu meiner Person in der Verwaltungsstraf-Evidenz gespeichert sind“. Dem eigenhändig unterschriebenen Auskunftsbegehren angeschlossen war eine vergrößerte Kopie eines Führerscheins (Scheckkartenformat, FS-Nr. 0*9*8*7*, ausgestellt von der Bezirkshauptmannschaft C***), enthaltend Vor- und Familien- /Nachnamen des Beschwerdeführers, Geburtsdatum und Geburtsort, Ausstellungsdatum des Führerscheins sowie ein Lichtbild und eine Faksimile-Wiedergabe der Unterschrift des Beschwerdeführers.

Beweiswürdigung : Diese Feststellungen beruhen auf der zitierten Eingabe samt Wiedergabe der Beilage (Führerscheinkopie), vorgelegt von der Beschwerdegegnerin als Urkundenvorlage (auf Aufforderung durch die Datenschutzkommission) vom 30. März 2011.

Die Beschwerdegegnerin forderte den Beschwerdeführer mit Schreiben vom 12. November 2010, AZ: P*/*6*5*4/2010, auf, zwecks Vermeidung einer Personenverwechslung zusätzlich zu den Daten eines eventuell bereits erbrachten Identitätsnachweises die Vornamen seiner Eltern anzugeben.

Beweiswürdigung : Diese – unstrittigen – Feststellungen beruhen auf einer Kopie des zitierten Schreibens, vorgelegt vom Beschwerdeführer als Beilage zur Beschwerde vom 2. März 2011.

Der Beschwerdeführer hat die Vornamen seiner Eltern nicht bekannt gegeben; die begehrte Auskunft ist bis dato nicht erteilt worden.

Beweiswürdigung : Diese – unstrittigen – Feststellungen beruhen auf dem übereinstimmenden, glaubwürdigen Vorbringen beider Streitparteien.

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs 1 und 2 DSG 2000 [Anmerkung Bearbeiter: offenkundiger Redaktionsfehler, gemeint ist wohl „Abs 3“] lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1) [...] (2)

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

§ 6 DSG 2000 lautet samt Überschrift:

„ Verwendung von Daten

Grundsätze

§ 6 . (1) Daten dürfen nur

(2) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.

(3) Der Auftraggeber einer diesem Bundesgesetz unterliegenden Datenanwendung hat, wenn er nicht im Gebiet der Europäischen Union niedergelassen ist, einen in Österreich ansässigen Vertreter zu benennen, der unbeschadet der Möglichkeit eines Vorgehens gegen den Auftraggeber selbst namens des Auftraggebers verantwortlich gemacht werden kann.

(4) Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat.“

§ 14 DSG 2000 lautet samt Überschrift:

„ Datensicherheitsmaßnahmen

§ 14 . (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.

(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,

Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

(3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung.

(4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck - das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes - unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.

(5) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird.

(6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können.

§ 26 Abs 1 bis 4 lautet samt Überschrift:

„ Auskunftsrecht

§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.

Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4.

(3) Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“

2. rechtliche Schlussfolgerungen

Die Beschwerde ist berechtigt.

Das Gesetz fordert vom Betroffenen und Auskunftswerber in § 26 Abs 1 DSG 2000 die Erbringung eines Identitätsnachweises als Voraussetzung für die Erteilung einer Auskunft über seine Daten durch den angesprochenen Auftraggeber.

„§ 26 Abs. 1 DSG 2000 knüpft die Auskunftserteilung an die Bedingung, dass der Betroffene gegenüber dem Auftraggeber seine Identität nachweist. Der Identitätsnachweis ist conditio sine qua non für das Entstehen eines Anspruchs auf inhaltliche Auskunft. Diese Bestimmung hat den klar erkennbaren Zweck, jedem möglichen Missbrauch des Auskunftsrechts zur Informationsbeschaffung durch Dritte einen Riegel vorzuschieben. Ein Auftraggeber darf ohne Vorliegen eines Identitätsnachweises keine Daten an den Auskunftswerber - von dem er in diesem Moment nur annehmen kann, dass er tatsächlich der Betroffene ist - übermitteln, da er sonst das Datengeheimnis gemäß § 15 Abs. 1 DSG 2000 verletzen könnte.

