W298 2322178-1 – BVwG Entscheidung

W298 2322178-1/6E

Im namen der republik!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Mathias VEIGL als Vorsitzenden und die fachkundige Laienrichterin Mag. Gerda Ferch-Fischer und den fachkundigen Laienrichter Mag. Florian Schultes als Beisitzerin und Beisitzer über die Beschwerde von XXXX , vertreten durch noyb – Europäisches Zentrum für digitale Rechte, Goldschlagstraße 172/4/3/2, 1140 Wien, gegen den Bescheid der Datenschutzbehörde vom 13.05.2025, GZ: XXXX (mitbeteiligte Partei: XXXX ), wegen Verletzung im Recht auf Auskunft zu Recht erkannt:

A) Die Beschwerde wird mit der Maßgabe abgewiesen, dass der angefochtene Bescheid dahingehend abgeändert wird, dass seine Spruchpunkte zu lauten haben:

I. Die Beschwerde wegen einer behaupteten Verletzung im Recht auf Geheimhaltung sowie wegen einer behaupteten Verletzung im Recht auf Auskunft werden als unbegründet abgewiesen.

II. Die Beschwerde wegen einer behaupteten Verletzung im Recht auf Informationspflicht gemäß Art 14 DSGVO, im Recht auf Berichtigung gemäß Art 16 DSGVO, im Recht auf Löschung gemäß Art 17 DSGVO, im Recht auf Einschränkung der Verarbeitung gemäß Art 18 DSGVO, im Recht auf Widerspruch gemäß Art 21 DSGVO sowie im Recht nicht einer automationsunterstützten Entscheidung unterworfen zu sein gemäß Art 22 DSGVO wird zurückgewiesen.

B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. Der Beschwerdeführer erhob mit Eingabe vom XXXX 2023 eine Datenschutzbeschwerde gegen die XXXX (in weiterer Folge „mitbeteiligte Partei“). Dem Beschwerdeführer sei nicht beauskunftet worden, woher seine Daten stammen und wozu sie verwendet beziehungsweise an wen sie übermittelt worden wären, obwohl er dies in seinem Auskunftsbegehren an die mitbeteiligte Partei explizit eingefordert habe. Es werde nur allgemein ausgeführt, warum die mitbeteiligte Partei überwiegende Interesse an „sehr sensiblen“ Daten seiner Person habe. Es werde ein „Scoringwert“ von XXXX für den Beschwerdeführer gespeichert. Da der „Scoringwert“ zwischen 250-700 liegen könne, müssten wohl unrichtigerweise Negativvermerke vom Beschwerdeführer vorliegen. Ohne Offenlegung dieser schädlichen Daten und mit Berufung auf das Betriebsgeheimnis würden hiermit seine Betroffenenrechte massiv geschädigt werden. Darüber hinaus sei der Beschwerdeführer von der mitbeteiligten Partei gezwungen worden, seinen Ausweis zu übermitteln, was nach gängiger Rechtsprechung nicht zulässig sei.

2. Die belangte Behörde erteilte dem Beschwerdeführer mit Schreiben vom XXXX 2023 einen Mangelbehebungsauftrag.

3. Mit Eingabe vom 10.05.2023 führte der Beschwerdeführer aus, er habe am XXXX 2023 (gemeint wohl XXXX 2023) ein Auskunftsbegehren an die mitbeteiligte Partei gestellt. Er sei in seinem Recht auf problemlose Erlangung einer Auskunft nach Art. 15 DSGVO verletzt, da die mitbeteiligte Partei die Auskunft verweigert hätte, wenn er nicht die Kopie eines Ausweises übermittelt hätte. Mit Eingabe vom XXXX 2023 habe er schließlich eine (mangelhafte) Auskunft von der mitbeteiligten Partei erhalten. Sie verweigere jegliche Auskunft über persönliche Daten des Beschwerdeführers (abgesehen von Firmenbucheinträgen, die ohnedies öffentlich seien) und führe lediglich einen Scorewert von XXXX an, welcher an 2 Kunden übermittelt worden wäre. Betreffend die Berechnung des „Scoringwertes“ beziehe sich die mitbeteiligte Partei auf ein Geschäftsgeheimnis. In der Datenschutzerklärung der mitbeteiligten Partei fehle jeglicher Hinweis auf ergriffene Sicherheitsmaßnahmen, diese würden in den Datenschutzerklärungen anderer Auskunfteien breit dargelegt werden.

4. Der Beschwerdeführer brachte am 21.03.2025 eine Säumnisbeschwerde ein.

5. Die mitbeteiligte Partei führte in ihrer Stellungnahme vom XXXX 2025 aus, die Personalausweis- oder Reisepassdaten würden ausschließlich zur Identifikation eines Betroffenen benutzt werden, der seine Selbstauskunft beantrage. Nach Identifikation würden die Daten unverzüglich gelöscht werden. Die Selbstauskunft sei direkt nach Identifikation an den Beschwerdeführer übermittelt worden. Der Beschwerdeführer habe fristgerecht eine Selbstauskunft erhalten, aus der auch ersichtlich gewesen sei, welche Daten von der mitbeteiligten Partei verarbeitet werden würden, wer die Empfänger seien und woher die Daten stammen würden. Es sei daher nicht nachvollziehbar, wenn der Beschwerdeführer behauptete, diese Informationen nicht erhalten zu haben. Es seien zu keinem Zeitpunkt Informationen vorenthalten worden. Mit Schreiben vom XXXX 2025 sei dem Beschwerdeführer eine neue Selbstauskunft übermittelt worden, in der auf Seite 10 die Erläuterungen zum „Scoringwert“ enthalten seien. Sämtliche bei der mitbeteiligten Partei zum Beschwerdeführer gespeicherten personenbezogenen Daten seien aus der letzten erteilten Auskunft vom XXXX 2025 ersichtlich. Dementsprechend würden die seitens der mitbeteiligten Partei über den Beschwerdeführer erteilten Auskünfte auf lediglich diesen Daten basieren und sei eine Ausübung aller seiner Rechte nach der DSGVO daher möglich. Die mitbeteiligte Partei sei auch nicht dazu veranlasst die technischen und organisatorischen Maßnahmen in ihre Datenschutzerklärung aufzunehmen.

6. Mit Stellungnahme vom 30.04.2025 führte der Beschwerdeführer aus, die Stellungnahme der mitbeteiligten Partei sei keineswegs eine zufriedenstellende Auskunft. Die Auskunft der mitbeteiligten Partei sei zwar jetzt ausführlicher, aber teilweise fehlerhaft und inkonsistent. Fehlerhaft sei jedenfalls der Abschnitt „2.1. Kontaktdaten“, da keine dieser Telefonnummern aktuell sei oder je richtig gewesen sei. Bei „Kapitel 3 Personentreffer“ seien nun zwar Quellen für die Beurteilung angeführt, jedoch nicht wie „Scoringwerte“ entstehen würden. Es werde auch nicht angeführt, warum die in der Datenschutzauskunft angeführten Quellen Daten an die XXXX gemeldet hätten. Der Beschwerdeführer habe keiner dieser Quellen dazu explizit eine Genehmigung gegeben. Weiters delegiere die mitbeteiligte Partei nun ihr geheimes Scoringverfahren einfach eine Ebene weiter runter, es sei keinesfalls ersichtlich, warum und mit welchen Daten „Scoringwerte“ entstehen würden. Ohne Offenlegung der Berechnungsmethode könne der Beschwerdeführer keine Beurteilung treffen, ob diese Scorings in irgendeiner Weise passen könnten oder ob diese, wie die angesprochenen Telefonnummern, nicht auf falschen Daten beruhen würden.

