K121.799/0008-DSK/2012 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KÖNIG, Mag. MAITZ-STRASSNIG, Mag. HEILEGGER und Dr. HEISSENBERGER sowie des Schriftführers Mag. HILD in ihrer Sitzung vom 27. Juni 2012 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Thomas A**** (Beschwerdeführer) aus Wien vom 30. Dezember 2011 gegen die Fachhochschulstudiengänge N*** Gesellschaft m.b.H. (Beschwerdegegnerin) in H***, vertreten durch die R*** K*** Rechtsanwälte OG, ebendort, wegen Verletzung im Recht auf Auskunft über eigene Daten in Folge Nichtbeantwortung des Auskunftsbegehens vom 13. Oktober 2011 wird entschieden:

- Der B e s c h w e r d e wird F o l g e g e g e b e n und der Beschwerdegegnerin a u f g e t r a g e n, das Auskunftsbegehren des Beschwerdeführers vom 13. Oktober 2011 binnen zweier Wochen bei sonstiger Exekution inhaltlich zu beantworten, das heißt, dem Beschwerdeführer Auskunft über alle zu dessen Person gespeicherten Daten und über die dabei herangezogenen Dienstleister zu erteilen.

Rechtsgrundlagen : § 1 Abs. 3 Z 1 iVm § 26 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. Nr. 165/1999 idgF.

Begründung:

A. Vorbringen der Parteien

Der Beschwerdeführer behauptet in seiner vom 30. Dezember 2011 datierenden und am 3. Jänner 2012 bei der Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin sein (in der Beschwerde näher dokumentiertes) Auskunftsbegehren vom 13. Oktober 2011 nicht beantwortet habe.

Die Beschwerdegegnerin hielt dem in ihrer Stellungnahme vom 24. Jänner 2012 (samt Beilagen) durch die einschreitenden Rechtsanwälte entgegen, der Beschwerdeführer sei der IT-Administrator der Beschwerdegegnerin. Der Geschäftsführer der Beschwerdegegnerin, ** Dr. Bertram S***, sei laut unternehmensinterner Geschäftseinteilung auch für die IT-Services zuständig und damit unmittelbarer Vorgesetzter des Beschwerdeführers. Der Beschwerdeführer habe auch einen Lehrgang zur Ausbildung zum betrieblichen Datenschutzbeauftragten absolviert. Im Rahmen einer internen Recherche zum Thema „Systemen/Dateien, mit denen personenbezogene Daten verarbeitet werden könnten“, sei der Beschwerdeführer selbst in einer Aktennotiz an Dr. S*** zu dem Schluss gekommen, er könne nicht bestimmen, welche auskunftspflichtigen Daten verarbeitet würden. Diese Aktennotiz sei nun zwar (als Beilage zur Beschwerde) der Datenschutzkommission vorgelegt, bisher aber nicht der gesamten Geschäftsführung zur Verfügung gestellt worden. Es sei jedenfalls davon auszugehen, dass eine frühere Beantwortung der Anfrage nicht möglich war, da weder Dr. S*** als für die datenschutzrechtliche Auskunftserteilung zuständiges Mitglied der Geschäftsführung, noch der Beschwerdeführer als IT-Administrator daran mitgewirkt hätten. Die Beschwerdegegnerin sehe sich ohne Mitwirkung dieser Personen weiterhin außerstande, die Auskunft zu erteilen. Warum der Beschwerdeführer, dem die Inhalte und Strukturen der IT-Systeme der Beschwerdegegnerin ohnehin bekannt seien, nun als solcher auftrete, sei „mit sachbezogenen Argumenten nicht erklärbar.“

