[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in Anwesenheit der Mitglieder Mag. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL, und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 28. November 2003 folgenden Beschluss gefasst:
Gemäß § 30 Abs 6 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 136/2001 werden folgende
Empfehlungen
an die ABYZ Marketing-Data Ges.m.b.H. Co KG (im Folgenden kurz: datenschutzrechtliche Auftraggeberin) zur Herstellung und Sicherstellung gesetzmäßiger Verhältnisse bei der Verwendung personenbezogener Daten für Zwecke der Datenanwendung 'ABYZ Marketingdatei – Privatpersonen' ausgesprochen:
1. Die datenschutzrechtliche Auftraggeberin möge die Bestimmungen über das Auskunftsrecht der Betroffenen (§ 26 DSG 2000) dadurch einhalten, dass sie selbst für die Erfüllung des Auskunftsrechts sorgt, statt die Betroffenen an andere, Daten für die 'ABYZ Marketingdatei – Privatpersonen' übermittelnde Auftraggeber zu verweisen.
2. Die datenschutzrechtliche Auftraggeberin möge dafür Sorge tragen, dass die in ihrem Schriftsatz ('Stellungnahme zum Verbesserungsauftrag der Datenschutzkommission') vom 30. Oktober 2003, GZ K211.507/021-DSK/2003, zugesagten programmtechnischen Verbesserungen erfüllt werden, nämlich
a. Sicherung gegen unbefugte Verwendung oder Austausch des öffentlichen Signaturprüfschlüssels (Datei LicValidator.dll) zwecks Fälschung von Konfigurationsdateien;
b. Sicherung gegen unbefugte Weiterverwendung der Daten durch Zurücksetzen der Systemuhr (verbessertes Update-System) und
c. Sicherstellung eines zwingenden monatlichen Updates der Datenbank durch Übermittlung einer aktuellen Negativliste der Betroffenen, die ihre Daten gemäß § 151 Abs 8 und 9 Gewerbeordnung 1994 (GewO 1994), BGBl Nr. 194/1994 idF BGBl I Nr 111/2002 für Direktmarketingzwecke haben sperren lassen.
3. Hinsichtlich der in der Datei enthaltenen Marktanalysedaten im Sinne des §151 Abs.6 GewO 1994 - die in der neuerlichen Meldung vom 12. 11. 2003 zweckmäßigerweise auch ausdrücklich als solche ausgewiesen sind - ist Folgendes zu beachten:
Angesichts des Umstandes, dass Marketinganalysedaten aufgrund statistischer Auswertungen ermittelt werden und daher keinen Anspruch auf Richtigkeit im konkreten Einzelfall erheben können, kann die Speicherung von Marketinganalysedaten in personenbezogener Form - ohne ausdrückliche Zustimmung des Betroffenen bzw. ausdrückliche Einwilligung im sinne des § 151 Abs. 4 GewO 1994 – aus mehrfachen Gründen einen unverhältnismäßigen Eingriff in das Grundrecht auf Datenschutz und damit zugleich eine Verletzung des § 151 GewO 1994 darstellen: So etwa, wenn sie Eigenschaften zuschreiben, die bei Anwendung einer Durchschnittsbetrachtung negativ beurteilt werden könnten und überdies die Privatsphäre des Betroffenen in qualifizierter Weise berühren, ohne gleichzeitig für das voraussichtliche Marktverhalten von plausibel erkennbarer Bedeutung zu sein. Während daher die Verwendung des Marktanalysedatums 'Kaufkraft(klasse)' als zulässig anzusehen wäre, bestehen hinsichtlich des Datums 'Partnerschaftsverhältnis' diesbezügliche Zweifel. Diese Zweifel müssten ausgeräumt werden, um eine Registrierung zu ermöglichen.
4. Als Auswahlkriterien aus dem in Form der CD zur Verfügung gestellten Datenbestand sollten ausschließlich direktmarketing–relevante Kriterien zugelassen sein. Es dürften jeweils nur solche Auswahlkriterien vorgesehen und programmtechnisch möglich sein, die weder allein noch in Kombination eine Suche nach bestimmten oder bestimmbaren Personen ermöglichen. Es sollte daher weder mit einem Familiennamen noch mit exakten Adressen (z. B. Straße und Hausnummer und Türnummer) noch mit sonstigen Kombinationen mit vergleichbarem Effekt gesucht werden können.
