GZ: 
DSB
-D121.876/0005-DSB/2014 vom 27. August 2014
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
Spruch:
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Philipp E*** (Beschwerdeführer) aus **** Z*** vom 26. Juni 2012 gegen die H****- Austria Telecom Gesellschaft m.b.H. (Beschwerdegegnerin, bis 3. Jänner 2013: J*** Austria Telecommunication Ges.m.b.H.) wegen Verletzung im Recht auf datenschutzrechtliche Auskunft (Auskunftsverlangen vom 5. Mai 2012) in Folge Nichtbeauskunftung des Inhalts der gemäß § 102a des Telekommunikationsgesetzes 2003 (TKG 2003) in der Fassung BGBl. I Nr. 102/2011 zu speichernden Daten (im Folgenden kurz: Vorratsdaten) wie folgt:Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Philipp E*** (Beschwerdeführer) aus **** Z*** vom 26. Juni 2012 gegen die H****- Austria Telecom Gesellschaft m.b.H. (Beschwerdegegnerin, bis 3. Jänner 2013: J*** Austria Telecommunication Ges.m.b.H.) wegen Verletzung im Recht auf datenschutzrechtliche Auskunft (Auskunftsverlangen vom 5. Mai 2012) in Folge Nichtbeauskunftung des Inhalts der gemäß Paragraph 102 a, des Telekommunikationsgesetzes 2003 (TKG 2003) in der Fassung Bundesgesetzblatt Teil eins, Nr. 102 aus 2011, zu speichernden Daten (im Folgenden kurz: Vorratsdaten) wie folgt:
1. Der Beschwerde wird teilweise Folge gegeben und festgestellt, dass die Beschwerdegegnerin durch die Nichtabgabe einer schriftlichen Begründung, warum auch ab 1. Juli 2014 keine Auskunft über den Inhalt der über den Beschwerdeführer gespeicherten Vorratsdaten erteilt werden kann, den Beschwerdeführer in seinem Recht auf Auskunft über eigen Daten verletzt hat.
2. Der Beschwerdegegnerin wird aufgetragen, binnen einer Frist von zwei Wochen bei sonstiger Zwangsvollstreckung eine Erklärung im Sinne des Spruchpunkts 1. abzugeben.
3. Im Übrigen wird die Beschwerde abgewiesen.
Rechtsgrundlagen: § 1 Abs. 3 Z 1, § 26 Abs. 1 und 4, § 31 Abs. 1 und 7 und § 61 Abs. 9 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.: Paragraph eins, Absatz 3, Ziffer eins,, Paragraph 26, Absatz eins und 4, Paragraph 31, Absatz eins und 7 und Paragraph 61, Absatz 9, des Datenschutzgesetzes 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF.
Begründung:
A. Vorbringen der Parteien und Verfahrensgang
Der Beschwerdeführer wandte sich am 26. Juni 2012 (Eingang per E-Mail am selben Tag) an die frühere Datenschutzkommission und behauptete eine Verletzung im Recht auf Auskunft über eigene Daten dadurch, dass sich die Beschwerdegegnerin (damals die J*** Austria Telecommunication Ges.m.b.H., die [Anmerkung Bearbeiter: Daten zu einer Rechtsnachfolge aus Gründen der Pseudonymisierung gelöscht]), bei der er Kunde sei, mit Schreiben vom 4. Juni 2012 geweigert habe, sein Auskunftsverlangen vom 5. Mai 2012 hinsichtlich der verarbeiteten Vorratsdaten inhaltlich zu beantworten. Der Beschwerde waren Kopien des Auskunftsverlangens und der Antwort der Beschwerdegegnerin angeschlossen. Der Beschwerdeführer beantragte, der Beschwerdegegnerin durch Bescheid aufzutragen, die datenschutzrechtliche Auskunft entsprechend seinem Vorbringen zu erteilen bzw. zu ergänzen.
Die Beschwerdegegnerin brachte, von der früheren Datenschutzkommission dazu entsprechend aufgefordert, mit Stellungnahme vom 5. Juli 2012 zunächst nur kurz vor, im Fall der Vorratsdatenspeicherung (im Folgenden kurz auch: VDS) bestehe eine „besondere Interessenslage“ (Anführungszeichen im Original) und eine rechtliche wie faktische Unmöglichkeit der Auskunftserteilung, und die Gründe für die Weigerung, das ausdrücklich auf Beauskunftung der Vorratsdaten abzielende Auskunftsverlangen zu beantworten, seien in dem am 4. Juni 2012 an den Beschwerdeführer ergangenen Schreiben ausführlich dargelegt worden.
Die frühere Datenschutzkommission forderte die Beschwerdegegnerin mit Schreiben vom 9. Juli 2012, GZ: DSK-K121.876/0004-DSK/2012, auf, ihre Bedenken näher darzulegen, insbesondere auszuführen, warum sowohl eine rechtliche wie auch eine faktische Unmöglichkeit bestehe, dem Beschwerdeführer entsprechend der Verfassungsbestimmung § 1 Abs. 3 Z 1 DSG 2000 über ihn betreffende Vorratsdaten Auskunft zu erteilen. bestehe, dem Beschwerdeführer entsprechend der Verfassungsbestimmung Paragraph eins, Absatz 3, Ziffer eins, DSG 2000 über ihn betreffende Vorratsdaten Auskunft zu erteilen.
