K121.800/0008-DSK/2012 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. Spenling und in Anwesenheit der Mitglieder Mag. Maitz-Strassnig, Dr. Blaha, Dr. Gundacker, Dr. König und Mag. Heilegger sowie des Schriftführers Mag. Suda in ihrer Sitzung vom 25. April 2012 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde der Irmgard U*** (Beschwerdeführerin) aus J***/M***, vertreten durch den Verein H**** in *3*2 K***, vom 1. September 2011 (Fortsetzung des Beschwerdeverfahrens Zl. DSK-K121.745 mit geändertem Sachgegenstand) gegen die Sicherheitsdirektion für Oberösterreich (Beschwerdegegnerin) in Linz wegen Verletzung im Recht auf Auskunft in Folge inhaltlich mangelhafter Auskunftserteilung mit Schreiben der Beschwerdegegnerin vom 16. August 2011, Zl. P3/*7*1/11, wird entschieden:

Rechtsgrundlagen : §§ 1 Abs. 3 Z 1, 26 Abs. 1, 3 und 4, 31 Abs. 1 und 7 sowie 50 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Dieses Beschwerdeverfahren schließt an die Sache Zl. DSK-K121.745 an, die gemäß § 31 Abs. 8 DSG 2000 durch Einstellung beendet worden ist.

Die Beschwerdeführerin behauptet (in ihrer Stellungnahme vom 1. September 2011, nachdem ihr von der Beschwerdegegnerin auf ihr Auskunftsbegehren vom 30. März 2011 im laufenden datenschutzrechtlichen Beschwerdeverfahren Zl. DSK-K121.745 nachträglich eine Auskunft erteilt wurde) eine Verletzung im Recht auf Auskunft über eigene Daten dadurch, dass die erteilte Auskunft nicht den gesetzlichen Anforderungen entspreche. So bezögen sich die erteilten Auskünfte auf eine Datenanwendung mit der Bezeichnung „PAD“, die sich im Datenverarbeitungsregister nicht finde. Weiters verweise die Beschwerdegegnerin auf einen Erlass des Bundesministeriums für Inneres, der nicht allgemein verfügbar sei. Die Datenschutzkommission werde daher ersucht, der Beschwerdegegnerin aufzutragen, die Rechtsgrundlagen für die Datenverarbeitung in der Datenanwendung „PAD“ zu nennen sowie den Inhalt des betreffenden Erlasses offenzulegen. Weiters erwecke die Beschwerdegegnerin durch die Bezugnahme auf § 50 Abs. 1 DSG 2000 den Eindruck, die Datenverarbeitung erfolge in einem Informationsverbundsystem. Sie nenne jedoch keinen Betreiber, daher habe sie gemäß der zitierten Bestimmung die Pflicht, sämtliche Auftraggeber, die Daten über die Beschwerdeführerin verarbeiten würden, bekanntzugeben. Diese Auskunft fehle jedoch. Darüber hinaus bestehe die Auskunft aus der Datenanwendung „PAD“ lediglich aus „zusammenhanglosen Buchstaben-Zahlenkombinationen“, die sich auf datenschutzrechtliche Auskunftsbegehren beziehen sollen. Aus der Zahl P3/*1*01/2010 ergebe sich etwa die Vermutung, dass weitere Daten zur Beschwerdeführerin wie „beispielsweise“ (Kalender-) „Datum, Zeit und Ort, Fahrzeugdaten, Betreff und Aktenzeichen samt Bearbeitungs- und Ablagevermerken sowie Namen, Rolle des Betroffenen, Geschlecht, frühere Namen, Aliasdaten, Staatsangehörigkeit, Geburtsdatum, Geburtsort, Wohnanschrift, Sachbearbeiter oder ähnliches“ in der Datenanwendung „PAD“ gespeichert seien.

