2025-0.271.604 – Datenschutzbehörde Entscheidung
Text
GZ: 2025-0.271.604 vom 5. September 2025 (Verfahrenszahl: DSB-D124.2569/24)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Ferdinand A***, (Beschwerdeführer), rechtsfreundlich vertreten durch Rechtsanwalt Dr. Ferdinand A***, vom 18. Februar 2025 gegen die N*** Gesellschaft m.b.H. (Beschwerdegegnerin) wegen 1) Rechtmäßigkeit der Datenverarbeitung, 2) Verletzung des Grundsatzes der Zweckbindung 3) Recht auf Information, wie folgt:
- Der Beschwerde gegen die Beschwerdegegnerin wird stattgegeben und es wird festgestellt , dass
a) die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat und gegen den Grundsatz der Rechtmäßigkeit gemäß Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 DSGVO verstoßen hat, indem sie die personenbezogenen Daten des Beschwerdeführers (nämlich: Name, Adresse und Geburtsdatum) entgegen den Vorgaben des Art. 5 Abs. 1 lit. b DSGVO unrechtmäßig von der B*** Österreich GmbH zur Weiterverarbeitung zu Bonitätszwecken erhoben hat und dass
b) die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Information verletzt hat, indem sie diesem zum Zeitpunkt der Datenerhebung nicht die gemäß Art. 14 DSGVO erforderlichen Informationen zur Verfügung stellte und somit ihrer Informationspflicht gemäß Art. 14 DSGVO nicht nachgekommen ist.
Rechtsgrundlagen: Art. 5 Abs. 1, Art. 6, Art. 13 und 14, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.; § 151 Gewerbeordnung 1994 (GewO), BGBl. Nr. 194/1994 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Beschwerde vom 18. November 2024, verbessert eingebracht am 28. November 2024, brachte der Beschwerdeführer zusammengefasst vor, er habe bei der Beschwerdegegnerin ein Auskunftsersuchen gestellt, das am 22. Oktober 2024 beantwortet worden sei. Die Beschwerdegegnerin habe angegeben, den Namen, das Geburtsdatum sowie teilweise historische Adressen des Beschwerdeführers zu verarbeiten. Zudem sei ersichtlich, dass die Beschwerdegegnerin diese Daten zusammen mit verschiedenen Werten aufgrund von Bonitätsabfragen an ihre Kundinnen und Kunden weitergegeben habe. Quelle dieser Daten sei unter anderem der Adressverlag B*** Österreich GmbH (in Folge: L GmbH). Die Beschwerdegegnerin verfüge über eine Gewerbeberechtigung als Kreditauskunftei und als Adressverlag. Wie sich aus zwei früheren Bescheiden der Datenschutzbehörde ergebe, hätten die Beschwerdegegnerin und die L GmbH einen Vertrag über die Lieferung und Verwendung von Adressdaten abgeschlossen. Aufgrund dieser Vereinbarung habe die L GmbH personenbezogene Daten an die Beschwerdegegnerin übermittelt, die ursprünglich von der L GmbH im Rahmen des Adressverlags und zu Marketingzwecken erhoben worden seien. Aufgrund dieser Vereinbarung und der tatsächlichen Übermittlung der Daten stünde jedoch fest, dass diese Daten nunmehr auch zum Zweck der Bonitätsauskunft an die Beschwerdegegnerin übermittelt und damit unzulässigerweise weiterverarbeitet worden wären. Der Beschwerdeführer habe in keiner Beziehung zur Beschwerdegegnerin oder zur L GmbH gestanden und erst durch das Auskunftsersuchen erfahren, dass seine personenbezogenen Daten von dieser erhoben und verarbeitet worden seien. Eine Information über die Datenerhebung oder Zweckänderung hätte er nie erhalten. Er habe auch niemals in diese Datenverarbeitung eingewilligt und sei zutiefst beunruhigt und verärgert darüber, wie mit seinen Daten umgegangen werde. Die Beschwerdegegnerin verstoße gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung: Rein hypothetisch käme nur Art. 6 Abs. 1 lit. f DSGVO als Erlaubnistatbestand in Betracht, die Datenschutzbehörde habe aber in einem Parallelverfahren gegen die L GmbH einen Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung festgestellt. Dieser Verstoß wirke sich unmittelbar auf den Erlaubnistatbestand aus. Im vorliegenden Fall könne eine Interessenabwägung nicht zugunsten der Beschwerdegegnerin ausfallen. Als (zu) gewichtiger Faktor im Rahmen der Interessenabwägung sei nämlich zu berücksichtigen, dass die L GmbH nicht befugt gewesen sei, der Beschwerdegegnerin diese Daten zum Zwecke der Bonitätsbeurteilung zu übermitteln. Nach der Rechtsprechung des Verwaltungsgerichtshofes führe die unzulässige Ermittlung personenbezogener Daten durch einen Verantwortlichen zur Unzulässigkeit einer späteren Übermittlung durch denselben Verantwortlichen. Diese Unzulässigkeit der ursprünglichen Datenermittlung führe in der Regel auch zur Unzulässigkeit der Datenverarbeitung durch den Empfänger. Darüber hinaus könne nicht von einem zwingenden schutzwürdigen Interesse der Beschwerdegegnerin an der Monetisierung der Daten des Beschwerdeführers ausgegangen werden. Zudem habe die Beschwerdegegnerin vor der Datenerhebung keine sorgfältige Prüfung der Auswahl ihres Vertragspartners vorgenommen, wie sich aus dem Urteil des EuGH vom 27. Oktober 2022, C-129/21, Rn. 81, ergebe. Der Verweis auf eine aufrechte Gewerbeberechtigung der L GmbH sowie darauf, dass die L GmbH der gewerbebehördlichen Aufsicht unterliege, sei nicht geeignet, den vom EuGH im Zusammenhang mit Art. 5 Abs. 2 DSGVO aufgestellten Maßstab zu erfüllen.