Der Beschwerdeführer replizierte darauf in seiner Stellungnahme vom 24. Mai 2012, er habe von Dr. S*** am 21. Oktober 2011 mündlich den Auftrag erhalten, eine Übersicht über die Systeme/Dateien zu erstellen, mit welchen (im Geschäftsbereich des Dr. S***) personenbezogene Daten verarbeitet werden könnten. Diesem Auftrag sei er bestmöglich nachgekommen (siehe die Aktennotiz vom 24. Oktober 2011). Am 19. Dezember 2011 habe er diese Aktennotiz auf Ersuchen von Dr. S*** nochmals übermittelt. Dann habe er nach Ablauf der achtwöchigen Antwortfrist die vorliegende Beschwerde an die Datenschutzkommission erhoben, bis heute aber keine Antwort – auch keine teilweise Auskunft – erhalten. Er sei nicht der , sondern einer der IT-Administratoren der Beschwerdegegnerin. Er könne sich zwar Zugang zu einer Reihe von Systemen und deren (personenbezogenen) Daten verschaffen – aber nicht zu allen im Zuständigkeitsbereich von Dr. S*** (Bereitstellung der zentralen IT-Infrastruktur) – dürfe dies aber in vielen Fällen nicht. Außerdem bestünden noch weitere Systeme für andere Zwecke und Aufgabenbereiche, die dezentral von anderen Abteilungen der Beschwerdegegnerin betreut würden (z.B. Personalwesen, Rechnungswesen, Qualitätsmanagement) oder ausgelagert seien. Die meisten davon würden in den Zuständigkeitsbereich der Co-Geschäftsführerin Mag. Petra Z*** fallen. Offenkundig bestehe Uneinigkeit über die Zuständigkeit zur Beantwortung des von ihm gestellten Auskunftsbegehrens innerhalb der Geschäftsführung der Beschwerdegegnerin. Diese Frage zu beurteilen, sei ihm nicht möglich. Was die datenschutzrechtlich relevanten Inhalte von IT-Systemen angehe, sei er aber überhaupt nur von Dr. S*** konsultiert worden (er nehme an einem – noch nicht abgeschlossenen – gewerkschaftlichen Lehrgang zum betrieblichen Datenschutzbeauftragten teil), von Seiten von Frau Mag. Z*** sei kein ähnlicher Auftrag gekommen. Er betrachte den Auftrag von Dr. S*** auch sinngemäß als Mitwirkungsaufforderung, der er prompt nachgekommen sei. Er habe die betreffende Aktennotiz vom 24. Oktober 2011 nur seinem unmittelbaren Vorgesetzten Dr. S*** übermittelt, für einen Bericht an die gesamte Geschäftsführung habe er keinen Anlass gesehen. Weitere Ersuchen um Eingrenzung des Auskunftsbegehrens habe es nicht gegeben, es sei aber aus seiner Sicht für die Beschwerdegegnerin klar, dass nur Daten gemeint sein könnten, die über ihn als Dienstnehmer verarbeitet würden.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin auf das Auskunftsbegehren des Beschwerdeführers vom 13. Oktober 2011 gesetzmäßig reagiert hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer stellte am 13. Oktober 2011 an seinen Dienstgeber, die Beschwerdegegnerin, bei der er als IT-Administrator beschäftigt ist, ein datenschutzrechtliches Auskunftsbegehren.

Dieses Auskunftsbegehren ist an die Beschwerdegegnerin nachweislich per Post abgefertigt worden, war mit einem Identitätsnachweis (Ausweiskopie und eigenhändige Unterschriften) verbunden und ist der Beschwerdegegnerin unbestritten zugestellt worden.

Darin ersuchte er, unter Verwendung eines von der Datenschutzkommission auf deren Website zur Verfügung gestellten Musterformulars, um Auskunft über alle zu seiner Person gespeicherten Daten sowie über herangezogene Dienstleister.

Am 21. Oktober 2011 ersuchte ** Dr. Bertram S***, einer der Geschäftsführer der Beschwerdegegnerin und unmittelbarer Dienstvorgesetzter des Beschwerdeführers, diesen um „Nennung der Systeme“ in seinem Geschäftsbereich, „mit denen personenbezogene Daten verarbeitet (erheben, speichern, auswerten) werden“; am 24. Oktober erstattete der Beschwerdeführer in einer Aktennotiz an Dr. S*** darüber Bericht, in der er, ohne auf Vollständigkeit Anspruch zu erheben, fünf Systembereiche nannte.

Es folgte keine weitere Befassung des Beschwerdeführers; eine Auskunftserteilung ist bis heute nicht erfolgt.

