TE Vfgh Erkenntnis 2007/3/7 B3517/05

Der Beschwerdeführer ist durch den Spruchpunkt 2. des angefochtenen Bescheides im verfassungsgesetzlich gewährleisteten Recht auf Gleichheit aller Staatsbürger vor dem Gesetz verletzt worden.

Der Bescheid wird im Spruchpunkt 2. aufgehoben.

Der Bund (Bundeskanzler) ist schuldig, dem Beschwerdeführer zu Handen seines Rechtsvertreters die mit € 2.340,-- bestimmten Prozesskosten binnen 14 Tagen bei sonstiger Exekution zu bezahlen.

Entscheidungsgründe:

I. 1. Mit Schreiben vom 30. April 2005 erhob der Beschwerdeführer im vorliegenden verfassungsgerichtlichen Bescheidprüfungsverfahren eine gegen das Landesgendarmeriekommando für Tirol gerichtete Beschwerde an die Datenschutzkommission. Darin brachte er unter anderem Folgendes vor:

Gegen den Beschwerdeführer sei seitens des Gendarmeriepostens Kufstein im September 2001 wegen Vorfällen im Sommer 2001 Anzeige an die Staatsanwaltschaft wegen des Verdachtes des Vergehens nach (dem damals geltenden) §209 StGB erstattet worden. §209 StGB sei mit Ablauf des 30. August 2002 außer Kraft getreten. Die zur Person des Beschwerdeführers verarbeiteten Daten hinsichtlich von Vorfällen nach §209 StGB würden daher für Zwecke der Sicherheitspolizei nicht mehr benötigt, weshalb sie zu löschen seien.

Das an das Landesgendarmeriekommando für Tirol gerichtete Begehren des Beschwerdeführers, sämtliche zu seiner Person

"da. als Auftraggeber im Zusammenhang mit §209 StGB [...] verarbeitete[n] Daten, insb. auch die in Indexkarteien und Protokollbüchern hinsichtlich §209 StGB verarbeiteten Daten, zu löschen und sowohl die Empfänger der Daten als auch den [Antragsteller] hievon zu verständigen",

sei mit Schreiben des Landesgendarmeriekommandos für Tirol vom 8. April 2005 abgelehnt worden. Dagegen werde Beschwerde an die Datenschutzkommission erhoben und beantragt:

"a. die Gesetzmäßig[keit] der Verweigerung der beantragten Löschung der [vom Landesgendarmeriekommando für Tirol] verarbeiteten Daten zu überprüfen,

b. festzustellen, dass der [Beschwerdeführer] durch die Verweigerung der beantragten Löschung in seinem Recht auf Löschung dieser Daten verletzt worden ist und

c. [dem Landesgendarmeriekommando für Tirol] mit Bescheid die Löschung dieser Daten aufzutragen,

d. über sämtliche Anträge (a. bis c.) bescheidmäßig abzusprechen."

Mit einem weiteren an die Datenschutzkommission gerichteten Schreiben des Beschwerdeführers vom 11. Juli 2005 ergänzte er diese Anträge wie folgt:

"Aus den [...] Auszügen aus dem PAD [= Protokollier-, Anzeigen- und Datensystem] musste der Beschwerdeführer feststellen, dass als Delikt dort 'Sexueller Missbrauch von Unmündigen' angegeben ist. Die betreffenden Ermittlungen erfolgten jedoch nicht wegen §207 StGB, sondern wegen §209 StGB. Alle betroffenen Jugendlichen waren über 14 Jahre alt. Die Eintragung ist daher jedenfalls auf das (seinerzeitige) Delikt des §209 StGB richtig zu stellen, was [dem Landesgendarmeriekommando für Tirol] aufzutragen, - als Eventualbegehren für den Fall der Ablehnung des Löschungsbegehrens - ausdrücklich beantragt wird."

2. Mit dem im verfassungsgerichtlichen Verfahren bekämpften Bescheid der Datenschutzkommission vom 11. Oktober 2005 wurde über die an diese Behörde gerichtete Beschwerde wie folgt entschieden:

"1. Der Beschwerde wird im Umfang des Eventualbegehrens stattgegeben und festgestellt, dass der Beschwerdegegner den Beschwerdeführer durch die nicht erfolgte Richtigstellung des Betreffs 'sexueller Missbrauch von Unmündigen' in den Protokolldaten in Verbindung mit der Geschäftszahl [...], Ordnungszahl 1, des Bezirkspolizeikommandos Kufstein (vormals: Gendarmerieposten Kufstein) in der Datenanwendung 'Protokollier-, Anzeigen- und Datensystem' (kurz: PAD)[...] in seinem Recht auf Richtigstellung personenbezogener Daten verletzt hat.

2. Hinsichtlich aller übrigen Anträge, nämlich auf 'Löschung' (Vernichtung) des Papierakts [...], auf Löschung der mit dem Akt im Zusammenhang stehenden personenbezogenen Daten des Beschwerdeführers im PAD und auf Erteilung eines darauf gerichteten Leistungsauftrages, wird die Beschwerde abgewiesen."

Begründend führt die Datenschutzkommission dazu im Wesentlichen Folgendes aus:

"Für die Datenschutzkommission steht folgender Sachverhalt fest:

Gegen den Beschwerdeführer wurden vom 1.9.2001 (Selbstanzeige eines beteiligten Jugendlichen) bis zum 2. Oktober 2001 (vermutliches Datum der abschließenden Straf- oder Vollanzeige) Ermittlungen im Dienste der Strafjustiz wegen des Verdachts des Vergehens nach dem damals noch in Geltung stehenden §209 StGB idF vor BGBl. I Nr.134/2002 (und auch wegen des Verdachts des Verbrechens der Geschlechtlichen Nötigung, §202 StGB) durchgeführt. Der Beschwerdeführer soll dabei verschiedene männliche Jugendliche zu sexuellen Handlungen verleitet bzw. genötigt haben. Auf dieses Ermittlungsverfahren und den Beschwerdeführer (sowie andere Beteiligte) bezogene Daten wurden im 'Protokollier-, Anzeigen- und Datensystem' (kurz: PAD) von Beamten des Gendarmeriepostens Kufstein für Zwecke der Verfahrensdokumentation und der Aktenverwaltung verarbeitet, nämlich folgende Stammdaten in Verbindung mit der Geschäftszahl [...], Ordnungszahl 1:

Familienname: [...]

Vorname: [...]

Geschlecht: männlich

Geburtsdatum: [...]

Geb.Ort/Bezirk: [...]

Geb.Bundesl./Staat: [...]

Personen-Rolle: Verdächtiger

Weiters folgende, auf den Tatverdacht bezogene Protokolldaten in Verbindung mit der Geschäftszahl [...], Ordnungszahl 1:

Schlagwort/Delikt: Sexueller Missbrauch von Unmündigen (Schreibweise laut Ausdruck)

Geklärt: [mit Hakerl markiert]

Referat/Gruppe: Gendarmerieposten Kufstein

Zur Ordnungszahl 2 desselben Aktes (derselben GZ) finden sich folgende auf den Beschwerdeführer bezogene Protokolldaten:

Schlagwort/Delikt: Gleichgeschlechtliche Unzucht mit Personen unter achtzehn [Anmerkung: Großschreibung im Ausdruck]

Schlagwortinfo: Mittäter

Geklärt: [mit Hakerl markiert]

Referat/Gruppe: Gendarmerieposten Kufstein

Weitere Protokolldaten (Ordnungszahlen) beziehen sich auf Erledigungen im Zusammenhang mit Datenverarbeitung für die Zentrale Informationssammlung der Sicherheitsbehörden (EKIS), Aktenvorlagen, Verständigungen oder Vorgänge, die außer einem Nicht-Bezug zum strafrechtlichen Tatverdacht keine eindeutige Zuordnung erlauben. Weiters sind Verknüpfungen zu anderen Personendatensätzen (im Beschwerdefall: den Datensätzen von weiteren Verdächtigen und Auskunftspersonen) hergestellt und Daten der mit der Bearbeitung der Sache betrauten Bediensteten verarbeitet.

Die Ergebnisse des Ermittlungsverfahrens selbst, der traditionell so genannte 'Kopienakt' zu den durchgeführten Vorerhebungen (das 'Original' findet im Wege der Staatsanwaltschaft regelmäßig Eingang in den entsprechenden Gerichtsakt), GZ [...], wird weiterhin beim Gendarmerieposten Kufstein, nunmehr Polizeiinspektion Kufstein, aufbewahrt. Bei diesem Akt handelt es sich um eine Sammlung von Urkunden unter einer bestimmten Grundzahl, er enthält [iW die Strafanzeige gegen den Beschwerdeführer, dessen Personalblatt sowie diverse Niederschriften über Einvernahmen].

Beim Inhalt dieses Kopienakts handelt es sich demnach im Wesentlichen um Fließtext, der keine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den manuellen Datenträgern oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind. Darüber hinaus sind die im Kopienakt enthaltenen Daten nicht nach bestimmten Kriterien zugänglich, das heißt, es bestehen keine vereinfachten Möglichkeiten der inhaltlichen Erschließung, beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme. Die einzelnen Aktenstücke weisen keine zwingende chronologische Sortierung auf; die Angaben, die etwa der Beschwerdeführer als Verdächtiger, der weitere Verdächtige oder die Geschädigten und die Auskunftspersonen zu bestimmten anderen Personen gemacht haben, können im Kopienakt, ohne ihn zu lesen oder zumindest durchzublättern, nicht vereinfacht erschlossen werden.

[...]

[R]echtliche Beurteilung

[...]

a) Akt [...] des damaligen Gendarmeriepostens Kufstein:

Die Datenschutzkommission geht in ständiger Spruchpraxis davon aus, dass kein Recht auf Löschung und Richtigstellung von Daten in Verwaltungsakten, die nicht auf Grund besonderer Gestaltung (Strukturierung) die Qualität einer Datei gemäß §4 Z6 DSG 2000 haben, besteht.

Mit Erkenntnis vom 21. Oktober 2004, Zl. 2004/06/0086, hat der Verwaltungsgerichtshof diese Rechtsauffassung bestätigt und dazu folgenden Rechtssatz veröffentlicht:

'Zur Bestimmung der Begriffe 'strukturierte Datei' und 'Datei' tritt der VwGH den Erwägungen des OGH in der Entscheidung vom 28. Juni 2000, 6 Ob 148/00h, bei: Die Struktur einer manuellen Datei als einer strukturierten Sammlung personenbezogener Daten im Sinne des §1 Abs3 DSG 2000 iVm Art3 Abs1 der Richtlinie 95/46/EG ist dann zu bejahen, wenn sie - im Gegensatz zu einem Fließtext - eine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den manuellen Datenträgern oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind. Darüber hinaus müssen die Daten nach bestimmten Kriterien zugänglich sein, d.h. es bestehen vereinfachte Möglichkeiten der inhaltlichen Erschließung, beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme. Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen, wie dies auch Erwägungsgrund 27 der genannten Richtlinie zum Ausdruck bringt. Das Vorliegen einer manuellen Datei im Sinne des §1 Abs3 DSG 2000 setzt daher voraus, dass sie sich durch den in der zitierten Entscheidung des OGH erwähnten bestimmten 'Organisationsgrad' der 'Akten' auszeichnen muss, um von einer Strukturierung im Sinne des DSG 2000 sprechen zu können, der aber beim vorliegenden 'Papierakt' nicht gegeben ist.'

Im Sinne der zitierten Rechtsmeinung des Verwaltungsgerichtshofs wurden Feststellungen zur Struktur des Aktes GZ [...] getroffen. Diese lassen nur den Schluss zu, dass kein Akt vorliegt, der die Eigenschaften einer Datei im Sinne der zitierten Gesetzesbestimmung aufweist. Auch für die vom Beschwerdeführer vertretene Theorie, das automationsunterstützt geführte Aktenverwaltungs- und Dokumentationssystem PAD und die verwalteten Akten würden eine einheitliche Datei bilden, kann die Datenschutzkommission keine Grundlage im geltenden Datenschutzrecht erkennen.

Da der Akt GZ [...] demnach keine Datei ist, unterliegt er auch nicht dem Löschungsrecht, die Beschwerde war daher hinsichtlich der begehrten 'Löschung' dieses Papieraktes abzuweisen.

b) Daten des Beschwerdeführers in der Datenanwendung PAD:

Kanzleiinformationssystem PAD ist Datenanwendung gemäß §13 Abs2 SPG

Abweichend von den bisher entschiedenen Beschwerdefällen [...] wurden die zur Aktenverwaltung benötigten Daten hier nicht in manuellen Dateien (wie Indexkartei und Protokollbuch)[,] sondern mit Hilfe einer automationsunterstützt geführten Datenanwendung, dem 'Protokollier-, Anzeigen- und Datensystem' (kurz: PAD), verarbeitet. Solche Daten unterliegen grundsätzlich dem Löschungs- bzw. Berichtigungsrecht gemäß §27 DSG 2000.

