K121.972/0008-DSK/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Mag. HUTTERER, Mag. ZIMMER und Dr. GUNDACKER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 8. November 2013 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Gunther A*** (Beschwerdeführer) aus Dornbirn vom 23. Mai 2013 gegen die Vorarlberger Gebietskrankenkasse (Beschwerdegegnerin) in Dornbirn wegen Verletzung im Recht auf Auskunft über eigene Daten in Folge unrichtiger und unvollständiger Beantwortung seines Auskunftsverlangens vom 15. Mai 2013 durch Schreiben vom 17. Mai 2013 samt Ergänzung vom 10. Juni 2013 wird entschieden:

- Die B e s c h w e r d e wird a b g e w i e s e n.

Rechtsgrundlagen: § 1 Abs. 3 Z 1, § 4 Z 7 und 9, § 26 Abs. 1 und 4 und § 31 Abs. 1, 7 und 8 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Der Beschwerdeführer behauptet in seiner vom 23. Mai 2013 datierenden und am selben Tag per E-Mail bei der Datenschutzkommission eingelangten Beschwerde unter Vorlage zweier Urkundenkopien (Auskunftsverlangen und Antwortschreiben der Beschwerdegegnerin) eine Verletzung im Recht auf Auskunft über eigene Daten dadurch, dass die Beschwerdegegnerin auf sein Auskunfts-, Löschungs- und Berichtigungsverlangen vom 15. Mai 2013 hinsichtlich der Auskunftserteilung mit Schreiben vom 17. Mai 2013 keine ordnungsgemäße Antwort gegeben bzw. keine Auskunft erteilt habe.

Die Beschwerdegegnerin erteilte, von der Datenschutzkommission zur Stellungnahme aufgefordert, mit Schreiben vom 10. Juni 2013 im laufenden Verfahren eine umfangreiche datenschutzrechtliche Auskunft (nach Angaben der Beschwerdegegnerin enthält diese einen Ausdruck von mehr als 200 Datensätzen).

Die Datenschutzkommission gewährte dem Beschwerdeführer darauf am 18. Oktober 2013 Parteiengehör gemäß § 31 Abs. 8 DSG 2000 wegen augenscheinlicher Beseitigung der ursprünglichen Beschwer (Fehlen jeder inhaltlichen Auskunft).

Der Beschwerdeführer brachte dazu mit Schreiben vom 22. Oktober 2013 hinsichtlich der Verletzung im Recht auf Auskunft vor, die Beschwerdegegnerin habe „weder den nicht rechtskräftigen Bescheid vom 13.04.2012 samt dem dazugehörigen Strafakt noch die Löschung/Berichtigung (1. Absatz dieser Stellungnahme) ordnungsgemäß beauskunftet und es wird daher beantragt, die Datenschutzkommission wolle meiner Beschwerde stattgeben.“ Die übrigen Teile dieser Stellungnahme befassen sich mit dem Löschungs- bzw. Richtigstellungsverlangen und der behauptet rechtswidrigen Verwendung von Daten aus dem gegen den Beschwerdeführer existierenden „strafrechtlichen Unterlagen“ für Zwecke des von der Beschwerdegegnerin am 13.04.2012 erlassenen Bescheids. Beim weiteren erwähnten Bescheid handelt es sich um den Bescheid der Datenschutzkommission vom 18. Jänner 2013, GZ 00***.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das Auskunftsverlangen des Beschwerdeführers vom 15. Mai 2013 gesetzmäßig beantwortet hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Am 15. Mai 2013 richtete der Beschwerdeführer ein Schreiben mit folgendem Inhalt an die Beschwerdegegnerin:

„Gegenstand: Antrag auf Auskunft gem. DSG § 26 sowie Antrag um Löschung bzw. Berichtigung von Daten gem. DSG §§ 27 u. a.

Sehr geehrte Damen! Sehr geehrte Herren!

Sie haben mit Bescheid vom 13.04.2012, Zl. C/N**** , meine Daten beschafft, verarbeitet und weitergeleitet.

Gemäß § 26 DSG ersuche ich Sie als Auftraggeber um entsprechende Auskunft.

