Entscheidungsdatum
15.04.2021Norm
B-VG Art133 Abs4Spruch
W101 2163119-1/16E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Dr. Christine AMANN als Vorsitzende und die fachkundigen Laienrichter MMag. Dr. Winfried PÖCHERSTORFER sowie Mag. Thomas GSCHAAR als Beisitzer über die Beschwerde des Magistrats der Stadt XXXX , vertreten durch den Bürgermeister, dieser vertreten durch Schramm Öhler Rechtsanwälte GmbH, gegen den Bescheid der Datenschutzbehörde vom 07.04.2017, GZ DSB-D122.610/0003-DSB/2016, nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:
A)
Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG iVm § 31 Abs. 2 und Abs. 7 DSG 2000 mit der Maßgabe als unbegründet abgewiesen, dass der Spruch des angefochtenen Bescheides nach den Wörtern „es wird festgestellt,“ zu lauten hat,
„dass der Magistrat der Stadt XXXX Herrn XXXX dadurch im Recht auf Geheimhaltung personenbezogener Daten verletzt hat, dass er dessen Daten zu den Datenarten Name, Geburtsdatum, Staatsangehörigkeit und Adresse als Hauptwohnsitz aus der Datenanwendung ‚Lokales Melderegister‘ als Auftraggeber für den Zweck der Durchführung der Bürgerumfrage 2016 in zweifacher Art verarbeitet hat“.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
Herr XXXX (= mitbeteiligte Partei vor dem Bundesverwaltungsgericht und Antragsteller vor der Datenschutzbehörde) erhob am 06.10.2016 mittels E-Mail eine Datenschutzbeschwerde gegen den Beschwerdeführer (= Beschwerdegegner vor der Datenschutzbehörde) wegen Verletzung im Recht auf Geheimhaltung. Er begründete seine Datenschutzbeschwerde im Wesentlichen folgendermaßen:
Der Beschwerdeführer habe vom 19.09. bis 02.10.2016 in der Stadt XXXX eine Bürgerumfrage abgehalten und zu diesem Zweck die Daten aller Staats- und Unionsbürger, die am 01.09.2016 in XXXX ihren Hauptwohnsitz und die am 02.10.2016 das 16. Lebensjahr vollendet hatten, aus dem örtlichen Melderegister bzw. dem ZMR ausgewählt und sodann an diese so ausgewählten Personen ein Informationsschreiben sowie einen Fragebogen zur Bürgerumfrage 2016 mit fünf Fragen zu verkehrs-, kultur- und bildungspolitischen Fragestellungen versendet. Verantwortlich dafür sei als Auftraggeber der betreffenden Datenanwendung der zu DVR: 0024724 registrierte Magistrat der Stadt XXXX gewesen. Die Teilnahme an der Bürgerumfrage sei online oder durch Abgabe des Fragebogens im Rathaus möglich gewesen, die Autorisierung zur Teilnahme sei durch einen auf dem Fragebogen aufgedruckten Zugangsschlüssel erfolgt. Auch die personenbezogenen Daten der mitbeteiligten Partei seien zu diesem Zweck unzulässiger Weise verwendet worden. Die durchgeführte Bürgerumfrage sei in keinem einschlägigen Gesetz, auch nicht im Statut der Stadt XXXX vorgesehen gewesen und könne daher nur auf den Tatbestand „Privatwirtschaftsverwaltung“ gestützt werden. Er beantrage daher die bescheidmäßige Feststellung der Verletzung seines Geheimhaltungsrechts.
Im Zuge des Verwaltungsverfahrens holte die Datenschutzbehörde von beiden Parteien mehrere schriftliche Stellungnahmen ein.
Mit Bescheid vom 07.04.2017, GZ DSB-D122.610/0003-DSB/2016, gab die Datenschutzbehörde der Datenschutzbeschwerde statt und stellte fest, dass der Bürgermeister der Stadt XXXX als Organ der Stadt, Meldebehörde und Vorstand des Magistrats die mitbeteiligte Partei dadurch im Recht auf Geheimhaltung personenbezogener Daten verletzt habe, dass er deren Daten zu den Datenarten Name, Geburtsdatum, Staatsangehörigkeit und Adresse des Hauptwohnsitzes aus der Datenanwendung „Lokales Melderegister“ des Auftraggebers Magistrat der Stadt XXXX (DVR: 0024724) für den Zweck der Durchführung der „Bürgerumfrage 2016“ verwendet habe.
