K121.877/0011-DSK/2012 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ, Mag. HUTTERER, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Dr. SCHMIDL in ihrer Sitzung vom 14. Dezember 2012 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Richard V*** (Beschwerdeführer) aus M***, vertreten durch Mag. Elke W***, Dr. Waltraud Z*** und Dr. Ladislaus B***, Rechtsanwälte in **** M***, vom 26. Juni 2012 gegen die Katholische Kirche in Österreich (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft in Folge mangelhafter Beantwortung des Auskunftsbegehrens vom 30. Dezember 2011 wird entschieden:

Rechtsgrundlagen : §§ 1 Abs. 3 Z 1, 5 Abs. 2 Z 1, 26 Abs. 1 und 4, 31 Abs. 1 und 7 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, iVm § 74 Abs. 1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Der anwaltlich vertretene Beschwerdeführer behauptet in seiner vom 26. Juni 2012 datierenden und am 27.Juni 2012 bei der Datenschutzkommission eingelangten (und mit Urkundenvorlage vom 3. Juli 2012 verbesserten) Beschwerde eine Verletzung im Recht auf Auskunft über eigene Daten dadurch, dass die Beschwerdegegnerin sein Auskunftsbegehren vom 30. Dezember 2011 (gerichtet an die von der Beschwerdegegnerin eingerichtete „Unabhängige Opferschutzanwaltschaft“) mit Schreiben vom 22. Februar 2012 (durch den Vorsitzenden der kirchlichen Datenschutzkommission) mangelhaft beantwortet habe. Die Auskunft stelle nicht klar, bei welcher Stelle oder Organisation innerhalb der Beschwerdegegnerin welche Daten verarbeitet werden. Die Datenherkunft sei nicht offengelegt worden. Weiters fehlten im Fall der Übermittlung Angaben zu den Datenempfängern, wobei der Beschwerdeführer davon ausgehe, dass jedenfalls innerhalb der Katholischen Kirche Daten des Beschwerdeführers weitergegeben worden seien. Auf Urgenz des Beschwerdeführers habe auch die Opferschutzanwaltschaft nur nochmals mitgeteilt, dass die Auskunft erteilt worden sei und nicht wiederholt zu werden brauche.

Die Beschwerdegegnerin brachte mit Schreiben vom 26. Juli 2012 vor, die interne datenschutzrechtliche Organisation und Vertretungsbefugnis in Datenschutzfragen ergebe sich aus dem DECRETUM GENERALE über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen (Kirchliche Datenschutzverordnung), Amtsblatt der Österreichischen Bischofskonferenz Nr. 52/2010, II 1. (im Folgenden kurz: K-DSV). Gemäß § 3 K-DSV sei die Kirchliche Datenschutzkommission berufen, Auskunftsbegehren zu beantworten und die Beschwerdegegnerin in Datenschutzfragen zu vertreten. Für Zwecke der unabhängigen kirchlichen Opferschutzanwaltschaft (für Fälle physischer oder psychischer Gewaltausübung oder sexuellen Missbrauchs in Einrichtungen der katholischen Kirche) sei eine Datenanwendung an das von der (staatlichen) Datenschutzkommission geführte Datenverarbeitungsregister (DVR) gemeldet und dort registriert worden. Der Beschwerdeführer habe am 30. Dezember 2011 zwei Auskunftsbegehren gestellt, eines gerichtet an die Opferschutzanwaltschaft, das andere an die Stiftung Opferschutz der katholischen Kirche. Beide Einrichtungen der Beschwerdegegnerin hätten diese Auskunftsbegehren zur Beantwortung an die kirchliche Datenschutzkommission weitergeleitet. Es sei richtig, dass dem Beschwerdeführer nur Auskunft über die gespeicherten Datenarten erteilt worden sei. Man habe ihn aber gleichzeitig aufgefordert, sein Interesse an verarbeiteten Dateninhalten bekanntzugeben. Dies sei nicht geschehen. Dem Beschwerdeführer sei weiters mitgeteilt worden, dass es nicht möglich sei, Auskünfte zu erteilen, die dem „Siegel der kirchlichen Amtsverschwiegenheit“ unterliegen (§ 7 K-DSV). Diese könnten nur mit schriftlicher Zustimmung des Betroffenen (an die kirchliche Datenschutzkommission) weitergegeben werden, soweit die Weitergabe durch die anzuwendenden Rechtsvorschriften nicht absolut untersagt sei. Eine solche Zustimmung liege nicht vor. Dem Beschwerdeführer sei weiters zur Datenherkunft mitgeteilt worden, dass die Daten aufgrund der Angaben des Betroffenen (im Fall eines Kirchenaustritts auf Grundlage der gesetzlich vorgesehenen Mitteilung der staatlichen Behörde) und mit dessen Zustimmung verarbeitet werden. Aus § 26 DSG 2000 ergebe sich nicht, dass die Beschwerdegegnerin verpflichtet sei, über den Bereich der „Datei der unabhängigen Opferschutzanwaltschaft“ hinaus über „alle Dateien“ der Beschwerdegegnerin Auskunft zu erteilen. Für erstere sei eine „Weitergabe“ von Daten an die Stiftung Opferschutz vorgesehen, da dies für die Erfüllung des Zwecks der Datenverwendung erforderlich sei. Weiters legte die Beschwerdegegnerin eine ergänzende Auskunft vom 1. August 2012 vor, in der dem Beschwerdeführer mitgeteilt werde, dass seine Daten (unter Angabe der Datenarten) für die Zwecke „Matrikenführung“ und „Opferschutz“ verarbeitet würden.

