1.
Einleitung ^
Es ist darauf hinzuweisen, dass die hier hauptsächlich diskutierten Gesetzesstellen (DSRL, DSG) am 25. Mai 2018 von der Verordnung (EU) 2016/679 (DS-GVO)2 abgelöst werden. Dennoch spielen die bisherigen Rechtsgrundlagen auch für das Verständnis der künftigen Gesetzeslage eine wesentliche Rolle, da sowohl das österreichische DSG i.d.F. Datenschutz-Anpassungsgesetz weiterhin in Art. 1 Abs. 3 und Art. 44 das Auskunftsrecht inhaltlich nahezu unverändert regelt als auch die DS-GVO auf die bisherige DSRL Bezug nimmt. Die Kernelemente der Auskunft (verarbeitete Datenkategorien, Zweck und Rechtsgrundlage der Verarbeitung, sowie Herkunft und Empfänger der Daten) sind beibehalten worden, durch die DS-GVO sind weitere Modalitäten (etwa Option der Auskunftserteilung via E-Mail, verpflichtende Information über Speicherdauer und Hinweis auf Beschwerderecht) ergänzt worden. Die auf Grundlage des § 26 DSG erstellte Diplomarbeit ist weiterhin von zentraler Bedeutung, da sich für die Datenschutzbehörde (welche sich voraussichtlich stark an der bisherigen Rechtsprechung orientieren wird) sowie für die Unternehmen hinsichtlich des Auskunftsbegehrens gegenüber dem Betroffenen kaum etwas ändert. Im letzten Abschnitt dieses Beitrags («Ausblick auf die DS-GVO und DSG 2018») werden die Veränderungen zwischen der bisherigen und der neuen Rechtslage detailliert dargestellt.
Anhand der bis zu dieser Stelle dargestellten Definitionen, Auslegungen und Entscheidungen ließ sich als Zwischenfazit bereits ein grobes Schema zur formalen Herangehensweise bei einem Auskunftsbegehren ableiten:
- Bin ich Adressat des Auskunftsbegehrens? Falls nicht, ist eine Reaktion auf Basis des in § 6 Abs. 1 DSG verankerten Grundsatzes von Treu und Glauben geboten, verbunden mit der Darstellung, warum ich als Empfänger des Auskunftsbegehrens der Meinung bin, dass ich nicht als Adressat zu betrachten sei.
- Habe ich keinen Sitz oder Niederlassung in Österreich? Aufgrund des räumlichen Anwendungsbereiches des DSG unterliegen nur natürliche oder juristische Personen mit einem Sitz oder einer Niederlassung in Österreich dem DSG. Falls dies nicht zutrifft, ist eine Reaktion auf Basis des in § 6 Abs. 1 DSG verankerten Grundsatzes von Treu und Glauben geboten, verbunden mit der Darstellung, warum ich als Empfänger des Auskunftsbegehrens der Meinung bin, dass das DSG mangels Sitz oder Niederlassung in Österreich nicht anwendbar sei.
- Bin ich Auftraggeber der genannten Datenanwendung oder Aufgabengebiete? Falls nicht, ist eine Reaktion auf Basis des in § 6 Abs. 1 DSG verankerten Grundsatzes von Treu und Glauben geboten, verbunden mit der Darstellung, warum ich als Empfänger des Auskunftsbegehrens der Meinung bin, dass ich nicht als Auftraggeber der genannten Datenanwendung oder Aufgabengebiete zu betrachten sei.
- Bin ich Dienstleister der genannten Datenanwendung? § 26 Abs. 10 DSG normiert diesbezüglich: Wird ein Auskunftsbegehren an einen Dienstleister gerichtet und lässt dieses erkennen, dass der Auskunftswerber ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Dienstleister das Auskunftsbegehren unverzüglich an den Auftraggeber weiterzuleiten und dem Auskunftswerber mitzuteilen, dass in seinem Auftrag keine Daten verwendet werden.
- Falls Gründe vorliegen, die gemäß § 26 Abs. 2 i.V.m. Abs. 5 DSG der Auskunftserteilung entgegenstehen, so genügt der Hinweis «Im Übrigen werden über Sie keine der Auskunftspflicht unterliegenden Daten verwendet.» Dabei muss jedoch berücksichtigt werden, «dass eine derartige Datenanwendung nicht automatisch zur Gänze der Auskunftsverweigerung unterliegt, sondern dass dies jeweils für jedes Datum konkret zu prüfen ist». Eine begründete Ablehnung könnte dann vorliegen, wenn Geschäftsverbindungen mit Dritten offengelegt werden müssten oder die eigene Prozesssituation in einem anhängigen Rechtsstreit mit dem Auskunftswerber geschwächt werden würde.
- Liegt die Ausnahme der ausschließlich persönlichen oder familiären Tätigkeiten («Private Zwecke») gemäß § 45 DSG vor? Sofern die verarbeiteten Daten vom Betroffenen selbst mitgeteilt wurden oder auf rechtmäßige Weise zugekommen sind, besteht kein Auskunftsanspruch nach § 26 DSG.
- Werden keine direkt personenbezogenen Daten oder pseudonymisierte Daten verarbeitet? Falls dies zutrifft, ist eine Reaktion auf Basis des in § 6 Abs. 1 DSG verankerten Grundsatzes von Treu und Glauben geboten, verbunden mit der Darstellung, warum ich als Empfänger des Auskunftsbegehrens der Meinung bin, dass ich keine direkt personenbezogenen oder pseudonymisierten Daten verarbeite.
- Werden keine Daten in einer Datei i.S.d. § 4 Z 6 und Z 9 DSG verarbeitet? Falls dies zutrifft, ist eine Reaktion auf Basis des in § 6 Abs. 1 DSG verankerten Grundsatzes von Treu und Glauben geboten, verbunden mit der Darstellung, warum ich als Empfänger des Auskunftsbegehrens der Meinung bin, dass ich keine Daten in einer Datei i.S.d. § 4 Z 6 und Z 9 DSG verarbeite, da Echtzeitvideoüberwachungen, Akten, Aktenkonvolute u.dgl. nicht der Auskunftspflicht unterliegen. In den genannten Fällen besteht lediglich der Geheimhaltungsanspruch nach § 1 Abs. 1 DSG, nicht jedoch die Verpflichtung, Auskunft nach § 26 DSG zu erteilen.
- Werden Angaben, welche in öffentlichen Büchern einsehbar sind, abgefragt (z.B. Grundbuch)? Der Auskunftswerber ist in diesem Fall darauf hinzuweisen, dass diese Angaben entsprechend den besonderen Bestimmungen entgeltlich auszufolgen sind.
2.
Auslegung, Entscheidungen und Rechtsprechung zu § 26 DSG und praktische Hinweise ^
- je nach Fall die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht, insb. wenn diese Daten unvollständig oder unrichtig sind;
- die Gewähr, dass jede Berichtigung, Löschung oder Sperrung den Dritten, denen die Daten übermittelt wurden, mitgeteilt wird, sofern sich dies nicht als unmöglich erweist oder kein unverhältnismäßig großer Aufwand damit verbunden ist.
Das Bestehen des Auskunftsrechts ist nicht davon abhängig, dass der Betroffene eine Rechtswidrigkeit behauptet5 oder Zweifel an der Richtigkeit der verwendeten Daten geltend macht.6 Für das Auskunftsrecht und die Auskunftspflicht ist es unerheblich, ob der Betroffene seine Einwilligung zu dem Datenverkehr gegeben hat, über den er Auskunft begehrt.7 Der Auskunftsanspruch ist jedoch durch das allgemeine Schikaneverbot8 (Schädigungsabsicht bzw. unlautere Motive der Handlung überwiegend) begrenzt.9 Grundsätzlich kann der Auskunftswerber beliebig oft von seinem Recht auf Auskunft und damit von der Möglichkeit eines Auskunftsbegehrens Gebrauch machen, sofern keine schikanöse Rechtsausübung vorliegt.10
2.1.
Kostenersatz ^
Die Auskunft ist gemäß § 26 Abs. 6 DSG unentgeltlich zu erteilen, wenn kumulativ folgende Voraussetzungen vorliegen:11
- Die Auskunft bezieht sich auf den aktuellen Datenbestand12 einer Datenanwendung (Direktzugriff oder letztgültiger Datenbestand).
- Im laufenden Kalenderjahr wurde vom Auskunftswerber noch kein Auskunftsersuchen zum selben Aufgabengebiet des Auftraggebers gestellt – dabei ist das Eingangsdatum des Auskunftsbegehrens beim Auftraggeber maßgeblich. Im Falle der Geltendmachung der Mitwirkungsobliegenheit ist das Eingangsdatum des konkretisierten Auskunftsbegehrens beim Auftraggeber ausschlaggebend.
2.2.
