W258 2249012-1/8E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichterinnen Dr.in Claudia ROSENMAYR-KLEMENZ und Margareta MAYER-HAINZ als Beisitzerinnen über die Beschwerde von XXXX mitbeteiligte Partei vor dem Verwaltungsgericht: XXXX , vertreten durch Mag. Matthias ZEZULA, Rechtsanwalt in 8940 Liezen, Phyrnstraße 1, gegen den Bescheid der Datenschutzbehörde vom 28.10.2021, GZ XXXX , nach Durchführung einer mündlichen Verhandlung am 22.01.2026 in einer datenschutzrechtlichen Angelegenheit zu Recht erkannt:
A)
Die Beschwerde wird abgewiesen.
B)
Die Revision ist gemäß Art 133 Abs 4 B-VG nicht zulässig.
Entscheidungsgründe:
I. Verfahrensgang:
1.1. Mit (Administrativ-)Beschwerde vom 17.05.2021 brachte der Beschwerdeführer vor, er sei durch die mitbeteiligte Partei in seinem Recht auf Geheimhaltung verletzt worden. Begründend führte er auf das Wesentlichste zusammengefasst aus, ein Mitarbeiter der mitbeteiligten Partei habe über ihn Abfragen bei einer Kreditauskunftei durchgeführt und ihre Ergebnisse via WhatsApp verbreitet, ohne dazu berechtigt gewesen zu sein. Dadurch sei das Ansehen des Beschwerdeführers in seinem Bekanntenkreis geschädigt worden.
1.2. Über Parteiengehör vom 21.05.2021 brachte die mitbeteiligte Partei mit Stellungnahme vom 14.06.2021 vor, sie habe das Recht auf Geheimhaltung des Beschwerdeführers nicht verletzt. Sie habe über den Beschwerdeführer Bonitätsauskünfte eingeholt, weil ihre Einholung im Rahmen einer möglichen Finanzierung eines Warenkaufs tunlich und notwendig gewesen sei.
1.3. Mit Bescheid vom 28.10.2021 wies die belangte Behörde die (Administrativ-)Beschwerde ab und führte auf das Wesentlichste zusammengefasst aus, die Abfrage der Bonität der Beschwerdegegnerin bei einer Wirtschaftsauskunftei („Bonitätsauszug“) könne auf Art 6 Abs 1 lit f DSGVO gestützt werden; für eine Weitergabe des Bonitätsauszuges per WhatsApp gäbe es keine Anhaltspunkte.
1.4. Dagegen richtet sich die gegenständliche Beschwerde vom 22.11.2021, ergänzt mit E-Mail vom 03.12.2021, in der der Beschwerdeführer sein bisheriges Vorbringen wiederholte, und ergänzend vorbrachte, dass zwischen ihm und der mitbeteiligten Partei keine Geschäftsbeziehung bestanden und er einer Abfrage beim XXXX nicht zugestimmt habe. Dazu könne er einen (ebenfalls betroffenen) Zeugen nennen. Dass Ergebnisse der Bonitätsauskunft per WhatsApp an mehrere Personen verschickt worden seien, könne er mit Bildschirmausdrucken belegen.
1.5. Die belangte Behörde legte die Beschwerde unter Anschluss des Verwaltungsakts mit Schriftsatz vom 03.12.2021, hg eingelangt am 06.12.2021, vor, bestritt das Beschwerdevorbringen zur Gänze und beantragte die Beschwerde abzuweisen.
1.6. Am 22.01.2026 wurde über die Beschwerde verhandelt.
Beweis wurde aufgenommen durch Einschau in den Verwaltungsakt, Bildschirmausdrucke diverser WhatsApp Nachrichten (OZ 5, Beilage ./1) sowie Einvernahme des Beschwerdeführers und eines informierten Vertreters der mitbeteiligten Partei jeweils als Partei.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Der folgende Sachverhalt steht fest:
1.1. Die mitbeteiligte Partei betreibt ein Augenoptikunternehmen. Sie verfügt über Abfragemöglichkeiten bei der Kreditauskunftei „Kreditschutzverband 1870“ (in Folge „KSV“). Vor einem Abschluss von Geschäften mit kreditorischem Risko holen Mitarbeiter:innen der mitbeteiligte Partei Bonitätsauskünfte über den potentiellen Geschäftspartner beim KSV ein.