Die Beschwerdegegnerin brachte daraufhin in ihrer ausführlichen Stellungnahme vom 6. August 2012 Folgendes vor: Die Auskunftserteilung aus gespeicherten Vorratsdaten sei aus rechtlichen Überlegungen unzulässig. Die entsprechende Grundrechtsbestimmung stehe unter ausdrücklichem Gesetzesvorbehalt. Aus einer systematischen Auslegung des Gesetzes ergebe sich, dass die Rechte auf Auskunft, Löschung und Richtigstellung von Daten im Zusammenhang stünden, habe der Betroffene ein Recht auf Auskunft, müsse man ihm auch ein Recht auf Löschung zugestehen, was dem gesetzlichen Zweck der VDS diametral entgegenstehen würde. Solange der Verfassungsgerichtshof (im Folgenden kurz auch: VfGH) die Bestimmungen über die VDS nicht aufhebe, sei die Beschwerdegegnerin daran gebunden. Diese Bestimmungen würden eine Auskunftserteilung über Vorratsdaten an Privatpersonen nicht vorsehen. Dies ergebe sich insbesondere aus § 102b TKG 2003, wonach Vorratsdaten – bei sonstiger Strafbarkeit gemäß § 109 Abs. 3 Z 24 TKG 2003 - ausschließlich aufgrund einer gerichtlich bewilligten Anordnung einer Staatsanwaltschaft verwendet werden dürften. Eine Auskunftserteilung gemäß § 26 DSG 2000 sei hier bewusst nicht vorgesehen. Weiters würde sich auch aus einer Analogie zu § 100 Abs. 3 TKG 2003 die Unzulässigkeit der Auskunftserteilung ergeben (keine Auskunft über Verkehrsdaten im Nachhinein, außer für Zwecke eines Einzelentgeltnachweises im gesetzlichen Umfang, wegen nicht-zwingender Identität von Vertragspartner und Benutzer eines Mobiltelefonanschlusses). Weiters stütze man sich auf § 26 Abs. 2 DSG 2000 (Verweigerung aus überwiegenden berechtigten Interessen der öffentlichen Sicherheit und der Strafverfolgung). Überhaupt bestreite die Beschwerdegegnerin ihre Verantwortung als Auftraggeberin für die VDS, da es sich dabei substanziell um die Besorgung einer Staatsaufgabe handle, die lediglich aus Praktikabilitäts- und Kostengründen an die Beschwerdegegnerin übertragen worden sei. Die Beschwerdegegnerin sei somit hier lediglich Dienstleisterin der Republik Österreich. Auf Rückfrage der früheren Datenschutzkommission bestätigte die Beschwerdegegnerin jedoch (E-Mail vom 8. August 2012), dass ein Zugriff auf Vorratsdaten durch die Beschwerdegegnerin faktisch, wenn auch unter Einschränkung auf einen engen Personenkreis und unter Protokollierung der Zugriffe, möglich sei. brachte daraufhin in ihrer ausführlichen Stellungnahme vom 6. August 2012 Folgendes vor: Die Auskunftserteilung aus gespeicherten Vorratsdaten sei aus rechtlichen Überlegungen unzulässig. Die entsprechende Grundrechtsbestimmung stehe unter ausdrücklichem Gesetzesvorbehalt. Aus einer systematischen Auslegung des Gesetzes ergebe sich, dass die Rechte auf Auskunft, Löschung und Richtigstellung von Daten im Zusammenhang stünden, habe der Betroffene ein Recht auf Auskunft, müsse man ihm auch ein Recht auf Löschung zugestehen, was dem gesetzlichen Zweck der VDS diametral entgegenstehen würde. Solange der Verfassungsgerichtshof (im Folgenden kurz auch: VfGH) die Bestimmungen über die VDS nicht aufhebe, sei die Beschwerdegegnerin daran gebunden. Diese Bestimmungen würden eine Auskunftserteilung über Vorratsdaten an Privatpersonen nicht vorsehen. Dies ergebe sich insbesondere aus Paragraph 102 b, TKG 2003, wonach Vorratsdaten – bei sonstiger Strafbarkeit gemäß Paragraph 109, Absatz 3, Ziffer 24, TKG 2003 - ausschließlich aufgrund einer gerichtlich bewilligten Anordnung einer Staatsanwaltschaft verwendet werden dürften. Eine Auskunftserteilung gemäß Paragraph 26, DSG 2000 sei hier bewusst nicht vorgesehen. Weiters würde sich auch aus einer Analogie zu Paragraph 100, Absatz 3, TKG 2003 die Unzulässigkeit der Auskunftserteilung ergeben (keine Auskunft über Verkehrsdaten im Nachhinein, außer für Zwecke eines Einzelentgeltnachweises im gesetzlichen Umfang, wegen nicht-zwingender Identität von Vertragspartner und Benutzer eines Mobiltelefonanschlusses). Weiters stütze man sich auf Paragraph 26, Absatz 2, DSG 2000 (Verweigerung aus überwiegenden berechtigten Interessen der öffentlichen Sicherheit und der Strafverfolgung). Überhaupt bestreite die Beschwerdegegnerin ihre Verantwortung als Auftraggeberin für die VDS, da es sich dabei substanziell um die Besorgung einer Staatsaufgabe handle, die lediglich aus Praktikabilitäts- und Kostengründen an die Beschwerdegegnerin übertragen worden sei. Die Beschwerdegegnerin sei somit hier lediglich Dienstleisterin der Republik Österreich. Auf Rückfrage der früheren Datenschutzkommission bestätigte die Beschwerdegegnerin jedoch (E-Mail vom 8. August 2012), dass ein Zugriff auf Vorratsdaten durch die Beschwerdegegnerin faktisch, wenn auch unter Einschränkung auf einen engen Personenkreis und unter Protokollierung der Zugriffe, möglich sei.
