K121.815/0022-DSK/2012 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 13. Juli 2012 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Theodor F*** in Wien (Beschwerdeführer) vom 1. Februar 2012, gegen die Y*** GmbH in *** (Beschwerdegegnerin), vertreten durch die X*** Rechtsanwälte GmbH wegen Verletzung im Recht auf Auskunft (Unvollständigkeit) wird entschieden:
1. Der Beschwerde wird stattgegeben und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie
2. Der Beschwerdegegnerin wird aufgetragen, dem Beschwerdeführer binnen zweier Wochen bei sonstiger Exekution Auskunft zur Herkunft seiner E-Mailadresse theodor@***.at zu erteilen.
Rechtsgrundlagen: § 1 Abs. 3 Z 1, § 26 und § 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idgF.
B e g r ü n d u n g :
A. Verfahrensgang und Vorbringen der Parteien
1. Der Beschwerdeführer behauptet eine Verletzung im Recht auf Auskunft dadurch, dass ihm auf sein Auskunftsbegehren vom 1. Dezember 2011 keine Auskunft, insbesondere über die genaue Herkunft der Daten (E-Mailadresse), erteilt worden sei. Die zwei Mailantworten seien hinsichtlich der Herkunft der E-Mailadresse widersprüchlich. Die Erklärungen der Geschäftsführerin der Beschwerdegegnerin, seine E-Mailadresse sei „in den Verteiler des Newsletters gerutscht“ oder es seien „diverse Excel-Listen fälschlicherweise eingespielt“ worden, sei unzureichend und die E-Mailadresse nie für Werbezwecke bekannt gegeben worden, weshalb der Beschwerdeführer die Datenherkunft geklärt wissen wolle. Er beantragte daher, die Datenschutzkommission möge durch Bescheid der Beschwerdegegnerin auftragen, binnen einer angemessenen Frist die begehrte Auskunft entsprechend seinem Vorbringen zu erteilen.
2. Die mit den Vorwürfen konfrontierte Beschwerdegegnerin brachte, anwaltlich vertreten, vor, dass das Callcenter auf das am 25. November 2011 eingelangte E-Mail des Beschwerdeführers sogleich reagiert und die E-Mailadresse aufgrund eines offensichtlichen Missverständnisses unverzüglich aus dem Newsletterverteiler entfernt habe. Aus Unerfahrenheit seien die Daten des Beschwerdeführers sogleich gelöscht worden, sodass deren Herkunft im Nachhinein aufgrund faktischer Unmöglichkeit nicht mehr bestimmt habe werden können.
Das Auskunftsbegehren sei Anfang Dezember 2011 per Fax eingelangt und von der Geschäftsführerin behandelt worden. Nach eingehender Recherche habe sie feststellen können, dass die Adresse des Beschwerdeführers wohl nicht gekauft, aber offensichtlich durch eine „falsche Einspielung in den Adressverteiler für Newsletter eingespielt“ worden sei. Die Herkunft der Daten habe nicht mehr festgestellt werden können, was dem Beschwerdeführer auch mitgeteilt worden sei. Es handle sich um einen Einzelfall.
Mit E-Mail vom 16. Dezember 2011 habe der Beschwerdeführer die Bekanntgabe der Datenquelle urgiert. Die Diskrepanz in den Aussagen beruhe darauf, dass die erste Antwort des Callcenter nicht auf eingehender Recherche beruht habe, sondern von der Annahme ausgegangen sei, dass der Beschwerdeführer Löschung wolle.
Mit Erteilung der Negativauskunft sei dem Auskunftsanspruch Genüge getan, weshalb keine Verletzung des Auskunftsrechts vorliege.
3. Im dazu gewährten Parteiengehör betonte der Beschwerdeführer , im E-Mail vom 25. November 2011 keinen Löschungsantrag gestellt, sondern lediglich um Auskunft bzw. Herkunft seiner E-Mailadresse gebeten zu haben. Auch aus der Antwort vom 28. November 2011 sei hervorgegangen, dass die Anfrage als Auskunftsbegehren verstanden worden sei. Da auch die Identität unzweifelhaft gewesen sei, habe die Löschung der Daten gegen § 26 Abs. 7 DSG 2000 verstoßen. Die Behauptungen der Beschwerdegegnerin blieben inkonsistent und unglaubwürdig. Die Herkunft der Daten müsse durch Einsicht und Befragung betroffener Mitarbeiter nachvollziehbar sein. Der Beschwerdeführer sehe sich daher weiter in seinem Recht auf Auskunft verletzt.