Aufbau des Auskunftsbegehrens ^
Besonderes Augenmerk sollten aus Sicht des Auskunftswerbers auf die formellen Kriterien des Auskunftsbegehrens gerichtet werden: Zunächst ist zu klären, in welcher Form (schriftlich oder mündlich) das Auskunftsbegehren an den Auftraggeber gerichtet werden kann und in welcher Weise der Identitätsnachweis zu erbringen ist. Bei Wahrung der formellen Aspekte des Auskunftsbegehrens spricht die Datenschutzkommission (DSK) von einem «rechtsgültigen» Auskunftsbegehren.13 Es ist dabei jedenfalls erforderlich, dass aus der Anfrage hervorgeht, dass ein Auskunftsbegehren i.S.d. § 26 Abs. 1 DSG gefordert wird – dabei kommt es der DSK zufolge (vergleichbar mit privatrechtlichen Willenserklärungen) auf den Wortlaut und das Verständnis der Erklärung aus objektiver Sicht an. Dies ist hier von zentraler Bedeutung, da an den Erhalt eines rechtsgültigen Auskunftsbegehrens besondere Rechtsfolgen (u.a. Reaktionspflicht, Erteilung einer Negativauskunft) geknüpft sind – im betreffenden Fall ging jedoch aus der Anfrage nicht hervor, dass es sich um ein Auskunftsbegehren handelte.14
2.3.
Identitätsnachweis ^
Die korrekte Erbringung «in geeigneter Form» des Identitätsnachweises der Person, deren Daten Gegenstand der Auskunft sein sollen, gegenüber dem Auftraggeber ist laut VwGH conditio sine qua non für das Entstehen des Anspruchs auf Auskunft. Diese Bestimmung habe den klar erkennbaren Zweck, jedem möglichen Missbrauch des Auskunftsrechts zur Informationsbeschaffung durch Dritte einen Riegel vorzuschieben. Ein Auftraggeber dürfe ohne Vorliegen eines Identitätsnachweises keine Daten an den Auskunftswerber – von dem er in diesem Moment nur annehmen könne, dass er tatsächlich der Betroffene sei – übermitteln, da er sonst das Datengeheimnis gemäß § 15 Abs. 1 DSG verletzen könnte. Die Nennung des Geburtsdatums des Betroffenen ist zwar ein bedeutsames Kriterium, reicht für sich genommen jedoch nicht aus.22 Die beigelegte Kopie eines amtlichen Lichtbildausweises (beispielsweise Personalausweis, Führerschein oder Reisepass) des Betroffenen zum Abgleich der Unterschrift im schriftlich gestellten Auskunftsbegehrens ist ausreichend, die eigenhändige (qualifizierte) Zustellung für sich genommen hingegen nicht.23 Die Zustellung (im öffentlichen Bereich beispielsweise in Form einer Zustellung zu eigenen Handen24 oder über einen Zustelldienst25; im privaten Bereich beispielsweise in Form eines Einschreibens mit der Zusatzleistung «eigenhändig» oder «mit Rückschein»26) dient vielmehr dazu, dass der Auftraggeber dem Risiko begegnet, die Auskunft an jemanden anderen als den Betroffenen zu erteilen – dies ist klar von der Erbringung des Identitätsnachweises durch den Betroffenen zu trennen und kann diese Obliegenheit auch nicht ersetzen.27 Das Heerespersonalamt ist der Ansicht, dass der Identitätsnachweis bei natürlichen Personen auch durch beglaubigte Unterschrift bzw. beglaubigte Kopie des Reisepasses, Personalausweises oder Führerscheins oder durch persönliche Vorsprache an der Adresse des Auftraggebers mit amtlichem Lichtbildausweis erfüllt werden könnte.28 In einer aufrechten Geschäftsbeziehung kann die Pflicht zur Prüfung der Identität des Auskunftswerbers dadurch erfüllt werden, dass die Unterschrift im Auskunftsbegehren mit den vorhandenen Vertragsunterlagen verglichen wird. Jahnel zufolge ist die beglaubigte Abschrift eines Ausweises oder eine beglaubigte Unterschrift des Auskunftsbegehrens nicht erforderlich. Er geht zudem auf die Möglichkeit ein, die Identität durch eine qualifizierte elektronische Signatur i.S.d. Signaturgesetzes (SVG; in Kraft bis zum 30. Juni 2016) nachzuweisen.29 Darunter fällt beispielsweise die Handysignatur. Der Auftraggeber hat die Eignung des vom Betroffenen gewählten Identitätsnachweises im Einzelfall zu prüfen.30 Die DSK entschied in einem Fall, dass der Betroffene in seinem Recht auf Auskunft über eigene Daten verletzt sei, da der Auftraggeber – trotz eines erbrachten Identitätsnachweises – auf die Übermittlung der Vornamen der Eltern des Betroffenen bestanden und die datenschutzrechtliche Auskunft nicht erteilt hat.31
Wie der VwGH ausführte, enthebt das Nichtvorliegen eines Identitätsnachweises den datenschutzrechtlichen Auftraggeber nicht von der Pflicht, auf das Auskunftsbegehren zu reagieren. Denn nach § 26 Abs. 3 DSG habe der Betroffene auf Verlangen («Befragen») des Auftraggebers am Auskunftsverfahren mitzuwirken (sogenannte Mitwirkungsobliegenheit34). Damit stehe dem Auftraggeber ein Instrument zur Verfügung, das Nachholen des Identitätsnachweises zu erwirken – und der datenschutzrechtliche Auftraggeber habe gemäß § 26 Abs. 4 DSG zumindest gegenüber dem Auskunftswerber schriftlich zu begründen, warum die Auskunft nicht erteilt werde. Wiese der Auskunftswerber also seine Identität nicht nach, so reduziere sich der Vollanspruch auf inhaltliche Auskunft darauf, eine entsprechende schriftliche Begründung für das Nichterteilen der Auskunft zu erhalten.35 Diese Aufforderung zur Mitwirkung des Betroffenen kann unterbleiben, wenn es sich um das Auskunftsbegehren einer rechtsanwaltlich vertretenen Person handelt, welchem keine Vollmacht an den Rechtsanwalt beigefügt wurde. Beim Auskunftsrecht des Betroffenen handelt es sich um ein höchstpersönliches Recht,36 daher ist an den Nachweis der Bevollmächtigung durch den Betroffenen ein besonders strenger Maßstab anzulegen.37 Es entfällt dabei auch die Pflicht des Auftraggebers, den Auskunftswerber zur nachträglichen Vorlage eines Identitätsnachweises aufzufordern.38
Hinsichtlich des Identitätsnachweises durch die Beifügung einer Kopie des Lichtbildausweises des Betroffenen lässt sich entgegnen, dass «dieses Mittel untauglich erscheine, die erforderliche Gewissheit über die Identität des Auskunftswerbers herbeizuführen, zumal dieser Ausweis gestohlen, gefälscht oder sonst wie manipuliert sein könnte, überdies aus einer Kopie auf Grund der drucktechnisch bedingten schlechteren Qualität der Darstellung üblicherweise nicht erkennbar sei und daher dem [...] Zweck des Missbrauches des Auskunftsrechtes nicht tatsächlich dienen könne. Auch der Umstand, dass auf einem Personalausweis ein Foto aufgebracht sei, könne wohl keinen wirkungsvollen Beitrag zur Feststellung der Identität des Auskunftssuchenden leisten, zumal dieser dem datenschutzrechtlichen Auftraggeber regelmäßig nicht persönlich bekannt sein werde», so ein Beschwerdeführer vor dem VwGH. Der VwGH hält fest, dass das beabsichtigte Ziel hinter der Erbringung des Identitätsnachweises lediglich Missbrauch erschweren soll und daher ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises ausreichend ist (im Gegensatz dazu könnte beispielsweise auch eine zweifelsfreie Identifizierung des Betroffenen gefordert werden).39
Zusammenfassend lässt sich damit festhalten, dass die Erbringung des Identitätsnachweises durch den Betroffenen zwei Funktionen erfüllt: Einerseits ist er Grundvoraussetzung für das Entstehen des Auskunftsanspruchs, andererseits dient er dem Auftraggeber bei einem schriftlich gestellten Auskunftsbegehren dazu, durch Abgleich der Unterschriften mit hinreichender Sicherheit die Identität des Auskunftswerbers und die Echtheit des Auskunftsbegehrens feststellen zu können.40
In einer aktuellen Entscheidung41 der DSB begehrte die Beschwerdeführerin Auskunft (gemäß § 26 Abs. 1 DSG) über Standortdaten (diese ermöglichen die Feststellung, wo sich ein Nutzer zu einem bestimmten Zeitpunkt aufgehalten hat und sind in der Regel insofern personenbezogen, als sich der Mobilfunkteilnehmer in der unmittelbaren Nähe seines Mobiltelefons befindet) von ihrem Telekommunikationsdiensteanbieter. Dieser kann jedoch im Regelfall nicht feststellen, ob ein Auskunftswerber, dessen Standortdaten Gegenstand des Auskunftsverlangens sind, tatsächlich (zu jedem Zeitpunkt im fraglichen Zeitraum) Nutzer der einem Endgerät zugeordneten Rufnummer ist bzw. war. Der Teilnehmer (Vertragsinhaber) ist nämlich tatsächlich häufig eben gerade nicht jener tatsächliche Nutzer, dessen Aufenthaltsort (und Wechsel von Aufenthaltsorten) in den betriebstechnischen Standortdaten abgebildet ist. Denkbar ist etwa, dass Teilnehmer (Vertragsinhaber) und Nutzer des mobilen Endgerätes auseinanderfallen, etwa wenn Vertragsinhaber ein Elternteil und Nutzer das Kind ohne eigenes Erwerbseinkommen ist. Auch gibt es am österreichischen Mobilfunkmarkt eigene Produkte, die Vergünstigungen gewähren, wenn z.B. Festnetzanschluss und Mobilfunk (mit mehreren SIM-Karten) in einem Paket mit einem einzigen Teilnehmer/Vertragsinhaber abgeschlossen werden. Klar tritt der Unterschied zwischen Teilnehmer und tatsächlichem Nutzer auch bei Firmenhandys hervor. Weiters verwies die Beschwerdeführerin auf § 90 Abs. 8 des Telekommunikationsgesetzes 2003 (TKG), wonach Anbieter von Mobilfunknetzen Aufzeichnungen über den geografischen Standort der zum Betrieb ihres Dienstes eingesetzten Funkzellen zu führen hätten, sodass jederzeit die richtige Zuordnung einer Standortkennung (Cell-ID) zum tatsächlichen Standort unter Angabe der Geo-Koordinaten für jeden Zeitpunkt innerhalb eines 6 Monate zurückliegenden Zeitraums gewährleistet sei. Der Telekommunikationsdiensteanbieter verweigerte ebenso die Auskunft nach TKG, da Standortdaten ausschließlich im Zuge polizeilicher Ermittlungen oder richterlicher Anordnungen bzw. den Betreiber von Notrufdiensten, wenn ein Notfall dadurch abgewehrt werden kann, übermittelt werden dürften.42 Aus der im § 90 Abs. 8 TKG normierten sechsmonatigen Speicherpflicht der Standortdaten für Mobilfunkanbieter lässt sich kein subjektives Recht auf Auskunft von allenfalls gespeicherten Standortdaten eines Teilnehmers im Sinne des § 3 Z 19 TKG ableiten.43 Insgesamt bleibt dabei jedoch offen, in welcher Form der «Nutzernachweis» gegenüber einem Telekommunikationsdiensteanbieter (bzw. weiteren ähnlich gelagerten Anbietern, wie z.B. für mobilen Internetzugang oder Fahrzeuge mit GPS-Sender) zweifelsfrei erbracht werden kann, sodass der Betroffene vom Auftraggeber Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten erhält. Denkbar wäre eine Art Anmeldung/Zuordnung bei verschiedenen Nutzern eines Geräts, sodass nur der «korrekte» Betroffene Auskunft erhalten könnte – dies liefe jedoch dem Vorteil der Anonymität bei Wertkartenmobiltelefonie zuwider.
2.4.
Postversand ^
Ein Praxishinweis zum postalischen Versand des Auskunftsbegehrens: Zu Beweiszwecken ist die Aufgabe als Einschreiben mit Rückschein bei der Post empfehlenswert. Der vorab ausgefüllte Rückschein begleitet den Brief bis zum Empfänger, wird von diesem unterzeichnet und mir zugestellt, sodass ich die Bestätigung bekomme, dass der Adressat mein Auskunftsbegehren entgegengenommen hat. Damit weiß ich genau, wann und von wem mein eingeschriebener Brief übernommen wurde.44 Bei meinem an Facebook Ireland Ltd. gerichteten Auskunftsbegehren habe ich die Versandform Einschreiben/Rückschein gewählt, um sicher zu gehen, dass ich einen Abschnitt zurückbekomme, auf dem ich die Bestätigung habe, dass mein Auskunftsbegehren bei Facebook eingelangt ist. Im vorliegenden Fall hatte ich allerdings nach acht Wochen weder den Rückschein, noch die Auskunft mit den über mich gespeicherten Daten, noch Informationen über den Verbleib des Briefes (ob dieser tatsächlich zugestellt wurde) erhalten. Die Online-Abfrage der Sendungsverfolgung via Strichcode funktionierte im konkreten Fall auch nicht, sodass ich nicht wusste, wo sich mein Brief befindet. Die Post bietet in diesem Fall kostenpflichtige (€ 25.–, die man zurückbekommt, wenn die Post zum Ergebnis gelangt, dass die Zustellung nicht funktioniert hat) Nachforschungen an, denn sie sieht ihre Hauptaufgabe bei der Nachforschung darin, die erfolgreiche Zustellung zu beweisen. Ich hingegen sehe die Hauptaufgabe der Post darin, die ordnungsgemäße Abgabe des Briefes online zu dokumentieren (mittels Sendungsverfolgungs-Funktion) sowie mir den Rückschein zuzustellen. Ich habe daraufhin beschlossen, Facebook ein zweites Auskunftsbegehren zuzusenden, um die gewünschte Auskunft zu erhalten – Details dazu später. Im vorliegenden Fall habe ich wohl bei der ersten Sendung eine veraltete Anschrift verwendet, sodass dieser Brief nicht zugestellt wurde und ich auch den Rückschein nicht erhalten habe.
2.5.
Erteilung der Auskunft ^
Im nächsten Abschnitt wird die Erteilung der Auskunft thematisiert. Das subjektive Recht auf Auskunft über eigene Daten gemäß § 26 Abs. 1 DSG umfasst den Anspruch, eine vollständige und richtige Auskunft im vom Gesetz umschriebenen Umfang über eigene Daten, die der Auftraggeber verarbeitet, vom Auftraggeber zu erhalten.45 Weiters sind Informationen über die Herkunft (soweit verfügbar46), etwaige Empfänger bzw. Kategorien der Empfänger von Übermittlungen, der Zweck sowie die Rechtsgrundlage der Datenverwendung beizufügen. Auf Verlangen des Betroffenen sind Name und Anschrift herangezogener Dienstleister bekanntzugeben. Auf das Gebot, die Auskunft in allgemein verständlicher Form zu erteilen, wird anhand eines Praxisfalls detaillierter eingegangen.47
2.5.1.
