K121.876/0003-DSK/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

[ Bitte BEACHTEN : Die Datenschutzbehörde als Nachfolgerin der Datenschutzkommission hat dieses Vorabentscheidungsersuchen mit Schreiben an den EuGH vom 29. April 2014, GZ: DSB-D077.008/0002-DSB/2014, zurückgezogen . Nähere Informationen auf der Website der Datenschutzbehörde:

http://www.dsb.gv.at/site/6185/default.aspx]

Die Datenschutzkommission hat unter dem Vorsitz von Dr.Spenling und in Anwesenheit der Mitglieder Dr. Rosenmayr-Klemenz, Mag. Hutterer, Mag. Zimmer, Dr. Souhrada-Kirchmayer und Dr. Gundacker sowie des Schriftführers Mag. Suda in ihrer Sitzung vom 18. Jänner 2013 in der Beschwerdesache Ernst N**** gegen N**** Telecommunication Gesellschaft m.b.H. (Zl. DSK-K121.876), betreffend datenschutzrechtliche Beschwerde wegen Verletzung des Rechts auf Auskunft über eigene Daten in Folge unvollständiger Auskunftserteilung folgenden Beschluss gefasst:

B e g r ü n d u n g:

A) Antragslegitimation der Datenschutzkommission

Die Datenschutzkommission ist die durch nationales österreichisches Recht (§§ 35 bis 40 DSG 2000) gemäß Art 28 der Richtlinie 95/46/EG eingerichtete Kontrollstelle. Sie ist zugleich die in Artikel 22 der Richtlinie 95/46/EG vorgesehene gerichtliche Kontrollinstanz, die nur der Rechtskontrolle durch die obersten Gerichtshöfe des öffentlichen Rechts (Verwaltungsgerichtshof und Verfassungsgerichtshof) unterliegt. Sie ist eine unabhängige, weisungsfreie Kollegialbehörde gemäß Artikel 20 Abs. 2 Z 3 und 8 und Artikel 133 Z 4 des österreichischen Bundes-Verfassungsgesetzes. Der Datenschutzkommission kommt Gerichtsqualität im unionsrechtlichen Sinne zu (Verwaltungsgerichtshof, 27. 9. 2007, VwSlg 17287 A/2007).

Im vorliegenden Verfahren hat der Beschwerdeführer als von einer Verarbeitung seiner Daten Betroffener von einem Betreiber öffentlicher Kommunikationsdienste und öffentlicher Kommunikationsnetze (im Folgenden kurz: Beschwerdegegnerin) Auskunft gemäß § 26 Abs. 1 DSG 2000 (Artikel 12 lit a der Richtlinie 95/46/EG) verlangt und (unstrittig) nicht vollständig erhalten. Wäre der Beschwerde Folge zu geben, hätte die Datenschutzkommission der Beschwerdegegnerin durch vollstreckbaren Bescheid die Ergänzung der Auskunftserteilung aufzutragen (§ 31 Abs. 7 DSG 2000).

B) anhängiges Beschwerdeverfahren

Der Beschwerdeführer ist Kunde der Beschwerdegegnerin und als solcher Endnutzer öffentlich zugänglicher Kommunikationsdienste und Inhaber eines Mobilfunkanschlusses. Er richtete am 12. Juni 2012 ein Auskunftsbegehren an die Beschwerdegegnerin, in dem er insbesondere auch Auskunft über die gemäß § 102a des TKG 2003 verarbeiteten Vorratsdaten verlangte. Die Beschwerdegegnerin erteilte daraufhin am 4. Juli 2012 dem Beschwerdeführer im Wesentlichen nur Auskunft über die Art der erfassten Daten, verweigerte aber eine inhaltliche Auskunft zu den betreffend den Beschwerdeführer verarbeiteten Vorratsdaten bzw. etwaigen Übermittlungsempfängern (oder Empfängerkreisen).

Dagegen erhob der Beschwerdeführer am 26. Juni 2012 Beschwerde an die Datenschutzkommission. Er sei in seinem Recht auf Auskunft verletzt worden. Die ihm erteilte Auskunft sei mangelhaft, weil unvollständig, da ihm über die über ihn gespeicherten Vorratsdaten mit unzutreffender Begründung keine Auskunft erteilt worden sei.

