Index
E000 EU- Recht allgemein;Norm
31995L0046 Datenschutz-RL Art2 litc;Betreff
Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Giendl und die Hofräte Dr. Bernegger, Dr. Waldstätten, Dr. Rosenmayr und Dr. Bayjones als Richter, im Beisein der Schriftführerin Mag. Gubesch, über die Beschwerde des O C in P, vertreten durch Dr. Helmut Graupner, Rechtsanwalt in Wien 13, Maxingstraße 22-24/4/9, gegen den Bescheid der Datenschutzkommission vom 4. Mai 2004, Zl. K120.841/0001-DSK/2004, betreffend Ansprüche nach dem Datenschutzgesetz 2000, zu Recht erkannt:
Spruch
Die Beschwerde wird als unbegründet abgewiesen.
Der Beschwerdeführer hat dem Bund Aufwendungen in der Höhe von EUR 381,90 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
Begründung
Der Beschwerdeführer wurde vom Gendarmerieposten B (in der Folge kurz: GP) wegen des Verdachtes, eine Reihe strafbarer Handlungen begangen zu haben, bei der Staatsanwaltschaft Wiener Neustadt zur Anzeige gebracht und im darauf folgenden gerichtlichen Verfahren vom zuständigen Bezirksgericht in allen ihm zur Last gelegten Punkten (unbestritten rechtskräftig) freigesprochen.
Mit dem an die Bezirkshauptmannschaft Mödling (in der Folge zumeist kurz: BH) gerichteten Antrag vom 19. August 2002 begehrte der Beschwerdeführer unter Hinweis darauf, dass nach dem rechtskräftigen Freispruch keine Behörde mehr den Verdacht hegen dürfe, dass er die betreffenden Taten begangen habe und damit die zu seiner Person verarbeiteten Daten für Zwecke der Sicherheitspolizei nicht mehr benötigt würden, weshalb sie zu löschen seien, sämtliche im Zusammenhang mit dem betreffenden Verdacht automationsgestützt oder konventionell verarbeiteten Daten, insbesondere auch die in der zentralen Informationssammlung gemäß § 57 des Sicherheitspolizeigesetzes (SPG) zu seiner Person im Zusammenhang mit diesem Verdacht verarbeiteten Daten, zu löschen und sowohl die Empfänger der Daten als auch ihn, ihn zu Handen des Beschwerdevertreters, zu verständigen, sowie über den Antrag bescheidmäßig abzusprechen.
Mit Schriftsatz vom 4. November 2002 (bei der belangten Behörde erhoben, eingelangt am 5. November 2002) erhob der Beschwerdeführer Beschwerde gegen die BH, weil diese keine Mitteilung von der Löschung gemacht und auch nicht begründet habe, weshalb die verlangte Löschung allenfalls nicht durchgeführt worden sei. Er begehrte, die Gesetzmäßigkeit der Unterlassung der Mitteilung zu überprüfen, festzustellen, dass er durch die Nichtvornahme der Mitteilung in seinem Recht auf Erhalt einer solchen Mitteilung verletzt worden sei und der im Verwaltungsverfahren belangten Behörde (BH) bescheidmäßig die Mitteilung aufzutragen.
Die belangte Behörde führte im Zuge des Ermittlungsverfahrens eine Einschau beim GP durch und gewährte dem Beschwerdeführer hiezu Parteiengehör.
Der Beschwerdeführer brachte hierauf mit Schriftsatz vom 28. Oktober 2003 vor, wie sich aus dem Bericht über die Einschau ergebe, seien am GP sehr wohl manuell verarbeitete Daten hinsichtlich der seinerzeitigen Strafanzeige vorhanden, nämlich die Eintragungen im Protokollbuch für das Jahr 2001 und der Akt P 737/01. Damit stehe fest, dass die im Verwaltungsverfahren belangte Behörde (BH) nicht nur die Mitteilung gemäß § 27 Abs. 4 DSG innerhalb der vorgeschriebenen acht Wochen unterlassen habe, sondern darüber hinaus auch mit einem Schreiben vom 14. November "2003" richtig wohl: 2002 eine unrichtige Auskunft gegeben und die genannten konventionell verarbeiteten Daten nicht gelöscht habe.
In Modifikation des ursprünglichen Begehrens wurde nunmehr begehrt, die Gesetzmäßigkeit der Unterlassung der Mitteilung innerhalb der vorgeschriebenen acht Wochen zu überprüfen und festzustellen, dass der Beschwerdeführer durch die Nichtvornahme der Mitteilung innerhalb der vorgeschriebenen acht Wochen in seinem Recht auf Erhalt einer solchen Mitteilung innerhalb dieser Frist verletzt worden sei, weiters, die Gesetzmäßigkeit der Mitteilung vom 14. November "2003" richtig wohl: 2002 zu überprüfen und festzustellen, dass er durch diese Mitteilung in seinem Recht auf Nichterhalt einer unrichtigen Mitteilung verletzt worden sei, schließlich, die Gesetzmäßigkeit der Unterlassung der Löschung der Protokollbucheintragung (Schwärzung) und des genannten Aktes (Skartierung) zu überprüfen, festzustellen, dass er durch die Nichtvornahme dieser Maßnahmen in seinem Recht auf Löschung verletzt worden sei und der BH bescheidmäßig die Löschung aufzutragen.
Mit dem angefochtenen Bescheid hat die belangte Behörde die Beschwerde als unbegründet abgewiesen. Sie ging dabei von folgendem (für das Beschwerdeverfahren erheblichen) Sachverhalt aus:
Der Beschwerdeführer sei am 5. September 2001 vom GP zur Zl. P 737/01 wegen des Verdachtes näher umschriebener strafbaren Handlungen bei der Staatsanwaltschaft Wiener Neustadt zur Anzeige gebracht worden. Das gegen ihn beim zuständigen Bezirksgericht durchgeführte Strafverfahren habe am 25. März 2002 mit einem Freispruch in allen Punkten geendet. Daten zu dieser Strafanzeige und den ihr zugrundeliegenden Verdachtsfällen würden in der Zentralen Informationssammlung der Sicherheitsbehörden nicht mehr verarbeitet.
