TE Vfgh Erkenntnis 2007/10/2 B227/05

Die Beschwerdeführerin ist durch den angefochtenen Bescheid im verfassungsgesetzlich gewährleisteten Recht auf Gleichheit aller Staatsbürger vor dem Gesetz verletzt worden.

Der Bescheid wird aufgehoben.

Der Bund (Bundeskanzler) ist schuldig, der Beschwerdeführerin zuhanden ihrer Rechtsvertreter die mit € 2.340,-- bestimmten Prozesskosten binnen 14 Tagen bei sonstiger Exekution zu bezahlen.

Entscheidungsgründe:

1.1. Mit (Administrativ)Beschwerde an die Datenschutzkommission (DSK) hat die Beschwerdeführerin geltend gemacht, es habe die "Herold Business Data GmbH & Co KG" ihr Auskunftsbegehren nur unvollständig erledigt. In der gegen den abweislichen Bescheid der DSK erhobenen Beschwerde nach Art144 Abs1 B-VG erachtet sich die Beschwerdeführerin in den verfassungsgesetzlich gewährleisteten Rechten auf Datenschutz (Auskunft), auf Gleichheit aller Staatsbürger vor dem Gesetz und durch die Anwendung von rechtswidrigen generellen Normen in ihren Rechten für verletzt.

1.2.1. Die Beschwerdeführerin hat über ihr Auskunftsbegehren betreffend die Empfänger der "Herold Marketing CD private" keine namentlich spezifizierte Liste der Empfänger erhalten. Im Verfahren vor der DSK machte sie in einem Schreiben vom 2. Juni 2004 geltend:

"Da in den Registrierungsunterlagen für die Herold Marketing CD private angegeben wurde, dass die CD nur an Käufer vertrieben wird, die vertragliche Verpflichtungen mit der Antragsgegnerin eingegangen sind, müssten die Übermittlungsempfänger ohne besonderen Aufwand zu ermitteln sein."

In dem Schreiben lautet es zusammenfassend:

"Die in der Stellungnahme der Beschwerdegegnerin erteilte Auskunft ist hinsichtlich eventueller Übermittlungsempfänger unvollständig und es wird deshalb der Antrag gestellt, dass der Antragsgegnerin aufgetragen werden soll, den aktuellen Stand bezüglich allfälliger Übermittlungen und Übermittlungsempfänger zu beauskunften."

1.2.2. Die DSK hat sich im Spruch ihres abweislichen Bescheids neben §1 Abs3 Z1 Datenschutzgesetz 2000 (DSG) [Verfassungsbestimmung] auf §26 Abs1 gestützt. In der Begründung bezieht sich die DSK auch auf §14 Abs3. Die Bestimmungen der §§1 Abs3 Z1, 14 und 26 Abs1 sowie der erste Satz des §26 Abs2 DSG lauten:

"§1 (3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

2. ... ."

"§14 (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.

(2) Insbesondere ist, soweit dies im Hinblick auf Abs1 letzter Satz erforderlich ist,

1.

die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen,

2.

die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,

3.

jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,

4.

die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln,

5.

die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,

6.

die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,

7.

Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,

8.

eine Dokumentation über die nach Z1 bis 7 getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern.

Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

(3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß §26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß §26 gegeben werden kann. In der Standardverordnung (§17 Abs2 Z6) oder in der Musterverordnung (§19 Abs2) vorgesehene Übermittlungen bedürfen keiner Protokollierung.

(4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck - das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes - unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach §278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.

(5) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird.

(6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können."

"§26 (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. ..."

1.2.3. Die DSK hat aus der Regelung des §14 Abs3 DSG abgeleitet, "dass einer Pflicht zur besonderen Protokollierung nur jene Übermittlungen unterliegen, die aus der Meldung des Auftraggebers beim Datenverarbeitungsregister nicht hervorgehen."

Ergänzend hat sie im Bescheid darauf hingewiesen, dass ein "die Namen der einzelnen Käufer betreffendes Auskunftsrecht auch in die Datenschutzrechte des Auftraggebers und seiner Kunden eingreift". Zur Rechtsverfolgung durch von der "Herold Marketing CD private" erfasste Personen (Betroffene) sei die Bekanntgabe der Übermittlungsempfänger nicht notwendig, weil "eine Untersagung der Weiterverwendung der Daten des Betroffenen an Herold mit der Wirkung gerichtet werden kann, dass es auch für alle Käufer der 'Herold Marketing CD private' wirksam wird."