Die Beschwerdegegnerin hielt dem – soweit hier von Interesse - entgegen, dass der einfache Gesetzgeber die aus § 1 DSG 2000 erwachsenden Rechte im Fall der Vorratsdaten im Rahmen seines zulässigen Spielraums eingeschränkt habe, um das Ziel der Vorratsdatenspeicherung nicht zu gefährden. Eine solche Gefährdung wäre denkbar, wenn sich Kriminelle jederzeit über den Stand der zu ihrer Strafverfolgung dienenden Daten informieren könnten. Nach § 102b TKG 2003 sei daher eine Auskunft über Vorratsdaten ausschließlich aufgrund einer gerichtlich bewilligten Anordnung der Staatsanwaltschaft zur Aufklärung und Verfolgung bestimmter schwerer Straftaten zulässig. Die Auskunft nach § 26 DSG 2000 habe der Gesetzgeber in dieser Bestimmung bewusst nicht vorgesehen.

Im Übrigen stehe auch § 26 Abs. 2 Z 5 DSG 2000, nach dem wegen überwiegender öffentlicher Interessen im Zusammenhang mit der Vorbeugung, Verhinderung oder Verfolgung von Straftaten keine Auskunft zu erteilen sei, der vom Beschwerdeführer begehrten Auskunft entgegen, weil die Richtlinie 2006/24/EG davon ausgehe, dass die Vorratsdatenspeicherung eine notwendige Maßnahme im Sinne des Art 8 EMRK zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten oder zum Schutz der Rechte und Freiheiten sei.

C) anzuwendende Vorschriften des nationalen Rechts

(unterteilt nach Sachgebieten)

1) Datenschutzrecht

Die Verfassungsbestimmung § 1 Abs. 2, Abs. 3 Z 1 und Abs. 4 DSG 2000 lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1) [...]

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

(4) Beschränkungen der Rechte nach Abs 3 sind nur unter den in Abs 2 genannten Voraussetzungen zulässig.“

§ 26 Abs. 1 und 2 DSG 2000 lautet samt Überschrift:

„ Auskunftsrecht

§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.

Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs 4.

[…]“

2) Telekommunikationsrecht

Die §§ 102a, 102b und 109 Abs. 1 Z 24 TKG 2003 lauten samt Überschriften:

„ Vorratsdaten

§ 102a . (1) Über die Berechtigung zur Speicherung oder Verarbeitung gemäß den §§ 96, 97, 99, 101 und 102 hinaus haben Anbieter von öffentlichen Kommunikationsdiensten nach Maßgabe der Abs 2 bis 4 Daten ab dem Zeitpunkt der Erzeugung oder Verarbeitung bis sechs Monate nach Beendigung der Kommunikation zu speichern. Die Speicherung erfolgt ausschließlich zur Ermittlung, Feststellung und Verfolgung von Straftaten, deren Schwere eine Anordnung nach § 135 Abs 2a StPO rechtfertigt.

(2) Anbietern von Internet-Zugangsdiensten obliegt die Speicherung folgender Daten

(3) Anbietern öffentlicher Telefondienste einschließlich Internet-Telefondiensten obliegt die Speicherung folgender Daten: […]

(4) Anbietern von E-Mail-Diensten obliegt die Speicherung folgender Daten:

[…]

(5) Die Speicherpflicht nach Abs 1 besteht nur für jene Daten gemäß Abs 2 bis 4, die im Zuge der Bereitstellung der betreffenden Kommunikationsdienste erzeugt oder verarbeitet werden. Im Zusammenhang mit erfolglosen Anrufversuchen besteht die Speicherpflicht nach Abs 1 nur, soweit diese Daten im Zuge der Bereitstellung des betreffenden Kommunikationsdienstes erzeugt oder verarbeitet und gespeichert oder protokolliert werden.