Der "Papierakt" P 737/01 werde weiterhin auf dem GP aufbewahrt. Es bestehe keine Eintragung von Daten des Beschwerdeführers in der Steckzettel- bzw. Indexkartei dieses GP, die seit 1. Mai 2001 wegen Umstellung auf das automationsgestützt geführte Kanzleiinformationssystem AVNT nicht mehr weitergeführt werde. Auftraggeber für das AVNT sei das Landesgendarmeriekommando für Niederösterreich, welches diese Datensammlung unter einer näher bezeichneten Zahl auch beim Datenverarbeitungsregister gemeldet habe.
Am 8. Oktober 2003 (anlässlich der Einschaunahme durch Beauftragte der belangten Behörde) hätten sich im Bestand der Datenanwendung AVNT des GP keine den Beschwerdeführer betreffenden Daten im Zusammenhang mit der zuvor genannten Strafanzeige befunden. Die Vorerhebungen gegen den Beschwerdeführer seien in dem Protokollbuch des GP unter der Grundzahl 738 mit Eingangsdatum 14. Februar 2001, dem Vermerk "ED" (= auf Initiative der eigenen Dienststelle), dem Gegenstand (es folgt die Angabe des Familien- und Vornamens, sowie die Anführung der strafbaren Handlungen, welcher er verdächtigt wurde, durch Angabe der Paragraphen und des Gesetzes), der Erledigung (Datum der Anzeige an die Staatsanwaltschaft), sowie der Tatsache der Erstellung der Kriminalstatistik verzeichnet. Beim Umstand, dass die Eintragung im Protokollbuch unter der Grundzahl 738 aufscheine, die Erhebungen aber tatsächlich unter der Zl. P 737/01 geführt worden seien, dürfte es sich um ein kanzleitechnisches Versehen handeln. Zwischen den unter der Grundzahl 737 im Protokollbuch eingetragenen Vorerhebungen und den Vorerhebungen gegen den Beschwerdeführer - beide datierten vom selben Tag - bestehe ein gewisser Zusammenhang hinsichtlich der Betroffenen, sodass die belangte Behörde davon ausgehe, dass beide Daten bei der Eintragung im Protokollbuch lediglich vertauscht worden seien.
Nach Darstellung des Antrages des Beschwerdeführers vom 19. August 2002 und der Beschwerde an die belangte Behörde heißt es weiters, am 14. November 2003 richtig: 2002 habe die BH dem Beschwerdeführer mitgeteilt, dass sie als Auftraggeberin betreffend den Beschwerdeführer weder automationsunterstützt noch "konventionell" Daten verarbeite.
Nach Wiedergabe verschiedener gesetzlicher Bestimmungen heißt es weiter, es obliege dem Betroffenen, den Auftraggeber zu identifizieren. Spätestens anlässlich der Einbringung einer Beschwerde an die Datenschutzkommission müsse sich der Betroffene im Klaren sein, welchen Auftraggeber er belange. Er habe nun stets die BH Mödling als Beschwerdegegnerin bezeichnet und sehe sich durch sie in seinen Rechten verletzt.
Die BH komme aber nur für eine der verfahrensgegenständlichen Datenanwendungen und Dateien als Auftraggeberin in Frage, nämlich für die bereits gelöschte Eintragung des Beschwerdeführers hinsichtlich der Anzeige P 737/01 im kriminalpolizeilichen Aktenindex (wird näher begründet). Datenanwendungen und manuelle Dateien, die der Aktenführung und Aktenverwaltung dienten, fielen hingegen unter den Begriff des "inneren Dienstes" gemäß § 10 Abs. 2 SPG. Dazu gehörten unter anderem die Kanzleiführung einschließlich der Erledigung von Geschäftsstücken in der vom Bundesministerium für Inneres vorgegebenen Form (Hinweis auf einen Erlass des Bundesministers für Inneres). Die Bestimmungen des SPG über das Verwenden personenbezogener Daten im Rahmen der Sicherheitspolizei seien im Beschwerdefall, soweit es sich um das Protokollbuch, die Indexkartei oder das Kanzleiinformationssystem AVNT handle, daher nicht anzuwenden, weil es sich bei den Daten außerhalb der zentralen Informationssammlung der Sicherheitsbehörden um solche für Zwecke der formalen Behandlung der vom GP zu besorgenden Geschäfte (Kanzlei- und Büroorganisation, Aktenführung) handle, die in § 13 SPG bzw. den dort vorgesehenen Ausführungsbestimmungen geregelt seien. Es fänden daher nur die Bestimmungen des DSG 2000 Anwendung, verantwortlicher Auftraggeber sei gemäß § 10 Abs. 2 SPG und dem im Sachverhalt betreffend das System AVNT festgestellten Stand des Datenverarbeitungsregisters das Landesgendarmeriekommando für Niederösterreich.
Soweit den Beschwerdeführer und die gegenständliche Strafanzeige betreffende Daten verarbeitet würden, sei die Beschwerde daher insofern unbegründet, als nach § 10 Abs. 2 SPG nicht die Beschwerdegegnerin (BH Mödling als Sicherheitsbehörde) sondern das Landesgendarmeriekommando für Niederösterreich als datenschutzrechtlicher Auftraggeber die Verantwortung für die Handlung der Beamten des GP trage. Zu dieser formalen mangelnden Passivlegitimation der Beschwerdegegnerin komme noch, dass sich weder eine auf den Gegenstand der Beschwerde bezogene Verarbeitung von Daten des Beschwerdeführers im System AVNT noch in der Indexkartei des GP ergeben habe. Nur im Protokollbuch hätten sich überhaupt auf den Beschwerdeführer und die gegenständliche Strafanzeige bezüglich Daten gefunden.
Da aber die Beschwerdegegnerin nicht Auftraggeberin der in Frage kommenden Dateien sei, könne sie den Beschwerdeführer auch nicht in den bezeichneten Rechten verletzt haben. In Fragen des inneren Dienstes des GP, wie der Aktenführung und des Kanzleiwesens überhaupt, wäre sie auch als Sicherheitsbehörde erster Instanz gar nicht befugt, gegenüber dem GP die Vernichtung von Akten oder die Unleserlichmachung von Protokollbucheintragungen anzuordnen.