Beweiswürdigung : Diese Feststellungen beruhen auf dem glaubwürdigen Vorbringen des Beschwerdeführers, bescheinigt durch die Beilagen zur Beschwerde vom 30. Dezember 2011, nämlich die Kopie des Auskunftsbegehrens vom 13. Oktober 2011 (samt Beilagen) und die Kopie der Aktennotiz an Dr. S*** vom 24. Oktober 2011. Ein entgegenstehendes Vorbringen der Beschwerdegegnerin zu den oben festgestellten Tatsachen liegt nicht vor.

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 3 Z 1 DSG 2000 lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1)...(2)

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;“

§ 26 Abs. 1, 3 und 4 DSG 2000 lautet samt Überschrift:

„ Auskunftsrecht

§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) […]

(3) Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“

§ 31 Abs. 1, 7 und 8 DSG 2000 lautet samt Überschrift:

„ Beschwerde an die Datenschutzkommission

§ 31 . (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2)...(6)

(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

(8) Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den §§ 26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des Verfahrens vor der Datenschutzkommission durch Reaktionen gegenüber dem Beschwerdeführer gemäß § 26 Abs. 4 oder § 27 Abs. 4 die behauptete Rechtsverletzung nachträglich beseitigen. Erscheint der Datenschutzkommission durch derartige Reaktionen des Beschwerdegegners die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzkommission das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.“

2. rechtliche Schlussfolgerungen

Die Beschwerde erweist sich als berechtigt.

Abgesehen davon, dass nicht einmal eine Negativauskunft erteilt wurde, sind organisatorische Besonderheiten (Auskunftsbegehren eines Mitarbeiters der IT-Abteilung), Unstimmigkeiten oder Zuständigkeitsstreitigkeiten innerhalb der Geschäftsführung einer Gesellschaft m.b.H. oder eine zersplitterte Organisation der datenverarbeitenden Systeme keine tauglichen Rechtfertigungsgründe für die vollständige Verweigerung einer datenschutzrechtlichen Auskunft. Die Beschwerdegegnerin ist verpflichtet, ihre Struktur so zu gestalten, dass sie das Auskunftsrecht erfüllen kann.

Der Beschwerdeführer hätte zwar, über den Umfang der Aktennotiz vom 24. Oktober 2011 hinaus, gemäß § 26 Abs. 3 DSG 2000 zur Mitwirkung, insbesondere bei der Eingrenzung seines Auskunftsbegehrens (z.B. durch Identifizierung der in Frage kommenden Datenanwendungen), aufgefordert werden können. Von dieser Möglichkeit, den entsprechenden administrativen Aufwand zu begrenzen, wurde aber seitens der Beschwerdegegnerin kein Gebrauch gemacht.

Ebenfalls untauglich ist der sinngemäß gemachte Einwand, der Beschwerdeführer hätte als Mitarbeiter der zentralen IT-Abteilung (mit den Nutzerprivilegien und Zugangsberechtigungen eines Systemadministrators) seine Daten gleichsam „in Selbstbedienung“ suchen und finden können. Dem Gesetz ist, unabhängig von den tatsachenmäßigen Einwänden des Beschwerdeführers (kein Zugang zu allen Systemen), nämlich keinerlei derartige Einschränkung des Auskunftsrechts zu entnehmen.

Der Beschwerde war daher in vollem Umfang Folge zu geben. Da die Beschwerdegegnerin als datenschutzrechtliche Auftraggeberin in einer Form des Privatrechts (Gesellschaft m. b.H.) eingerichtet ist und damit zum privaten Bereich zählt (vgl. § 5 Abs. 3 DSG 2000, eine Tätigkeit „in Vollziehung der Gesetze“ bei der Verwendung der in Frage kommenden Daten ist weder behauptet worden, noch aus dem Sachverhalt ableitbar), war ein vollstreckbarer Leistungsauftrag zu erlassen.

Gleichzeitig sieht sich die Datenschutzkommission verpflichtet, gegen die Organe der Beschwerdegegnerin mit separatem Schreiben Anzeige wegen des Verdachts der Verwaltungsübertretung nach § 52 Abs. 2a DSG 2000 beim Magistrat der ****stadt H*** zu erstatten.