Der Beschwerdeführer replizierte darauf mit Stellungnahme vom 23. August 2012. Er brachte darin vor, der Beschwerdeführer habe sich gegenüber der Opferschutzanwaltschaft der Beschwerdegegnerin vehement dagegen ausgesprochen, dass seine von ihm selbst bekanntgegebenen Daten an irgendwelche Dritte, auch innerhalb der katholischen Kirche, weitergeleitet würden. Aus der bisherigen Auskunft gehe hervor, dass die Beschwerdegegnerin eine Reihe von Daten des Beschwerdeführers verarbeite. Die Angabe der kirchlichen Datenschutzkommission, sie habe auf diese Daten keinen Zugriff, sei nicht nachvollziehbar. Es sei ebenfalls nicht nachvollziehbar, wie Daten, über die die unabhängige Opferschutzanwaltschaft der katholischen Kirche, eine aus Laien bestehende Einrichtung, verfüge, der geistlichen Amtsverschwiegenheit unterliegen könnten. Selbst auf Daten, die einer solchen Schweigepflicht unterlägen, habe derjenige, von dem sie stammten, gemäß § 26 DSG 2000 ein Recht auf Auskunft, da sonst das Grundrecht auf Datenschutz „zahnlos“ wäre.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das Auskunftsrecht des Beschwerdeführers in Folge von dessen Auskunftsbegehren vom 30. Dezember 2011 gesetzmäßig erfüllt hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer richtete am 30. Dezember 2011 jeweils folgendes Auskunftsbegehren an die „Unabhängige Opferschutzanwaltschaft“ und die „Stiftung Opferschutz der Katholischen Kirche in Österreich“:

„Gegenstand: Auskunft gem. DSG 2000 (§§ 1, 23, 26, 50, 50e

u. a.)

Sehr geehrte Damen! Sehr geehrte Herren!

Sie führen personenbezogene Datenverarbeitung(en) und Datenanwendungen. Ich ersuche Sie unter Hinweis auf §§ 1, 23, 26, 50 und 50e DSG 2000 sowie alle weiteren anwendbaren datenschutzrechtlichen Bestimmungen um Beantwortung der folgenden Fragen:

Sie werden ersucht, auch alle anfallenden Daten zu beauskunften, die sich in anderen Dateien befinden, jedoch über Schlüssel-, Such- und Referenzbegriffe mit meinen personenbezogenen Daten direkt oder indirekt verknüpft werden können (§ 4 DSG 2000).

