Spruch
W298 2309078-1/13E
IM Namen Der Republik!
Das Bundesverwaltungsgericht erkennt durch den Richter Mag. Mathias VEIGL als Vorsitzenden sowie Mag. Gerda Ferch-Fischer als Beisitzerin und den fachkundigen Laienrichter Dr. Wolfgang Goricnik als Beisitzer über die Beschwerde des XXXX vertreten durch Mag. Wolfgang Doppelhofer, LL.M., LL.M. vom XXXX gegen den Bescheid der Datenschutzbehörde vom XXXX 2025, Zl. XXXX zu recht:
A)
Die Beschwerde wird als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit verfahrenseinleitender Eingabe vom XXXX 2022 brachte XXXX (Beschwerdeführer) eine Datenschutzbeschwerde bei der österreichischen Datenschutzbehörde (belangte Behörde) ein. Darin brachte er im Wesentlichen vor, dass die BAWAG PSK Bank für Arbeit und Wirtschaft und österreichische Postsparkasse AG (mitbeteiligte Partei) seine persönlichen Daten zu Unrecht und rechtswidrig dem KSV 1870 (gemeint: Kreditschutzverband 1870, im Weiteren: KSV 1870) weitergeleitet habe, wo seine Daten in die Warnliste der österreichischen Kreditinstitute und in der Kleinkreditevidenz (im Weiteren: KKE) registriert worden und nunmehr einer breiten Öffentlichkeit zugänglich seien. Dadurch sei er in seinem Recht auf Geheimhaltung nach § 1 Abs. 1 DSG verletzt worden. Insbesondere habe die mitbeteiligte Partei die Bestimmungen des Art. 6 Abs. 1 lit. a bis e DSGVO außer Acht gelassen und gegen Art. 5 Abs. 1 lit a, b, d und e DSGVO verstoßen. Es bestehe keine Grundlage, auf die die Datenverarbeitung gestützt werden könne, weiters sei der Beschwerdeführer durch die Eintragung seiner personenbezogenen Daten in seinem wirtschaftlichen Fortkommen massiv beeinträchtigt, zumal die eingetragenen Daten grob unrichtig seien.
Der Beschwerdeführer habe in der Vergangenheit private finanzielle Verbindlichkeiten in Höhe von EUR 6. XXXX ,-- gegenüber der mitbeteiligten Partei gehabt. Die mitbeteiligte Partei habe ein Exekutionsverfahren gegen den Beschwerdeführer eingeleitet (Bezirksgericht XXXX zur GZ XXXX E XXXX ), welches jedoch nach Vollzahlung der Restschuld am XXXX 2022 eingestellt worden sei. Der Beschwerdeführer habe mit Schreiben vom XXXX 2022 die mitbeteiligte Partei auf die Befriedigung ihrer Ansprüche hingewiesen und aufgefordert, die Weiterleitung und Registrierung seiner Daten beim KSV 1870 zu löschen. Die mitbeteiligte Partei habe sich in weiterer Folge geweigert, die Löschung zu veranlassen, obwohl es von vornherein keinen Grund für die Veröffentlichung der Daten gegeben habe. Aufgrund der Vollzahlung und der Bagatellforderung der mitbeteiligten Partei sei auch der Gläubigerschutz kein Rechtfertigungsgrund. Es sei davon auszugehen, dass eine negative Bonitätsbewertung vorgenommen worden sei, welche auf unrichtigen Datensätzen beruhe, was auf die fehlerhafte und datenschutzwidrige Verarbeitung von Daten durch die mitbeteiligte Partei zurückzuführen sei. Daher stellte der Beschwerdeführer den Antrag, die belangte Behörde möge die Datenschutzbeschwerde behandeln und über die weitere Vorgehensweise berichten.
2. Mit Schreiben vom XXXX 2023 nahm die mitbeteiligte Partei Stellung und führte darin zusammengefasst aus, dass Kreditinstitute nach § 39 BWG verpflichtet seien, geeignete Kontrollverfahren zur Erlassung und Beurteilung bankgeschäftlicher Risiken einzurichten. Insbesondere bei der Gewährung von Krediten oder dem Führen von Konten. Unterlasse die mitbeteiligte Partei eine entsprechende Meldung, so verstoße sie gegen ihre Verpflichtung, Risiken bei der Verwaltung anvertrauter Gelder zu vermeiden. Allein daraus ergebe sich schon ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Daher sei auch die Zustimmung des Beschwerdeführers für die Datenübermittlung nicht erforderlich, eine Widerrufsmöglichkeit gebe es auch nicht. Der Zweck der Datenübermittlung sei schlichtweg nötig, um eine Risikobeurteilung vornehmen zu können und um Banken die Möglichkeit zu geben, entsprechende Vorkehrungen zu treffen.
Drei Jahre nach Bezahlung der Schuld erfolge ohnehin eine automatische Löschung aus der Warnliste, die Löschung der Negativdaten aus der KKE erfolge fünf Jahre nach Bezahlung der Schuld. Die Warnliste sei weiters auch keine öffentlich zugängliche Datenbank, sondern eine Einrichtung, die nur Kreditinstituten nach dem BWG oder einem vergleichbaren Statut im europäischen Binnenmarkt zugänglich ist. Ähnliches gelte für die KKE. Diese stehe nur Kreditinstituten, kreditgebenden Versicherungen und Leasingunternehmen zur Verfügung. Es bestehe darüber hinaus auch gar kein Eintrag zur Person des Beschwerdeführers in der KKE seitens der mitbeteiligten Partei.
Zur Sache selbst führte die mitbeteiligte Partei aus, dass es am XXXX 2012 zur Zuzählung des Kreditbetrages in Höhe von EUR 10. XXXX ,- auf das Kreditkonto des Beschwerdeführers gekommen sei. Mit Kreditvertrag vom XXXX 2012 sei vereinbart worden, dass die monatliche Rückzahlung ab XXXX 2012 durch Bankeinzug erfolge. Der Beschwerdeführer sei überdies gemäß § 38 Abs. 2 Z 5 BWG über die Datenweitergabe an die KKE und die Warnliste entsprechend informiert worden. Bis Ende 2017 habe der Beschwerdeführer die Zahlungen der monatlichen Kreditraten regelmäßig und pünktlich geleistet. Die letzte erfolgreiche Bankeinziehung sei am XXXX 2028 erfolgt. Der Beschwerdeführer habe von der mitbeteiligten Partei insgesamt vier Mahnungen erhalten, wobei er mit der letzten Mahnung vom 16.04.2018 über die drohenden Eintragungen in die KKE und die Warnliste informiert worden sei. Mit Schreiben vom XXXX 2018 habe die mitbeteiligte Person noch einmal auf die drohenden Eintragungen hingewiesen. Der Beschwerdeführer habe nie auf eines der Schreiben reagiert. Nach Ablauf der Zahlungsfrist am XXXX 2018 sei der Eintrag in die Warnliste vorgenommen worden. Erst nachdem am XXXX 2020 ein bedingter Zahlungsbefehl des BG zu XXXX gegen den Beschwerdeführer erlassen worden sei, habe dieser reagiert. Mit Einspruch vom XXXX 2020 gegen den Zahlungsbefehl habe der Beschwerdeführer behauptet, nie ein Kreditverhältnis zur mitbeteiligten Partei gehabt zu haben. Der Beschwerdeführer habe dann am XXXX 2021 schriftlich Kontakt aufgenommen und sich grundsätzlich zahlungswillig gezeigt, habe aber sein Vorgehen – durch seinen Rechtsvertreter – als „ungewolltes Versehen“ bezeichnet. Zunächst habe er noch angegeben, den aushaftenden Betrag in Höhe von rund EUR 6. XXXX ,-- in drei Teilbeträgen zahlen zu wollen. Bereits am XXXX 2021 habe er aber, nach Aufforderung, einen konkreten Rückzahlungsvorschlag abzugeben, angegeben, nur eine Anzahlung von EUR 1. XXXX ,-- leisten und den Rest in monatlichen Raten von je EUR 200,-- zurückzahlen zu wollen. Er habe daher nicht nur bestritten, ein Kreditverhältnis mit der mitbeteiligten Partei gehabt zu haben, sondern auch unwahre Angaben gemacht, um eine Exekution abzuwenden.