Mit E-Mail vom 28. März 2012 übermittelte der Beschwerdeführer der Datenschutzkommission seine an die Beschwerdegegnerin gerichtete E-Mail vom 25. November 2011.
4. Zur Frage, ob ein Nachweis erbracht werden kann, warum die Herkunft der Daten nicht mehr ermittelt werden kann, gab die Beschwerdegegnerin mit Stellungnahme vom 10. Mai 2012 an, das im September 2011 neu gegründete Unternehmen habe zu diesem Zeitpunkt noch kein eigenes Newslettersystem zur Versendung von Newslettern besessen, weshalb das Newslettersystem einer damaligen Dienstleisterin „auf das firmeneigene EDV-System kopiert“ worden sei. Im Zuge dieses Verfahrens seien auch „technisch irrtümlich“ und „versehentlich falsche Adressdaten des Beschwerdeführers kopiert und in den Newsletterverteiler der Auftraggeberin eingespielt“ worden. Inzwischen sei ein firmeneigenes Newslettersystem installiert worden, wobei darauf Acht gegeben werde, nur „genehmigte Daten“ einzuspielen. Das firmenfremde Newslettersystem sei unwiderruflich gelöscht worden. Im neuen System seien die Daten des Beschwerdeführers nie eingespielt worden.
5. Im Parteiengehör dazu ersuchte der Beschwerdeführer im Mail vom 4. Juni 2012, die Identität der „damaligen Dienstleisterin“ als vermutete Quelle seiner E-Mailadresse zu ermitteln.
6. Dazu zur Stellungnahme aufgefordert, gab die Beschwerdegegnerin trotz Fristerstreckung bis zum 26. Juni 2012, lediglich an, intensive Erhebungen zur Feststellung der Identität der damaligen Dienstleisterin durchzuführen (es seien mehrere Dienstleister in Anspruch genommen worden und die Ansprechpartner teils urlaubsbedingt abwesend gewesen)), die – trotz Mitteilung, dass keine weitere Fristerstreckung erfolgen werde – „noch“ zu keinem Ergebnis geführt hätten (Schreiben vom 26. Juni 2012).
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin auf das Auskunftsbegehren des Beschwerdeführers vom 25. November bzw. 1. Dezember 2011 rechtmäßig iSd DSG 2000 die Herkunft seiner durch sie verwendeten E-Mailadresse theodor@***.at beauskunftet hat sowie, ob die Beschwerdegegnerin gegen die Löschungssperre des § 26 Abs. 7 DSG 2000 verstoßen hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer stellte zunächst am 25. November 2011 per Mail in Beantwortung eines ihm per Mail zugestellten Newsletters an die Beschwerdegegnerin an die Adresse newsletter@Y***.at folgendes Begehren:
„Sehr geehrte Damen und Herren,
ich ersuche dringend um Auskunft, woher Sie meine E-Mailadresse theodor@***.at bezogen haben!
Vielen Dank,
Theodor F***“
Die Beschwerdegegnerin antwortete per Mail am 28. November 2011 wie folgt:
„Sehr geehrter Herr Theodor F***,
es tut uns sehr leid, dass wir Sie mit unserem Newsletter verärgert haben.
Natürlich werden wir umgehend Ihre E-Mailadresse aus unserem Verteiler entfernen.
Vielen Dank für Ihre Rückmeldung, aufgrund dieser werden wir die Herkunft Ihrer Adresse überprüfen.
Das Adressmaterial wurde offiziell gekauft.
Laut Auskunft unseres Geschäftspartners haben Sie mit dieser E-Mailadresse bei einem Gewinnspiel oder etwas Ähnlichem teilgenommen und dabei Ihre Zustimmung zur Verwendung dieser E-Mailadresse gegeben.
Wir entschuldigen uns nochmals für die Unannehmlichkeiten.
…“
Daraufhin ersuchte der Beschwerdeführer am 1. Dezember 2011 per Fax an die Beschwerdegegnerin um Auskunft gemäß § 26 DSG 2000:
„Sehr geehrte Damen und Herren:
Hiermit ersuche ich um Auskunft gemäß § 26 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999.
Ich ersuche um Auskunft über alle zu meiner Person gespeicherten Daten.
Ich ersuche um Auskunft über meine Daten aus einer bestimmten Datenanwendung, nämlich „Newsletter“.
Ich ersuche um Auskunft über meine Daten im Zusammenhang mit einem bestimmten Ereignis, nämlich unerwünschte Werbemails vom 25.11. und 27.11.2011 an E-Mail theodor@***.at .
