K121.742/0005-DSK/2012 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. HUTTERER, Dr. SOUHRADA-KIRCHMAYER, Mag. ZIMMER, Dr. ROSENMAYR-KLEMENZ und Dr. GUNDACKER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 18. Jänner 2012 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde der Frau Anna T**** (Beschwerdeführerin) vom 28. Juli 2011 gegen die GIS Gebühren Info Service GmbH wegen Verletzung im Recht auf Geheimhaltung im Juli 2011 in Folge eines Hackerangriffs auf den Webserver der GIS Gebühren Info Service GmbH wird entschieden:
- Die B e s c h w e r d e wird a b g e w i e s e n.
Rechtsgrundlagen: §§ 1 Abs 1, 14, 30 Abs. 2 und 31 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr 165/1999 idgF.
B e g r ü n d u n g
A. Vorbringen der Parteien
Die Beschwerdeführerin behauptet in ihrer am 28. Juli 2011 per E-Mail eingebrachten Beschwerde eine Verletzung im Recht auf Geheimhaltung dadurch, dass ihre Daten als Rundfunkteilnehmerin durch einen Angriff auf den Webserver der GIS Gebühren Info Service GmbH (in weiterer Folge kurz: GIS) illegal abkopiert wurden. Weiters ersucht sie um Einleitung eines amtswegigen Verfahrens gemäß § 30 Abs. 2 DSG 2000.
Sie wurde von diesem Angriff der Gruppe "AnonAustria" durch eine E-Mail-Nachricht der GIS Gebühren Info Service GmbH vom 27. Juli 2011 (in der Beschwerde offenbar irrtümlich mit 27. Mai 2011 bezeichnet) in Kenntnis gesetzt.
Die Beschwerdeführerin begehrte gemäß § 31 Abs. 2 DSG 2000 eine Feststellung durch die Datenschutzkommission, dass ihr Recht auf Geheimhaltung personenbezogener Daten verletzt wurde. Weiters hat die Einschreiterin um Einleitung eines Verfahrens zur Prüfung der Datensicherheit bei der GIS gemäß § 30 Abs. 2 DSG 2000 ersucht.
Die GIS bestritt in ihrer Stellungnahme vom 26. August 2011 nicht den Sachverhalt und ergänzte ihn auch nicht, sondern brachte vor, dass der Beschwerdeführerin kein subjektives Recht auf Einhaltung von Datensicherheitsmaßnahmen gemäß § 14 DSG 2000 zustünde.
Die Beschwerdeführerin hat im Rahmen des Parteiengehörs am 11. Jänner 2012 eine Stellungnahme übermittelt, in der sie den ermittelten Sachverhalt nicht bestritten und keine neuen Sachverhaltselemente vorgebracht hat.
B. Beschwerdegegenstand
Auf Grund des Vorbringens der Beschwerdeführerin gemäß § 31 Abs. 2 DSG 2000 ergibt sich, dass Beschwerdegegenstand die Frage ist, ob das Recht der Beschwerdeführerin auf Geheimhaltung durch die GIS verletzt wurde, weil diese durch Unterlassen gebotener Datensicherheitsmaßnahmen den illegalen Zugriff unbekannter Dritter ermöglich hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Am 22. Juli 2011 wurde der Webserver der GIS von namentlich nicht näher bekannten Mitgliedern der Gruppe "AnonAustria" erfolgreich angegriffen. Dabei wurden 214.000 dort verwahrte Datensätze von Rundfunkteilnehmern kopiert, darunter auch der Datensatz der Beschwerdeführerin.
Die GIS hat in der Folge die betroffenen Teilnehmer, darunter auch die Beschwerdeführerin, verständigt.
Beweiswürdigung: Diese Feststellungen beruhen auf dem der Beschwerde angeschlossenen E-Mail der GIS vom 27. Juli 2011. Die GIS hat in ihrer Stellungnahme vom 26. August 2011 diese von ihr selbst getroffenen Feststellungen weder bestritten noch ergänzt. Die Beschwerdeführerin hat diese Feststellungen im Rahmen des Parteingehörs weder bestritten noch ergänzt.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung § 1 Abs 1, 2 und 5 DSG 2000 lautet samt Überschrift:
"Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
[…]
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, daß Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind."
§ 14 DSG 2000 lautet samt Überschrift:
"Datensicherheitsmaßnahmen
§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.
(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,
Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.
(3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung.
(4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck - das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes - unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.
(5) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird.
(6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können."
§ 30 Abs. 1 und 2 DSG 2000 lauten samt Überschrift:
"Kontrollbefugnisse der Datenschutzkommission
§ 30. (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.
(2) Die Datenschutzkommission kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren."
§ 31 Abs. 1 und 2 DSG 2000 lauten samt Überschrift:
"Beschwerde an die Datenschutzkommission
§ 31. (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet."
§ 4 Rundfunkgebührengesetz lautet samt Überschrift:
"Einbringung der Gebühren
§ 4. (1) Die Einbringung der Gebühren und sonstiger damit verbundener Abgaben und Entgelte einschließlich der Entscheidung über Befreiungsanträge (§ 3 Abs. 5) obliegt der "GIS Gebühren Info Service GmbH” (Gesellschaft).
(2) Der Gesellschaft obliegt ferner die umfassende Information der Öffentlichkeit über die Gebühren- und Meldepflicht, die Form der Zahlung sowie die laufende Durchführung geeigneter Maßnahmen zur Erfassung aller Rundfunkteilnehmer.