Der Beschwerdeführer brachte (nach erstmaligem Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens) mit Stellungnahme vom 19. August 2012 dazu vor, auch wenn der Zugriff auf die Vorratsdaten stark eingeschränkt sei, dürfe dieser Zugriff auch für eine Auskunft gemäß § 26 DSG 2000 genutzt werden. Im Fall einer bloßen Dienstleisterrolle der Beschwerdegegnerin hätte man ihm dies jedenfalls unverzüglich mitteilen müssen. brachte (nach erstmaligem Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens) mit Stellungnahme vom 19. August 2012 dazu vor, auch wenn der Zugriff auf die Vorratsdaten stark eingeschränkt sei, dürfe dieser Zugriff auch für eine Auskunft gemäß Paragraph 26, DSG 2000 genutzt werden. Im Fall einer bloßen Dienstleisterrolle der Beschwerdegegnerin hätte man ihm dies jedenfalls unverzüglich mitteilen müssen.
Am 18. Jänner 2013 hat die frühere Datenschutzkommission beschlossen, dem Gerichtshof der Europäischen Union (im Folgenden kurz: EuGH) gemäß Art 267 AEUV drei Fragen zur Auslegung der Richtlinien 2006/24/EG (im Folgenden auch kurz: VDS-Richtlinie) und 95/46/EG (im Folgenden auch kurz: DS-Richtlinie) im Hinblick auf die Einwendungen der Beschwerdegegnerin vorzulegen. Mit Bescheid vom selben Tage, GZ: DSK-K121.876/0003-DSK/2013, wurde das gegenständliche Verfahren bis zum Vorliegen einer Entscheidung des EuGH ausgesetzt. beschlossen, dem Gerichtshof der Europäischen Union (im Folgenden kurz: EuGH) gemäß Artikel 267, AEUV drei Fragen zur Auslegung der Richtlinien 2006/24/EG (im Folgenden auch kurz: VDS-Richtlinie) und 95/46/EG (im Folgenden auch kurz: DS-Richtlinie) im Hinblick auf die Einwendungen der Beschwerdegegnerin vorzulegen. Mit Bescheid vom selben Tage, GZ: DSK-K121.876/0003-DSK/2013, wurde das gegenständliche Verfahren bis zum Vorliegen einer Entscheidung des EuGH ausgesetzt.
Das Vorabentscheidungsersuchen der früheren Datenschutzkommission wurde vom EuGH zu C-46/13 in das Register des Gerichtshofs eingetragen (Kundmachung ABl. C 147 vom 25. 5. 2013, Seite 3).
Mit Urteil vom 8. April 2014 in den verbundenen Rechtssachen C-293/12 und C-594/12, Digital Rights Ireland und Seitlinger u. a. (EU:C:2014:238), hat der EuGH die VDS-Richtlinie für ungültig erklärt. Die inzwischen an die Stelle der früheren Datenschutzkommission getretene Datenschutzbehörde hat daraufhin mit Schreiben vom 29. April 2014 das Vorabentscheidungsersuchen vom 18. Jänner 2013 zurückgezogen, und in weiterer Folge wurde die Rechtssache C-46/13 durch Beschluss des Präsidenten des EuGH vom 27. Mai 2014 aus dem Register des Gerichtshofs gestrichen.
Mit Erkenntnis vom 27. Juni 2014, Zl. G 47/2012 u.a, hat der VfGH die nationalen Umsetzungsbestimmungen zur VDS-RL als verfassungswidrig aufgehoben. Mit 1. Juli 2014 sind daher laut Kundmachung des Bundeskanzlers vom 30. Juni 2014, BGBl. I Nr. 44/2014, u.a. die Bestimmungen der §§ 102b und 109 Abs. 3 Z 24 TKG 2003 außer Kraft getreten. die nationalen Umsetzungsbestimmungen zur VDS-RL als verfassungswidrig aufgehoben. Mit 1. Juli 2014 sind daher laut Kundmachung des Bundeskanzlers vom 30. Juni 2014, Bundesgesetzblatt Teil eins, Nr. 44 aus 2014,, u.a. die Bestimmungen der Paragraphen 102 b und 109 Absatz 3, Ziffer 24, TKG 2003 außer Kraft getreten.
Mit Schreiben vom 26. Mai und 18. Juli 2014 hat die Datenschutzbehörde den Parteien Gelegenheit gegeben, sich zur in Folge der Entscheidungen von EuGH und VfGH geänderten Rechtslage zu äußern, und der Beschwerdegegnerin in eventu Gelegenheit gegeben, das Auskunftsverlangen nachträglich zu erfüllen.
Die Beschwerdegegnerin hat dazu am 12. Juni 2014 zunächst die Stellungnahme abgegeben, trotz Ungültigerklärung der VDS-Richtlinie blieben die nationalen Bestimmungen zur VDS gültig; im Übrigen werde auf das eigene Vorbringen (bzw. das der Rechtsvorgängerin) in dieser Sache verwiesen.
