TE Vwgh Erkenntnis 2002/7/9 2000/01/0423

Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Kremla und die Hofräte Dr. Nowakowski, Dr. Pelant, Dr. Köller und Dr. Thoma als Richter, im Beisein der Schriftführerin Mag. Schimetits, über die Beschwerde des Bundesministers für Inneres gegen den Bescheid des Unabhängigen Verwaltungssenates Wien vom 21. August 2000, Zl. UVS - 02/P/13/5897/1999-26, betreffend Entscheidung nach § 88 SPG über die Vornahme einer erkennungsdienstlichen Behandlung (mitbeteiligte Partei: C P in W, vertreten durch Göbel & Hummer, Rechtsanwälte OEG in 1010 Wien, Weihburggasse 9), zu Recht erkannt:

Der angefochtene Bescheid wird im Umfang seiner Anfechtung (Erklärung der erkennungsdienstlichen Behandlung der Mitbeteiligten für rechtswidrig) wegen Rechtswidrigkeit infolge Unzuständigkeit der belangten Behörde aufgehoben.

Die Mitbeteiligte wurde am 12. November 1999 wegen des Verdachtes der Begehung eines Suchtgiftdeliktes im Bezirkspolizeikommissariat Wien 21 als Verdächtige einvernommen und im Anschluss an diese Einvernahme einer erkennungsdienstlichen Behandlung unterzogen. Mit der beim Unabhängigen Verwaltungssenat Wien (der belangten Behörde) am 22. Dezember 1999 eingelangten Beschwerde "gemäß § 67a

(1) Z. 2 AVG/§ 88 SPG" beantragte sie, den angefochtenen Verwaltungsakt - den sie als Akt unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt qualifizierte - ", nämlich die Abnahme meiner Fingerabdrücke und die Herstellung von Fotoaufnahmen meiner Person (erkennungsdienstliche Behandlung) am 12.11.1999 durch Beamte des Bezirkspolizeikommissariates Floridsdorf für rechtswidrig zu erklären und weiters von Amts wegen die Löschung der erkennungsdienstlichen Daten beim Büro für Erkennungsdienst, Kriminaltechnik und Fahndung der Bundespolizeidirektion Wien zu veranlassen."

Mit Bescheid vom 21. August 2000 gab die belangte Behörde der Beschwerde der Mitbeteiligten mit der Maßgabe statt, dass diese nicht durch die Ausübung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt, sondern gemäß § 88 Abs. 2 SPG auf andere Weise durch die Besorgung von Sicherheitsverwaltung in ihren Rechten verletzt worden sei; die erkennungsdienstliche Behandlung werde somit für rechtswidrig erklärt. Den Antrag auf Veranlassung der amtswegigen Löschung der erkennungsdienstlichen Daten wies die belangte Behörde hingegen zurück, weil es sich dabei angesichts der die Bundespolizeidirektion Wien nach § 67c Abs. 3 AVG treffenden Verpflichtung, unverzüglich den dem Bescheid entsprechenden Rechtszustand herzustellen, nicht um eine von den unabhängigen Verwaltungssenaten zu treffende Entscheidung handle. Im Übrigen (hinsichtlich des stattgebenden Teiles) begründete die belangte Behörde ihre Entscheidung im Wesentlichen damit, dass die Mitbeteiligte im Sinn des § 77 Abs. 1 SPG formlos zur erkennungsdienstlichen Behandlung aufgefordert worden sei, ohne dass die hiefür maßgeblichen Voraussetzungen nach § 65 Abs. 1 leg. cit. vorgelegen hätten. Zwar sei gegen sie weder ein Befehl mit unmittelbarem Befolgungsanspruch ergangen noch Zwang geübt worden, weshalb von der Anwendung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt im Zusammenhang mit der erkennungsdienstlichen Behandlung der Mitbeteiligten keine Rede sein könne. Ihrer Beschwerde sei jedoch im Rahmen des § 88 Abs. 2 SPG - sie sei durch die besagte Aufforderung auf andere Weise durch die Besorgung der Sicherheitsverwaltung in ihren Rechten verletzt worden - Folge zu geben gewesen, was seitens der belangten Behörde ohne Einschaltung der Datenschutzkommission habe festgestellt werden können. Das zu dieser Frage (Befassung der Datenschutzkommission) Stellung nehmende Erkenntnis des Verfassungsgerichtshofes vom 26. Juni 1997, B 1565/96, sei auf den vorliegenden Fall nicht übertragbar, weil es sich auf die Rechtslage vor Inkrafttreten des DSG 2000 beziehe.

Über die gegen diesen Bescheid erhobene Amtsbeschwerde des Bundesministers für Inneres hat der Verwaltungsgerichtshof - nach Erstattung von Gegenschriften seitens der belangten Behörde und seitens der Mitbeteiligten - erwogen:

1. Im vorliegenden Fall hat der beschwerdeführende Bundesminister seine Beschwerdebefugnis nach § 91 Abs. 1 Z 1 SPG in Anspruch genommen. Bei der Beschwerde nach dieser Gesetzesstelle handelt es sich aus verfassungsrechtlicher Sicht um eine solche nach Art. 131 Abs. 2 B-VG, bei der gegenständlich eine Behauptung der Verletzung eines Rechtes des Beschwerdeführers nicht in Betracht kommt. Dem trägt § 28 Abs. 2 VwGG Rechnung, wonach in solchen Fällen hinsichtlich der Inhaltserfordernisse der Beschwerde die Erklärung über den Umfang der Anfechtung an die Stelle des Beschwerdepunktes tritt. Das übersieht die Mitbeteiligte, wenn sie in ihrer Gegenschrift rügt, die gegenständliche Beschwerde lasse die Bezeichnung des Rechtes, welches verletzt worden sein soll, vermissen. Was indes die erforderliche Erklärung über den Umfang der Anfechtung anlangt, so kann im Ergebnis kein Zweifel bestehen, dass die Beschwerde nur gegen den stattgebenden Teil des bekämpften Bescheides gerichtet ist.

2. Der beschwerdeführende Bundesminister vertritt die Ansicht, dass die belangte Behörde ihr Verfahren im Hinblick auf § 88 Abs. 5 SPG nach § 14 Abs. 3 Datenschutzgesetz - DSG, BGBl. Nr. 565/1978, aussetzen und eine Entscheidung der Datenschutzkommission über die Rechtmäßigkeit der in der erkennungsdienstlichen Behandlung der Mitbeteiligten zu erblickenden Datenverwendung beantragen hätte müssen.

