Datenschutzbehörde
22.01.2018
DSB-D122.767/0001-DSB/2018
Dieser Bescheid ist rechtskräftig.
GZ: DSB-D122.767/0001-DSB/2018 vom 22. 1.2018
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Herrn Anton A*** (Beschwerdeführer) vom 16. August 2017 gegen die N*** Wirtschaftsprüfung und Steuerberatung GmbH & Co KG (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wie folgt:
1. Der Beschwerde wird stattgegeben und festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie auf das Auskunftsbegehren nicht reagiert hat.
2. Der Beschwerdegegnerin wird aufgetragen, dem Beschwerdeführer innerhalb einer Frist von zwei Wochen ab Zustellung dieses Bescheides – bei sonstiger Exekution – Auskunft über die zu seiner Person verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger (oder Empfängerkreise) von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form zu erteilen oder ihm mitzuteilen, warum diese Auskunft nicht oder nicht vollständig erteilt wird.
Rechtsgrundlagen: Paragraphen eins, Absatz 3,, 4 Ziffer 4, und 5, 26 und 31 des Datenschutzgesetzes 2000 – DSG 2000, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF, und Paragraph 71, des Wirtschaftstreuhandberufsgesetz 2017 (WTBG), Bundesgesetzblatt Teil eins, Nr. 137 aus 2017, idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Der Beschwerdeführer behauptete in seiner Beschwerde vom 16. August 2017 von der Beschwerdegegnerin in seinem Recht auf Auskunft dadurch verletzt worden zu sein, indem diese auf dessen Auskunftsbegehren vom 18. Juni 2017 nicht reagiert hätte und ersuchte die Datenschutzbehörde um Herstellung des rechtskonformen Zustandes. Der Beschwerde war das Auskunftsbegehren des Beschwerdeführers an die Beschwerdegegnerin vom 18. Juni 2017 beigefügt. Dem Auskunftsbegehren war kein Identitätsnachweis beigelegt.
2. Die Beschwerdegegnerin brachte in ihrer Stellungnahme vom 7. September 2017 im Wesentlichen vor, dass ihr das Auskunftsbegehren des Beschwerdeführers erst mit dem Aufforderungsschreiben der Datenschutzbehörde vom 28. August 2017, do. eingelangt am 30. August 2017, zur Kenntnis gelangt sei, da die E-Mail des Beschwerdeführers vom Filter der B*** GmbH wohl ausgefiltert worden wäre. Weiters teilte die Beschwerdegegnerin mit, dass sie im Auftrag der österreichischen Parlamentsdirektion die Lohnabrechnung für die parlamentarischen Mitarbeiter durchführe und es sich beim Beschwerdeführer offenbar um einen ehemaligen parlamentarischen Mitarbeiter handeln würde. In dieser Funktion sei die Beschwerdegegnerin allerdings lediglich als datenschutzrechtlicher Dienstleister anzusehen und wäre das Auskunftsbegehren daher noch am selben Tag an die österreichische Parlamentsdirektion weitergeleitet worden.
3. Die Datenschutzbehörde ersucht die Beschwerdegegnerin mit Schreiben vom 8. September 2017 um Mitteilung, ob dem Beschwerdeführer Auskunft im Sinne des Paragraph 26, Absatz 10, DSG 2000 erteilt worden sei und ersuchte zum Beweis, das gegenständliche Schreiben an den Auskunftswerber vorzulegen. Die Beschwerdegegnerin kam dem Ersuchen der Datenschutzbehörde mit Schreiben vom 12. September 2017, ho. eingelangt am 13. September 2017, nach.
4. Mit Schreiben vom 24. November 2017 ersuchte der Beschwerdeführer im Rahmen des erteilten Parteiengehörs, die Beschwerdegegnerin möge zum Beweis ihrer Dienstleistereigenschaft den konkreten Dienstleistungsauftrag mit der österreichischen Parlamentsdirektion vorlegen.