Bloßes Vertrauen auf die Identität des Auskunftswerbers kann den Identitätsnachweis nicht ersetzen, da mit einer derart großzügigen Auslegung der Wortfolge 'in geeigneter Form nachweist' dem Schutzzweck der Norm die Grundlage entzogen wäre (Bescheid der Datenschutzkommission vom 4. Mai 2004, GZ: K120.905/0008-DSK/2004, RIS, RS1).“

Es kann der Beschwerdegegnerin nicht widersprochen werden, wenn sie meint, auch durch sie treffende grundsätzliche Sorgfaltspflichten (§§ 6, 14 DSG 2000) dazu angehalten zu sein, vor Auskunftserteilung einen Identitätsnachweis zu verlangen.

Dieser Obliegenheit ist der Beschwerdeführer allerdings auch ohne Aufforderung bereits durch Übermittlung einer Ausweiskopie samt Faksimile-Wiedergabe seiner eigenhändigen Unterschrift (zusätzlich zum eigenhändig unterschriebenen Auskunftsbegehren) nachgekommen (vgl. die Bescheide der Datenschutzkommission vom 2. August 2005, GZ: K121.034/0006- DSK/2005, RIS, und VwGH, Erkenntnis vom 9. September 2008, Zl. 2004/06/221):

„Für die Frage, wie ein „Identitätsnachweis iSd § 26 Abs. 1 DSG 2000“ zu erbringen ist, ist darauf abzustellen, was geeignet ist darzutun, dass das Auskunftsbegehren von der als Auskunftswerber bezeichneten und in ihrer Identität amtlich bestätigten Person herstammt. In der Rechtsprechung der Datenschutzkommission (vgl. etwa zuletzt den Bescheid vom 2. August 2005, GZ K121.034/0006-DSK/2005, abrufbar im RIS) wurde mehrfach die Kopie eines amtlichen Lichtbildausweises als ausreichender Nachweis angesehen. Allerdings ausgehend von der Voraussetzung, dass der Auskunftsantrag unterschriftlich gestellt wird, sodass der Auftraggeber durch Vergleich der Unterschriften im Ausweis und auf dem Auskunftsbegehren mit hinreichender Sicherheit die Identität des Auskunftswerbers und die Echtheit des Auskunftsbegehrens erkennen kann (Bescheid der Datenschutzkommission vom 2. Februar 2007, GZ: K121.225/0001-DSK/2007, RIS).“

Diese Voraussetzungen waren im Beschwerdefall erfüllt. Der Beschwerdeführer hat somit einen gültigen Identitätsnachweis erbracht.

Wie der Beschwerdeführer zutreffend ausführt, dient die Mitwirkungsobliegenheit gemäß § 26 Abs 3 DSG 2000 dem Zweck, dem Auftraggeber ein Mittel in die Hand zu geben, um ausufernde und ihn unbillig belastende Auskunftsbegehren einzugrenzen (arg: „um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden“). Nicht zwingender Gegenstand dieser Mitwirkungsobliegenheit ist jedoch die bereits in § 26 Abs 1 DSG 2000 festgelegte Obliegenheit des Auskunftswerbers, einen Identitätsnachweis zu erbringen. Auf § 26 Abs 3 DSG 2000 konnte daher die Aufforderung, weitere Daten zwecks Identitätsprüfung bekannt zu geben, nicht wirksam gestützt werden.

Anhaltspunkte dafür, dass ausgehend vom vollständigen Namen, Geburtsdatum und Geburtsort die konkrete Gefahr bestanden hätte, Auskunft über nicht den Beschwerdeführer betreffende Daten zu erteilen, was die Beschwerdegegnerin zu weiteren Rückfragen berechtigen könnte, bestehen nicht.

Indem die Beschwerdegegnerin, trotz eines erbrachten Identitätsnachweises, auf die Übermittlung der Vornamen der Eltern des Beschwerdeführers bestanden und die datenschutzrechtliche Auskunft nicht erteilt hat, hat sie den Beschwerdeführer in seinem Recht auf Auskunft über eigene Daten verletzt.

Es waren daher gemäß § 31 Abs 7 die spruchgemäßen Feststellungen zu treffen.

Hinsichtlich der Wirkungen dieses Feststellungsbescheids wird auf § 40 Abs 4 DSG 2000 verwiesen.