VfGH vom 10.12.2014, B1187/2013
Leitsatz
Keine Verletzung verfassungsgesetzlich gewährleisteter Rechte durch Versagung eines Löschungsbegehrens hinsichtlich der bei einem Finanzamt aufbewahrten Daten der Beschwerdeführerin, insbesondere zu ihrem Sexualleben; Recht auf Löschung eingeschränkt auf automationsunterstützt verarbeitete Daten; subjektives Recht auf Beendigung einer unverhältnismäßigen, das Recht auf Privatleben verletzenden, weiteren Verwendung der in Papierakten enthaltenen Daten auf Grund des Rechts auf Geheimhaltung
Spruch
Die Beschwerdeführerin ist durch den angefochtenen Bescheid weder in einem verfassungsgesetzlich gewährleisteten Recht noch wegen Anwendung einer rechtswidrigen generellen Norm in ihren Rechten verletzt worden.
Die Beschwerde wird abgewiesen.
Begründung
Entscheidungsgründe
I. Sachverhalt, Beschwerdevorbringen und Vorverfahren
1. Im Februar 2007 führte das Landeskriminalamt Niederösterreich gegen die Beschwerdeführerin verdeckte polizeiliche Ermittlungen wegen des Verdachts der illegalen Prostitution durch und erstattete Anzeige an die Bezirkshauptmannschaft Tulln sowie an das Finanzamt Hollabrunn Korneuburg Tulln. Gegen die von den Organen des Landespolizeikommandos Niederösterreich durchgeführten Amtshandlungen und Erhebungen ergriff die Beschwerdeführerin mit Schriftsatz vom Beschwerde an den Unabhängigen Verwaltungssenat des Landes Niederösterreich, der diese mit Bescheid vom gemäß § 67c Abs 3 AVG als verspätet zurückwies und den Antrag der Beschwerdeführerin auf Wiedereinsetzung in den vorigen Stand abwies. Der Verfassungsgerichtshof lehnte mit Beschluss vom die Behandlung der dagegen gemäß Art 144 B VG erhobenen Beschwerde ab und trat die Beschwerde dem Verwaltungsgerichtshof zur Entscheidung ab, der die Behandlung der Beschwerde mit Beschluss vom , 2012/01/0024-12, ebenfalls ablehnte.
2. Auf Grund der an das Finanzamt Hollabrunn Korneuburg Tulln erstatteten Anzeige ging dieses von "Einkünften aus Gewerbebetrieb" aus und erließ Einkommensteuerbescheide für die Jahre 2004 bis 2006, die von der Beschwerdeführerin im Rechtsweg bekämpft wurden und die der Unabhängige Finanzsenat in der Folge behob. Die dagegen erhobene Amtsbeschwerde des Finanzamts Hollabrunn Korneuburg Tulln wies der Verwaltungsgerichtshof mit Erkenntnis vom , 2009/13/0011, ab.
3. Mit Schriftsatz vom beantragte die Beschwerdeführerin gemäß § 27 Abs 1 Z 2 Datenschutzgesetz 2000 (DSG 2000) beim Finanzamt Hollabrunn Korneuburg Tulln die Löschung der Daten insbesondere zu ihrem Sexualleben. Diesem Antrag kam das Finanzamt Hollabrunn Korneuburg Tulln nicht nach. Dagegen erhob die Beschwerdeführerin Beschwerde an die Datenschutzkommission, weil sie sich in ihrem Recht auf Löschung der Daten verletzt erachtete.
Mit dem nunmehr angefochtenen Bescheid vom wies die Datenschutzkommission die Beschwerde mit folgender Begründung ab:
3.1. Das Vorbringen der Beschwerdeführerin, dass ihr ein auf Art 8 EMRK gestütztes Recht auf Löschung zukomme, sei von der Prüfkompetenz der Datenschutzkommission nur insoweit erfasst, als es auch in § 1 Abs 3 Z 2 DSG 2000 Deckung finde.
3.2. Es würden keine das Sexualleben der Beschwerdeführerin betreffenden Daten automationsunterstützt gespeichert. Hinsichtlich der sonstigen Daten, welche elektronisch gespeichert würden, könne der Argumentation des Finanzamts Hollabrunn Korneuburg Tulln nicht entgegengetreten werden, die weitere Aufbewahrung der Daten sei aus Gründen der Dokumentation des behördlichen Handelns erforderlich, zumal innerhalb der dreijährigen Frist des § 45 Abs 2 VwGG die Wiederaufnahme des Verfahrens vor dem Verwaltungsgerichtshof nicht auszuschließen sei.
3.3. "Herkömmliche Papierakten" würden nach der ständigen Rechtsprechung der Gerichtshöfe des öffentlichen Rechts nicht dem "datenschutzrechtlichen subjektiven Recht auf Löschung" unterliegen, weil sie keine "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind", und damit gemäß § 4 Z 6 DSG 2000 keine "Datei" seien. Der die Beschwerdeführerin betreffende Betriebsprüfungs-Arbeitsbogen des Finanzamts Hollabrunn Korneuburg Tulln weise keine vorgegebene inhaltliche Struktur auf, die es ermögliche, Daten nach zumindest einem Suchkriterium zu finden; auch durch Verweise in elektronisch gespeicherten Dokumenten auf den Papierakt werde dieser nicht zur "Datei".
3.4. Das Finanzamt Hollabrunn Korneuburg Tulln habe die vom Landeskriminalamt übermittelten Daten dem abgabenrechtlichen Verfahren zugrunde legen dürfen: Nach § 166 Bundesabgabenordnung (BAO) komme als Beweismittel alles in Betracht, was zur Feststellung des maßgeblichen Sachverhalts geeignet und nach Lage des einzelnen Falles zweckdienlich sei. Nach ständiger Rechtsprechung des Verwaltungsgerichtshofes sei im Abgabenverfahren die Verwertung von rechtswidrig erlangten Beweismitteln nicht ausgeschlossen.
4. In der dagegen gemäß Art 144 B VG erhobenen Beschwerde behauptet die Beschwerdeführerin die Verletzung in den verfassungsgesetzlich gewährleisteten Rechten auf Achtung des Privatlebens gemäß Art 8 EMRK, auf Unterbleiben einer erniedrigenden Behandlung gemäß Art 3 EMRK, auf diskriminierungsfreie Anwendung dieser Bestimmungen gemäß Art 14 EMRK sowie auf eine wirksame Beschwerde gemäß Art 13 iVm Art 3 bzw. Art 8 EMRK.
4.1. Die Informationen über die Beschwerdeführerin seien in mehrfach (verfassungs-)gesetzwidriger Weise gewonnen worden. Unter anderem sei die Beschwerdeführerin einer erniedrigenden Behandlung iSd Art 3 EMRK ausgesetzt worden, indem der verdeckte Ermittler auf Grund einer Täuschung die Wohnung der Beschwerdeführerin betreten habe, wo ihn die Beschwerdeführerin in zuvor von ihm ausgesuchten Dessous empfangen habe; in der Folge sei die Beschwerdeführerin so den Blicken der hinzugekommenen Beamten und einem demütigendem Verhör über ihr Sexualleben ausgesetzt gewesen.
4.2. Durch die gegen Art 8 und Art 3 EMRK verstoßende Art der Informationsgewinnung unterscheide sich die vorliegende Konstellation von jenen, die der bisherigen Judikatur des Verfassungsgerichtshofes, wonach aus Art 8 EMRK grundsätzlich kein Recht auf Löschung von Informationen bzw. Daten aus Papierakten abgeleitet werden könne, zugrunde gelegen seien. Angesichts der rechtswidrigen Informationsgewinnung erübrige sich – anders als in Fällen der im Dienste der Strafrechtspflege ursprünglich rechtmäßig erlangten, in Papierakten aufbewahrten Informationen – eine Verhältnismäßigkeitsprüfung, und die Beschwerdeführerin habe Anspruch auf Wiederherstellung des Zustands vor den "Polizeiübergriffen", also einen Anspruch auf physische Vernichtung der Akten und Löschung der Daten.
4.3. Es sei keine Strukturierung der Datensammlung nötig, um im Papierakt auf die – unrichtige und beleidigende – Aussage zu stoßen, die Beschwerdeführerin sei eine Prostituierte; vielmehr finde sich diese Aussage auf fast jeder Seite.
4.4. Nach der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte liege ein Eingriff in den Schutzbereich des Art 8 EMRK vor; es sei unerheblich, ob die Informationen nur manuell in einem Papierakt oder in einem Computersystem gespeichert würden.
4.5. Es sei mit Art 8 EMRK weiters unvereinbar, wenn der Staat zwar Informationen sammle und verarbeite, es aber keine klaren und mit dem Datenschutz vereinbaren Regeln gebe, die eine Löschung vorsähen; dies folge auch aus dem rechtsstaatlichen Prinzip des Art 18 B VG. Eine Verwendung von sensiblen persönlichen Daten als Beweismittel könne Art 8 EMRK verletzen, wenn das Gesetz ohne ausdrückliche Garantien gegen Missbrauch die Unbeschränktheit der Beweismittel postuliere. § 166 BAO sei daher grundrechtskonform so auszulegen, dass die strittigen Informationen zu keinem Zeitpunkt für ein Abgabenverfahren verwertbar gewesen seien, weil die Verwertung Art 8 EMRK verletze.
4.6. Die Aufbewahrung der Information sowohl in elektronischer als auch in Papierform sei auch unverhältnismäßig: Jedenfalls zum Zeitpunkt der Entscheidung der belangten Behörde habe der Zweck der Datenerhebung die weitere Aufbewahrung nicht länger rechtfertigen können. Die steuerliche Verwertbarkeit sei durch das Erkenntnis des Verwaltungsgerichtshofes vom , 2009/13/0011, verneint worden. Durch den Entfall des Anfangszwecks werde eine weitere Datenverwendung unverhältnismäßig. Die beabsichtigte Verwertung grundrechtswidrig erhobener Informationen perpetuiere außerdem die Grundrechtsverletzung.
4.7. Die diffamierenden Bezeichnungen ("Prostitution" bzw. "Prostituierte") könnten in Papierakten leicht geschwärzt werden.
4.8. Art 8 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutz-RL), ABl. 1995 L 281, 31, verbiete es ausdrücklich, Informationen über das Sexualleben zu verarbeiten; es liege keine der (engen) Ausnahmen vor.
5. Die Datenschutzkommission erstattete eine Gegenschrift, in der sie die Ablehnung der Beschwerdebehandlung, in eventu die Abweisung der Beschwerde beantragt.
5.1. Verfahrensgegenstand sei nur die Frage gewesen, ob dem Löschungsbegehren der Beschwerdeführerin Berechtigung zugekommen sei; die Unzulässigkeit der Verwertung von Beweismitteln hätte die Beschwerdeführerin im Abgabenverfahren geltend machen müssen.
5.2. Die Beschwerdeführerin hätte ein Löschungsbegehren primär an die ermittelnden Sicherheitsbehörden richten müssen; im Falle der Löschung dieser Daten hätte der Auftraggeber auch allfällige Übermittlungsempfänger von der Löschung verständigen müssen. Insofern wäre der Beschwerdeführerin ein taugliches Verfahren zur Löschung der sie betreffenden Daten zur Verfügung gestanden.
5.3. Auch aus Art 8 GRC ergebe sich nach Ansicht der Datenschutzkommission kein Recht auf Löschung von in Papierakten aufbewahrten Daten, die keine Dateiqualität aufweisen. Darüber hinaus verwies die Datenschutzkommission auf Erwägungsgrund 27 Datenschutz-RL.
6. Die Beschwerdeführerin erstattete in der Folge weitere Äußerungen, in welchen sie im Wesentlichen ausführte:
6.1. Die Datenschutzkommission sei bei verfassungskonformer Auslegung der Zuständigkeitsbestimmungen zur umfassenden Prüfung des auf Art 8 EMRK gestützten Löschungsbegehrens der Beschwerdeführerin verpflichtet gewesen. Wenn das in § 31 DSG 2000 grundgelegte Beschwerdeverfahren nicht anwendbar sei, entstehe eine Rechtsschutzlücke und damit eine Verletzung des Art 13 iVm Art 8 EMRK. Es könne nicht darauf ankommen, ob einem Papierkonvolut eine Datei-Eigenschaft zukomme. Papierakten könnten zudem jederzeit digitalisiert und grenzenlos verbreitet werden.