In diesem Bescheid traf die Datenschutzbehörde folgende Sachverhaltsfeststellungen:
Der Beschwerdeführer sei eine Stadt mit eigenem Statut (Art. 116 Abs. 3 B-VG), verliehen durch den Landtag von XXXX und kundgemacht als Status für die Stadt XXXX 1992 (StW 1992) in LGBl Nr. 8/1992. Der Magistrat der Stadt XXXX sei ein zu DVR: 0027424 registrierter datenschutzrechtlicher Auftraggeber, der u.a. als Geschäftsapparat der Meldebehörde Bürgermeister die Datenanwendung „SA010 Melderegister, A. Lokales Melderegister“ (Standardanwendung gemäß § Anlage 1 zur StMV 2004) durchgeführt und für diesen Zweck auch die Meldedaten bzw. personenbezogenen Daten der mitbeteiligten Partei verarbeitet habe.
Der Beschwerdeführer habe vom 19.09. bis 02.10.2016 in der Stadt XXXX eine „Bürgerumfrage 2016“ durchgeführt. Für diesen Zweck seien die Namens- und Adressdaten aller Einwohner der Stadt XXXX , die die österreichische Staats- und/oder die Unionsbürgerschaft der Europäischen Union besessen und bis längstens 02.10.2016 das 16. Lebensjahr vollendet hätten, aus dem lokalen Melderegister ausgewählt und ausgegeben worden. Es seien also Daten zu den Datenarten Name, Geburtsdatum, Staatsangehörigkeit und Adresse des Hauptwohnsitzes verarbeitet worden (Bezeichnung der Datenarten laut Anlage 1 zur StMV 2004). An den solcher Art ausgewählten Betroffenenkreis (darunter auch die mitbeteiligte Partei) sei per Post ein Informationsfolder sowie ein (von der Website des Beschwerdeführers abgerufener Muster-) Fragebogen zur Bürgerumfrage 2016 versendet worden.
Jeder Fragebogen wäre (bei der Briefsendung) mit einem aufgedruckten Zugangsschlüssel versehen gewesen, der u.a. die Teilnahme an der Bürgerumfrage im Online-Verfahren ermöglicht hätte. Durch die Verwendung dieses Codes sei sichergestellt worden, dass jeder Teilnahmeberechtigte seine Meinung nur einmal bekannt geben hätte können.
Auf der Grundlage dieser Sachverhaltsfeststellungen folgerte die Datenschutzbehörde in rechtlicher Hinsicht im Wesentlichen Folgendes:
Gemäß § 4 Z 12 DSG 2000 dürften Daten auch übermittelt werden, wenn sie für ein anderes Aufgabengebiet desselben Auftraggebers verwendet würden. In diesem Sinne habe hier eine Übermittlung vom Aufgabengebiet „Vollzug des Meldegesetzes“ ins Aufgabengebiet „Durchführung einer nicht durch Gesetz vorgesehenen Bürgerumfrage“ stattgefunden.
Im Anwendungsbereich des § 20 Abs. 3 MeldeG müsse die Aufgabe, für deren Erfüllung die Meldedaten verwendet werden sollten, eine „gesetzlich übertragene Aufgabe“ sein (siehe Bescheid der früheren DSK vom 14.12.2012, K121.879/0014-DSK/2012, RIS).
Der Beschwerdeführer habe hier nun eingewendet, bei der Bürgerumfrage 2016 habe es sich um einen Akt der Erfüllung der gesetzlich durch § 70 Abs. 1 StW 1992 angeordneten Informationspflicht der Stadt gehandelt. Dem Beschwerdeführer sei es letztlich nicht gelungen, eine gesetzlich übertragene Aufgabe nachzuweisen, für deren Zweck die Meldedaten der mitbeteiligten Partei hätten verwendet werden dürfen (siehe dazu die bereits zitierte Entscheidung der früheren DSK vom 14.12.2012).
Die Verwendung der Meldedaten, die jeder Meldepflichtige der Meldebehörde bekannt geben müsse, unterliege als behördlicher Eingriff in das Geheimhaltungsrecht iSd verfassungsmäßigen Legalitätsprinzip gemäß § 1 Abs. 2 DSG 2000 einer gesetzlichen Zweckbindung.
