Index
10/10 Grundrechte, Datenschutz, AuskunftspflichtNorm
DSG 2000 §1 Abs1, Abs3, Abs4 Z6, §27Leitsatz
Keine Verletzung verfassungsgesetzlich gewährleisteter Rechte durch Versagung eines Löschungsbegehrens hinsichtlich der bei einem Finanzamt aufbewahrten Daten der Beschwerdeführerin, insbesondere zu ihrem Sexualleben; Recht auf Löschung eingeschränkt auf automationsunterstützt verarbeitete Daten; subjektives Recht auf Beendigung einer unverhältnismäßigen, das Recht auf Privatleben verletzenden, weiteren Verwendung der in Papierakten enthaltenen Daten auf Grund des Rechts auf GeheimhaltungSpruch
Die Beschwerdeführerin ist durch den angefochtenen Bescheid weder in einem verfassungsgesetzlich gewährleisteten Recht noch wegen Anwendung einer rechtswidrigen generellen Norm in ihren Rechten verletzt worden.
Die Beschwerde wird abgewiesen.
Begründung
Entscheidungsgründe
I. Sachverhalt, Beschwerdevorbringen und Vorverfahren
1. Im Februar 2007 führte das Landeskriminalamt Niederösterreich gegen die Beschwerdeführerin verdeckte polizeiliche Ermittlungen wegen des Verdachts der illegalen Prostitution durch und erstattete Anzeige an die Bezirkshauptmannschaft Tulln sowie an das Finanzamt Hollabrunn Korneuburg Tulln. Gegen die von den Organen des Landespolizeikommandos Niederösterreich durchgeführten Amtshandlungen und Erhebungen ergriff die Beschwerdeführerin mit Schriftsatz vom 21. August 2008 Beschwerde an den Unabhängigen Verwaltungssenat des Landes Niederösterreich, der diese mit Bescheid vom 5. Mai 2009 gemäß §67c Abs3 AVG als verspätet zurückwies und den Antrag der Beschwerdeführerin auf Wiedereinsetzung in den vorigen Stand abwies. Der Verfassungsgerichtshof lehnte mit Beschluss vom 23. Februar 2010 die Behandlung der dagegen gemäß Art144 B-VG erhobenen Beschwerde ab und trat die Beschwerde dem Verwaltungsgerichtshof zur Entscheidung ab, der die Behandlung der Beschwerde mit Beschluss vom 20. März 2013, 2012/01/0024-12, ebenfalls ablehnte.
2. Auf Grund der an das Finanzamt Hollabrunn Korneuburg Tulln erstatteten Anzeige ging dieses von "Einkünften aus Gewerbebetrieb" aus und erließ Einkommensteuerbescheide für die Jahre 2004 bis 2006, die von der Beschwerdeführerin im Rechtsweg bekämpft wurden und die der Unabhängige Finanzsenat in der Folge behob. Die dagegen erhobene Amtsbeschwerde des Finanzamts Hollabrunn Korneuburg Tulln wies der Verwaltungsgerichtshof mit Erkenntnis vom 25. Jänner 2012, 2009/13/0011, ab.
3. Mit Schriftsatz vom 23. April 2013 beantragte die Beschwerdeführerin gemäß §27 Abs1 Z2 Datenschutzgesetz 2000 (DSG 2000) beim Finanzamt Hollabrunn Korneuburg Tulln die Löschung der Daten insbesondere zu ihrem Sexualleben. Diesem Antrag kam das Finanzamt Hollabrunn Korneuburg Tulln nicht nach. Dagegen erhob die Beschwerdeführerin Beschwerde an die Datenschutzkommission, weil sie sich in ihrem Recht auf Löschung der Daten verletzt erachtete.
Mit dem nunmehr angefochtenen Bescheid vom 6. September 2013 wies die Datenschutzkommission die Beschwerde mit folgender Begründung ab:
3.1. Das Vorbringen der Beschwerdeführerin, dass ihr ein auf Art8 EMRK gestütztes Recht auf Löschung zukomme, sei von der Prüfkompetenz der Datenschutzkommission nur insoweit erfasst, als es auch in §1 Abs3 Z2 DSG 2000 Deckung finde.
3.2. Es würden keine das Sexualleben der Beschwerdeführerin betreffenden Daten automationsunterstützt gespeichert. Hinsichtlich der sonstigen Daten, welche elektronisch gespeichert würden, könne der Argumentation des Finanzamts Hollabrunn Korneuburg Tulln nicht entgegengetreten werden, die weitere Aufbewahrung der Daten sei aus Gründen der Dokumentation des behördlichen Handelns erforderlich, zumal innerhalb der dreijährigen Frist des §45 Abs2 VwGG die Wiederaufnahme des Verfahrens vor dem Verwaltungsgerichtshof nicht auszuschließen sei.
