Datenschutzbehörde

Entscheidungstext K210.714/0016-DSK/2013

Entscheidende Behörde

Datenschutzkommission

Dokumenttyp

Entscheidungstext

Entscheidungsart

Empfehlung

Geschäftszahl

K210.714/0016-DSK/2013

Entscheidungsdatum

19.07.2013

Norm

DSG 2000 §1 Abs1;
DSG 2000 §1 Abs2;
DSG 2000 §4 Z1;
DSG 2000 §30 Abs6;

Text

[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

E M P F E H L U N G

 

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 19. Juli 2013 folgenden Beschluss gefasst:

 

Aus Anlass der Eingabe des Mag. Dr. L*** M*** (Einschreiter) vom 10. Jänner 2013, betreffend Anführung der SozialversicherungsnummerNächster Suchbegriff auf einem Zahlschein der N*** Sozialversicherungsanstalt zur Bezahlung eines Behandlungsbeitrages ergeht gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustands die folgende Empfehlung an die N*** Sozialversicherungsanstalt:

 

-

Die N*** Sozialversicherungsanstalt möge auf Zahlscheinen von der Anführung der Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff absehen.

 

-

Für die Umsetzung dieser Empfehlung wird eine Fr i s t von d r e i Mo n a t e n gesetzt.

 

Rechtsgrundlagen: § 1 Abs. 1 und 2, § 4 Z 1, § 30 Abs. 6 des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999 idgF.

 

G r ü n d e für diese E m p f e h l u n g

 

A. Vorbringen der Beteiligten und Verfahrensgang

 

1. In seinen Eingaben vom 10. Jänner und 11. Februar 2013 führte der Einschreiter aus, dass er letztes Jahr mittels Post die Vorschreibung eines Behandlungsbeitrages zu einer näher genannten Rechnungsnummer von der N*** Sozialversicherungsanstalt (N***) erhalten habe. Dem Schreiben der N*** sei ein Zahlschein beigelegt gewesen, auf welchem die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff des Einschreiters in voller Länge aufgeschienen sei. Die N*** habe ihm im Rahmen eines Telefonates mitgeteilt, dass die Banken, wo eingezahlt werde, auch der Verschwiegenheit unterlägen und somit keine Verletzung datenschutzrechtlicher Vorschriften gegeben sei. Weiters sei ihm mitgeteilt worden, dass er die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff auf dem Zahlschein durchstreichen könne. Dass die Anführung der Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff auf dem Zahlschein notwendig sei, um eine eindeutige Zuordnung zu gewährleisten, eine Rechnungsnummer jedoch unzureichend, sei für den Einschreiter nicht nachvollziehbar. Auf der Rechnungsvorschreibung seien drei Zahlen (eine achtstellig, eine zweite neunstellig und eine zwölfstellige Rechnungsnummer) angeführt, die eine problemlose Zuordnung ermöglichen sollten.

 

Den Eingaben vom 10. Jänner und 11. Februar 2013 beigelegt ist ein Zahlschein zur Bezahlung eines Behandlungsbeitrages in der Höhe von 10,94 Euro, wobei im Feld „Verwendungszweck“ die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff des Einschreiters sowie das Fälligkeitsdatum angeführt sind. Weiters wurden auf dem Zahlschein bereits der Name und die Anschrift des Einschreiters im Feld „Kontoinhaber/Auftraggeber“ durch die N*** maschinell eingefügt. Der Eingabe vom 11. Februar 2013 ist ein an den Einschreiter gerichtetes Schreiben der N*** vom 10. Dezember 2012 mit dem Betreff „Behandlungsbeitrag – Rechnung 8***; Rückstandsausweis“ beigeschlossen. In der Rubrik „Zahl“ ist die Ziffernfolge „7***,2***“ angeführt.

