VfGH vom 09.10.2014, KR1/2014
Leitsatz
Abweisung des Antrags des Rechnungshofes auf Feststellung der Befugnis zur Einsichtnahme in den gesamten E-Mailverkehr des Bundesministeriums für Verkehr, Innovation und Technologie mangels Begründung der Erforderlichkeit eines derart weitreichenden Einsichtsverlangens für die Gebarungsprüfung des Verkehrssicherheitsfonds; Zurückweisung des Antrags hinsichtlich der begehrten Einsichtnahme in einzelne E-Mails mangels Vorliegens einer Meinungsverschiedenheit
Spruch
I. Der Antrag auf Feststellung, dass der Rechnungshof befugt ist, zum Zwecke der Gebarungsüberprüfung des Bundesministeriums für Verkehr, Innovation und Technologie insbesondere in "1. die Gesamtauszüge aus dem Quellsystem zu zwei unterschiedlichen Zeitpunkten in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe zu erhalten und Einsicht zu nehmen" wird abgewiesen.
II. Der Antrag auf Feststellung, dass der Rechnungshof befugt ist, zum Zwecke der Gebarungsüberprüfung des Bundesministeriums für Verkehr, Innovation und Technologie insbesondere in "2. den Inhalt und allfällige Attachements einzelner, vom Rechnungshof aufgrund dieser Gesamtauszüge ausgewählter E Mails zu erhalten und Einsicht zu nehmen" wird zurückgewiesen.
Begründung
Entscheidungsgründe
I. Sachverhalt, Antrag und Vorverfahren
1. Der Rechnungshof stellte am gemäß Art 126a B VG den Antrag, der Verfassungsgerichtshof möge
"I. feststellen, dass der Rechnungshof befugt ist, zum Zwecke der Gebarungsüberprüfung des Bundesministeriums für Verkehr, Innovation und Technologie insbesondere in
1. die Gesamtauszüge aus dem Quellsystem zu zwei unterschiedlichen Zeitpunkten in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe zu erhalten und Einsicht zu nehmen und
2. den Inhalt und allfällige Attachements einzelner, vom Rechnungshof aufgrund dieser Gesamtauszüge ausgewählter E-Mails zu erhalten und Einsicht zu nehmen und
II. aussprechen, dass das Bundesministerium für Verkehr, Innovation und Technologie schuldig ist, diese Einsicht bei sonstiger Exekution zu ermöglichen."
2. Dem Antrag des Rechnungshofes liegt folgender – insoweit außer Streit stehender – Sachverhalt zugrunde:
2.1. Der Österreichische Verkehrssicherheitsfonds (im Folgenden: "Verkehrssicherheitsfonds") finanzierte unter anderem in den Jahren 2009 und 2010 Kampagnen zur Bewusstseinsbildung zum Thema Alkohol am Steuer. In diesem Zusammenhang beauftragte das Bundesministerium für Verkehr, Innovation und Technologie (im Folgenden: "BMVIT") im Jahr 2009 die Bundesbeschaffung GmbH mit der Durchführung eines Vergabeverfahrens für die Vergabe von Kreativleistungen für eine Werbekampagne. In der Folge wurde ein zweistufiges Vergabeverfahren durchgeführt, in dessen Rahmen mehrere Agenturen am und am ihre Erstangebote präsentierten. Am 2. und fanden Verhandlungen mit den Agenturen statt, in denen Änderungen der vorgeschlagenen Werkkonzepte besprochen wurden. Die bis übermittelten "finalen Entwürfe" bzw. "Letztanbote" wurden von einer Bewertungskommission des BMVIT geprüft und bewertet. Auf Basis des Ergebnisses der Bewertungskommission erteilte die Bundesministerin für Verkehr, Innovation und Technologie am der "Agentur A" als Bestbieterin den Zuschlag.
2.2. Die im Vergabeverfahren zweitgereihte "Agentur B" erhob gegen die "Agentur A" mit dem Vorwurf des Plagiierens Klage vor dem Handelsgericht Wien wegen Verletzung des Urheberrechts.
2.3. Mit Prüfungsauftrag vom leitete der Rechnungshof eine Gebarungsüberprüfung des Verkehrssicherheitsfonds ein.
2.4. Am ersuchte der Rechnungshof das BMVIT "um zur Verfügung Stellung folgender Unterlagen im Zusammenhang mit der Verkehrssicherheitskampagne 2009 (Alkohol am Steuer)":
"- eine Auflistung aller im Zeitraum zwischen (Veröffentlichung der Ausschreibung) und (Zuschlagserteilung) zwischen der Domain @bmvit.gv.at und den [dem Rechnungshof bekannten] Domains [der 'Agentur A'] gesendeten und empfangenen mails
- inkl. aller dieser mails mit Inhalt und Sendezeitpunkt
in elektronischer Form – möglichst im pdf-Format – per mail oder auf DVD."
2.5. Das BMVIT teilte dem Rechnungshof mit Schreiben vom mit, eine Auflistung aller im angegebenen Zeitraum angefallenen E-Mails sei "allein technisch nicht möglich": Die Tagessicherungen der Daten würden im Falle von E-Mail und Fileserver vier Wochen aufbewahrt. Danach würden die Sicherungsmedien wieder verwendet und die Tagessicherungen stünden nicht mehr zur Verfügung. Zur Katastrophenvorsorge würden vierteljährlich Quartalssicherungen ins zentrale Ausweichsystem des Bundes verbracht; diese Medien würden nach einem Jahr wieder verwendet.
Weiters sei festzuhalten, dass auf Grund der Bestimmungen der §§79c ff. Beamten-Dienstrechtsgesetz 1979 (BDG 1979) und des § 29n Vertragsbedienstetengesetz 1948 (VBG) die private Nutzung der für den Dienstbetrieb zur Verfügung gestellten IKT-Infrastruktur durch Mitarbeiter und Mitarbeiterinnen zulässig sei und sich daher in den E-Mail-Postfächern bzw. -Archiven personenbezogene Daten dieser Personen befinden könnten. Bezüglich der Verwendung dieser in den E-Mails vorhandenen Daten bestehe entsprechend den Bestimmungen des Datenschutzgesetzes 2000 das höchstpersönliche, verfassungsgesetzlich gewährleistete Recht der Betroffenen auf Geheimhaltung.
2.6. Mit "Unterlagenanforderung" vom forderte der Rechnungshof das BMVIT auf, "längstens bis zum [...] folgende Daten auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014 (jeweils kompletter Bandsatz) in elektronischer, für eine weitere Auswertung geeigneter Form zur Verfügung zu stellen":
"- Gesamtauszug aus dem Quellsystem über alle im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender (Name, E-Mail-Adresse), Empfänger (Name, E Mail-Adresse), Sende- bzw. Empfangszeitpunkt, Betreff und Größe."
Dies sollte auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014 geschehen.
Die im Antwortschreiben des BMVIT vom angeführten technischen Einschränkungen hätten durch eine Recherche in den entsprechenden Unterlagen des BMVIT, "insbesonders Leitfaden Speichermanagement und Konzept des Mailarchivs", ausgeräumt werden können. Die angefragten Unterlagen könnten demnach auf den Bändern der "Vollsicherung (Fullbackup)" zur Verfügung stehen.
In Bezug auf das vom BMVIT angeführte Argument betreffend die Wahrung des Datenschutzes wies der Rechnungshof darauf hin, dass datenschutzrechtliche Bestimmungen die Einsichtsrechte des Rechnungshofes nicht beschränken könnten. In einem ersten Schritt würden zudem keine Inhalte von E-Mails abgefragt.
2.7. Zur "Unterlagenanforderung" des Rechnungshofes vom nahm das BMVIT mit Schreiben vom im Wesentlichen wie folgt Stellung:
Das BMVIT habe bereits im Schreiben vom mitgeteilt, dass auf Grund der Möglichkeit der zulässigen privaten Mitbenutzung von E-Mails eine Überlassung nicht nur der Mailinhalte, sondern auch von Informationen über Empfänger, Sender oder den Betreff aus Gründen des Datenschutzes nicht möglich sei. Im BMVIT sei die private Nutzung der IKT-Struktur in den im BDG 1979 und in der IKT-Nutzungsverordnung festgelegten Grenzen erlaubt. Darüber hinaus seien keine Regelungen getroffen worden, um private E-Mails eindeutig identifizieren zu können; somit könne nicht ausgeschlossen werden, dass in E Mails mit dienstlichem Betreff private Inhalte enthalten seien oder dass die E Mails sensible Daten im Sinne des § 4 Z 2 DSG 2000 enthielten. Zu bedenken sei auch, dass auch die berechtigten Interessen Dritter betroffen seien, die im Vertrauen auf den Schutz ihrer Privatsphäre E-Mails privater Natur an Bedienstete des BMVIT gerichtet hätten.
Für die Offenlegung von E-Mails mit privatem Inhalt, "aber auch der vom Rechnungshof angeforderten Parameter", sei weder im BDG 1979 noch in der IKT-Nutzungsverordnung eine gesetzliche Grundlage vorgesehen; eine solche könne auch nicht aus dem Rechnungshofgesetz (RHG) abgeleitet werden. Damit fehle aber die Voraussetzung für die Zulässigkeit des Eingriffs durch eine staatliche Behörde.
Darüber hinaus sei die Forderung, den Inhalt von E-Mails oder auch nur Informationen über den Betreff, den Sender und den Empfänger von möglicherweise privaten E-Mails einer nicht näher definierten Zahl von Bediensteten und dritten Personen bekannt zu geben, keinesfalls das in § 1 Abs 2 DSG 2000 geforderte gelindeste zum Ziel führende Mittel, weil aus dem Namen oder der Mailadresse des Senders bzw. Empfängers auch sensible Daten abgeleitet werden könnten, zum Beispiel E-Mails an Religionsgemeinschaften, politische Parteien, Einrichtungen, oder Inhalte eines Betreffs, die Rückschlüsse auf medizinische, religiöse, sexuelle oder politische Inhalte der E-Mail zuließen.
3. Der Rechnungshof stellte daraufhin am den vorliegenden Antrag an den Verfassungsgerichtshof und begründete diesen wie folgt (Zitat ohne die im Original enthaltenen Hervorhebungen):
"I. DARSTELLUNG DES SACHVERHALTES
Der Rechnungshof überprüft seit Oktober 2013 beim Bundesministerium für Verkehr, Innovation und Technologie (GZ 004.097) die Gebarung des Österreichischen Verkehrssicherheitsfonds im Zeitraum 2008 bis dato. Ziel der Gebarungsüberprüfung ist u.a. eine Beurteilung der Rechtmäßigkeit, sowie der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit und der ziffernmäßigen Richtigkeit des gebarungswirksamen Verwaltungshandelns hinsichtlich
der für die Verkehrssicherheitsarbeit aus dem Verkehrssicherheitsfonds zur Verfügung stehenden Mittel,
der Organisation des Verkehrssicherheitsfonds,
der Tätigkeitsbereiche des Verkehrssicherheitsfonds und
der durch die Tätigkeit des Verkehrssicherheitsfonds entfalteten Wirkungen.
Im Rahmen der Gebarungsüberprüfung prüft der Rechnungshof u.a. auch die Vergabeverfahren zu den vom Verkehrssicherheitsfonds finanzierten Verkehrssicherheits-Kampagnen zur Bewusstseinsbildung. Der Verkehrssicherheitsfonds finanzierte u.a. in den Jahren 2009 und 2010 eine Kampagne zur Bewusstseinsbildung zum Thema Alkohol am Steuer.
Bei dieser Kampagne beauftragte das Bundesministerium für Verkehr, Innovation und Technologie die Bundesbeschaffung GmbH mit der Durchführung des Vergabeverfahrens für die im Rahmen der Kampagne zu erbringenden Kreativleistungen. In der ersten Stufe des zweistufigen Verhandlungsverfahrens wurden fünf Agenturen ausgewählt und zur Angebotslegung eingeladen. Am 31. August und präsentierten die fünf Agenturen der Bewertungskommission ihre Erstangebote.
Die Erstangebote der Agentur A und der Agentur B unterschieden sich im generellen Konzept und im Slogan deutlich. Am 2. und fanden Verhandlungsrunden von Vertretern des Bundesministeriums für Verkehr, Innovation und Technologie und der Bundesbeschaffung GmbH mit den fünf Agenturen statt. Diese wurden im Anschluss aufgefordert, bis zum ein Letztangebot zu legen.
Die Bundesbeschaffung GmbH nahm die Letztangebote von fünf Bietern am entgegen und übermittelte sie am gleichen Tag per Boten an das Bundesministerium für Verkehr, Innovation und Technologie, dem damit sämtliche Unterlagen zu den Letztangeboten vorlagen. Die Bundesbeschaffung GmbH wies Mitarbeiter des Bundesministeriums für Verkehr, Innovation und Technologie in einer E-Mail am darauf hin, dass die Agentur A Konzept und Slogan der Kampagne zur Gänze geändert hatte und dass nunmehr sowohl der Slogan als auch Inhalt und Aufbau des Spots eine starke Ähnlichkeit mit dem von der Agentur B bereits ursprünglich eingereichten Vorschlag aufweisen würden. Dieser Umstand habe laut Bundesbeschaffung GmbH auf das Vergabeverfahren selbst keine Auswirkungen, weil alle Kommissionsmitglieder Geheimhaltungserklärungen unterzeichnet hätten. Mögliche rechtliche Schritte im Zusammenhang mit einer Urheberrechtsverletzung seien aber nicht auszuschließen.
Das Bundesministerium für Verkehr, Innovation und Technologie nahm diese Mitteilung zur Kenntnis, das Vergabeverfahren wurde nicht widerrufen (Beilage 1) und die Bundesbeschaffung GmbH setzte das Vergabeverfahren daher fort. Am fand die Sitzung der Bewertungskommission statt. Stimmberechtigte Mitglieder der Bewertungskommission waren Vertreter des Bundesministeriums für Verkehr, Innovation und Technologie und von diesem nominierte Externe. Die Mitarbeiter der Bundesbeschaffung GmbH stellten den organisatorischen Rahmen zur Verfügung. Aus der Prüfung und Bewertung der Angebote durch die Bewertungskommission ging die Agentur A als erstgereihte Agentur mit einem Punktevorsprung von 0,32 von 100 möglichen Punkten gegenüber der Agentur B bei einem um 32 Prozent höheren Gesamtpreis als jener der zweitgereihten Agentur B hervor. Nach Ende der Stillhaltefrist am erteilte das Bundesministerium für Verkehr, Innovation und Technologie auf Basis des Ergebnisses der Bewertungskommission der Agentur A den Auftrag.
Die Agentur B führt derzeit gegen die Agentur A einen Prozess wegen Verletzung des Urheberrechts vor dem Handelsgericht Wien (10 Cg 239/09s). Der im Rahmen dieses Verfahrens beauftragte Sachverständige kam zum Schluss, dass die Werbespots in den Letztangeboten der Agentur A und der Agentur B in ihren charakteristischen Elementen und wesentlichen Fakten übereinstimmen.
Zur Genese der Kampagne forderte er beide Agenturen auf, Unterlagen vorzulegen. Der Gutachter stellte dazu fest, dass Agentur B der Aufforderung umfassend nachgekommen sei und umfangreiche Unterlagen vorgelegt hätte, welche den Entwicklungsprozess anhand von E-Mail-Schriftverkehr und diversen Daten abbildeten. Agentur A hätte im Gegensatz dazu nur ein handschriftliches Dokument im Umfang von drei Seiten vorgelegt, welches in seiner Charakteristik durchgängig geschrieben schien.
Die Rechnungshof-Kontrolle umfasst auch die Rechtmäßigkeit des gebarungsrelevanten Verwaltungshandelns und somit im vorliegenden Fall auch die Prüfung der Rechtmäßigkeit des Vergabeverfahrens und dabei insbesondere auch die Prüfung der Einhaltung der Geheimhaltungspflicht aller am Vergabeverfahren beteiligten Personen. Um einen allfälligen Informationsfluss von Inhalten des Erstangebots der Agentur B durch Mitarbeiter des Bundesministeriums für Verkehr, Innovation und Technologie an die Agentur A feststellen zu können, ersuchte der Rechnungshof am das Bundesministerium für Verkehr, Innovation und Technologie um eine Auflistung aller im Zeitraum der Ausschreibung zwischen dem Bundesministerium für Verkehr, Innovation und Technologie und der Agentur A gesendeten E-Mails und um die betreffenden E Mails selbst (Beilage 2). Eine entsprechende Information ist für den Rechnungshof zur Beurteilung der Gebarungsrelevanz insbesondere auch im Hinblick auf den um 32 Prozent höheren Gesamtpreis der nach dem Vergabeverfahren erstgereihten Agentur erforderlich.
Das Bundesministerium für Verkehr, Innovation und Technologie teilte am mit, dass eine Übermittlung der angefragten Unterlagen technisch nicht möglich sei und auch aufgrund der Bestimmungen des Datenschutzgesetzes nicht erfolgen würde (Beilage 3).
Aufgrund dieser Mitteilung unternommene Recherchen des Rechnungshofes ergaben, dass die technische Möglichkeit besteht, dass zumindest Teile der angeforderten E-Mails aus dem betreffenden Zeitraum auf Sicherungsbändern (Backup der E-Mail-Konten bzw. des E-Mail-Archivs) vorhanden sein könnten. Um eine höchstmögliche Authentizität der Daten sicherzustellen und eine selektive Löschung einzelner E-Mails oder Filterung der Daten durch die geprüfte Stelle im Zuge einer selektiven Abfrage aus dem Gesamtdatenbestand über einen eingeschränkten Zeitraum oder ausgewählter E-Mail-Konten auszuschließen, weitete der Rechnungshof seine Datenanfrage in einem zweiten Schritt aus: Er forderte am einen Gesamtauszug aus dem Quellsystem in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014 an (Beilage 4).
Die Abfrage der Daten zu zwei unterschiedlichen Zeitpunkten soll mögliche, in der Zwischenzeit vorgenommene Löschungen ersichtlich machen. Der Rechnungshof forderte ausdrücklich nicht alle E-Mails (deren Inhalt) über den Prüfungszeitraum, sondern nur einen Auszug aus dem Quellsystem an, um festzustellen, ob E-Mails im fraglichen Zeitraum gesendet wurden und von wem, um dann in einem weiteren Schritt den Inhalt einzelner konkreter E-Mails (inkl. möglicher Attachments) anzufordern. Eine Übermittlung des Inhalts einzelner, ausgewählter E-Mails behielt sich der Rechnungshof jedoch vor.
Mit Schreiben vom verweigerte das Bundesministerium für Verkehr, Innovation und Technologie die Übermittlung der Informationen über E-Mails mit dem Hinweis auf den Datenschutz, weil sich unter den E-Mails der Mitarbeiter neben E-Mails mit dienstlichen Inhalten auch E-Mails mit privaten Inhalten befinden können (Beilage 5).
Am fand ein weiteres Gespräch zwischen Vertretern des Rechnungshofes und des Bundesministeriums für Verkehr, Innovation und Technologie statt, in dessen Rahmen die unterschiedlichen Rechtsansichten nochmals dargelegt wurden. Die Vertreter des Bundesministeriums für Verkehr, Innovation und Technologie kündigten die Beauftragung eines Rechtsgutachtens an und blieben bei der Verweigerung der Unterlagenübergabe. Zudem verweigerten sie, eine vom Rechnungshof in Grundzügen vorbereitete Niederschrift mit dem Inhalt der Besprechung zu ergänzen und dieses Gesprächsprotokoll zu unterfertigen.
II. RECHTLICHE WÜRDIGUNG
II.1.
Der Rechnungshof Ist gemäß Artikel 121 Abs 1 B VG zur Überprüfung der Gebarung des Bundes, der Länder, der Gemeindeverbände, der Gemeinden und anderer durch Gesetz bestimmter Rechtsträger berufen.
Beim Österreichischen Verkehrssicherheitsfonds handelt es sich, wie § 131a KFG explizit ausführt, um einen sog. 'Verwaltungsfonds'. Dieser Umstand und der Umstand, dass die zit. Bestimmung keinerlei Regelungen über die Organe des Fonds enthält, lässt den Schluss zu, dass es sich nicht um eine, vom Bund unterschiedliche juristische Person, sondern lediglich um ein Zweckvermögen handelt, das Teil der Gebarung des Bundes ist und vom Bundesministerium für Verkehr, Innovation und Technologie verwaltet wird. Das Bundesministerium für Verkehr, Innovation und Technologie ist daher als Antragsgegner im gegenständlichen Verfahren anzusehen.
II.2.
Wie oben ausgeführt verlangte der Rechnungshof auf Grundlage des § 3 Rechnungshofgesetzes 1948 - RHG (i.d.F.: RHG) am vom Bundesministerium für Verkehr, Innovation und Technologie eine Auflistung aller im Zeitraum der Ausschreibung zwischen dem Bundesministerium für Verkehr, Innovation und Technologie und der Agentur A gesendeten E-Mails und um die betreffenden E-Mails selbst. Dieses Verlangen wurde am seitens des Bundesministeriums für Verkehr, Innovation und Technologie aufgrund der technischen Unmöglichkeit und aufgrund, der Bestimmungen des Datenschutzgesetzes abgelehnt.
In einem zweiten Schritt weitete der Rechnungshof seine Datenanfrage aus: Am forderte er einen Gesamtauszug aus dem Quellsystem in Form einer Auflistung über alle im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014 an.
Das BMVIT verweigerte mit Schreiben vom , auch diesem neuerlichen auf § 3 RHG gestützten Verlangen entgegen der Anordnung des § 4 RHG nachzukommen, obwohl nach dieser Bestimmung die geprüften Stellen die Anfragen des Rechnungshofes ohne Verzug vollinhaltlich und unmittelbar zu beantworten, alle abverlangten Auskünfte zu erteilen und jedem Verlangen zu entsprechen haben, das der Rechnungshof zum Zwecke der Durchführung der Kontrolle im einzelnen Falle stellt.
Im vorliegenden Fall kam es somit zu zwei Verweigerungen: Das Bundesministerium für Verkehr, Innovation und Technologie
1. verweigerte die Einsichtnahme in den Inhalt konkreter E-Mails (Schreiben vom ) und
2. die Einsichtnahme in die Gesamtauszüge aus dem Quellsystem zu zwei unter schiedlichen Zeitpunkten in Form einer Auflistung aller E-Mails bzw. ihrer Metadaten (Sender, Empfänger, Sendezeitpunkt, Betreff, Größe) mit der Domain @bmvit.gv.at (Schreiben vom ).
II.3.
Der Rechnungshof ist gemäß § 3 RHG zum Zweck der Kontrolle berechtigt, in alle Unterlagen der geprüften Stelle Einsicht zu nehmen, und von den geprüften Stellen jederzeit schriftlich oder im kurzen Wege alle ihm erforderlich erscheinenden Auskünfte zu verlangen. Ohne dieses Recht wäre eine Überprüfung der Gebarung nach Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit nicht möglich (VfSlg 4106/1961). Der Gebarungsbegriff umfasst dabei jedes Verhalten, das finanzielle Auswirkungen (. . .) hat' (VfSlg 7944/1976).
Angesichts dieses umfassenden Einsichtnahmerechts und des ebenfalls umfassenden Gebarungsbegriffs ist es aus der Sicht des Rechnungshofes völlig klargestellt, dass die Korrespondenz zwischen einzelnen Organisationseinheiten des Bundesministeriums für Verkehr, Innovation und Technologie und zwischen dem Bundesministerium für Verkehr, Innovation und Technologie und Dritten via E Mail gebarungsrelevante Unterlagen sind, in die der Rechnungshof Einsicht nehmen kann. Dies gilt schon allein deshalb, weil die Gebarungsrelevanz nicht von vornherein ausgeschlossen werden kann ().
II.4.
Das Bundesministerium für Verkehr, Innovation und Technologie verweigert die Vorlage dieser gebarungsrelevanten Unterlagen bzw. die Einsichtnahme in diese im Wesentlichen mit der Begründung, dass sie aufgrund datenschutzrechtlicher Bestimmungen zur Herausgabe der Unterlagen nicht berechtigt sei.
Der Verfassungsgerichtshof hat in seinem Erkenntnis vom , KR1/00 (VfSlg 17.065/2003) festgehalten, dass die geprüfte Stelle nicht befugt ist, die Einsicht in gebarungsrelevante Unterlagen zu Zwecken der allgemeinen Gebarungsprüfung zu behindern oder von Bedingungen abhängig zu machen. Vielmehr haben die geprüften Stellen ohne Rücksicht auf sonst bestehende Verschwiegenheitspflichten die nötigen Auskünfte zu erteilen und die Einsicht auch in vertrauliche Unterlagen zu dulden. Aus diesem Grund gehen die vom Bundesministerium für Verkehr, Innovation und Technologie gegen die vollständige Einsichtnahme des Rechnungshofes in die vom Rechnungshof verlangten Unterlagen vorgebrachten Argumente betreffend Wahrung des Datenschutzes ins Leere (). Der Rechnungshof hat allerdings bei seiner Berichterstattung regelmäßig eine Interessenabwägung zwischen privaten Geheimhaltungsinteressen und dem öffentlichen Interesse an der Bekanntgabe der Kontrollergebnisse vorzunehmen. Im Einzelnen führte der Verfassungsgerichtshof im zitierten Erkenntnis unter Bezugnahme auf die einschlägige Literatur aus wie folgt:
'Diese (teilweise) Behinderung der Einschau erfolgte zu Unrecht. Auch wenn der ORF (. . .) im Ergebnis letztlich zu Recht der Auffassung anhing, dass eine Einschau in die Gehaltskonten zum Zweck der namentlichen Einkommensberichterstattung gemäß § 8 Abs. 1 bis 3 BezBegrBVG rechtlich nicht zulässig sei, so war er dennoch nicht befugt, auch die Einsicht zu Zwecken der allgemeinen Gebarungsprüfung zu behindern oder von Bedingungen abhängig zu machen. Die Antwort auf die Frage, wie weit bei einer solchen Einsicht gewonnene Ergebnisse bei der Berichterstattung im Rahmen der Gebarungsprüfung veröffentlicht werden dürfen, ergibt sich aus den einschlägigen Rechtsvorschriften [vgl. etwa Berka, Rechnungshofkontrolle im Spannungsfeld von Öffentlichkeit und Geheimnisschutz, in: Korinek (Hrsg.), Die Kontrolle wirtschaftlicher Unternehmungen durch den Rechnungshof, 1986, S. 419, insbesondere S. 434 ff], ist aber nicht der Gestaltung durch den Rechnungshof und die geprüfte Stelle zugänglich.
Zu Recht weist Berka (aaO, S. 435) darauf hin, dass 'die geprüften Stellen dem Rechnungshof ohne Rücksicht auf sonst bestehende Verschwiegenheitspflichten die nötigen Auskünfte zu erteilen und die Einsieht auch in vertrauliche Unterlagen zu dulden' haben. Daraus erfließt aber keineswegs eine umfassende Informations-Pflicht des Rechnungshofes gegenüber der Allgemeinheit, vielmehr hat der Rechnungshof bei seiner Berichterstattung regelmäßig eine Interessenabwägung zwischen privaten Geheimhaltungsinteressen und dem öffentlichen Interesse der Bekanntgabe der Kontrollergebnisse vorzunehmen [vgl. Kroneder-Partisch, Art 126d B VG, in: Korinek/Holoubek (Hrsg.), Bundesverfassungsrecht, Rz 14 (2001)]:'
In den Erkenntnissen vom , KR1/2013, 2/2013 und 3/2013 hat der Verfassungsgerichtshof diese Rechtsprechung bestätigt.
Demnach ist das Bundesministerium für Verkehr, Innovation und Technologie aus der Sicht des Rechnungshofes nicht berechtigt, die Einsichtnahme in die geforderten konkreten E-Mails und in den Gesamtauszug von E-Mail mit der Domain @bmvit.gv.at aufgrund der von ihm ins Treffen geführten datenschutzrechtlichen Bedenken zu verweigern, und damit die auf § 3 RHG gestützten Verlangen des Rechnungshofes abzulehnen.
Vielmehr wäre das Bundesministerium für Verkehr, Innovation und Technologie zur vollständigen Vorlage der Unterlagen verpflichtet. Davon unabhängig zu bewerten ist, wie der Rechnungshof in der Folge die Wahrung des Grundrechtes auf Datenschutz im Rahmen der Berichterstattung vornimmt.
II.5.
Das Bundesministerium für Verkehr, Innovation und Technologie verweigerte die Übermittlung der Informationen über E-Mails u.a. mit dem Hinweis, dass sich unter den E-Mails der Mitarbeiter mit dienstlichen Inhalten auch E-Mails mit privaten Inhalten befinden können, weil das Bundesministerium für Verkehr, Innovation und Technologie die private Nutzung der IKT-Struktur unter den gesetzlich festgelegten Grenzen erlaubt. Nachdem private E-Mails nicht eindeutig zu identifizieren seien, könne nicht ausgeschlossen werden, dass in den Betreffs private Inhalte, insbesondere auch sensible Daten i.S.d. § 4 Z 2 DSG, enthalten seien. Unter Hinweis auf die §§79d, 79e und 79g BDG, BGBl Nr 333/1979 i.d.g.F. sowie §§4 und 5 IKT-NutzungsVO, BGBl II Nr 281/2009 kommt das Bundesministerium für Verkehr, Innovation und Technologie zum Ergebnis, dass eine gesetzliche Grandlage für die Offenlegung von E-Mails mit privatem Inhalt nicht bestehe.
Dem Rechnungshof sind in Ausübung und zum Zweck seiner Kontrolle umfassende und unbeschränkbare Auskunfts- und Einschaurechte eingeräumt (§3 RHG). Diese Auskunfts- und Einschaurechte sind umfassend, d.h. der Rechnungshof muss in alle gebarungsrelevante Unterlagen Einschau nehmen können. Ohne dieses umfassende Recht ist eine Überprüfung der Gebarung nach Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit nicht möglich (VfSlg 4106/1961).
Diesen Rechten des Rechnungshofes stehen korrespondierende Verpflichtungen der der Rechnungshof-Kontrolle unterliegenden Rechtsträger gegenüber, die Einsichtnahme in gebarungsrelevante Unterlagen zu dulden. Auch diese Verpflichtungen sind umfassend, was der Gesetzgeber in der Wendung, dass die der Rechnungshof-Kontrolle unterliegenden Rechtsträger 'jedem Verlangen zu entsprechen (haben), das der Rechnungshof zum Zwecke der Durchführung der Kontrolle im einzelnen Falle stellt' (§4 Abs 1 RHG) klar zum Ausdruck gebracht hat.
Der Vollständigkeit halber sei angemerkt, dass diese umfassenden Auskunfts- und Einschaurechte des Rechnungshofes dem Bundesministerium für Verkehr, Innovation und Technologie gegenüber sich nicht erst aus den einfachgesetzlichen Bestimmungen des RHG ergeben, sondern bereits in der Verfassung grundgelegt sind, d.h. sich unmittelbar aus Art 126b Abs 1 B VG ableiten lassen (VfSlg 4106/1961). Verfehlt wäre es daher, anzunehmen, einfachgesetzliche Regelungen (z.B. §§79d, 79e und 79g BDG) würden einer solchen Übermittlung entgegenstehen. Hätten sie diesen Inhalt, so würden sie - im hier vorliegenden Zusammenhang - dem Art 126b Abs 1 B VG widersprechen. Schon das Gebot der im Zweifel verfassungskonformen Auslegung zwingt also dazu, sie nicht in dem vom Bundesministerium für Verkehr, Innovation und Technologie unterstellten Sinn zu deuten (VfSlg 15.130/1998).
Nach Ansicht des Rechnungshofes können diese umfassenden Auskunfts- und Einschaurechte nicht dadurch geschmälert werden, dass dem Rechnungshof im Rahmen seiner Tätigkeit auch Informationen über Privatpersonen, die der Rechnungshof-Kontrolle nicht unterliegen, bekannt werden. Jede andere Ansicht würde dazu führen, dass die Kontrollziele des VI. Hauptstückes nicht erreicht würden, weil 'ohne Einsicht in alle Unterlagen eine Überprüfung der Gebarung nach Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit nicht möglich (ist)' (VfSlg 4106/1961). Zudem könnten geprüfte Stellen versucht sein, einen 'öffentlichen' Datenbestand mit privaten Daten zu 'infizieren' und damit den gesamten Bestand, somit auch den gebarungsrelevanten Teil der Kontrolle durch den Rechnungshof zu entziehen.
Zu den datenschutzrechtlichen Bedenken des Bundesministeriums für Verkehr, Innovation und Technologie, dass bei der Durchsicht der Informationen über E Mails neben gebarungsrelevanten Informationen dem Rechnungshof auch Informationen über Privatpersonen bekannt werden können, ist auf die Ausführungen zu Pkt. II.4. zu verweisen. Ergänzend ist anzumerken, dass sich die Berichtspflicht des Rechnungshofes im vorliegenden Fall nur auf die Gebarung des Bundes bezieht, und damit etwaige für die Beurteilung der Gebarung im vorliegenden Fall nicht relevante Informationen aus datenschutzrechtlichen Gründen nicht in seinem Bericht aufgenommen würden.
Weiters ist darauf hinzuweisen, dass die Bediensteten des Rechnungshofes kraft Dienstrechts zur Verschwiegenheit verpflichtet sind (§46 BDG, § 5 VBG)."
4. Die Bundesministerin für Verkehr, Innovation und Technologie erstattete eine Äußerung, in der sie dem Antrag des Rechnungshofes mit folgender Begründung entgegentritt:
"A. Sachverhalt
Wie im Antrag des Rechnungshofs beschrieben, beauftragte das Bundesministerium für Verkehr, Innovation und Technologie (im Folgenden auch 'bmvit') im Rahmen der Vergabe von Kreativleistungen für eine Werbekampagne des Verkehrssicherheitsfonds im Jahr 2009 die Bundesbeschaffung GmbH mit der Durchführung des Vergabeverfahrens. Es handelte sich um ein zweistufiges Verfahren mit 5 Agenturen, wobei insgesamt 2 Termine, an denen die Agenturen ihren Entwurf vorgestellt haben, und ein weiterer Termin, bestehend aus 2 Tagen, für weitere Verhandlungen mit den Agenturen, an denen Änderungen der vorgeschlagenen Werbekonzepte besprochen wurden, stattfanden. Die finalen Entwürfe wurden bis übermittelt, welche Gegenstand der Prüfung und Bewertung durch die Bewertungskommission des bmvit waren. Auf Basis dieser Ergebnisse wurde der Zuschlag an die Agentur A (diese Bezeichnung entspricht jener im Antrag des Antragstellers) erteilt. An diesem Vergabeverfahren waren auf Seiten des bmvit nur bestimmte Personen aus der Abteilung IV/ST2 (zum damaligen Zeitpunkt II/ST2) beteiligt; insgesamt waren dies 4 Personen. Es handelte sich um den Abteilungsleiter bzw. Geschäftsführer des Österreichischen Verkehrssicherheitsfonds, den inhaltlich sowie organisatorisch zuständigen Referenten mit Stimmrecht in der Bewertungskommission (gleichzeitig stellvertretender Abteilungsleiter bzw. stellvertretender Geschäftsführer des österreichischen Verkehrssicherheitsfonds), eine weitere Referentin als beratendes Mitglied der Bewertungskommission ohne Stimmrecht sowie die Teamassistentin. Mitglieder der Bewertungskommission waren darüber hinaus zwei weitere Mitarbeiter des bmvit. Kein anderer Mitarbeiter des bmvit war am Vergabeverfahren beteiligt und hatte demnach auch mit Ausnahme der jeweils zuständigen Mitarbeiter im Sinne der Aufgabenverteilung kein anderer Mitarbeiter innerhalb des bmvit einen Zugang zu den Unterlagen aus diesem Vergabeverfahren. Noch weniger konnte aufgrund der Sicherheitsstandards im Netzwerk des bmvit irgendein anderer Mitarbeiter unbefugt auf den E-Mail-Account der jeweiligen Mitarbeiter im Vergabeverfahren zugreifen. Es war daher organisatorisch ausgeschlossen, dass außer den zuständigen Personen noch weitere Mitarbeiter E-Mails im Zusammenhang mit diesem Vergabeverfahren versendeten oder empfingen.
Die im Vergabeverfahren zweitgereihte Agentur B (diese Bezeichnung entspricht jener im Antrag des Antragstellers), welche ein Angebot samt einem Werbekonzept, das dem Konzept der erstgereihten Agentur A, welche den Zuschlag erhielt, ähnlich gewesen sein soll, hat gegen diese Agentur A ein Verfahren vor dem Handelsgericht Wien wegen Verletzung ihres Urheberrechts an dem Entwurf für die gegenständliche Werbekampagne 'Alkohol am Steuer' mit dem Vorwurf des Plagiierens angestrengt. Aus diesem Anlass hat der Rechnungshof mit Prüfungsauftrag vom , GZ 004.097/003, eine Gebarungskontrolle in Bezug auf die Rechtmäßigkeit dieses Vergabeverfahrens eingeleitet und dabei als Gegenstand 'die Überprüfung der Gebarung des bmvit hinsichtlich des Österreichischen Verkehrssicherheitsfonds' genannt. Die im nunmehrigen Antrag erwähnte Konkretisierung des Auftrags und zwar Überprüfung der Einhaltung der Geheimhaltungspflicht aller im Vergabeverfahren beteiligten Personen, war im Prüfungsauftrag noch nicht enthalten.
Im ersten 'Ansuchen um Übermittlung von Unterlagen im Rahmen der Gebarungsüberprüfung des Verkehrssicherheitsfonds' vom hat der Rechnungshof generell alle E-Mails-Daten sämtlicher Mitarbeiter des bmvit einschließlich Inhalts- und Verkehrsdaten zwischen der Domain ©bmvit.gv.at und 7 konkret angeführten externen Domains (@loweggk.at; @draftfcb.com; @draftfcb.at; @kobza.at; @kobzamedia.at; @kobzaintegra.at; @integraperformance.at) für den Zeitraum zwischen Veröffentlichung der Ausschreibung () und Zuschlagserteilung () angefragt. Nach begründeter Ablehnung der Herausgabe dieser Daten durch das bmvit hat der Rechnungshof mit Mitteilung 'Unterlagenanforderung' vom die Herausgabe der Verkehrsdaten einschließlich des Betreffs in Bezug auf sämtliche intern und extern von der Domain @bmvit.gv.at gesendeten und empfangenen Emails für den Zeitraum 2008 bis dato verlangt. Die beiden Ansuchen waren daher nicht nur in Bezug auf die von der Untersuchung betroffenen Personen und den relevanten Zeitraum völlig unspezifiziert, sondern ließen auch jede Beschreibung des Zwecks des Übermittlungsersuchens vermissen. So hat der Rechnungshof weder bei seinem ersten noch bei seinem zweiten Übermittlungsersuchen den Zweck der Abfrage dahin konkretisiert, dass ein allfälliger Informationsfluss von Inhalten des Erstangebotes der Agentur B durch Mitarbeiter des Antragsgegners an die Agentur A überprüft werden müsste. Der Rechnungshof trägt diese Begründung zum ersten Mal im gegenständlichen Antrag auf Seite 4 vor.
B. Rechtliche Würdigung
1. Ausgangslage
Das bmvit verweigerte die Erledigung der beiden Übermittlungsersuchen des Rechnungshofs, welche allerdings nicht - wie auf Seite 6 des Antrages nunmehr behauptet - auf die Einsichtnahme in den Inhalt konkreter E-Mails gerichtet waren. Motiv der Verweigerung war daher die oben beschriebene Unbestimmtheit und mangelnde Konkretisierung der Übermittlungsersuchen, so dass eine Übermittlung aus technischen und rechtlichen Gründen nicht realisierbar gewesen wäre. Das bmvit hat die Verweigerung der Herausgabe gemäß dem ersten Übermittlungsersuchen im Wesentlichen damit begründet, dass datenschutzrechtliche Gründe die Herausgabe verbieten würden, zumal nicht ausgeschlossen werden könnte, dass private E-Mails unter den angefragten Daten wären. Im Übrigen würden aufgrund technischer Einschränkungen des Backupsystems die E-Mails für den angefragten Zeitraum nicht mehr vollständig zur Verfügung stehen.
Als Reaktion auf die Verweigerung der Herausgabe der Daten durch das bmvit hat der Rechnungshof sein zweites Übermittlungsersuchen nicht nur nicht konkretisiert, sondern vielmehr noch dahin ausgedehnt, dass er anstatt der E-Mail-Daten von einer bmvit-Domain an konkret bezeichnete 7 Domains für den Zeitraum von 3 Monaten, nunmehr Daten betreffend die Email-Kommunikation aller rund 900 Personen mit einer bmvit-Domain ohne Einschränkung auf einen bestimmten Empfänger/Sender über einen Zeitraum von mehr als 5 Jahren verlangte. Das zweite Übermittlungsersuchen wurde daher zwangsläufig vom bmvit mit Stellungnahme vom ausschließlich aus datenschutzrechtlichen Gründen, insbesondere mangels Vorliegens einer besonderen Rechtsgrundlage für einen solche Eingriff in das Grundrecht auf Datenschutz, nicht nur der Mitarbeiter des bmvit sondern auch aller Dritter, welche im abgefragten Zeitraum E-Mails an die Domain @bmvit.gv.at gerichtet haben, sowie aufgrund der Verletzung des Zweckbindungsgrundsatzes und des Verhältnismäßigkeitsgebotes, ohne dass der Aufforderung zur Herausgabe dieser E-Mail-Daten Folge geleistet wurde, zurückgewiesen.
Der Antragsgegner geht unverändert von der Richtigkeit seiner Rechtsauffassung aus, wonach beide Übermittlungsersuchen des Rechnungshofes auf Übermittlung von E-Mail-Daten der Mitarbeiter des bmvit das Grundrecht auf Datenschutz außer Acht lassen und daher aufgrund der das bmvit treffenden Verpflichtungen als Auftraggeber nach dem Datenschutzgesetz 2000, insbesondere gemäß § 7 Abs 2 DSG 2000, ein Übermitteln der Daten an den Rechnungshof rechtswidrig wäre. Erst nach Konkretisierung der Amtshandlung des Rechnungshofs hinsichtlich namentlich genannter Personen, konkreter E-Maildaten und Zweck des Ersuchens im Sinne eines Verdachts gegen bestimmte Personen, könnte dem Übermittlungsersuchen genüge getan werden.
Dazu im Einzelnen:
2. Rechtliche Tragweite der Art 121, 126b B VG
Die Anfrage des Antragstellers hat in beiden Fällen bedeutet, dass, aufgrund der gem. § 79d BDG und § 29n VBG in eingeschränktem Maße zulässigen Nutzung der IKT-Infrastruktur des bmvit zu privaten Zwecken, nicht nur dienstliche E-Mails, sondern potentiell auch private Daten der Mitarbeiter des bmvit betroffen sind. Darüber hinaus wären von der Herausgabe der Daten auch die Kommunikationspartner der Mitarbeiter des bmvit, welche unter Umständen weder einen dienstlichen Zusammenhang zum bmvit noch zum relevanten Vergabeverfahren oder zur Gebarungsüberprüfung aufweisen würden, betroffen gewesen.
Die Argumentation des Rechnungshofs unter Punkt II.5. seines Antrages, wonach der Rechnungshof eine umfassende und unbeschränkbare Auskunfts- und Einschaubefugnis habe, und er daher in alle gebarungsrelevanten Unterlagen, also auch in private E-Mails, Einschau nehmen könne, steht mit dem Gesetz und den Grundrechten nicht im Einklang. Unstrittig ist, dass die Kontrolle durch den Rechnungshof eine umfassende Rechnungs- und Gebarungskontrolle darstellt; als Rechnungskontrolle ist sie auf die ziffernmäßige Richtigkeit und Ordnungsmäßigkeit gerichtet, als Gebarungskontrolle auf die Rechtmäßigkeits- und Effizienzkontrolle. Bestehen daher Zweifel an der Einhaltung bestehender Rechtsvorschriften oder den Grundsätzen der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit dort, wo ein bestimmtes Verwaltungshandeln stattgefunden hat, ist der Rechnungshof zur ex post-Kontrolle berufen. Diese im B VG normierte Prüfungsbefugnis des Rechnungshofs kann als generelle Rechtfertigung für die Übermittlung von Daten verstanden werden, allerdings nur dann, wenn der für die Durchführung der Prüfung notwendige Umfang nicht überschritten wird ( Wiederin in Merten/Papier (Hrsg), Handbuch der Grundrechte (2009) § 190 Rz 142). In einer älteren VfGH-Entscheidung ging es um die Gebarungsüberprüfung bezüglich des Personalaufwandes eines Rechtsträgers, wobei die Einsicht in die jeweiligen Personalakten strittig war, und der VfGH erkannte, dass eine Überprüfung des Personalaufwandes einer Gebietskörperschaft nur möglich ist, wenn der Rechnungshof zur Einsichtnahme in die, die Bediensteten betreffenden, Personalakten dieser Gebietskörperschaft umfassend befugt ist (). In einer nachfolgenden Entscheidung, welche auf die früher ergangene Entscheidung referenziert, ging es um die Gebarungsüberprüfung in Bezug auf die Rechtmäßigkeit der Höhe, der Verrechnung und der Verwendung der Ärztehonorare in der Sondergebührenklasse. Der VfGH sprach aus, dass die Überprüfung ohne Kenntnis der die einzelnen anspruchsberechtigten Ärzte betreffenden Honorardaten nicht durchführbar ist (). Diese Grundsätze angewendet auf den vorliegenden Sachverhalt müssen bedeuten, dass ausschließlich die (wechselseitige) dienstliche E-Mail-Kommunikation der Mitarbeiter des bmvit, welche am gegenständlichen Vergabeverfahren beteiligt waren, mit den an der Ausschreibung teilnehmenden Agenturen bzw deren Mitarbeitern, vom Tag der Veröffentlichung der Ausschreibung bis zur Zuschlagserteilung, als zur Überprüfung der Rechtmäßigkeit des Vergabeverfahrens nach den Maßstäben der Gebarungsüberprüfung notwendig erachtet werden können. Die Einsichtnahme in sämtliche E-Mail-Kommunikation aller Bediensteten des bmvit bzw jener Personen, welche eine Domain mit @bmvit.gv.at nutzen, und korrespondierend deren (externen) Kommunikationsteilnehmern würde außerhalb der Zwecke der Gebarungsprüfung liegen. Die Verwendung der Instrumente der Gebarungsüberprüfung zu einer, wie in den gegenständlichen Übermittlungsersuchen, umfassenden zweckungebundenen E-Mail-Sichtung durch den Rechnungshof wäre demnach jedenfalls missbräuchlich und kann weder in Art 126b B VG iVm dem RHG noch in einer anderen Rechtsvorschrift Deckung finden. Eine nach Maßgabe des § 1 DSG 2000 verfassungskonforme sowie der Datenschutzrichtlinie 95/46/EG und Art 8 GRC unionsrechtskonforme Auslegung des § 3 RHG gebietet es daher, die Datenübermittlung an den Rechnungshof vollumfänglich am Maßstab des Datenschutzgesetzes und den darin genannten Prüfschritten zu messen.
3. Die Grenzen des Datenschutzgesetzes
3.1. Gesetzliche Grundlage des Eingriffs
Gemäß § 1 Abs 1 DSG 2000 hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Beschränkungen bei Eingriffen einer staatlichen Behörde sind nur aufgrund von Gesetzen, die aus den in Art 8 Abs 2 EMRK genannten Gründen notwendig sind, zulässig und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen enthalten (§1 Abs 2 DSG 2000). Die Verarbeitung von Daten durch staatliche Behörden ist ferner nur aufgrund von Gesetzen zulässig, die ausreichend präzise determiniert und demnach für den Betroffenen vorhersehbar sein müssen. Die materienspezifische Regelung muss in dem Sinn dafür Sorge tragen, dass die Fälle zulässiger Eingriffe in das Grundrecht auf Datenschutz konkretisiert und begrenzt werden (zB VfSlg 18.146/2007). Zu diesem materiellen Gesetzesvorbehalt wäre zusätzlich eine Interessenabwägung nach Maßgabe der Prüfschritte des Datenschutzgesetzes zur Beurteilung der Zulässigkeit der Datenverarbeitung für jeden behördlichen Eingriff erforderlich.
Klarstellend ist zunächst voranzustellen, dass E-Mails (sowohl die Verbindungsdaten als auch die Inhaltsdaten) in Bezug auf den (ausgeschiedenen) Mitarbeiter, der den jeweiligen Account nutzt (benutzt hat), personenbezogene Daten im Sinne des § 4 Z 1 DSG 2000 sind. Auf ihre Verarbeitung findet daher das Datenschutzgesetz (DSG 2000) Anwendung. Die elektronische Kommunikation am Arbeitsplatz fällt außerdem unter den Begriff 'Privatleben' im Sinne des Art 8 EMRK, weshalb eine Sichtung und Weitergabe von E-Mails des Arbeitnehmers nicht ohne weiteres durch den Arbeitgeber erlaubt ist (vgl. Artikel 29-Datenschutzgruppe, Arbeitsdokument zur Überwachung der elektronischen Kommunikation von Beschäftigten, 5401/04/DE/endg., WP 55). So schließt der in Artikel 8 EMRK verankerte Schutz des Privatlebens auch das Berufsleben als Arbeitnehmer nicht aus und ist nicht auf das häusliche Leben beschränkt. In dem Sinn hat der EGMR klar konstatiert, dass nichts dafür spricht, vom Verständnis des Begriffs des Privatlebens Tätigkeiten beruflicher und geschäftlicher Art auszuschließen, da die meisten Leute ja gerade in ihrem Berufsleben eine signifikante oder sogar die größte Möglichkeit zur Entwicklung der Beziehungen mit der Außenwelt haben (vgl. EGMR , 13710/88, Niemitz gegen Deutschland). Elektronische Korrespondenz aus den Geschäftsräumen kann daher unter den Begriff Privatleben im Sinne von Artikel 8 Abs 1 EMRK fallen (Artikel 29-Datenschutzgruppe, Arbeitsdokument zur Überwachung der elektronischen Kommunikation von Beschäftigten, 5401/04/DE/endg., WP 55, 21).
Der Rechnungshof stützt sein Ansuchen auf Artikel 126b B VG iVm § 3 RHG. Im Anwendungsbereich des § 1 Abs 2 DSG 2000 ist nun allerdings gefordert, dass aus der angezogenen Rechtsvorschrift hervorgeht, unter welchen Voraussetzungen die Ermittlung bzw die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben zulässig ist. Allein aus der grundsätzlichen Kompetenz zur Einsichtnahme in für die Gebarungsüberprüfung relevante Daten kann noch nicht auf eine Befugnis zur automationsunterstützten Auswertung aller E-Maildaten eines Accounts geschlossen werden. Von einer ausdrücklichen gesetzlichen Ermächtigung im Sinne des § 1 Abs 2 DSG 2000, welche den Rechnungshof im Sinne der vorgenannten Rechtsprechung hinreichend determiniert ermächtigt, einen Gesamtauszug aus dem E-Mail-Server des bmvit (ohne Einschränkung auf dienstliche E-Mails) automationsunterstützt zu erhalten, kann daher hierbei nicht die Rede sein. Als besondere Rechtsgrundlage der Übermittlung kann im Weiteren mangels gesetzlicher Ermächtigung nur auf den Auffangtatbestand der überwiegenden berechtigten Interessen des Datenempfängers (§§7 Abs 2 Z 3 iVm 8 Abs 1 Z 4 DSG 2000) zurückgegriffen werden.
3.2. Plausibilitätsprüfung des Übermittlungsersuchens
Wenn zunächst der Rechnungshof unter Berufung auf die Erkenntnisse des , 2/2013 und 3/2013) argumentiert, dass die geprüfte Stelle nicht befugt ist, die Einsicht in gebarungsrelevante Unterlagen zu Zwecken der Gebarungskontrolle zu behindern und von Bedingungen abhängig zu machen, so ist dem entgegen zu halten, dass die grundsätzliche Verpflichtung zur Gestattung der Einsicht in die gebarungsrelevanten Unterlagen auch nicht in Abrede gestellt wird. Allerdings trifft das bmvit als datenschutzrechtlicher Auftraggeber bei einem Übermittlungsersuchen die Pflicht zur Vornahme einer Plausibilitätsprüfung und der Rechnungshof wird durch dieses Verbot der Nachkontrolle nicht von seiner Verantwortung zu diesem Zweck eine ordnungsgemäße Übermittlungsanfrage zu stellen, entbunden. Andernfalls würde im Anwendungsbereich des DSG 2000 die Pflicht zur Wahrung des Geheimnisschutzes durch ein generelles Nachprüfungsverbot konterkariert werden, und kann dies dem zitierten Erkenntnis des Verfassungsgerichtshofs nicht unterstellt werden. So kann es wohl nur innerhalb des Anwendungsbereichs des Art 126b B VG eine derart weitreichende Übermittlungspflicht des Rechtsträgers geben, so dass das Grundrecht auf Datenschutz verdrängt wird und der Auftraggeber nicht zur Prüfung der Übermittlungsanfrage des Rechnungshofes angehalten ist. Da allerdings mit der vorliegenden Anfrage der notwendige Umfang der Gebarungsprüfung überschritten wird (nicht bloß rein dienstliche E-Mails, siehe dazu oben Punkt 2.), muss die Übermittlungsanfrage von § 1 Abs 2 DSG 2000 gedeckt sein.
Vor diesem Hintergrund ist die Anfrage des Rechnungshofs zur Herausgabe von Daten in Bezug auf sämtliche E-Mails sämtlicher Mitarbeiter des bmvit zu beurteilen. Das Übermitteln von Daten ist gemäß § 4 Z 12 DSG 2000 die Weitergabe von Daten aus einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister. Voraussetzung für die Zulässigkeit der Übermittlung von Daten ist zufolge § 7 Abs 2 DSG 2000, dass
die Daten aus einer zulässigen Datenanwendung stammen (Z1 leg cit),
der Empfänger seine ausreichende rechtliche Befugnis in Hinblick auf den Übermittlungszweck glaubhaft macht (Z2 leg cit), und
die schutzwürdigen Geheimhaltungsinteressen des Betroffenen durch Zweck und Inhalt der Übermittlung nicht verletzt werden (Z3 leg cit).
Der Übermittelnde ist - wie bereits angesprochen - nach § 7 Abs 2 DSG 2000 grundsätzlich immer gehalten, die Plausibilität von Übermittlungsersuchen zu prüfen (DSK , K121.353/2008-DSK/2008). Die Datenschutzbehörde geht davon aus, dass eine Übermittlung rechtswidrig ist, wenn der Übermittler nicht seiner Pflicht gemäß § 7 Abs 2 Z 2 und 3 DSG 2000 nachgekommen ist, wonach Daten nur übermittelt werden dürfen, wenn der Übermittelnde sich vom Empfänger bescheinigen hat lassen, dass dieser eine ausreichende rechtliche Befugnis im Hinblick auf den Übermittlungszweck besitzt und durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt wurden (DSK , K120.798/001-DSK/2003).
3.3. Die Prüfschritte im Einzelnen
3.3.1. Vornahme der Prüfung
Nur dann, wenn überwiegende berechtigte Interessen des Auftraggebers bzw Datenempfängers vorliegen, und die Geheimhaltungsinteressen der jeweiligen E-Mail-Account-Inhaber daher ausnahmsweise nicht beeinträchtigt sind (§8 Abs 1 Z 4 DSG 2000), kann die Kontrolle des E-Mailverkehrs bzw dessen Weitergabe zulässig sein.
Zunächst liegt es nahe zu prüfen, ob die Rechtsgrundlagen für das Einschreiten des Rechnungshofs dem Tatbestand des § 8 Abs 3 Z 1 DSG 2000 genügen, und daher die Notwendigkeit der Datenübermittlung als wesentliche Voraussetzung für die Wahrnehmung der dem Rechnungshof gesetzlich übertragenen Aufgaben argumentiert werden kann. Selbst wenn daher das Gesetz dem geforderten Determinierungsgrad nach § 1 Abs 2 DSG 2000 nicht gerecht wird, so wäre dieser Tatbestand des § 8 Abs 3 leg cit erfüllt, wenn die Aufgabenerfüllung ohne die konkrete automationsunterstützte Datenverarbeitung nicht sparsam und zweckmäßig wäre. Genau zu prüfen ist dabei jedoch, ob 1.) der Zweck der angestrebten Datenverwendung für die Erfüllung der konkreten gesetzlich übertragenen Aufgabe wesentlich ist, und ob 2.) die zur Verwendung vorgesehenen Datenarten für den Verarbeitungszweck wesentlich sind ( Kunnert, Die abschnittsbezogene Geschwindigkeitsüberwachung aus datenschutzrechtlicher Sicht, ZVR 2006/17,84). Die Erfüllung dieses Tatbestandes muss daher gegenständlich daran scheitern, dass eine generelle Grundlage zur unterschiedslosen Verarbeitung privater E-Mail-Daten von Mitarbeitern gebarungskontrollunterworfener Rechtsträger und sonstiger Personen außerhalb eines solchen Rechtsträgers mit dem Rechnungshofgesetz nicht geschaffen wurde.
Selbst wenn der Tatbestand des § 8 Abs 3 Z 1 DSG 2000 nicht als erfüllt anzusehen ist, könnten andere Verwendungskonstellationen vorliegen, deren Beurteilung unter Abwägung der Interessen im Einzelfall ergibt, dass schutzwürdige Interessen der Betroffenen nicht verletzt sind. Das Vorliegen eines begründeten Verdachts einer Rechtsverletzung, die durch den Gebrauch der betrieblichen IT-Ausstattung begangen wurde, könnte eine solche Sachverhaltskonstellation begründen, welche ein überwiegendes berechtigtes Interesse des Arbeitgebers bzw Datenempfängers annehmen ließe (vgl Kotschy/Reimer, Die Überwachung der Internet-Kommunikation am Arbeitsplatz, ZAS 2004/29). Für öffentlich-rechtliche Dienstverhältnisse regeln die §§79g ff BDG, dass bei begründetem Verdacht einer gröblichen Dienstpflichtverletzung ein Zugriff auf E-Mails zulässig sein kann. Die Regelung sieht vor, dass dann, wenn ein begründeter Verdacht einer gröblichen Dienstpflichtverletzung vorliegt, zwecks Verhinderung allfälliger weiterer Dienstpflichtverletzungen und/oder zur Klarstellung des Sachverhalts in einem ersten Schritt anonymisierte Auswertungen über Auftrag des Dienststellenleiters erfolgen können (vgl § 79g Abs 1 und Abs 2 BDG). Nur dann, wenn ein begründeter Verdacht gegen eine bestimmte Person wegen eines konkreten Vorfalls vorliegt, muss das Verfahren einer stufenweisen Kontrollverdichtung nicht eingehalten werden, sondern ist, da hier jedenfalls die Klärung des Sachverhalts erforderlich ist, der sofortige Zugriff auf die Daten der betreffenden Person zulässig (vgl RV 160 BlgNR XXIV. GP 5). Der für den Zugriff erforderliche Ermittlungsauftrag hat den Verdachtsfall unter Nennung des Beamten genau zu umschreiben (§79g Abs 7 BDG).
Wie der Sachverhalt gestaltet sein muss, um einen begründeten Verdacht entstehen zu lassen, ergibt sich zwar weder aus dem BDG noch aus dem Datenschutzgesetz, kann allerdings anhand der bereits erfolgten Auslegung dieses Terminus im Zusammenhang mit anderen Rechtssystemen, die diesen Begriff auch kennen, interpretiert werden. Ein begründeter Verdacht gemäß § 40 Abs 4 Z 1 BWG, dass eine Transaktion der Geldwäscherei dient, liegt etwa dann vor, wenn hinreichende tatsächliche Anhaltspunkte die Annahme der Wahrscheinlichkeit des Vorliegens der Geldwäscherei rechtfertigen. Verdächtig ist eine Transaktion, wenn die Art des Geschäfts an sich unplausibel ist oder wenn eine andere, normale, legale, harmlose Erklärung kaum in Betracht kommt (). § 87b UrhG normiert im Zusammenhang mit der Auskunft des Providers gegenüber einem betroffenen Urheber, dass der Verletzte ein schriftliches und ausreichend begründetes Verlangen auf Auskunftserteilung an den Vermittler zu stellen hat. In die Begründung sind insbesondere hinreichend konkretisierte Angaben über die den Verdacht der Rechtsverletzung begründenden Tatsachen aufzunehmen. Der 'begründete Verdacht' wird ferner in § 12 Abs 1 WettbG verwendet. Nach dem OGH liegt ein solcher Verdacht vor, wenn er sich rational nachvollziehbar dartun lässt, wofür Tatsachen vorliegen müssen, aus denen vertretbar und nachvollziehbar geschlossen werden kann, dass eine Zuwiderhandlung gegen Wettbewerbsbestimmungen vorliegt (). Im Lichte dieser Rechtsprechung kann ein begründeter Verdacht nur im Sinne eines konkreten Verdachts verstanden werden, und daher dahin, dass schlüssige und nachvollziehbare Anhaltspunkte für eine Rechtsverletzung ins Treffen zu führen sind. Insbesondere müssen die vorliegenden Anhaltspunkte nahelegen, dass ein bestimmter Rechtsverstoß geschehen ist und damit jede andere harmlose Erklärung für dieses Verhalten unwahrscheinlich machen.
Es wäre in diesem Sinn bei einer verfassungskonformen und unionsrechtskonformen Auslegung des § 3 RHG zur Darlegung des überwiegenden berechtigten Interesses des Datenempfängers an der Datenübermittlung notwendig gewesen, dass der Rechnungshof seine Anfrage vom bzw in Bezug auf die konkreten Mitarbeiter, welche überhaupt an der gegenständlichen Ausschreibung beteiligt gewesen sind, und in Bezug auf den Verdacht, welcher gegen diese besteht, und daher im Sinne der gemutmaßten Vertraulichkeitsverletzung, spezifiziert. Selbst wenn in Bezug auf den verdächtigen Sachverhalt als hinreichend betrachtet werden sollte, dass aufgrund des grundsätzlichen Inhalts der Gebarungskontrolle im Zusammenhang mit der Verkehrssicherheitskampagne 2009 bekannt war, um welchen Vorfall es sich handelte, kann daraus keine Rechtfertigung für eine Pauschalverdächtigung aller Mitarbeiter des bmvit und implizit der jeweiligen Kommunikationspartner abgeleitet werden. Es wäre vielmehr notwendig gewesen, dass Indizien genannt werden, wonach bestimmte Mitarbeiter des bmvit illegitim vorgegangen seien, indem beispielweise Unterlagen von Ausschreibungsteilnehmern an Dritte herausgegeben worden sind. Nach diesen inhaltlichen Kriterien hätte der Rechnungshof die Beteiligten und der Verlauf der Kommunikation, woraus sich ein Verdacht ableiten ließe, beschreiben müssen. Dies wäre auch angesichts der bereits beim Rechnungshof in Prüfung befindlichen Unterlagen zum Vergabeverfahren und dem anhängigen Urheberrechtsstreit, dessen Unterlagen dem Rechnungshof auch nicht verborgen geblieben sein können, möglich und zumutbar gewesen. Die gegenständlichen Übermittlungsersuchen weichen allerdings von dieser Anforderung dadurch ab, dass konkrete Anhaltspunkte für einen begründeten Verdacht nicht dargestellt wurden.
Es werden vom Rechnungshof insgesamt keine Anhaltspunkte genannt, welche vermögen würden, ein überwiegendes berechtigtes Interesse des Datenempfängers an der Datenverarbeitung im konkreten angefragten Umfang darzustellen.
3.3.2. Argumente des Rechnungshofs
Wenn sich der Rechnungshof zur Verteidigung seines unspezifizierten Übermittlungsersuchens damit rechtfertigt, dass E-Mails der Gebarungskontrolle unterliegen, und unter Verweis auf das Erkenntnis des , einer Meinungsverschiedenheit zwischen dem Rechnungshof und der Wirtschaftsagentur Wien, argumentiert, dass die Gebarungsrelevanz nicht von vornherein ausgeschlossen werden kann, so ist dem entgegen zu halten, dass der Rechnungshof, den Inhalt seiner Anfrage und insbesondere auch den Unterschied zu der Anfrage, welche dem Erkenntnis GZ KR2/2013 zugrunde lag, verkennt. So wurde im dem relevierten Erkenntnis zugrunde liegenden Sachverhalt die Einsichtnahme in konkret bezeichnete Unterlagen (zB Aufstellung der per vermieteten Flächen) verlangt. Im Übrigen wurde die Einsichtnahme selbst in solcherart bezeichnete Unterlagen dahin vom VfGH eingeschränkt, dass er ergänzt hat 'nur insoweit, als die ZIT diese Unterlagen im Rahmen von Gesellschafterbeschlüssen, Generalversammlungen oder ganz allgemein in ihrer Eigenschaft als Gesellschafterin der MQM auch tatsächlich erhalten hat'. Als außerhalb der Prüfungsbefugnis des Rechnungshofs wurde die Einsichtnahme generell in 'mietvertragliche Unterlagen', die nach Ansicht des VfGH überhaupt nicht oder nicht in allen Details auch tatsächlich Grundlage für Handlungen der ZIT waren, für unzulässig befunden. Die gegenständliche verlangte Einsicht in alle ein- und ausgehenden E-Maildaten (wenn auch zunächst ohne Inhalt) der Personen mit einer der Domain @bmvit.gv.at zugeordneten Mail-Adresse, ohne Konkretisierung des Umfangs dahin, dass sichergestellt ist, dass die E-Mails einen Bezug zum geprüften Vergabeverfahren haben, muss demnach als unzulässig betrachtet werden.
Außerdem kann in Hinblick auf die Auskunftsverpflichtung gemäß § 3 RHG bei einer verfassungs- und unionsrechtskonformen Auslegung vom geprüften Rechtsträger nicht verlangt werden, dass er unter Verletzung seiner datenschutzrechtlichen Geheimhaltungspflichten gegenüber seinen Arbeitnehmern eine völlig unspezifizierte Gesamtschau in auch offenbar solche Unterlagen, die außerhalb der Prüfungsbefugnis des Rechnungshofes liegen, zulässt. Die Herausgabe der E-Mails verbietet sich dem bmvit nicht zuletzt mangels einer entsprechenden Ausnahmebestimmung im BDG, das abschließend die Grundsätze der IKT-Nutzung und Auswertung der entsprechenden (privaten) Daten durch den Dienstgeber regelt. Die Zurückhaltung der Offenlegung der angefragten Unterlagen stellte die einzige Reaktionsmöglichkeit des Antragsgegners dar, um die bei Offenlegung der Daten befürchtete pflichtwidrige Verwendung zu vermeiden. Wenn jemandem ein Verhalten nicht zumutbar ist, dann kann seine Unterlassung auch nicht 'unzulässig' sein.
Der Rechnungshof argumentiert weiters zur Rechtfertigung seiner Formulierung des Übermittlungsansuchens, dass er 'nicht alle E-Mails (deren Inhalt) über den Prüfungszeitraum' (Seite 4) angefordert hatte. Er lässt dabei allerdings den Umfang seiner Anfrage vom im Lichte des rechtlich relevanten Terminus der 'Daten' nach dem Datenschutzgesetz außer acht und vermag mit dieser Argumentation die Wahrung der Interessen der Betroffenen nicht herzustellen. Bei einer datenschutzrechtlichen Betrachtung dieses Übermittlungsersuchens im Sinne des § 7 Abs 2 DSG 2000 muss zunächst davon abgegangen werden, die Datenarten (zB Verkehrsdaten versus Inhaltsdaten oder Daten über private Kommunikation versus Daten über dienstliche Kommunikation etc) als Ausgangspunkt der Betrachtung zu wählen. Die Überwachung von Kommunikationsdaten als solche und daher sowohl von Verkehrs- als auch Inhaltsdaten kann nämlich im Einzelfall problematisch sein. Die Differenzierung wäre daher nur in Bezug auf die Verhältnismäßigkeit einer Kontrollmaßnahme relevant, da ein Eingriff in den Inhalt einer Kommunikation regelmäßig als schwerwiegender gewertet wird, als die Kenntnisnahme von Verkehrsdaten; nicht allerdings für die Fragestellung, ob Geheimhaltungsinteressen des Betroffenen überhaupt verletzt sind (vgl Kotschy/Reimer , Die Überwachung der Internet-Kommunikation am Arbeitsplatz, ZAS 2004/29).
3.3.3. Zusammenfassung
Zusammengefasst sind schutzwürdige Geheimhaltungsinteressen eines Betroffenen nur dann nicht verletzt, wenn eine ausdrückliche gesetzliche Ermächtigung, welche dem öffentlichen Auftraggeber die bestimmte automationsunterstützte Datenverarbeitung erlaubt, vorliegt. Eine solche gesetzliche Ermächtigung muss Aussagen über die zu verarbeitenden Datenarten, die Betroffenenkreise und über die Empfänger der Daten enthalten. Eine solche Ermächtigungsgrundlage liegt in concreto nicht vor. Subsidiär kann die Datenverarbeitung auf das Vorliegen von überwiegenden berechtigten Interessen des öffentlichen Auftraggebers gestützt werden, die unter anderem dann vorliegen, wenn entweder die Datenverwendung eine wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben (§8 Abs 3 Z 1 DSG 2000) darstellt oder sonst eine Verwendungskonstellation vorliegt, welche die Verletzung schutzwürdiger Geheimhaltungsinteressen ausschließt. Ein Gesetz im Sinne des § 8 Abs 3 Z 1 DSG 2000 kann der Rechnungshof in Bezug auf die pauschale Einsichtnahme in private E-Maildaten von Mitarbeitern eines gebarungskontrollunterworfenen Rechtsträgers nicht für sich in Anspruch nehmen.
In jedem Fall hätte daher der Rechnungshof im Sinne einer verfassungs- und unionsrechtskonformen Auslegung des § 3 RHG die Anhaltspunkte für einen konkreten Verdacht gegen bestimmte Personen beschreiben müssen, und sein Übermittlungsansuchen dahin strukturieren müssen (Sachverhaltsangaben in Bezug auf Verdacht der Rechtsverletzung, Nennung der Betroffenen, Spezifikation von Suchworten, Beschränkung auf dienstliche E-Mails, Zeitraum der Abfrage). Da dies unterblieben ist, musste der Antragsgegner das Übermittlungsersuchen, das der Rechnungshof in Verkennung der gesetzlichen Anforderungen gestellt hat, zurückweisen. In Hinblick auf die vom Antragsgegner als datenschutzrechtlicher Auftraggeber wahrzunehmende Verpflichtung, personenbezogene Daten erst nach Prüfung des Übermittlungsersuchens in Hinblick auf die Wahrung der datenschutzrechtlichen Grundsätze herauszugeben, kann die Verweigerung der Herausgabe der personenbezogenen Daten der Mitarbeiter dem Antragsgegner daher nicht zum Vorwurf gemacht werden. Vielmehr war er dazu aus datenschutzrechtlicher Sicht verpflichtet und konnte diese Pflicht auch nicht durch die Einsichtsrechte des Rechnungshofs aufgrund der Gebarungskontrolle unterlaufen werden.
3.4. Allgemeine Anforderungen an die Datenverarbeitung
Selbst wenn der Verfassungsgerichtshof zu der Rechtsansicht gelangen sollte, dass aufgrund der Artikel 121, 126b B VG, wonach der Rechnungshof zur Überprüfung der Gebarung des Bundes, der Länder, der Gemeindeverbände, der Gemeinden und anderer durch Gesetz bestimmter Rechtsträger berufen ist, das Übermittlungsersuchen schutzwürdige Geheimhaltungsinteressen der Betroffenen nicht verletzt, so sind dennoch bei jeder Datenverwendung der Zweckbindungsgrundsatz und das Verhältnismäßigkeitsgebot zu beachten. Dies gilt im Lichte der Rsp des EuGH im Hinblick darauf, dass die einschlägigen Bestimmungen des DSG 2000 der Umsetzung der RL 95/46/EG dienen, auch dann, wenn die Übermittlung der personenbezogenen Daten durch Art 126b B VG und § 3 RHG dem Grunde nach gedeckt ist (Vgl Österreichischer Rundfunk ua, Slg 2003, I-4989).
3.4.1. Verletzung des Zweckbindungsgrundsatzes
Die Anfrage des Rechnungshofs auf Übermittlung von Daten geschah unter Verletzung des Zweckbindungsgrundsatzes. Daten dürfen nach § 6 Abs 1 Z 2 DSG 2000 nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden. Jede Datenanwendung muss daher einen vordefinierten Zweck haben, an den sie gebunden ist. Der Zweck der Datenverarbeitung und demnach auch der Datenübermittlung muss in diesem Sinn vor Aufnahme so klar zum Ausdruck gebracht werden, dass kein Zweifel daran besteht, welche Verwendung der Daten zur Erreichung dieses Zwecks notwendig und mit diesem vereinbar ist. Vor diesem Hintergrund ist auch die Entscheidungspraxis der Datenschutzbehörde zu sehen, wonach die Ermittlung von Daten in einem Verwaltungsverfahren der zuständigen Behörde nur dann zulässig ist, wenn es angesichts des Verfahrensgegenstandes denkmöglich war, dass die ermittelten Daten eine wesentliche Voraussetzung für die Fällung einer Entscheidung in diesem Verwaltungsverfahren bilden (DSK , K121.353/0008-DSK/2008).
Der Rechnungshof wäre daher angehalten gewesen, den genauen Zweck seiner Übermittlungsanfrage zu definieren und dafür nur diejenigen Daten abzufragen, welche im konkreten Fall tatsächlich zur Prüfung des Vergabeverfahrens und allfälliger Verletzungen von Vertraulichkeitsverpflichtungen erforderlich waren. Dadurch, dass der Rechnungshof die E-Maildaten ohne jede Konkretisierung des Zwecks und ohne jede Einschränkung auf einen verfahrensrelevanten Zeitraum oder auf beteiligte Personen ermitteln wollte, wurde die Grenze der Ermittlung denkmöglichweise relevanter Daten jedenfalls überschritten, da es nur um dienstliche E-Mails der beteiligten Personen im Zeitraum des Vergabeverfahrens gehen kann. Selbst, wenn argumentiert werden sollte, dass die bloße Berufung auf die Gebarungskontrolle in Bezug auf die Verkehrssicherheitskampagne 2009 den Anforderungen des § 6 Abs 3 DSG 2000 genügt, so wären die angefragten umfassenden Daten sämtlicher Inhaber einer E-Mail-Adresse zur Domain @bmvit.gv.at zur Erreichung des Zwecks nicht notwendig gewesen, worin auch eine Überschreitung der datenschutzrechtlichen Grenzen des Zweckbindungsgrundsatzes liegt.
Das gegenständliche Übermittlungsersuchen ist aus den vorgenannten Gründen unter Verletzung des Gebots, Daten nur zu einem bestimmten Zweck verarbeiten zu dürfen, gestellt worden, und greift daher in das Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten ein.
3.4.2. Verletzung des Verhältnismäßigkeitsgebots
Das Übermittlungsersuchen hat jedenfalls auch die Grenzen des Verhältnismäßigkeitsgebotes außer Acht gelassen. Selbst wenn nämlich ins Treffen geführt werden sollte, dass die Übermittlung von E-Mail-Daten sämtlicher Mitarbeiter ohne Vorliegen eines konkreten Verdachts nicht die Interessen der Betroffenen verletzen sollte, so wäre diese Anfrage jedenfalls im Sinne des Verhältnismäßigkeitsgebotes überschießend und damit unzulässig. Aber auch dann, wenn die Übermittlung sich nur auf die E-Mail-Daten von einzelnen konkret benannten Mitarbeitern - jedoch ohne begründeten Verdacht - gerichtet hätte, wäre diese Maßnahme nicht ohne weiteres uneingeschränkt erlaubt gewesen. Vielmehr dürfte die Kontrollmaßnahme in jedem Fall nur im erforderlichen Ausmaß in die Rechte der Arbeitnehmer eingreifen und müsste sich der gelindesten zur Verfügung stehenden Mittel, die noch zum Ziel führen (vgl § 6 Abs 3 iVm § 1 Abs 2 DSG 2000), bedienen. Wenn nämlich keine besondere Verdachtslage in Bezug auf bestimmte Personen vorliegt, ist die Zulässigkeit der Herstellung eines Personenbezugs bei der Kontrolle fraglich, und jedenfalls auch nur unter Darlegung solcher Maßnahmen zulässig, die einen 'verhältnismäßigen' und 'gelindest möglichen' Eingriff in das Grundrecht absichern (Vgl Burtscher in Kustor (Hrsg), Unternehmensinterne Untersuchungen Handbuch für Internal Investigations (2010) 98). Es wäre in diesem Sinn daher in Bezug auf die zu untersuchenden E-Mail-Accounts von Personen, gegenüber denen kein konkreter Verdacht besteht, das Übermittlungsersuchen so zu stellen, dass nur pseudonymisierte Datensätze verlangt werden und erst in einem weiteren Schritt, wenn ein konkreter Verdacht in Bezug auf einen Account-Inhaber festgestellt werden konnte, eine weitere Auswertung verlangt werden kann. Diese Maßnahme wäre geeignet gewesen, eine dem DSG 2000 entsprechende unter Berücksichtigung der im BDG bereits vorgezeichneten Vorgehensweise herzustellen. Wenn im Anschluss an diese Auswertung die Verdachtsmomente in einem bestimmten E-Mailverkehr begründbar gewesen wären, hätte außerdem weiterhin nur die Auswertung der E-Mails innerhalb eines bestimmten Zeitraums bzw auch derjenigen Personen, die danach offensichtlich in die Kommunikation eingebunden waren, verlangt werden können, um den Verdacht zu erhärten bzw aufzuklären.
Im Sinne des unbedingt anwendbaren Verhältnismäßigkeitsgebotes wäre es daher zur Wahrung der situationsadäquaten Verhältnismäßigkeit des gegenständlichen Übermittlungsersuchens angezeigt gewesen, dass der Rechnungshof in Erwägung nachstehender Kriterien vorgeht:
Untersuchungsauftrag: Um sicherzustellen, dass tatsächlich nur die Daten ermittelt werden, welche den begründeten Verdacht erhärten oder widerlegen, wäre zunächst der Verdachtsfall nach Tathandlungen, verletzten Rechtsvorschriften, beteiligten Personen und Zeitraum zu definieren gewesen (Auch § 79g BDG meint in Bezug auf die Verfahrensvorschriften einer Kontrolle, dass ein Ermittlungsauftrag schriftlich zu ergehen hat und den Verdachtsfall unter Nennung des Beamten genau umschreiben muss.) und im besten Fall wären Stichworte, nach denen das bmvit im E-Mail-System suchen hätte müssen, zu formulieren gewesen. Nicht unerwähnt soll an dieser Stelle noch einmal bleiben, dass das gegenständliche Übermittlungsersuchen ohne jede Einschränkung auch Daten der Kommunikationspartner der Mitarbeiter des bmvit, die jedenfalls nicht schon allein aufgrund ihrer Beschäftigung der Gebarungskontrolle unterliegen, erfasst hätte. Die Formulierung des im Übermittlungsersuchen zu integrierenden Prüfungsumfangs wäre daher auch unabdingbar gewesen, um eine Verletzung der Rechte dieser nicht dem bmvit angehörigen Personen von vornherein auszuschließen.
Keine privaten E-Mails: Als weitere Maßnahme hätte der Rechnungshof dafür Sorge tragen müssen, dass ausschließlich dienstliche E-Mails und nicht private E-Mails von der Übermittlung erfasst werden (zB durch den Auftrag zum 'Ausfiltern' mittels Suchprogrammen). Nur dann, wenn der Rechnungshof konkrete Anhaltspunkte dafür geben hätte können, dass private Kommunikation für dienstliche Zwecke im Rahmen des Vergabeverfahrens genutzt worden ist, wäre auch die Auswertung privater E-Mails unter Umständen rechtskonform gewesen.
Suchwörter definieren: Wie bereits oben zum Prüfungsumfang angesprochen, wäre zur Sicherstellung der Verhältnismäßigkeit eine weitere Maßnahme gewesen, dass zunächst sämtliche E-Mails eines Accounts mithilfe einer speziellen Software automatisch nach geeigneten Suchwörtern durchsucht und anschließend nur die hierbei gefundenen relevanten Dokumente ausgewertet werden bzw an den Rechnungshof zu übermitteln sind.
Zuletzt sei angemerkt, dass auch dann, wenn das österreichische Grundrecht auf Datenschutz im Anwendungsbereich des Art 126b B VG nicht beschränkend greifen sollte, dennoch die Datenschutzrichtlinie 95/46/EG sowie die Grundrechte der Europäische[n] Grundrechtecharta als gegenüber der Gebarungskontrolle korrigierend gelten ( Österreichischer Rundfunk ua, Slg 2003, I-4989). Es wäre daher in jedem Fall eine Verhältnismäßigkeitsprüfung im vorstehenden Sinn anzustellen, damit die Datenverwendung im Hinblick auf das vom Verfassungsgesetzgeber verfolgte Ziel der ordnungsgemäßen Verwaltung der öffentlichen Mittel notwendig und angemessen ist. Da aus den oben genannten Gründen die Verhältnismäßigkeit bei der gegenständlichen Amtshandlung bezüglich der Anfrage der E-Mail-Daten durch den Rechnungshof außer Acht gelassen wurde, war der Antragsgegner jedenfalls aufgrund der Rechtswidrigkeit der Anfrage gehalten, die Herausgabe der Daten zu verweigern.
Angesichts dessen, dass die vorzitierten, einschlägigen Bestimmungen des DSG 2000 der Umsetzung der DatenschutzRL 95/46/EG dienen, steht dem vorliegenden Auskunftsverlangen des Rechnungshofs insbesondere auch das Unionsrecht entgegen. Dieses geht, wie der EuGH in seiner Rsp ( Österreichischer Rundfunk ua, Slg 2003, I-4989) klargestellt hat, auch allfälligen Einsichtsbefugnissen vor, die in den Bestimmungen des B VG und des RHG über die Rechnungshofkontrolle wurzeln. Da es im vorliegenden Fall um die Einsicht in die Kommunikation natürlicher Personen geht, ist in diesem Zusammenhang auch das Grundrecht auf Schutz personenbezogener Daten iSd Art 8 GRC einschlägig, welches sich nach der Rsp des EuGH auf jede Information erstreckt, die eine bestimmte oder bestimmbare natürliche Person betrifft ( verb Rs C-92/09 und C-93/09 Volker und Markus Schecke, Slg 2010, I-11063, Rn 52).
Sollte der Verfassungsgerichtshof hinsichtlich der Auslegung von Unionsrecht Zweifel haben, so erlaubt sich der Antragsgegner die
Anregung,
der Verfassungsgerichtshof möge ein Vorabentscheidungsverfahren einleiten und dem Gerichtshof der Europäischen Union (EuGH) folgende Frage vorlegen:
1. Stehen die Bestimmungen des Unionsrechts, insbesondere die Richtlinie 95/46/EG und das Grundrecht auf Schutz personenbezogener Daten im Sinne des Art 8 GRC, einer nationalen Regelung entgegen, welche den Rechnungshof dazu ermächtigt, im Rahmen der Gebarungskontrolle betreffend eines konkreten Vergabevorgangs in sämtliche E-Mail-Kommunikation der Mitarbeiter eines Ministeriums, unabhängig von der Wahrscheinlichkeit ihrer Beteiligung an diesem Vergabevorgang und der Relevanz der E-Mail-Kommunikation für den geprüften Vergabevorgang, insbesondere soweit es private E-Mail-Kommunikation der Mitarbeiter eines Ministerium betrifft, Einsicht zu nehmen, um Sender, Empfänger, Sende- und Empfangszeitpunkt, Betreff und Größe zu ermitteln, um dem Rechnungshof auf Grund dieser Einsichtnahme zu ermöglichen, jene E-Mails zu bestimmen, in deren Inhalt samt Attachments er in weiterer Folge Einsicht nehmen möchte?
2. Bei Bejahung von Frage 1: Ist der geprüfte Rechtsträger verpflichtet, einem Übermittlungsersuchen des Rechnungshofs, das insbesondere nicht mit den Grundsätzen der Zulässigkeit der Datenverarbeitung gemäß Art 7 der Richtlinie 95/46/EG in Einklang zu bringen ist, Folge zu leisten?
Der Antragsgegner stellt daher den
Antrag,
der Verfassungsgerichtshof möge die Anträge des Rechnungshofes abweisen."
5. Am ersuchte der Verfassungsgerichtshof die Bundesministerin für Verkehr, Innovation und Technologie, zur Abwicklung des Verfahrens zur Vergabe von Kreativleistungen für die Werbekampagne "Alkohol am Steuer" des Verkehrssicherheitsfonds und zu den für die Vergabe herangezogenen Bewertungskriterien Stellung zu nehmen.
6. Die Bundesministerin für Verkehr, Innovation und Technologie legte daraufhin Unterlagen zum Vergabeverfahren, darunter die Teilnahmebedingungen, die auch die Bewertungskriterien enthaltenden "Allgemeinen Ausschreibungsbedingungen" sowie ein Verzeichnis über das Einlangen aller Angebote vor und teilte zum Vergabeverfahren mit:
"Das Vergabeverfahren wurde in einem zweistufigen Verhandlungsverfahren mit vorheriger Bekanntmachung im Oberschwellenbereich abgewickelt. Auftraggeber war 'die Republik Österreich (Bund) vertreten durch das Bundesministerium für Verkehr, Innovation und Technologie', vergebende Stelle die BBG Bundesbeschaffung GmbH. Anzumerken ist, dass es in keiner Stufe des Verfahrens zu einem Nachprüfungsantrag durch eine der am Verfahren teilnehmenden Agenturen gekommen ist. Damit steht für das bmvit außer Frage, dass das Verfahren gesetzeskonform und in Übereinstimmung mit den Bestimmungen des BVergG 2006 durchgeführt wurde.
In der ersten Stufe des zweistufigen Vergabeverfahrens (= Teilnahmephase) wurden noch keine Anforderungen an die Entwürfe gestellt, da in dieser Phase des Vergabeverfahrens unter allen Einreichungen die aufgrund der in den Punkten 6 und 7 der Teilnahmebedingungen festgelegten Eignungs- bzw. Auswahlkriterien fünf bestgeeigneten Teilnehmer ausgewählt wurden. Diese wurden zur Angebotslegung eingeladen.
Die Anforderungen an die Entwürfe in der zweiten Stufe des Vergabeverfahrens (= Angebotsphase, inkl. Verhandlung), die an die fünf ausgewählten Agenturen übermittelt wurden, sind den Beilagen Briefing Erstangebot (für das Erstangebot) und Briefing last and final offer inkl. Berichtigung (für das Letztangebot) zu entnehmen.
[...]
Die Übermittlung der Letztangebote erfolgte gemäß Ausschreibungsbedingungen bis 10 Uhr im Original an die BBG. Den Originalangeboten waren jeweils sowohl sieben Kopien als auch ein Datenträger pro Kopie beizulegen. Die Entgegennahme der Angebote erfolgte durch die dafür vorgesehene Stelle der BBG, den Empfangsbereich. Alle Angebote waren bei der Abgabe verschlossen, wurden mit Datum und Uhrzeit versehen, nummeriert, und in eine Liste eingetragen [...]. Danach wurden die Angebote in der BBG geöffnet. Die 7 Kopien (inkl. Datenträger) wurden per Boten an das bmvit übermittelt. Die Originalangebote inkl. Originaldatenträger verblieben in der BBG."
7. Der Rechnungshof erstattete mit Schriftsatz vom eine "Mitteilung" an den Verfassungsgerichtshof, in der er zur Äußerung der Bundesministerin für Verkehr, Innovation und Technologie vom wie folgt Stellung nahm:
"1. Zum Inhalt der Auskunftsersuchen des RH
Grundsätzlich ist festzuhalten, dass - entgegen dem Vorbringen des BMVIT in seiner Äußerung - der RH keine Gebarungskontrolle zur Rechtmäßigkeit des Vergabeverfahrens der Kampagne 'Alkohol am Steuer' einleitete, sondern eine umfassende Gebarungsüberprüfung des Verkehrssicherheitsfonds etwa auch hinsichtlich seiner Organisation, strategischen Ausrichtung, finanziellen Situation, seiner Aufgabenbereiche (Forschungsprojekte und Beauftragungen wie Kampagnen zur Öffentlichkeitsarbeit) und Wirkungen durchführte. Dies zeigt sich auch im damaligen Stand des Prüfungsergebnisses, das in seinen Grundzügen mit der betroffenen Abteilung IV/ST 2 im Rahmen des Vorhalteverfahrens während der Einschau des RH an Ort und Stelle diskutiert wurde und dem BMVIT damit bekannt ist. Bei der Prüfung der Beauftragungen stieß das Prüfteam auf Hinweise zu Unregelmäßigkeiten beim Vergabeverfahren bei der Kampagne 'Alkohol am Steuer' im Jahr 2009.
In seiner Äußerung geht das BMVIT im Detail nur auf die Mitarbeiter der Abteilung IV/ST 2 als Beteiligte am Vergabeverfahren ein. Wesentliche Mitwirkende am Vergabeverfahren und Mitglieder der Bewertungskommission waren aber auch die Leiterin der Abteilung Präsidium 2 'Information und Dokumentation, Protokoll' und eine Mitarbeiterin des Kabinetts der Frau Bundesministerin, die vom BMVIT nicht genannt werden. Der RH weist darauf hin, dass in einem - in den dem RH vorliegenden Unterlagen enthaltenen - Aktenvermerk eines Mitglieds der Bewertungskommission ausgeführt wird, dass 'seitens des Vertreters des Kabinett FBM eine auffallend positive Haltung gegenüber dem Angebot der Agentur (A) und eine auffallend abwertende Haltung gegenüber den anderen Angeboten; insbesondere gegenüber dem Angebot der Agentur (B) erkennbar (war) und hat dies auch Auswirkungen auf das Stimmverhalten sämtlicher Jurymitglieder gehabt'.
In seiner Äußerung bringt das BMVIT nun vor, dass ausschließlich die dienstliche E-Mail-Kommunikation der Mitarbeiter des BMVIT als für die Überprüfung der Rechtmäßigkeit des Vergabeverfahrens notwendig erachtet werden dürfe. Da das BMVIT seinen Mitarbeitern auch die private Nutzung der E-Mails gestattet, aber keine weiteren Vorkehrungen trifft, private von dienstlichen E-Mails unterscheiden zu können und sich hinsichtlich dieser privaten E-Mails auf die Bestimmungen des DSG 2000 beruft, würde das BMVIT damit ganz allgemein wesentliche Unterlagen für die Gebarungsüberprüfung, zu denen der E-Mail-Verkehr inzwischen zu zählen ist, der Zugriffsmöglichkeit des RH entziehen können.
Wie die vorliegenden – und auch dem Verfassungsgerichtshof vorgelegten – Unterlagen zeigen, kann bei den via E-Mail erfolgten Korrespondenzen (i.S.d. § 3 Abs 2 Z 2 RHG) des BMVIT nicht von vornherein die Gebarungsrelevanz ausgeschlossen werden. Darüber hinaus war es Ziel der Abfrage des RH insbesondere festzustellen, ob ein/eine Mitarbeiter/in des BMVIT den Werbespot aus dem Erstangebot der Agentur B an die Agentur A weiterleitete.
Die Mitarbeiterin des Kabinetts hatte nach der Erstpräsentation der Agenturen über die BBG die Agentur B ersucht, den Werbespot zu übermitteln. Eine E-Mail mit dem Werbespot (mit einem dem RH bekannten Datenumfang) wurde am von der BBG an die Mitarbeiterin des Kabinetts der Frau Bundesministerin gesendet. Der RH erachtete es aus prüfungstechnischen Gesichtspunkten nicht zweckmäßig, das BMVIT bereits zu diesem Zeitpunkt ausdrücklich auf diese E-Mail hinzuweisen.
Eine Weitergabe von Informationen, so sie stattgefunden hat und aus dem BMVIT direkt an die Agentur A erfolgte, ist durch das Weiterleiten der genannten E-Mail an eine/n beliebige/n Mitarbeiter/in des BMVIT und eine Versendung durch diese/n oder durch Weitergabe des Attachments mit dem Werbespot per USB-Stick und die weitere Versendung per E-Mail durch eine/n beliebige/n Mitarbeiter/in des BMVIT möglich. Es ist daher - entgegen den Ausführungen des BMVIT - organisatorisch nicht ausgeschlossen, dass außer den zuständigen Mitarbeitern noch weitere, andere Mitarbeiter des BMVIT E-Mails im Zusammenhang mit diesem Vergabeverfahren versendeten oder empfingen.
Ebenso war die erste Anfrage des RH nicht, wie vom BMVIT angeführt, völlig unspezifiziert und ließ auch nicht 'jede Beschreibung des Zwecks des Übermittlungsersuchens vermissen'. Vielmehr ging der ersten Anfrage unmittelbar eine Besprechung mit zwei Sektionschefs des BMVIT und der am Vergabeverfahren beteiligten Mitarbeiterin des Kabinetts der Frau Bundesministerin am voraus, in der vom RH u.a. die Ähnlichkeit der beiden Letztentwürfe der Agenturen A und B beim Vergabeverfahren der Kampagne 'Alkohol am Steuer' angesprochen wurde. Weiters wurde das erste Ansuchen mit dem Hinweis übergeben, dass es dazu diene, einen Informationsfluss vom BMVIT an die Agentur A ausschließen zu können. Darüber hinaus stellte die Wahl des Abfragezeitraums (Ausschreibungszeitraum) und der Ziel-Domains (allesamt dem RH bekannte E-Mail-Adressen der Agentur A) nach Ansicht des RH den Zweck der Abfrage hinreichend konkret dar.
Nach Ablehnung des ersten Ansuchens des RH um Übermittlung von Unterlagen vom weitete der RH in seinem zweiten Ansuchen vom die Unterlagenanfrage einerseits aus, schränkte sie aber andererseits auch ein. Einerseits wurde der Abfragezeitraum für E-Mails auf den gesamten überprüften Zeitraum ausgeweitet. Dies geschah auf Basis von Grundsätzen der Datenforensik, die auf Grundlage von Gesamtdaten arbeitet und daher vermeidet, dass die überprüfte Stelle eine nach welchen Kriterien auch immer vorgenommene 'Vorauswahl' der dem RH zu übermittelnden Daten treffen lässt.
Durch eine Vorauswahl durch die überprüfte Stelle wäre nach Ansicht des RH nämlich eine Manipulation bzw. selektive Löschung von Daten nicht auszuschließen. Andererseits schränkte der RH seine Anfrage aber auch insofern ein, als der RH nicht den Inhalt von E-Mails anfragte, sondern lediglich die Metadaten der E-Mails (nämlich Sender, Empfänger, Sendezeitpunkt, Betreff und Größe). Erst aufgrund eines durch den RH durchzuführenden Vergleichs der zu den beiden Zeitpunkten erstellten Verzeichnisse der Metadaten dieser E-Mails könnte eine allfällige Löschung bestimmter E-Mails sowie der Zeitraum dieser möglichen Löschung festgestellt werden.
Zur Verwendung der Termini 'Daten' bzw. 'Verkehrsdaten' bzw. 'Inhaltsdaten', die in der Äußerung des BMVIT bemängelt wird, stellt der RH fest, dass er bestrebt war, in seinen Ansuchen die angefragten Daten in einer seiner Ansicht nach allgemein verständlichen Form zu bezeichnen (Ansuchen vom : Auflistung der E-Mails mit Inhalt; Ansuchen vom : Auflistung der E-Mails unter Angabe von Sender, Empfänger, Sendezeitpunkt, Betreff und Größe).
In der Äußerung des BMVIT weist es auf die Möglichkeit pseudonymisierter Datensätze hin. Dazu ist festzuhalten, dass diese Möglichkeit dem RH gegenüber während der Gebarungsüberprüfung zu keinem Zeitpunkt angeboten wurde.
2. Ausführungen zur Anwendbarkeit des DSG 2000
Wie unter 1. dargestellt, vertritt das BMVIT die Auffassung, dass infolge der - nach den Bestimmungen der §§79g ff BDG 1979 - zulässigen 'privaten' Verwendung der grundsätzlich dienstlichen E-Mail-Accounts folge, dass eine Weitergabe dieser Korrespondenzen auch für Zwecke der Gebarungskontrolle durch den RH nur dann zulässig sei, wenn 'die Geheimhaltungsinteressen der jeweiligen E-Mail- Account-Inhaber daher ausnahmsweise nicht beeinträchtigt sind'.
Das BMVIT legt seiner Äußerung nach Ansicht des RH die Annahme zugrunde, dass die Zulässigkeit eines Einsichtsbegehrens des RH für Zwecke der allgemeinen Gebarungskontrolle an den Voraussetzungen des DSG 2000 zu messen sei.
Damit verkennt das BMVIT nach Ansicht des RH, dass 'allein die verfassungsgesetzliche Zuständigkeit des RH zur Überprüfung der Gebarung der kontrollunterworfenen Rechtsträger nach dem Maßstab der Prüfungsziele, insbesondere der Wirtschaftlichkeit, Sparsamkeit und Zweckmäßigkeit, das Recht miteinschließt, in alle dafür notwendigen Unterlagen Einsicht zu nehmen, und alle ihm erforderlich erscheinenden Auskünfte zu verlangen (VfSlg 3431, 4106; idS auch VfSlg 15.130)' (siehe hiezu Hengstschläger, Rechnungshofkontrolle, 2000, Art 122 B VG Rz 12).
In diesem Sinn hat der Verfassungsgerichtshof - zu einer vergleichbaren, ebenfalls auf das DSG 2000 gestützten Argumentation einer geprüften Stelle - zuletzt im Erkenntnis KR1/2013 vom , festgehalten, dass 'die geprüften Stellen dem Rechnungshof ohne Rücksicht auf sonst bestehende Verschwiegenheitspflichten die nötigen Auskünfte zu erteilen und die Einsicht auch in vertrauliche Unterlagen zu dulden' haben (vgl. auch VfSlg 7944/1976 und 17.489/2005)'.
Anderes gilt entsprechend der ständigen Rechtsprechung des Verfassungsgerichtshofes (vgl. , KR1/2013) für die Berichterstattung des RH an die allgemeinen Vertretungskörper (und die Öffentlichkeit), da aus der 'Einsichtsbefugnis des Rechnungshofes keineswegs eine umfassende Informationspflicht des Rechnungshofes gegenüber der Allgemeinheit abgeleitet werden kann; der Rechnungshof hat vielmehr bei seiner Berichterstattung regelmäßig eine Interessenabwägung zwischen privaten Geheimhaltungsinteressen (vgl. in diesem Zusammenhang insbesondere § 1 DSG) und öffentlichen Interessen, zu denen unter anderem auch die Bekanntgabe der Kontrollergebnisse zählt, vorzunehmen (vgl. VfSlg 17.065/2003)'.
Das BMVIT hält demgegenüber in seiner Äußerung fest, dass die 'Datenübermittlung an den Rechnungshof vollumfänglich am Maßstab des Datenschutzgesetzes und den darin genannten Prüfschritten zu messen' sei, und eine ausdrückliche gesetzliche Ermächtigung für das Auskunftsverlangen des RH nicht vorliege. Der RH hätte daher 'Anhaltspunkte für einen konkreten Verdacht gegen bestimmte Personen beschreiben müssen, und sein Übermittlungsansuchen dahin strukturieren müssen (Sachverhaltsangaben in Bezug auf Verdacht der Rechtsverletzung, Nennung der Betroffenen, Spezifikation von Suchworten, Beschränkung auf dienstliche E-Mails, Zeitraum der Abfrage)'.
Nach Ansicht des BMVIT hätte der RH daher bereits in seiner Anfrage das Ergebnis einer allfälligen Prüfungsfeststellung vorwegzunehmen. Auch wenn bereits der Umstand einer allenfalls stattgefundenen Versendung von Unterlagen während des Vergabeverfahrens mangels Kenntnis des RH vom stattgefundenen E-Mail-Verkehr nicht ohne weiteren Nachweis klar ist, sei der RH nach dem Vorbringen des BMVIT angehalten, 'nur diejenigen Daten abzufragen, welche im konkreten Fall tatsächlich zur Prüfung des Vergabeverfahrens und allfälliger Verletzungen von Vertraulichkeitsverpflichtungen erforderlich waren.'
Auch wenn hier das BMVIT - im Ergebnis - die der ständigen Rechtsprechung des Verfassungsgerichtshofes widersprechende Auffassung vertritt, dass die Einschaurechte des RH den Beschränkungen des DSG 2000 unterliegen, weist der RH nochmals darauf hin, dass bereits in der ersten Anfrage des RH vom nicht die Übermittlung sämtlicher E-Mails (samt Inhalt und Anlagen ('attachments')), sondern lediglich deren Auflistung verlangt wurde, und auch die zweite Anfrage des RH vom darauf gerichtet war, den RH in die Lage zu versetzen, überhaupt feststellen zu können, ob im fraglichen Zeitraum überhaupt ein E-Mail-Verkehr zwischen dem BMVIT und der Agentur A stattgefunden hat und ob sich ein nach Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe näher spezifiziertes E-Mail im Quellverzeichnis des BMVIT befindet.
Erst auf Kenntnis dieser Grundlage hätte der RH letztlich die Übermittlung der konkreten dienstlichen E-Mail vom BMVIT für Zwecke der Durchführung der allgemeinen Gebarungsüberprüfung verlangt. Da das BMVIT beiden Auskunftsersuchen – wie schon im Antrag an den Verfassungsgerichtshof vom dargestellt – nicht entsprochen hat, hält der RH seine bisherigen Anträge vollinhaltlich aufrecht."
8. Der Verfassungsgerichtshof führte am eine öffentliche mündliche Verhandlung durch, in der die Parteien zu technischen Fragen und insbesondere zur Frage Stellung nahmen, in welchem Umfang dem Rechnungshof im Rahmen der Gebarungsüberprüfung des Verkehrssicherheitsfonds Einsichtsbefugnisse zukommen.
II. Rechtslage
1. § 131a Kraftfahrgesetz 1967, BGBl 267, idF BGBl I 57/2007, lautet:
"Österreichischer Verkehrssicherheitsfonds
§131a. (1) Zur Förderung der Verkehrssicherheit in Österreich wird der 'Österreichische Verkehrssicherheitsfonds' als Verwaltungsfonds geschaffen.
(2) Der Fonds (Abs1) wird beim Bundesminister für Verkehr, Innovation und Technologie eingerichtet und von ihm verwaltet.
(3) Die Mittel des Fonds werden aufgebracht durch
a) Einnahmen aus den Abgaben und Kostenbeiträgen gemäß § 48a Abs 3 und 4 für die Zuweisung eines Wunschkennzeichens,
b) sonstige Zuwendung,
c) Erträgnisse aus Veranlagungen.
(4) Die Mittel des Fonds sind zweckgebunden zu verwenden für
a) die Förderung von allgemeinen Maßnahmen und konkreten Projekten zur Verbesserung der Sicherheit im Straßenverkehr, insbesondere die Förderung der Verkehrserziehung;
b) die Durchführung von Studien und Forschungen sowie für Informationen über Forschungen auf dem Gebiet der Straßenverkehrssicherheit;
c) vorbereitende Maßnahmen der Planung und Erarbeitung von Orientierungshilfen für Planungen auf dem Gebiet der Straßenverkehrssicherheit;
d) die Unterstützung der Behörden bei der Administration der Kennzeichen im Sinne des § 48a Abs 6 sowie für Maßnahmen zu deren Verbreitung;
e) die Verwaltung und Aufteilung der dem Fonds zufließenden Einnahmen.
(5) – (7) [...]"
2. §§1 bis 5 Rechnungshofgesetz 1948 (RHG), BGBl 144, idF BGBl I 111/2010, lauten:
"I. Abschnitt.
Die Aufgaben des Rechnungshofes hinsichtlich der Gebarung des Bundes.
A. Hoheitsverwaltung, Monopole und Bundesbetriebe.
1. Rechnungs- und Gebarungskontrolle.
§1. (1) Der Rechnungshof hat die Gebarung der gesamten Staatswirtschaft zu überprüfen. Dieser Überprüfung unterliegen:
1. Die gesamte Ausgaben- und Einnahmengebarung des Bundes;
2. die gesamte Schuldengebarung des Bundes;
3. die Gebarung mit dem beweglichen und unbeweglichen Bundesvermögen.
(2) Ausgaben, die vom Bundesvoranschlag (Bundesvoranschlagsentwurf) hinsichtlich ihrer Höhe oder ihrer Natur abweichen, hat der Rechnungshof zu überwachen. Derartige Gebarungsfälle sind daher, soweit sie nicht bereits durch Sondergesetze bewilligt sind, dem Rechnungshof – wenn nicht Gefahr im Verzuge ist, vor ihrem Vollzuge – zur Kenntnis zu bringen; hierunter fallen auch jene Gebarungsfälle, in denen es sich um die Überschreitung eines einer anweisenden Stelle laut der Teilhefte zum Bundesvoranschlag zugewiesenen Teilkredites handelt.
(3) Dem Rechnungshof obliegt außerdem die Überprüfung der Gebarung jener Fonds, Stiftungen und Anstalten, die von Bundesorganen oder von Personen (Personengemeinschaften) verwaltet werden, die hiezu von Organen des Bundes bestellt sind.
(4) Der Rechnungshof hat auf Beschluß des Nationalrates sowie auf begründetes Ersuchen der Bundesregierung oder eines Bundesministers in seinen Wirkungsbereich fallende besondere Akte der Gebarungsüberprüfung durchzuführen und das Ergebnis dem Nationalrat zu berichten, beziehungsweise der ersuchenden Stelle mitzuteilen.
§2. (1) Bei Ausübung seiner Kontrolle gemäß § 1 hat der Rechnungshof festzustellen, ob die Gebarung den bestehenden Gesetzen und den auf Grund dieser Gesetze ergangenen Verordnungen und sonstigen Vorschriften entspricht, ferner ob sie sparsam, wirtschaftlich und zweckmäßig ist. Keinesfalls darf er sich auf die bloß ziffernmäßige Nachprüfung beschränken.
(2) Der Rechnungshof ist verpflichtet, bei Ausübung dieser Kontrolle sowohl die Möglichkeit der Herabminderung oder Vermeidung von Ausgaben, als auch der Erhöhung oder Schaffung von Einnahmen wahrzunehmen.