3.3. "Herkömmliche Papierakten" würden nach der ständigen Rechtsprechung der Gerichtshöfe des öffentlichen Rechts nicht dem "datenschutzrechtlichen subjektiven Recht auf Löschung" unterliegen, weil sie keine "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind", und damit gemäß §4 Z6 DSG 2000 keine "Datei" seien. Der die Beschwerdeführerin betreffende Betriebsprüfungs-Arbeitsbogen des Finanzamts Hollabrunn Korneuburg Tulln weise keine vorgegebene inhaltliche Struktur auf, die es ermögliche, Daten nach zumindest einem Suchkriterium zu finden; auch durch Verweise in elektronisch gespeicherten Dokumenten auf den Papierakt werde dieser nicht zur "Datei".
3.4. Das Finanzamt Hollabrunn Korneuburg Tulln habe die vom Landeskriminalamt übermittelten Daten dem abgabenrechtlichen Verfahren zugrunde legen dürfen: Nach §166 Bundesabgabenordnung (BAO) komme als Beweismittel alles in Betracht, was zur Feststellung des maßgeblichen Sachverhalts geeignet und nach Lage des einzelnen Falles zweckdienlich sei. Nach ständiger Rechtsprechung des Verwaltungsgerichtshofes sei im Abgabenverfahren die Verwertung von rechtswidrig erlangten Beweismitteln nicht ausgeschlossen.
4. In der dagegen gemäß Art144 B-VG erhobenen Beschwerde behauptet die Beschwerdeführerin die Verletzung in den verfassungsgesetzlich gewährleisteten Rechten auf Achtung des Privatlebens gemäß Art8 EMRK, auf Unterbleiben einer erniedrigenden Behandlung gemäß Art3 EMRK, auf diskriminierungsfreie Anwendung dieser Bestimmungen gemäß Art14 EMRK sowie auf eine wirksame Beschwerde gemäß Art13 iVm Art3 bzw. Art8 EMRK.
4.1. Die Informationen über die Beschwerdeführerin seien in mehrfach (verfassungs-)gesetzwidriger Weise gewonnen worden. Unter anderem sei die Beschwerdeführerin einer erniedrigenden Behandlung iSd Art3 EMRK ausgesetzt worden, indem der verdeckte Ermittler auf Grund einer Täuschung die Wohnung der Beschwerdeführerin betreten habe, wo ihn die Beschwerdeführerin in zuvor von ihm ausgesuchten Dessous empfangen habe; in der Folge sei die Beschwerdeführerin so den Blicken der hinzugekommenen Beamten und einem demütigendem Verhör über ihr Sexualleben ausgesetzt gewesen.
4.2. Durch die gegen Art8 und Art3 EMRK verstoßende Art der Informationsgewinnung unterscheide sich die vorliegende Konstellation von jenen, die der bisherigen Judikatur des Verfassungsgerichtshofes, wonach aus Art8 EMRK grundsätzlich kein Recht auf Löschung von Informationen bzw. Daten aus Papierakten abgeleitet werden könne, zugrunde gelegen seien. Angesichts der rechtswidrigen Informationsgewinnung erübrige sich – anders als in Fällen der im Dienste der Strafrechtspflege ursprünglich rechtmäßig erlangten, in Papierakten aufbewahrten Informationen – eine Verhältnismäßigkeitsprüfung, und die Beschwerdeführerin habe Anspruch auf Wiederherstellung des Zustands vor den "Polizeiübergriffen", also einen Anspruch auf physische Vernichtung der Akten und Löschung der Daten.
4.3. Es sei keine Strukturierung der Datensammlung nötig, um im Papierakt auf die – unrichtige und beleidigende – Aussage zu stoßen, die Beschwerdeführerin sei eine Prostituierte; vielmehr finde sich diese Aussage auf fast jeder Seite.
4.4. Nach der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte liege ein Eingriff in den Schutzbereich des Art8 EMRK vor; es sei unerheblich, ob die Informationen nur manuell in einem Papierakt oder in einem Computersystem gespeichert würden.