2.1. Das von der belangten Behörde erwähnte Erkenntnis des Verfassungsgerichtshofes vom 26. Juni 1997 hat in einem sachverhaltsmäßig vergleichbaren Fall (ebenfalls die "freiwillige" erkennungsdienstliche Behandlung einer Person betreffend; der unabhängige Verwaltungssenat hatte die dagegen erhobene Beschwerde unter Hinweis auf die von ihm angenommene Zuständigkeit der Datenschutzkommission zurückgewiesen) die Rechtslage vor Inkrafttreten des Datenschutzgesetzes 2000 (DSG 2000, BGBl. I Nr. 165/1999; das Inkrafttreten erfolgte mit 1. Jänner 2000, womit zugleich das DSG außer Kraft getreten ist; vgl. § 60 DSG 2000) dargestellt und zur gegenständlichen Problematik auf Basis dieser Rechtslage wie folgt ausgeführt:

"Der 3. Teil des SPG umfasst die §§ 28 bis 50 und ist überschrieben mit 'Befugnisse der Sicherheitsbehörden und der Organe des öffentlichen Sicherheitsdienstes im Rahmen der Sicherheitspolizei.' ...

Der 4. Teil des SPG - die §§ 51 bis 80 umfassend - regelt laut seiner Überschrift das 'Verwenden' personenbezogener Daten im Rahmen der Sicherheitspolizei. Unter 'Verwenden' personenbezogener Daten (vgl. § 3 Z 1 DSG) ist gemäß § 51 Abs. 1 SPG deren Ermitteln, Verarbeiten, Benützen, Übermitteln und Überlassen oder einer dieser Vorgänge zu verstehen ... . Die Bestimmungen des 4. Teiles des SPG gelten gemäß dessen § 51 Abs. 3 auch für das nicht automationsunterstützte Verwenden personenbezogener Daten. ... Die Sicherheitsbehörden sind gemäß § 65 Abs. 1 SPG ermächtigt, Menschen, die im Verdacht stehen, einen gefährlichen Angriff begangen zu haben, erkennungsdienstlich zu behandeln. ...

§ 88 SPG, BGBl. 566/1991 (die Novelle zum SPG BGBl. 201/1996 hat im vorliegenden Fall außer Betracht zu bleiben) und § 90 SPG, BGBl. 566/1991, lauten:

'Beschwerden wegen Verletzung subjektiver Rechte

§ 88. (1) Die unabhängigen Verwaltungssenate erkennen über Beschwerden von Menschen, die behaupten, durch die Ausübung unmittelbarer sicherheitsbehördlicher Befehls- und Zwangsgewalt in ihren Rechten verletzt worden zu sein (Art. 129a Abs. 1 Z 2 B-VG).

(2) Außerdem erkennen die unabhängigen Verwaltungssenate über Beschwerden von Menschen, die behaupten, auf andere Weise durch die Besorgung der Sicherheitsverwaltung in ihren Rechten verletzt worden zu sein, sofern dies nicht Form eines Bescheides erfolgt ist.

(3) Beschwerden gemäß Abs. 1, die sich gegen einen auf dieses Bundesgesetz gestützten Entzug der persönlichen Freiheit richten, können während der Anhaltung bei der Sicherheitsbehörde eingebracht werden, die sie unverzüglich dem unabhängigen Verwaltungssenat zuzuleiten hat.

(4) Über Beschwerden gemäß Abs. 1 oder 2 entscheidet der unabhängige Verwaltungssenat durch eines seiner Mitglieder. Im Übrigen gelten die §§ 67c bis 67g AVG.

(5) Beschwerden, bei denen § 67c Abs. 2 AVG nicht eingehalten wurde, sind zur Behebung der Mängel unter Gewährung einer kurzen Frist zurückzustellen; die Versäumung dieser Frist gilt als Zurückziehung.

(6) Ist für die Entscheidung des unabhängigen Verwaltungssenates gemäß Abs. 2 die Frage der Rechtmäßigkeit der Verwendung personenbezogener Daten nach den Bestimmungen des 4. Teiles maßgeblich, so hat der unabhängige Verwaltungssenat nach § 14 Abs. 3 des Datenschutzgesetzes vorzugehen.

...

Beschwerden wegen Verletzung der Bestimmungen über den Datenschutz

§ 90. (1) Die Datenschutzkommission entscheidet gemäß § 14 des Datenschutzgesetzes über Beschwerden wegen Verletzung von Rechten durch Verwenden personenbezogener Daten entgegen den Bestimmungen des Datenschutzgesetzes oder des 4. Teiles dieses Bundesgesetzes. Davon ausgenommen ist die Beurteilung der Rechtmäßigkeit der Ermittlung von Daten durch die Ausübung von Befugnissen nach den Bestimmungen des 3. Teiles dieses Bundesgesetzes.

(2) Soweit sich eine Beschwerde auf Daten des Beschwerdeführers bezieht, die gemäß § 62 Abs. 2 Z 2 der Geheimhaltung unterliegen, hat die Datenschutzkommission das Geheimnis auch in ihren Erledigungen zu wahren.'

§ 14 Datenschutzgesetz in der im Zeitpunkt des Inkrafttretens des Sicherheitspolizeigesetzes mit 1. Mai 1993 (bzw. 1. Jänner 1994) geltenden Fassung (BGBl. 565/1978) lautete:

'Rechtsschutz des Betroffenen

§ 14. (1) Die Datenschutzkommission (§ 36) erkennt, soweit nicht der Antrag des Betroffenen auf Auskunft (§ 11), Richtigstellung oder Löschung (§ 12) bereits Gegenstand eines Verfahrens vor der sachlich zuständigen Behörde ist, über Beschwerden wegen Verletzung von Bestimmungen dieses Bundesgesetzes oder der auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen, soweit der Beschwerdeführer behauptet, dadurch in seinen Rechten verletzt worden zu sein, sowie über Anträge gemäß Abs. 3.

(2) Erfolgte eine Richtigstellung oder Löschung auf Grund einer Entscheidung der für die Feststellung der Daten sachlich zuständigen Behörde, so ist die Datenschutzkommission an die rechtskräftige Entscheidung gebunden.

(3) Wird in einem Verwaltungsverfahren, in dem verarbeitete Daten benützt werden, die Verletzung von Bestimmungen dieses Bundesgesetzes oder der auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen behauptet, so ist das Verwaltungsverfahren, außer bei Gefahr in Verzug, bis zur Entscheidung der Datenschutzkommission auszusetzen (§ 38 AVG 1950). Gleichzeitig ist ein solches Verfahren zu beantragen.'

§ 14 Datenschutzgesetz, BGBl. 565/1978 idF des BG BGBl. 632/1994 (im folgenden: DSG), hat nunmehr folgenden Wortlaut:

'Rechtsschutz des Betroffenen

§ 14. (1) Die Datenschutzkommission erkennt über Beschwerden von Personen, die behaupten, in ihren Rechten nach diesem Bundesgesetz oder den hiezu ergangenen Verordnungen verletzt zu sein, sowie über Anträge gemäß Abs. 3.

(2) Bei Gefahr in Verzug für den Beschwerdeführer kann die Datenschutzkommission die Benützung oder Übermittlung von Daten oder einzelne Verarbeitungsvorgänge untersagen.