2. Die Beschwerdegegnerin nahm am 18. Dezember 2024 zusammengefasst Stellung zum Sachverhalt dahingehend, dass die Daten des Beschwerdeführers am 1. September 2008 von der L GmbH an sie übermittelt worden seien. Die Datenschutzerklärung der Beschwerdegegnerin sei auf der Website unter https://www.n***.at/datenschutz/ jederzeit leicht zugänglich und die Adressverlage würden dort ausdrücklich als Quelle genannt. Schon aus diesem Grund sei die Informationspflicht als erfüllt anzusehen. Darüber hinaus verlange die Beschwerdegegnerin von den Unternehmen, die ihre Dienste in Anspruch nehmen, einen Hinweis auf den oben genannten Link und eine Überprüfung, ob dieser Hinweis tatsächlich erfolgt sei. Ein Verweis auf eine Website sei nach Art. 58 DSGVO grundsätzlich zulässig, um Informationen zur Verfügung zu stellen. Im Ergebnis komme die Beschwerdegegnerin jedenfalls den Informationspflichten nach Art. 14 DSGVO nach. Unabhängig davon hätte ein Verstoß gegen Art. 14 DSGVO keinen Einfluss auf die Rechtmäßigkeit der Datenverarbeitung, wie auch das OLG Wien festgestellt habe (OLG Wien 5.4.2024, 13 R 193/22f, S 24 f). Zur Klärung des Umfangs der Gewerbeberechtigung nach § 151 GewO hätten sich die Vertreter der Beschwerdegegnerin an die oberste Gewerbebehörde, den Bundesminister für Wirtschaft und Arbeit, gewandt. In einem Schreiben vom 29. November 2022 habe der Bundesminister klargestellt, dass sich die Tätigkeit von Adressverlagen nicht auf die Bereitstellung von Marketinginformationen und Klassifikationen beschränke. Die Tätigkeit gemäß § 151 GewO umfasse unter anderem auch die Adressprüfung für E-Commerce-Versandhändler sowie die Bereitstellung von Adressdaten für den Versand von Zahlungserinnerungen und generell das Customer Relationship Management. Auf weitere Anfrage habe der Bundesminister mit Schreiben vom 17. Jänner 2023 ausdrücklich bestätigt, dass auch die Übermittlung von Adressdaten an eine Auskunftei zum Zwecke der Bonitätsbewertung durch diese Auskunftei zum Gewerbe der Adressverlage gehöre.
Bereits die Datenschutzkommission habe judiziert, dass „ zur Rechtmäßigkeit der Datenverarbeitung beim Empfänger eine geschlossene Kette rechtmäßiger Datenverwendung bei allen zuvor verantwortlichen Auftraggebern [nicht] vorliegen muss“ (DSK 11.07.2008, K121.359/0016-DSK/2008). Auch nach Ansicht des BVwG sei „ der Sitz einer allfälligen rechtswidrigen Übermittlung [...] beim Übermittler“ (d.h. dass eine Rechtswidrigkeit allenfalls beim Übermittler vorlag) nicht dem Übermittlungsempfänger „anzulasten“ und die vom Übermittlungsempfänger vorgenommene „Datenverwendung [...] daher zulässig“ (BVwG 11.1.2016, W214 2106278-1). Darüber hinaus sei für die Beschwerdegegnerin nicht erkennbar, dass die L GmbH nicht berechtigt gewesen sei, Adressdaten des Beschwerdeführers an die Beschwerdegegnerin zu übermitteln. Genau dies sei vom Umfang des Gewerbes eines Adresshändlers im Sinne des § 151 GewO umfasst. Die Beschwerdegegnerin habe daher von der Rechtmäßigkeit der Übermittlung ausgehen dürfen, weshalb ein allfälliger - von der Beschwerdegegnerin ausdrücklich bestrittener - Verstoß der L GmbH nicht auf die Rechtmäßigkeit der Verarbeitung der gelieferten Daten durchschlagen könne. Dies entspreche auch der Auffassung der hL ( Albers/Veit , in Wolff/Brink , BeckOK Datenschutzrecht, 43. Auflage [Stand 1.2.2023] Art. 6 DSGVO Rn.117; Jahnel , Datenschutzrecht [2010] Rz 4/55). Ungeachtet dessen verwende die Beschwerdegegnerin bereits seit 17. Oktober 2023 keine Adressdaten der L GmbH zur Bonitätsbewertung. Dies geschehe freiwillig und unabhängig vom Ausgang der derzeit anhängigen Verfahren. Die Adressdaten der L GmbH würden ausschließlich zur Identitätsprüfung unter Einhaltung aller datenschutzrechtlichen Bestimmungen verwendet. Für die Ermittlung des Scores würden neben Zahlungserfahrungen auch Alter, Geschlecht, Vorname, Nachname und Adresse berücksichtigt, die die Beschwerdegegnerin von ihren Kunden bei der Abfrage erhalte. Derzeit seien 6 Verfahren beim OGH anhängig, in denen es um die Frage der Zulässigkeit der Verwendung von bei Adressverlagen erhobenen Daten für Zwecke der Gewerbeausübung nach § 152 GewO gehe. Dies zeige, dass die zu lösende Rechtsfrage höchst umstritten sei. Die Beschwerdegegnerin beantrage die Unterbrechung des Verfahrens bis zur rechtskräftigen Entscheidung der anhängigen Verfahren.
3. In der Stellungnahme vom 11. Februar 2025 verwies der Beschwerdeführer auf sein ursprüngliches Vorbringen, welches ausdrücklich aufrechterhalten werde. Der Beschwerdeführer habe nie in irgendeiner Geschäftsbeziehung mit der Beschwerdegegnerin oder der L GmbH gestanden und daher faktisch nie die Möglichkeit gehabt, irgendwelche Bedingungen der Unternehmen zu lesen, geschweige denn diesen zuzustimmen. Woher die Daten tatsächlich stammen würden, sei nicht nachvollziehbar. Soweit die Beschwerdegegnerin ausführe, sie verlange von den Unternehmen, die ihre Dienste in Anspruch nehmen, einen Verweis auf den Link www.n***.at/datenschutz und überprüfe, ob diese Verweise auch tatsächlich erfolgen, sei von einer bloßen Schutzbehauptung auszugehen. Dies schon deshalb, weil die Beschwerdegegnerin keinen einzigen Beweis vorgelegt habe, obwohl ihr dies ohne größeren Aufwand möglich gewesen wäre. Die Rechtsauffassung, dass eine Auskunftei Daten verarbeiten dürfe, die sie sich rechtswidrig verschafft oder von einem Dritten erlangt habe, der sich die Daten rechtswidrig verschafft habe, finde in der DSGVO keine Grundlage. Die Beschwerdegegnerin sei selbstverständlich dafür verantwortlich, dass sich auch ihre Geschäftspartner rechtskonform verhalten, wenn sie von diesen Daten erhalte.
4. Mit Schreiben vom 7. April 2025 legte die Beschwerdegegnerin die „Vereinbarung über die Lieferung und die Nutzung von Adressdaten“ samt Nachträgen der Datenschutzbehörde vor.
5. Nach Aufforderung zur Stellungnahme durch die Datenschutzbehörde brachte die Beschwerdegegnerin mit Stellungnahme vom 12. Mai 2025 Folgendes vor: Die Beschwerdegegnerin setze bereits seit 17. Oktober 2023 keine Adressdaten von L GmbH zur Bonitätsbewertung ein. Dies erfolge freiwillig und unabhängig vom Ausgang der derzeitig anhängigen Verfahren. Die Adressdaten von L GmbH seien unter Beachtung aller Datenschutzbestimmungen ausschließlich zur Identitätsüberprüfung in Verwendung. Wie der Selbstauskunft vom 22. Oktober 2024 in Punkt 3 bei den Abfragedaten zu entnehmen sei, wurden die von L GmbH übermittelten Daten im gegenständlichen Fall weder zur Identitätsüberprüfung noch zur Bonitätsbewertung genutzt. Die L GmbH habe der Beschwerdegegnerin die nicht bei den Anfragen genutzten Daten übermittelt.
6. Mit dem am 16. Mai 2025 gewährten Parteiengehör verwies der Beschwerdeführer auf seine bereits eingebrachten Stellungnahmen.
7. Mit Schreiben vom 3. Juni 2025 forderte die Datenschutzbehörde die Beschwerdegegnerin erneut zur Stellungnahme auf. Diese gab am 23. Juni 2025 folgende Stellungnahme ab: Zu den Nutzungszwecken gäbe es mehrere anhängige Verfahren. Die von den Adressverlagen erlangten Adressdaten würden ausschließlich zu Identifikationszwecken verwendet, falls dies notwendig sei. Die im vorliegenden Fall von der L GmbH erhobenen Daten des Beschwerdeführers seien in keine Bonitätsscoren des Beschwerdeführers eingeflossen. Diese Daten seien weder zur Identitätsprüfung noch zur Bonitätsbewertung verwendet worden.
8. Im Rahmen des am 30. Juni 2025 gewährten Parteiengehörs gab der Beschwerdeführer keine weitere Stellungnahme mehr ab.
9. Mit Schreiben vom 24. Juli 2025 forderte die Datenschutzbehörde die Beschwerdegegnerin erneut zur Stellungnahme auf. Diese gab am 25. August 2025 folgende Stellungnahme ab: Ursprünglich habe die Beschwerdegegnerin die von der L GmbH erhaltenen Daten sowohl zu Identitätszwecken als auch zur Berechnung der Ausfallwahrscheinlichkeit genutzt. Da die Beschwerdegegnerin die Daten der L GmbH als besonders zuverlässig eingeschätzt habe, sei der Umstand, dass die Beschwerdegegnerin eine Person (unter anderem oder auch nur) durch die von der L GmbH übermittelten Daten kannte, (ausschließlich) positiv im Score berücksichtigt worden.
Seit dem 17. Oktober 2023 seien die Daten der L GmbH jedoch ausschließlich zu Identifikationszwecken genutzt worden. Der Antrag auf Unterbrechung des gegenständlichen Verfahrens bis zur rechtskräftigen Entscheidung der anhängigen Verfahren bleibe aufrecht.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen des Beschwerdeführers ist Beschwerdegenstand die Frage, ob die Beschwerdegegnerin
A) gegen den Grundsatz der Rechtmäßigkeit gemäß Art. 5 Abs. 1 lit. a DSGVO iVm Art. 6 Abs. 1 und
B) gegen den Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO verstoßen hat sowie
C) den Beschwerdeführer im Recht auf Information verletzt hat,
indem sie Daten des Beschwerdeführers (zumindest: Name, Adresse und Geburtsdatum) von der L GmbH zu Bonitätszwecken erhoben hat und den Beschwerdeführer über die Erhebung zu Zwecken der Bonitätsbeurteilung nicht informiert hat.
C. Sachverhaltsfeststellungen
1. Bei der Beschwerdegegnerin handelt es sich um eine eingetragene Gesellschaft mit beschränkter Haftung. Sie betreibt seit Jänner 2013 das Gewerbe „Adressverlag und Direktmarketingunternehmen“ gemäß § 151 GewO. Seitdem verfügt sie auch über eine Gewerbeberechtigung als Kreditauskunftei gemäß § 152 GewO und ist zur Ausübung von Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik im Sinne des § 153 GewO berechtigt.
Beweiswürdigung : Die Feststellungen ergeben sich aus einer amtswegigen Abfrage des Firmenbuchs und des Gewerbeinformationssystems Austria, alle zuletzt von der Datenschutzbehörde am 6. März 2025 abgefragt.
2. Die L GmbH ist eine eingetragene Gesellschaft mit beschränkter Haftung, die das Gewerbe der Werbevermittlung, des Adressenverlags und der Direktwerbung sowie Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik betreibt.
Beweiswürdigung : Die Feststellungen ergeben sich aus einer amtswegigen Abfrage des Firmenbuchs und des Gewerbeinformationssystems Austria, alle zuletzt von der Datenschutzbehörde am 7. März 2025 abgefragt.
4. Der Beschwerdeführer richtete ein Auskunftsersuchen an die Beschwerdegegnerin, welches diese am 22. Oktober 2024 beantwortete. Die Beschwerdegegnerin hat von der L GmbH zumindest die folgenden Daten des Beschwerdeführers erhoben: Name, Adresse, Geburtsdatum und gab als Datenquelle u.a. die folgende Information an (Formatierung nicht 1:1 wiedergegeben):
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original in Form mehrerer Tabellen aus grafischen Dateien (im Format PNG) wiedergegebenen Daten des Beschwerdeführers (Überschrift: „2.1 Stammdaten – Adressbuch“, enthaltend AddressID, Status [„Privatperson/Firma“], Name, Vorname, Geburtsdatum, Straße, HausNr, HausNr_Zusatz, Postleitzahl und Ort), können mit zumutbarem Aufwand nicht pseudonymisiert werden und wurden daher entfernt. Es scheinen mehrere Unternehmen, darunter die L GmbH, als Quellen von Adressen (mit unterschiedlicher AddressID) auf aber nur eine, von der L GmbH stammende aktuelle Adresse.]
Beweiswürdigung : Die Feststellungen ergeben sich aus der Eingabe des Beschwerdeführers vom 18. November 2024 und der beigelegten Auskunftsbeantwortung von der Beschwerdegegnerin worin u.a. diese drei Datensätze in der Auskunftsbeantwortung angegeben waren.
5. Zwischen der L GmbH und der Beschwerdegegnerin (vormals „M***“) wurde eine „Vereinbarung über die Lieferung und die Nutzung von Adressdaten im Dezember 2012“, ein zugehöriger „Sideletter“ im Oktober 2019 und ein Nachtrag im Mai 2018 abgeschlossen. Die Vereinbarung und zugehöriger Nachtrag lauten auszugsweise wie folgt (Formatierung nicht 1:1 wiedergegeben):
[Anmerkung Bearbeiter/in: Das an dieser Stelle im Original als Faksimile (grafische Datei) auszugsweise wiedergegebene Textdokument kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Beweiswürdigung: Die angeführten Verträge zwischen der L GmbH und der Beschwerdegegnerin wurden der Datenschutzbehörde am 7. April 2025 übermittelt.
6. Die Beschwerdegegnerin hat die von der L GmbH erhobenen verfahrensgegenständlichen Daten (zumindest: Name, Adresse, Geburtsdatum) des Beschwerdeführers sowohl für Identitätszwecke als auch zur Berechnung der Bonität erhoben.
Beweiswürdigung : Diese Feststellung ergibt sich aus der von der Beschwerdegegnerin selbst eingebrachten und unstrittigen Stellungnahme vom 25. August 2025.
7. Der Beschwerdeführer wurde nicht individuell darüber informiert, dass die L GmbH seine Daten (zumindest: Name, Adresse, Geburtsdatum) verarbeitet und auch nicht, dass diese Daten an die Beschwerdegegnerin übermittelt wurden. Der Beschwerdeführer wurde auch nicht von der Beschwerdegegnerin darüber informiert, dass diese seine Daten speichert, um bei entsprechenden Anfragen eine Bewertung seiner Bonität vorzunehmen.
Auf der Website „https://www.n***.at/datenschutz/“ ist eine Datenschutzinformation der Beschwerdegegnerin abrufbar.
Die Datenschutzerklärung der Beschwerdegegnerin lautet auszugsweise wie folgt (Hervorhebung durch die Datenschutzbehörde):
1. Zwecke der Datenverarbeitung
Wir verarbeiten die unter Punkt 3 genannten Kategorien Ihrer personenbezogenen Daten zu folgenden Zwecken:
Ausübung des Gewerbes der Auskunftei über Kreditverhältnisse gemäß § 152 Gewerbeordnung 1994 sowie des Adressverlags gemäß § 151 Gewerbeordnung 1994;
unabhängig von der gewerberechtlichen Einordnung die Erteilung von Auskünften an Kunden zum Zweck der Identitätsfeststellung, Altersverifikation, Kreditwürdigkeitsprüfung, Anschriftenermittlung, Seriositätsprüfung, des Risikomanagements (insbesondere Berechnung einer zukünftigen Zahlungsausfallswahrscheinlichkeit), der Missbrauchsprävention, der Erfüllung von Prüfpflichten der Kunden (insbesondere iZm Verbraucherkrediten und dem Spielerschutz), der Tarifierung (z.B. tarifmäßige Einordnung durch den Kunden), ökologisch-soziale Nachhaltigkeit, Konditionierung (z.B. von Kunden angebotene Zahlungskonditionen) und Endkundenbetreuung;
Prüfung der Identität von Kunden, potenziellen Kunden und Interessenten unserer Kunden;
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
allgemeine Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten;
Gewährleistung des reibungslosen IT-Betriebs und der IT-Sicherheit;
Erfüllung unserer gesetzlichen Verpflichtungen, wie insb. die Beantwortung und Umsetzung von datenschutzrechtlichen Betroffenenanfragen.
Wir treffen keine automatisierten Einzelentscheidungen, die für Sie rechtliche Auswirkungen haben oder Sie in ähnlicher Weise erheblich beeinträchtigen würden.
(…)
3. Verarbeitete Datenkategorien
Zu den unter Punkt 1 genannten Zwecken verarbeiten wir folgende Kategorien personenbezogener Daten:
Identitätsdaten (insbesondere Vor- und Nachname(n), Geburts- und Sterbedatum, Geschlecht, Titel, akademischer Grad, Status (errechnet aus Geburts- und Sterbedatum), Staatsbürgerschaft), Zeitstempel aus der Identitätsprüfung (Datum, Uhrzeit der Nutzung unserer Dienstleister)
Daten und Unterlagen zu Personaldokumenten (soweit vom Betroffenen bereitgestellt)
Kontaktdaten (insbesondere Adresse, Firmensitz, Telefonnummer, Fax, E-Mail, Website)
Gebäudedaten (Daten zu einer Anschrift zugeordneten Gebäude)
Unternehmensbezogene Daten (insbesondere Firmenbuchdaten, UID-, LEI-, ÖNB-Nummern, Unternehmensgegenstand, Unternehmensgröße/Mitarbeiterzahl, Fuhrpark, Bilanzdaten, ÖNACE-Code, unternehmerische Funktionen inklusive Vertretungsbefugnisse und Organisation, Datum des Eintritts/Austritts bzw. der Änderung der Funktion im Unternehmen, Aufenthaltsdauer bei ausländischen Staatsangehörigen, krisenspezifische Förderungen, Beteiligungsanteil und Haftungsbetrag, Informationen über Vorbeschäftigungen und Nebenbeschäftigungen, Immobilienbesitz (privat oder Firmenbesitz))
Gewerbebezogene Daten (Daten zu Gewerbeberechtigungen, andere Gewerberegisterdaten, Tätigkeitsbeschreibung, Branche)
Vereinsregisterdaten
Grundbuchsdaten
Daten zu gerichtlichen Publikationen (Insolvenzdaten und Daten über gerichtliche Versteigerungen)
Sperrvermerk nach Robinsonliste
Daten zur Bankverbindung (IBAN und BIC bzw. BLZ; ausschließlich zu Zwecken der Missbrauchsbekämpfung)
Zahlungserfahrungsdaten (Daten über die Einhaltung von Zahlungszielen und zu unbestrittenen, nach Eintritt der Fälligkeit unbezahlten und mehrfach gemahnten Forderungen, inklusive Leasingeinzüge, Mietzinszahlungen und Delogierungen) einschließlich Saldo und Dauer deren Aushaftung und Einmahnungen
Medienbeobachtungen und Recherchedaten (zu Unternehmern)
Ausweis und darin enthaltene Daten (inkl. Ausweisbild [ausschließlich zum Zweck der Identifikation und Authentifikation auf Anfrage von Betroffenen])
Lichtbild (ausschließlich zum Zweck der Identifikation und Authentifikation auf Anfrage von Betroffenen)
Bezahldaten (ausschließlich zur Durchführung von Online-Zahlungen)
Daten zur Bonität (inkl. aggregierte Bonitätskriterien und Score-Wert)
Daten zu Hard- und Software (inkl. verwendeter Browser, Endgerätekennung), Geolokations-Daten (auf Grundlage der Anschriften errechnet) und Lichtbilder aus V*** Maps zur Analyse potentieller missbräuchlicher Auffälligkeiten (soweit vom Kunden mit Einwilligung des Betroffenen erhoben und dann an N*** Gesellschaft m.b.H. übermittelt)