7. Mit Bescheid vom 20.06.2025 wurde die Datenschutzbeschwerde des Beschwerdeführers wegen einer behaupteten Verletzung im Recht auf Geheimhaltung, im Recht auf Information, im Recht auf Auskunft, im Recht auf Berichtigung, im Recht auf Löschung, im Recht auf Einschränkung der Verarbeitung, im Recht auf Widerspruch, im Recht nicht einer automationsunterstützten Entscheidung unterworfen zu sein sowie wegen einer behaupteten Verletzung der Grundsätze der Verarbeitung personenbezogener Daten als unbegründet abgewiesen. Begründend führte die belangte Behörde im Wesentlichen aus, der Beschwerdeführer sei zurecht zur Vorlage eines Identitätsnachweises aufgefordert worden. Der Beschwerdeführer habe seinen Antrag auf Auskunft ausdrücklich auf eine Teilmenge des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO eingeschränkt und begehre Auskunft dahingehend, welche personenbezogenen Daten die mitbeteiligte Partei über ihn verarbeite, woher diese stammen würden und an welche Empfänger sie diese weitergegeben hätten. Im gegenständlichen Fall könne ein weitergehender Auskunftsanspruch auf Basis des konkret gestellten Auskunftsbegehrens vom XXXX 2023 nicht abgeleitet werden. Die mitbeteiligte Partei habe dem Beschwerdeführer mit Schreiben vom XXXX 2023 und vom XXXX 2025 Auskunft über die von ihr über den Beschwerdeführer verarbeiteten (Stamm-)Daten (Zahlungserfahrungsdaten, Name, Geburtsdatum, Adressen, unternehmerische Funktionen) erteilt, sodass diesbezüglich keine Mangelhaftigkeit erblickt werden könne und vom Beschwerdeführer auch nicht behauptet werde. Der Beschwerdeführer verkenne, dass die begehrte Offenlegung der Berechnungsmethode des ausgewiesenen „Scoringwerts“, um die Bedeutung der beauskunfteten Daten im Zusammenhang mit den Scores zu erfassen, im Rahmen eines Antrages nach Art. 15 Abs. 1 lit h DSGVO geltend zu machen wäre. Der Beschwerdeführer habe keinen entsprechenden Antrag auf Auskunft nach Art. 15 Abs. 1 lit h DSGVO an die mitbeteiligte Partei gestellt. Der an die mitbeteiligte Partei gerichtete Auskunftsantrag des Beschwerdeführers vom XXXX 2023 habe kein entsprechendes Begehren auf Auskunft über die Zwecke der Datenverarbeitung bzw. die Rechtsgrundlage der Datenverarbeitung nach Art. 15 Abs. 1 lit. a DSGVO enthalten. Die mitbeteiligte Partei habe zudem mit Auskunft vom XXXX 2023 und vom XXXX 2025 entsprechende Informationen über die Verarbeitungszwecke und Rechtsgrundlagen bereitgestellt. Neben den konkret verarbeiteten Daten habe sie auch Kategorien (wie bspw. „Zahlungserfahrungsdaten“, „Name“, „Geburtsdatum“, „Adresse“ oder „Telefonnummer“) beauskunftet, obwohl der Auskunftsantrag des Beschwerdeführers nicht darauf gerichtet gewesen sei. Mit Schreiben vom XXXX 2025 habe die mitbeteiligte Partei dem Beschwerdeführer eine nachträgliche bzw. aktualisierte Auskunft über 25 konkrete Empfänger der personenbezogenen Daten des Beschwerdeführers sowie eine Information über die übermittelten Daten erteilt. Vor dem Hintergrund, dass die mitbeteiligte Partei insbesondere zur Herkunft der Daten des Beschwerdeführers neben mehreren öffentlichen Quellen auch namentlich mehrere Unternehmen genannt habe sowie weitere Informationen zu den übermittelten Daten bereitgestellt habe und vom Beschwerdeführer keine inhaltlich begründeten Ausführungen zu einer mangelhaften Auskunftserteilung gemäß Art. 15 Abs.1 lit. g DSGVO erstattet worden wäre, sei die diesbezügliche Auskunft als vollständig anzusehen. Die Herausgabe weiterer Dokumente mit personenbezogenen Daten des Beschwerdeführers sei dem Grunde nach zu verneinen, da sie nicht erforderlich sei, um die Kontextualisierung der verarbeiteten personenbezogenen Daten bzw. ihre Verständlichkeit zu gewährleisten. Die mitbeteiligte Partei sei ihrer Informationspflicht gemäß Art. 14 Abs. 2 lit. b DSGVO in ausreichendem Maß nachgekommen. Bei den Rechten gemäß Art. 15 bis Art. 22 DSGVO handle es sich um antragsbedürftige Rechte. Das bedeute, dass der Betroffene zur Geltendmachung dieser Rechte zunächst einen entsprechenden Antrag an den Verantwortlichen richten müsse. Nachdem der Beschwerdeführer im vorliegenden Fall aber zu keinem Zeitpunkt einen Antrag zur Geltendmachung seiner Rechte auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und keinen Antrag, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht, nach Art. 22 DSGVO an die mitbeteiligte Partei gestellt habe, könne er auch nicht in seinen diesbezüglichen Rechten verletzt worden sein.

8. Der Beschwerdeführer erhob gegen den Bescheid der belangten Behörde Beschwerde und brachte darin vor, er rege an, die nachfolgend angeführten Teile des angefochtenen Bescheids noch im Rahmen einer Beschwerdevorentscheidung abzuändern. In der von der mitbeteiligten Partei erteilten Auskunft seien dem Beschwerdeführer erstmals zahlreiche bisher nicht beauskunftete Informationen übermittelt worden. Die verbesserte Auskunft der mitbeteiligten Partei vom XXXX 2025 zeige, dass ihre ursprüngliche Auskunft auch (bzw. besonders) in diesen Punkten („Stammdaten, Empfänger und Herkunft“) grob unvollständig gewesen sei. Einige Auskunftsbestandteile seien noch unvollständig beauskunftet geblieben. Insbesondere sei der Zweck der Verarbeitung entgegen Art 15 Abs. 1 lit a DSGVO nicht ordnungsgemäß beauskunftet worden. Die mitbeteiligte Partei habe hinsichtlich des Verarbeitungszwecks lediglich auf §§ 151 – 153 GewO verwiesen, ohne festzuhalten, welche Daten zu welchem dieser Zwecke verarbeitet werden würden. Es sei kaum vorstellbar, dass die mitbeteiligte Partei sämtliche Daten des Beschwerdeführers für alle drei Gewerbeberechtigungen verarbeite. Auch die Auskunft gemäß Artikel 15 Abs. 1 lit h DSGVO hinsichtlich des Bestehens einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art 22 Abs. 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person sei unvollständig ausgefallen. Die mitbeteiligte Partei hätte dem Beschwerdeführer eine Erläuterung des Verfahrens und der Grundsätze, die bei den jeweiligen Bonitätsbewertungen zur Anwendung gekommen seien, um das jeweils errechnete Bonitätsprofil zu gelangen, zur Verfügung stellen müssen. Das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, hätten so beschrieben werden müssen, dass der Beschwerdeführer nachvollziehen hätte können, welche seiner personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden. Eine Informationspflichtverletzung der mitbeteiligten Partei sei ausweislich der eindeutigen Rechtsprechung des Verwaltungsgerichtshofs auch einer nachträglichen Beseitigung nicht zugänglich. Diese Würdigung der belangten Behörde sei schon hinsichtlich des Löschrechts nach Artikel 17 DSGVO unzutreffend, da Verantwortliche auch ohne entsprechenden Antrag zur Löschung von unrichtigen Daten verpflichtet seien. Besonders verfehlt sei eine solche Würdigung aber im Zusammenhang mit Artikel 22 DSGVO, der ein Verbot darstelle und keinesfalls antragsbedürftig sei. Es seien zahlreiche Bonitätsbewertungen zum Beschwerdeführer erfolgt. Wäre der von der mitbeteiligten Partei bereitgestellte Score tatsächlich überhaupt nicht maßgeblich für Geschäftsentscheidungen der XXXX -Kunden, müsste man diesen unterstellen, Geld für weitgehend irrelevante Informationen auszugeben. Davon abgesehen würden XXXX -Kunden sogar zugeben, Geschäftsentscheidungen (ausschließlich) auf von XXXX bezogene Scores zu stützen. Der von der belangten Behörde erfolge Verweis auf die grundsätzliche Möglichkeit, die Tätigkeit von Kreditauskunfteien auf Artikel 6 Abs. 1 lit f DSGVO zu stützen, sei verfehlt. Bezüglich der Datenerhebung und der weiteren Verarbeitung der Daten, die bei Adressverlagen erhoben worden wären, hätte eine Verletzung im Recht auf Geheimhaltung des Beschwerdeführers und einen Verstoß gegen Artikel 6 Abs. 1 lit f DSGVO festgestellt werden müssen. Eine Verarbeitung personenbezogener Daten müsse aufgrund berechtigter Interessen auch notwendig sein. Insbesondere bei den gegenständlichen Telefonnummern, die seit über 20 Jahren nicht mehr bestätigt und dem Beschwerdeführer in der ursprünglichen Auskunft auch vorenthalten worden wären, sei nicht nachvollziehbar und werde von der mitbeteiligten Partei auch nicht behauptet, wie diese für die vorliegenden Verarbeitungszwecke notwendig sein sollten.

9. Mit Stellungnahme vom 28.11.2025 führte die mitbeteiligte Partei im Wesentlichen aus, sie habe dem Beschwerdeführer sämtliche von ihm begehrte Informationen nach Art. 15 DSGVO erteilt. Ihm seien sämtliche Informationen über die Verarbeitung durch die mitbeteiligte Partei nach Art. 14 DSGVO vorgelegen. Der mitbeteiligten Partei sei keine Verletzung des Art. 22 DSGVO vorwerfbar, da sie keine automatisierten Entscheidungen treffe. Sämtliche Verarbeitungen der mitbeteiligten Partei seien immer rechtmäßig gewesen, da sie sich auf Art. 6 Abs. 1 lit. f DSGVO stützen könne und dem Beschwerdeführer das verfolgte Interesse von ihr auch mitgeteilt worden wäre.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1.1. Die mitbeteiligte Partei ist ein Unternehmen, das unter anderem das Gewerbe der „Auskunftei über Kreditverhältnisse“ gemäß § 152 GewO betreibt. Die in ihrer Datenbank verarbeiteten Zahlungserfahrungsdaten erhält die Beschwerdeführerin von ihren Vertragspartnern (zB Inkassobüros). Die von der Beschwerdeführerin betriebene Auskunftei dient ihren Kunden dazu, das Ausfallsrisiko von (potenziellen) Vertragspartnern beurteilen zu können.

1.2. Der Beschwerdeführer richtete mit E-Mail vom XXXX 2023 ein Auskunftsbegehren an die mitbeteiligte Partei mit folgendem Inhalt:

„Sehr geehrte Damen und Herren!

Ich ersuche um Auskunft, welche Daten von mir bei Ihnen gespeichert sind, woher diese stammen und an wen diese weitergeleitet wurden. Bitte mir auch mitteilen, bei welchen dieser Daten und Auskünfte eine schriftliche Genehmigung meinerseits (Kreditanträge, etc.) vorlag. Danke sehr! […]“

Die mitbeteiligte Partei replizierte am XXXX 2023, dass zur Bearbeitung des Begehrens des Beschwerdeführers die Übersendung einer lesbaren Ausweiskopie notwendig ist.