6.2. Ein neuer, in der bisherigen Judikatur des Verfassungsgerichtshofes nicht behandelter Aspekt sei auch die "(verfassungs-)gesetzwidrige", nämlich die unter Verletzung von Art 3 EMRK erfolgte Informationsgewinnung; nach der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte komme Opfern solcher Verletzungen ein Anspruch auf Wiederherstellung zu.
6.3. In den elektronisch über die Beschwerdeführerin gespeicherten Daten würden Querverweise zu den Papierakten hergestellt. Diese Querverweise seien zu löschen.
6.4. Die Sicherheitsbehörden seien dem Löschungsersuchen der Beschwerdeführerin betreffend die aus der verdeckten Ermittlung gewonnenen Daten nachgekommen, nicht aber das Finanzamt.
II. Rechtslage
1. Die maßgeblichen Bestimmungen des Datenschutzgesetzes 2000 (DSG 2000), BGBl I 165/1999, idF BGBl I 133/2009, lauteten:
"Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art 8 Abs 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs 3 sind nur unter den in Abs 2 genannten Voraussetzungen zulässig.
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, daß Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.
Zuständigkeit
§2. (1) Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr.
(2) Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit solche Daten von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen Personen, die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, verwendet werden, sind diese Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzkommission, der Datenschutzrat oder Gerichte mit der Vollziehung betraut werden.
[...]
Artikel 2
1. Abschnitt
Allgemeines
Definitionen
§4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. 'Daten' ('personenbezogene Daten'): Angaben über Betroffene (Z3), deren Identität bestimmt oder bestimmbar ist; 'nur indirekt personenbezogen' sind Daten für einen Auftraggeber (Z4), Dienstleister (Z5) oder Empfänger einer Übermittlung (Z12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
2. 'sensible Daten' ('besonders schutzwürdige Daten'): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
3. 'Betroffener': jede vom Auftraggeber (Z4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z8) werden;
4. Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z8), unabhängig davon, ob sie die Daten selbst verwenden (Z8) oder damit einen Dienstleister (Z5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;
5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z8);
6. 'Datei': strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;
7. 'Datenanwendung': die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z9) als auch das Übermitteln (Z12) von Daten;
9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z12) von Daten;
10. – 15. [...]
[...]
Recht auf Richtigstellung oder Löschung
§27. (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
2. auf begründeten Antrag des Betroffenen.
Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§46 und 47.
(2) Der Beweis der Richtigkeit der Daten obliegt - sofern gesetzlich nicht ausdrücklich anderes angeordnet ist - dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.
(3) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.
(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.
(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in § 26 Abs 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen nach Auffassung des Auftraggebers berechtigt ist. Die gemäß Abs 4 erforderliche Mitteilung an den Betroffenen hat in allen Fällen dahingehend zu lauten, daß die Überprüfung der Datenbestände des Auftraggebers im Hinblick auf das Richtigstellungs- oder Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs 4.
(6) Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern aus Gründen der Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind bis dahin die zu löschenden Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer berichtigenden Anmerkung zu versehen.
(7) Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet, und läßt sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit Zustimmung des Betroffenen oder auf Grund einer Entscheidung des zuständigen Gerichtes oder der Datenschutzkommission gelöscht werden.
(8) Wurden im Sinne des Abs 1 richtiggestellte oder gelöschte Daten vor der Richtigstellung oder Löschung übermittelt, so hat der Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung, bedeutet und die Empfänger noch feststellbar sind.
(9) Die Regelungen der Abs 1 bis 8 gelten für das gemäß Strafregistergesetz 1968 geführte Strafregister sowie für öffentliche Bücher und Register, die von Auftraggebern des öffentlichen Bereichs geführt werden, nur insoweit als für
1. die Verpflichtung zur Richtigstellung und Löschung von Amts wegen oder
2. das Verfahren der Durchsetzung und die Zuständigkeit zur Entscheidung über Berichtigungs- und Löschungsanträge von Betroffenen
durch Bundesgesetz nicht anderes bestimmt ist.
[...]
Beschwerde an die Datenschutzkommission
§31. (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§1 Abs 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.
(3) Die Beschwerde hat zu enthalten:
1. die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
(4) Einer Beschwerde nach Abs 1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs 2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen.
(5) Die der Datenschutzkommission durch § 30 Abs 2 bis 4 eingeräumten Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs 1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach § 30 Abs 5.
(6) Im Fall der Einbringung einer zulässigen Beschwerde nach Abs 1 oder 2 ist ein auf Grund einer Eingabe nach § 30 Abs 1 über denselben Gegenstand eingeleitetes Kontrollverfahren durch eine entsprechende Information (§30 Abs 7) zu beenden. Die Datenschutzkommission kann aber dennoch auch während der Anhängigkeit des Beschwerdeverfahrens von Amts wegen nach § 30 Abs 2 vorgehen, wenn ein begründeter Verdacht einer über den Beschwerdefall hinausgehenden Verletzung datenschutzrechtlicher Verpflichtungen besteht. § 30 Abs 3 bleibt unberührt.
(7) Soweit sich eine Beschwerde nach Abs 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
(8) Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den §§26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des Verfahrens vor der Datenschutzkommission durch Reaktionen gegenüber dem Beschwerdeführer gemäß § 26 Abs 4 oder § 27 Abs 4 die behauptete Rechtsverletzung nachträglich beseitigen. Erscheint der Datenschutzkommission durch derartige Reaktionen des Beschwerdegegners die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzkommission das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§13 Abs 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.
[...]
Manuelle Dateien
§58. Soweit manuell, dh. ohne Automationsunterstützung geführte Dateien für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gelten sie als Datenanwendungen im Sinne des § 4 Z 7. § 17 gilt mit der Maßgabe, daß die Meldepflicht nur für solche Dateien besteht, deren Inhalt gemäß § 18 Abs 2 der Vorabkontrolle unterliegt."
