Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Giendl und die Hofräte Dr. Kail, Dr. Bernegger, Dr. Waldstätten und Dr. Bayjones als Richter, im Beisein der Schriftführerin Mag. Fritz, über die Beschwerde des Dr. WW in B, vertreten durch die W Rechtsanwalt GmbH in B, gegen den Bescheid der Datenschutzkommission vom 9. Juni 2006, Zl. K121.124/0011-DSK/2006, betreffend Ansprüche nach dem Datenschutzgesetz 2000, nach mündlicher öffentlicher Verhandlung zu Recht erkannt:
Die Beschwerde wird als unbegründet abgewiesen.
Der Beschwerdeführer hat dem Bund Aufwendungen in der Höhe von EUR 794,90 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
In seiner Beschwerde vom 7. Dezember 2005 an die belangte Behörde brachte der Beschwerdeführer einleitend vor:
"Die Kantonspolizei T hat ohne Ermittlungsverfahren gegen den Beschwerdeführer ein Bußgeld verhängt, weil mit dem auf den Beschwerdeführer zugelassenen Fahrzeug auf der H-Strasse/S-Strasse am 3.9.2005 in K die zulässige Höchstgeschwindigkeit um 7 km/h überschritten worden sei. Die Entscheidung wurde dem Beschwerdeführer am 28.10.2005 zugestellt, nachdem er zuvor in dieser Angelegenheit nie und von niemandem kontaktiert worden war, weder aus Österreich noch aus der Schweiz, und obwohl er niemandem je eine Lenkerauskunft erteilt hat, noch je danach gefragt worden ist (tatsächlich war der Beschwerdeführer an diesem Tage nachweislich nicht in der Schweiz).
Die Daten des in B zugelassenen PKW sind allein bei der Bezirkshauptmannschaft B erfasst und können somit nur bei dieser abgefragt worden sein.
Dem Beschwerdeführer ist der bekämpfte Datenfluss mit der Zustellung der Übertretungsanzeige am 28.10.2005 erkennbar geworden, damit vor weniger als sechs Wochen.
Anhand einer Akteneinsicht bei der Bezirkshauptmannschaft B im Zusammenhang mit einem ähnlichen Vorfall hat man dem Beschwerdeführer in der Zulassungsstelle der Bezirkshauptmannschaft B erklärt, dass allen Rechtshilfeersuchen ungeprüft entsprochen werde. Auf Grund der Vielzahl von Rechtshilfeersuchen würden keine Unterlagen bei der Bezirkshauptmannschaft B aufbewahrt. Die ansuchende Behörde schicke einen Computerausdruck, der in B dann händisch ausgefüllt und zurückgeschickt werde. Weder die Anfrage noch die Beantwortung würden archiviert, es gebe auch sonst zu einem solchen Vorgang keinerlei Aufzeichnungen bei der Bezirkshauptmannschaft B. Die Bezirkshauptmannschaft B könne daher im Nachhinein nicht einmal sagen, ob überhaupt eine Anfrage gestellt oder eine Auskunft erteilt worden ist.
Die Bezirkshauptmannschaft B hat die Zulassungsdaten des Beschwerdeführers ohne weitere Prüfung und ohne Zustimmung des Beschwerdeführers auf Grund einer Rechtshilfeanfrage der Kantonspolizei T weitergegeben."
Der Beschwerdeführer führte sodann aus, dass es keine Rechtsgrundlage für die Übermittlung der Zulassungsdaten an die ausländische Behörde gebe, insbesondere sei § 103 Abs. 2 KFG 1969 nicht anwendbar, wie auch die Voraussetzungen des Vertrages zwischen der Republik Österreich, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über die grenzüberschreitende Zusammenarbeit der Sicherheits- und Zollbehörden, BGBl. III Nr. 120/2001, oder auch die Voraussetzungen des Vertrages zwischen der Republik Österreich und der Schweizerischen Eidgenossenschaft über die wechselseitige Amtshilfe in Kraftfahr- (Straßenverkehrs-)angelegenheiten, BGBl. Nr. 145/1980, nicht gegeben seien (wurde näher ausgeführt).
Die Bezirkshauptmannschaft B (kurz: BH) hätte die Daten des Beschwerdeführers somit nicht weitergeben dürfen. Der Beschwerdeführer sei somit in seinem Recht auf Geheimhaltung nach § 1 Abs. 1 iVm § 7 Abs. 2 Z 3 und § 8 Abs. 1 Z 1 DSG 2000 verletzt. Er beantrage festzustellen, dass die Auskunftserteilung der BH rechtswidrig sei und den Beschwerdeführer somit in seinem Grundrecht auf Datenschutz verletzt habe.
Der Beschwerdeführer führte seinen Standpunkt im Zuge des Verfahrens vor der belangten Behörde näher aus. Die BH (von der belangten Behörde als "Beschwerdegegnerin" bezeichnet) vertrat schließlich die Auffassung, § 86 Abs. 3 KFG 1967 sei eine entsprechende Rechtsgrundlage für die erteilte Auskunft.
Mit dem angefochtenen Bescheid hat die belangte Behörde die Beschwerde abgewiesen.
Nach Darstellung des Verfahrensganges heißt es, der Sachverhalt sei unbestritten, das Ermittlungsverfahren der belangten Behörde habe sich daher auf die Einholung der verschiedenen Stellungnahmen beschränkt.
Für die belangte Behörde stehe folgender Sachverhalt fest:
Der Beschwerdeführer, ein in B berufstätiger Rechtsanwalt, sei in den Verdacht geraten, am 3. September 2005 auf einer näher bezeichneten Straße in der Schweiz eine Verwaltungsübertretung (Überschreiten der höchstzulässigen Geschwindigkeit als Kraftfahrer) begangen zu haben, nachdem ein auf ihn zugelassenes Kraftfahrzeug von der örtlichen Polizei mit einer um 7 km/h überhöhten Geschwindigkeit gemessen worden sei. Die Kantonspolizei T. habe "eine entsprechende Anfrage" an die BH als Zulassungsbehörde gerichtet und habe von dieser Auskunft über Namen und Adresse des Beschwerdeführers erhalten. Diese Daten, die aus der (örtlichen) Zulassungsevidenz stammten, seien dazu benutzt worden, eine Bußgeldverfügung gegen den Beschwerdeführer zu erlassen und diesem am 28. Oktober 2005 zuzustellen. Die genauen Umstände der Datenübermittlung stünden nicht fest, weil solche Anfragen und darauf ergangene Datenübermittlungen nicht aktenmäßig dokumentiert würden.
Nach Wiedergabe einer Reihe gesetzlicher Bestimmungen führte die belangte Behörde weiter aus, die Beschwerdegegnerin sei mit ihrer Ansicht, die Datenübermittlung auf § 86 Abs. 3 KFG 1967 stützen zu können, im Recht. Österreich und die Schweiz seien Vertragsstaaten des Wiener Übereinkommens über den Straßenverkehr, BGBl. Nr. 289/1982, weshalb § 86 Abs. 3 KFG 1967 anwendbar sei. Diese Rechtsvorschrift, die der zwischenstaatlichen Amtshilfe durch Datenübermittlung diene, enthalte keinerlei Einschränkungen hinsichtlich der Art des verfolgten Deliktes oder der Höhe der Strafdrohung. Eine straßenpolizeilich zu ahndende Geschwindigkeitsüberschreitung sei fraglos eine "Übertretung von Verkehrsvorschriften" im Sinne dieser Bestimmung. Da der Zulassungsbesitzer nach der österreichischen Rechtsordnung gemäß § 103 Abs. 2 KFG 1967 verpflichtet sei, über den Lenker seines Kraftfahrzeuges Auskunft zu geben, sei seine Bekanntgabe an die zur Strafverfolgung zuständigen Schweizer Behörden auch im Sinne der Bestimmung zur Ermittlung eines Lenkers notwendig. Diese weite Auslegung des § 86 Abs. 3 KFG 1967 fände auch in den erläuternden Bemerkungen (708 BlgNR 20. GP) Deckung, wo ebenfalls keine Einschränkung hinsichtlich der Art der Übertretung, insbesondere nicht im Hinblick auf die insofern irreführende Überschrift des § 86 KFG 1967, gemacht werde. Darüber hinaus werde genau die Konstellation, dass der ausländischen Behörde nur das Kennzeichen bekannt sei, als Anwendungsfall der Bestimmung genannt.
