Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I DB E S C H E römisch eins D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. ZIMMER, Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ und Dr. STAUDIGL sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 08. Mai 2009 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Mag. Josef B*** (Beschwerdeführer) aus K*** vom 6. November 2008 gegen die Wiener Gebietskrankenkasse (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten in Folge Verarbeitung (Speicherung) der Bankverbindung (Kontonummer und Bankleitzahl) des Beschwerdeführers wird entschieden:
- Die Beschwerde wird abgewiesen.
Rechtsgrundlagen: §§ 1 Abs. 1 und 2, und 31 Abs. 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.Rechtsgrundlagen: Paragraphen eins, Absatz eins und 2, und 31 Absatz 2, des Datenschutzgesetzes 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF.
B e g r ü n d u n g:
A. Vorbringen der Parteien
Der Beschwerdeführer behauptet in seiner vom 6. November 2008 datierenden, am 12. November bei der Datenschutzkommission eingegangenen und entsprechend einem Mangelbehebungsauftrag der Datenschutzkommission am 21. November (Posteingang per E-Mail am selben Tag) verbesserten Beschwerde eine Verletzung im Recht auf Geheimhaltung dadurch, dass die Beschwerdegegnerin seine Bankverbindung (Kontonummer und Bankleitzahl) in einer Datenanwendung beim Hauptverband der österreichischen Sozialversicherungsträger (im Folgenden kurz: Hauptverband) als gesetzlichem Dienstleister mit der Bezeichnung „Zentrale Partnerverwaltung“ speichere. Aus dem Vorbringen des Beschwerdeführers im Auskunftsverfahren (vorgelegte Kopie des Schreibens an die Beschwerdegegnerin vom 24. Oktober 2008) geht weiters hervor, dass der Beschwerdegegner die Speicherung dieses Datums als Ballast- bzw. Überschusswissen gerügt und die Löschung verlangt hat, da dieses Datum seit 26 Jahren gespeichert werde, ohne dass die Notwendigkeit der weiteren Verarbeitung iSv § 5 Abs. 2 SV-DSV 2001 geprüft und gegebenenfalls die Löschung veranlasst worden sei.Der Beschwerdeführer behauptet in seiner vom 6. November 2008 datierenden, am 12. November bei der Datenschutzkommission eingegangenen und entsprechend einem Mangelbehebungsauftrag der Datenschutzkommission am 21. November (Posteingang per E-Mail am selben Tag) verbesserten Beschwerde eine Verletzung im Recht auf Geheimhaltung dadurch, dass die Beschwerdegegnerin seine Bankverbindung (Kontonummer und Bankleitzahl) in einer Datenanwendung beim Hauptverband der österreichischen Sozialversicherungsträger (im Folgenden kurz: Hauptverband) als gesetzlichem Dienstleister mit der Bezeichnung „Zentrale Partnerverwaltung“ speichere. Aus dem Vorbringen des Beschwerdeführers im Auskunftsverfahren (vorgelegte Kopie des Schreibens an die Beschwerdegegnerin vom 24. Oktober 2008) geht weiters hervor, dass der Beschwerdegegner die Speicherung dieses Datums als Ballast- bzw. Überschusswissen gerügt und die Löschung verlangt hat, da dieses Datum seit 26 Jahren gespeichert werde, ohne dass die Notwendigkeit der weiteren Verarbeitung iSv Paragraph 5, Absatz 2, SV-DSV 2001 geprüft und gegebenenfalls die Löschung veranlasst worden sei.