Mit E-Mail vom XXXX 2023 übermittelte der Beschwerdeführer der mitbeteiligten Partei eine Kopie seines Ausweises als Identitätsnachweis.

1.3. Die mitbeteiligte Partei teilte dem Beschwerdeführer mit Schreiben vom XXXX 2023 mit, welche personenbezogene Daten sie von seiner Person gespeichert hat. Die mitbeteiligte Partei beantwortete das Auskunftsbegehren des Beschwerdeführers auszugsweise wie folgt:

…

…

…

„3. Verarbeitete Datenkategorien

Zu den unter Punkt 1 genannten Zwecken verarbeiten wir folgende Kategorien personenbezogener Daten:

Identitätsdaten (insbesondere Vor- und Nachname(n), Geburts- und Sterbedatum, Geschlecht, Titel, akademischer Grad, Status (errechnet aus Geburts- und Sterbedatum), Staatsbürgerschaft), Zeitstempel aus der Identitätsprüfung (Datum, Uhrzeit der Nutzung unserer Dienstleister)

Daten und Unterlagen zu Personaldokumenten (soweit vom Betroffenen bereitgestellt)

Kontaktdaten (insbesondere Adresse, Firmensitz, Telefonnummer, Fax, E-Mail, Website)

Gebäudedaten (Daten zum einer Anschrift zugeordneten Gebäude)

Unternehmensbezogene Daten (insbesondere Firmenbuchdaten, UID-, LEI-, ÖNB-Nummern, Unternehmensgegenstand, Unternehmensgröße/Mitarbeiterzahl, Fuhrpark, Bilanzdaten, ÖNACE-Code, unternehmerische Funktionen inklusive Vertretungsbefugnisse und Organisation, Datum des Eintritts/Austritts bzw. der Änderung der Funktion im Unternehmen, Aufenthaltsdauer bei ausländischen Staatsangehörigen, krisenspezifische Förderungen, Beteiligungsanteil und Haftungsbetrag, Informationen über Vorbeschäftigungen und Nebenbeschäftigungen, Immobilienbesitz (privat oder Firmenbesitz))

Gewerbebezogene Daten (Daten zu Gewerbeberechtigungen, andere Gewerberegisterdaten, Tätigkeitsbeschreibung, Branche)

Vereinsregisterdaten

Grundbuchsdaten

Daten zu gerichtlichen Publikationen (Insolvenzdaten und Daten über gerichtliche Versteigerungen)

Sperrvermerk nach Robinsonliste Daten zur Bankverbindung (IBAN und BIC bzw. BLZ; ausschließlich zu Zwecken der Missbrauchsbekämpfung) Zahlungserfahrungsdaten (Daten über die Einhaltung von Zahlungszielen und zu unbestrittenen, nach Eintritt der Fälligkeit unbezahlten und mehrfach gemahnten Forderungen, inklusive Leasingeinzüge, Mietzinszahlungen und Delogierungen) einschließlich Saldo und Dauer deren Aushaftung und Einmahnungen Medienbeobachtungen und Recherchedaten (zu Unternehmern) Ausweis und darin enthaltene Daten (inkl. Ausweisbild [ausschließlich zum Zweck der Identifikation und Authentifikation auf Anfrage von Betroffenen])

Lichtbild (ausschließlich zum Zweck der Identifikation und Authentifikation auf Anfrage von Betroffenen) Bezahldaten (ausschließlich zur Durchführung von Online-Zahlungen) Daten zur Bonität (inkl. aggregierte Bonitätskriterien und Score-Wert)

Daten zu Hard- und Software (inkl. verwendeter Browser, Endgerätekennung), Geolokations-Daten (auf Grundlage der Anschriften errechnet) und Lichtbilder aus Google Maps zur Analyse potentieller missbräuchlicher Auffälligkeiten (soweit vom Kunden mit Einwilligung des Betroffenen erhoben und dann an XXXX übermittelt)

Hinweise auf missbräuchliches oder sonstiges potenziell missbräuchliches Verhalten wie Identitäts-, Anschriften- oder Bonitätstäuschungsversuche in Zusammenhang mit Verträgen über Telekommunikationsleistungen oder Verträgen mit Kreditinstituten oder Finanzdienstleistern (Kredit- oder Anlageverträge, Girokonten) oder im (Internet-)Handel

Einschätzung hinsichtlich der Zustellbarkeit bei Adressen

Daten im Zuge der Abfrage durch Kunden der XXXX in der XXXX -Datenbank („Abfragedaten“, inklusive allenfalls darin enthaltene Bestelldaten)

Logdaten in Bezug auf die Datenbank (inkl. Bestätigung der Adressdaten) Risikoeinschätzung

Quelle der Daten und Klassifizierung der Quelle sowie Details zur entsprechenden Datenerhebung

Daten zu Bestellverhalten der betroffenen Person (Antragszähler, Antragswiederholungen) Finanzierungsvolumen

Von Ihnen selbst im Rahmen der Synesgy ESG Plattform bereitgestellte Informationen zur ökologisch-sozialen Nachhaltigkeit sowie die diesbezüglichen Zertifizierungsergebnisse

Informationen zum Schutz der Identitäten der Betroffenen, soweit dies im Rahmen der Identitätsbewertung erforderlich ist

…“

1.4. Der Beschwerdeführer erhob mit Eingabe vom XXXX 2023 eine Datenschutzbeschwerde aufgrund der aus seiner Sicht nicht hinreichend erteilten Auskunft.

1.5. Die mitbeteiligte Partei erteilte dem Beschwerdeführer mit Eingabe vom XXXX 2025 eine weitere ergänzende Auskunft mit folgendem Inhalt:

„Sehr geehrter Herr XXXX !

Wir teilen Ihnen im Folgenden mit, welche personenbezogenen Daten wir, zum heutigen Stichtag, zu Ihrer Person gespeichert haben. Um Ihnen die Interpretation dieser Daten zu erleichtern, beachten Sie bitte die Legende am Ende des Schreibens.

1. Zahlungserfahrungen

Aktuell haben wir keine Zahlungserfahrungsdaten zu Ihrer Person gespeichert.

2. Stammdaten - Adressen

Dieser Abschnitt enthält die bekannten Adressen, die Aktualisierungen der Adressen und den Verification Score.

2.1 Stammdaten - Adressbuch

Die folgende Tabelle enthält die zu Ihrer Person gespeicherten Stammdaten

2.1 Stammdaten - Kontaktdaten

Die folgenden Tabellen enthalten die zu Ihrer Mandantschaft gespeicherten Kontaktdaten

Ihre Telefonnummern

2.2 Stammdaten - Regelmäßig berechnete Scores

Der Verification Score gibt auf einer Skala von A bis D an, wie gut eine Person in der XXXX Datenbank bestätigt ist. A ist der bestmögliche Wert und bedeutet, dass es sich mit hoher Wahrscheinlichkeit um korrekte Datenhandelt.

2.3 Stammdaten – Aktualisierungen

Die folgende Tabelle enthält Informationen zu der ersten und der letzten Aktualisierung der in Abschnitt "Stammdaten-Adressen" angeführten Daten, geordnet nach Adress ID.

3. Empfänger bzw. Empfängerkategorien

Generell können Unternehmen, die zuvor ein schriftliches Vertragsverhältnis mit der XXXX eingegangen sind und unter anderem die datenschutzrechtlichen Regelungen/Gesetze anerkennen, Abfragen in unserer Identitäts- und Bonitätsdatenbank durchführen. Hierzu zählen vor allem Unternehmen der Kreditwirtschaft, Betreibungsdienstleister (Inkassounternehmen) oder sonstige Unternehmen.

Personentreffer

Konkret sind bei uns die folgenden Abfragen zu ihrer Mandantschaft gespeichert, die eine eindeutige Identifizierung in unserer Identitäts- und Bonitätsdatenbank zum Ergebnis hatten („Personentreffer“):

Die Entscheidung über das Zustandekommen einer Geschäftsbeziehung bzw. deren Rahmenbedingungen trifft ausschließlich der Kunde der XXXX im Rahmen der Privatautonomie.

4. Unternehmerische Funktionen und Vertretungsbefugnisse

Herkunft: Firmenbuch, Gewerbeinformationssystem Austria („Gewerberegister“), allenfalls Register der wirtschaftlichen Eigentümer.

Um den Auszug der vollständigen Daten zu den mit Ihrer Mandantschaft verbundenen Unternehmen können Sie eine Firmenauskunft beantragen. Dazu übermitteln Sie bitte einen Antrag inkl. der Ausweiskopie einer zeichnungsberechtigten Person des Unternehmens an auskunft@ XXXX .com.

5. Speicherdauer bzw. Kriterien für die Löschung

Die Speicherdauer der Daten wird wie folgt festgelegt:

Die Daten verbleiben in unserer Identitäts - und Bonitätsdatenbank solange sie inhaltlich richtig sind, keine gesetzlichen Löschungsgründe nach der DSGVO oder anderen Vorschriften vorliegen und die Speicherung dem Zweck der Verarbeitung entspricht, und sie für die Zwecke noch erforderlich sind.

6. Korrespondenz im Rahmen der Bearbeitung Ihrer Anträge

Nachrichten und Informationen, die wir im Schriftverkehr mit Ihnen per E-Mails oder im Briefverkehr austauschen, speichern wir, um zu einem späteren Zeitpunkt darauf zurückgreifen und Ihnen darüber Auskunft geben zu können.