Dazu komme, dass die (nunmehr) belangte Behörde in ständiger Entscheidungspraxis unter Berufung auf die Verfassungsbestimmung des § 1 Abs. 3 DSG 2000 ein Recht auf Auskunft aus und Richtigstellung bzw. Löschung oder Vernichtung von "(Papier) Akten" verneine. Die belangte Behörde vertrete in ständiger Rechtsprechung die Auffassung, "das ein behördenüblicher Papierakt weder eine automationsgestützt geführte Datenanwendung noch eine manuelle Datei bilde, es daher keinen Anspruch auf Löschung von Daten aus einem solchen Akt, etwa durch Entfernen und Vernichten von einzelnen Blättern oder durch Unkenntlichmachung von einzelnen Schriftpassagen gebe" (Zitat im Original; weiterer Hinweis auf Bescheide der belangten Behörde).
Deshalb erweise sich die Beschwerde als unbegründet und sei abzuweisen gewesen.
Dagegen richtet sich die vorliegende Beschwerde wegen inhaltlicher Rechtswidrigkeit sowie Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften.
Die belangte Behörde hat die Akten des Verwaltungsverfahrens vorgelegt und in einer Gegenschrift die kostenpflichtige Abweisung der Beschwerde beantragt.
Der Verwaltungsgerichtshof hat erwogen:
Im Beschwerdefall ist das Datenschutzgesetz 2000, BGBl I Nr. 165/1999 (DSG 2000), in der Fasssung BGBl I Nr. 136/2001, anzuwenden.
§ 1 DSG 2000 (Verfassungsbestimmung) lautet:
"Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, daß Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind."
§ 2 DSG 2000 (Verfassungsbestimmung) lautet:
"Zuständigkeit
§ 2. (1) Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr.
(2) Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit solche Daten von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen Personen, die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, verwendet werden, sind diese Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzkommission, der Datenschutzrat oder Gerichte mit der Vollziehung betraut werden."
§ 4 DSG 2000 enthält Definitionen
In Z 4 wird "Auftraggeber'' wie folgt definiert (die bezogene Z 9 betrifft den Begriff "Verwenden von Daten"):
"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;"
Nach Z 6 dieses Paragraphen ist eine "Datei'' eine "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind".
§ 26 Abs. 1 und 2 DSG 2000 lautet:
"(1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann an Stelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder
2.
der Sicherung der Einsatzbereitschaft des Bundesheeres oder
3.
der Sicherung der Interessen der umfassenden Landesverteidigung oder
4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union oder
5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4."
§ 27 Abs. 1 und 4 DSG 2000 lautet:
"(1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
2. auf begründeten Antrag des Betroffenen.
Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, dass ihre Archivierung rechtlich zulässig ist und dass der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§ 46 und 47
(2) ...
(3) ...
(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird."
§ 31 DSG 2000 lautet auszugsweise:
"Beschwerde an die Datenschutzkommission
§ 31. (1) Die Datenschutzkommission erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26 durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) Zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz ist die Datenschutzkommission dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist.
(3) ..."
§ 58 DSG 2000 lautet:
"Manuelle Dateien
§ 58. Soweit manuell, dh. ohne Automationsunterstützung geführte Dateien für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gelten sie als Datenanwendungen im Sinne des § 4 Z 7. § 17 gilt mit der Maßgabe, dass die Meldepflicht nur für solche Dateien besteht, deren Inhalt gemäß § 18 Abs. 2 der Vorabkontrolle unterliegt."
Im Beschwerdefall ist weiters das Sicherheitspolizeigesetz (SPG), BGBl. Nr. 566/1991, in der Fassung BGBl. I Nr. 104/2002, anzuwenden.
§ 10 Abs. 2 SPG lautet:
"(2) Die Angelegenheiten des inneren Dienstes der Landes- und Bezirksgendarmeriekommanden werden von diesen selbst besorgt. Ihnen obliegt die Organisation des Streifendienstes innerhalb des Landes oder des Bezirkes. Soweit sie für den inneren Dienst automationsunterstützt Daten verarbeiten, sind sie Auftraggeber (§ 3 Z 3 des Datenschutzgesetzes)."
§ 13 SPG lautet:
"Kanzleiordnung der Sicherheitsdirektionen, der Bundespolizeidirektionen und der Bundesgendarmerie
§ 13. Die formale Behandlung der von den Sicherheitsdirektionen, den Bundespolizeidirektionen und der Bundesgendarmerie zu besorgenden Geschäfte ist vom Bundesminister für Inneres jeweils in einer einheitlichen Kanzleiordnung festzulegen; hiebei ist auch zu bestimmen, in welchem Umfang diese formale Behandlung automationsunterstützt erfolgen darf. Für die Bundespolizeidirektion Wien können, soweit dies wegen der Größe dieser Behörde erforderlich ist, Abweichungen von der sonst für die Bundespolizeidirektionen geltenden Kanzleiordnung vorgesehen werden."
§ 51 SPG lautet:
"§ 51. (1) Die Sicherheitsbehörden haben beim Verwenden (Verarbeiten und Übermitteln) personenbezogener Daten die Verhältnismäßigkeit (§ 29) zu beachten. Beim Verwenden sensibler und strafrechtlich relevanter Daten haben sie angemessene Vorkehrungen zur Wahrung der Geheimhaltungsinteressen der Betroffenen zu treffen."
(2) Sofern nicht ausdrücklich Anderes angeordnet wird, finden auf das Verwenden personenbezogener Daten die Bestimmungen des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, Anwendung."
§ 63 SPG lautet:
"Pflicht zur Richtigstellung oder Löschung
§ 63 (1) Wird festgestellt, dass unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes ermittelte Daten aufbewahrt werden, so ist unverzüglich eine Richtigstellung oder Löschung vorzunehmen. Desgleichen sind personenbezogene Daten zu löschen, sobald sie für die Erfüllung der Aufgabe, für die sie verwendet worden sind, nicht mehr benötigt werden, es sei denn, für ihre Löschung wäre eine besondere Regelung getroffen worden.
