TE Dsk Empfehlung 2017/6/8 DSB-D213.535/0004-DSB/2017

GZ: DSB-D213.535/0004-DSB/2017 vom 8.6.2017

[Anmerkung Bearbeiter: Diese Entscheidung wurde nicht pseudonymisiert, da datenschutzrechtlich nur staatliche Behörden und Selbstverwaltungskörper betroffen sind. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

EMPFEHLUNG

Die Datenschutzbehörde spricht aus Anlass eines amtswegigen Prüfverfahrens betreffend die Wirtschaftskammer Kärnten, vertreten durch R*** L*** Rechtsanwälte GmbH in X***, folgende Empfehlung aus:

1.   Die zum Zweck der Bekämpfung der unbefugten Gewerbeausübung („Pfuscherbekämpfung“) durchgeführte Ermittlung personenbezogener Daten möge unterbleiben.

2.   Die bisher auf diese Weise ermittelten und gespeicherten Daten sind zu löschen.

3.   Diese Empfehlung ist umgehend umzusetzen.

Rechtsgrundlagen: §§ 1, 7, 8 und 30 des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999 idgF; §§ 1, 19, 43, 68 und 72 des Wirtschaftskammergesetzes 1998 – WKG, BGBl. I Nr. 103 idgF.

Gründe für diese Empfehlung

A. Vorbringen und Verfahrensgang

1. Die Datenschutzbehörde nahm eine an sie gerichtete journalistische Eingabe, in welcher ausgeführt wird, dass die Wirtschaftskammer Kärnten bei der „Pfuscherjagd“ personenbezogene Daten ermittle, zum Anlass, ein amtswegiges Prüfverfahren gegen die Wirtschaftskammer Kärnten einzuleiten.

2. Die Wirtschaftskammer Kärnten, welche im Verfahren anwaltlich vertreten wurde, nahm dazu mit Schreiben vom 22. März, 6. und 24. April 2017 Stellung und führte – zusammengefasst – aus, dass ein Erhebungsreferat eingerichtet sei, welches im Bereich des Wettbewerbsschutzes sowie der Bekämpfung der unbefugten Gewerbeausübung und Schwarzarbeit aktiv sei. Das Erhebungsreferat gehe konkreten Hinweisen von Mitgliedern der Wirtschaftskammer Kärnten auf Schwarzarbeit nach. Des Öfteren werde das Erhebungsreferat auch von den zuständigen Strafverfolgungsbehörden um Erhebungen ersucht. Bei dieser Tätigkeit werde das Erhebungsreferat im Auftrag der jeweiligen Fachorganisation der Wirtschaftskammer Kärnten tätig. Im Rahmen der Erhebungen würden unter anderem Baustellen besichtigt und nach erfolgter Einwilligung der dort angetroffenen Personen Fotos von den Baustellen bzw. den sich auf der Baustelle befindlichen Fahrzeugen angefertigt und auf freiwilliger Basis die Personalien der angetroffenen Personen erfragt. Ein Betreten der Grundstücke erfolge nur mit Einverständnis der Liegenschaftseigentümer. Fotos von Personen würden grundsätzlich nicht angefertigt. Diese Informationen würden erhoben, um sie für den Fall einer Weiterleitung des observierten Sachverhaltes an die zuständigen Verfolgungsbehörden als Beweismittel zu sichern. Die konkreten Erhebungstätigkeiten würden im Regelfall von Berufsdetektiven durchgeführt, weil die Beschaffung von Beweismitteln gemäß § 129 der Gewerbeordnung 1994 – GewO 1994 diesen vorbehalten sei. Die erhobenen Daten würden so lange gespeichert, als dies zur Beweissicherung in einem laufenden Verwaltungsverfahren notwendig sei. Als Rechtsgrundlage würden §§ 2, 19, 43, 68 und 72 WKG genannt. Gerade der Schutz des lauteren Wettbewerbs sowie die Sicherung der Chancengleichheit der Mitglieder im Wettbewerb sei eine Kernaufgabe der Wirtschaftskammer. Abgesehen davon stehe der Datenschutzbehörde in einem Verfahren nach § 30 DSG 2000 eine rechtsverbindliche Auslegung des WKG grundsätzlich nicht zu, weshalb sie somit auch nicht befugt sei, abschließend zu beurteilen, ob eine ausreichend determinierte Rechtsgrundlage für das Handeln der Wirtschaftskammer vorliege. Darüber hinaus sei für diese Datenanwendung bereits im Jahr 1989 eine DVR-Meldung abgegeben und im DVR auch registriert worden.