Grundsätzlich seien daher die Bestimmungen des § 8 Abs. 1 Z 1 DSG 2000 erfüllt, weil eine ausdrückliche gesetzliche Ermächtigung zur Datenübermittlung vorliege.
Im Sinne des § 7 Abs. 3 DSG 2000 sei noch zu erwägen, ob die Beschwerdegegnerin das gelindeste zur Verfügung stehende Mittel zur Anwendung gebracht habe. Der angestrebte Zweck der Ermächtigungsnorm sei es, hier den Schweizer Behörden die Verfolgung einer Übertretung von Verkehrsvorschriften durch Ausforschung des Lenkers zu ermöglichen. Jenen Behörden sei offenkundig nur eine Beschreibung des Tatfahrzeuges sowie dessen behördliches Kennzeichen bekannt gewesen. Neben einer Weigerung, die Daten zu übermitteln, die aber nicht mit dem angestrebten gesetzlichen Zweck vereinbar wäre, sei kein gelinderes Mittel erkennbar, diesen Zweck zu erreichen, als Namens- und Adressdaten des Zulassungsbesitzers aus der Zulassungsevidenz zu übermitteln. Denn der Zulassungsbesitzer komme, wie schon zuvor ausgeführt, nach allgemeiner Lebenserfahrung wie nach seinen gesetzlichen Pflichten sowohl als Tatverdächtiger als auch als Auskunftsperson zur Ermittlung des Tatverdächtigen vorrangig in Betracht. Nur mit der Beschreibung und dem Kennzeichen des Tatfahrzeuges allein wären die zuständigen Behörden auf Zufallsergebnisse angewiesen und könnten nicht planmäßig und geordnet ermitteln. Die Übermittlung der Namens- und Adressdaten des Zulassungsbesitzers an eine ausländische Behörde sei in Relation zu den gesetzlich geschützten Interessen an der Strafverfolgung und der Sicherstellung der straßenpolizeilichen Ordnung auch kein unverhältnismäßiger Eingriff, diene doch die Verwendung dieser Daten als Teil der Zulassungsevidenz genau dem hier verwirklichten Zweck.
Der Eingriff in das Recht des Beschwerdeführers auf Geheimhaltung schutzwürdiger personenbezogener Daten sei somit rechtmäßig gewesen, weshalb die Beschwerde als unbegründet abzuweisen gewesen sei.
Dagegen erhob der Beschwerdeführer zunächst Beschwerde an den Verfassungsgerichtshof, der mit Beschluss vom 11. Oktober 2006, B 1378/06-3, die Behandlung der Beschwerde ablehnte und sie mit weiterem Beschluss vom 12. Dezember 2006 antragsgemäß dem Verwaltungsgerichtshof zur Entscheidung abtrat.
In der über Auftrag des Verwaltungsgerichtshofes ergänzten Beschwerde wird inhaltliche Rechtswidrigkeit und Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften geltend gemacht.
Die belangte Behörde hat die Akten des Verwaltungsverfahrens vorgelegt und in einer Gegenschrift die kostenpflichtige Abweisung der Beschwerde beantragt.
Der Verwaltungsgerichtshof hat nach mündlicher öffentlicher Verhandlung erwogen:
Im Beschwerdefall ist das Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 1999/165, in der Fassung BGBl. I Nr. 13/2005, anzuwenden.
§ 1 Abs. 1, 2 und 5 DSG 2000 lautet (Verfassungsbestimmungen):
"§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, daß Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind."
§ 4 DSG 2000 enthält Definitionen; Z 2 lautet:
"2. 'sensible Daten' ('besonders schutzwürdige Daten'): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;"
§ 7 sowie § 8 Abs. 1 Z. 1 DSG 2000 lauten:
"§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
(2) Daten dürfen nur übermittelt werden, wenn
1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis - soweit diese nicht außer Zweifel steht - im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
(3) Die Zulässigkeit einer Datenverwendung setzt voraus, dass die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und dass die Grundsätze des § 6 eingehalten werden."
"§ 8. (1) Gemäß § 1 Abs. 1 bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder (...)"
Gemäß § 31 Abs. 1 DSG 2000 erkennt die Datenschutzkommission auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26 leg. cit. durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.
Nach Abs. 2 dieses Paragraphen ist zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen ua. auf Geheimhaltung nach diesem Bundesgesetz die Datenschutzkommission dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist. Gegen Auftraggeber, die in Formen des Privatrechtes eingerichtet sind (siehe § 1 Abs. 5 DSG 2000), sind derartige Ansprüche nach § 32 Abs. 1 DSG 2000 vom Betroffenen auf dem Zivilrechtsweg geltend zu machen.
Der 7. Abschnitt des DSG 2000, überschrieben mit "Kontrollorgane", umfasst die §§ 35 bis 44 des Gesetzes und trifft nähere Regelungen zur Datenschutzkommission und zum Datenschutzrat. Diese Bestimmungen lauten auszugsweise (§ 42 regelt die Zusammensetzung des Datenschutzrates, § 43 den Vorsitz und die Geschäftsführung, § 44 die Sitzungen und die Beschlussfassung des Datenschutzrates):
"Datenschutzkommission und Datenschutzrat
§ 35. (1) Zur Wahrung des Datenschutzes sind nach den näheren Bestimmungen dieses Bundesgesetzes - unbeschadet der Zuständigkeit des Bundeskanzlers und der ordentlichen Gerichte - die Datenschutzkommission und der Datenschutzrat berufen.
(2) (Verfassungsbestimmung) Die Datenschutzkommission übt ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung aus.
Zusammensetzung der Datenschutzkommission
§ 36. (1) Die Datenschutzkommission besteht aus sechs Mitgliedern, die auf Vorschlag der Bundesregierung vom Bundespräsidenten für die Dauer von fünf Jahren bestellt werden. Wiederbestellungen sind zulässig. Die Mitglieder müssen rechtskundig sein. Ein Mitglied muss dem Richterstand angehören.
(2) Die Vorbereitung des Vorschlages der Bundesregierung für die Bestellung der Mitglieder der Datenschutzkommission obliegt dem Bundeskanzler. Er hat dabei Bedacht zu nehmen auf:
1. einen Dreiervorschlag des Präsidenten des Obersten Gerichtshofs für das richterliche Mitglied,
2.
einen Vorschlag der Länder für zwei Mitglieder,
3.
einen Dreiervorschlag der Bundeskammer für Arbeiter und Angestellte für ein Mitglied,
4. einen Dreiervorschlag der Wirtschaftskammer Österreich für ein Mitglied. Alle vorgeschlagenen Personen sollen Erfahrung auf dem Gebiet des Datenschutzes besitzen.
(3) Ein Mitglied ist aus dem Kreise der rechtskundigen Bundesbeamten vorzuschlagen.