(3) Wird in einem vor einer anderen Verwaltungsbehörde durchgeführten Verwaltungsverfahren von einer Partei behauptet, in ihren Rechten nach diesem Bundesgesetz oder den hiezu ergangenen Verordnungen verletzt zu sein, so hat die Verwaltungsbehörde, außer bei Gefahr in Verzug, ihr Verfahren bis zur Entscheidung dieser Vorfrage durch die Datenschutzkommission auszusetzen und gleichzeitig die Entscheidung bei der Datenschutzkommission zu beantragen.'

...

Da vorliegendenfalls unmittelbare sicherheitsbehördliche Befehls- und Zwangsgewalt nicht angewendet wurde, durfte der UVS also davon ausgehen, dass er im vorliegenden Fall nicht gemäß § 88 Abs. 1 (iVm. § 90 Abs. 1, zweiter Satz) SPG zur Entscheidung über die an ihn gerichtete Beschwerde wegen Verletzung von Rechten durch 'Verwenden' personenbezogener Daten zuständig ist.

...

Hingegen hat der UVS dadurch in gesetzwidriger Weise seine Zuständigkeit abgelehnt, dass er nicht nach § 88 Abs. 2 (iVm. Abs. 6) SPG vorging. Gemäß § 88 Abs. 2 SPG erkennen die UVS über Beschwerden von Menschen, die behaupten, auf andere (als im § 88 Abs. 1 SPG umschriebene - dort handelt es sich um Ausübung unmittelbarer sicherheitsbehördlicher Befehls- und Zwangsgewalt) Weise durch Besorgung der Sicherheitsverwaltung in ihren Rechten verletzt worden zu sein, sofern dies nicht in Form eines Bescheides erfolgt ist. Damit sollte auch das 'schlichte Polizeihandeln', sofern es in Rechte eingreift, vor dem UVS überprüfbar sein, und der Klärung der Frage, ob einer bestimmten polizeilichen Maßnahme die Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt zu Grunde liegt, die Bedeutung genommen werden (vgl. die RV 148 BlgNR, 18. GP, 53).

Ist für die Entscheidung des UVS gemäß § 88 Abs. 2 SPG die Frage der Rechtmäßigkeit der 'Verwendung' personenbezogener Daten nach den Bestimmungen des 4. Teiles maßgeblich, so hat er kraft der Anordnung des § 88 Abs. 6 SPG nach § 14 Abs. 3 DSG vorzugehen. Nach § 14 Abs. 3 DSG hat die Verwaltungsbehörde - außer bei Gefahr im Verzug - ihr Verfahren bis zur Entscheidung dieser Vorfrage durch die Datenschutzkommission auszusetzen und gleichzeitig die Entscheidung bei der Datenschutzkommission zu beantragen, sofern in einem vor einer anderen Verwaltungsbehörde durchgeführten Verwaltungsverfahren von einer Partei behauptet wird, in ihren Rechten nach diesem Bundesgesetz oder den hiezu ergangenen Verordnungen verletzt zu sein.

Nun sieht zwar, wie dem UVS zuzugestehen ist, § 90 Abs. 1 SPG für Beschwerden wegen Verletzung der Bestimmungen über den Datenschutz die Zuständigkeit der Datenschutzkommission vor. Nach dem ersten Satz dieser Bestimmung entscheidet die Datenschutzkommission (mit Ausnahme der im zweiten Satz umschriebenen Angelegenheiten) gemäß § 14 des DSG über Beschwerden wegen Verletzung von Rechten durch Verwenden personenbezogener Daten entgegen den Bestimmungen des DSG oder des 4. Teiles des SPG. Von der Zuständigkeit des UVS nach § 88 Abs. 2 SPG sind aber Rechtsverletzungen durch die Besorgung der Sicherheitsverwaltung auch dann nicht ausgenommen, wenn sie in die Zuständigkeit der Datenschutzkommission fallen. Vielmehr hat sich der Gesetzgeber darauf beschränkt, für diesen Fall nur die Aussetzung des Verfahrens bis zur Entscheidung der Kommission anzuordnen (§ 88 Abs. 6 SPG). Er ist dabei offenbar davon ausgegangen, dass Beschwerden nach § 88 Abs. 2 SPG Fragen der Rechtmäßigkeit der Verwendung personenbezogener Daten (nach den Bestimmungen des 4. Teiles des Gesetzes) häufig vermischt mit anderen Fragen aufwerfen.

Die Zuständigkeit des UVS gemäß § 88 Abs. 2 SPG kann folglich auch in jenen Fällen nicht verneint werden, in denen sich eine Beschwerde an den UVS ausnahmsweise in der Behauptung der Verletzung von Bestimmungen über den Datenschutz erschöpft. Denn der Gesetzgeber hat diesfalls, wie die Materialien zum SPG (RV 148 BlgNR 18. GP, 53) zum Ausdruck bringen, für Beschwerden gemäß § 88 Abs. 2 SPG, die sich (auch) auf die Rechtmäßigkeit der 'Verwendung' personenbezogener Daten nach den Bestimmungen des 4. Teiles des SPG beziehen, im Interesse des Bürgers nicht eine ausschließliche Zuständigkeit der Datenschutzkommission vorgesehen. Weiters heißt es dazu in den genannten Materialien:

'Es kann somit auch eine solche Beschwerde beim unabhängigen Verwaltungssenat (und selbstverständlich auch bei der Datenschutzkommission) eingebracht werden. Der Senat hat jedoch gemäß § 14 Abs. 3 des Datenschutzgesetzes vorzugehen und die Entscheidung der Datenschutzkommission in sein Verfahren einzubeziehen.'

Im Ergebnis sieht das Gesetz also für solche Fälle - 'im Interesse des Bürgers' - bloß eine zweite Einbringungsstelle für Beschwerden wegen Verletzung von Rechten durch 'Verwenden/Verwendung' personenbezogener Daten entgegen den Bestimmungen des 4. Teiles des SPG vor. Es missachtet damit nicht das Gebot, strikte Zuständigkeitsgrenzen festzulegen, wie es sowohl dem Art. 18 Abs. 1 und Abs. 2 B-VG als auch Art. 83 Abs. 2 B-VG zu entnehmen ist ...; vielmehr lässt es die Entscheidungsbefugnis der Datenschutzkommission unberührt, in dem es den UVS verpflichtet, gemäß § 14 Abs. 3 DSG vorzugehen.

Der Auffassung der belangten Behörde in ihrer Gegenschrift, sie habe nicht gemäß § 88 Abs. 6 SPG vorgehen können, weil es sich bei der Frage der Rechtmäßigkeit des Ermittelns (= 'Verwendens';

s. § 51 Abs. 1 SPG iVm. § 3 Z 6 DSG) personenbezogener Daten um eine Hauptfrage handle, ist entgegenzuhalten, dass das SPG ein Vorgehen gemäß § 14 Abs. 3 DSG immer vorsieht, wenn die Frage der Rechtmäßigkeit der 'Verwendung' personenbezogener Daten nach den Bestimmungen des 4. Teiles des SPG für die Entscheidung des UVS maßgeblich ist.