(2) Die Sicherheitsbehörden haben automationsunterstützt verarbeitete personenbezogene Daten, die sechs Jahre unverändert geblieben sind, daraufhin zu überprüfen, ob diese nicht gemäß Abs. 1 richtig zu stellen oder zu löschen sind. Für Daten, die in der Zentralen Informationssammlung verarbeitet werden, gelten die §§ 58 und 59."
§ 1 der vom Beschwerdeführer genannten Bezirksgendarmeriekommanden-Verordnung (BGK-VO), BGBl. Nr. 268/1993, lautet:
§ 1. Die Angelegenheiten des inneren Dienstes der Bezirksgendarmeriekommanden werden von diesen selbst besorgt. Hiezu gehören auch
1. die Behandlung von Beschwerden und sonstigen Eingaben, die an das Bezirksgendarmeriekommando gerichtet sind, Beamte des Bezirkes betreffen und die Dienstaufsicht ansprechen;
2. die Erhebung der Umstände der Ausübung unmittelbarer Zwangsgewalt nach dem Waffengebrauchsgesetz 1969, BGBl. Nr. 149, durch Beamte des Bezirkes sowie die Ergreifung notwendiger dienstrechtlicher Maßnahmen;
3. die Zuteilung von Dienstkraftfahrzeugen und sonstiger Einsatzmittel innerhalb des Bezirkes bis zur Höchstdauer von 90 Tagen;
4.
die Aufhebung der Kasernierungspflicht;
5.
die Zustimmung zur Zuweisung von Sachgebieten an Beamte des Bezirkes;
6. die Entscheidungen über die Zustimmung der Dienstbehörde gemäß den §§ 21 und 38 des Verwaltungsakademiegesetzes, BGBl. Nr. 122/1975, in der Fassung BGBl. Nr. 388/1986."
Der Beschwerdeführer bringt zusammengefasst vor, die Auffassung, dass die BH nicht Auftraggeber der im Protokollbuch verarbeiteten personenbezogenen Daten sei, sei unzutreffend. Auch wenn die Kanzleiführung, einschließlich der formellen (Hervorhebung im Original) Erledigung der Geschäftsstücke wohl dem inneren Dienst zukommen möge, so könne in der Entscheidung, welche inhaltlichen personenbezogenen Daten im Einzelfall konkret in ein Indexkarteiblatt (in eine Steckkarte) aufzunehmen seien und welche nicht, sowie welche allenfalls wieder zu löschen seien, keinesfalls als formelle Erledigung, als bloß "gendarmerieinterne Angelegenheit" angesehen werden. Auch der beispielhaften Aufzählung von Angelegenheiten des inneren Dienstes im § 1 der Bezirksgendarmiekommanden-Verordnung (BGK-VO), BGBl. Nr. 268/1993, welche eben nicht auf Gesetzesebene stehe, sei unschwer zu entnehmen, dass mit inneren Angelegenheiten nicht solche inhaltlichen Entscheidungen über personenbezogene Daten rechtsunterworfener Verdächtiger, die nicht Angehörige der Gendarmerie seien, gemeint sein könnten, beträfen die dort aufgezählten Tätigkeit doch tatsächlich "eminent 'innere Angelegenheiten'".
Das Anlegen des Protokollbuches durch Ausfüllen mit personenbezogenen Daten eines Verdächtigen (samt Angabe des Deliktes) sei "zutiefst meritorisches Handeln im Dienste der Strafjustiz (allenfalls auch der Sicherheitspolizei)", niemals bloß eine gendarmerieinterne Angelegenheit. Die Entscheidung für Protokollbücher oder ein anderes Organisationssystem, die Auswahl von Farbe, Material, Menge und Aufbewahrungsort der Bücher werde ebenso zum inneren Dienst gehören wie die Auswahl der Farbstifte, mit denen die Bücher beschrieben würden, und tatsächlich "gendarmerieinterne Angelegenheit" sein; das Versehen der Bücher mit personenbezogenen Daten konkreter Verdächtiger (samt Angabe des Deliktes) gehöre aber zur kriminalpolizeilichen oder sicherheitspolizeilichen Arbeit, was schon der normale Wortsinn der Wendungen "innerer Dienst" und "gendarmerieinterne Angelegenheit" erkennen lasse.
Die Auffassung der belangten Behörde hätte auch die merkwürdig anmutende, ja geradezu absurde Konsequenz, dass die Erhebungsakten einen anderen datenschutzrechtlichen Auftraggeber hätten als die Protokollbücher, die zu ihrer Protokollierung und Auffindung dienten. Daher bildeten die Protokollbücher mit den Erhebungsakten eine Einheit, eine Datei. Das eine sei ohne das andere unvollständig und nutzlos. Dafür, diese Einheit, ausgerechnet im Bereich des Datenschutzes, zu zerreißen, gebe es keinerlei Grund und keine Grundlage im Gesetz. Insbesondere könne dem Gesetzgeber nicht unterstellt werden, ein "solch absurdes Wirrwarr an Zuständigkeiten" (Erhebungsakten:
Bezirkshauptmannschaft; Protokollbücher: Gendarmeriekommanden) gewollt zu haben, schon gar nicht mit den Wendungen "innerer Dienst" und "gendarmerieinterne Angelegenheit". Die personenbezogenen Daten in Protokollbüchern seien ebensowenig von den Erhebungsakten zu trennen wie der Briefumschlag einer vom Gendarmerieposten versendeten Ladung von seinem Inhalt zu trennen und dem "inneren Dienst" zuzurechnen sei (mit der Konsequenz, dass Vermerke auf dem Umschlag dem Gendarmeriepostenkommando und Vermerke auf dem darin befindlichen Schreiben der Bezirkshauptmannschaft zuzurechnen seien).
