K121.795/0006-DSK/2012 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ, Mag. HUTTERER, Mag. HEILEGGER und Dr. GUNDACKER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 12. Juni 2012 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Mag. Ludwig Z*** (Beschwerdeführer) aus V***, vertreten durch die H***/C***/R*** Partner Rechtsanwälte Ges.m.b.H. in **** Wien, vom 27. Dezember 2011 gegen das Bundesministerium für Inneres (Beschwerdegegner) wegen Verletzung im Recht auf Auskunft in Folge inhaltlich mangelhafter Beantwortung des Auskunftsbegehrens vom 17. April 2011 (vermutete teilweise verweigerte Auskunftserteilung durch Schreiben vom 16. Mai 2011) wird entschieden:
Rechtsgrundlagen : §§ 1 Abs. 3 Z 1, 26 Abs. 1, 4 und 5, 31 Abs. 1 und 7 und 31a Abs. 4 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999 idgF, iVm § 53 Abs. 1 des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991 idF BGBl. I Nr. 114/2007.
B e g r ü n d u n g:
A. Vorbringen der Parteien
Der anwaltlich vertretene Beschwerdeführer behauptet in seiner mit 27. Dezember 2011 datierten und am selben Tag per E-Mail bei der Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Auskunft dadurch, dass er Grund zur Annahme habe, der Beschwerdegegner habe ihm in der Beantwortung seines datenschutzrechtlichen Auskunftsbegehrens vom 17. April 2011 gewisse Auskünfte aus öffentlichen Interessen verweigert. Der Beschwerdeführer habe als ehemaliger Funktionär der Österreichischen HochschülerInnenschaft (kurz: ÖH) an einer Aktion im Parlamentsgebäude teilgenommen, und es sei deswegen auch eine Verwaltungsstrafe gegen ihn verhängt worden. Ihm sei bekannt, dass über andere der insgesamt 19 Teilnehmerinnen und Teilnehmer dieser Aktion vom Beschwerdegegner Daten in der Datenanwendung mit der Bezeichnung „Elektronisches Dateninformationssystem EDIS“ verwendet würden. Es lägen aber keine rechtmäßigen Gründe vor, ihm die Auskunft über diesbezügliche Daten zu verweigern. Insbesondere sei gegen ihn nie wegen des Verdachts einer gerichtlich strafbaren Handlung ein Ermittlungsverfahren geführt worden. Weiters enthalte das Auskunftsschreiben vom 16. Mai 2011, wie in der Beschwerde näher ausgeführt, mehrfach Ausdrücke, welche für mit dem „Amtsjargon der Sicherheitsbehörden“ nicht vertraute Personen unverständlich seien, daher gegen das Gebot der Auskunftserteilung in „allgemein verständlicher Form“ gemäß § 26 Abs. 1 DSG 2000 verstießen. Der Beschwerdeführer stellte den Antrag, diese Rechtsverletzung festzustellen und dem Beschwerdegegner die „Offenlegung der tatsächlich der Auskunftspflicht unterliegenden Daten“ mit Bescheid aufzutragen.
Der Beschwerdegegner brachte mit Stellungnahme vom 13. Jänner 2012 (unter Vorlage umfangreicher Aktenkopien aus dem der Auskunftserteilung zu Grunde liegenden internen Ermittlungsverfahren) vor, bei EDIS handle es sich um eine in den Zuständigkeitsbereich des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung (kurz: BVT) fallende Datenanwendung gemäß § 53 SPG, die den in § 26 Abs. 2 Z 1 und 5 DSG 2000 genannten Zwecken diene. Im Auskunftszeitpunkt seien allerdings in EDIS tatsächlich keine Daten zur Person des Beschwerdeführers mehr gespeichert gewesen, da diese vor dem Auskunftsbegehren bzw. der entsprechenden Antragstellung bereits amtswegig gelöscht worden seien. Der Wortlaut der Auskunft habe sich der durch § 26 Abs. 5 DSG 2000 vorgegebenen Formulierung bedient. Hinsichtlich der verwendeten Abkürzungen und Begriffe habe man (durch das BVT) am 11. Jänner 2012 eine ergänzende Auskunft erteilt, in der u.a. diese näher erläutert (sowie inhaltliche Ergänzungen gemacht) würden.
Der Beschwerdeführer hat den Erhalt der ergänzenden Auskunft (mit Mitteilung vom 20. Jänner 2012) bestätigt und nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens kein weiteres Vorbringen erstattet.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner das Auskunftsbegehren des Beschwerdeführers vom 17. April 2011 gesetzmäßig beantwortet hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer richtete am 17. April 2011 ein datenschutzrechtliches Auskunftsbegehren an den Beschwerdegegner. Darin verlangte er im Speziellen Auskunft aus folgenden, ausdrücklich aufgezählten Datenanwendungen:
Streitgegenständlich und näher dargestellt ist im Weiteren nur die Auskunftserteilung aus den oben unterstrichenen Datenanwendungen.
