K121.552/0004-DSK/2013 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ, Mag. HEILEGGER, Dr. BLAHA und Dr. GUNDACKER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 6. September 2013 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Prof. Alfred H*** (Beschwerdeführer) aus Wien, vom 18. August 2009 gegen die Finanzmarktaufsichtsbehörde (Beschwerdegegnerin, kurz: FMA) wegen Verletzung im Recht auf Löschung in Folge Ablehnung des Löschungsbegehrens vom 8. Juni 2009 wird nach Aufhebung des Bescheids der Datenschutzkommission vom 20. Jänner 2010, GZ: K121.552/0002-DSK/2010, durch Erkenntnis des Verwaltungsgerichtshofs vom 25. Juni 2013, Zl. 2010/17/0214, neuerlich entschieden:
Rechtsgrundlagen : §§ 1 Abs. 3 Z 2, 6 Abs. 1 Z 2 und 5, 7 Abs. 1, 8 Abs. 1 Z 1 und 27 Abs. 3 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 2/2008, und § 31 Abs. 7 DSG 2000 idgF in Verbindung mit § 91 Abs.3 Z 1 und 2 des Wertpapieraufsichtsgesetzes 2007 (WAG 2007), BGBl I Nr. 60/2007 idF BGBl. I Nr. 107/2007, und § 22 Abs. 4 des Finanzmarktaufsichtsbehördengesetzes (FMABG), BGBl I Nr. 97/2001.
B e g r ü n d u n g:
A. Vorbringen der Parteien
Der Beschwerdeführer, der vor der Datenschutzkommission bis zum 7. August 2013 rechtsanwaltlich vertreten war , behauptet in seiner vom 18. August 2009 datierenden und am 19. August 2009 bei der Datenschutzkommission eingegangenen Beschwerde eine Verletzung im Recht auf Löschung dadurch, dass die FMA sein Löschungsbegehren vom 8. Juni 2009 (mit unzutreffender Begründung) abgelehnt habe. Er sei Kunde eines konzessionierten Wertpapierdienstleistungsunternehmens, der M***fonds Management Gesellschaft m.b.H. (kurz: M*M). Dieses, nicht jedoch der Beschwerdeführer selbst, unterstehe der Aufsicht der Beschwerdegegnerin. Dennoch habe die FMA ihn betreffende personenbezogene Daten (u.a. die Höhe seines Investments) ermittelt. Bereits die Datenermittlung sei mangels ausreichender Rechtsgrundlagen rechtswidrig erfolgt. Doch selbst wenn man die Ermittlung der Daten (zwecks Ziehung einer Stichprobe von Kundenprofilen, um die Rechtmäßigkeit des Handelns der M*M als Wertpapierdienstleister überprüfen zu können) rechtmäßig gewesen sei, wären die Daten spätestens ab dem Zeitpunkt zu löschen gewesen, an dem feststand, dass seine Geschäfte mit der M*M nicht zu den im Rahmen der Stichprobe zu prüfenden Geschäften gehören würden. Die Beschwerdegegnerin berufe sich nun in untauglicher Weise u.a. auf den Dokumentationszweck der zum Akt genommen und solcherart verarbeiteten Daten (enthalten in einer von der M*M an die FMA übermittelten Kundenliste) gemäß § 27 Abs. 3 DSG 2000 und § 22 Abs. 4 FMABG. Die Daten wären bereits im Zuge einer Vor-Ort-Prüfung bei der M*M im Jänner 2009 in Form einer Kundenliste an die FMA übermittelt worden. Noch ohne näheres Wissen über diesen Vorgang habe er durch eine einstweilige Verfügung des Handelsgerichts Wien vom 19. April 2009, AZ: 2* Cg *6/09o, der M*M die Datenübermittlung untersagen lassen. Dieser rechtliche Schritt bezog sich auf eine Verständigung der M*M, wonach die Beschwerdegegnerin eine neuerliche, weitergehende Datenübermittlung verlangt und der M*M schließlich mit Bescheid vom 14. April 2009 diese auch rechtskräftig aufgetragen habe (diesbezüglich ist zu Zl. B 504/09 eine VfGH-Beschwerde der M*M gegen die FMA anhängig, welcher aufschiebende Wirkung zuerkannt worden ist). Der Beschwerdeführer beantragte, seine Verletzung im Recht auf Löschung durch die Ablehnung seines Löschungsbegehrens festzustellen.