Da Ihnen die Inhalte dieser Kommunikation bekannt sind, werden diese im Rahmen der Selbstauskunft nicht gesondert ausgewiesen. Diese Informationen werden zudem unter keinen Umständen in unserer Identitäts- oder Bonitätsdatenbank verarbeitet.

Wenn Sie sich ausführlich über die Datenverarbeitung gemäß DSGVO informieren möchten, finden Sie hier weitere Informationen:

https://www. XXXX .at/datenschutz-in-bewegung- XXXX -informiert/datenschutzerklaerung-betroffenenrechte.

7. Automatische Entscheidungsfindung und Profiling

XXXX erstellt Empfehlungen zur Zahlungsfähigkeit oder Zahlungsbereitschaft einer Person auf Basis von statistischen Berechnungen. Dabei werden Faktoren wie frühere Zahlungsausfälle (wie Inkassoeinträge und Insolvenzen), das Alter und der Wohnort der Person berücksichtigt.

Wichtig zu wissen ist jedoch, dass diese Empfehlungen keine direkte Auswirkung darauf haben, ob ein Geschäft zwischen Ihrer Person und dem Unternehmen zustande kommt, das die Daten zu Ihrer Person anfragt. Diese Entscheidung liegt beim Unternehmen selbst.

8. Allgemeine Informationen und Verarbeitungszwecke

Information zur Herkunft und Verwendung der Daten

Die von XXXX verwendeten Daten stammen aus öffentlichen Quellen wie Gerichtsveröffentlichungen (Ediktsdateien), Bilanzen, dem Firmenbuch oder Gewerbe- und Vereinsregistern. XXXX überprüft die Richtigkeit dieser Informationen, zum Beispiel die korrekte Schreibweise von Namen, und korrigiert sie gegebenenfalls.

Wichtige Informationen für die Bonität, wie Zahlungserfahrungen, erhält XXXX von über 80 Betreibungsdienstleistern (Inkassobüros und Rechtsanwälte) in ganz Österreich. Diese Informationen werden direkt von diesen Dienstleistern oder den Gläubigern selbst an XXXX übermittelt. Schuldner werden vorher darüber informiert, in einem Betreibungsschreiben, dass ihre Daten an XXXX weitergegeben werden.

Die Daten werden gespeichert zum Zweck der Ausübung der Gewerbe nach

• § 151 Adressverlage und Direktmarketingunternehmen

• § 152 Auskunfteien über Kreditverhältnisse und

• § 153 Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik laut Gewerbeordnung 1994 (GewO).

Zugriff auf die Daten erhalten nur jene Unternehmen, die

• ein Vertragsverhältnis mit XXXX eingegangen sind und

• im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko eingehen (z.B. Lieferung auf offene Rechnung).

Die Entscheidung über das Zustandekommen einer Geschäftsbeziehung trifft ausschließlich das Unternehmen, wobei es neben den von XXXX übermittelten Daten weitere Bewertungskriterien hinzuziehen kann.

9. Rechte betroffener Personen

Betroffene Personen können ihr Recht auf Löschung jederzeit per Mail an auskunft@ XXXX .com geltend machen.

Grundsätzlich ist nach den aktuell geltenden datenschutzrechtlichen Bestimmungen kein unbegründetes Löschrecht vorgesehen. Ein Anspruch auf Löschung der Daten aus der Datenbank der XXXX besteht in der Regel nur, wenn

• Die Daten unrechtmäßig verarbeitet wurden,

• kein Verarbeitungszweck mehr besteht oder

• ein berechtigter Widerspruchsgrund nachgewiesen werden konnte.

Weitere Informationen finden Sie auf unserer Website unter:

https://www. XXXX .at/datenschutz-in-bewegung- XXXX -informiert/datenschutzerklaerung-auskunftei-und-adressverlag

Fragebogen zur ökologisch-sozialen Nachhaltigkeit (“ESG-Rating”)

Wenn Sie den Fragebogen zur ökologisch-sozialen Nachhaltigkeit ("ESG-Rating") ausgefüllt haben und Ihr Recht auf Auskunft über die dort verarbeiteten Daten geltend machen möchten, können Sie dies über den folgenden Link tun: https:// XXXX .com/at.

Mit freundlichen Grüßen

XXXX

Team Beauskunftung

LEGENDE

Ergänzend zu der Selbstauskunft, finden Sie hier zu den einzelnen Bereichen der Selbstauskunft weiterführende Erläuterungen und Erklärungen.

Sektion „Zahlungserfahrungen“

Die Auflistung der Zahlungserfahrungen hat ausschließlich datenschutzrechtliche Bedeutung. Das bedeutet, dass diese Informationen keine Auflistung möglicher Forderungen oder Salden darstellen. Wenn Sie Informationen zu möglichen aushaftenden Beträgen benötigen, finden Sie diese gerne unter „Herkunft der Informationen“. Dort sind die offenen Beträge den jeweiligen Unternehmen zugeordnet und geben einen Überblick über alle möglichen Ausstände.

Im Detail bedeuten die einzelnen Spaltenbezeichnungen Folgendes:

Sektion „Stammdaten“

Erläuterung zu Abschnitt Stammdaten - Adressdaten:

Die Zustellbarkeit beurteilt die angegebene Adresse nach der Aktualität und Wahrscheinlichkeit, nach der ein Schriftstück zugestellt werden kann.

Adressdaten sind als Premiumdaten gekennzeichnet, wenn sie von einem Adressverlag bestätigt wurden.

Erläuterung zu Abschnitt Stammdaten - Kontaktdaten:

Die Sektion enthält Kontaktdaten (E-Mail, Telefon), die von unseren Datenlieferanten übermittelt wurden.

Erläuterung zu Abschnitt Stammdaten - Regelmäßig berechnete Scores:

Der Verification Score gibt auf einer Skala von A bis D an, wie gut eine Person in der XXXX Datenbank bestätigt ist. A ist der bestmögliche Wert und bedeutet, dass es sich mit hoher Wahrscheinlichkeit um korrekte Daten handelt.

Sektion „Empfänger bzw. Empfängerkategorien“

In dieser Übersicht finden Sie die Erklärung zu den einzelnen Zeilen der Sektion:

Wie die Werte zur Bonität eingeschätzt werden, hängt vom jeweils abfragenden Unternehmen ab. So kann es sein, dass ein Unternehmen bei der errechneten Bonität der abgefragten Person aufgrund ihres Risikomanagement bereits Bedenken hat, während ein anderes Unternehmen keine Bedenken hat.

Zudem berücksichtigen Sie bitte, dass Bonitätswerte nicht bei jeder Datenübermittlung an ein abfragendes Unternehmen übermittelt werden. Einige abfragende Unternehmen erhalten beispielsweise nur Informationen zur Identität der abgefragten Person. Dazu dürfen wir Sie auch gerne auf die Sektion "Automatisierte Entscheidungsfindung und Profiling" hinweisen.

Bitte beachten Sie letztlich die gesetzlichen Grenzen des datenschutzrechtlichen Auskunftsrechts:

Wir danken Ihnen für Ihr Verständnis, dass keine Auskunft über die detaillierten Parameter bzw. den für die Berechnung zugrunde liegenden Algorithmus gegeben wird. Nach Art 15 Abs 4 DSGVO und § 4 Abs 6 DSG erstreckt sich das datenschutzrechtliche Auskunftsrecht nicht auf Informationen, die ein Geschäfts- oder Betriebsgeheimnis darstellen.

Sektion „Unternehmerische Funktionen und Vertretungsbefugnisse“

In dieser Sektion werden jene offiziellen Funktionen (Vertretungsbefugnisse und Anteile) aufgelistet, welche Sie in Unternehmen innehaben bzw. innehatten. Als Quelle hierfür dienen das Firmenbuch und das Gewerberegister der Republik Österreich sowie allenfalls das Register der wirtschaftlichen Eigentümer.“

1.6. Die belangte Behörde wies den Beschwerdeführer mit Mangelbehebungsauftrag vom XXXX 2023 darauf hin, konkrete Angaben zu machen, welche Elemente von Art 15 Abs. 1 DSGVO in der erteilten Auskunft fehlen. Außerdem wurde der Beschwerdeführer ersucht, nähere Angaben im Hinblick darauf zu machen, warum er sich in seinem Recht auf Information nach Art 13 und 14 DSGVO als verletzt erachtet. Des Weiteren ersuchte die belangte Behörde den Beschwerdeführer darum, Angaben zum zeitlichen Ablauf zu machen, beispielweise wann sich eine behauptete Rechtsverletzung ereignet haben soll oder wann der Beschwerdeführer entsprechende Anträge (Auskunft, Löschung, Widerspruch, Berichtigung etc.) gestellt hat. Betreffend eine behauptete Verletzung im Recht auf Berichtigung von Daten (Art. 16 DSGVO), Löschung von Daten (Art. 17 DSGVO), Einschränkung der Datenverarbeitung (Art. 18 DSGVO), Widerspruch (Art. 21 DSGVO) und Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht (Art. 22 DSGVO), sollte der Beschwerdeführer den zu Grunde liegenden Antrag und eine allfällige Antwort der mitbeteiligten Partei vorlegen. Der Beschwerdeführer wurde darauf hingewiesen, dass es für die Geltendmachung seiner Betroffenenrechte notwendig ist, zunächst einen entsprechenden Antrag (z.B. Auskunftsbegehren, Löschungsbegehren, Berichtigungsbegehren, Widerspruch) an den Verantwortlichen zu richten. Erst wenn der Verantwortliche nicht innerhalb einer Frist von einem Monat auf den Antrag reagiert, oder die Erfüllung des Antrags vor dieser Frist verweigert, wäre eine (erfolgsversprechende) Beschwerde wegen einer Verletzung ihrer Betroffenenrechte möglich.