Bitte erteilen Sie mir auch Auskunft über Ihre Dienstleister. Von wem haben Sie meine E-Mailadresse theodor@***.at bezogen?
Als Beweis meiner Identität lege ich eine Kopie eines amtlichen Lichtbildausweises bei.
Gemäß § 26 Abs. 7 DSG 2000 dürfen Sie meine Daten während des Auskunftsverfahrens bei Strafe (§ 52 Abs. 1 Z 4 DSG 2000, Geldstrafe bis zu 25 000 Euro) nicht löschen.
[Unterschrift]“
Diesem Auskunftsbegehren war eine Kopie des Führerscheins des Beschwerdeführers angeschlossen.
Die Beschwerdegegnerin antwortete auf dieses Auskunftsbegehren mit E-Mail vom 15. Dezember 2011 wie folgt:
„Sehr geehrter Herr DI F***,
beim Start von Y*** ist Ihre E-Mail-Adresse leider in den Verteiler des Newsletters gerutscht, wofür ich mich hiermit persönlich entschuldigen möchte.
Ich habe auch bereits versucht Sie telefonisch zu erreichen um Ihnen den Sachverhalt zu erklären.
Nachdem Ihre Beschwerde bei uns geprüft wurde, geht nach dem Abgleich nur hervor, dass Ihre Adresse NICHT gekauft wurde.
Bevor Y*** live ging gab es unzählige Recherchen und Kontakte mit diversen Geschäftspartnern aus dem IT-Bereich und daher sind diverse Excel-Listen fälschlicherweise eingespielt worden. Im Nachhinein ist es leider nur sehr schwierig herauszufinden, wer genau für den Fehler verantwortlich ist … es handelt sich nur definitiv um keine Adress-Broker-Geschichte und es tut mir leid, dass wir Sie mit den Mails belästigt haben! Grundsätzlich hoffe ich, dass es geklappt hat und Ihr Name sofort aus der Liste gelöscht wurde?! Nach meinem Kenntnisstand haben Sie keine weiteren Mails bekommen, da ich den NL nur mehr an explizit angemeldete Personen schicken ließ und auch die Kaufadressen bis zur Klärung gestoppt habe.
Ich selbst komme eigentlich aus dem Print- und Werbeagenturbereich und bin mit den von Ihnen angeführten Paragraphen Gott sei Dank noch nie in Berührung gekommen.
Ich kann Ihnen nur anbieten, dass ich mich auch telefonisch nochmals bei Ihnen melde und mich auch telefonisch entschuldige- auf alle Fälle wurde Ihre Adresse nicht gekauft! Es hat nur leider etwas gedauert- und das ist mir wirklich unangenehm … beim Aufbau eines neuen Unternehmens fallen leider auch Späne …
Für Rückfragen stehe ich Ihnen unter [Tel.Nr.] gerne zur Verfügung.
…“
Die Daten des Beschwerdeführers wurden der Beschwerdegegnerin dadurch übermittelt, dass sie als ein im September 2011 neu gegründetes Unternehmen mangels eigenen Newslettersystems ein Newslettersystem eines anderen Unternehmens samt Adressdaten, ua. auch die des Beschwerdeführers, installiert hatte. Die Identität dieses das Newslettersystem zur Verfügung stellenden Unternehmens hat die Beschwerdegegnerin trotz eindringlicher Aufforderung im ha. Verfahren nicht bekannt gegeben, obwohl sie sie kannte.
Beweiswürdigung: Diese Feststellungen ergeben sich aus den jeweiligen Schreiben bzw. E-Mails selbst, die Beilagen zur Beschwerde sowie einer Stellungnahme der Beschwerdegegnerin vom 17. Februar 2012 waren. Den Inhalt seines E-Mails vom 25. November 2011 hat der Beschwerdeführer per Mail vom 28. März 2012 übermittelt. Die Feststellungen sind betreffend die Schreiben unbestritten. Zur Herkunft der Daten des Beschwerdeführers wurde auf das Vorbringen der Beschwerdegegnerin vertraut. Die Angabe aber, dass es ihr im Ergebnis nicht möglich war, die Identität des das Newslettersystem und damit die Daten des Beschwerdeführers zur Verfügung stellenden Unternehmens angeben zu können, war allerdings völlig unglaubwürdig: Der maßgebende Geschäftskontakt liegt nach Ausführungen der Beschwerdegegnerin mit September 2011 nicht einmal ein Jahr zurück, andererseits hat die Beschwerdegegnerin in ihrer Stellungnahme vom 10. Mai 2012 noch angeben können, dass im Zuge der Installation des fremden Newslettersystems „technisch irrtümlich und versehentlich falsche Adressdaten des Beschwerdeführers“ kopiert worden seien. Die Beschwerdegegnerin war daher in der Lage, den Ablauf der Ereignisse zu rekonstruieren, sodass es nicht vorstellbar ist, dass sie – zumal ihr ihre Geschäftspartner ja bekannt sind – nicht in der Lage gewesen sein soll, das Unternehmen, von dem sie das Newslettersystem übernommen hat, zu nennen.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung des § 1 DSG 2000 lautet auszugsweise:
„§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
…“
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Er lautet hier wesentlich wie folgt:
„Auskunftsrecht
§ 26. (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.
Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder
ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4.
(3) Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
…
(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Auskunftswerber innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten. Diese Frist gilt nicht, wenn einem Löschungsantrag des Auskunftswerbers nach § 27 Abs. 1 Z 2 oder § 28 zu entsprechen ist.
…“
2. Rechtliche Schlussfolgerungen:
Die Beschwerde ist berechtigt.
Zu Spruchpunkt 1b:
Der Beschwerdeführer stellte am 25. November 2011 per Mail an die Beschwerdegegnerin (per ihrer Mailadresse newsletter@Y***.at) ein Auskunftsbegehren hinsichtlich der Herkunft der von der Beschwerdegegnerin für den Newsletterversand verwendeten E-Mail-Adresse theodor@***.at des Beschwerdeführers.
Ab diesem Zeitpunkt wäre die Beschwerdegegnerin gemäß § 26 Abs. 7 DSG 2000 verpflichtet gewesen, Daten über den Auskunftswerber innerhalb eines Zeitraumes von vier Monaten nicht zu vernichten.
Die Beschwerdegegnerin hat dennoch, gerade in Kenntnis des Auskunftsbegehrens, die Daten des Beschwerdeführers gelöscht.
Die Löschungssperre des § 26 Abs. 7 DSG 2000 wird nur dann durchbrochen, wenn einem Löschungsantrag des Auskunftswerbers nach § 27 Abs. 1 Z 2 oder § 28 DSG 2000 zu entsprechen gewesen wäre. Einen Löschungsantrag hat der Beschwerdeführer aber nicht gestellt.
Die Beschwerdegegnerin hat den Beschwerdeführer daher in seinem Recht auf Auskunft gemäß § 26 Abs. 7 DSG 2000 verletzt. Dies wurde spruchgemäß festgestellt.
Zu Spruchpunkt 1a und 2:
Nach § 26 Abs. 1 DSG 2000 hat eine Auskunft (ua.) die Informationen über die Herkunft der zur Person des Auskunftswerbers verarbeiteten Daten zu enthalten. Der Inhalt des Auskunftsrechts ist in § 26 Abs. 1 DSG 2000 genau determiniert (Bescheid der Datenschutzkommission vom 20. Jänner 2010, GZ: K121.540/0002-DSK/2010, RIS). Informationen über die Herkunft der Daten haben nur insoweit zu erfolgen, als diese verfügbar sind. Daran hat auch die Textänderung durch BGBl I Nr 133/2009 nichts geändert (zur Absicht des Gesetzgebers vgl. etwa die RV zur DSG-Novelle 2010, 472 BlgNR XXIV GP, Seite 11, zu § 26 DSG 2000).
Gerade die Stellungnahme der Beschwerdegegnerin vom 10. Mai 2012 hat aber, wie festgestellt, gezeigt, dass, obwohl die Daten des Beschwerdeführers bereits gelöscht sind, dennoch die Herkunft dieser Daten angegeben werden kann. Dass die Identität des das Newslettersystem und damit die Daten des Beschwerdeführers zur Verfügung stellenden Unternehmens nicht bekannt sein soll bzw. nicht angegeben werden kann, erscheint entsprechend der Beweiswürdigung völlig unglaubwürdig. Daher wurde festgestellt, dass die Beschwerdegegnerin die Herkunft der in Rede stehenden Daten sehr wohl kannte, sie aber nicht beauskunftete.
Durch die Unterlassung einer Auskunft zur Herkunft der Daten des Beschwerdeführers, insbesonders seiner E-Mailadresse, hat die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Auskunft verletzt. Gemäß § 31 Abs. 7 DSG 2000 idF BGBl. I Nr. 133/2009 war der Beschwerde daher auch diesbezüglich Folge zu geben und war ein entsprechender Leistungsauftrag zu erteilen.