Hinweise auf missbräuchliches oder sonstiges potenziell missbräuchliches Verhalten wie Identitäts-, Anschriften- oder Bonitätstäuschungsversuche in Zusammenhang mit Verträgen über Telekommunikationsleistungen oder Verträgen mit Kreditinstituten oder Finanzdienstleistern (Kredit- oder Anlageverträge, Girokonten) oder im (Internet-)Handel
Einschätzung hinsichtlich der Zustellbarkeit bei Adressen
Daten im Zuge der Abfrage durch Kunden der N*** Gesellschaft m.b.H. in der N***-Datenbank („Abfragedaten“, inklusive allenfalls darin enthaltene Bestelldaten)
Logdaten in Bezug auf die Datenbank (inkl. Bestätigung der Adressdaten)
Risikoeinschätzung
Quelle der Daten und Klassifizierung der Quelle sowie Details zur entsprechenden Datenerhebung
Daten zu Bestellverhalten der betroffenen Person (Antragszähler, Antragswiederholungen)
Finanzierungsvolumen
Von Ihnen selbst im Rahmen der Synesgy ESG Plattform bereitgestellte Informationen zur ökologisch-sozialen Nachhaltigkeit sowie die diesbezüglichen Zertifizierungsergebnisse
Informationen zum Schutz der Identitäten der Betroffenen, soweit dies im Rahmen der Identitätsbewertung erforderlich ist
(…)
Beweiswürdigung : Die Feststellungen ergeben sich einerseits aus den unstrittigen Vorbringen der Verfahrensparteien und andererseits aus einer amtswegigen Abfrage der Website der Beschwerdegegnerin https://www.n***.at/, zuletzt abgefragt durch die Datenschutzbehörde am 23. Juli 2025.
8. Der Beschwerdeführer steht und stand weder mit der Beschwerdegegnerin noch mit der L GmbH in einer Vertragsbeziehung. Der Beschwerdeführer hat weder der Beschwerdegegnerin noch der L GmbH seine Daten selbst zur Verfügung gestellt.
Beweiswürdigung : Die Feststellungen ergeben sich aus den unstrittigen Eingaben des Beschwerdeführers vom 18. und 28. November 2024.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Verfahrensgegenständliche Vorbemerkungen
Eingangs ist darauf hinzuweisen, dass sowohl die Datenschutzbehörde als auch das BVwG in ständiger Judikatur vertreten, dass bei antragsgebunden Fällen – wie insbesondere dem Beschwerdeverfahren gemäß Art. 77 DSGVO iVm. § 24 Abs. 1 DSG – der Inhalt des Antrags (vorliegend: der Beschwerde) den Prozessgegenstand des Verwaltungsverfahrens (vorliegend: den Beschwerdegegenstand) konstituiert und begrenzt(vgl. etwa BVwG Erkenntnis vom 17. Mai 2022, W214 2233132-1).
Der EuGH hat bereits festgestellt, dass Art. 77 DSGVO hinreichend klar, genau und unbedingt ist und somit unmittelbar anwendbar ist (vgl. EuGH,16.01.2024, C-33/22, Österreichische Datenschutzbehörde, Rn. 62). Art. 77 Abs. 1 DSGVO bezieht sich somit nicht auf eine Verletzung von Rechten, sondern auf einen Verstoß der Datenverarbeitung gegen die DSGVO. Daher spricht nichts dagegen, Verstöße gegen die Grundsätze des Art. 5 Abs. 1 DSGVO für sich allein in einer Beschwerde nach Art. 77 DSGVO geltend zu machen, sofern dieser Verstoß die Verarbeitung von personenbezogenen Daten betrifft, die den Beschwerdeführer betreffen (vgl. VwGH vom 06.03.2024, Ro 2021/04/0030, Rz 49).
Vor dem Hintergrund dieser Rechtsprechung können somit auch objektive Verstöße gegen die Grundsätze des Art. 5 DSGVO im Rahmen einer Beschwerde gemäß Art. 77 DSGVO oder gemäß § 24 Abs. 1 DSG geltend gemacht werden.
D.2. Verletzung des Grundsatzes der Zweckbindung und Rechtmäßigkeit
Entsprechend der Rechtsprechung des Europäischen Gerichtshofs muss jede Verarbeitung personenbezogener Daten grundsätzlich den in Art. 5 DSGVO aufgestellten Grundsätzen für die Verarbeitung personenbezogener Daten sowie einem der in Art. 6 DSGVO angeführten Grundsätze für die Zulässigkeit der Verarbeitung von Daten genügen (EuGH, Urteil vom 04.05.2023, Az. C-60/22, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], ECLI:EU:C:2023:373, Rn 50, 52, 57, m.w.N., bereits zur Vorgängerbestimmung Art. 6 DS-RL). EuGH, 20.05.2003, verb. RS C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk u.a., Rn 65; 16.12.2008, C-524/06, Huber, Rn 48; vgl. auch VwGH, 09.05.2023, Ro 2020/04/0037). In der Rechtssache Meta Platforms Inc. hat der EuGH überdies festgehalten, dass der Verantwortliche nach Art. 5 DSGVO die Beweislast dafür trägt, dass die Daten für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (EuGH, 04.07.2023, C-252/21 (Meta Platforms Inc.), Rn 95).
