TE Dsk BescheidBeschwerde 2018/11/26 DSB-D216.697/0011-DSB/2018

GZ DSB-D216.697/0011-DSB/2018 vom 26.11.2018

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Richard A*** (Beschwerdeführer) vom 23. März 2018 gegen das Bundesministerium für Finanzen (Beschwerdegegner) wie folgt:

1.   Der Beschwerde wird in der Hauptfrage stattgegeben und es wird festgestellt, dass der Beschwerdegegner den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem dieser personenbezogene Daten des Beschwerdeführers zum Zwecke der Aufklärung des Verdachts der Begehung von Straftaten verwendet hat.

2.   Die Beschwerde wird in den Nebenfragen zurückgewiesen.

Rechtsgrundlagen: §§ 1, 6 Abs. 1 Z 2, 8 Abs. 4 und § 14 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013; §§ 24 Abs. 1 und 5 des Datenschutzgesetzes, BGBl. I Nr. 165/1999 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit Eingabe vom 23. März 2018 im Rahmen eines Kontroll- und Ombudsmannverfahrens gemäß § 30 DSG 2000 brachte der Beschwerdeführer zusammengefasst vor, er sei Mitarbeiter der [Anmerkung Bearbeiter: Name der Dienststelle des Beschwerdeführers] des Beschwerdegegners. Wenn Mitarbeiter, sohin auch er selbst, auf Steuerdaten im sogenannten System AIS-DB2 („Abgabeinformationssystem des Bundes“) zugreifen würden, würden diese Zugriffe protokolliert werden. Diese Protokolldaten müssten jedoch gemäß § 14 DSG (wohl gemeint: DSG 2000) nach drei Jahren gelöscht werden. Das Büro für interne Angelegenheiten des Beschwerdegegners (in Folge: „BIA“) überprüfe diese Zugriffe (Logfile Analysen) nicht nur nach dem DSG, sondern verwende diese Logfile Analysen auch für dienst- und strafrechtliche Zwecke. Der Beschwerdegegner speichere die Logfile Daten unbegründet und flächendeckend über einen viel längeren Zeitraum als den erlaubten von drei Jahren. Auch ältere Daten würden ohne richterlichen oder strafrechtlichen Auftrag der Staatsanwaltschaft Bedientesten vorgehalten und vom Beschwerdegegner verarbeitet werden. Im konkreten Anlassfall Gz. BMF-*03*4/00*4-BIA/2017 habe der Beschwerdegegner bisher sämtliche Akteneinsicht verwehrt. Die Datenschutzbehörde möge die Rechtmäßigkeit der Speicherung und Verwendung der Logfile Daten durch das BIA bzw. den Beschwerdegegner überprüfen. Der Eingabe ist ein Screenshot beigefügt, der Vorgänge aus dem Jahre 2011 den Beschwerdeführer betreffend abbildet.

2. Mit Stellungnahme vom 28. Mai 2018 brachte der Beschwerdegegner zusammengefasst vor, dass dieser am 2. Oktober 2017 eine Überprüfung der von Mitarbeitern des Finanzressorts getätigten Zugriffe auf das AIS hinsichtlich eines bestimmten Steuerpflichtigen und sämtlicher juristischen Personen, an denen dieser Steuerpflichtige beteiligt wäre, durch das BIA veranlasst habe. Die Einrichtung des BIA sei auf Grundlage von § 7 BMG erfolgt, wobei dem BIA auch die Überwachung der Rechtmäßigkeit von Zugriffen auf Datenbanken des Beschwerdegegners übertragen worden sei. Organisatorisch sei das BIA gemäß der aktuellen Geschäftseinteilung des Beschwerdegegners im Bereich der Sektion I des Beschwerdegegners angesiedelt. Hintergrund dieser Logfileanalyse sei, dass ein Abgeordneter zum Nationalrat exakte Steuerdaten dieses Steuerpflichtigen öffentlich gemacht hätte, sodass der Verdacht einer strafbaren Handlung u.a. nach §§ 302, 310 StGB und auf unzulässige Zugriffe auf den Datenbestand im AIS bestanden habe. Die daraufhin durchgeführte Logfileanalyse des BIA habe ergeben, dass neben anderen Mitarbeitern des Beschwerdegegners auch der Beschwerdeführer auf die Daten zugegriffen habe. Die Frage, wer auf den Datenbestand zugegriffen habe, sei eine notwendige Vorfrage für die Klärung der Frage, ob es zu unzulässigen Zugriffen gekommen sei.

Der Umstand, dass Zugriffe von Mitarbeitern des Beschwerdegegners auf das AIS in Logfiles protokolliert und dokumentiert würden, stelle keinen Eingriff in das Grundrecht dieser Mitarbeiter auf Geheimhaltung ihrer personenbezogenen Daten dar, sondern sei eine in § 14 Abs. 2 Z 7 DSG 2000 ausdrücklich vorgesehene Maßnahme zur Gewährleistung der Datensicherheit. Unter Vermerk auf die Judikatur der DSK wurde ausgeführt, dass die Verwendung dieser Protokolldaten zur Überprüfung eines konkreten Verdachtes auf unzulässige Zugriffe und die unzulässige Verwendung der Steuerdaten jedenfalls durch § 14 Abs. 4 DSG 2000 gedeckt sei. Auch könne aus § 14 Abs. 5 DSG 2000 keine Verpflichtung des Auftraggebers abgeleitet werden, die Protokolldaten jedenfalls nach drei Jahren zu löschen. Von dieser Dreijahresfrist dürfe in jenem Ausmaß abgewichen werden, als der von der Protokollierung betroffene Datenbestand zulässigerweise früher gelöscht, oder länger aufbewahrt werde. Dies bedeute, dass die Protokolldaten über Zugriffe auf einen Datensatz im AIS solange aufbewahrt werden könnten, als der zugrundeliegende Datensatz im AIS aufzubewahren sei. Es sei festzuhalten, dass die Speicherung der Logfiles (Protokolldaten) über Zugriffe auf das AIS im konkreten Fall über den Zeitraum von drei Jahren hinaus zulässig sei, weil auch der von der Protokollierung betroffene Datenbestand weiter aufzubewahren und die Verwendung der Protokolldaten in Zusammenhang mit dem Verdacht auf unzulässige Zugriffe und Verwendung des betroffenen Datenbestandes jedenfalls zulässig sei. Welche Stelle innerhalb des Beschwerdegegners mit der Überprüfung der Logfiles beauftragt werde, sei eine Frage der Geschäftseinteilung nach § 7 BMG. Im Übrigen könnten – unter Vermerk auf die Judikatur der DSK - angesichts von § 8 Abs. 3 Z 6 DSG 2000 schutzwürdige Geheimhaltungsinteressen im vorliegenden Fall nicht verletzt worden sein, da die Protokolldaten und ihre Überprüfung ausschließlich die Ausübung der öffentlichen Funktion betroffen hätten, die der Beschwerdeführer als Finanzbeamter innehabe und in der er zu besonderer Gesetzestreue verpflichtet sei. Eine Verletzung der Rechte von Betroffenen läge somit nicht vor.

3. Mit Mangelbehebungsauftrag vom 9. Juli 2018 wies die Datenschutzbehörde darauf hin, dass entsprechend der ab 25. Mai 2018 geltenden Rechtslage das bisher nach § 30 DSG 2000 geführte Kontroll- und Ombudsmannverfahren als Beschwerdeverfahren nach § 24 DSG, BGBl. I Nr. 165/1999 idgF, fortzuführen ist und die Beschwerde gemäß § 24 Abs. 2 DSG zu präzisieren sei.

4. Der Beschwerdeführer brachte mit Stellungnahme vom 4. August 2018 und 27. September zusammengefasst zunächst vor, dass ein Verstoß gegen Art. 6 DSGVO (§ 14 DSG 2000) vorläge. In Konkretisierung des Sachverhalts wurde ausgeführt, dass ein Abgeordneter des Nationalrates im Zuge einer parlamentarischen Anfrage Anfang Oktober 2017 von Steuerdaten von Herrn Walter F*** berichtet habe. Im Zuge dieser parlamentarischen Anfrage wären entsprechende umfassende Berichterstattungen in diversen Medien erfolgt. Im Zuge der beruflichen Tätigkeit des Beschwerdeführers sei dienstlich begründet ein Zugriff auf diverse steuerliche Daten von Herrn Walter F*** am 6. Dezember 2016 im AIS erfolgt. Das AIS sei eine Applikation mit diversen steuerlichen „Sammlungen“ und auch anderen Unterlagen betreffend Steuerpflichtigen. Gesetzlich bzw. im Verordnungswege sei diese Datenbank nicht verankert bzw. geregelt. Was letztlich das AIS-DB2 im Sinne des DSG sei, lasse sich aus den Ausführungen des Beschwerdegegners nicht erkennen. Somit müsse zuerst vom Beschwerdegegner klargestellt werden, dass das Sammelwerk AIS-DB2 überhaupt in seiner Gesamtheit unter das DSG falle. Unter Vermerk auf eine Entscheidung des Unabhängigen Finanzsenats (in Folge: „UFS“) führte der Beschwerdeführer aus, dass in dieser Entscheidung das Arbeitsgerät und die Speicherung darin als „rechtliches Nullum“ bezeichnet werde und der Beschwerdegegner näher auszuführen habe, warum überhaupt Logfile Protokolle geführt würden. Sei das AIS-DB2 keine, oder nur eine teilweise Anwendung, welche unter § 14 DSG 2000 falle, so sei eine Protokollierung mittels Logfiles bereits dem Grunde nach (teilweise) nicht erlaubt und daher rechtswidrig.

Im Oktober 2017 und im Zuge der durchgeführten Nationalratswahlen und der medialen Berichterstattung habe es einen erhöhten Druck der Politik gegeben, den „F*** Fall“ noch vor der Nationalratswahl aufklären zu müssen. Zu diesem Zwecke wäre am 4. Oktober 2017 eine Anzeige des Beschwerdegegners an die Wirtschafts- und Korruptionsstaatsanwaltschaft (in Folge: „WKStA“) gelegt worden. Nahezu zeitgleich sei ein Ermittlungsauftrag des Beschwerdegegners an das BIA ergangen. Es sollte eine Analyse der Datenzugriffe auf die Steuernummer von Herrn Walter F*** durchgeführt werden. Ferner sollten auch sämtliche juristische Personen, bei denen Herr Walter F*** beteiligt sei, einer Analyse auf ungerechtfertigte Datenzugriffe unterzogen werden. Entsprechende Screenshots, die diese interne Korrespondenz belegen, liegen dem Akt bei. Der Beschwerdeführer bezeichnet dies als „ersten Ermittlungsauftrag des Beschwerdegegners gegen seine Person“.

Der Beschwerdegegner habe somit einen Ermittlungsauftrag nach § 310 StGB unter dem Deckmantel der Logfile Auswertung nach dem DSG 2000 erteilt. Der Beschwerdegegner sei für Ermittlungen solcher StGB-Delikte nicht zuständig. Gemäß § 14 Abs. 2 Z 7 DSG 2000 sei ein Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden könnten. Typischerweise protokolliere ein System alle Authentifizierungsversuche (insbesondere fehlgeschlagene Logins), führe jedoch keine Aufzeichnungen darüber, welcher Benutzer wann auf welchen Datensatz zugegriffen habe. Dies sei vor allem darauf zurückzuführen, dass die Informationssicherheit nicht mit Fragen der Rechtmäßigkeit der Datenverwendung befasst sei. Unter Vermerk auf die Judikatur der DSK wurde ausgeführt, dass eine Fahndung des Beschwerdegegners bzw. des BIA nach Straftätern, einem Täterkreis oder einer Täterschaft mittels Logfile Daten nach dem DSG 2000 - wie im vorliegenden Fall - unzulässig sei. Dass der Beschwerdegegner die Protokolldaten nach dem DSG 2000 auch für die „Strafrechtspflege“ – ohne staatsanwaltschaftlichen Auftrag und ohne richterliche Genehmigung – verwendet habe, ergäbe sich auch eindeutig und nachvollziehbar aus dem Strafakt der StA Wien. In diesem Verfahren hätte der Teamleiter des BIA, ** Peter I***, ohne jegliche staatsanwaltschaftliche Aufforderung und ohne jegliche gesetzliche Grundlage der StA Wien mitgeteilt, dass sich der Täterkreis aufgrund interner Erhebungen auf vier Personen eingrenzen ließe. Ein entsprechender Screenshot, der diese Korrespondenz belegt, liegt dem Akt bei.

Die Verwendung von Protokolldatenauswertungen für die Gewinnung von Hinweisen oder Beweismitteln für die Strafbarkeit eines Datenzugriffs - aus einem anderen Aspekt als dem unmittelbar dienstlichen - ist ausschließlich in den von § 14 Abs. 4 DSG 2000 angeführten Fällen zulässig, dies wären die „Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt“. Die Weiterverwendung der Auswertungsergebnisse der Protokolldaten zum Zwecke der Ausforschung nach § 310 StGB stelle eine unzulässige Ausweitung des ursprünglichen Verwendungszwecks dar, da gemäß § 14 Abs. 4 DSG 2000 eine Weiterverwendung „aus einem anderen Grund als jenem, der Prüfung der Zugriffsberechtigung“ als unvereinbar mit dem ursprünglichen Ermittlungszweck gälte. Durch die Verwendung der Protokolldaten für die Fahndung nach StGB Delikten sei daher in das Recht auf Geheimhaltung des Beschwerdeführers in unzulässiger Weise eingegriffen worden.

Darüber hinaus gebe es auch einen „zweiten Ermittlungsauftrag des Beschwerdegegners gegen den Beschwerdeführer“. So habe der ** T*** am 5. Oktober 2018 telefonisch den Auftrag erteilt, eine Gesamtanalyse den Beschwerdeführer betreffend durchzuführen. Somit sei zur Person des Beschwerdeführers ein „Gesamtscreening“ der letzten zumindest 7 Jahre vorgenommen worden. Am 10. Oktober 2017 sei er zum „Fall F***“ von Organen des BIA unter Verweis auf StGB-Delikte vorgeladen worden. Das Strafverfahren, welches der Beschwerdegegner bei der StA u.a. gegen die Person des Beschwerdeführers initiiert habe, sei im Übrigen eingestellt worden. Dennoch ergebe sich auch hier klar, dass gegen die Person des Beschwerdeführers auf Basis des Strafrechts ermittelt worden sei und die Protokolldaten rechtswidrig für StGB-Zwecke verwendet worden wären.

Aus § 14 Abs. 4 iVm Abs. 5 DSG 2000 ergebe sich, dass während einer drei Jahre dauernden Zeitspanne Protokolldaten dazu benützt werden dürften, die Rechtmäßigkeit des Zugriffs auf den durch Zugriffsprotokollierung abgesicherten Datenbestand zu kontrollieren und zwar mangels näherer gesetzlicher Regelung in jeder Art, die der Auftraggeber der Datenanwendung für zweckmäßig erachte, wobei als Grenze das Verhältnismäßigkeitsprinzip bzw. das Übermaßverbot gelte. Einerseits wären die 3 Jahre überschritten und andererseits gegen das Verhältnismäßigkeitsprinzip bzw. das Übermaßverbot verstoßen worden, da eine Gesamtanalyse über 7 Jahre hinweg vorgenommen worden wäre.

Eine weitere Anwendung des Beschwerdegegners wären die sogenannten „Finanzanwendungen“. Diesbezüglich sei ebenfalls ein rechtswidriger Eingriff in die Rechte des Beschwerdeführers erfolgt. Für eine solche Auswertung würden die Personalidentifikation, die E-Mail-Adresse, die Sozialversicherungsnummer sowie Vor- und Nachname des Bediensteten benötigt werden. Bei den Finanzanwendungen habe der Beschwerdegegner bzw. das BIA eine unzulässige Rasterfahndung vorgenommen. Eine Analyse von Protokolldaten mit dem Zweck, nicht nur die Rechtmäßigkeit von Datenzugriffen zu überprüfen, sondern nach bestimmten Mustern im Verhalten der Zugriffsberechtigten zu suchen, die Schlüsse auf anderweitig rechtswidriges Verhalten der Betroffenen ermöglichen würden, überschreite den in § 14 Abs. 4 DSG 2000 umschriebenen rechtmäßigen Kontrollzweck jedenfalls. In einem weiteren Dokument des Beschwerdegegners bzw. BIA sei zu erkennen, dass unter Zuhilfenahme von Protokolldaten nach dem DSG und unter Zuhilfenahme von Steuerdaten, welche nach § 48a dem „Steuergeheimnis“ unterliegen würden, nach irgendwelchen „potenziellen Straftaten des Beschwerdeführers“ gefahndet worden wäre. Ein entsprechender Screenshot, der diese interne Korrespondenz belegt, liege dem Akt bei. Darüber hinaus habe es durch den Beschwerdegegner den Auftrag gegeben, nach Abfragen den U*** Konzern betreffend zu fahnden, der mit der gegenständlichen Sache jedoch nichts zu tun hätte. Im „BIA-Akt“ werde ausgeführt, dass es seitens des Beschwerdeführers keine Zugriffe (gemeint wohl: betreffend den U***-Konzern) gegeben habe.

Darüber hinaus werde der Antrag gestellt, bescheidmäßig festzustellen, dass „der Logfile Erlass des BMF vom 21. Juni 2017 BMF-320700/0004-I/1/2017 auf Basis des DSG gesetzwidrig ist, da er auch juristische Personen und Personengesellschaften umfasst, welche nicht unter den Schutzbereich des § 1 DSG fallen“.

5. Der Beschwerdegegner entgegnete mit Stellungnahme vom 28. September 2018 zusammengefasst, dass der Sachverhalt in den zeitlichen Anwendungsbereich des DSG 2000 und somit vor Ergehen der DSGVO falle. In materiell-rechtlicher Sicht wären daher die Bestimmungen des DSG 2000 anzuwenden. Unter Vermerk auf die Judikatur der DSK sei die Verwendung von Protokolldaten zu Zwecken der Kontrolle der Zulässigkeit der Verwendung des Datenbestandes nach § 14 Abs. 4 DSG 2000 zulässig und läge eine Verletzung des Grundrechts auf Datenschutz des betroffenen Mitarbeiters durch das durch § 14 Abs. 2 Z 7 DSG 2000 gerechtfertigte Screening gegenüber dem Beschwerdeführer, insbesondere auch im Hinblick auf § 8 Abs. 3 Z 6 DSG 2000, nicht vor. Darüber hinaus sei aus der Zuständigkeit der Datenschutzbehörde für Angelegenheiten des Datenschutzes keine Kontrollbefugnis gegenüber anderen Behörden abzuleiten. Es entspreche auch der Judikatur des OGH zu § 85 GOG, dass eine Datenverwendung in einem Gerichtsverfahren dann gerechtfertigt ist, wenn die Daten einen denkmöglichen Verfahrensgegenstand darstellen, es jedoch nicht Zweck des Verfahrens nach § 85 GOG ist, das vorgelagerte Gerichtsverfahren zu kontrollieren. Die umfangreichen Ausführungen des Beschwerdeführers zum dienstrechtlichen Verfahren würden daher ins Leere gehen, weil es nicht Sache der Datenschutzbehörde sei, dieses Verfahren zu kontrollieren.

Entgegen den Ausführungen des Beschwerdeführers würden im AIS sehr wohl personenbezogene Daten erfasst werden. So habe sich die DSK bereits mit Beschwerden im Zusammenhang mit dem AIS befasst und diese inhaltlich unter Anwendung des DSG 2000 entschieden. Die seitens des Beschwerdeführers erwähnte Entscheidung des Unabhängigen Finanzsenates treffe Aussagen zur Verwertung von Daten aus dem „AIS-DB“ als Beweismittel im Abgabenverfahren, aus denen keinesfalls abgeleitet werden könne, dass im AIS keine personenbezogenen Daten enthalten wären.