B. Sachverhaltsfeststellungen

Die Wirtschaftskammer Kärnten hat ein Erhebungsreferat eingerichtet, welches entweder aus eigenem oder aufgrund eines Ersuchens der Gewerbebehörde Verdachtsfällen einer behaupteten unbefugten Gewerbeausübung („Pfusch“) nachgeht. Dabei wird das Erhebungsreferat im Auftrag der jeweiligen Fachorganisation der Wirtschaftskammer Kärnten tätig. Die Ermittlungstätigkeiten, wie das Betreten von Grundstücken sowie die – freiwillige – Befragung von angetroffenen Personen, einschließlich des Anfertigens von Lichtbildaufnahmen, werden im Regelfall durch beauftragte Berufsdetektive durchgeführt.

Die derart ermittelten Daten werden von der Wirtschaftskammer Kärnten gegebenenfalls, jedoch nicht in allen Fällen, an die zuständigen Behörden (z.B. Gewerbebehörde, Baubehörde, Finanzpolizei, Finanzamt) übermittelt und so lange gespeichert, als das konkrete Verwaltungsverfahren andauert.

Eine Datenanwendung mit der Bezeichnung „Bekämpfung der unbefugten Gewerbeausübung“ wurde dem Datenverarbeitungsregister im Jahr 1989 gemeldet.

Beweiswürdigung: Diese Feststellungen ergeben sich aus den zitierten Stellungnahmen sowie den vorgelegten Urkunden, insbesondere des Leistungsberichtes 2015-2016 des Erhebungsreferates der Wirtschaftskammer Kärnten. Aus diesem geht hervor, dass es im Jahr 2015 zu 543 Erhebungen kam (468 im Jahr 2016), jedoch nur in 241 Fällen (207 im Jahr 2016) eine Übermittlung an die zuständige Behörde erfolgte.

C. In rechtlicher Hinsicht folgt daraus:

1. Zur Zuständigkeit der Datenschutzbehörde im vorliegenden Verfahren ist auszuführen, dass ein Verfahren nach § 30 DSG 2000 auf die Herstellung des rechtmäßigen Zustandes gerichtet ist. Dazu kann die Datenschutzbehörde – sofern erforderlich – Empfehlungen nach § 30 Abs. 6 leg. cit. aussprechen bzw. bei Gefahr im Verzug einen Mandatsbescheid nach § 30 Abs. 6a leg. cit. erlassen.

Dabei hat die Datenschutzbehörde nicht nur die Bestimmungen des DSG 2000 zu berücksichtigen, sondern erforderlichenfalls auch andere materienspezifische Bestimmungen, da das DSG 2000 selbst in einigen Fällen auf andere gesetzliche Grundlagen verweist, bspw. in §§ 1 Abs. 2, 8 Abs. 1 Z 1, 9 Z 3 DSG 2000.

Im vorliegenden Verfahren sind somit, Kraft Verweisung des § 1 Abs. 2 DSG 2000, auch andere in Betracht kommende Bestimmungen, insbesondere jene des WKG, zu berücksichtigen.

2. Die Datenschutzbehörde hat sich bereits in ihrer Empfehlung vom 9. Mai 2016, GZ DSB-D213.438/0002-DSB/2016, mit der Frage der Kompetenz der Wirtschaftskammer zur Verwendung personenbezogener Daten im Rahmen der unbefugten Gewerbeausübung befasst und dazu folgendes ausgesprochen:

„1. Eingangs ist zu erwähnen, dass für den Eingriff einer staatlichen Behörde in das Grundrecht auf Datenschutz gemäß § 1 Abs. 2 DSG 2000 eine gesetzliche Ermächtigung erforderlich ist.

Auch Selbstverwaltungskörper fallen unter den Begriff „staatliche Behörde“ und bedürfen folglich für ihr Handeln einer – ausreichend determinierten – gesetzlichen Grundlage (vgl. dazu ausführlich Pürgy/Zavadil, Die „staatliche Behörde“ im Sinne des § 1 Abs. 2 DSG 2000 in Bauer/Reimer, Handbuch Datenschutzrecht [2009] 148 ff mwN; zur ausreichenden Determinierung einer Eingriffsnorm siehe VfSlg. 18146/2007).

Die Zulässigkeit einer Datenverarbeitung erfordert nach § 7 DSG 2000 u.a., dass schutzwürdige Geheimhaltungsinteressen nicht verletzt werden. Da im vorliegenden Fall Informationen über Verstöße gegen das Strafgesetzbuch (§ 153e StGB, organisierte Schwarzarbeit) und u.a. gegen die GewO (z.B.: § 366 Abs. 1 Z 1 GewO; illegale Gewerbetätigkeit) zum Zweck der Weiterleitung an die zuständigen Verfolgungsbehörden ermittelt und auch auf Computern verarbeitet werden, handelt es sich um Daten über gerichtliche und verwaltungsbehördlich strafbare Handlungen, weshalb sich die Zulässigkeit der Verwendung ausschließlich nach § 8 Abs. 4 DSG 2000 richtet (siehe zum Anwendungsvorrang des § 8 Abs. 4 DSG 2000 vor § 9 leg. cit. auch bei Vorliegen von sensiblen Daten den Bescheid der Datenschutzkommission vom 21. Jänner 2009, GZ K211.897/0004-DSK/2009).

§ 8 Abs. 4 DSG 2000 enthält eine taxative Aufzählung jener Verwendungsfälle, bei welchen schutzwürdige Geheimhaltungsinteressen des Betroffenen bei der Verwendung von strafrechtsbezogenen Daten nicht verletzt werden (siehe dazu Jahnel, Handbuch Datenschutzrecht, Rn 4/63, sowie VwSlg. 18498 A/2012), und zwar u.a. nach Z 1, wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung solcher Daten besteht.

Es ist daher zunächst zu prüfen, ob für das Handeln der Wirtschaftskammer Tirol eine ausreichend determinierte gesetzliche Ermächtigung besteht.

2. Die Wirtschaftskammer Tirol meint, das Wirtschaftskammergesetz biete in seinen §§ 1, 19, 43, 68 und 72 Abs. 1 eine solche geeignete gesetzliche Ermächtigung.

§ 72 Abs. 1 Wirtschaftskammergesetz ermächtigt die Organisationen der gewerblichen Wirtschaft Daten im Sinne des Datenschutzgesetzes zu verwenden, wenn dies zur Erfüllung der ihnen gesetzlich aufgetragenen Aufgaben dient.

Nach § 1 Wirtschaftskammergesetz sind die Wirtschaftskammern (Landeskammern und Bundeskammer) zum Zweck der Vertretung der gemeinsamen Interessen ihrer Mitglieder (Abs. 1) als auch zur Förderung der gewerblichen Wirtschaft errichtet (Abs. 2). Insofern werden den Landeskammern in § 19 Abs. 1 zur Erfüllung dieser Zwecke näher umschriebene Aufgaben, wie beispielsweise die Erstattung von Berichten, Gutachten und Vorschlägen über die Anliegen der Mitglieder sowie über alle die Wirtschaft betreffenden Belange gegenüber den Behörden und gesetzgebenden Körperschaften ihres Wirkungsbereiches (Z 2) sowie die Beratung und Unterstützung ihrer Mitglieder (Z 10), zugewiesen.

Die Durchführung von Kontrollen von Unternehmern, und damit auch von ihren eigenen Mitgliedern, um (verwaltungs)strafbare Handlungen wie Schwarzarbeit und illegale Gewerbetätigkeit aufzudecken, findet sich – wohl auch zur Vermeidung von Interessenskonflikten – in dem in § 19 Abs. 1 Wirtschaftskammergesetz gesetzlich normierten Aufgabenbereich der Landeskammern allerdings nicht (siehe dazu § 12 Abgabenverwaltungsorganisationsgesetz 2010, wonach die Bekämpfung illegaler Arbeitnehmerbeschäftigung vielmehr in die Zuständigkeit der Abgabenbehörden fällt).