Verarbeitete Daten ^
Die Auskunft hat § 26 Abs. 1 DSG zufolge lediglich «verarbeitete Daten» i.S.d. § 4 Z 9 DSG zu umfassen. Daten, die der um Auskunft ersuchte Auftraggeber einer Datenanwendung aus einer anderen Datenanwendung, für die er nicht Auftraggeber ist, erhoben hat, ohne sie in der eigenen Datenanwendung verarbeiten zu wollen, unterliegen daher nicht dem Auskunftsrecht. Das bloße Erheben von Daten ohne Verarbeitungsabsicht ist nach § 4 Z 10 DSG kein «Ermitteln» und damit auch kein «Verarbeiten». Im konkreten Fall wurden Daten zu Kontrollzwecken abgefragt, aber nicht verarbeitet.48 Denkbar wären auch Datensätze, die ohne Verarbeitungssicht in die Sphäre des Auftraggebers gelangen – wie beispielsweise postalische Zusendungen oder andere unverlangt eingegangene Informationen. Ebenfalls nicht von der Auskunftspflicht umfasst sind bereits vernichtete Datensätze – da es de facto unmöglich ist, sorgfältig gelöschte bzw. aus anderen Gründen nicht länger verfügbare Daten zu beauskunften.49 Dies hielt die DSB auch im Zusammenhang mit der Aufhebung der Vorratsdatenspeicherung50 fest: Das Beschwerdeverfahren nach § 31 DSG dient der Durchsetzung des Auskunftsanspruchs und nicht der Feststellung möglicher vergangener Rechtsverletzungen. Folglich kann ein durch eingetretene faktische Unmöglichkeit nicht mehr durchsetzbares Recht gemäß § 31 Abs. 7 und 8 DSG auch nicht zum Gegenstand der Feststellung gemacht werden, in diesem Recht in der Vergangenheit verletzt gewesen zu sein.51
§ 26 Abs. 1 DSG umfasst nur «verarbeitete Daten», worunter in einer gegenwärtig existierenden Datenanwendung vorhandene Daten zu verstehen sind, nicht jedoch Daten in früheren Datenanwendungen, selbst wenn die Daten physisch identisch sind und nur der Zweck ihrer Verwendung (unter Aufgabe des früheren Zweckes) geändert wurde.52 Der Begriff der «verarbeiteten Daten» impliziert eine bereits vergangene Handlung – ein Auskunftsbegehren kann folglich niemals in die Zukunft gerichtet sein («Was wird mit meinen Daten geschehen?»), zudem hielt die DSK fest, dass das Recht auf Auskunft keinen Anspruch auf Unterlassung der Verwendung irgendwelcher Daten beinhaltet. Ein solcher Unterlassungsanspruch kann aber, wie aus § 32 Abs. 2 DSG zu folgern ist, gegenüber Auftraggebern des privaten Bereichs durch Klage auf dem gerichtlichen Rechtsweg eingefordert werden, wobei als Anspruchsgrundlage insb. die (Grund-)Rechte auf Geheimhaltung gemäß § 1 Abs. 1 und auf Löschung gemäß § 27 Abs. 1 DSG in Frage kommen.53 Ein Auskunftswerber begehrte Auskunft über eine Pensionsvorausberechnung («Höhe des Pensionsanspruchs zum gegenwärtigen Zeitpunkt»). Selbst wenn eine solche Berechnung auf Grundlage verarbeiteter Daten möglich sein sollte, fällt sie nicht unter das datenschutzrechtliche Auskunftsrecht, solange das Ergebnis der Berechnung nicht im Zeitpunkt des Einlangens des Auskunftsbegehrens bereits gespeichert und jederzeit abrufbar vorliegt.54 Der Auskunftsanspruch des Betroffenen umfasst nicht die Bekanntgabe, in welcher Form Daten konkret verarbeitet wurden (beispielsweise Abfragen, Benützen oder Ausgeben bzw. Ausdrucken von Daten).55
Für Protokolldaten, die ausschließlich durch sequentielle Suche (nicht automationsunterstütztes Lesen der Protokolle) aufgefunden werden können, besteht keine Auskunftsverpflichtung.57 Der Auftraggeber müsste in diesem Fall einen unverhältnismäßigen Aufwand gemäß § 26 Abs. 2 DSG geltend machen, abhängig davon, wie umfangreich das in die Prüfung miteinzubeziehende Datenvolumen jeweils ist. Der Begriff «Protokolldaten» wird dabei als Überbegriff für umfangreiche Datensammlungen gewählt und könnte insofern irreführend sein. Ein kategorischer Ausschluss der Auskunftserteilung aus sequentiell gespeicherten Daten wäre jedoch grundrechtswidrig, da es darauf ankommt, ob der Auftraggeber in concreto nicht selbst über Suchinstrumente (beispielsweise Standardsoftware wie MS-Excel) verfügt, die ihm eine gezielte Suche trotz der zeitlich sequentiellen Speicherform ermöglichen oder zumindest erheblich erleichtern. Der Auftraggeber wird in diesem Fall in derselben Weise Auskunft geben müssen, in der er selbst eine Suche zu den von ihm angestrebten Zwecken durchführen würde. Im betreffenden Fall wurden Logfiles zur Kontrolle von potenziell strafrechtswidrigen Internetzugriffen durch den Auftraggeber gespeichert.58 Reine Protokolldaten (z.B. zu welcher Uhrzeit wurde eine Eintragung vorgenommen) unterliegen ebenfalls nicht dem Auskunftsanspruch.59
2.5.2.
Allgemein verständliche Form ^
Die im § 26 Abs. 1 DSG normierte «allgemein verständliche Form» bezieht sich auf den ersten Blick auch auf die Struktur der Auskunftserteilung. Die DSK hat diesbezüglich in einer Entscheidung allerdings festgehalten, dass kein «Rechtsanspruch auf klare Strukturierung einer Datenanwendung» (zwecks besserer Lesbarkeit durch den Betroffenen) besteht.60 Der Auftraggeber kann folglich selbst im eigenen Ermessen die Struktur der Datenanwendung festlegen. Es wäre dem Auftraggeber auch zu raten, für entsprechende Abfragemöglichkeiten zu sorgen, denn das Auskunftsrecht umfasst alle personenbezogenen verarbeiteten Daten – der Auskunftsanspruch darf folglich nicht durch eine bewusst mangelhafte technische Strukturierung der Datenbank eingeschränkt werden.61 Unklar scheint, ob die Daten in Reinform (im Sinne von: unbearbeitet) zur Verfügung gestellt werden dürften oder ob entsprechende Kennzeichnungen bzw. Bearbeitungsschritte (sensible Daten entschlüsseln, chronologische Sortierung) durch den Auftraggeber vorgenommen werden müssen, damit der Betroffene mit den Daten auch etwas anfangen kann. Dohr/Pollirer/Weiss/Knyrim weisen in diesem Zusammenhang darauf hin, dass «interne Codes, technische Abkürzungen, und fremdsprachige Ausdrücke für einen Betroffenen derart zu verdeutlichen oder zu erläutern sind, um unter Anlegung einer Durchschnittsbetrachtung die Verständlichkeit der Auskunft zu gewährleisten»62. Auch verarbeitete Codes, deren Bedeutung dem Auftraggeber nicht mehr geläufig sein sollte, sind unter Offenlegung dieser Tatsache zu beauskunften.63 In einer Entscheidung der DSK waren die Daten in den Datenanwendungen des Auftraggebers zu einem Großteil unter englischsprachigen Bezeichnungen bzw. mit englischsprachigen Inhalten gespeichert, deren Bedeutung sich für den durchschnittlichen Empfänger nicht erschließt, sodass die Auskunftserteilung zwar nicht als falsch oder unrichtig bezeichnet werden kann, mangels allgemeiner Verständlichkeit aber nicht dem Gesetz entspricht. Da die deutsche Sprache die verfassungsmäßige Amts-, Unterrichts- und allgemeine Verkehrssprache auf dem Staatsgebiet der Republik Österreich ist, den Auskunftswerber also niemand verpflichten kann, die englische Sprache zu sprechen oder sich ihrer im Rechtsverkehr zu bedienen, hätte der Auftraggeber englischsprachige Inhalte ihrer Datenanwendungen zumindest durch Beifügung einer entsprechenden Erklärung oder Übersetzung allgemein verständlich machen müssen. Diese Verfassungsbestimmung bindet direkt zwar nur Staatsorgane (u.a. sind Verfahren vor der DSB zwingend in deutscher Sprache zu führen64), und hindert Privatpersonen nicht daran, sich auch im Rechtsverkehr (etwa bei der Abfassung von Verträgen) im Konsens anderer Sprachen zu bedienen.65
Falls Unklarheiten (beispielsweise über Abkürzungen) hinsichtlich der erteilten Auskunft bestehen, so hat der Betroffene dies im Rahmen seiner Mitwirkungspflicht dem Auftraggeber mitzuteilen, dieser hat darüber aufzuklären.68 In einem Praxisfall wurden von Seiten des Bundesministeriums für Landesverteidigung und Sport (Bundesheer) mir nicht geläufige (hauptsächlich medizinische Werte betreffende) Abkürzungen verwendet und mir auf Nachfrage erklärt, was beispielsweise die Kategoriebezeichnungen «Hb1AC», «MCHC» oder «H90.0» bedeuten.
2.5.3.
Konkrete Feldinhalte ^
Der Auskunftsanspruch umfasst die Bekanntgabe der konkret über die eigene Person gespeicherten Daten (beispielsweise «männlich» oder «01.06.2016») – die Auskunft ist folglich unvollständig, wenn bloß die Kategorien bzw. Feldbezeichnungen (beispielsweise «Geschlecht» oder «DNA-Auswertung»69) wiedergegeben werden.70 Ebenso genügt nicht der allgemeine Verweis einer Bank, dass die über den Betroffenen gespeicherten Daten aus einem bestimmten Kreditvertrag entnommen worden sind, ohne die konkret vorliegenden Daten zu nennen.71 Das Auskunftsrecht nach § 26 DSG enthält keine Verpflichtung, die Beilagen einer Auskunft mit DVR- Nummer und Schriftköpfen zu versehen. Das Fehlen der DVR-Nummer und/oder Schriftköpfe auf Beilagen ist daher nicht als unvollständige Auskunft zu qualifizieren.72 Die Auskunft gilt als vollständig erteilt, wenn der Auftraggeber bei einem Einfamilienhaus die Adresse nur mit Straßennamen und Hausnummer bekannt gibt, während die Postwurfsendung auch die Türnummer enthält.73 In einem Praxisfall hatte der Auftraggeber lediglich angegeben, dass meine Daten «im Schulverwaltungsprogramm und [...] in der Absolventenliste gespeichert» seien. Dies stellte klarerweise eine unvollständige Auskunft dar, die mithilfe der DSB ergänzt wurde.
2.5.4.