Die Beschwerdegegnerin brachte zunächst mit Stellungnahme vom 9. Dezember 2008 vor, sie verweise auf ihr der Stellungnahme angeschlossenes Auskunftsschreiben an den Beschwerdeführer vom 12. November 2008, im Übrigen sei der Beschwerdegrund auch schon deshalb weggefallen, als das strittige Datum inzwischen auf Verlangen des Beschwerdeführers gelöscht worden sei. Mit Stellungnahme vom 22. Dezember 2008 brachte die Beschwerdegegnerin ergänzend vor, bei der „Zentralen Partnerverwaltung“ handle es sich um einen Teil des gesetzlich vorgesehenen Informationsverbundsystems „SV-DB österreichische Sozialversicherungs-Datenbank“, die der Hauptverband als Dienstleister aller gesetzlichen Sozialversicherungsträger betreibe. Es handle sich, entgegen einer Behauptung bzw. Andeutung des Beschwerdeführers während des Auskunftsverfahrens, bei der Bankverbindung um kein sensibles Datum, das Geheimhaltungsinteresse daran sei daher an Hand des § 8 DSG 2000 zu prüfen. Dieses Datum sei (dies geht aus dem ersten Auskunftsschreiben an den Beschwerdeführer vom 12. September 2008 hervor) aufgrund eines Leistungsantrags des Beschwerdeführers vom 15.10.1982 verarbeitet worden.Die Beschwerdegegnerin brachte zunächst mit Stellungnahme vom 9. Dezember 2008 vor, sie verweise auf ihr der Stellungnahme angeschlossenes Auskunftsschreiben an den Beschwerdeführer vom 12. November 2008, im Übrigen sei der Beschwerdegrund auch schon deshalb weggefallen, als das strittige Datum inzwischen auf Verlangen des Beschwerdeführers gelöscht worden sei. Mit Stellungnahme vom 22. Dezember 2008 brachte die Beschwerdegegnerin ergänzend vor, bei der „Zentralen Partnerverwaltung“ handle es sich um einen Teil des gesetzlich vorgesehenen Informationsverbundsystems „SV-DB österreichische Sozialversicherungs-Datenbank“, die der Hauptverband als Dienstleister aller gesetzlichen Sozialversicherungsträger betreibe. Es handle sich, entgegen einer Behauptung bzw. Andeutung des Beschwerdeführers während des Auskunftsverfahrens, bei der Bankverbindung um kein sensibles Datum, das Geheimhaltungsinteresse daran sei daher an Hand des Paragraph 8, DSG 2000 zu prüfen. Dieses Datum sei (dies geht aus dem ersten Auskunftsschreiben an den Beschwerdeführer vom 12. September 2008 hervor) aufgrund eines Leistungsantrags des Beschwerdeführers vom 15.10.1982 verarbeitet worden.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin berechtigt war, das Datum „Bankverbindung“ in Form einer Kontonummer des Beschwerdeführers und der dazu gehörigen Bankleitzahl vom 15. Oktober 1982 bis Anfang Dezember 2008 zu verarbeiten.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Die Beschwerdegegnerin ermittelte (durch Mitteilung des Beschwerdeführers als des Betroffenen anlässlich eines Leistungsantrags) am 15. Oktober 1982 die Kontonummer 000***47832 und die Bankleitzahl **342 und speicherte diese Daten bis Anfang Dezember 2008 fortgesetzt im vom Hauptverband betriebenen Informationsverbundsystem „SV-DB österreichische Sozialversicherungs-Datenbank“, Abteilung „Zentrale Partnerverwaltung“. Anfang Dezember 2008 wurden diese Daten auf Verlangen des Beschwerdeführers gelöscht.
Beweiswürdigung: Diese Feststellungen beruhen auf dem übereinstimmenden Vorbringen beider Parteien sowie auf dem als Beilage zur Beschwerde vorgelegten Ausdruck aus der „Zentralen Partnerverwaltung“ mit Daten des Beschwerdeführers, datierend vom 24. Juli 2008.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung § 1 Abs. 1 und 2 DSG 2000 lautet unter der Überschrift „Grundrecht auf Datenschutz“:Die Verfassungsbestimmung Paragraph eins, Absatz eins und 2 DSG 2000 lautet unter der Überschrift „Grundrecht auf Datenschutz“:
„§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2)Absatz 2Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“
§ 6 Abs. 1 und 2 DSG 2000 lautet unter der Überschrift „Grundsätze“:Paragraph 6, Absatz eins und 2 DSG 2000 lautet unter der Überschrift „Grundsätze“:
„§ 6. (1) Daten dürfen nur
nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;
für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der §§ 46 und 47 zulässig;für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der Paragraphen 46 und 47 zulässig;
soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen;
so verwendet werden, daß sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind;
solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist;
eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben.
(2)Absatz 2Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.“Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Absatz eins, genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.“
§ 7 Abs. 1 DSG 2000 lautet unter der Überschrift „Zulässigkeit der Verwendung von Daten“:Paragraph 7, Absatz eins, DSG 2000 lautet unter der Überschrift „Zulässigkeit der Verwendung von Daten“:
„§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.“
§ 8 Abs. 1 und 3 Z 1 DSG 2000 lautet unter der Überschrift „Schutzwürdige Geheimhaltungsinteressen bei Verwendung nichtsensibler Daten“:Paragraph 8, Absatz eins und 3 Ziffer eins, DSG 2000 lautet unter der Überschrift „Schutzwürdige Geheimhaltungsinteressen bei Verwendung nichtsensibler Daten“:
„§ 8. (1) Gemäß § 1 Abs. 1 bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn „§ 8. (1) Gemäß Paragraph eins, Absatz eins, bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder
der Betroffene der Verwendung seiner Daten Zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder
lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder
überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.
(3)Absatz 3Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der DatenSchutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Absatz eins, Ziffer 4, insbesondere dann nicht verletzt, wenn die Verwendung der Daten
1. für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist oder“
§ 31 Abs. 12 ASVG lautet unter der Überschrift „Hauptverband der österreichischen Sozialversicherungsträger“:Paragraph 31, Absatz 12, ASVG lautet unter der Überschrift „Hauptverband der österreichischen Sozialversicherungsträger“:
„§ 31. (1) [...]
(12)Absatz 12Der Hauptverband ist verpflichtet, eine Datenschutzverordnung für alle Sozialversicherungsträger zu erlassen und im Internet zu veröffentlichen.“
§ 5 Abs. 1 und Abs. 2 Z 1 und 4 der SV-DSV 2001 lautet unter der Überschrift „Grundsätze für die Verwendung von Daten“:Paragraph 5, Absatz eins und Absatz 2, Ziffer eins und 4 der SV-DSV 2001 lautet unter der Überschrift „Grundsätze für die Verwendung von Daten“:
„§ 5. (1) Daten dürfen vom Auftraggeber nur im Rahmen des § 6 DSG 2000 verwendet werden. „§ 5. (1) Daten dürfen vom Auftraggeber nur im Rahmen des Paragraph 6, DSG 2000 verwendet werden.
(2)Absatz 2Grundsätze für die Verwendung von Daten in der Sozialversicherung sind:
Daten dürfen nur in der Art und dem Umfang verwendet werden, als dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die Verwendung nicht notwendiger Daten (Ballastwissen, Überschusswissen) ist unzulässig.
Daten, die mit an Sicherheit grenzender Wahrscheinlichkeit nicht mehr benötigt werden, sind möglichst rasch zu löschen. Zu diesem Zweck sind Datenbestände regelmäßig auf die Notwendigkeit der darin enthaltenen Daten durchzusehen. Die bloße theoretische Möglichkeit, Datenbestände zur Vollziehung einer noch nicht absehbaren zukünftigen Regelung verwenden zu können, ist für sich allein kein ausreichender Grund, entsprechende Daten aufzubewahren.“
2. rechtliche Schlussfolgerungen
Die Beschwerde ist aus folgenden Erwägungen unbegründet:
Beantragt wurde die Feststellung, dass der Beschwerdeführer durch die Speicherdauer der beschwerdegegenständlichen Daten im Recht auf Geheimhaltung verletzt worden sei und weiters die Löschung dieser Daten.
Dabei behauptet der Beschwerdeführer nicht die ursprüngliche Unzulässigkeit der Verarbeitung von Daten betreffend seine Kontoverbindung sondern eine durch Zeitablauf eingetretene spätere Unzulässigkeit der Datenspeicherung, da es die Beschwerdegegnerin unterlassen habe, einer sich aus § 5 Abs. 1 und Abs. 2 Z 1 und 4 der SV-DSV 2001 ergebenden Pflicht nachzukommen, diese Daten auf die weitere Notwendigkeit der Verarbeitung zu überprüfen.Dabei behauptet der Beschwerdeführer nicht die ursprüngliche Unzulässigkeit der Verarbeitung von Daten betreffend seine Kontoverbindung sondern eine durch Zeitablauf eingetretene spätere Unzulässigkeit der Datenspeicherung, da es die Beschwerdegegnerin unterlassen habe, einer sich aus Paragraph 5, Absatz eins und Absatz 2, Ziffer eins und 4 der SV-DSV 2001 ergebenden Pflicht nachzukommen, diese Daten auf die weitere Notwendigkeit der Verarbeitung zu überprüfen.
Dass eine weitere Verarbeitung dieser Daten nicht notwendig war, kann insoweit als außer Streit stehend angesehen werden, als die Beschwerdegegnerin einem entsprechenden Löschungsbegehren zwischenzeitig nachgekommen ist.
Im Zuge der Überprüfung des vom Beschwerdeführer gestellten Löschungsbegehrens ist die Beschwerdegegnerin, wenn auch überaus spät, ihrer Prüfpflicht nachgekommen und hat die Daten gelöscht. Ein rechtskonformer Zustand wurde damit hergestellt.
Die Datenschutzkommission hält in ständiger Spruchpraxis fest, dass ein Beschwerdeführer durch die Nachholung einer Löschung auch während des laufenden datenschutzrechtlichen Beschwerdeverfahrens klaglos gestellt werden kann. Diese Gesetzesauslegung wurde auch vom Verwaltungsgerichtshof bestätigt: „Wenn der Gesetzgeber in § 31 Abs. 2 DSG von behaupteten Verletzungen u.a. des Rechtes auf Löschung von Daten spricht, weist diese Formulierung daraufhin, dass der Gesetzgeber damit aktuelle Verletzungen meint und nicht Verletzungen, die sich in der Vergangenheit abgespielt haben und der begehrte Zustand, u.a die Löschung der in Frage stehenden Daten mittlerweile eingetreten ist.“(Erkenntnis des VwGH vom 28.März 2006, Zl. 2004/06/0125).Die Datenschutzkommission hält in ständiger Spruchpraxis fest, dass ein Beschwerdeführer durch die Nachholung einer Löschung auch während des laufenden datenschutzrechtlichen Beschwerdeverfahrens klaglos gestellt werden kann. Diese Gesetzesauslegung wurde auch vom Verwaltungsgerichtshof bestätigt: „Wenn der Gesetzgeber in Paragraph 31, Absatz 2, DSG von behaupteten Verletzungen u.a. des Rechtes auf Löschung von Daten spricht, weist diese Formulierung daraufhin, dass der Gesetzgeber damit aktuelle Verletzungen meint und nicht Verletzungen, die sich in der Vergangenheit abgespielt haben und der begehrte Zustand, u.a die Löschung der in Frage stehenden Daten mittlerweile eingetreten ist.“(Erkenntnis des VwGH vom 28.März 2006, Zl. 2004/06/0125).
Ein über das rein formale Interesse an der Feststellung einer verspäteten Löschung hinausgehendes Rechtsschutzinteresse des Beschwerdeführers ist im vorliegenden Fall nicht erkennbar. Eine meritorische Entscheidung der Datenschutzkommission über eine Beschwerde gemäß § 31 Abs. 2 DSG 2000 wegen Verletzung im Recht auf Löschung kommt daher nur dann und solange in Betracht, als die vom Beschwerdeführer angestrebte Löschung noch nicht durchgeführt bzw. veranlasst wurde (vgl. zuletzt Erkenntnis des VwGH vom 25.11.2008, 2005/06/0302). Diese Spruchpraxis kann jedenfalls ohne Hinweis auf ein konkretes Rechtsschutzinteresse nicht dadurch umgangen werden, dass die Feststellung der Unzulässigkeit der Datenverarbeitung ab Entstehung des Löschungsanspruchs unter dem Gesichtspunkt eines Eingriffs in das Recht auf Geheimhaltung beantragt wird.Ein über das rein formale Interesse an der Feststellung einer verspäteten Löschung hinausgehendes Rechtsschutzinteresse des Beschwerdeführers ist im vorliegenden Fall nicht erkennbar. Eine meritorische Entscheidung der Datenschutzkommission über eine Beschwerde gemäß Paragraph 31, Absatz 2, DSG 2000 wegen Verletzung im Recht auf Löschung kommt daher nur dann und solange in Betracht, als die vom Beschwerdeführer angestrebte Löschung noch nicht durchgeführt bzw. veranlasst wurde vergleiche zuletzt Erkenntnis des VwGH vom 25.11.2008, 2005/06/0302). Diese Spruchpraxis kann jedenfalls ohne Hinweis auf ein konkretes Rechtsschutzinteresse nicht dadurch umgangen werden, dass die Feststellung der Unzulässigkeit der Datenverarbeitung ab Entstehung des Löschungsanspruchs unter dem Gesichtspunkt eines Eingriffs in das Recht auf Geheimhaltung beantragt wird.
Es war daher spruchgemäß zu entscheiden.