4.5. Es sei mit Art8 EMRK weiters unvereinbar, wenn der Staat zwar Informationen sammle und verarbeite, es aber keine klaren und mit dem Datenschutz vereinbaren Regeln gebe, die eine Löschung vorsähen; dies folge auch aus dem rechtsstaatlichen Prinzip des Art18 B-VG. Eine Verwendung von sensiblen persönlichen Daten als Beweismittel könne Art8 EMRK verletzen, wenn das Gesetz ohne ausdrückliche Garantien gegen Missbrauch die Unbeschränktheit der Beweismittel postuliere. §166 BAO sei daher grundrechtskonform so auszulegen, dass die strittigen Informationen zu keinem Zeitpunkt für ein Abgabenverfahren verwertbar gewesen seien, weil die Verwertung Art8 EMRK verletze.
4.6. Die Aufbewahrung der Information sowohl in elektronischer als auch in Papierform sei auch unverhältnismäßig: Jedenfalls zum Zeitpunkt der Entscheidung der belangten Behörde habe der Zweck der Datenerhebung die weitere Aufbewahrung nicht länger rechtfertigen können. Die steuerliche Verwertbarkeit sei durch das Erkenntnis des Verwaltungsgerichtshofes vom 25. Jänner 2012, 2009/13/0011, verneint worden. Durch den Entfall des Anfangszwecks werde eine weitere Datenverwendung unverhältnismäßig. Die beabsichtigte Verwertung grundrechtswidrig erhobener Informationen perpetuiere außerdem die Grundrechtsverletzung.
4.7. Die diffamierenden Bezeichnungen ("Prostitution" bzw. "Prostituierte") könnten in Papierakten leicht geschwärzt werden.
4.8. Art8 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutz-RL), ABl. 1995 L 281, 31, verbiete es ausdrücklich, Informationen über das Sexualleben zu verarbeiten; es liege keine der (engen) Ausnahmen vor.
5. Die Datenschutzkommission erstattete eine Gegenschrift, in der sie die Ablehnung der Beschwerdebehandlung, in eventu die Abweisung der Beschwerde beantragt.
5.1. Verfahrensgegenstand sei nur die Frage gewesen, ob dem Löschungsbegehren der Beschwerdeführerin Berechtigung zugekommen sei; die Unzulässigkeit der Verwertung von Beweismitteln hätte die Beschwerdeführerin im Abgabenverfahren geltend machen müssen.
5.2. Die Beschwerdeführerin hätte ein Löschungsbegehren primär an die ermittelnden Sicherheitsbehörden richten müssen; im Falle der Löschung dieser Daten hätte der Auftraggeber auch allfällige Übermittlungsempfänger von der Löschung verständigen müssen. Insofern wäre der Beschwerdeführerin ein taugliches Verfahren zur Löschung der sie betreffenden Daten zur Verfügung gestanden.
5.3. Auch aus Art8 GRC ergebe sich nach Ansicht der Datenschutzkommission kein Recht auf Löschung von in Papierakten aufbewahrten Daten, die keine Dateiqualität aufweisen. Darüber hinaus verwies die Datenschutzkommission auf Erwägungsgrund 27 Datenschutz-RL.
6. Die Beschwerdeführerin erstattete in der Folge weitere Äußerungen, in welchen sie im Wesentlichen ausführte:
6.1. Die Datenschutzkommission sei bei verfassungskonformer Auslegung der Zuständigkeitsbestimmungen zur umfassenden Prüfung des auf Art8 EMRK gestützten Löschungsbegehrens der Beschwerdeführerin verpflichtet gewesen. Wenn das in §31 DSG 2000 grundgelegte Beschwerdeverfahren nicht anwendbar sei, entstehe eine Rechtsschutzlücke und damit eine Verletzung des Art13 iVm Art8 EMRK. Es könne nicht darauf ankommen, ob einem Papierkonvolut eine Datei-Eigenschaft zukomme. Papierakten könnten zudem jederzeit digitalisiert und grenzenlos verbreitet werden.
6.2. Ein neuer, in der bisherigen Judikatur des Verfassungsgerichtshofes nicht behandelter Aspekt sei auch die "(verfassungs-)gesetzwidrige", nämlich die unter Verletzung von Art3 EMRK erfolgte Informationsgewinnung; nach der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte komme Opfern solcher Verletzungen ein Anspruch auf Wiederherstellung zu.
6.3. In den elektronisch über die Beschwerdeführerin gespeicherten Daten würden Querverweise zu den Papierakten hergestellt. Diese Querverweise seien zu löschen.
6.4. Die Sicherheitsbehörden seien dem Löschungsersuchen der Beschwerdeführerin betreffend die aus der verdeckten Ermittlung gewonnenen Daten nachgekommen, nicht aber das Finanzamt.
