2020-0.591.897 – Datenschutzbehörde Entscheidung
Text
GZ: 2020-0.591.897 vom 19. November 2021 (Verfahrenszahl: DSB-D124.422)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Bernhard A*** (Beschwerdeführer) aus **** J***burg vom 2. Mai 2019 gegen die N*** Bank AG (Beschwerdegegnerin, eingetragen im Firmenbuch zu FN 7**03*b durch das ****gericht J***burg) aus **** J***burg wegen Verletzung im Recht auf Geheimhaltung wie folgt:
Der Beschwerde wird Folge gegeben , und es wird festgestellt , dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt hat, indem sie am 23. April 2019 um 13:41 Uhr das Telefongespräch des Beschwerdeführers unter Verwendung der Rufnummer +43 5 *4*4 *7*2*1mit einem Mitarbeiter der Niederlassung (Filiale) der Beschwerdegegnerin mit der Bezeichnung „Filiale U***zentrum“ in **** J***burg aufgezeichnet hat und die Daten des Gesprächsinhalts verarbeitet (speichert).
Rechtsgrundlagen : Art. 5 Abs. 1 lit a und c, Art. 6 Abs. 1 lit. c und f und Abs. 3, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1 ff idgF, Art. 16 Abs. 6 und 7 der Richtlinie 2014/65/EU (im Folgenden kurz; MiFID II), ABl. Nr. L 173 vom 12.6.2014, S. 349 ff; § 18 Abs. 1 sowie § 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF, § 66 Abs. 1 des Zahlungsdienstegesetzes 2018 (ZaDiG 2018), BGBl. I Nr. 17/2018 idgF, und § 33 Abs. 2 bis 4 des Wertpapieraufsichtsgesetzes 2018 (WAG 2018), BGBl. I Nr. 107/2017 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. In seiner am 2. Mai 2019 per E-Mail bei der Datenschutzbehörde eingelangten Beschwerde hat der Beschwerdeführer Folgendes vorgebracht: Er habe am 23. April 2019 mit der Hotline der Beschwerdegegnerin, Rufnummer 05 *4*4*7*2*1, telefoniert. Am Anfang des Gesprächs sei er durch eine automatische Ansage darauf hingewiesen worden, dass das Gespräch aufgezeichnet werde. Es sei keine Option angeboten worden, sich gegen diese Aufzeichnung auszusprechen. Er sehe darin einen Verstoß gegen Art. 6 Abs. 1 DSGVO bzw. sinngemäß einen Eingriff in sein Grundrecht auf Geheimhaltung gemäß § 1 DSG. Er habe keine Einwilligung zu einer solchen Aufzeichnung gegeben. Selbst wenn in den Vertragsgrundlagen zwischen ihm und der Beschwerdegegnerin eine solche Einwilligung „versteckt“ sei, wäre sie gemäß Art. 7 Abs. 2 und 4 DSGVO unwirksam. Überdies wäre eine solche Klausel gemäß § 879 ABGB iVm § 93 Abs. 3 TKG 2003 sittenwidrig und nichtig. Er hat beantragt, die von ihm behauptete Rechtsverletzung festzustellen.
2. Die Beschwerdegegnerin , von der Datenschutzbehörde mit Verfahrensanordnung vom 13. Mai 2019, GZ: DSB-D124.422/0003-DSB/2019, zur Stellungnahme aufgefordert, hat dem in ihrer Stellungnahme vom 27. Mai 2019 Folgendes entgegengehalten: Es sei richtig, dass die Beschwerdegegnerin Telefongespräche mit Kunden im Rahmen der Serviceleistung „Telebanking“ aufzeichne. Die Beschwerdegegnerin sei kein Betreiber eines öffentlichen Kommunikationsdienstes, daher sei § 93 TKG 2003 hier nicht anwendbar. Sie weise, wie vom Beschwerdeführer vorgebracht, ihre Kunden auch auf die Tatsache der Aufzeichnung hin. Eine Einwilligung werde hierzu nicht benötigt, da die Datenverarbeitung sich auf berechtigte Interessen der Beschwerdegegnerin als Verantwortlicher gemäß Art. 6 Abs. 1 lit f DSGVO sowie deren gesetzliche Pflichten gemäß Art. 6 Abs. 1 lit. c DSGVO stütze. Die Beschwerdegegnerin sei im gegebenen Zusammenhang nämlich auch als Zahlungsdienstleisterin tätig und gemäß § 66 Abs. 1 Z 1 bis 3 ZaDiG 2018 für die erfolgte Authentifizierung, die ordnungsgemäße Aufzeichnung und Verbuchung sowie die technische Nichtbeeinträchtigung des Zahlungsvorgangs nachweispflichtig. Die Aufzeichnung diene der Authentifizierung des Auftrags sowie der Absicherung gegen zusätzliche besondere Risiken beim Telebanking wie Hör-, Verständnis- und Übertragungsfehler sowie die missbräuchliche Verwendung von Telekommunikationsmitteln. Darüber hinaus werde die Qualitätssicherung als Verarbeitungsinteresse ins Treffen geführt. Die Gesprächsaufzeichnung sei hier das probateste, gelindeste und geläufigste Mittel. Im Fall des Nicht-Einverständnisses hätte der gesetzmäßig informierte Beschwerdeführer die Möglichkeit gehabt, von alternativen Beauftragungsmethoden (Online-Banking, Aufsuchen einer Filiale) Gebrauch zu machen. Die Beschwerde sei daher unbegründet. Nähere Details zum Inhalt der durchgeführten Transaktion könnten mangels Entbindung von der Pflicht zur Wahrung des Bankgeheimnisses nicht gemacht werden.
3. Der Beschwerdeführer , dem von der Datenschutzbehörde mit Verfahrensanordnung vom 3. Juli 2020, GZ: DSB-D124.422/0004-DSB/2019, dazu Parteiengehör eingeräumt wurde, hat darauf in seiner Stellungnahme vom 24. Juli 2020 Folgendes erwidert: Er entbinde die Beschwerdegegnerin im Hinblick auf das Telefongespräch vom 23. April 2019; 13:41:49, Dauer 1:52 Minuten, vom Bankgeheimnis, sofern die Übermittlung eines entsprechenden Audiofiles an die Datenschutzbehörde stark verschlüsselt oder auf einem Datenträger erfolge. In Bezug auf Art. 6 Abs. 1 lit f DSGVO würden seine Geheimhaltungsinteressen hier jedoch die Verarbeitungsinteressen der Beschwerdegegnerin überwiegen. Dazu bringe er vor, dass es sich bei der gewählten Rufnummer um jene der Filiale **** J***burg U***zentrum und nicht um eine speziell für Telebanking eingerichtete Servicenummer handle. Diese Nummer diene daher auch nicht unter das ZaDiG fallenden, nicht-aufzeichnungspflichtigen Telefongesprächen ohne besondere Dokumentationsinteressen, etwa Auskünften über Öffnungszeiten oder Terminvereinbarungen, sowie Gesprächen mit „moderaten“ Dokumentationsinteressen wie der Vorbestellung größerer Bargeldbeträge, Anfragen nach dem Kontostand sowie Verlangen nach der Sperre abhanden gekommener Bankkarten. Für solche Gespräche würde eine sonstige Dokumentation (Datenbankeintrag, Aktenvermerk o.ä.) ausreichen. Im konkreten Fall sei keine Transaktion im Sinne von § 66 Abs. 1 ZaDiG in Auftrag gegeben worden. Gegenstand sei vielmehr eine Anfrage betreffend die Durchführung einer betragsmäßig über dem E-Banking-Limit liegenden Geldüberweisung gewesen. Ein Abbruch des Gesprächs nach Kenntnisnahme von der Aufzeichnung sei wegen der Dringlichkeit keine Option gewesen und könne (Hinweis auf Erwägungsgrund 32 zur DSGVO) auch nicht als freiwillig abgegebene Einwilligung gewertet werden. Eine Gesprächsaufzeichnung stelle „den gravierendsten denkbaren Eingriff“ in das Grundrecht auf Datenschutz dar, was u.a. aus den Erwägungen des EuGH zur Unzulässigkeit der Vorratsdatenspeicherung hervorgehe (EuGH 8.4.2014, C-293/12), wobei die Beschwerdegegnerin nicht nur Verbindungsdaten sondern den Inhalt des Gesprächs speichere. Jedenfalls sei die Verarbeitung der Inhaltsdaten jedes Telefongesprächs, unabhängig vom Inhalt, überschießend und nicht das gelindeste Mittel. Hier kämen die Einrichtung einer eigenen Rufnummer für dokumentationspflichtige Gespräche gemäß § 66 Abs. 1 ZaDiG oder eine Menüwahl vor Beginn der Aufzeichnung als gelindere Mittel in Frage. Die Beschwerdegegnerin unterliege weiters sehr wohl dem Verbot gemäß § 93 Abs. 3 TKG 2003, das sich an jedermann richte. Er weise abschließend darauf hin, dass die Beschwerdegegnerin bis dato an ihrer rechtswidrigen Praxis der Aufzeichnung aller Kundengespräche festhalte.
4. Die Beschwerdegegnerin , von der Datenschutzbehörde mit Verfahrensanordnung vom 6. August 2020, GZ: 2020-0.503.601, zur ergänzenden Stellungnahme zu mehreren Fragestellungen aufgefordert, hat dem in ihrer Stellungnahme vom 9. September 2010 Folgendes entgegnet: Es sei richtig, dass die Rufnummer +43 5 *4*4 *7*2*1der Niederlassung der Beschwerdegegnerin mit der Bezeichnung „Filiale U***zentrum“ in **** J***burg zugeordnet sei. Die telefonischen Beratungs- und Serviceleistungen der Beschwerdegegnerin seien dergestalt organisiert, dass ein Kunde entweder seinen Kundenbetreuer telefonisch direkt kontaktieren oder über eine allgemeine Rufnummer die jeweilige ***Filiale erreichen könne. Vor dort werde er dann an den Kundenbetreuer oder an ein zentrales Kundenkontaktcenter, für das es auch eine direkte Rufnummer gebe, weitervermittelt. Für alle Anrufe, außer jene, die direkt an die Rufnummer des Kundenbetreuers gehen würden, sei die Gesprächsaufzeichnung eingerichtet. Die Beschwerdegegnerin unterliege, neben der bereits dargelegten Dokumentationspflicht gemäß ZaDiG, auch den Aufzeichnungspflichten gemäß § 33 Abs. 2 WAG, die ihre unionsrechtliche Grundlage in Art. 16 Abs. 7 der Richtlinie RL 2004/39/EG (MiFID II) hätten. Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) vertrete zu letzterer Bestimmung die Ansicht, dass bei telefonischen Wertpapierdienstleistungen, wozu bereits die Beratung über das Risiko eines entsprechenden Geschäfts zählen würde, stets das gesamte Telefongespräch aufzuzeichnen sei, dies explizit auch dann, wenn der „Vertriebsweg“ gar nicht für Aufträge zu Wertpapierdienstleistungen vorgesehen sei. Diese Bestimmungen würden neben Beweiszwecken auch dem Kunden- und Konsumentenschutz dienen. Das Bankenaufsichtsrecht unterscheide auch nicht, wie vom Beschwerdeführer vorgebracht, zwischen Gesprächen verschiedener Relevanzstufen. Da die Entwicklung eines Kundengesprächs im Voraus nie völlig absehbar sei, habe man sich entschlossen, die dargestellte