Die Beschwerdegegnerin , von der Datenschutzkommission zur Stellungnahme aufgefordert, brachte am 10. September 2009 vor, die M*M sei im Zuge einer Vor-Ort-Prüfung um die Übermittlung einer vollständigen Kundenliste, enthaltend insbesondere die (Nach )Namen und die Investmenthöhe aller Kunden der M*M gebeten worden, um daraus eine repräsentative Kundenstichprobe ziehen zu können. Die FMA habe sich dabei auf ihr gesetzlich eingeräumtes Einsichtsrecht in alle Unterlagen eines ihrer Aufsicht unterstehenden Unternehmens gemäß § 91 Abs. 3 Z 1 WAG 2007 berufen. Die von der M*M übermittelte Liste habe folgende Daten umfasst: interne Kundennummer, Nachnamen, Nationalität, Produktname einschließlich INSI (= internationale Wertpapierkennnummer), Abschlussdatum und Investitionshöhe. Die Liste habe auch diese Daten des Beschwerdeführers enthalten. Die Liste sei dem physischen Prüfakt beigelegt, sonst seien im Rahmen der Vor-Ort-Prüfung jedoch keine Daten des Beschwerdeführers verarbeitet worden. Gegen eine im Zuge des weiteren Prüfverfahrens erfolgte spätere Aufforderung zur Übermittlung näher spezifizierter Kundendaten hätten die M*M und der Beschwerdeführer rechtliche Schritte beim Verfassungsgerichtshof und beim Handelsgericht Wien unternommen, sodass es zu keiner (neuerlichen) Übermittlung von Daten des Beschwerdeführers mehr gekommen sei. Das am 8. Juni 2009 vom Beschwerdeführer gestellte Löschungsbegehren habe die FMA jedoch schon im Hinblick auf gesetzliche Dokumentations- und Archivierungspflichten ablehnen müssen. Als Grundlage der Datenermittlung werde neuerlich § 91 Abs. 3 Z 1 WAG 2007 angegeben, das entsprechende Einsichts- und Auskunftsrecht sei hier im Zuge des Prüfungsverfahrens auch mit dem Zweck des Schutzes der Anlegerinteressen ausgeübt worden, wofür eine Verwendung von Kundendaten nun einmal wesentliche Voraussetzung sei. Der Vorwurf einer rechtswidrigen Datenermittlung treffe daher nicht zu. § 22 Abs. 4 FMABG lege wiederum fest, dass „sonstige Unterlagen und Aufzeichnungen“, darunter auch die im Rahmen einer Vor-Ort-Prüfung ermittelten Dokumente, über einen Zeitraum von mindestens sieben Jahren aufbewahrt werden müssen. Das Löschungsbegehren des Beschwerdeführers sei daher zu Recht abgelehnt worden; eine Verletzung im Recht auf Löschung daher nicht erfolgt.
Der Beschwerdeführer replizierte darauf nach gewährtem Parteiengehör in der Stellungnahme vom 2. November 2009. Er verwies darauf, dass sowohl auf nationaler wie auf europarechtlicher Ebene das Recht auf Datenschutz von höherer Wertigkeit sei als die einfachgesetzlichen Bestimmungen des WAG 2007. Bereits das Ermitteln und Aufbewahren einer Liste mit Kundendaten stelle einen datenschutzrechtlich relevanten Verarbeitungsvorgang dar.
Hinsichtlich § 22 Abs. 4 FMABG führte der Beschwerdeführer aus, eine verfassungskonforme Interpretation der Bestimmung ergebe, dass personenbezogene Daten nicht unter den Begriff der „Unterlagen und Aufzeichnungen“ fallen würden, deren Aufbewahrung für sieben Jahre geboten sei. Vielmehr sei mit dem Abschluss der Vor-Ort-Prüfung auch der Verarbeitungszweck der Daten der Kundenliste weggefallen; daher wären die Daten des Beschwerdeführers spätestens auf dessen begründetes Begehren hin zu löschen gewesen.