Herkunft der Daten ^
Sollte es dennoch nicht bzw. nur mit unverhältnismäßig hohem Aufwand möglich sein, die Herkunft der Daten zu eruieren, so kann eine Information diesbezüglich unterbleiben80 – die Beweislast, dass eine Ausnahme von der Verpflichtung zur Auskunftserteilung über die Herkunft der Daten vorliegt, trifft den Auftraggeber. Ein Klagebegehren ist in diesem Fall wegen Unmöglichkeit der Leistung (Rekonstruktion der Herkunft der Daten) abzuweisen.81 Der VfGH stellte fest, dass über vorhandene Daten, auch wenn sie nicht gespeichert werden mussten, grundsätzlich Auskunft zu geben ist.82 Unklar ist, aus welchen Gründen das Wort «verfügbaren» vor Informationen durch die DSG-Novelle 2010 gestrichen wurde – im Sinne einer richtlinienkonformen Auslegung bleibt die Einschränkung auf verfügbare Informationen über die Herkunft der Daten weiterhin bestehen.83 Es genügt zudem, wenn der Auftraggeber angibt, von wem er die Daten bezogen hat – wie der OGH bereits feststellte, muss der Datenfluss nicht über alle Vormänner bis an die Quelle zurückverfolgbar sein.84 Dies ist auf etwaige «Nachmänner» zu übertragen: Der Auftraggeber ist nach § 26 DSG lediglich verpflichtet, die Empfänger der Daten durch seine Übermittlungen, nicht aber die Empfänger von Daten der Übermittlungen anderer Auftraggeber zu beauskunften.85
2.5.5.
Empfänger bzw. Empfängerkreise von Übermittlungen ^
Die Auskunft hat weiters «allfällige Empfänger oder Empfängerkreise von Übermittlungen» zu enthalten. Übermittlungen sind jeweils so konkret zu beauskunften, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann. Stellt der Betroffene nämlich bei Prüfung der ihm erteilten Auskunft fest, dass unrichtige Daten betreffend seiner Bonität übermittelt worden sind, so muss er sich nicht drauf verlassen, dass der Auftraggeber seiner Pflicht gemäß § 27 Abs. 8 DSG (Verständigung der Übermittlungsempfänger von einer durchgeführten Richtigstellung) nachkommen wird. Der Betroffene hat vielmehr ein überwiegendes berechtigtes Interesse daran, alle beim Auftraggeber vorhandenen Daten der Übermittlungsempfänger zu erhalten, die er benötigt, um diese nötigenfalls selber ansprechen zu können.86
Zur Frage, ob es genügt, den Empfängerkreis zu beauskunften oder ob der konkrete Empfänger genannt werden muss, ist zu berücksichtigen, ob eine Übermittlung lediglich an einzelne Empfänger oder an eine Gruppe von Empfängern, also an einen Empfängerkreis, gegangen ist. Darüber hinaus kann sich aus der gebotenen Interessenabwägung zwischen dem Interesse des Betroffenen an der Auskunft und allfälligen berechtigten Interessen des Auftraggebers an der Geheimhaltung von Empfängern von Daten ergeben, sodass, obwohl Daten an einzelne Empfänger gegangen sind, zur Wahrung eines überwiegend berechtigten Geheimhaltungsinteresses des Auftraggebers oder Dritter, nur ein Empfängerkreis bekannt zu geben ist. 87 Der Empfängerkreis kann sich allerdings einerseits dadurch reduzieren, dass sich gemäß § 14 Abs. 3 DSG aus der Registrierung einer zu beauskunftenden Datenanwendung (bzw. aus einer zutreffenden Standard- oder Musteranwendung) ein «Empfängerkreis» ergibt, der keiner weiteren Präzisierung bedarf; andererseits kann dieser Kreis dadurch erweitert sein, dass der Auftraggeber selbst als (weiterer) «Empfänger» anzuführen ist, wenn er Daten, die für ein bestimmtes Aufgabengebiet bei ihm verarbeitet werden, auch für Zwecke eines anderen Aufgabengebietes verwendet und dadurch eine Übermittlung bewirkt.88 Der VfGH hält die Regelung des § 26 Abs. 1 DSG zur Auskunft über «allfällige Empfänger oder Empfängerkreise von Übermittlungen» auch unter dem Blickwinkel des Art. 18 des Bundes-Verfassungsgesetzes (B-VG) für unbedenklich. Die mit den beiden Möglichkeiten notwendige Entscheidung, ob Empfänger individuell bekannt gegeben oder auf (dem Datenverarbeitungsregister gemeldete oder in einer Muster- oder Standardverordnung genannte) Empfängerkreise hingewiesen wird, lässt sich im Einzelfall auf Grund einer Abwägung der Gesichtspunkte der Datenschutzinteressen der Beteiligten und öffentlicher Geheimhaltungsinteressen treffen. Die nur allgemein gehaltene Behauptung, mit einer Auskunft seien auch datenschutzrechtliche Interessen von Auftraggeber und Übermittlungsempfänger berührt, vermag eine Darlegung der Interessen und die gebotene Interessenabwägung nicht zu ersetzen.89
Die Pflicht zur Führung von Aufzeichnungen darüber, welche Datenübermittlungen aus einer bestimmten Datenanwendung vorgenommen wurden, treffen (alleine) den Auftraggeber – eine «Unmöglichkeit der Leistung» ist im Gegensatz zur «Herkunft der Daten»90 hierbei nicht denkbar, da diese Übermittlungsvorgänge jedenfalls rekonstruierbar sind.91 Es ist zu empfehlen, den konkreten Empfänger (beispielsweise ein bestimmtes Unternehmen oder die Konzernleitung) zu bezeichnen und unter Beifügung der Anschrift zu beauskunften. Sollte dies mit unverhältnismäßig hohem Aufwand verbunden sein – etwa, weil eine große Anzahl gleichartiger und eindeutig bestimmbarer Empfänger vorliegt (beispielsweise «alle Bürgermeister Österreichs») – so genügt die Angabe des Empfängerkreises. Weitere Beispiele aus der Literatur sind Banken, Versicherungen, Gerichte usw.92 Der Empfängerkreis darf jedoch nicht zu weit gefasst sein – «alle Unternehmen des B-Konzerns» wurde von der bisherigen Judikatur wegen Intransparenz (in Bezug auf das in § 6 Abs. 3 des Konsumentenschutzgesetzes [KSchG] normierte Transparenzgebot) für nichtig erklärt.93
2.5.6.
Verwendungszweck und Rechtsgrundlage ^
Der Betroffene hat weiters gemäß § 26 Abs. 1 3. Satz DSG das Recht, über den tatsächlichen Verwendungszweck der personenbezogenen Daten informiert zu werden – und zwar unabhängig davon, ob sich dieser bereits aus der Bezeichnung der Datenanwendung selbst ergibt.98 Ebenso ist die Rechtsgrundlage der Datenverwendung (Verarbeitung und Übermittlung der personenbezogenen Daten) Gegenstand der Auskunftserteilung. Diese «gesetzliche Zuständigkeit bzw. rechtliche Befugnis» ist i.S.d. §§ 7 ff. DSG zu beauskunften.99 Im öffentlichen Bereich ergibt sich die Rechtsgrundlage aus der «gesetzlichen Zuständigkeit» i.S.d. § 7 Abs. 1 DSG, im privaten Bereich beruht die Rechtsgrundlage meist auf den Statuten, dem Gesellschaftsvertrag i.V.m. den Eintragungen im Firmenbuch oder auf dem Gewerbeschein i.V.m. dem Gewerberegister.100 Eindeutig dem Gesetz bzw. den Materialien entnehmbarer Zweck des Auskunftsrechts und damit auch des Anspruches auf Bekanntgabe der Rechtsgrundlage von Verwendungsvorgängen ist es nämlich, dem Betroffenen die Verfolgung seiner sonstigen subjektiven Datenschutzrechte, insb. des Rechts auf Geheimhaltung, zu ermöglichen. Somit ist es ausreichend, wenn der Auftraggeber die aus seiner Sicht in Betracht kommenden Rechtsgrundlagen bekannt gibt. Wenn der Beschwerdeführer diese für unzutreffend hält, so hat er dies mittels des ihm zur Verfügung stehenden Rechtsschutzes gegen Verletzungen im Recht auf Geheimhaltung (§§ 30 ff. DSG) geltend zu machen.101 Hierbei liegt m.E. eine der besonderen Fallkonstellation der soeben zitierten Entscheidung zugrunde: Der Beschwerdeführer brachte darin vor, dass die Salzburger Jägerschaft seine Daten gegen Entgelt für Zwecke der Versendung von Werbematerial weitergegeben hatte – in diesem Fall ist es zutreffend, dass der Geheimhaltungsanspruch des Betroffenen verletzt wurde. Anders ist die Konstellation jedoch, wenn die Daten lediglich «intern» unzulässig verarbeitet werden – dann steht der Löschungsanspruch gemäß § 27 Abs. 1 Z 1 DSG (der Auftraggeber hat die Daten zu löschen, sobald ihm die unzulässige – mangels rechtlicher Zulässigkeit – Verarbeitung bekannt geworden ist) bzw. das Widerspruchsrecht gemäß § 28 Abs. 2 DSG (öffentliche Datenanwendung wie beispielsweise eine Online-Suchmaschine)102 im Vordergrund. Das Widerspruchsrecht nach § 28 Abs. 1 DSG wird in der Praxis schwieriger durchsetzbar sein, da der Betroffene in diesem Fall überwiegende schutzwürdige Geheimhaltungsinteressen nachzuweisen hat.103
2.5.7.