Gemäß § 6 Abs. 1 Z 2 sowie § 7 Abs. 2 Z 2 und Z 3 DSG 2000 wäre die Datenverwendung daher unzulässig gewesen, weil weder durch eine gesetzliche Grundlage gedeckt noch dem Zweck nach mit schutzwürdigen Geheimhaltungsinteressen der mitbeteiligten Partei in Einklang zu bringen.
Es wäre daher gemäß § 31 Abs. 7 DSG 2000 der Datenschutzbeschwerde Folge zu geben gewesen und ein Eingriff in das Geheimhaltungsrecht der mitbeteiligten Partei, welches auch ein Verbot der unzulässigen Verwendung von Daten für ein anderes Aufgabengebiet beinhalte, festzustellen gewesen.
In der gegen diesen Bescheid fristgerecht erhobenen Beschwerde brachte der Beschwerdeführer im Wesentlichen vor:
Nach § 20 Abs. 3 MeldeG seien die Bürgermeister ermächtigt, die in ihrem Melderegister enthaltenen Meldedaten zu verwenden, sofern diese zur Wahrnehmung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden würden. Diese Gesetzesbestimmung sei als lex specialis gegenüber § 7 DSG 2000 anzuwenden und gelte auch für Angelegenheiten der Privatwirtschaftsverwaltung.
Eine solche gesetzlich übertragene Aufgabe finde sich in § 70 StW 1992, OÖ. LGBl Nr. 8/1992. Gemeinsam mit dem in der Bescheidbegründung abgedruckten Fragebogen zur Bürgerumfrage 2016 wäre auch ein Informationsfolder per Post an die Adressaten versendet worden. Die Datenschutzbehörde habe es in weiterer Folge verabsäumt, sich mit dem Inhalt des Informationsfolders auseinanderzusetzen. Hätte sie den Informationsfolder entsprechend gewürdigt, hätte sie zu dem Ergebnis gelangen müssen, dass schon aufgrund des Inhaltes des Folders eine Information über Vorhaben gemäß § 70 StW 1992 versendet worden sei.
Würden die Voraussetzungen nach § 70 StW 1992 erfüllt werden, so sei auch die Verwendung der Daten aus dem lokalen Melderegister zulässig.
Der Bescheid der DSK vom 14.12.2012, welcher im angefochtenen Bescheid mehrfacht zitiert worden sei, betreffe eine Bürgerumfrage, die auf Basis eines Gemeinderatsbeschlusses im Rahmen der Privatwirtschaftsverwaltung durchgeführt worden sei, eine gesetzlich übertragene Aufgabe habe nicht bestanden. Die Erwägungen in dem angefochtenen Bescheid seien daher im Hinblick auf § 70 StW 1992 auf den vorliegenden Fall nicht übertragbar.
Hätte die Datenschutzbehörde nicht aktenwidrig festgestellt, dass keine Information der Einwohner erfolgt sei und bezüglich des Informationsfolders ein Ermittlungsverfahren durchgeführt und entsprechende Feststellungen getroffen, so wäre sie zu einem anderen Ergebnis bekommen.
Am 18.02.2021 fand gegenständlich eine mündliche Verhandlung vor dem Bundesverwaltungsgericht statt, an der alle beteiligten Parteien teilnahmen – also auch die mitbeteiligte Partei, welche das Verwaltungsverfahren durch die am 06.10.2016 eingebrachte Datenschutzbeschwerde eingeleitet hatte.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Die mitbeteiligte Partei hat in ihrer Datenschutzbeschwerde vom 06.10.2016 geltend gemacht, zur Durchführung der Bürgerumfrage 2016 seien ihre personenbezogenen Daten aus dem lokalen Melderegister abgefragt worden und sie habe postalisch – namentlich an ihn adressiert – ein Informationsschreiben und einen diesbezüglichen Fragebogen erhalten, wodurch sie sich in ihrem Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten als verletzt erachte.
Für die Datenanwendung „Melderegister“ war der Beschwerdeführer im damaligen Datenverarbeitungsregister unter DVR: 0024724 als Auftraggeber registriert.
An der Bürgerumfrage 2016 waren alle Staatsbürger und EU-Bürger teilnahmeberechtigt, die mit Stichtag 01.09.2016 ihren Hauptwohnsitz in der Stadt XXXX und die mit Stichtag vom 02.10.2016 das 16. Lebensjahr vollendet hatten.