Am 23. Juli 2014 hat die Beschwerdegegnerin sodann gegenüber der Datenschutzbehörde mitgeteilt, dass nach Außerkrafttreten der nationalen Bestimmungen über die VDS „sämtliche im Rahmen der früheren Vorratsdatenspeicherungsverpflichtung gespeicherten Daten umgehend gelöscht wurden.“ Es würden weder neue Daten gespeichert, noch weitere Auskünfte über Vorratsdaten an Behörden erteilt.
Der Beschwerdeführer hat sich, trotz gewährtem Parteiengehör, zu den weiteren Ergebnissen des Ermittlungsverfahrens nicht geäußert.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das Auskunftsverlangen des Beschwerdeführers vom 5. Mai 2012 gesetzmäßig beantwortet hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Die Beschwerdegegnerin (bis 3. Jänner 2013 die J*** Austria Telecommunication Ges.m.b.H.) ist ein in der Rechtsform einer Gesellschaft mit beschränkter Haftung organisierter Rechtsträger, der als Unternehmer in Österreich ein Telekommunikationsnetz (Mobilfunk-Netz) betreibt und Kommunikationsdienste anbietet (§ 3 Z 3, 4, 9 und 11 TKG 2003).Die Beschwerdegegnerin (bis 3. Jänner 2013 die J*** Austria Telecommunication Ges.m.b.H.) ist ein in der Rechtsform einer Gesellschaft mit beschränkter Haftung organisierter Rechtsträger, der als Unternehmer in Österreich ein Telekommunikationsnetz (Mobilfunk-Netz) betreibt und Kommunikationsdienste anbietet (Paragraph 3, Ziffer 3,, 4, 9 und 11 TKG 2003).
Der Beschwerdeführer ist Inhaber eines Mobilfunkanschlusses (Rufnummer 06**-3*6*12**) und Kunde der Beschwerdegegnerin.
Vom 1. April 2012 bis zu einem nicht genau feststellbaren Zeitpunkt zwischen dem 1. Juli 2014 und dem 23. Juli 2014 hat die Beschwerdegegnerin gemäß ihrer bis zum 1. Juli 2014 geltenden Pflicht nach § 102a Abs. 2 und 3 TKG 2003 idF BGBl. I Nr. 102/2011 den Beschwerdeführer betreffende Daten zu folgenden Datenarten für höchsten sechs Monate gespeichert (Vorratsdaten, VDS):Vom 1. April 2012 bis zu einem nicht genau feststellbaren Zeitpunkt zwischen dem 1. Juli 2014 und dem 23. Juli 2014 hat die Beschwerdegegnerin gemäß ihrer bis zum 1. Juli 2014 geltenden Pflicht nach Paragraph 102 a, Absatz 2 und 3 TKG 2003 in der Fassung Bundesgesetzblatt Teil eins, Nr. 102 aus 2011, den Beschwerdeführer betreffende Daten zu folgenden Datenarten für höchsten sechs Monate gespeichert (Vorratsdaten, VDS):
Name, Anschrift und Teilnehmerkennung des Teilnehmers, dem eine öffentliche IP-Adresse zu einem bestimmten Zeitpunkt unter Angabe der zugrunde liegenden Zeitzone zugewiesen war;
Datum und Uhrzeit der Zuteilung und des Entzugs einer öffentlichen IP-Adresse bei einem Internet-Zugangsdienst unter Angabe der zugrundeliegenden Zeitzone;
die Rufnummer des anrufenden Anschlusses für den Zugang über Wählanschluss;
die eindeutige Kennung des Anschlusses, über den der Internet-Zugang erfolgt ist;
Teilnehmernummer oder andere Kennung des anrufenden und des angerufenen Anschlusses;
bei Zusatzdiensten wie Rufweiterleitung oder Rufumleitung die Teilnehmernummer, an die der Anruf geleitet wird;
Name und Anschrift des anrufenden und des angerufenen Teilnehmers;
Datum, Uhrzeit des Beginns und Dauer eines Kommunikationsvorganges unter Angabe der zugrundeliegenden Zeitzone;
die Art des in Anspruch genommenen Dienstes (Anrufe, Zusatzdienste und Mitteilungs- und Multimediadienste);
die internationale Mobilteilnehmerkennung (IMSI) des anrufenden und des angerufenen Anschlusses;
die internationale Mobilfunkgerätekennung (IMEI) des anrufenden und des angerufenen Anschlusses;
Datum und Uhrzeit der ersten Aktivierung des Dienstes und die Standortkennung (Cell-ID), an dem der Dienst aktiviert wurde, wenn es sich um vorbezahlte anonyme Dienste handelt;
die Standortkennung (Cell-ID) bei Beginn einer Verbindung.
Zu dem oben erwähnten, nicht näher bestimmten Zeitpunkt wurden diese Vorratsdaten zu allen Betroffenen, den Beschwerdeführer eingeschlossen, von der Beschwerdegegnerin gelöscht.
Am 5. Mai 2012 richtete der Beschwerdeführer ein datenschutzrechtliches Auskunftsbegehren mit folgendem Inhalt per E-Mail an die Beschwerdegegnerin:
„Sehr geehrte Geschäftsführung!
In Vollziehung des § 102a Telekommunikationsgesetz 2003 (TKG 2003) verwenden Sie iSd. § 4 Z 8 DSG 2000 Vorratsdaten iSd. § 92 Abs 3 6b TKG 2003. Ich fordere Sie daher auf, mir bekannt zu geben unter welcher Datenverarbeitungsnummer (DVR-Nummer) und unter welcher Datenanwendung Sie die Vorratsdatenspeicherung beim DVR gemeldet haben.In Vollziehung des Paragraph 102 a, Telekommunikationsgesetz 2003 (TKG 2003) verwenden Sie iSd. Paragraph 4, Ziffer 8, DSG 2000 Vorratsdaten iSd. Paragraph 92, Absatz 3, 6b TKG 2003. Ich fordere Sie daher auf, mir bekannt zu geben unter welcher Datenverarbeitungsnummer (DVR-Nummer) und unter welcher Datenanwendung Sie die Vorratsdatenspeicherung beim DVR gemeldet haben.