Mit Bescheid vom 20. Jänner 2010, GZ: K121.552/0002-DSK/2010, wies die Datenschutzkommission die Beschwerde zur Gänze als unbegründet ab. Dagegen wurde vom Beschwerdeführer Beschwerde an den Verfassungs- und an den Verwaltungsgerichtshof erhoben. Der Verfassungsgerichtshof hat die Behandlung der Beschwerde mit Beschluss vom 20. September 2010, Zl. B 2xx/10, abgelehnt.
Mit Erkenntnis vom 25. Juni 2013, Zl. 2010/17/0214, hat der Verwaltungsgerichtshof den Bescheid vom 20. Jänner 2010 wegen Rechtswidrigkeit infolge Unzuständigkeit der belangten Behörde aufgehoben . Dabei nahm der Verwaltungsgerichtshof Bezug auf das Urteil des Gerichtshofs der Europäischen Union vom 16. Oktober 2012 in der Rechtssache C-614/10, wonach die Republik Österreich dadurch gegen ihre Verpflichtungen aus Art 28 Abs. 1 Unterabsatz 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen habe, dass sie nicht alle Vorschriften erlassen habe, die erforderlich seien, damit die in Österreich bestehende Rechtslage in Bezug auf die Datenschutzkommission dem Kriterium der Unabhängigkeit genüge, und zwar im Einzelnen dadurch, dass sie eine Regelung eingeführt habe, wonach
Damit war die Verwaltungssache erneut zu entscheiden. Da der Sachverhalt unstrittig ist, hat ein fortgesetztes Ermittlungsverfahren nicht stattgefunden.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin berechtigt war, das Löschungsbegehren des Beschwerdeführers vom 8. Juni 2009 abzulehnen und eine personenbezogene Daten des Beschwerdeführers enthaltende Liste von Kunden der M*M weiterhin im Akt des im Jänner 2009 bei der M*M durchgeführten Vor-Ort-Prüfungsverfahrens aufzubewahren.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Die FMA führte vom 14. bis zum 16. Jänner 2009 bei der M*M, Inhaberin einer so genannten „großen Konzession“ zur gewerblichen Erbringung von Wertpapierdienstleistungen und als solche der Aufsicht der Beschwerdegegnerin unterstehend, ein so genanntes Vor-Ort-Prüfungsverfahren durch mit dem Ziel, durch Ziehung von repräsentativen Kundenstichproben Ansatzpunkte für spätere Detailprüfungen der gesetzeskonformen Geschäftsgebarung der M*M zu gewinnen. Für diesen Zweck verlangte die Beschwerdegegnerin von der M*M eine Gesamtliste der Kunden, die auch von der M*M an die Beschwerdegegnerin übermittelt wurde. In dieser Liste sind Daten des Beschwerdeführers zu folgenden Datenarten enthalten:
Da der Beschwerdeführer nicht bei der Stichprobenziehung für weitere Prüfungen der M*M erfasst wurde, werden seine Daten in Form der ausgedruckten Liste im physischen Akt (Papierakt) der Vor-Ort-Prüfung aufbewahrt. Eine weitere Verarbeitung erfolgte erst in Form des Scannens (automationsunterstützten, grafischen Erfassens und Speicherns) der Liste zwecks Übermittlung an den Verfassungsgerichtshof im Zuge des Beschwerdeverfahrens Zl. B 504/09 (M*M gegen FMA wegen bescheidmäßigem Auftrag zur neuerlichen Datenübermittlung vom 9. April 2009, Zl. FMA-SN**34*/00*5-WAW/2009).
Beweiswürdigung : Diese Feststellungen beruhen auf dem glaubwürdigen, unwidersprochenen und durch Urkundenkopien (insbesondere siehe die Kopie der Kundenliste, erste Beilage zur Stellungnahme der Beschwerdegegnerin vom 10. September 2009, GZ: FMA-WL*5*8*/00*6-LAW/2009) gestützten Vorbringen der Beschwerdegegnerin.
Mit Schreiben (Einschreibbrief) vom 8. Juni 2009 verlangte der bereits anwaltlich vertretene Beschwerdeführer von der Beschwerdegegnerin mit ausführlicher rechtlicher Begründung, die „auf Herrn Prof. H*** bezogenen Daten, welche Sie anlässlich der Vor-Ort-Prüfungen bei M*M ermittelt haben, zu löschen“. Mit Schreiben vom 31. Juli 2009, GZ: FMA-W*7*45/000*3-WAW/2009, lehnte die Beschwerdegegnerin dieses Begehren mit der Begründung ab, die „Aufbewahrung“ der rechtmäßig ermittelten Daten, die als „sonstige Unterlagen und Aufzeichnungen“ gemäß § 22 Abs. 4 FMABG zu werten seien, über einen Zeitraum von mindestens sieben Jahren sei durch die zitierte Bestimmung geboten.
Beweiswürdigung : Diese Feststellungen beruhen auf den zitierten Schreiben der Streitparteien, in Kopie vorgelegt vom Beschwerdeführer als Beilagen zur Beschwerde vom 18. August 2009. Der Sachverhalt ist im Übrigen hier unstrittig.
D. In rechtlicher Hinsicht folgt daraus :
I. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung § 1 Abs. 1 bis 4 DSG 2000 lautet samt Überschrift:
„ Grundrecht auf Datenschutz
§ 1 . (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.“
§ 6 Abs. 1 und 2 DSG 2000 idF vor BGBl. I Nr. 133/2009 lautet samt Überschrift:
„ Grundsätze
§ 6 . (1) Daten dürfen nur
(2) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.“
§ 7 Abs. 1 DSG 2000 idF vor BGBl. I Nr. 133/2009 lautet samt Überschrift:
„ Zulässigkeit der Verwendung von Daten
§ 7 . (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.“
§ 8 Abs. 1 bis 3 DSG 2000 idF vor BGBl. I Nr. 133/2009 lautet samt Überschrift:
„ Schutzwürdige Geheimhaltungsinteressen bei
Verwendung nichtsensibler Daten
§ 8 . (1) Gemäß § 1 Abs. 1 bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
(2) Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die Verwendung solcher Daten gemäß § 28 Widerspruch zu erheben, bleibt unberührt.
(3) Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten
§ 27 Abs. 1 bis 4 DSG 2000 idF vor BGBl. I Nr. 133/2009 lautet samt Überschrift:
„ Recht auf Richtigstellung oder
Löschung
§ 27 . (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§ 46 und 47.
(2) Der Beweis der Richtigkeit der Daten obliegt - sofern gesetzlich nicht ausdrücklich anderes angeordnet ist - dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.
(3) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.
(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.“
Die §§ 37f und 60 Abs. 6a DSG 2000 idF der DSG-Novelle 2013, BGBl. I Nr. 57/2013, lauten, soweit wesentlich, samt Überschriften wie folgt:
„ Weisungsfreiheit der Datenschutzkommission
§ 37 . (1) Die Mitglieder der Datenschutzkommission sind in Ausübung ihres Amtes unabhängig und an keine Weisungen gebunden.
(2) Die Datenschutzkommission ist eine Dienstbehörde und Personalstelle. Zur Unterstützung der Datenschutzkommission ist eine Geschäftsstelle eingerichtet. Im Bundesfinanzgesetz ist die notwendige Sach- und Personalausstattung sicherzustellen. Die Bediensteten der Geschäftsstelle unterstehen nur den Weisungen des Vorsitzenden der Datenschutzkommission. Der Vorsitzende der Datenschutzkommission übt die Diensthoheit über die Bediensteten in der Geschäftsstelle aus.