...

In dem gemäß § 88 Abs. 2 SPG durchzuführenden Verfahren war ua. auch die Frage der Rechtmäßigkeit der 'Verwendung' personenbezogener Daten nach den Bestimmungen des 4. Teiles des SPG maßgeblich, und zwar insoweit, als die Rechtmäßigkeit der Ermittlung personenbezogener Daten Verfahrensgegenstand war.

Ungeachtet der Anordnungen des § 88 Abs. 2 und 6 SPG hat der UVS aber die Beschwerde hinsichtlich der behaupteten Rechtswidrigkeit der erkennungsdienstlichen Behandlung zurückgewiesen und ist nicht nach § 14 Abs. 3 DSG vorgegangen. Da es der UVS unterließ, sein Verfahren auszusetzen und gleichzeitig die Entscheidung der Datenschutzkommission zu beantragen, verletzte er die Beschwerdeführerin in ihrem verfassungsgesetzlich gewährleisteten Recht auf ein Verfahren vor dem gesetzlichen Richter."

2.2.1. Die im eben auszugsweise zitierten Erkenntnis (teilweise) wiedergegebenen Vorschriften der §§ 65, 88 und 90 SPG wurden novelliert. Die Neufassung des § 65 muss hier nicht näher dargestellt werden. Die Änderungen des § 88 haben dessen Absätze 4 bis 6 betroffen; diese Absätze - der ursprüngliche Absatz 5 ist ersatzlos entfallen; an seine Stelle ist Abs. 6 getreten - lauten seit 1. Jänner 1999 wie folgt:

"§ 88. ...

(4) Über Beschwerden gemäß Abs. 1 oder 2 entscheidet der unabhängige Verwaltungssenat durch eines seiner Mitglieder. Im Übrigen gelten die §§ 67c bis 67g und 79a AVG.

(5) Ist für die Entscheidung des unabhängigen Verwaltungssenates gemäß Abs. 2 die Frage der Rechtmäßigkeit der Verwendung personenbezogener Daten nach den Bestimmungen des 4. Teiles maßgeblich, so hat der unabhängige Verwaltungssenat nach § 14 Abs. 3 des Datenschutzgesetzes vorzugehen."

§ 90 Abs. 1 SPG wurde durch die SPG-Novelle 1999, BGBl. I Nr. 146, neu gefasst. Er hat seit 1. Jänner 2000 (vgl. § 94 Abs. 11 SPG) folgenden Wortlaut:

"Beschwerden wegen Verletzung der Bestimmungen über den Datenschutz

§ 90. (1) Die Datenschutzkommission entscheidet gemäß § 14 des Datenschutzgesetzes über Beschwerden wegen Verletzung von Rechten durch Verwenden personenbezogener Daten in Angelegenheiten der Sicherheitsverwaltung entgegen den Bestimmungen des Datenschutzgesetzes. Davon ausgenommen ist die Beurteilung der Rechtmäßigkeit der Ermittlung von Daten durch die Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt."

Eine grundlegende Änderung der dem Erkenntnis des Verfassungsgerichtshofes vom 26. Juni 1997 zu Grunde liegenden Rechtslage hat sich durch das DSG 2000 ergeben. Dessen - im vorliegenden Fall maßgebliche - §§ 1, 31 und 61 haben (auszugsweise) nachstehenden Inhalt:

"Artikel 1

(Verfassungsbestimmung)

Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

...

(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sein denn, dass Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.

...

Beschwerde an die Datenschutzkommission

§ 31. (1) Die Datenschutzkommission erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26 durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) Zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz ist die Datenschutzkommission dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist.

(3) Bei Gefahr im Verzug kann die Datenschutzkommission im Zuge der Behandlung einer Beschwerde nach Abs. 2 die weitere Verwendung von Daten zur Gänze oder teilweise untersagen oder auch - bei Streitigkeiten über die Richtigkeit von Daten - dem Auftraggeber die Anbringung eines Bestreitungsvermerks auftragen.

(4) Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder Löschungsrechts gegenüber der Datenschutzkommission auf die §§ 26 Abs. 5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit der Geheimhaltung die geschützten öffentlichen Interessen in ihrem Verfahren zu wahren. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten Daten gegenüber dem Betroffenen nicht gerechtfertigt war, ist die Offenlegung der Daten mit Bescheid aufzutragen. Gegen diese Entscheidung der Datenschutzkommission kann die belangte Behörde Beschwerde an den Verwaltungsgerichtshof erheben. Wurde keine derartige Beschwerde eingebracht und wird dem Bescheid der Datenschutzkommission binnen acht Wochen nicht entsprochen, so hat die Datenschutzkommission die Offenlegung der Daten gegenüber dem Betroffenen selbst vorzunehmen und ihm die verlangte Auskunft zu erteilen oder ihm mitzuteilen, welche Daten bereits berichtigt oder gelöscht wurden.

...

Übergangsbestimmungen

§ 61. ...

(3) Datenschutzverletzungen, die vor dem Inkrafttreten dieses Bundesgesetzes stattgefunden haben, sind, soweit es sich um die Feststellung der Rechtmäßigkeit oder Rechtswidrigkeit eines Sachverhalts handelt, nach der Rechtslage zum Zeitpunkt der Verwirklichung des Sachverhalts zu beurteilen; soweit es sich um die Verpflichtung zu einer Leistung oder Unterlassung handelt, ist die Rechtslage im Zeitpunkt der Entscheidung in erster Instanz zu Grunde zu legen. Ein strafbarer Tatbestand ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren.

...

(7) (Verfassungsbestimmung) Soweit in einzelnen Vorschriften Verweise auf das Datenschutzgesetz, BGBl. Nr. 565/1978, enthalten sind, gelten diese bis zu ihrer Anpassung an dieses Bundesgesetz sinngemäß weiter."