Sofern die Wirtschaftskammer Tirol in diesem Zusammenhang auch auf den in § 43 Wirtschaftskammergesetz genannten – die in Rede stehende Befugnis ebenfalls nicht enthaltenden – Aufgabenkatalog verweist, übersieht sie, dass sich dieser ausschließlich auf die – hier nicht gegenständliche – Tätigkeit der Fachgruppen bezieht. Bei der Fachgruppe einerseits und der Landeskammer andererseits handelt es sich aber um zwei verschiedene Körperschaften des öffentlichen Rechts und selbständige Wirtschaftskörper mit eigenem Wirkungsbereich (siehe dazu § 3 Wirtschaftskammergesetz sowie das Erkenntnis des Verwaltungsgerichtshofes vom 8. Oktober 2010, Zl. 2007/04/0134). Auch der bloße Verweis der Wirtschaftskammer Tirol auf § 68 Wirtschaftskammergesetz vermag keine geeignete Rechtsgrundlage aufzuzeigen, weil sich eine Amtshilfe immer nur auf Einzelfälle beziehen kann bzw. auch nicht dazu dienen soll, Handlungen zu verlangen, zu deren Vornahme keine gesetzliche Verpflichtung besteht (siehe dazu Pollirer/Weiss/Knyrim, DSG2 [2014] § 8 Anm. 12, sowie u.a. das Erkenntnis des Verwaltungsgerichtshofes vom 22. Oktober 2012, Zl. 2009/03/0162).

3. Eine gesetzliche Berechtigung zur Durchführung solcher Kontrollen und damit eine Ermächtigung zur Ermittlung und auch Speicherung dabei ermittelter Daten ist daher – entgegen der Ansicht der Wirtschaftskammer Tirol nicht gegeben. Dies deckt sich im Übrigen auch mit der von der Wirtschaftskammer Tirol zitierten Empfehlung der Datenschutzkommission vom 24. Juli 2009, GZ K211.897/0004-DSK/2009.

4. Ein anderer Fall des § 8 Abs. 4 DSG 2000 ist nicht erfüllt.

§ 8 Abs. 4 Z 2 DSG 2000 verweist auf die Verwendung von Daten durch Auftraggeber des öffentlichen Bereiches, wenn dies eine wesentliche Voraussetzung zur Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist. Die einer Landeskammer zugewiesenen Aufgaben umfassen jedoch – wie oben dargelegt – gerade nicht die Bekämpfung und Aufdeckung von Schwarzarbeit oder Verstößen gegen die Gewerbeordnung.

§ 8 Abs. 4 Z 4 DSG 2000 bezieht sich ausschließlich auf die Datenweitergabe zum Zweck der Erstattung einer Anzeige an eine zur Verfolgung der angezeigten strafbaren Handlung zuständige Behörde, und damit nicht auf die hier in Rede stehende Datenermittlung und Datenspeicherung.

Die Erteilung einer Zustimmung des Betroffenen zur Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen stellt – mangels Anführung in § 8 Abs. 4 DSG 2000 – keine ausreichende datenschutzrechtliche Rechtfertigung zur Verwendung solcher Daten dar. Abgesehen davon wäre die Gültigkeit einer solchen Zustimmung im Hinblick auf die in § 4 Z 14 DSG 2000 normierten Anforderungskriterien an eine datenschutzrechtliche Zustimmung („ohne Zwang“ und „Kenntnis der Sachlage“) ohnedies zu hinterfragen.“

Nichts anderes kann folglich für den vorliegenden – im Wesentlichen identen – Sachverhalt gelten.

3. Darüber hinaus ist noch folgendes auszuführen:

Wenn die Wirtschaftskammer Kärnten darauf hinweist, dass die relevanten Erhebungen durch Berufsdetektive erfolgen, so ändert dies nichts an der grundsätzlichen Unzulässigkeit zur Ermittlung personenbezogener Daten in diesem Kontext, weil die Befugnis eines Berufsdetektiv zur Datenermittlung nicht weitergehen kann als jene des zivilrechtlichen Auftraggebers.

Die im DVR registrierte Meldung „Bekämpfung der unbefugten Gewerbeausübung“ aus dem Jahr 1989, welche sich im Übrigen auf das Handelskammergesetz stützt, welches nicht mehr in Kraft steht, kann nicht als Rechtsgrundlage für die Verwendung personenbezogener Daten herangezogen werden, weil eine Meldung nur deklarativ, jedoch nicht konstitutiv wirkt.

Die Frage, inwieweit eine Landeskammer der gewerblichen Wirtschaft „im behördlichen Auftrag“ personenbezogene Daten im vorliegenden Kontext ermitteln darf, war Gegenstand jenes Verfahrens, welches mit Empfehlung vom 1. Juni 2017, GZ DSB-D213.547/0005-DSB/2017, abgeschlossen wurde. Ein Tätigwerden „im behördlichen Auftrag“ kommt somit nicht in Betracht.

4. Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen.