GZ: 2025-0.874.918 vom 5. Dezember 2025 (Verfahrenszahl: DSB-D124.1903/25)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Hermine A*** (Beschwerdeführerin/BF) vom 15. Juli 2025 gegen 1) die N*** Bank AG (Erstbeschwerdegegnerin/ BG 1) sowie 2) gegen die M*** Bank AG (Zweitbeschwerdegegnerin/BG 2) wegen Verletzung im Recht auf Löschung wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen.
Rechtsgrundlagen: Art. 5 Abs. 1 lit. b, lit. d und lit. e, Art. 17, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF., § 39 Bundesgesetz über das Bankwesen (Bankwesengesetz-BWG), BGBl. Nr. 917/1993 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit verfahrenseinleitender Eingabe vom 15. Juli 2025 brachte die Beschwerdeführerin (im Folgenden: BF) vor, dass die Erstbeschwerdegegnerin (im Folgenden: BG 1) und die Zweitbeschwerdegegnerin (im Folgenden: BG 2) sie durch die weiterhin andauernde Verarbeitung von personenbezogenen Daten zu ihrer Person in der Datenanwendung „Warnliste der Banken“ in ihrem Recht auf Löschung verletzen würden. Die BF hätte diesbezüglich bereits an jede BG entsprechende Anträge gestellt, welchen aber nicht entsprochen wurde. Die Verarbeitung sei jedoch unrechtmäßig, weil die Rechte und Freiheiten der BF die berechtigten Interessen der BG überwiegen würden. Außerdem sei die BF niemals über die Einmeldung ihrer Daten in die Warnliste in Kenntnis gesetzt worden, weshalb die Daten ebenfalls zu löschen seien, da die Verarbeitung damit von vornherein rechtswidrig war.
2. Die BG nahmen mit Schreiben vom 29. September 2025 sowie vom 8. Oktober 2025 zu der Beschwerde Stellung und führten dabei soweit verfahrensrelevant sinngemäß aus, dass man sich im Jahre 2012 zur Einmeldung von insgesamt drei Forderungen gezwungen sah, welche die BF zu diesem Zeitpunkt nicht beglichen hatte. Die BF habe bereits kurz nach dem Eröffnen der jeweiligen Girokonten bzw. kurz nach dem Abschluss eines Kreditvertrags die Zahlungen eingestellt und habe erst im Jahre 2024 und somit mehr als 12 Jahre später Teilzahlungen geleistet, welche die BG schlussendlich akzeptiert hätten, wobei man aber einen nicht unbeträchtlichen Teil der Gesamtforderungen abschreiben musste.
In Anbetracht der Tatsache, dass die BF über einen derartig langen Zeitraum keine Zahlungen geleistet und erst vor weniger als einem Jahr (gerechnet vom Zeitpunkt des Einbringens der Beschwerde) ihre Schulden teilweise beglichen hätte, überwiege hierbei das berechtigte Interesse der Kreditinstitute, sich ein genaues Bild von der Bonität einer Person zu machen. Davon abgesehen seien Kreditinstitute auch durch das Bankwesengesetz und die Kapitaladäquanzverordnung dazu verpflichtet, geeignete Vorkehrungen zur Risikominimierung zu treffen.
3. Die BF nahm mit Schreiben vom 26. Oktober 2025 dazu Stellung und bestritt weiterhin die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten unter gleichzeitigem Aufrechterhalten ihres Antrags, die DSB möge eine Verletzung in ihrem Recht auf Löschung feststellen.
B. Beschwerdegegenstand
Der Beschwerdegegenstand besteht daher in der Frage, ob die BG 1 und die BG 2 die BF durch die Verarbeitung von insgesamt drei negativen Einträgen in der Datenanwendung „Warnliste der Banken“ in ihrem Recht auf Löschung verletzt haben.
C. Sachverhaltsfeststellungen
Ausgehend vom Vorbringen der Verfahrensparteien sowie den vorgelegten Dokumenten wird folgender Sachverhalt festgestellt:
1. Die BG 1 und die BG 2 sind Kreditinstitute.
2. Die BF hat am 13. November 2009 ein Girokonto bei der BG 1 eröffnet. Bereits ein Monat nach Eröffnung des Kontos kam es zu ersten Zahlungsausfällen mangels Kontodeckung. Für die Jahre 2011 und 2012 sind ebenfalls mehrere Mahnungen dokumentiert. Am 12. März 2012 erfolgte nach erfolgloser Vereinbarung einer Ratenzahlung und nach einem entsprechenden Hinweis eine Eintragung in die Warnliste der Banken.
3. Die BF hat die Forderung der BG 1 teilweise getilgt. Diese teilweise Tilgung wurde am 21. Oktober 2024 in die Warnliste eingetragen.