1.3. In der Beschwerde an den Verfassungsgerichtshof wird vornehmlich geltend gemacht, dass in der Verfassungsbestimmung des §1 Abs3 Z1 DSG vorgesehen ist, dass "insbesondere auch" Auskunft darüber zu geben ist, "an wen (die Daten) übermittelt werden." Einer einfachgesetzlichen Ausgestaltung dieses Rechts sei ein enger Rahmen gesteckt. Nach VfSlg. 11.548/1987 dürfe nur die Art und Weise der Geltendmachung dieses Rechts geregelt, es selbst aber nicht inhaltlich eingeschränkt werden. Ein Gesetz, das die Möglichkeit vorsehe, nur Empfängerkreise bekannt zu geben, sei damit verfassungswidrig. Es wird angeregt, die Worte "oder Empfängerkreise" in §26 Abs1 DSG und den letzten Satz des §14 Abs3 in Prüfung zu ziehen.

1.4. In der neben den Verwaltungsakten vorgelegten Gegenschrift der DSK wird demgegenüber darauf hingewiesen, dass die Verfassungsbestimmung in §1 Abs3 DSG mit den Worten "an wen" nicht ausschließe, auch nur "Empfängerkreise" zu beauskunften. Vielmehr sei anzunehmen, dass die gleichzeitige Erlassung von §1 und §26 DSG nahelege, dass der Verfassungsgesetzgeber wie der einfache Gesetzgeber die von der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ausdrücklich genannte Möglichkeit übernommen hätten, auch nur Empfängerkreise bekanntzugeben. Der durch die Wahlmöglichkeit eingeräumte Spielraum sei im Einzelfall bestimmbar; die Auswahl sei im gegenständlichen Fall auch vorgenommen worden.

2. Über die - zulässige - Beschwerde wurde erwogen:

2.1. Der Verfassungsgerichtshof hegt keine Bedenken gegen die von der DSK herangezogenen und auch für seine Entscheidung präjudiziellen Bestimmungen des §26 Abs1 DSG und des letzten Satzes des §14 Abs3 DSG.

        Auftraggeber haben gemäß §14 Abs1 DSG Maßnahmen zur

Datensicherung zu treffen. "Dabei ist" - so der letzte Satz des Abs1

- "je nach der Art der verwendeten Daten und nach Umfang und Zweck

der Verwendung sowie unter Bedachtnahme auf den Stand der technischen

Möglichkeiten und auf die wirtschaftliche Vertretbarkeit

sicherzustellen, ... dass ihre Verwendung ordnungsgemäß erfolgt ...".

Diese Verpflichtung zur Datensicherung wird in Abs2 noch

spezifiziert: "Insbesondere ist, soweit dies im Hinblick auf Abs1

letzter Satz erforderlich ist, ... Protokoll zu führen, damit

tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können (Z7)."

Der Abs2 des §14 schließt dann im letzten Satz mit einer erneuten Anordnung zur Abwägung: "Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist."

Nach diesen Regelungen kann - abhängig von einer Abwägung - die Protokollierung von Übermittlungen entfallen oder als Datensicherheitsmaßnahme verpflichtend sein, wobei auch die Art und das Ausmaß der Protokollierung - wiederum abhängig von Abwägungen - unterschiedlich ausfallen kann.

In §14 Abs3 DSG wird nun die vorgesehene Abwägung zum Teil vom Gesetzgeber selbst vorgenommen: Nach der Vorschrift des ersten Satzes sind "nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß §26 unterliegen, [...] so zu protokollieren, dass dem Betroffenen Auskunft gemäß §26 gegeben werden kann." Hier hat demnach jedenfalls eine Protokollierung stattzufinden. In der Standardverordnung oder in der Musterverordnung vorgesehene Übermittlungen bedürfen hingegen - so der folgende und letzte Satz des §14 Abs3 DSG - keiner Protokollierung. Eine Auskunft kann daher unter Umständen nur die in den genannten Verordnungen angegebenen Empfängerkreise beinhalten.

Hinsichtlich der registrierten Übermittlungen - also solcher, hinsichtlich derer "die Kreise der von beabsichtigten Übermittlungen Betroffenen, die zu übermittelnden Datenarten und die zugehörigen Empfängerkreise" der Datenschutzkommission (Datenverarbeitungsregister) zu melden sind (§19 Abs1 Z5 DSG) - findet sich keine spezielle Regelung. Hier hat also die Grundregelung der Abs1 und 2 des §14 DSG mit der vorgesehenen Abwägung zur Anwendung zu kommen.