II. Rechtslage
1. Die maßgeblichen Bestimmungen des Datenschutzgesetzes 2000 (DSG 2000), BGBl I 165/1999, idF BGBl I 133/2009, lauteten:
"Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art8 Abs2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs3 sind nur unter den in Abs2 genannten Voraussetzungen zulässig.
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, daß Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.
Zuständigkeit
§2. (1) Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr.
(2) Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit solche Daten von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen Personen, die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, verwendet werden, sind diese Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzkommission, der Datenschutzrat oder Gerichte mit der Vollziehung betraut werden.
[...]
Artikel 2
1. Abschnitt
Allgemeines
Definitionen
§4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. 'Daten' ('personenbezogene Daten'): Angaben über Betroffene (Z3), deren Identität bestimmt oder bestimmbar ist; 'nur indirekt personenbezogen' sind Daten für einen Auftraggeber (Z4), Dienstleister (Z5) oder Empfänger einer Übermittlung (Z12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
2. 'sensible Daten' ('besonders schutzwürdige Daten'): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
3. 'Betroffener': jede vom Auftraggeber (Z4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z8) werden;
4. Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z8), unabhängig davon, ob sie die Daten selbst verwenden (Z8) oder damit einen Dienstleister (Z5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;
5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z8);
6. 'Datei': strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;
7. 'Datenanwendung': die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z9) als auch das Übermitteln (Z12) von Daten;
9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z12) von Daten;
10. – 15. [...]
[...]
Recht auf Richtigstellung oder Löschung
§27. (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
2. auf begründeten Antrag des Betroffenen.
Der Pflicht zur Richtigstellung nach Z1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§46 und 47.
(2) Der Beweis der Richtigkeit der Daten obliegt - sofern gesetzlich nicht ausdrücklich anderes angeordnet ist - dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.
(3) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.
(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.
(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in §26 Abs2 Z1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen nach Auffassung des Auftraggebers berechtigt ist. Die gemäß Abs4 erforderliche Mitteilung an den Betroffenen hat in allen Fällen dahingehend zu lauten, daß die Überprüfung der Datenbestände des Auftraggebers im Hinblick auf das Richtigstellungs- oder Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach §30 Abs3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach §31 Abs4.
(6) Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern aus Gründen der Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind bis dahin die zu löschenden Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer berichtigenden Anmerkung zu versehen.
(7) Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet, und läßt sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit Zustimmung des Betroffenen oder auf Grund einer Entscheidung des zuständigen Gerichtes oder der Datenschutzkommission gelöscht werden.
(8) Wurden im Sinne des Abs1 richtiggestellte oder gelöschte Daten vor der Richtigstellung oder Löschung übermittelt, so hat der Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung, bedeutet und die Empfänger noch feststellbar sind.
(9) Die Regelungen der Abs1 bis 8 gelten für das gemäß Strafregistergesetz 1968 geführte Strafregister sowie für öffentliche Bücher und Register, die von Auftraggebern des öffentlichen Bereichs geführt werden, nur insoweit als für
1. die Verpflichtung zur Richtigstellung und Löschung von Amts wegen oder
2. das Verfahren der Durchsetzung und die Zuständigkeit zur Entscheidung über Berichtigungs- und Löschungsanträge von Betroffenen
durch Bundesgesetz nicht anderes bestimmt ist.
[...]
Beschwerde an die Datenschutzkommission
§31. (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach §26 oder nach §50 Abs1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach §49 Abs3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§1 Abs1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§27 und 28) verletzt zu sein, sofern der Anspruch nicht nach §32 Abs1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.
(3) Die Beschwerde hat zu enthalten:
1. die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
(4) Einer Beschwerde nach Abs1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen.
(5) Die der Datenschutzkommission durch §30 Abs2 bis 4 eingeräumten Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach §30 Abs5.
(6) Im Fall der Einbringung einer zulässigen Beschwerde nach Abs1 oder 2 ist ein auf Grund einer Eingabe nach §30 Abs1 über denselben Gegenstand eingeleitetes Kontrollverfahren durch eine entsprechende Information (§30 Abs7) zu beenden. Die Datenschutzkommission kann aber dennoch auch während der Anhängigkeit des Beschwerdeverfahrens von Amts wegen nach §30 Abs2 vorgehen, wenn ein begründeter Verdacht einer über den Beschwerdefall hinausgehenden Verletzung datenschutzrechtlicher Verpflichtungen besteht. §30 Abs3 bleibt unberührt.