1.7. Der Beschwerdeführer stellte bei der mitbeteiligten Partei keinen Antrag auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Widerspruch und auch keinen Antrag auf Auskunft, ob er einer automationsunterstützten Entscheidung unterworfen wurde beziehungsweise in seinem Recht einer automationsunterstützten Entscheidung unterworfen zu werden gemäß Art 15 Abs. 1 lit h DSGVO verletzt ist. Er stellte ebenso keinen Antrag auf Auskunft über die Verarbeitungszwecke gemäß Art 15 Abs. 1 lit a DSGVO. Der Beschwerdeführer machte in seiner „verbesserten“ Datenschutzbeschwerde vom 10.05.2023 auch keine näheren Angaben, warum er sich in seinem Recht auf Information nach Art 13 und Art 14 DSGVO als verletzt erachtet.

1.8. Die belangte Behörde behandelte in ihrem Bescheid folgende Punkte:

 ob die mitbeteiligte Partei den Beschwerdeführer in seinem Recht auf Auskunft im Zusammenhang mit dem Erleichterungsgebot verletzt hat, indem diese vor Erteilung einer Auskunft einen Nachweis über die Identität des Beschwerdeführers anforderte;

 ob die mitbeteiligte Partei den Beschwerdeführer in seinem Recht auf Auskunft verletzt hat, indem diese das Auskunftsbegehren vom XXXX 2023 nicht vollständig beantwortet hat;

 ob die mitbeteiligte Partei den Beschwerdeführer im Recht auf Information nach Art. 13 und Art. 14 DSGVO verletzt hat, indem die Datenschutzerklärung keine berechtigten Interessen der Beschwerdegegnerin ausweist;

 ob die mitbeteiligte Partei den Beschwerdeführer im Recht auf Berichtigung von Daten nach Art. 16 DSGVO verletzt hat;

 ob die mitbeteiligte Partei den Beschwerdeführer im Recht auf Löschung nach Art. 17 DSGVO verletzt hat;

 ob die mitbeteiligte Partei den Beschwerdeführer im Recht auf Einschränkung der Datenverarbeitung nach Art. 18 DSGVO verletzt hat;

 ob die mitbeteiligte Partei den Beschwerdeführer im Recht auf Widerspruch nach Art. 21 DSGVO verletzt hat;

 ob die mitbeteiligte Partei den Beschwerdeführer in seinem Recht nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierte Verarbeitung iSd Art. 22 DSGVO beruht, verletzt hat;

 ob die mitbeteiligte Partei bei der Verarbeitung der personenbezogenen Daten des Beschwerdeführers gegen die Grundsätze der Verarbeitung gemäß Art. 5 Abs. 1 lit. d und lit. f DSGVO sowie gegen Art. 25 DSGVO und Art. 32 DSGVO verstoßen hat; 10. ob die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Geheimhaltung verletzt hat, indem diese Daten des Beschwerdeführers unrechtmäßig verarbeitet hat.

1.9. Der Beschwerdeführer machte in seiner Bescheidbeschwerde geltend, dass die mitbeteiligte Partei „keine konkreten Datenquellen nennt“, „keine vollständige Liste an Empfängern bereitstellt“, „zahlreiche Stammdaten, die offensichtlich vorhanden waren nicht anführt“.

Weiters liegt nach Ansicht des Beschwerdeführers eine mangelhafte Auskunft über den Verarbeitungszweck vor, über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Weiters brachte der Beschwerdeführer eine Verletzung der Informationspflicht gemäß Art 14 DSGVO durch die mitbeteiligte Partei vor und eine Verletzung des Art 6 Abs. 1 lit f DSGVO „speziell in Verbindung mit Art 13 bzw. 14 DSGVO“.

Zudem erachtet sich der Beschwerdeführer in seinem Recht auf Löschung und dem Recht nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden verletzt.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus dem Verwaltungsakt, insbesondere aus dem Auskunftsbegehren des Beschwerdeführers vom XXXX 2023 und seiner Datenschutzbeschwerde vom XXXX 2023.

Der Inhalt der von der mitbeteiligten Partei erteilten Auskunft war dem Schreiben vom XXXX 2023 und vom XXXX 2025 zu entnehmen.

Der Inhalt der Beschwerde ist der vom Beschwerdeführer erhobenen Datenschutzbeschwerde sowie dem Mangelbehebungsauftrag der belangten Behörde vom XXXX 2023 zu entnehmen. Dass der Beschwerdeführer den Mangelbehebungsauftrag der belangten Behörde nicht erfüllte und die entsprechenden Anträge bei der mitbeteiligten Partei nicht stellte, ergibt sich aus dem angefochtenen Bescheid und dem Verfahrensakt.

3. Rechtliche Beurteilung:

Zu A) I. Maßgabeabweisung der Beschwerde:

3.1. Maßgebliche Bestimmungen

Die maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) lauten wie folgt:

„Artikel 5

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

„Artikel 6

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX VERSICHERUNG.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX VERSICHERUNG. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

[…]

„Artikel 12

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

[…]“

„Artikel 13

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

[…]

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

[…] (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

[…]

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

[…]

(3) [...]

(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

„Artikel 15

Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden

sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“

3.2. Zum Beschwerdeumfang und zur Kognitionsbefugnis des Verwaltungsgerichts:

„Sache“ des Beschwerdeverfahrens ist nur jene Angelegenheit, die den Inhalt des bescheidmäßigen Spruchs der belangten Behörde gebildet hat. Der äußerste Rahmen für die Prüfbefugnis des Verwaltungsgerichts ist daher die „Sache“ des bekämpften Bescheids (vgl. etwa VwGH 18.10.2022, Ra 2022/01/0276, Rn. 19, mwN).

Wie sich aus dem Verfahrensgang und den Feststellungen ergibt, hat die belangte Behörde lediglich teilweise über die Beschwerde wegen der behaupteten Verletzung im Recht auf Auskunft abgesprochen, weil Sie davon ausgegangen ist, dass der Beschwerdeführer kein globales datenschutzrechtliches Auskunftsbegehren gestellt hat.

Der EuGH hat in C-487/21 Österreichische Datenschutzbehörde und XXXX vom XXXX 2023 festgestellt, dass das datenschutzrechtliche Auskunftsrecht nach Art. 15 DSGVO kein teilbares Recht im Sinne getrennter Ansprüche ist.

Umgekehrt ist es aber einem Auskunftswerber – wie die belangte Behörde auch richtig ausgeführt hat – unbenommen, einen Auskunftsanspruch teilweise oder eingeschränkt auszuüben. Bei der Interpretation des Antrags ist die belangte Behörde zu dem Schluss gekommen, dass der Antrag, welcher an die mitbeteiligte Partei gerichtet wurde, nicht so zu verstehen war, dass der Beschwerdeführer jedenfalls alle Informationen gemäß Art. 15 DSGVO beauskunftet haben wollte.

Nach der Rechtsprechung des Verwaltungsgerichtshofs bestimmt in einem antragsbedürftigen Verwaltungsverfahren in erster Linie der Antragsteller, was Gegenstand des Verfahrens ist; dessen Antrag legt fest, was Sache des (Genehmigungs)Verfahrens ist (vgl. VwGH 12.09.2016, Ro 2016/04/0014, mwN). Der Verfahrensgegenstand im antragsgebundenen Verfahren vor der DSB konnte nur diejenigen Auskunftsrechte umfassen, die der Betroffene bei seiner Antragstellung überhaupt als verletzt angesprochen hat (vgl. VwGH 02.04.2024, Ro 2021/04/0008).

Demnach explizit nicht vom Spruch, der Begründung und den Feststellungen umfasst ist ein Abspruch über den Antrag auf Auskunft, ob der Beschwerdeführer einer automationsunterstützten Entscheidung unterworfen wurde beziehungsweise in seinem Recht einer automationsunterstützten Entscheidung unterworfen zu werden gemäß Art 15 Abs. 1 lit h DSGVO verletzt ist, sowie über den Antrag auf Auskunft über die Verarbeitungszwecke gemäß Art 15 Abs. 1 lit a DSGVO.

Wenn der Beschwerdeführer nun rügt, dass der Bescheid dahingehend mit Rechtswidrigkeit des Inhaltes belastet sei, ist dazu auszuführen, dass es dem Bundesverwaltungsgericht nach der zitierten Judikatur des Verwaltungsgerichtshofes nicht gestattet ist, über Umstände abzusprechen, die nicht den Gegenstand des Bescheides gebildet haben.

Sollte der Beschwerdeführer der Ansicht sein, dass die Beschwerde nicht (vollständig) von der belangten Behörde behandelt worden sei, steht hier nicht das Rechtsmittel der Bescheidbeschwerde offen, sondern wäre ein dahingehender Mangel eines behaupteten (Teil)Bescheids mit dem Rechtsmittel der Säumnisbeschwerde zu bekämpfen.

3.3. Zur Auslegung des Auskunftsersuchens:

Aus den Feststellungen ergibt sich, dass der Beschwerdeführer einen eingeschränkten Antrag auf Auskunft gestellt hat und sich nicht ohne Einschränkung auf Art 15 DSGVO gestützt hat.