(6) Die Speicherpflicht nach Abs 1 besteht nicht für solche Anbieter, deren Unternehmen nicht der Verpflichtung zur Entrichtung des Finanzierungsbeitrages gemäß § 34 KommAustriaG unterliegen.

(7) Der Inhalt der Kommunikation und insbesondere Daten über im Internet aufgerufene Adressen dürfen auf Grund dieser Vorschrift nicht gespeichert werden.

(8) Die nach Abs 1 zu speichernden Daten sind nach Ablauf der Speicherfrist unbeschadet des § 99 Abs 2 unverzüglich, spätestens jedoch einen Monat nach Ablauf der Speicherfrist, zu löschen. Die Erteilung einer Auskunft nach Ablauf der Speicherfrist ist unzulässig.

(9) Im Hinblick auf Vorratsdaten, die gemäß § 102b übermittelt werden, richten sich die Ansprüche auf Information oder Auskunft über diese Datenverwendung ausschließlich nach den Bestimmungen der StPO.

Auskunft über Vorratsdaten

§ 102b . (1) Eine Auskunft über Vorratsdaten ist ausschließlich aufgrund einer gerichtlich bewilligten Anordnung der Staatsanwaltschaft zur Aufklärung und Verfolgung von Straftaten, deren Schwere eine Anordnung nach § 135 Abs 2a StPO rechtfertigt, zulässig.

(2) Die nach § 102a zu speichernden Daten sind so zu speichern, dass sie unverzüglich an die nach den Bestimmungen der StPO und nach dem dort vorgesehenen Verfahren für die Erteilung einer Auskunft über Daten einer Nachrichtenübermittlung zuständigen Behörden übermittelt werden können.

(3) Die Übermittlung der Daten hat in angemessen geschützter Form nach Maßgabe des § 94 Abs 4 zu erfolgen.“

„ Verwaltungsstrafbestimmungen

§ 109 . (1) Eine Verwaltungsübertretung begeht und ist mit einer Geldstrafe bis zu 4 000 Euro zu bestrafen, wer

3) Strafprozessrecht

§ 135 Abs 1, 2 und 2a der Strafprozessordnung 1975, Bundesgesetzblatt Nr. 631/1975 in der anzuwendenden Fassung (im Folgenden kurz: StPO) lautet samt Überschrift:

„ Beschlagnahme von Briefen, Auskunft über Daten

einer Nachrichtenübermittlung,

Auskunft über Vorratsdaten sowie Überwachung von

Nachrichten

§ 135 . (1) Beschlagnahme von Briefen ist zulässig, wenn sie zur Aufklärung einer vorsätzlich begangenen Straftat, die mit mehr als einjähriger Freiheitsstrafe bedroht ist, erforderlich ist und sich der Beschuldigte wegen einer solchen Tat in Haft befindet oder seine Vorführung oder Festnahme deswegen angeordnet wurde.

(2) Auskunft über Daten einer Nachrichtenübermittlung ist zulässig,

(2a) Auskunft über Vorratsdaten (§§ 102a und 102b TKG) ist in den Fällen des Abs 2 Z 2 bis 4 zulässig.“

Daneben bestehen weitere Rechtsvorschriften, die zu einer Ermittlung von Vorratsdaten durch die Polizeibehörden und die Staatsanwaltschaften auch ohne richterliche Genehmigung ermächtigen (vgl. u.a. § 53 Abs 3a des Sicherheitspolizeigesetzes, Bundesgesetzblatt Nr. 566/1991 in der anzuwendenden Fassung).

Die Datenschutzkommission hat in Übereinstimmung mit der Rechtsprechung des EuGH die Bestimmungen des DSG 2000 und des TKG 2003 betreffend die Auskunftserteilung möglichst konform mit den Bestimmungen der Richtlinie 2006/24/EG und der Richtlinie 95/46/EG auszulegen (EuGH 7. 12. 1995, Rs C- 472/93, Luigi Spano ua, Slg 1995 I-4321 mwN) bzw. die GRC zu beachten. Die Frage der Auslegung der Richtlinie bzw. deren Gültigkeit und die Auslegung der GRC sind daher eine wesentliche Grundlage für die Entscheidung der Datenschutzkommission.