Mit Schreiben vom 4. Mai 2011 erteilte das BVT Auskunft laut Beilage./B zur Beschwerde vom 27. Dezember 2011, die in das abschließende Auskunftsschreiben vom 16. Mai 2011, GZ: BMI-LR*23*/0*4*-III/7/a/2011, Eingang fand. Deren wesentlicher Bestandteil ist ein 13-seitiger, als „EDIS II – Speicherauszug“ bezeichneter Datenausdruck. Dieser gibt eine Übersicht über aktenmäßig dokumentierte Verfahrensabläufe mit Bezug zum Beschwerdeführer wie Aktenzahlen, Bearbeiter, Organisationseinheiten, durchgeführte Verfahrensschritte, erstellte oder eingegangene Dokumente, E-Mail-Adressen, Kalenderdaten und Zeitpunkte, Namen und Typen automationsunterstützt erstellter Dokumente. Der Ausdruck enthält zahlreiche Abkürzungen (wie: 2-ND, 3-POS, i.A. AL2, oder A-KLAR, näher aufgezählt auf den Seiten 4 und 5 der Beschwerde), die ohne Erläuterung unverständlich bleiben. Inhaltlich handelt es sich um Daten mit Bezug auf das verfahrensgegenständliche und ein 2010 gestelltes Auskunftsbegehren des Beschwerdeführers. In der Sache handelt es sich um Aktenverwaltung (Aktenprotokollierung) im Sinne der SA029 gemäß Anlage 1 zur StMV 2004.
Betreffend den Vorfall im Parlament am 22. Dezember 2010 wurden zum Zeitpunkt des Auskunftsbegehrens keine Daten in der Datenanwendung EDIS für Aufgaben und Zwecke des BVT mehr verarbeitet.
Am 11. Jänner 2012, also bereits während des anhängigen gegenständlichen Beschwerdeverfahrens, erging durch den Beschwerdegegner (BVT, Zl. BVT-*1-AB/*1*9/2011) eine ergänzende Auskunft an den Beschwerdeführer. In dieser wurden die im Speicherauszug (Beilage zum Auskunftsschreiben vom 4. Mai 2011) verwendeten Abkürzungen erläutert und zwei inhaltliche Ergänzungen gemacht.
Beweiswürdigung : Diese Feststellungen beruhen auf den vom Beschwerdegegner (Beilagen zur Stellungnahme vom 13. Jänner 2012, GZ.: BMI-LR*323/00**-III/7/a/2010) vorgelegten Aktenkopien des internen Ermittlungsverfahrens. Daraus ergeben sich keinerlei Anhaltspunkte dafür, dass weitere, sowohl vor dem Beschwerdeführer (gemäß § 26 Abs. 5 DSG 2000) als auch vor der Datenschutzkommission (ohne Rechtsgrundlage) geheim gehaltene Daten verarbeitet werden. Der Datenschutzkommission ist aus anderen, zeitlich früher anhängig gemachten Auskunftsbeschwerdeverfahren (Zlen. DSK-K121.779, DSK-K121.781) bekannt, dass es EDIS-Vormerkungen von Beteiligten der Protestaktion der ÖH im Parlament am 22. Dezember 2010 gegeben hat, doch wurde dort nach deren Bekanntwerden vom Beschwerdegegner jeweils amtswegig die Löschung dieser Daten veranlasst. Daher ist das Vorbringen des Beschwerdegegners, auch im vorliegenden Fall schon die Löschung veranlasst zu haben, glaubwürdig.