Gemäß Art. 5 Abs. 1 lit. b, der den Grundsatz der „Zweckbindung“ vorsieht, müssen personenbezogene Daten zum einen für festgelegte, eindeutige und legitime Zwecke erhoben werden und zum anderen nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
In seinem am 27. Mai 2025 erlassenen Erkenntnis (GZ W605 2270910-1/11E, W605 2271598-1/11E), das in Rechtskraft erwachsen ist, führt das BVwG aus, dass diese Vorschrift somit zwei Anforderungen enthält: eine in Bezug auf die Zwecke der ursprünglichen Erhebung der personenbezogenen Daten und eine in Bezug auf die Weiterverarbeitung dieser Daten. Was die erste Anforderung betrifft, dass die personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen, bedeutet dies gemäß der Rechtsprechung des BVwG, dass die Zwecke der Verarbeitung spätestens zum Zeitpunkt der Erhebung feststehen, klar angegeben sind und die Rechtmäßigkeit der Verarbeitung der betreffenden Daten im Sinne von Art. 6 Abs. 1 gewährleisten müssen (vgl. EuGH vom 20.10.2022, C-77/21, EU: C:2022:805, Rn 24–27).
Wie festgestellt sind sowohl die L GmbH wie auch die Beschwerdegegnerin befugt, das Gewerbe der Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO auszuüben. Die Beschwerdegegnerin ist zusätzlich zur Ausübung der Auskunfteien über Kreditverhältnisse gemäß § 152 GewO berechtigt.
Die L GmbH ermittelte und speicherte die verfahrensgegenständlichen personenbezogenen Daten auf Grundlage ihrer Gewerbeberechtigung für Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO selbst. Wie festgestellt, übermittelte die L GmbH die Daten aufgrund der getroffenen Vereinbarung an die Beschwerdegegnerin.
Diese vertragliche Vereinbarung bezieht sich zwar zunächst ausdrücklich auf die Gewerbeberechtigung der Beschwerdegegnerin als Adressverlag und Direktmarketingunternehmen, räumt ihr aber ausdrücklich eine Weiterverarbeitung zugunsten ihres Gewerbes, einer Auskunftei über Kreditverhältnisse, ein (siehe C.5).
Sofern die Beschwerdegegnerin der Ansicht ist, dass ein Schreiben des Bundesministers für Wirtschaft und Arbeit als oberste Gewerbebehörde eine Bestätigung der Rechtmäßigkeit der verfahrensgegenständlichen Verarbeitung darstellt – nämlich der Übermittlung von Adressdaten an eine Auskunftei zum Zweck der Bonitätsbewertung durch diese Auskunftei, die dem Gewerbe der Adressverlage angehört –, ist festzuhalten, dass dieser die Kompetenz zur verbindlichen Überprüfung der Rechtmäßigkeit der Datenverarbeitung nicht zukommt.
Das Recht der Adressverlage und Direktmarketingunternehmen, Daten Dritter zu verwenden bzw. zu übermitteln, ist auf Marketingdaten beschränkt; jede Datenverwendung über diesen Zweck hinaus ist nicht umfasst ( Riesz in Ennöckl/Raschauer/Wessely , GewO § 151 [Stand 01.01.2015, rdb.at] Rn 4). Daher dürfen Daten von Adressverlagen und Direktmarketingunternehmen nicht etwa zur Prüfung eines Vertragsschlusses oder der Bonität (vgl. § 152) benutzt werden ( Riesz in Ennöckl/Raschauer/Wessely , GewO § 151 [Stand 01.01.2015, rdb.at] Rn 4).
Nach Art. 6 Abs. 4 in Verbindung mit dem 50. Erwägungsgrund ist, sofern die Verarbeitung nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht und für einen anderen Zweck erfolgt als den, für den die Daten erhoben wurden, u. a. zu berücksichtigen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht (lit. a), zweitens in welchem Kontext die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen (lit. b), drittens um welche Art von personenbezogenen Daten es sich handelt (lit. c), viertens welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat (lit. d) und fünftens, ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen (lit. e).
Diese Kriterien spiegeln die Notwendigkeit einer konkreten, kohärenten und ausreichend engen Verbindung zwischen dem Zweck der Datenerhebung und deren Weiterverarbeitung wieder. Sie ermöglichen es, sicherzustellen, dass die Weiterverarbeitung nicht von den legitimen Erwartungen der betroffenen Person hinsichtlich der weiteren Verwendung ihrer Daten abweicht. Sie ermöglichen auch, die Wiederverwendung früher erhobener personenbezogener Daten einzugrenzen. Dabei wird ein Gleichgewicht zwischen dem Erfordernis der Vorhersehbarkeit und der Rechtssicherheit in Bezug auf die Zwecke der Verarbeitung dieser Daten einerseits und der Anerkennung einer gewissen Flexibilität zugunsten des Verantwortlichen bei deren Verwaltung andererseits sichergestellt. Somit tragen sie zur Erreichung des im zehnten Erwägungsgrund genannten Ziels bei, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten (vgl. EuGH, Urteil vom 20.10.2022, C-77/21, EU:C:2022:805, Rn 32, 34–37).