weitreichende Gesprächsaufzeichnung einzurichten. Diesbezüglich stütze man sich nunmehr vorrangig auf Art. 6 Abs. 1 lit c DSGVO. Die Aufzeichnungen würden nur bei begründetem Anlass und unter Wahrung des Vier-Augen-Prinzips abgerufen und wiedergegeben. Die Kunden würden unstrittig bei Gesprächsbeginn über die Aufzeichnung informiert, es liege daher keine heimliche oder verdeckte Gesprächsaufzeichnung vor, und hätten die Option, sich im Fall des Nicht-Einverständnisses direkt an ihren Kundenbetreuer zu wenden oder eine Bankfiliale der Beschwerdegegnerin aufzusuchen. Eine technische Option, die Aufzeichnung nicht zu starten oder zu unterbrechen, wie sie der Beschwerdeführer verlange, berge die Möglichkeit der Manipulation durch Unvollständigkeit der Dokumentation und stehe im Widerspruch zur dargestellten Rechtsansicht der ESMA. Es sei daher kein gelinderes Mittel aufgezeigt worden, um den Vorgaben der Aufsichtsbehörden nachzukommen. Sollte die Datenschutzbehörde anderer Ansicht sein, wäre vorab die österreichische Finanzmarktaufsichtsbehörde (FMA) mit dieser Fragestellung zu befassen. Die Beschwerde sei unbegründet, weswegen die Beschwerdegegnerin beantragt hat, das Verfahren gemäß § 24 Abs. 6 DSG einzustellen, in eventu die Beschwerde abzuweisen.
5. Der Beschwerdeführer , dem von der Datenschutzbehörde mit Verfahrensanordnung vom 10. September 2020, GZ: 2020-0.578.835, dazu nochmals Parteiengehör eingeräumt wurde, hat darauf in seiner Stellungnahme vom 15. September 2020 Folgendes erwidert: Er halte seine Ausführungen zur alternativen Gestaltung der Gesprächsaufzeichnung (Wahlmöglichkeit) als gelinderem Mittel auch im Hinblick auf § 33 WAG aufrecht. Dies umso mehr, als die Beschwerdegegnerin laut eigenen Angaben eine eigene „Wertpapier-Hotline“ mit der Rufnummer 05 *6 *8*0*2 betreibe. Bei der von der Beschwerdegegnerin angegebene Quelle zur von der ESMA verlangten weitgespannten Aufzeichnungspflicht handle es sich lediglich um einen Fragen- und Antwortenkatalog ohne Rechtsverbindlichkeit, der Rechte gemäß DSGVO nicht außer Kraft setzen könne und überdies aus der Zeit vor dem Wirksamwerden der DSGVO stamme. Die DSGVO sei auch im Verhältnis zu MiFID II der jüngere und detailliertere Akt des Unionsrechts. Aus der Meinung der ESMA gehe überdies nur hervor, dass eine Aufzeichnungspflicht dann greife, wenn das Telefongespräch in einem sachlichen Zusammenhang mit den in Anhang I, Abschnitt A MiFID II aufgelisteten Wertpapierdienstleistungen und Anlagetätigkeiten stehe. Auch sei die Argumentation der Beschwerdegegnerin lückenhaft und inkonsequent, wenn sie ausführe, dass Telefonate mit der persönlichen Rufnummer des zuständigen Kundenbetreuers nicht aufgezeichnet würden, da auch bei solchen Gesprächen ein Bezug zur aufzeichnungspflichtigen Wertpapierdienstleistungen nicht ausgeschlossen werden könne. Eine im Amtsblatt der EU (Abl. C 147 vom 25.5.2012, S. 1, Rn 31) veröffentlichte Stellungnahme des Europäischen Datenschutzbeauftragten (EDPS) zu MiFID II lasse überdies erkennen, dass dieser von einer streng zweckgebundenen Auslegung von Art. 16 Abs. 7 MiFID II und damit nicht von einer allgemeinen Aufzeichnungspflicht von Telefongesprächen mit Banken ausgehe. Die Aufzeichnungspflicht diene überdies ausschließlich der Beweissicherung für Zwecke aufsichtsbehördlicher Maßnahmen, und es wäre, anders als von der Beschwerdegegnerin dargestellt, der Zugriff für die Bank selber, etwa für den Zweck der Qualitätssicherung, ohne Anforderung einer Aufsichtsbehörde wie der FMA gar nicht erlaubt.
B. Beschwerdegegenstand
6. Aus dem Vorbringen der Parteien ergibt sich, dass Gegenstand dieses Verfahrens die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer in seinem Grundrecht auf Geheimhaltung personenbezogener Daten verletzt hat, indem sie den Inhalt eines Telefongesprächs des Beschwerdeführers mit einer ihrer Filialen am 23. April 2019 aufgezeichnet hat.
C. Sachverhaltsfeststellungen
7. Die Beschwerdegegnerin, die als Aktiengesellschaft (eingetragen im Firmenbuch zu FN 7**03*b durch das ****gericht J***burg) organisiert ist, verfügt über bankenrechtliche Konzessionen unter anderem gemäß § 1 Abs. 1 Z 1 BWG (Einlagengeschäft), § 1 Abs. 1 Z 2 BWG (Girogeschäft), § 1 Abs. 1 Z 5 BWG (Depotgeschäft) und § 1 Abs. 1 Z 7 BWG (Devisen- und Valutengeschäft, Geldmarktinstrumentengeschäft, Termin - und Optionsgeschäft, Effektengeschäft)
8. Beweiswürdigung : Diese Feststellungen stützen sich auf unstrittiges Vorbringen beider Parteien, das öffentliche Firmenbuch sowie eine amtswegige Einsichtnahme in die öffentliche Unternehmensdatenbank der Finanzmarktaufsichtsbehörde (https://www.fma.gv.at/unternehmensdatenbank-suche/) am 11. November 2021 (Ergebnis als Beilage einliegend in GZ: 2020-0.591.897 = Geschäftszahl dieses Bescheids).