Sofern Sie nicht meldepflichtige Standardanwendungen gemäß § 17 Abs 2 Z 6 DSG 2000 betreiben, teilen Sie mir gemäß § 23 DSG 2000 mit welche Standardanwendungen Sie vornehmen.

Gleichzeitig weise ich Sie darauf hin, dass sich dieses Auskunftsbegehren auch auf sämtliche betriebene Standardanwendungen bezieht.

Werden die Daten nach § 10 DSG verarbeitet, ersuche ich um die zusätzliche Angabe von Name und Anschrift Ihres Dienstleisters.

Sollten Sie Betreiber eines Informationsverbundsystems gemäß § 4 Z 13 DSG 2000 sein, so sind Sie gemäß § 50 Abs 1 DSG 2000 dazu verpflichtet, mir alle Auskünfte zu erteilen die notwendig sind, um sämtliche für die Verarbeitung (i.S.d. § 4 Z 9 DSG 2000) meiner Daten im System verantwortlichen Auftraggeber festzustellen. Sofern Sie an einem Informationsverbundsystem teilnehmen, ohne dass eine entsprechende Meldung an die Datenschutzkommission unter Angabe eines Betreibers erfolgt ist, treffen Sie als Auftraggeber gemäß § 50 Abs 1 DSG 2000 sämtliche Betreiberpflichten - darunter die oben erwähnte Auskunftspflicht.

Wenn Sie Daten im internationalen Datenverkehr verarbeiten, ersuche ich Sie unter Hinweis auf die §§ 12, 13 DSG 2000, die Geschäftszahl der Genehmigung durch die Datenschutzkommission anzugeben.

[ ]Ich kenne Ihre DVR-Nummer nicht und bitte Sie um

Bekanntgabe der Nummer.

[ ]Sollten Sie an meiner Mitarbeit nach § 26 DSG 2000

interessiert sein, so bitte ich Sie um eine Liste Ihrer Datenverarbeitungen. Ich kenne diese nämlich nicht.

[ ]Als gesetzlich vorgeschriebenen Beitrag zur Mitarbeit,

jedoch ohne Einschränkung des Auskunftsumfangs, gebe ich Ihnen in der Beilage jene Verarbeitungen bekannt, von denen ich glaube, daß sie Daten über mich enthalten.

[ ] Ich stelle das Auskunftsbegehren in folgender Funktion:

[ ] Kunde,

[ ] Interessent,

Im Sinne einer weitestgehenden Mitarbeit gebe ich Ihnen folgende zusätzliche Identifikationsdaten bekannt:

Geburtsdatum: 1951 09 26

Zum Nachweis meiner Identität möchte ich Sie darauf hinweisen, daß Sie Ihre Auskunft mit ''RSa" oder "eingeschrieben, eigenhändig mit Rückschein" zustellen lassen können. Die Post überprüft dann die Identität. Weitere Zweifel an der Identität können nicht bestehen, da nur bei identen Namen/Adresse Daten feststellbar sind.

Nachweis meiner Identität:

[ ] sollten Bedenken zur Identität bestehen, können Sie

allfällige Korrespondenzen eingeschrieben, eigenhändig an meine Person zustellen lassen.

Soweit Sie Daten in automatisierter Form ermitteln (berechnen), die rechtliche Folgen haben können oder die Ihre Entscheidung zur Erbringung oder Nicht-Erbringung von Leistungen gegen meine Person beeinflussen können, wird gemäß § 49 Abs 3 DSG 2000 beantragt das Zustandekommen der automatisierten Ermittlung (Berechnungsmethode) und des logischen Ablaufs der automatisierten Entscheidungsfindung zu beauskunften. Dies bezieht sich insbesondere auf Bewertungen, Einschätzungen und Ratings, die geeignet sind meine berufliche Leistungsfähigkeit, meine Kreditwürdigkeit, meine Zuverlässigkeit oder mein Verhalten zu bewerten.