(3) Die Gesellschaft hat alle Rundfunkteilnehmer zu erfassen. Zu diesem Zweck haben die Meldebehörden auf Verlangen der Gesellschaft dieser Namen (Vor- und Familiennamen), Geschlecht, Geburtsdatum und Unterkünfte der in ihrem Wirkungsbereich gemeldeten Personen in der dem jeweiligen Stand der Technik entsprechenden Form zu übermitteln. Die Gesellschaft darf die übermittelten Daten ausschließlich zum Zweck der Vollziehung dieses Bundesgesetzes verwenden; sie hat dafür Sorge zu tragen, daß die Daten nur im zulässigen Umfang verwendet werden und hat Vorkehrungen gegen Mißbrauch zu treffen. Von den Meldebehörden übermittelte Daten sind längstens mit Ablauf des dem Einlangen folgenden Kalenderjahres zu löschen; nicht zu löschen sind die Daten jener gemeldeten Personen, die trotz Aufforderung die Mitteilung nach § 2 Abs. 5 unterlassen haben.
(4) Die Gesellschaft kann sich zur Durchführung des Inkassos der Leistungen Dritter bedienen. Das Inkasso kann ohne gesonderte Zustimmung des Rundfunkteilnehmers für höchstens zwei Monate im voraus erfolgen, wobei die Fälligkeit erstmalig am ersten Werktag des Monates der Meldung und danach wiederkehrend jeden ersten Werktag des zweitfolgenden Monates eintritt.
(5) Die Gesellschaft kann mit dem Rundfunkteilnehmer Vereinbarungen über die Fälligkeit und die Form der Entrichtung der Rundfunkgebühr treffen, wenn dadurch die Bemessung oder Einhebung der Abgabe vereinfacht wird."
2. rechtliche Beurteilung
Das Grundrecht auf Geheimhaltung personenbezogener Daten ist gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, soweit nicht ein spezieller Akt des Gesetzesvollzugs vorliegt, auf dem Zivilrechtsweg geltend zu machen, sonst vor der Datenschutzkommission. Die GIS ist zwar in Formen des Privatrechts eingerichtet (als GmbH), aber sie ist hinsichtlich der Einbringung der Rundfunkgebühren ein mit hoheitlichen Aufgaben beliehener Privatrechtsträger. Dies ergibt sich aus § 4 Rundfunkgebührengesetz, BGBl. I Nr. 159/1999 idgF. Die Datenschutzkommission ist daher für eine Beschwerde wegen Verletzung des Grundrechts auf Datenschutz gegen die GIS zuständig.
Die GIS hat Daten aller Rundfunkteilnehmer zu erfassen. Zu diesem Zweck haben die Meldebehörden auf Verlangen der Gesellschaft dieser Namen (Vor- und Familiennamen), Geschlecht, Geburtsdatum und Unterkünfte der in ihrem Wirkungsbereich gemeldeten Personen in der dem jeweiligen Stand der Technik entsprechenden Form zu übermitteln (§ 4 Abs. 3 Rundfunkgebührengesetz). Die GIS ist Auftraggeber dieser personenbezogenen Daten und daher auch für entsprechende Datensicherheitsmaßnahmen verantwortlich.
Die Beschwerdeführerin sieht sich in ihrem Recht auf Geheimhaltung ihrer personenbezogenen Daten verletzt, weil die GIS ihre Server nicht entsprechend den Bestimmungen zur Datensicherheit in § 14 DSG 2000 gegen Angriffe gesichert hat.
Der Angriff, bei dem die Daten der Beschwerdeführerin abkopiert und damit anderen Personen zugänglich wurden, ist jedoch nicht der GIS zuzurechnen, sondern einer Gruppe von bisher nicht bekannten Personen. Der GIS könnte nur vorgeworfen werden, dass sie diesen Angriff nicht durch entsprechend hohe Datensicherheitsmaßnahmen abgewehrt hat. Es ist der Argumentation der Beschwerdegegnerin zu folgen, wonach die Datensicherheitsmaßnahmen nach § 14 DSG 2000 lediglich Verpflichtungen des Auftraggebers, nicht aber subjektive Rechtsansprüche der Betroffenen auf deren Einhaltung begründen (siehe K121.038/0006-DSK/2005 vom 2. August 2005, auch Jahnel , Datenschutzrecht, 5/32).
Die Beschwerde ist als unbegründet abzuweisen, weil der Sachverhalt nicht den Tatbestand eines der GIS zuzurechnenden Eingriffs in das subjektive Recht auf Geheimhaltung der Beschwerdeführerin bildet.
Das Nichteinhalten der Datensicherheitsmaßnahmen gemäß § 14 DSG 2000 würde allerdings einen Verstoß gegen eine Verpflichtung des Auftraggebers darstellen, der im Rahmen eines Verfahrens nach § 30 DSG 2000 überprüft werden kann. Die Durchführung eines derartigen Verfahrens wurde auch durch die Beschwerdeführerin angeregt. Die Datenschutzkommission hat bereits am 15. Juli 2011 ein amtswegiges Prüfverfahren gemäß § 30 Abs. 2 DSG 2000 gegen die GIS eingeleitet, um zu prüfen, ob ein derartiger Verstoß vorliegt. Das Verfahren wurde noch nicht abgeschlossen.