VwGH vom 27.05.2009, 2007/05/0052
Betreff
Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Giendl und die Hofräte Dr. Pallitsch, Dr. Handstanger, Dr. Hinterwirth und Dr. Moritz als Richter, im Beisein des Schriftführers Mag. Crnja, über die Beschwerde der Sozialversicherungsanstalt der gewerblichen Wirtschaft in X, vertreten durch Dr. Eva-Maria Bachmann-Lang und Dr. Christian Bachmann, Rechtsanwälte in 1010 Wien, Opernring 8, gegen den Bescheid der Datenschutzkommission vom , Zl. K121.220/0001-DSK/2007, betreffend Recht auf Auskunft gemäß § 26 Abs. 1 Datenschutzgesetz (mitbeteiligte Partei: JH in X, vertreten durch Neumayer, Walter & Haslinger Rechtsanwälte-Partnerschaft, in 1030 Wien, Baumannstraße 9/11) zu Recht erkannt:
Spruch
Der angefochtene Bescheid wird wegen Rechtswidrigkeit seines Inhaltes aufgehoben.
Der Bund hat der Beschwerdeführerin Aufwendungen in der Höhe von EUR 1.106,40 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
Begründung
Mit Schreiben vom forderte die Beschwerdeführerin die mitbeteiligte Partei gemäß § 26 DSG 2000 auf, bekannt zu geben, "welche Daten über die SVA verarbeitet werden, insbesondere die Herkunft der Daten, die Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlage hiefür. Weiters sind die Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung von Daten beauftragt sind."
Anlass für dieses Auskunftsbegehren war, dass der Beschwerdeführerin von zwei bei ihr versicherten Personen Schreiben übermittelt wurden, in denen diese behaupteten, von der D.- GmbH jeweils die Auskunft erhalten zu haben, die mitbeteiligte Partei sei die Quelle der bei dieser Gesellschaft elektronisch abrufbaren Informationen, wonach die Beschwerdeführerin Forderungen gegen diese Personen in näher bezeichneter Höhe im Exekutionsweg betreibe.
Mit Schreiben vom verweigerte die mitbeteiligte Partei die geforderte Auskunft mit der Begründung, die Beschwerdeführerin sei nicht Betroffene iSd § 1 DSG 2000.
Nachdem die Beschwerdeführerin die mitbeteiligte Partei erneut schriftlich zur Auskunftserteilung aufgefordert hatte, teilte ihr diese schließlich mit Schreiben vom mit:
"Da wir Ihre Daten nicht verwenden, kommt Ihnen keine Parteistellung zu".
In ihrer dagegen bei der Datenschutzkommission erhobenen Beschwerde begehrte die Beschwerdeführerin, die Behörde möge dafür Sorge tragen, dass das im DSG 2000 verankerte Auskunftsrecht von der mitbeteiligten Partei erfüllt werde, "insbesondere durch Bekanntgabe sämtlicher Daten über (die Beschwerdeführerin) als betreibende Gläubigerin in Exekutionsverfahren, die Herkunft dieser Daten sowie deren Rechtsgrundlage".