Im Amtsblatt der Stadt XXXX vom 12.09.2016, 54. Jahrgang, Nr. 7, waren bereits ein Informationsschreiben und ein Fragebogen zur Bürgerumfrage 2016 veröffentlicht worden. Dieses Amtsblatt ist an jeden Haushalt in XXXX übermittelt worden.
Um die Kriterien der Teilnahmeberechtigung an der Bürgerumfrage 2016 zu ermitteln, wurden sodann vom Beschwerdeführer als Auftraggeber die personenbezogenen Daten der mitbeteiligten Partei zu den Datenarten Name, Geburtsdatum, Staatsangehörigkeit und Adresse des Hauptwohnsitzes in der Stadt XXXX aus dem lokalen Melderegister (ZMR) abgefragt.
Im Anschluss daran sind aus dem ZMR die personenbezogenen Daten der mitbeteiligten Partei (ebenso wie aller anderen teilnahmeberechtigten Bürger der Stadt XXXX ) zu den Datenarten Name und Adresse entnommen worden, um dieser eine Briefsendung – namentlich an sie adressiert – zuzustellen. In dem an die teilnahmeberechtigte mitbeteiligte Partei versendeten Brief waren das Informationsschreiben und der Fragebogen zur Bürgerumfrage 2016 samt Zugangscode enthalten.
Das Informationsschreiben und der Fragebogen zur Bürgerumfrage 2016 in der Veröffentlichung im Amtsblatt und in der postalischen Versendung an die mitbeteiligte Partei sind inhaltlich deckungsgleich. Im Zuge der postalischen Versendung wurde nur zusätzlich ein persönlicher Zugangscode an die mitbeteiligte Partei (und andere teilnahmeberechtigte Personen) übermittelt, um auf diese Weise sicherzustellen, dass jeder teilnahmeberechtigte XXXX Bürger nur einen Fragebogen zur Bürgerumfrage 2016 abgibt.
Laut Informationsschreiben hat es für die teilnahmeberechtigten XXXX Bürger drei Möglichkeiten gegeben, um den Fragebogen zur Bürgerumfrage 2016 samt persönlichen Zugangscode einzureichen:
1. „Über das Internet“
Unter Eingabe des persönlichen Zugangscodes konnte der Fragebogen unter www. XXXX .gv.at-Befragung im Internet ausgefüllt werden.
2. „In Papierform vorab im Rathaus“
Der Fragebogen zur Bürgerumfrage 2016 mit persönlichem Zugangscode hat auch in Papierform bis zum 30.09.2016 um 12:30 Uhr im Rathaus abgegeben werden können.
3. „In Papierform am Tag der Bundespräsidentenwahl“
Weiters hat dieser ausgefüllte Fragebogen in Papierform auch am Sonntag, den 02.10.2016, anlässlich der Wiederholung des 2. Wahlganges der Bundespräsidentenwahl abgegeben werden können.
Zusammenfassend steht fest, dass der Beschwerdeführer als Auftraggeber zur Durchführung der Bürgerumfrage 2016 personenbezogene Daten der mitbeteiligten Partei einerseits zur Ermittlung der Teilnahmeberechtigung aus dem ZMR abgefragt und andererseits zur postalischen Versendung des Informationsschreibens und des Fragebogens samt Zugangscode benutzt hat.
Als maßgebend ist folglich festzustellen, dass der Beschwerdeführer die mitbeteiligte Partei durch die zwei genannten Verarbeitungsarten von deren personenbezogenen Daten in ihrem Recht auf Geheimhaltung verletzt hat.
2. Beweiswürdigung:
Die Feststellungen zum maßgeblichen Sachverhalt ergeben sich aus dem Verwaltungsakt, der Beschwerde und dem Gerichtsakt.
Die obigen Feststellungen sind im Wesentlichen auf der Grundlage der in der Verhandlung vom 18.02.2021 aufgenommenen Beweise getroffen worden.
3. Rechtliche Beurteilung:
3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG entscheiden die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.
Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.
Gemäß § 39 Abs. 1 Datenschutzgesetz 2000 (DSG 2000) entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide sowie wegen Verletzung der Entscheidungspflicht in den Angelegenheiten dieses Bundesgesetzes durch Senat. Der Senat besteht gemäß § 39 Abs. 2 leg.cit. aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß § 28 Abs. 1 VwGVG hat Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.
Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhaltes durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Anzuwendende Rechtslage
3.2.1. Im gegenständlichen Fall liegt eine Datenschutzbeschwerde betreffend eine (geltend gemachte) Verletzung im Recht auf Geheimhaltung durch eine im September 2016 zweifach erfolgte Verarbeitung personenbezogener Daten der mitbeteiligten Partei aus der Datenanwendung „Lokales Melderegister“ vor. Der Vorgang der zu beurteilenden Verletzung des Rechts auf Geheimhaltung war mit der an die mitbeteiligte Partei adressierten Briefsendung im September 2016 abgeschlossen.
In einem vergleichbaren Fall hat der Verwaltungsgerichtshof jüngst im Erkenntnis vom 23.02.2021, Ra 2019/04/0054 (insbesondere RZen 23 bis 30), ausdrücklich ausgesprochen, dass bei der Beurteilung der Rechtmäßigkeit eines – vor in Kraft treten der DSGVO am 25.05.2018 – abgeschlossenen Vorgangs einer möglichen Datenschutzverletzung des Rechts auf Geheimhaltung die alte Rechtslage des DSG 2000 anzuwenden ist.
3.2.2. Die maßgeblichen Bestimmungen des Bundesgesetzes über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I Nr. 165/1999 in der maßgebenden (bis 24.05.2018 geltenden) Fassung, lauten:
Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(…)
Definitionen
§ 4 Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
(…)
3. „Betroffener“: jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden;
4. Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;
(…)
6. „Datei“: strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;
7. „Datenanwendung“: die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;
9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten;
(…)
12. Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;
(…)
Grundsätze
§ 6. (1) Daten dürfen nur
1. nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;
2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der §§ 46 und 47 zulässig;
3. soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen;
4. so verwendet werden, dass sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind;
5. solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben.
(2) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.
(…)
Zulässigkeit der Verwendung von Daten
§ 7 (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
(2) Daten dürfen nur übermittelt werden, wenn
1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis – soweit diese nicht außer Zweifel steht – im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
(3) Die Zulässigkeit einer Datenverwendung setzt voraus, dass die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und dass die Grundsätze des § 6 eingehalten werden.
Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten
§ 8 (1) Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder
2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder
3. lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder
4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.
(…)
(3) Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten
1. für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist oder
2. durch Auftraggeber des öffentlichen Bereichs in Erfüllung der Verpflichtung zur Amtshilfe geschieht oder
3. zur Wahrung lebenswichtiger Interessen eines Dritten erforderlich ist oder
4. zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem erforderlich ist oder
5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden oder
6. ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat oder
7. im Katastrophenfall, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist; im letztgenannten Fall gilt § 48a Abs. 3.
Beschwerde an die Datenschutzbehörde
§ 31 (1) Die Datenschutzbehörde erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) Die Datenschutzbehörde erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.
(…)
(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
(…)
3.3. Die mitbeteiligte Partei hat in der Datenschutzbeschwerde vom 06.10.2016 geltend gemacht, zum Zweck der Durchführung der Bürgerumfrage 2016 einerseits durch die Abfrage ihrer personenbezogenen Daten aus dem lokalen Melderegister und andererseits durch das Benützen ihres Namens und ihrer Adresse für eine Briefsendung, die sie vom Beschwerdeführer im September 2016 erhalten hat, in ihrem Recht auf Geheimhaltung verletzt worden zu sein.
Nach der Verfassungsbestimmung des § 1 Abs. 1 DSG 2000 hat jedermann, insbesondere auch im Hinblick auf die Achtung des Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Geheimhaltungsinteresse daran besteht. Unter schutzwürdigen personenbezogenen Daten sind in diesem Zusammenhang nicht nur unschwer als personenbezogene erkennbare Angaben, wie etwa Name, Geschlecht, Adresse oder der Wohnort einer Person zu verstehen, sondern beispielsweise Werturteile und damit schlechthin personenbezogene Informationen. Sämtliche personenbezogene Daten – d.h. sowohl automationsunterstützt verarbeitete Daten als auch manuelle Daten – sind, sofern ein schutzwürdiges Geheimhaltungsinteresse besteht, geheim zu halten bzw. ist eine Ermittlung dieser Daten unzulässig.
Der zentrale Anknüpfungspunkt, ob ein Grundrechtsanspruch gemäß § 1 Abs. 1 DSG 2000 überhaupt besteht, ist das Vorliegen von „schutzwürdigen“ Interessen. Bei deren Prüfung ist eine Interessenabwägung vorzunehmen. Hier gilt es insbesondere die datenschutzrechtlichen Grundsätze der Rechtmäßigkeit und der Verhältnismäßigkeit zu berücksichtigen.
