TE Vfgh Erkenntnis 2014/10/9 KR1/2014

I. Der Antrag auf Feststellung, dass der Rechnungshof befugt ist, zum Zwecke der Gebarungsüberprüfung des Bundesministeriums für Verkehr, Innovation und Technologie insbesondere in "1. die Gesamtauszüge aus dem Quellsystem zu zwei unterschiedlichen Zeitpunkten in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe zu erhalten und Einsicht zu nehmen" wird abgewiesen.

II. Der Antrag auf Feststellung, dass der Rechnungshof befugt ist, zum Zwecke der Gebarungsüberprüfung des Bundesministeriums für Verkehr, Innovation und Technologie insbesondere in "2. den Inhalt und allfällige Attachements einzelner, vom Rechnungshof aufgrund dieser Gesamtauszüge ausgewählter E-Mails zu erhalten und Einsicht zu nehmen" wird zurückgewiesen.

Entscheidungsgründe

I.       Sachverhalt, Antrag und Vorverfahren

1.       Der Rechnungshof stellte am 13. Mai 2014 gemäß Art126a B-VG den Antrag, der Verfassungsgerichtshof möge

"I. feststellen, dass der Rechnungshof befugt ist, zum Zwecke der Gebarungsüberprüfung des Bundesministeriums für Verkehr, Innovation und Technologie insbesondere in

1. die Gesamtauszüge aus dem Quellsystem zu zwei unterschiedlichen Zeitpunkten in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe zu erhalten und Einsicht zu nehmen und

2. den Inhalt und allfällige Attachements einzelner, vom Rechnungshof aufgrund dieser Gesamtauszüge ausgewählter E-Mails zu erhalten und Einsicht zu nehmen und

II. aussprechen, dass das Bundesministerium für Verkehr, Innovation und Technologie schuldig ist, diese Einsicht bei sonstiger Exekution zu ermöglichen."

2.       Dem Antrag des Rechnungshofes liegt folgender – insoweit außer Streit stehender – Sachverhalt zugrunde:

2.1.    Der Österreichische Verkehrssicherheitsfonds (im Folgenden: "Verkehrssicherheitsfonds") finanzierte unter anderem in den Jahren 2009 und 2010 Kampagnen zur Bewusstseinsbildung zum Thema Alkohol am Steuer. In diesem Zusammenhang beauftragte das Bundesministerium für Verkehr, Innovation und Technologie (im Folgenden: "BMVIT") im Jahr 2009 die Bundesbeschaffung GmbH mit der Durchführung eines Vergabeverfahrens für die Vergabe von Kreativleistungen für eine Werbekampagne. In der Folge wurde ein zweistufiges Vergabeverfahren durchgeführt, in dessen Rahmen mehrere Agenturen am 31. August 2009 und am 1. September 2009 ihre Erstangebote präsentierten. Am 2. und 3. September 2009 fanden Verhandlungen mit den Agenturen statt, in denen Änderungen der vorgeschlagenen Werkkonzepte besprochen wurden. Die bis 17. September 2009 übermittelten "finalen Entwürfe" bzw. "Letztanbote" wurden von einer Bewertungskommission des BMVIT geprüft und bewertet. Auf Basis des Ergebnisses der Bewertungskommission erteilte die Bundesministerin für Verkehr, Innovation und Technologie am 2. Oktober 2009 der "Agentur A" als Bestbieterin den Zuschlag.

2.2.    Die im Vergabeverfahren zweitgereihte "Agentur B" erhob gegen die "Agentur A" mit dem Vorwurf des Plagiierens Klage vor dem Handelsgericht Wien wegen Verletzung des Urheberrechts.

2.3.    Mit Prüfungsauftrag vom 16. September 2013 leitete der Rechnungshof eine Gebarungsüberprüfung des Verkehrssicherheitsfonds ein.

2.4.    Am 13. Jänner 2014 ersuchte der Rechnungshof das BMVIT "um zur Verfügung Stellung folgender Unterlagen im Zusammenhang mit der Verkehrssicherheitskampagne 2009 (Alkohol am Steuer)":

"- eine Auflistung aller im Zeitraum zwischen 3.7.2009 (Veröffentlichung der Ausschreibung) und 2.10.2009 (Zuschlagserteilung) zwischen der Domain @bmvit.gv.at und den [dem Rechnungshof bekannten] Domains [der 'Agentur A'] gesendeten und empfangenen mails

- inkl. aller dieser mails mit Inhalt und Sendezeitpunkt

in elektronischer Form – möglichst im pdf-Format – per mail oder auf DVD."

2.5.    Das BMVIT teilte dem Rechnungshof mit Schreiben vom 16. Jänner 2014 mit, eine Auflistung aller im angegebenen Zeitraum angefallenen E-Mails sei "allein technisch nicht möglich": Die Tagessicherungen der Daten würden im Falle von E-Mail und Fileserver vier Wochen aufbewahrt. Danach würden die Sicherungsmedien wieder verwendet und die Tagessicherungen stünden nicht mehr zur Verfügung. Zur Katastrophenvorsorge würden vierteljährlich Quartalssicherungen ins zentrale Ausweichsystem des Bundes verbracht; diese Medien würden nach einem Jahr wieder verwendet.

Weiters sei festzuhalten, dass auf Grund der Bestimmungen der §§79c ff. Beamten-Dienstrechtsgesetz 1979 (BDG 1979) und des §29n Vertragsbedienstetengesetz 1948 (VBG) die private Nutzung der für den Dienstbetrieb zur Verfügung gestellten IKT-Infrastruktur durch Mitarbeiter und Mitarbeiterinnen zulässig sei und sich daher in den E-Mail-Postfächern bzw. -Archiven personenbezogene Daten dieser Personen befinden könnten. Bezüglich der Verwendung dieser in den E-Mails vorhandenen Daten bestehe entsprechend den Bestimmungen des Datenschutzgesetzes 2000 das höchstpersönliche, verfassungsgesetzlich gewährleistete Recht der Betroffenen auf Geheimhaltung.

2.6.    Mit "Unterlagenanforderung" vom 20. Februar 2014 forderte der Rechnungshof das BMVIT auf, "längstens bis zum 6. März 2014 [...] folgende Daten auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014 (jeweils kompletter Bandsatz) in elektronischer, für eine weitere Auswertung geeigneter Form zur Verfügung zu stellen":

"- Gesamtauszug aus dem Quellsystem über alle im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender (Name, E-Mail-Adresse), Empfänger (Name, E-Mail-Adresse), Sende- bzw. Empfangszeitpunkt, Betreff und Größe."

Dies sollte auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014 geschehen.

Die im Antwortschreiben des BMVIT vom 16. Jänner 2014 angeführten technischen Einschränkungen hätten durch eine Recherche in den entsprechenden Unterlagen des BMVIT, "insbesonders Leitfaden Speichermanagement und Konzept des Mailarchivs", ausgeräumt werden können. Die angefragten Unterlagen könnten demnach auf den Bändern der "Vollsicherung (Fullbackup)" zur Verfügung stehen.

In Bezug auf das vom BMVIT angeführte Argument betreffend die Wahrung des Datenschutzes wies der Rechnungshof darauf hin, dass datenschutzrechtliche Bestimmungen die Einsichtsrechte des Rechnungshofes nicht beschränken könnten. In einem ersten Schritt würden zudem keine Inhalte von E-Mails abgefragt.