Am 2. Oktober 2017 habe der Beschwerdegegner eine Überprüfung der von Mitarbeitern des Finanzressorts getätigten Zugriffe auf das AIS hinsichtlich eines bestimmten Steuerpflichtigen und sämtlicher juristischer Personen, an denen dieser Steuerpflichtige beteiligt gewesen sei, veranlasst. Angemerkt werde, dass eine Sachverhaltsdarstellung an die WKStA am 4. Oktober 2017 ergangen wäre (betreffend UT wegen § 310 StGB). Die Einstellung des Ermittlungsverfahrens gegen den Beschwerdeführer wegen § 302 StGB sei mit Verständigung der StA Wien vom 23. April 2018 erfolgt. Hintergrund dieser durch den Beschwerdegegner am 2. Oktober 2017 veranlassten Überprüfung der getätigten AIS-Zugriffe sei, dass – nachdem ein Abgeordneter zum Nationalrat exakte Steuerdaten dieses Steuerpflichtigen öffentlich gemacht habe – der Verdacht bestanden habe, dass Mitarbeiter des Beschwerdegegners unzulässige Zugriffe auf den Datenbestand des AIS hinsichtlich dieses Steuerpflichtigen getätigt hätten, weshalb auch der Anfangsverdacht hinsichtlich strafbarer Handlungen bestanden habe. Zwangsläufig ergebe sich bei unzulässigem Zugriff auf Datenbestände des AIS auch der Verdacht des Vorliegens einer Dienstpflichtverletztung iSd §§ 43 f BDG 1979. Darin einen durch den Beschwerdegegner erteilten Ermittlungsauftrag nach dem § 310 StGB „unter dem Deckmantel der Logfileauswertungen nach dem DSG 2000“ zu sehen sei ebenso verfehlt wie die Unterstellung, in diesem durchgeführten Prüfungsverfahren (Prüfung mittels Logfileanlayse, ob nicht dienstlich veranlasste Zugriffe auf Steuerdaten eines Abgabepflichtigen erfolgt wären) sei ein strafgesetzwidriges Vorgehen zu erkennen.

Dem BIA obliege die Überwachung der Rechtmäßigkeit von Zugriffen auf Datenbanken des Beschwerdegegners. Des Weiteren obliege dem BIA die Prüfung von konkreten Verdachtsfällen dahingehend, ob eine Anzeigeverpflichtung nach § 78 StPO bestehe. Die von der BIA durchgeführte Logfileanalyse habe ergeben, dass der Beschwerdeführer – neben anderen Mitarbeitern des Finanzressorts – auf die Daten zugegriffen habe. Der Umstand, dass Zugriffe von Mitarbeitern des Beschwerdegegners auf das AIS in Logfiles protokolliert und dokumentiert würden, stelle keinen Eingriff in das Grundrecht dieser Mitarbeiter auf Geheimhaltung ihrer personenbezogenen Daten dar, sondern sei eine in § 14 Abs. 2 Z 7 DSG 2000 ausdrücklich vorgesehene Maßnahme zur Gewährleistung der Datensicherheit. Unter Vermerk auf die Judikatur der DSK ergebe sich aus dieser Bestimmung somit, dass die generelle, laufende Kontrolle der Protokolldaten eine gesetzliche Verpflichtung des Auftraggebers sei, die gänzlich unabhängig von tatsächlichen Vorfällen bestehe. Die vom Beschwerdeführer angeführte Analyse seines Abfrageverhaltens („Gesamtscreening“) bzw. die Prüfung des Zugriffsverhaltens im Einzelfall („steuerpflichtiger Konzern“) sei durch das BIA im Hinblick auf die Rechtmäßigkeit bzw. Zulässigkeit von Zugriffen auf BMF-Datenbanken für rein dienstlich veranlasste Abfragen erfolgt. Hinsichtlich des Zeitraumes der Speicherung der Logfile Daten werde auf das bisher Vorgebrachte verwiesen.

6. Mit Stellungnahme vom 30. Oktober 2018 brachte der Beschwerdeführer zusammengefasst vor, dass der Beschwerdegegner bzw. das BIA ihm über sechs Monate hinweg die Akteneinsicht in den über 8000-seitigen BIA-Akt verweigere. Betreffe die Akteneinsicht offensichtlich DSG-Belange, so hätte die Datenschutzbehörde daraufhin einzuwirken, dass eine zeitnahe Akteneinsicht erfolgen könne. Es werde daher der Antrag gestellt, dass die Datenschutzbehörde bescheidmäßig darüber abspricht, ob das Verfahren des BIA, welche offensichtlich das DSG betrifft, in die Zuständigkeit der Datenschutzbehörde falle. Welche Rolle das BIA im Sinne des DSG habe, sei unklar. Das BIA sehe sich als „verlängerter Arm“ der StA Wien. Selbst nach Anzeigelegung an die StA Wien sei der Beschwerdeführer auf Basis des BDG vom BIA einvernommen worden.

Ferner beziehe sich der Beschwerdegegner auf Judikatur der DSK aus dem Jahre 2005, mittlerweile habe sich technisch jedoch einiges verändert. Zusätzlich zum DB2 wären die Finanzanwendungen massiv ausgebaut und teilweise in das DB2 implementiert worden, sodass die damaligen Aussagen der DSK zum DB2 aus technischer Sicht veraltet wären.

Die Datenschutzbehörde möge auch feststellen, dass der Beschwerdegegner rechtswidrig Protokolldaten von Mitarbeitern iSd § 14 Abs. 2 Z 7 DSG 2000 anlege, speichere und zweckentfremdet verwende, welche „keine Daten iSd § 1 DSG enthalten (personenbezogene Daten) und deshalb nicht einer Protokollierung und Aufzeichnung unterliegen dürfen.“ Darüber hinaus würde der Beschwerdegegner Protokolldaten nach dem DSG mit Steuerdaten nach der BAO (die durch § 48a BAO geschützt wären) und Steuerdokumenten miteinander verknüpfen, um wiederum nach irgendwelchen potenziellen Straftaten des Beschwerdeführers zu fahnden.

B. Beschwerdegegenstand

In Entsprechung des Mangelbehebungsauftrags der Datenschutzbehörde vom 9. Juli 2018 führte der Beschwerdeführer in seiner Stellungnahme vom 4. August 2018 zunächst einen „Verstoß gegen Art. 6 DSGVO (§ 14 DSG 2000)“ ins Treffen, beschränkte sich jedoch in weiterer Folge darauf, eine Verletzung im Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG anzuführen.

Ausgehend vom Vorbringen des Beschwerdeführers ist daher die Hauptfrage, ob der Beschwerdegegner den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem er Protokoll- und Dokumentationsdaten den Beschwerdeführer betreffend in einer mit § 8 Abs. 4 DSG 2000 unvereinbaren Weise verwendet hat.

Als Nebenfrage 1 ist auf den Antrag des Beschwerdeführers einzugehen, bescheidmäßig darüber abzusprechen, ob der Beschwerdegegner rechtswidrig auch Protokolldaten von Mitarbeitern anlegt, speichert und zweckentfremdet verwendet.

Als Nebenfrage 2 ist auf den Antrag des Beschwerdeführers einzugehen, bescheidmäßig darüber abzusprechen, ob das „Verfahren des BIA“ in die Zuständigkeit der Datenschutzbehörde fällt.

Als Nebenfrage 3 ist auf den Antrag des Beschwerdeführers einzugehen, bescheidmäßig festzustellen, dass „der Logfile Erlass des BMF vom 21. Juni 2017, GZ BMF-320700/0004-I/1/2017, auf Basis des DSG gesetzwidrig ist, da er auch juristische Personen und Personengesellschaften umfasst, welche nicht unter den Schutzbereich des § 1 DSG fallen“.