Gemäß § 7 Abs. 1 DSG 2000 dürfen Daten nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
Es ist unstrittig, dass der Beschwerdeführer für die Datenanwendung „Lokales Melderegister“ (im damaligen Datenverarbeitungsregister unter DVR: 0024724) als Auftraggeber registriert war.
An der Bürgerumfrage 2016 waren alle Staatsbürger und EU-Bürger teilnahmeberechtigt, die mit Stichtag 01.09.2016 ihren Hauptwohnsitz in der Stadt XXXX und die mit Stichtag vom 02.10.2016 das 16. Lebensjahr vollendet hatten, wie oben bereits festgestellt.
Nachdem der Beschwerdeführer über die Abfrage aus dem lokalen Melderegister ermittelt hatte, dass die mitbeteiligte Partei an der Bürgerumfrage 2016 teilnahmeberechtigt war, hat er an diese – namentlich adressiert – ein Informationsschreiben und einen Fragebogen zur Bürgerumfrage 2016 versendet.
In diesem Zusammenhang ist ebenso unstrittig, dass das Ermitteln bzw. Abfragen der personenbezogenen Daten der teilnahmeberechtigten mitbeteiligten Partei aus dem lokalen Melderegister und das Benutzen von deren Namen und deren Adresse für die Briefsendung zwei verschiedene Verarbeitungsarten iSd § 4 Z 9 DSG 2000 sind.
Demgegenüber gilt es im Folgenden zu prüfen, ob die gegenständliche Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers ein „Übermitteln von Daten“ iSd § 4 Z 12 DSG 2000 dargestellt hat.
Gemäß § 8 Abs. 1 Z 4 DSG 2000 sind bei Verwendung nicht-sensibler Daten schutzwürdige Geheimhaltungsinteressen dann nicht verletzt, wenn u.a. überwiegende berechtigte Interessen des Auftraggebers die Verwendung erfordern. Aus dem Grunde des Abs. 1 Z 4 leg.cit. sind schutzwürdige Geheimhaltungsinteressen insbesondere dann nicht verletzt, wenn die Verwendung der Daten für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer im gesetzlich übertragenen Aufgabe ist (§ 8 Abs. 3 Z 1 leg.cit.).
Die Bestimmung des § 20 Abs. 3 MeldeG ist als lex specialis gegenüber der Bestimmung des § 8 DSG 2000 anzuwenden. Die Bürgermeister (hier als Vorstand des Magistrats) sind als Meldebehörden iSd § 13 Abs. 1 MeldeG ermächtigt, u.a. die in ihrem Melderegister enthaltenen Meldedaten zu verwenden, „sofern diese zur Wahrnehmung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden“ (§ 20 Abs. 3 zweiter Satz idF BGBl. I. Nr. 50/2012).
Der Beschwerdeführer macht dazu geltend, dass sich eine solche „gesetzlich übertragene Aufgabe“ in § 70 Statut für die Stadt XXXX 1992 (StW 1992), OÖ. LGBl Nr. 8/1992, findet. Die Bestimmung ist ein formelles Landesgesetz und lautet wie folgt:
§ 70 Information der Einwohner
(1) Hat die Stadt die Absicht im eigenen Wirkungsbereich ein Vorhaben durchzuführen, durch das wegen seines Umfanges, wegen seiner Art, wegen des dafür notwendigen finanziellen Aufwandes oder aus anderen Gründen Interessen der Einwohner (Einwohnerinnen) im allgemeinen oder Interessen eines bestimmten Teiles der Einwohner (Einwohnerinnen) besonders berührt würden, so hat sie, insoweit dem nicht gesetzliche Bestimmungen, insbesondere Verschwiegenheitspflichten, entgegenstehen, die Einwohner (Einwohnerinnen) bzw. den in Betracht kommenden Teil der Einwohner (Einwohnerinnen) über das Vorhaben ausreichend und zeitgerecht, möglichst noch im Planungsstadium, zu informieren.
(2) Die Information im Sinn des Abs. 1 hat durch die Veröffentlichung im Amtsblatt und durch Anschlag an den Amtstafeln sowie darüber hinaus auch in anderer wirksamer Weise so zu erfolgen, dass die anzusprechende Zielgruppe möglichst umfassend erreicht werden kann. Hierfür kommen je nach den Gegebenheiten insbesondere die Bekanntmachung durch zusätzlichen öffentlichen Anschlag, durch Aussendungen, durch Verlautbarung in der Presse oder im Rundfunk (Fernsehen) in Betracht.