§3. (1) In Ausübung und zum Zwecke der ihm obliegenden Kontrolle verkehrt der Rechnungshof mit allen seiner Überprüfung unterliegenden Stellen unmittelbar.
(2) Er ist befugt:
1. von diesen Stellen jederzeit schriftlich oder im kurzen Wege alle ihm erforderlich erscheinenden Auskünfte zu verlangen;
2. die Einsendung von Rechnungsbüchern, -belegen und sonstigen Behelfen (wie Geschäftsstücke, Verträge, Korrespondenzen) zu verlangen;
3. durch seine Organe an Ort und Stelle in die mit der Gebarung im Zusammenhang stehenden Rechnungsbücher, -belege und sonstigen Behelfe Einsicht zu nehmen und
4. die Vornahme von Lokalerhebungen (wie Kassenprüfungen) bei einer Dienststelle durch die vorgesetzte Verwaltungsbehörde zu veranlassen und an diesen Amtshandlungen durch seine Organe teilzunehmen sowie auch die Prüfung von Verlagskassen unter Beiziehung eines leitenden Beamten der betreffenden Dienststelle vorzunehmen.
§4. (1) Die im § 3, Abs 1), genannten Stellen haben die Anfragen des Rechnungshofes ohne Verzug vollinhaltlich und unmittelbar zu beantworten, alle abverlangten Auskünfte zu erteilen und jedem Verlangen zu entsprechen, das der Rechnungshof zum Zwecke der Durchführung der Kontrolle im einzelnen Falle stellt.
(2) Die Bundesministerien sowie die diesen unmittelbar nachgeordneten Dienststellen, Monopole und Bundesbetriebe haben alle Vorschriften und allgemeinen Anordnungen, die die Einnahmen und Ausgaben des Bundes zum Gegenstand haben oder die sich überhaupt auf die Finanzen des Bundes auswirken, gleichzeitig auch dem Rechnungshof mitzuteilen.
§5. Das Ergebnis seiner Überprüfung sowie allfällige aus diesem Anlasse sich ergebende Anträge hat der Rechnungshof den überprüften Stellen entweder unmittelbar oder im Wege der sachlich in Betracht kommenden Oberbehörden bekanntzugeben. Die erwähnten Stellen haben zu den mitgeteilten Beanstandungen und Anträgen des Rechnungshofes längstens innerhalb dreier Monate unter Bekanntgabe der allenfalls getroffenen Maßnahmen Stellung zu nehmen. Das Ergebnis seiner Überprüfung hat der Rechnungshof auch den in Betracht kommenden Bundesministerien mitzuteilen."
III. Erwägungen
1. Zur Zulässigkeit des Antrages
1.1. Art 126a B VG beruft den Verfassungsgerichtshof zur Entscheidung über Meinungsverschiedenheiten zwischen dem Rechnungshof und einem Rechtsträger "über die Auslegung der gesetzlichen Bestimmungen, die die Zuständigkeit des Rechnungshofes regeln".
1.2. Eine Meinungsverschiedenheit zwischen dem Rechnungshof und einem Rechtsträger (Art121 Abs 1 B VG) "über die Auslegung der gesetzlichen Bestimmungen, die die Zuständigkeit des Rechnungshofes regeln," im Sinne des Art 126a B VG liegt unter anderem vor, wenn der Rechtsträger "die Zuständigkeit des Rechnungshofes zur Gebarungsüberprüfung ausdrücklich bestreitet oder die Gebarungsüberprüfung tatsächlich nicht zulässt" (§36a Abs 1 VfGG).
1.3. Die in § 3 Abs 2 RHG enthaltenen Bestimmungen über die Einsichtnahme in die dort genannten Behelfe gehören zu den die Zuständigkeit des Rechnungshofes regelnden Bestimmungen im Sinne des Art 126a B VG. Bei Meinungsverschiedenheiten darüber, auf welche Behelfe sich das Einsichtsrecht erstreckt, kann daher der Verfassungsgerichtshof zur Entscheidung angerufen werden. Das Thema der Entscheidung des Verfassungsgerichtshofes ist durch den Umfang der Meinungsverschiedenheit begrenzt (vgl. zB unter Verweis auf VfSlg 7944/1976).
1.4. Zur Zulässigkeit des ersten Antrags des Rechnungshofes:
Da die Bundesministerin für Verkehr, Innovation und Technologie die Erfüllung des (zweiten, dem Antrag des Rechnungshofes zugrunde liegenden) Übermittlungsersuchens des Rechnungshofes vom ausdrücklich verweigert und damit die Gebarungsüberprüfung des beim BMVIT eingerichteten Verkehrssicherheitsfonds nicht in dem vom Rechnungshof verlangten Umfang ("Gesamtauszug aus dem Quellsystem über alle im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender (Name, E-Mail-Adresse), Empfänger (Name, E-Mail-Adresse), Sende- bzw. Empfangszeitpunkt, Betreff und Größe" auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014) zugelassen hat und auch die übrigen Prozessvoraussetzungen vorliegen, ist dieser Antrag des Rechnungshofes (Punkt I. 1.) zulässig.
1.5. Zur Zulässigkeit des zweiten Antrags des Rechnungshofes:
Mit seinem zweiten Antrag (Punkt I. 2.) begehrt der Rechnungshof die Feststellung, dass der Rechnungshof befugt ist, zum Zwecke der Gebarungsüberprüfung des BMVIT nach Einsichtnahme in die Gesamtauszüge aus dem Quellsystem im Sinne des ersten Antrags "den Inhalt und allfällige Attachements einzelner, vom Rechnungshof aufgrund dieser Gesamtauszüge ausgewählter E-Mails zu erhalten und Einsicht zu nehmen".
Entgegen der Ansicht des Rechnungshofes liegt in dieser Hinsicht keine Meinungsverschiedenheit zwischen dem Rechnungshof und dem BMVIT im Sinne des Art 126a B VG vor. Eine solche kann erst dann entstehen, wenn der Rechnungshof vom BMVIT die Einsicht in genau bestimmte oder bestimmbare E-Mails verlangt und das BMVIT dies verweigert. Dies ist allerdings bisher nicht geschehen.
Dazu kommt, dass die Vertreterin des BMVIT in der mündlichen Verhandlung vor dem Verfassungsgerichtshof ausdrücklich erklärte, dem Rechnungshof die Einsicht in alle E-Mails zu ermöglichen, sofern diese für die Gebarungsüberprüfung des Verkehrssicherheitsfonds abstrakt relevant sein können. Auch aus diesem Grund liegt keine (aktuelle) Meinungsverschiedenheit zwischen dem Rechnungshof und dem BMVIT vor.
Im Übrigen enthält der Antrag des Rechnungshofes an den Verfassungsgerichtshof kein bestimmtes Begehren, welche "ausgewählten E-Mails" der Rechnungshof vom BMVIT erhalten und in welche E-Mails er Einsicht nehmen will, zumal er die Einsicht in Unterlagen anstrebt, die er selbst erst in Zukunft auszuwählen gedenkt.
Aus diesen Gründen ist der zweite Antrag des Rechnungshofes unzulässig.
2. In der Sache
2.1. Der Rechnungshof hat gemäß Art 126b Abs 1 B VG unter anderem die gesamte Staatswirtschaft des Bundes zu überprüfen.
Der Verkehrssicherheitsfonds ist gemäß § 131a Kraftfahrgesetz 1967, BGBl 267, idF BGBl I 57/2007, ein beim BMVIT eingerichteter und von ihm verwalteter unselbständiger Verwaltungsfonds und damit Teil der gemäß Art 126b Abs 1 B VG vom Rechnungshof zu überprüfenden Staatswirtschaft des Bundes. Der Rechnungshof ist daher befugt, die Gebarung des Verkehrssicherheitsfonds zu überprüfen.
2.2. Die Bundesministerin für Verkehr, Innovation und Technologie hat die Zuständigkeit des Rechnungshofes zur Gebarungsüberprüfung des Verkehrssicherheitsfonds gemäß Art 126b Abs 1 B VG nicht grundsätzlich bestritten. Zwischen dem Rechnungshof und dem BMVIT besteht allerdings die Meinungsverschiedenheit darüber, ob der Rechnungshof im Rahmen seiner Gebarungsüberprüfung befugt ist, "1. die Gesamtauszüge aus dem Quellsystem zu zwei unterschiedlichen Zeitpunkten in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe zu erhalten und Einsicht zu nehmen und 2. den Inhalt und allfällige Attachements einzelner, vom Rechnungshof aufgrund dieser Gesamtauszüge ausgewählter E-Mails zu erhalten und Einsicht zu nehmen".
2.3. Der Rechnungshof begründet seine Zuständigkeit zur Einsichtnahme in die verlangten Gesamtauszüge aus dem Quellsystem der Domain @bmvit.gv.at im Wesentlichen mit folgenden Argumenten:
2.3.1. Der Rechnungshof überprüfe die Gebarung des Verkehrssicherheitsfonds und im Rahmen dessen unter anderem auch die Vergabeverfahren zu den vom Verkehrssicherheitsfonds finanzierten Verkehrssicherheits-Kampagnen zur Bewusstseinsbildung. Der Verkehrssicherheitsfonds habe in den Jahren 2009 und 2010 eine Kampagne zur Bewusstseinsbildung zum Thema Alkohol am Steuer finanziert. Bei dieser Kampagne habe das BMVIT die Bundesbeschaffung GmbH mit der Durchführung des Vergabeverfahrens für die im Rahmen der Kampagne zu erbringenden Kreativleistungen beauftragt. Den Zuschlag als Bestbieter habe die "Agentur A" erhalten, welche letztlich ein anderes, gegenüber ihrem früheren Konzept verbessertes Konzept vorgelegt, aber einen höheren Gesamtpreis als die "Agentur B" angeboten hätte. Das geänderte Konzept sei vom Inhalt und Aufbau dem Konzept der "Agentur B" sehr ähnlich gewesen. Die nicht zum Zug gekommene "Agentur B" führe deswegen gegen die "Agentur A" einen Gerichtsprozess wegen Verletzung des Urheberrechts.
2.3.2. Die Rechnungshofkontrolle umfasse die Rechtmäßigkeit des gebarungsrelevanten Verwaltungshandelns und somit im vorliegenden Fall auch die Prüfung der Rechtmäßigkeit des vom Verkehrssicherheitsfonds durchgeführten Vergabeverfahrens. Dabei gehe es insbesondere auch um die Prüfung der Einhaltung der Geheimhaltungspflicht aller an diesem Vergabeverfahren beteiligter Personen. Um einen allfälligen Informationsfluss von Inhalten des Erstangebots der "Agentur B" durch Mitarbeiter des BMVIT an die "Agentur A" feststellen zu können, habe der Rechnungshof am das BMVIT um eine Auflistung aller im Zeitraum der Ausschreibung zwischen dem BMVIT und der "Agentur A" gesendeter E-Mails und um die betreffenden E Mails selbst ersucht. Eine entsprechende Information sei für den Rechnungshof zur Beurteilung der Gebarungsrelevanz insbesondere auch im Hinblick auf den um 32 Prozent höheren Gesamtpreis der im Vergabeverfahren erstgereihten "Agentur A" erforderlich.
Um eine "höchstmögliche Authentizität der Daten sicherzustellen und eine selektive Löschung einzelner E-Mails oder Filterung der Daten durch die geprüfte Stelle im Zuge einer selektiven Abfrage aus dem Gesamtdatenbestand über einen eingeschränkten Zeitraum oder ausgewählter E-Mail-Konten auszuschließen", habe der Rechnungshof in der Folge seine Datenanfrage in einem zweiten Schritt ausgeweitet und am einen Gesamtauszug aus dem Quellsystem in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe auf Basis der Vollsicherung vom 1. Quartal 2013 und vom 1. Quartal 2014 angefordert.
Die Abfrage der Daten zu zwei unterschiedlichen Zeitpunkten solle mögliche, in der Zwischenzeit vorgenommene Löschungen ersichtlich machen. Der Rechnungshof habe ausdrücklich nicht alle E-Mails (deren Inhalt) über den Prüfungszeitraum, sondern nur einen Auszug aus dem Quellsystem angefordert, um festzustellen, ob und von wem E-Mails im fraglichen Zeitraum gesendet wurden, um dann in einem weiteren Schritt den Inhalt einzelner konkreter E-Mails (inklusive möglicher Attachments) anzufordern. Eine Übermittlung des Inhalts einzelner, ausgewählter E-Mails behalte sich der Rechnungshof vor.
2.3.3. Nach der Rechtsprechung des Verfassungsgerichtshofes (VfSlg 17.065/2003; ; , KR2/2013 und , KR3/2013) dürfe das BMVIT die Vorlage dieser Unterlagen bzw. die Einsichtnahme in die angeforderten Unterlagen nicht mit der Begründung verweigern, dass das BMVIT auf Grund datenschutzrechtlicher Bestimmungen zur Herausgabe der Unterlagen nicht berechtigt sei.
Dem Rechnungshof seien in Ausübung und zum Zweck seiner Kontrolle umfassende und unbeschränkbare Auskunfts- und Einschaurechte eingeräumt (§3 RHG), dh. der Rechnungshof müsse in alle gebarungsrelevante Unterlagen Einschau nehmen können. Ohne dieses umfassende Recht sei eine Überprüfung der Gebarung nach Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit nicht möglich (VfSlg 4106/1961). Diese umfassenden Auskunfts- und Einschaurechte des Rechnungshofes gegenüber dem BMVIT würden sich nicht nur aus den einfachgesetzlichen Bestimmungen des Rechnungshofgesetzes ergeben, sondern seien bereits in der Verfassung grundgelegt (VfSlg 4106/1961). Nach Ansicht des Rechnungshofes könnten diese umfassenden Auskunfts- und Einschaurechte auch nicht dadurch geschmälert werden, dass dem Rechnungshof im Rahmen seiner Tätigkeit auch Informationen über Privatpersonen, die der Rechnungshofkontrolle nicht unterliegen, bekannt würden. Jede andere Ansicht würde dazu führen, dass die Kontrollziele des sechsten Hauptstückes des Bundes-Verfassungsgesetzes nicht erreicht würden (VfSlg 4106/1961).
2.4. Das BMVIT bestreitet die Zuständigkeit des Rechnungshofes, zum Zwecke der Gebarungsüberprüfung des Verkehrssicherheitsfonds die vom Rechnungshof verlangten Unterlagen zu erhalten und in diese Einsicht zu nehmen, im Wesentlichen mit folgenden Argumenten:
2.4.1. An dem vom Rechnungshof geprüften Vergabeverfahren seien auf Seiten des BMVIT nur vier Personen aus einer bestimmten Abteilung sowie zwei weitere Mitarbeiter des BMVIT beteiligt gewesen. Mit Ausnahme der jeweils zuständigen Mitarbeiter habe kein anderer Mitarbeiter innerhalb des BMVIT Zugang zu den Unterlagen aus diesem Vergabeverfahren gehabt. Auf Grund der Sicherheitsstandards im Netzwerk des BMVIT habe auch nicht irgendein anderer Mitarbeiter unbefugt auf den E-Mail-Account der am Vergabeverfahren beteiligten Mitarbeiter des BMVIT zugreifen können. Es sei daher organisatorisch ausgeschlossen gewesen, dass außer den zuständigen Personen noch weitere Mitarbeiter E-Mails im Zusammenhang mit diesem Vergabeverfahren versendet oder empfangen hätten.
Die Unterlagenanforderung des Rechnungshofes vom (wie auch schon die frühere, umfangsmäßig eingeschränktere Anforderung vom ) sei nicht nur in Bezug auf die von der Untersuchung betroffenen Personen und den relevanten Zeitraum unspezifiziert, sondern lasse auch jede Beschreibung des Zwecks des Übermittlungsersuchens vermissen. So habe der Rechnungshof weder bei seinen Übermittlungsersuchen den Zweck der Abfrage dahin konkretisiert, dass ein allfälliger Informationsfluss von Inhalten des Erstangebotes der "Agentur B" durch Mitarbeiter des BMVIT an die "Agentur A" überprüft werden müsste. Der Rechnungshof trage diese Begründung zum ersten Mal im Antrag beim Verfassungsgerichtshof vor.
2.4.2. Angesichts des unbestimmten und nicht ausreichend konkretisierten Übermittlungsersuchens des Rechnungshofes sei dem BMVIT die Übermittlung der angeforderten Unterlagen aus rechtlichen und technischen Gründen nicht möglich gewesen. Datenschutzrechtliche Gründe würden die Herausgabe der verlangten Unterlagen verbieten, zumal nicht ausgeschlossen werden könnte, dass private E-Mails unter den angefragten Daten wären. Auf Grund der gemäß § 79d BDG 1979 und § 29n VBG zulässigen Nutzung der IKT-Infrastruktur des BMVIT zu privaten Zwecken seien nicht nur dienstliche E-Mails, sondern möglicherweise auch private Daten der Mitarbeiter des BMVIT sowie die Daten der externen Kommunikationspartner betroffen. Im Übrigen würden auf Grund technischer Einschränkungen des Backup-Systems die E-Mails für den angefragten Zeitraum nicht mehr vollständig zur Verfügung stehen.
Erst nach Konkretisierung der Amtshandlung des Rechnungshofes hinsichtlich namentlich genannter Personen, konkreter E-Maildaten und Zweck des Ersuchens im Sinne eines Verdachts gegen bestimmte Personen könnte dem Übermittlungsersuchen des Rechnungshofes Genüge getan werden.