2.2.2. Obwohl dem Gesetzgeber bewusst gewesen ist, dass das neue DSG 2000 Bestimmungen des SPG berührt (siehe etwa die Erläuterungen in der Regierungsvorlage zu § 31 Abs. 4, 1613 BlgNR XX. GP 49, wonach diese Regelung § 62 Abs. 4 und 5 SPG derogiere), hat er von einer Anpassung der entsprechenden Bestimmungen des SPG abgesehen. Dies ungeachtet dessen, dass mit 1. Jänner 2000 neben dem DSG 2000 auch die schon erwähnte SPG-Novelle 1999 in Kraft getreten ist, die insbesondere auch eine Novellierung des § 90 Abs. 1 SPG (siehe oben) gebracht hat. Gleichwohl wurde die dortige Bezugnahme auf § 14 DSG beibehalten; die Bestimmung des § 88 Abs. 5 SPG, die unter bestimmten Voraussetzungen ein Vorgehen "nach § 14 Abs. 3 des Datenschutzgesetzes" anordnet, blieb zur Gänze unverändert. Dieser Umstand könnte so gedeutet werden, dass es im Bereich des Rechtsschutzes nach den §§ 88 und 90 SPG bei der Anwendung des § 14 DSG zu bleiben habe. Einem solchen, auf der Annahme einer statischen Verweisung beruhenden Verständnis steht allerdings § 95 SPG entgegen, wonach Verweisungen in diesem Bundesgesetz (ie. SPG) auf andere Bundesgesetze als Verweisungen auf die jeweils geltende Fassung zu verstehen sind. Damit wird nämlich ausdrücklich eine "dynamische Verweisung" angeordnet, was freilich bezüglich § 14 DSG insoweit ein Problem aufwirft, als nunmehr die verwiesene Norm gar nicht mehr existiert. Dies ließ die belangte Behörde zu dem Schluss kommen, dass § 88 Abs. 5 SPG "totes Recht" sei, "weil es eine dem § 14 Abs. 1 des alten Datenschutzgesetzes entsprechende umfassende Zuständigkeit der Datenschutzkommission nicht mehr gibt und daher nach § 14 Abs. 3 DSG nicht mehr vorgegangen werden kann". Von daher gelangte sie zu der schon eingangs kurz dargestellten Ansicht, dass die Erwägungen des Verfassungsgerichtshofes im Erkenntnis vom 26. Juni 1997 betreffend die Verpflichtung der unabhängigen Verwaltungssenate, in einem Fall wie dem vorliegenden das Verfahren auszusetzen und gleichzeitig die Entscheidung der Datenschutzkommission zu beantragen, nicht mehr aufrechtzuerhalten seien.

2.2.3. Der beschwerdeführende Bundesminister hält dieser Auffassung § 61 Abs. 7 DSG 2000 entgegen. Diese Übergangsbestimmung "konserviere" für einzelne Bereiche des SPG das Datenschutzgesetz aus dem Jahre 1978, solange bis die Verweise angepasst werden; die Regelung des § 14 Abs. 3 DSG sei daher auf Beschwerdeverfahren nach § 88 SPG weiterhin anzuwenden, weshalb die belangte Behörde ihr Verfahren aussetzen und eine Entscheidung der Datenschutzkommission über die Rechtmäßigkeit der Datenverwendung hätte beantragen müssen.

§ 61 Abs. 7 DSG 2000 verfolgt laut dem Ausschussbericht (2028 BlgNR XX. GP 3) den Zweck,

"dass Verweise auf das Datenschutzgesetz bzw. auf einzelne seiner Bestimmungen in Gesetzen, die vor Inkrafttreten dieses Bundesgesetzes erlassen wurden, nicht ins Leere gehen. Durch die Formulierung des § 61 Abs. 7 wird allerdings zum Ausdruck gebracht, dass derartige Verweisungen möglichst bald durch neue Bestimmungen, die auf das DSG 2000 Bezug nehmen, ersetzt werden sollten."

Weder der Wortlaut des § 61 Abs. 7 DSG 2000 noch die eben wiedergegebenen Ausführungen im Ausschussbericht decken jenes Verständnis, welches in der gegenständlichen Beschwerde vertreten wird. Wie die belangte Behörde in ihrer Gegenschrift zutreffend ausführt, enthält das DSG 2000 keine dem § 14 Abs. 3 DSG entsprechende Bestimmung. Die dort (ehemals) vorgesehene Pflicht einer Verwaltungsbehörde, ein vor ihr geführtes Verwaltungsverfahren dann, wenn eine Partei behauptet, in ihren Rechten nach diesem Bundesgesetz oder den hiezu ergangenen Verordnungen verletzt zu sein, außer bei Gefahr im Verzug, bis zur Entscheidung dieser Vorfrage durch die Datenschutzkommission auszusetzen und gleichzeitig die Entscheidung bei der Datenschutzkommission zu beantragen, findet sich weder in der im Übrigen als "Nachfolgebestimmung" zu § 14 DSG begreifbaren Regelung des § 31 DSG 2000 noch an einer anderen Stelle des DSG 2000. Fehlt es an einer vergleichbaren, den normativen Gehalt des § 14 Abs. 3 DSG aufweisenden Bestimmung im DSG 2000, so kann der in § 88 Abs. 5 SPG enthaltene Verweis auf jene Norm aber nicht der Anordnung des § 61 Abs. 7 DSG 2000 entsprechend "sinngemäß weiter" gelten; es existiert keine Vorschrift (mehr), auf die sich dieser Verweis - selbst wenn man ihn nur sinngemäß lesen möchte - weiter beziehen könnte. Überzeugend legt die belangte Behörde dar, dass § 61 Abs. 7 DSG 2000 das Weitergelten des "Verweises", nicht aber der "verwiesenen Bestimmung" anordnet. Im Übrigen bringt die Wortfolge "bis zu ihrer Anpassung an dieses Bundesgesetz" klar zum Ausdruck, dass noch bestehende "alte" Verweise in Hinkunft durch neue, dem nunmehrigen DSG 2000 Rechnung tragende Verweise ersetzt werden sollen (siehe auch den zitierten Ausschussbericht, wonach durch die Formulierung des § 61 Abs. 7 zum Ausdruck gebracht werden soll, dass derartige Verweisungen möglichst bald durch neue Bestimmungen, die auf das DSG 2000 Bezug nehmen, ersetzt werden sollten). Gibt es aber keine Vorschrift im neuen DSG 2000, die - und sei es auch bloß "sinngemäß" - an die Stelle des § 14 Abs. 3 DSG getreten ist, so kommt eine entsprechende Anpassung in Zukunft nicht in Betracht, es sei denn, man würde dem Gesetzgeber unterstellen, er wollte im Zuge einer solchen Anpassung die mit Schaffung des DSG 2000 eliminierte verfahrensrechtliche Konstruktion des § 14 Abs. 3 DSG wieder in das Gesetz einbauen. Dass eine solche Überlegung nicht Grundlage der hier zu klärenden Frage sein kann, bedarf keiner weiteren Erörterung. Im Sinn der belangten Behörde ist daher davon auszugehen, dass § 61 Abs. 7 DSG 2000 keine Möglichkeit bietet, die Regelung des § 14 Abs. 3 DSG im Rahmen des § 88 Abs. 5 SPG ab Inkrafttreten des DSG 2000 weiter aufrechtzuerhalten. Auch § 61 Abs. 3 DSG 2000 vermag dieses Ergebnis - wie der Vollständigkeit halber angemerkt sei - nicht zu leisten, weil dort allein auf die für die Frage einer Datenschutzverletzung maßgebliche Beurteilungsgrundlage, nicht aber auf das anzuwendende Verfahrensrecht abgestellt wird. Die belangte Behörde hatte daher die am 12. November 1999 durchgeführte erkennungsdienstliche Behandlung der Mitbeteiligten am Boden des im Zeitpunkt der Bescheiderlassung (August 2000) geltenden verfahrensrechtlichen Regimes zu beurteilen. Seit dem 1. Jänner 2000 verweist § 88 Abs. 5 SPG nach dem Gesagten jedoch auf eine Vorgangsweise, die das geltende Datenschutzrecht nicht mehr kennt. Die genannte Bestimmung geht somit ins Leere und hat keinen Anwendungsbereich (Hauer/Keplinger, Kommentar zum Sicherheitspolizeigesetz2, (2001), Anm. B. 25. zu § 88).