Begründend hat der Beschwerdeführer in der Beschwerde im Wesentlichen geltend gemacht, dass die Datenschutzbehörde das gleichzeitig mit dem Fragebogen zur Bürgerumfrage 2016 versendete Informationsschreiben inhaltlich anders gewichten und dementsprechend zu dem Ergebnis gelangen hätte müssen, dass die vorgenommene Verwendung der personenbezogenen Daten der mitbeteiligten Partei in der durchgeführten Form zum Zweck der Bürgerumfrage 2016 eine durch § 70 StW 1992 landesgesetzlich geregelte Grundlage gehabt hätte und als solche Einwohnerinformation erforderlich gewesen wäre.
Dem ist Folgendes entgegenzuhalten:
Die Gesetzesbestimmung des § 70 Abs. 1 StW 1992 spricht ausdrücklich auch von dem „in Betracht kommenden Teil der Einwohner (Einwohnerinnen)“.
Ausgehend vom eindeutigen Wortlaut erscheint grundsätzlich die Durchführung der Bürgerumfrage 2016 eingeschränkt auf einen teilnahmeberechtigten Teil der Einwohner der Stadt XXXX vom Anwendungsbereich dieser Gesetzesbestimmung erfasst zu sein.
Aus dieser Gesetzesinterpretation ist allerdings für den Beschwerdeführer noch nichts gewonnen, weil die Beurteilung, ob die Bürgerumfrage 2016 – für sich allein betrachtet –rechtens war, überhaupt nicht Gegenstand dieses Beschwerdeverfahrens ist. Es geht hier auch gar nicht – wie von der Datenschutzbehörde vorgenommen –, um die Deklarierung als Akt der Privatwirtschaft, weil ein solches Verständnis im Widerspruch zum Wesen der Privatwirtschaftsverwaltung steht, wonach für keine Handlung eine konkrete gesetzliche Grundlage besteht.
Gegenständlich geht es ausschließlich um die Beurteilung, ob in der gegebenen Sachverhaltskonstellation das Ermitteln bzw. Abfragen der Daten der teilnahmeberechtigten mitbeteiligten Partei zu den Datenarten Namen, Geburtsdatum, Staatsangehörigkeit und Adresse des Hauptwohnsitzes aus der Datenanwendung „Lokales Melderegister“ und das Benutzen der derart abgefragten Daten zu den Datenarten Name und Adresse für eine Briefsendung als „gesetzlich übertragene Aufgabe“ iSd § 8 Abs. 3 Z 1 DSG 2000 iVm der lex specialis des § 20 Abs. 3 zweiter Satz MeldeG gedeckt waren. In der Folge ist zu prüfen, ob der Auftraggeber durch die weitere lex specialis der landesgesetzlichen Bestimmung des § 70 Abs. 2 StW 1992 als „gesetzlich übertragene Aufgabe“ zu den erfolgten Eingriffen in die personenbezogenen Daten der mitbeteiligten Partei ermächtigt war.
Bei der vorzunehmenden Prüfung ist darüber hinaus zu berücksichtigen, dass gemäß § 7 Abs. 3 DSG 2000 Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen darf.
Die landesgesetzliche Bestimmung des § 70 Abs. 2 StW 1992 sieht vor, dass die „Information im Sinn des Abs. 1“ „durch die Veröffentlichung im Amtsblatt und durch Anschlag an den Amtstafeln sowie darüber hinaus auch in anderer wirksamer Weise so zu erfolgen“ hat, „dass die anzusprechende Zielgruppe möglichst umfassend erreicht werden kann“.