2.7.    Zur "Unterlagenanforderung" des Rechnungshofes vom 20. Februar 2014 nahm das BMVIT mit Schreiben vom 6. März 2014 im Wesentlichen wie folgt Stellung:

Das BMVIT habe bereits im Schreiben vom 16. Jänner 2014 mitgeteilt, dass auf Grund der Möglichkeit der zulässigen privaten Mitbenutzung von E-Mails eine Überlassung nicht nur der Mailinhalte, sondern auch von Informationen über Empfänger, Sender oder den Betreff aus Gründen des Datenschutzes nicht möglich sei. Im BMVIT sei die private Nutzung der IKT-Struktur in den im BDG 1979 und in der IKT-Nutzungsverordnung festgelegten Grenzen erlaubt. Darüber hinaus seien keine Regelungen getroffen worden, um private E-Mails eindeutig identifizieren zu können; somit könne nicht ausgeschlossen werden, dass in E-Mails mit dienstlichem Betreff private Inhalte enthalten seien oder dass die E-Mails sensible Daten im Sinne des §4 Z2 DSG 2000 enthielten. Zu bedenken sei auch, dass auch die berechtigten Interessen Dritter betroffen seien, die im Vertrauen auf den Schutz ihrer Privatsphäre E-Mails privater Natur an Bedienstete des BMVIT gerichtet hätten.

Für die Offenlegung von E-Mails mit privatem Inhalt, "aber auch der vom Rechnungshof angeforderten Parameter", sei weder im BDG 1979 noch in der IKT-Nutzungsverordnung eine gesetzliche Grundlage vorgesehen; eine solche könne auch nicht aus dem Rechnungshofgesetz (RHG) abgeleitet werden. Damit fehle aber die Voraussetzung für die Zulässigkeit des Eingriffs durch eine staatliche Behörde.

Darüber hinaus sei die Forderung, den Inhalt von E-Mails oder auch nur Informationen über den Betreff, den Sender und den Empfänger von möglicherweise privaten E-Mails einer nicht näher definierten Zahl von Bediensteten und dritten Personen bekannt zu geben, keinesfalls das in §1 Abs2 DSG 2000 geforderte gelindeste zum Ziel führende Mittel, weil aus dem Namen oder der Mailadresse des Senders bzw. Empfängers auch sensible Daten abgeleitet werden könnten, zum Beispiel E-Mails an Religionsgemeinschaften, politische Parteien, Einrichtungen, oder Inhalte eines Betreffs, die Rückschlüsse auf medizinische, religiöse, sexuelle oder politische Inhalte der E-Mail zuließen.

3.       Der Rechnungshof stellte daraufhin am 13. Mai 2014 den vorliegenden Antrag an den Verfassungsgerichtshof und begründete diesen wie folgt (Zitat ohne die im Original enthaltenen Hervorhebungen):

"I. DARSTELLUNG DES SACHVERHALTES

Der Rechnungshof überprüft seit Oktober 2013 beim Bundesministerium für Verkehr, Innovation und Technologie (GZ 004.097) die Gebarung des Österreichischen Verkehrssicherheitsfonds im Zeitraum 2008 bis dato. Ziel der Gebarungsüberprüfung ist u.a. eine Beurteilung der Rechtmäßigkeit, sowie der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit und der ziffernmäßigen Richtigkeit des gebarungswirksamen Verwaltungshandelns hinsichtlich

?  der für die Verkehrssicherheitsarbeit aus dem Verkehrssicherheitsfonds zur Verfügung stehenden Mittel,

?  der Organisation des Verkehrssicherheitsfonds,

?  der Tätigkeitsbereiche des Verkehrssicherheitsfonds und

?  der durch die Tätigkeit des Verkehrssicherheitsfonds entfalteten Wirkungen.

Im Rahmen der Gebarungsüberprüfung prüft der Rechnungshof u.a. auch die Vergabeverfahren zu den vom Verkehrssicherheitsfonds finanzierten Verkehrssicherheits-Kampagnen zur Bewusstseinsbildung. Der Verkehrssicherheitsfonds finanzierte u.a. in den Jahren 2009 und 2010 eine Kampagne zur Bewusstseinsbildung zum Thema Alkohol am Steuer.

Bei dieser Kampagne beauftragte das Bundesministerium für Verkehr, Innovation und Technologie die Bundesbeschaffung GmbH mit der Durchführung des Vergabeverfahrens für die im Rahmen der Kampagne zu erbringenden Kreativleistungen. In der ersten Stufe des zweistufigen Verhandlungsverfahrens wurden fünf Agenturen ausgewählt und zur Angebotslegung eingeladen. Am 31. August und 1. September 2009 präsentierten die fünf Agenturen der Bewertungskommission ihre Erstangebote.

Die Erstangebote der Agentur A und der Agentur B unterschieden sich im generellen Konzept und im Slogan deutlich. Am 2. und 3. September 2009 fanden Verhandlungsrunden von Vertretern des Bundesministeriums für Verkehr, Innovation und Technologie und der Bundesbeschaffung GmbH mit den fünf Agenturen statt. Diese wurden im Anschluss aufgefordert, bis zum 17. September 2009 ein Letztangebot zu legen.

Die Bundesbeschaffung GmbH nahm die Letztangebote von fünf Bietern am 17. September 2009 entgegen und übermittelte sie am gleichen Tag per Boten an das Bundesministerium für Verkehr, Innovation und Technologie, dem damit sämtliche Unterlagen zu den Letztangeboten vorlagen. Die Bundesbeschaffung GmbH wies Mitarbeiter des Bundesministeriums für Verkehr, Innovation und Technologie in einer E-Mail am 21. September 2009 darauf hin, dass die Agentur A Konzept und Slogan der Kampagne zur Gänze geändert hatte und dass nunmehr sowohl der Slogan als auch Inhalt und Aufbau des Spots eine starke Ähnlichkeit mit dem von der Agentur B bereits ursprünglich eingereichten Vorschlag aufweisen würden. Dieser Umstand habe laut Bundesbeschaffung GmbH auf das Vergabeverfahren selbst keine Auswirkungen, weil alle Kommissionsmitglieder Geheimhaltungserklärungen unterzeichnet hätten. Mögliche rechtliche Schritte im Zusammenhang mit einer Urheberrechtsverletzung seien aber nicht auszuschließen.

Das Bundesministerium für Verkehr, Innovation und Technologie nahm diese Mitteilung zur Kenntnis, das Vergabeverfahren wurde nicht widerrufen (Beilage 1) und die Bundesbeschaffung GmbH setzte das Vergabeverfahren daher fort. Am 21. September 2009 fand die Sitzung der Bewertungskommission statt. Stimmberechtigte Mitglieder der Bewertungskommission waren Vertreter des Bundesministeriums für Verkehr, Innovation und Technologie und von diesem nominierte Externe. Die Mitarbeiter der Bundesbeschaffung GmbH stellten den organisatorischen Rahmen zur Verfügung. Aus der Prüfung und Bewertung der Angebote durch die Bewertungskommission ging die Agentur A als erstgereihte Agentur mit einem Punktevorsprung von 0,32 von 100 möglichen Punkten gegenüber der Agentur B bei einem um 32 Prozent höheren Gesamtpreis als jener der zweitgereihten Agentur B hervor. Nach Ende der Stillhaltefrist am 2. Oktober 2009 erteilte das Bundesministerium für Verkehr, Innovation und Technologie auf Basis des Ergebnisses der Bewertungskommission der Agentur A den Auftrag.

Die Agentur B führt derzeit gegen die Agentur A einen Prozess wegen Verletzung des Urheberrechts vor dem Handelsgericht Wien (10 Cg 239/09s). Der im Rahmen dieses Verfahrens beauftragte Sachverständige kam zum Schluss, dass die Werbespots in den Letztangeboten der Agentur A und der Agentur B in ihren charakteristischen Elementen und wesentlichen Fakten übereinstimmen.

Zur Genese der Kampagne forderte er beide Agenturen auf, Unterlagen vorzulegen. Der Gutachter stellte dazu fest, dass Agentur B der Aufforderung umfassend nachgekommen sei und umfangreiche Unterlagen vorgelegt hätte, welche den Entwicklungsprozess anhand von E-Mail-Schriftverkehr und diversen Daten abbildeten. Agentur A hätte im Gegensatz dazu nur ein handschriftliches Dokument im Umfang von drei Seiten vorgelegt, welches in seiner Charakteristik durchgängig geschrieben schien.

Die Rechnungshof-Kontrolle umfasst auch die Rechtmäßigkeit des gebarungsrelevanten Verwaltungshandelns und somit im vorliegenden Fall auch die Prüfung der Rechtmäßigkeit des Vergabeverfahrens und dabei insbesondere auch die Prüfung der Einhaltung der Geheimhaltungspflicht aller am Vergabeverfahren beteiligten Personen. Um einen allfälligen Informationsfluss von Inhalten des Erstangebots der Agentur B durch Mitarbeiter des Bundesministeriums für Verkehr, Innovation und Technologie an die Agentur A feststellen zu können, ersuchte der Rechnungshof am 13. Jänner 2014 das Bundesministerium für Verkehr, Innovation und Technologie um eine Auflistung aller im Zeitraum der Ausschreibung zwischen dem Bundesministerium für Verkehr, Innovation und Technologie und der Agentur A gesendeten E-Mails und um die betreffenden E-Mails selbst (Beilage 2). Eine entsprechende Information ist für den Rechnungshof zur Beurteilung der Gebarungsrelevanz insbesondere auch im Hinblick auf den um 32 Prozent höheren Gesamtpreis der nach dem Vergabeverfahren erstgereihten Agentur erforderlich.

Das Bundesministerium für Verkehr, Innovation und Technologie teilte am 16. Jänner 2014 mit, dass eine Übermittlung der angefragten Unterlagen technisch nicht möglich sei und auch aufgrund der Bestimmungen des Datenschutzgesetzes nicht erfolgen würde (Beilage 3).

Aufgrund dieser Mitteilung unternommene Recherchen des Rechnungshofes ergaben, dass die technische Möglichkeit besteht, dass zumindest Teile der angeforderten E-Mails aus dem betreffenden Zeitraum auf Sicherungsbändern (Backup der E-Mail-Konten bzw. des E-Mail-Archivs) vorhanden sein könnten. Um eine höchstmögliche Authentizität der Daten sicherzustellen und eine selektive Löschung einzelner E-Mails oder Filterung der Daten durch die geprüfte Stelle im Zuge einer selektiven Abfrage aus dem Gesamtdatenbestand über einen eingeschränkten Zeitraum oder ausgewählter E-Mail-Konten auszuschließen, weitete der Rechnungshof seine Datenanfrage in einem zweiten Schritt aus: Er forderte am 20. Februar 2014 einen Gesamtauszug aus dem Quellsystem in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014 an (Beilage 4).

Die Abfrage der Daten zu zwei unterschiedlichen Zeitpunkten soll mögliche, in der Zwischenzeit vorgenommene Löschungen ersichtlich machen. Der Rechnungshof forderte ausdrücklich nicht alle E-Mails (deren Inhalt) über den Prüfungszeitraum, sondern nur einen Auszug aus dem Quellsystem an, um festzustellen, ob E-Mails im fraglichen Zeitraum gesendet wurden und von wem, um dann in einem weiteren Schritt den Inhalt einzelner konkreter E-Mails (inkl. möglicher Attachments) anzufordern. Eine Übermittlung des Inhalts einzelner, ausgewählter E-Mails behielt sich der Rechnungshof jedoch vor.

Mit Schreiben vom 6. März 2014 verweigerte das Bundesministerium für Verkehr, Innovation und Technologie die Übermittlung der Informationen über E-Mails mit dem Hinweis auf den Datenschutz, weil sich unter den E-Mails der Mitarbeiter neben E-Mails mit dienstlichen Inhalten auch E-Mails mit privaten Inhalten befinden können (Beilage 5).

Am 20. März 2014 fand ein weiteres Gespräch zwischen Vertretern des Rechnungshofes und des Bundesministeriums für Verkehr, Innovation und Technologie statt, in dessen Rahmen die unterschiedlichen Rechtsansichten nochmals dargelegt wurden. Die Vertreter des Bundesministeriums für Verkehr, Innovation und Technologie kündigten die Beauftragung eines Rechtsgutachtens an und blieben bei der Verweigerung der Unterlagenübergabe. Zudem verweigerten sie, eine vom Rechnungshof in Grundzügen vorbereitete Niederschrift mit dem Inhalt der Besprechung zu ergänzen und dieses Gesprächsprotokoll zu unterfertigen.

II. RECHTLICHE WÜRDIGUNG

II.1.

Der Rechnungshof Ist gemäß Artikel 121 Abs1 B-VG zur Überprüfung der Gebarung des Bundes, der Länder, der Gemeindeverbände, der Gemeinden und anderer durch Gesetz bestimmter Rechtsträger berufen.

Beim Österreichischen Verkehrssicherheitsfonds handelt es sich, wie §131a KFG explizit ausführt, um einen sog. 'Verwaltungsfonds'. Dieser Umstand und der Umstand, dass die zit. Bestimmung keinerlei Regelungen über die Organe des Fonds enthält, lässt den Schluss zu, dass es sich nicht um eine, vom Bund unterschiedliche juristische Person, sondern lediglich um ein Zweckvermögen handelt, das Teil der Gebarung des Bundes ist und vom Bundesministerium für Verkehr, Innovation und Technologie verwaltet wird. Das Bundesministerium für Verkehr, Innovation und Technologie ist daher als Antragsgegner im gegenständlichen Verfahren anzusehen.

II.2.

Wie oben ausgeführt verlangte der Rechnungshof auf Grundlage des §3 Rechnungshofgesetzes 1948 - RHG (i.d.F.: RHG) am 13. Jänner 2014 vom Bundesministerium für Verkehr, Innovation und Technologie eine Auflistung aller im Zeitraum der Ausschreibung zwischen dem Bundesministerium für Verkehr, Innovation und Technologie und der Agentur A gesendeten E-Mails und um die betreffenden E-Mails selbst. Dieses Verlangen wurde am 16. Jänner 2014 seitens des Bundesministeriums für Verkehr, Innovation und Technologie aufgrund der technischen Unmöglichkeit und aufgrund, der Bestimmungen des Datenschutzgesetzes abgelehnt.

In einem zweiten Schritt weitete der Rechnungshof seine Datenanfrage aus: Am 20. Februar 2014 forderte er einen Gesamtauszug aus dem Quellsystem in Form einer Auflistung über alle im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014 an.

Das BMVIT verweigerte mit Schreiben vom 6. März 2014, auch diesem neuerlichen auf §3 RHG gestützten Verlangen entgegen der Anordnung des §4 RHG nachzukommen, obwohl nach dieser Bestimmung die geprüften Stellen die Anfragen des Rechnungshofes ohne Verzug vollinhaltlich und unmittelbar zu beantworten, alle abverlangten Auskünfte zu erteilen und jedem Verlangen zu entsprechen haben, das der Rechnungshof zum Zwecke der Durchführung der Kontrolle im einzelnen Falle stellt.

Im vorliegenden Fall kam es somit zu zwei Verweigerungen: Das Bundesministerium für Verkehr, Innovation und Technologie

1. verweigerte die Einsichtnahme in den Inhalt konkreter E-Mails (Schreiben vom 16. Jänner 2014) und

2. die Einsichtnahme in die Gesamtauszüge aus dem Quellsystem zu zwei unter schiedlichen Zeitpunkten in Form einer Auflistung aller E-Mails bzw. ihrer Metadaten (Sender, Empfänger, Sendezeitpunkt, Betreff, Größe) mit der Domain @bmvit.gv.at (Schreiben vom 6. März 2014).

II.3.

Der Rechnungshof ist gemäß §3 RHG zum Zweck der Kontrolle berechtigt, in alle Unterlagen der geprüften Stelle Einsicht zu nehmen, und von den geprüften Stellen jederzeit schriftlich oder im kurzen Wege alle ihm erforderlich erscheinenden Auskünfte zu verlangen. Ohne dieses Recht wäre eine Überprüfung der Gebarung nach Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit nicht möglich (VfSlg 4106/1961). Der Gebarungsbegriff umfasst dabei jedes Verhalten, das finanzielle Auswirkungen (. . .) hat' (VfSlg 7944/1976).

Angesichts dieses umfassenden Einsichtnahmerechts und des ebenfalls umfassenden Gebarungsbegriffs ist es aus der Sicht des Rechnungshofes völlig klargestellt, dass die Korrespondenz zwischen einzelnen Organisationseinheiten des Bundesministeriums für Verkehr, Innovation und Technologie und zwischen dem Bundesministerium für Verkehr, Innovation und Technologie und Dritten via E-Mail gebarungsrelevante Unterlagen sind, in die der Rechnungshof Einsicht nehmen kann. Dies gilt schon allein deshalb, weil die Gebarungsrelevanz nicht von vornherein ausgeschlossen werden kann (VfGH 12. Dezember 2013, KR2/2013).

II.4.

Das Bundesministerium für Verkehr, Innovation und Technologie verweigert die Vorlage dieser gebarungsrelevanten Unterlagen bzw. die Einsichtnahme in diese im Wesentlichen mit der Begründung, dass sie aufgrund datenschutzrechtlicher Bestimmungen zur Herausgabe der Unterlagen nicht berechtigt sei.

Der Verfassungsgerichtshof hat in seinem Erkenntnis vom 28. November 2003, KR1/00 (VfSlg 17.065/2003) festgehalten, dass die geprüfte Stelle nicht befugt ist, die Einsicht in gebarungsrelevante Unterlagen zu Zwecken der allgemeinen Gebarungsprüfung zu behindern oder von Bedingungen abhängig zu machen. Vielmehr haben die geprüften Stellen ohne Rücksicht auf sonst bestehende Verschwiegenheitspflichten die nötigen Auskünfte zu erteilen und die Einsicht auch in vertrauliche Unterlagen zu dulden. Aus diesem Grund gehen die vom Bundesministerium für Verkehr, Innovation und Technologie gegen die vollständige Einsichtnahme des Rechnungshofes in die vom Rechnungshof verlangten Unterlagen vorgebrachten Argumente betreffend Wahrung des Datenschutzes ins Leere (VfGH 12. Dezember 2013, KR2/2013). Der Rechnungshof hat allerdings bei seiner Berichterstattung regelmäßig eine Interessenabwägung zwischen privaten Geheimhaltungsinteressen und dem öffentlichen Interesse an der Bekanntgabe der Kontrollergebnisse vorzunehmen. Im Einzelnen führte der Verfassungsgerichtshof im zitierten Erkenntnis unter Bezugnahme auf die einschlägige Literatur aus wie folgt:

'Diese (teilweise) Behinderung der Einschau erfolgte zu Unrecht. Auch wenn der ORF (. . .) im Ergebnis letztlich zu Recht der Auffassung anhing, dass eine Einschau in die Gehaltskonten zum Zweck der namentlichen Einkommensberichterstattung gemäß §8 Abs.1 bis 3 BezBegrBVG rechtlich nicht zulässig sei, so war er dennoch nicht befugt, auch die Einsicht zu Zwecken der allgemeinen Gebarungsprüfung zu behindern oder von Bedingungen abhängig zu machen. Die Antwort auf die Frage, wie weit bei einer solchen Einsicht gewonnene Ergebnisse bei der Berichterstattung im Rahmen der Gebarungsprüfung veröffentlicht werden dürfen, ergibt sich aus den einschlägigen Rechtsvorschriften [vgl. etwa Berka, Rechnungshofkontrolle im Spannungsfeld von Öffentlichkeit und Geheimnisschutz, in: Korinek (Hrsg.), Die Kontrolle wirtschaftlicher Unternehmungen durch den Rechnungshof, 1986, S. 419, insbesondere S. 434 ff], ist aber nicht der Gestaltung durch den Rechnungshof und die geprüfte Stelle zugänglich.

Zu Recht weist Berka (aaO, S. 435) darauf hin, dass 'die geprüften Stellen dem Rechnungshof ohne Rücksicht auf sonst bestehende Verschwiegenheitspflichten die nötigen Auskünfte zu erteilen und die Einsieht auch in vertrauliche Unterlagen zu dulden' haben. Daraus erfließt aber keineswegs eine umfassende Informations-Pflicht des Rechnungshofes gegenüber der Allgemeinheit, vielmehr hat der Rechnungshof bei seiner Berichterstattung regelmäßig eine Interessenabwägung zwischen privaten Geheimhaltungsinteressen und dem öffentlichen Interesse der Bekanntgabe der Kontrollergebnisse vorzunehmen [vgl. Kroneder-Partisch, Art126d B-VG, in: Korinek/Holoubek (Hrsg.), Bundesverfassungsrecht, Rz 14 (2001)]:'

In den Erkenntnissen vom 12. Dezember 2013, KR1/2013, 2/2013 und 3/2013 hat der Verfassungsgerichtshof diese Rechtsprechung bestätigt.

Demnach ist das Bundesministerium für Verkehr, Innovation und Technologie aus der Sicht des Rechnungshofes nicht berechtigt, die Einsichtnahme in die geforderten konkreten E-Mails und in den Gesamtauszug von E-Mail mit der Domain @bmvit.gv.at aufgrund der von ihm ins Treffen geführten datenschutzrechtlichen Bedenken zu verweigern, und damit die auf §3 RHG gestützten Verlangen des Rechnungshofes abzulehnen.

Vielmehr wäre das Bundesministerium für Verkehr, Innovation und Technologie zur vollständigen Vorlage der Unterlagen verpflichtet. Davon unabhängig zu bewerten ist, wie der Rechnungshof in der Folge die Wahrung des Grundrechtes auf Datenschutz im Rahmen der Berichterstattung vornimmt.

II.5.

Das Bundesministerium für Verkehr, Innovation und Technologie verweigerte die Übermittlung der Informationen über E-Mails u.a. mit dem Hinweis, dass sich unter den E-Mails der Mitarbeiter mit dienstlichen Inhalten auch E-Mails mit privaten Inhalten befinden können, weil das Bundesministerium für Verkehr, Innovation und Technologie die private Nutzung der IKT-Struktur unter den gesetzlich festgelegten Grenzen erlaubt. Nachdem private E-Mails nicht eindeutig zu identifizieren seien, könne nicht ausgeschlossen werden, dass in den Betreffs private Inhalte, insbesondere auch sensible Daten i.S.d. §4 Z2 DSG, enthalten seien. Unter Hinweis auf die §§79d, 79e und 79g BDG, BGBl Nr 333/1979 i.d.g.F. sowie §§4 und 5 IKT-NutzungsVO, BGBl II Nr 281/2009 kommt das Bundesministerium für Verkehr, Innovation und Technologie zum Ergebnis, dass eine gesetzliche Grandlage für die Offenlegung von E-Mails mit privatem Inhalt nicht bestehe.

Dem Rechnungshof sind in Ausübung und zum Zweck seiner Kontrolle umfassende und unbeschränkbare Auskunfts- und Einschaurechte eingeräumt (§3 RHG). Diese Auskunfts- und Einschaurechte sind umfassend, d.h. der Rechnungshof muss in alle gebarungsrelevante Unterlagen Einschau nehmen können. Ohne dieses umfassende Recht ist eine Überprüfung der Gebarung nach Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit nicht möglich (VfSlg 4106/1961).

Diesen Rechten des Rechnungshofes stehen korrespondierende Verpflichtungen der der Rechnungshof-Kontrolle unterliegenden Rechtsträger gegenüber, die Einsichtnahme in gebarungsrelevante Unterlagen zu dulden. Auch diese Verpflichtungen sind umfassend, was der Gesetzgeber in der Wendung, dass die der Rechnungshof-Kontrolle unterliegenden Rechtsträger 'jedem Verlangen zu entsprechen (haben), das der Rechnungshof zum Zwecke der Durchführung der Kontrolle im einzelnen Falle stellt' (§4 Abs1 RHG) klar zum Ausdruck gebracht hat.

Der Vollständigkeit halber sei angemerkt, dass diese umfassenden Auskunfts- und Einschaurechte des Rechnungshofes dem Bundesministerium für Verkehr, Innovation und Technologie gegenüber sich nicht erst aus den einfachgesetzlichen Bestimmungen des RHG ergeben, sondern bereits in der Verfassung grundgelegt sind, d.h. sich unmittelbar aus Art126b Abs1 B-VG ableiten lassen (VfSlg 4106/1961). Verfehlt wäre es daher, anzunehmen, einfachgesetzliche Regelungen (z.B. §§79d, 79e und 79g BDG) würden einer solchen Übermittlung entgegenstehen. Hätten sie diesen Inhalt, so würden sie - im hier vorliegenden Zusammenhang - dem Art126b Abs1 B-VG widersprechen. Schon das Gebot der im Zweifel verfassungskonformen Auslegung zwingt also dazu, sie nicht in dem vom Bundesministerium für Verkehr, Innovation und Technologie unterstellten Sinn zu deuten (VfSlg 15.130/1998).

Nach Ansicht des Rechnungshofes können diese umfassenden Auskunfts- und Einschaurechte nicht dadurch geschmälert werden, dass dem Rechnungshof im Rahmen seiner Tätigkeit auch Informationen über Privatpersonen, die der Rechnungshof-Kontrolle nicht unterliegen, bekannt werden. Jede andere Ansicht würde dazu führen, dass die Kontrollziele des VI. Hauptstückes nicht erreicht würden, weil 'ohne Einsicht in alle Unterlagen eine Überprüfung der Gebarung nach Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit nicht möglich (ist)' (VfSlg 4106/1961). Zudem könnten geprüfte Stellen versucht sein, einen 'öffentlichen' Datenbestand mit privaten Daten zu 'infizieren' und damit den gesamten Bestand, somit auch den gebarungsrelevanten Teil der Kontrolle durch den Rechnungshof zu entziehen.

Zu den datenschutzrechtlichen Bedenken des Bundesministeriums für Verkehr, Innovation und Technologie, dass bei der Durchsicht der Informationen über E-Mails neben gebarungsrelevanten Informationen dem Rechnungshof auch Informationen über Privatpersonen bekannt werden können, ist auf die Ausführungen zu Pkt. II.4. zu verweisen. Ergänzend ist anzumerken, dass sich die Berichtspflicht des Rechnungshofes im vorliegenden Fall nur auf die Gebarung des Bundes bezieht, und damit etwaige für die Beurteilung der Gebarung im vorliegenden Fall nicht relevante Informationen aus datenschutzrechtlichen Gründen nicht in seinem Bericht aufgenommen würden.

Weiters ist darauf hinzuweisen, dass die Bediensteten des Rechnungshofes kraft Dienstrechts zur Verschwiegenheit verpflichtet sind (§46 BDG, §5 VBG)."

4.       Die Bundesministerin für Verkehr, Innovation und Technologie erstattete eine Äußerung, in der sie dem Antrag des Rechnungshofes mit folgender Begründung entgegentritt:

"A. Sachverhalt

Wie im Antrag des Rechnungshofs beschrieben, beauftragte das Bundesministerium für Verkehr, Innovation und Technologie (im Folgenden auch 'bmvit') im Rahmen der Vergabe von Kreativleistungen für eine Werbekampagne des Verkehrssicherheitsfonds im Jahr 2009 die Bundesbeschaffung GmbH mit der Durchführung des Vergabeverfahrens. Es handelte sich um ein zweistufiges Verfahren mit 5 Agenturen, wobei insgesamt 2 Termine, an denen die Agenturen ihren Entwurf vorgestellt haben, und ein weiterer Termin, bestehend aus 2 Tagen, für weitere Verhandlungen mit den Agenturen, an denen Änderungen der vorgeschlagenen Werbekonzepte besprochen wurden, stattfanden. Die finalen Entwürfe wurden bis 17.9.2009 übermittelt, welche Gegenstand der Prüfung und Bewertung durch die Bewertungskommission des bmvit waren. Auf Basis dieser Ergebnisse wurde der Zuschlag an die Agentur A (diese Bezeichnung entspricht jener im Antrag des Antragstellers) erteilt. An diesem Vergabeverfahren waren auf Seiten des bmvit nur bestimmte Personen aus der Abteilung IV/ST2 (zum damaligen Zeitpunkt II/ST2) beteiligt; insgesamt waren dies 4 Personen. Es handelte sich um den Abteilungsleiter bzw. Geschäftsführer des Österreichischen Verkehrssicherheitsfonds, den inhaltlich sowie organisatorisch zuständigen Referenten mit Stimmrecht in der Bewertungskommission (gleichzeitig stellvertretender Abteilungsleiter bzw. stellvertretender Geschäftsführer des österreichischen Verkehrssicherheitsfonds), eine weitere Referentin als beratendes Mitglied der Bewertungskommission ohne Stimmrecht sowie die Teamassistentin. Mitglieder der Bewertungskommission waren darüber hinaus zwei weitere Mitarbeiter des bmvit. Kein anderer Mitarbeiter des bmvit war am Vergabeverfahren beteiligt und hatte demnach auch mit Ausnahme der jeweils zuständigen Mitarbeiter im Sinne der Aufgabenverteilung kein anderer Mitarbeiter innerhalb des bmvit einen Zugang zu den Unterlagen aus diesem Vergabeverfahren. Noch weniger konnte aufgrund der Sicherheitsstandards im Netzwerk des bmvit irgendein anderer Mitarbeiter unbefugt auf den E-Mail-Account der jeweiligen Mitarbeiter im Vergabeverfahren zugreifen. Es war daher organisatorisch ausgeschlossen, dass außer den zuständigen Personen noch weitere Mitarbeiter E-Mails im Zusammenhang mit diesem Vergabeverfahren versendeten oder empfingen.

Die im Vergabeverfahren zweitgereihte Agentur B (diese Bezeichnung entspricht jener im Antrag des Antragstellers), welche ein Angebot samt einem Werbekonzept, das dem Konzept der erstgereihten Agentur A, welche den Zuschlag erhielt, ähnlich gewesen sein soll, hat gegen diese Agentur A ein Verfahren vor dem Handelsgericht Wien wegen Verletzung ihres Urheberrechts an dem Entwurf für die gegenständliche Werbekampagne 'Alkohol am Steuer' mit dem Vorwurf des Plagiierens angestrengt. Aus diesem Anlass hat der Rechnungshof mit Prüfungsauftrag vom 16.9.2013, GZ 004.097/003, eine Gebarungskontrolle in Bezug auf die Rechtmäßigkeit dieses Vergabeverfahrens eingeleitet und dabei als Gegenstand 'die Überprüfung der Gebarung des bmvit hinsichtlich des Österreichischen Verkehrssicherheitsfonds' genannt. Die im nunmehrigen Antrag erwähnte Konkretisierung des Auftrags und zwar Überprüfung der Einhaltung der Geheimhaltungspflicht aller im Vergabeverfahren beteiligten Personen, war im Prüfungsauftrag noch nicht enthalten.

Im ersten 'Ansuchen um Übermittlung von Unterlagen im Rahmen der Gebarungsüberprüfung des Verkehrssicherheitsfonds' vom 13.1.2014 hat der Rechnungshof generell alle E-Mails-Daten sämtlicher Mitarbeiter des bmvit einschließlich Inhalts- und Verkehrsdaten zwischen der Domain ©bmvit.gv.at und 7 konkret angeführten externen Domains (@loweggk.at; @draftfcb.com; @draftfcb.at; @kobza.at; @kobzamedia.at; @kobzaintegra.at; @integraperformance.at) für den Zeitraum zwischen Veröffentlichung der Ausschreibung (3.7.2009) und Zuschlagserteilung (2.10.2009) angefragt. Nach begründeter Ablehnung der Herausgabe dieser Daten durch das bmvit hat der Rechnungshof mit Mitteilung 'Unterlagenanforderung' vom 20.2.2014 die Herausgabe der Verkehrsdaten einschließlich des Betreffs in Bezug auf sämtliche intern und extern von der Domain @bmvit.gv.at gesendeten und empfangenen Emails für den Zeitraum 2008 bis dato verlangt. Die beiden Ansuchen waren daher nicht nur in Bezug auf die von der Untersuchung betroffenen Personen und den relevanten Zeitraum völlig unspezifiziert, sondern ließen auch jede Beschreibung des Zwecks des Übermittlungsersuchens vermissen. So hat der Rechnungshof weder bei seinem ersten noch bei seinem zweiten Übermittlungsersuchen den Zweck der Abfrage dahin konkretisiert, dass ein allfälliger Informationsfluss von Inhalten des Erstangebotes der Agentur B durch Mitarbeiter des Antragsgegners an die Agentur A überprüft werden müsste. Der Rechnungshof trägt diese Begründung zum ersten Mal im gegenständlichen Antrag auf Seite 4 vor.

B. Rechtliche Würdigung

1. Ausgangslage

Das bmvit verweigerte die Erledigung der beiden Übermittlungsersuchen des Rechnungshofs, welche allerdings nicht - wie auf Seite 6 des Antrages nunmehr behauptet - auf die Einsichtnahme in den Inhalt konkreter E-Mails gerichtet waren. Motiv der Verweigerung war daher die oben beschriebene Unbestimmtheit und mangelnde Konkretisierung der Übermittlungsersuchen, so dass eine Übermittlung aus technischen und rechtlichen Gründen nicht realisierbar gewesen wäre. Das bmvit hat die Verweigerung der Herausgabe gemäß dem ersten Übermittlungsersuchen im Wesentlichen damit begründet, dass datenschutzrechtliche Gründe die Herausgabe verbieten würden, zumal nicht ausgeschlossen werden könnte, dass private E-Mails unter den angefragten Daten wären. Im Übrigen würden aufgrund technischer Einschränkungen des Backupsystems die E-Mails für den angefragten Zeitraum nicht mehr vollständig zur Verfügung stehen.

Als Reaktion auf die Verweigerung der Herausgabe der Daten durch das bmvit hat der Rechnungshof sein zweites Übermittlungsersuchen nicht nur nicht konkretisiert, sondern vielmehr noch dahin ausgedehnt, dass er anstatt der E-Mail-Daten von einer bmvit-Domain an konkret bezeichnete 7 Domains für den Zeitraum von 3 Monaten, nunmehr Daten betreffend die Email-Kommunikation aller rund 900 Personen mit einer bmvit-Domain ohne Einschränkung auf einen bestimmten Empfänger/Sender über einen Zeitraum von mehr als 5 Jahren verlangte. Das zweite Übermittlungsersuchen wurde daher zwangsläufig vom bmvit mit Stellungnahme vom 6.3.2014 ausschließlich aus datenschutzrechtlichen Gründen, insbesondere mangels Vorliegens einer besonderen Rechtsgrundlage für einen solche Eingriff in das Grundrecht auf Datenschutz, nicht nur der Mitarbeiter des bmvit sondern auch aller Dritter, welche im abgefragten Zeitraum E-Mails an die Domain @bmvit.gv.at gerichtet haben, sowie aufgrund der Verletzung des Zweckbindungsgrundsatzes und des Verhältnismäßigkeitsgebotes, ohne dass der Aufforderung zur Herausgabe dieser E-Mail-Daten Folge geleistet wurde, zurückgewiesen.

Der Antragsgegner geht unverändert von der Richtigkeit seiner Rechtsauffassung aus, wonach beide Übermittlungsersuchen des Rechnungshofes auf Übermittlung von E-Mail-Daten der Mitarbeiter des bmvit das Grundrecht auf Datenschutz außer Acht lassen und daher aufgrund der das bmvit treffenden Verpflichtungen als Auftraggeber nach dem Datenschutzgesetz 2000, insbesondere gemäß §7 Abs2 DSG 2000, ein Übermitteln der Daten an den Rechnungshof rechtswidrig wäre. Erst nach Konkretisierung der Amtshandlung des Rechnungshofs hinsichtlich namentlich genannter Personen, konkreter E-Maildaten und Zweck des Ersuchens im Sinne eines Verdachts gegen bestimmte Personen, könnte dem Übermittlungsersuchen genüge getan werden.

Dazu im Einzelnen:

2. Rechtliche Tragweite der Art121, 126b B-VG

Die Anfrage des Antragstellers hat in beiden Fällen bedeutet, dass, aufgrund der gem. §79d BDG und §29n VBG in eingeschränktem Maße zulässigen Nutzung der IKT-Infrastruktur des bmvit zu privaten Zwecken, nicht nur dienstliche E-Mails, sondern potentiell auch private Daten der Mitarbeiter des bmvit betroffen sind. Darüber hinaus wären von der Herausgabe der Daten auch die Kommunikationspartner der Mitarbeiter des bmvit, welche unter Umständen weder einen dienstlichen Zusammenhang zum bmvit noch zum relevanten Vergabeverfahren oder zur Gebarungsüberprüfung aufweisen würden, betroffen gewesen.

Die Argumentation des Rechnungshofs unter Punkt II.5. seines Antrages, wonach der Rechnungshof eine umfassende und unbeschränkbare Auskunfts- und Einschaubefugnis habe, und er daher in alle gebarungsrelevanten Unterlagen, also auch in private E-Mails, Einschau nehmen könne, steht mit dem Gesetz und den Grundrechten nicht im Einklang. Unstrittig ist, dass die Kontrolle durch den Rechnungshof eine umfassende Rechnungs- und Gebarungskontrolle darstellt; als Rechnungskontrolle ist sie auf die ziffernmäßige Richtigkeit und Ordnungsmäßigkeit gerichtet, als Gebarungskontrolle auf die Rechtmäßigkeits- und Effizienzkontrolle. Bestehen daher Zweifel an der Einhaltung bestehender Rechtsvorschriften oder den Grundsätzen der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit dort, wo ein bestimmtes Verwaltungshandeln stattgefunden hat, ist der Rechnungshof zur ex post-Kontrolle berufen. Diese im B-VG normierte Prüfungsbefugnis des Rechnungshofs kann als generelle Rechtfertigung für die Übermittlung von Daten verstanden werden, allerdings nur dann, wenn der für die Durchführung der Prüfung notwendige Umfang nicht überschritten wird (Wiederin in Merten/Papier (Hrsg), Handbuch der Grundrechte (2009) §190 Rz 142). In einer älteren VfGH-Entscheidung ging es um die Gebarungsüberprüfung bezüglich des Personalaufwandes eines Rechtsträgers, wobei die Einsicht in die jeweiligen Personalakten strittig war, und der VfGH erkannte, dass eine Überprüfung des Personalaufwandes einer Gebietskörperschaft nur möglich ist, wenn der Rechnungshof zur Einsichtnahme in die, die Bediensteten betreffenden, Personalakten dieser Gebietskörperschaft umfassend befugt ist (VfGH 11.12.1976, KR1/76). In einer nachfolgenden Entscheidung, welche auf die früher ergangene Entscheidung referenziert, ging es um die Gebarungsüberprüfung in Bezug auf die Rechtmäßigkeit der Höhe, der Verrechnung und der Verwendung der Ärztehonorare in der Sondergebührenklasse. Der VfGH sprach aus, dass die Überprüfung ohne Kenntnis der die einzelnen anspruchsberechtigten Ärzte betreffenden Honorardaten nicht durchführbar ist (VfGH 12.3.1998, B2687/95). Diese Grundsätze angewendet auf den vorliegenden Sachverhalt müssen bedeuten, dass ausschließlich die (wechselseitige) dienstliche E-Mail-Kommunikation der Mitarbeiter des bmvit, welche am gegenständlichen Vergabeverfahren beteiligt waren, mit den an der Ausschreibung teilnehmenden Agenturen bzw deren Mitarbeitern, vom Tag der Veröffentlichung der Ausschreibung bis zur Zuschlagserteilung, als zur Überprüfung der Rechtmäßigkeit des Vergabeverfahrens nach den Maßstäben der Gebarungsüberprüfung notwendig erachtet werden können. Die Einsichtnahme in sämtliche E-Mail-Kommunikation aller Bediensteten des bmvit bzw jener Personen, welche eine Domain mit @bmvit.gv.at nutzen, und korrespondierend deren (externen) Kommunikationsteilnehmern würde außerhalb der Zwecke der Gebarungsprüfung liegen. Die Verwendung der Instrumente der Gebarungsüberprüfung zu einer, wie in den gegenständlichen Übermittlungsersuchen, umfassenden zweckungebundenen E-Mail-Sichtung durch den Rechnungshof wäre demnach jedenfalls missbräuchlich und kann weder in Art126b B-VG iVm dem RHG noch in einer anderen Rechtsvorschrift Deckung finden. Eine nach Maßgabe des §1 DSG 2000 verfassungskonforme sowie der Datenschutzrichtlinie 95/46/EG und Art8 GRC unionsrechtskonforme Auslegung des §3 RHG gebietet es daher, die Datenübermittlung an den Rechnungshof vollumfänglich am Maßstab des Datenschutzgesetzes und den darin genannten Prüfschritten zu messen.

3. Die Grenzen des Datenschutzgesetzes

3.1. Gesetzliche Grundlage des Eingriffs

Gemäß §1 Abs1 DSG 2000 hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Beschränkungen bei Eingriffen einer staatlichen Behörde sind nur aufgrund von Gesetzen, die aus den in Art8 Abs2 EMRK genannten Gründen notwendig sind, zulässig und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen enthalten (§1 Abs2 DSG 2000). Die Verarbeitung von Daten durch staatliche Behörden ist ferner nur aufgrund von Gesetzen zulässig, die ausreichend präzise determiniert und demnach für den Betroffenen vorhersehbar sein müssen. Die materienspezifische Regelung muss in dem Sinn dafür Sorge tragen, dass die Fälle zulässiger Eingriffe in das Grundrecht auf Datenschutz konkretisiert und begrenzt werden (zB VfSlg 18.146/2007). Zu diesem materiellen Gesetzesvorbehalt wäre zusätzlich eine Interessenabwägung nach Maßgabe der Prüfschritte des Datenschutzgesetzes zur Beurteilung der Zulässigkeit der Datenverarbeitung für jeden behördlichen Eingriff erforderlich.

Klarstellend ist zunächst voranzustellen, dass E-Mails (sowohl die Verbindungsdaten als auch die Inhaltsdaten) in Bezug auf den (ausgeschiedenen) Mitarbeiter, der den jeweiligen Account nutzt (benutzt hat), personenbezogene Daten im Sinne des §4 Z1 DSG 2000 sind. Auf ihre Verarbeitung findet daher das Datenschutzgesetz (DSG 2000) Anwendung. Die elektronische Kommunikation am Arbeitsplatz fällt außerdem unter den Begriff 'Privatleben' im Sinne des Art8 EMRK, weshalb eine Sichtung und Weitergabe von E-Mails des Arbeitnehmers nicht ohne weiteres durch den Arbeitgeber erlaubt ist (vgl. Artikel 29-Datenschutzgruppe, Arbeitsdokument zur Überwachung der elektronischen Kommunikation von Beschäftigten, 5401/04/DE/endg., WP 55). So schließt der in Artikel 8 EMRK verankerte Schutz des Privatlebens auch das Berufsleben als Arbeitnehmer nicht aus und ist nicht auf das häusliche Leben beschränkt. In dem Sinn hat der EGMR klar konstatiert, dass nichts dafür spricht, vom Verständnis des Begriffs des Privatlebens Tätigkeiten beruflicher und geschäftlicher Art auszuschließen, da die meisten Leute ja gerade in ihrem Berufsleben eine signifikante oder sogar die größte Möglichkeit zur Entwicklung der Beziehungen mit der Außenwelt haben (vgl. EGMR 16.12.1992, 13710/88, Niemitz gegen Deutschland). Elektronische Korrespondenz aus den Geschäftsräumen kann daher unter den Begriff Privatleben im Sinne von Artikel 8 Abs1 EMRK fallen (Artikel 29-Datenschutzgruppe, Arbeitsdokument zur Überwachung der elektronischen Kommunikation von Beschäftigten, 5401/04/DE/endg., WP 55, 21).

Der Rechnungshof stützt sein Ansuchen auf Artikel 126b B-VG iVm §3 RHG. Im Anwendungsbereich des §1 Abs2 DSG 2000 ist nun allerdings gefordert, dass aus der angezogenen Rechtsvorschrift hervorgeht, unter welchen Voraussetzungen die Ermittlung bzw die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben zulässig ist. Allein aus der grundsätzlichen Kompetenz zur Einsichtnahme in für die Gebarungsüberprüfung relevante Daten kann noch nicht auf eine Befugnis zur automationsunterstützten Auswertung aller E-Maildaten eines Accounts geschlossen werden. Von einer ausdrücklichen gesetzlichen Ermächtigung im Sinne des §1 Abs2 DSG 2000, welche den Rechnungshof im Sinne der vorgenannten Rechtsprechung hinreichend determiniert ermächtigt, einen Gesamtauszug aus dem E-Mail-Server des bmvit (ohne Einschränkung auf dienstliche E-Mails) automationsunterstützt zu erhalten, kann daher hierbei nicht die Rede sein. Als besondere Rechtsgrundlage der Übermittlung kann im Weiteren mangels gesetzlicher Ermächtigung nur auf den Auffangtatbestand der überwiegenden berechtigten Interessen des Datenempfängers (§§7 Abs2 Z3 iVm 8 Abs1 Z4 DSG 2000) zurückgegriffen werden.