D. In rechtlicher Hinsicht folgt daraus :
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung § 1 Abs. 3 Z 1 DSG 2000 lautet samt Überschrift:
„ Grundrecht auf Datenschutz
§ 1 . (1)...(2)
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;“
§ 26 Abs 1, 4 und 5 DSG 2000 lautet samt Überschrift:
„ Auskunftsrecht
§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) ... (3)
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen:
Es ist in allen Fällen, in welchen keine Auskunft erteilt wird - also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Auskunftswerber verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.“
§ 31 Abs. 1 und 7 DSG 2000 lautet samt Überschrift:
„ Beschwerde an die Datenschutzkommission
§ 31 . (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2)...(6)
(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“
§ 31a Abs. 4 DSG 2000 (inhaltlich gleich dem früheren § 31 Abs. 4 DSG 2000 idF vor BGBl. I Nr. 133/2009) lautet samt Überschrift:
„ Begleitende Maßnahmen im Beschwerdeverfahren
§ 31a. (1) [...] (3)
(4) Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder Löschungsrechts gegenüber der Datenschutzkommission auf die §§ 26 Abs. 5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit der Geheimhaltung die geschützten öffentlichen Interessen in ihrem Verfahren zu wahren. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten Daten gegenüber dem Betroffenen nicht gerechtfertigt war, ist die Offenlegung der Daten mit Bescheid aufzutragen. Gegen diese Entscheidung der Datenschutzkommission kann die belangte Behörde Beschwerde an den Verwaltungsgerichtshof erheben. Wurde keine derartige Beschwerde eingebracht und wird dem Bescheid der Datenschutzkommission binnen acht Wochen nicht entsprochen, so hat die Datenschutzkommission die Offenlegung der Daten gegenüber dem Betroffenen selbst vorzunehmen und ihm die verlangte Auskunft zu erteilen oder ihm mitzuteilen, welche Daten bereits berichtigt oder gelöscht wurden. Die ersten beiden Sätze gelten in Verfahren nach § 30 sinngemäß.“
§ 53 Abs. 1 bis 3 SPG idF BGBl. I Nr. 114/2007 (geltend bis 31. März 2012) lautete samt Überschrift:
„ Zulässigkeit der Verarbeitung
§ 53 . (1) Die Sicherheitsbehörden dürfen personenbezogene Daten ermitteln und weiterverarbeiten
(2) Die Sicherheitsbehörden dürfen Daten, die sie in Vollziehung von Bundes- oder Landesgesetzen verarbeitet haben, für die Zwecke und unter den Voraussetzungen nach Abs. 1 ermitteln und weiterverarbeiten; ein automationsunterstützter Datenabgleich im Sinne des § 141 StPO ist ihnen jedoch untersagt. Bestehende Übermittlungsverbote bleiben unberührt.
(3) Die Sicherheitsbehörden sind berechtigt, von den Dienststellen der Gebietskörperschaften, den anderen Körperschaften des öffentlichen Rechtes und den von diesen betriebenen Anstalten Auskünfte zu verlangen, die sie für die Abwehr gefährlicher Angriffe, für die erweiterte Gefahrenerforschung unter den Voraussetzungen nach Abs. 1 oder für die Abwehr krimineller Verbindungen benötigen. Eine Verweigerung der Auskunft ist nur zulässig, soweit andere öffentliche Interessen die Abwehrinteressen überwiegen oder eine über die Amtsverschwiegenheit (Art. 20 Abs. 3 B-VG) hinausgehende sonstige gesetzliche Verpflichtung zur Verschwiegenheit besteht.“
2. rechtliche Schlussfolgerungen
Der Beschwerdegegner hat sich im Verfahren nicht auf das Privileg gemäß (nunmehr) § 31a Abs. 4 DSG 2000 berufen, wonach eine Überprüfung der Auskunftserteilung stattfinden müsste, ohne gegenüber dem Beschwerdeführer irgendwelche Dateninhalte offenzulegen (was im Ergebnis eine Beschränkung des Rechts auf Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens zu Lasten des Beschwerdeführers bedeutet hätte).
Die vorliegenden Beweisergebnisse haben zu dem Schluss geführt, dass die – einer formalen gesetzlichen Anordnung in § 26 Abs. 5 DSG 2000 entsprechende – Auskunft, „keine der Auskunftspflicht unterliegenden Daten“ zu verwenden, hier mit den Tatsachen im Einklang steht. Da der Beschwerdegegner die nicht der Registrierungspflicht unterliegende Datenanwendung mit der Bezeichnung EDIS als Sicherheitsbehörde für Zwecke gemäß § 53 Abs. 1 SPG führt, war diese Form der Auskunftserteilung auch zulässig.
Ob die frühere Verarbeitung solcher Daten im Einklang mit den entsprechenden Rechtsvorschriften, insbesondere § 1 Abs. 1 und 2 DSG 2000 iVm § 53 Abs. 1 Z 2 bis 6 SPG stand, ist hier nicht Gegenstand der Sache. Da über das konkrete Vorbringen des Beschwerdeführers zur Mangelhaftigkeit der Auskunftserteilung, die in weiterer Folge saniert wurde, hinaus im Ermittlungsverfahren nichts hervorgekommen ist, was den Tatbestand eines „begründeten Verdachtes“ auf Verletzung der in § 30 Abs. 1 DSG 2000 genannten Rechte und Pflichten erfüllen würden, sieht die Datenschutzkommission hier auch keinen Anlass, ein amtswegiges Kontrollverfahren einzuleiten (Anregung in Punkt g der Beschwerde vom 27. Dezember 2011).
Was die vom Beschwerdegegner gemachten Ergänzungen zur Erklärung der in der ursprünglichen Auskunft verwendeten Abkürzungen betrifft, so haben diese den gebotenen Rechtszustand gemäß § 26 Abs. 1 DSG 2000, wonach eine Auskunft „in allgemein verständlicher Form“ zu erteilen ist, hergestellt. Dies wurde auch vom Beschwerdeführer nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens nicht mehr bemängelt.
Die Beschwerde war daher spruchgemäß als unbegründet abzuweisen.