Spruch:
Die Beschwerde wird zurückgewiesen.
Begründung
Mit der angefochtenen, mit "Empfehlung" überschriebenen Erledigung erging gemäß § 30 Abs. 6 DSG 2000 die Empfehlung an die Beschwerdeführerin, diese möge innerhalb einer Frist von vier Wochen ab Zustellung der Empfehlung Vorsorge dafür treffen, dass in Hinkunft nähere bezeichnete Daten ohne Zustimmung des Benutzers nicht mehr gespeichert werden, was in einem mit "Begründung" überschriebenen Abschnitt der angefochtenen Erledigung näher begründet wurde. Die belangte Behörde kam darin zum Ergebnis, dass ein rechtswidriger Zustand bestehe, und zur Beseitigung dieses rechtswidrigen Zustandes die "vorliegende Empfehlung auf Grundlage des § 30 Abs. 6 DSG 2000 auszusprechen" gewesen sei.
Dagegen richtet sich die vorliegende Beschwerde wegen inhaltlicher Rechtswidrigkeit und Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften.
Im Beschwerdefall ist das Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, in der Fassung BGBl. I Nr. 13/2005, anzuwenden.
§ 30 DSG 2000 lautet:
"Kontrollbefugnisse der Datenschutzkommission
§ 30. (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.
(2) Die Datenschutzkommission kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.
(3) Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§ 26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.
(4) Zum Zweck der Einschau ist die Datenschutzkommission nach Verständigung des Inhabers der Räumlichkeiten und des Auftraggebers (Dienstleisters) berechtigt, Räume, in welchen Datenanwendungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat die für die Einschau notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Auftraggebers (Dienstleisters) und Dritter auszuüben.
(5) Informationen, die der Datenschutzkommission oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Die Pflicht zur Verschwiegenheit besteht auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach den §§ 51 oder 52 dieses Bundesgesetzes oder eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch dem Ersuchen der Strafgerichte nach § 26 StPO zu entsprechen ist.
(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere
1. ein Verfahren zur Überprüfung der Registrierung gemäß § 22 Abs. 4 einleiten, oder
- 2. Strafanzeige nach §§ 51 oder 52 erstatten, oder
- 3. bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben, oder
4. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzkommission entsprochen wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzkommission der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.
(7) Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde."
Entgegen der Auffassung der Beschwerdeführerin handelt es sich bei der angefochtenen Erledigung nicht um einen Bescheid. Dem § 30 DSG 2000 ist nicht zu entnehmen, dass einer solchen Empfehlung ein normativer Charakter zukommen sollte bzw. dass sie bescheidmäßig zu ergehen hätte (und das ist auch bei der angefochtenen Erledigung nicht der Fall). Auch in der Regierungsvorlage zu § 30 DSG 2000 (wiedergegeben beispielsweise in Dohr/Pollirer/Weiss, Datenschutzgesetz2, Loseblattausgabe, Seite 203 zu § 30 DSG 2000) ist inhaltlich von Kontrollbefugnissen die Rede, wobei hingegen "rechtsförmliche Entscheidungen" über behauptete Datenschutzverletzungen so wie bisher als Bescheid von der Datenschutzkommission zu erlassen sein würden, wenn sie Auftraggeber des öffentlichen Rechtes beträfen, und von den ordentlichen Gerichten, wenn sie Auftraggeber des privaten Bereiches beträfen (Letzteres ist hier der Fall; der Fall eines Auftrages nach § 26 DSG 2000 liegt hier nicht vor). Zwar ergibt sich aus § 30 Abs. 6 DSG 2000, dass eine solche Empfehlung dann ausgesprochen werden kann, wenn ein - nach Auffassung der Datenschutzkommission - rechtswidriger Zustandes beseitigt werden soll und dass dann, wenn ihr in der gesetzten Frist nicht entsprochen wird, die Datenschutzkommission von Amts wegen verschiedene Maßnahmen setzen kann. Diese Auffassung der Datenschutzkommission, der gegebene Zustand sei rechtswidrig, ist aber für allfällige Folgeverfahren nicht verbindlich.
Da somit die angefochtene Erledigung keinen Bescheid darstellt, war die Beschwerde mangels Berechtigung zu ihrer Erhebung gemäß § 34 Abs. 1 VwGG ohne weiteres Verfahren in nichtöffentlicher Sitzung zurückzuweisen.
Wien, am 19. Dezember 2006
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)