Gemäß § 26 DSG 2000 hat die Auskunft binnen acht Wochen schriftlich, kostenlos und in allgemein verständlicher Form zu erfolgen.“

Dieses Auskunftsbegehren ist der Beschwerdegegnerin unbestritten zugestellt worden und wurde intern an die kirchliche Datenschutzkommission weitergeleitet.

Am 22. Februar 2012 erging an den Beschwerdeführer folgende Antwort:

„Sie haben sowohl bei der Unabhängigen Opferschutzanwaltschaft als auch bei der Stiftung Opferschutz der Katholischen Kirche in Österreich ein Auskunftsbegehren im Sinne § 26 DSG 2000 gestellt.

Beide angefragten Einrichtungen haben das Auskunftsbegehren zuständigkeitshalber der Datenschutzkommission der Katholischen Kirche in Österreich zugeleitet.

Als Vorsitzender dieser Datenschutzkommission habe ich auch andere Anwendungen innerhalb der Katholischen Kirche hinterfragt und gebe hiermit folgende Datenschutzauskunft

1. Gespeicherte Datenarten:

Vor- und Zuname

Geburtsdatum

Anschrift

Telefonnummer

E-Mail Adresse

Taufdaten

Firmungsdaten

Kirchenaustrittsdaten

Datenfamilienstand

Clearingdaten und Therapeutin

Art des Missbrauchs

Beschuldigte Personen

Orte des Missbrauchs

Korrespondenz Opfer – Opferschutzanwaltschaft

Kommissionsentscheidung

Weitergabe Gesprächswunsch Opfer an Generalvikar Erzdiözese Wien

Geschlecht des Opfers

Kirchliche Institutionen, welchen die Beschuldigten angehören/angehörten bzw. bei welchen die Beschuldigten beschäftigt waren

Höhe der finanziellen Hilfe (Kommissionsbeschluss)

Auszahlungsdatum der finanziellen Hilfe

Sollten Sie Interesse haben, über die angegebenen Datenarten hinaus noch den Inhalt der zu den Datenarten gespeicherten Daten angegeben zu erhalten, darf ich höflich um eine diesbezügliche Angabe ersuchen.

Die Kirchliche Datenschutzkommission stellt fest, dass das Auskunftsbegehren somit vollständig beantwortet ist und keine anderen Datenarten oder sonstige Verknüpfungen der Daten vorliegen. Es wird überdies festgestellt, dass keine Verknüpfung von Daten der Unabhängigen Opferschutzanwaltschaft bzw. der Kirchlichen Opferschutzstiftung mit anderen Kirchlichen Daten, automatisiert oder nicht automatisiert, möglich ist und all diese Daten über das Datengeheimnis hinaus durch die kirchliche Amtsverschwiegenheit geschützt sind. Eine Übermittlung der Daten an Dritte hat in keinem Fall stattgefunden.

Bekanntgegeben wird, dass eine Kopie dieser Datenauskunft an die Unabhängige Opferschutzanwaltschaft und an die Stiftung Opferschutz der Katholischen Kirche in Österreich ergeht.“

Am 1. August 2012, somit nach Beschwerdeerhebung, wurde diese Auskunft durch folgendes Schreiben an die Vertreter des Beschwerdeführers ergänzt:

„Sehr geehrte Rechtsanwältinnen,

Sehr geehrter Herr Rechtsanwalt,

unter Bezugnahme auf die Beschwerde, welche der von Ihnen vertretene Beschwerdeführer Richard V***, E***gasse *3/*6/*9, **** M***, eingebracht hat, wird bezüglich der bei der Katholischen Kirche in Österreich vorliegenden Zwecke der Verarbeitung im Sinne der Ergänzung der Datenauskunft gem. § 26 Abs. 4 DSG 2000 folgendes bekannt gegeben: Es existieren zwei Zwecke der Verarbeitung bezüglich Ihres Mandanten, einerseits in der kirchlichen Matrikendatei, in welcher folgende Daten gespeichert sind: Vorname, Zuname, Geburtsdatum, Anschrift, Taufdaten, Firmungsdaten, Kirchenaustrittsdaten, Familienstand.