2.3.1. Das eben erzielte Ergebnis ist insofern ein vorläufiges, als es der vom Verfassungsgerichtshof entwickelten Lösung zur Abgrenzung der Zuständigkeiten zwischen unabhängigen Verwaltungssenaten einerseits und Datenschutzkommission andererseits bei Beschwerden gegen das Verwenden - darunter fällt gemäß § 51 Abs. 1 SPG insbesondere auch das Ermitteln - personenbezogener Daten (außerhalb einer Befugnisausübung nach den Bestimmungen des 3. Teiles des SPG; vgl. § 90 Abs. 1 zweiter Satz SPG idF vor der SPG-Novelle 1999) die Grundlage entzieht. Der Verfassungsgerichtshof hatte nämlich - im Bereich der Beschwerdemöglichkeit gegen "schlichtes Polizeihandeln" (außerhalb der Anwendung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt) - in dem schon mehrfach erwähnten Erkenntnis vom 26. Juni 1997 eine verfassungsrechtlich unzulässige Zuständigkeitskonkurrenz zwischen diesen beiden Behörden von der Überlegung ausgehend vermieden, dass er im Hinblick auf die Regelung des § 88 Abs. 5 SPG (seinerzeit § 88 Abs. 6) den unabhängigen Verwaltungssenaten (bloß) die Funktion einer "zweiten Einbringungsstelle" zuerkannte, die gemäß der genannten Gesetzesbestimmung nach § 14 Abs. 3 DSG - die Entscheidungsbefugnis der Datenschutzkommission unberührt lassend -

vorzugehen hätten. Läuft § 88 Abs. 5 SPG ins Leere, weil eine dem § 14 Abs. 3 DSG entsprechende Vorgangsweise auf Basis des DSG 2000 nicht mehr in Betracht kommt, so kann diese Argumentation nicht mehr tragfähig sein. Will man weiterhin dem aus Art. 18 Abs. 1 und 2 sowie aus Art. 83 Abs. 2 B-VG erfließenden Gebot, strikte Zuständigkeitsgrenzen festzulegen (vgl. dazu näher die im zitierten Erkenntnis des Verfassungsgerichtshofes wiedergegebene verfassungsgerichtliche Judikatur), Rechnung tragen, so bedarf es daher einer anderen Lösung, für die sich die Neufassung des § 90 Abs. 1 SPG durch die SPG-Novelle 1999 anbietet, und zwar ungeachtet dessen, dass dabei (dazu siehe schon oben) nicht auf das mit demselben Datum (1. Jänner 2000) in Kraft getretene DSG 2000 Bezug genommen worden ist.

2.3.2. Dass § 90 Abs. 1 SPG nach wie vor auf § 14 DSG verweist, macht diese Bestimmung - anders als es zuvor bezüglich § 88 Abs. 5 SPG ausgeführt worden ist - nicht unanwendbar. Abgesehen von der Regelung des Abs. 3 existiert für § 14 DSG nämlich eine Nachfolgebestimmung. An die Stelle des § 14 DSG ist - wenn auch mit inhaltlichen Änderungen - § 31 DSG 2000 getreten, sodass im Hinblick auf den schon dargestellten § 61 Abs. 7 DSG 2000 der Verweis in § 90 Abs. 1 SPG nunmehr "sinngemäß" als ein solcher auf § 31 DSG 2000 (soweit dort eben eine inhaltlich entsprechende Regelung zu finden ist) verstanden werden muss (Hauer/Keplinger, aaO., Anm. B. 4., erster Absatz, zu § 90). Im Bereich des § 90 Abs. 1 SPG wirft dies insofern keine Probleme auf, als dort nur auf die grundsätzliche Entscheidungskompetenz der Datenschutzkommission nach dem Datenschutzgesetz verwiesen wird. Es stellt sich allerdings die Frage, ob § 31 DSG 2000 gegenüber § 14 DSG eine Änderung dieser Entscheidungskompetenz gebracht hat, was im Rahmen des hier zu behandelnden Aspektes der (neu zu definierenden) Abgrenzung zwischen UVS-Zuständigkeit und Zuständigkeit der Datenschutzkommission nicht unbeachtlich sein kann. Die belangte Behörde hat dazu im bekämpften Bescheid - unter Verkennung des Gesetzeswortlautes - ausgeführt, dass die Datenschutzkommission gemäß § 31 Abs. 2 DSG 2000 nur noch über eine Verletzung des Rechts auf Löschung von Daten entscheiden könne und dass anders als früher die Rechtmäßigkeit des Ermittlungsvorganges nicht mehr Gegenstand ihrer Entscheidung sei; in ihrer Gegenschrift vertritt sie vorsichtiger die Auffassung, "die in § 31 DSG 2000 nunmehr einzeln aufgezählten Zuständigkeitsbereiche der Datenschutzkommission decken ... keineswegs dieselbe Bandbreite an Rechtsverletzungen ab wie die Generalklausel des § 14 Abs. 1 im alten Datenschutzgesetz". Richtig ist, dass es zu einer Änderung des Aufgabenbereichs der Datenschutzkommission gekommen ist, doch liegt diese Änderung (auch) im Bereich ihrer Funktion als Beschwerdeinstanz nicht in einer Einschränkung, sondern vielmehr in einer Ausweitung ihrer Befugnisse. Anders als nach der alten Rechtslage entscheidet sie nämlich gemäß § 31 Abs. 1 DSG 2000 nunmehr auch im privaten Bereich auf Antrag des Betroffenen über behauptete Verletzungen des Rechts auf Auskunft. Demgemäß halten die Erläuterungen in der Regierungsvorlage zu § 1 Abs. 5 DSG 2000 einerseits (aaO., 35) bzw. zu § 31 andererseits (aaO., 48) fest:

"Im Absatz 5 wird die für das österreichische Datenschutzrecht traditionelle Teilung des Rechtsschutzinstrumentariums zwischen ordentlichen Gerichten und Datenschutzkommission in einer Weise neu festgelegt, die gegenüber dem bisher geltenden Bestimmungen einfacher nachzuvollziehen ist, weil sie - grundsätzlich - nicht auf den Inhalt der Tätigkeit abstellt, sondern auf die rechtliche Organisationsform des Auftraggebers.