Richtigerweise sei also die BH Mödling zur Löschung bzw. Richtigstellung der in den Protokollbüchern verarbeiteten Daten und zur Mitteilung gemäß § 27 Abs. 4 DSG 2000 zuständig (Auftraggeber). Was nun die Kopienakten (Erhebungsakten) anlange, seien die in diesen Akten und den Protokollbüchern und Steckzetteln enthaltenen personenbezogenen Daten als Gesamtheit zu sehen. Die Protokolle und Steckkarten dienten nach den Ausführungen der belangten Behörde ja der Wiederauffindung der Akten. Dabei handle es sich aber bei den personenbezogenen Daten (auch) in den Kopienakten um Teile einer strukturierten Sammlung, die durch die Steckkarten und Protokolle nach mindestens einem Kriterium (hier etwa dem Namen des Beschwerdeführers) zugänglich seien (Hinweis auf § 4 Z 6 DSG 2000). Die von der belangten Behörde vorgenommene Trennung der personenbezogenen Daten im Kopienakt einerseits und den Protokollbüchern und Steckkarten andererseits sei künstlich und entspreche nicht dem Schutzzweck des Gesetzes.
Im Übrigen könne die Verfassungsbestimmung des § 1 Abs. 3 DSG nicht anhand der einfach-gesetzlichen Bestimmung des § 4 Z 6 DSG ausgelegt werden, weil dann der einfache Gesetzgeber den Inhalt von Verfassungsnormen bestimmen würde. Der Begriff "Datei" in § 1 Abs. 3 DSG 2000 sei verfassungsautonom am Prinzip der Grundrechtseffektivität (und völkerrechtskonform im Sinne des Art. 8 EMRK) auszulegen und umfasse daher auch Kopienakte.
Im Übrigen habe sich der Beschwerdeführer für seinen verfassungsgesetzlich gewährleisteten Anspruch auf Löschung nicht nur auf § 1 Abs. 3 Z 2 DSG 2000 berufen, sondern vor allem auch auf Art. 8 EMRK, welche Verfassungsbestimmung jedenfalls einen verfassungsgesetzlich gewährleisteten Anspruch auf Löschung auch unstrukturiert (konventionell) verarbeiteter Daten verleihe. Auch die einfach-gesetzlichen Bestimmungen des § 63 SPG und des § 6 Abs. 1 Z 2 und Z 5 DSG 2000 seien nicht auf personenbezogene Daten in Dateien beschränkt.
Dem ist Folgendes zu entgegnen:
Soweit die Beschwerdeausführungen dahin zu verstehen sein sollten, dass sich der Beschwerdeführer durch den angefochtenen Bescheid auch in verfassungsgesetzlich gewährleisteten Rechten als verletzt erachte, fiele dies in die Zuständigkeit des Verfassungsgerichtshofes und nicht des Verwaltungsgerichtshofes; im verwaltungsgerichtlichen Verfahren ist daher hierauf nicht weiter einzugehen.
§ 63 SPG normiert eine Pflicht der Behörde zur Richtigstellung oder Löschung von Daten, daraus ergibt sich aber für personenbezogene Daten kein selbständig mit Beschwerde an die Datenschutzkommission verfolgbares Recht der betroffenen Person. Vielmehr greifen insofern im Hinblick auf § 51 Abs. 2 SPG die Bestimmungen des DSG 2000 (im Beschwerdefall daher insbesondere § 27 Abs. 1 und 4 iVm § 31 Abs. 2 DSG 2000).
Hinsichtlich Daten außerhalb des automationsunterstützten Datenverkehrs (§ 2 Abs. 1 DSG 2000) können die in den bundesgesetzlichen, einfachgesetzlichen Bestimmungen der §§ 26, 27 und 28 DSG 2000 normierten Rechte auf Auskunft, Richtigstellung, Löschung und Widerspruch aus Gründen der verfassungsrechtlichen Kompetenzverteilung zwischen Bund und Ländern nur auf Daten in jenen Angelegenheiten bezogen werden, für die eine Kompetenz des Bundesgesetzgebers besteht. Diese Voraussetzung ist im vorliegenden Fall erfüllt, die gegenständlichen Daten werden in einer Angelegenheit des "Strafrechtswesens" bzw. der "Aufrechterhaltung der öffentlichen, Ordnung und Sicherheit einschließlich der ersten allgemeinen Hilfeleistung" aufbewahrt, hier ist der Bund zur Gesetzgebung zuständig (Art. 10 Abs. 1 Z 6 bzw. 7 B-VG).
Die in den §§ 26, 27 und 28 DSG 2000 eingeräumten Rechte auf Auskunft, Richtigstellung, Löschung und Widerspruch beziehen sich nach dem Wortlaut dieser Bestimmungen zwar auf (in § 4 Z. 1 des Gesetzes definierte) "Daten". Jedoch ist aus der Entstehungsgeschichte des DSG 2000 und dem systematischen Zusammenhang mit § 2 DSG 2000 zu erschließen, dass sie (anders als das Recht auf Geheimhaltung) in Ausführung und im Rahmen des in Art. 1 Abs. 3 DSG 2000 normierten Gesetzesvorbehaltes genauer betrachtet nur auf die in dieser Verfassungsbestimmung angeführten, zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell geführten Dateien bestimmte Daten zu beziehen sind. Dies ergibt sich auch aus der erkennbaren Absicht des Gesetzgebers, mit dem DSG 2000 die durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Amtsblatt N. L 281 vom 23. November 1995, S. 0031 bis 0050 - kurz: Richtlinie) umzusetzen, in deren Art. 3 Abs. 1 ebenfalls vorgesehen ist, dass sie nur "für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen", und nicht für alle personenbezogenen Daten gilt (vgl. die Erläuterungen zur Regierungsvorlage des DSG 2000, 1613 BlgNR, 20. GP, 30 ff). Im vorliegenden Fall hat die belangte Behörde daher zutreffend darauf abgestellt, ob die gegenständlichen, nicht automationsunterstützt verarbeiteten (konventionellen) Daten in einer Datei gespeichert sind oder gespeichert werden sollen.