Nach § 27 DSG sind Sie als Auftraggeber verpflichtet, unrichtige oder unzulässig verarbeitete Daten zu berichtigen oder zu löschen, wenn Sie Kenntnis von der Unrichtigkeit oder der Unzuverlässigkeit der Verarbeitung erfahren oder wenn ein Betroffener dies beantragt.

In diesem Sinne stelle ich die Anträge , mich entsprechend zu beauskunften und jene betroffenen Daten zu löschen/berichtigen sowie mich nach erfolgter Löschung/Berichtigung davon zu verständigen. Die Auskunft/Löschung/Berichtigung ist innerhalb von 8 Wochen vorzunehmen.

Sollte eine Auskunft/Löschung/Berichtigung aufgrund technischer oder organisatorische Gegebenheiten im Sinne des § 26 und § 27 DSG nicht möglich sein, so fordere ich sie auf, entsprechende technische und organisatorische Vorkehrungen zu treffen, die eine weitere Verwendung/Beauskunftung und Weiterleitung der betroffenen Daten verhindern.

Ich möchte sie darauf hinweisen, dass alle bisherigen Empfänger, an die die von der Löschung betroffenen Daten weitergeleitet wurden, über die Löschung und die damit verbundene Unzulässigkeit der weiteren Verwendung der betroffenen Daten in Kenntnis gesetzt werden müssen.“

Dieses Schreiben ist der Beschwerdegegnerin unbestritten zugestellt worden. Sie antwortete darauf am 17. Mai 2013 mit dem folgenden Schreiben:

„Datenschutzbegehren

Sehr geehrter Herr A***,

mit Ihrem oben näher bezeichneten Schreiben bringen Sie vor, dass wir mit (dem Ihnen nachweislich zugestellten) Bescheid vom 13.04.2012 zu C /N****, ihre "Daten beschafft, verarbeitet und weitergeleitet" hätten. Sie verlangen Auskunft gemäß § 26 des Datenschutzgesetzes 2000 sowie die Richtigstellung oder Löschung der betroffenen Daten gemäß § 27 des Datenschutzgesetzes 2000. Dazu teilen wir Ihnen mit:

Der Inhalt des Schreibens entspricht im Wesentlichen dem Ihres Schreibens vom 24.05.2012. Dazu hat die Datenschutzkommission mit Bescheid vom 18.01.2013, GZ: 00**** ausgeführt, dass es sich bei einem Bescheid um keine "Datenanwendung" handelt und weder der Spruch noch die Sachverhaltsfeststellung noch andere Teile der Bescheidbegründung der Richtigstellung oder Löschung gemäß § 27 des Datenschutzgesetzes 2000 unterliegen. Bereits aus diesem Grund ist es uns auch nicht möglich, Ihrem neuerlichen Richtigstellungs- und Löschungsbegehren zu entsprechen. Außerdem erfordert ein Löschungsbegehren ein höheres Maß an Präzisierung, als es sich aus Ihren Schreiben ergibt, und wäre zum Richtigstellungsbegehren genau

auszuführen gewesen, bei welchen Datenarten Inhalte durch

andere, von Ihnen anzugebende Inhalte zu ersetzen wären.“

Am 23. Mai 2013 erhob der Beschwerdeführer darauf wegen behaupteter Verletzung seines Rechts auf Auskunft über eigene Daten Beschwerde gemäß § 31 Abs. 1 DSG 2000 an die Datenschutzkommission.

Am 10. Juni 2013 erteilte die Beschwerdegegnerin dem Beschwerdeführer mit folgendem Schreiben eine datenschutzrechtliche Auskunft:

„Antrag auf Auskunft gem. § 26 DSG 2000

Sehr geehrter Herr A***,

wir beziehen uns auf Ihren Antrag auf Auskunft gem. § 26 DSG 2000 vom 15.05.2013 und übermitteln Ihnen die zu Ihrer Person verarbeiteten und bei der Vorarlberger Gebietskrankenkasse aktuell gespeicherten Daten.

In Vollziehung des Allgemeinen Sozialversicherungsgesetzes sind wir gesetzlich berechtigt bzw. verpflichtet personenbezogene Daten zu verarbeiten.

Aufgrund der großen Datenmenge (über 200 Datensätze) sind schriftliche Erläuterungen zu den übermittelten Auszügen nicht möglich. Sollten Ihrerseits Fragen oder Unklarheiten zu einzelnen Daten auftreten, bitten wir Sie höflich, sich mit uns in Verbindung zu setzen. Gemäß § 26 Abs. 3 DSG 2000 hat der Auskunftswerber am Auskunftsverfahren in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.“

Diesem Schreiben angeschlossen waren Ausdrucke aus Datenanwendungen der Beschwerdegegnerin sortiert nach „Gesundheitsdaten“ (25 Seiten), „Daten als Dienstgeber“ (17 Seiten) sowie „Daten als Versicherter“ (117 Seiten, bezeichnet als eigentlicher „Versicherungsdatenauszug“ ).

Zwischen den Parteien dieses Verfahrens wurde in der zweiten Jahreshälfte 2012 ein Rechtsstreit vor der Datenschutzkommission ausgetragen, in dem es im Kern um die Zulässigkeit der Verwendung von Informationen aus einem gegen den Beschwerdeführer geführten kriminalpolizeilichen Ermittlungsverfahren durch die Beschwerdegegnerin im Zuge des Verfahrens zur Erlassung des zitierten Bescheids vom 13. April 2012, Zl. C/N****, geht. Mit diesem Bescheid wurde – nicht rechtskräftig – ein über mehrere Jahre dauerndes, nicht gemeldetes Pflichtversicherungsverhältnis des Beschwerdeführers bei der VGKK festgestellt, aus dem u.a. Nachforderungen an Sozialversicherungsbeiträgen gegen den Beschwerdeführer in der Datenschutzkommission nicht näher bekannter Höhe drohen. Die datenschutzrechtliche Beschwerde wegen Verletzung des Geheimhaltungs-, Löschungs- und Richtigstellungsrechts wurde von der Datenschutzkommission, soweit die Datenermittlung und -verwendung für Zwecke der Bescheiderlassung sowie ein behauptetes Recht auf Löschung und Richtigstellung dieser Daten gegenständlich waren, mit Bescheid vom 18. Jänner 2013, GZ: DSK-K00***, als unbegründet abgewiesen. Dieser Bescheid ist rechtskräftig aber vom Beschwerdeführer beim Verwaltungsgerichtshof zu Zl.000** mit Bescheidbeschwerde angefochten worden.

Beweiswürdigung : Diese Feststellungen beruhen auf den Beilagen zur Beschwerde vom 23. Mai 2013 (Auskunfts-, Löschungs- und Richtigstellungsverlangen vom 15. Mai 2013, Antwort der Beschwerdegegnerin vom 17. Mai 2013, vom Beschwerdeführer vorgelegte Urkundenkopien), den Beilagen zur Stellungnahme der Beschwerdegegnerin vom 10. Juni 2013 (datenschutzrechtliche Auskunft vom selben Tag) sowie bei der Datenschutzkommission aktenkundigen und auch den Parteien bekannten Tatsachen (Feststellungen zum Verfahren Zl. 00***).

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 3 Z 1 DSG 2000 lautet samt Überschrift:

„Grundrecht auf Datenschutz

§ 1. (1) [...] (2) [...]

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;“

§ 4 Z 1 und 7 bis 9 DSG 2000 lautet samt Überschrift:

„Definitionen

§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;

2. [...] 6. [...]

7. „Datenanwendung“: die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);

8. „Verwenden von Daten“: jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;

9. „Verarbeiten von Daten“: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten;“

§ 26 Abs. 1, 3 und 4 DSG 2000 lautet samt Überschrift:

„Auskunftsrecht

§ 26. (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hierfür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) [...]

(3) Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“

§ 31 Abs. 1, 3, 4, 7 und 8 DSG 2000 lautet samt Überschrift:

„Beschwerde an die Datenschutzkommission

§ 31. (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) [...]