(7) Soweit sich eine Beschwerde nach Abs1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach §26 Abs4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
(8) Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den §§26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des Verfahrens vor der Datenschutzkommission durch Reaktionen gegenüber dem Beschwerdeführer gemäß §26 Abs4 oder §27 Abs4 die behauptete Rechtsverletzung nachträglich beseitigen. Erscheint der Datenschutzkommission durch derartige Reaktionen des Beschwerdegegners die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzkommission das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§13 Abs8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.
[...]
Manuelle Dateien
§58. Soweit manuell, dh. ohne Automationsunterstützung geführte Dateien für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gelten sie als Datenanwendungen im Sinne des §4 Z7. §17 gilt mit der Maßgabe, daß die Meldepflicht nur für solche Dateien besteht, deren Inhalt gemäß §18 Abs2 der Vorabkontrolle unterliegt."
2. §4 DSG 2000, BGBl I 165/1999, lautete vor seiner Änderung durch die DSG-Novelle 2010, BGBl I 133/2009:
"Allgemeines
Definitionen
§4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. 'Daten' ('personenbezogene Daten'): Angaben über Betroffene (Z3), deren Identität bestimmt oder bestimmbar ist; 'nur indirekt personenbezogen' sind Daten für einen Auftraggeber (Z4), Dienstleister (Z5) oder Empfänger einer Übermittlung (Z12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
2. 'sensible Daten' ('besonders schutzwürdige Daten'): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
3. 'Betroffener': jede vom Auftraggeber (Z4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z8) werden;
4. 'Auftraggeber': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß §6 Abs4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;
5. 'Dienstleister': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Z8);
6. 'Datei': strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;
7. 'Datenanwendung' (früher: 'Datenverarbeitung'): die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
8. 'Verwenden von Daten': jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten (Z9) als auch das Übermitteln (Z12) von Daten;
9. 'Verarbeiten von Daten': das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (Z12) von Daten;
10. – 15. [...]"
3. §1 und §5 DSG 2000 lauten seit ihrer Änderung durch die Verwaltungsgerichtsbarkeits-Novelle 2012, BGBl I 51/2012, und durch die DSG-Novelle 2014, BGBl I 83/2013:
"Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art8 Abs2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs3 sind nur unter den in Abs2 genannten Voraussetzungen zulässig.
(5) [aufgehoben durch BGBl I 51/2012]
[...]
Artikel 2
[...]
Öffentlicher und privater Bereich
§5. (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Abs2) durchgeführt werden.
(2) Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,
1. die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere auch als Organ einer Gebietskörperschaft, oder
2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig sind.
(3) Die dem Abs2 nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.
(4) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzbehörde zur Entscheidung zuständig, es sei denn, dass Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit betroffen sind."
III. Erwägungen
Der Verfassungsgerichtshof hat über die – zulässige – Beschwerde erwogen:
1. Bedenken gegen die dem angefochtenen Bescheid zugrunde liegenden Rechtsvorschriften werden in der Beschwerde nicht substantiiert vorgebracht und sind beim Verfassungsgerichtshof aus Anlass der Beschwerde in Ansehung der von ihm anzuwendenden Bestimmungen nach dem DSG 2000 auch nicht entstanden (vgl. zB VfSlg 16.150/2001, 17.745/2005, 18.091/2007, 18.324/2007). Es ist daher ausgeschlossen, dass die Beschwerdeführerin in ihren Rechten wegen Anwendung einer rechtswidrigen generellen Norm verletzt wurde.
2. Gemäß der mit Ablauf des 31. Dezember 2013 mit der Verwaltungsgerichtsbarkeits-Novelle 2012, BGBl I 51/2012, aufgehobenen, im vorliegenden Fall aber noch anwendbaren Verfassungsbestimmung des §1 Abs5 DSG 2000, BGBl I 165/1999, war die Datenschutzkommission zur Entscheidung über behauptete Verletzungen des Grundrechts auf Datenschutz zuständig, soweit nicht die ordentlichen Gerichte zuständig oder Akte der Gesetzgebung oder Gerichtsbarkeit betroffen waren. Gemäß §31 Abs2 DSG 2000 in der bis zum Ablauf des 31. Dezember 2013 geltenden Fassung erkannte die Datenschutzkommission unter anderem über Beschwerden von Personen, welche die Verletzung in ihrem Recht auf Löschung gemäß §27 DSG 2000 behaupteten. Im Folgenden sind Verweise auf Bestimmungen des Datenschutzgesetzes 2000, soweit nicht anders angegeben, Verweise auf die zum Bescheiderlassungszeitpunkt geltende Fassung des DSG 2000 vor seiner Änderung durch die Verwaltungsgerichtsbarkeits-Novelle 2012, BGBl I 51/2012, und durch die DSG-Novelle 2014, BGBl I 83/2013.