(4) Für jedes Mitglied ist ein Ersatzmitglied zu bestellen. Das Ersatzmitglied tritt bei Verhinderung des Mitglieds an dessen Stelle. Die Funktionsperiode des Ersatzmitglieds endet mit der Funktionsperiode des Mitglieds; für den Fall der vorzeitigen Beendigung der Funktionsperiode des Mitglieds gilt Abs. 8.
(5) Der Datenschutzkommission können nicht angehören:
1. Mitglieder der Bundesregierung oder einer Landesregierung sowie Staatssekretäre;
2. Personen, die zum Nationalrat nicht wählbar sind.
(6) Hat ein Mitglied der Datenschutzkommission Einladungen zu drei aufeinanderfolgenden Sitzungen ohne genügende Entschuldigung keine Folge geleistet oder tritt bei einem Mitglied ein Ausschließungsgrund des Abs. 5 nachträglich ein, so hat dies nach seiner Anhörung die Datenschutzkommission festzustellen. Diese Feststellung hat den Verlust der Mitgliedschaft zur Folge. Im Übrigen kann ein Mitglied der Datenschutzkommission nur aus einem schwerwiegenden Grund durch Beschluss der Datenschutzkommission, dem mindestens drei ihrer Mitglieder zustimmen müssen, seines Amtes für verlustig erklärt werden. Die Mitgliedschaft endet auch, wenn das Mitglied seine Funktion durch schriftliche Erklärung an den Bundeskanzler zurücklegt.
(7) Auf die Ersatzmitglieder sind die Abs. 2, 3, 5 und 6 wie auf Mitglieder anzuwenden.
(8) Scheidet ein Mitglied wegen Todes, freiwillig oder gemäß Abs. 6 vorzeitig aus, so wird das betreffende Ersatzmitglied (Abs. 4) Mitglied der Datenschutzkommission bis zum Ablauf der Funktionsperiode des ausgeschiedenen Mitglieds. Unter Anwendung der Abs. 2 und 3 ist für diese Zeit ein neues Ersatzmitglied zu bestellen. Scheidet ein Ersatzmitglied vorzeitig aus, ist unverzüglich ein neues Ersatzmitglied zu bestellen.
(9) Die Mitglieder und Ersatzmitglieder der Datenschutzkommission haben Anspruch auf Ersatz der Reisekosten (Gebührenstufe 3) nach Maßgabe der für Bundesbeamte geltenden Rechtsvorschriften. Sie haben ferner Anspruch auf eine dem Zeit- und Arbeitsaufwand entsprechende Vergütung, die auf Antrag des Bundeskanzlers von der Bundesregierung durch Verordnung festzusetzen ist.
Weisungsfreiheit der Datenschutzkommission (Verfassungsbestimmung)
§ 37. (1) Die Mitglieder der Datenschutzkommission sind in Ausübung ihres Amtes unabhängig und an keine Weisungen gebunden.
(2) Die in der Geschäftsstelle der Datenschutzkommission tätigen Bediensteten unterstehen fachlich nur den Weisungen des Vorsitzenden oder des geschäftsführenden Mitglieds der Datenschutzkommission.
Organisation und Geschäftsführung der Datenschutzkommission
§ 38. (1) (Verfassungsbestimmung) Die Datenschutzkommission hat sich eine Geschäftsordnung zu geben, in der eines ihrer Mitglieder mit der Führung der laufenden Geschäfte zu betrauen ist (geschäftsführendes Mitglied). Diese Betrauung umfasst auch die Erlassung von verfahrensrechtlichen Bescheiden und von Mandatsbescheiden im Registrierungsverfahren gemäß § 20 Abs. 2 oder § 22 Abs. 3. Inwieweit einzelne fachlich geeignete Bedienstete der Geschäftsstelle der Datenschutzkommission zum Handeln für die Datenschutzkommission oder das geschäftsführende Mitglied ermächtigt werden, bestimmt die Geschäftsordnung.
(2) Für die Unterstützung in der Geschäftsführung der Datenschutzkommission hat der Bundeskanzler eine Geschäftsstelle einzurichten und die notwendige Sach- und Personalausstattung bereitzustellen.
(3) Die Datenschutzkommission ist vor Erlassung von Verordnungen anzuhören, die auf der Grundlage dieses Bundesgesetzes ergehen oder sonst wesentliche Fragen des Datenschutzes unmittelbar betreffen.
(4) Die Datenschutzkommission hat spätestens alle zwei Jahre einen Bericht über ihre Tätigkeit zu erstellen und in geeigneter Weise zu veröffentlichen. Der Bericht ist dem Bundeskanzler zur Kenntnis zu übermitteln.
Beschlüsse der Datenschutzkommission
§ 39. (1) Die Datenschutzkommission ist bei Anwesenheit aller sechs Mitglieder beschlussfähig. Für den Fall der Verhinderung eines Mitglieds gilt § 36 Abs. 4.
(2) Das richterliche Mitglied führt den Vorsitz.
(3) Für einen gültigen Beschluss der Datenschutzkommission ist die Zustimmung der Mehrheit der abgegebenen Stimmen notwendig. Bei Stimmengleichheit gibt die Stimme des Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig.
(4) Entscheidungen der Datenschutzkommission von grundsätzlicher Bedeutung für die Allgemeinheit sind von der Datenschutzkommission unter Beachtung der Erfordernisse der Amtsverschwiegenheit in geeigneter Weise zu veröffentlichen.
Wirkung von Bescheiden der Datenschutzkommission und des geschäftsführenden Mitglieds
§ 40. (1) Gegen Bescheide, die das geschäftsführende Mitglied der Datenschutzkommission gemäß § 20 Abs. 2 oder § 22 Abs. 3 in Verbindung mit § 38 Abs. 1 erlassen hat, ist die Vorstellung an die Datenschutzkommission gemäß § 57 Abs. 2 AVG zulässig. Eine Vorstellung gegen einen gemäß § 22 Abs. 3 ergangenen Bescheid hat aufschiebende Wirkung.
(2) Gegen Bescheide der Datenschutzkommission ist kein Rechtsmittel zulässig. Sie unterliegen nicht der Aufhebung oder Abänderung im Verwaltungsweg. Die Anrufung des Verwaltungsgerichtshofes durch die Parteien des Verfahrens ist außer in den Fällen des Abs. 1 zulässig. Dies gilt auch für die in Vollziehung der Gesetze tätigen Auftraggeber des öffentlichen Bereichs in jenen Fällen, in welchen ihnen gemäß § 13 Abs. 3 oder § 20 Abs. 6 Parteistellung zukommt oder durch Gesetz ausdrücklich ein Beschwerderecht an den Verwaltungsgerichtshof eingeräumt wurde.
(3) Bescheide, mit welchen gemäß § 13 Übermittlungen oder Überlassungen von Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die rechtlichen und tatsächlichen Voraussetzungen für die Erteilung der Genehmigung, insbesondere auch infolge einer gemäß § 55 ergangenen Kundmachung des Bundeskanzlers, nicht mehr bestehen.
(4) Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses Bundesgesetzes durch einen Auftraggeber des öffentlichen Bereichs festgestellt hat, so hat dieser mit den ihm zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen.
Einrichtung und Aufgaben des Datenschutzrates
§ 41. (1) Beim Bundeskanzleramt ist ein Datenschutzrat eingerichtet.