Dienstleister ^
2.5.8.
Auskunftserteilung im Katastrophenfall ^
2.6.
Pflicht zur Reaktion ^
Wie zuvor bereits geschildert, hat der Auskunftswerber Anspruch109 auf eine Antwort vom Auftraggeber, diese kann nach § 26 Abs. 1 5. Satz DSG auch in Form einer Negativauskunft erteilt werden.110 Die DSK präzisierte dies: Es müsse vom Auftraggeber eine eindeutige und unmissverständliche Äußerung (Auskunft oder Mitteilung über die Gründe für die Nichterteilung einer Auskunft) ausgehen111 – erst dann ist das Auskunftsbegehren i.S.d. § 26 Abs. 4 DSG als erfüllt anzusehen. Konsequenterweise sind im Falle einer Negativauskunft (keine Daten zum Auskunftswerber gespeichert) auch die durch den Auftraggeber herangezogenen Dienstleister nicht zu beauskunften (diese sind nur bekanntzugeben, falls sie mit der Verarbeitung seiner Daten beauftragt sind). Die Begründung für die Nichterteilung der Auskunft ist dabei auf § 1 Abs. 4 DSG zu stützen112.
2.7.
Beschränkung der Auskunft ^
§ 26 Abs. 2 DSG normiert in Umsetzung des Art. 13 DSRL weitere Beschränkungen des Auskunftsrechts. Die Auskunft ist nicht zu erteilen,
- soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist oder
- soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten
- insb. auch überwiegende öffentliche Interessen der Auskunftserteilung entgegenstehen.
2.8.
Mitwirkungspflicht des Auskunftswerbers ^
2.9.
Reaktionsfrist ^
2.10.
Schema zur Auskunftserteilung ^
3.
Ausblick auf die Datenschutz-Grundverordnung und DSG 2018 ^
Art. 15 DS-GVO enthält die Neuregelung des Auskunftsanspruchs des Betroffenen. Der Auftraggeber hat künftig explizit auf das Bestehen des Beschwerderechts bei einer Aufsichtsbehörde hinzuweisen. Abs. 3 geht auf die elektronische Einbringung des Auskunftsbegehrens ein, wodurch insgesamt ein rascherer und kostengünstigerer Ablauf zu erwarten ist (durch die Funktion «Lesebestätigung anfordern» bei der Einbringung mittels E-Mail ist ein verbindlicher Zeitpunkt bekannt, der den Fristenlauf des Auskunftsbegehrens determiniert). Haidinger weist darauf hin, dass sich durch die DS-GVO zwei Punkte jedenfalls ändern: gemäß Art. 15 Abs. 3 DS-GVO hat der Verantwortliche ausdrücklich Kopien (E-Mails, Datenbankauszüge) der personenbezogenen Daten zur Verfügung zur stellen,127 zudem sind gemäß Art. 15 Abs. 1 lit. d DS-GVO die Speicherfristen explizit zu beauskunften (Auftraggeber haben sich derzeit kaum mit derartigen Überlegungen auseinandergesetzt, weil oftmals ausreichend Speicherplatz für eine prinzipiell unbeschränkte Aufbewahrungsdauer vorhanden ist).128 Haidinger Im Unterschied zum DSG kann der Betroffene künftig gemäß Art. 12 Abs. 1 DS-GVO auch eine mündliche Auskunftserteilung verlangen, sofern er seine Identität entsprechend nachweist. Bei der Datenverarbeitung im Zusammenhang mit Kindern muss darauf geachtet werden, dass die Sprache und Darstellung (vgl. ErwGr. 58 DS-GVO, Verwendung visueller Elemente wie Symbole, Icons u.dgl.) der Informationen entsprechend angepasst wird.
Die Unentgeltlichkeit der Auskunftserteilung wird in Art. 12 Abs. 5 DS-GVO normiert. Demnach sind Informationen gemäß den Art. 13 und 14 DS-GVO sowie alle Mitteilungen und Maßnahmen gemäß den Art. 15 bis 22 und Art. 34 DS-GVO unentgeltlich zur Verfügung zu stellen. Allerdings kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich gänzlich weigern, aufgrund des Antrags tätig zu werden. Bei einem eher statischen Datenbestand wird ein Auskunftsersuchen pro Kalenderjahr wohl als verhältnismäßig einzustufen sein.129 Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen. Es ist dabei ebenso wie bei der mündlichen Auskunftserteilung empfehlenswert, alle relevanten Tatsachen zu dokumentieren. Bei der gänzlichen Verweigerung der Auskunftserteilung ist wohl dennoch eine mit der Negativauskunft vergleichbare Information an den Betroffenen zu richten.
Die Aufsichtsbehörde (aktuell: «Datenschutzbehörde») ist künftig gemäß Art. 55 DS-GVO für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. Damit erhält sie voraussichtlich auch eine Strafbefugnis, die bisher bei den Bezirksverwaltungsbehörden angesiedelt war. Sollte ein Auftraggeber die Rechte der betroffenen Person (also beispielsweise den Auskunftsanspruch) missachten, so hat die Aufsichtsbehörde gemäß Art. 83 Abs. 5 DS-GVO eine Geldbuße von bis zu € 20 Millionen oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zu verhängen, je nachdem, welcher der Beträge höher ist. Dies führt zu einem Spannungsverhältnis mit österreichischem Verfassungsrecht, da der VfGH in ständiger Rsp. die Auffassung vertritt, dass Art. 91 Abs. 2 und 3 B-VG (Anklageprinzip) die Verhängung hoher Geldstrafen (ab etwa € 200'000.–) den ordentlichen Gerichten vorbehalten ist.132 Dementsprechend sollte der österreichische Gesetzgeber von der Ausnahmebestimmung des Art. 83 Abs. 9 DS-GVO Gebrauch machen und die Verhängung der Geldbußen zur Gänze den Gerichten überantworten. Die Geldbußen sollen im Einzelfall wirksam, verhältnismäßig und abschreckend sein (Art 83 Abs. 1 DS-GVO), sodass sich die Verantwortlichen bereits vor Aufnahme der Datenverarbeitung intensiv damit befassen, wie diese aus Sicht des Datenschutzes konzipiert werden muss (insbesondere können Flüchtigkeitsfehler wie das Versenden einer E-Mail an mehrere Empfänger zu hohen Geldbußen führen). Falls sich der Verantwortliche künftig nicht an der DS-GVO orientiert, drohen somit nicht bloß Imageschäden und Ablenkung von der Arbeitsleistung, sondern eben auch existenzgefährdende Geldbußen und sonstige Sanktionen (Verwarnung, vgl. ErwGr. 148 und 150 DS-GVO).133
Mag. Joachim Galileo Fasching, LL.M. hat Rechtswissenschaften an der Universität Salzburg (Diplomarbeit zum Auskunftsbegehren im Datenschutzrecht) und anschließend Informations- und Medienrecht an der Universität Wien (Masterthesis zu Anwendungsbereichen der Blockchain-Technologie und ausgewählten Rechtsfragen) studiert. Er ist nun in Wien als Geschäftsführer einer Beratungsfirma mit den Schwerpunkten Datenschutz, E-Commerce und Trendforschung tätig.
Die vollständige Diplomarbeit steht hier zum Download bereit.
- 1 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281/31 vom 23. November 1995.
- 2 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119/1 vom 4. Mai 2016.
- 3 Kurt Bednar, Rechtliche Probleme des Datenschutzgesetzes, ÖJZ 1980, 281(282). Die Drittwirkung des Grundrechts auf Datenschutz wurde bereits im DSG 1978 normiert.
- 4 Charta der Grundrechte der europäischen Union, ABl. C 326/391 vom 30. März 2010, S. 393.
- 5 Walter Dohr/Hans J. Pollirer/Ernst M. Weiss/Rainer Knyrim, Kommentar Datenschutzrecht, Manz Verlag, 2. Auflage, Wien 2017, 210/53 in § 26 Anm 5.
- 6 VwGH 19. Dezember 2006, 2005/06/0111 = VwSlg 17090 A/2006.
- 7 OGH 10. Juli 1986, 6 Ob 12/85, veröffentlicht in RdW 1986, 306–308 = JBl 1986, 663.
- 8 OGH 10. Juli 1986, 6 Ob 12/85, veröffentlicht in RdW 1986, 306–308 = JBl 1986, 663.