Frage des zuständigen Auftraggebers

Gemäß §13 Abs2 SPG kommen als Auftraggeber für Datenanwendungen für Kanzlei- und Dokumentationszwecke der Bundesminister für Inneres, die Sicherheitsdirektionen, Bundespolizeidirektionen und Polizeikommanden in Frage. Zu [L]etzteren zählen gem. §10 Abs1 SPG seit 1. Juli 2005 die Landespolizeikommanden und die Bezirks- und Stadtpolizeikommanden mit deren Polizeiinspektionen. In §10 Abs6 SPG idF BGBl. I Nr. 151/2004 wird bestimmt, dass, soweit für den inneren Dienst automationsunterstützt Daten verwendet werden, das jeweilige Polizeikommando Auftraggeber (§4 Z4 DSG 2000) ist. Die Materialien (643 BlgNR XXII GP, 9) sprechen in diesem Zusammenhang davon, dass diese Art der Datenverwendung nicht 'Selbstzweck'[,] sondern ein 'an polizeiliche Aufgabenerfüllung gekoppeltes Nebenprodukt ist'. Demnach ist Auftraggeber von Datenanwendungen für Kanzlei- und Dokumentationszwecke jene Dienststelle der Exekutive, in deren örtlichen und sachlichen Wirkungsbereich die jeweilige Amtshandlung durchgeführt worden bzw. das jeweilige Dienststück zu verwalten ist. Letzteres trifft seit dem In-Kraft-Treten der entsprechenden Bestimmungen der SPG-Novelle BGBl. I Nr. 151/2004 im vorliegenden Fall nur auf das Bezirkspolizeikommando (vormals: Bezirksgendarmeriekommando) Kufstein zu. Auch die Auszüge aus dem PAD lassen die datenschutzrechtliche Auftraggebereigenschaft dieses Polizeikommandos erkennen (oberer Balken des PAD-Auszuges).

Dokumentationszweck schließt Löschung aus

Gemäß §27 Abs3 DSG 2000 schließt der Dokumentationszweck einer Datenanwendung die Richtigstellung oder Löschung von Daten aus. Dies gilt, bezogen auf das PAD, sicher so weit, als eine völlige Löschung der Daten eines Geschäftsfalls solange unzulässig ist, als die dazu gehörigen Akten noch aufbewahrt werden und daher auffindbar sein müssen. An dieser Stelle ist darauf zu verweisen, dass die Dokumentation behördlichen Handelns nicht allein, wie der Beschwerdeführer in seinen Ausführungen nahe legt, dem Ziel dient, den oder die Betroffenen - wie der Beschwerdeführer dies nennt - zu 'stigmatisieren'. Ohne aktenmäßige Dokumentation ist keine Überprüfung des Behördenhandelns auf seine Rechtmäßigkeit (bis hin zu den Höchstgerichten und internationalen Gerichten und Tribunalen) möglich, ist die Geltendmachung von Schadenersatzansprüchen nach Amtshaftungsrecht zumindest sehr erschwert[...] und besteht ganz allgemein im Falle öffentlicher Diskussion um eine Amtshandlung die Gefahr, dass 'gelöschte' Akten als Indiz für Vertuschung und Irreführung durch die Behörden ausgelegt werden.

Richtigstellung zulässig und geboten

Die Richtigstellung von Daten des PAD ist allerdings zulässig, so weit dies mit dem Dokumentationszweck vereinbar ist. Die Materialien zu §13 Abs2 SPG idF BGBl. I Nr. 151/2004 (643 BlgNR XXII GP, a.a.O.) führen sogar unter Hinweis auf Bescheide der Datenschutzkommission ausdrücklich aus: die 'Sicherheitsbehörden und Polizeikommanden sind gemäß §27 Abs1 und 3 DSG 2000 von Amts wegen zur Richtigstellung der auf Grundlage dieser gesetzlichen Ermächtigung verarbeiteten Daten verpflichtet, etwa infolge einer Verständigung gemäß §83a StPO'.

Der vom Beschwerdeführer gestellte Eventualantrag auf Richtigstellung der Betreffdaten ist daher berechtigt. Auch die Betreffdaten einer Datenanwendung gemäß §13 Abs2 SPG haben dem Grundsatz der Datenrichtigkeit gemäß §6 Abs1 Z4 DSG 2000 zu entsprechen. Dem wird dadurch zu entsprechen sein, dass der Betreff des protokollierten 'Vorgangs' (vgl. §13 Abs2 SPG), insbesondere bei OZ 1 der PAD-Dokumentation des Aktes GZ [...], dahin gehend richtig zu stellen sein wird, dass statt des unrichtigen Betreffs 'sexueller Missbrauch von Unmündigen' der richtige Betreff 'Gleichgeschlechtliche Unzucht mit Personen unter 18 Jahren' mit einem entsprechenden Hinweis auf das Außer-Kraft-Treten des §209 StGB zu verarbeiten sein wird. Dies schon allein deswegen, als Unmündige im Sinne des Straf- wie des Zivilrechts (§21 Abs2 ABGB, §1 Z.1 Jugendgerichtsgesetz 1988 [JGG], BGBl. Nr. 599/1988 idF BGBl. I Nr. 19/2001) immer Personen unter vierzehn Jahren sind[...] und gegen den Beschwerdeführer, der nur zu Jugendlichen sexuelle Kontakte geknüpft hatte, gar nicht wegen des Delikts nach §207 StGB (= Sexueller Missbrauch von Unmündigen) ermittelt wurde.

[K]ein Leistungsauftrag durch Datenschutzkommission möglich

Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses Bundesgesetzes durch einen Auftraggeber des öffentlichen Bereichs festgestellt hat - wie dies im Gegenstande der Fall ist -, so hat dieser mit den ihm zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen.

Daraus ergibt sich, dass gegenüber Auftraggebern des öffentlichen Bereichs eine Rechtsverletzung lediglich festzustellen ist, wobei diese Feststellung eine unmittelbare gesetzliche Verpflichtung zur Herstellung des der Recht[s]anschauung der Datenschutzkommission entsprechenden Zustandes bewirkt. [...]

Dem entsprechend war das Leistungsbegehren des Beschwerdeführers abzuweisen und waren die spruchgemäßen Feststellungen zu treffen."