2.4.3. Unstrittig sei, dass die Kontrolle durch den Rechnungshof eine umfassende Rechnungs- und Gebarungskontrolle sei. Die im Bundes-Verfassungsgesetz normierte Prüfungsbefugnis des Rechnungshofes könne als generelle Rechtfertigung für die Übermittlung von Daten verstanden werden, allerdings nur dann, wenn der für die Durchführung der Prüfung notwendige Umfang nicht überschritten werde. Die Einsichtnahme in sämtliche E-Mail-Kommunikation aller Bediensteter des BMVIT bzw. jener Personen, welche eine Domain mit @bmvit.gv.at nutzen, und korrespondierend deren (externe) Kommunikationsteilnehmer würde außerhalb der Zwecke der Gebarungsüberprüfung liegen. Die Verwendung der Instrumente der Gebarungsüberprüfung zu einer, wie in den Übermittlungsersuchen, umfassenden zweckungebundenen E-Mail-Sichtung durch den Rechnungshof wäre missbräuchlich und könne weder in Art 126b B VG iVm dem Rechnungshofgesetz noch in einer anderen Rechtsvorschrift Deckung finden. Eine nach Maßgabe des § 1 DSG 2000 verfassungskonforme sowie der Datenschutzrichtlinie 95/46/EG und des Art 8 GRC unionsrechtskonforme Auslegung des § 3 RHG gebiete es daher, die Datenübermittlung an den Rechnungshof vollumfänglich am Maßstab des Datenschutzgesetzes und den darin genannten Prüfschritten zu messen.
Nur innerhalb des Anwendungsbereichs des Art 126b B VG könne es eine derart weitreichende Übermittlungspflicht des überprüften Rechtsträgers geben, dass das Grundrecht auf Datenschutz verdrängt werde und der (datenschutzrechtliche) Auftraggeber nicht zur (datenschutzrechtlichen) Prüfung der Übermittlungsanfrage des Rechnungshofes angehalten sei. Da allerdings mit der vorliegenden Anfrage der notwendige Umfang der Gebarungsüberprüfung überschritten werde, müsse die Übermittlungsanfrage von § 1 Abs 2 DSG 2000 gedeckt sein.
Vor diesem Hintergrund sei die Anfrage des Rechnungshofes zur Herausgabe von Daten in Bezug auf sämtliche E-Mails sämtlicher Mitarbeiter des BMVIT und deren Kommunikationspartner zu beurteilen. Die nähere Prüfung der datenschutzrechtlichen Bestimmungen zeige, dass im konkreten Fall die Voraussetzungen für die Weitergabe von Daten aus einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister nicht erfüllt würden.
In jedem Fall hätte der Rechnungshof im Sinne einer verfassungs- und unionsrechtskonformen Auslegung des § 3 RHG die Anhaltspunkte für einen konkreten Verdacht gegen bestimmte Personen beschreiben und sein Übermittlungsersuchen dahin strukturieren müssen (Sachverhaltsangaben in Bezug auf Verdacht der Rechtsverletzung, Nennung der Betroffenen, Spezifikation von Suchworten, Beschränkung auf dienstliche E-Mails, Zeitraum der Abfrage). Da dies unterblieben sei, habe das BMVIT das Übermittlungsersuchen des Rechnungshofes zurückweisen müssen.
2.5. Der Verfassungsgerichtshof hält an seiner ständigen Rechtsprechung (zB ; , KR2/2013, und , KR3/2013), auf welche sich sowohl der Rechnungshof als auch das BMVIT beziehen, fest, wonach ein der Gebarungsüberprüfung durch den Rechnungshof unterworfener Rechtsträger nicht befugt ist, die Einsicht des Rechnungshofes zu Zwecken der allgemeinen Gebarungsüberprüfung zu behindern oder von Bedingungen abhängig zu machen. Der Verfassungsgerichtshof hat bereits in VfSlg 17.065/2003 ausgeführt, dass "die geprüften Stellen dem Rechnungshof ohne Rücksicht auf sonst bestehende Verschwiegenheitspflichten die nötigen Auskünfte zu erteilen und die Einsicht auch in vertrauliche Unterlagen zu dulden" haben (vgl. auch VfSlg 7944/1976 und 17.489/2005).
In diesem Zusammenhang ist neuerlich darauf hinzuweisen, dass aus der umfassenden Einsichtsbefugnis des Rechnungshofes keineswegs eine umfassende Informationspflicht des Rechnungshofes gegenüber der Allgemeinheit abgeleitet werden kann; der Rechnungshof hat vielmehr bei seiner Berichterstattung regelmäßig eine Interessenabwägung zwischen privaten Geheimhaltungsinteressen (vgl. in diesem Zusammenhang insbesondere § 1 DSG 2000) und öffentlichen Interessen, zu denen unter anderem auch die Bekanntgabe der Kontrollergebnisse zählt, vorzunehmen (vgl. ; , KR2/2013 und , KR3/2013, jeweils unter Verweis auf VfSlg 17.065/2003).
2.6. Nach der Rechtsprechung des Verfassungsgerichtshofes haben die geprüften Stellen dem Rechnungshof jedoch (unbeschränkte) Auskünfte und Einsicht auch in vertrauliche Unterlagen nur dann zu gewähren, wenn und insoweit dies zum Zweck der Gebarungsüberprüfung erforderlich ist. Der Rechnungshof ist nämlich von Verfassungs wegen von Vornherein zur Einsichtnahme in Unterlagen eines der Rechnungshofkontrolle unterliegenden Rechtsträgers (einer geprüften Stelle) nur insoweit befugt, als diese Unterlagen irgendeine abstrakte Relevanz für die Gebarungsüberprüfung des Rechtsträgers (der geprüften Stelle) haben bzw. haben können. Sofern zur Einsichtnahme durch den Rechnungshof verlangte Unterlagen keine abstrakte Relevanz für die Gebarungsüberprüfung des geprüften Rechtsträgers (der geprüften Stelle) haben (können), stellt sich mangels Kompetenz des Rechnungshofes zur diesbezüglichen Einsichtnahme gar nicht erst die Frage der Verletzung des Grundrechts auf Datenschutz oder anderer Grundrechte. Welche Unterlagen für die Gebarungsüberprüfung relevant sind, ist vor dem Hintergrund des jeweiligen, vom Rechnungshof gegenüber dem geprüften Rechtsträger formulierten Prüfungsgegenstandes oder auf Grund des an den Rechnungshof ergangenen Prüfungsersuchens oder Prüfungsverlangens zu untersuchen.
2.6.1. Der (Verfassungs-)Gesetzgeber versteht "die Gebarung als ein über das bloße Hantieren mit finanziellen Mitteln (Tätigen von Ausgaben und Einnahmen, Verwalten von Vermögensbeständen) hinausgehendes Verhalten […], nämlich als jedes Verhalten, das finanzielle Auswirkungen (Auswirkungen auf Ausgaben, Einnahmen und Vermögensbestände) hat". Die Gebarungskontrolle erstreckt sich somit "auch auf solches Verhalten […], das für die Beurteilung der Gebarung unter den Gesichtspunkten der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit maßgeblich ist" (vgl. VfSlg 7944/1976 sowie ; , KR2/2013; , KR3/2013; Kroneder-Partisch , Art 126b B VG, in: Korinek/Holoubek [Hrsg.], Bundesverfassungsrecht, 2001, Rz 7 mwN).
Unter diesen Gesichtspunkten ist der Rechnungshof gemäß § 3 Abs 2 RHG befugt, von den seiner Überprüfung unterliegenden Stellen jederzeit schriftlich oder im kurzen Wege alle ihm erforderlich erscheinenden Auskünfte zu verlangen (Z1 leg.cit.), die Einsendung von Rechnungsbüchern, -belegen und sonstigen Behelfen (wie Geschäftsstücke, Verträge, Korrespondenzen) zu verlangen (Z2 leg.cit.), durch seine Organe an Ort und Stelle in die mit der Gebarung im Zusammenhang stehenden Rechnungsbücher, -belege und sonstigen Behelfe Einsicht zu nehmen (Z3 leg.cit.) und die Vornahme von Lokalerhebungen (wie Kassenprüfungen) bei einer Dienststelle durch die vorgesetzte Verwaltungsbehörde zu veranlassen und an diesen Amtshandlungen durch seine Organe teilzunehmen sowie auch die Prüfung von Verlagskassen unter Beiziehung eines leitenden Beamten der betreffenden Dienststelle vorzunehmen (Z4 leg.cit.).
Die Art der von diesem Recht erfassten Bücher, Belege und sonstigen Behelfe bestimmt sich nach deren Aussagewert darüber, ob die Gebarung von dem der Überprüfung unterliegenden Rechtsträger den bestehenden Vorschriften entsprechend und ob sie sparsam, wirtschaftlich und zweckmäßig geführt wird (VfSlg 7944/1976 zur vergleichbaren Bestimmung des § 15 Abs 7 RHG 1948 in der damals geltenden Fassung).
2.6.2. Der Verfassungsgerichtshof hat – in Übereinstimmung mit dem Rechnungshof und dem BMVIT – keinen Zweifel, dass die Prüfung der Rechtmäßigkeit des im Jahr 2009 durchgeführten Verfahrens für die Vergabe von Kreativleistungen für eine Werbekampagne zur (zulässigen) Gebarungsüberprüfung des beim BMVIT eingerichteten Verkehrssicherheitsfonds durch den Rechnungshof zählt, weil die Entscheidung, welchem Bieter in einem Vergabeverfahren der Zuschlag erteilt wird, jedenfalls finanzielle Auswirkungen auf den Bund haben kann.
Der Verfassungsgerichtshof stimmt dem Rechnungshof zu, dass die Prüfung der Einhaltung der Geheimhaltungspflichten aller am Vergabeverfahren beteiligter Personen von Bedeutung für die Gebarung des BMVIT bzw. des Verkehrssicherheitsfonds insbesondere auch im Hinblick auf den höheren Gesamtpreis jener Agentur sein kann, die im Vergabeverfahren den Zuschlag als Bestbieter erhalten hat, und daher alle diesbezüglichen Umstände Teil der zulässigen Gebarungsüberprüfung durch den Rechnungshof sind.
2.6.3. Es ist zwischen dem Rechnungshof und dem BMVIT unbestritten – wie auch die mündliche Verhandlung vor dem Verfassungsgerichtshof bestätigt hat –, dass die Gebarung des beim BMVIT eingerichteten Verkehrssicherheitsfonds seit dem Jahr 2008 Gegenstand der Überprüfung durch den Rechnungshof ist. Im Rahmen dessen sollen auch die vom Verkehrssicherheitsfonds durchgeführten Vergabeverfahren überprüft werden. Von diesem Prüfungsgegenstand ausgehend (auf den sich die Meinungsverschiedenheit bezieht) hat der Verfassungsgerichtshof nun zu prüfen, ob die vom Rechnungshof verlangten Unterlagen tatsächlich notwendig sind, um die Gebarung des Verkehrssicherheitsfonds zu überprüfen.
Der Rechnungshof legte weder gegenüber dem BMVIT noch in seinem Antrag an den Verfassungsgerichtshof oder in der mündlichen Verhandlung vor dem Verfassungsgerichtshof näher und substantiiert dar, aus welchen Gründen die Einsichtnahme in "die Gesamtauszüge aus dem Quellsystem zu zwei unterschiedlichen Zeitpunkten in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe" zur Gebarungsüberprüfung des Verkehrssicherheitsfonds bzw. der Prüfung des genannten Vergabeverfahrens erforderlich ist. Der Rechnungshof hat das auch in seinem Auskunfts- und Anforderungsverlangen gegenüber dem BMVIT vom nicht näher begründet. Der Rechnungshof hat lediglich allgemein dargelegt, dass er auch zu überprüfen habe, ob es einen Informationsfluss von Inhalten des Erstangebots der "Agentur B" durch Mitarbeiter des BMVIT an die "Agentur A" gegeben habe.
Eine nähere Begründung gegenüber der geprüften Stelle bzw. dem Verfassungsgerichtshof seitens des Rechnungshofes ist allerdings nach Auffassung des Verfassungsgerichtshofes dann unerlässlich, wenn – wie im konkreten Fall – nicht evident ist, inwieweit die Einsichtnahme in die verlangten Unterlagen zu Zwecken der Gebarungsüberprüfung des Verkehrssicherheitsfonds notwendig ist, bzw. nicht von Vornherein ausgeschlossen werden kann, dass bestimmte Unterlagen für die Gebarungsüberprüfung des Verkehrssicherheitsfonds oder des BMVIT keine Bedeutung haben.
In den meisten bisher vom Verfassungsgerichtshof entschiedenen Fällen, in welchen der Rechnungshof die Einsicht in bestimmte Unterlagen verlangte und der Verfassungsgerichtshof die Zuständigkeit des Rechnungshofes zur Einsichtnahme in die vom Rechnungshof verlangten Unterlagen bejahte (vgl. zB VfSlg 4106/1961, 17.065/2003), bestand von Vornherein entweder kein Zweifel, dass das jeweilige konkrete Einsichtsverlangen des Rechnungshofes zu Zwecken der Gebarungsüberprüfung des geprüften Rechtsträgers vollumfänglich erforderlich war, sodass sich eine nähere Begründung der Gebarungsrelevanz der verlangten Unterlagen seitens des Rechnungshofes erübrigte, oder war es nach dem Vorbringen des Rechnungshofes klar und eindeutig zu beurteilen, dass bestimmte Unterlagen bzw. Teile davon nicht zur Gebarung des geprüften Rechtsträgers zählten (vgl. ; , KR2/2013, und , KR3/2013). Der Verfassungsgerichtshof hielt allerdings schon im Erkenntnis VfSlg 7944/1976 fest, dass die Erforderlichkeit der Einsichtnahme in die vom Rechnungshof verlangten Unterlagen auch umfangsmäßig zu prüfen ist. Der Verfassungsgerichtshof sprach im zitierten Erkenntnis aus, dass eine "Überprüfung des Personalaufwandes einer Gebietskörperschaft unter diesen Gesichtspunkten […] nur möglich [ist], wenn der Rechnungshof zur Einsichtnahme in die die Bediensteten betreffenden Personalakten dieser Gebietskörperschaft umfassend befugt ist".
Wenn nun der Rechnungshof im vorliegenden Fall der Gebarungsüberprüfung des Verkehrssicherheitsfonds ein vom Umfang her derart weitgehendes Einsichtsverlangen gegenüber dem BMVIT stellt, das nicht nur die Gesamtauszüge aus dem Quellsystem in Form einer Auflistung aller im überprüften Zeitraum von der Domain @bmvit.gv.at aus intern gesendeten und empfangenen E-Mails, sondern auch von dieser Domain aus extern gesendeten und empfangenen E Mails sämtlicher externer Kommunikationspartner der Mitarbeiter des BMVIT umfasst, hat der Rechnungshof durch nachvollziehbare Fakten darzulegen und auf Grund dieser zu begründen, warum alle diese Unterlagen für die Gebarungsüberprüfung des Verkehrssicherheitsfonds erforderlich sind, insbesondere warum auch E-Mails von Personen relevant sind, bei denen derzeit für den Verfassungsgerichtshof kein Bezug zur Gebarung des Verkehrssicherheitsfonds erkennbar ist. Nur wenn der Rechnungshof diese nachvollziehbaren Fakten darlegt und die Gebarungsrelevanz des Umfangs der Unterlagen, in welche der Rechnungshof die Einsicht begehrt, begründet, ist es nämlich für den der Rechnungshofkontrolle unterliegenden Rechtsträger bzw. die geprüfte Stelle und in der Folge für den im Fall der Meinungsverschiedenheit zwischen dem Rechnungshof und dem geprüften Rechtsträger angerufenen Verfassungsgerichtshof möglich, die Gebarungsrelevanz der zur Einsicht verlangten Unterlagen im Einzelnen zu prüfen.
2.6.4. Da der Rechnungshof nicht näher und substantiiert dargelegt hat und für den Verfassungsgerichtshof aus den oben angeführten Gründen nicht von Vornherein evident ist, warum die Einsichtnahme in "die Gesamtauszüge aus dem Quellsystem zu zwei unterschiedlichen Zeitpunkten in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- und Empfangszeitpunkt, Betreff und Größe" in dieser umfassenden Form zum Zwecke der Gebarungsüberprüfung des beim BMVIT eingerichteten Verkehrssicherheitsfonds notwendig ist, ist dieser Antrag des Rechnungshofes zur Gänze abzuweisen.
Es ist für den Verfassungsgerichtshof auch nicht möglich, den Antrag teilweise abzuweisen und dem Antrag teilweise stattzugeben. Der Verfassungsgerichtshof kann nämlich ohne nähere Darlegung der Gebarungsrelevanz der verlangten Unterlagen im begehrten Umfang nicht beurteilen, welche konkreten Unterlagen für die Gebarungsüberprüfung des Verkehrssicherheitsfonds durch den Rechnungshof tatsächlich relevant sind.
2.7. Angesichts dieses Ergebnisses erübrigt sich ein weiteres Eingehen auf die datenschutzrechtliche Argumentation des BMVIT und auf die Anregung, der Verfassungsgerichtshof möge ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union stellen.
IV. Ergebnis
Der erste Antrag des Rechnungshofes auf Feststellung, dass der Rechnungshof befugt ist, zum Zwecke der Gebarungsüberprüfung des BMVIT insbesondere in "1. die Gesamtauszüge aus dem Quellsystem zu zwei unterschiedlichen Zeitpunkten in Form einer Auflistung aller im überprüften Zeitraum (2008 bis dato) von der Domain @bmvit.gv.at aus intern und extern gesendeten und empfangenen E-Mails mit Sender, Empfänger, Sende- bzw. Empfangszeitpunkt, Betreff und Größe zu erhalten und Einsicht zu nehmen" (Punkt I. 1.) ist daher abzuweisen.
Der zweite Antrag des Rechnungshofes auf Feststellung, dass der Rechnungshof befugt ist, zum Zwecke der Gebarungsüberprüfung des BMVIT insbesondere "2. den Inhalt und allfällige Attachements einzelner, vom Rechnungshof aufgrund dieser Gesamtauszüge ausgewählter E-Mails zu erhalten und Einsicht zu nehmen" (Punkt I. 2.) ist hingegen mangels Zulässigkeit zurückzuweisen.
European Case Law Identifier
ECLI:AT:VFGH:2014:KR1.2014