Wie oben bereits festgestellt, hat sich die postalische Versendung des Informationsschreibens und des Fragebogens zur Bürgerumfrage 2016 ausschließlich dadurch von der davor am 12.09.2016 erfolgten Veröffentlichung im Amtsblatt unterschieden, dass die teilnahmeberechtigten Personen einen persönlichen Zugangscode zum Fragebogen bekommen haben, um sicher zu stellen, dass jeder teilnahmeberechtigte Bürger nur einen ausgefüllten Fragebogen abgibt. Da dieselbe inhaltliche Information bereits am 12.09.2016 über das Amtsblatt an alle XXXX Haushalte ergangen ist, war die (nach vorausgegangener Abfrage aus dem lokalen Melderegister erfolgte) postalische Versendung an alle Teilnahmeberechtigten weder erforderlich noch kann sie als das gelindeste zur Verfügung stehende Mittel bezeichnet werden. Letzteres insbesondere vor dem Hintergrund, dass die Verteilung eines Zugangscodes an teilnahmeberechtigte Personen auch in anderer Form durchgeführt werden hätte können. So hätte etwa die Freiwilligkeit an der bzw. die Zustimmung zur Teilnahme an der Bürgerumfrage 2016 aus umgekehrter Sicht Voraussetzung dafür sein können, dass die betroffene Person einen Zugangscode erhält. Durch eine derartige andere Vorgangsweise hätten die durchgeführten Eingriffe in das Grundrecht auf Geheimhaltung personenbezogener Daten all jener teilnahmeberechtigten XXXX Bürger hintangehalten werden können, die letztlich überhaupt nicht freiwillig an der Bürgerumfrage 2016 teilgenommen haben. Insofern wird deutlich, dass die durchgeführten Eingriffe in personenbezogene Daten eines zu großen – nicht erforderlichen – Teiles von teilnahmeberechtigten XXXX Bürgern stattgefunden haben, sodass auch der festgelegte, eindeutige und rechtmäßige Zweck iSd des Grundsatzes des § 6 Abs. 1 Z 2 DSG 2000 nicht vorgelegen ist.
Folglich kann die durchgeführte zweifache Verarbeitung der Daten aller teilnahmeberechtigten Personen wie der mitbeteiligte Partei weder eine Deckung in § 8 Abs. 3 Z 1 DSG 2000 iVm § 20 Abs. 3 zweiter Satz MeldeG noch in der landesgesetzlichen Bestimmung des § 70 Abs. 2 StW 1992 finden.
Da der Beschwerdeführer als Auftraggeber durch die bei der mitbeteiligten Partei vorgenommenen Eingriffe des Rechts auf Geheimhaltung keine gesetzlich übertragene Aufgabe wahrgenommen hat, liegt auch in der gegenständlichen Fallkonstellation keine Verwendung von Daten für ein anderes Aufgabengebiet und damit keine Übermittlung iSd § 4 Z 12 DSG 2000 vor.
Aber der zuständige Senat gelangt – ebenso wie die Datenschutzbehörde – zu dem Ergebnis, dass der Beschwerdeführer als Auftraggeber für die Datenanwendung „Lokales Melderegister“ für den Zweck der Durchführung einer Bürgerumfrage 2016 die personenbezogenen Daten durch Ermitteln bzw. Abfragen und durch Benutzen für eine Briefsendung in gemäß § 7 Abs. 1 und Abs. 3 DSG 2000 unzulässiger Weise in zweifacher Art verarbeitet hat und dadurch die mitbeteiligte Partei in seinem Recht auf Geheimhaltung verletzt hat.
Da dem angefochtenen Bescheid aus diesen Gründen eine Rechtswidrigkeit iSd Art. 130 Abs. 1 Z 1 B-VG nicht anhaftet, war die dagegen erhobene Beschwerde gemäß § 28 Abs. 2 VwGVG iVm § 31 Abs. 2 und Abs. 7 DSG 2000 mit der Maßgabe abzuweisen, dass der erstinstanzliche Spruch im Feststellungsteil spruchgemäß abzuändern war.
3.4. Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.
Der Beschwerdeführer hat gegenständlich zwar die Durchführung einer öffentlichen mündlichen Verhandlung nicht beantragt, aber es hat am 18.02.2021 eine Verhandlung stattgefunden, weil sie vom zuständigen Senat wegen mangelhafter Sachverhaltsfeststellungen für erforderlich angesehen wurde.
3.5. Zu B) Unzulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Die gegenständliche Entscheidung weicht nicht von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes zum DSG 2000 ab (siehe insbesondere das jüngst ergangene und unter 3.2.1. angeführte Erkenntnis vom 23.02.2021, Ra 2019/04/0054). Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.
Schlagworte
Datenschutz Datenübermittlung Datenverarbeitung Geheimhaltung gesetzliche Grundlage personenbezogene Daten schutzwürdige InteressenEuropean Case Law Identifier (ECLI)
ECLI:AT:BVWG:2021:W101.2163119.1.00Im RIS seit
29.06.2021Zuletzt aktualisiert am
29.06.2021