Der Beschwerdeführer stellte am XXXX 2023 ein Auskunftsbegehren an die mitbeteiligte Partei und ersuchte, um Auskunft, welche Daten von ihm bei der mitbeteiligten Partei gespeichert seien, woher diese stammen würden und an wen diese weitergeleitet worden wären. Außerdem ersuchte er um Mitteilung, bei welcher dieser Daten und Auskünfte eine schriftliche Genehmigung seinerseits (Kreditanträge etc.) vorgelegen seien. Der Beschwerdeführer stellte bei der mitbeteiligten Partei somit keinen Antrag auf Auskunft gemäß Art 15 Abs. 1 lit h DSGVO über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Der Beschwerdeführer führte in seiner Bescheidbeschwerde aus, eine Einschränkung auf spezifische Auskunftsbestandteile sei nicht beabsichtigt gewesen und habe die mitbeteiligte Partei dies auch nicht so verstanden (siehe Bescheidbeschwerde S. 5). Dem ist entgegenzuhalten, dass bloß, weil die mitbeteiligte Partei in ihren beiden Auskunftsschreiben auf alle in Art 15 DSGVO genannten Punkte eingegangen ist, das Auskunftsbegehren des Beschwerdeführers vom XXXX 2023 dennoch nicht (objektiv) dahingehend auszulegen ist, dass er eine Auskunft sämtlicher Informationen gemäß Art 15 DSGVO begehrte, zumal er sich nicht expressis verbis auf leg. cit. berief. Wenn nun gerügt ist, dass wenn die betroffene Person beispielsweise ganz konkret „Informationen über die sie betreffenden verarbeiteten Daten“ verlange, der Verantwortliche davon ausgehen sollte, dass die betroffene Person ihr Recht nach Artikel 15 Absätze 1 und 2 DSGVO in vollem Umfang ausübe, ist zu entgegnen, dass der Beschwerdeführer nicht allgemein „Informationen über ihn betreffende Daten verlangte“, sondern explizit in seinem Begehren die Auskunft begehrte, welche Daten von ihm bei der mitbeteiligten Partei gespeichert sind, woher diese stammen und an wen diese weitergeleitet wurden – auch fehlt ein Verweis auf Art 15 DSGVO. Weiters solle ihm mitgeteilt werden, bei welchen dieser Daten und Auskünfte eine schriftliche Genehmigung seinerseits (Kreditanträge, etc.) vorlag.

Zwar darf bei der Ermittlung von Rechtsqualität und Inhalt eines Anbringens im Zweifel nicht davon ausgegangen werden, dass eine Partei einen von vornherein sinnlosen oder unzulässigen Antrag gestellt hat. Es ist jedoch unzulässig, entgegen dem erklärten Willen der Partei ihrem Begehren eine Deutung zu geben, die aus dem Wortlaut des Begehrens nicht unmittelbar erschlossen werden kann, mag auch das Begehren, so wie es gestellt worden ist, von vornherein aussichtslos oder gar unzulässig sein (vgl. VwGH 27.09.2011, 2010/12/0142; 20.11.2007, 2007/16/0145). Angesichts des erklärten Willens einer – zumal rechtsfreundlich vertretenen – Partei ist es der Behörde verwehrt, dem Antrag eine Deutung zu geben, die mit dessen Wortlaut nicht übereinstimmt, ihn also auf eine andere Rechtsgrundlage zu beziehen (vgl. VwGH 03.10.2013, 2012/06/0156).

Zur Frage, ob die betroffene Person Auskunft zu allen über sie verarbeiteten Informationen oder nur Teile davon erlangen möchte, ist den vom Beschwerdeführer zitierten EDSA-Leitlinien zu entnehmen, dass für den Fall, dass die betroffene Person beispielsweise ganz konkret „Informationen über die sie betreffenden verarbeiteten Daten“ verlangt, der Verantwortliche davon ausgehen sollte, dass die betroffene Person ihr Recht nach Artikel 15 Absätze 1 und 2 DSGVO in vollem Umfang ausübt. Ein solcher Antrag sollte demnach nicht dahingehend ausgelegt werden, dass die betroffene Person nur die Kategorien personenbezogener Daten, die verarbeitet werden, erhalten möchte und dass sie auf die in Artikel 15 Absatz 1 Buchstaben a bis h aufgeführten Informationen verzichtet. Demnach wäre der Fall, dass die betroffene Person den Antrag lediglich präzisiert keine Auskunft zu erteilen, die Datenquellen oder den Ursprung der personenbezogenen Daten oder die voraussichtliche Speicherdauer nennt. In einem solchen Fall kann der Verantwortliche seine Antwort auf die angeforderten spezifischen Informationen beschränken (siehe Leitlinien 01/2022 zu den Rechten der betroffenen Person –Auskunftsrecht Version 2.0 m8 51). Dies ist im vorliegenden Fall eingetreten, da der Beschwerdeführer eine Präzisierung in seinem Auskunftsbegehren dahingehend vornahm, dass ihm die zu seiner Person gespeicherten Daten beauskunftet werden sollen sowie woher diese Daten stammen und an wen diese weitergeleitet wurden.

Der Beschwerdeführer stellte daher, wie von der belangten Behörde richtig angenommen, keinen allgemeinen Antrag der dahingehend zu verstehen war, dass ihm eine Auskunft hinsichtlich Art 15 Abs. 1 lit a bis h DSGVO erteilt werden soll. Die Tatsache, dass die mitbeteiligte Partei auf alle Punkte eingegangen ist, ändert daran nichts.

Der Beschwerdeführer brachte in seiner Bescheidbeschwerde vor, dass die verbesserte Auskunft der mitbeteiligten Partei vom XXXX 2025 insbesondere hinsichtlich „Stammdaten“, „Empfänger“ und „Herkunft“ unvollständig gewesen sein soll.

3.3.1. Zur Vollständigkeit der erteilten Auskunft:

3.3.1.1. Zur Auskunft über die „Stammdaten“:

Der Beschwerdeführer ersuchte in seinem Auskunftsbegehren vom XXXX 2023 um Auskunft, welche Daten von ihm bei der mitbeteiligten Partei gespeichert seien. Die mitbeteiligte Partei erteilte dem Beschwerdeführer mit Schreiben vom XXXX 2023 und vom XXXX 2025 eine Auskunft. In der von der mitbeteiligten Partei erteilten Auskunft vom XXXX 2025 wurde im Punkt 2. eine Auskunft zu den zum Beschwerdeführer gespeicherten „Stammdaten“ erteilt. In der Bescheidbeschwerde brachte der Beschwerdeführer schließlich vor, die mitbeteiligte Partei habe zahlreiche „Stammdaten“, die offensichtlich vorhanden gewesen seien, in der ersten Auskunft nicht angeführt. Die verbesserte Auskunft zeige, dass die ursprünglich erteilte Auskunft grob unvollständig gewesen sei.

Der Beschwerdeführer brachte in seiner Bescheidbeschwerde nicht vor, welche „Stammdaten“ die mitbeteiligte Partei noch nicht beauskunftet habe beziehungsweise weshalb er davon ausgehe, dass die mitbeteiligte Partei weitere Daten von ihm speichere und diese nicht beauskunftet habe.

Falls es dem Beschwerdeführer darum geht, sich dagegen zu beschweren, dass die mitbeteiligte Partei bereits in der Auskunft vom XXXX 2025 die in der Auskunft vom XXXX 2025 erteilten „Stammdaten“ beauskunftet hätte sollen, ist dem entgegenzuhalten, dass die Frage der Verspätung in dem Verfahren über das Begehren auf Auskunftserteilung selbst nicht geklärt wird und ein Recht auf Feststellung der Verspätung daher nicht besteht. Der Verwaltungsgerichtshof hat in seinem Erkenntnis VwGH 06.03.2024, Ro 2021/04/0027, Rn. 27 bis 37, insbesondere unter Bezugnahme auf VwGH 19.10.2022, Ro 2022/04/0001, ein Recht der betroffenen Person auf Feststellung einer behaupteten Verletzung im Recht auf Auskunftserteilung nach Art. 15 DSGVO verneint, wenn der Beschwerdegegner gemäß § 24 Abs. 6 DSG bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die begehrte Auskunft vollständig erteilt und damit die behauptete Rechtsverletzung nachträglich beseitigt. In seiner Bescheidbeschwerde führte der Beschwerdeführer aus, selbst wenn man diese Informationen als nachträglich beseitigt iSd § 26 Abs. 6 DSG betrachten wolle, da die mitbeteiligte Partei nach über zwei Jahren eine Vervollständigung der Auskunft vorgenommen habe, seien noch einige Auskunftsbestandteile unvollständig beaskunftet. In weiterer Folge ging er in seiner Beschwerde auf eine allfällige mangelhafte Auskunft über den Verarbeitungszweck und über die „involvierte Logik“ ein. Es ist daher davon auszugehen, dass der Beschwerdeführer die ihm erteilte Auskunft über die „Stammdaten“ nunmehr als vollständig erachtet, da er nicht konkretisierte, weshalb die am XXXX 2025 erteilte Auskunft nach wie vor unvollständig ist. Die mitbeteiligte Partei erteilte dem Beschwerdeführer die Auskunft über die Kategorien personenbezogener Daten, die verarbeitet werden gemäß Art 15 Abs. 1 lit b DSGVO.