(2) Der Datenschutzrat berät die Bundesregierung und die Landesregierungen auf deren Ersuchen in rechtspolitischen Fragen des Datenschutzes. Zur Erfüllung dieser Aufgabe
1. kann der Datenschutzrat Fragen von grundsätzlicher Bedeutung für den Datenschutz in Beratung ziehen;
2. ist dem Datenschutzrat Gelegenheit zur Stellungnahme zu Gesetzesentwürfen der Bundesministerien zu geben, soweit diese datenschutzrechtlich von Bedeutung sind;
3. haben Auftraggeber des öffentlichen Bereichs ihre Vorhaben dem Datenschutzrat zur Stellungnahme zuzuleiten, soweit diese datenschutzrechtlich von Bedeutung sind;
4. hat der Datenschutzrat das Recht, von Auftraggebern des öffentlichen Bereichs Auskünfte und Berichte sowie die Einsicht in Unterlagen zu verlangen, soweit dies zur datenschutzrechtlichen Beurteilung von Vorhaben mit wesentlichen Auswirkungen auf den Datenschutz in Österreich notwendig ist;
5. kann der Datenschutzrat Auftraggeber des privaten Bereichs oder auch ihre gesetzliche Interessenvertretung zur Stellungnahme zu Entwicklungen von allgemeiner Bedeutung auffordern, die aus datenschutzrechtlicher Sicht Anlass zu Bedenken, zumindest aber Anlass zur Beobachtung geben;
6. kann der Datenschutzrat seine Beobachtungen, Bedenken und allfälligen Anregungen zur Verbesserung des Datenschutzes in Österreich der Bundesregierung und den Landesregierungen mitteilen, sowie über Vermittlung dieser Organe den gesetzgebenden Körperschaften zur Kenntnis bringen.
(3) Abs. 2 Z 3 und 4 gilt nicht, soweit innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften betroffen sind."
Der Beschwerdeführer beruft sich in der Beschwerde auch auf die Art. 22 und 28 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl L 281, 31 vom 23. November 1995;
kurz: Datenschutzrichtlinie). Diese Artikel lauten:
"Artikel 22
Rechtsbehelfe
Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens,
das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, dass jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann."
"Artikel 28
Kontrollstelle
(1) Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.
(2) Die Mitgliedstaaten sehen vor, dass die Kontrollstellen bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehört werden.
(3) Jede Kontrollstelle verfügt insbesondere über:
-
Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;
-
wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
-
das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.
(4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist darüber zu informieren, wie mit der Eingabe verfahren wurde.
Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befasst werden, die Rechtmäßigkeit einer Verarbeitung zu überprüfen, wenn einzelstaatliche Vorschriften gemäß Artikel 13 Anwendung finden. Die Person ist unter allen Umständen darüber zu unterrichten, dass eine Überprüfung stattgefunden hat.
(5) Jede Kontrollstelle legt regelmäßig einen Bericht über ihre Tätigkeit vor. Dieser Bericht wird veröffentlicht.
(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.
Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.
(7) Die Mitgliedstaaten sehen vor, dass die Mitglieder und Bediensteten der Kontrollstellen hinsichtlich der vertraulichen Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nach Ausscheiden aus dem Dienst, unterliegen."
§ 47 Abs. 1 und § 86 des Kraftfahrgesetzes 1967, BGBl. Nr. 267 - KFG 1967 lauten (§ 47 Abs. 1 idF BGBl. I Nr. 132/2002, § 86 idF BGBl. I Nr. 121/1997; die in § 47 genannte Behörde ist gemäß § 123 Abs. 1 leg. cit. die Bezirkshauptmannschaft):
"§ 47. (1) Die Behörde hat, sofern die Zulassung nicht durch Zulassungsstellen vorgenommen wird, eine Evidenz über die in ihrem örtlichen Wirkungsbereich zum Verkehr zugelassenen Kraftfahrzeuge und Anhänger zu führen. In diese Evidenz hat sie das zugewiesene Kennzeichen, das Datum der Anmeldung, der Abmeldung, der Hinterlegung des Zulassungsscheines und der Kennzeichentafeln, der Aufhebung oder des Erlöschens der Zulassung, bei natürlichen Personen den Namen des Zulassungsbesitzers, den akademischen Grad, das Geburtsdatum, das Geschlecht, den Beruf und die Anschrift, bei juristischen Personen und Personengesellschaften des Handelsrechtes den Namen oder die Firma, die Art des Betriebes und die Anschrift, im Falle einer Miete des Fahrzeuges aus einem anderen EU-Mitgliedstaat auch die Daten des Mieters, außerdem andere mit der Zulassung und der Beschaffenheit des Fahrzeuges zusammenhängende Daten, soweit dies für die Erfüllung ihrer Aufgaben als Zulassungsbehörde erforderlich ist, aufzunehmen. Die Daten sind nach sieben Jahren ab Abmeldung, Aufhebung oder Erlöschen der Zulassung des Fahrzeuges zu löschen. Die Behörde muss die Zulassungsdaten der in ihrem örtlichem Wirkungsbereich zugelassenen oder zuzulassenden Fahrzeuge in der von der Gemeinschaftseinrichtung der zum Betrieb der Kraftfahrzeug-Haftpflichtversicherung berechtigten Versicherer geführten Zulassungsevidenz für die Erfüllung ihrer Aufgaben als Zulassungsbehörde verwenden können."
"Aberkennung des Rechtes, Kraftfahrzeuge und Anhänger auf Grund ausländischer Zulassungsscheine zu verwenden
§ 86. (1) Das Recht, von einem ausländischen Zulassungsschein (§ 82) Gebrauch zu machen, kann aberkannt werden, wenn
a)
die im § 44 Abs. 1 lit. a angeführten Gründe vorliegen oder
b)
die im § 62 Abs. 1 angeführte Haftung nicht vorliegt.
(2) Für die Aberkennung ist die Behörde zuständig, in deren örtlichem Wirkungsbereich der Besitzer des Zulassungsscheines seinen Aufenthalt hat. Sie hat den Zulassungsschein und die Kennzeichentafeln nach der Aberkennung abzunehmen und bis zum Ablauf der festgesetzten Frist oder bis zur Ausreise des Besitzers zurückzubehalten und die Aberkennung in den Zulassungsschein einzutragen.
(3) Den Behörden der Vertragsstaaten des Wiener Übereinkommens über den Straßenverkehr, BGBl. Nr. 289/1982, des Genfer Abkommens über den Straßenverkehr, BGBl. Nr. 222/1955, und des Pariser Übereinkommens über den Verkehr von Kraftfahrzeugen, BGBl. Nr. 304/1930, sind auf Verlangen die notwendigen Auskünfte zur Ermittlung von Lenkern zu geben, wenn sich diese Personen wegen Übertretungen von Verkehrsvorschriften strafbar gemacht haben."
Neben Österreich ist unter anderem auch die Schweiz Vertragsstaat des Übereinkommens über den Straßenverkehr, BGBl. Nr. 289/1982 (siehe dazu die Kundmachung BGBl. Nr. 585/1993).
Sofern die Beschwerdeausführungen dahin zu verstehen sein sollten, dass auch die Verletzung verfassungsrechtlich gewährleisteter Rechte geltend gemacht werde, fiele dies in die Zuständigkeit des Verfassungsgerichtshofes und nicht des Verwaltungsgerichtshofes. Im verwaltungsgerichtlichen Verfahren ist demnach darauf nicht weiter einzugehen.
Der Beschwerdeführer erachtet die Sachverhaltsfeststellungen der belangten Behörde für aktenwidrig, weil von einer "entsprechenden" Anfrage der ausländischen Behörde keine Rede sein könne. Nie habe er behauptet, es sei eine entsprechende Anfrage mit entsprechender Begründung an die BH gerichtet worden, er habe auch niemals behauptet, dass die ausländische Behörde den wahren Sachverhalt, nämlich den Bagatellecharakter der Geschwindigkeitsüberschreitung oder überhaupt einen Grund des Einschreitens, offen gelegt habe.