Mit XXXX 2021 sei eine Fahrnis- und Gehaltsexekution bewilligt worden, in weiterer Folge sei es zu insgesamt vier Zahlungen durch den Drittschuldner gekommen. Am XXXX 2021 habe der Beschwerdeführer die restlich aushaftende Forderung beglichen, womit die Exekution eingestellt wurde. Der Beschwerdeführer habe daraufhin mit Schreiben vom XXXX 2022 und XXXX 2022 die Löschung der negativen Einträge beantragt. Der Rechtsvertreter der mitbeteiligten Partei habe beide Ansuchen abgelehnt und auf die Löschfristen verwiesen.
Der Beschwerdeführer habe in seiner Datenschutzbeschwerde ein unvollständiges und unrichtiges Bild der tatsächlichen Gegebenheiten erzeugt. Die Behauptungen, die Weiterleitung seiner Daten an den KSV 1870 wäre rechtswidrig und unrechtmäßig erfolgt und er sei in seinem Recht auf Geheimhaltung verletzt worden, seien unrichtig. Die mitbeteiligte Partei beantrage daher die Abweisung der Beschwerde und die Einstellung des gegenständlichen Verfahrens.
3. Mittels Schreiben vom XXXX 2023 nahm der Beschwerdeführer Stellung zu den Ausführungen der mitbeteiligten Partei vom XXXX 2023 und führte darin im Wesentlichen aus, dass er gemeinsam mit seiner Exfrau während aufrechter Ehe den gegenständlichen Kleinstkredit aufgenommen habe. Im Zuge der Scheidung sei hinsichtlich dieser Kreditverbindlichkeit die Übernahme durch seine Exfrau vereinbart worden. Es sei kreditschädigend und unsachlich, dass die mitbeteiligte Partei daraus eine negative Einstellung des Beschwerdeführers zur Abwicklung von Finanzgeschäften ableite. Das Kreditobligo hätte von der Exfrau des Beschwerdeführers bedient werden müssen, was der mitbeteiligten Person zwingend bekannt seien müsse. Seine Exfrau habe den Beschwerdeführer nicht darüber informiert, den Kredit nicht mehr bedienen zu können, sodass der Beschwerdeführer die Einleitung des Exekutionsverfahrens nicht habe verhindern können. Es treffe den Beschwerdeführer aber jedenfalls keinerlei Verschulden hinsichtlich des gegen ihn eingeleiteten Exekutionsverfahrens, zumal er die Forderung der mitbeteiligten Partei unmittelbar nach erstmaliger Kenntnisnahme des offenen Saldos getilgt habe. Die Einleitung des Exekutionsverfahrens sei von der mitbeteiligten Partei mitverschuldet worden. Der von der mitbeteiligten Partei vorgeschobene Grund des Gläubigerschutzes sei eine rein konstruierte Rechtfertigung und daher nicht geeignet, den datenschutzwidrigen Eintrag und die Veröffentlichung der Daten des Beschwerdeführers zu rechtfertigen. Die Rechtswidrigkeit des Handelns der mitbeteiligten Partei gründe sich darin, dass sie die Daten des Beschwerdeführers trotz dessen umgehender Vollzahlung und der speziellen Umstände des Einzelfalls völlig rechtsgrundlos an den KSV 1870 weitergeleitet habe, obwohl dies im Sinne des Gläubigerschutzes nicht zu rechtfertigen sei.
4. Mit Bescheid vom XXXX 2025 wies die belangte Behörde die Datenschutzbeschwerde hinsichtlich der Behauptungen, der Beschwerdeführer sei in seinem Recht auf Geheimhaltung und seinem Recht auf Löschung verletzt worden, ab. Begründend stellte die belangte Behörde fest, dass sie von einer Zulässigkeit der Eintragung der Zahlungsdaten des Beschwerdeführers ausgehe, da es sich bei der Verarbeitung von historischen Zahlungserfahrungsdaten um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten (§ 39 BWG) Zweck handle, der dem Gläubigerschutz und der Risikominimierung diene. Zahlungserfahrungsdaten seien grundsätzlich auch erforderlich und geeignet, um eine Prognose über das zukünftige Zahlungsverhalten des Beschwerdeführers abgeben zu können. Angesichts der Höhe des damals ausständigen Betrags von EUR 6. XXXX ,-- sei auch nicht von einem Bagatellbetrag zu sprechen, zumal zwischen dem Zahlungsausfall und der Restschuldbegleichung über drei Jahre vergangen seien, somit überwiege hier das Interesse der mitbeteiligten Partei. Die Weiterleitung der personenbezogenen Daten des Beschwerdeführers durch die mitbeteiligte Partei könne somit auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden und sei damit rechtmäßig.
Das Recht auf Löschung könne ohnehin nur noch für die Vergangenheit festgestellt werden, da der Eintrag in die KKE am XXXX 2023 und der Eintrag in der Warnliste am XXXX 2024 gelöscht worden sei. Dem Löschbegehren stehe grundsätzlich eine notwendige und rechtmäßige Datenverarbeitung entgegen. Die Weigerung, dem Löschbegehren nachzukommen, sei daher einmal mehr an Art. 6 Abs. 1 lit. f DSGVO zu messen. Das berechtigte Interesse der mitbeteiligten Partei, die Eintragung zum Zweck des Gläubigerschutzes aufrecht zu erhalten, stehe dem berechtigten Interesse des Beschwerdeführers entgegen, zur Erleichterung seiner Zusammenarbeit mit Kreditinstituten, die Eintragung löschen zu lassen. Es sei jedoch nicht ersichtlich, wie die Interessen des Beschwerdeführers überwiegen. Er habe die Forderung zwar beglichen, dies jedoch erst nach vier erfolgten Mahnungen. Die Zahlungsmoral des Beschwerdeführers und die um Jahre verspätete Zahlung lasse erkennen, dass die Eintragung zum Zwecke des Gläubigerschutzes erforderlich gewesen sei. Im Zusammenhang mit den Speicherfristen sei auf Erkenntnisse des BVwG vom 30.10.2019 W258 2216873-1/7E und vom 28. 07.2020 W211 2225136-1 hinzuweisen. Weiters sei die Kapitaladäquanzverordnung heranzuziehen, die für die Beurteilung der Bonität eines Schuldners Daten über Zahlungsausfälle über einen Zeitraum von zumindest fünf Jahren als relevant betrachte. In Zusammenschau aller Hintergründe ist die belangte Behörde der Ansicht, dem Gläubigerschutz sei ein höherer Stellenwert einzuräumen, als dem Löschbegehren, zumal zwischen der Restschuldbegleichung und dem ersten Löschbegehren gerade mal ein Jahr vergangen sei. Es liege entsprechend auch kein Verstoß gegen den Grundsatz für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 lit. e DSGVO vor.