9. Der Beschwerdeführer ist bzw. war am 23. April 2019 Kunde der Beschwerdegegnerin. An diesem Tage wählte er um 13:41 Uhr die ihm bekannte Rufnummer +43 5 *4*4 *7*2*1, die der Niederlassung (Filiale) der Beschwerdegegnerin mit der Bezeichnung „Filiale U***zentrum“ in **** J***burg zugeordnet ist. Vor Herstellung der Sprechverbindung wurde er durch eine automatische Aufzeichnung mit dem Wortlaut „ Herzlich Willkommen bei N***. Das folgende Gespräch wird zur Dokumentation des Inhalts und zur Qualitätssicherung aufgezeichnet “ auf die Tatsache aufmerksam gemacht, dass alle Anrufe bei Niederlassungen und bei zentralen Service-Rufnummern der Beschwerdegegnerin, darunter bei der allgemeinen Servicenummer für Privatkunden +43 5 *2*6*0 sowie der N*** Wertpapier-Hotline +43 5 *6*8*0*2, vollinhaltlich aufgezeichnet werden. Ausgenommen von dieser Regel sind Anrufe bei den persönlichen (Mobilfunk-) Rufnummern einzelner Kundenberater.
10. Beweiswürdigung : Diese Feststellungen stützen sich auf die insoweit übereinstimmenden und unstrittigen Angaben beider Parteien (Stellungnahmen der Beschwerdegegnerin vom 2. Mai 2019, einliegend in GZ: DSB-D124.422/0004-DSB/2019 und vom 9. September 2020, einliegend in GZ: 2020-0.578.835, sowie Stellungnahme des Beschwerdeführers vom 24. Juli 2020, einliegend in GZ: 2020-0.503.601).
11. Das anschließend vom Beschwerdeführer mit einem Mitarbeiter der „Filiale U***zentrum“ geführte Gespräch von 1:52 Minuten Dauer hatte die Frage zum Gegenstand, wie der Beschwerdeführer am besten eine über dem Limit für Aufträge im Wege des Online-Bankings liegende Geldüberweisung in Auftrag geben könnte. Das Gespräch ist aufgezeichnet worden, und die Inhaltsdaten werden von der Beschwerdegegnerin verarbeitet (gespeichert).
12. Beweiswürdigung : wie zuletzt, hier konkret die Stellungnahme des Beschwerdeführers vom 24. Juli 2020. Diese Feststellungen konnten auf Grundlage des glaubwürdigen Vorbringens des Beschwerdeführers getroffen werden, ohne Ermittlungsschritte zu unternehmen, die das sogenannte Bankgeheimnis berühren könnten.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Summe :
13. Die Beschwerde hat sich als berechtigt erwiesen, da es der Beschwerdegegnerin nicht gelungen ist, die Rechtmäßigkeit ihrer Datenverarbeitung im Sinne der Erfüllung einer gesetzlich auferlegten Pflicht oder des Vorliegens überwiegender berechtigter Interessen nachzuweisen.
D.2. anzuwendende Rechtsvorschriften :
14. § 1 Abs. 1 und 2 DSG lautet samt Überschrift:
„ Grundrecht auf Datenschutz
§ 1 . (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“
15. Gemäß den Grundsätzen in Art. 5 Abs. 1 lit a und c DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“), sowie dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).
16. Gemäß den Bedingungen für die Rechtmäßigkeit der Verarbeitung in Art. 6 Abs. 1 lit c und f DSGVO ist die Verarbeitung nur rechtmäßig, wenn u.a. alternativ die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (lit c) oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (lit f).
17. Gemäß § 1 Abs. 3 Z 1 ZaDiG 2018 sind Kreditinstitute gemäß § 1 BWG, CRR-Kreditinstitute gemäß § 1a Z 1 BWG sowie Kreditinstitute, die nach dem Recht ihres Herkunftsmitgliedstaates zur Erbringung von Zahlungsdiensten berechtigt sind, einschließlich deren Zweigstellen sowie Zweigstellen ausländischer Kreditinstitute im Sinne des § 2 Z 13 BWG, sofern sich diese Zweigstellen innerhalb des EWR befinden, Zahlungsdienstleister.
18. § 66 Abs. 1 ZaDiG 2018 lautet samt Überschrift:
„ Nachweis der Authentifizierung und Ausführung von Zahlungsvorgängen
§ 66 . (1) Wenn ein Zahlungsdienstnutzer bestreitet, einen ausgeführten Zahlungsvorgang autorisiert zu haben, oder geltend macht, dass der Zahlungsvorgang nicht ordnungsgemäß ausgeführt wurde, hat dessen Zahlungsdienstleister nachzuweisen, dass
1. der Zahlungsvorgang authentifiziert war,
2. ordnungsgemäß aufgezeichnet und verbucht wurde und
3. nicht durch einen technischen Fehler oder eine andere Störung des von dem Zahlungsdienstleister erbrachten Dienstes beeinträchtigt wurde.“
19. Gemäß § 1 Abs. 1 Z 2 und Z 7 lit e BWG ist ein Kreditinstitut, wer auf Grund der §§ 4 oder 103 Z 5 dieses Bundesgesetzes oder besonderer bundesgesetzlicher Regelungen berechtigt ist, Bankgeschäfte zu betreiben. Bankgeschäfte sind u.a. die Durchführung des bargeldlosen Zahlungsverkehrs und des Abrechnungsverkehrs in laufender Rechnung für andere (Girogeschäft) (Z 2), die Verwahrung und Verwaltung von Wertpapieren für andere (Depotgeschäft) (Z 5) sowie der Handel auf eigene oder fremde Rechnung mit Wertpapieren (Effektengeschäft) (Z 7 lit e), soweit sie gewerblich durchgeführt werden.