3.2. Plausibilitätsprüfung des Übermittlungsersuchens

Wenn zunächst der Rechnungshof unter Berufung auf die Erkenntnisse des VfGH vom 12.12.2013 (KR1/2013, 2/2013 und 3/2013) argumentiert, dass die geprüfte Stelle nicht befugt ist, die Einsicht in gebarungsrelevante Unterlagen zu Zwecken der Gebarungskontrolle zu behindern und von Bedingungen abhängig zu machen, so ist dem entgegen zu halten, dass die grundsätzliche Verpflichtung zur Gestattung der Einsicht in die gebarungsrelevanten Unterlagen auch nicht in Abrede gestellt wird. Allerdings trifft das bmvit als datenschutzrechtlicher Auftraggeber bei einem Übermittlungsersuchen die Pflicht zur Vornahme einer Plausibilitätsprüfung und der Rechnungshof wird durch dieses Verbot der Nachkontrolle nicht von seiner Verantwortung zu diesem Zweck eine ordnungsgemäße Übermittlungsanfrage zu stellen, entbunden. Andernfalls würde im Anwendungsbereich des DSG 2000 die Pflicht zur Wahrung des Geheimnisschutzes durch ein generelles Nachprüfungsverbot konterkariert werden, und kann dies dem zitierten Erkenntnis des Verfassungsgerichtshofs nicht unterstellt werden. So kann es wohl nur innerhalb des Anwendungsbereichs des Art126b B-VG eine derart weitreichende Übermittlungspflicht des Rechtsträgers geben, so dass das Grundrecht auf Datenschutz verdrängt wird und der Auftraggeber nicht zur Prüfung der Übermittlungsanfrage des Rechnungshofes angehalten ist. Da allerdings mit der vorliegenden Anfrage der notwendige Umfang der Gebarungsprüfung überschritten wird (nicht bloß rein dienstliche E-Mails, siehe dazu oben Punkt 2.), muss die Übermittlungsanfrage von §1 Abs2 DSG 2000 gedeckt sein.

Vor diesem Hintergrund ist die Anfrage des Rechnungshofs zur Herausgabe von Daten in Bezug auf sämtliche E-Mails sämtlicher Mitarbeiter des bmvit zu beurteilen. Das Übermitteln von Daten ist gemäß §4 Z12 DSG 2000 die Weitergabe von Daten aus einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister. Voraussetzung für die Zulässigkeit der Übermittlung von Daten ist zufolge §7 Abs2 DSG 2000, dass

?   die Daten aus einer zulässigen Datenanwendung stammen (Z1 leg cit),

?   der Empfänger seine ausreichende rechtliche Befugnis in Hinblick auf den Übermittlungszweck glaubhaft macht (Z2 leg cit), und

?   die schutzwürdigen Geheimhaltungsinteressen des Betroffenen durch Zweck und Inhalt der Übermittlung nicht verletzt werden (Z3 leg cit).

Der Übermittelnde ist - wie bereits angesprochen - nach §7 Abs2 DSG 2000 grundsätzlich immer gehalten, die Plausibilität von Übermittlungsersuchen zu prüfen (DSK 16.5.2008, K121.353/2008-DSK/2008). Die Datenschutzbehörde geht davon aus, dass eine Übermittlung rechtswidrig ist, wenn der Übermittler nicht seiner Pflicht gemäß §7 Abs2 Z2 und 3 DSG 2000 nachgekommen ist, wonach Daten nur übermittelt werden dürfen, wenn der Übermittelnde sich vom Empfänger bescheinigen hat lassen, dass dieser eine ausreichende rechtliche Befugnis im Hinblick auf den Übermittlungszweck besitzt und durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt wurden (DSK 21.1.2003, K120.798/001-DSK/2003).

3.3. Die Prüfschritte im Einzelnen

3.3.1. Vornahme der Prüfung

Nur dann, wenn überwiegende berechtigte Interessen des Auftraggebers bzw Datenempfängers vorliegen, und die Geheimhaltungsinteressen der jeweiligen E-Mail-Account-Inhaber daher ausnahmsweise nicht beeinträchtigt sind (§8 Abs1 Z4 DSG 2000), kann die Kontrolle des E-Mailverkehrs bzw dessen Weitergabe zulässig sein.

Zunächst liegt es nahe zu prüfen, ob die Rechtsgrundlagen für das Einschreiten des Rechnungshofs dem Tatbestand des §8 Abs3 Z1 DSG 2000 genügen, und daher die Notwendigkeit der Datenübermittlung als wesentliche Voraussetzung für die Wahrnehmung der dem Rechnungshof gesetzlich übertragenen Aufgaben argumentiert werden kann. Selbst wenn daher das Gesetz dem geforderten Determinierungsgrad nach §1 Abs2 DSG 2000 nicht gerecht wird, so wäre dieser Tatbestand des §8 Abs3 leg cit erfüllt, wenn die Aufgabenerfüllung ohne die konkrete automationsunterstützte Datenverarbeitung nicht sparsam und zweckmäßig wäre. Genau zu prüfen ist dabei jedoch, ob 1.) der Zweck der angestrebten Datenverwendung für die Erfüllung der konkreten gesetzlich übertragenen Aufgabe wesentlich ist, und ob 2.) die zur Verwendung vorgesehenen Datenarten für den Verarbeitungszweck wesentlich sind (Kunnert, Die abschnittsbezogene Geschwindigkeitsüberwachung aus datenschutzrechtlicher Sicht, ZVR 2006/17,84). Die Erfüllung dieses Tatbestandes muss daher gegenständlich daran scheitern, dass eine generelle Grundlage zur unterschiedslosen Verarbeitung privater E-Mail-Daten von Mitarbeitern gebarungskontrollunterworfener Rechtsträger und sonstiger Personen außerhalb eines solchen Rechtsträgers mit dem Rechnungshofgesetz nicht geschaffen wurde.

Selbst wenn der Tatbestand des §8 Abs3 Z1 DSG 2000 nicht als erfüllt anzusehen ist, könnten andere Verwendungskonstellationen vorliegen, deren Beurteilung unter Abwägung der Interessen im Einzelfall ergibt, dass schutzwürdige Interessen der Betroffenen nicht verletzt sind. Das Vorliegen eines begründeten Verdachts einer Rechtsverletzung, die durch den Gebrauch der betrieblichen IT-Ausstattung begangen wurde, könnte eine solche Sachverhaltskonstellation begründen, welche ein überwiegendes berechtigtes Interesse des Arbeitgebers bzw Datenempfängers annehmen ließe (vgl Kotschy/Reimer, Die Überwachung der Internet-Kommunikation am Arbeitsplatz, ZAS 2004/29). Für öffentlich-rechtliche Dienstverhältnisse regeln die §§79g ff BDG, dass bei begründetem Verdacht einer gröblichen Dienstpflichtverletzung ein Zugriff auf E-Mails zulässig sein kann. Die Regelung sieht vor, dass dann, wenn ein begründeter Verdacht einer gröblichen Dienstpflichtverletzung vorliegt, zwecks Verhinderung allfälliger weiterer Dienstpflichtverletzungen und/oder zur Klarstellung des Sachverhalts in einem ersten Schritt anonymisierte Auswertungen über Auftrag des Dienststellenleiters erfolgen können (vgl §79g Abs1 und Abs2 BDG). Nur dann, wenn ein begründeter Verdacht gegen eine bestimmte Person wegen eines konkreten Vorfalls vorliegt, muss das Verfahren einer stufenweisen Kontrollverdichtung nicht eingehalten werden, sondern ist, da hier jedenfalls die Klärung des Sachverhalts erforderlich ist, der sofortige Zugriff auf die Daten der betreffenden Person zulässig (vgl RV 160 BlgNR XXIV. GP 5). Der für den Zugriff erforderliche Ermittlungsauftrag hat den Verdachtsfall unter Nennung des Beamten genau zu umschreiben (§79g Abs7 BDG).

Wie der Sachverhalt gestaltet sein muss, um einen begründeten Verdacht entstehen zu lassen, ergibt sich z