3. In der gegen diesen Bescheid der Datenschutzkommission, "mit Ausnahme des Spruchpunktes 1. hinsichtlich der Richtigstellung des PAD", an den Verfassungsgerichtshof erhobenen Beschwerde gemäß Art144 B-VG wird die Verletzung in den verfassungsgesetzlich gewährleisteten Rechten auf Löschung unzulässiger Weise verarbeiteter personbezogener Daten (§1 Abs3 Z2 DSG 2000), auf Achtung des Privatlebens, auf ein Verfahren vor dem gesetzlichen Richter, auf Gleichbehandlung und auf eine wirksame Beschwerde behauptet und die kostenpflichtige Aufhebung des im oben genannten Umfang bekämpften Bescheides begehrt.

Begründend wird dazu im Wesentlichen Folgendes ausgeführt:

"A. PAD-Eintragungen

        Die bB [= belangte Behörde] weist den Antrag des Bf

[= Beschwerdeführer] auf Löschung der Daten mit dem Hinweis ab, dass

sie in ihrer bisherigen Judikatur dargelegt habe, dass sowohl die Eintragung im Protokollbuch als auch die Führung der Indexkartei, und so auch die Eintragungen im PAD, lediglich einen behördeninternen Dokumentationszweck, und zwar die reine aktenmäßige Protokollierung eines unwidersprochen stattgefundenen Verwaltungshandelns[,] erfüllen. [...]

[E]ine kanzleimäßige und damit 'formale' Dokumentation des Verwaltungshandelns [sei] datenschutzrechtlich nicht unzulässig [, daher lägen] die Voraussetzungen zur Löschung der Daten nicht vor

[...].

Diese Begründung ist unverständlich.

Der Bf hat nie behauptet, dass 'eine kanzleimäßige und damit 'formale' Dokumentation des Verwaltungshandelns datenschutzrechtlich unzulässig' wäre. Selbstverständlich ist eine solche Dokumentation zulässig.

Aber auch die bB selbst erkennt ausdrücklich an, dass Daten nur solange verwendet werden dürfen als sie noch benötigt werden [...]. Werden die dokumentierten Daten nicht mehr benötigt, so trifft dies auch auf die Dokumentationsdaten zu, die dann ebenfalls zu löschen sind. Der Dokumentationszweck einer Datenanwendung schlie[ß]t eine Löschung ja nicht absolut aus, sondern nur 'soweit [er] nachträgliche Änderungen nicht zuläßt' (§27 Abs3 DSG). Werden die dokumentierten Daten nicht mehr benötigt, so lässt der Dokumentationszweck die Löschung dann eben zu. Eine andere Interpretation der einfachgesetzlichen Bestimmung des §27 (3) DSG wäre mit den verfassungsgesetzlich gewährleisteten Rechten gem. §1 Abs1, 2 DSG und Art8 EMRK unvereinbar.

Die den Bf betreffenden Daten werden nicht mehr benötigt.

Der Bf wurde, wie der EGMR bereits festgestellt hat, durch die polizeilichen Ermittlungen in seinen Grundrechten nach der EMRK[...] und damit auch in verfassungsgesetzlich gewährleisteten Rechten verletzt.

Erfolgt diese Löschung nicht, so verletzt dies den Bf in seinen verfassungsgesetzlich gewährleisteten Rechten gem. §1 DSG und Art8 EMRK [...].

Die Ansicht, da[ss] die Weiterverarbeitung der Daten notwendig sei (wohl für allfällige künftige gerichtliche Vorerhebungen; wofür sonst?; Dokumentation ist ja kein Selbstzweck), ist mit den verfassungsgesetzlich gewährleisteten Rechten des Bf unvereinbar (§1 DSG 2000, Art6 (2), 8, 14 EMRK; Art7 B-VG, Art2 StGG), darf der Bf doch nicht lediglich deshalb gegenüber anderen Staatsbürgern, die (durch Vorrätighalten seiner Daten für allfällige künftige Strafverfahren, in denen diese Daten dann zu seinem Nachteil Verwendung finden) benachteiligt werden, weil er - anders als die anderen Bürger - das Pech hatte, in Verletzung seiner Grundrechte Objekt polizeilicher Ermittlungen zu werden [...].

Werden die Daten nicht mehr benötigt, so sind die Daten zu löschen:

        'Über die Verpflichtung zur Aktualisierung der ... Daten

hinaus besteht aber gemäß §63 Abs1 SPG auch eine Verpflichtung der

Sicherheitsbehörden zur Löschung der entgegen den Bestimmungen des

SPG ermittelten und gespeicherten Daten. ... §63 Absl SPG sieht vor,

dass personenbezogene Daten zu löschen sind, sobald sie für die

Erfüllung der Aufgabe, für die sie verwendet worden sind, nicht mehr

benötigt werden, es sei denn, für ihre Löschung wäre eine besondere

Regelung getroffen worden. ... Daher besteht ... dann die

Verpflichtung zur Löschung der ... Daten, wenn die Speicherung als im

Dienste der Strafrechtspflege nicht mehr erforderlich anzusehen ist.'

(VfGH 16.03.2001, G94/00)

Diese Löschungsverpflichtung ist auch durch die Notwendigkeit der Auffindbarkeit des Kopienaktes der sicherheitsbehördlichen Vorerhebungen [...] nicht ausgeschlossen, weil der Kopienakt selbst nicht mehr benötigt wird und daher zu vernichten (oder zumindest zu anonymisieren) ist (§63 SPG; §27 DSG 2000, §1 Abs3 Z. 2 DSG 2000). Ist schon die weitere (unanonymisierte) Aufbewahrung des Kopienaktes über die sicherheitsbehördlichen Vorerhebungen unzulässig, so gilt dies [umso mehr] für die Protokolldaten (hier im PAD), die der Auffindung dieses Kopienaktes dienen, zumal berechtigten Belangen der Kriminalstatistik auch durch anonymisierte Dokumentation der (bezüglichen) Aktenvorgänge Genüge getan werden kann.

Was die 'Nachvollziehbarkeit der Rechtmäßigkeit behördlichen Handelns' betrifft, so setzt sich dieser Rechtfertigungsversuch der bB [...] in Gegensatz zur gesetzlichen Anordnung der §§63 SPG und 6 Abs1 Z. 5, 7 Abs3 DSG 2000. Mit der von der bB [...] vorgebrachten Begründung wäre jede Löschung in diesen Fällen ausgeschlossen [...]. Darüber hinaus ist die Nachvollziehbarkeit auch nach Löschung der Personenbezogenheit der Daten möglich. Die Rechtmäßigkeit behördlichen Handelns, etwa einer Festnahme, hängt ja nicht vom Namen des Betroffenen[,] sondern von den Umständen des behördlichen Handelns (Tatverdacht, Haftgründe etc.) ab, die auch bei Anonymisierung des Aktes weiterhin dokumentiert bleiben.