1.2. Herr XXXX (in Folge „Mitarbeiter“) war in einer der Filialen der mitbeteiligten Partei für die mitbeteiligte Partei tätig und hatte als solcher Zugriff auf die Bonitätsabfragen beim KSV. Der Mitarbeiter fragte aus Neugier, ohne geschäftliche Veranlassung, die Bonität des Beschwerdeführers, mit dem er gut befreundet war, unter Nutzung des KSV-Zugangs der mitbeteiligten Partei ab.
1.3. Die mitbeteiligte Partei hat seit 2018 eine Richtlinie, wonach ihre Mitarbeiter:innen KSV-Abfragen ausschließlich dann durchführen dürfen, wenn sie geschäftlich veranlasst sind. Diese Richtlinie wurde allen Mitarbeiter:innen zur Kenntnis gebracht. KSV-Abfragen werden durch die mitbeteiligte Partei protokolliert.
2. Der Sachverhalt gründet in der folgenden Beweiswürdigung:
2.1. Die Feststellungen zur mitbeteiligten Partei gründen in den unstrittigen Angaben der Parteien. Die Feststellung zur Einholung und zu den Modalitäten von Bonitätsabfragen der mitbeteiligten Partei gründen im unbestrittenen Vorbringen der mitbeteiligten Partei, das dem Sachverhalt als wahr unterstellt wird (Stellungnahme vom 14.06.2021, OZ 1, S 20).
2.2. Die Feststellung zur Tätigkeit des Mitarbeiters für die mitbeteiligte Partei gründet in den unwidersprochenen Angaben des Beschwerdeführers („Ich war aber einmal gemeinsam mit meiner Freundin bei ihm im Geschäft […] Dort soll er nach seinen Angaben Geschäftsführer gewesen sein.“ (Verhandlungsprotokoll vom 22.01.2026, OZ 5, S 3)). Die Feststellung, wonach er Zugriff auf die KSV-Abfragen hatte, ergibt sich daraus, dass Mitarbeiter:innen der mitbeteiligten Partei vor einem Abschluss von Geschäften mit kreditorischem Risko Bonitätsauskünfte über den potentiellen Geschäftspartner beim KSV einzuholen haben.
Die Feststellungen, wonach der Mitarbeiter die Bonität des Beschwerdeführers aus Neugier abgefragt hat, gründet in den folgenden Überlegungen:
So hat der Beschwerdeführer ausgesagt, dass er in Bezug auf die mitbeteiligte Partei lediglich einmal beim Mitarbeiter einen gratis Sehtest genutzt hat („Ich habe zu meiner Freundin gesagt: „Gehen wir dorthin. Machen wir einen gratis Sehtest und plaudern wir ein wenig. Wir haben dann den Sehtest gemacht. Wir haben uns dann verabschiedet.“; Verhandlungsprotokoll vom 22.01.2026, OZ 5, S 3) und der informierte Vertreter der mitbeteiligten Partei hat ausgesagt, dass die mitbeteiligte Partei keine Daten über den Beschwerdeführer verarbeitet habe, obwohl Sehtests zur Vertragserfüllung gespeichert werden (Verhandlungsprotokoll vom 22.01.2026, OZ 5, S 6)). Daraus folgt, dass es – sieht man vom Sehtest ab – zu keiner Geschäftsbeziehung zwischen der mitbeteiligten Partei und dem Beschwerdeführer gekommen ist; andernfalls wäre davon auszugehen, dass die mitbeteiligte Partei sowohl die Daten zum Sehtest, als auch Vertragsdaten betreffend den Beschwerdeführer verarbeiten würde. Mangels Geschäftsbeziehung hätte es keinen Grund für die mitbeteiligte Partei – und damit für den Mitarbeiter – gegeben, eine Bonitätsabfrage durchzuführen.