5. Mit gegenständlicher Bescheidbeschwerde vom XXXX 2025 brachte der Beschwerdeführer vor, dass die Verbindlichkeit gegenüber der mitbeteiligten Partei von EUR 6. XXXX in einem absolut überschaubaren Ausmaß liege und keinesfalls die Veröffentlichung seiner Daten rechtfertige. Aufgrund der getätigten Vollzahlung des aushaftenden Betrags und der Bagatellforderung von lediglich EUR 6. XXXX sei der Gläubigerschutz nicht ansatzweise ausreichend, um die Eintragung zu rechtfertigen. Ebenso habe sich die belangte Behörde mit dem Vorbringen des Beschwerdeführers nicht hinreichend befasst. So habe der Beschwerdeführer im Zuge einer Scheidung die Übernahme dieser Kreditverbindlichkeit durch seine Exfrau gemäß § 92 EheG vereinbart. Das Kreditobligo, das zu einer Eintragung des Beschwerdeführers beim KSV 1870 geführt habe, sei von seiner Exfrau zu bedienen gewesen. Das Vorbringen des Gläubigerschutzes sei eine nicht nachvollziehbare Schutzbehauptung, um den datenschutzwidrigen Eintrag und die Veröffentlichung der Daten des Beschwerdeführers zu rechtfertigen. Er stelle daher die Anträge das Bundesverwaltungsgericht möge eine mündliche Verhandlung durchführen und der Beschwerde vollinhaltlich stattgeben.
6. Mit Schreiben vom XXXX 2025 legte die belangte Behörde dem Bundesverwaltungsgericht die Bescheidbeschwerde samt dazugehörigem Verwaltungsakt zur Entscheidung vor und bestritt darin das Beschwerdevorbringen zur Gänze. Weiters stellte sie den Antrag, das Bundesverwaltungsgericht möge die Beschwerde abweisen.
7. Mit Beschluss vom XXXX 2025 forderte das Bundesverwaltungsgericht den Beschwerdeführer auf, betreffend die vom Beschwerdeführer vorgebrachte Scheidung, binnen zwei Wochen den Gerichtsbeschluss, mit dem die Vermögensteilung betreffend die Schulden bestimmt wurde, das Mitteilungsschreiben an die mitbeteiligte Partei, bzw. auf welche Art die Mitteilung erfolgte und ein entsprechendes Beweisanbot, Name und ladungsfähige Adresse der Ex-Partnerin sowie den Kreditvertrag mit der mitbeteiligten Partei mitsamt aller Zusatzvereinbarungen und Beratungsprotokolle, vorzulegen. Der mitbeteiligten Partei und der belangten Behörde wurde eine Stellungnahme binnen 2 Wochen aufgetragen.
8. Mit Schreiben vom XXXX 2025 beantragte der Beschwerdeführer eine Fristerstreckung bis zum XXXX 2025, welchem das Bundesverwaltungsgericht am XXXX 2025 stattgab.
9. Mit Stellungnahme vom XXXX 2025 führte die mitbeteiligte Partei im Rahmen eines Parteiengehörs, aus, dass der Beschwerdeführer der alleinige Kreditnehmer des Kreditvertrages gewesen sei, er habe als Sicherheit eine Ablebensrisikoversicherung abgeschlossen und alle Ansprüche aus Lohn-, Gehalts-, Pensions- und sonstigen Bezügen und Abfertigungen und allen Ansprüchen aus dem Insolvenzentgeltsicherungsgesetz verpfändet und einer Vormerkung des Pfandrechts der Bank an erster Stelle zugestimmt. Er habe sich dazu verpflichtet, Änderungen des Namens, Wohnsitzes und Arbeitsplatzes der mitbeteiligten Partei gegenüber anzuzeigen und er sei darüber aufgeklärt worden, dass Erklärungen der mitbeteiligten Partei dann als zugegangen gelten würden, wenn sie an die letzte bekannte Anschrift des Beschwerdeführers zugestellt werden. Es habe darüber hinaus auch nur der Beschwerdeführer die einen integrierenden Bestandteil des Kreditanbots darstellende Selbstauskunft für Verbraucherkredite abgegeben, es seien keine weiteren Personen als Mitkreditnehmer geführt worden. Mit Unterschrift der Selbstauskunft habe der Beschwerdeführer sich auch damit einverstanden erklärt, dass alle Daten im Zusammenhang mit dem Kreditvertrag an die vom KSV 1870 geführte KKE und Warnliste gemeldet werden würden. Der Beschwerdeführer sei 2018 verzogen, habe dies der mitbeteiligten Partei aber vereinbarungswidrig nicht angezeigt. Die rechtlichen Ausführungen decken sich mit dem Vorbringen vom XXXX 2024 und der Rechtsansicht der belangten Behörde im verfahrensgegenständlichen Bescheid vom XXXX 2025.
Zum Vorbringen des Beschwerdeführers in der Bescheidbeschwerde führte die mitbeteiligte Partei aus, dass es unrichtig sei, von Seiten des Beschwerdeführers von einem „ungewollten Versehen“ zu sprechen. Vielmehr habe der Beschwerdeführer in einem Verfahren vor dem BG XXXX behauptet, nie ein Kreditverhältnis mit der mitbeteiligten Partei eingegangen zu sein. Auch könne nicht von einer „umgehenden Vollzahlung“ gesprochen werden, da der Beschwerdeführer erst über drei Jahre nach dem Zahlungsausfall den aushaftenden Betrag beglichen habe. Weiters sei der Betrag von EUR 6. XXXX auch keine Bagatellforderung. Der Beschwerdeführer sei alleiniger Kreditnehmer und habe die mitbeteiligte Partei zu keinem Zeitpunkt über eine Übernahme des Kredits durch seine Ex-Partnerin informiert. Den Vorwurf, die mitbeteiligte Partei habe die Einleitung des Exekutionsverfahrens mitverschuldet, weise sie ausdrücklich zurück. Es handle sich beim Vorbringen des Gläubigerschutzes auch nicht um eine Schutzbehauptung, sondern vielmehr um ein, die Verarbeitung rechtfertigendes, berechtigtes Interesse der mitbeteiligten Person zur Risikominimierung. Abschließend ersuchte die mitbeteiligte Partei um Abweisung der Beschwerde.
10. Mit Schreiben vom XXXX 2025 legte das Bundesverwaltungsgericht dem Beschwerdeführer die Stellungnahme der mitbeteiligten Partei zur Äußerung binnen 2 Wochen vor.