5. § 151 GewO 1994 statuiert als Gegengewicht zu den aus der personenbezogenen Speicherung von Marktanalysedaten allenfalls entstehenden Gefahren für die Privatsphäre der Betroffenen besondere Rechtspflichten der Direktmarketingunternehmen. Wenn nun durch ein Produkt wie die vorliegende CD Marketingtätigkeiten (- die Auswahl der Zielgruppe -), die bisher typischerweise von Direktmarketingunternehmen vorgenommen wurden, an die werbenden Unternehmen selbst ausgelagert werden, muss dafür Vorsorge getroffen werden, dass die im § 151 GewO 1994 vorgesehenen besonderen Pflichten von Direktmarketingunternehmen, die die Datenschutzrechte der Betroffenen gewährleisten sollen, auch bei einer Verwendung der Daten durch die Käufer der 'ABYZ Marketingdatei – Privatpersonen' im Effekt wirksam bleiben, obwohl die Käufer mangels ihrer Eigenschaft als Direktmarketingunternehmen dem § 151 GewO 1994 nicht unterliegen. Es handelt sich hiebei im Wesentlichen um die Pflichten nach § 151 Abs. 9, 6 und 7:
Eine Eintragung in die Robinsonliste muss auch bei Verwendung der in Rede stehenden CD-ROM den von § 151 Abs. 9 GewO 1994 statuierten Löschungs- bzw. Sperreffekt haben - und zwar auch in dem in der Gewerbeordnung vorgesehenen Aktualisierungsrhythmus. Die ABYZ Marketingdatei – Privatpersonen gewährleistet diesen Effekt durch die in Pkt. 3 b beschriebenen technische Maßnahmen; hinsichtlich des Aktualisierungsrhythmus hätte jedoch noch eine Anpassung an die in § 151 Abs. 9 vorgesehene einmonatige Frist zu erfolgen. Die Sicherstellung, dass die Käufer der CD nachweislich ihre Verpflichtung nach § 151 Abs. 6 GewO 1994 zur Kenntnis genommen haben, wonach die auf der CD enthaltenen Daten, insbesondere die Marktanalysedaten, nur für Marketingzwecke (weiter)verwendet werden dürfen, wird durch die Einforderung einer vertraglichen Zusage der Käufer erreicht.
Weiters muss auch der von § 151 Abs. 7 GewO 1994 intendierte Effekt gewährleistet werden, dass nämlich die Ursprungsdatei von Marketingdaten jeweils auffindbar bleibt, was vor allem durch entsprechende Kennzeichnung der Werbezusendungen erreicht werden kann. Da § 151 Abs. 7 für die Käufer der CD-ROM nicht gilt, wird die Herstellung einer diesbezüglichen vertraglichen Verpflichtung der Käufer zu verlangen sein.
Der datenschutzrechtlichen Auftraggeberin wird eine Frist von vier Wochen gesetzt, um für die Umsetzung dieser Empfehlungen zu sorgen, soweit der Nachweis der Befolgung der Empfehlungen nicht unmittelbar im neu beantragten Registrierungsverfahren zu erbringen ist. Auf die nach § 30 Abs 6 DSG 2000 möglichen Folgen der Nicht-Umsetzung wird hingewiesen.
Begründung
1. Vorbemerkung zur Fortsetzung des Kontrollverfahrens nach § 30 DSG 2000 trotz Änderung des meldepflichtigen Auftraggebers :
Die Datenschutzkommission hat mit Erledigung vom heutigen Tage, selbe Geschäftszahl, der ABYZ Marketing-Data Ges.m.b.H. Co KG mitgeteilt, dass das Registrierungsverfahren betreffend die Datenanwendung 'ABYZ Marketingdatei – Privatpersonen' wegen Untergangs der meldenden Partei, nämlich der ABYZ Marketing-Data AG, gemäß § 13 Datenverarbeitungsregister-Verordnung 2002 (DVRV 2002), BGBl II Nr 24/2003, neu begonnen werden muss und dass das 'alte' Registrierungsverfahren, einschließlich des Vorstellungsverfahrens gegen den erlassenen Mandatsbescheid, daher einzustellen war.
Die Datenschutzkommission vertritt allerdings den Standpunkt, dass dieser Wechsel in der Auftraggeberidentität für das Kontrollverfahren gemäß § 30 DSG 2000 nicht gilt.
Grundsätzlich ist zu sagen, dass Rechte und Pflichten verwaltungsrechtlicher Natur, die sich auf ein Unternehmen, also eine Gesamtsache im Sinne von § 302 ABGB, beziehen, durchaus im Wege der Gesamtrechtsnachfolge pauschal übertragen werden. Gegenüber dem Rechtsvorgänger erlassene Bescheide wirken grundsätzlich als unternehmensbezogen ('dinglich') auch gegenüber dem Rechtsnachfolger, anhängige Verfahren sind grundsätzlich mit dem Gesamtrechtsnachfolger fortzusetzen (Partei- bzw. Beteiligtenwechsel).
Da der von diesem Grundsatz abweichende § 13 DVRV 2002 gemäß § 1 DVRV 2002 nur das 'Verfahren zur Registrierung von Datenanwendungen im Datenverarbeitungsregister' gemäß §§ 16 bis 22 DSG 2000 regelt und somit eine Sonderbestimmung mit eng begrenztem Anwendungsbereich darstellt, hat diese Bestimmung auf das Kontrollverfahren gemäß § 30 DSG 2000 keinen Einfluss. Das Verfahren nach § 30 DSG 2000 betrifft nunmehr die ABYZ Marketing-Data Ges.m.b.H. Co KG als für die Datenanwendung 'ABYZ Marketingdatei – Privatpersonen' verantwortliche datenschutzrechtliche Auftraggeberin und Rechtsnachfolgerin der ABYZ Marketing-Data AG.
2. Verfahrensgang :
Die Datenschutzkommission leitete mit Schreiben vom 20. August 2003, GZ K211.507/001-DSK/2003, per E-Mail am selben Tag zugestellt, ein Verfahren gemäß §§ 22 Abs 4 und 30 Abs 3 DSG 2000 ein und forderte die datenschutzrechtliche Auftraggeberin ABYZ Marketing-Data AG auf, gegebenenfalls eine Meldung gemäß § 17 Abs 1 DSG 2000 zu machen und insbesondere anzugeben, ob tatsächlich die in Medienberichten kolportierte Verarbeitung und Übermittlung sensibler personenbezogener Daten auf CD ROM beabsichtigt sei. Am 21. August 2003 brachte die ABYZ Marketing-Data AG eine Meldung gemäß § 17 Abs 1 DSG 2000 beim Datenverarbeitungsregister betreffend eine Datenanwendung 'ABYZ Marketingdatei – Privatpersonen' ein. Am 22. August 2003 erließ das geschäftsführende Mitglied der Datenschutzkommission zur Sicherung des Verfahrens einen Mandatsbescheid gemäß § 20 Abs 2 DSG 2000, mit dem die Weiterführung dieser Datenanwendung, insbesondere die Übermittlung von Daten in jedweder Form, einschließlich des Inverkehrbringens von Datenträgern, bis zur Beendigung des Registrierungsverfahrens vorläufig untersagt wurde.
Die datenschutzrechtliche Auftraggeberin hat dagegen fristgerecht am 5. September 2003 Vorstellung an die Datenschutzkommission als Kollegium erhoben und die Aufhebung des Bescheids sowie die Registrierung der gemeldeten Datenanwendung beantragt. Schon vorher, nämlich am 1. September 2003, modifizierte und ergänzte die datenschutzrechtliche Auftraggeberin die eingebrachte Registermeldung.
Die Datenschutzkommission hat darauf hin fristgerecht (§ 57 Abs 3 AVG) das ordentliche Ermittlungsverfahren eingeleitet.
Während des laufenden Verfahrens wurde das Unternehmen der ABYZ Marketing-Data AG durch Umwandlung (= Gesamtrechtsnachfolge unter Ausschluss der Liquidation der Rechtsvorgängerin, § 1 UmwG) auf die ABYZ Marketing-Data Ges.m.b.H. Co KG übertragen (per 11. Oktober 2003, FN ****1*d). Damit ist der Tatbestand gemäß § 13 DVRV 2002 erfüllt; die Datenanwendungen der Rechtsnachfolgerin sind – unter möglicher Übernahme der DVR-Nummer auf Antrag - vollständig neu zu melden. Per 30. Oktober 2003 wurde die neuerliche Meldung der Datenschutzkommission unter Anschluss des Formulars Anl 1 zur DVRV 2002 (Angaben zum Auftraggeber) angezeigt.
3. Als entscheidungsrelevant festgestellter Sachverhalt :
Beweis hinsichtlich des im Folgenden dargestellten entscheidungsrelevanten Sachverhalts wurde aufgenommen durch Einvernahme der datenschutzrechtlichen Auftraggeberin als Partei durch Dkfm. L*** als Vorstandsmitglied, Einvernahme der Zeugen Mag. N*** (Fa. A+O-Daten Direktmarketing) und P*** (Projektverantwortlicher Fa. ABYZ), Einsichtnahme in den Datenbestand der Datenanwendung 'ABYZ Marketingdatei – Privatpersonen' durch beauftragte Mitarbeiter der Geschäftsstelle der Datenschutzkommission, Einholung eines Amtssachverständigengutachtens des Österreichischen Zentrums für sichere Informationstechnologie – A-SIT samt Ergänzungsgutachten, sowie Einsichtnahme in die Eingaben und Stellungnahmen der datenschutzrechtlichen Auftraggeberin und die vorgelegten Beweisurkunden.
a) Auf Grundlage eines zwischen der datenschutzrechtlichen Auftraggeberin und der A+O-Daten Direktmarketing Ges.m.b.H. (im Folgenden kurz: A+O-Daten), DVR*****0*, im März 2003 geschlossenen Vertrags hat erstere das Recht erworben, Datenbestände, die A+O-Daten für Zwecke des Gewerbes des Adressverlags und Direktmarketingunternehmens verarbeitet – die datenschutzrechtliche Auftraggeberin verfügt über die gleiche Gewerbeberechtigung - , übermittelt zu erhalten und selber in der Form zu verwenden, dass die datenschutzrechtliche Auftraggeberin diese Daten speichert und samt Anwendungssoftware auf CD ROMs als Datenträger kopiert und gegen Entgelt an bestimmte Käufer, nämlich unternehmerisch tätige Personen, übermittelt. Dieses 'Produkt' der datenschutzrechtlichen Auftraggeberin bzw. die entsprechende Datenanwendung wird als 'ABYZ Marketingdatei – Privatpersonen' bezeichnet. Die von A+O-Daten der datenschutzrechtlichen Auftraggeberin übermittelten und von dieser verarbeiteten Daten beziehen sich auf den Betroffenenkreis 'Privatpersonen'. Insgesamt soll jede einzelne Kopie der Datenanwendung eine Datei (Datenbank) mit den Personendatensätzen von rund 4 Millionen in Österreich lebenden Betroffenen enthalten.
b) Die Datenanwendung ist von der Softwareseite her so konfiguriert, dass sie nach Einrichtung auf einem bestimmten Gerät beim Käufer nur für einen beschränkten Zeitraum funktioniert. Nach Ablauf dieses Zeitraums muss die Datenanwendung durch Übermittlung einer Datei, die der Negativliste gemäß § 151 Abs 9 Gewerbeordnung 1994 (GewO 1994), BGBl Nr 194/1994 idF BGBl I Nr 111/2002, entspricht (so genannte 'Robinson-Liste'), einschließlich jener Löschungswerber, die sich an die datenschutzrechtliche Auftraggeberin selbst gewendet haben (§ 151 Abs 8 GewO 1994), aktualisiert werden. Dieser Zeitraum kann von der datenschutzrechtlichen Auftraggeberin festgelegt werden (bei der geprüften Version: 57 Tage). Die Übermittlung der Negativliste bewirkt die Sperrung der mit Listenbestandteilen verknüpften Daten. Die darüber hinausgehende Verarbeitung von Personendaten der Negativliste ist programmmäßig ausgeschlossen.
Die datenschutzrechtliche Auftraggeberin lässt sich von Übermittlungsempfängern (Käufern der Marketingdatei CD ROM) vertraglich die ausschließliche Verwendung der Daten der CD-ROM für eigene Marketingzwecke, die Beachtung der Robinson-Liste (Anmerkung: siehe Ausführungen zur technischen Sicherstellung) sowie die Einhaltungen der Bestimmungen des DSG 2000 zusichern.
c) Die Dateien der Datenanwendung sind verschlüsselt. Die Entschlüsselung sowie der Umfang der Zugriffsmöglichkeit sind von den von der Auftraggeberin zur Verfügung gestellten Lizenz- und Konfigurationsdateien abhängig. Im technischen Prüfverfahren wurde festgestellt, dass durch Manipulation dieser Dateien das unerlaubte Kopieren der Daten bzw. ein erweiterter Zugriff technisch ermöglicht werden konnte. Die technische Sicherung der Datenanwendung (Verschlüsselung, Sicherung gegen unbefugte Zugriffe und unbefugtes Kopieren) entspricht daher nach Meinung der im Verfahren herangezogenen Sachverständigen nicht in allen Punkten dem Stand der Technik. Bemängelt wurde näherhin vor allem
d) Folgende Datenarten werden (bzw. wurden) in der (ursprünglichen) Meldung von der datenschutzrechtlichen Auftraggeberin zur Verarbeitung vorgesehen:
Die verwendeten Daten stammen ausschließlich aus Datenanwendungen der A+O-Daten Direktmarketing Ges.m.b.H. und werden daher auf der Grundlage von § 151 Abs 3 GewO 1994 ('aus Marketingdateien anderer Adressverlage und Direktmarketingunternehmen') durch die datenschutzrechtliche Auftraggeberin ermittelt.
Der Adressverlag A+O-Daten hat seinerseits verschiedene Ermittlungsquellen im Ermittlungsverfahren genannt: Die Daten stammen aus eigenen Recherchen von A+O-Daten, aus Kunden- und Interessentendateien der Fa. P-Mail (Anmerkung: privater Werbemittelverteiler und Postzusteller) sowie aus Kunden- und Interessentendateien des Callcenter-Unternehmens A X. Bei den Daten aus diesen Datenquellen handelt sich um sog. 'harte Daten', d.s. Daten, bei welchen zumindest grundsätzlich der Anspruch der Richtigkeit im Einzelfall behauptet wird.
Neben diesen Ermittlungsquellen werden von A+O-Daten auch statistische Berechnungsmethoden zur Datengenerierung herangezogen:
Die Datenarten 'Altersklasse', 'Stellung im Haushalt', 'Anzahl der Personen im Haushalt', 'Partnerschaftsverhältnis' und 'Kaufkraftklasse Haushalt' sind sog. 'weiche Daten', nämlich Marketinganalysedaten gemäß § 151 Abs 6 GewO 1994. Die verwendeten Marketinganalysedaten werden durch statistische Methoden (Wahrscheinlichkeiten) von A+O-Daten errechnet, woraus sich ergibt, dass sie schon ihrer Natur nach keinen Anspruch auf Richtigkeit im konkreten Einzelfall erheben können. Nach Angaben des Zeugen Mag. N (Geschäftsführer von A+O-Daten) wird etwa durch Abgleich der Nachnamen und Vergleich mit der Altersklasse auf die Art des Partnerschaftsverhältnisses geschlossen.
Bei einzelnen Marketinganalysedatenarten werden im übrigen aber offenbar nicht ausschließlich errechnete Daten verwendet, wie sich aus einer im Auftrag der Datenschutzkommission von A-SIT durchgeführten Stichproben-Prüfung hinsichtlich der im Ermittlungsverfahren behaupteten Korrelation 'Vorname --- Altersklasse' herausgestellt hat.
Das für die in Rede stehende CD-ROM verwendete Anwendungsprogramm kennzeichnet die Marketinganalysedaten in besonderer Weise (eingeblendetes Hinweiszeichen beim Berühren des entsprechenden Feldes mit dem Mauszeiger).
e) Die Daten sind programmtechnisch für die gezielte Auswahl von Adressdatensätzen (Titel, Name, Anschrift) für Zwecke des Direktmarketing (Vorbereitung von so genannten Werbemailings, Auswahl, Formatierung, Ausdruck) aufbereitet.
Als Auswahlkriterien aus dem Gesamtdatenbestand können fast alle unter d)angeführten Datenarten verwendet werden. Die Auswahl von Daten nach dem Familiennamen ist allerdings nicht möglich (Anmerkung: Dies war in der der Datenschutzkommission zunächst vorgelegten Demo-Version noch möglich und wurde Branchenvertretern und Medien auch so vorgeführt). Es ist also nunmehr keine gezielte Suche nach bestimmten Personen mit den Identifikatoren Name und Vorname möglich. Indirekte Suchoptionen können aber bei genügender Detailkenntnis (z.B. Suche nach Vorname und akademischer Grad und Straße und Hausnummer) derzeit nicht ausgeschlossen werden.
4. Rechtliche Schlussfolgerungen
Zu Punkt 1. der Empfehlungen :
Wie der Datenschutzkommission mehrfach (siehe etwa die Eingabe GZ K211.512/001-DSK/2003) amtlich bekannt wurde, leitet die datenschutzrechtliche Auftraggeberin Auskunftswerber, die gemäß § 26 Abs 1 DSG 2000 Auskunft über ihre eigenen Daten verlangen, an die A+O-Daten weiter. Dies entspricht nicht dem Gesetz. Da die datenschutzrechtliche Auftraggeberin sich selbst durch Abgabe einer Meldung gemäß § 17 Abs 1 DSG 2000 als solche deklariert hat, muss sie auch die damit verbundenen Pflichten erfüllen. Die Tatsache, dass ein anderer Auftraggeber über den selben Datenbestand verfügt, ändert daran nichts.
Zur Herstellung des gesetzmäßigen Zustands war daher dieser Punkt der Empfehlungen anzusprechen.
Zu Punkt 2. der Empfehlungen :
Dass die Absicherung der in Rede stehenden CD-ROM, die jeder unternehmerisch Tätige käuflich erwerben kann, gegen den Zugriff von 'Unberechtigten' datenschutzrechtlich – und nicht bloß urheberrechtlich – bedeutsam ist, ergibt sich aus dem Umstand, dass die besonderen Verwendungsbeschränkungen für diese Daten nach § 151 GewO 1994 an die Nutzer der CD überbunden werden müssen, was nur vertraglich und daher nur kontrolliert erfolgen kann. Dies gilt sowohl für die Verwendungsbeschränkung für Marketingzwecke als auch für die Kennzeichnungspflicht von Werbeaussendungen zwecks Auffindbarkeit der Ursprungsdatei und für die Verpflichtung, Eintragungen in die Robinson-Liste in einer dem § 151 Abs. 9 GewO 1994 auch hinsichtlich des monatlichen Updates entsprechenden Weise zu berücksichtigen.