20. § 33 WAG 2018 lautet samt Überschrift:
„ Verpflichtung zum Führen von Aufzeichnungen
§ 33 . (1) Ein Rechtsträger hat über alle seine Dienstleistungen, Tätigkeiten und Geschäfte Aufzeichnungen zu führen, aufgrund derer die FMA ihrer Aufsichtspflicht nachkommen und die in diesem Bundesgesetz, im BörseG 2018, in der Verordnung (EU) Nr. 600/2014 und in der Verordnung (EU) Nr. 596/2014 vorgesehenen Durchsetzungsmaßnahmen ergreifen und sich vor allem vergewissern kann, ob der Rechtsträger sämtliche Verpflichtungen, einschließlich denen gegenüber seinen Kunden oder potenziellen Kunden und im Hinblick auf die Integrität des Marktes eingehalten hat.
(2) Die Aufzeichnungen gemäß Abs. 1 haben die Aufzeichnung von Telefongesprächen und elektronischer Kommunikation zumindest in Bezug auf die beim Handel für eigene Rechnung getätigten Geschäfte und die Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen, zu enthalten.
(3) Telefongespräche und elektronische Kommunikation gemäß Abs. 2 umfassen auch solche, mit denen Geschäfte im Rahmen des Handels für eigene Rechnung oder die Erbringung von Dienstleistungen veranlasst werden sollen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen, auch wenn diese Gespräche und Mitteilungen nicht zum Abschluss solcher Geschäfte oder zur Erbringung solcher Dienstleistungen führen.
(4) Ein Rechtsträger hat zu den in Abs. 2 und 3 genannten Zwecken alle angemessenen Maßnahmen zu ergreifen, um einschlägige Telefongespräche und elektronische Kommunikation aufzuzeichnen, die mit Geräten erstellt oder von Geräten gesendet oder empfangen wurden, die der Rechtsträger einem Angestellten oder freien Mitarbeiter zur Verfügung gestellt hat oder deren Nutzung durch einen Angestellten oder freien Mitarbeiter von dem Rechtsträger gebilligt oder gestattet wurde.
(5) Ein Rechtsträger hat Neu- und Altkunden mitzuteilen, dass Telefongespräche oder elektronische Kommunikation zwischen dem Rechtsträger und seinen Kunden, die zu Geschäften führen oder führen können, aufgezeichnet werden. Es ist ausreichend, dies Neu- und Altkunden einmal vor Erbringung der Wertpapierdienstleistungen mitzuteilen, zumindest aber einmal pro Jahr.
(6) Einem Rechtsträger, der seine Kunden nicht im Voraus über die Aufzeichnung ihrer Telefongespräche oder Kommunikation informiert hat, ist es nicht gestattet, für diese telefonische Wertpapierdienstleistungen zu erbringen oder telefonische Anlagetätigkeiten auszuüben, wenn sich diese Wertpapierdienstleistungen und Anlagetätigkeiten auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen.
(7) Kunden können ihre Aufträge über andere Kanäle platzieren, allerdings müssen solche Mitteilungen über einen dauerhaften Datenträger erfolgen, wie zum Beispiel E-Mail, Fax oder während eines Treffens erstellte Aufzeichnungen über Kundenaufträge. Insbesondere der Inhalt der relevanten persönlichen Gespräche darf durch die Anfertigung schriftlicher Protokolle oder Vermerke aufgezeichnet werden. Diese Aufträge gelten als den telefonisch entgegengenommenen Aufträgen gleichwertig.
(8) Ein Rechtsträger hat alle angemessenen Maßnahmen zu ergreifen, um zu verhindern, dass ein Angestellter oder freier Mitarbeiter mithilfe privater Geräte Telefongespräche oder elektronische Mitteilungen erstellt, sendet oder empfängt, die der Rechtsträger nicht aufzeichnen oder kopieren kann.
(9) Ein Rechtsträger hat die gemäß Abs. 2 bis 8 gespeicherten Aufzeichnungen den betreffenden Kunden auf Anfrage kostenlos zur Verfügung zu stellen und fünf Jahre aufzubewahren.
Die FMA kann längere Aufbewahrungsfristen mit Verordnung nach einer eingehenden Prüfung ihrer Erforderlichkeit und Verhältnismäßigkeit anordnen, wenn dies aufgrund der besonderen Umstände bei bestimmten Arten von Rechtsträgern zu Beweiszwecken erforderlich ist. Die Aufbewahrungsfristen dürfen sieben Jahre nicht überschreiten.