11. Mit Friststreckungsantrag vom XXXX 2025 ersuchte der Beschwerdeführer letztmalig um eine Fristerstreckung auf XXXX 2025, welchem das Bundesverwaltungsgericht mit Stattgabe vom XXXX 2025 entsprach. Der Beschwerdeführer lies die Frist dennoch ungenützt verstreichen.
II. Das Bundesverwaltungsgericht hat erwogen: 1. Feststellungen
1.1. Der unter I. geschilderte Verfahrenslauf wird den Feststellungen zugrunde gelegt.
1.2. Die mitbeteiligte Partei ist eine im Firmenbuch des HG Wien unter der FN 205340x eingetragene Aktiengesellschaft mit Sitz in Wien, deren Unternehmensgegenstand der Betrieb von Bank- und Handelsgeschäften aller Art im In- und Ausland ist.
1.3. Der Beschwerdeführer nahm am XXXX 2012 bei der mitbeteiligten Partei als alleiniger Kreditschuldner einen Kredit in Höhe von EUR 10. XXXX ,- auf, zu dessen monatlicher Rückzahlung er sich ab XXXX 2012 verpflichtete. Im dazu vom Beschwerdeführer angenommenen Kreditanbot unterfertigte er die Erklärung über das Einverständnis zur Datenübermittlung an den KSV 1870 als alleinberechtigt und verpflichtet:
1.4. Der Beschwerdeführer stoppte ab XXXX 2018 die monatliche Ratenzahlung, infolge dessen ihn die mitbeteiligte Partei mehrmals abmahnte und die Zahlung einforderte.
1.5. Der Beschwerdeführer wechselte seinen Wohnort in etwa zu der Zeit, als die Zahlungen eingestellt wurden und zeigte dies der mitbeteiligten Partei nicht an.
1.6. Es kam zu einer Fälligstellung seitens der mitbeteiligten Partei und in weiterer Folge auch zur Gehaltsexekution gegen den Beschwerdeführer. Im XXXX 2021 beglich der Beschwerdeführer den ausständigen Betrag in Höhe von EUR 6. XXXX zur Gänze. Zwischen der letzten Ratenzahlung und der Begleichung vergingen über drei Jahre.
1.7. Die mitbeteiligte Partei leitete zusammen mit der Fälligstellung des Kredits die Daten des Beschwerdeführers an den KSV 1870 weiter, um eine Eintragung in der Warnliste sowie der KKE zu veranlassen. Die Eintragung wurde in weiterer Folge durch den KSV 1870 vorgenommen. Die KKE wird vom KSV 1870 betrieben.
1.8. Löschbegehren des Beschwerdeführers vom XXXX 2022 und XXXX 2022 wurden von der mitbeteiligten Partei mit Verweis auf die jeweiligen Löschfristen abgelehnt, zum Entscheidungszeitpunkt sind jedoch beide Eintragungen gelöscht.
2. Beweiswürdigung
Die Feststellungen ergeben sich aus dem unbedenklichen Akteninhalt, insbesondere aus den Vorbringen des Beschwerdeführers vom XXXX 2022 und vom XXXX 2023 sowie dem der mitbeteiligten Partei vom XXXX 2023, sowie den durch beide Parteien vorgelegten unbedenklichen Urkunden und Beilagen.
Die Feststellungen zur Firmenbucheintragung und dem Unternehmensgegenstand der mitbeteiligten Partei ergeben sich aus einer Nachschau auf der Website der mitbeteiligten Partei (https://www.bawag.at/bawag/impressum, abgerufen am 13.06.2025).
Die Feststellung, dass die Eintragung des Beschwerdeführers in den Registern des KSV 1870 bereits gelöscht wurde, ergibt sich aus dem unbedenklichen Screenshot einer E-Mail des KSV 1870 an die mitbeteiligte Partei vom XXXX 2023, in der der KSV 1870 explizit erklärte, dass seitens der mitbeteiligten Partei keine Eintragung des Beschwerdeführers bestehe (siehe Stellungnahme der mitbeteiligten Partei vom XXXX 2023, S. 2).
Die Feststellung, dass der Beschwerdeführer alleiniger Kreditschuldner ist, konnte aufgrund der dem Beschwerdeführer von Anfang an bekannten und von ihm unterfertigten Unterlagen zum Kreditabschluss zwischen ihm und der mitbeteiligten Partei getroffen werden. Darüber hinaus ist, die im Zuge des Verfahrens vorgebrachte Behauptung des Beschwerdeführers, seine Ex-Partnerin habe im Zuge des Scheidungsverfahrens die Kreditschuld übernommen, durch das erkennende Gericht als unglaubwürdig zu werten. Dies insbesondere im Hinblick darauf, dass der Beschwerdeführer trotz Aufforderung zur Stellungnahme vom XXXX 2025 und mehrfacher Fristerstreckung auf den XXXX 2025 und XXXX 2025 bis dato keinerlei Beweisanbote für die Übernahme der Kreditschuld durch seine Ex-Partnerin einbrachte, geschweige denn trotz Aufforderung durch das erkennende Gericht seine Ex-Partnerin namentlich nannte, noch eine ladungsfähige Adresse angab. Hinzu kommt, dass er die Übernahme der Kreditschuld seiner Ex-Partnerin in der verfahrenseinleitenden Datenschutzbeschwerde gar nicht vorbrachte.
Zur Feststellung 1.8.: Eine Bestätigung des Umstandes, dass die Daten des BF nicht mehr in der KKE aufscheinen, übermittelte der KSV 1870 in Form eines E-Mails am XXXX 2023 an die mitbeteiligte Partei, welche einen Screenshot dieser Mail in ihrer Stellungnahme vom XXXX 2023 beilegte.
3. Rechtliche Beurteilung
3.1. Zu Spruchpunkt A) Abweisung der Beschwerde
Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Rechtslage
§ 1 DSG lautet:
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1.das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2.das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.
§ 18 Abs. 1 DSG lautet:
Einrichtung
§ 18. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet.
§ 24 DSG lautet:
„Beschwerde an die Datenschutzbehörde
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
(6) Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.“
Art. 4 DSGVO lautet auszugsweise:
„Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
[…]
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
[…]
15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
[…]“
Art. 5 DSGVO lautet:
„Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Art. 6 DSGVO lautet auszugsweise:
„Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
[…]“
Artikel 7 lautet
„Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
Art. 17 DSGVO lautet auszugsweise:
„Recht auf Löschung (Recht auf Vergessenwerden)“
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c. Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.“
§ 39 BWG lautet auszugsweise
„Allgemeine Sorgfaltspflichten
(1) Die Geschäftsleiter eines Kreditinstitutes oder eines gemäß § 30 Abs. 6 verantwortlichen Unternehmens haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters im Sinne des § 84 Abs. 1 AktG anzuwenden. Dabei haben sie sich insbesondere über die bankgeschäftlichen und bankbetrieblichen Risiken zu informieren, diese durch angemessene Strategien und Verfahren zu steuern, zu überwachen und zu begrenzen sowie über Pläne und Verfahren gemäß § 39a zu verfügen. Weiters haben sie auf die Gesamtertragslage des Kreditinstitutes Bedacht zu nehmen.
(2) Die Kreditinstitute und die gemäß § 30 Abs. 6 verantwortlichen Unternehmen haben für die Erfassung, Beurteilung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken, darunter auch jener Risiken, die sich aus ihrem makroökonomischen Umfeld unter Berücksichtigung der Phase des jeweiligen Geschäftszyklus ergeben, des Risikos von Geldwäscherei und Terrorismusfinanzierung sowie ihrer Vergütungspolitik und -praktiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind. Die Verwaltungs-, Rechnungs- und Kontrollverfahren haben weitest gehend auch bankgeschäftliche und bankbetriebliche Risiken sowie Risiken aus der Vergütungspolitik und den Vergütungspraktiken zu erfassen, die sich möglicherweise ergeben können. Die Organisationsstruktur sowie die Verwaltungs-, Rechnungs- und Kontrollverfahren sind schriftlich und in nachvollziehbarer Weise zu dokumentieren. Soweit Netzwerk- und Informationssysteme verwendet werden, sind diese insbesondere gemäß den Anforderungen der Verordnung (EU) 2022/2554 einzurichten und zu verwalten. Die Organisationsstruktur hat durch dem Geschäftsbetrieb angemessene aufbau- und ablauforganisatorische Abgrenzungen Interessen- und Kompetenzkonflikte zu vermeiden. Die Zweckmäßigkeit dieser Verfahren und deren Anwendung ist von der internen Revision mindestens einmal jährlich zu prüfen.
(2a) Kreditinstitute können sich für die Entwicklung und laufende Wartung von Rating-Verfahren gemeinsamer Risikoklassifizierungseinrichtungen als Dienstleister bedienen, wenn sie dies der FMA zuvor angezeigt haben. Die Überlassung aller für die Erfassung und Beurteilung von Risiken erforderlichen Informationen durch die teilnehmenden Kreditinstitute an die gemeinsame Risikoklassifizierungseinrichtung ist zu dem ausschließlichen Zweck zulässig, durch Verarbeitung dieser Daten Verfahren zur Risikobeurteilung und Risikobegrenzung zu entwickeln und laufend zu warten und diese Verfahren den teilnehmenden Kreditinstituten zur Verfügung zu stellen; die Übermittlung von personenbezogenen Daten durch die Risikoklassifizierungseinrichtung ist nur an das Kreditinstitut zulässig, das die zu Grunde liegenden Schuldnerdaten eingemeldet hat. Die gemeinsame Risikoklassifizierungseinrichtung, ihre Organe, Bediensteten und sonst für sie tätigen Personen unterliegen dem Bankgeheimnis gemäß § 38. Die FMA hat in Bezug auf die gemeinsame Risikoklassifizierungseinrichtung alle in § 70 Abs. 1 genannten Auskunfts-, Vorlage- und Prüfungsbefugnisse; § 71 ist anzuwenden.
(2b) Die Verfahren gemäß Abs. 2 haben insbesondere zu berücksichtigen:
1. das Kreditrisiko und Gegenparteiausfallrisiko,
2. das Konzentrationsrisiko,
3. das Marktrisiko,
4. das Risiko einer übermäßigen Verschuldung,
5. das operationelle Risiko, 6. das Verbriefungsrisiko,
7. das Liquiditätsrisiko,
8. das Zinsrisiko hinsichtlich sämtlicher Geschäfte, die nicht bereits unter Z 3 erfasst werden,
9. das Restrisiko aus kreditrisikomindernden Techniken,
10. der Belegenheitsort der Risikopositionen eines Kreditinstituts,
11. das Risiko von Geldwäscherei und Terrorismusfinanzierung,
12. das Risiko, das sich aus dem Geschäftsmodell eines Institutes ergibt unter Berücksichtigung der Auswirkungen von Diversifizierungsstrategien,
13. die Ergebnisse von Stresstests bei Instituten, die interne Ansätze verwenden, und
14. die Regelungen zur Unternehmensprüfung und –kontrolle von Kreditinstituten und den gemäß § 30 Abs. 6 verantwortlichen Unternehmen, ihre Unternehmenskultur und die Fähigkeit des Leitungsorgans zur Erfüllung ihrer Pflichten.
[…]
(4) Die FMA hat Mindestanforderungen zum Zwecke der ordnungsgemäßen Erfassung, Steuerung, Überwachung und Begrenzung der Risikoarten gemäß Abs. 2b durch Verordnung festzulegen. Die Verordnung hat hinsichtlich:
1. des Kreditrisikos und des Gegenparteiausfallrisikos Art. 79 Richtlinie 2013/36/EU ,
2. des Konzentrationsrisikos Art. 81 der Richtlinie 2013/36/EU ,
3. des Marktrisikos Art. 83 der Richtlinie 2013/36/EU ,
4. des Risikos einer übermäßigen Verschuldung Art. 87 der Richtlinie 2013/36/EU ,
5. des operationellen Risikos Art. 85 der Richtlinie 2013/36/EU ,
6. des Verbriefungsrisikos Art. 82 der Richtlinie 2013/36/EU ),
7. des Liquiditätsrisikos Art. 86 der Richtlinie 2013/36/EU unter Berücksichtigung der Kriterien des § 39 Abs. 3,
Anm.: Z 8 aufgehoben durch Art. 1 Z 76, BGBl. I Nr. 98/2021)
9. des Restrisikos aus kreditrisikomindernden Techniken Art. 80 der Richtlinie 2013/36/EU
zu entsprechen. Hinsichtlich jener Aspekte dieser Verordnung, die von den genannten Bestimmungen abweichen oder zusätzliche Anforderungen festlegen, ist die Zustimmung des Bundesministers für Finanzen einzuholen. (5) In Kreditinstituten jedweder Rechtsform, die von erheblicher Bedeutung im Sinne des § 5 Abs. 4 sind, ist eine vom operativen Geschäft unabhängige Risikomanagementabteilung mit direktem Zugang zu den Geschäftsleitern einzurichten, deren Kompetenzen und Ressourcen die Erfüllung folgender Aufgaben sicherstellen:
1. Erkennung und Messung der Ausprägung von Risiken gemäß Abs. 2b,
2. Meldung von Risiken gemäß Abs. 2b und der Risikolage an die Geschäftsleiter,
3. Beteiligung an der Ausarbeitung der Risikostrategie des Kreditinstituts und allen wesentlichen Entscheidungen zum Risikomanagement,
4. vollständiger Überblick über die Ausprägung der vorhandenen Risikoarten und die Risikolage des Kreditinstituts.
An der Spitze der Risikomanagementabteilung steht eine Führungskraft, die eigens für diese Funktion zuständig ist. Die FMA kann auf Antrag eines Kreditinstitutes bewilligen, dass eine andere Führungskraft des Instituts diese Funktion wahrnimmt, wenn Art, Umfang und Komplexität der Geschäfte des Instituts es nicht rechtfertigen würden, ausschließlich für diesen Zweck eine Person zu benennen und kein Interessenkonflikt besteht. Der Leiter der Risikomanagementabteilung kann seines Amtes nicht ohne die vorherige Information des Aufsichtsrates enthoben werden. Der Leiter der Risikomanagementabteilung hat für die Ausübung seiner Funktion fachlich geeignet zu sein und die Anforderungen des § 5 Abs. 1 Z 6 und 7 erfüllen.
[…]“
3.3. Auf den konkreten Fall umgelegt bedeutet dies Folgendes:
3.3.1. Der Beschwerdeführer rügte im Rahmen seiner Datenschutzbeschwerde einerseits eine Geheimhaltungspflichtverletzung wegen einer vermutet rechtswidrigen Offenlegung infolge Übermittlung bzw. Eintrag in die KKE sowie andererseits eine Verletzung im Recht auf Löschung, indem die mitbeteiligte Partei seinem Löschbegehren zu Unrecht nicht entsprochen habe und seine Daten auf unzulässige Weise verarbeitet worden seien, indem die mitbeteiligte Partei seine Daten an den KSV 1870 weiterleitete und eine Eintragung in der KKE und der Warnliste des KSV 1870 beantragte. Die mitbeteiligte Partei habe das Argument des Gläubigerschutzes als bloße Schutzbehauptung vorgebracht, die Datenverarbeitung sei nicht rechtfertigbar. Damit habe die mitbeteiligte Partei gegen sein Grundrecht auf Geheimhaltung gemäß § 1 Abs. 1 DSG verstoßen. Die mitbeteiligte Partei stützt die Verarbeitung auf das Argument, der Verarbeitung liege ein berechtigtes Interesse Dritter zugrunde, welches dem Grundrecht auf Geheimhaltung des Beschwerdeführers gegenüber mehr wiege, sodass die Verarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt sei.
3.3.2. Zur Geheimhaltungspflichtverletzung:
Die mitbeteiligte Partei hat die personenbezogenen Daten des Beschwerdeführers betreffend die Nichtbedienung seines Kredits nach Fällig Stellung an den KSV 1870 durch Offenlegung übermittelt und damit eine Eintragung in der KKE und der Warnliste angeregt. Dementsprechend liegt betreffend die mitbeteiligte Partei zumindest insoweit eine rügbare Datenverarbeitung gemäß Art. 4 Z 2 DSGVO vor, als die mitbeteiligte Partei für die inredestehende Offenlegung durch Übermittlung Verantwortliche im Sinne der DSGVO ist. Von der mitbeteiligten Partei wird einerseits eine Einwilligung in die Datenverarbeitung als Rechtfertigung zur Datenverarbeitung und andererseits das Vorliegen berechtigter Interessen gemäß Art. 6 Abs. 1 lit f DSGVO behauptet. Die mitbeteiligte Partei stützt sich dabei insbesondere auf § 39 BWG, wonach Kreditinstitute dazu verpflichtet sind, geeignete Kontrollverfahren zur Erlassung und Beurteilung bankgeschäftlicher Risiken einzurichten.
§ 1 Abs. 1 DSG legt fest, dass jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Eine Beschränkung dieses Anspruchs ergibt sich aus Abs. 2 leg. cit., wobei die DSGVO und insbesondere auch die darin verankerten Grundsätze zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen sind (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz [DSG]2 § 1, Rz 39 [Stand 1.2.2022, rdb.at]). Nach § 1 Abs. 2 DSG sind Beschränkungen des Grundrechts auf Datenschutz im Wesentlichen zulässig, wenn die Datenverarbeitung ausreichend legitimiert bzw. rechtmäßig ist und diese in der gelindesten zum Ziel führenden Art vorgenommen wird.
Für die Interpretation der Reichweite des Schutzes des in § 1 Abs. 1 DSG statuierten subjektiv öffentlichen Rechts ist primär Art. 2 des DSG und insbesondere die Durchführungsbestimmung des § 4 Abs. 1 DSG beachtlich: Diesem zu Folge gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.
Die Anforderungen für eine rechtmäßige Datenverarbeitung determiniert der EuGH in ständiger Rechtsprechung und vertritt den Standpunkt, dass zu jeder Zeit einer Datenverarbeitung alle Grundsätze der Datenverarbeitung eingehalten werden müssen (Urteil vom 24. November 2011, C‑468/10 und C‑469/10, EU:C:2011:777, sowie wiederholt im Urteil vom 11.Dezember 2019 C-708/17 ECLI:EU:C:2019:1064).
Demnach müssen Daten stets kumulativ nach den Grundsätzen von Art. 5 und Art. 6 DSGVO bzw. Art 9 DSGVO auf rechtmäßige Weise nach Treu und Glauben verarbeitet werden (vgl auch EuGH vom 9.1.25, C-394/23, Mousse/SNCF).
3.3.2.1. Zur Einwilligung: Bei der in Prüfung gezogenen Datenverarbeitung – der Übermittlung der Daten an den KSV zur Eintragung in die KKE – stützte die mitbeteiligte Partei die Verarbeitung von Zahlungserfahrungsdaten auf eine Einwilligung gemäß Art. 7 DSGVO. Der Beschwerdeführer bestreitet, eine Einwilligung in dem Umfang der durchgeführten Datenverarbeitung abgegeben zu haben. Aus den Feststellungen 2. zu Punkt 1.3. ist ersichtlich, dass der Beschwerdeführer einer Datenübermittlung an den KSV für den Fall, dass ein Zahlungsausfall eintritt zugestimmt hat.
Art 4 Z 11 DSGVO definiert die "Einwilligung“ der betroffenen Person nunmehr als "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
"Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ (Art. 7 Abs. 4 DSGVO)
Dazu erläutert der Erwägungsgrund 43: "... Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Freiwilligkeit impliziert, dass die betroffene Person eine echte Wahl und die Kontrolle hat. Im Allgemeinen ist eine Einwilligung nicht gültig, wenn die betroffene Person keine wirkliche Wahl hat, sich zur Einwilligung gedrängt fühlt oder negative Auswirkungen erdulden muss, wenn sie nicht einwilligt (Seite 8, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 Version 1.1 angenommen am 4. Mai 2022, [Europäischer Datenschutzauschuss – EDSA]) .
Darüber hinaus ist auch davon auszugehen, dass ein „klares Ungleichgewicht“ (im Sinne des Erwägungsgrund 41) besteht, welches, die Freiwilligkeit ausschließt (vgl. Frenzel in Paal/Pauly DSGVO zu Art. 7 rn. 19f.)
Der OGH kam in bislang zwei Urteilen zum Ergebnis, dass nach der DSGVO strenge Anforderungen an die Beurteilung der „Freiwilligkeit“ zu stellen sind. (Kastelitz in Knyrim, DatKomm Art 7 DSGVO (Stand 7.5.2020, rdb.at) mit Verweis auf OGH vom 31.08.2018, 6 Ob 140/18h maN)
Die Stellungnahmen in der Literatur zur Frage, ob nun ein unbedingtes Koppelungsverbot besteht (oder ob etwa - im Vergleich mit altem deutschen Recht: weiterhin - auf die Monopolstellung des Vertragspartners abzustellen ist), sind demnach nicht immer eindeutig (dafür Thiele, DSB: Empfehlungen zum Koppelungsverbot bei Online-Abonnements, jusIT 2018/13 [37]; Pollirer, Checkliste für die Einwilligungserklärungen der Art 7 und 8 DSGVO, Dako 2017/56 [Frage 10]; Kastelitz in Knyrim, Datenschutz-Grundverordnung [2016] 110; vorsichtiger Feiler/Forgó, EU-DSGVO [2017] Art 7 Rz 7 ("gesetzliche Vermutung“), BeckOK DatenschutzR/Stemmer DS-GVO Art 7 Rn 43-46 (unter Darstellung der Kontroverse), unklar Paal/Pauly/Frenzel DS-GVO Art 7 Rn 18; vgl auch Dürager/Kotschy, Neuerungen zur Zustimmung: Besteht nach der DS-GVO ein generelles Koppelungsverbot? http://bim.lbg.ac.at/sites/files/bim/durager_kotschy._koppelungsverbot2017.pdf).
Das Spannungsverhältnis zwischen dem Text der Verordnung und dem Erwägungsgrund 43 ist offensichtlich dahin aufzulösen, dass an die Beurteilung der "Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen sind. Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen (vgl Ehmann/Selmayr/Heckmann/Paschke, DS-GVO Rz 52 ff). Solche Umstände liegen im vorliegenden Fall auch nicht betreffend § 39 BWG vor.
Die Verarbeitung der Offenlegung durch Übermittlung an den KSV 1870 zum Zwecke der Eintragung ist weder conditio sine qua non zur Vertragserfüllung – hier der gegenseitigen Pflichten aufgrund eines Kreditvertrags – noch freiwillig im Sinne der DSGVO. Die abgegebene Einwilligung erweist sich daher nicht als gültige Verarbeitungsgrundlage.
3.3.2.2. Zum Vorliegen eines berechtigten Interesses: Die mitbeteiligte Partei betreibt im Zuge ihres Unternehmens Bank- und Handelsgeschäfte aller Art, wobei sie dabei den Bestimmungen des BWG unterliegt. Zu Bankgeschäften aller Art gehören auch Kreditgeschäfte, wie das im gegenständlichen Fall vorliegende (§ 1 Abs. 1 Z 3 BWG). § 39 Abs. 2 BWG sieht vor, dass Kreditinstitute für die Erfassung, Beurteilung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und -praktiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind. Dabei ist nach § 39 Abs. 2b Z 1 explizit auch das Kreditrisiko und das Gegenparteiausfallsrisiko zu berücksichtigen. Zu § 39 Abs. 2b Z 1 BWG sieht § 39 Abs. 4 BWG iVm § 5 Abs. 3 Z 2 Kreditinstitute-Risikomanagementverordnung vor, dass Kreditinstitute wirksame Systeme für die Erkennung und Verwaltung von Problemkrediten einzurichten haben. In Anbetracht der bereits von der Rechtsordnung anerkannten Systematik, zum Zweck der Risikominimierung Kontrollverfahren einzurichten, die Kredit- und Ausfallsrisiken berücksichtigen, kann grundsätzlich von einem berechtigten Interesse der mitbeteiligten Partei gesprochen werden, den Gläubigerschutz zu wahren und dementsprechend das Risiko beim Abschluss von Kreditgeschäften zu minimieren.
Nach der Judikatur des EuGH, des VwGH und des BVwG ist die Verarbeitung von historischen Zahlungsinformationen wesentlich, um das zukünftige Zahlungsverhalten eines (potentiellen) Schuldners vorhersagen zu können und daher grundsätzlich geeignet, um eine Risikominimierung beim Abschluss von Kreditgeschäften zu gewährleisten, kurzum eine diesbezügliche Datenverarbeitung ist ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO und dient dem Gläubigerschutz (vgl. EuGH vom 07.12.2023 C-634/21, Rs Schufa, VwGH 01.02.2024 Ro 2020/04/0031 sowie BVwG vom 30.10.2019 W258 2216873-1 maN).
Was die Rechte und die Interessen der betroffenen Person betrifft, stellt die Verarbeitung von Daten über die Erteilung einer Restschuldbefreiung, wie etwa die Speicherung, Analyse und Weitergabe dieser Daten an einen Dritten durch eine Wirtschaftsauskunftei, einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person dar. Solche Daten dienen nämlich als negativer Faktor bei der Beurteilung der Kreditwürdigkeit der betroffenen Person und stellen daher sensible Informationen über ihr Privatleben dar (vgl. in diesem Sinne Urteil vom 13. Mai 2014, Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 98).
Der Beschwerdeführer rügt schon die Datenoffenlegung an den KSV 1870 als Wirtschaftsauskunftei als rechtswidrig und falsch, weil er nicht zur Kreditschuldbefreiung verpflichtet gewesen sei.
Aus dem den Feststellungen zugrundeliegenden Sachverhalt ergibt sich, entgegen den ohne (geeigneten) Beweisanboten gebliebenen Behauptungen des Beschwerdeführers kein Hinweis darauf, dass die mitbeteiligte Partei ein vertrags- oder pflichtwidriges Verhalten gesetzt hätte. Vielmehr hat der Beschwerdeführer seine vertraglichen Kreditverpflichtungen qualifiziert nicht eingehalten und musste die mitbeteiligte Partei das aushaftende Kreditdebit im Rechtsweg einfordern, bis zur Restschuldbefreiung vergingen überdies fast 10 Jahre. Dies kann auch auf den Umstand zurückgeführt werden, dass der Beschwerdeführer der mitbeteiligten Partei vereinbarungswidrig den Wechsel seines Wohnortes nicht anzeigte, sodass die Mahnungen an eine nicht aktuelle Adresse des Beschwerdeführers zugestellt wurden.
Die Datenverarbeitung der Übermittlung durch Offenlegung an den KSV 1870 im Falle eines Zahlungsausfalls liegt daher dem Grunde nach im berechtigten Interesse der mitbeteiligten Partei. Da die Daten mittlerweile gelöscht sind, käme nur eine Feststellung der Rechtsverletzung in der Vergangenheit in Betracht, welche aber nicht vorliegt, da zum gerügten Zeitpunkt der Übermittlung ein überwiegendes berechtigtes Interesse vorgelegen hat.
3.3.2.3. Zur Erforderlichkeit: Neben dem Vorliegen eines berechtigten Interesses verlangt Art. 6 Abs. 1 lit. f DSGVO, dass die getroffene Maßnahme zur Erfüllung des berechtigten Interesses erforderlich ist. Die verarbeiteten personenbezogenen Daten müssen für den Verwendungszweck objektiv angemessen, für den Zweck auch erheblich und auf das für den Zweck notwendige Maß beschränkt sein [Jahnel in Jahnel, Kommentar zur Datenschutz-Grundverordnung, Art. 6 DSGVO Rz 76 (Stand. 1.12.2020, rdb.at)]. Zur Gewährleistung eines funktionierenden Kontrollsystems zur Risikoüberwachung im Zusammenhang mit Kreditgeschäften ist es objektiv angemessen, historische Zahlungsdaten in einem System zu erfassen, um zuverlässige Vorhersagen über das zukünftige Zahlungsverhalten von Kreditnehmern treffen zu können. Der KSV 1870 stellt mit der Warnliste und der KKE solche Systeme zur Verfügung. Im Interesse des Gläubigerschutzes ist das Erfassen der Zahlungsdaten in diesen Systemen daher grundsätzlich ein geeignetes Mittel zur Zweckerfüllung. Im gegenständlichen Fall finden sich keinerlei Anhaltspunkte, dass die Datenverarbeitung über das zur Zweckerfüllung notwendige Maß ist, dementsprechend davon auszugehen war, dass auch die Notwendigkeit der Datenverarbeitung erfüllt ist.