3.3.1.2. Zur Auskunft über Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO):

Der Beschwerdeführer begehrte in seinem Auskunftsbegehren an die mitbeteiligte Partei vom XXXX 2023 die Auskunft, an wen die von ihm gespeicherten Daten weitergeleitet worden wären. In der ursprünglichen Auskunftserteilung vom XXXX 2023 zählte die mitbeteiligte Partei drei Empfängerinnen auf, welche in den letzten sechs Monaten Abfragen zur Identität und Bonität zur Person des Beschwerdeführers getätigt hätten. Mit Schreiben vom XXXX 2025 übermittelte die mitbeteiligte Partei dem Beschwerdeführer eine nachträgliche bzw. aktualisierte Auskunft über 25 konkrete Empfänger der personenbezogenen Daten des Beschwerdeführers sowie eine Information über die übermittelten Daten (Datum der Abfrage, Name bzw. Firma des Empfängers, Firmenbuchnummer, Adresse, abgefragte Daten, übermittelter Wert, übermittelte „Ident Protection“ Kategorie). Der Beschwerdeführer beanstandete hinsichtlich der von der mitbeteiligten Partei getätigten Auskunft über die Empfänger oder Kategorien von Empfängern gemäß Art. 15 Abs. 1 lit. c DSGVO, dass die verbesserte Auskunft der mitbeteiligten Partei vom XXXX 2025 zeige, dass ihre ursprüngliche Auskunft auch (bzw. besonders) in diesen Punkten („Stammdaten, Empfänger und Herkunft“) grob unvollständig gewesen sei. Der Beschwerdeführer führte nicht aus, weshalb er davon ausgehe, dass die Auskunft über die Empfänger nach wie vor als unvollständig zu betrachten ist, sondern lediglich, dass die verbesserte Auskunft der mitbeteiligten Partei vom XXXX 2025 zeige, dass ihre ursprüngliche Auskunft auch (bzw. besonders) in diesen Punkten („Stammdaten, Empfänger und Herkunft“) grob unvollständig gewesen sei. Ein Recht auf Feststellung der Verspätung besteht, wie bereits ausgeführt, nicht. Der Beschwerdeführer legte nicht dar, weshalb die Auskunft über Empfänger oder Kategorie von Empfängern nach wie vor unvollständig sein soll. Die mitbeteiligte Partei erteilte dem Beschwerdeführer somit eine hinreichende Auskunft gemäß Art. 15 Abs. 1 lit. c DSGVO und wurde vom Beschwerdeführer nicht das Gegenteil behauptet.

3.3.1.3. Zur Auskunft über die Herkunft der personenbezogenen Daten gemäß Art 15 Abs. 1 lit g DSGVO:

In seinem Auskunftsbegehren an die mitbeteiligte Partei vom XXXX 2023 ersuchte der Beschwerdeführer um Auskunft, woher die über ihn gespeicherten Daten stammen.

Die mitbeteiligte Partei erstattete mit Schreiben vom XXXX 2025 dem Beschwerdeführer eine Auskunft hinsichtlich der Quellen und führte nachfolgende Datenquellen ergänzend namentlich an: XXXX .

Der Beschwerdeführer begründete in seiner Bescheidbeschwerde nicht, weshalb die Auskunft über die Herkunft der Daten (nach wie vor) unvollständig sein soll. Ein Recht auf Feststellung der Verspätung besteht auch in diesem Fall nicht.

Dem Beschwerdeführer wurden daher unter Berücksichtigung seines am XXXX 2023 gestellten Antrages seine begehrte Auskunft zu Herkunft, Empfänger und welche Daten („Stammdaten“) zu ihm gespeichert sind, vollständig erteilt, weshalb die Beschwerde wegen der vorgebrachten Unvollständigkeit der Auskunftserteilung abzuweisen war.

3.3.2. Zur vorgebrachten Verletzung im Recht auf Geheimhaltung des Beschwerdeführers und einen Verstoß gegen Art 6 Abs. 1 lit f DSGVO:

Der Beschwerdeführer brachte vor, dass die mitbeteiligte Partei, ein berechtigtes Interesse im Sinne des Art 6 Abs. 1 lit f DSGVO behaupte. Ein solches liege aber bei der Erhebung von Adressdaten bei Adressverlagen wie der XXXX oder dem XXXX nicht vor. Die mitbeteiligte Partei hätte daher bezüglich der Datenerhebung und der weiteren Verarbeitung der Daten eine Verletzung im Recht auf Geheimhaltung des Beschwerdeführers und einen Verstoß gegen Art 6 Abs. 1 lit f DSGVO feststellen müssen. Der stattdessen erfolgte Verweis auf die grundsätzliche Möglichkeit, die Tätigkeit von Kreditauskunfteien auf Art 6 Abs. 1 lit f DSGVO zu stützen, sei dagegen verfehlt. Hinzu komme weiters, dass eine Berufung auf ein berechtigtes Interesse gemäß Art 6 Abs. 1 lit f DSGVO als Rechtsgrundlage für eine Datenverarbeitung bereits dann ausscheide, wenn keine Information über das berechtigte Interesse erfolgt sei.

Zu Art. 6 Abs. 1 Unterabs. 1 Buchst. f der DSGVO hat der Gerichtshof entschieden, dass diese Bestimmung dahin auszulegen ist, dass eine Verarbeitung nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten der von der Verarbeitung betroffenen Personen gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (vgl. in diesem Sinne Urteile vom 4. Mai 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, Rn. 30, und vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 126).

Die Verarbeitung von personenbezogenen Daten ist insb dann rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, diese im öffentlichen Interesse liegt und die Aufgabe im Recht hinreichend klar und bestimmt beschrieben wird; nicht zwingend notwendig ist, dass das Gesetz die Datenverarbeitung selbst beschreibt. (VwGH, 21.12.2023, Ro 2021/04/0010).

Der EuGH (C-26/22 und C-64/22, Rn. 83 bis 86) geht in diesem Zusammenhang überdies vom Bestehen eines sozioökonomischen Interesses des Kreditsektors an der Verarbeitung von Bonitätsdaten, insbesondere von Insolvenzdaten aus. Er verweist dazu einerseits auf Art. 8 der Richtlinie 2008/48/EG , woraus im Lichte des 28. Erwägungsgrundes dieser Richtlinie in Bezug auf Verbraucherkreditverträgen die Pflicht des Kreditgebers hervorgeht, vor Abschluss des Kreditvertrages die Kreditwürdigkeit des Verbrauchers anhand ausreichender Informationen, erforderlichenfalls auch anhand von Auskünften aus öffentlichen und privaten Datenbanken zu bewerten (dem entspricht innerstaatlich § 7 Abs. 1 Verbraucherkreditgesetz (VKrG), womit Art. 8 der Richtlinie 2008/48/EG über Verbraucherkreditverträge umgesetzt wurde). Andererseits hat der Kreditgeber in Bezug auf Wohnimmobilienkreditverträge für Verbraucher nach Art. 18. Abs. 1 und Art. 21 Abs. 1 der Richtlinie 2014/17 iVm den Erwägungsgründen 55 und 59 dieser Richtlinie eine eingehende Prüfung der Kreditwürdigkeit des Verbrauchers vorzunehmen, wobei die Abfrage von Kreditdatenbanken, zu denen der Kreditgeber Zugang hat, ein nützliches Element bei dieser Prüfung ist (dem entspricht innerstaatlich § 9 Abs. 1 und 2 Hypothekar- und Immobilienkreditgesetz - HIKrG, womit Art. 18. Abs. 1 der Richtlinie 2014/17/EU umgesetzt wurde). Überdies soll die Verpflichtung zur Bewertung der Kreditwürdigkeit der Verbraucher, wie sie in den Richtlinien 2008/48/EG und 2014/17/EU vorgesehen ist, nicht nur den Kreditantragsteller schützen, sondern auch, wie im 26. Erwägungsgrund der Richtlinie 2008/48/EG hervorgehoben wird, das reibungslose Funktionieren des gesamten Kreditsystems gewährleisten (siehe auch VwGH 01.02.2024, Ro 2020/04/0031).

Die Analyse einer Kreditauskunftei, wie die mitbeteiligte Partei, kann insoweit als sie eine objektive und zuverlässige Bewertung der Kreditwürdigkeit der potentiellen Kunden ihrer Vertragspartner ermöglicht, Informationsunterschiede ausgleichen und damit Betrugsrisiken und andere Unsicherheiten verringern (vgl. EuGH C‑26/22 und C‑64/22, Rn. 93).

Insofern besteht ein berechtigtes Interesse iSd Art. 6 Abs. 1 lit. f DSGVO an der Verarbeitung von Daten. Eine Verletzung im Grundrecht auf Datenschutz konnte demnach auch nicht festgestellt werden.

Zu A) II. Zurückweisung der Beschwerde

3.4. Gemäß § 13 Abs. 3 Allgemeines Verwaltungsverfahrensgesetz 1991 – AVG ermächtigen Mängel schriftlicher Anbringen die Behörde nicht zur Zurückweisung. Die Behörde hat vielmehr von Amts wegen unverzüglich deren Behebung zu veranlassen und kann dem Einschreiter die Behebung des Mangels innerhalb einer angemessenen Frist mit der Wirkung auftragen, dass das Anbringen nach fruchtlosem Ablauf dieser Frist zurückgewiesen wird. Wird der Mangel rechtzeitig behoben, so gilt das Anbringen als ursprünglich richtig eingebracht.

Die Zurückweisung eines Antrags gemäß § 13 Abs 3 AVG ist zulässig, wenn die Behörde dem Antragsteller dessen Verbesserung – nachweislich (VwGH 14.11.1989, 89/05/0076) aufgetragen hat (Hengstschläger/Leeb, AVG § 13 Rz 28 (Stand 1.1.2014, rdb.at)). Keinesfalls darf die Behörde ohne Verbesserung des Anbringens in die Sache eingehen (VwGH 19.10.2006, 2006/19/0383; Hengstschläger/Leeb, AVG § 13 Rz 28 (Stand 1.1.2014, rdb.at)).