4. Die BF hat am 28. September 2011 bei der BG 2 ein Konto eröffnet, welches am 4. Mai 2012 gekündigt und der dort ausgewiesene Betrag fällig gestellt wurde, da die BF auf diverse Mahnschreiben nicht reagiert hat. Mangels Zahlung wurde der offene Betrag nach entsprechender Information an die BF im Juni 2006 in die Warnliste eingemeldet.
5. Die BF hat darüber hinaus am 26. Jänner 2012 bei der BG 2 einen Kreditvertrag abgeschlossen. Dieser wurde jedoch wegen der nicht erfolgten Bezahlung der Kreditraten bereits im Juni 2012 wieder gekündigt und entsprechend in die Warnliste eingemeldet.
6. Die BF wurde bei Abschluss des unter Punkt 4 genannten Vertrages über ein Girokonto sowie bei Abschluss des unter Punkt 5 genannten Kreditvertrages davon in Kenntnis gesetzt, dass bei vertragswidrigem Verhalten eine Einmeldung in die Warnliste der Banken erfolgt.
7. Die BF hat am 31. Oktober 2024 eine Abschlagszahlung iHv. 9.000 EUR an die BG 2 geleistet. Die BG 2 hat daraufhin den noch offenen Betrag von ca. 12.000 EUR ausgebucht.
8. Zum Zeitpunkt der Beschwerdeerhebung wurden folgende Daten der BF in der Warnliste der Banken verarbeitet
[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Faksimile im grafischen Format PNG dargestellte Auszug/Ausdruck wurde in ein Textdokument umgewandelt und wird hier pseudonymisiert wiedergegeben.]
„ Warnliste
Gespeicherte Personendaten
Nachname: A***
Vorname: Hermine
Geburtsdatum: 1991-**-**
Adresse: AT-**** G***berg, Sankt B*** 1*
Eintragung 1
Kreditdaten
Datum der Einmeldung: 2012-06
Identnummer: *5*3*66*1
Kreditgeber: **3*9 - M*** Bank AG
Kontonummer: 0*7*6*22*1
Symbol: G04
Forderung aus: Girokontoverbindung
Betrag von EUR 3.001,00 bis EUR 4.000,00
Sonstiges Teilweise Tilgung - 2024-**-**
Eintragung 2
Kreditdaten
Datum der Einmeldung: 2012-05
Identnummer: 0*8*5*1**
Kreditgeber: **3*9 - M*** Bank AG
Kontonummer: 0***99*11*8
Symbol: G05
Forderung aus: Girokontoverbindung
Betrag von EUR 4,001,00 bis EUR 5,000
Sonstiges Teilweise Tilgung - 2024-**-**
Eintragung 3
Kreditdaten
Datum der Einmeldung: 2012-03
Identnummer: 0*8*9*01
Kreditgeber: **5*0 – N*** Bank AG
Kontonummer: 0***44*2*3
Symbol: G05
Forderung aus: Girokontoverbindung
Betrag von EUR 4,001,00 bis EUR 5,000 r 00
Sonstiges Teilweise Tilgung - 2024-**-**“
Abb.: Auszug aus der von der BF vorgelegten Auskunft durch den H*** bzw. die H*** ADV GmbH
Beweiswürdigung : die Feststellungen ergeben sich aus den übereinstimmenden sowie nicht bestrittenen Vorbringen der Verfahrensparteien und der somit unstrittigen Aktenlage.
Die gesamte Dokumentation liegt dem Akt bei und wird von der Datenschutzbehörde der Entscheidungsfindung zu Grunde gelegt.
D. In rechtlicher Hinsicht folgt daraus:
1. Zur Warnliste der Banken bzw. und zur Verarbeitung bonitätsrelevanter Daten
Bei der Warnliste der österreichischen Kreditinstitute handelt es sich um eine zu Zwecken des Gläubigerschutzes und der Risikominimierung geführte Liste („Bankenwarnliste“), aus der die teilnehmenden Banken einen Warnhinweis auf vertragswidriges Kundenverhalten entnehmen können (vgl. den Bescheid der DSB vom 19. Februar 2019, GZ DSB-D123.159/0002-DSB/2019 sowie den Bescheid der ehemaligen DSK vom 23. November 2001, GZ K095.014/021-DSK/2001). Kreditinstitute können sowohl die Eintragung als auch Austragung aus dieser Liste veranlassen. Aus diesem Grunde sind die BG 1 und BG 2 wegen ihrer Eigenschaft als Kreditinstitute im gegenständlichen Fall als Verantwortliche iSd. Art. 4 Z 7 DSGVO zu betrachten.