Schließlich ist der Name des Bf auch für die 'Nachvollziehbarkeit des Aktenlaufes' und 'die Wiederauffindung des Kopienaktes' mittels der Protokolle nicht erforderlich. Der Name des Bf tut doch in diesem Zusammenhang nichts zur Sache. Akten können etwa auch anhand der Aktenzahl aufgefunden werden, Aktenläufe auch so nachvollzogen werden. Im [Ü]brigen ist jedenfalls für die Sicherstellung dieser Zwecke die Angabe (auch) des Deliktes, dessen der Bf verdächtigt wurde, im Protokoll nicht erforderlich. Zur Sicherstellung der Auffindbarkeit und zur Nachvollziehung des Aktenlaufes genügt die Aktenzahl vollauf. Wenn das LGK Tirol die Akten (primär) nach Delikten oder Namen und nicht nach Aktenzahl ordnet und aufbewahrt, so ist dies als reine Frage der internen Organisation irrelevant, zumal angesichts der Verpflichtung zur Anwendung des gelindesten Mittels (§1 DSG 2000, Art8 EMRK) und der Anweisung des BMI, da[ss] sich der Sachverhalt (Akteninhalt) (damit etwa auch der Verdachtsgrund) im [E]inzelnen erst bei Durchsicht des Aktes und nicht schon bei Einsicht in das Protokoll ergeben solle und die Dichte der verwendeten Daten auf den Zweck der Protokollierung zu beschränken sei [...].

Im [Ü]brigen kann auch allfälligen berechtigten Belangen der Kriminalstatistik durch anonymisierte Dokumentation der (bezüglichen) Aktenvorgänge Genüge getan werden kann.

Sollte der zur Begründung herangezogene Akt nicht nur den Bf betreffen, sondern auch die Dokumentation sicherheitsbehördlicher Ermittlungen gegen andere Personen beinhalten, so könnte die Ansicht vertreten werden, da[ss] die darin enthaltenen personenbezogenen Daten des Bf (etwa seine Einvernahmeprotokolle) für die Evidenthaltung dieser Dokumentation hinsichtlich der anderen Personen weiter benötigt werden[...] und daher der Akt weder als [G]anzes vernichtet noch hinsichtlich des Bf anonymisiert werden kann. Ob dies zutrifft, wäre allerdings einer genauen Prüfung zu unterziehen, und scheidet vor allem dann aus, wenn das Verfahren gegen sämtliche Verdächtigte mit einer rechtskräftigen Einstellung oder einem rechtskräftigen Freispruch endete, was zu prüfen wäre. Denn dann darf an der Unschuld sämtlicher betroffener Personen nicht mehr gezweifelt werden[...] und ist daher die Verarbeitung der Daten hinsichtlich aller dieser Personen nicht mehr notwendig (Judikaturnachweise oben). Diesbezügliche Feststellungen der bB fehlen jedoch völlig. Sie ignoriert diese Frage.

Selbst wenn der Verdacht hinsichtlich einzelner Betroffener aufrecht ist, was die bB infolge ihrer verfehlten Rechtsansicht nicht geprüft hat, und der Papierakt aus diesem Grund weder vernichtet noch hinsichtlich des Bf anonymisiert werden könnte, ist nicht zu ersehen, warum der Akt dann weiterhin nach dem Namen des (unschuldigen) Bf auffindbar sein sollte. Für die Dokumentationszwecke hinsichtlich der weiterhin verdächtigen (oder gar verurteilten) Personen genügt doch wohl die Auffindbarkeit nach deren Namen auf Grund der sie betreffenden Indexblätter ('Steckkarten') bzw. Protokolleintragungen.

Für allfällige Wiederaufnahmeverfahren[...] genügt (ebenso wie für die 'Nachvollziehbarkeit der Rechtmäßigkeit behördlichen Handelns' oder 'die Geltendmachung von Schadenersatzansprüchen' sowie für die Entkräftung des Vorwurfs der Vertuschung [...]) der Gerichtsakt völlig. Der beschwerdegegenständliche polizeiliche Papierakt ist ja nur ein bei der Sicherheitsbehörde verbliebenes Duplikat.

Der Bf wurde durch die Verweigerung der Löschung durch das LGK Tirol in seinen verfassungsgesetzlich gewährleisteten Rechten (gem. §1 Abs3 Z.2 DSG, Art8 EMRK; Art2 StGG; Art7 B-VG) verletzt, woraus folgt, dass die bB die auf Löschung gerichtete Beschwerde nicht abweisen und lediglich die Richtigstellung der Deliktsbezeichnung anordnen hätte dürfen, sondern die Löschung anzuordnen gehabt hätte. Dadurch dass sie dies nicht getan und damit im Effekt die Zulässigkeit der weiteren Verarbeitung der Daten bestätigt hat, hat sie selbst diese Rechte verletzt (VfGH 16.03.2001, G94/00).

B. Kopienakt

1. Recht auf Löschung (§1 Abs3 Z. 2 DSG, Art8 EMRK)

Die Ausführungen der bB zum 'Datei'begriff des §1 Abs 3 DSG gehen schon deshalb ins Leere, weil die in den Kopienakten und im PAD enthaltenen personenbezogenen Daten als Gesamtheit zu sehen sind. Die Protokolldaten dienen nach den Ausführungen der bB ja der Wiederauffindung der Kopienakten. Damit handelt es sich aber bei den personenbezogenen Daten (auch) in den Kopienakten um (Teile) eine(r) strukturierte(n) Sammlung, die (durch die Steckkarten und Protokolle) nach mindestens einem Kriterium (hier etwa dem Namen des Bf) zugänglich sind. (§4 Z. 6 DSG). Die von der bB vorgenommene Trennung der personenbezogenen Daten im Kopienakt einerseits und den Protokollen und Steckkarten andererseits ist künstlich und entspricht nicht dem Schutzzweck des Gesetzes. Im [Ü]brigen kann die Verfassungsbestimmung des §1 Abs3 DSG nicht anhand der einfachgesetzlichen, niederrangigeren Bestimmung des §4 Z. 6 DSG ausgelegt werden, würde doch dann der einfache Gesetzgeber den Inhalt von Verfassungsnormen bestimmen. Der Begriff 'Datei' in §1 Abs3 DSG ist verfassungsautonom am Prinzip der Grundrechtseffektivität auszulegen und umfasst daher auch Kopienakte.