Organisation und Geschäftsführung der Datenschutzkommission
§ 38 . (1) (Verfassungsbestimmung) Die Datenschutzkommission hat sich eine Geschäftsordnung zu geben, in der eines ihrer Mitglieder mit der Führung der laufenden Geschäfte zu betrauen ist (geschäftsführendes Mitglied). Diese Betrauung umfaßt auch die Erlassung von verfahrensrechtlichen Bescheiden und von Mandatsbescheiden im Registrierungsverfahren gemäß § 20 Abs. 2 oder § 22 Abs. 3. Inwieweit einzelne fachlich geeignete Bedienstete der Geschäftsstelle der Datenschutzkommission zum Handeln für die Datenschutzkommission oder das geschäftsführende Mitglied ermächtigt werden, bestimmt die Geschäftsordnung.
(2) Der Bundeskanzler kann sich beim Vorsitzenden der Datenschutzkommission über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Vorsitzenden der Datenschutzkommission nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, widerspricht. [...]“
„ § 60 . [...]
(6a) § 37 Abs. 2, § 38 Abs. 2 und § 61 Abs. 9 in der Fassung des Bundesgesetzes BGBl. I Nr. 57/2013 treten mit 1. Mai 2013 in Kraft.“
§ 91 WAG 2007 in der im Zeitpunkt der Datenermittlung (14. bis 16. Jänner 2009) anzuwendenden Fassung laut BGBl. I Nr. 107/2007 lautete samt Überschrift:
„ Verfahrensvorschriften
§ 91 . (1) Die FMA hat die Einhaltung dieses Bundesgesetzes durch
zu überwachen und dabei auf das volkswirtschaftliche Interesse an einem funktionsfähigen Kapitalmarkt und auf die Interessen der Anleger Bedacht zu nehmen.
(2) Die FMA hat auf Grund der ihr nach diesem Bundesgesetz und dem BörseG zukommenden Aufgaben nach Maßgabe der Bestimmungen dieser Bundesgesetze alle Untersuchungen durchzuführen und jene Maßnahmen zu ergreifen, die erforderlich sind,
(3) In Ausübung der Zuständigkeiten gemäß Abs. 1 und Abs. 2 ist die FMA unbeschadet der ihr auf Grund anderer bundesgesetzlicher Bestimmungen zustehenden Befugnisse jederzeit ermächtigt,
(4) Die FMA ist zur Verarbeitung von Daten im Sinne des DSG 2000 ermächtigt, soweit dies eine wesentliche Voraussetzung zur Wahrnehmung der ihr nach diesem Bundesgesetz und dem BörseG übertragenen Aufgaben in folgenden Bereichen ist:
(5) Die Weiterleitung von Daten gemäß Abs. 4 ist im Rahmen der Amtshilfe zulässig sowie an zuständige Behörden von Mitgliedstaaten, soweit dies für die Erfüllung von Aufgaben, die den Aufgaben der FMA nach diesem Bundesgesetz, dem Börsegesetz 1989, der Verordnung (EG) Nr. 1287/2006 oder der Verordnung (EG) Nr. 2273/2003 der Kommission entsprechen, erforderlich ist, und soweit die weitergeleiteten Daten bei diesen Behörden dem Berufsgeheimnis gemäß Art. 54 der Richtlinie 2004/39/EG unterliegen.
(6) Die Weiterleitung von Daten gemäß Abs. 4 ist innerhalb desselben Rahmens, zu denselben Zwecken und mit denselben Beschränkungen wie an zuständige Behörden von Mitgliedstaaten gemäß Abs. 3 auch an Behörden von Drittländern, die den Aufgaben der FMA entsprechende Aufgaben wahrzunehmen haben, nur zulässig, soweit die weitergeleiteten Daten bei diesen Behörden einem dem Berufsgeheimnis in Art. 54 der Richtlinie 2004/39/EG entsprechenden Berufsgeheimnis unterliegen und im Einklang mit Kapitel IV der Richtlinie 95/46/EG stehen.
(7) Meldedaten gemäß § 64 Abs. 2 und 4 dürfen bei sonstiger Nichtigkeit in einem ausschließlich wegen §§ 33 bis einschließlich 41 und 49 bis einschließlich 52 des Finanzstrafgesetzes – FinStrG, BGBl. Nr. 129/1958, geführten Verfahren nicht zum Nachteil des Beschuldigten oder der Nebenbeteiligten verwendet werden. Ergibt sich bei der FMA auf Grund der von ihr ermittelten Daten ein Verdacht lediglich auf Verletzung der §§ 33 bis einschließlich 41 und 49 bis einschließlich 52 FinStrG, so hat sie die Anzeige gemäß § 78 StPO sowie die Anzeige an die Finanzstrafbehörde zu unterlassen.