(10) Die FMA ist für die Kontrolle der Einhaltung von Abs. 1 bis 9 in Bezug auf die von inländischen Zweigstellen von Wertpapierfirmen und Kreditinstituten mit Sitz in einem Mitgliedstaat oder einem Drittland getätigten Geschäfte verantwortlich. Davon unbeschadet bleibt die direkte Zugriffsmöglichkeit der zuständigen Aufsichtsbehörde des Herkunftsmitgliedstaats des Rechtsträgers auf diese Aufzeichnungen.“
21. Art. 16 Abs. 6 und 7 MiFID II lautet samt Überschrift:
„ Artikel 16
Organisatorische Anforderungen
(1) […] (5) […]
(6) Eine Wertpapierfirma sorgt dafür, dass Aufzeichnungen über alle ihre Dienstleistungen, Tätigkeiten und Geschäfte geführt werden, die ausreichen, um der zuständigen Behörde zu ermöglichen, ihrer Aufsichtspflicht nachzukommen und die in dieser Richtlinie, in der Verordnung (EU) Nr. 600/2014, in der Richtlinie 2014/57/EU und in der Verordnung (EU) Nr. 596/2014 vorgesehenen Durchsetzungsmaßnahmen zu ergreifen und sich vor allem zu vergewissern, dass die Wertpapierfirma sämtlichen Verpflichtungen, einschließlich denen gegenüber den Kunden oder potenziellen Kunden und im Hinblick auf die Integrität des Marktes, nachgekommen ist.
(7) Die Aufzeichnungen enthalten die Aufzeichnung von Telefongesprächen oder elektronischer Kommunikation zumindest in Bezug auf die beim Handel für eigene Rechnung getätigten Geschäfte und die Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen.
Diese Telefongespräche und elektronische Kommunikation umfassen auch solche, mit denen Geschäfte im Rahmen des Handels für eigene Rechnung oder die Erbringung von Dienstleistungen veranlasst werden sollen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen, auch wenn diese Gespräche und Mitteilungen nicht zum Abschluss solcher Geschäfte oder zur Erbringung solcher Dienstleistungen führen.
Eine Wertpapierfirma ergreift zu diesem Zweck alle angemessenen Maßnahmen, um einschlägige Telefongespräche und elektronische Kommunikation aufzuzeichnen, die mit Geräten erstellt oder von Geräten gesendet oder empfangen wurden, die die Firma einem Angestellten oder freien Mitarbeiter zur Verfügung gestellt hat oder deren Nutzung durch einen Angestellten oder freien Mitarbeiter von der Firma gebilligt oder gestattet wurde.
Eine Wertpapierfirma teilt Neu- und Altkunden mit, dass Telefongespräche oder -kommunikation zwischen der Wertpapierfirma und ihren Kunden, die zu Geschäften führen oder führen können, aufgezeichnet werden.
Es genügt, dies Neu- und Altkunden ein Mal vor Erbringung der Wertpapierdienstleistungen mitzuteilen.
Eine Wertpapierfirma, die ihre Kunden nicht im Voraus über die Aufzeichnung ihrer Telefongespräche oder Kommunikation informiert hat, darf für diese weder telefonische Wertpapierdienstleistungen erbringen noch telefonische Anlagetätigkeiten ausüben, wenn sich diese Wertpapierdienstleistungen und Anlagetätigkeiten auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen.
Die Kunden dürfen ihre Aufträge über andere Kanäle platzieren, allerdings müssen solche Mitteilungen über einen dauerhaften Datenträger erfolgen, wie z. B. E-Mail, Fax oder während eines Treffens erstellte Aufzeichnungen über Kundenaufträge. Insbesondere der Inhalt der entsprechenden persönlichen Gespräche darf durch die Anfertigung schriftlicher Protokolle oder Vermerke aufgezeichnet werden. Diese Aufträge gelten als den telefonisch entgegengenommenen Aufträgen gleichwertig.
Eine Wertpapierfirma ergreift alle angemessenen Maßnahmen um zu verhindern, dass ein Angestellter oder freier Mitarbeiter mithilfe privater Geräte Telefongespräche oder elektronische Mitteilungen erstellt, sendet oder empfängt, die die Firma nicht aufzeichnen oder kopieren kann.
Die in Einklang mit diesem Absatz gespeicherten Aufzeichnungen werden den betreffenden Kunden auf Anfrage zur Verfügung gestellt und fünf Jahre aufbewahrt. Wenn dies von der zuständigen Behörde verlangt wird, werden sie bis zu sieben Jahre aufbewahrt.“
D.3. Anwendungsbereich von § 1 DSG und Art. 6 DSGVO :
22. Im gegenständlichen Fall ist zunächst zu bemerken, dass der Beschwerdeführer zwar einen Verstoß gegen Art. 6 Abs. 1 DSGVO (Voraussetzungen der Rechtmäßigkeit einer Datenverarbeitung im Rahmen der Grundsätze des Kapitels II der DSGVO) geltend gemacht hat, die Betroffenenrechte jedoch in Kapitel III DSGVO (Art. 12 bis 23) taxativ aufgezählt werden. Nach Rechtsprechung der Datenschutzbehörde kann sich eine betroffene Person dem Grunde nach trotzdem auf jede Bestimmung der DSGVO stützen, sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG führen kann (vgl. Bescheid vom 13. 9.2018, DSB-D123.070/0005-DSB/2018, RIS, u.a.m.). Dementsprechend war eine Verletzung des Rechts auf Geheimhaltung zu prüfen, da eine unberechtigte Aufzeichnung des Inhalts eines Telefongesprächs klar den Tatbestand eines solchen Eingriffs erfüllen würde.