Mangels spezieller Regelungen in den einschlägigen Materiengesetzen sind die allgemeinen Grundsätze der DSGVO anzuwenden, wonach u.a. personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden dürfen (vgl. Art. 5 Abs. 1 lit. b DSGVO), sachlich richtig und gegebenenfalls auf dem neuesten Stand sein müssen (lit. d leg. cit.) sowie nur so lange in personenbezogener Form gespeichert werden dürfen, wie dies für die Zwecke der Verarbeitung unbedingt erforderlich ist (lit. e leg. cit.).
Verfahrensgegenständlich stellt sich die Frage, wie lange Zahlungserfahrungsdaten nach teilweiser Begleichung der Forderung noch gespeichert werden können, ehe sie für die Zwecke der Verarbeitung, also insbesondere des Gläubigerschutzes und der Risikominimierung bei Kreditvergabe, nicht mehr notwendig sind. Nur wenn die personenbezogenen Daten noch bonitätsrelevant sind, besteht ein Verarbeitungszweck gemäß Art. 5 Abs. 1 lit. b DSGVO.
Im Hinblick auf die konkrete Speicherfrist der Zahlungserfahrungsdaten ist zudem auf die Erkenntnisse des BVwG vom 30. Oktober 2019, GZ: W258 2216873-1/7E, und vom 28. Juli 2020, GZ: W211 2225136-1, hinzuweisen:
Demnach können als Richtlinie, wie lange Bonitätsdaten zur Beurteilung der Bonität eines (potentiellen) Schuldners geeignet sind, Beobachtungs- oder Löschungsfristen in rechtlichen Bestimmungen herangezogen werden, die dem Gläubigerschutz dienen oder die die Erfordernisse an eine geeignete Bonitätsbeurteilung näher festlegen.
Solche Bestimmungen finden sich in der Verordnung (EU) Nr. 575/2013 des europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 („Kapitaladäquanzverordnung“), in der Kreditinstitute u.a. verpflichtet werden, ihre Kunden und Kundinnen zu bewerten und diverse Risiken ihrer Forderungen abzuschätzen. Die (EU-)Verordnungsgeber gehen dabei davon aus, dass für die Beurteilung der Bonität von (potentiellen) Schuldnern und Schuldnerinnen bzw. des Risikos einer Forderung Daten über etwaige Zahlungsausfälle über einen Zeitraum von zumindest fünf Jahren relevant sind. Dabei kommt es für den Beginn des Laufs der Frist auf den Zeitpunkt der Erfüllung eines Zahlungsplanes an, da erst dann die konkrete Höhe des Zahlungsausfalls bestimmt werden kann.
Gemäß § 39 Bankwesengesetz (BWG) obliegt es Kreditinstituten in Einklang mit der Verordnung (EU) Nr. 575/2013 des europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 („Kapitaladäquanzverordnung“) Sorgfaltsmaßnahmen in Zusammenhang mit der Erfassung, Beurteilung, Steuerung und Überwachung von bankgeschäftlichen Risiken u.a. in Zusammenhang mit der Vergabe von Krediten auch an natürliche Personen zu implementieren.
Konkret ordnet § 39 Abs. 2 BWG an, dass Kreditinstitute für die Erfassung, Beurteilung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und -praktiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen haben, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind.
Nach Abs. 2b Z 1 dieser Bestimmung haben solche Verfahren gemäß Abs. 2 u.a. insbesondere das Kreditrisiko zu berücksichtigen.
2. In der Sache
Die BG 1 und die BG 2 stützen die Verarbeitung der personenbezogenen Daten im gegenständlichen Fall auf deren berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Gläubigerschutzes.
Eine Verarbeitung auf dieser Grundlage ist unter drei kumulativen Voraussetzungen zulässig: i) Wahrnehmung eines berechtigten Interesses durch den Verantwortlichen oder den bzw. die Dritten, denen die Daten übermittelt werden, ii) Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und iii) kein Überwiegen der Grundrechte und Grundfreiheiten der vom Datenschutz betroffenen Person über das wahrgenommene berechtigte Interesse (vgl. in Bezug auf die Richtlinie 95/46/EG das Urteil des EuGH vom 11. Dezember 2019, C-708/18 [TK] Rz 40 mwN).