Im Beschwerdefall ist die Frage zu klären, ob es sich beim fraglichen "Papierakt" bzw. "Kopienakt" (Zweitschrift der an die Staatsanwaltschaft erstatteten Anzeige, die auch sensible Daten enthält) um eine "manuelle Datei" im Sinne des § 1 Abs. 3 bzw. des § 58 DSG 2000 handelt.
In der Richtlinie, die mit dem DSG 2000 umgesetzt werden sollte, ist in Art. 2 lit. c der Begriff "Datei mit personenbezogenen Daten" ("Datei") wie folgt definiert:
"Jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird".
Der Erwägungsgrund 27 dieser Richtlinie (wiedergegeben beispielsweise in Ehmann/Helfrich, EG Datenschutzrichtlinie (1999), 8, oder auch Dohr/Pollirer/Weiss, Datenschutzrecht2 (Loseblattausgabe), Anhang VI, 6, in Ghali, Datenschutz - Rechtsgrundlagen, Kurzkommentar (1999), 228, und in Drobesch / Grosinger, Das neue österreichische Datenschutzgesetz (2000), 333) lautet:
"Datenschutz muss sowohl für automatisierte als auch für nichtautomatisierte Verarbeitungen gelten. In der Tat darf der Schutz nicht von den verwendeten Techniken abhängen, da andernfalls ernsthafte Risiken der Umgehung entstehen würden. Bei manuellen Verarbeitungen erfasst diese Richtlinie lediglich Dateien, nicht jedoch unstrukturierte Akten. Insbesondere muss der Inhalt einer Datei nach bestimmten personenbezogenen Kriterien strukturiert sein, die einen leichten Zugriff auf die Datei ermöglichen. Nach der Definition in Artikel 2 Buchstabe c) können die Mitgliedstaaten die Kriterien zur Bestimmung der Elemente einer strukturierten Sammlung personenbezogener Daten sowie die verschiedenen Kriterien zur Regelung des Zugriffs zu einer solchen Sammlung festlegen. Akten und Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien strukturiert sind, fallen unter keinen Umständen in den Anwendungsbereich dieser Richtlinie."
In den Erläuterungen zur Regierungsvorlage zum DSG 2000 heißt es zu § 4 Z 6 zum Begriff der "Datei" (1613 BlgNR 20. GP, 38; wiedergegeben in Dohr/Pollirer/Weiss, aaO, zu § 4, Seite 44), in den bei der Erarbeitung der Richtlinie stattgefundenen Diskussionen sei immer wieder betont worden, dass unter "Datei" bei der manuellen Verwendung von Daten keinesfalls ein Aktenkonvolut zu verstehen sei, sondern vielmehr Karteien, Listen und dergleichen. Dieses gemeinsame Begriffsverständnis finde bedauerlicherweise im Definitionswortlaut nur ungenügenden Ausdruck: Um der kollektiven Absicht zu entsprechen, hätte es wohl eher heißen müssen, dass eine "Datei" eine Sammlung strukturierter Datensätze sei, die - nämlich die Sammlung - nach mindestens einem Suchkriterium geordnet sei. Eine historisch-teleologisch berichtigende Interpretation des tatsächlichen Textes scheine vor diesem Hintergrund nicht ausgeschlossen.
Mayer-Schönberger/Brandl, Datenschutzgesetz 2000 (1999), 15, führen (unter Hinweis auf Ausführungen in Damann/Simitis, EG Datenschutzrichtlinie (1997)) zusammengefasst aus, der Europäische Gesetzgeber dehne mit der Datenschutzrichtlinie den Datenschutz auf alle personenbezogenen Daten aus, unabhängig davon, ob diese automatisiert oder manuell verarbeitet worden seien oder würden. Die Definition des Begriffs "Datei" schließe jedenfalls nur jene Datensammlungen vom Anwendungsbereich aus, die gänzlich unstrukturiert seien. Das stelle auch der Erwägungsgrund 27 der Richtlinie klar, wonach Datenschutz sowohl für automatisierte als auch für nichtautomatisierte Verarbeitungen gelten müsse. Konkret bedeute dies, dass entgegen der bisherigen Regelung etwa alle nach Sozialversicherungsnummern oder Namen geordneten Aktensammlungen bei Behörden oder Unternehmen unter den grundsätzlichen Anwendungsbereich des Datenschutzgesetzes fielen. In Deutschland, wo es schon eine ähnliche gesetzliche Regelung gegeben habe, sei sehr intensiv über die Frage diskutiert worden, wieviele Suchkriterien eine manuelle Datensammlung (etwa ein Aktenordner) zu einer strukturierten, dem Datenschutz unterworfenen Sammlung machten. Aus der Textierung und der Entstehungsgeschichte der Datenschutzrichtlinie lasse sich, so die führenden deutschsprachigen Kommentatoren, diese Frage knapp beantworten: Es genüge ein einziges Kriterium. Damit sei klar, dass Akten, die lediglich nach Namen, Adressen oder Berufen geordnet seien, unter die Richtlinie fielen, "Klarsichtmappen, in die einzelne durchaus personenbezogene Dokumente einfach hineingesteckt werden", aber nicht. Mit dieser Loslösung vom Verarbeitungsmodus der Information habe sich der Datenschutz endgültig von der Technik orientierten Sicht der 70er Jahre verabschiedet. Sein Ziel sei nun der Schutz personenbezogener Daten, unabhängig davon, wo diese aufbewahrt und auf welche Weise sie zugänglich seien. So halte auch Erwägungsgrund 27 der Richtlinie fest, dass der Schutz nicht von der verwendeten Technik abhängigen dürfe, weil andernfalls ernsthafte Risiken der Umgehung entstehen würden.