3. Bei der Entscheidung der Datenschutzkommission ist danach zu differenzieren, ob es sich um Daten der Beschwerdeführerin handelt, die beim Finanzamt Hollabrunn Korneuburg Tulln automationsunterstützt verarbeitetet worden sind, oder um Daten der Beschwerdeführerin, welche das Finanzamt Hollabrunn Korneuburg Tulln in Papierform aufbewahrt hat. Im Hinblick darauf ist Folgendes vorauszuschicken:
3.1. Die Verfassungsbestimmung des §1 Abs3 Z2 zweiter Fall DSG 2000 gewährleistet jedem, "soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen [...] das Recht auf Löschung unzulässigerweise verarbeiteter Daten".
3.2. Gemäß §27 DSG 2000 hat "[j]eder Auftraggeber [...] unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar 1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder 2. auf begründeten Antrag des Betroffenen. [...] Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; [...]."
Obwohl §27 Abs1 DSG 2000 – im Unterschied zur Verfassungsbestimmung des §1 Abs3 Z2 zweiter Fall DSG 2000 – keine explizite Einschränkung auf "Dateien" iSd §4 Z6 DSG 2000 enthält, ist §27 Abs1 DSG 2000 dennoch einschränkend zu verstehen: Eine Auslegung des §27 Abs1 DSG 2000, derzufolge auch nicht strukturierte bzw. nicht nach einem Suchkriterium zugängliche Daten vom Recht auf Löschung erfasst würden, ginge in einer dem Gesetzgeber nicht zusinnbaren Weise über die Verfassungsbestimmung des Datenschutzgesetzes 2000 und die Datenschutz-RL hinaus (vgl. auch schon VwSlg. 16.477 A/2004).
Zudem ist der Anwendungsbereich des §27 Abs1 DSG 2000 in verfassungskonformer Auslegung auf Daten einzuschränken, die für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist; andernfalls wäre §27 Abs1 DSG 2000 kompetenzwidrig. Die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr ist gemäß §2 DSG 2000 Bundessache. Manuelle Dateien gelten als "Datenanwendungen" iSd §4 Z7 DSG 2000, soweit sie für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist (§58 DSG 2000); für sonstige manuelle Dateien, dh. für jene, die für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Landessache ist, ist der Landesgesetzgeber zuständig. Eine Bundeskompetenz zur Regelung des Rechts auf Löschung hinsichtlich aller nicht vom Dateibegriff erfasster Daten besteht demnach nicht (so auch Ennöckl, Die DSG-Novelle 2010, ÖJZ 2010, 294).
4. Hinsichtlich jener Daten der Beschwerdeführerin, die beim Finanzamt Hollabrunn Korneuburg Tulln automationsunterstützt verarbeitetet worden sind, führt die Datenschutzkommission im angefochtenen Bescheid aus, dass diese Daten nicht das Sexualleben der Beschwerdeführerin betreffen. Die automationsunterstützt verarbeiteten Daten würden nach den Angaben des Finanzamts Hollabrunn Korneuburg Tulln auf den nur in Papierform existierenden Betriebsprüfungsbericht verweisen. Unter anderem auf Grund einer möglichen Wiederaufnahme des Verfahrens vor dem Verwaltungsgerichtshof könne der Argumentation des Finanzamts Hollabrunn Korneuburg Tulln nicht entgegengetreten werden, wonach die Aufbewahrung dieser Daten weiterhin erforderlich sei.
Der Datenschutzkommission kann im Hinblick auf ihre Entscheidung, dass die automationsunterstützt verarbeiteten Daten der Beschwerdeführerin nicht zu löschen seien, aus verfassungsrechtlicher Sicht nicht entgegengetreten werden:
4.1. Beschränkungen des gemäß §1 Abs3 Z2 DSG 2000 nach Maßgabe gesetzlicher Bestimmungen garantierten Grundrechts auf Löschung unzulässigerweise verarbeiteter Daten sind lediglich unter den in §1 Abs2 DSG 2000 genannten Voraussetzungen zulässig. Diese Vorschrift erlaubt (abgesehen von hier nicht in Betracht kommenden Ausnahmefällen) Eingriffe in das in Rede stehende Grundrecht durch staatliche Behörden nur auf Grund von Gesetzen, die aus den in Art8 Abs2 EMRK genannten Gründen notwendig sind.
Art8 Abs2 EMRK gestattet Beschränkungen des in Abs1 verbürgten Grundrechts nur, wenn diese eine Maßnahme darstellen, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer erforderlich ist.