Dem ist zu entgegnen, dass die belangte Behörde im angefochtenen Bescheid, wie sich aus der Begründung ergibt, den Sachverhalt gemäß dem Vorbringen des Beschwerdeführers feststellen wollte; dem Wort "entsprechend" kommt daher nicht der Sinn zu, den ihm der Beschwerdeführer zumessen will, sondern ist im gegebenen Zusammenhang vielmehr dahin zu verstehen, dass die Anfrage eben das Ziel hatte, den Zulassungsbesitzer des Kraftfahrzeuges in Erfahrung zu bringen.
Der Verwaltungsgerichtshof tritt der Auffassung der belangten Behörde bei, dass im Beschwerdefall § 86 Abs. 3 KFG 1967 anwendbar ist. Soweit der Beschwerdeführer angesichts der Überschrift dieses Paragraphen meint, diese Auskunftsverpflichtung nach Abs. 3 leg. cit. beziehe sich "offenkundig auf Sachverhalte im Zusammenhang mit der Aberkennung des Rechtes, Kraftfahrzeuge und Anhänger auf Grund ausländischer Zulassungsscheine zu verwenden", kann dem nach dem maßgeblichen Inhalt dieses Absatzes 3 nicht gefolgt werden, geht es dabei doch nicht darum, dass die inländische Behörde das Recht, von einem ausländischen Zulassungsschein Gebrauch zu machen, aberkennen soll, sondern vielmehr, dass die inländische Behörde den ausländischen Behörden "die notwendigen Auskünfte zur Ermittlung von Lenkern" zu geben hat, "wenn sich diese Personen wegen Übertretungen von Verkehrsvorschriften strafbar gemacht haben". Ob eine Übertretung von Verkehrsvorschriften "läppisch" ist (was der Beschwerdeführer im Hinblick auf eine Geschwindigkeitsüberschreitung von 7 km/h vermeint), ist im gegebenen Zusammenhang nicht maßgeblich, weil § 86 Abs. 3 KFG 1967 nicht darauf abstellt, sondern auf die Strafbarkeit der Übertretung der Verkehrsvorschrift, derer der Lenker des fraglichen Kraftfahrzeuges verdächtig ist. Wenn Art. 3 Abs. 6 des Übereinkommens über den Straßenverkehr, BGBl. Nr. 289/1982 idF BGBl. III Nr. 24/1998, die Vertragsstaaten verpflichtet, notwendige Auskünfte zur Ermittlung der Person zu geben, auf deren Namen ein Kraftfahrzeug oder ein mit einem solchen Fahrzeug verbundener Anhänger in ihrem Hoheitsgebiet zugelassen ist, wenn aus dem vorgelegten Ersuchen hervorgeht, dass das Fahrzeug in einen Unfall verwickelt war oder der Lenker dieses Fahrzeugs eine schwer wiegende Übertretung der Straßenverkehrsregeln begangen hat, hindert dies die Vertragsstaaten keineswegs, solche Auskünfte auch im Falle einer nicht schwer wiegenden Übertretung der Straßenverkehrsregeln zu erteilen. Ebenso wenig vermag der Umstand daran etwas zu ändern, dass der Bundesminister für Verkehr, Innovation und Technologie in einer parlamentarischen Anfragebeantwortung (betreffend eine Rechtsgrundlage für die Bekanntgabe von Haltern bestimmter Kraftfahrzeuge mit österreichischen Kennzeichen an Behörden des Fürstentums Liechtenstein) auch geantwortet habe, das Problem (nämlich: dass es an einer entsprechenden Rechtsgrundlage mangle) stelle sich auch "hinsichtlich der anderen Nachbarstaaten".
Regelungszweck des § 86 Abs. 3 KFG 1967 ist, die ausländische Behörde in die Lage zu versetzen, durch Bekanntgabe der Daten des Zulassungsbesitzers den Lenker des Fahrzeuges auszuforschen, worauf die belangte Behörde im angefochtenen Bescheid zutreffend verwiesen hat. In den von der belangten Behörde genannten Erläuterungen zur Novelle BGBl. I Nr. 121/1997, mit der § 86 Abs. 2 und Abs. 3 ihre nunmehrige Fassung erhielten, heißt es zu Abs. 3, dieser stelle die Rechtsgrundlage für die Auskunftserteilung an ausländische Behörden dar. Diese Bestimmung diene der internationalen Amtshilfe über Verkehrsübertretungen; daher seien, wenn der ausländischen Behörde nur das Kennzeichen bekannt sei, auch Auskünfte über Zulassungsbesitzer zu erteilen, was durch die Formulierung "Auskünfte zur Ermittlung von Lenkern" (im Original unter Anführungszeichen) sichergestellt werden solle.
Eine Lenkererhebung gemäß § 103 Abs. 2 KFG 1967 wurde hier nicht durchgeführt, sodass aus dem hg. Erkenntnis vom 11. Dezember 2002, Zl. 2000/03/0025, nach dem ein derartiges Auskunftsbegehren nur eine im Inland begangene Straftat zur Grundlage haben darf, für den Beschwerdefall nichts zu gewinnen ist.
Was unter "sensiblen Daten" im Sinne des DSG 2000 zu verstehen ist, ist der Legaldefinition des § 4 Z 2 leg. cit. zu entnehmen. Vor diesem Hintergrund kann keine Rede davon sein, dass die Zulassungsdaten des Beschwerdeführers sensible Daten in diesem Sinne seien, oder gar "hochsensible Daten" wie er in seiner Beschwerde an die belangte Behörde meint. Es trifft daher auch die Auffassung der belangten Behörde zu, dass § 8 Abs. 1 Z 1 DSG 2000 anwendbar ist, vorbehaltlich der Bestimmung des § 7 Abs. 3 leg. cit., wenn es nämlich ein "gelinderes Mittel" gäbe. Ein solches "gelinderes Mittel" ist im Beschwerdefall nicht ersichtlich und wird vom Beschwerdeführer auch nicht aufgezeigt. Die Auffassung des Beschwerdeführers, die Zulassungsbehörde hätte ihn zur Frage hören müssen, ob die Weitergabe seiner Zulassungsdaten gesetzlich zulässig sei oder nicht, und dann erst nach seiner Anhörung darüber entscheiden können, "anstatt ihm gar keine Möglichkeit zur Wahrnehmung seines Grundrechtes auf Datenschutz zu geben, sondern ihm vor vollendete Tatsachen zu stellen", verkennt, dass die Frage, ob eine Rechtsgrundlage für die Auskunfterteilung besteht, eine Rechtsfrage ist, die von der Behörde zu lösen ist, wie auch, dass die vom Beschwerdeführer intendierte Anhörung nach dem Regelungsinhalt des § 86 Abs. 3 KFG 1967 nicht vorgesehen ist (wenngleich sie mangels entsprechenden Verbotes nicht unzulässig wäre). Nochmals ist daran zu erinnern, dass es bei dieser Auskunft ja nur darum geht, der ausländischen Behörde durch Mitteilung der Zulassungsdaten die Möglichkeit zu geben, einen "Ansprechpartner" zu finden, damit sie das bei ihr anhängige Verfahren zweckmäßig führen kann. Dass an der Verfolgung und (bei Zutreffen der Voraussetzungen) Bestrafung von Übertretungen der Verkehrsvorschriften ein öffentliches Interesse besteht, kann nicht fraglich sein.
Soweit der Beschwerdeführer in diesem Zusammenhang ausführt, wenn er in der Schweiz einen Mord begangen hätte, dann könnte er nicht in die Schweiz ausgeliefert werden; wegen eines Deliktes, dessentwegen Schweizer Autolenker gar nicht bestraft würden, würden aber "seine sensiblen Daten" ungeprüft und undokumentiert ins Ausland weitergegeben, stellt er Hypothesen zu überdies nicht vergleichbaren Sachverhalten auf, mit denen er keine relevante gleichheitsrechtliche Problematik aufwirft.