D.4. Art. 6 Abs. 1 DSGVO - Regelungsgehalt von § 66 Abs. 1 ZaDiG 2018 :
23. Die Beschwerdegegnerin ist ein Kreditinstitut und damit Zahlungsdienstleister gemäß § 1 Abs. 3 Z 1 ZaDiG 2018. § 66 Abs. 1 ZaDiG 2018 ist daher auf ihre einschlägigen Geschäfte wie das Girogeschäft anwendbar. Anders als die Beschwerdegegnerin vorgebracht hat, regelt § 66 Abs. 1 ZaDiG 2018 jedoch keine der Beschwerdegegnerin direkt auferlegte gesetzliche Pflicht zur Führung von Aufzeichnungen , etwa zur Aufzeichnung des Inhalts von Telefongesprächen, sondern legt lediglich eine Nachweispflicht (Beweislast) des Zahlungsdienstleisters im Streitfall zugunsten der Zahlungsdienstnutzer fest. Dieser Schluss ergibt sich auch daraus, dass ein Zuwiderhandeln gegen § 66 Abs. 1 ZaDiG keine weiteren Rechtsfolgen nach sich zieht, insbesondere nicht gemäß §§ 99 bis 101 ZaDiG 2018 als Verwaltungsübertretung strafbar ist.
24. Wie genau dieser Nachweis zu erbringen ist, ist gesetzlich nicht näher geregelt und bleibt daher dem Ermessen des Zahlungsdienstleisters bzw. jener Behörden überlassen, die in einem Streitfall zu entscheiden haben. Aus der Bestimmung ist daher keine Pflicht abzuleiten, den Inhalt von Telefongesprächen aufzuzeichnen, der nicht die Authentifizierung eines Zahlungsvorgangs im Wege des sogenannten Telefonbankings betrifft. In letzterem Fall kann die Bestimmung als Ermächtigung verstanden werden, sofern kein anderes praktikables und datenschutzrechtlich gelinderes Mittel zur Verfügung steht.
25. Da der Beschwerdeführer sich laut Sachverhaltsfeststellungen nach Möglichkeiten für die Durchführung eines Zahlungsvorgangs erkundigt, jedoch keinen solchen Zahlungsvorgang in Auftrag gegeben oder authentifiziert hat (siehe oben, Rz 11), konnte sich die Beschwerdegegnerin hinsichtlich der Aufzeichnung von Telefongesprächen hier nicht auf § 66 Abs. 1 ZaDiG 2018 iVm Art. 6 Abs. 1 lit c DSGVO stützen.
D.5. Art. 6 Abs. 1 DSGVO - Regelungsgehalt von § 33 WAG 2018 (Art. 16 Abs. 6 und 7 MiFID II) :
26. Anders liegt der Fall bei den Bestimmungen von § 33 WAG 2018, weil aus diesen eine direkte Pflicht der Beschwerdegegnerin abzuleiten ist, bei Erfüllung bestimmter Tatbestände den Inhalt von Telefongesprächen aufzuzeichnen .
27. Da es sich dabei um einen Eingriff sowohl in das nationale Datenschutzgrundrecht gemäß § 1 DSG als auch in das Unions-Grundrecht gemäß Art. 8 GRC handelt, ist diese Bestimmung unter Berücksichtigung des Inhalts des zugrundeliegenden Unionsrechts (Art. 16 Abs. 6 und 7 MiFID II) grundrechtskonform auszulegen. Wie vom Beschwerdeführer weiters zutreffend vorgebracht, handelt es sich bei der Erlassung der Richtlinie MiFID II (14. Mai 2014) im Sinne der Lex-Posterior-Regel um einen zeitlich vor der DSGVO (27. April 2016) liegenden Gesetzgebungsakt.
28. Gemäß § 33 Abs. 2 WAG 2018 ist der entscheidende Kern-Tatbestand, der zur Aufzeichnung des Inhalts von Telefongesprächen verpflichtet, jener, dass es sich um Telefongespräche zumindest in Bezug auf die Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen , handelt. Hiermit gemeint sind wohl telefonische Aufträge im Rahmen des Effektengeschäfts , etwa Kauf- und Verkaufsaufträge eines Kunden. Ausdrücklich in die Pflicht eingeschlossen sind gemäß § 33 Abs. 3 WAG 2018 jedoch auch Telefongespräche, „mit denen Geschäfte im Rahmen des Handels für eigene Rechnung oder die Erbringung von Dienstleistungen veranlasst werden sollen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen, auch wenn diese Gespräche und Mitteilungen nicht zum Abschluss solcher Geschäfte oder zur Erbringung solcher Dienstleistungen führen.“ Damit unterliegen auch Anbahnungs- und Beratungsgespräche , unabhängig von welcher Seite die Initiative dazu ausgegangen ist, der Aufzeichnungspflicht.
29. Der Wortlaut der (verkürzt, unter Weglassung der Passagen, die sich auf sonstige „elektronische Kommunikation“ beziehen) zitierten Bestimmungen des WAG 2018 ist identisch mit Art. 16 Abs. 7 erster und zweiter Unterabsatz MiFID II. Das Wort „zumindest“ , das dem Wortlaut der Bestimmung einen nicht-taxativen Inhalt verleiht, kommt auch in anderen Sprachfassungen der MiFID II mit gleicher Bedeutung vor (im Englischen „at least“ , im Französischen „au moins“ ).
30. Der aus Sicht der Datenschutzbehörde entscheidende Satz aus den Erwägungsgründen der Unionsgesetzgeber zur MiFID II findet sich am Ende von ErwGr 57. Dort heißt es nach Bezugnahme auf Vorgängerbestimmungen: „Aus diesen Gründen sollten in der vorliegenden Richtlinie die Grundsätze einer allgemeinen Regelung hinsichtlich der Aufzeichnung von Telefongesprächen oder elektronischen Mitteilungen in Bezug auf Kundenaufträge enthalten sein.“ (Unterstreichung durch die Datenschutzbehörde). Es ist daher nicht davon auszugehen, dass die Gesetzgeber der Europäischen Union mit der Bestimmung Wertpapierdienstleistern eine Ermächtigung erteilen oder sie sogar verpflichten wollten, sämtliche Telefongespräche , die zwischen ihnen und ihren Kunden geführt werden, aufzuzeichnen , also auch solche ohne „ Bezug auf Kundenaufträge“ . Schon gar nicht ist davon auszugehen, dass eine Bank wie das Unternehmen der Beschwerdegegnerin, das eine über Wertpapierdienstleistungen hinausgehende Palette von Dienstleistungen anbietet, dadurch zur Aufzeichnung sämtlicher Anrufe verpflichtet werden soll. Eine solche Auslegung der Bestimmung würde ihr einen nicht-zweckgebundenen, überschießenden und damit grundrechtswidrigen Inhalt unterstellen.
