Index
10/10 Grundrechte, Datenschutz, AuskunftspflichtNorm
DSG 2000 §1 Abs2, §8 Abs1, Abs4, §31, §31a, §36, §38Leitsatz
Keine Verletzung verfassungsgesetzlich gewährleisteter Rechte durch Abweisung einer Beschwerde an die Datenschutzkommission wegen Übermittlung von Verwaltungsstrafdaten für Zwecke eines Verfahrens in einer Jugendwohlfahrtssache nach dem Oö Jugendwohlfahrtsgesetz 1991; keine Bedenken gegen die Bestimmungen des Datenschutzgesetzes 2000 betreffend die Organisation der im vorliegenden Fall als Gericht im unionsrechtlichen Sinn und nicht als Kontrollstelle tätig gewordenen Datenschutzkommission im Hinblick auf die erforderliche UnabhängigkeitSpruch
Die Beschwerdeführerin ist durch den angefochtenen Bescheid weder in einem verfassungsgesetzlich gewährleisteten Recht noch wegen Anwendung einer rechtswidrigen generellen Norm in ihren Rechten verletzt worden.
Die Beschwerde wird abgewiesen und dem Verwaltungsgerichtshof zur Entscheidung darüber abgetreten, ob die Beschwerdeführerin durch den angefochtenen Bescheid in einem sonstigen Recht verletzt worden ist.
Begründung
Entscheidungsgründe
I. Sachverhalt, Beschwerdevorbringen und Vorverfahren
1. Die Bezirkshauptmannschaft Wels-Land als Jugendwohlfahrtsbehörde führte seit 9. Februar 2012 ein Verfahren gegen die Tochter der Beschwerdeführerin betreffend die Entziehung der Obsorge für deren minderjährigen Sohn beim Bezirksgericht Lambach. Die Tochter der Beschwerdeführerin wurde strafrechtlich wegen Betrugs verurteilt und hat die betreffende Haftstrafe noch zu verbüßen.
1.1. Die Tochter der Beschwerdeführerin wies im Zusammenhang mit der beabsichtigten Entziehung der Obsorge für den minderjährigen Sohn gegenüber der Jugendwohlfahrtsbehörde darauf hin, dass sie bei der Betreuung ihres minderjährigen Sohnes auch durch ihre Mutter, also die Beschwerdeführerin, unterstützt werde. Zum Zwecke der Ermittlung von Daten (im Rahmen des gerichtsanhängigen Obsorgeverfahrens) über die möglicherweise drohende Vollstreckung von Ersatzfreiheitsstrafen gegen die Beschwerdeführerin (also die Großmutter des minderjährigen Kindes) erging in weiterer Folge ein Auskunftsersuchen der Abteilung für Jugendwohlfahrt der Bezirkshauptmannschaft Wels-Land an die Abteilung für Verwaltungsstrafrecht der Bezirkshauptmannschaft Wels-Land betreffend alle eingetragenen, offenen Verwaltungsstrafen bzw. Verwaltungsstrafverfahren der Beschwerdeführerin. Die Abteilung für Verwaltungsstrafrecht der Bezirkshauptmannschaft Wels-Land übermittelte die entsprechenden Daten auf Grund dieses Auskunftsersuchens an die Abteilung für Jugendwohlfahrt der Bezirkshauptmannschaft Wels-Land.
2. Gegen diese (behördeninterne) Übermittlung von Daten erhob die Beschwerdeführerin Beschwerde an die Datenschutzkommission (im Folgenden: DSK). Die DSK wies die Beschwerde mit näherer Begründung als unbegründet ab. §5c Abs4 Z2 Oö. Jugendwohlfahrtsgesetz 1991 (im Folgenden: Oö. JWG 1991) sei nach der ständigen Spruchpraxis der DSK die nach §8 Abs1 und 4 DSG 2000 notwendige gesetzliche Ermächtigung zur Datenübermittlung, welche durch die Übermittlung der entsprechenden Daten von der Abteilung für Verwaltungsstrafrecht der Bezirkshauptmannschaft Wels-Land an die Abteilung für Jugendwohlfahrt der Bezirkshauptmannschaft Wels-Land nicht überschritten wurde.
3. In der vorliegenden, auf Art144 B-VG gestützten Beschwerde bringt die Beschwerdeführerin im Wesentlichen vor, sie sei durch den angefochtenen Bescheid der DSK im Grundrecht auf Datenschutz gemäß §1 DSG 2000 verletzt, weil einerseits §5c Abs4 Z2 Oö. JWG 1991 in Widerspruch zu §1 Abs2 DSG 2000 nicht das gelindeste Mittel darstelle und andererseits §5c Abs4 Z2 Oö. JWG 1991 durch die DSK denkunmöglich angewendet worden wäre.
4. Die DSK legte die Verwaltungsakten vor und erstattete eine Gegenschrift, in der sie mit näherer Begründung die Ablehnung der Beschwerdebehandlung, in eventu die Abweisung der Beschwerde beantragt.
II. Rechtslage
1. Art8 der Charta der Grundrechte der Europäischen Union, ABl. 2010 C83, 389, lautet:
"Artikel 8
Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht."
2. Die hier relevanten Bestimmungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutz-RL), ABl. L 281, 31, in der Fassung der Verordnung (EG) Nr 1882/2003, ABl. L 284, 1, lauten:
"KAPITEL III
RECHTSBEHELFE, HAFTUNG UND SANKTIONEN
Artikel 22
Rechtsbehelfe
Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, daß jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann.
[…]
KAPITEL VI
KONTROLLSTELLE UND GRUPPE FÜR DEN SCHUTZVON
PERSONEN BEI DER VERARBEITUNG PERSONENBEZOGENER
DATEN
Artikel 28
Kontrollstelle
(1) Die Mitgliedstaaten sehen vor, daß eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.
(2) Die Mitgliedstaaten sehen vor, daß die Kontrollstellen bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehört werden.
(3) Jede Kontrollstelle verfügt insbesondere über:
— Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;
— wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
— das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.
(4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist darüber zu informieren, wie mit der Eingabe verfahren wurde.
Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befaßt werden, die Rechtmäßigkeit einer Verarbeitung zu überprüfen, wenn einzelstaatliche Vorschriften gemäß Artikel 13 Anwendung finden. Die Person ist unter allen Umständen darüber zu unterrichten, daß eine Überprüfung stattgefunden hat.
(5) Jede Kontrollstelle legt regelmäßig einen Bericht über ihre Tätigkeit vor. Dieser Bericht wird veröffentlicht.
(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.
Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.
(7) Die Mitgliedstaaten sehen vor, daß die Mitglieder und Bediensteten der Kontrollstellen hinsichtlich der vertraulichen Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nach Ausscheiden aus dem Dienst, unterliegen."
3. Die maßgeblichen Bestimmungen des Bundesgesetzes über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl I 165/1999, in der Fassung BGBl I 51/2012, lauten:
"Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art8 Abs2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs3 sind nur unter den in Abs2 genannten Voraussetzungen zulässig.
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, daß Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.
[…]
Definitionen
§4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1.-7. […]
8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z9) als auch das Übermitteln (Z12) von Daten;
9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z12) von Daten;
10.-11. […]
12. Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;
13.-15. […]
[…]
Zulässigkeit der Verwendung von Daten
§7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
(2) Daten dürfen nur übermittelt werden, wenn
1. sie aus einer gemäß Abs1 zulässigen Datenanwendung stammen und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis - soweit diese nicht außer Zweifel steht - im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
(3) […]
Schutzwürdige Geheimhaltungsinteressen bei Verwendung
nicht-sensibler Daten
§8. (1) Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder
2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder
3. lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder
4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.
(2)- (3) […]
(4) Die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen verstößt - unbeschadet der Bestimmungen des Abs2 - nur dann nicht gegen schutzwürdige Geheimhaltungsinteressen des Betroffenen, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung solcher Daten besteht oder
2. die Verwendung derartiger Daten für Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung zur Wahrnehmung einer ihnen gesetzlich übertragenen Aufgabe ist oder
3. sich sonst die Zulässigkeit der Verwendung dieser Daten aus gesetzlichen Sorgfaltspflichten oder sonstigen, die schutzwürdigen Geheimhaltungsinteressen des Betroffenen überwiegenden berechtigten Interessen des Auftraggebers ergibt und die Art und Weise, in der die Datenanwendung vorgenommen wird, die Wahrung der Interessen der Betroffenen nach diesem Bundesgesetz gewährleistet oder
4. die Datenweitergabe zum Zweck der Erstattung einer Anzeige an eine zur Verfolgung der angezeigten strafbaren Handlungen (Unterlassungen) zuständige Behörde erfolgt.
[…]
Kontrollbefugnisse der Datenschutzkommission
§30. (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.
(2) Die Datenschutzkommission kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.
(2a) Sofern sich eine zulässige Eingabe nach Abs1 oder ein begründeter Verdacht nach Abs2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, kann die Datenschutzkommission die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§22 und 22a vorgehen.
(3) Datenanwendungen, die der Vorabkontrolle gemäß §18 Abs2 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§26 Abs5 und 27 Abs5 in Anspruch nimmt.
(4) Zum Zweck der Einschau ist die Datenschutzkommission nach Verständigung des Inhabers der Räumlichkeiten und des Auftraggebers (Dienstleisters) berechtigt, Räume, in welchen Datenanwendungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat die für die Einschau notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Auftraggebers (Dienstleisters) und Dritter auszuüben.
(5) Informationen, die der Datenschutzkommission oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Dazu zählt auch die Verwendung für Zwecke der gerichtlichen Rechtsverfolgung durch den Einschreiter oder die Datenschutzkommission nach §32. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach den §§51 oder 52 dieses Bundesgesetzes, einer strafbaren Handlung nach den §§118a, 119, 119a, 126a bis 126c, 148a oder §278a des Strafgesetzbuches, BGBl Nr 60/1974, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach §76 der Strafprozessordnung, BGBl Nr 631/1975, zu entsprechen ist.
(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission, sofern nicht Maßnahmen nach den §§22 und 22a oder nach Abs6a zu treffen sind, Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere
1. Strafanzeige nach §§51 oder 52 erstatten, oder
2. bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß §32 Abs5 erheben, oder
3. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzkommission entsprochen wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzkommission der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.
(6a) Liegt durch den Betrieb einer Datenanwendung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen (Gefahr im Verzug) vor, so kann die Datenschutzkommission die Weiterführung der Datenanwendung mit Bescheid gemäß §57 Abs1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl Nr 51, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Wird einer Untersagung nicht sogleich Folge geleistet, ist Strafanzeige nach §52 Abs1 Z3 zu erstatten. Nach Rechtskraft einer Untersagung nach diesem Absatz ist ein Berichtigungsverfahren nach §22a Abs2 formlos einzustellen. Die Datenanwendung ist im Umfang der Untersagung aus dem Register zu streichen.
(7) Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde.
Beschwerde an die Datenschutzkommission
§31. (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach §26 oder nach §50 Abs1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach §49 Abs3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§1 Abs1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§27 und 28) verletzt zu sein, sofern der Anspruch nicht nach §32 Abs1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.
(3) Die Beschwerde hat zu enthalten:
1. die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
(4) Einer Beschwerde nach Abs1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen.
(5) Die der Datenschutzkommission durch §30 Abs2 bis 4 eingeräumten Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach §30 Abs5.
(6) Im Fall der Einbringung einer zulässigen Beschwerde nach Abs1 oder 2 ist ein auf Grund einer Eingabe nach §30 Abs1 über denselben Gegenstand eingeleitetes Kontrollverfahren durch eine entsprechende Information (§30 Abs7) zu beenden. Die Datenschutzkommission kann aber dennoch auch während der Anhängigkeit des Beschwerdeverfahrens von Amts wegen nach §30 Abs2 vorgehen, wenn ein begründeter Verdacht einer über den Beschwerdefall hinausgehenden Verletzung datenschutzrechtlicher Verpflichtungen besteht. §30 Abs3 bleibt unberührt.
(7) Soweit sich eine Beschwerde nach Abs1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach §26 Abs4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
[…]
7. Abschnitt
Kontrollorgane
Datenschutzkommission und Datenschutzrat
§35. (1) Zur Wahrung des Datenschutzes sind nach den näheren Bestimmungen dieses Bundesgesetzes - unbeschadet der Zuständigkeit des Bundeskanzlers und der ordentlichen Gerichte - die Datenschutzkommission und der Datenschutzrat berufen.
(2) (Verfassungsbestimmung) Die Datenschutzkommission übt ihre Befugnisse auch gegenüber den in Art19 B-VG bezeichneten obersten Organen der Vollziehung aus.
Zusammensetzung der Datenschutzkommission
§36. (1) Die Datenschutzkommission besteht aus sechs Mitgliedern, die auf Vorschlag der Bundesregierung vom Bundespräsidenten für die Dauer von fünf Jahren bestellt werden. Wiederbestellungen sind zulässig. Die Mitglieder müssen rechtskundig sein. Ein Mitglied muß dem Richterstand angehören.
(2) Die Vorbereitung des Vorschlages der Bundesregierung für die Bestellung der Mitglieder der Datenschutzkommission obliegt dem Bundeskanzler. Er hat dabei Bedacht zu nehmen auf:
1. einen Dreiervorschlag des Präsidenten des Obersten Gerichtshofs für das richterliche Mitglied,
2. einen Vorschlag der Länder für zwei Mitglieder,
3. einen Dreiervorschlag der Bundeskammer für Arbeiter und Angestellte für ein Mitglied,
4. einen Dreiervorschlag der Wirtschaftskammer Österreich für ein Mitglied.
Alle vorgeschlagenen Personen sollen Erfahrung auf dem Gebiet des Datenschutzes besitzen.
(3) Ein Mitglied ist aus dem Kreise der rechtskundigen Bundesbediensteten vorzuschlagen.
(3a) Die Mitglieder der Datenschutzkommission üben diese Funktion neben ihnen sonst obliegenden beruflichen Tätigkeiten aus.
(4) Für jedes Mitglied ist ein Ersatzmitglied zu bestellen. Das Ersatzmitglied tritt bei Verhinderung des Mitglieds an dessen Stelle. Die Funktionsperiode des Ersatzmitglieds endet mit der Funktionsperiode des Mitglieds; für den Fall der vorzeitigen Beendigung der Funktionsperiode des Mitglieds gilt Abs8.
(5) Der Datenschutzkommission können nicht angehören:
1. Mitglieder der Bundesregierung oder einer Landesregierung sowie Staatssekretäre;
2. Personen, die zum Nationalrat nicht wählbar sind.
(6) Hat ein Mitglied der Datenschutzkommission Einladungen zu drei aufeinanderfolgenden Sitzungen ohne genügende Entschuldigung keine Folge geleistet oder tritt bei einem Mitglied ein Ausschließungsgrund des Abs5 nachträglich ein, so hat dies nach seiner Anhörung die Datenschutzkommission festzustellen. Diese Feststellung hat den Verlust der Mitgliedschaft zur Folge. Im übrigen kann ein Mitglied der Datenschutzkommission nur aus einem schwerwiegenden Grund durch Beschluß der Datenschutzkommission, dem mindestens drei ihrer Mitglieder zustimmen müssen, seines Amtes für verlustig erklärt werden. Die Mitgliedschaft endet auch, wenn das Mitglied seine Funktion durch schriftliche Erklärung an den Bundeskanzler zurücklegt. Die Mitgliedschaft des richterlichen Mitglieds sowie des Mitglieds aus dem Kreis der rechtskundigen Bundesbediensteten endet auch, wenn diese aus ihren Dienstverhältnissen zum Bund ausscheiden, in den Ruhestand übertreten oder in den Ruhestand versetzt werden. Bei Richtern steht dem Ausscheiden eine Dienstzuteilung nach §78 des Richter- und Staatsanwaltschaftsdienstgesetzes, BGBl Nr 305/1961, gleich. Die Mitgliedschaft der übrigen Mitglieder endet am 31. Dezember des Jahres, in dem sie das 65. Lebensjahr vollenden.
(7) Auf die Ersatzmitglieder sind die Abs2, 3, 5 und 6 wie auf Mitglieder anzuwenden.
(8) Scheidet ein Mitglied wegen Todes, freiwillig oder gemäß Abs6 vorzeitig aus, so wird das betreffende Ersatzmitglied (Abs4) Mitglied der Datenschutzkommission bis zum Ablauf der Funktionsperiode des ausgeschiedenen Mitglieds. Unter Anwendung der Abs2 und 3 ist für diese Zeit ein neues Ersatzmitglied zu bestellen. Scheidet ein Ersatzmitglied vorzeitig aus, ist unverzüglich ein neues Ersatzmitglied zu bestellen.
(9) Die Mitglieder und Ersatzmitglieder der Datenschutzkommission haben für die Anreise zu den Sitzungen der Datenschutzkommission sowie für in Ausübung ihrer Funktion erforderliche sonstige Dienstreisen Anspruch auf Ersatz der Reisekosten (Gebührenstufe 3) durch den Bundeskanzler nach Maßgabe der für Bundesbedienstete geltenden Rechtsvorschriften. Sie haben ferner Anspruch auf eine der Zeit und dem Arbeitsaufwand entsprechende Vergütung, die auf Antrag des Bundeskanzlers von der Bundesregierung durch Verordnung festzusetzen ist.
Weisungsfreiheit der Datenschutzkommission
§37. (1) Die Mitglieder der Datenschutzkommission sind in Ausübung ihres Amtes unabhängig und an keine Weisungen gebunden.
(2) Die in der Geschäftsstelle der Datenschutzkommission tätigen Bediensteten unterstehen fachlich nur den Weisungen des Vorsitzenden oder des geschäftsführenden Mitglieds der Datenschutzkommission.
Organisation und Geschäftsführung der Datenschutzkommission
§38. (1) (Verfassungsbestimmung) Die Datenschutzkommission hat sich eine Geschäftsordnung zu geben, in der eines ihrer Mitglieder mit der Führung der laufenden Geschäfte zu betrauen ist (geschäftsführendes Mitglied). Diese Betrauung umfaßt auch die Erlassung von verfahrensrechtlichen Bescheiden und von Mandatsbescheiden im Registrierungsverfahren gemäß §20 Abs2 oder §22 Abs3. Inwieweit einzelne fachlich geeignete Bedienstete der Geschäftsstelle der Datenschutzkommission zum Handeln für die Datenschutzkommission oder das geschäftsführende Mitglied ermächtigt werden, bestimmt die Geschäftsordnung.
(2) Für die Unterstützung in der Geschäftsführung der Datenschutzkommission hat der Bundeskanzler eine Geschäftsstelle einzurichten und die notwendige Sach- und Personalausstattung bereitzustellen. Er hat das Recht, sich jederzeit über alle Gegenstände der Geschäftsführung der Datenschutzkommission beim Vorsitzenden und dem geschäftsführenden Mitglied zu unterrichten.
(3) Die Datenschutzkommission ist vor Erlassung von Verordnungen anzuhören, die auf der Grundlage dieses Bundesgesetzes ergehen oder sonst wesentliche Fragen des Datenschutzes unmittelbar betreffen.
(4) Die Datenschutzkommission hat spätestens alle zwei Jahre einen Bericht über ihre Tätigkeit zu erstellen und in geeigneter Weise zu veröffentlichen. Der Bericht ist dem Bundeskanzler zur Kenntnis zu übermitteln.
Beschlüsse der Datenschutzkommission
§39. (1) Die Datenschutzkommission ist bei Anwesenheit aller sechs Mitglieder beschlußfähig. Für den Fall der Verhinderung eines Mitglieds gilt §36 Abs4.
(2) Das richterliche Mitglied führt den Vorsitz.
(3) Für einen gültigen Beschluß der Datenschutzkommission ist die Zustimmung der Mehrheit der abgegebenen Stimmen notwendig. Bei Stimmengleichheit gibt die Stimme des Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig.
(4) Entscheidungen der Datenschutzkommission von grundsätzlicher Bedeutung für die Allgemeinheit sind von der Datenschutzkommission unter Beachtung der Erfordernisse der Amtsverschwiegenheit in geeigneter Weise zu veröffentlichen.
(5) Beschlüsse der Datenschutzkommission werden vom Vorsitzenden ausgefertigt.
Wirkung von Bescheiden der Datenschutzkommission und des geschäftsführenden Mitglieds
§40. (1) Gegen Bescheide, die das geschäftsführende Mitglied der Datenschutzkommission gemäß §22 Abs3, §30 Abs6a oder §31a Abs3 in Verbindung mit §38 Abs1 erlassen hat, ist die Vorstellung an die Datenschutzkommission gemäß §57 Abs2 AVG zulässig. Eine Vorstellung gegen einen gemäß §22 Abs3 ergangenen Bescheid hat aufschiebende Wirkung.
(2) Gegen Bescheide der Datenschutzkommission ist kein Rechtsmittel zulässig. Sie unterliegen nicht der Aufhebung oder Abänderung im Verwaltungsweg. Auftraggeber des öffentlichen Bereichs haben in Verfahren vor der Datenschutzkommission stets Parteistellung. Die Anrufung des Verwaltungsgerichtshofes durch die Parteien des Verfahrens ist zulässig. Dies gilt jedoch nicht für Auftraggeber des öffentlichen Bereichs als Beschwerdegegner im Verfahren nach §31, es sei denn es ist durch besondere gesetzliche Regelung die Möglichkeit einer Amtsbeschwerde (Art131 Abs2 B-VG) vorgesehen.
(3) Bescheide, mit welchen gemäß §13 Übermittlungen oder Überlassungen von Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die rechtlichen und tatsächlichen Voraussetzungen für die Erteilung der Genehmigung, insbesondere auch infolge einer gemäß §55 ergangenen Kundmachung des Bundeskanzlers, nicht mehr bestehen.
(4) Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses Bundesgesetzes durch einen Auftraggeber des öffentlichen Bereichs festgestellt hat, so hat dieser mit den ihm zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen."
4. Die relevanten Bestimmungen des Oö. Landesgesetzes über die Jugendwohlfahrt (Oö. Jugendwohlfahrtsgesetz 1991 – Oö. JWG 1991), LGBl 111, in der Fassung LGBl 74/2011, lauten:
"§4
Jugendwohlfahrtsträger, Aufgabenverteilung und Zuständigkeit
(1) Träger der öffentlichen Jugendwohlfahrt ist das Land Oberösterreich (öffentlicher Jugendwohlfahrtsträger).
(2) Die Aufgaben der öffentlichen Jugendwohlfahrt sind von der Landesregierung und den Bezirksverwaltungsbehörden nach Maßgabe dieses Landesgesetzes zu besorgen.
(3) Sofern durch Landesgesetz nichts anderes bestimmt wird, sind Aufgaben, deren Erfüllung auf Grund anderer Gesetze und völkerrechtlicher Verträge ausdrücklich dem Jugendwohlfahrtsträger obliegt, von der Bezirksverwaltungsbehörde zu besorgen.
(4) Freie Jugendwohlfahrtsträger können nach Maßgabe des §5 mit der Besorgung nicht hoheitlicher Aufgaben der öffentlichen Jugendwohlfahrt betraut werden.
(5) […]
[…]
§5b
Datenerfassung in Verdachtsfällen der Vernachlässigung,
Misshandlung oder des sexuellen Missbrauchs von Minderjährigen
(1) Die Bezirksverwaltungsbehörde, in deren Sprengel der (die) betroffene Minderjährige seinen (ihren) gewöhnlichen Aufenthalt hat, hat Meldungen an den Jugendwohlfahrtsträger über den Verdacht der Vernachlässigung, Misshandlung oder des sexuellen Missbrauchs von Minderjährigen, die nach §5a, §37 Jugendwohlfahrtsgesetz 1989, §14 Abs2 Oö. Kinderbetreuungsgesetz oder auf Grund berufsrechtlicher Ermächtigungen oder Verpflichtungen erstattet werden, unverzüglich zu überprüfen. Sofern nach der Überprüfung der Verdacht weiterhin besteht, sind folgende Daten zum Zweck der Abwehr von Gefährdungen des Kindeswohls und zur Wahrnehmung sonstiger Aufgaben der öffentlichen Jugendwohlfahrt (etwa zur Planung und Erstellung von Konzepten und Statistiken) personenbezogen zu verarbeiten:
1. zum(r) betroffenen Minderjährigen: Name, Geschlecht, Geburtsdatum, Adresse, Art der Gefährdung, Herkunft und Datum der Meldung;
2. zur meldenden Person (Einrichtung): Name (Bezeichnung) und Adresse.
(2) Daten nach Abs1 können im Rahmen eines Informationsverbundsystems im Sinn des §50 Datenschutzgesetz 2000, BGBl I Nr 165/1999, verarbeitet werden. Auftraggeber dieses Informationsverbundsystems sind die Bezirksverwaltungsbehörden und die Landesregierung; Betreiber des Informationsverbundsystems ist die Landesregierung.
(3) Die Daten nach Abs1 sind im Fall ihrer Unrichtigkeit sofort, im Übrigen spätestens mit dem Erreichen der Volljährigkeit des (der) betroffenen Minderjährigen von Amts wegen zu löschen.
(4) Die Bezirksverwaltungsbehörden und die Landesregierung sind zur Sicherstellung der im Abs1 genannten Zwecke berechtigt, Daten im Sinn des Abs1 an andere Jugendwohlfahrtsbehörden zu übermitteln.
(5) Die Bezirksverwaltungsbehörden und die Landesregierung haben organisatorische Vorkehrungen zu treffen, die den Schutz der Geheimhaltungsinteressen der Betroffenen im Sinn des §1 Abs2 des Datenschutzgesetzes 2000, BGBl I Nr 165/1999, garantieren. Als solche Vorkehrungen kommen insbesondere in Betracht:
1. die Eintragung von Daten nur nach dem Vier-Augen-Prinzip;
2. der Schutz der Daten vor unbefugtem Zugriff;
3. die Protokollierung der Zugriffe auf die Daten;
4. die Verschlüsselung der Daten bei deren Übermittlung in öffentlichen Netzen.