(8) Ergibt sich für die FMA bei der Wahrnehmung ihrer Aufgaben der Verdacht, dass eine Transaktion der Geldwäscherei dient, so hat sie die Behörde (§ 6 SPG) hievon unverzüglich in Kenntnis zu setzen. § 41 Abs. 6 BWG ist anzuwenden.“
§ 22 Abs. 4 FMABG lautet samt Überschrift:
„ Verfahrensbestimmungen
§ 22 . (1) [...] (3) [...]
(4) Die FMA hat Unterlagen und Aufzeichnungen von allgemeiner oder grundsätzlicher Bedeutung dauernd aufzubewahren. Der dauernden Aufbewahrungspflicht unterliegen jedenfalls die von ihr erlassenen Bescheide. Sonstige Unterlagen und Aufzeichnungen sind mindestens sieben Jahre aufzubewahren; diese Frist beginnt mit Ablauf des Kalenderjahres, in dem
II. rechtliche Schlussfolgerungen
A. zur Zuständigkeit der Datenschutzkommission
Der Verwaltungsgerichtshof hat mit Erkenntnis vom 25. Juni 2013, Zl. 2010/17/0214, die Datenschutzkommission als im Zeitpunkt der Entscheidung über die vorliegende Beschwerde im ersten Rechtsgang, dem 20. Jänner 2010, unzuständige Behörde eingestuft und demzufolge den Bescheid GZ: K121.552/0002- DSK/2010 wegen Rechtswidrigkeit infolge Unzuständigkeit der belangten Behörde aufgehoben. Gemäß § 63 Abs. 3 VwGG ist die Datenschutzkommission verpflichtet, den der Rechtsansicht des Höchstgerichts entsprechenden Zustand herzustellen. Daher ist zunächst zu prüfen, ob die vom Verwaltungsgerichtshof festgestellte Unzuständigkeit der Datenschutzkommission weiterhin gegeben ist.
Mit der DSG-Novelle 2013, BGBl. I Nr. 57/2013, hat die Republik Österreich in Reaktion auf das EuGH-Urteil vom 16. Oktober 2012, Rs C-614/10, im Datenschutzgesetz 2000 vorgesehen, dass die Datenschutzkommission selbst Dienstbehörde und Personalstelle ist, die Bediensteten der Geschäftsstelle nur den Weisungen des Vorsitzenden der Datenschutzkommission unterstehen und der Vorsitzende der Datenschutzkommission die Diensthoheit über die Bediensteten in der Geschäftsstelle ausübt (§ 37 Abs. 2 DSG 2000). Überdies wurde das Unterrichtungsrecht des Bundeskanzlers nach § 38 Abs. 2 DSG 2000 dahingehend eingeschränkt, dass der Vorsitzende der Datenschutzkommission dem Unterrichtungsrecht nur insoweit zu entsprechen hat, als dies nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie widerspricht.
Die DSG-Novelle 2013 trat mit 1. Mai 2013 in Kraft, sodass die Schlussfolgerung des Verwaltungsgerichtshofes, die Datenschutzkommission sei zur Entscheidung über die vorliegende Beschwerde unzuständig gewesen, weil sie nach den Vorgaben der Richtlinie 95/46/EG nicht „völlig unabhängig“ sei, jedenfalls mit jenem Datum nicht mehr zutreffend ist. Die Datenschutzkommission ist seit 1. Mai 2013 daher zur Entscheidung über die vorliegende Beschwerde zuständig. Daher ist die Beschwerde in weiterer Folge meritorisch zu prüfen, wobei hier keine für die Datenschutzkommission präjudizielle Rechtsansicht des Höchstgerichts vorliegt.