Gestützt werden diese Überlegungen durch einen Screenshot einer WhatsApp Nachricht des Mitarbeiters an den Beschwerdeführer. Er führt darin aus, dass er selbst „das nicht in Ordnung“ finde, dem Beschwerdeführer „keinen Schaden zufügen“ wolle, er „nicht nachgedacht“ habe und er hoffe, dass ihm der Beschwerdeführer irgendwann verzeihen könne (OZ 5, Beilage ./1). Zwar bezieht sie sich die Nachricht nicht ausdrücklich auf Bonitätsabfragen. In Zusammenschau mit der Aussage des Beschwerdeführers, („Es hat mich dann unabhängig davon der XXXX angerufen und hat gesagt: „Du wirst ja kaum glauben, was der XXXX gemacht hat.“ Er habe KSV-Abfragen durchgeführt. Ich habe dann auch telefonisch ihn gefragt, was das soll. Ich habe ihn dann blockiert und wollte nichts mehr mit ihm zu tun haben. Er hat sich dann per WhatsApp bei mir entschuldigt. Das ist der WhatsApp-Screenshot, den ich heute vorgelegt habe.“; Verhandlungsprotokoll vom 22.01.2026, OZ 5, S 4) und weiteren vom Beschwerdeführer vorgelegten Bildschirmausdrucken, die KSV-Abfragen zeigen (OZ 5, Beilage ./1), besteht aber kein Zweifel, dass der Mitarbeiter die Abfragen durchgeführt hat und sie nicht geschäftlich sondern durch Neugier bedingt waren; andernfalls gäbe es nichts, wofür er sich entschuldigen hätte müssen.
2.3. Die Feststellungen zu den von der mitbeteiligten Partei ergriffenen Maßnahmen, um unberechtigte Zugriffe auf die Bonitätsdatenbank des KSV zu verhindern, gründen auf der nachvollziehbaren und in sich schlüssigen Aussage des informierten Vertreters der mitbeteiligten Partei, wonach im Zuge der Umsetzung der DSGVO im Jahr 2018 die datenschutzrechtlichen Anforderungen in Hinblick auf die Verwendung der Bonitätsabfragen geprüft und umgesetzt worden sind und entsprechende Richtlinien ausgearbeitet und den Mitarbeiter:innen zur Kenntnis gebracht worden sind (Verhandlungsprotokoll vom 22.01.2026, OZ 5, S 7).
Dass eine Protokollierung der Abfragen erfolgt gründet einerseits in der Aussage des informierten Vertreters der mitbeteiligten Partei, wonach er – als Rechtsvertreter der mitbeteiligten Partei – empfohlen habe, KSV-Zugriffe zu protokollieren (Verhandlungsprotokoll vom 22.01.2026, OZ 5, S 7), und andererseits ist es nicht ersichtlich, warum eine solche – anwaltliche – Empfehlung nicht umgesetzt worden sein sollte, zumal die Zugriffsdaten ohnehin aus Gründen der Abrechnung und Nachvollziehbarkeit der vom KSV erbrachten Leistung der mitbeteiligten Partei vom KSV zur Verfügung gestellt werden müssen.
3. Rechtlich folgt daraus:
Zu A)
Die zulässige Beschwerde ist nicht berechtigt.
Der Beschwerdeführer sieht sich durch die Entscheidung der belangten Behörde in seinem subjektiven Recht auf Geheimhaltung ihn betreffender personenbezogener Daten verletzt, weil die Einholung und Weitergabe von Bonitätsauskünften durch einen Mitarbeiter der mitbeteiligten Partei mangels Geschäftsbeziehung zwischen ihm und der mitbeteiligten Partei rechtswidrig gewesen sei.