Der Zweckbindungsgrundsatz bindet bei einer Weiterverarbeitung der Daten durch einen anderen Verantwortlichen auch diesen an die ursprüngliche Zweckfestsetzung – in diesem Fall an den legitimen, gesetzlich legitimierten Zweck des Adresshandels für Marketingzwecke . Andernfalls könnte ein Verantwortlicher durch die eigenständige Festlegung des Zeitpunkts einer Zweckänderung seine eigene Gebundenheit an den Zweckbindungsgrundsatz im Sinne des Art. 5 Abs. 1 DSGVO Einfluss nehmen.
Demnach muss jede Verarbeitung personenbezogener Daten den in Art. 5 DSGVO aufgestellten Grundsätzen für die Verarbeitung personenbezogener Daten sowie einem der in Art. 6 DSGVO angeführten Grundsätze für die Zulässigkeit der Verarbeitung von Daten genügen. Diese müssen also kumulativ vorliegen.
Da bereits eine Verletzung des Zweckbindungsgrundsatzes gemäß Art. 5 DSGVO zu bejahen war, kann eine Prüfung der Rechtmäßigkeit gemäß Art. 6 Abs. 1 DSGVO dahingestellt bleiben, da die Datenverarbeitung (Erhebung bei der L GmbH zur Weiterverarbeitung zu Bonitätszwecken) im Ergebnis jedenfalls nichtrechtmäßig war (vgl. hierzu das Erkenntnis des BVwG vom 27.05.2025, W605 2270910-1/11E; W605 2271598-1/11E).
D.3. Zum Recht auf Information
Ungeachtet dessen, ob die personenbezogenen Daten unmittelbar beim Beschwerdeführer (Art. 13 Abs. 1 DSGVO) oder nur mittelbar (Art. 14 Abs. 1 leg. cit.) erhoben worden sind, richten sich die Informationspflichten jeweils an den für die Datenverarbeitung konkret Verantwortlichen.
Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche gemäß Art. 14 Abs. 1 DSGVO der betroffenen Person die in lit. a bis lit. f genannten Informationen mit.
Die Datenschutzbehörde hat sich bereits mit der Frage, ob die „ Informationspflichten “ gemäß Art. 13 und Art. 14 DSGVO auch als subjektive Betroffenenrechte geltend gemacht werden können, auseinandergesetzt und geht nach stRspr davon aus, dass sich eine betroffene Person antragsunabhängigauf Art. 13 und Art. 14 DSGVO stützen kann (vgl. den Bescheid der Datenschutzbehörde vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).
Gemäß Art. 12 Abs. 1 S. 1 DSGVO hat ein Verantwortlicher geeignete Maßnahmen zu treffen, um der betroffenen Person alle Informationen gemäß den Art. 13 und 14 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln .
Der Verwaltungsgerichthof hat in seiner Entscheidung vom 6. März 2024, Ro 2021/04/0030-4 nunmehr u.a. festgehalten, dass die Pflicht zur Mitteilung der Informationen Voraussetzung dafür ist, dass die von der Verarbeitung ihrer personenbezogenen Daten betroffene Person ihre Rechte auf Auskunft, Berichtigung oder Löschung (u.ä.) ausüben kann. Um dieser Funktion gerecht zu werden, ist es aber wiederum erforderlich, dass diese Informationen für die betroffene Person leicht zugänglich sind. Dies kann in einem Fall, in dem die personenbezogenen Daten nicht bei der betroffenen Person erhoben worden sind, die betroffene Person auch sonst in keiner Verbindung mit dem Verantwortlichen steht und daher keine Kenntnis von einer Verarbeitung ihrer personenbezogenen Daten durch die Verantwortliche haben muss, durch die bloße Möglichkeit der Abrufbarkeit einer Datenschutzerklärung auf einer Website aber nicht gewährleistet werden. Vor dem Hintergrund der auch vom EuGH zum Ausdruck gebrachten Zielsetzung kann Art. 14 Abs. 1 DSGVO daher nicht dahingehend verstanden werden, dass die Verfügbarkeit der darin genannten Informationen auf einer Website ohne eine aktive, ausdrückliche Verständigung der betroffenen Person von dieser Form der Bereitstellung auch dann ausreichend ist, wenn die betroffene Person auch dem Grunde nach keine Kenntnis vom Umstand einer Datenverarbeitung durch die Verantwortliche hatte (vgl. in diesem Sinn auch Knyrim in Ehmann/Selmayr [Hrsg.], DS GVO Art. 14 Rz. 13; Greve , in Sydow/Marsch [Hrsg.], DS GVO/BDSG Art. 12 Rz. 20; Bäcker in Kühling/Buchner [Hrsg.], DS GVO [2020], Art. 14 Rz. 41).
Da eine solche Kenntnis des Beschwerdeführers von einer Datenverarbeitung durch die Beschwerdegegnerin zum Zeitpunkt der Erhebung der Daten nicht vorgebracht und das Vorliegen eines Ausnahmetatbestandes nach Art. 14 Abs. 5 DSGVO nicht aufgezeigt wurde, ist die Beschwerde des Beschwerdeführers hinsichtlich der Verletzung der Informationspflicht nach ebenfalls stattzugeben .
Es war daher spruchgemäß zu entscheiden.