(3) Die Beschwerde hat zu enthalten:

(4) Einer Beschwerde nach Abs. 1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs. 2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen.

(5) [...] (6) [...]

(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

(8) Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den §§ 26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des Verfahrens vor der Datenschutzkommission durch Reaktionen gegenüber dem Beschwerdeführer gemäß § 26 Abs. 4 oder § 27 Abs. 4 die behauptete Rechtsverletzung nachträglich beseitigen. Erscheint der Datenschutzkommission durch derartige Reaktionen des Beschwerdegegners die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzkommission das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.“

2. rechtliche Schlussfolgerungen

Die Beschwerde hat sich als inhaltlich unbegründet erwiesen.

Zwar nimmt das entsprechende Schreiben des Beschwerdeführers vom 15. Mai 2013 unmissverständlich, neben einem Löschungs- und Richtigstellungsbegehren, auch auf das Auskunftsrecht und § 26 DSG 2000 Bezug, macht dieses also geltend. Das ursprünglich ergangene Antwortschreiben der Beschwerdegegnerin vom 17. Mai 2013 begründet die Ablehnung des Löschungs- und Richtigstellungsbegehrens, gibt allerdings keine Begründung, warum das Auskunftsbegehren inhaltlich nicht beantwortet wird.

Die Beschwerdegegnerin hat allerdings die datenschutzrechtliche Auskunft am 10. Juni 2013 noch innerhalb der offenen Frist nachgeholt und den Beschwerdeführer damit klaglos gestellt.

Nach Parteiengehör gemäß § 31 Abs. 8 DSG 2000 hat der Beschwerdeführer zwar formal etwas gegen die Klaglosstellung vorgebracht. Sein Vorbringen beschränkt sich aber inhaltlich auf den Satz, die Beschwerdegegnerin habe „weder den nicht rechtskräftigen VGKK-Bescheid vom 13. 04. 2012 samt dem dazugehörigen Strafakt noch die Löschung/Berichtigung (1. Absatz dieser Stellungnahme) ordnungsgemäß beauskunftet“.

Damit vermag der Beschwerdeführer aber keine Mängel in der erteilten datenschutzrechtlichen Auskunft aufzuzeigen.

Wie schon im Bescheid vom 18. Jänner 2013, GZ: 00*** ausgeführt, ist ein Bescheid mit dem eventuell vorangehenden behördlichen Ermittlungsverfahren keine Datenanwendung, aus der Auskünfte gemäß § 26 Abs. 1 DSG 2000 zu erteilen sind. Wie schon aus der Verfassungsbestimmung des § 1 Abs. 3 DSG 2000 zu entnehmen ist, bezieht sich das Recht auf Auskunft nur auf Daten, die „zur automationsunterstützten Verarbeitung ... bestimmt sind“, demnach auf Daten, die Prozessbestandteile einer Datenanwendung gemäß § 4 Z 7 DSG 2000 wurden. Eine Datenanwendung kann Zwecken eines Behördenverfahrens dienen (z.B. der Aktenverwaltung oder der Erstellung, Adressierung und Versendung von Erledigungen), ein Behördenverfahren ist aber selbst keine Datenanwendung. Daher ist der Bescheid einer Behörde auch nicht gemäß § 26 DSG 2000 zu beauskunften.

Als Partei eines Behördenverfahrens steht dem Beschwerdeführer aber das Recht auf Akteneinsicht gemäß § 17 AVG zu, um seinen Bedarf an Informationen über das betreffende Verfahren zu befriedigen. Daher ist hier auch keine Gefahr einer Rechtsschutzlücke gegeben.

Eine „Löschung/Berichtigung“ wiederum ist ein Vorgang der Datenverarbeitung (vgl. die Begriffsdefinition in § 4 Z 9 DSG 2000) und ebenfalls keine Datenanwendung, aus der Auskunft erteilt werden kann.

Gegen die inhaltliche Richtigkeit und Vollständigkeit der am 10. Juni 2013 von der Beschwerdegegnerin erteilten datenschutzrechtlichen Auskunft wurde darüber hinaus nichts vorgebracht.

Die Beschwerde war somit spruchgemäß abzuweisen.