C. Sachverhaltsfeststellungen

1. Der Beschwerdeführer ist Bediensteter des Beschwerdegegners. Nachdem im Jahre 2017 bekannt wurde, dass exakte Steuerdaten eines Steuerpflichtigen öffentlich gemacht wurden, leitete der Beschwerdegegner im Oktober 2017 entsprechende Maßnahmen ein. Der Datenbestand des Abgabeinformationssystems des Bundes („AIS“) sollte anhand einer Analyse der Protokolldaten auf unzulässige Zugriffe durch Bedienstete des Beschwerdegegners hinsichtlich dieses Steuerpflichtigen überprüft und unzulässige Zugriffe ausgeforscht werden. Das Büro für interne Angelegenheiten („BIA“) ist eine interne Organisationseinheit des Beschwerdegegners und war an der Aufklärung dieses Vorfalls maßgeblich beteiligt. Der Beschwerdeführer hat Zugriff auf das AIS bzw. auf den Datensatz dieses Steuerpflichtigen. Die durchgeführte Logfileanalyse ergab, dass - neben anderen Bediensteten des Beschwerdegegners - auch der Beschwerdeführer auf die Daten des genannten Steuerpflichtigen in der Vergangenheit zugegriffen hatte.

Beweiswürdigung: Die insofern unstrittigen Feststellungen gründen sich auf die Stellungnahme des Beschwerdegegners vom 28. Mai 2018 und auf die Stellungnahme des Beschwerdeführers vom 4. August 2018.

2. Der Beschwerdegegner verwendete diese Protokolldaten den Beschwerdeführer betreffend ab Oktober 2017 auch, um den Verdacht der Begehung einer Straftat, insbesondere hinsichtlich § 310 StGB, auszuforschen.

Der Beschwerdegegner erstattete am 24. Oktober 2017 und 2. November 2017 hinsichtlich der internen Erhebungen Bericht an die StA Wien. Am 2. November 2017 berichtete der Beschwerdegegner an die StA Wien, dass „sich der Täterkreis aufgrund interner Erhebungen auf vier Personen eingrenzen lässt“. Zu diesem Zeitpunkt war bereits ein entsprechendes Verfahren bei der StA Wien zur GZ. *3 UT *2*2/17n anhängig.

Beweiswürdigung: Diese Feststellungen ergeben sich aus den vorgelegten Dokumenten der Verfahrensparteien, insbesondere der Stellungnahme des Beschwerdeführers vom 4. August 2018 samt Beilagen.

D. In rechtlicher Hinsicht folgt daraus:

D.1 Zur Rechtslage

Über diese Beschwerde ist verfahrensrechtlich nach neuer Rechtslage gemäß § 24 Abs. 1 und 5 DSG, BGBl. I Nr. 165/1999 idgF, zu entscheiden. Materiellrechtlich ist die Sache jedoch nach den im Oktober 2017, dem Zeitpunkt bzw. Zeitraum der behaupteten Verletzung des Rechts auf Geheimhaltung, geltenden Bestimmungen des DSG 2000, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013 zu beurteilen.

D.2 Zur Zuständigkeit der Datenschutzbehörde in der Hauptfrage

Der Beschwerdegegner bringt vor, dass die Datenschutzbehörde in der gegenständlichen Hauptfrage zur Entscheidung unzuständig sei, bezieht sich dabei auf die stRsp der Datenschutzbehörde zum „Übermaßverbot“ und führt einen Bescheid der ehemaligen Datenschutzkommission (in Folge: „DSK“) vom 16. Dezember 2005, K121.040/0018-DSK/2005 ins Treffen.

Dem Beschwerdegegner ist jedoch entgegenzuhalten, dass sich die gegenständliche Hauptfrage nicht darauf bezieht, die Verfahrensführung bzw. das Verfahrensergebnis (wie etwa das Ergebnis eines dienst- oder strafrechtlichen Verfahrens) anderer, sachlich zuständiger Behörden zu korrigieren. Vielmehr ist zu überprüfen, ob die Protokolldaten den Beschwerdeführer betreffend in einer mit § 14 Abs. 4 DSG 2000 vereinbaren Weise verwendet wurden.

Ferner ist darauf hinzuweisen, dass in der - seitens des Beschwerdegegners selbst angeführten -Entscheidung der DSK vom 16. Dezember 2005 die Feststellung begehrt wurde, dass der „Verdacht auf Amtsmissbrauch nie gegeben war“ bzw. zu überprüfen begehrt wurde, ob „etwa der Inhalt einer Disziplinaranzeige auf Tatsachen beruht und diese Tatsachen rechtlich korrekt gewürdigt wurden“ und die DSK die Beschwerde unter Bezug auf die Judikatur des Übermaßverbots dahingehend abgewiesen hat. In derselben Entscheidung vom 16. Dezember 2005 ging die DSK hinsichtlich der Verwendung von Protokolldaten für Zwecke der Kontrolle von Bedientesten jedoch gerade von einer Zuständigkeit aus und beschäftigte sich eingehend mit der Bestimmung gemäß § 14 Abs. 4 DSG 2000.

Die Datenschutzbehörde ist in der gegenständlichen Hauptfrage daher zuständig.

D.3 Zur Zuständigkeit der Datenschutzbehörde in der Nebenfrage 1

Sofern der Beschwerdeführer beantragt, bescheidmäßig darüber abzusprechen, ob der Beschwerdegegner rechtswidrig auch „Protokolldaten von Mitarbeitern“ anlegt, speichert und zweckentfremdet verwendet, ist ihm entgegenzuhalten, dass der Beschwerdeführer nicht Stellvertreter aller betroffenen Mitarbeiter des Beschwerdegegners ist und eine derartige „Popularklage“ (also eine Klage, die von jemand erhoben wird, der nicht allein davon betroffen ist) nicht zulässig ist (vgl. den Bescheid der DSK vom 30. März 2012, K121.765/0008-DSK/2012).

Dies erhellt daraus, dass eine Beschwerde nach § 24 Abs. 1 DSG (bzw. § 31 Abs. 2 DSG 2000) nur von einer Person gemacht werden kann, die behauptet, in ihrer Rechtssphäre von den Handlungen eines datenschutzrechtlichen Auftraggebers betroffen zu sein. Im vorliegenden Fall ist der Beschwerdegegenstand darauf zu beschränken, dass eine Verwendung personenbezogener Daten des Beschwerdeführers durch den Beschwerdegegner zur Diskussion steht

Dieser Antrag des Beschwerdeführers war daher spruchgemäß zurückzuweisen.

D.4 Zur Zuständigkeit der Datenschutzbehörde in der Nebenfrage 2

Sofern der Beschwerdeführer beantragt, bescheidmäßig darüber abzusprechen, „ob das Verfahren des BIA, welche offensichtlich das DSG betrifft, in die Zuständigkeit der DSB fällt“, so muss diesbezüglich zunächst differenziert werden:

In Punkt D.2 wurde bereits festgehalten, dass die Datenschutzbehörde in der Hauptfrage zuständig ist.