Um auch bei Aufrechterhaltung des geteilten Rechtsschutzsystems eine Vereinfachung des Zugangs zum Rechtsschutz für die Betroffenen zu bewirken, soll jedoch das Recht auf Auskunft - unabhängig davon, ob der belangte Auftraggeber dem öffentlichen oder dem privaten Bereich zuzurechnen ist - in Hinkunft vor der Datenschutzkommission durchsetzbar sein. Dies scheint deshalb so wichtig, weil der Inhalt der Auskunft in den meisten Fällen entscheidend ist für die Frage, ob der Betroffene sinnvollerweise ein Verfahren wegen Löschung, Berichtigung oder Unterlassung der Verwendung anstrengen soll.

...

Die Datenschutzkommission übt neben ihrer Kontrollfunktion auch eine quasi - richterliche Entscheidungsfunktion in ihrer Rolle als Behörde gemäß Art. 133 Z 4 B-VG aus. Sie erkennt in rechtsförmlichen Verfahren mit Bescheid über Beschwerden wegen behaupteter Verletzungen des Datenschutzgesetzes durch einen Auftraggeber des öffentlichen Bereichs. Eine Besonderheit des Entwurfes gegenüber der bisherigen Rechtslage ist die nunmehrige umfassende Zuständigkeit für Verletzungen des Auskunftsrechtes (Abs. 1), gleichgültig, ob diese einem Auftraggeber des öffentlichen Bereichs oder einem Auftraggeber des privaten Bereichs zur Last gelegt werden. Hinsichtlich aller anderen behaupteten Verletzungen ist die Datenschutzkommission nur dann zuständig, wenn sie einen Auftraggeber des öffentlichen Bereichs betreffen (Abs. 2), insgesamt aber immer nur im Hinblick auf die Prüfung von Handlungen, die weder der Gerichtsbarkeit noch der Gesetzgebung zuzurechnen sind, wobei die Zurechnung nach funktionalen Gesichtspunkten vorzunehmen ist.

..."

Vor diesem Hintergrund kann die Formulierung in § 31 Abs. 2 DSG 2000, wonach die Datenschutzkommission zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz zuständig ist (und zwar dann, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist), keinesfalls so verstanden werden, dass es (in Verbindung mit ihrer Entscheidungskompetenz nach § 31 Abs. 1 leg. cit.) zu einer Reduzierung der Entscheidungsbefugnisse der Datenschutzkommission gekommen sei. Vielmehr deckt ihre Zuständigkeit "zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung" im Hinblick auf den im § 1 DSG 2000 grundrechtlich postulierten "Anspruch auf Geheimhaltung" zusammen mit den weiteren genannten Kompetenzen all das ab, was früher durch § 14 Abs. 1 DSG erfasst worden ist (vgl. auch den "Allgemeinen Teil" der Regierungsvorlage, in dem zum Einen formuliert wird, dass für die Entscheidung über Verletzungen des Datenschutzes durch einen Auftraggeber des öffentlichen Rechts "nach wie vor" die Datenschutzkommission zuständig ist (aaO., 31) und zum Anderen im Zusammenhang mit den finanziellen Auswirkungen des Gesetzesentwurfes der Hinweis auf ins Gewicht fallende Folgekosten, die sich aus den zusätzlichen Kompetenzen der Datenschutzkommission ergeben werden, enthalten ist (aaO., 33)). Entfallen ist lediglich die verfahrensrechtliche Sonderregelung des § 14 Abs. 3 DSG. Mit der belangten Behörde ist diesbezüglich zwar festzuhalten, dass kein Anhaltspunkt dafür besteht, diese nun nicht mehr vorgesehene Konstruktion im Wege der Analogie auf Basis des DSG 2000 aufrechtzuerhalten (daran vermag auch der Umstand, dass in § 54 Abs. 5 Militärbefugnisgesetz nunmehr eine dem § 14 Abs. 3 DSG nachempfundene Regelung vorgesehen ist - ungeachtet der angestrebten Parallelität zum Rechtsschutz im SPG (vgl. die Erläuterungen zur RV, 76 BlgNR XXI. GP 87) - nichts zu ändern, zumal das Militärbefugnisgesetz seinem § 61 Abs. 1 zufolge erst am 1. Juli 2001 in Kraft getreten ist). Davon abgesehen ergibt sich aber, dass jedenfalls das DSG 2000 kein Argument dafür bietet, eine Einschränkung der Zuständigkeit der Datenschutzkommission im Bereich des SPG im Vergleich zur alten Rechtslage anzunehmen.