Als zweiter Zweck der Verarbeitung "Opferschutz", in diesem Zweck der Verarbeitung sind folgende Datenarten gespeichert:

Vor- und Zuname, Geburtsdatum, Anschrift, Telefonnummer, email-Adresse, Familienstand, Clearingdaten und Therapeutin, Art des Missbrauchs, beschuldigte Personen, Orte des Missbrauchs, Korrespondenz Opfer - Opferschutzanwaltschaft, Kommissionsentscheidung, Weitergabe Gesprächswunsch Opfer an Generalvikar der Erzdiözese Wien, Geschlecht des Opfers, kirchliche Institutionen, welche die Beschuldigten angehören bzw. angehörten, bzw. bei welchen die Beschuldigten beschäftigt waren, Höhe der finanziellen Hilfe (Kommissionsbeschluss), Auszahlungsdatum der finanziellen Hilfe.“

Beweiswürdigung : Diese Feststellungen beruhen auf dem Inhalt der zitierten Schreiben, vorgelegt als Beilagen zur Beschwerde (Beschwerdeverbesserung vom 3. Juli 2012) und als Urkundenvorlage der Beschwerdegegnerin (Nachtrag zur Stellungnahme der Beschwerdegegnerin vom 26. Juli 2012). Im Übrigen ist der Sachverhalt unstrittig und das beidseitige Vorbringen widerspruchsfrei.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 2, Abs. 3 Z 1 und Abs. 4 DSG 2000 lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1) [...]

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.“

§ 4 Z 12 DSG 2000 lautet samt Überschrift:

„ Definitionen

§ 4 . Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

§ 5 DSG 2000 lautet samt Überschrift:

„ Öffentlicher und privater Bereich

§ 5 . (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Abs. 2) durchgeführt werden.

(2) Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,

(3) Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.“

§ 14 Abs. 1 und Abs. 2 Z 7 DSG 2000 lautet samt Überschrift:

„ Datensicherheitsmaßnahmen

§ 14 . (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.

(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,

§ 26 Abs. 1 bis 6 DSG 2000 lautet samt Überschrift:

„ Auskunftsrecht

§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.

Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4.

(3) Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen:

Es ist in allen Fällen, in welchen keine Auskunft erteilt wird - also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Auskunftswerber verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.

(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.“

§ 31 Abs. 1 und 7 DSG 2000 lautet samt Überschrift:

„ Beschwerde an die Datenschutzkommission

§ 31 . (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) [...] (6) [...]

(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“

§ 74 AVG lautet samt Überschrift:

„ Kosten der Beteiligten

§ 74 . (1) Jeder Beteiligte hat die ihm im Verwaltungsverfahren erwachsenden Kosten selbst zu bestreiten.

(2) Inwiefern einem Beteiligten ein Kostenersatzanspruch gegen einen anderen Beteiligten zusteht, bestimmen die Verwaltungsvorschriften. Der Kostenersatzanspruch ist so zeitgerecht zu stellen, daß der Ausspruch über die Kosten in den Bescheid aufgenommen werden kann. Die Höhe der zu ersetzenden Kosten wird von der Behörde bestimmt und kann von dieser auch in einem Pauschalbetrag festgesetzt werden.“

2. rechtliche Schlussfolgerungen

Die Beschwerde hat sich in der Sache weitgehend als berechtigt erwiesen.

a. Auskunftsrecht und Besonderheiten der Organisation der Beschwerdegegnerin

Die katholische Datenschutzkommission als gegenüber der Datenschutzkommission zur Vertretung der Beschwerdegegnerin gemäß kircheninternem Organisationsrecht befugtes und ermächtigtes Vertretungsorgan, legt das Gesetz insoweit falsch aus, als sie geltend macht, sie wäre nur verpflichtet, einem Auskunftswerber die über ihn grundsätzlich zur Verarbeitung vorgesehenen Datenarten offenzulegen und ihn sonst wiederum an die verantwortliche Stelle in der weitverzweigten Organisation der Beschwerdegegnerin zu verweisen, die die Daten sinngemäß freizugeben habe.