Die Regelungen zur Protokollierung ziehen damit eine Grenze, was an Wissen über Übermittlungen beim Auftraggeber vorhanden sein muss. Soweit rechtmäßig auf eine Protokollierung ganz oder teilweise verzichtet werden durfte und auch verzichtet wurde, besteht keine Auskunftspflicht. Die Worte "verfügbare Informationen" in §26 Abs1 dritter Satz zeigen aber auch an, dass über vorhandene Daten, auch wenn sie nicht gespeichert werden mussten, grundsätzlich Auskunft zu geben ist.

        In §26 Abs2 DSG ist schließlich geregelt, unter welchen

Voraussetzungen ungeachtet verfügbarer Informationen Auskunft nicht

zu erteilen ist. Das ist auch der Fall, "... soweit überwiegende

berechtigte Interessen des Auftraggebers oder eines Dritten ... der

Auskunftserteilung entgegenstehen." Auch hier ist wiederum eine Interessenabwägung gefordert.

Die Regelung des §26 DSG zum "Auskunftsrecht" mit der Anordnung, bei Übermittlungen "Empfänger oder Empfängerkreise" bekanntzugeben, korrespondiert mit den dargelegten Vorschriften zur Protokollierung. Da diesen entsprechend zum Teil nur Empfängerkreise angegeben werden können oder dürfen - so zB bei in Standard- und Musterverordnungen vorgesehenen Übermittlungen oder auf Grund von Geheimhaltungsvorschriften, die allenfalls eine individuelle Empfängerangabe nicht zulassen -, hat der Gesetzgeber diesen Fällen bei der Regelung zur Auskunftserteilung ausdrücklich Rechnung getragen.

Ganz allgemein kann gesagt werden, dass Begrenzungen bei der Protokollierung in erster Linie wirtschaftlichen Gesichtspunkten Rechnung tragen (vgl. VfSlg. 11.548/1987, wo auf Art8 Abs2 EMRK und Beschränkungen hingewiesen wird, "die für das wirtschaftliche Wohl des Landes notwendig sind"). Die Beschränkungen nach §26 Abs2 DSG dienen hingegen in erster Linie einem Ausgleich von divergierenden Datenschutzinteressen, die freilich auch wirtschaftlich begründet sein können.

Wie von der DSK in der Gegenschrift zutreffend ausgeführt, ist aus der Formulierung des §1 Abs3 Z1 DSG, dass Auskunft zu geben ist, "an wen" Daten übermittelt werden, nicht abzuleiten, dass die Empfänger individuell bekannt zu geben sind und nicht auch bloß auf Empfängerkreise hingewiesen werden kann. Da die Richtlinie 95/46/EG die Möglichkeit ausdrücklich nennt, auch nur Empfängerkreise bekannt zu geben (arg.: "oder Kategorien der Empfänger", Art12), liegt es nahe, dass die Gesetzgeber des DSG, sohin auch der Verfassungsgesetzgeber, bei der Ausführung der Richtlinie durch das DSG diese in §26 Abs1 DSG übernommene Möglichkeit als im Wortlaut der Verfassungsbestimmung des §1 Abs3 Z1 DSG gedeckt erachteten. Auch die einfachgesetzliche Ausgestaltung durch die Regelungen zur Protokollierung in §14 DSG spricht dafür.

Für die Vereinbarkeit der in Rede stehenden einfachgesetzlichen Bestimmungen in §14 und §26 DSG mit der Verfassungsbestimmung des §1 Abs3 DSG zum Auskunftsrecht spricht freilich weiters, dass schon das DSG 1978 vergleichbare Bestimmungen zur Protokollierung enthielt, die eine Auskunft über individuelle Empfänger von Übermittlungen nicht immer erforderten. In zur geltenden Rechtslage vergleichbarer Weise waren Übermittlungen im Rahmen von Standardverordnungen von der Protokollierung befreit und nicht registrierte Übermittlungen waren jedenfalls zu protokollieren (§7 Abs4 und §18 Abs5 DSG 1978). Für registrierte Übermittlungen galten Datensicherheitsmaßnahmen mit vergleichbarer Abwägung (§10 Abs1 zweiter Satz und §21 leg.cit.). Es liegt damit ein belegbares Vorverständnis für den Umfang des Auskunftsrechts im DSG vor.