2.3.3. Gelangt man damit zu einer Analyse des durch die SPG-Novelle 1999 geänderten Textteils des § 90 Abs. 1 SPG, so sei einleitend angemerkt, dass die Gesetzesmaterialien über die Beweggründe für die Novellierung - die in der Regierungsvorlage noch nicht vorgesehen war - keine Auskunft geben. Im Übrigen ergibt sich zunächst, dass die Kompetenz der Datenschutzkommission, "gemäß § 14 des Datenschutzgesetzes" über Beschwerden wegen Verletzung von Rechten durch Verwenden personenbezogener Daten zu entscheiden, neu formuliert wurde. Während die alte Fassung des § 90 Abs. 1 erster Satz so lautete, dass über Beschwerden wegen Verletzung von Rechten durch Verwenden personenbezogener Daten "entgegen den Bestimmungen des Datenschutzgesetzes oder des 4. Teiles dieses Bundesgesetzes" zu entscheiden sei, ist nunmehr von der Entscheidung über Beschwerden wegen Verletzung von Rechten durch Verwenden personenbezogener Daten "in Angelegenheiten der Sicherheitsverwaltung entgegen den Bestimmungen des Datenschutzgesetzes" die Rede. Auf den ersten Blick könnte der Entfall der Worte "oder des 4. Teiles dieses Bundesgesetzes" den Schluss nahe legen, es sei dadurch zu einer Reduktion der Aufgaben der Datenschutzkommission in dem Sinn gekommen, dass die Einhaltung der Bestimmungen des 4. Teiles des SPG nun nicht mehr von ihr zu überprüfen sei (so Hauer/Keplinger, aaO., Anm. B. 4., zweiter Absatz, zu § 90). Eine nähere Betrachtung führt jedoch zu einem anderen Ergebnis. Einmal steht dem Entfall der zitierten Passage die Einfügung der Wortfolge "in Angelegenheiten der Sicherheitsverwaltung" gegenüber, was mit der Vorstellung, der Gesetzgeber habe im Zuge der Neufassung ausschließlich Bestimmungen des "Datenschutzgesetzes" im Auge gehabt, nur schwer in Einklang gebracht werden kann. Zum Anderen aber ist der Passus "entgegen den Bestimmungen des Datenschutzgesetzes" - auch dieser bezieht sich zufolge § 61 Abs. 7 DSG 2000 auf das neue Gesetz - durchaus all umfassend, und zwar einerseits im Hinblick auf das in § 1 DSG 2000 postulierte Grundrecht und andererseits im Hinblick darauf, dass die Bestimmungen des zweiten Abschnittes des DSG 2000 über die "Verwendung von Daten" ua. auf "gesetzliche Zuständigkeiten" (§ 7 Abs. 1 DSG 2000) sowie auf "eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten" (§ 8 Abs. 1 Z 1 bzw. § 9 Z 3 DSG 2000) abstellen, womit letztlich im gegebenen Zusammenhang auf die "sonderdatenschutzrechtlichen Vorschriften des SPG" (insoweit zutreffend Hauer/Keplinger, Anm. B. 4., zweiter Absatz, zu § 90; vgl. auch Duschanek/Rosenmayr-Klemenz, Datenschutzgesetz 2000, 206) Bezug genommen wird. Als solche "sonderdatenschutzrechtliche Vorschriften" stellen sich die Bestimmungen des 4. Teiles des SPG über das Verwenden personenbezogener Daten im Rahmen der Sicherheitspolizei aber zweifelsohne dar. Dem möglichen Einwand, diese Überlegungen hätten schon auf Basis der alten Rechtslage die Einbeziehung der Wortfolge "oder des 4. Teiles dieses Bundesgesetzes" entbehrlich gemacht, ist zu entgegnen, dass das Datenschutzgesetz 2000 in Angelegenheiten, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gemäß § 58 iVm § 4 Z 7 und 8 DSG 2000 abweichend vom DSG auch manuell verarbeitete Dateien erfasst (vgl. Duschanek/Rosenmayr-Klemenz, aaO., 184). Insoweit kommt den Worten "entgegen den Bestimmungen des Datenschutzgesetzes" seit Inkrafttreten des DSG 2000 ein anderer Bedeutungsgehalt zu als davor und ist es jetzt nicht mehr erforderlich, zwecks Miteinbeziehung der Verwendung nicht automationsunterstützt verarbeiteter Daten im Rahmen der Sicherheitspolizei legistisch besondere Vorkehrungen zu treffen (vgl. zur Rechtslage nach dem DSG Thienel, Das Verfahren der Verwaltungssenate2, (1992), 384).

Dass die Neufassung des § 90 Abs. 1 SPG keineswegs zu einer Einschränkung der Überprüfungsbefugnis der Datenschutzkommission führte, bestätigt der neue zweite Satz dieser Bestimmung. Demnach wird von der Zuständigkeit der Datenschutzkommission die Beurteilung der Rechtmäßigkeit der Ermittlung von Daten durch die Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt ausgenommen, was - soll dieser Satz mangels einer im DSG 2000 enthaltenen Befugnis zur Setzung derartiger Maßnahmen nicht sinnlos sein - klar auf die Eingriffsermächtigungen nach dem SPG verweist.

2.3.4. Zusammenfassend ist damit festzuhalten, dass § 90 Abs. 1 SPG neu nicht so verstanden werden kann, dass er gemessen an der alten Rechtslage zu einer Einschränkung der Kompetenzen der Datenschutzkommission geführt hätte. Dafür spricht auch der Umstand, dass § 88 Abs. 5 SPG - wenngleich dieser Bestimmung (zur Zeit) kein Anwendungsbereich zukommt - nach wie vor geltendes Recht ist und quasi "programmatisch" die Absicht des Gesetzgebers erkennen lässt, Fragen der Rechtmäßigkeit der Verwendung personenbezogener Daten nach den Bestimmungen des 4. Teiles des SPG der Kognition der Datenschutzkommission zu überlassen. Nichts anderes ergibt sich aus der mit 1. Oktober 2000 in Kraft getretenen Bestimmung des § 62b SPG, deren Abs. 8 zufolge der Rechtsschutzbeauftragte, wenn er wahrnimmt, dass durch Verwenden personenbezogener Daten Rechte von Betroffenen verletzt worden sind, unter bestimmten Voraussetzungen zur Erhebung einer Beschwerde an die Datenschutzkommission nach § 90 befugt ist. Schließlich vermeidet die dargestellte Lösung auch verfassungsrechtliche Probleme, weil sie mit der im Verfassungsrang stehenden Anordnung des § 1 Abs. 5 DSG 2000, wonach das Grundrecht auf Datenschutz - soweit nicht der Zivilrechtsweg einzuhalten ist - vor der Datenschutzkommission geltend zu machen ist, in Übereinstimmung gebracht werden kann (die Ausnahme in § 90 Abs. 1 zweiter Satz steht demgegenüber in Einklang mit Art. 129a Abs. 1 Z 2 B-VG; auf das Verhältnis der beiden eben erwähnten verfassungsrechtlichen Bestimmungen zueinander muss hier nicht eingegangen werden).

2.4. Geht man nach dem Gesagten davon aus, dass der Datenschutzkommission die Aufgabe zukommt, über behauptete Rechtsverletzungen durch Verwenden personenbezogener Daten im Rahmen der Sicherheitspolizei im Sinn des 4. Teiles des SPG (soweit nicht unmittelbare verwaltungsbehördliche Befehls- und Zwangsgewalt geübt wurde) zu entscheiden, so muss das umgekehrt zur Folge haben, dass den unabhängigen Verwaltungssenaten - die nicht mehr als "zweite Einbringungsstellen" deutbar sind - insoweit keine Kompetenz eingeräumt ist und § 88 Abs. 2 SPG diese Aspekte sicherheitspolizeilichen Handelns nicht erfasst. § 90 Abs. 1 SPG stellt sich von da her als lex specialis zu § 88 Abs. 2 SPG dar, im Anwendungsbereich des § 90 Abs. 1 kommt daher § 88 Abs. 2 SPG nicht zum Tragen (Hauer/Keplinger, aaO., Anm. B. 13. zu § 88). Für den vorliegenden Fall bedeutet das, dass über die Rechtmäßigkeit der in der erkennungsdienstlichen Behandlung der Mitbeteiligten zu erblickenden Ermittlung personenbezogener Daten, die unstrittig nicht in Ausübung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt erfolgte, die Datenschutzkommission zu entscheiden gehabt hätte. Der belangten Behörde fehlte dagegen die Kompetenz, über die Beschwerde der Mitbeteiligten zu erkennen. Der von ihr erlassene angefochtene Bescheid war daher - im Umfang seiner Anfechtung - gemäß § 42 Abs. 2 Z 2 VwGG wegen Rechtswidrigkeit infolge Unzuständigkeit der belangten Behörde aufzuheben.

Wien, am 9. Juli 2002