Weiters ersuche ich Sie gemäß den §§ 1 und 26 DSG 2000 ausdrücklich um die Beauskunftung sämtlicher Vorratsdaten die aufgrund des § 102a TKG 2003 zu meiner Person gespeichert sind.Weiters ersuche ich Sie gemäß den Paragraphen eins und 26 DSG 2000 ausdrücklich um die Beauskunftung sämtlicher Vorratsdaten die aufgrund des Paragraph 102 a, TKG 2003 zu meiner Person gespeichert sind.
Unter Hinweis auf §§ 1, 26 Datenschutzgesetz 2000 (DSG 2000) sowie alle weiteren anwendbaren datenschutzrechtlichen Bestimmungen ersuche ich Sie um Beantwortung der folgenden Fragen:Unter Hinweis auf Paragraphen eins,, 26 Datenschutzgesetz 2000 (DSG 2000) sowie alle weiteren anwendbaren datenschutzrechtlichen Bestimmungen ersuche ich Sie um Beantwortung der folgenden Fragen:
Welcher Art sind die Daten, die Sie über mich speichern?
Welchen Inhalt haben diese Daten, woher stammen sie, wozu werden sie verwendet, an wen wurden sie übermittelt?
Zu welchem Zweck werden die Datenanwendungen betrieben?
Aufgrund welcher Vertrags- bzw. Rechtsgrundlage werden die Daten verwendet?
Sie werden ersucht, auch alle anfallenden Daten zu beauskunften, die sich in anderen Dateien befinden, jedoch über Schlüssel-, Such- und Referenzbegriffe mit meinen personenbezogenen Daten direkt oder indirekt verknüpft werden können (§ 4 DSG 2000).Sie werden ersucht, auch alle anfallenden Daten zu beauskunften, die sich in anderen Dateien befinden, jedoch über Schlüssel-, Such- und Referenzbegriffe mit meinen personenbezogenen Daten direkt oder indirekt verknüpft werden können (Paragraph 4, DSG 2000).
Werden die Daten nach § 10 DSG 2000 verarbeitet, ersuche ich um die zusätzliche Angabe von Name und Anschrift Ihres Dienstleisters.Werden die Daten nach Paragraph 10, DSG 2000 verarbeitet, ersuche ich um die zusätzliche Angabe von Name und Anschrift Ihres Dienstleisters.
Sollte keine Auskunft über Vorratsdaten erteilt werden können, so ersuche ich Sie mir iSd § 26 Abs 1 DSG 2000 bekannt zu geben aus welchem der nachfolgenden Gründe keine Vorratsdaten zu meiner Person verarbeitet werden:Sollte keine Auskunft über Vorratsdaten erteilt werden können, so ersuche ich Sie mir iSd Paragraph 26, Absatz eins, DSG 2000 bekannt zu geben aus welchem der nachfolgenden Gründe keine Vorratsdaten zu meiner Person verarbeitet werden:
o Sie betreiben keinen öffentlichen Kommunikationsdienst iSd § 3 Z 9 iVm § 102a TKG 2003,Sie betreiben keinen öffentlichen Kommunikationsdienst iSd Paragraph 3, Ziffer 9, in Verbindung mit Paragraph 102 a, TKG 2003,
o Sie sind gemäß § 102a Abs 6 TKG 2003 nicht verpflichtet Vorratsdaten zu speichern,Sie sind gemäß Paragraph 102 a, Absatz 6, TKG 2003 nicht verpflichtet Vorratsdaten zu speichern,
o Sie vertreiben lediglich Dienstleistung eines Dritten (sog. Reseller) – in diesem Fall werden Sie ersucht bekannt zu geben wessen Kommunikationsdienstleistungen Sie vertreiben: __________________________,
o Sie speichern aus einem sonstigen Grund keine Vorratsdaten – Angabe des Grundes: ___________________________.
Im Sinne einer weitestgehenden Mitarbeit nach § 26 Abs 3 DSG 2000 gebe ich Ihnen folgende zusätzliche Identifikationsdaten bekannt:Im Sinne einer weitestgehenden Mitarbeit nach Paragraph 26, Absatz 3, DSG 2000 gebe ich Ihnen folgende zusätzliche Identifikationsdaten bekannt:
Geburtsdatum: **.**.1990
Rufnummer: 06**-3*6*12**
Gemäß § 26 DSG 2000 hat die Auskunft binnen acht Wochen schriftlich, kostenlos und in allgemein verständlicher Form zu erfolgen.“Gemäß Paragraph 26, DSG 2000 hat die Auskunft binnen acht Wochen schriftlich, kostenlos und in allgemein verständlicher Form zu erfolgen.“
Als Antwort erhielt der Beschwerdeführer am 4. Juni 2012 (Zustellung als eigenhändig zuzustellender Rückscheinbrief) ein Schreiben mit folgendem Inhalt (Hervorhebungen im Original):
„Speicherung von Vorratsdaten
Sehr geehrter Herr E***!