Die in der Beschwerde thematisierte Frage der unzureichenden Dokumentation der Anfragen ausländischer Behörden und ihrer Beantwortung bei der BH, was nach Auffassung des Beschwerdeführers eine Datenschutzverletzung wegen Vernachlässigung der Aufzeichnungspflicht darstelle, ist im verwaltungsgerichtlichen Verfahren nicht zu erörtern, weil das maßgebliche Beschwerdebegehren im Verfahren vor der belangten Behörde nicht darauf gerichtet war und die belangte Behörde hierüber auch nicht entschieden hat. Darüber hinaus ist eine Verletzung von subjektivöffentlichen Rechten des Beschwerdeführers durch die Nicht-Dokumentation nicht erkennbar.
Der Beschwerdeführer macht im verwaltungsgerichtlichen Verfahren schließlich geltend, die belangte Behörde entspreche nicht den Vorgaben der Art. 28 und 22 der Datenschutzrichtlinie (Anmerkung: dieses Vorbringen entspricht dem Vorbringen des Beschwerdeführers im ganz ähnlich gelagerten, auch ihn betreffenden Parallel-Beschwerdeverfahren Zl. 2006/06/0136, mit der Maßgabe, dass es dort um die Übermittlung von Zulassungsdaten an eine deutsche Behörde ging; das nunmehrige Vorbringen des Beschwerdeführers geht auch auf die Gegenschrift der belangten Behörde sowie auf eine vom Bundeskanzleramt/Verfassungsdienst erstattete Stellungnahme in jenem anderen Beschwerdeverfahren ein).
Er bringt dazu vor, die belangte Behörde entspreche (organisatorisch) nicht den Vorgaben des Art. 28 Abs. 1, weil nicht den Anforderungen der verlangten völligen Unabhängigkeit entsprochen werde. Die EU-Kommission habe dies mit Schreiben vom 5. Juli 2005 aufgezeigt und gegen Österreich ein Vertragsverletzungsverfahren eingeleitet. Die Kommission habe die Auffassung vertreten, dass die in Österreich rechtlich bestehende praktisch angewandte Organisation der Datenschutzkontrollstelle nicht mit dem Gemeinschaftsrecht vereinbar sei, insbesondere nicht mit Art. 28 Abs. 1 2. Satz der Datenschutzrichtlinie, weil nicht den Anforderungen der verlangten völligen Unabhängigkeit entsprochen werde. Sie habe die organisatorische Eingliederung der Datenschutzkommission nebst Geschäftsstelle und Personal in die Behörde Bundeskanzleramt sowie die Stellung des "Bundesbeamten als geschäftsführendes Mitglied" beanstandet (wird vom Beschwerdeführer ergänzend unter Hinweis auf das Urteil des Europäischen Gerichtshofes Schmid vom 30. Mai 2002, C-516/99, und den Schlussanträgen des Generalanwaltes in jenem Verfahren weiter ausgeführt).
Da die Datenschutzrichtlinie in Österreich nicht ordnungsgemäß umgesetzt sei, werde § 31 Abs. 2 DSG 2000 gemeinschaftsrechtlich verdrängt. Damit sei die belangte Behörde im Instanzenweg zur Entscheidung über die Rechtmäßigkeit der Übermittlung von Zulassungsdaten im Rechtshilfeweg unzuständig.
Zusätzlich sei darauf hinzuweisen, dass Art. 22 der Datenschutzrichtlinie dezidiert "einen Rechtsbehelf auf einen Rechtsweg an ein Gericht mit dann Vollkognition" garantiere. Da die Anrufung der Gerichtsbarkeit aus verfassungsrechtlichen Gründen (Gewaltenteilung) ausscheide und § 32 DSG 2000 die Anrufung der Gerichte zudem ausdrücklich auf Auftraggeber des privaten Bereiches beschränke, und wegen der Beschränkung der Kognition des Verwaltungsgerichtshofes, müsse demnach die Datenschutzkommission als einzig verbleibende Rechtsschutzeinrichtung als echtes Gericht eingerichtet sein, weil sie, wie die unabhängigen Verwaltungssenate "im neuen Fremdenrecht", die einzige Verfahrensinstanz mit Vollkognition sei.
Die belangte Behörde sei beim Bundeskanzleramt eingerichtet und hänge in jeder maßgeblichen Hinsicht vom Wohlwollen des Bundeskanzlers ab. Über die fehlende Budgethoheit, über die fehlende Nachbesetzungsbefugnis, über den fehlenden Einfluss auf Personal, sei die Datenschutzkommission völlig abhängig vom politischen Wohlverhalten gegenüber dem Bundeskanzler, was sich im Übrigen auch darin manifestiert habe, dass sie in einem früheren Verfahren mit einem näher bezeichneten Bescheid "durchaus sachgerecht entschieden und dann entweder Angst vor der eigenen Courage oder eine entsprechende Weisung bekommen" habe.
Der Verfassungsgerichtshof habe erst jüngst in seinem Erkenntnis vom 27. November 2006, B 1258/06, wieder einmal festgehalten, dass ein Gericht dann unabhängig sei, wenn seine Mitglieder langfristig unabhängig seien. Er habe deshalb die befristete Bestellung von UVS-Mitgliedern, die Gefahr liefen, nach Ablauf ihrer Amtszeit wieder zur Behörde zurückkehren zu müssen, als unvereinbar mit den Unabhängigkeitsgarantien befunden. Es könne daher kein vernünftiger Zweifel bestehen, dass die Datenschutzkommission mit ihren beamteten Mitgliedern keine Unabhängigkeitsgarantien biete, auch wenn die Mitglieder theoretisch im Entscheidungsfall weisungsfrei gestellt seien. Ein Vollgericht, wie es die Richtlinie für zumindest eine Instanz fordere, sei die Datenschutzkommission noch weniger. Dazu müsste sie jedenfalls auch mündlich verhandeln (Hinweis auch auf das Urteil des Europäischen Gerichtshofes Dörr und Ünal vom 2. Juni 2005, C-136/03).
Selbst wenn die in der Stellungnahme des Bundeskanzleramtes/Verfassungsdienst vom 6. Dezember 2006 dargelegten innerorganisatorischen Vorgänge so zutreffen sollten, wie sie geschildert seien, sei offenkundig, dass die belangte Behörde weder personell noch budgetär noch hinsichtlich des Hilfspersonals wirklich von der Verwaltung unabhängig sei. Unabhängigkeit bedeute auch Herausnahme aus dem Weisungszug insgesamt. Dass die belangte Behörde einem anderen Ministerium, beispielsweise dem Justizministerium, unterstellt werde, behaupte keine der Gegenschriften (Anmerkung: gemeint sind die Gegenschrift der belangten Behörde und die Stellungnahme des Bundeskanzleramtes/Verfassungsdienst im Beschwerdeverfahren Zl. 2006/06/0136).
Der Beschwerdeführer regt an, es wolle daher dem Europäischen Gerichtshof die Frage zur Vorabentscheidung vorgelegt werden, ob eine Behörde, die wie die in Österreich bestehende Datenschutzkommission organisiert ist, den Anforderungen der Datenschutzrichtlinie entspricht, wonach die Anwendung der von den Mitgliedsstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet von einer in völliger Unabhängigkeit agierenden Datenschutzkontrollstelle zu überwachen und überdies ein Rechtsweg zu einem Gericht einzurichten ist.