Darüber hinaus hat sich der Bf für seinen verfassungsgesetzlich gewährleisteten Anspruch auf Löschung nicht nur auf §1 (3) Z. 2 DSG berufen[,] sondern vor allem auch auf Art8 EMRK, welche Verfassungsbestimmung jedenfalls einen verfassungsgesetzlich gewährleisteten Anspruch auf Löschung (auch) unstrukturiert (konventionell) verarbeiteter Daten verleiht (vgl. EGMR: Amann vs. CH 16.02.2000, par. 78ff; Rotaru vs. ROM [GC], 04.05.2000). Auch die einfachgesetzlichen Bestimmungen des §63 SPG und der §§6 Abs1 Z. 2 und Z. 5 DSG sind nicht auf personenbezogene Daten in Dateien beschränkt.

Der Kopienakt wird nicht mehr benötigt [...].

Der Bf wurde durch die Verweigerung der Löschung (Skartierung, Anonymisierung) durch das LGK Tirol in seinen verfassungsgesetzlich gewährleisteten Rechten (gem. §1 Abs3 Z. 2 DSG, Art8 EMRK; Art2 StGG; Art7 B-VG) verletzt, woraus folgt, dass die bB die auf Löschung gerichtete Beschwerde nicht abweisen hätte dürfen, sondern die Löschung anzuordnen gehabt hätte. Dadurch dass sie dies nicht getan und damit im Effekt die Zulässigkeit der weiteren Verarbeitung der Daten bestätigt hat, hat sie selbst diese Rechte verletzt (VfGH 16.03.2001, G94/00).

Der Bf übersieht nicht, dass der VwGH die Ausführungen der bB zum Dateibegriff des DSG teilt (21.10.2004, 2004/06/0086). Der VwGH hat jedoch in dieser Entscheidung ausdrücklich betont, dass sich seine Ausführungen lediglich auf einfachgesetzliche Bestimmungen beziehen:

'Soweit die Beschwerdeausführungen dahin zu verstehen sein sollten, dass sich der Beschwerdeführer durch den angefochtenen Bescheid auch in verfassungsgesetzlich gewährleisteten Rechten als verletzt erachte, fiele dies in die Zuständigkeit des Verfassungsgerichtshofes und nicht des Verwaltungsgerichtshofes; im verwaltungsgerichtlichen Verfahren ist daher hierauf nicht weiter einzugehen. (VwGH 21.10.2004, 2004/06/0086)

Zu den hier zu klärenden verfassungsrechtlichen Fragen vermag das Erkenntnis des VwGH daher nichts beizutragen.

2. Recht auf eine wirksame Beschwerde (Art13 EMRK)

Das rechtsstaatliche Prinzip verlangt, dass alle Akte staatlicher Organe im Gesetz und letzten Endes in der Verfassung begründet sein müssen und ein effizientes System von Rechtsschutzeinrichtungen Gewähr dafür bietet, dass nur solche Akte in ihrer rechtlichen Existenz als dauernd gesichert erscheinen, die in Übereinstimmung mit den sie bedingenden Akten höherer Stufe gesetzt werden (VfGH 12.12.2002, G151/02). Ein Rechtsschutzsuchender darf nicht generell einseitig mit den Folgen einer potentiell rechtswidrigen Entscheidung belastet werden (ebendort).

Genau das bewirkte aber die Rechtsansicht der bB.

Gem. dieser Rechtsansicht hat der Bf keinerlei Möglichkeit, [gemeint wohl: gegen] eine Rechtswidrigkeit der weiteren Verarbeitung/Evidenthaltung des Kopienaktes vorzugehen, die Rechtmäßigkeit überprüfen zu lassen.

Da die Verweigerung der Löschung seitens des LGK Tirol auch verfassungsgesetzlich gewährleistete subjektive Rechte unmittelbar verletzte, die sich aus der EMRK ergeben (Art8), muss dem Bf auch gem. Art13 EMRK eine wirksame Beschwerde bei einer nationalen Instanz eingeräumt sein.

Der bekämpfte Bescheid verletzte den Bf daher auch in seinem Recht auf eine wirksame Beschwerde gem. Art13 EMRK."

4. Die Datenschutzkommission als im verfassungsgerichtlichen Verfahren belangte Behörde legte die Verwaltungsakten vor und erstattete eine Gegenschrift, in der sie dem Beschwerdevorbringen entgegentritt und beantragt, die Behandlung der Beschwerde abzulehnen, in eventu die Beschwerde abzuweisen. Begründend führt sie dazu ua. Folgendes aus:

"Die Datenschutzkommission stützte sich im abweisenden Spruchteil auf §13 Abs2 SPG in der Fassung BGBl. I Nr 151/2004. Diese Bestimmung legt fest, dass als Auftraggeber (arg 'sind ermächtigt, sich....der automationsunterstützten Datenverarbeitung zu bedienen') für Datenanwendungen, die der automationsunterstützten Dokumentation von Amtshandlungen und der Verwaltung von Dienststücken dienen, nur folgende Behörden bzw. Organisationseinheiten in Betracht kommen: der Bundesminister für Inneres, die Sicherheitsdirektionen, die Bundespolizeidirektionen und die Polizeikommanden. Die Bezirksverwaltungsbehörden (Bezirkshauptmannschaften und Stadtmagistrate) werden, auch wenn sie in ihrer Funktion als Sicherheitsbehörden gemäß §9 SPG tätig werden, von dieser Bestimmung nicht erfasst. §13 Abs2 SPG in der obzit. Fassung legt weiters fest, an wen sich der Betroffene mit Auskunfts-, Richtigstellungs- und Löschungsbegehren wenden und wen er gemäß §31 DSG 2000 vor der Datenschutzkommission belangen kann (arg §31 Abs2 2. Halbsatz DSG 2000: 'gegen einen Auftraggeber des öffentlichen Bereichs', Unterstreichung durch die belangte Behörde).

Durch BGBl. I Nr 151/2004 hat der Gesetzgeber hinsichtlich der Führung des PAD in §13 Abs2 SPG die möglichen Auftraggeber abschließend festgelegt, sodass die Frage, ob die Führung dieses Systems dem inneren Dienst der Sicherheitsbehörden zuzuordnen ist oder nicht, aus datenschutzrechtlicher Sicht nicht mehr relevant sein kann. Die datenschutzrechtliche Zuständigkeit als Auftraggeber im Bereich der Führung des PAD richtet sich ausschließlich danach, welchem Polizeikommando (§10 Abs1 SPG idF BGBl. I Nr 151/2004) die Einheit untersteht, die das Verfahren, für dessen Zwecke der Akt angelegt worden ist, tatsächlich geführt hat. Wurde, wie im Beschwerdefall, von einer Polizeiinspektion (damals noch: einem Gendarmerieposten) ermittelt, so ist, wie im angefochtenen Bescheid dargelegt, das nächst höhere Kommando (das ist nunmehr gemäß §10 Abs1 SPG idF BGBl. I Nr 151/2004 im Fall Kufstein das Bezirkspolizeikommando) als Auftraggeber für die gemäß §13 Abs2 SPG idF BGBl. I Nr 151/2004 verarbeiteten Daten verantwortlich. Durch diese ausdrückliche Festlegung der Auftraggebereigenschaft im Zusammenhang mit der Erfassung von Protokolldaten sowie des Umfanges der erlaubten Datenverwendung wurde eine von §10 Abs6 SPG und dem in dieser Norm genannten Tatbestandsmerkmal 'inneren Dienst' unabhängige spezielle Regelung in Bezug auf die Dokumentation der Tätigkeit der in §13 Abs2 SPG genannten Exekutivorgane geschaffen.