D) anzuwendende Vorschriften des Rechts der Europäischen

Union :

1) Charta der Grundrechte

„Artikel 8

Schutz personenbezogener Daten

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“

2) Richtlinie 2006/24/EG :

„Artikel 7

Datenschutz und Datensicherheit

Unbeschadet der zur Umsetzung der Richtlinien 95/46/EG und 2002/58/EG erlassenen Vorschriften stellt jeder Mitgliedstaat sicher, dass Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten bzw. Betreiber eines öffentlichen Kommunikationsnetzes in Bezug auf die nach Maßgabe der vorliegenden Richtlinie auf Vorrat gespeicherten Daten zumindest die folgenden Grundsätze der Datensicherheit einhalten:

[...]

3) Richtlinie 95/46/EG :

„Artikel 12

Auskunftsrecht

Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen folgendes zu erhalten:

„Artikel 13

Ausnahmen und Einschränkungen

(1) Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für

[…]

G) Rechtsfragen, die dieses Vorabentscheidungsersuchen

begründen

1) zur Auslegung :

Die Beschwerdegegnerin hat sich darauf berufen, durch konkrete Bestimmungen des nationalen Rechts entsprechend der Richtlinie 2006/24/EG an der Auskunftserteilung an den Betroffenen gehindert zu sein.

Damit stellt sich die Frage, ob Art 7 lit c der Richtlinie 2006/24/EG dahin auszulegen ist, dass er einer Auskunftsverpflichtung eines Datenverarbeiters hinsichtlich der Vorratsspeicherung entgegensteht.

Artikel 7 lit c der Richtlinie 2006/24/EG sieht vor, dass der Zugang zu den gemäß Artikel 5 der besagten Richtlinie gespeicherten Daten „ausschließlich besonders ermächtigten Personen vorbehalten ist“ .

Dies ermöglicht einerseits die Auslegung, dass die für Vorratszwecke (also für einen zukünftigen, noch unbestimmten Zweck aus dem Kreis des Sicherheitspolizeirechts und des Strafverfolgungsrechts) gespeicherten Daten ausschließlich bestimmten Personen aus dem Kreis der mit der Vollziehung entsprechender Gesetze befassten Behörden zugänglich gemacht werden sollen. Darunter wären etwa, entsprechend den Anordnungen der nationalen Gesetzgebung, Beamtinnen und Beamte bestimmter Polizeibehörden, Staatsanwaltschaften und Gerichte zu verstehen. Der betroffenen Person wäre der Zugang zu den eigenen Daten in diesem Fall verwehrt, was dadurch gerechtfertigt werden könnte, dass

Demgegenüber könnte dem Eingangssatz des Artikel 7 der Richtlinie 2006/24/EG sowie dem Erwägungsgrund 15 dieser Richtlinie die Absicht der europäischen Normsetzer entnommen werden, die durch die Richtlinie 95/46/EG eingeräumten Rechte der betroffenen Person nicht zusätzlich beschneiden zu wollen.

Artikel 7 lit c) der Richtlinie 2006/26/EG wäre dann so zu verstehen, dass er lediglich die Anordnung trifft, den tatsächlichen Zugriff auf Vorratsdaten – beim zur Speicherung verpflichteten Datenverarbeiter wie bei den zur Ermittlung dieser Daten ermächtigten Polizeibehörden und Justizbehörden - technisch und organisatorisch zu beschränken.

Andererseits stellt sich auch die Frage, ob nicht die unionsrechtlichen Vorgaben der Richtlinie 95/46/EG, insbesondere deren Art 12 in Verbindung mit Art 13, die Mitgliedstaaten auch in Fällen, in denen noch kein konkreter strafrechtsrelevanter Anlass vorliegt, verpflichten, ein Recht auf Auskunft festzulegen, oder ob die Vorratsdatenspeicherung allgemein in den Anwendungsbereich der Ausnahmebestimmung des Art 13 der Richtlinie 95/46/EG (aus Gründen der öffentlichen Sicherheit [lit c] oder der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten [lit d]) fällt.