In dieser bezogenen Stellungnahme des Bundeskanzleramtes/Verfassungsdienst vom 6. Dezember 2006 heißt es (zusammengefasst) insbesondere, die Datenschutzkommission bestehe aus ihren Mitgliedern als Kollegium und sei als solche in keiner Weise organisatorischer Bestandteil des Bundeskanzleramtes. Keinesfalls bestehe ein Weisungszusammenhang zwischen dem Bundeskanzleramt und Mitgliedern der Datenschutzkommission. Organisatorisch in das Bundeskanzleramt eingegliedert sei lediglich der bürokratische Hilfsapparat der Datenschutzkommission, also deren Geschäftsstelle. Mit 1. Juli 2004 sei die Geschäftseinteilung des Bundeskanzleramtes dahin geändert worden, dass die beiden vor der Umstrukturierung bestehenden Referate V/3/a - Büro der Datenschutzkommission und V/3/b - Datenverarbeitungsregister nun gemeinsam die "Geschäftsstelle der Datenschutzkommission" bildeten, welche nunmehr die Organisationseinheit sei, die gemäß § 38 Abs. 2 DSG 2000 für die Unterstützung der Geschäftsführung der Datenschutzkommission zuständig sei. Diese Geschäftsstelle sei ausschließlich mit der Geschäftsführung der Agenden der Datenschutzkommission betraut. Dies ergebe sich aus der in Durchführung des § 7 des Bundesministeriengesetzes 1986 erlassenen Geschäftseinteilung des Bundeskanzleramtes, die eine interne Delegationsnorm darstelle und somit rechtsverbindlichen Charakter aufweise. Es sei somit nicht bloß faktisch, sondern auch in rechtsverbindlicher Weise klargestellt, dass die Geschäftsstelle mit keinen weiteren Aufgaben der Bundesverwaltung betraut sei. Wesentlich sei schließlich, dass die Bediensteten dieser Geschäftsstelle durch die Verfassungsbestimmung des § 37 Abs. 2 DSG 2000 bei der Erledigung ihrer Aufgaben für die Datenschutzkommission nur an deren Weisungen oder an Weisungen des geschäftsführenden Mitglieds gebunden seien. Einflussnahmen des Bundeskanzleramtes seien damit verfassungsgesetzlich ausgeschlossen.
Was die Stellung des geschäftsführenden Mitglieds der Datenschutzkommission anlange, sei Folgendes zu unterscheiden: Die Mitglieder der Datenschutzkommission würden gemäß § 36 Abs. 1 DSG 2000 vom Bundespräsidenten für die Dauer von fünf Jahren bestellt. Nach § 36 Abs. 3 DSG 2000 sei ein Mitglied der Datenschutzkommission aus dem Kreise der rechtskundigen Bundesbeamten vorzuschlagen. Die Mitglieder der Datenschutzkommission seien gemäß der Verfassungsbestimmung des § 37 Abs. 1 DSG 2000 in Ausübung ihres Amtes unabhängig und an keine Weisungen gebunden. Die Tätigkeit als Mitglied der Datenschutzkommission sei als Nebentätigkeit konzipiert. Gemäß der Verfassungsbestimmung des § 38 Abs. 1 DSG 2000 habe sich die Datenschutzkommission eine Geschäftsordnung zu geben, in der eines ihrer Mitglieder mit der Führung der laufenden Geschäfte zu betrauen sei (geschäftsführendes Mitglied). Die Mitglieder der Datenschutzkommission bestimmten demnach selbst, wer aus ihrer Mitte das geschäftsführende Mitglied sein solle.
Die Geschäftsstelle der Datenschutzkommission werde durch einen Bundesbeamten geleitet, der nicht notwendiger Weise auch Mitglied der Datenschutzkommission sein müsse. Die derzeitige Leiterin der Geschäftsstelle sei gegenwärtig (aus fachlichen Gründen, aber, wie dargelegt, aus keinerlei formalem Zwang) auch dasjenige Mitglied der Datenschutzkommission, welches nach § 36 Abs. 3 DSG 2000 aus dem Kreise der rechtskundigen Bundesbeamten stamme. Die Tatsache, dass sie auch das geschäftsführende Mitglied der Datenschutzkommission sei, ergebe sich ausschließlich aus der Geschäftsordnung der Datenschutzkommission, die sich diese selbst gegeben habe.
Aus der Tatsache, dass die Geschäftsstelle ausschließlich mit der Geschäftsführung der Agenden der Datenschutzkommission betraut sei, ergebe sich weiters, dass das geschäftsführende Mitglied (eine Funktion, die als Nebentätigkeit wahrgenommen werde) in ihrer Tätigkeit als Bundesbeamtin (Leiterin der Geschäftsstelle der Datenschutzkommission) nunmehr ausschließlich für die Datenschutzkommission tätig sei - also in keiner anderen, wie immer gearteten zusätzlichen Funktion, in der sie den Weisungen eines Regierungsmitgliedes oder einer sonstigen Stelle unterworfen wäre.
Für das Bundeskanzleramt nehme diese Beamtin lediglich Aufgaben im Zusammenhang mit der "notwendigen Sach- und Personalausstattung" (im Original unter Anführungszeichen) wahr, die vom Bundeskanzler nach § 38 Abs. 2 leg. cit. der Geschäftsstelle zur Verfügung zu stellen sei. Das sei neben Raum-, Einrichtungs- und Materialangelegenheiten, (wenigen) finanziellen Angelegenheiten (etwa die Zahlung von Prozesskosten vor Höchstgerichten) die "Dienstaufsicht" (im Original unter Anführungszeichen) über die Mitarbeiter der Geschäftsstelle. Diese Aufgaben dienten also ausschließlich der Datenschutzkommission; sie umfassten vor allem nicht mehr die Wahrung von Interessen des Bundeskanzlers oder der Bundesregierung auf dem Gebiet des Datenschutzes.
Zusammenfassend ergebe sich, dass es sich bei der Datenschutzkommission um eine Behörde nach Art. 133 Z 4 B-VG handle, deren Mitglieder auf Grund des Art. 20 Abs. 2 B-VG ex lege weisungsfrei gestellt seien. Weiters sehe die Verfassungsbestimmung des § 35 Abs. 2 DSG 2000 vor, dass die Datenschutzkommission ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung ausübe. Die Weisungsfreiheit der Datenschutzkommission sei im § 37 DSG 2000 zusätzlich verfassungsrangig gewährleistet.
Weiters sei im Hinblick auf die organisatorische Stellung der Datenschutzkommission und ihrer Geschäftsstelle festzuhalten, dass auch der Europäische Gerichtshof davon ausgehe, dass eine Einrichtung, bei der ein Rechtsmittel gegen eine Entscheidung der Dienststellen einer Verwaltung eingelegt werde, dann als Dritter im Verhältnis zu diesen Dienststellen und damit als Gericht im Sinne von Art. 234 EGV angesehen werden könne, wenn sie zwar eine institutionelle Verbindung zu dieser Verwaltung aufweise, aber sichergestellt sei, dass die nationale Rechtsordnung so beschaffen sei, dass sie eine funktionale Trennung zwischen den Dienststellen der Verwaltung, deren Entscheidung angefochten werden, und der Einrichtung gewährleiste, die über die Entscheidung dieser Dienststellen erhobenen Beschwerden entscheide, ohne von der Verwaltung, zu der diese Dienststelle gehörten, Weisungen zu erhalten.
Diese dargelegten rechtlichen Ausführungen seien im Übrigen auch der Europäischen Kommission in Beantwortung eines "Mahnschreibens" bereits im Oktober 2005 übermittelt worden. Die Kommission habe das Verfahren bislang nicht weiter verfolgt.