Auf Grund der durch BGBl. I Nr. 151/2004 geänderten Rechtslage kann daher auch die zu den früheren manuellen Dateien für Zwecke der Aktenverwaltung der Exekutive (Indexkarteien, Protokollbücher) entwickelte Rechtsprechung des Verfassungsgerichtshofes (vgl. zB Erk. vom 30. November 2005, Zl. B1158/03-11), die die diesbezügliche Auftraggebereigenschaft unter Hinweis auf die Nichtzuordnung bestimmter Protokolldaten (konkreter Name mit entsprechenden weiteren Angaben zur Sache) dem sog. 'inneren Dienst' der Sicherheitsbehörde zuweist, auf den vorliegenden Beschwerdefall nicht mehr angewendet werden. Insbesondere ist darauf zu verweisen, dass es bei Anwendung von §13 Abs2 SPG idF BGBl. I Nr 151/2004 nicht auf die Beantwortung der Frage ankommen kann, was zum 'inneren Dienst' der Exekutive gehört oder nicht.

Da die belangte Behörde auf der Grundlage des §13 Abs2 SPG in der obzit. Fassung als datenschutzrechtlichen Auftraggeber das Bezirkspolizeikommando Kufstein festgestellt und die vorgenommene Auslegung der relevanten Gesetzesbestimmungen wohl überlegt und begründet vorgenommen hat, kann auch diesbezüglich nicht von einem willkürlichen Verhalten der belangten Behörde gesprochen werden.

[...]

Der Beschwerdeführer rügt in seiner Beschwerdeschrift auch die Abweisung seiner Beschwerde gegen die Nichtlöschung seiner Daten aus dem PAD. Die Abweisung hat die belangte Behörde auf §27 DSG 2000 gestützt, welche Bestimmung die belangte Behörde als die zur Geltendmachung des verfassungsgesetzlich gewährleisteten Löschungsrechts gemäß §1 Abs3 DSG 2000 maßgebliche einfachgesetzliche Bestimmung ansieht. §13 Abs2 SPG idF BGBl. I Nr 151/2004 ermächtigt zwar im Sinne von §1 Abs2 DSG 2000 zu Eingriffen in das Grundrecht auf Geheimhaltung durch Ermittlung und (unter anderem) Speicherung von bestimmten Daten, enthält aber keine Spezialvorschriften hinsichtlich der Löschung dieser Daten. Da der 4. Teil des SPG auf diese Datenverwendung nicht anzuwenden war (vgl. dazu den Beschluss des Verwaltungsgerichtshofs vom 24. März 2004, Zl. 98/12/0515; wonach bei Vorerhebungen gegen eine bestimmte Person im Dienste der Strafjustiz jedes Element der 'Gefahrenabwehr' oder der 'Vorbeugung von gefährlichen Angriffen' fehlt, weshalb kein Handeln in Rahmen der Sicherheitspolizei[,] sondern ein Handeln im Rahmen der Gerichtspolizei vorliegt), war §27 DSG 2000 als die für die Frage der Löschung von Protokolldaten maßgebliche Rechtsnorm heranzuziehen.

Rechtlich zulässiger Zweck der Datenverwendung gemäß §13 Abs2 SPG idF BGBl. I Nr 151/2004 im Sinne von §27 Abs1 4. Satz DSG 2000 ist die 'Dokumentation von Amtshandlungen' und die 'Verwaltung von Dienststücken' bei der Wahrnehmung gesetzlich übertragener Aufgaben der Sicherheitsorgane. Ersteres stellt auf die Pflicht, Amtshandlungen aktenmäßig (etwa auch in Form 'elektronischer Akten') zu dokumentieren[,] ab, [Z]weiteres auf die Verwaltung von Akten, insbesondere von Papierakten. Wie die belangte Behörde im angefochtenen Bescheid ausgeführt hat, besteht dieser Zweck so lange[,] als die entsprechenden Dokumentationen bzw. Dienststücke aufbewahrt werden. Eine vollständige Löschung des 'Geschäftsfalls' samt den auf den Beschwerdeführer bezogenen Daten gemäß §13 Abs2 SPG idF BGBl. I Nr 151/2004 war daher nicht geboten, da der gesetzlich geregelte Zweck noch nicht weggefallen ist."

II. Der Verfassungsgerichtshof hat über die - zulässige - Beschwerde erwogen:

1. Es ist von folgender Rechtslage auszugehen:

1.1. §13 SicherheitspolizeiG, idFd. SPG-Novelle 2005 BGBl. I 2004/151, (in Kraft getreten mit 1. Juli 2005) lautet wie folgt:

"§13. (1) Die formale Behandlung der von den Sicherheitsdirektionen, den Bundespolizeidirektionen und den Polizeikommanden (§10) zu besorgenden Geschäfte ist vom Bundesminister für Inneres jeweils in einer einheitlichen Kanzleiordnung festzulegen. Für die Bundespolizeidirektion Wien können, soweit dies wegen der Größe dieser Behörde erforderlich ist, Abweichungen von der sonst für die Bundespolizeidirektionen geltenden Kanzleiordnung vorgesehen werden.