3.4.1. Zur vorgebrachten Informationspflichtverletzung gemäß Art 14 DSGVO durch die mitbeteiligte Partei:

Der Beschwerdeführer brachte in seiner Datenschutzbeschwerde vom XXXX 2023 vor, dass gemäß Art 13 bzw. 14 DSGVO, die berechtigten Interessen den betroffenen Personen bekannt zu geben seien. Dieses Recht würde dem Beschwer als Betroffener nicht ausreichend gewährt, da nur allgemein ausgeführt werde, warum die mitbeteiligte Partei überwiegende Interessen an sehr sensiblen Daten zu seiner Person zu haben scheine. Der Beschwerdeführer verwies dabei auf die online Datenschutzerklärung der mitbeteiligten Partei.

Der Beschwerdeführer wurde mit Mangelbehebungsauftrag vom XXXX 2023 darauf hingewiesen, dass nähere Angaben im Hinblick darauf zu machen, warum er sich in seinem Recht auf Information nach Art 13 und 14 DSGVO als verletzt erachte. In seiner „verbesserten“ Eingabe vom 10.05.2023 ging der Beschwerdeführer nicht auf den Mangelbehebungsauftrag der belangten Behörde ein und führte nicht aus, warum er sich in seinem Recht auf Information nach Art 13 und 14 DSGVO als verletzt erachte. Er brachte in seiner Datenschutzbeschwerde vom XXXX 2023 lediglich vor, weshalb sich die Datenschutzerklärung als unzureichend erweist. Der Beschwerdeführer ging trotz des Mangelbehebungsauftrages der belangten Behörde nicht darauf ein, ob ihm die Informationen nach Art 14 DSGVO überhaupt nicht oder nicht zum richtigen Zeitpunkt zur Verfügung gestellt worden sind.

Die belangte Behörde hätte daher aufgrund der Tatsache, dass der Beschwerdeführer auch dahingehend dem Mangelbehebungsauftrag nicht nachgekommen ist, keine inhaltliche Entscheidung bezüglich des Rechts auf Information nach Art 13 und 14 DSGVO erlassen und die Beschwerde des Beschwerdeführers hinsichtlich der Verletzung der Informationspflicht nach Art. 14 DSGVO nicht als unbegründet abweisen dürfen. Vielmehr hätte die belangte Behörde auch diesen Antrag des Beschwerdeführers gemäß § 13 Abs. 3 AVG zurückweisen müssen.

3.4.2. Zu den Rechten auf Löschung gemäß § 17 DSGVO, auf Berichtigung gemäß Art 16 DSGVO, auf Einschränkung der Verarbeitung gemäß Art 18 DSGVO, auf Widerspruch gemäß Art 21 DSGVO und auf nicht einer automationsunterstützten Entscheidung unterworfen zu sein gemäß Art 22 DSGVO:

Die belangte Behörde führte in ihrem Bescheid aus, bei den Rechten gemäß Art. 15 bis Art. 22 DSGVO handle es sich um antragsbedürftige Rechte. Das bedeute, dass der Betroffene zur Geltendmachung dieser Rechte zunächst einen entsprechenden Antrag an den Verantwortlichen richten müsse. Nachdem der Beschwerdeführer im vorliegenden Fall aber zu keinem Zeitpunkt einen Antrag zur Geltendmachung seiner Rechte auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und keinen Antrag, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruhe nach Art. 22 DSGVO an die mitbeteiligte Partei gestellt habe, könne er von der mitbeteiligten Partei auch nicht in seinen diesbezüglichen Rechten verletzt worden sein.

Der belangten Behörde ist dahingehend Recht zu geben, dass der Beschwerdeführer offensichtlich in seinem Auskunftsbegehren vom XXXX 2023 keinen Antrag nach Art 15 bis Art 22 DSGVO stellte.

Der Beschwerdeführer brachte vor, diese Würdigung der belangten Behörde schon hinsichtlich des Löschrechts nach Artikel 17 DSGVO unzutreffend sei, da Verantwortliche auch ohne entsprechenden Antrag zur Löschung von unrichtigen Daten verpflichtet seien. Dem ist entgegenzuhalten, dass der mitbeteiligten Partei die Richtigkeit der gespeicherten Telefonnummern nicht bekannt sein kann. Die mitbeteiligte Partei kam dem ihr gestellten Auskunftsbegehren mit Auskunft vom XXXX 2025 vollständig nach, indem sie anführte welche Daten sie vom Beschwerdeführer speichert. Darin sind die vom Beschwerdeführer erwähnten Telefonnummern aufgezählt. Der Beschwerdeführer hätte somit die mitbeteiligte Partei darauf hinzuweisen gehabt, dass diese Daten falsch sind um somit eine allfällige Löschung in die Wege zu leiten. Dies unterließ der Beschwerdeführer jedoch und stellte auch sonst keinen Antrag auf Löschung.

Des Weiteren führte der Beschwerdeführer aus, dass es besonders verfehlt sei, eine solche Würdigung aber im Zusammenhang mit Artikel 22 DSGVO anzunehmen, der ein Verbot darstelle und keinesfalls antragsbedürftig sei. Dass die Tätigkeit der XXXX (Bonitätsbewertung betroffener Personen) dem grundsätzlichen Verbot des Artikel 22 DSGVO unterliege, gehe auch aus der Rechtsprechung des Bundesverwaltungsgerichts und der öffentlich einsehbaren Rechtsauffassung der belangten Behörde selbst hervor. Es würden zahlreiche Bonitätsbewertungen zum Beschwerdeführer erfolgen.

Diesen Ausführungen des Beschwerdeführers ist entgegenzuhalten, dass nach der Rechtsprechung des Verwaltungsgerichtshofs die in den Art. 15 bis Art. 22 DSGVO geregelten Rechte von einem Antrag der betroffenen Person abhängig sind. Diese Rechte bestehen somit – anders als die Informationspflicht des Verantwortlichen nach Art. 14 DSGVO – nicht unabhängig von einem vorherigen Antrag der betroffenen Person. Auch in der allgemeinen Regelung des Art. 12 DSGVO ist von einem Antrag der betroffenen Person auf Wahrnehmung ihrer Rechte hinsichtlich der Rechte gemäß den Art. 15 bis 22 DSGVO die Rede (vgl. VwGH 26.03.2024, Ro 2021/04/0030-4 bis 0031-5, Rz. 77f). Auch aus Art. 12 Abs. 3 DSGVO, Erwägungsgrund 59 DSGVO und Art. 16 DSGVO ergibt sich, dass das Recht auf Berichtung nach Art. 16 DSGVO ein antragsbedürftiges Recht ist.

Der Beschwerdeführer hätte daher einen entsprechenden Antrag auf Berichtigung oder Löschung sowie nicht einer automationsunterstützten Entscheidung unterworfen zu sein, stellen müssen. Der Beschwerdeführer wurde nachweislich im Mangelbehebungsauftrag vom XXXX 2023 darauf hingewiesen, einen entsprechenden Antrag an den Verantwortlichen zu stellen und eine Kopie des Antrags zu übermitteln. Diesem Auftrag kam der Beschwerdeführer nicht nach. Die belangte Behörde hätte daher nicht inhaltlich darüber entscheiden dürfen, weshalb sie die Datenschutzbeschwerde gemäß § 13 Abs. 3 AVG zurückzuweisen gehabt hätte.

Der Beschwerdeführer richtete seine Beschwerde gegen den Bescheid in seiner Gesamtheit. Die belangte Behörde hätte die Beschwerde des Beschwerdeführers hinsichtlich einer Verletzung im Recht auf Geheimhaltung und wegen einer behaupteten Verletzung der Grundsätze der Verarbeitung personenbezogener Daten sowie einer Verletzung des Art 15 Abs. 1 lit b, c und g aufgrund der bereits erteilten Auskunft abweisen müssen. Da der Beschwerdeführer dem Mangelbehebungsauftrag der belangten Behörde nicht nachkam, hätte sie die Datenschutzbeschwerde wegen einer behaupteten Verletzung im Recht auf Auskunft über die Verarbeitungszwecke gemäß Art 15 Abs. 1 lit a und auf Auskunft über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art 15 Abs. 1 lit h DSGVO sowie wegen einer behaupteten im Recht auf Informationspflicht gemäß Art 14 DSGVO, im Recht auf Berichtigung gemäß Art 16 DSGVO, im Recht auf Löschung gemäß Art 17 DSGVO, im Recht auf Einschränkung der Verarbeitung gemäß Art 18 DSGVO, im Recht auf Widerspruch gemäß Art 21 DSGVO sowie im Recht nicht einer automationsunterstützten Entscheidung unterworfen zu sein gemäß Art 22 DSGVO zurückgeweisen müssen, weshalb spruchgemäß zu entscheiden war.

Zum Entfall der mündlichen Verhandlung:

Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, vo n Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Gemäß § 24 Abs. 4 VwGVG kann das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung

eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 der Konvention zum Schutze der Menschenrechte und Grundfreiheiten noch Art. 47 der Charta der Grundrechte der Europäischen Union entgegenstehen.

Im gegenständlichen Fall kann das Unterbleiben einer beantragten mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage in Verbindung mit der Beschwerde geklärt ist. Das Bundesverwaltungsgericht hat vorliegend daher ausschließlich über Rechtsfragen zu erkennen (vgl. EGMR 05.09.2002, Appl. Nr. 42057/98, Speil/Österreich). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.6.2012, B 155/12).

Zu B) Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.