- 9 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/53 in § 26 Anm 5.
- 10 DSK 30. Mai 2008, K121.356/0005-DSK/2008.
- 11 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/57f in § 26 Anm 30.
- 12 ErlRV 1613 BlgNR XX. GP, 47 verdeutlichen, dass die Auskunft dann unentgeltlich zu erteilen sei, wenn die Auffindung der zu beauskunftenden Daten für den Auftraggeber keine besondere Belastung darstellt («wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft»).
- 13 DSK 10. Juli 2009, K121.495/0013-DSK/2009.
- 14 DSK 22. Oktober 2008, K121.386/0009-DSK/2008; ebenso DSK 20. Januar 2010, K121.578/0002-DSK/2010; DSK 25. Februar 2009, K121.492/0004-DSK/2009.
- 15 VwGH 9. September 2008, 2004/06/0221 = VwSlg 17515 A/2008 = jusIT 2008/109, 225 mit Anm. Jahnel.
- 16 So Bescheidpraxis der DSK, u.a. in DSK 5. Juni 2009, K121.525/0004-DSK/2009; DSK 2. Februar 2007, K121.225/0001-DSK/2007; DSK 16. November 2004, K120.959/0009-DSK/2004.
- 17 VwGH 27. November 2007, 2006/06/0262.
- 18 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/53 f. in § 26 Anm 7.
- 19 DSK 29. Februar 2008, K121.344/0002-DSK/2007.
- 20 Dietmar Jahnel, Datenschutzrecht – Grundrecht auf Datenschutz, Zulässigkeitsprüfung, Betroffenenrechte, Rechtsschutz, Jan Sramek Verlag KG, Wien 2010, 375 in 7/19.
- 21 DSK 29. Februar 2008, K121.344/0002-DSK/2007; vgl. DSK 1. Februar 2013, K121.930/0004-DSK/2013.
- 22 VwGH 9. September 2008, 2004/06/0221 = VwSlg 17515 A/2008 = jusIT 2008/109, 225 mit Anm. Jahnel. Vgl. OGH 25. Februar 1993, 6 Ob 6/93, der feststellte, dass das Auskunftsrecht eines Betroffenen gegenüber dem Auftraggeber davon abhängig sei, dass er als Erheber eines Auskunftsbegehrens seine Wesensgleichheit mit der Person nachweist, deren Daten Gegenstand der Auskunft sein sollen.
- 23 DSK 10. Juli 2009, K121.495/0013-DSK/2009.
- 24 § 21 Zustellgesetz (ZustG).
- 25 § 35 ZustG.
- 26 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/54 in § 26 Anm. 8 mit Verweis auf die Tarifstruktur der Österreichischen Post AG: https://www.post.at/tarife_privat.php (alle Websites zuletzt besucht am 18. Mai 2018), Abschnitt «Einschreiben/Zusatzleistungen».
- 27 VwGH 9. September 2008, 2004/06/0221 = VwSlg 17515 A/2008 = jusIT 2008/109, 225 mit Anm. Jahnel.
- 28 DSK 2. Februar 2007, K121.225/0001-DSK/2007.
- 29 Jahnel (Fn. 20), 373 f. in 7/18.
- 30 Jahnel (Fn. 20), 375 in 7/19.
- 31 DSK 2. September 2011, K121.715/0010-DSK/2011.
- 32 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/54 in § 26 Anm. 8.
- 33 DSK 21. März 2007, K121.258/0003-DSK/2007.
- 34 Siehe Begriff Mitwirkungsobliegenheit, 53.
- 35 VwGH 9. September 2008, 2004/06/0221 = VwSlg 17515 A/2008 = jusIT 2008/109, 225 mit Anm. Jahnel; ebenso DSK 10. April 2013, K121.924/0006-DSK/2013.
- 36 AB 2028 der Beilagen XX. GP, 3 zu § 26.
- 37 DSK 10. Juli 2009, K121.495/0013-DSK/2009.
- 38 DSK 25. Oktober 2013, K122.023/0006-DSK/2013; DSK 6. September 2013, K121.964/0015-DSK/2013.
- 39 VwGH 9. September 2008, 2004/06/0221 = VwSlg 17515 A/2008 = jusIT 2008/109, 225 mit Anm. Jahnel.
- 40 DSK 2. Februar 2007, K121.225/0001-DSK/2007; DSK 2. August 2005, K121.034/0006-DSK/2005.
- 41 DSB 15. April 2016, DSB-D122.418/0002-DSB/2016.
- 42 Vgl. OGH 13. April 2011, 15 Os 172/10y.
- 43 DSB 15. April 2016, DSB-D122.418/0002-DSB/2016.
- 44 Details dazu: https://www.post.at/privat_versenden_brief_oesterreich_zusatzleistungen.php#6359.
- 45 DSK 23. August 2002, K120.819/003-DSK/2002.
- 46 Aus dem Gesetz geht keine ausdrückliche Pflicht hervor, die Herkunft von Daten zu dokumentieren. Auch besteht keine auf das DSG gegründete Pflicht, eine in den Jahren 2008 oder 2009 gesendete E-Mail zu archivieren und dem Beschwerdeführer in Kopie vorzulegen – so DSK 24. April 2012, K121.751/0006-DSK/2012.
- 47 Siehe Begriff Abkürzungen, 41.
- 48 DSK 20. Oktober 2006, K121.154/0014-DSK/2006.
- 49 Vgl. Heinz Drobesch/Walter Grosinger, Das neue österreichische Datenschutzgesetz, Manz Verlag, 2. Auflage, Wien 2000, Anm. 6 zu § 26, 204. Ebenso DSK 18. Januar 2008, K121.326/0002-DSK/2008: «[...] darauf hinzuweisen, dass sich die Auskunftspflicht des § 26 DSG 2000 [...] ausschließlich auf beim Auftraggeber (noch) gespeicherte Daten bezieht.’
- 50 VfGH 27. Juni 2014, G 47/2012 u.a. = VfSlg 19892, Kundmachung BGBl. I Nr. 44/2014.
- 51 DSB 1. Oktober 2014, DSB-D122.020/0012-DSB/2014 bestätigt durch BVwG 17. November 2015, W214 2014069-1/15E.
- 52 DSK 28. Juni 2006, K121.075/0013-DSK/2006.
- 53 DSK 23. August 2002, K120.819/003-DSK/2002.
- 54 DSK 25. Mai 2012, K121.791/0008-DSK/2012.
- 55 DSK 20. August 2002, K120.800/010-DSK/2002; VwGH 28. April 2009, 2005/06/0194 = VwSlg 17680 A/2009.
- 56 DSK 8. Oktober 2004, K120.826/0002-DSK/2004; DSK 7. Juni 2005, K120.912/0008-DSK/2005.
- 57 AB 2028 der Beilagen XX. GP, 3 zu § 26.
- 58 DSK 23. Mai 2007, K121.259/0013-DSK/2007.
- 59 DSK 2. August 2005, K121.038/0006-DSK/2005.
- 60 DSK 5. April 2005, K120.986/0008-DSK/2005.
- 61 VwGH 27. Mai 2009, 2007/05/0052 = VwSlg 17706 A/2009, jusIT 2009/76, 153 mit Anm. Jahnel.
- 62 Dohr/Pollirer/Weiss/Knyrim (Fn. %), 210/55 in § 26 Anm. 17.
- 63 DSK 3. Oktober 2007, K121.290/0015-DSK/2007.
- 64 VwGH 23. Februar 2000, 2000/12/0026.
- 65 DSK 22. Mai 2013, K121.935/0006-DSK/2013.
- 66 DSK 5. April 2005, K120.986/0008-DSK/2005.
- 67 DSK 12. November 2004, K120.902/0017-DSK/2004.
- 68 DSK 5. April 2005, K120.986/0008-DSK/2005.
- 69 DSK 27. Februar 2004, K120.761/0002-DSK/2004. In der vorliegenden Entscheidung gab die DSK der Beschwerde statt und trug dem BMI auf, dem Betroffenen die Auswertung der DNA-Untersuchung zu überlassen bzw. ein Gleichstück des dabei aufgenommenen Filmstreifens auszufolgen.
- 70 DSK 23. November 2001, K120.748/022-DSK/2001 und DSK 14. Dezember 2012, K121.877/0011-DSK/2012.
- 71 DSK 20. März 2009, K121.493/0007-DSK/2009.
- 72 DSK 18. Mai 2011, K121.652/0022-DSK/2011.
- 73 OGH 28. Oktober 1999, 3 Ob 132/99d = ecolex 2000, 578.
- 74 Siehe Begriff Datenanwendung, 14.
- 75 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/53 in § 26 Anm. 4.
- 76 DSK 25. Februar 2009, K121.427/0003-DSK/2009.
- 77 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/54 in § 26 Anm. 11.