(2) Der Bundesminister für Inneres, die Sicherheitsdirektionen, Bundespolizeidirektionen und Polizeikommanden sind ermächtigt, sich bei der Wahrnehmung gesetzlich übertragener Aufgaben für die Dokumentation von Amtshandlungen und die Verwaltung von Dienststücken der automationsunterstützten Datenverarbeitung zu bedienen. Zu diesen Zwecken dürfen sie Daten über natürliche und juristische Personen sowie Sachen verwenden, auf die sich der zu protokollierende Vorgang bezieht, wie insbesondere Datum, Zeit und Ort, Fahrzeugdaten, Betreff und Aktenzeichen samt Bearbeitungs- und Ablagevermerken sowie Namen, Rolle des Betroffenen, Geschlecht, frühere Namen, Aliasdaten, Staatsangehörigkeit, Geburtsdatum, Geburtsort, Wohnanschrift und andere zur Erreichbarkeit des Menschen dienende Daten. Soweit es erforderlich ist, dürfen auch sensible Daten (§4 Z2 DSG 2000) sowie Daten im Sinne des §8 Abs4 DSG 2000 verwendet werden. Die Auswählbarkeit von Daten aus der Gesamtmenge der gespeicherten Daten nur nach dem Namen und nach sensiblen Daten darf nicht vorgesehen sein, vielmehr ist für die Auswahl ein auf den protokollierten Sachverhalt bezogenes weiteres Datum anzugeben."

Bis zum Inkrafttreten der mit der SPG-Novelle 2005 bewirkten Änderung des §13 SicherheitspolizeiG lautete diese Bestimmung wie folgt:

"§13. Die formale Behandlung der von den Sicherheitsdirektionen, den Bundespolizeidirektionen und der Bundesgendarmerie zu besorgenden Geschäfte ist vom Bundesminister für Inneres jeweils in einer einheitlichen Kanzleiordnung festzulegen; hiebei ist auch zu bestimmen, in welchem Umfang diese formale Behandlung automationsunterstützt erfolgen darf. Für die Bundespolizeidirektion Wien können, soweit dies wegen der Größe dieser Behörde erforderlich ist, Abweichungen von der sonst für die Bundespolizeidirektionen geltenden Kanzleiordnung vorgesehen werden."

In den Gesetzesmaterialien (643 BlgNR 22. GP 9) wird zu der mit der SPG-Novelle 2005 bewirkten Änderung des §13 SicherheitspolizeiG Folgendes ausgeführt:

"Zu Z11 (§13):

Zu Abs1:

Der Bundesminister für Inneres regelt wie schon bisher die formale Behandlung der Geschäfte (der Sicherheitsverwaltung) durch die Sicherheitsdirektionen (§7 SPG), Bundespolizeidirektionen (§8 SPG) und die aufgrund der Wachkörperzusammenlegung neu eingerichteten Polizeikommanden in Kanzleiordnungen. Nicht berührt sind die Bezirksverwaltungsbehörden aufgrund ihrer organisatorischen Zugehörigkeit zu den Ländern. Die Kanzleiordnungen enthalten neben den herkömmlichen Regelungen über den Aktenlauf, die Protokollierung von Dienststücken und Skartierungsvorschriften auch Regelungen, die die Nachvollziehbarkeit der exekutiven sicherheitsbehördlichen Tätigkeit im engeren Sinn, also des 'Einschreitens' (siehe auch §31 SPG iVm §10 RLV) ermöglichen. Für die Bundespolizeidirektion Wien ist - wie schon bisher - eine Sonderregelung zulässig.

Zu Abs2:

Dieser Absatz enthält die Ermächtigung zur automationsunterstützten Datenverarbeitung für Zwecke der Dokumentation von Amtshandlungen und der Verwaltung von Dienststücken durch die bezeichneten Sicherheitsbehörden und Polizeikommanden. Die Einbeziehung des Bundesministers für Inneres ist aufgrund der unmittelbar dort angesiedelten, operativ tätigen Organisationseinheiten (z. B. das Bundeskriminalamt) im Sinne einer weitgehenden Einheitlichkeit der Dokumentation innerhalb aller Behörden und Dienststellen notwendig. Durch den Hinweis auf die Wahrnehmung der gesetzlich übertragenen Aufgaben soll klar ausgedrückt werden, dass Protokollierungstätigkeit im oben verwendeten, weiten Sinn nicht Selbstzweck, sondern an polizeiliche Aufgabenerfüllung gekoppeltes Nebenprodukt ist. Es werden jene Datenarten genannt, die aufgrund der Vielschichtigkeit polizeilichen Handelns notwendig sind, um die genannten Zwecke der Datenverarbeitung zu erfüllen. Durch die Anbringung von 'Ablagevermerken' wird gewährleistet, dass die Daten in verschiedenen, von einander getrennten Sachbereichen (z.B. Verkehrsunfälle, Anzeigen nach dem Strafgesetzbuch und strafrechtlichen Nebengesetzen, oder Anzeigen nach dem Verwaltungsstrafgesetz) gespeichert werden. Die gesonderte Auswählbarkeit von sensiblen Daten in Bezug auf eine bestimmte Person aus der Gesamtmenge der Daten ist aber nicht zulässig. Ebenso wenig darf durch bloße Angabe eines Namens ohne zusätzliches Kriterium aus der Gesamtmenge der Daten ausgewählt werden. Sensible Daten dürfen nur in eingeschränktem Maße für die im Gesetz genannten Zwecke (Auffindbarkeit von Akten und der Nachvollziehbarkeit von Amtshandlungen) verwendet werden, etwa Gesundheitsdaten bei der Dokumentation von Einsätzen zur ersten allgemeinen Hilfeleistung (§19 SPG) oder Daten zur politischen Meinung eines Menschen im Zusammenhang mit einer entsprechenden gerichtlich strafbaren Handlung nach dem Verbotsgesetz. Allfällige Übermittlungen der Daten haben nach den §§7 ff. DSG 2000 zu erfolgen. Die Sicherheitsbehörden und Polizeikommanden sind gemäß §27 Abs1 und 3 DSG 2000 von Amts wegen zur Richtigstellung der auf Grundlage dieser gesetzlichen Ermächtigung verarbeiteten Daten verpflichtet, etwa infolge einer Verständigung gemäß §83a StPO (vgl. Bescheide der DSK Zl. K120.828/002-DSK/2003 und K120.846/007-DSK/2003). Für die Löschung der Daten gilt die allgemeine Regelung des §6 Abs1 Z5 DSG 2000."

1.2. Die §§6, 7 und 27 DatenschutzG 2000 lauten - auszugsweise - wie folgt:

"2. Abschnitt

Verwendung von Daten

Grundsätze

§6. (1) Daten dürfen nur

1.

nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;

2.

für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der §§46 und 47 zulässig;

3.

soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen;

4.

so verwendet werden, daß sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind;

5.

solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben.

(2) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.

(3) [...]

(4) [...]"

"Zulässigkeit der Verwendung von Daten

§7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.

(2) [...]

(3) Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des §6 eingehalten werden."

"Recht auf Richtigstellung oder Löschung

§27. (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar

1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder

              2.              auf begründeten Antrag des Betroffenen.

Der Pflicht zur Richtigstellung nach Z1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu