Jusletter IT

Praktischer Umgang mit Auskunftsbegehren gemäß § 26 DSG 2000 für Unternehmen

  • Author: Renate Riedl
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Citation: Renate Riedl, Praktischer Umgang mit Auskunftsbegehren gemäß § 26 DSG 2000 für Unternehmen, in: Jusletter IT 11 December 2013
The article gives an overview for private controllers, especially companies, on dealing with the right of information according to Section 26 DSG 2000. In this regard, it explains the most important issues such as receipt of a request, preconditions giving rise to the right to information, the extent of information to be provided and the possibilities to limit a request.

Inhaltsverzeichnis

  • 1. Einführung
  • 2. Wer ist auskunftspflichtig?
  • 3. Einlangen eines Auskunftsbegehrens
  • 4. Feststellung der Identität des Auskunftswerbers
  • 5. Gegenstand und Umfang der Auskunftsbegehren
  • 6. Mitwirkungspflicht des Auskunftswerbers und Kostenfrage
  • 7. Spezialfall Videoüberwachung
  • 8. Weitere Spezialfälle
  • 9. Umgang mit Auskunftsersuchen von Arbeitnehmern
  • 10. Beschwerdemöglichkeit und Sanktion
  • 11. Zusammenfassung

1.

Einführung ^

[1]

Das Auskunftsrecht ist das in § 1 Abs. 3 Z 1 Datenschutzgesetz 2000 (DSG 2000)1 und in den §§ 26 ff. DSG 2000 näher ausgestaltete Recht jeder Person, Auskunft darüber zu erhalten, welche Daten über sie verarbeitet werden, wozu diese verwendet werden, woher sie stammen und wohin sie übermittelt werden. Neben dem Recht auf Löschung, Richtigstellung und Widerspruch ist das Auskunftsrecht ein Begleitrecht zum verfassungsgesetzlichen verankerten Grundrecht auf Geheimhaltung der eine Person betreffende personenbezogenen Daten.2

[2]

Das Auskunftsbegehren gemäß § 26 DSG 2000 ist die aktive Möglichkeit für jede Person, Informationen über die Datenverwendung zu erhalten und ist damit der erste wichtige Schritt, Rechte wahren zu können. Erst wenn jemand weiß, welche Daten überhaupt verarbeitet werden, können andere Betroffenenrechte wie das Recht auf Widerspruch, Löschung oder Richtigstellung entsprechend ausgeübt werden. Ein datenschutzrechtliches Auskunftsbegehren zu stellen, ist also ein legitimes Recht jeder betroffenen Person.3 Dennoch können einem Auskunftsbegehren Grenzen gesetzt sein. Der Inhalt einer Auskunft ist inhaltlich im Gesetz determiniert und stellt kein individuell ausgestaltbares Fragerecht des Betroffenen dar.4 Der Auskunftswerber hat am Auskunftsbegehren über Befragung in dem ihm zumutbaren Ausmass mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.5

[3]

Die Art und Weise, wie jemand ein Auskunftsbegehren stellt und in der Folge am Auskunftsverfahren mitwirkt oder auch die Mitarbeit verweigert, kann für denjenigen, der eine rechtskonforme Auskunft erteilen muss, problematisch sein. Tatsächlich zeigt sich aus der praktischen Erfahrung, dass Auskunftsbegehren oft auch aus dem Beweggrund gestellt werden, weil jemand aus einem bestimmten Grund verärgert ist, und an einer datenschutzrechtlichen Nebenfront seinen Unmut auslassen möchte. So sind Kunden verärgert über den Service des Unternehmens, die eigenen Mitarbeiter fühlen sich ungerecht behandelt, oder Mitbewerber auf dem Markt möchten testen, ob der Konkurrent in der Lage ist, ein Auskunftsbegehren ordnungsgemäß zu erteilen. Um bei einer Auskunftserteilung den Aufwand und allenfalls negative Folgen in Grenzen halten zu können, sind einige wichtige Punkte zu beachten, die nachfolgend erläutert werden.6

2.

Wer ist auskunftspflichtig? ^

[4]

Zur Erteilung einer Auskunft ist grundsätzlich der Auftraggeber einer Datenanwendung verpflichtet.7 Gerade in einem Konzern mit einer komplexen Struktur kann sich die Frage, wer tatsächlich Auftraggeber und damit der tatsächlich Auskunftspflichtige ist, schwierig gestalten. Daten werden oft nicht nur von einem Unternehmen verwendet, sondern werden an die Muttergesellschaft übermittelt, oder von einem anderen im Konzernverbund tätigen Unternehmen ebenfalls verwendet Es ist daher ratsam, nicht nur die Datenverwendung im eigenen Unternehmen zu kennen, sondern auch einen Überblick darüber zu haben, wie die Datenflüsse konzernintern ausgestaltet sind, und vor allem wie diese rechtlich in der datenschutzrechtlichen Rollenverteilung zu qualifizieren sind.

[5]
Wesentlich im Zusammenhang damit ist die Frage, ob das eigene Unternehmen, oder ein anderes Unternehmen im allenfalls vorhandenen Konzernverbund Auftraggeber ist. Langt das Auskunftsbegehren zuerst bei einem Dienstleister ein, und lässt dieses erkennen, dass der Auskunftswerber ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Dienstleister gemäß § 26 Abs. 10 DSG 2000 das Auskunftsbegehren unverzüglich an den Auftraggeber weiterzuleiten und dem Auskunftswerber mitzuteilen, dass in seinem Auftrag keine Daten verwendet werden. Der Auftraggeber hat innerhalb von acht Wochen ab Einlangen des Auskunftsbegehrens beim Dienstleister dem Auskunftswerber die verlangte Auskunft zu erteilen, oder schriftlich zu begründen, warum er sie nicht oder nicht vollständig erteilen kann. Diesbezüglich sollte der Dienstleister entsprechend instruiert und vertraglich verpflichtet werden, bei einlangenden Auskunftsbegehren, welche den Auftraggeber betreffen, nicht nur das Auskunftsbegehren unverzüglich weiterzuleiten, sondern auch die Informationen bereitzustellen, die notwendig sind, um die Auskunft erteilen zu können. Den Auftraggeber trifft überdies eine Erkundigungspflicht beim Dienstleister, auch wenn dieser angewiesen wurde, Daten nach Abschluss der Arbeit zu vernichten oder zurück zu geben.8

3.

Einlangen eines Auskunftsbegehrens ^

[6]

Formal ist für die Zulässigkeit eines Auskunftsbegehrens die Erfüllung von zwei Formvorschriften notwendig:

  • Schriftlichkeit des Auskunftsbegehrens oder Mündlichkeit mit Zustimmung des Auftraggebers,
  • Identitätsnachweis des Betroffenen in geeigneter Form (siehe Näheres dazu in Punkt 4).
[7]

Gemäß § 26 Abs. 1 DSG 2000 ist ein Auskunftsbegehren schriftlich zu stellen, wobei nach den Entscheidungen der Datenschutzkommission und des Verwaltungsgerichtshofes auch Auskunftsbegehren per Fax oder E-Mail zulässig sind.9 Ein mündlich gestelltes Begehren ist nur mit Zustimmung des Auskunftspflichtigen möglich.10 Sollte ein mündliches Auskunftsbegehren vom Unternehmen akzeptiert werden, empfiehlt es sich, ein solches entsprechend zu protokollieren, um Missverständnisse hinsichtlich des Umfanges des Auskunftsbegehrens zu vermeiden.11 Es empfiehlt sich außerdem, im Hinblick auf die Einhaltung der achtwöchigen Frist zur Beantwortung eines Auskunftsbegehrens das Datum des Einlangens zu dokumentieren und die nachfolgenden Bearbeitungsschritte einem definierten Ablauf zu unterziehen. So kann etwa durch die Zurverfügungstellung einer eindeutigen Post- oder E-Mail-Adresse des Unternehmens der Auskunftswerber an eine bestimmte Ansprechperson verwiesen werden. Diese kann das eingelangte Ersuchen dann gezielt bearbeiten. Für den Ablauf der Bearbeitung empfiehlt es sich, notwendige Musterschreiben vorzubereiten, wie etwa das Ersuchen um Nachreichung eines Identitätsnachweises.12 Es muss nach Einlangen eines Auskunftsbegehrens nicht nur erhoben werden, welche Daten zu einer bestimmten Person verarbeitet werden, sondern es muss auch ein entsprechendes Antwortschreiben mit der verlangten Auskunft verfasst werden und fristgerecht, d.h. spätestens mit dem letzten Tag der Frist, abgeschickt werden. Auch für die Auskunftserteilung können zweckmäßige Vorlagen vorbereitet werden.

[8]

Je nach Grad der Aufarbeitung und des Kenntnisstands über die Datenverarbeitung, sowie der Transparenz der Datenverwendung im Unternehmen kann sich die Bearbeitung eines Auskunftsbegehrens als sehr zeit- und kostenintensiv, sowie mit hohem Personalaufwand verbunden, gestalten. Ein Unternehmen ist verpflichtet, durch interne Organisation ein Auskunftsbegehren erfüllen zu können.13 Besteht also z.B. keine Dokumentation über die Datenverarbeitung, Kenntnis über das Vorliegen von Standard- oder Musteranwendungen, oder sind keine aktuellen Meldungen von Datenanwendungen beim Datenverarbeitungsregister registriert, auf die man zurückgreifen kann, so kann allein die Einholung der notwendigen Informationen im gesamten Unternehmen die komplette Dauer der Frist in Anspruch nehmen. Es ist daher empfehlenswert, neben den Voraussetzungen für eine rechtskonforme Auskunftserteilung, auch über die Datenverwendung im Unternehmen Bescheid zu wissen.

[9]

Ein nicht unwesentlicher Aspekt ist die Frage, ob ein eingelangtes Ersuchen um Auskunft überhaupt ein Auskunftsbegehren gemäß § 26 DSG 2000 darstellt. Nur ein solches kann Rechtsfolgen bei nicht- oder nur unvollständig erteilter Auskunft auslösen. Bei der Anfrage muss zumindest ein als «Begehren» gemäß § 26 Abs. 1 DSG 2000 erkennbares Anbringen eines Betroffenen vorliegen.14

[10]
Ab Kenntnis eines Auskunftsbegehrens dürfen die Daten über den Betroffenen, der ein Auskunftsbegehren gestellt hat, innerhalb eines Zeitraumes von vier Monaten und im Falle der Erhebung einer Beschwerde bei der Datenschutzkommission bis zum rechtskräftigen Abschluss des Verfahrens nicht mehr gelöscht werden. Kombiniert ein Betroffener ein Auskunftsbegehren allerdings gleichzeitig mit einem Löschungsbegehren, ist die Löschung der Daten vor Ablauf der Frist zulässig.15
[11]
Werden zum Auskunftswerber keine personenbezogenen Daten verarbeitet, ist es nicht zulässig, eine Anfrage einfach unbeantwortet zu lassen, sondern es ist eine sogenannte Negativauskunft zu erteilen. D.h. dem Auskunftswerber ist fristgerecht mitzuteilen, dass keine Daten über ihn verarbeitet werden.16

4.

Feststellung der Identität des Auskunftswerbers ^

[12]

Das Auskunftsrecht ist als Nebenrecht des verfassungsrechtlich geschützten Datenschutzrechtes ein höchstpersönliches Recht. Demzufolge darf die Auskunft auch nur derjenigen Person gegeben werden, die von der Datenverarbeitung betroffen ist. Die Auskunftserteilung an die falsche Person hätte die Verletzung des Grundrechtes der betroffenen Person zur Folge. Der Auskunftswerber hat an der Feststellung der Identität mitzuwirken und zum Nachweis seiner Berechtigung einen Identitätsnachweis zu erbringen. Der Nachweis der Identität ist neben dem Schriftlichkeitsgebot eine der Voraussetzungen, um ein Ersuchen um Auskunft als datenschutzrechtliches Auskunftsbegehren zu qualifizieren. Fehlt ein solcher Nachweis, muss der Auskunftswerber zum Nachweis seiner Identität aufgefordert werden. Erst mit Einlangen eines ausreichenden Nachweises beginnt dann die achtwöchige Frist zur Erteilung der Auskunft zu laufen.17

[13]

Taugliches Mittel zum Nachweis der Identität ist eine Kopie eines Reisepasses oder Personalausweises.18 Sollten Zweifel an der Echtheit des Nachweises bestehen, müssen weitere Informationen angefordert werden. Die in einigen im Internet auffindbaren Mustern für Auskunftsbegehren angeführte Möglichkeit, die Identität durch Zusendung eines eingeschriebenen Briefes prüfen zu lassen und somit die Identitätsprüfung einen Dritten durchführen zu lassen, ist abzulehnen. Es muss bereits bei Auskunftserteilung für den Auskunftspflichtigen eindeutig sein, wem er die Auskunft erteilt. Eine nach Absendung erfolgende Prüfung der Identität durch einen Dritten, hier die Post, erfüllt nicht die Voraussetzung, um eine rechtsgültige Auskunft erteilen zu können.19

5.

Gegenstand und Umfang der Auskunftsbegehren ^

[14]

Eine erteilte Auskunft hat folgende Punkte in allgemein verständlicher Form20 zu enthalten:

  • verarbeitete Daten,
  • Informationen über ihre Herkunft,
  • allfällige Empfänger oder Empfängerkreise von Übermittlungen,
  • den Zweck der Datenverwendung,
  • die Rechtsgrundlagen,
  • auf Verlangen des Betroffenen auch Namen und Adressen von Dienstleistern, falls diese mit der Verarbeitung seiner Daten beauftragt sind.
[15]
Der häufigste Fehler bei der Auskunft zu den verarbeiteten Daten ist es, die Auskunft auf die bloße Nennung der Datenart zu beschränken. Tatsächlich hat die Auskunft nicht zu lauten: «Verarbeitet wird Ihr Name», sondern es muss der konkrete Name genannt werden: z.B. «Johann Müller». Genauso verhält es sich auch mit allen anderen Datenarten. Wird dies unterlassen, ist die Auskunft nicht rechtsgültig erteilt.
[16]

Die Auskunft hat den aktuellen Datenbestand zu umfassen. Damit ist jener Datenbestand gemeint, der quasi «auf Knopfdruck» im Direktzugriff steht, oder der den letztgültigen Datenbestand darstellt.21

[17]

Umfasst das Auskunftsbegehren nicht nur den aktuellen Datenbestand, sondern ist dem Auskunftsbegehren zu entnehmen, dass der Auskunftswerber den gesamten, somit historischen, Datenbestand22 beauskunftet haben möchte, sind dem Auskunftswerber rechtzeitig die tatsächlich erwachsenden Kosten unverzüglich bekannt zu geben.23 Die dabei anfallenden Kosten können sich z.B. aus den anteiligen EDV-Kosten oder Lohn- und Gehaltskosten des Mitarbeiters zusammensetzen, der für das Heraussuchen der Informationen, Anfertigen von Kopien und Verfassen der Auskunft abgestellt werden muss.24 Hinsichtlich der Informationen über die Herkunft der Daten müssen diese beauskunftet werden, soweit sie verfügbar sind.25

[18]

Die Unterscheidung, wann individuelle Empfänger (also konkrete Empfänger, wie z.B. ein bestimmtes Unternehmen), und wann nur Empfängerkreise (also Gruppen von Empfängern, wie z.B. Banken, Gerichte, etc.) zu nennen sind, ist dem Gesetz nicht zu entnehmen.26 Der Judikatur ist zu entnehmen, dass Übermittlungen jeweils so konkret zu beauskunften sind, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle, als auch gegenüber Übermittlungsempfängern durchsetzen kann.27

[19]

Der Zweck der Datenverwendung sollte sich bereits aus der Bezeichnung der Datenanwendung ergeben, muss aber gegebenenfalls vom Auftraggeber zum besseren Verständnis näher beschrieben werden.28 Die Rechtsgrundlage kann sich etwa aus den Statuten oder der Gewerbeberechtigung ergeben.29 Aus der Angabe von Zweck und Rechtsgrundlagen in Verbindung mit den tatsächlich verwendeten Daten, soll es für den Betroffenen möglich sein, die rechtliche Zulässigkeit der Datenverwendung zu prüfen.30

[20]

Eine deutliche Grenze bei der Auskunftserteilung gibt es für Dokumente, die nur in Papierform vorhanden sind. Nach ständiger Rechtsprechung erstreckt sich das Auskunftsrecht nach § 26 DSG 2000 nicht auf Papierakten.31 Anders kann es sich bei gespeicherter E-Mail-Korrespondenz mit dem Betroffenen verhalten, da es sich bei diesen um automationsunterstützt verarbeitete Daten mit Bezug auf den Betroffenen handelt.32

[21]

Weitere Einschränkungen des Auskunftsrechtes können sich durch das Gesetz selbst in § 26 Abs. 2 DSG 2000 ergeben: Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist, oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen vorliegen.33 Werden etwa Geheimhaltungsinteressen, wie Geschäfts- oder Betriebsgeheimnisse geltend gemacht, sind diese näher zu begründen und nicht pauschal einzuwenden.34 Ob eine solche Auskunftsverweigerung zulässig ist, unterliegt der Kontrolle der Datenschutzkommission, sowie einem allfälligen Beschwerdeverfahren.

[22]
Auskunft über Dienstleister in Form der Nennung von Namen und Adresse der Dienstleisters muss nur gegeben werden, wenn der Auskunftswerber dies verlangt. Generell ergeben sich Grenzen des Auskunftsanspruches aus der Bedeutung des Rechtsschutzinteresses eines Betroffenen. Nicht beauskunftet werden müssen etwa Vorgänge über eine Datenverwendung, für den Betroffenen ohnehin jederzeit einsehbare Daten, oder Darstellungen der Daten in einer bestimmten Form.35

6.

Mitwirkungspflicht des Auskunftswerbers und Kostenfrage ^

[23]

Stellt die Auskunftserteilung einen ungerechtfertigten und unverhältnismäßigen Aufwand für das Unternehmen dar, in dem der Auskunftswerber z.B. nicht bekannt gibt, in welcher der Datenanwendungen er vorkommt, oder warum er glaubt, der Auftraggeber verarbeite Daten über ihn, kann der Auskunftspflichtige von der Mitwirkungsobliegenheit des Betroffenen Gebrauch machen. Je nach Unternehmen und Situation hat der Auskunftswerber dann durch zusätzliche Informationen wie die Bekanntgabe früherer Adressen, Kopien von Schriftstücken, die Eingrenzung von Zeiträumen, Bekanntgabe von Kundennummern oder dergleichen, an der Auskunft mitzuwirken und sein Recht glaubhaft zu machen.36

[24]

Ein Auskunftsbegehren ist nur einmal im Jahr kostenlos zu erteilen.37 Stellt ein Auskunftswerber mehrmals in einem Kalenderjahr ein Auskunftsbegehren, ist vom Auskunftswerber ein pauschaler Betrag in der Höhe von jeweils EUR 18,89 oder die tatsächlich erwachsenen höheren Kosten zu leisten. In diesem Fall sind dem Auskunftswerber rechtzeitig diese Kosten bekannt zu geben und ist eine angemessene Frist zur Zahlung zu setzen. Außerdem muss der Auskunftswerber darauf hingewiesen werden, dass im Falle der Zahlungsverweigerung die Auskunft aus dem Grunde des § 26 Abs. 4 DSG 2000 nicht erteilt werden kann.38 Verzichtet der Auskunftswerber auf eine Zahlung, oder verweigert der Auskunftswerber Informationen in einem Ausmaß, das einer Verweigerung gleichzuhalten ist, kann von einer Auskunftserteilung abgesehen werden.39 Ein geleisteter Kostenersatz ist allerdings ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.

7.

Spezialfall Videoüberwachung ^

[25]

Als lex specialis zum Auskunftsbegehren gemäß § 26 DSG 2000 ist für die Videoüberwachung das Auskunftsrecht in § 50e DSG 2000 geregelt. Abweichend vom § 26 Abs. 1 DSG 2000 ist dem Auskunftswerber, nachdem dieser den Zeitraum, in dem er möglicherweise von der Überwachung betroffen war und den Ort möglichst genau benannt und seine Identität in geeigneter Weise nachgewiesen hat, Auskunft über die zu seiner Person verarbeiteten Daten durch Übersendung einer Kopie der zu seiner Person verarbeiteten Daten in einem üblichen technischen Format zu gewähren. Alternativ kann der Auskunftswerber eine Einsichtnahme auf Lesegeräten des Auftraggebers verlangen, wobei ihm auch in diesem Fall die Ausfolgung einer Kopie zusteht. Die übrigen Bestandteile der Auskunft (verfügbare Informationen über die Herkunft, Empfänger oder Empfängerkreise von Übermittlungen, Zweck, Rechtsgrundlagen sowie allenfalls Dienstleister) sind auch im Fall der Überwachung schriftlich zu erteilen, wenn nicht der Auskunftswerber einer mündlichen Auskunftserteilung zustimmt.40 Eine Ausnahme sieht das Gesetz in § 50e DSG 2000 für die Echtzeitüberwachung vor. Eine Mitteilung der Aufzeichnungen wäre hier auch gar nicht möglich. Die Erteilung einer Auskunft stellt den Betreiber einer Videoüberwachung vor zahlreiche Probleme. So ist die Erteilung einer rechtskonformen Auskunft durch Herstellung einer Kopie und verbaler Beschreibung sonstiger Informationen unter Schutz der Interessen anderer betroffener Personen in den Bilddaten praktisch nur unter großem Aufwand denkbar.41

[26]

Nach der Judikatur der Datenschutzkommission verneinte diese ein Auskunftsrecht ohne Vorliegen einer Auswertung im Anlassfall. Es würden mangels einer Auswertung der Bilddaten nur sogenannte indirekt personenbezogene Daten vorliegen, bei welchen ein Auskunftsrecht im Gesetz ausgeschlossen sei. Die Datenschutzkommission wich in ihrer Judikaturlinie nach Inkrafttreten der Datenschutznovelle 201042, welche erstmals eine gesetzliche Regelung explizit für den Bereich Videoüberwachung enthielt, nicht ab.43 Sei das Videomaterial nicht innerhalb von 72 Stunden – der in § 50b Abs. 2 DSG 2000 gesetzlich vorgesehenen zulässigen Speicherdauer für aufgezeichnete Daten – aufgrund eines Anlassfalles ausgewertet worden, bestünde kein Auskunftsrecht. Die Entscheidung der Datenschutzkommission wurde beim Verwaltungsgerichtshof angefochten, eine Entscheidung darüber steht noch aus.44 Die Entscheidungen der Datenschutzkommission zum Auskunftsrecht bei Videoüberwachung wurden mehrfach kritisch beurteilt, da sie in der Praxis ein Auskunftsrecht eines Betroffenen praktisch ausschließen und sich diese Einschränkung aus dem Gesetz nicht interpretieren lässt.45

8.

Weitere Spezialfälle ^

[27]

Für ein Informationsverbundsystem46 ist in § 50 Abs. 1 DSG 2000 vorgesehen, dass unbeschadet des Rechts auf Auskunft gemäß § 26 DSG 2000 der Betreiber jedem Betroffenen auf Antrag binnen zwölf Wochen alle Auskünfte zu geben hat, die notwendig sind, um den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber festzustellen.

[28]
Bei automatisierten Einzelentscheidungen, also solchen, bei denen eine automationsunterstützte Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte einer Person ergeht, wie beispielsweise die berufliche Leistungsfähigkeit, die Kreditwürdigkeit, die Zuverlässigkeit oder das Verhalten, ist dem Auskunftswerber gemäß § 49 Abs. 3 DSG 2000 auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen.

9.

Umgang mit Auskunftsersuchen von Arbeitnehmern ^

[29]

Ein Arbeitnehmer hat, wie jeder andere Betroffene auch, ein Auskunftsrecht über die verarbeiteten Daten.47 Zu beachten ist in diesem Zusammenhang, dass das Auskunftsrecht gemäß § 26 DSG 2000 nur dem einzelnen Arbeitnehmer als Betroffenen, nicht aber dem Betriebsrat zusteht.48 Bereits vor Beginn eines Arbeitsverhältnisses kann ein Unternehmen zum Auftraggeber werden, nämlich dann, wenn es Daten von Stellenbewerber verarbeitet, und zwar auch dann, wenn das Bewerbungsverfahren über ein externes Recruiting-Unternehmen läuft.49 Auskunftsbegehren von ehemaligen oder aktuellen Mitarbeitern können sich in der Praxis als besonders unangenehm erweisen, da die Mitarbeiter aufgrund der Arbeit im Unternehmen meist bereits über eine präzise Kenntnis der Datenverwendung verfügen, und sie gezielte Fragen stellen, die für das Unternehmen unangenehme Folgen haben können. Es empfiehlt sich daher, diese Auskunftsbegehren mit besonderer Umsicht zu behandeln und alle Möglichkeiten bei der Bearbeitung von Auskunftsbegehren auszuschöpfen.

10.

Beschwerdemöglichkeit und Sanktion ^

[30]

Bei Verletzung des Rechtes auf Auskunft steht dem Betroffenen derzeit die Beschwerde an die Datenschutzkommission offen.50 Ab 1. Januar 2014 ist die zuständige Behörde die neu errichtete Datenschutzbehörde51, nachdem die Datenschutzkommission im Zuge der Verwaltungsgerichtsbarkeits-Novelle 201252 mit 31. Dezember 2013 aufgelöst wird. Erweist sich die Beschwerde als berechtigt, ist ihr Folge zu geben und wird die Verletzung des Rechtes festgestellt. Dem Unternehmen wird die Reaktion auf das Auskunftsbegehren in jenem Umfang aufgetragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Holt der Beschwerdegegner, in diesem Fall das Unternehmen, dem eine falsch oder unvollständig erteilte Auskunft vorgeworfen wird, bis zum Abschluss des Verfahrens die Auskunft nach, kann er dadurch die behauptete Rechtsverletzung beseitigen.53

[31]

Wer Daten entgegen § 26 DSG 2000 nicht fristgerecht beauskunftet, begeht eine Verwaltungsübertretung, welche mit bis zu EUR 500,00 zu ahnden ist. Wer Daten entgegen einem rechtskräftigen Urteil oder Bescheid nicht beauskunftet, begeht eine Verwaltungsübertretung, welche mit bis zu EUR 25.000,00 zu ahnden ist. Ebenfalls mit EUR 25.000,00 Strafe ist zu ahnden, wer Daten gemäß § 26 Abs. 7 DSG 2000 vorsätzlich löscht, d.h. Daten bei Kenntnis eines Auskunftsbegehrens, oder bis zum rechtskräftigen Abschluss eines Verfahrens vor der Datenschutzkommission, vernichtet.

11.

Zusammenfassung ^

[32]

Im Unternehmen einlangende Auskunftsbegehren gemäß § 26 DSG 2000 sollten stets sorgfältig bearbeitet werden. Dazu ist es empfehlenswert den Ablauf der Bearbeitung bereits vorausschauend in Form einer schrittweisen Prozessbeschreibung festzulegen. Ratsam ist die Festlegung einer verantwortlichen Stelle, welche die Auskunftsbegehren bearbeitet, die Schulung der mit der Auskunftserteilung beschäftigten Mitarbeiter, sowie die Erstellung zweckmäßiger Musterschreiben.

[33]

Begleitend sollte die Datenverwendung im Unternehmen ausreichend genau dokumentiert sein, um eine fristgerechte und vollständige Auskunft effizient und ohne Fristversäumis erteilen zu können. Einem überschießenden Auskunftsverlangen kann durch Inanspruchnahme der Mitwirkungsobliegenheit des Betroffenen und entsprechende Bekanntgabe der tatsächlich erwachsenden Kosten für den Betroffenen entgegengetreten werden.

 

Mag. iur. Renate Riedl, LL.M. ist Rechtsanwaltsanwärterin bei Preslmayr Rechtsanwälte OG in Wien.

  1. 1 Bundesgesetz über den Schutz personenbezogener Daten, BGBl I Nr. 165/1999 i.d.F. I BGBl I 57/2013.
  2. 2 In Österreich sind neben natürlichen Personen auch juristische Personen geschützt.
  3. 3 Ein Betroffener kann beliebig oft von seinem Recht Gebrauch machen, sofern nicht eine schikanöse Rechtsausübung vorliegt, DSK 30. Mai 2008, K121.356/0005-DSK/2008.
  4. 4 DSK 20. Januar 2010, K121.540/0002-DSK/2010.
  5. 5 Einen ungerechtfertigten und unverhältnismäßigen Aufwand für den Auskunftspflichtigen stellt etwa das häufige Ergänzen, Einschränken oder Abändern des Auskunftsbegehrens dar, siehe DSK 25. Februar 2009, K121.394/0006-DSK/2009.
  6. 6 Eine Fallstudie im Jahr 2004 hat gezeigt, dass die Auskunftsbegehren seinerzeit nur sehr mangelhaft, nämlich nur in 13% der Fälle, korrekt beantwortet wurden, siehe Reichmann, ZfV 2004, 752 ff.
  7. 7 Siehe Legaldefinitionen in § 4 DSG 2000.
  8. 8 VwGH 15. November 2012, 2008/17/0096.
  9. 9 Siehe m.w.N. Jahnel, Datenschutzrecht, Rz. 7/14.
  10. 10 § 26 Abs. 1 DSG 2000
  11. 11 Das Schriftlichkeitsgebot verfolgt den Zweck, den Umfang des Auskunftsbegehrens für den Auftraggeber klar zu umreißen, so VwGH 9. September 2008, 2004/06/0221.
  12. 12 Siehe Näheres unter Punkt 4.
  13. 13 DSK 27. Juni 2012, K121.799/0008-DSK/2012.
  14. 14 Zunächst ist das Auskunftsbegehren, so es spezifisch formuliert ist, auf seinen Inhalt zu prüfen, wobei jener Maßstab anzulegen ist, der auch für einseitige privatrechtliche Willenserklärungen gilt (Wortlaut und Verständnis der Erklärung aus objektiver Sicht; «wie sie der Empfänger nach ihrem Wortlaut und dem Geschäftszweck bei objektiver Betrachtung verstehen konnte», OGH EvBl 1974/185), DSK 20. Mai 2005, K120.957/0003-DSK/2005.
  15. 15 § 26 Abs. 7 DSG 2000.
  16. 16 Magerl, Aktuelle Rechtsprechung und Datenschutz, in: Raschauer (Hrsg.), Datenschutzrecht 2010, 64.
  17. 17 DSK 5. Juni 2009, K121.525/0004-DSK/2009.
  18. 18 VwGH 9. September 2008, 2004/06/0221. Der Identitätsnachweis ist in Form eines Dokumentes in Form einer öffentlichen Urkunde i.S.d. §§ 292 ZPO zu fordern. Bestehen Zweifel an der Echtheit des Dokuments sind weitere Schritte zur Klärung der Echtheit der Urkunde zu setzen. Im Hinblick auf die Zielsetzung des Gesetzes und zur Verhinderung von Missbrauch ist ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises zu fordern. Nach der Rechtsprechung der Datenschutzkommission ist eine Kopie des Dokumentes ausreichend, unter der Voraussetzung, dass die Unterschrift auf dem Auskunftsbegehren mit der Unterschrift auf dem Dokument verglichen wird oder weitere Identifikationsdaten vorliegen, siehe DSK 2. Februar 2007, K121.225/0001-DSK/2007.
  19. 19 M.w.N. Jahnel, Datenschutzrecht, Rz. 7/17. Bescheide der DSK 16. November 2004, K120.959/0009-DSK/2004, und 2. Februar 2007, K121.225/0001-DSK/2007, sowie VwGH 9. September 2008, 2004/06/0221, wonach ein per Fax gestelltes Auskunftsbegehren zulässig ist.
  20. 20 Davon umfasst ist auch die Notwendigkeit etwaige interne Codes, Abkürzungen oder technische Begriffe zu erklären. Dohr/Pollirer/Weiss/Knyrim, DSG 2. Auflage § 26 Anm. 17. Zu beachten ist auch, dass die Auskunft in deutscher Sprache zu erfolgen hat. DSK 22. Mai 2013, K121.935/0006-DSK/2013.
  21. 21 Dohr/Pollirer/Weiss/Knyrim, DSG 2. Auflage § 26 Anm. 30. Unter den aktuellen Daten sind insbesondere ohne besonderen Aufwand abrufbare Daten zu verstehen. Die Auskunftserteilung soll für den Auftraggeber keine besondere Belastung darstellen. Die Grenze stellt etwa die Archivierung dar, siehe z.B. DSK 25. Februar 2009, K121.394/0006-DSK/2009.
  22. 22 Gemäß § 14 Abs. 5 DSG 2000 sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. In Spezialgesetzen können andere Aufbewahrungspflichten vorgesehen sein.
  23. 23 Dohr/Pollirer/Weiss/Knyrim, DSG 2. Auflage § 26 Anm. 31.
  24. 24 Dohr/Pollirer/Weiss/Knyrim, DSG 2. Auflage § 26 Anm. 31.
  25. 25 DSK 13. Juli 2012, K121.815/0022-DSK/2012. Weitere Angaben zur Judikatur: Jahnel, Datenschutzrecht, Rz. 7/28.
  26. 26 Gemäß § 14 DSG 2000 sind nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 DSG 2000 unterliegen, so zu protokollieren, dass dem Betroffenen Auskunft gemäß § 26 DSG 2000 gegeben werden kann. In einer Standard-oder Musterverordnung vorgesehene Übermittlungen bedürfen keiner Protokollierung.
  27. 27 M.w.N. Jahnel, Datenschutzrecht, Rz. 7/32.
  28. 28 Dohr/Pollirer/Weiss/Knyrim, DSG 2. Auflage § 26 Anm. 15.
  29. 29 Dohr/Pollirer/Weiss/Knyrim, DSG 2. Auflage § 26 Anm. 16.
  30. 30 Drobesch/Grosinger, Datenschutzgesetz, § 26 Abs. 1 Anm. 9.
  31. 31 DSK 1. Oktober 2012, K121.835/0015-DSK/2012.
  32. 32 DSK 5. Juni 2009, K121.488/0007/DSK-2009; DSK 26. September 2008, K121.381/0008-DSK/2008.
  33. 33 Dohr/Pollirer/Weiss/Knyrim, DSG 2. Auflage § 26 Anm. 31, welche als entgegenstehende Interessen etwa einen anhängigen Rechtsstreit oder die Offenlegung einer Geschäftsverbindung mit einem Dritten anführen.
  34. 34 DSK 15. April 2011, K121.659/0007-DSK/2011.
  35. 35 M.w.N. dazu Jahnel, Datenschutzrecht, Rz. 7/27.
  36. 36 Dohr/Pollirer/Weiss/Knyrim, DSG 2. Auflage § 26 Anm. 26.
  37. 37 Die Kosten umfassen auch die Portokosten. DSK 18. September 2009, K121.521/0007-DSK/2009.
  38. 38 DSK 25. Februar 2009, K121.394/0006-DSK/2009.
  39. 39 Dohr/Pollirer/Weiss/Knyrim, DSG 2. Auflage § 26 Anm. 27.
  40. 40 § 26 Abs. 1 DSG 2000.
  41. 41 Siehe nähere Ausführungen Schrems, Private Videoüberwachung, 103 ff.
  42. 42 BGBl I Nr. 133/2009.
  43. 43 DSK 30. Juli 2010, K121.605/0014-DSK/2010.
  44. 44 Über einen ebenfalls zur Frage der Auskunftserteilung bei Videoüberwachung angefochtener Bescheid der Datenschutzkommission wurde vom Verwaltungsgerichtshof (VwGH 24. April 2013, 2011/17/0156) inhaltlich nicht entschieden, da nach einem Urteil des EuGH (9. Oktober 2010, C-614/10) die Datenschutzkommission ihre Aufgaben nicht in völliger Unabhängigkeit wahrnehme, und keine unabhängige Behörde im Sinne der Datenschutzrichtlinie 95/46/EG sei. Die Beschwerde wurde daher wegen Unzuständigkeit der Datenschutzkommission abgewiesen.
  45. 45 So etwa König, Videoüberwachung (in der betrieblichen Praxis) in: Bogendorfer (Hrsg.) Datenschutz im Unternehmen. Das Spannungsfeld der einzelnen Interessen, 50; Schrems, Private Videoüberwachung, 109 ff.; Kunnert, jusIT, 2009/50, 105.
  46. 46 Unter einem Informationsverbundsystem wird die gemeinsame Verarbeitung von Daten einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, dass jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden, verstanden. Siehe die Legaldefinition in § 4 Z 13 DSG 2000.
  47. 47 Löschnigg, Arbeitnehmerdatenschutz, in: Jahnel/Mader/Staudegger, IT-Recht3, 507 ff.
  48. 48 OGH 29. Juni 2006, 6 ObA 1/06z. Davon unberührt sind allerdings sonstige Auskunftsrechte des Betriebsrates nach dem ArbVG.
  49. 49 Maska, Auskunft des Arbeitgebers über verarbeitete Daten, taxlex 2012, 290.
  50. 50 § 31 DSG 2000.
  51. 51 Datenschutznovelle 2014, BGBl I Nr. 83/2013.
  52. 52 BGBl I Nr. 51/2012. Die Datenschutzkommission ist eine von rund 120 Sonderbehörden, die im Zuge der Verwaltungsgerichtsbarkeitsreform mit 31. Dezember 2013 aufgelöst werden.
  53. 53 Neben anderen Entscheidungen: DSK 25. Februar 2009, K121.456/0003-DSK/2009.