- 78 DSK 3. Oktober 2007, K121.290/0015-DSK/2007.
- 79 VwGH 23. Januar 2007, 2006/06/0039 mit Verweis auf den zugrundeliegenden Bescheid DSK 16. Dezember 2005, K121.049/0023-DSK/2005.
- 80 DSK 12. November 2004, K120.902/0017-DSK/2004 und DSK 20. Mai 2005, K120.908/0009-DSK/2005 und DSK 10. August 2007, K121.276/0014-DSK/2007.
- 81 OGH 5. Mai 1988, 6 Ob 9/88; WBl 1989, 66. Vgl. JBl 1986, 663.
- 82 VfSlg 18.230/2007.
- 83 ErlRV 472, BlGNR XXIV. GP, 11.
- 84 OGH 28. Oktober 1999, 3 Ob 132/99d = ecolex 2000, 578.
- 85 DSK 16. Dezember 2009, K121.550/0017-DSK/2009; ebenso DSK 22. November 2013, K121.974/0019-DSK/2013.
- 86 DSK 3. Oktober 2007, K121.290/0015-DSK/2007.
- 87 VwGH 19. Dezember 2006, 2005/06/0111 = VwSlg 17090 A/2006.
- 88 DSK 16. Dezember 2009, K120.973/0015-DSK/2009; VwGH 28. April 2009, 2005/06/0194 = VwSlg 17680 A/2009; ebenso DSK 17. Juni 2011, K121.691/0015-DSK/2011.
- 89 VfGH 2. Oktober 2007, B227/05 = VfSlg 18230; siehe dazu die Anm. von Jahnel und Knyrim, jusIT 2008, 25.
- 90 OGH 5. Mai 1988, 6 Ob 9/88; WBl 1989, 66. Vgl. JBl 1986, 663.
- 91 OGH 10. Juli 1986, 6 Ob 12/85, veröffentlicht in RdW 1986, 306–308 = JBl 1986, 663.
- 92 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/54a in § 26 Anm. 13 und 14.
- 93 OGH 27. Januar 999, 7 Ob 170/98w; ecolex 1999, 464f = RdW 1999, 458. Näher dazu auch Rainer Knyrim, Datenschutzrecht – Praxishandbuch für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen, Outsourcen, Werben uvm. Manz’sche Verlags- und Universitätsbuchhandlung GmbH, 3. Auflage, Wien 2015, 174–176 und 194.
- 94 VwGH 19. Dezember 2006, 2005/06/0111 = VwSlg 17090 A/2006 mit Verweis auf den zugrundeliegenden Bescheid DSK 15. Februar 2005, K120.981/0002-DSK/2005; ebenso DSK 2. September 2003, K120.743/004-DSK/2003.
- 95 DSK 3. Oktober 2007, K121.278/0018-DSK/2007.
- 96 U.a. VwGH 19. Dezember 2006, 2005/06/0111 = VwSlg 17090 A/2006; DSK 8. Mai 2009, K121.470/0007-DSK/2009; DSK 15. Februar 2005, K120.981/0002-DSK/2005; DSK 7. Mai 2007, K121.280/0007-DSK/2007; DSK 2. September 2003, K120.743/004-DSK/2003.
- 97 DSK 14. Januar 2005, K120.970/0002-DSK/2005.
- 98 Anderer Ansicht jedoch Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/55 in § 26 Anm. 15.
- 99 DSK 1. Juli 2003, K501.349-040/003-DVR/2003.
- 100 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/55 in § 26 Anm. 16.
- 101 DSK 5. April 2005, K120.972/0004-DSK/2005.
- 102 Diese Bestimmung wurde bereits als verfassungswidrig aufgehoben (vgl. VfGH 8. Oktober 2015, G264/2015), die Aufhebung tritt jedoch erst mit 31. Dezember 2016 in Kraft.
- 103 § 28 Abs. 1 DSG stellt auf den Sonderfall ab, dass die Datenanwendung zwar zulässig ist, eine aus der spezifischen Situation des Betroffenen heraus vorgenommene Interessenabwägung aber zu Gunsten des Betroffenen ausfällt (vgl. OGH 14. September 2006, 6 Ob 167/06m).
- 104 DSK 23. November 2001, K120.748/022-DSK/2001 und DSK 14. Dezember 2012, K121.877/0011-DSK/2012.
- 105 DSK 21. März 2007, K121.255/0005-DSK/2007.
- 106 DSK 16. Mai 2008, K121.323/0007-DSK/2008.
- 107 DSK 6. Februar 2008, K121.328/0003-DSK/2008.
- 108 IA 515 BlGNR XXII. GP, 10.
- 109 Siehe Begriffe Auskunftsverweigerung, 52 und Pflicht zur Reaktion, 56.
- 110 ErlRV 472, BlGNR XXIV. GP, 11 und VwGH 27. Mai 2009, 2007/05/0052 = VwSlg 17706 A/2009, jusIT 2009/76, 153 mit Anm. Jahnel.
- 111 DSK 2. April 2008, K121.345/0005-DSK/2008; ebenso DSK 18. Januar 2008, K121.326/0002-DSK/2008 und DSK 20. Mai 2005, K120.897/0003-DSK/2005.
- 112 DSK 14. Dezember 1984, GZ 120.052 = ZfVB 1987, 257 (258).
- 113 DSK 23. Mai 2007, K121.259/0013-DSK/2007.
- 114 DSK 23. Mai 2007, K121.259/0013-DSK/2007. Im vorliegenden Fall wurden die 57 übermittelten Screenshots als «unverständlich» eingestuft, weil die Vollständigkeit aufgrund der großen Datenmenge schwer zu prüfen sei.
- 115 Dohr/Pollirer/Weiss/Knyrim (Fn. 5), 210/55 in § 26 Anm. 19.
- 116 Vgl. VwGH 19. Dezember 2006, 2005/06/0111 = VwSlg 17090 A/2006.
- 117 DSK 21. Januar 2009, K121.415/0002-DSK/2009 – hier hatte der Betroffene laufend die Möglichkeit, die Anzahl seiner Krankenstands-, Urlaubs- und Sonderurlaubstage mittels «Tagfiles» einzusehen. Anders jedoch DSK 23. Mai 2007, K121.259/0013-DSK/2007 – hier konnte der Betroffene nicht selbst abfragen, wer aller auf seinen dienstlichen Mail-Account Zugriff hatte, die Auskunft darüber wurde dem Auftraggeber aufgetragen.
- 118 ErlRV 472, BlGNR XXIV. GP, 11.
- 119 DSK 21. Juni 2005, K120.839/0005-DSK/2005.
- 120 DSK 2. August 2005, K121.038/0006-DSK/2005.
- 121 DSK 7. Juni 2005, K120.976/0003-DSK/2005.
- 122 Siehe Begriff Kostenersatz, 29.
- 123 Knyrim (Fn. 93), 326.
- 124 Viktoria Haidinger, Die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO), in: Rainer Knyrim (Hrsg.), Datenschutz-Grundverordnung – Das neue Datenschutzrecht in Österreich und der EU, Manz’sche Verlags- und Universitätsbuchhandlung GmbH, Wien 2016, 125 und 135.
- 125 A.A. Ursula Illibauer, Informationsrecht und Modalitäten für die Ausübung der Betroffenenrechte, in: Knyrim (Fn. 124), 116.
- 126 Näheres dazu in Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI), Datenschutz-Grundverordnung, Appel & Klinger Druck und Medien GmbH, Bonn 2016, 22 f.
- 127 Bisher lehnte die DSB dies ausdrücklich ab: DSK 22. Mai 2013, K121.925/0007-DSK/2013.
- 128 Haidinger (Fn. 124), 127 f.
- 129 Haidinger (Fn. 124), 126.
- 130 Illibauer (Fn. 125), 118.
- 131 Haidinger (Fn. 124), 134.
- 132 Vgl. insb VfSlg 12.151/1989 und Theo Öhlinger/Harald Eberhard, Verfassungsrecht, facultas Universitätsverlag, 11. Auflage, Wien 2016, Rz. 627 m.w.N. Der VfGH hat seine Auffassung auch nach Einführung der Verwaltungsgerichtsbarkeit erster Instanz nicht in Frage gestellt (vgl. etwa VfGH 10. März 2015, G 203/2014 u.a.).
- 133 Illibauer (Fn. 125), 337 und 342 f.
- 134 Näheres dazu in BfDI (Fn. 126), 19 f.
- 135 Alexander Flendrovsky, Die Aufsichtsbehörden, in: Knyrim (Fn. 124), 290.
- 136 Bundesministerium des Innern (BDI) (Referentenentwurf), Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680, 13. Oktober 2016, https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2016/09/Entwurf-ABDSG-E-08.2016.pdf.
- 137 Stephan Gärtner, Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts (Dissertation), Dr. Kovač, Hamburg 2011.