Die Beschwerdegegnerin legte am 14. März 2012 eine am 14. Februar 2012 zu Zl. P3/*7*1/2011 an die Beschwerdeführerin ergangene ergänzende Auskunft vor. Darin wird ausgeführt, dass es sich bei „PAD“ (Abkürzung für „ P rotokoll- A nzeigen- D atenmodul“) um die Datenanwendung handle, die bisher unter der (überholten und übernommenen) Bezeichnung „Protokollierung von Akten der Bundesgendarmerie“ geführt worden sei. Der fragliche Erlass des Bundesministeriums für Inneres könne nicht vorgelegt werden, da es sich um eine interne Verwaltungsvorschrift handle. Überdies bestritt die Beschwerdegegnerin die Befugnis des von der Beschwerdeführerin bevollmächtigten Vereins (H****), als Parteienvertreter vor der Datenschutzkommission einzuschreiten.

Auf das dazu gewährte Parteiengehör reagierte die Beschwerdeführerin nicht innerhalb der gesetzten Frist. Eine verspätet eingelangte Stellungnahme zieht neuerlich die Rechtmäßigkeit der Datenverwendung mangels Meldung einer Datenanwendung „PAD“ in Frage und verlangt die Einleitung eines Kontrollverfahrens gemäß § 30 DSG 2000 hinsichtlich dieser Frage und des Vorliegens eines Informationsverbundsystems.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob ihr Auskunftsbegehren vom 30. März 2011 durch die Auskunftsschreiben der Beschwerdegegnerin vom 16. August 2011 und 14. Februar 2012 gesetzmäßig beantwortet worden ist.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Die Beschwerdeführerin verlangte mit Schreiben vom 30. März 2011 von der Beschwerdegegnerin eine umfassende Auskunft über eigene Daten, insbesondere die Beantwortung folgender Fragen:

Das Auskunftsbegehren wurde innerhalb der gesetzlichen Achtwochenfrist zunächst nicht beantwortet, worauf die Beschwerdeführerin sich wegen Verletzung im Recht auf Auskunft in Folge Nichtbeantwortung an die Datenschutzkommission wandte (Verfahren Zl. DSK-K121.745).

Am 16. August 2011 erteilte die Beschwerdegegnerin zu Zl. P3/*7*1/11 eine Auskunft, die in Bezug auf die nunmehr aufgeworfene Frage der Datenanwendung mit der Bezeichnung „PAD“ lautete:

„Weiters darf ihnen gemäß § 50 Abs 1 iVm § 26 DSG 2000, sowie in Entsprechung des BMI-Erlasses v 14. 12. 2009, BMI-LR1200/0067-III/3/b/2009, mitgeteilt werden, dass in der Datenanwendung „PAD“ mit Stichtag 20.06.2011 zu ihrer Person

Im Auftrag der Sicherheitsdirektion f OÖ verarbeitet werden:

P3/*1*01/2010 Datenschutzgesetz (Anfrage)

P3/*7*1/2011 Datenschutzgesetz (Anfrage)“

Diese Auskunft ist unvollständig.

Das erste Beschwerdeverfahren Zl. DSK-K121.745 wurde nach Erteilung dieser Auskunft gemäß § 31 Abs. 8 DSG 2000 eingestellt.

Am 14. Februar 2012 teilte die Beschwerdegegnerin der Beschwerdeführerin ergänzend Folgendes mit:

„In Ergänzung zur Auskunft der ho Behörde vom 16.08.2011, über personsbezogene Datenanwendungen gemäß § 26 DSG 2000 Ihre Person betreffend, darf mitgeteilt werden, dass die bezeichnete und beauskunftete Datenanwendung „PAD“ ( P rotokoll- A nzeigen- D atenmodul) jedenfalls gemeldet ist, jedoch bis vor der Änderungsmeldung unter der Bezeichnung „Protokollierung von Akten der Bundesgendarmerie“ mit Auftraggeber LPK f OÖ geführt wurde.

Der in der Auskunft zitierte Erlass des Bundesministeriums für Inneres kann mangels Rechtsgrundlage nicht mit übermittelt werden, da es sich bei einem Erlass um eine interne Verwaltungsvorschrift handelt, die von einer übergeordneten an eine nachgeordnete Behörde ergeht und deren Organisation und Handeln näher bestimmt.“

Beweiswürdigung : Diese Feststellungen beruhen auf den zitierten Aktenstücken aus den Verfahren Zlen. DSK-K121.745 und DSK-K121.800. Hinsichtlich der Vollständigkeit, der betreffend die Beschwerdeführerin verarbeiteten Daten ist Folgendes festzuhalten: Selbst unter der Annahme, dass es sich bei „PAD“ (es ist dies die technische Bezeichnung, unter der das System bekannt ist, und die nicht zwingend mit der Bezeichnung einer oder mehrerer mit Hilfe des Systems durchgeführter Datenanwendungen übereinstimmen muss) im gegebenen Zusammenhang um ein bloßes Kanzleiinformationssystem (zur Vergabe von Aktenzahlen, Ablage- und Verbleibsinformationen von Papierakten, Erfassung von Eingangsstücken und Verfahrensschritten, Zuteilung zu einem Bearbeiter und dergleichen) handelt, ist die Annahme, dass sich die zur Person der Beschwerdeführerin verarbeiteten Daten auf die Angabe zweier Aktenzahlen samt dazu gehörigem (Kurz-) Betreff beschränken, nicht glaubwürdig. Nach dem amtsbekannten Wissen der Datenschutzkommission handelt es sich bei „PAD“ sogar um ein System, das eine elektronische Aktenführung, das heißt die Dokumentation von Verfahrensinhalten, ermöglicht. Daher war hier dem Vorbringen der Beschwerdeführerin, ihr sei eine vollständige Auskunft verweigert worden, Glauben zu schenken.

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 1 bis 4 DSG 2000 lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.“

§ 26 Abs. 1 bis 5 DSG 2000 lautet:

„ Auskunftsrecht

§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.

Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4.

(3) Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen:

Es ist in allen Fällen, in welchen keine Auskunft erteilt wird - also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Auskunftswerber verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.“ [Anmerkung: nunmehr § 31a Abs 4 DSG 2000 idF BGBl. I Nr. 133/2009]

§ 31 Abs. 1 und 7 lautet samt Überschrift:

„ Beschwerde an die Datenschutzkommission

§ 31 . (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) […] (6)

(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“

§ 50 DSG 2000 lautet samt Überschrift:

„ Informationsverbundsysteme

§ 50 . (1) Die Auftraggeber eines Informationsverbundsystems haben, soweit dies nicht bereits durch Gesetz geregelt ist, einen geeigneten Betreiber für das System zu bestellen. Name (Bezeichnung) und Anschrift des Betreibers sind in der Meldung zwecks Eintragung in das Datenverarbeitungsregister bekannt zu geben. Unbeschadet des Rechtes des Betroffenen auf Auskunft nach § 26 hat der Betreiber jedem Betroffenen auf Antrag binnen zwölf Wochen alle Auskünfte zu geben, die notwendig sind, um den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber festzustellen; in Fällen, in welchen der Auftraggeber gemäß § 26 Abs. 5 vorzugehen hätte, hat der Betreiber mitzuteilen, daß kein der Pflicht zur Auskunftserteilung unterliegender Auftraggeber benannt werden kann. Abgesehen von der abweichenden Frist gilt § 26 Abs. 3 bis 10 sinngemäß. Die Unterstützungspflicht des Betreibers gilt auch bei Anfragen von Behörden. Den Betreiber trifft überdies die Verantwortung für die notwendigen Maßnahmen der Datensicherheit (§ 14) im Informationsverbundsystem. Von der Haftung für diese Verantwortung kann sich der Betreiber unter den gleichen Voraussetzungen, wie sie in § 33 Abs. 3 vorgesehen sind, befreien. Wird ein Informationsverbundsystem geführt, ohne daß eine entsprechende Meldung an die Datenschutzkommission unter Angabe eines Betreibers erfolgt ist, treffen jeden einzelnen Auftraggeber die Pflichten des Betreibers.