Sofern der Beschwerdeführer „Verfahren des BIA“ ins Treffen führt und in weiterer Folge vorbringt, der Beschwerdegegner verweigere ihm die Akteneinsicht in den „über 8000 seitigen BIA Akt“, so ist diesbezüglich festzuhalten, dass es nicht Zweck der Richtlinie 95/46/EG (und in Folge einer Datenschutzbeschwerde) ist, den Zugang zu Verwaltungsdokumenten zu sichern (vgl. das Urteil des EuGH vom 17. Juli 2014, C-141/12 und C-372/12, YS und MS, Rn. 46).

Aus den datenschutzrechtlichen Betroffenenrechten – wie gegenständlich dem Recht auf Geheimhaltung – kann somit kein subjektives Recht auf Akteneinsicht abgeleitet werden, da es nicht Zweck der Betroffenenrechte ist, Parteienrechte in einem anderen Verfahren zu erfüllen (vgl. anstelle vieler den Bescheid der DSB vom 9. März 2015, DSB-D122.299/0003-DSB/2015, in Bezug auf das Auskunftsrecht).

Die Datenschutzbehörde ist somit nicht zuständig, über die Verwehrung von Akteneinsicht abzusprechen.

Dieser Antrag des Beschwerdeführers war daher ebenso spruchgemäß zurückzuweisen.

D.5 Zur Zuständigkeit der Datenschutzbehörde in der Nebenfrage 3

Sofern der Beschwerdeführer beantragt, bescheidmäßig festzustellen, dass „der Logfile Erlass des BMF vom 21. Juni 2017, GZ BMF-320700/0004-I/1/2017, auf Basis des DSG gesetzwidrig ist, da er auch juristische Personen und Personengesellschaften umfasst, welche nicht unter den Schutzbereich des § 1 DSG fallen“, ist festzuhalten, dass es der Datenschutzbehörde nicht zusteht, die Rechtmäßigkeit eines Erlasses, der eine interne Verwaltungsvorschrift ist, zu überprüfen oder diesen zu korrigieren (vgl. §§ 30 und 31 DSG 2000).

Auch dieser Antrag des Beschwerdeführers war daher spruchgemäß zurückzuweisen.

Es sei jedoch darauf hingewiesen, dass § 1 Abs. 1 erster Satz DSG auf „Jedermann“ abstellt und daher juristische Personen und Personengemeinschaften vom Schutzbereich (vgl. dazu auch den Bescheid der Datenschutzbehörde vom 13. September 2018, GZ DSB-D216.713/0006-DSB/2018) umfasst sind.

D.6 In der Sache die Hauptfrage betreffend

a) Allgemeines

Zunächst ist darauf hinzuweisen, dass der vorliegende Sachverhalt zwei Komponenten aufweist: Zum einen geht es um die Verwendung der Protokolldaten durch den Beschwerdegegner, um einem begründeten Verdacht einer gröblichen Dienstpflichtverletzung nachzugehen, zum anderen geht es um die Verwendung der Protokolldaten zu strafrechtlichen Ermittlungszwecken, konkret um den Verdacht der Begehung von Straftaten iSv § 8 Abs. 4 DSG 2000 auszuforschen.

Ebenso wird darauf hingewiesen, dass das Büro für interne Angelegenheiten („BIA“) bloß eine interne Organisationseinheit des Beschwerdegegners ist und es sich nicht um einen eigenständigen datenschutzrechtlichen Auftraggeber handelt.

b) Zum Personenbezug und dem AIS

Sofern der Beschwerdeführer vorbringt, dass im AIS – wenn auch nur teilweise – gar keine personenbezogenen Daten verarbeitet würden, ist ihm entgegenzuhalten, dass die DSK bereits in Hinblick auf das AIS unter Anwendung des DSG 2000 eine Entscheidung getroffen hat (vgl. den Bescheid der DSK vom 16. Dezember 2005 a.a.O).

Wenn der Beschwerdeführer die Datenschutzbehörde ersucht, den Beschwerdegegner aufzufordern, näher darzustellen, was die Applikation AIS-DB2 überhaupt in seiner Gesamtheit ist und wiederum ausführt, dass gewisse Teile des DB2 keine personenbezogenen Daten und auch keine steuerlich relevanten Daten beinhalten würden, so ist aus Sicht der Datenschutzbehörde nicht erkennbar, inwiefern dies im vorliegenden Verfahren von Relevanz sein soll.

So ist einerseits ohnehin unstrittig, dass der Beschwerdegegner eine Analyse auf ungerechtfertigte Datenzugriffe einen bestimmten Steuerpflichtigen betreffend durchführen ließ und es sich bei den Ergebnissen dieser Analyse um personenbezogene Daten handelt, nämlich zu welchem Zeitpunkt bzw. in welchem Umfang der Beschwerdeführer auf die Daten dieses bestimmten Steuerpflichtigen zugegriffen hat. Sofern – teilweise – keine personenbezogenen Daten im AIS verarbeitet werden sollten, so stünde dem Beschwerdeführer diesbezüglich andererseits auch kein Beschwerderecht zu, da sich das Grundrecht auf Geheimhaltung im Schutz von personenbezogenen Daten erschöpft.

c) Zum begründeten Verdacht einer gröblichen Dienstpflichtverletzung

Aus der Bestimmung gemäß § 14 Abs. 4 iVm Abs. 5 DSG 2000 ergibt sich, dass zumindest während einer drei Jahre dauernden Zeitspanne Protokolldaten dazu benützt werden dürfen, die Rechtmäßigkeit des Zugriffs auf den durch Zugriffsprotokollierung abgesicherten Datenbestand zu kontrollieren, und zwar – mangels näherer gesetzlicher Regelung – in jeder Art, die der Auftraggeber der Datenanwendung für zweckmäßig erachtet, wobei als Grenze das Verhältnismäßigkeitsprinzip bzw. das Übermaßverbot gilt. Die Heranziehung von Protokolldaten zur Kontrolle der Rechtmäßigkeit des Zugriffs kann daher in verschiedener Intensität und nach verschiedenen Methoden, also sowohl durch routinemäßige Kontrolle aller Zugriffsvorgänge sowie durch anlassbezogene Kontrollen (wie vorliegend) oder durch Kontrolle bestimmter Kategorien von Abfragen (wie vorliegend), durch Kontrolle der Abfragen bestimmter Mitarbeiter oder Mitarbeiterkategorien oder durch stichprobenweise Kontrollen erfolgen (vgl. den Bescheid der DSK vom 16. Dezember 2005 a.a.O).