2. § 4 DSG 2000, BGBl I 165/1999, lautete vor seiner Änderung durch die DSG-Novelle 2010, BGBl I 133/2009:
"Allgemeines
Definitionen
§4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. 'Daten' ('personenbezogene Daten'): Angaben über Betroffene (Z3), deren Identität bestimmt oder bestimmbar ist; 'nur indirekt personenbezogen' sind Daten für einen Auftraggeber (Z4), Dienstleister (Z5) oder Empfänger einer Übermittlung (Z12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
2. 'sensible Daten' ('besonders schutzwürdige Daten'): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
3. 'Betroffener': jede vom Auftraggeber (Z4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z8) werden;
4. 'Auftraggeber': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;
5. 'Dienstleister': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Z8);
6. 'Datei': strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;
7. 'Datenanwendung' (früher: 'Datenverarbeitung'): die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
8. 'Verwenden von Daten': jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten (Z9) als auch das Übermitteln (Z12) von Daten;
9. 'Verarbeiten von Daten': das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (Z12) von Daten;
10. – 15. [...]"
3. § 1 und § 5 DSG 2000 lauten seit ihrer Änderung durch die Verwaltungsgerichtsbarkeits-Novelle 2012, BGBl I 51/2012, und durch die DSG-Novelle 2014, BGBl I 83/2013:
"Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art 8 Abs 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs 3 sind nur unter den in Abs 2 genannten Voraussetzungen zulässig.
(5) [aufgehoben durch BGBl I 51/2012]
[...]
Artikel 2
[...]
Öffentlicher und privater Bereich
§5. (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Abs2) durchgeführt werden.
(2) Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,
1. die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere auch als Organ einer Gebietskörperschaft, oder
2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig sind.
(3) Die dem Abs 2 nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.
(4) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzbehörde zur Entscheidung zuständig, es sei denn, dass Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit betroffen sind."
III. Erwägungen
Der Verfassungsgerichtshof hat über die – zulässige – Beschwerde erwogen:
1. Bedenken gegen die dem angefochtenen Bescheid zugrunde liegenden Rechtsvorschriften werden in der Beschwerde nicht substantiiert vorgebracht und sind beim Verfassungsgerichtshof aus Anlass der Beschwerde in Ansehung der von ihm anzuwendenden Bestimmungen nach dem DSG 2000 auch nicht entstanden (vgl. zB VfSlg 16.150/2001, 17.745/2005, 18.091/2007, 18.324/2007). Es ist daher ausgeschlossen, dass die Beschwerdeführerin in ihren Rechten wegen Anwendung einer rechtswidrigen generellen Norm verletzt wurde.
2. Gemäß der mit Ablauf des mit der Verwaltungsgerichtsbarkeits-Novelle 2012, BGBl I 51/2012, aufgehobenen, im vorliegenden Fall aber noch anwendbaren Verfassungsbestimmung des § 1 Abs 5 DSG 2000, BGBl I 165/1999, war die Datenschutzkommission zur Entscheidung über behauptete Verletzungen des Grundrechts auf Datenschutz zuständig, soweit nicht die ordentlichen Gerichte zuständig oder Akte der Gesetzgebung oder Gerichtsbarkeit betroffen waren. Gemäß § 31 Abs 2 DSG 2000 in der bis zum Ablauf des geltenden Fassung erkannte die Datenschutzkommission unter anderem über Beschwerden von Personen, welche die Verletzung in ihrem Recht auf Löschung gemäß § 27 DSG 2000 behaupteten. Im Folgenden sind Verweise auf Bestimmungen des Datenschutzgesetzes 2000, soweit nicht anders angegeben, Verweise auf die zum Bescheiderlassungszeitpunkt geltende Fassung des DSG 2000 vor seiner Änderung durch die Verwaltungsgerichtsbarkeits-Novelle 2012, BGBl I 51/2012, und durch die DSG-Novelle 2014, BGBl I 83/2013.
3. Bei der Entscheidung der Datenschutzkommission ist danach zu differenzieren, ob es sich um Daten der Beschwerdeführerin handelt, die beim Finanzamt Hollabrunn Korneuburg Tulln automationsunterstützt verarbeitetet worden sind, oder um Daten der Beschwerdeführerin, welche das Finanzamt Hollabrunn Korneuburg Tulln in Papierform aufbewahrt hat. Im Hinblick darauf ist Folgendes vorauszuschicken:
3.1. Die Verfassungsbestimmung des § 1 Abs 3 Z 2 zweiter Fall DSG 2000 gewährleistet jedem, "soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen [...] das Recht auf Löschung unzulässigerweise verarbeiteter Daten".
3.2. Gemäß § 27 DSG 2000 hat "[j]eder Auftraggeber [...] unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar 1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder 2. auf begründeten Antrag des Betroffenen. [...] Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; [...]."
Obwohl § 27 Abs 1 DSG 2000 – im Unterschied zur Verfassungsbestimmung des § 1 Abs 3 Z 2 zweiter Fall DSG 2000 – keine explizite Einschränkung auf "Dateien" iSd § 4 Z 6 DSG 2000 enthält, ist § 27 Abs 1 DSG 2000 dennoch einschränkend zu verstehen: Eine Auslegung des § 27 Abs 1 DSG 2000, derzufolge auch nicht strukturierte bzw. nicht nach einem Suchkriterium zugängliche Daten vom Recht auf Löschung erfasst würden, ginge in einer dem Gesetzgeber nicht zusinnbaren Weise über die Verfassungsbestimmung des Datenschutzgesetzes 2000 und die Datenschutz-RL hinaus (vgl. auch schon VwSlg. 16.477 A/2004).
Zudem ist der Anwendungsbereich des § 27 Abs 1 DSG 2000 in verfassungskonformer Auslegung auf Daten einzuschränken, die für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist; andernfalls wäre § 27 Abs 1 DSG 2000 kompetenzwidrig. Die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr ist gemäß § 2 DSG 2000 Bundessache. Manuelle Dateien gelten als "Datenanwendungen" iSd § 4 Z 7 DSG 2000, soweit sie für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist (§58 DSG 2000); für sonstige manuelle Dateien, dh. für jene, die für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Landessache ist, ist der Landesgesetzgeber zuständig. Eine Bundeskompetenz zur Regelung des Rechts auf Löschung hinsichtlich aller nicht vom Dateibegriff erfasster Daten besteht demnach nicht (so auch Ennöckl , Die DSG-Novelle 2010, ÖJZ 2010, 294).
4. Hinsichtlich jener Daten der Beschwerdeführerin, die beim Finanzamt Hollabrunn Korneuburg Tulln automationsunterstützt verarbeitetet worden sind, führt die Datenschutzkommission im angefochtenen Bescheid aus, dass diese Daten nicht das Sexualleben der Beschwerdeführerin betreffen. Die automationsunterstützt verarbeiteten Daten würden nach den Angaben des Finanzamts Hollabrunn Korneuburg Tulln auf den nur in Papierform existierenden Betriebsprüfungsbericht verweisen. Unter anderem auf Grund einer möglichen Wiederaufnahme des Verfahrens vor dem Verwaltungsgerichtshof könne der Argumentation des Finanzamts Hollabrunn Korneuburg Tulln nicht entgegengetreten werden, wonach die Aufbewahrung dieser Daten weiterhin erforderlich sei.
Der Datenschutzkommission kann im Hinblick auf ihre Entscheidung, dass die automationsunterstützt verarbeiteten Daten der Beschwerdeführerin nicht zu löschen seien, aus verfassungsrechtlicher Sicht nicht entgegengetreten werden:
4.1. Beschränkungen des gemäß § 1 Abs 3 Z 2 DSG 2000 nach Maßgabe gesetzlicher Bestimmungen garantierten Grundrechts auf Löschung unzulässigerweise verarbeiteter Daten sind lediglich unter den in § 1 Abs 2 DSG 2000 genannten Voraussetzungen zulässig. Diese Vorschrift erlaubt (abgesehen von hier nicht in Betracht kommenden Ausnahmefällen) Eingriffe in das in Rede stehende Grundrecht durch staatliche Behörden nur auf Grund von Gesetzen, die aus den in Art 8 Abs 2 EMRK genannten Gründen notwendig sind.
Art8 Abs 2 EMRK gestattet Beschränkungen des in Abs 1 verbürgten Grundrechts nur, wenn diese eine Maßnahme darstellen, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer erforderlich ist.
4.2. Es gibt keinen Anhaltspunkt dafür, dass die Datenschutzkommission den angewendeten Rechtsvorschriften fälschlicherweise einen verfassungswidrigen, insbesondere dem § 1 Abs 3 Z 2 iVm § 1 Abs 2 und Abs 4 DSG 2000 zuwiderlaufenden Inhalt unterstellt hat. Insbesondere ist der belangten Behörde aus verfassungsrechtlicher Sicht nicht entgegenzutreten, wenn sie in ihrer Abwägungsentscheidung davon ausgeht, dass die Aufbewahrung der automationsunterstützt gespeicherten Daten, die keine Daten betreffend das Sexualleben der Beschwerdeführerin enthalten, noch erforderlich ist.
5. Im Hinblick auf in Papierakten aufbewahrte Daten geht der Verfassungsgerichtshof (ebenso wie der Verwaltungsgerichtshof) in seiner Rechtsprechung davon aus, dass Kopienakten (Papierakten) zufolge ihres Aufbaues und ihrer Struktur nicht als Datei iSd § 4 Z 6 DSG 2000 zu qualifizieren sind, weshalb insoweit kein Löschungsanspruch besteht (vgl. zB VfSlg 17.745/2005, 18.092/2007, 18.963/2009; VwSlg. 16.477 A/2004; ).
5.1. In seinem Erkenntnis VfSlg 17.745/2005 vertrat der Verfassungsgerichtshof zur Frage des Rechts auf Löschung von nicht automationsunterstützt verarbeiteten Daten in einem "Kopienakt" bzw. "Papierakt" folgende Auffassung:
"Unter einer Datei ist nach § 4 Z 6 DSG nur eine 'strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind', zu verstehen. Dem genügt ein – vgl. § 4 Z 1 DSG – nicht personenbezogen strukturierter Papierakt nicht. Die Datenschutzkommission weist zutreffend darauf hin, dass dieser Dateibegriff des § 4 Z 6 DSG auch mit dem der RL 95/46/EG übereinstimmt, deren Erwägungsgrund 27 deutlich macht, 'dass Akten, Aktensammlungen sowie deren Deckblätter ... nicht in den Anwendungsbereich der Richtlinie fallen.'"
5.2. Der Verwaltungsgerichtshof führt zu dieser Frage aus (VwSlg. 16.477 A/2004):
"Zu prüfen ist, ob es sich beim 'Papierakt' bzw. 'Kopienakt', um den es hier geht, im Sinne des § 4 Z 6 DSG 2000 um eine 'strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind', handelt. Behördliche oder gerichtliche 'Akten' werden in Österreich typischerweise derart gebildet, dass die verschiedenen Geschäftsstücke, welche die Sache betreffen, entweder in einen Umschlag (Mappe, Ordner oder dergleichen) in der Regel in chronologischer Reihenfolge aufgenommen werden, oder aber auch (so etwa beispielsweise im Bereich der Bundesministerien) Geschäftsstücke nach dem Fortgang des Verfahrens jeweils in eigene Referatsbögen (mit eigenen Zahlen) eingelegt werden und daraus dann die die Sache betreffenden Aktenkonvolute gebildet werden. Zur Bestimmung des Begriffes 'strukturierte Datei' bzw. zur Umschreibung des Begriffes 'Datei' tritt der Verwaltungsgerichtshof den in der zuvor genannten Entscheidung des Obersten Gerichtshofes vom , 6 Ob 148/00h, wiedergegebenen Erwägungen bei. Dieser hat [...] im Kern die Ansicht vertreten, dass die Struktur einer manuellen Datei als einer strukturierten Sammlung personenbezogener Daten im Sinne des § 1 Abs 3 DSG 2000 iVm Art 3 Abs 1 der Richtlinie dann zu bejahen ist, wenn sie - im Gegensatz zu einem Fließtext - eine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem oder den manuellen Datenträgern oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind. Darüber hinaus müssen die Daten nach bestimmten Kriterien zugänglich sein, d.h. es bestehen vereinfachte Möglichkeiten der inhaltlichen Erschließung, beispielsweise durch alphabetische oder chronologische Sortierung oder durch automatisierte Erschließungssysteme. Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen, wie dies auch der Erwägungsgrund 27 der Richtlinie zum Ausdruck bringt. Das Vorliegen einer manuellen Datei im Sinne des § 1 Abs 3 DSG 2000 setzt daher voraus, dass sie sich durch den schon erwähnten bestimmten 'Organisationsgrad' der 'Akten' auszeichnen muss, um von einer Strukturierung im Sinne des DSG 2000 sprechen zu können, der aber beim vorliegenden 'Papierakt' nicht gegeben ist.
Zusammenfassend ergibt sich im Beschwerdefall, dass der fragliche 'Kopienakt' (Zweitschrift der an die Staatsanwaltschaft erstatteten Strafanzeige) betreffend den Beschwerdeführer mangels der erforderlichen Strukturierung nicht als 'manuelle Datei' im Sinne des DSG 2000 anzusehen ist.
[...]
Dieses Ergebnis steht auch nicht im Widerspruch mit dem im Erwägungsgrund 27 der Richtlinie dargelegten Schutzzweck, weil aus technischer Sicht (sieht man von entsprechenden Sicherheitsvorkehrungen ab) ein Zugriff auf personenbezogene Daten, die automationsunterstützt verarbeitet sind, in der Regel leichter erfolgen kann als auf solche, die in einem 'Papierakt' (im Sinne des oben dargelegten Verständnisses) enthalten sind (weil er hiezu nicht elektronisch durchsucht, sondern grundsätzlich Seite für Seite gelesen werden muss). Um Missverständnissen vorzubeugen, ist darauf hinzuweisen, dass es im Beschwerdefall nicht um das Grundrecht auf Geheimhaltung von Daten geht (§1 Abs 1 DSG 2000), sondern (im hier relevanten Zusammenhang) 'nur' um das Recht auf Löschung (siehe § 1 Abs 3 leg. cit.)"
5.3. Eine Auslegung des Begriffs der "Datei" iSd § 4 Z 6 DSG 2000 dahingehend, dass auch Papierakten Teil einer Datei werden, wenn ihr Inhalt etwa durch ein elektronisches Aktenverwaltungssystem strukturiert zugänglich wird, verneint der Verwaltungsgerichtshof (VwSlg. 16.477 A/2004):
"Der Verwaltungsgerichtshof tritt auch nicht der in der Beschwerde (zumindest der Tendenz nach) vertretenen Auffassung bei, der 'Kopienakt' bilde mit den korrespondierenden Geschäftsbehelfen (Protokollbuch, Indexkarte - eine solche betreffend den Beschwerdeführer gibt es im Übrigen, wie die belangte Behörde festgestellt hat, nicht oder nicht mehr) eine Art untrennbare Einheit, womit erkennbar das erforderliche Maß an Strukturierung erreicht werden soll. Abgesehen davon, dass eine solche untrennbare Einheit schon faktisch nicht gegeben ist, dienen die Geschäftsbehelfe der Auffindung des Aktes und nicht seiner inneren Strukturierung."
Dies gilt nach der Rechtsprechung des Verwaltungsgerichtshofes auch für näher genannte Aktendokumentationssysteme ().
5.4. Auch der Verfassungsgerichtshof setzte sich in seiner Rechtsprechung mit dem Verhältnis zwischen Papierakt und Aktenverwaltungssystem auseinander:
5.4.1. In Folge der Aufhebung von § 209 StGB wegen Verstoßes gegen Art 7 B VG (VfSlg 16.565/2002) und in Folge des Urteils des Europäischen Gerichtshofes für Menschenrechte vom , L und V , Appl. 39392/98 ua., newsletter 2003, 16, wonach § 209 StGB im Widerspruch zu Art 8 EMRK stand, hatte der Verfassungsgerichtshof in mehreren Fällen (VfSlg 17.745/2005, 18.091/2007, 18.092/2007, 18.324/2007) über Beschwerden wegen nicht erfolgter Löschung von sensiblen personenbezogenen Daten betreffend Anzeigen gemäß § 209 StGB zu entscheiden. Dabei behandelte der Verfassungsgerichtshof auch die Bedeutung von Verweisen im "Protokollier-, Anzeigen- und Datensystem" ("PAD") auf den Papier- bzw. Kopienakt.
5.4.2. Mit Erkenntnis VfSlg 18.091/2007 hob der Verfassungsgerichtshof einen Bescheid der Datenschutzkommission wegen Verletzung im verfassungsgesetzlich gewährleisteten Recht auf Gleichheit aller Staatsbürger vor dem Gesetz auf, weil die Datenschutzkommission nicht im Rahmen einer Interessenabwägung ausreichend geprüft hatte, ob die Löschung der den Beschwerdeführer betreffenden Daten im "PAD", nämlich seine Stammdaten und seine "Personen-Rolle" als Verdächtiger in Verbindung mit einem "Kopienakt", der sich auf die Strafanzeige bzw. Erhebungen wegen des Verdachts des Vergehens nach § 209 StGB beziehe, geboten gewesen wäre.
5.4.3. Im Erkenntnis VfSlg 18.324/2007 erachtete der Verfassungsgerichtshof den Beschwerdeführer durch den angefochtenen Bescheid der Datenschutzkommission in seinem verfassungsgesetzlich gewährleisteten Recht auf Achtung des Privatlebens verletzt, weil die sensiblen personenbezogenen Daten in Protokollbüchern und Steckzetteln (Indexkarteien) betreffend Anzeigen nach § 209 StGB nicht mehr nötig seien. Der Verfassungsgerichtshof begründete dies mit Hinweis auf das Erkenntnis VfSlg 18.092/2007, wonach durch die Aufbewahrung von Kopienakten über Anzeigen nach § 209 StGB das Recht auf Achtung des Privatlebens nur dann nicht verletzt werde, wenn die dateimäßige Aufschließung dieser Akten über Protokollbuch und Steckzettel (Indexkartei) nicht mehr erfolge. Durch die Abweisung des Löschungsbegehrens des Beschwerdeführers betreffend seine in Protokollbuch und Steckzettel enthaltenen personenbezogenen sensiblen Daten habe die Datenschutzkommission den Bestimmungen des DSG 2000 über die Löschung von Daten einen verfassungswidrigen Inhalt unterstellt.
5.5. Der Verfassungsgerichtshof geht somit – wie auch der Verwaltungsgerichtshof – davon aus, dass ein unstrukturierter "Papierakt" keine "Datei" iSd § 4 Z 6 DSG 2000 ist und auch Verweise in den elektronisch gespeicherten Daten auf den Papierakt nicht zwingend dazu führen, dass der Papierakt, auf den so verwiesen wird, dadurch zu einer "Datei" wird. Mit einzelnen Verweisen auf den Papier- bzw. Kopienakt, die selbst keine Rückschlüsse auf die dort enthaltenen Informationen zulassen, werden die im Papierakt aufbewahrten Inhalte nicht nach einem Suchkriterium zugänglich oder strukturiert und damit nicht Teil einer "Datei" iSd § 4 Z 6 DSG 2000.
5.6. Durch die in den beim Finanzamt Hollabrunn Korneuburg Tulln elektronisch gespeicherten Daten enthaltenen Hinweise auf den "Prüfbericht" bzw. die Niederschrift und die nicht näher spezifizierten Verweise auf die "Feststellungen der abgabenbehördlichen Prüfung" sowie die Aktenzahl werden die im Papierakt befindlichen Daten der Beschwerdeführerin nicht strukturiert zugänglich. Daraus folgt, dass es sich bei dem beim Finanzamt Hollabrunn Korneuburg Tulln aufbewahrten Papierakt nicht um eine Datei im Sinne des § 4 Z 6 DSG 2000 handelt.
6. Soweit die Beschwerdeführerin ihr Löschungsbegehren auf die Verletzung im verfassungsgesetzlich gewährleisteten Recht auf Privatleben gemäß Art 8 EMRK durch die weitere Aufbewahrung von das Sexualleben der Beschwerdeführerin betreffenden Daten im Papierakt stützt und sich durch die auf "Dateien" iSd § 4 Z 6 DSG 2000 eingeschränkte Prüfkompetenz der Datenschutzkommission im Recht auf eine wirksame Beschwerde gemäß Art 13 EMRK verletzt erachtet, ist Folgendes festzuhalten:
6.1. Der Verfassungsgerichtshof sprach im Erkenntnis VfSlg 18.092/2007 aus, dass "nach Lage des vorliegenden Falles aus Art 8 EMRK hinsichtlich der Löschungsverpflichtung kein weiter reichendes Recht abzuleiten ist als aus der Verfassungsbestimmung des § 1 Abs 3 des – zur Umsetzung der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. 1995 L 281, S 31, ergangenen – DSG 2000".
In dem diesem Erkenntnis zugrunde liegenden Fall waren die den Beschwerdeführer betreffenden Protokollbucheintragungen durch Schwärzung der Daten Namen, Geburtsdatum und Anschrift "unkenntlich gemacht" sowie die entsprechenden Aktenzahlen und Hinweise auf das Delikt auf den Steckzetteln geschwärzt worden; damit war nach Auffassung des Verfassungsgerichtshofes der Papierakt "personenbezogen (dh. mit dem Namen des Beschwerdeführers) nicht mehr auffindbar". "Angesichts dessen" ging der Verfassungsgerichtshof davon aus, dass "die Zugänglichkeit (Erkennbarkeit) der ihn betreffenden personenbezogenen Daten im 'Kopienakt' bzw. 'Papierakt' derart reduziert wurde, dass diesbezüglich von einem Eingriff in das aus Art 8 EMRK erfließende Recht auf Achtung des Privatlebens nicht mehr die Rede sein kann".
Im Erkenntnis VfSlg 18.963/2009 sprach der Verfassungsgerichtshof unter Hinweis auf das Erkenntnis VfSlg 18.092/2007 neuerlich aus, dass "aus den Garantien der Art 8 und 13 EMRK grundsätzlich keine weiter reichenden Ansprüche abgeleitet werden können als aus der Verfassungsbestimmung des § 1 Abs 3 DSG 2000".
6.2. Nach der ständigen Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte fällt die Aufbewahrung von das Privatleben einer Person betreffenden Daten in den Anwendungsbereich des Art 8 Abs 1 EMRK (EGMR , Fall Amann , Appl. 27.798/95, newsletter 2000, 50; , Fall Rotaru , Appl. 28341/95, newsletter 2000, 96; , Fall Kheleli , Appl. 16.188/07, newsletter 2011, 305); eine Einschränkung auf solche Daten, die in besonders strukturierter Weise aufgeschlossen sind, kann der Judikatur des Europäischen Gerichtshofes für Menschenrechte nicht entnommen werden.
Die Beschwerdeführerin in dem der Rechtssache Kheleli gegen die Schweiz (EGMR , Appl. 16.188/07, newsletter 2011, 305) zugrunde liegenden Fall wurde über Jahre hinweg im polizeilichen Informationsregister und im Polizeiakt als "Prostituierte" geführt. Auf ihr Verlangen änderte die Genfer Polizei zwar die Berufsbezeichnung der Beschwerdeführerin im Informationsregister von "Prostituierte" auf "Schneiderin", strich jedoch nicht den Vermerk im Polizeiakt. Der Europäische Gerichtshof für Menschenrechte stellte eine Verletzung von Art 8 EMRK fest, weil die Bezeichnung "Prostituierte" als Beruf der Beschwerdeführerin, die niemals wegen unzulässiger Ausübung der Prostitution verurteilt worden sei, u.a. im Hinblick auf die Schwere des Eingriffs in die Rechte der Beschwerdeführerin in einer demokratischen Gesellschaft nicht notwendig war.
6.3. Im Sinne der dargestellten Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte besteht für den Verfassungsgerichtshof kein Zweifel, dass das Finanzamt Hollabrunn Korneuburg Tulln im vorliegenden Fall durch die Aufbewahrung bzw. durch die nicht erfolgte Löschung der das Privatleben betreffenden Daten der Beschwerdeführerin im Papierakt in ihr durch Art 8 EMRK verfassungsgesetzlich gewährleistetes Recht auf Privatleben eingegriffen hat.
6.4. Da das verfassungsgesetzlich gewährleistete Recht auf Löschung gemäß § 1 Abs 3 DSG 2000 sowie – in verfassungskonformer Auslegung – das Recht auf Löschung gemäß § 27 Abs 1 DSG 2000 auf "Dateien" iSd § 4 Z 6 DSG 2000 eingeschränkt ist, ist jedoch der Auffassung der Datenschutzkommission aus verfassungsrechtlicher Sicht nicht entgegenzutreten, dass sie das Vorbringen der Beschwerdeführerin, wonach ihr ein auf Art 8 EMRK gestütztes Recht auf Löschung zukomme, nur insoweit zu prüfen habe, als dieses Recht auch in § 1 Abs 3 Z 2 DSG 2000 Deckung finde. Die Frage, ob sich ein Löschungsanspruch (auch) für Papierakten aus Art 8 EMRK ergäbe, war daher von der Datenschutzkommission mangels Zuständigkeit nicht zu prüfen.
7. Soweit die Datenschutzkommission in ihrer Gegenschrift vorbringt, dass der Beschwerdeführerin mit einem Löschungsersuchen an die ermittelnden Sicherheitsbehörden ein taugliches Verfahren zur Löschung der sie betreffenden, nicht automationsunterstützt verarbeiteten Daten zur Verfügung gestanden wäre, weil die Sicherheitsbehörden im Falle einer Löschung auch die Übermittlungsempfänger gemäß § 27 Abs 8 DSG 2000 von der Löschung zu verständigen gehabt hätten, ist zur Klarstellung ergänzend darauf hinzuweisen, dass eine Löschungsverpflichtung auf Grund einer Übermittlung gemäß § 27 Abs 8 DSG 2000 das Vorliegen einer "Datei" iSd § 4 Z 6 DSG 2000 voraussetzt. Dies ist aber im vorliegenden Fall zu verneinen (vgl. die Ausführungen oben unter Punkt 5.).
1. Die vom Finanzamt Hollabrunn Korneuburg Tulln anwendbaren Rechtsvorschriften, insbesondere die Bestimmungen der BAO, enthalten keine ausdrücklichen Regelungen über einen wirksamen Rechtsbehelf gegen die fortgesetzte Aufbewahrung der Daten der Beschwerdeführerin bzw. über eine wirksame Durchsetzung des Löschungsbegehrens der Beschwerdeführerin hinsichtlich der im Papierakt des Finanzamts Hollabrunn Korneuburg Tulln enthaltenen Daten. Vor dem Hintergrund des verfassungsgesetzlich gewährleisteten Rechtes gemäß Art 8 iVm Art 13 EMRK, aber auch gemäß § 1 Abs 1 DSG 2000, hat die Beschwerdeführerin dennoch das Recht, ihren Anspruch auf Entscheidung durch das zuständige Finanzamt über die Rechtmäßigkeit der weiteren Aufbewahrung hinsichtlich (rechtmäßig oder rechtswidrig) ermittelter Daten geltend zu machen. Das gegenüber allen Behörden (und auch Privaten) geltende Recht auf Geheimhaltung gemäß § 1 Abs 1 DSG 2000 gewährleistet auch ein subjektives Recht darauf, dass eine unverhältnismäßige weitere Verwendung von Daten beendet wird. Dieses Recht ist – anders als das bei der Datenschutzkommission bzw. nunmehr bei der Datenschutzbehörde durchsetzbare Recht auf Löschung gemäß § 1 Abs 3 DSG 2000 – nicht auf automationsunterstützt verarbeitete Daten oder manuelle Dateien eingeschränkt. Werden demnach Papierakten aufbewahrt, deren weitere Verwendung gegen Art 8 EMRK verstößt, ergibt sich aus dem Recht auf Geheimhaltung ein Recht auf physische Vernichtung der Papierakten durch die Behörde. Das Finanzamt Hollabrunn Korneuburg Tulln hat die entsprechenden Daten daher entweder zu vernichten oder einen Bescheid zu erlassen, mit dem das Begehren der Beschwerdeführerin abgewiesen wird, wobei im zweiten Fall die Abwägungsentscheidung zwischen dem grundrechtlich geschützten Privatleben der Beschwerdeführerin und den öffentlichen Interessen an der weiteren Aufbewahrung der Daten zu begründen ist. Gegen einen abweisenden Bescheid stünde der Beschwerdeführerin der Rechtsweg an das Bundesfinanzgericht und in der Folge allenfalls an die Gerichtshöfe des öffentlichen Rechts offen.
2. Zu der darüber hinaus in der Beschwerde geltend gemachten Verletzung im Recht auf Unterbleiben einer erniedrigenden Behandlung nach Art 3 EMRK ist festzuhalten, dass die Art und Weise der Durchführung der verdeckten Ermittlung durch Organe des Landespolizeikommandos Niederösterreich nicht Gegenstand des Verfahrens vor der Datenschutzkommission war. Durch die fortgesetzte Aufbewahrung der Daten beim Finanzamt Hollabrunn Korneuburg Tulln konnte die Beschwerdeführerin nicht in ihrem Recht auf Unterbleiben einer erniedrigenden Behandlung gemäß Art 3 EMRK verletzt werden.
IV. Ergebnis
1. Die behauptete Verletzung verfassungsgesetzlich gewährleisteter Rechte hat durch den angefochtenen Bescheid sohin nicht stattgefunden.
Das Verfahren hat nicht ergeben, dass die Beschwerdeführerin in von ihr nicht geltend gemachten verfassungsgesetzlich gewährleisteten Rechten oder wegen Anwendung einer rechtswidrigen generellen Norm in ihren Rechten verletzt wurde.
Die Beschwerde ist daher abzuweisen.
2. Diese Entscheidung konnte gemäß § 19 Abs 4 erster Satz VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung getroffen werden.
European Case Law Identifier
ECLI:AT:VFGH:2014:B1187.2013