(2) Durch entsprechenden Rechtsakt können auch weitere Auftraggeberpflichten, insbesondere auch die Vornahme der Meldung des Informationsverbundsystems, auf den Betreiber übertragen werden. Allein für die Übertragung der Meldepflicht ist die Vorlage von Vollmachten nach § 10 AVG nicht erforderlich. Soweit der Pflichtenübergang nicht durch Gesetz angeordnet ist, ist er gegenüber Dritten nur wirksam, wenn er – auf Grund einer entsprechenden Meldung an die Datenschutzkommission – aus der Registrierung im Datenverarbeitungsregister ersichtlich ist.

(2a) Wird ein Informationsverbundsystem auf Grund einer Meldung von zumindest zwei Auftraggebern registriert, so können Auftraggeber, die in der Folge die Teilnahme an dem Informationsverbundsystem anstreben, die Meldung im Umfang des § 19 Abs. 1 Z 3 bis 7 auf einen Verweis auf den Inhalt der Meldung eines bereits registrierten Auftraggebers beschränken, wenn sie eine Teilnahme im genau gleichen Umfang anstreben.

(3) Die Bestimmungen der Abs. 1 und 2 gelten nicht, soweit infolge der besonderen, insbesondere internationalen Struktur eines bestimmten Informationsverbundsystems gesetzlich ausdrücklich anderes vorgesehen ist.“

2. rechtliche Schlussfolgerungen

Was den verfahrensrechtlichen Einwand der fehlenden Befugnis des Vereins H**** zur Parteienvertretung anbelangt, so könnte sich dieser Einwand absehbar nur auf § 10 Abs. 3 AVG stützen, wonach als „Bevollmächtigte solche Personen nicht zuzulassen“ sind, „die unbefugt die Vertretung anderer zu Erwerbszwecken betreiben.“ Hiezu liegt aber weder ein substantiiertes Vorbringen der Beschwerdegegnerin (der Hinweis auf ein „gegenteiliges Erkenntnis des UVS-OÖ“, ohne eine Fundstelle anzugeben, kann ein solches Vorbringen nicht ersetzen), noch liegen der Datenschutzkommission dazu amtswegig aufzugreifende Beweisergebnisse vor. Dieser Einwand ändert daher nichts an der Rechtmäßigkeit des unter Beiziehung der Vertretung der Beschwerdeführerin durchgeführten Verfahrens.

Die Beschwerde hat sich hinsichtlich der Auskunft zu „PAD“ als berechtigt erwiesen.

Hiezu ist zunächst auf die Sachverhaltsfeststellung zu verweisen, wonach die erteilte Auskunft nicht vollständig war. Dazu kommt, dass die Beschwerdegegnerin § 50 DSG 2000 als eine Rechtsgrundlage der Datenverwendung angegeben hat, diese also selbst als Informationsverbundsystem deklariert hat, ohne mit einem einzigen Satz auf das Auskunftsbegehren der Beschwerdeführerin in Bezug auf Informationsverbundsysteme einzugehen. Dies lässt nur den Schluss zu, dass diese Angabe entweder unzutreffend oder die Auskunft im Hinblick auf einen möglichen Einsatz des „PAD“ als Informationsverbundsystem unvollständig ist.

Es waren daher gemäß § 31 Abs. 7 DSG 2000 die spruchgemäßen Feststellungen zu treffen.

Das förmliche Begehren der Beschwerdeführerin, einen (vollstreckbaren) Leistungsauftrag zu erlassen, findet jedoch im Gesetz jedenfalls seit der DSG-Novelle 2010, BGBl. I Nr. 133/2009, ausdrücklich keine Deckung mehr, da § 31 Abs. 7 DSG 2000 nunmehr, vom Ausnahmefall der Entscheidung über das Auskunftsrecht gegenüber Auftraggebern des privaten Bereichs abgesehen, nur mehr die Feststellung von Rechtsverletzungen durch die Datenschutzkommission vorsieht.

Der entsprechende Beschwerdeantrag war daher zurückzuweisen. Diesbezüglich wird auf die Bindungswirkung der Feststellungen gemäß § 40 Abs. 4 DSG 2000 verwiesen.