2) zur Eventualfrage

Die als Eventualfrage zu verstehende Frage 3. wäre dann zu beantworten, wenn Art 7 der Richtlinie 2006/26/EG, allein oder in Verbindung mit den Artikeln 12 und 13 der Richtlinie 95/46/EG (Vorlagefragen 1. und 2.), der Festlegung eines Auskunftsrechts entgegenstehen sollte. Dann würde sich auch die grundsätzliche Frage der Berechtigung der Sonderregelungen für die Vorratsdatenspeicherung unter dem Aspekt des Art 8 der GRC stellen. Der mit der Vorratsdatenspeicherung verfolgte Zweck einer vorsorglichen Aufzeichnung von Verkehrsdaten und Standortdaten der elektronischen Kommunikation (vgl. Artikel 2 Abs 2 lit a)) stellt eine Beschränkung des Grundrechts im Sinne des Artikel 8 Abs 2 2. Satz der GRC dar. Die Vorratsspeicherung von Daten erfolgt pauschal, präventiv, ohne Anlass und ohne Vorliegen eines Verdachts gegen die betroffene Person.

Der österreichische Verfassungsgerichtshof hat in einem Vorlagebeschluss vom 28. November 2012 zu G 47/12 folgende Bedenken gegen die Anordnung der Vorratsspeicherung von Verkehrsdaten und Standortdaten geäußert (Randnummern 40 bis 46):

„Die Richtlinie ermöglicht die massenhafte Sammlung von Daten sowohl in Bezug auf den Kreis der Daten, mögen sie auch auf einen Katalog von Verkehrsdaten begrenzt sein, als auch in Bezug auf den nicht eingeschränkten Personenkreis sowie im Zusammenhang mit den staatlichen Aufgaben, für die sie angeordnet wird. Die "Streubreite" des Eingriffs übertrifft damit jene der bisher in der Rechtsprechung des Verfassungsgerichtshofes zu beurteilenden Eingriffe in das Grundrecht auf Datenschutz, wobei auch die Möglichkeiten der Verknüpfung von in unterschiedlichen Zusammenhängen ermittelten Daten zu berücksichtigen sind [....]

Die Vorratsdatenspeicherung erfasst darüber hinaus fast ausschließlich Personen, die keinerlei Anlass für die Datenspeicherung gegeben haben. Gleichzeitig werden sie – unabhängig von einer konkreten Ausgestaltung der Datenverwendung – durch den nationalen Gesetzgeber – notwendigerweise – einem erhöhten Risiko ausgesetzt sein, nämlich dass Behörden ihre Daten ermitteln, ihren Inhalt zur Kenntnis nehmen und sich damit über privates Verhalten solcher Personen informieren und diese Daten für andere Zwecke weiterverwenden (etwa als Folge der zufälligen Anwesenheit in einer bestimmten Funkzelle zu einem Zeitpunkt, der für Ermittlungen der Behörde relevant ist).“

(Verfassungsgerichtshof, Beschluss vom 28. November 2012, Randnummern 43 f).

Die Datenschutzkommission schließt sich diesen Bedenken an. Diese Bedenken gelten sinngemäß auch für die Frage, ob das durch die GRC gewährleistete Recht auf Auskunft über eigene Daten durch die entsprechenden Rechtsakte beschränkt werden kann. Die Datenschutzkommission ist überdies der Ansicht, dass im Hinblick auf das Unions-Grundrecht auf Datenschutz diesem Recht auf Auskunft zur Wahrung der Rechte des Betroffenen (etwa für den Zweck einer Kontrolle des Umfangs der Vorratsspeicherung von Daten) besondere Bedeutung zukommt.

[ Bitte BEACHTEN : Die Datenschutzbehörde als Nachfolgerin der Datenschutzkommission hat dieses Vorabentscheidungsersuchen mit Schreiben an den EuGH vom 29. April 2014, GZ: DSB-D077.008/0002-DSB/2014, zurückgezogen . Nähere Informationen auf der Website der Datenschutzbehörde:

http://www.dsb.gv.at/site/6185/default.aspx]