Gahli, Datenschutz (aaO), 240 führt zu Art. 2 lit. c der Richtlinie aus (unter Hinweis auf Ausführungen in Dammann/Simitis bzw. in der Begründung des geänderten Vorschlages der Kommission vom 27. November 1992 im Zuge der Entstehung der Richtlinie), zum Vorliegen einer Datei bedürfe es einerseits einer Mehrzahl personenbezogener Daten und andererseits müsse diese Sammlung auch strukturiert sein. Dies sei der Fall, wenn die Sammlung - im Gegensatz zu einem reinen Fließtext - eine äußere Ordnung aufweise, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den (manuellen) Datenträger(n) oder in einer bestimmten physikalischen oder logischen Struktur (auf automatisch lesbaren Datenträgern) dargestellt seien. Darüber hinaus müssten die Daten nach bestimmten Kriterien zugänglich sein, das heiße, es müssten vereinfachte Möglichkeiten der inhaltlichen Erschließung (beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme) bestehen. Eine Mehrzahl von sortierfähigen Datenkategorien werde dabei nicht verlangt. Die Definition "Datei" umfasse sowohl automatisierte als auch nichtautomatisierte Dateien. In Bezug auf nichtautomatisierte Datenverarbeitung ermögliche sie eine Beschränkung des Anwendungsbereiches der Richtlinie auf Daten, die so strukturiert seien, dass sie den Zugriff und die Suche nach Daten über natürliche Personen erleichterten. Personenbezogene Daten, die nicht für ihre Benutzung im Hinblick auf die betroffene Person organisiert seien, seien somit ausgeschlossen. Diese letztgenannten Daten wiesen für die Person nicht dieselben Risiken auf, und es sei realistischer, sie nicht derselben Verpflichtung zu unterwerfen.
Der Oberste Gerichtshof hat in seinem Beschluss vom 28. Juni 2000, 6 Ob 148/00h (= EvBl 2001/1, SZ 73/105; es ging dort um ein personenbezogenes medizinisches Gutachten), zu dieser Frage wie folgt Stellung genommen:
"§ 1 Abs. 3 DSG dehnt nunmehr richtliniengemäß die Rechte des Betroffenen auf Auskunft, Richtigstellung und Löschung von Daten auf manuelle Dateien aus. Obwohl das Gesetz dies weder im § 1 DSG idgF noch in den Begriffsbestimmungen des § 4 DSG ausdrücklich zum Ausdruck bringt, ist es nach der systematischen und teleologischen Interpretation nicht zweifelhaft, dass das Recht auf Datenschutz gemäß § 1 leg. cit. nur solche personenbezogenen Daten (§ 4 Z 1 leg cit) betreffen kann, die in einer Datei aufscheinen, also nach der gesetzlichen Begriffsdefinition in einer strukturierten Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind (§ 4 Z 6 DSG). Das Gesetz ist richtlinienkonform auszulegen. Art 3 Abs. 1 der DS-RL stellt den Anwendungsbereich klar. Der Schutz ist von der für die Sammlung der Daten verwendeten Technik unabhängig, weil sonst ernsthafte Risken der Umgehung (durch manuelle Datenbanken) bestünden (Erwägungsgrund 27 der DS-RL; Ghali, Datenschutz 240). Die DS-RL gilt also auch für manuell hergestellte Dateien, die auch die Richtlinie als strukturierte Sammlung personenbezogener Daten definiert, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geografischen Gesichtspunkten aufgeteilt geführt wird (Art 2 lit. c DS-RL). Eine Struktur der Sammlung liegt vor, wenn sie - im Gegensatz zu einem Fließtext - eine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den manuellen Datenträgern oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind. Darüber hinaus müssen die Daten nach bestimmten Kriterien zugänglich sein, d.h. es bestehen vereinfachte Möglichkeiten der inhaltlichen Erschließung, beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme (Ghali aaO 240, P 13.). Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen (Mayer-Schönberger/Brandl, DSG 2000, 62 f; Ghali aaO 240 P 7.), wie dies auch der Erwägungsgrund 27 der DS-RL (abgedruckt bei Ghali aaO 228 f) klar zum Ausdruck bringt. Datenschutz setzt das Vorliegen einer Datei voraus (Art 3 Abs. 1 DS-RL; Dammann/Simitis EG-Datenschutzrichtlinie 110), die sich durch den schon erwähnten bestimmten Organisationsgrad auszeichnet, der den Zugang und die Auswertung der Daten erleichtert (Dammann aaO 121)".
In Dohr/Pollirer/Weiss, DSG2, Anmerkung 7 zu § 4 DSG 2000, Seite 50, heißt es insbesondere, unter den Dateibegriff fielen nunmehr auch manuelle Daten in strukturierter Form, die nach mindestens einem Suchkriterium zugänglich seien. So würde z. B. eine Handkartei, die nach aufsteigenden Nummern oder Namen geordnet sei, als Datei im Sinne des DSG 2000 gelten. Laut Erwägungsgrund 27 der Datenschutzrichtlinie fielen Akten und Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien strukturiert seien, nicht unter diesen Dateibegriff. Das bedeute jedoch andererseits, dass z.B. strukturierte Deckblätter bei Personalakten, die in einer Hängeregistratur alphapethisch oder nach Personalnummern abgelegt werden, als Datei im Sinne des DSG 2000 zu betrachten seien. Sei auch der Inhalt dieser Personalakte strukturiert worden, das heißt in einer äußeren Ordnung, welche die Auffindbarkeit gewährleiste, abgelegt, so liege ebenfalls eine Datei im Sinne des § 4 Z 6 DSG 2000 vor. Der zuvor genannten Entscheidung des Obersten Gerichtshofes vom 28. Juni 2000, 6 Ob 148/00h, EvBl. 2001/1, SZ 73/105, wird entgegengehalten, dass diese nicht zwischen Akt und strukturiertem Akt unterscheide. Auch sei zu dieser Entscheidung anzumerken, dass auf den Inhalt des Sachverständigengutachtens (darum ging es in jenem Fall), insbesondere unter dem Aspekt des Grundrechtes auf Datenschutz, welches immer gelte, Bedacht zu nehmen sei, weil ja darin sogar höchst sensible personenbezogene Daten aufscheinen könnten, wie etwa über Unfallsfolgen. (Es ging darin um ein personenbezogenes Gutachten zu medizinischen Fragen).