Der Verfassungsgerichtshof hält die Regelung des §26 Abs1 DSG zur Auskunft über "allfällige Empfänger oder Empfängerkreise von Übermittlungen" auch unter dem Blickwinkel des Art18 B-VG für unbedenklich. Die mit den beiden Möglichkeiten notwendige Entscheidung, ob Empfänger individuell bekannt gegeben oder auf (dem Datenverarbeitungsregister gemeldete oder in einer Muster- oder Standardverordnung genannte) Empfängerkreise hingewiesen wird, lässt sich im Einzelfall auf Grund einer Abwägung der Gesichtspunkte der Datenschutzinteressen der Beteiligten und öffentlicher Geheimhaltungsinteressen treffen.

2.2. Hat der Verfassungsgerichtshof gegen die von der DSK angewendeten Bestimmungen keine Bedenken, so hält er jedoch die Verletzung der Beschwerdeführerin in ihrem verfassungsgesetzlich gewährleisteten Recht auf Gleichheit aller Staatsbürger vor dem Gesetz durch den Bescheid für gegeben.

Eine solche Verletzung kommt nämlich dann in Betracht, wenn die Behörde Willkür geübt hat. Ein willkürliches Verhalten der Behörde, das in die Verfassungssphäre eingreift, liegt unter anderem in einer gehäuften Verkennung der Rechtslage (zB VfSlg. 8808/1980 mwN, 14.848/1997, 15.241/1998 mwN, 16.287/2001, 16.640/2002).

Ein derart qualifizierter Fehler liegt hier vor:

Die DSK begründet ihre Entscheidung mit dem Hinweis auf §14 Abs3 DSG und zieht offensichtlich den Schluss, dass registrierte Übermittlungen nicht zu protokollieren sind; sie geht weiters davon aus, dass hinsichtlich von über die Protokollierungspflicht hinausgehenden, vorhandenen personenbezogenen Daten keine Auskunft zu geben wäre.

Die DSK verkennt damit in zwei entscheidenden Punkten die Rechtslage: Zum Einen sind hinsichtlich der registrierten Übermittlungen die in §14 Abs1 und 2 DSG vorgesehenen Regelungen zur Datensicherung anzuwenden, die entsprechende Abwägungen erfordern. Zum Zweiten ist grundsätzlich über alle tatsächlich vorhandenen Daten Auskunft zu geben.

Nur ergänzend bringt die DSK in der Begründung vor, "dass ein darüber hinaus gehendes, die Namen der einzelnen Käufer betreffendes Auskunftsrecht auch in die Datenschutzrechte des Auftraggebers und seiner Kunden" eingreife und für die Rechtsverfolgung nicht notwendig sei, weil über die Herold Business Data GmbH & Co KG eine Untersagung der Weiterverwendung auch für die Käufer der CD wirksam werde.

Mit dieser Ergänzung verkennt die DSK erneut die Rechtslage.

Vorweg: Die Beschwerdeführerin hat kein subjektives Recht darauf, dass die Herold Business Data GmbH & Co KG von ihrer zivilrechtlichen Möglichkeit Gebrauch macht, den Übermittlungsempfängern den künftigen Datengebrauch zu untersagen und diese Untersagung auch durchzusetzen.

Das Auskunftsrecht soll aber nicht nur den Ansatzpunkt bieten, eine künftige Verwendung von Daten allenfalls zu verhindern, sondern möglichst dem Betroffenen das Wissen geben, wo überall Daten über ihn vorhanden sind. Es ist eine Untersagung ja keineswegs die einzige Möglichkeit mit dem Wissen umzugehen, dass jemand Betroffenendaten erhalten hat. Es erweist sich der Hinweis auf mangelnde Rechtsschutzinteressen damit als verfehlt.

In der Begründung des angefochtenen Bescheides fehlt jeder Aspekt einer Abwägung, ob die nach objektiven Maßstäben zu bewertenden konkreten Datenschutzinteressen der Herold Business Data GmbH & Co KG und ihrer Kunden die ebenso objektiv zu bewertenden Interessen der betroffenen Beschwerdeführerin überwiegen und damit einer Auskunftserteilung teilweise oder ganz entgegenstehen. Die nur allgemein gehaltene Behauptung, mit einer Auskunft seien auch datenschutzrechtliche Interessen von Auftraggeber und Übermittlungsempfänger berührt, vermag eine Darlegung der Interessen und die gebotene Interessenabwägung nicht zu ersetzen.

2.3. Der Bescheid war daher aufzuheben.

3. Dies konnte gemäß §19 Abs4 erster Satz VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung beschlossen werden.

4. Die Kostenentscheidung beruht auf §88 VfGG. In den zugesprochenen Kosten sind Umsatzsteuer in der Höhe von € 360,-- sowie eine Eingabengebühr gemäß §17a VfGG in der Höhe von € 180,-- enthalten.