Die belangte Behörde geht davon aus, dass die mitbeteiligte Partei die Bonität des Beschwerdeführers im Zuge einer geschäftlichen Anfrage abgefragt habe, was gemäß Art 6 Abs 1 lit f DSGVO zulässig sei. Eine Verwendung der Abfrage für andere Zwecke sei nicht erwiesen.
Dazu ist Folgendes auszuführen:
3.1. Zur Zurechnung der Datenverarbeitung an die mitbeteiligte Partei:
Gemäß § 1 Abs 1 DSG hat jedermann, auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.
Verantwortlicher für eine Datenverarbeitung ist gemäß Art 4 Z 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Angestellte, die Zugriff zu personenbezogenen Daten innerhalb einer Organisation haben, sind grundsätzlich nicht als Verantwortliche oder als Auftragsverarbeiter zu sehen (Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, adopted on 07 July 2021, 10 f).
Anderes gilt für einen Mitarbeiter, der sich Zugriff auf Daten verschafft, zu deren Zugriff er nicht berechtigt ist oder Daten für andere Zwecke als für den Arbeitgeber verwendet. Diese Angestellten sind als Dritte in Bezug auf die Datenverarbeitung durch den Arbeitgeber zu sehen und werden selbst zum Verantwortlichen (aaO 29; Übersetzung des englischsprachigen Originals durch den Verfasser; VwGH 27.03.2025, Ro 2022/04/0023, Rz 27). Gegebenenfalls kommt die Mitverantwortung einer fahrlässig handelnden Organisation in Betracht, die grundsätzlich Missbrauch zu verhindern hat (VwGH 27.03.2025, Ro 2022/04/0023, Rz 27).
3.2. Angewendet auf den Sachverhalt bedeutet das:
Der Mitarbeiter der mitbeteiligten Partei hat die den Beschwerdeführer betreffende Bonitätsabfrage aus eigenem persönlichen Interesse durchgeführt und damit den Zweck der Datenverwendung bestimmt. Er hat auch über die Mittel der Datenverarbeitung entschieden, indem er für die Zugriffe den von der mitbeteiligten Partei für geschäftliche Zwecke bereitgestellten Zugang zum XXXX verwendet hat.
Demgegenüber hat die mitbeteiligte Partei weder den Zweck noch die Mittel der Bonitätsabfragen bestimmt, weil sie gerade nicht für geschäftliche Zwecke erfolgt sind; ihr ist auch keine Fahrlässigkeit hinsichtlich der Nutzung der Abfragemöglichkeit durch den Mitarbeiter vorzuwerfen, zumal sie Richtlinien zur Nutzung erstellt und den Mitarbeiter:innen kommuniziert sowie die Abfragen protokolliert hat. Die mitbeteiligte Partei ist in Bezug auf die Bonitätsabfragen daher keine Verantwortliche, weder alleine, noch gemeinsam mit dem Abfragenden.
3.3. Ergebnis:
Da die vom Beschwerdeführer eindeutig als Beschwerdegegner bezeichnete mitbeteiligte Partei die behauptete Datenverarbeitung nicht zu verantworten hat und ein Austausch der Person des Verantwortlichen im verwaltungsgerichtlichen Verfahren nicht in Betracht kommt (vgl. VwGH 27.3.2025, Ro 2022/04/0023, Rz 40), war die Beschwerde abzuweisen.
Die belangte Behörde hat die Datenschutzbeschwerde des Beschwerdeführers daher im Ergebnis zu Recht abgewiesen, weshalb die dagegen gerichtete Bescheidbeschwerde abzuweisen war.
3.4. Es war daher spruchgemäß zu entscheiden.
B) Zulässigkeit der Revision:
Die Revision ist gemäß Art 133 Abs 4 B-VG nicht zulässig, weil keine Rechtsfrage grundsätzlicher Bedeutung vorliegt. Das erkennende Gericht konnte sich auf die jeweils zitierte Rechtsprechung des Verwaltungsgerichtshofs stützen.
Rückverweise
RIS