4.2. Es gibt keinen Anhaltspunkt dafür, dass die Datenschutzkommission den angewendeten Rechtsvorschriften fälschlicherweise einen verfassungswidrigen, insbesondere dem §1 Abs3 Z2 iVm §1 Abs2 und Abs4 DSG 2000 zuwiderlaufenden Inhalt unterstellt hat. Insbesondere ist der belangten Behörde aus verfassungsrechtlicher Sicht nicht entgegenzutreten, wenn sie in ihrer Abwägungsentscheidung davon ausgeht, dass die Aufbewahrung der automationsunterstützt gespeicherten Daten, die keine Daten betreffend das Sexualleben der Beschwerdeführerin enthalten, noch erforderlich ist.
5. Im Hinblick auf in Papierakten aufbewahrte Daten geht der Verfassungsgerichtshof (ebenso wie der Verwaltungsgerichtshof) in seiner Rechtsprechung davon aus, dass Kopienakten (Papierakten) zufolge ihres Aufbaues und ihrer Struktur nicht als Datei iSd §4 Z6 DSG 2000 zu qualifizieren sind, weshalb insoweit kein Löschungsanspruch besteht (vgl. zB VfSlg 17.745/2005, 18.092/2007, 18.963/2009; VwSlg. 16.477 A/2004; VwGH 25.11.2008, 2005/06/0301).
5.1. In seinem Erkenntnis VfSlg 17.745/2005 vertrat der Verfassungsgerichtshof zur Frage des Rechts auf Löschung von nicht automationsunterstützt verarbeiteten Daten in einem "Kopienakt" bzw. "Papierakt" folgende Auffassung:
"Unter einer Datei ist nach §4 Z6 DSG nur eine 'strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind', zu verstehen. Dem genügt ein – vgl. §4 Z1 DSG – nicht personenbezogen strukturierter Papierakt nicht. Die Datenschutzkommission weist zutreffend darauf hin, dass dieser Dateibegriff des §4 Z6 DSG auch mit dem der RL 95/46/EG übereinstimmt, deren Erwägungsgrund 27 deutlich macht, 'dass Akten, Aktensammlungen sowie deren Deckblätter ... nicht in den Anwendungsbereich der Richtlinie fallen.'"
5.2. Der Verwaltungsgerichtshof führt zu dieser Frage aus (VwSlg. 16.477 A/2004):
"Zu prüfen ist, ob es sich beim 'Papierakt' bzw. 'Kopienakt', um den es hier geht, im Sinne des §4 Z6 DSG 2000 um eine 'strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind', handelt. Behördliche oder gerichtliche 'Akten' werden in Österreich typischerweise derart gebildet, dass die verschiedenen Geschäftsstücke, welche die Sache betreffen, entweder in einen Umschlag (Mappe, Ordner oder dergleichen) in der Regel in chronologischer Reihenfolge aufgenommen werden, oder aber auch (so etwa beispielsweise im Bereich der Bundesministerien) Geschäftsstücke nach dem Fortgang des Verfahrens jeweils in eigene Referatsbögen (mit eigenen Zahlen) eingelegt werden und daraus dann die die Sache betreffenden Aktenkonvolute gebildet werden. Zur Bestimmung des Begriffes 'strukturierte Datei' bzw. zur Umschreibung des Begriffes 'Datei' tritt der Verwaltungsgerichtshof den in der zuvor genannten Entscheidung des Obersten Gerichtshofes vom 28. Juni 2000, 6 Ob 148/00h, wiedergegebenen Erwägungen bei. Dieser hat [...] im Kern die Ansicht vertreten, dass die Struktur einer manuellen Datei als einer strukturierten Sammlung personenbezogener Daten im Sinne des §1 Abs3 DSG 2000 iVm Art3 Abs1 der Richtlinie dann zu bejahen ist, wenn sie - im Gegensatz zu einem Fließtext - eine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den manuellen Datenträgern oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind. Darüber hinaus müssen die Daten nach bestimmten Kriterien zugänglich sein, d.h. es bestehen vereinfachte Möglichkeiten der inhaltlichen Erschließung, beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme. Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen, wie dies auch der Erwägungsgrund 27 der Richtlinie zum Ausdruck bringt. Das Vorliegen einer manuellen Datei im Sinne des §1 Abs3 DSG 2000 setzt daher voraus, dass sie sich durch den schon erwähnten bestimmten 'Organisationsgrad' der 'Akten' auszeichnen muss, um von einer Strukturierung im Sinne des DSG 2000 sprechen zu können, der aber beim vorliegenden 'Papierakt' nicht gegeben ist.