Die belangte Behörde führt zu den vom Beschwerdeführer aufgeworfenen europarechtlichen Fragen in ihrer nunmehrigen Gegenschrift (die, wie eingangs dieser Ausführungen betont wird, der Gegenschrift im Beschwerdeverfahren Zl. 2006/06/0136 inhaltlich weitgehend entspreche) zusammengefasst insbesondere aus, Art. 28 Abs. 1 der Datenschutzrichtlinie stelle keine materiell-rechtliche Vorschrift, sondern eine für Richtlinien nicht untypische organisationsrechtliche Zielbestimmung dar und habe daher keinen so konkreten Regelungsgehalt, dass diese Bestimmung auch ohne nationale Ausführungsnorm unmittelbar zur Anwendung kommen könnte. Würde man sich § 31 und die §§ 35 bis 40 DSG 2000 wegdenken, die die innerstaatlichen Ausführungsbestimmungen bildeten, wäre Art. 28 eventuell auch in Verbindung mit Art. 22 der Richtlinie keine taugliche Grundlage, um die zur Wahrung der Datenschutzrechte des Einzelnen erforderliche unabhängige Datenschutzkontrollstelle als bestehend und eingesetzt zu betrachten bzw. die zur Geltendmachung dieser Rechte zuständige österreichische Behörde bestimmen zu können (wird näher ausgeführt). Die klare Trennung in der Richtlinie zwischen den sehr unbestimmten Vorgaben unter anderem für die Rechtsbehelfe und den Vorhaben für die inhaltliche Ausgestaltung betreffend die Rechtmäßigkeit der Datenverarbeitung stehe einem "negativen" (Hervorhebung im Original) Verständnis dahin, dass mangels ausreichender Umsetzung der zur Behandlung der Rechtsbehelfe eingerichteten Kontrollstelle, diese bis zur allenfalls einmal später erfolgten "ausreichenden" Umsetzung die Rechtsbehelfe unbehandelt zu bleiben hätten und damit die belangte Behörde unzuständig wäre, schon im Ansatz entgegen. Wäre damit doch gegenüber der sonstigen Verfahrensrechtslage in Österreich eine deutliche Verschlechterung der Effektivität des Rechtsschutzes gegeben, die selbst gemeinschaftsrechtswidrig wäre.
Die von der Europäischen Kommission aufgeworfene Frage nach der Unabhängigkeit der belangten Behörde gemäß Art. 28 der Datenschutzrichtlinie berühre folgerichtig auch nicht die Stellung der belangten Behörde als "unabhängige Datenschutzkontrollstelle" im Sinne des Art. 28 Abs. 1 leg. cit. an sich. Wie aus der vom Beschwerdeführer im Beschwerdeverfahren Zl. 2006/06/0136 vorgelegten Urkundenkopie (Schreiben der Europäischen Kommission an den Verein ARGE Daten vom 22. Juli 2005) zu entnehmen sei, gehe es in diesem Vertragsverletzungsverfahren um die "rechtlich bestehende und praktisch angewandte Organisation der Datenschutzkontrollstelle" (im Original unter Anführungszeichen), deren rechtliche Existenz - und dies sei entscheidend - von der Europäischen Kommission nicht in Frage gestellt werde. Mit anderen Worten: Gegenstand des Vertragsverletzungsverfahrens sei die Frage, ob für die belangte Behörde durch die gesetzlich geregelte Organisation und deren praktische Umsetzung das von Art. 28 der Richtlinie vorgesehene Maß an Unabhängigkeit gewährleistet sei. Die belangte Behörde bestehe und nehme entsprechend ihren Befugnissen gesetzmäßig die Aufgaben einer unabhängigen Datenschutzkontrollstelle gemäß Art. 28 der Richtlinie wahr. Sie sei zur Erlassung des angefochtenen Bescheides ohne jeden Zweifel zuständig gewesen.
Das Vorbringen des Beschwerdeführers, das den gerichtlichen Rechtsschutz betreffe und sich auf Art. 22 der Richtlinie stütze, würde den Gehalt dieser Bestimmung verkennen. Er vermenge hier die Auslegung der EMRK hinsichtlich der "Tribunalqualität" von Behörden durch den Europäischen Gerichtshof für Menschenrechte unzulässigerweise mit der Auslegung der Richtlinie. Die belangte Behörde sei eine Kollegialbehörde mit richterlichem Einschlag gemäß Art. 133 Z 4 B-VG, somit ein Tribunal im Sinne der EMRK und auch ein Gericht im Sinne des Gemeinschaftsrechtes (Hinweis auf das Urteil des Gerichtshofes der Europäischen Gemeinschaften - im Folgenden: EuGH vom 18. Juni 2002, C-92/00, HI gegen Stadt Wien). Ihr komme im Verfahren zur Entscheidung über eine Beschwerde gemäß § 31 Abs. 2 DSG 2000 volle Kognition über Tatsachen- wie auch Rechtsfragen zu. Die Bescheide der belangten Behörde unterlägen auch der Rechtskontrolle durch beide Gerichtshöfe des öffentlichen Rechts. Die vom Beschwerdeführer genannten Bedenken des EuGH betreffend die Einbindung von abgabenrechtlichen Berufungsbehörden in den Geschäftsapparat einer Abgabenbehörde zweiter Instanz in der Rechtssache C-516/99 - Schmid bezögen sich nicht einmal auf einen vergleichbaren Sachverhalt. Die (früheren) Berufungssenate gemäß § 270 BAO (idF vor der Novelle BGBl. I Nr. 97/2002) hätten über Berufungen gegen Bescheide von Abgabenbehörden entschieden, demnach in einem ressortinternen Rechtszug. Die belangte Behörde habe aber im Beschwerdefall einen ressortfremden datenschutzrechtlichen Auftraggeber überprüft, sodass sie (im Sinne des vom Beschwerdeführer zitierten Schlussantrages in der Rechtssache C-516/99) gegenüber der BH eindeutig als "Dritte" tätig geworden sei. Art. 22 der Richtlinie garantiere keineswegs den Rechtsschutz durch ein Gericht (im Sinne des österreichischen B-VG mit Vollkognition über Tatsachen und Rechtsfragen, sondern lediglich die Möglichkeit, "bei Gericht einen Rechtsbehelf" - im Original unter Anführungszeichen) einzulegen. Durch das im DSG 2000 vorgesehene zweistufige Verfahren, nämlich zunächst ein Beschwerdeverfahren vor der belangten Behörde als Tribunal im Sinne der EMRK mit Vollkognition und sodann nachfolgend mit Rechtskontrolle durch beide Gerichtshöfe des öffentlichen Rechts, seien die Zielvorgaben des Art. 22 der Richtlinie ordnungsgemäß in österreichisches Recht umgesetzt worden.
Der Verwaltungsgerichtshof teilt nicht die gemeinschaftsrechtlichen Bedenken des Beschwerdeführers. Zunächst ist darauf zu verweisen, dass es hier um die behauptete unzureichende Umsetzung der Datenschutzrichtlinie geht und nicht um andere Richtlinien, sodass aus dem Hinweis des Beschwerdeführers auf das Urteil des Europäischen Gerichtshofes vom 2. Juni 2005, C-136/03, Rechtssache Dörr und Ünal, das die Richtlinie 64/221/EWG des Rates vom 25. Februar 1964 zur Koordinierung der Sondervorschriften für die Einreise und den Aufenthalt von Ausländern, soweit sie aus Gründen der öffentlichen Ordnung, Sicherheit oder Gesundheit gerechtfertigt sind, betrifft, im Beschwerdefall nichts Entscheidendes zu gewinnen ist.
Die Aufgaben, die die gemäß Art. 28 der Datenschutzrichtlinie vorgesehene(n) Kontrollstelle(n) "in völliger Unabhängigkeit" (Abs. 1 zweiter Satz des Artikels) wahrzunehmen hat (haben), sind vielfältig. Na