3.3.2.4. Zur Einhaltung der Grundsätze des Art. 5: Gemäß Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Prinzip der Datenminimierung). § 1 Abs. 2 DSG letzter Satz ordnet diesem Grundsatz entsprechend an, dass jeder Eingriff in das Grundrecht auf Datenschutz jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden darf (Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 1 [Stand 12.6.2018], rdb.at). Die Verarbeitung personenbezogener Daten soll auf das Unvermeidbare reduziert werden. Dadurch wird sichergestellt, dass die Verarbeitung durch den festgelegten Zweck tatsächlich begrenzt wird (vgl. OGH 22.12.2021, 6 Ob214/21w, unter Hinweis auf Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Art. 5 DSGVO Rz 21 und 34). Daten sind erheblich, wenn sie für die Zweckerreichung förderlich, also im Sinne der grundrechtlichen Verhältnismäßigkeitsdogmatik geeignet sind. Kann man sich hingegen die Verarbeitung bestimmter Daten wegdenken, ohne dass die Zweckerreichung erschwert wird, dann sind diese nicht erheblich (Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Art. 5 DSGVO Rz 34ff. [Stand 7.5.2020], rdb.at).
Die gerügte Übermittlung an den KSV entspricht diesem Grundsatz.
3.3.2.5. Abschließend ist auszuführen, dass die Datenverarbeitung neben der Zulässigkeit nach Art. 6 Abs. 1 lit f DSGVO auch den in Art. 5 Abs. 1 lit a-f DSGVO angeführten Grundsätzen der Datenverarbeitung genügen muss. Die Datenverarbeitung war rechtmäßig gemäß Art. 5 Abs. 1 lit a DSGVO. Der Beschwerdeführer wurde bei Abschluss des Kreditvertrages auf die drohende Verarbeitung hingewiesen, womit der Grundsatz der Transparenz eingehalten wurde. Weiters basierte die Verarbeitung auf dem eindeutig festgelegten Zweck des „Gläubigerschutzes“, sodass eine Zweckbindung im Sinne des Art. 5 Abs. 1 lit. b DSGVO ebenso gegeben ist. Der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO wurde dahingehend erfüllt, als die Verarbeitung, wie oben dargestellt, dem Zweck angemessen war und auf das notwendige Maß beschränkt wurde. Weiters finden sich im gesamten Verfahren keinerlei Anhaltspunkte dafür, dass die verarbeiteten Daten unrichtig wären, zumal der Beschwerdeführer zwar eine Verletzung des Grundsatzes der Datenrichtigkeit vorbrachte, aber keinerlei Beweise oder Gründe anbot, weswegen die Daten unrichtig seien. Somit kann eine Verletzung des Grundsatzes der Datenrichtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO ausgeschlossen werden.
Zum Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit e DSGVO ist auszuführen, dass die gerügte Datenverarbeitung die Offenlegung durch Übermittlung an den KSV 1870 betrifft und die KKE vom KSV 1870 als Verantwortlicher betrieben wird, weswegen auch die Frage der Löschfristen nicht verfahrensgegenständlich ist.
Eine Verletzung des Art. 5 Abs. 1 lit. f DSGVO wurde vom Beschwerdeführer nicht beanstandet, es ist daher dazu lediglich auszuführen, dass sich aus dem Sachverhalt keine Ansatzpunkte ergeben, die eine Verletzung indizieren würden.
3.3.3. Zum Recht auf Löschung (Art. 17 DSGVO):
In seiner verfahrenseinleitenden Datenschutzbeschwerde machte der Beschwerdeführer eine Verletzung in seinem Recht auf Löschung gemäß Art. 17 DSGVO geltend, da er vorbrachte, die mitbeteiligte Partei habe seinem, am XXXX 2022 eingebrachten Löschbegehren zu Unrecht nicht entsprochen.
Einleitend ist hierbei anzuführen, dass die Daten des Beschwerdeführers inzwischen nicht mehr in der vom KSV 1870 als Verantwortlichen betriebenen KKE und der Warnliste aufscheinen. Die personenbezogenen Zahlungserfahrungsdaten wurden bereits am XXXX 2023 betreffend die KKE bzw. der Warnliste im XXXX 2024 gelöscht. Es kommt daher von vornherein nicht mehr in Betracht, die Entfernung der historischen Zahlungsdaten des Beschwerdeführers aus der Warnliste bzw. der KKE zu veranlassen.
Die Feststellung einer Verletzung in seinen Rechten zugunsten eines Beschwerdeführers, der das Feststellungsbegehren auf die Nichterfüllung einer datenschutzrechtlich gebotenen Verpflichtung zu einer bestimmten Leistung (Auskunft, Richtigstellung, Löschung) stützt, kommt nicht mehr in Frage, wenn dem Leistungsbegehren nachgekommen ist (vgl. VwGH 6.3.2024, Ro 2021/04/0027, Rn. 29 und 30, mit Hinweis auf VwGH 19.10.2022, Ro 2022/04/0001, bzw. auf die Rechtsprechung des OGH, etwa OGH 18.2.2021, 6 Ob 127/20z).
Es war spruchgemäß zu entscheiden.
3.4. Zum Entfall der mündlichen Verhandlung:
Gemäß § 24 Abs 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.
Gemäß § 24 Abs 4 VwGVG kann - soweit durch Bundes- oder Landesgesetz nichts anderes bestimmt ist - das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art 6 Abs 1 EMRK noch Art 47 GRC entgegenstehen.
Die Tatsache der Verarbeitung der Zahlungserfahrungsdaten der mitbeteiligten Partei durch die Beschwerdeführerin sowie deren Anzahl und Höhe der beglichenen Forderungen ergeben sich klar aus dem Sachverhalt und wurden von den Parteien des Verfahrens zu keinem Zeitpunkt bestritten. Unstrittig war auch, zu welchem Zeitpunkt die Forderungen durch die mitbeteiligte Partei beglichen wurden. Im gegenständlichen Fall konnte somit das Unterlassen einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage geklärt war, weshalb die Durchführung einer öffentlichen mündlichen Verhandlung zur weiteren Klärung des Sachverhaltes nicht beitragen und damit unterbleiben konnte.
Zu B) Unzulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die vorliegenden Entscheidungen hängen nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Das Bundesverwaltungsgericht kann sich bei allen erheblichen Rechtsfragen auf eine ständige Rechtsprechung des Verwaltungsgerichtshofes bzw. auf eine ohnehin klare Rechtslage stützen. Es ist auch nicht ersichtlich, dass sich im konkreten Fall eine Rechtsfrage stellt, die über den (hier vorliegenden konkreten) Einzelfall hinaus Bedeutung entfaltet. Ausgehend davon kann eine Rechtsfrage von grundsätzlicher Bedeutung auch insofern nicht bejaht werden. Es war daher auszusprechen, dass die Revision gemäß Art. 133 Abs. 4 B-VG jeweils nicht zulässig ist.