B) in der Sache selbst
B) 1. Rechtmäßigkeit der Datenermittlung
Die Beschwerdegegnerin FMA bewahrt die Daten, deren Löschung Gegenstand dieses Rechtsstreits ist, in Form einer Liste mit vorgegebenen Datenarten auf. Derartige Listen sind (manuelle) Dateien gemäß § 4 Z 6 DSG 2000 (vgl. zur Begründung dieser richtlinienkonformen Interpretation den Erwägungsgrund 27 zur Richtlinie 95/46/EG, wo ausdrücklich von „Listen“ die Rede ist; vgl. auch VwGH Erkenntnis vom 21.10.2004, 2004/06/0086). Auf die Ermittlung und Speicherung (Aufbewahrung) dieser Daten ist das DSG 2000 gemäß § 58 DSG 2000 hier daher wie bei automationsunterstützten Datenanwendungen anzuwenden.
Der Beschwerdeführer bestreitet die Rechtmäßigkeit der Ermittlung und Speicherung seiner Daten. Es fehle einerseits an einer tauglichen, gehörig determinierten gesetzlichen Ermächtigung, andererseits wären seine Daten als Kunde für den Zweck der von der FMA bei der M*M durchgeführten Prüfung nicht relevant, sodass auch eine Interessenabwägung gemäß § 8 Abs. 1 Z 3 und Abs. 3 Z 1 DSG 2000 zu dem Schluss führe, dass die FMA seine Daten nicht ermitteln hätte dürfen.
Dieser Auslegung kann die Datenschutzkommission nicht folgen.
Gemäß § 91 Abs. 3 Z 1 bis 4 WAG 2007 in der im Zeitpunkt der Datenermittlung (14. bis 16. Jänner 2009, maßgeblicher Zeitpunkt für die Beurteilung der Rechtmäßigkeit des Handelns der Beschwerdegegnerin) anzuwendenden Fassung wie auch gemäß späterer Fassungen der Gesetzesbestimmung war und ist die Beschwerdegegnerin gesetzlich ermächtigt, in die Bücher, Schriftstücke und Datenträger der ihrer Aufsicht unterstehenden Unternehmen – zu denen die M*M unstrittig gehört hat - Einsicht zu nehmen und Kopien von ihnen zu erhalten sowie von diesen Unternehmen und ihren Organen Auskünfte zu verlangen und gemäß den Verwaltungsverfahrensgesetzen Personen vorzuladen und zu befragen, durch eigene Prüfer, Abschlussprüfer oder sonstige Sachverständige vor Ort Prüfungen durchzuführen sowie von den Unternehmen bereits existierende Aufzeichnungen von Telefongesprächen und Datenübermittlungen anzufordern. Die Beschwerdegegnerin ist weiters gemäß Abs. 4 Z 1 und 2 leg.cit. berechtigt, für Zwecke entsprechender Verfahren personenbezogene Daten zu verarbeiten. Diese Ermächtigung ist nach Ansicht der Datenschutzkommission ausreichend präzise, um eine Eingriffsermächtigung gemäß § 8 Abs. 1 Z 1 DSG 2000 zu bilden, sodass es keiner besonderen Interessenabwägung zur Rechtfertigung des Eingriffs bedarf. Kundendaten wie die im Beschwerdefall gegenständlichen Daten gehören nämlich zweifelsfrei zu jeden Daten, die auf den in § 91 Abs. 3 Z 1 WAG 2007 erwähnten Datenträgern einer Wertpapierfirma gespeichert sein werden. Vom Gesetzgeber zu erwarten, er müsste jede denkbare Datenart und jeden möglichen Betroffenenkreis für jede in Frage kommende Prüfungsaufgabe einer Behörde wie der FMA voraussehen und im Gesetz einzeln aufzählen, hieße die Möglichkeiten einer vernünftigen Gesetzgebungstechnik überspannen. Die Beschwerdegegnerin hat glaubwürdig dargelegt, für ihre Überwachungsaufgaben gemäß § 91 Abs. 1 WAG 2007 eine Stichprobe der Kunden der M*M ziehen zu müssen und dafür eine Gesamtliste der Kunden samt einigen für die Auswahl relevanten Daten betreffend deren Investments zu benötigen.