Wir kommen zurück auf Ihr Schreiben vom 05.05.2012, in welchem Sie uns um Beauskunftung zu Vorratsdaten ersucht haben und dürfen wie folgt antworten:
Vorweg möchten wir festhalten, dass bei J*** grundsätzlich alle Kundendaten dem Kommunikationsgeheimnis unterliegen und somit besonders streng zu schützen sind. Um einen Zugriff unberechtigter Dritter auf Kundendaten zu verhindern setzt J*** Sicherheitsmaßnahmen ein, die dem heutigen Stand der Technik entsprechen (Netzwerkplanung, Firewalls, etc.)
Unabhängig davon hat J*** natürlich auch die gesetzlichen Verpflichtungen zu erfüllen. Alle Datenverwendungen erfolgen bei J*** gemäß den relevanten anwendbaren Gesetzesbestimmungen, insbesondere dem Telekommunikationsgesetz 2003 (TKG 2003), dem Datenschutzgesetz 2000 (DSG 2000). Unsere DVR Nummer lautet: **4*2*2
Eine dieser gesetzlichen Verpflichtungen ist seit 1.4.2012 die Vorratsdatenspeicherung.
Im Rahmen der Vorratsdatenspeicherung müssen von J*** aufgrund § 102a TKG folgende von J*** aufgrund Paragraph 102 a, TKG folgende Telefonie Daten von Kunden für einen Zeitraum von 6 Monaten ab deren Erzeugung oder Verarbeitung gespeichert werden:
1. Name, Anschrift und Telefonnummer des anrufenden und des angerufenen Teilnehmers,
2. Die Standortkennung (Cell-ID) bei Beginn einer Verbindung
3. Die internationale Mobilteilnehmerkennung (IMSI) und die Mobilfunkgerätekennung (IMEI) des anrufenden und des angerufenen Anschlusses,
4. bei Zusatzdiensten wie Rufweiterleitung oder Rufumleitung die Teilnehmernummer, an die der Anruf geleitet wird,
5. Datum, Uhrzeit des Beginns und Dauer eines Kommunikationsvorganges,
6. die Art des in Anspruch genommenen Dienstes (Anrufe, Zusatzdienste und Mitteilungs- und Multimediadienste, z.B. SMS oder MMS),
7. Datum und Uhrzeit der ersten Aktivierung des Dienstes und die Standortkennung (Cell-ID), an dem der Dienst aktiviert wurde, wenn es sich um anonyme Wertkarten handelt.
Im Rahmen der Internetdienste werden folgende Daten erzeugt und gespeichert:
1. Name, Anschrift und Teilnehmerkennung des Teilnehmers, dem eine öffentliche IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war,
2. Datum und Uhrzeit der Zuteilung und des Entzugs einer öffentlichen IP-Adresse bei einem Internet-Zugangsdienst,
3. die eindeutige Kennung des Anschlusses, über den der Internet-Zugang erfolgt ist.
Wir möchten jedoch betonen, dass auch bei der Vorratsdatenspeicherung keine Inhaltsdaten gespeichert werden und eine Auskunft über die Vorratsdaten ausschließlich an solche Behörden zulässig ist, die aufgrund einer gesetzlichen Ermächtigung (StPO, SPG) dazu befugt sind. Wir stellen durch geeignete technische und organisatorische Maßnahmen sicher, dass der Zugang zu den Vorratsdaten ausschließlich ermächtigten Personen unter Einhaltung des Vier-Augen-Prinzips sowie der revisionssicheren Protokollierung vorbehalten ist. Die aufgrund der gesetzlichen Vorgaben zu übermittelnden Daten werden gesichert und verschlüsselt an die Behörden übertragen.
Die Herausgabe von Vorratsdaten an Privatpersonen ist - auch im Rahmen Ihrer Anfrage nach § 26 DSG - rechtlich wie faktisch nicht möglich. Aufgrund der besonderen Verschlüsselung und der bereits angesprochenen besonderen Aufbewahrung mit erhöhten Sicherheitsvorkehrungen ist ein Zugriff auf diese Daten nur in jenen Fällen möglich, die das TKG und die Datensicherheitsverordnung vorsehen. Eine Beauskunftung von Vorratsdaten an Privatpersonen im Rahmen des Auskunftsbegehrens nach § 26 DSG ist in den besagten Bestimmungen nicht vorgesehen und muss daher aufgrund dieser Die Herausgabe von Vorratsdaten an Privatpersonen ist - auch im Rahmen Ihrer Anfrage nach Paragraph 26, DSG - rechtlich wie faktisch nicht möglich. Aufgrund der besonderen Verschlüsselung und der bereits angesprochenen besonderen Aufbewahrung mit erhöhten Sicherheitsvorkehrungen ist ein Zugriff auf diese Daten nur in jenen Fällen möglich, die das TKG und die Datensicherheitsverordnung vorsehen. Eine Beauskunftung von Vorratsdaten an Privatpersonen im Rahmen des Auskunftsbegehrens nach Paragraph 26, DSG ist in den besagten Bestimmungen nicht vorgesehen und muss daher aufgrund dieser „besonderen lnteressenslage" im Sinne des § 26 Abs 2 DSG unterbleiben.“ im Sinne des Paragraph 26, Absatz 2, DSG unterbleiben.“
Beweiswürdigung: Diese Feststellungen beruhen hinsichtlich Auskunftsbegehren und Antwortschreiben der Beschwerdegegnerin auf den vom Beschwerdeführer als Beilage zur Beschwerde vom 26. Juni 2012 vorgelegten Urkundenkopien. Echtheit und Richtigkeit sind unbestritten. Hinsichtlich der Tatsache, dass bis 1. Juli 2014 den Beschwerdeführer betreffende Vorratsdaten gespeichert worden sind, beruht die Sachverhaltsfeststellung auf dem Vorbringen beider Parteien in Übereinstimmung mit der damals geltenden Rechtslage. Hinsichtlich der Löschung der den Beschwerdeführer betreffenden Vorratsdaten folgt die Datenschutzbehörde dem glaubwürdigen Vorbringen der Beschwerdegegnerin (Stellungnahme vom 23. Juli 2014). Der Beschwerdeführer hat dem einerseits nichts entgegengehalten, andererseits ist kein Grund ersichtlich, warum die Beschwerdegegnerin ohne gesetzliche Grundlage, das heißt gegen die ab 1. Juli 2014 geltende allgemeine Rechtslage, weiterhin den Beschwerdeführer betreffende Vorratsdaten speichern sollte.
D. In rechtlicher Hinsicht folgt daraus:
1. zur Zuständigkeit der Datenschutzbehörde
Dieses Beschwerdeverfahren, das noch bei der früheren Datenschutzkommission eingeleitet worden ist, wird gemäß § 61 Abs. 9 DSG 2000 idF BGBl. I Nr.83/2013 von der an die Stelle der Datenschutzkommission getretenen und damit nunmehr für diese Sache zuständigen Datenschutzbehörde entschieden.Dieses Beschwerdeverfahren, das noch bei der früheren Datenschutzkommission eingeleitet worden ist, wird gemäß Paragraph 61, Absatz 9, DSG 2000 in der Fassung Bundesgesetzblatt Teil eins, Nr.83 aus 2013, von der an die Stelle der Datenschutzkommission getretenen und damit nunmehr für diese Sache zuständigen Datenschutzbehörde entschieden.
Die Datenschutzbehörde erachtet sich gemäß § 31 Abs. 1 DSG 2000 auch als zur Entscheidung über die vorliegende Beschwerde zuständig.Die Datenschutzbehörde erachtet sich gemäß Paragraph 31, Absatz eins, DSG 2000 auch als zur Entscheidung über die vorliegende Beschwerde zuständig.
2. in der Sache selbst
2.1. Das Beschwerdebegehren, das ist der an die Datenschutzbehörde gerichtete Antrag, lautete darauf, der Beschwerdegegnerin durch Bescheid aufzutragen, die datenschutzrechtliche Auskunft entsprechend seinem Vorbringen zu erteilen bzw. zu ergänzen.
Die Beschwerde richtet sich gegen eine Auftraggeberin aus dem privaten Bereich (§ 5 Abs. 3 DSG 2000)Die Beschwerde richtet sich gegen eine Auftraggeberin aus dem privaten Bereich (Paragraph 5, Absatz 3, DSG 2000)
2.2. Aus einer Wortinterpretation und einer logisch-systematischen Auslegung von § 31 Abs. 7 und 8 DSG 2000 ergibt sich nun Folgendes: 2.2. Aus einer Wortinterpretation und einer logisch-systematischen Auslegung von Paragraph 31, Absatz 7 und 8 DSG 2000 ergibt sich nun Folgendes:
Gemäß dem zweiten Satz dieser Gesetzesbestimmung ist einem Beschwerdegegner aus dem privaten Bereich „auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren [....] aufzutragen“ (Unterstreichung nicht im Original). Daraus folgt, dass die bescheidmäßige Feststellung einer Rechtsverletzung gemäß § 31 Abs. 7 erster Satz DSG 2000 hier der einer Rechtsverletzung gemäß Paragraph 31, Absatz 7, erster Satz DSG 2000 hier der Mindestinhalt eines Bescheidspruchs ist, mit dem die Datenschutzbehörde einer Beschwerde Folge gibt, und ein Leistungsauftrag nur auf ausdrücklichen Antrag und getrennt davon (arg „zusätzlich“) zu ergehen hat.
Aus dem Zusammenhang mit § 31 Abs. 8 DSG 2000 ergibt sich jedoch auch, dass jeder Bescheid der Datenschutzbehörde im Beschwerdeverfahren wegen Verletzung der Rechte auf Auskunft, Richtigstellung und Löschung der Aus dem Zusammenhang mit Paragraph 31, Absatz 8, DSG 2000 ergibt sich jedoch auch, dass jeder Bescheid der Datenschutzbehörde im Beschwerdeverfahren wegen Verletzung der Rechte auf Auskunft, Richtigstellung und Löschung der Durchsetzung dieser Rechte dient und daher eine im Zeitpunkt der Bescheiderlassung andauernde Rechtsverletzung betreffen muss. Denn gemäß der zuletzt zitierten Gesetzesbestimmung hat ein als Beschwerdegegner belangter datenschutzrechtlicher Auftraggeber die Option, die Beschwerde durch Leistungserbringung (z.B. Erteilung oder Ergänzung der verlangten Auskunft, Richtigstellung der strittigen Daten, Löschung der strittigen Daten) und damit Erfüllung des jeweils geltend gemachten Anspruchs eine Beschwerde ganz oder teilweise „gegenstandslos“ zu machen (Beseitigung der Beschwer). Als Rechtsfolge ist vorgesehen, dass die Datenschutzbehörde das Verfahren in einem solchen Fall durch formlose Einstellung beenden kann, so der Beschwerdeführer nicht fristgerecht Gründe für das Fortbestehen der ursprünglich behaupteten Rechtsverletzung geltend macht. Eine solche formlose Einstellung hätte der Gesetzgeber nicht vorgesehen, wenn er dem Beschwerdeführer ein Recht einräumen wollte, auch eine in der Vergangenheit liegende und bereits beseitigte Rechtsverletzung durch Bescheid festgestellt zu erhalten.