Die mitbeteiligte Partei behauptete, keine Daten der Beschwerdeführerin zu verarbeiten, und legte zum Beweis hiefür Ausdrucke von ergebnislosen Abfragen in ihrer Datenbank (als "OK-Datenbank" bezeichnet) betreffend die Beschwerdeführerin vor. Die Datenbank könne nur nach Schuldnern und nicht nach betreibenden Gläubigern abgefragt werden, da das Verhalten von Gläubigern nicht zur Bonitätsbeurteilung gehöre. Ziel der Information aus der Datenbank sei nur, "ob und wie Exekutionsverfahren anhängig waren, und ca. aus welchem Umstand. Daher ist es irrelevant, welcher Sozialversicherungsträger exekutiert und welches Versandhaus." Die Gläubiger seien - wenn überhaupt - nur mit Kürzeln (d.h. nicht namentlich, nur dem Gläubigertypus nach) bezeichnet. Das Kürzel "SVA" werde nach der Legende für forderungsbetreibende "Sozialversicherungsträger welcher Art auch immer" verwendet. Da in der Datenbank überhaupt nur nach Schuldnern und nicht nach betreibenden Gläubigern abgefragt werden könne, müsste der Mitbeteiligte seine gesamte Datenbank durchforsten, um sicher zu gehen, ob hier zufällig neben der allenfalls enthaltenen Eintragung "SVA" auch eine Bezeichnung eingetragen sei, die eindeutig nur die Beschwerdeführerin betreffen könnte. Der Mitbeteiligte könne aber nicht sequentiell 2,200.000 Akten und Daten durchsuchen; damit würde "das Auskunftsrecht zur Schikane". Da der Betroffene am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken habe, möge die Beschwerdeführerin die Schuldner bekannt geben, betreffend derer sie Auskunft begehre. In ihrer auftragsgemäß erstatteten Stellungnahme vom ergänzte die mitbeteiligte Partei, dass sie Daten der betreibenden Gläubiger nicht in einer "Abfrageverknüpfungsform" verarbeite, es sei allerdings möglich, dass im Einzelfall Informationen über den Gläubiger vorhanden seien. Es könne daher nur der Einzelfall untersucht werden, weshalb um Bekanntgabe jener Fälle ersucht werde, in denen die belangte Behörde meine, dass die Beschwerdeführerin aufscheine.
Mit dem nunmehr angefochtenen Bescheid gab die belangte Behörde der Beschwerde teilweise Folge und trug der mitbeteiligten Partei auf, "innerhalb einer Frist von zwei Wochen ab Zustellung dieses Bescheides bei sonstiger Exekution hinsichtlich der nicht im Wege direkter Suche abfragbaren Datenfelder der OK-Datenbank der Beschwerdeführerin Auskunft im Umfang des § 26 Abs. 1 DSG 2000 zu geben oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird". Das Mehrbegehren wurde abgewiesen.
Begründend führte die belangte Behörde aus, die mitbeteiligte Partei betreibe unter der Bezeichnung "Kreditinform" eine Kreditauskunftei. Durch die am erteilte "Negativauskunft" der mitbeteiligten Partei sei die Weigerung vom als überholt zu betrachten. Die für Zwecke ihrer Kreditauskunftei von der mitbeteiligten Partei verwendete sogenannte "OK-Datenbank" enthalte in etwa 2,200.000 Datensätze, die ausschließlich nach den Namen jener Personen geordnet und abrufbar seien, über deren Bonität eine Aussage getroffen werde. Es sei auch nur eine Suche nach bestimmten persönlichen Merkmalen (z.B. Name, Berufsbezeichnung, Branche, verschiedene Adressdetails, Art der Schuldeneintreibung - als "Exekutionsart" bezeichnet) dieser Schuldner möglich. Nach dem Exekution führenden Gläubiger könne in der Datenbank nicht direkt gesucht werden; der Name eines Gläubigers könne nur im Umweg über das Abrufen eines Schuldner-Datensatzes gefunden werden, wenn im Feld "Betreibende Partei" tatsächlich eine Eintragung vorhanden sei. In einigen Fällen scheine auch tatsächlich der Name des betreibenden Gläubigers auf, in anderen Fällen finde sich nur ein Kürzel, welches den Typ des Gläubigers charakterisiere (z.B. BA für Bankinstitut, TEL für Telekommunikationsunternehmen oder auch SVA für einen beliebigen Sozialversicherungsträger), in wieder anderen Fällen sei gar keine Eintragung vorhanden. Eine Abfrage der Datenbank nach dem Namen der Beschwerdeführerin (in verschiedenen Schreibweisen) unter Zuhilfenahme der für die Abfrage zur Verfügung stehenden automationsunterstützten Suchroutinen liefere kein Ergebnis. Bei den beiden von der Beschwerdeführerin ins Treffen geführten Personen, die von der D. GmbH die Auskunft erhalten hätten, die Beschwerdeführerin scheine in ihren Datensätzen als betreibende Gläubigerin auf, habe eine tatsächliche Verarbeitung von Daten der Beschwerdeführerin nicht festgestellt werden können. Die belangte Behörde habe über das Portal des Dienstleisters D. GmbH in die "OK-Datenbank" des Mitbeteiligten Einsicht genommen und die Daten der von der Beschwerdeführerin genannten Schuldner abgefragt. Es sei nur ein Datensatz gefunden worden, in dem sich nur die Eintragung "Sozialversicherung" befunden habe. Es handle sich dabei jedoch um die Übersetzung des Kürzels "SVA"; dieses stünde in der Datenbank für alle möglichen Sozialversicherungsträger. In der originalen "OK-Datenbank" werde die Beschwerdeführerin als betreibende Partei nicht genannt. Es habe sich sohin insgesamt ergeben, dass bei direkter Suche im Datenbestand der beschwerdegegenständlichen "OK-Datei" keine Daten betreffend die Beschwerdeführerin als betreibende Gläubigerin aufgefunden werden könnten.
Die Datenschutzkommission habe bereits mehrfach einen Anspruch des Betroffenen auf Erteilung einer sogenannten "Negativauskunft", d. h. einen Anspruch auf die Auskunft, dass zum Auskunftswerber keinerlei Daten verarbeitet werden, bejaht. Da bei direkter Suche im Datenbestand der beschwerdegegenständlichen "OK-Datei" keine Daten betreffend die Beschwerdeführerin als betreibende Gläubigerin aufgefunden werden können, sei diesbezüglich die Richtigkeit der Negativauskunft bestätigt.
Es könne jedoch nach eigenen Angaben der mitbeteiligten Partei nicht ausgeschlossen werden, dass in Datenfeldern von Schuldner-Datensätzen, die einer direkten Suche nicht zugänglich wären, Informationen über die Beschwerdeführerin als betreibende Gläubigerin aufscheinen würden. Die mitbeteiligte Partei habe in ihrer Stellungnahme zwar darauf hingewiesen, dass ihr eine sequentielle Durchsuchung der 2,220.000 Datensätze der "OK-Datenbank", um erschöpfende Auskunft erteilen zu können, nicht zumutbar sei. Sie habe es jedoch verabsäumt, der Beschwerdeführerin ein Antwortschreiben zukommen zu lassen, in der sie begründet hätte, ob die erteilte Negativauskunft hinsichtlich der gesamten "OK-Datenbank" vollständig sei oder inwieweit und warum hinsichtlich gewisser Teile eine Auskunft - etwa gegründet auf § 26 Abs. 2 DSG 2000 - nicht erteilt werde bzw. nicht erteilt werden könne. Daher habe die gegebene Negativauskunft diesbezüglich als unvollständig bezeichnet werden müssen, weshalb der mitbeteiligten Partei spruchgemäß die Ergänzung ihrer Auskunft aufzutragen gewesen sei.
Dagegen richtet sich die vorliegende Beschwerde wegen Rechtswidrigkeit des Inhaltes und Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften. Die Beschwerdeführerin erachtet sich "in ihrem Recht auf Auskunft gemäß § 26 DSG 2000 verletzt; dies dadurch, dass die belangte Behörde im Rahmen des Auskunftsrechtes gesetzwidrig eine Unterscheidung in direkte und nicht direkte Suche in der Datenbank der mitbeteiligten Partei vornimmt und dadurch zum unrichtigen Ergebnis gelangt, die mitbeteiligte Partei verwende keine im Wege der direkten Suche abfragbaren Daten der Beschwerdeführerin".
Ausschlaggebend für die Stellung als "Betroffener" iSd § 4 Z 3 DSG 2000 sei allein die Verwendung von Daten einer bestimmten Person. Dies werde von der belangten Behörde völlig verkannt, wenn sie davon ausgehe, dass "die Richtigkeit der gegebenen Negativauskunft durch die Ergebnisse des Ermittlungsverfahrens in Bezug auf die mit direkter Suche ansprechbaren Datenfelder der 'OK-Datenbank' bestätigt wurde". Dem klaren Wortlaut des § 26 DSG 2000 nach habe der Auftraggeber, im vorliegenden Fall die mitbeteiligte Partei, dem Betroffenen, sohin der Beschwerdeführerin, Auskunft zu erteilen. Die von der belangten Behörde vorgenommene Differenzierung der Abfrage der Datenbank des Mitbeteiligten nach direkter und nicht direkter Suche finde im Gesetz keine Deckung und führe im Ergebnis dazu, dass ein Auftraggeber einer Datenbank immer dann von seiner Auskunftspflicht befreit würde, wenn er in seiner Datenbank die technische (direkte) Suchmöglichkeit nach bestimmten Betroffenen wie dem betreibenden Gläubiger nicht vorsehe, und es läge dann das Auskunftsrecht im Belieben des Auftraggebers. Bei einer nicht direkten Suche, also bei einer Abfrage nach Schuldner-Datensätzen, die Informationen über den betreibenden Gläubiger enthalten könnten, würde die Behauptung der Unverhältnismäßigkeit des Aufwandes bzw. der Unzumutbarkeit der Suche aufgrund der Vielzahl der Daten zu dem Ergebnis führen, dass das Auskunftsrecht des Betroffenen völlig ausgeschaltet würde. Der Auftraggeber habe daher seine Datenbank so zu programmieren, dass über jeden Betroffenen Auskunft erteilt werden könne, sei er nun Gläubiger oder Verpflichteter. Es könnten daher beim bloßen Vorliegen einer "technischen Abfrage(un)möglichkeit" einer Datenbank keine überwiegenden Interessen des Auftraggebers angenommen werden, die dem Auskunftsrecht des Betroffenen gegenüberstünden. Da die von der belangten Behörde vorgenommene Differenzierung aus einer fehlerhaften Anwendung des Gesetzes herrühre, werde der gesamte Bescheid bekämpft. Zusätzlich habe die belangte Behörde Verfahrensvorschriften dadurch verletzt, dass sie Sachverhaltsfeststellungen aus dem "parallelen Beschwerdefall" gegen die D.-GmbH übernommen habe, ohne der Beschwerdeführerin in diesem Zusammenhang die Möglichkeit zur Stellungnahme einzuräumen. Diese Verfahren seien nicht verbunden worden, die Beschwerdeführerin habe je zwei getrennte Stellungnahmen abgegeben und sei durch die unzulässige Verknüpfung der Verfahrensergebnisse in ihrem Recht auf Parteiengehör verletzt. Zudem sei in der Beweiswürdigung festgehalten, dass die Beschwerdeführerin "das schlüssige Vorbringen der D.-GmbH (!)" in sachverhaltsmäßiger Hinsicht nicht bestritten habe, obwohl sie in ihrer Stellungnahme vom das Vorbringen der mitbeteiligten Partei zur Gänze bestritten habe. Es sei ein Leichtes, durch die Kombination bestimmter Suchmerkmale des Schuldners (z.B. dessen Berufsbezeichnung) und dem Kürzel "SVA" auf die Beschwerdeführerin als betreibende Gläubigerin zu schließen, noch dazu, wenn eine bestimmte Exekutionszahl aufscheine.
Die belangte Behörde legte die Akten des Verwaltungsverfahrens vor und erstattete eine Gegenschrift, in der sie betreffend die ihr von der Beschwerdeführerin vorgehaltene unrichtige Differenzierung von direkter und nicht direkter Suche erklärend ausführte, sie habe keine derartige Differenzierung vorgenommen, es sei vielmehr bei ihr der Eindruck entstanden, der Mitbeteiligte mache eine Auskunftsverweigerung iSd § 26 Abs. 2 DSG 2000 geltend, da er im Zuge des Verfahrens vorgebracht habe, "die sequentielle Durchsicht aller seiner Datensätze, welche möglicherweise auf die Beschwerdeführerin bezogene Daten liefern würden", stelle einen unzumutbaren Aufwand dar. Die Rechtmäßigkeit dieser Weigerung habe jedoch von der belangten Behörde nicht überprüft werden können, da, wie in Abs. 4 leg. cit. vorgesehen, der Beschwerdeführerin eine schriftliche Mitteilung, warum eine vollständige Auskunft nicht erteilt werden konnte, nicht zugegangen sei, sondern dies erst im Verfahren vor der belangten Behörde eingewendet wurde. Es sei sohin das Vorbringen des Mitbeteiligten als ein Eingeständnis der Nicht-Vollständigkeit der am erteilten Negativauskunft im Hinblick auf nicht direkt suchbare Daten zu werten gewesen und daher der Beschwerde teilweise stattgegeben worden. Sie beantragte die kostenpflichtige Abweisung der Beschwerde.
Die mitbeteiligte Partei erstattete eine Gegenschrift, in der sie ebenfalls die kostenpflichtige Abweisung der Beschwerde beantragte.
Der Verwaltungsgerichtshof hat erwogen:
Im Zeitpunkt des Auskunftsbegehrens der Beschwerdeführerin lauteten die im Beschwerdefall wesentlichen Bestimmungen des Datenschutzgesetzes BGBl. I Nr. 165/1999 (DSG 2000) in der im Beschwerdefall im Hinblick auf den Zeitpunkt der Erlassung des angefochtenen Bescheides anzuwendenden Fassung BGBl. I Nr. 13/2005:
"Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§ 1.
...
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
...
Artikel 2
1. Abschnitt
Allgemeines
Definitionen
§ 4.
Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. 'Daten' ('personenbezogene Daten'): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; 'nur indirekt personenbezogen' sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
...
3. 'Betroffener': jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden;
4. 'Auftraggeber': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anlässlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;
5. 'Dienstleister': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Z 8);
6. 'Datei': strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;
7. 'Datenanwendung' (früher: 'Datenverarbeitung'): die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
8. 'Verwenden von Daten': jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;
9. 'Verarbeiten von Daten': das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (Z 12) von Daten;
10. 'Ermitteln von Daten': das Erheben von Daten in der Absicht, sie in einer Datenanwendung zu verwenden; 11. 'Überlassen von Daten': die Weitergabe von Daten vom Auftraggeber an einen Dienstleister;
...
5. Abschnitt
Die Rechte des Betroffenen
Auskunftsrecht
§ 26.
(1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.
...
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
...
Beschwerde an die Datenschutzkommission
§ 31.
(1) Die Datenschutzkommission erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26 durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) Zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz ist die Datenschutzkommission dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist.
..."
Die Beschwerdeführerin erachtet sich in ihrem Recht auf Auskunft gemäß § 26 DSG 2000 verletzt, weil die belangte Behörde im Rahmen des Auskunftsrechtes gesetzwidrig eine Unterscheidung in direkte und nicht direkte Suche in der Datenbank vorgenommen habe und dadurch zu dem unrichtigen Ergebnis gelangt sei, die mitbeteiligte Partei würde keine im Wege direkter Suche abfragbare Daten der Beschwerdeführerin verwenden.
Gemäß § 26 Abs. 1 DSG 2000 ist einem "Betroffenen" Auskunft über zu seiner Person verarbeiteten Daten zu geben. Nach dieser Gesetzesstelle kommt daher dem Betroffenen (grundsätzlich) ein Recht auf eine umfassende und inhaltlich rechtmäßige Auskunft zu (vgl. das hg. Erkenntnis vom , Zl. 2001/12/0004). Der Gesetzgeber hat dem von Datenverarbeitungen Betroffenen ein nicht weiter begründungsbedürftiges Interesse an der Auskunft in dem in dieser Bestimmung vorgesehenen Ausmaß zuerkannt. Die Auskunft muß grundsätzlich so konkret erfolgen, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann (vgl. das hg. Erkenntnis vom , Zl. 2005/06/0111).
Die Verpflichtung des Auftraggebers (§ 4 Z. 4 DSG 2000) zur Auskunftserteilung gemäß § 26 Abs. 1 DSG 2000 setzt ein schriftliches Auskunftsbegehren des Betroffenen voraus. Hat der Auftraggeber innerhalb von acht Wochen ab Einlangen des Begehrens keine oder nur eine unvollständige Auskunft erteilt, kann der Betroffene Beschwerde an die Datenschutzkommission gemäß § 31 Abs. 1 DSG 2000 wegen Nichterfüllung seines Auskunftsbegehrens erheben (vgl. § 26 Abs. 4 DSG 2000).