5. Mit Schreiben vom 6. Dezember 2017 übermittelte die Datenschutzbehörde das Schreiben des Beschwerdeführers vom 24. November 2017 an die Beschwerdegegnerin. Zur geäußerten Rechtsansicht der Beschwerdegegnerin, wonach sie im konkreten Verfahren lediglich Dienstleister wäre, verwies die Datenschutzbehörde auf ihre diesbezügliche Spruchpraxis zu Rechtsanwälten und dass analog davon auszugehen wäre, dass die Beschwerdegegnerin im gegenständlichen Verfahren ebenfalls datenschutzrechtlicher Auftraggeber im Sinne des Paragraph 4, Ziffer 4, DSG 2000 sei. Die Datenschutzbehörde teilte weiters mit, dass dem Beschwerdeführer daher – soweit dieser seine Identität in geeigneter Weise nachweist – Auskunft gemäß Paragraph 26, DSG 2000 zu erteilen wäre und verwies abschließend auf die Bestimmung des Paragraph 31, Absatz 8, DSG 2000, wonach für einen Auftraggeber die Möglichkeit besteht, bis zum Abschluss des Verfahrens vor der Datenschutzbehörde, durch Reaktion gegenüber dem Beschwerdeführer gemäß Paragraph 26, Absatz 4, DSG 2000 die behauptete Rechtsverletzung nachträglich zu beseitigen.
6. Die Beschwerdegegnerin führte in ihrer Stellungnahme vom 4. Jänner 2018 zunächst aus, dass der Beschwerdeführer bis dato keinen geeigneten Identifikationsnachweis übermittelt hätte und – unter Verweis auf das Erkenntnis des VwGH 2016/04/0014 – bereits aus diesem Grund keine Daten an den Auskunftswerber übermittelt werden dürften. Weiters brachte die Beschwerdegegnerin vor, dass der Rechtsansicht der Datenschutzbehörde, wonach die Beschwerdegegnerin im konkreten Verfahren als datenschutzrechtlicher Auftraggeber anzusehen sei, nicht gefolgt werden könne. Insbesondere knüpfe das DSG 2000 in Paragraph 4, Ziffer 4, auf die eigenverantwortliche Entscheidungsbefugnis des Auftraggebers über die Verwendung der Daten an. Gemäß Paragraph 71, WTBG sei der Berufsberechtigte zwar verpflichtet seinen Beruf gewissenhaft, sorgfältig, eigenverantwortlich und unabhängig auszuüben, allerdings wäre das Erfordernis der „Eigenverantwortlichkeit“ dahingehend zu interpretieren, dass ein Klient einem Berufsberechtigten keine Weisungen fachlicher Natur geben dürfe (VwGH 88/08/180). Eine Befugnis eigenverantwortlich über die Verwendung der vom Klienten übermittelten Daten bestimmen zu können, wäre jedoch aus dieser Bestimmung nicht ableitbar. Vielmehr würde eine vom Klienten nicht autorisierte Datenverwendung einen Vertragsbruch darstellen. Die Beschwerdegegnerin wäre im Übrigen seit Juni 1992 von der Parlamentsdirektion mit der Durchführung klar umrissener Aufgaben betraut und bestehe für die Beschwerdegegnerin kein Spielraum über die Daten frei zu verfügen. Die in Paragraph 71, WTBG festgelegte Eigenverantwortlichkeit beziehe sich daher lediglich auf die fachliche Durchführung (Gutachtenerstellung, Berechnung der Lohnabgaben und Sozialversicherungsbeiträge), nicht jedoch auf etwaige, darüberhinausgehende Datenanwendungen. Darüber hinaus wäre die Tätigkeit eines Rechtsanwaltes nicht mit der Tätigkeit eines Steuerberaters zu vergleichen, welcher mit der Durchführung der laufenden Personalverrechnung beauftragt wurde. Die Tätigkeit eines Steuerberaters bestehe hierbei lediglich darin, bestimmte standardisierte, vorab vereinbarte Leistungen zu erbringen und wäre eine über den konkreten Auftrag hinausgehende, eigenständige Entscheidung zur Datenverwendung rechts- bzw. vertragswidrig, sofern nicht vorab die Zustimmung des Klienten eingeholt werden würde. Zusammenfassend wäre die Beschwerdegegnerin daher mangels Entscheidungskompetenz über die Verwendung der Daten nicht als datenschutzrechtlicher Auftraggeber anzusehen.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie dem Beschwerdeführer keine inhaltliche Auskunft erteilt hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer hat sich am 18. Juni 2017 mit einem Auskunftsersuchen gemäß Paragraph 26, DSG 2000 an die Beschwerdegegnerin gewandt. Dem Auskunftsersuchen war kein Identitätsnachweis beigelegt.
Die Beschwerdegegnerin ist als Wirtschaftsprüfer und Steuerberater tätig und nimmt für die Parlamentsdirektion die Lohnabrechnung der parlamentarischen Mitarbeiter vor.
Das Auskunftsersuchen des Beschwerdeführers, welches er mit E-Mail an die Beschwerdegegnerin schickte, wurde dort von einem Spam-Filter blockiert.
Da das Auskunftsersuchen seitens der Beschwerdegegnerin unbeantwortet blieb, erhob der Beschwerdeführer am 16. August 2017 Beschwerde bei der Datenschutzbehörde.
Die Datenschutzbehörde übermittelte am 28. August 2017 das Auskunftsersuchen des Beschwerdeführers an die Beschwerdegegnerin, welches dort am 30. August 2017 einlangte.
Die Beschwerdegegnerin teilte dem Beschwerdeführer mit Schreiben vom 12. September 2017 folgendes mit:
„Sehr geehrter Herr A***,
bezugnehmend auf obige Rechtsangelegenheit teilen wir mit, dass unser Unternehmen als Dienstleister der Parlamentsdirektion auftritt. Für Ihr Auskunftsbegehren ist folglich die Parlamentsdirektion zuständig. Wir haben Ihr Begehren mit Schreiben vom 28. August 2017 an die Parlamentsdirektion weitergeleitet. In unserem Auftrag werden keine Daten verarbeitet.
Mit der Bitte um Kenntnisnahme verbleiben wir
mit freundlichen Grüßen
[…] “
Beweiswürdigung: Die Feststellungen beruhen auf den übermittelten Unterlagen sowie dem glaubwürdigen Vorbringen der Parteien
D. In rechtlicher Hinsicht folgt daraus:
1. Zur Auftraggebereigenschaft der Beschwerdegegnerin
Gemäß Paragraph 4, Ziffer 4, DSG 2000 gilt als Auftraggeber jede natürliche oder juristische Person, Personengemeinschaft oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Ziffer 8,), unabhängig davon, ob sie die Daten selbst verwenden (Ziffer 8,) oder damit einen Dienstleister (Ziffer 5,) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Ziffer 5,) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Ziffer 8,), es sei denn, dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden.
Das bedeutet, dass die Übernahme eines Auftrages – der auch die Verarbeitung personenbezogener Daten miteinschließt – einen Beauftragten bzw. Auftragnehmer dann nicht zum Dienstleister im Sinne des Paragraph 4, Ziffer 5, DSG 2000 macht, wenn dieser eine berufliche Rechtsstellung hat, die die eigenverantwortliche Auftragserfüllung vorsieht vergleiche Kotschy in Jahrbuch Öffentliches Recht 2011, NWV, Seite 136 f). Im Zusammenhang mit der Neufassung des Paragraph 4, Ziffer 4, DSG 2000 durch die DSG-Novelle 2010 wird in den Erläuterungen zur Regierungsvorlage, 472 der Beilagen römisch 24 . GP, hierzu festgehalten:
Unverändert bleibt auch die Auftraggebereigenschaft jener beauftragten Berufsgruppen, die aufgrund von Rechtsvorschriften eigenverantwortlich über die Verwendung von Daten entscheiden vergleiche die beispielhafte Aufzählung der Rechtsanwälte, Wirtschaftstreuhänder und Ziviltechniker in den Erläuterungen zur Regierungsvorlage 1613 der Beilagen römisch XX. GP, 37, zur Stammfassung).
Wirtschaftstreuhänder sind gemäß Paragraph 71, WTBG verpflichtet, ihren Beruf gewissenhaft, sorgfältig, eigenverantwortlich und unabhängig sowie unter Beachtung der im vierten Hauptstück des WTBG und der in den Richtlinien gemäß Paragraph 72, WTBG enthaltenen Bestimmungen auszuüben. Soweit die Beschwerdegegnerin in ihrer Stellungnahme darauf verweist, dass der Begriff der „Erforderlichkeit“ gemäß Paragraph 71, WTBG dahingehend zu interpretieren sei, dass ein Klient einem Berufsberechtigten keine Weisung fachlicher Natur geben dürfe, übersieht die Beschwerdegegnerin, dass gerade darin die eigenverantwortliche Auftragserfüllung der Beschwerdegegnerin im Sinne des Paragraph 4, Ziffer 4, letzter Halbsatz DSG 2000 liegt.
Analog hat die Datenschutzbehörde – wie auch die ehemalige Datenschutzkommission – bezüglich der Auftraggebereigenschaft von Rechtsanwälten bereits mehrfach ausgesprochen, dass bei Rechtsanwälten auf Grund ihrer beruflichen Selbständigkeit im Regelfall davon auszugehen ist, dass diese bei der Besorgung von Geschäften für ihre Mandanten gemäß Paragraph 4, Ziffer 4, letzter Halbsatz DSG 2000 „eigenverantwortlich“ vorgehen dürfen und damit hinsichtlich der zwecks Bearbeitung einer Causa verarbeiteten personenbezogenen Daten Auftraggeber sind vergleiche Bescheide der ehemaligen Datenschutzkommission vom 13.07.2012, GZ: K121.810/0013-DSK/2012, bzw. der Datenschutzbehörde vom 27.10.2014, GZ: DSB-D122.215/0004-DSB/2014, oder vom 09.03.2015, GZ: DSB-D122.299/0003-DSB/2015).
Aus den genannten Gründen ist die Beschwerdegegnerin daher als datenschutzrechtlicher Auftraggeber im Sinne des Paragraph 4, Ziffer 4, letzter Halbsatz DSG 2000 zu qualifizieren.
2. Zum Spruchpunkt 1 und 2
Der Beschwerdeführer wandte sich am 18. Juni 2017 mit einem Auskunftsersuchen an die Beschwerdegegnerin, wobei dem Auskunftsersuchen kein Identitätsnachweis beigelegt war. Die Beschwerdegegnerin erlangte spätestens mit dem Aufforderungsschreiben der Datenschutzbehörde vom 28. August 2017, do. eingelangt am 30. August 2017, Kenntnis vom Auskunftsersuchen des Beschwerdeführers und erteilte mit Schreiben vom 12. September 2017 Auskunft gemäß Paragraph 26, Absatz 10, DSG 2000.
Die Datenschutzbehörde teilte der Beschwerdegegnerin mit Schreiben vom 6. Dezember 2017 mit, dass im gegenständlichen Verfahren davon auszugehen sei, dass die Beschwerdegegnerin – analog zur ständigen Spruchpraxis der Datenschutzbehörde betreffend Rechtsanwälte – als datenschutzrechtlicher Auftraggeber im Sinne des Paragraph 4, Ziffer 4, DSG 2000 anzusehen sei, weshalb dem Beschwerdeführer, soweit dieser seine Identität in geeigneter Weise nachweist, Auskunft gemäß Paragraph 26, DSG 2000 zu erteilen wäre.
Die Beschwerdegegnerin brachte in Ihrer Stellungnahme vom 4. Jänner 2018 dazu abermals vor, dass der Beschwerdeführer bis dato keinen geeigneten Identifikationsnachweis übermittelt hätte, weshalb ihm auch keine Auskunft im Sinne des Paragraph 26, DSG 2000 zu erteilen wäre.
Der Beschwerdegegnerin ist zwar dahingehend zuzustimmen, dass gemäß Paragraph 26, Absatz eins, DSG 2000 die Auskunftserteilung an die Bedingung knüpft, dass der Betroffene gegenüber dem Auftraggeber seine Identität nachweist, allerdings berechtigt die Nichterbringung des Identitätsnachweises einen Auftraggeber grundsätzlich nicht dazu, das Auskunftsverlangen zur Gänze ohne schriftliche Antwort zu lassen. Gemäß dem klaren Wortlaut des Paragraph 26, Absatz 4, erster Satz DSG 2000 ist in diesem Fall schriftlich zu begründen, warum die Auskunft nicht oder nicht vollständig erteilt werden kann vergleiche hierzu etwa die Entscheidung der Datenschutzkommission 10.04.2013, GZ: K121.924/0006-DSK/2013). Unbeschadet dessen ist nach der Rechtsprechung des Verwaltungsgerichtshofes ein Identitätsnachweis dann nicht zwingend erforderlich, wenn dem Auftraggeber die Identität des Auskunftswerbers ohne Zweifel bekannt ist vergleiche dazu das Erkenntnis vom 04.07.2016, Zl. Ra 2016/04/0014).
Da es sich bei der Beschwerdegegnerin um eine Auftraggeberin des privaten Bereiches im Sinne des Paragraph 5, Absatz 3, DSG 2000 handelt, war gemäß Paragraph 31, Absatz 7, zweiter Satz DSG 2000 ein vollstreckbarer Leistungsauftrag zu erlassen.
ECLI:AT:DSB:2018:DSB.D122.767.0001.DSB.2018