2.3. Für den Beschwerdefall ergibt dies nun folgendes:
Durch die erfolgte Löschung der Vorratsdaten ist eine Auskunftserteilung über den Inhalt der gespeicherten Vorratsdaten unmöglich geworden. Auch der begehrte Leistungsauftrag ist damit in weitem Umfang nicht mehr möglich, da die Erbringung einer objektiv unmöglichen Leistung nicht durch eine Behörde angeordnet werden kann. Das subjektive Recht des Beschwerdeführers auf Durchsetzung seines verfassungsmäßigen Rechts auf inhaltliche Auskunft über eigene Daten ist damit erloschen.
Auch eine zumindest denkmögliche bescheidmäßige Feststellung etwa dahingehend, dass die Beschwerdegegnerin vor Löschung der Vorratsdaten über deren Inhalt Auskunft erteilen hätte müssen, ist aus den oben dargelegten Gründen nicht geboten. Ein durch eingetretene faktische Unmöglichkeit nicht mehr durchsetzbares Recht kann gemäß § 31 Abs. 7 und 8 DSG 2000 auch nicht zum Gegenstand der Feststellung gemacht werden, in diesem Recht in der Vergangenheit verletzt gewesen zu sein. Auch eine zumindest denkmögliche bescheidmäßige Feststellung etwa dahingehend, dass die Beschwerdegegnerin vor Löschung der Vorratsdaten über deren Inhalt Auskunft erteilen hätte müssen, ist aus den oben dargelegten Gründen nicht geboten. Ein durch eingetretene faktische Unmöglichkeit nicht mehr durchsetzbares Recht kann gemäß Paragraph 31, Absatz 7 und 8 DSG 2000 auch nicht zum Gegenstand der Feststellung gemacht werden, in diesem Recht in der Vergangenheit verletzt gewesen zu sein.
Insoweit ist die Beschwerde jedenfalls in Folge der Änderung der Sachlage nunmehr unbegründet.
2.4. Allerdings hat die frühere Datenschutzkommission in ständiger Rechtsprechung die Auffassung vertreten, dass das Recht auf Auskunft auch den Anspruch umfasst, eine begründete Ablehnung gemäß § 26 Abs. 4 DSG 2000 zu erhalten. Dies betrifft sowohl Fälle der rechtlichen Unmöglichkeit der Auskunft (vgl. den Bescheid der Datenschutzkommission vom 3.12.2002, K120.804/016-DSK/2002, RIS, RS2) wie auch solche der faktischen Unmöglichkeit der Auskunftserteilung mangels verarbeiteter Daten (vgl. dazu den Bescheid der Datenschutzkommission vom 10.7.2009, K121.497/0007-DSK/2009, RIS). 2.4. Allerdings hat die frühere Datenschutzkommission in ständiger Rechtsprechung die Auffassung vertreten, dass das Recht auf Auskunft auch den Anspruch umfasst, eine begründete Ablehnung gemäß Paragraph 26, Absatz 4, DSG 2000 zu erhalten. Dies betrifft sowohl Fälle der rechtlichen Unmöglichkeit der Auskunft vergleiche den Bescheid der Datenschutzkommission vom 3.12.2002, K120.804/016-DSK/2002, RIS, RS2) wie auch solche der faktischen Unmöglichkeit der Auskunftserteilung mangels verarbeiteter Daten vergleiche dazu den Bescheid der Datenschutzkommission vom 10.7.2009, K121.497/0007-DSK/2009, RIS).
Die Datenschutzbehörde sieht keinen Grund, von dieser Spruchpraxis abzugehen.
Daraus folgt, dass die Beschwerdegegnerin es hier unterlassen hat, nach Änderung der Rechtslage mit 1. Juli 2014 und der Sachlage ab dem 1. Juli 2014 (Löschung der Vorratsdaten) dem Beschwerdeführer gegenüber im Sinne des § 31 Abs. 8 DSG 2000 zu begründen, warum trotz des Wegfalls der Rechtsgrundlagen der Vorratsdatenspeicherung, Daraus folgt, dass die Beschwerdegegnerin es hier unterlassen hat, nach Änderung der Rechtslage mit 1. Juli 2014 und der Sachlage ab dem 1. Juli 2014 (Löschung der Vorratsdaten) dem Beschwerdeführer gegenüber im Sinne des Paragraph 31, Absatz 8, DSG 2000 zu begründen, warum trotz des Wegfalls der Rechtsgrundlagen der Vorratsdatenspeicherung, auf die sich die Beschwerdegegnerin zuvor berufen hatte, eine Auskunftserteilung unterblieben ist. Dadurch hat sie den Beschwerdegegner in seinem Recht auf Erhalt einer Auskunft (begründeten Ablehnung der Auskunftserteilung) verletzt.
2.5. Der Beschwerde war daher teilweise Folge zu geben, es waren 1. die spruchgemäßen Feststellungen zu treffen und 2. ein entsprechender Leistungsauftrag zu erlassen. Im Übrigen war die Beschwerde 3. summarisch abzuweisen.