Zusammenfassend ergibt sich im Beschwerdefall, dass der fragliche 'Kopienakt' (Zweitschrift der an die Staatsanwaltschaft erstatteten Strafanzeige) betreffend den Beschwerdeführer mangels der erforderlichen Strukturierung nicht als 'manuelle Datei' im Sinne des DSG 2000 anzusehen ist.
[...]
Dieses Ergebnis steht auch nicht im Widerspruch mit dem im Erwägungsgrund 27 der Richtlinie dargelegten Schutzzweck, weil aus technischer Sicht (sieht man von entsprechenden Sicherheitsvorkehrungen ab) ein Zugriff auf personenbezogene Daten, die automationsunterstützt verarbeitet sind, in der Regel leichter erfolgen kann als auf solche, die in einem 'Papierakt' (im Sinne des oben dargelegten Verständnisses) enthalten sind (weil er hiezu nicht elektronisch durchsucht, sondern grundsätzlich Seite für Seite gelesen werden muss). Um Missverständnissen vorzubeugen, ist darauf hinzuweisen, dass es im Beschwerdefall nicht um das Grundrecht auf Geheimhaltung von Daten geht (§1 Abs1 DSG 2000), sondern (im hier relevanten Zusammenhang) 'nur' um das Recht auf Löschung (siehe §1 Abs3 leg. cit.)"
5.3. Eine Auslegung des Begriffs der "Datei" iSd §4 Z6 DSG 2000 dahingehend, dass auch Papierakten Teil einer Datei werden, wenn ihr Inhalt etwa durch ein elektronisches Aktenverwaltungssystem strukturiert zugänglich wird, verneint der Verwaltungsgerichtshof (VwSlg. 16.477 A/2004):
"Der Verwaltungsgerichtshof tritt auch nicht der in der Beschwerde (zumindest der Tendenz nach) vertretenen Auffassung bei, der 'Kopienakt' bilde mit den korrespondierenden Geschäftsbehelfen (Protokollbuch, Indexkarte - eine solche betreffend den Beschwerdeführer gibt es im Übrigen, wie die belangte Behörde festgestellt hat, nicht oder nicht mehr) eine Art untrennbare Einheit, womit erkennbar das erforderliche Maß an Strukturierung erreicht werden soll. Abgesehen davon, dass eine solche untrennbare Einheit schon faktisch nicht gegeben ist, dienen die Geschäftsbehelfe der Auffindung des Aktes und nicht seiner inneren Strukturierung."
Dies gilt nach der Rechtsprechung des Verwaltungsgerichtshofes auch für näher genannte Aktendokumentationssysteme (VwGH 25.11.2008, 2005/06/0301).
5.4. Auch der Verfassungsgerichtshof setzte sich in seiner Rechtsprechung mit dem Verhältnis zwischen Papierakt und Aktenverwaltungssystem auseinander:
5.4.1. In Folge der Aufhebung von §209 StGB wegen Verstoßes gegen Art7 B-VG (VfSlg 16.565/2002) und in Folge des Urteils des Europäischen Gerichtshofes für Menschenrechte vom 9. Jänner 2003, L und V, Appl. 39392/98 ua., newsletter 2003, 16, wonach §209 StGB im Widerspruch zu Art8 EMRK stand, hatte der Verfassungsgerichtshof in mehreren Fällen (VfSlg 17.745/2005, 18.091/2007, 18.092/2007, 18.324/2007) über Beschwerden wegen nicht erfolgter Löschung von sensiblen personenbezogenen Daten betreffend Anzeigen gemäß §209 StGB zu entscheiden. Dabei behandelte der Verfassungsgerichtshof auch die Bedeutung von Verweisen im "Protokollier-, Anzeigen- und Datensystem" ("PAD") auf den Papier- bzw. Kopienakt.
5.4.2. Mit Erkenntnis VfSlg 18.091/2007 hob der Verfassungsgerichtshof einen Bescheid der Datenschutzkommission wegen Verletzung im verfassungsgesetzlich gewährleisteten Recht auf Gleichheit aller Staatsbürger vor dem Gesetz auf, weil die Datenschutzkommission nicht im Rahmen einer Interessenabwägung ausreichend geprüft hatte, ob die Löschung der den Beschwerdeführer betreffenden Daten im "PAD", nämlich seine Stammdaten und seine "Personen-Rolle" als Verdächtiger in Verbindung mit einem "Kopienakt", der sich auf die Strafanzeige bzw. Erhebungen wegen des Verdachts des Vergehens nach §209 StGB beziehe, geboten gewesen wäre.