 

2. Die N*** führte über Aufforderung der Datenschutzkommission in ihren Stellungnahmen vom 31. Jänner und 29. März 2013 zusammengefasst aus, dass sie die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff in der gesamten Korrespondenz mit ihren Kunden und auch im Zahlungsverkehr verwende. Dies sei notwendig, um angesichts der großen Zahl der Anspruchsberechtigten eine eindeutige und verwechslungsfreie Identifikation sicherzustellen. Aufgrund von Schreibfehlern komme es nämlich des Öfteren zu Zuordnungsproblemen, weil bspw. die Zahlungsreferenz (Rechnungsnummer) nicht oder inkorrekt angeführt werde. Die zusätzliche Verwendung der Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff ermögliche fast immer eine richtige Zuordnung und erspare im Interesse der Kunden oftmals die Versendung von Mahnungen oder gar die Einleitung von Exekutionsverfahren. Die Angabe der Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff stelle aus Sicht der N*** das gelindeste zur Verfügung stehende Mittel dar, die sich aus einer fehlerhaften Erfassung der Zahlungsreferenz ergebenden Unannehmlichkeiten für die Kunden abzuwenden.

 

B. Sachverhaltsfeststellungen

 

Es wird der folgende Sachverhalt festgestellt:

 

Die N*** verwendet die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff in der gesamten Korrespondenz mit ihren Kunden und auch im Zahlungsverkehr.

 

Auf den Zahlscheinen scheint im Feld „Verwendungszweck“ neben dem Fälligkeitsdatum auch die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff des Versicherten auf. Name und Anschrift des Versicherten werden durch die N*** in den Zahlschein maschinell eingefügt.

 

Auf den Vorschreibungen der Behandlungsbeiträge ist eine mehrstellige Rechnungsnummer angeführt.

 

Beweiswürdigung: Diese Feststellungen ergeben sich aus den diesbezüglich übereinstimmenden bzw. unbestrittenen Ausführungen des Einschreiters und der N*** sowie aus dem vom Einschreiter vorgelegten Zahlschein und aus dem an ihn gerichteten Schreiben der N*** vom 10. Dezember 2012.

 

C. In rechtlicher Hinsicht folgt daraus:

 

1. anzuwendende Rechtsvorschriften

 

Die relevanten Vorschriften des DSG 2000 lauten auszugsweise:

 

Die Verfassungsbestimmung des § 1 Abs. 1 und 2 DSG 2000 lautet samt Überschrift:

 

„Grundrecht auf Datenschutz

 

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

 

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“

 

§ 4 Z 1 DSG 2000 lautet:

 

§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

 

1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;“

 

§ 30 Abs. 1 und 6 DSG 2000 lautet:

 

„Kontrollbefugnisse der Datenschutzkommission

 

§ 30. (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.

 

[…]

 

(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission, sofern nicht Maßnahmen nach den §§ 22 und 22a oder nach Abs. 6a zu treffen sind, Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere

 

1. Strafanzeige nach §§ 51 oder 52 erstatten, oder

 

2. bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben, oder

 

3. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzkommission entsprochen wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzkommission der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.“

 

2. rechtliche Schlussfolgerungen

 

2.1. Die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff ist ein personenbezogenes Datum im Sinne des § 4 Z 1 DSG 2000, an der ein Versicherter ein schutzwürdiges Geheimhaltungsinteresse hat.

 

Nach der Rechtsprechung der Datenschutzkommission darf die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff nicht als „genereller Identifikator“ verwendet werden, d.h. in Zusammenhängen, die mit sozialversicherungsrechtlichen Sachverhalten nichts zu tun haben; eine solche Verwendung wurde von der DSK bereits wiederholt als unzulässig bezeichnet. Es wurde hingegen als nicht überschießende Datenverwendung gewertet, die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff dort zu verwenden, wo die eindeutige und unverwechselbare Bezeichnung des Betroffenen notwendig ist (vgl. dazu etwa den Bescheid vom 25. Februar 2009, GZ K121.422/0002-DSK/2009).