Diesem Zweck – Offenlegung der datenschutzrechtlichen Rahmenbedingungen – dient jedoch bereits die im 4. Abschnitt, §§ 16 ff, des DSG 2000 gesetzlich angeordnete „Publizität der Datenanwendungen“ .

Das subjektive Recht auf Auskunft reicht jedoch deutlich weiter.

„Der Anspruch auf Auskunft enthält das Recht, Auskunft über die verarbeiteten Daten in allgemein verständlicher Form zu erhalten, dies bedeutet, dass der Betroffene nicht nur über die Art (Kategorien) der über ihn verarbeiteten Daten aufzuklären ist, sondern dass ihm der Inhalt dieser Daten bekanntzugeben ist. Es genügt daher nicht festzustellen, dass etwa der Name und das Geburtsdatum gespeichert seien, sondern es muss offengelegt werden, wie die tatsächlichen Eintragungen bei diesen Datenarten Name und Geburtsdatum lauten. Weiters sind bezüglich aller in Frage kommenden Datenarten die Herkunft dieser Daten und allfällige Übermittlungen zu beauskunften und zwar in hinlänglich konkreter Form, damit der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann. Darüber hinaus sind der Zweck und die Rechtsgrundlagen der Datenverwendung zu beauskunften.“ (Bescheid der Datenschutzkommission vom 23. November 2001, K120.748/022- DSK/2001, RIS, RS1)

Wenn die Beschwerdegegnerin ihre in § 1 Abs. 1 K-DSV vorgesehene datenschutzrechtliche Organisation als ein einheitlicher Auftraggeber gesetzeskonform vollziehen möchte, so muss die gemäß § 3 K-DSV eingerichtete kirchliche Datenschutzkommission technisch oder zumindest doch organisatorisch ohne Einschränkungen in der Lage sein, in der gesetzlichen Frist von acht Wochen über den Inhalt jeder Datenanwendung oder manuellen Datei Auskunft zu erteilen, die irgendeine kirchliche Einrichtung (§ 1 K-DSV) durchführt.

Ein Verweisen von Auskunftswerbern an eine andere Stelle bzw. die Aufforderung in der erteilten Auskunft , jene Datenarten bekannt zu geben, zu denen inhaltliche Auskünfte erteilt werden sollen, ist nicht zulässig, da die kirchliche Datenschutzkommission hier die allein gemäß § 26 Abs. 1 DSG 2000 zur Auskunft verpflichtete Auftraggeberin, die „katholische Kirche in Österreich“ , vertritt. Eine Mitwirkung des Beschwerdeführers gemäß § 26 Abs. 3 DSG 2000 hätte schon vor der Auskunftserteilung eingefordert werden müssen. Im Übrigen hat die Beschwerdegegnerin auch zu keinem Zeitpunkt eingewandt, dass ein unverhältnismäßiger Aufwand der inhaltlichen Beauskunftung entgegenstünde.

Bezüglich Datenübermittlungen verweist die Datenschutzkommission darauf, dass auch Zweckänderungen der Datenverwendung innerhalb der Organisation eines einzigen, datenschutzrechtlich als Einheit auftretenden Auftraggebers gemäß § 4 Z 12 DSG 2000 Übermittlungen darstellen, die in den Meldungen an das DVR und im entsprechenden Einzelfall auch in individuellen datenschutzrechtlichen Auskünften abgebildet, daher auch gemäß § 14 Abs. 2 Z 7 DSG 2000 entsprechend dokumentiert (protokolliert) werden müssen.