In Drobes/Grosinger, Das neue Österreichische Datenschutzgesetz (2000; Stand 1. Oktober 2000), 121, heißt es zu § 4 Z 6 DSG 2000, Voraussetzung für das Bestehen einer Datei sei, dass eine Mehrzahl personenbezogener Daten gesammelt werde. Die Sammlung müsse darüber hinaus strukturiert sein. Strukturiert sei eine Datei, wenn die Daten auf den Datenträger nach einer bestimmten Ordnung dargestellt seien (im Gegensatz zu Fließtext), etwa in bestimmter räumlicher Verteilung auf manuellen Datenträgern oder bei automationsgestützter Verarbeitung in bestimmter logischer oder systematischer Struktur. Die Art oder Form der Darstellung der Daten müsse es zudem möglich machen, dass diese nach mindestens einem bestimmten personenbezogenen Kriterium zugänglich seien. Ein bloß sequenzielles Durchgehen der Dateien sei jedoch nicht gemeint, sondern vereinfachte Möglichkeiten einer Suche (mwN).
Pradler, Datenmissbrauch in der öffentlichen Verwaltung (2001), 53, führt aus, eine Datei werde in § 4 Z 6 DSG 2000 als strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich seien, definiert. Dies entspreche dem Wortlaut der Definition des Art. 2 lit. c der Richtlinie. Eine Datei im Sinne des DSG 2000 sei daher jede Mehrzahl von personenbezogenen Daten, die eine bestimmte äußere Ordnung aufwiesen und die durch vereinfachte Möglichkeiten erschlossen werden könnten. Dateien seien z.B. personenbezogene Daten in einer Liste oder in einer Kartei. Daten einer Datei seien daher z.B. die Daten des Zentralen Melderegisters, die in einer manuellen Liste festgehaltenen Daten des Sozialversicherungsträgers über die Vermögensverhältnisse ihrer Beitragsschuldner oder eine Liste der Stadtwerke, wann welche Unternehmen bestimmte Ausschreibungsunterlagen abgeholt hätten (Hinweis auf Beispiele). Keine Datei sei hingegen das handschriftlich geführte Tagebuch eines Bewährungshelfers; die personenbezogenen Daten seien zwar in gewisser Weise strukturiert, weil sie nach dem Datum geordnet seien, sie seien aber nach keinem Suchkriterium zugänglich, weil die jeweilige Eintragung in Form von Fließtext festgehalten sei. Fraglich sei, ob auch Akten oder zumindest Aktensammlungen Dateien im Sinne des DSG 2000 seien. Vom Wortlaut der Definition seien Akten und Aktensammlungen umfasst, wenn sie strukturiert und die Daten nach einem Suchkriterium zugänglich seien, z.B. nach einer nach Namen alphabetisch geordneten Aktensammlung. Gegen eine Einbeziehung von "Aktenkonvoluten" spreche der Wille des Gesetzgebers. Dieser Wille habe sich, wie der Gesetzgeber selbst eingestehe (Hinweis auf die ERV) jedoch nicht in ausreichender Deutlichkeit im Wortlaut des Art. 2 lit. c der Richtlinie und demzufolge auch nicht in der fast gleich lautenden Definition des DSG 2000 niedergeschlagen. Auch der Rückgriff auf die Richtlinie schaffe diesbezüglich keine Klarheit. Obwohl es den Mitgliedstaaten in der Richtlinie überlassen werde, die Kriterien zur Bestimmung der Elemente einer strukturierten Sammlung personenbezogener Daten sowie die verschiedenen Kriterien zur Regelung des Zugriffs zu einer solchen Sammlung festzulegen, habe der österreichische Gesetzgeber von dieser Freiheit keinen Gebrauch gemacht. Da der Wille des Gesetzgebers nicht eindeutig sei und nach Sozialversicherungsnummern geordnete Aktensammlungen vom Wortlaut des § 4 Z 6 DSG 2000 umfasst seien, handle es sich dabei um Dateien im Sinne dieser Gesetzesstelle (mwN).
Zu prüfen ist, ob es sich beim "Papierakt" bzw. "Kopienakt", um den es hier geht, im Sinne des § 4 Z 6 DSG 2000 um eine "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind", handelt. Behördliche oder gerichtliche "Akten" werden in Österreich typischerweise derart gebildet, dass die verschiedenen Geschäftsstücke, welche die Sache betreffen, entweder in einen Umschlag (Mappe, Ordner oder dergleichen) in der Regel in chronologischer Reihenfolge aufgenommen werden, oder aber auch (so etwa beispielsweise im Bereich der Bundesministerien) Geschäftsstücke nach dem Fortgang des Verfahrens jeweils in eigene Referatsbögen (mit eigenen Zahlen) eingelegt werden und daraus dann die die Sache betreffenden Aktenkonvolute gebildet werden. Zur Bestimmung des Begriffes "strukturierte Datei" bzw. zur Umschreibung des Begriffes "Datei" tritt der Verwaltungsgerichtshof den in der zuvor genannten Entscheidung des Obersten Gerichtshofes vom 28. Juni 2000, 6 Ob 148/00h, wiedergegebenen Erwägungen bei. Dieser hat, wie wiedergegeben, im Kern die Ansicht vertreten, dass die Struktur einer manuellen Datei als einer strukturierten Sammlung personenbezogener Daten im Sinne des § 1 Abs. 3 DSG 2000 iVm Art. 3 Abs. 1 der Richtlinie dann zu bejahen ist, wenn sie - im Gegensatz zu einem Fließtext - eine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den manuellen Datenträgern oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind. Darüber hinaus müssen die Daten nach bestimmten Kriterien zugänglich sein, d.h. es bestehen vereinfachte Möglichkeiten der inhaltlichen Erschließung, beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme. Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen, wie dies auch der Erwägungsgrund 27 der Richtlinie zum Ausdruck bringt. Das Vorliegen einer manuellen Datei im Sinne des § 1 Abs. 3 DSG 2000 setzt daher voraus, dass sie sich durch den schon erwähnten bestimmten "Organisationsgrad" der "Akten" auszeichnen muss, um von einer Strukturierung im Sinne des DSG 2000 sprechen zu können, der aber beim