31. Aus der Überschrift vor Art. 16 MiFID II ( „Organisatorische Anforderungen“ ) ist weiters auch zu folgern, dass Wertpapierdienstleister nicht nur eine Pflicht trifft, bestimmte Eingriffshandlungen zu setzen (d.h. Aufzeichnungen vorzunehmen), sondern dass sie im Licht der später erlassenen DSGVO auch eine Pflicht trifft, ihre innere Organisation so zu gestalten , dass die durch Art. 16 MiFID II gebotenen Eingriffe in Grundrechte der betroffenen Personen gemäß Art. 5 Abs. 1 lit c und Art. 6 Abs. 3 DSGVO auf das für die „Zwecke der Verarbeitung notwendige Maß beschränkt“ bleiben. Der Zweck ist hier einerseits, es der zuständigen Behörde zu ermöglichen, ihrer Aufsichtspflicht nachzukommen und die in den anwendbaren Rechtsvorschriften vorgesehenen Durchsetzungsmaßnahmen zu ergreifen und sich vor allem zu vergewissern, dass die Wertpapierfirma sämtlichen Verpflichtungen, einschließlich denen gegenüber den Kunden oder potenziellen Kunden und im Hinblick auf die Integrität des Marktes, nachgekommen ist (Art. 16 Abs. 6 MiFID II), andererseits die Beweissicherung im Interesse auch der Kunden (Art. 16 Abs. 7 letzter Unterabsatz MiFID II).
32. Die Beschwerdegegnerin hätte daher, wie der Beschwerdeführer zutreffend vorgebracht hat, ihre Organisation so einrichten müssen, dass Telefongespräche, die unter eine Aufzeichnungspflicht fallen, insbesondere unter jene gemäß § 33 WAG 2018, von anderen Kundengesprächen getrennt geführt werden. Es ist jenen Kunden einer Bank, die über diese etwa telefonische Kauf- und Verkaufsaufträge für Wertpapiere abwickeln oder entsprechende Beratung erhalten möchten, zuzumuten, für solche Anrufe ausschließlich eine speziell eingerichtete Rufnummer zu verwenden, deren Gesprächsinhalte lückenlos aufgezeichnet werden. Das Argument der Beschwerdegegnerin, dass sich jedes Telefongespräch mit einem Kunden zu einem aufzeichnungspflichtigen Gespräch entwickeln könnte, überzeugt nicht, da in diesem Fall konsequenterweise sämtliche mit Mitarbeitern der Beschwerdegegnerin, vom Portier bis zum Vorstandsvorsitzenden, geführten Gespräche aufzuzeichnen wären, was aber, wie festgestellt (siehe oben, Rz 9, letzter Satz), gerade nicht geschieht und im Übrigen (siehe oben Rz 30) in noch höherem Maß überschießend wäre.
33. Gleiches gilt sinngemäß für Telefongespräche, die aufzuzeichnen durch die Ermächtigung der Beschwerdegegnerin zu einer Beweissicherung gemäß § 66 Abs. 1 ZaDiG 2018 gedeckt sein kann.
D.6. Art. 6 Abs. 1 DSGVO - Abwägung sonstiger Interessen :
34. Die Beschwerdegegnerin hat weiters vorgebracht, ihren Eingriff auch durch sonstige berechtigte Interessen gemäß Art. 6 Abs. 1 lit f DSGVO, insbesondere jenes an einer „Qualitätssicherung“ ihrer Dienstleistungen, rechtfertigen zu können.
35. Nähere Ausführungen, warum dieses nicht näher dargelegte Interesse, das durch die Grundrechte gemäß Art. 8 GRC und § 1 Abs. 1 DSG geschützte Interesse des Beschwerdeführers an der Geheimhaltung bzw. Nicht-Verarbeitung seiner Daten überwiegen sollte, hat die Beschwerdegegnerin nicht gemacht.
36. Der Beschwerdegegnerin ist es damit gemäß Art. 5 Abs. 2 DSGVO nicht gelungen, im Rahmen ihrer Rechenschaftspflicht die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 lit a (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz) und c (Datenminimierung) nachzuweisen.
D.7. Schlussfolgerungen :
37. Die Beschwerdegegnerin hat in das Grundrecht des Beschwerdeführers auf Geheimhaltung seiner personenbezogenen Daten (Nicht-Aufzeichnung seines nicht auf Wertpapiergeschäfte bezogenen oder Zahlungsaufträge erteilenden Gesprächs mit einem Bankmitarbeiter) eingegriffen, ohne eine ihr auferlegte, für diesen Fall geltende rechtliche Verpflichtung oder das Geheimhaltungsinteresse des Beschwerdeführers überwiegende berechtigte Interessen nachweisen zu können.
38. Die Datenverarbeitung war daher nicht rechtmäßig, und es war spruchgemäß gemäß § 24 Abs. 5 erster Satz eine Verletzung des Geheimhaltungsrechts des Beschwerdeführers festzustellen.
Das BVwG hat der gegen diesen Bescheid erhobenen Beschwerde mit Erkenntnis vom 23.06.2023, Zl. W274 2251055-1 , nicht Folge gegeben.