Aus der dargestellten Rechtslage hat die belangte Behörde zutreffend abgeleitet, dass das Auskunftsrecht gemäß § 26 DSG 2000 auch den Anspruch auf Erteilung der Auskunft darüber umfasst, ob überhaupt Daten des Auskunftswerbers verarbeitet werden. Der Auskunftswerber hat daher gemäß § 26 Abs. 4 DSG 2000 einen Anspruch auf Auskunft, dass keinerlei zu seiner Person verarbeitete Daten verarbeitet werden (sog. "Negativauskunft"), sofern er einen Grund zur Annahme hat, dass ein Auftraggeber Daten zu seiner Person verarbeitet.
Auf Grund des schriftlichen Ersuchens vom war daher der Mitbeteiligte verpflichtet, der Beschwerdeführerin innerhalb von acht Wochen nach Einlangen dieses Begehrens die gewünschte Auskunft gemäß § 26 Abs. 1 DSG 2000 zu erteilen (Auskunft über die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür; Bekanntgabe von Namen und Adressen von Dienstleistern, falls sie mit der Verarbeitung der Daten der Beschwerdeführerin beauftragt sind) oder Auskunft zu geben, dass keinerlei Daten der Beschwerdeführerin verarbeitet werden. (Der Mitbeteiligte hat sich bei seiner Auskunftserteilung nicht darauf berufen, dass Gründe vorlägen, die ihn berechtigt hätten, keine bzw. keine vollständige Auskunft im Sinne des § 26 Abs. 4 DSG 2000 zu erteilen.)
Die Datenschutzkommission erkennt gemäß § 31 Abs. 1 DSG 2000 auf Antrag des Betroffenen über behauptete Verletzungen des Rechts auf Auskunft gemäß § 26 leg. cit. durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht. Diese Beschwerde soll die Erteilung der Auskunft gemäß § 26 DSG 2000 sicherstellen. Der Beschwerdeführer ist in seinem Recht auf Auskunft gemäß § 26 DSG 2000 durch den Auftraggeber einer Datenanwendung daher auch dann verletzt, wenn die erteilte Auskunft unvollständig ist.
Die belangte Behörde stellte im angefochtenen Bescheid - insoweit unbekämpft - fest, dass die vom Mitbeteiligten der Beschwerdeführerin mit Schreiben vom erteilte "Negativauskunft" unvollständig ist.
Bei dieser Sachlage hatte die belangte Behörde auf Grund der an sie gerichteten Beschwerde gemäß § 31 Abs. 1 DSG 2000 dem Mitbeteiligten den Auftrag zu erteilen, im Sinne des Auskunftsverlangens der Beschwerdeführerin vom innerhalb einer näher zu bestimmenden Frist Auskunft im Umfang des § 26 Abs. 1 DSG 2000 zu geben oder bekannt zu geben, dass keine der Auskunftspflicht unerliegenden Daten über die Beschwerdeführerin verarbeitet werden.
Die von der belangten Behörde im angefochtenen Bescheid vorgenommene Einschränkung des Auftrages und die damit verbundene Abweisung des Mehrbegehrens der Beschwerdeführerin erweist sich als unbestimmt und mit der Rechtslage nicht vereinbar, weil entscheidungswesentlich ist, ob der Mitbeteiligte Daten der Beschwerdeführerin im Sinne des § 26 Abs. 1 DSG 2000 verarbeitet und seiner Verpflichtung gemäß § 26 Abs. 4 DSG 2000 nachgekommen ist. Die Einschränkung der Auskunftspflicht des Mitbeteiligten auf "nicht im Wege direkter Suche abfragbare(n) Datenfelder der OK-Datenbank" verletzt die Beschwerdeführerin in ihrem geltend gemachten Recht auf Auskunft gemäß § 26 DSG 2000, weil sich das Auskunftsrecht nach dieser Gesetzesstelle auf alle personenbezogenen verarbeiteten Daten erstreckt und nicht nur auf solche Daten der Beschwerdeführerin, die unter bestimmten Voraussetzungen abgefragt werden können.
Da die belangte Behörde dies verkannt hat, belastete sie den angefochtenen Bescheid mit einer Rechtswidrigkeit des Inhaltes, weshalb dieser Bescheid gemäß § 42 Abs. 2 Z. 1 VwGG aufzuheben war.
Der Ausspruch über den Kostenersatz gründet sich auf die §§ 47ff VwGG in Verbindung mit der Verordnung BGBl. II Nr. 455/2008.
Wien, am