Die Beschwerdegegnerin hat also dadurch, dass sie dem Beschwerdeführer an Stelle einer Auskunft über den Inhalt von Datenanwendungen eine Auskunft über die verarbeiteten Datenarten erteilt hat, dessen Recht auf Auskunft verletzt.

Es waren daher die entsprechenden Feststellungen zu treffen.

b. Einwand der geistlichen Amtsverschwiegenheit

Die Beschwerdegegnerin hält dem Auskunftsrecht des Beschwerdeführers weiters die „geistliche Amtsverschwiegenheit“ (gemäß § 7 Abs. 2 K-DSV das „kirchliche Dienst- oder Amtsgeheimnis“ ) entgegen. Dieses bewirke, dass Daten nur mit schriftlicher Zustimmung des Betroffenen (an die kirchliche Datenschutzkommission) weitergegeben werden könnten, soweit die Weitergabe durch die anzuwendenden Rechtsvorschriften nicht absolut untersagt sei. Eine solche Zustimmung liege nicht vor.

Dieser Einwand ist schon deshalb unzutreffend, da sich das Auskunftsrecht gemäß §§ 1 Abs. 3 Z 1 und 26 Abs. 1 DSG 2000 nicht auf Daten Dritter erstreckt, sondern nur auf jene des Betroffenen, der aber mit seinem Auskunftsbegehren bereits die implizite Zustimmung erteilt hat, ihn betreffende Daten für Zwecke der Auskunftserteilung zu verarbeiten (zu sammeln, zusammenzustellen, auszudrucken, etc.). Dass die Beschwerdegegnerin über Daten des Beschwerdeführers verfüge, deren Weitergabe auch an den Betroffenen nach kircheninternen Rechtsvorschriften absolut untersagt sei, hat sie gar nicht geltend gemacht. Auf den Umstand, dass die Beschwerdegegnerin mit ihrem Einwand inhaltlich letztlich geltend macht, innerkirchliche Vorschriften könnten das verfassungsmäßige Recht des Beschwerdeführers auf Auskunft beschränken, braucht daher gar nicht mehr eingegangen zu werden.

Ansonsten gilt hier das unter a. zum Verhältnis von gesetzlichem Auskunftsrecht und interner Organisation der Beschwerdegegnerin Gesagte.

c. kein Recht auf Leistungsbescheid

Gemäß § 31 Abs. 7 DSG 2000 ist die Befugnis der Datenschutzkommission zur Bescheiderlassung im Beschwerdeverfahren auf Feststellungsbescheide beschränkt. Lediglich gegenüber Auftraggebern des privaten Bereichs kann in Fragen des Auskunftsrechts ein bescheidmäßiger Auftrag erlassen werden.

Als gesetzlich anerkannte Kirche zählt die Beschwerdegegnerin jedoch zu den Auftraggebern des öffentlichen Bereichs.

Der Antrag auf Erteilung eines Auftrags, eine gesetzmäßige Auskunft zu erteilen, war daher spruchgemäß zurückzuweisen.

d. kein Recht auf Kostenersatz

Der – hier obsiegende – Beschwerdeführer hat in der Beschwerde beantragt, ihm die „verzeichneten Kosten“ (ein Kostenverzeichnis wurde jedoch nicht vorgelegt) zuzusprechen.

„Eine Vorschrift, die zu Kostenersatz im Verfahren vor der Datenschutzkommission berechtigt, besteht weder nach DSG noch nach DSG 2000.“ (Bescheid der Datenschutzkommission vom 29. Juni 2000, 120.656/16-DSK/00, RS2)

Es gilt daher die allgemeine Kostentragungsregel des § 74 Abs. 1 AVG, wonach im Verwaltungsverfahren, unabhängig vom Verfahrensausgang, jeder Beteiligte seine Kosten selbst zu bestreiten hat. Der Zuspruch von Kosten ist daher von Gesetzes wegen ausgeschlossen.

Der erhobene Anspruch auf Kostenersatz war daher, unabhängig von Grund oder Höhe, spruchgemäß zurückzuweisen.