 

In ähnlicher Weise hat sich auch der gemäß § 41 DSG 2000 beim Bundeskanzleramt eingerichtete Datenschutzrat bereits mehrmals geäußert (vgl. dazu bspw. die Stellungnahme des Datenschutzrates zur Untersuchung von Alternativen zur Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff in der Bildungsdokumentation vom 25. Februar 2010, abrufbar unter

www.bka.gv.at/DocView.axd?CobId=38592).

 

Vorliegend ist zwar unbestritten ein sozialversicherungsrechtlicher Zusammenhang gegeben, jedoch nur im Verhältnis zwischen dem Versicherten und seiner Sozialversicherung. Wird jedoch die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff – wie im vorliegenden Fall – auf einem Zahlschein abgedruckt, so wird dieses Datum auch den Bediensteten der die Überweisung durchführenden Bank bekannt. Diesen ist es daher möglich, in Verbindung mit dem auf dem Zahlschein angeführten Namen des Kontoinhabers den Bezug zu diesem herzustellen, weshalb der betroffene Versicherte dadurch in seinem schutzwürdigen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten gemäß § 1 Abs. 1 DSG 2000 verletzt wird. Dass die Bediensteten einer Bank selbst einer gesetzlichen Verschwiegenheitspflicht unterliegen (vgl. dazu § 38 des Bankwesengesetzes – BWG, Bankgeheimnis) ändert daran nichts, weil das Bankgeheimnis nur gegenüber Dritten gilt. Der Anspruch auf Geheimhaltung eines Versicherten gilt jedoch auch gegenüber den Bediensteten (s)einer Bank.

 

2.2. Die Datenschutzkommission übersieht dabei nicht, dass es angesichts der großen Anzahl der bei der N*** Versicherten zu Zuordnungsproblemen aufgrund von Schreibfehlern kommen kann. Dass dieser Problematik jedoch nur unter Zuhilfenahme der Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff auf einem Zahlschein wirksam begegnet werden kann – wobei auch hier Schreibfehler nicht ausgeschlossen sind –, ist für die Datenschutzkommission allerdings nicht nachvollziehbar. Wie der Einschreiter schlüssig geltend macht, ist einer Zahlungsvorschreibung im Regelfall eine Rechnung mit mehrstelliger Rechnungsnummer angeschlossen. Die Rechnungsnummer, die im Übrigen – wie schon derzeit die Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff – von der N*** auf einem Zahlschein im Feld „Verwendungszweck“ maschinell eingefügt werden könnte, sowie der Name des Versicherten, der ja von der N*** ebenfalls auf den übermittelten Zahlscheinen maschinell eingefügt wird, sollten nach Ansicht der Datenschutzkommission eine problemlose Zuordnung ermöglichen. Darüber hinaus ist darauf hinzuweisen, dass im Lichte des sich aus § 1 Abs. 2 und § 7 Abs. 3 DSG 2000 ergebenden Grundsatzes, wonach ein Eingriff in das Grundrecht auf Datenschutz jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden darf, mit der Anführung der Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff auf der Rechnung, die im Übrigen an den Versicherten selbst adressiert ist und somit vorerst nur von diesem eingesehen werden kann, das Auslangen gefunden werden kann.

 

Es wird daher empfohlen, an Stelle der Vorheriger SuchbegriffSozialversicherungsnummerNächster Suchbegriff eine andere, dem Versicherten eindeutig zuordenbare Nummer auf Zahlscheinen zu verwenden.

 

2.3. Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Eine Frist von drei Monaten scheint – in Anbetracht des Umstandes, dass eine Neuorganisation der Zahlungszuordnung notwendig sein wird – angemessen.

Schlagworte

Empfehlung, Vorheriger SuchbegriffSozialversicherungsnummer, Zahlungsreferenz, Sozialversicherung, Zahlschein, Erlagschein, Behandlungsbeitrag

Zuletzt aktualisiert am

05.08.2013

Dokumentnummer

DSKTE_20130719_K210714_0016_DSK_2013_00