So hat die ehemalige DSK bereits festgehalten, dass jeder Auftraggeber gemäß § 14 DSG 2000 die Pflicht hat, durch geeignete Maßnahmen vorzukehren, dass auf die von ihm verarbeiteten Daten nicht unzulässigerweise zugegriffen wird. Der Zugriff auf Steuerdaten von Bürgern durch Bedienstete der Finanzverwaltung zu außerdienstlichen Zwecken ist eine unzulässige Datenverwendung. Die Protokollierung der Zugriffe und auswertende Kontrolle der Protokolle zum Zweck der Feststellung und künftigen Unterbindung unzulässiger Zugriffe ist ein nach dem Stand der Technik allgemein anerkanntes Mittel zur Verwirklichung von Datensicherheit in Form der Generalprävention gegen unzulässige Zugriffe. Aus § 14 DSG 2000 ist nicht nur die Verpflichtung erkennbar, Abfragedaten zu protokollieren, sondern auch die Verpflichtung, Protokolldaten für die Überprüfung der Zulässigkeit der Verwendung des Datensatzes heranzuziehen (vgl. den Bescheid der DSK vom 21. Juni 2005, GZ K121.014/0008-DSK/2005; siehe weiters die Empfehlung der Datenschutzbehörde vom 23. Mai 2016, GZ DSB-D210.783/0004-DSB/2016).

Dem Beschwerdegegner ist daher zunächst beizupflichten, dass er gemäß § 14 Abs. 4 DSG 2000 zulässigerweise eine Analyse der Protokolldaten vornahm, um im Sinne der §§ 43 ff BDG 1979, insbesondere aber hinsichtlich § 79g BDG 1979, BGBl. Nr. 333/1979 idF BGBl. I Nr. 167/2017 dem begründeten Verdacht einer gröblichen Dienstpflichtverletzung nachzugehen und um dadurch künftige unzulässige Zugriffe zu unterbinden.

d) Zur Verwendung der Protokolldaten zu strafrechtlichen Ermittlungszwecken (Verdacht der Begehung von Straftaten)

Der Beschwerdegegner übersieht dabei jedoch, dass die Beschwerde des Beschwerdeführers darauf abzielt, dass der Beschwerdegegner die Protokolldaten auch zu strafrechtlichen Ermittlungszwecken verwendet habe und dass eine derartige Verwendung der Protokolldaten im vorliegenden Fall nicht von §§ 8 Abs. 4 DSG 2000 iVm 14 Abs. 4 DSG 2000 gedeckt sei.

Die Verwendung der Protokolldaten zum Zweck der Nachforschung hinsichtlich eines mit gerichtlicher Strafe bedrohten Verhaltens ergibt sich zunächst aus einem Eingangsstück des Beschwerdegegners vom 3. Oktober 2017, unterzeichnet vom Teamleiter des BIA (vorgelegter Screenshot, Seite 4. der Stellungnahme des Beschwerdeführers vom 4. August 2018). Die Betreffzeile dieses Eingangsstück lautet „Verdacht auf § 310 StGB gg (vorerst u.T)“ und nicht etwa: „Verdacht einer gröblichen Dienstverletzung“ - oder ähnlich. Der Auftrag, eine Analyse auf ungerechtfertigte Datenzugriffe vorzunehmen, zielte somit von Beginn an auch darauf ab, hinsichtlich des Verdachts der Begehung einer Straftat, insbesondere aber hinsichtlich § 310 StGB zu forschen. Auch ein Schreiben von Dr. Karl R*** vom 3. Oktober 2017 (vorgelegter Screenshot, Seite 5. der Stellungnahme des Beschwerdeführers vom 4. August 2018) gab ausdrücklich den Auftrag, „die Anschuldigungen laut Eingangsstück“ (gemeint damit: das Eingangsstück vom 3. Oktober 2017) zu untersuchen und differenzierte nicht mehr zwischen einer Analyse wegen einer etwaigen Dienstverletzung und einer Analyse zu strafrechtlichen Ermittlungszwecken. Dafür spricht, dass der Beschwerdeführer offenbar durch den Beschwerdegegner „unter Verweis auf StGB Delikte“ am 10. Oktober 2018 – somit im engen zeitlichen Zusammenhang mit dem Versand des Eingangsstücks vom 3. Oktober 2017 – befragt wurde (Seite 9. der Stellungnahme des Beschwerdegegners vom 4. August 2018), was durch den Beschwerdegegner auch nicht bestritten wurde.

Die Tatsache stützt sich auch auf den Aktenvermerk der StA Wien vom 2. November 2017 zur GZ. *3 UT *2*2/17n (vorgelegter Screenshot, Seite 7. der Stellungnahme des Beschwerdeführers vom 4. August 2018), wonach der Beschwerdegegner der StA Wien mitteilt, dass sich „der Täterkreis aufgrund interner Erhebungen auf vier Personen eingrenzen lässt“, worunter auch der Beschwerdeführer zählt. Selbst wenn der Beschwerdegegner somit die Protokolldaten auch zur Feststellung einer gröblichen Dienstverletzung verwendet hat, so hat er spätestens ab diesem Zeitpunkt die Daten auch verwendet, um dem Verdacht der Begehung einer Straftat nachzugehen. Darüber hinaus ist auch ein Aktenvermerk vom 24. Oktober 2017 zur gleichen GZ. der StA Wien vorhanden (vorgelegter Screenshot, Seite 7. der Stellungnahme des Beschwerdeführers vom 4. August 2018), der nicht komplett leserlich ist, jedoch auch indiziert, dass laufend eine Berichterstattung hinsichtlich der internen Ermittlungen des Beschwerdegegners an die StA Wien erfolgt ist.

Die Tatsache stützt sich auch auf den internen E-Mail-Verkehr des Beschwerdegegners (vorgelegter Screenshot, Seite 11. der Stellungnahme des Beschwerdeführers vom 4. August 2018), wonach der Beschwerdegegner in einem E-Mail selbst bemerkt, dass „diese andauernde Schnitzeljagd nach einzelnen Puzzleteilen“ nichts bringe und es geboten scheine, „das bei der StA Wien anhängige Verfahren, dh die do Ermittlungsschritte mit den ho geführten zu koordinieren“.

Auch im BIA-Bericht erster Absatz (vorgelegter Screenshot, Seite 12. der Stellungnahme des Beschwerdeführers vom 4. August 2018) wird Folgendes angeführt: „Im Hinblick auf die Erhärtung des hinreichenden Anfangsverdachts, dass vorliegenden Falls eine gerichtlich strafbare Handlung vorliegt, insb. die Verletzung des Steuer- bzw. Amtsgeheimnisses (gemeint also: § 310 StGB), wurde der Sachverhalt seitens des BMF umgehend der WKStA zur Kenntnis gebracht“. Der Beschwerdegegner räumt dadurch implizit ein, dass die Analyse der Protokolldaten von Anfang an (zumindest auch) zur Klärung des Verdachts der Begehung von Straftaten diente.