Was die programmtechnischen Sicherungen betrifft, so hat sich die datenschutzrechtliche Auftraggeberin über die Sicherung der Datenanwendung Gedanken gemacht und Maßnahmen gemäß § 14 DSG 2000 getroffen. Auch wenn das Urteil der Sachverständigen über die Datensicherheit skeptisch ausgefallen ist, muss doch in Rechnung gestellt werden, dass § 14 Abs 1 DSG 2000 ausdrücklich von der Bedachtnahme auf den 'Stand der technischen Möglichkeiten' und die 'wirtschaftliche Vertretbarkeit' bei der Beurteilung von Datensicherheitsmaßnamen spricht. In diesem Sinne hält es die Datenschutzkommission nicht für erforderlich, Sicherungen gegen einen 'Einbruch' in den Kern der Datenbank nach Dekompilieren und Auslesen des 3DES-Schlüssels zu empfehlen, da die datenschutzrechtliche Auftraggeberin glaubhaft gemacht hat, dass dies nur besonderen Spezialisten möglich wäre. Ebenso wenig erscheint es zwingend notwendig, das unberechtigte Abfangen und Weiterverwenden der Updates für andere Zwecke durch neue technische Maßnahmen zu verhindern, da die Negativliste allein kaum einen Wert darstellen dürfte, der einen solchen Angriff lohnen würde. (Die vertragliche Verpflichtung, dies zu unterlassen, wird von jedem Käufer der CD verlangt).
Anders steht es mit der möglichen Fälschung von Lizenz- und Konfigurationsdateien sowie der Manipulation der Systemuhr, die sowohl technisch nicht übermäßig schwierig als auch wirtschaftlich möglicherweise interessant sind. Daher waren entsprechende Punkte 2.a. und 2.b. in die Empfehlungen aufzunehmen. Beides wird offenbar auch von der datenschutzrechtlichen Auftraggeberin als Problem gesehen; seine Behebung hat sie bereits zugesagt.
zu Punkt 3. der Empfehlungen (Marketinganalysedaten) :
Nach den in § 6 Abs. 1 DSG 2000 aufgezählten Datenschutzgrundsätzen ist es geboten, nur richtige und aktuelle Daten zu verwenden. Marktanalysedaten können diesem Gebot angesichts ihrer Natur als statistische Daten nicht genügen, weshalb ihre Verarbeitung in personenbezogener Form an sich mit einem Grundsatz des Datenschutzes in einem Spannungsverhältnis steht, dessen Auflösung besondere Sorgfalt erfordert:
Der Grundsatz der Verhältnismäßigkeit, der in § 1 Abs. 2 DSG 2000 und – ausdrücklich wiederholend – in § 151 Abs. 3 GewO 1994 festgeschrieben ist, muss hier zu einer besonders restriktiven Interpretation der zulässigerweise einer bestimmten Person zuschreibbaren Eigenschaften führen, da diese Zuschreibung in dem Bewusstsein geschieht, dass sie mit einer gewissen Wahrscheinlichkeit falsch ist.
Die Empfehlung nennt einige Parameter, die für die Zulässigkeit der Zuschreibung von bestimmten Eigenschaften datenschutzrechtlich bedeutsam sind.
zu Punkt 4. der Empfehlungen (Auswahlkriterien) :
Aus dem Zweck 'Direktmarketing' folgt für die Art und Weise der Verwendung einer Datensammlung durch denjenigen, der Werbung für seine eigenen Produkte oder Dienstleistungen betreiben will, dass sie nicht primär der Auffindung von Information über bestimmte Personen dient, sondern vielmehr der Auffindung der Adressdaten all jener Personen, die (voraussichtlich) eine bestimmte Summe von Eigenschaften besitzen und daher als Zielgruppe einer bestimmten Direktmarketingaktion in Frage kommen.
Aus der Sicht eines Käufers der ABYZ Marketingdatei – Privatpersonen ist es daher nicht erforderlich, nach einzelnen bestimmten Personen in der CD direkt suchen zu können. Da der Umfang jeder Datenverwendung durch das Prinzip der Erforderlichkeit im Hinblick auf ihren – legitimen – Zweck beschränkt ist, kann auch hier die Zulässigkeit der Datenverwendung über die Erforderlichkeit nicht hinausgehen. Daraus ergibt sich, dass zulässiges Suchkriterium in der Marketing-CD jedenfalls nicht die Identitätsdaten bestimmter Personen sein sollten, sondern nur marketing-relevanten Eigenschaften, die einen bestimmten Kreis von Personen als Zielgruppe ausweisen. Der Durchsetzung dieses Grundsatzes gilt die Empfehlung unter Spruchpunkt 4.
Diese Unterscheidung im Ausmaß der zulässigen Datenverwendung beim Direktmarketingunternehmen ABYZ einerseits und bei den allfälligen Käufern der CD andrerseits ist aus folgenden Gründen geboten:
Während Direktmarketingunternehmen bei einer dem § 151 GewO 1994 widersprechenden, insbesondere widmungswidrigen Gebrauch ihrer Marketingdaten den Strafbestimmungen der GewO 1994 unterliegen, würden die Käufer der CD diesbezüglich unter keine vergleichbaren Strafbestimmungen fallen. Da die CD nach Herstellerangaben immerhin etwa 4 Millionen Datensätze enthalten soll, kann ein gewisses Gefährdungspotential bei widmungswidriger Verwendung nicht geleugnet werden. Dieses könnte durch die technische Unmöglichkeit, nach bestimmten Personen zu suchen, verringert werden, weshalb eine Empfehlung dahingehend auszusprechen war, um auch hinsichtlich einer von § 151 GewO 1994 nicht geregelten Verwendung von Marketingdaten geeignete Schutzmechanismen einzurichten. Für eine gänzliche Untersagung der Übermittlung der in der CD-ROM enthaltenen Marketingdaten durch Verkauf in der vorliegenden Form, ist jedenfalls kein Rechtsgrund hervorgekommen, da die Verwendung dieser Daten durch die Käufer für deren eigene Marketingzwecke zulässig ist, soweit nur der allgemein geltende Verhältnismäßigkeitsgrundsatz (§ 1 Abs. 2 DSG 2000) eingehalten wird.
Dass durch eine mangelnde Suchmöglichkeit nach bestimmten Personen bei den Käufern der CD-ROM das Auskunfts-Richtigstellungs- und Löschungsrecht im Hinblick auf die auf der CD-ROM gespeicherten Daten nicht wahrgenommen werden kann, ist der Datenschutzkommission wohl bewusst. Dies entspricht jedoch durchaus der tatsächlichen Sachlage, da die Käufer auf den Inhalt der CD aus technischen Gründen keinen Einfluss haben und ihn insbesondere nicht selbst verändern können. An den Käufer gerichtete Auskunftsersuchen müssten daher an den Verkäufer der Marketing CD weitergeleitet werden. Für Löschungsbegehren müsste der Käufer selbst eine gesonderte Datei von Personen anlegen, die in seine Werbeaussendungen nicht miteinbezogen werden wollen.
Zu Punkt 5. der Empfehlungen (Wahrung von Datenschutzrechten durch bestimmte besondere Verpflichtungen nach § 151 GewO 1994) :
Die der Überprüfung durch die Datenschutzkommission unterzogene Version der ABYZ Marketingdatei – Privatpersonen sah zwar die Berücksichtigung einer Eintragung in die Robinson-Liste – im Gegensatz zur Erst-Demo-Version – durch technische Maßnahmen schon vor, doch wich der Aktualisierungsrhythmus von § 151 Abs. 9 GewO 1994 noch erheblich ab. Eine registrierungsfähige Version der CD-ROM wird sich an der einmonatigen Aktualisierungsfrist nach § 151 Abs. 9 GewO 1994 orientieren müssen.
Die Verpflichtung zur Einhaltung der Verwendungsbeschränkung für Marketingzwecke ist in den vertraglichen Vereinbarungen zwischen der datenschutzrechtlichen Auftraggeberin und ihren Kunden bereits vorgesehen. Insofern ist die Erwähnung dieses Punktes in der Empfehlung nur ein Erinnerungsposten für die noch ausstehende Registrierung.
Das Problem der Auffindbarkeit der Ursprungsdatei ist nach dem Ermittlungsergebnis im vorliegenden Verfahren nicht für alle Fälle der Verwendung der Marketingdaten durch die Käufer der CD-ROM gelöst. Diesbezüglich wird im Registrierungsverfahren vom Registrierungswerber ein effektives Vorgehensmodell vorzulegen sein.
Rückverweise
Keine Verweise gefunden