Auch eine Einbeziehung der Erwägungen des Verfassungsgerichtshofs (VfGH) im Erkenntnis vom 17. Dezember 2009, VfSlg 18.975/2009, ändert an dieser Schlussfolgerung nichts.
Der VfGH hat am 20. September 2010 die Behandlung einer gegen den nunmehr vom VwGH wegen Unzuständigkeit der Datenschutzkommission aufgehobenen Bescheid, K121.552/0002- DSK/2010, gerichtete Beschwerde mit folgender Begründung abgelehnt:
Es „übersieht die Beschwerde den Umstand, dass die Miterfassung von Daten über den Beschwerdeführer im Zuge einer „punktuellen“ Einschau in die Unterlagen eines (Wertpapier-) Unternehmens im Rahmen einer so genannten „Vor-Ort-Prüfung“ durch die FMA stattgefunden hat (und in dieser Hinsicht – im Unterschied zum Sachverhalt des Erkenntnisses vom 17.12.2009, B 504/09 [= VfSlg 18.975/2009] – dem Verhältnismäßigkeitsgebot nicht widerspricht) und dass die Pflicht der FMA zur siebenjährigen Aufbewahrung ihrer „Unterlagen und Aufzeichnungen“ nicht spezifisch bzw. intentional und systematisch auf die Verarbeitung personenbezogener Daten in Dateien abzielt, weshalb sie insofern durch den der Bestimmung des § 22 Abs. 4 FMABG zugrunde liegenden Dokumentations- und Archivierungszweck gerechtfertigt ist“ (Beschluss des VfGH vom 20. September 2010, Zl. B 2xx/10-7).
Die Ermittlung und Speicherung (Aufbewahrung) der Daten des Beschwerdeführers im Rahmen der „Kundenliste“ war somit rechtmäßig.
B) 2. weitere Verarbeitung der Beschwerdeführerdaten
Der Beschwerdeführer bringt weiters vor, nach Auswahl der Kundendaten für eine Stichprobe, spätestens aber nach seinem begründeten Löschungsbegehren hätte die Beschwerdegegnerin zu dem Schluss kommen müssen, dass die fraglichen Daten nicht länger benötigt werden und daher zu löschen wären. Die Beschwerdegegnerin hält dem entgegen, durch § 22 Abs. 4 FMABG (entsprach im Zeitpunkt der Entscheidung über das Löschungsbegehren und entspricht noch der Stammfassung, maßgeblicher Zeitpunkt für die Beurteilung der Rechtmäßigkeit des Handelns der Beschwerdegegnerin war hier der 31. Juli 2009) verpflichtet zu sein, die entsprechenden Daten mindestens sieben Jahre ab Abschluss des Verfahrens gerechnet aufzubewahren, da es sich um „Unterlagen und Aufzeichnungen“ eines durchgeführten behördlichen Prüfungsverfahrens handle.
§ 22 Abs. 4 FMABG ist eine archiv- bzw. dokumentationsrechtliche Rechtsvorschrift des Typs, auf den § 6 Abs. 1 Z 5 und § 27 Abs. 3 DSG 2000 Bezug nehmen. Es kann dabei kein Zweifel darüber bestehen, dass von den „Unterlagen und Aufzeichnungen“ – der Gesetzgeber hat hier im systematischen Zusammenhang offenkundig bewusst zwei weite und relativ unbestimmte Begriffe gewählt – auch manuelle Dateien wie die verfahrensgegenständliche, auf Papier ausgedruckte und in einen Papierakt ( „physischen Akt“ ) eingereihte Kundenliste erfasst sein sollen.
Daraus folgt, dass die Beschwerdegegnerin dem Löschungsbegehren des Beschwerdeführers zu Recht § 22 Abs. 4 FMABG entgegengehalten hat. Damit hat sie durch die Ablehnung des Löschungsbegehrens das Recht des Beschwerdeführers auf Löschung seiner Daten nicht verletzt (siehe dazu auch den oben unter B) 1. zitierten Beschluss des VfGH.
Die Beschwerde war daher spruchgemäß als unbegründet abzuweisen.