§5c
Sonstige Datenverwendung
(1) Die Bezirksverwaltungsbehörden und die Landesregierung sind ermächtigt, folgende personenbezogene Daten von natürlichen und juristischen Personen, die Leistungen im Sinn des I. bis V. Hauptstücks erbringen, sowie von Pflege- oder Adoptivwerberinnen und -werbern zum Zweck der Eignungsbeurteilung, Leistungserbringung, Leistungsabrechnung und Aufsicht zu verwenden:
1. hinsichtlich natürlicher Personen: Name, ehemalige Namen, Geschlecht, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Familienstand, Adresse, Telefonnummern, E-Mail-Adressen, Faxnummern, berufliche Qualifikation, dienst- und besoldungsrechtliche Stellung, Bankverbindung, bereichsspezifisches Personenkennzeichen, Sozialversicherungsnummer, Zentralmelderegister-Zahl, Daten zur wirtschaftlichen Eignungsprüfung;
2. hinsichtlich natürlicher Personen, die unmittelbar Minderjährige betreuen sowie Personen, die mit Pflegepersonen im Sinn des §27 Abs1 sowie Adoptivwerberinnen und -werbern nicht nur vorübergehend im gemeinsamen Haushalt leben: Daten gemäß Z1, Gesundheitsdaten, strafrechtliche Verurteilungen, Daten über die Eignung als Betreuungsperson;
3. hinsichtlich juristischer Personen: Name der juristischen Person sowie ihrer verantwortlichen und vertretungsbefugten Organe, Mitarbeiterinnen und Mitarbeiter, Vollmachten, Sitz, Adresse, Firmenbuchnummer, Zentralmelderegister-Zahl, zentrale Vereinsregister-Zahl, Telefonnummern, E-Mail-Adressen, Faxnummern, Bankverbindung, berufliche Qualifikation der Mitarbeiterinnen und Mitarbeiter, Daten zur wirtschaftlichen Eignungsprüfung;
4. Art, Anzahl, Dauer, Tarife und Kosten der erbrachten Leistungen, Angaben über Leistungsempfängerinnen und -empfänger;
5. Daten im Zusammenhang mit der Aufsichtstätigkeit.
(2) Die Bezirksverwaltungsbehörden und die Landesregierung sind ermächtigt, folgende personenbezogene Daten von Minderjährigen und jungen Erwachsenen (§43 Abs2), mit ihnen verwandten oder verschwägerten Personen, Personen, die mit ihnen im gemeinsamen Haushalt leben, Bezugspersonen sowie ganz oder teilweise mit der Obsorge betrauten Personen zum Zweck der Abklärung von Kindeswohlgefährdungen, der Gewährung von Erziehungshilfen oder sozialen Diensten und der Vermittlung oder sonstigen Mitwirkung an der Annahme an Kindesstatt zu verwenden, soweit dies im überwiegenden Interesse der Minderjährigen und jungen Erwachsenen erforderlich ist:
1. Name, ehemalige Namen, Geschlecht, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Familienstand, Adresse, Telefonnummern, E-Mail-Adressen, Faxnummern, Gesundheitsdaten, Daten über strafrechtliche Verurteilungen, Ausbildung und Beschäftigung, bereichsspezifisches Personenkennzeichen, Sozialversicherungsnummer, Zentralmelderegister-Zahl, Art der Beziehung;
2. Art, Umfang und Ergebnisse der Gefährdungsabklärung;
3. Art, Umfang, Grund und Verlauf der Erziehungshilfen und der sozialen Dienste.
(3) Die Bezirksverwaltungsbehörden und die Landesregierung sind ermächtigt, folgende personenbezogene Daten von Minderjährigen und jungen Erwachsenen (§43 Abs2), ihnen zum Unterhalt verpflichteten Personen sowie nahen Angehörigen zum Zweck der Wahrnehmung der Rechtsvertretung und Obsorge, des Kostenersatzes der vollen Erziehung, der Berechnung des Betreuungsbeitrags gemäß §18 Abs2 und der Abrechnung der Entgelte für soziale Dienste zu verwenden:
1. Name, ehemalige Namen, Geschlecht, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Familienstand, Adresse, Telefonnummern, E-Mail-Adressen, Faxnummern, Ausbildung und Beschäftigung, bereichsspezifisches Personenkennzeichen, Sozialversicherungsnummer, Zentralmelderegister-Zahl, familienrechtliche Beziehung;
2. Einkommen, Sozial- und Familienleistungen, Angaben über Dienstgeber, Vermögen, Verbindlichkeiten und Bankverbindung;
3. zur Wahrnehmung der Rechtsvertretung und Obsorge erforderliche Daten, wie insbesondere in Abstammungsverfahren, in Unterhaltsverfahren, in asylrechtlichen, fremdenpolizeilichen sowie niederlassungs- und aufenthaltsrechtlichen Verfahren.
(4) Die Bezirksverwaltungsbehörden und die Landesregierung sind ermächtigt, folgende personenbezogene Daten von Minderjährigen, mit ihnen verwandten oder verschwägerten Personen, Personen, die mit ihnen im gemeinsamen Haushalt leben, Bezugspersonen sowie ganz oder teilweise mit der Obsorge betrauten Personen zum Zweck der Stellungnahme an Zivil- oder Strafgerichte zu verwenden, soweit dies im überwiegenden Interesse der Minderjährigen erforderlich ist:
1. Name, ehemalige Namen, Geschlecht, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Familienstand, Adresse, Telefonnummern, E-Mail-Adressen, Faxnummern, Gesundheitsdaten, Daten über strafrechtliche Verurteilungen, Ausbildung und Beschäftigung, bereichsspezifisches Personenkennzeichen, Sozialversicherungsnummer, Zentralmelderegister-Zahl, Art der Beziehung;