Die Ausführungen des Beschwerdegegners, dass sich bei einem unzulässigen Zugriff auf Datenbestände des AIS auch zwangsläufig der Verdacht des Vorliegens einer Dienstpflichtverletzung ergäbe (Seite 3. der Stellungnahme des Beschwerdegegners vom 28. September 2018), sowie, dass die vom BIA über Veranlassung des Beschwerdegegners durchgeführte Analyse des Abfrageverhaltens im Hinblick auf die Rechtmäßigkeit von Zugriffen auf BMF-Datenbanken „für rein dienstlich veranlasste Abfragen“ erfolgt sei (Seite 5. der Stellungnahme des Beschwerdegegners vom 28. September 2018), vermag daran nichts zu ändern. So stützte sich der Beschwerdegegner selbst ausdrücklich von Beginn an auf eine „Ermittlung hinsichtlich des Verdachts auf § 310 StGB“, wenngleich vorerst gegen einen unbekannten Täter, spätestens nachdem „der Täterkreis aufgrund interner Erhebungen auf vier Personen“ eingegrenzt wurde, auch den Beschwerdeführer betreffend.

Insgesamt liegen eindeutige Anhaltspunkte vor, dass der Beschwerdegegner die Protokolldaten den Beschwerdeführer betreffend (zumindest auch) zur Klärung des Verdachts der Begehung von Straftaten verwendete. Es ist somit nicht davon auszugehen, dass es sich bei der Analyse der Protokolldaten den Beschwerdeführer betreffend nur um eine Untersuchung hinsichtlich einer Dienstpflichtverletzung handelte.

Dazu ist zunächst zu bemerken, dass § 14 Abs. 4 DSG 2000 abschließend auf zwei Fälle abstellt, in denen Protokolldaten abweichend vom Ermittlungszweck – also die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes – verwendet werden dürfen:

Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, dass es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.

Gegenständlich liegt jedoch weder der erste Fall gemäß § 278a StGB vor, noch liegt ein Fall eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, vor. So ergibt sich aus dem Eingangsstück des Beschwerdegegners vom 3. Oktober 2017 in der Betreffzeile ausdrücklich der „Verdacht auf § 310 StGB gg (vorerst u.T)“, wobei § 310 Abs. 1 StGB eine Freiheitsstrafe von bis zu drei Jahren vorsieht. Ein Verdacht hinsichtlich anderer Delikte, die eine Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, vorsehen, wurde seitens des Beschwerdegegners zu keinem Zeitpunkt vorgebracht.

Sofern der Beschwerdegegner ins Treffen führt, er sei gemäß § 78 StPO zur Anzeige an die WKStA verpflichtet, so übersieht er Folgendes: Der Beschwerdegegner kam nicht erst nach erfolgter Analyse der Protokolldaten zu dem Schluss, es läge ein anzeigepflichtiger Verdacht einer Straftat vor. Vielmehr lag aus Sicht des Beschwerdegegners bereits von Beginn an ohnehin der Verdacht auf § 310 StGB vor und wurden im Anschluss Protokolldaten analysiert, um diesen Verdacht näher zu erforschen. Es fällt jedoch in den Aufgabenbereich der StA nach den entsprechenden Bestimmungen der §§ 101 ff StPO Ermittlungsschritte zu setzen bzw. ein entsprechendes Ermittlungsverfahren zu führen und hat die StA in § 74 StPO auch eine entsprechende Grundlage zur Verarbeitung personenbezogener Daten.

Im vorliegenden Fall hat der Beschwerdegegner jedoch sogar Protokolldaten den Beschwerdeführer betreffend verwendet, um den Verdacht der Begehung einer Straftat auszuräumen, nachdem bereits ein entsprechendes Verfahren bei der StA Wien anhängig war. Dies ergibt sich wie festgestellt daraus, dass der Beschwerdegegner zweimal „Bericht“ an die StA Wien erstattete und im Bericht vom 2. November 2017 des Beschwerdegegners an die StA Wien ausgeführt wird, dass „sich der Täterkreis aufgrund interner Erhebungen auf vier Personen eingrenzen lässt“.

Festzuhalten ist, dass eine Analyse von Protokolldaten mit dem Zweck, nicht nur die Rechtmäßigkeit von Datenzugriffen zu überprüfen, sondern nach bestimmten Mustern im Verhalten der Zugriffsberechtigten zu suchen, die Schlüsse auf anderweitig rechtswidriges Verhalten der Betroffenen (hier: Verdacht auf § 310 StGB) ermöglichen, den in § 14 Abs. 4 DSG 2000 umschriebenen rechtmäßigen Kontrollzweck überschreitet. Der Text des § 14 Abs. 4 DSG 2000 stellt – wie bereits dargelegt – die Beschränkung des Verwendungszwecks von Protokolldaten unmissverständlich klar, insbesondere auch dadurch, dass er die wenigen zulässigen Erweiterungen des Verwendungszwecks ausdrücklich und abschließend anführt (vgl. den Bescheid der DSK vom 16. Dezember 2005 a.a.O).

Im Unterschied zur durch den Beschwerdegegner genannten Entscheidung der DSK vom 21. Juni 2005, GZ K121.014/0008-DSK/2005, ging es im vorliegenden Fall nicht bloß um die Frage, ob die Heranziehung von Protokolldaten zur Kontrolle der Rechtmäßigkeit des Zugriffs zulässig war, um einem begründeten Verdacht einer gröblichen Dienstpflichtverletzung nachzugehen und um dadurch künftige unzulässige Zugriffe zu unterbinden (dies wurde ohnehin für zulässig erklärt, vgl. Punkt D.6.c.).

Vielmehr ging es im vorliegenden Fall um die Frage, ob der Beschwerdegegner diese Protokolldaten zweckentfremdet verwendet hat und verwenden durfte, um den Verdacht der Begehung von Straftaten, insbesondere im Hinblick auf § 310 StGB, zu erforschen.

D.7 Ergebnis

Durch die beschriebene Zweckänderung der Datenverarbeitung lag eine Übermittlung im Sinne des § 4 Z 12 DSG 2000 vor.

§ 8 Abs. 4 DSG 2000 regelte abschließend, wann die Verwendung von „Strafdaten“ nicht gegen schutzwürdige Geheimhaltungsinteressen eines Betroffenen verstößt (vgl. dazu VwSlg. 18.498 A/2012).

Der Beschwerdegegner vermochte keinen seine Vorgangsweise rechtfertigenden Tatbestand im Sinne des § 8 Abs. 4 DSG 2000 vorzuweisen.

Durch unzulässige Verwendung der Protokolldaten für die Ermittlung hinsichtlich des Verdachtes auf § 310 StGB wurde daher im Ergebnis – ungeachtet des Umstandes, dass auf die Feststellung einer mangelnden Zugriffsberechtigung dienstrechtliche Konsequenzen gegründet werden können – in das Recht des Beschwerdeführers auf Geheimhaltung ihn betreffender personenbezogener Daten in unzulässiger Weise eingegriffen.

Vor diesem Hintergrund brauchte auf die seitens des Beschwerdeführers ins Treffen geführte Frage hinsichtlich der Zulässigkeit der Speicherdauer gemäß § 14 Abs. 5 DSG 2000 nicht mehr eingegangen werden.

Im Ergebnis war daher spruchgemäß zu entscheiden.