2. Daten, die zur Beurteilung des Kindeswohls oder zur Ermittlung des Kindeswillens erforderlich sind.
(5) Bei begründetem Verdacht sind die Bezirksverwaltungsbehörden und die Landesregierung ermächtigt, zum Zweck der Eignungsbeurteilung und Aufsicht (Abs1), der Abklärung von Kindeswohlgefährdungen, der Gewährung von Erziehungshilfen oder sozialen Diensten und der Vermittlung oder sonstigen Mitwirkung an der Annahme an Kindesstatt (Abs2) Sonderauskünfte nach §9a Strafregistergesetz 1968, BGBl Nr 277/1968, in der Fassung des Bundesgesetzes BGBl I Nr 111/2010, in Bezug auf natürliche Personen, die im Rahmen der Leistungserbringung unmittelbar Minderjährige betreuen, Pflege- oder Adoptivwerberinnen und -werber, Elternteile und sonstige natürliche Personen, die Minderjährige nicht nur vorübergehend im gemeinsamen Haushalt betreuen, bei der Bundespolizeidirektion Wien - tunlichst in elektronischer Form - einzuholen und diese Daten zu verwenden.
(6) Daten gemäß Abs1 bis 5 dürfen im Rahmen eines Informationsverbundsystems im Sinn des §50 DSG2000, BGBl I Nr 165/1999, in der Fassung des Bundesgesetzes BGBl I Nr 135/2009, verarbeitet werden. Auftraggeber dieses Informationsverbundsystems sind die Bezirksverwaltungsbehörden und die Landesregierung; Betreiber des Informationsverbundsystems ist die Landesregierung.
(7) Die Bezirksverwaltungsbehörden und die Landesregierung sind berechtigt, Daten gemäß Abs1 bis 5 zu den in diesen Bestimmungen genannten Zwecken an andere Jugendwohlfahrtsträger, andere Kostenträger, Gerichte sowie Einrichtungen und Personen, die in der Begutachtung, Betreuung und Behandlung Minderjähriger tätig sind oder werden sollen, im Einzelfall zu übermitteln, sofern dies im überwiegenden Interesse der Minderjährigen oder jungen Erwachsenen (§43 Abs2) erforderlich ist. An Gerichte dürfen die Daten nur soweit übermittelt werden, als diese zur Durchführung der jeweiligen Verfahren erforderlich sind und das Kindeswohl oder Verschwiegenheitspflichten der Weitergabe nicht entgegen stehen.
(8) Die Bezirksverwaltungsbehörden und die Landesregierung haben Datensicherheitsmaßnahmen zu treffen. Jedenfalls sind alle Datenverwendungen zu protokollieren. Sensible Daten dürfen nur verschlüsselt übermittelt werden.
(9) Die verarbeiteten Daten dürfen nur so lange aufbewahrt werden, als es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist. Im Fall ihrer Unrichtigkeit sind die Daten sofort zu löschen.
[…]
§35
Begriffe; Allgemeines
(1) Erziehungshilfen sind Maßnahmen der öffentlichen Jugendwohlfahrt, die im Einzelfall erforderlich sind, wenn Pflege und Erziehung durch die Erziehungsberechtigten das Wohl des(r) Minderjährigen nicht ausreichend gewährleisten. Hiebei ist jeweils die gelindeste, noch zum Ziel führende Maßnahme vorzusehen.
(2) Erziehungshilfen gemäß Abs1 können in Form einer 'Unterstützung der Erziehung' (§36) oder als 'volle Erziehung' (§37) gewährt werden.
(3) Erziehungshilfen können dem(r) Minderjährigen auf Grund einer Vereinbarung mit den Erziehungsberechtigten als 'freiwillige Erziehungshilfen' (§38) oder auf Grund einer gerichtlichen Verfügung nach §§176 und 213 ABGB als 'Erziehungshilfen gegen den Willen der Erziehungsberechtigten' (§39) gewährt werden.
§36
Unterstützung der Erziehung
(1) Die Unterstützung der Erziehung umfaßt alle Maßnahmen, die im Einzelfall die verantwortungsbewußte Erziehung des Minderjährigen durch die Erziehungsberechtigten fördern. Die Unterstützung der Erziehung soll vor allem dazu dienen, die Voraussetzungen für die Erziehung des(r) Minderjährigen in der eigenen Familie zu verbessern.
(2) Zur Erreichung dieses Zieles können insbesondere:
1. die Erziehungsberechtigten und der (die) Minderjährige durch Fachkräfte beraten werden;
2. die Erziehungsfähigkeit der Familie, insbesondere zur Förderung der gewaltlosen Erziehung, beispielsweise durch kontinuierliche Beratungsgespräche, durch den Besuch von Elternschulen, Elternrunden, Informationsabenden und dgl. gefördert werden;
3. Minderjährige in ihrer Entwicklung gefördert werden;
4. Minderjährige in Gruppen betreut werden;
5. Minderjährige nach der Beendigung der vollen Erziehung betreut werden;
6. Minderjährige auch außerhalb der Familie begleitend betreut werden.
§37
Volle Erziehung
(1) Erscheint eine Unterstützung der Erziehung gemäß §36 im Einzelfall nicht zielführend oder hat sie sich als nicht zielführend erwiesen, so ist dem(r) Minderjährigen volle Erziehung in Form einer Unterbringung in Einrichtungen gemäß §19 Abs1 Z1 (in einer Pflegefamilie, bei Personen gemäß §27 Abs1 zweiter Satz, in einem Heim oder in einer sonstigen Einrichtung, wie z. B. einem Kinderdorf, einer sozialpädagogischen Wohngemeinschaft, durch nicht ortsfeste Formen der Pädagogik und dgl.) zu gewähren. Volle Erziehung im Sinn dieses Landesgesetzes liegt vor, sofern der Jugendwohlfahrtsträger zumindest mit der Pflege und Erziehung zur Gänze betraut wurde.
(2) Bei Säuglingen und Kleinkindern hat die Pflege und Erziehung in einer Pflegefamilie oder in besonders zu begründenden Einzelfällen in einem Kinderdorf Vorrang gegenüber den anderen Maßnahmen gemäß Abs1.
§38
Freiwillige Erziehungshilfen
(1) Sind zum Wohl des(r) Minderjährigen Maßnahmen der Erziehungshilfe notwendig und die Erziehungsberechtigten mit der Maßnahme einverstanden, so ist über die Durchführung der Maßnahme eine schriftliche Vereinbarung zwischen den Erziehungsberechtigten und der Bezirksverwaltungsbehörde abzuschließen. Handelt es sich um eine Maßnahme der vollen Erziehung gemäß §37, für deren Durchführung die Landesregierung nach §40 Abs2 zuständig ist, so ist die schriftliche Vereinbarung zwischen den Erziehungsberechtigten und der Landesregierung abzuschließen.
(2) Vor Abschluß einer Vereinbarung nach Abs1 ist das mindestens zehnjährige Kind jedenfalls persönlich, das noch nicht zehnjährige Kind tunlichst ebenfalls persönlich, erforderlichenfalls aber in anderer geeigneter Weise zu hören.
§39
Erziehungshilfen gegen den Willen der Erziehungsberechtigten
Stimmen die Erziehungsberechtigten einer notwendigen Maßnahme der Unterstützung der Erziehung (§36) oder der vollen Erziehung (§37) nicht zu oder lösen sie die Vereinbarung einseitig (§43 Abs4) und ist die Fortführung der Maßnahme weiterhin notwendig, so hat die Bezirksverwaltungsbehörde gemäß §215 Abs1 ABGB die zur Wahrung des Wohles des(r) Minderjährigen erforderliche gerichtliche Verfügung zu beantragen."
III. Erwägungen
Der Verfassungsgerichtshof hat über die – zulässige – Beschwerde erwogen:
1.1. Nach der Rechtsprechung des Verfassungsgerichtshofes ist die Ermittlung und Verwendung personenbezogener Daten durch Eingriffe einer staatlichen Behörde wegen des Gesetzesvorbehalts des §1 Abs2 DSG 2000 nur auf Grund von Gesetzen zulässig, die aus den in Art8 Abs2 EMRK genannten Gründen notwendig sind und ausreichend präzise, also für jedermann vorhersehbar, regeln müssen, unter welchen Voraussetzungen die Ermittlung bzw. Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben zulässig ist (vgl. VfSlg 16.369/2001). Der jeweilige Gesetzgeber muss somit gemäß §1 Abs2 DSG 2000 eine materienspezifische Regelung in dem Sinne vorsehen, dass die Fälle zulässiger Eingriffe in das Grundrecht auf Datenschutz konkretisiert und begrenzt werden.
1.2. Im vorliegenden Fall stellt §5c Abs4 Z2 Oö. JWG 1991 die im Sinne des §1 Abs2 iVm §8 Abs1 und 4 DSG 2000 notwendige gesetzliche Ermächtigung zur Datenübermittlung dar (wovon sowohl die Beschwerdeführerin als auch die DSK im angefochtenen Bescheid ausgehen). Nach Auffassung der Beschwerdeführerin ist allerdings der in §5c Abs4 Z2 Oö. JWG 1991 erfasste Personenkreis im Hinblick auf die Eingriffsschranken des §1 Abs2 DSG zu weitgehend; es sei nicht ersichtlich, warum ein Eingriff bei sämtlichen verwandten – auch bei nicht im gemeinsamen Haushalt mit dem betroffenen Minderjährigen lebenden –Personen zulässig sei. Die gesetzliche Regelung des §5c Abs4 Z2 Oö. JWG 1991 sei daher dahingehend zu prüfen, ob die Verwendung personenbezogener Daten (zur Beurteilung des Kindeswohls bzw. zur Ermittlung des Kindeswillens) durch die in der gesetzlichen Bestimmung näher bestimmten Behörden verhältnismäßig (Art8 Abs2 EMRK iVm §1 Abs2 DSG 2000) ist.
1.2.1. Gemäß §4 Abs1 und 2 Oö. JWG 1991 ist das Land Oberösterreich Träger der öffentlichen Jugendwohlfahrt, wobei die Aufgaben der öffentlichen Jugendwohlfahrt von der Landesregierung und den Bezirksverwaltungsbehörden nach Maßgabe des Oö. Jugendwohlfahrtsgesetzes 1991 zu besorgen sind. Gemäß §§35 ff. Oö. JWG 1991 können Erziehungshilfen (zB "Unterstützung der Erziehung" gemäß §36 Oö. JWG 1991 oder "volle Erziehung" gemäß §37 Oö. JWG 1991) als Maßnahmen der öffentlichen Jugendwohlfahrt, die im Einzelfall erforderlich sind, gewährt werden, wenn Pflege und Erziehung durch die Erziehungsberechtigte