Zum Vorliegen eines berechtigten Interesses
Die BG 1 und die BG 2 sowie andere Kreditinstitute haben zweifellos ein berechtigtes Interesse daran, bei Verträgen, die ein kreditorisches Risiko beinhalten, dieses Risiko abzuschätzen („Gläubigerschutzinteresse“) und gegebenenfalls zu minimieren oder sogar vollends auszuschließen. Die Verarbeitung von historischen Zahlungserfahrungsdaten in der Warnliste dient weiters dazu, die Beschwerdegegnerin und andere Kreditinstitute dabei zu unterstützen, die Vorschriften der Kapitaladäquanzverordnung zu erfüllen. Insgesamt handelt es sich bei der Verarbeitung von historischen Zahlungserfahrungsdaten auch um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten Zweck (§ 39 BWG). Die Bankenwarnliste dient dem Gläubigerschutz und der Risikominimierung (vgl. das Erkenntnis des VwGH vom 9. Mai 2023, Ro 2020/04/0037, Rn 53 mwN).
Zur Erforderlichkeit
Die Verarbeitung von Zahlungserfahrungsdaten ist mit Sicherheit ein geeignetes Mittel, um die Zahlungsfähigkeit bzw. -willigkeit einer natürlichen Person zu bewerten. Sie ist auch insofern erforderlich, als eine Bewertung des Risikos einzig und allein auf Basis der aktuellen Situation einer natürlichen Person kein vollständiges Bild ergäbe und aus dem früheren Zahlungsverhalten zu Recht Schlüsse auf das zukünftige Agieren gezogen werden können, wiewohl sich daraus keine allgemeinen und immer gültigen Prognosen erstellen lassen. Es ist daher eine Beurteilung im Einzelfall unter Heranziehung aller verfügbaren Informationen vorzunehmen.
Zur Interessensabwägung
Dem Interesse des Gläubigerschutzes der BG 1 und der BG 2 sowie weiterer beteiligter Kreditinstitute stehen die Interessen der BF gegenüber, durch die negativen Einträge in der Warnliste nicht übermäßig in ihrem wirtschaftlichen Fortkommen eingeschränkt zu werden. Daher hat eine Abwägung der gegensätzlichen Interessen zu erfolgen, um zu beurteilen, ob die Verarbeitung im vorliegenden Fall gerechtfertigt ist.
Wie unter Punkt C.2 bis C.5 festgestellt wurde, hat die BF bei der BG 1 und der BG 2 einen Kreditvertrag bzw. Verträge über Girokonten abgeschlossen, wobei es in bei all den genannten Verträgen bereits nach kurzer Zeit zu Zahlungsschwierigkeiten bzw. - ausfällen kam. Danach erfolgten in einem Zeitraum von knapp über zwölf Jahren bis Oktober 2024 überhaupt keine Zahlungen. Zum genannten Zeitpunkt hat die BF schließlich die offenen Forderungen teilweise beglichen. Die teilweise Tilgung wurde dementsprechend auch in die Warnliste eingemeldet.
Zum Zeitpunkt des Abschlusses des gegenständlichen Verfahrens ist seit der teilweisen Tilgung der offenen Forderungen knapp über ein Jahr vergangen. Demgegenüber steht der wesentlich längere Zeitraum von zwölf Jahren, die zwischen der Fälligstellung der Forderungen und der teilweisen Tilgung verstrichen ist.
Wie der Verwaltungsgerichtshof in seiner Entscheidung vom 9. Mai 2023 ausgeführt hat, kommt es im Rahmen der fallbezogenen Betrachtung auf die konkreten Gegebenheiten an, wie zB die Höhe der einzelnen Forderungen oder den Zeitpunkt des Feststehens des endgültigen Ausfalls der Forderung sowie auch das Datum der Eintragung in die Datenbank (vgl. VwGH vom 9. Mai 2023, 2020/04/0037, Rz 67).
In derselben Entscheidung hat der VwGH auch festgehalten, dass Eintragungen von zumindest fünf Jahre zurückliegenden Zahlungserfahrungsdaten dem Zwecke des Gläubigerschutzes und der Risikominimierung dienen können (a.a.O., Rz 76).
Im Lichte der oben dargelegten Ausführungen kommt die Datenschutzbehörde im vorliegenden Fall daher zu dem Schluss, dass die Verarbeitung der personenbezogenen Daten der BF nach wie vor zum Zwecke des Gläubigerschutzes erforderlich ist und diese somit zurecht nicht gelöscht wurden. Die Information über die endgültige Höhe des Forderungsausfalls ist wie festgestellt zum gegenwärtigen Zeitpunkt erst knapp über ein Jahr alt, demgegenüber steht die deutlich längere Zeit von zwölf Jahren, in denen die BF keinerlei Zahlungen geleistet hat. Diese Information ist jedenfalls für die Beurteilung der Bonität der BF relevant, da die Dauer des Zahlungsausfalls ein wichtiges Kriterium für die Beurteilung von dessen Schweregrad darstellt. Ebenfalls in Betracht gezogen werden muss die Tatsache, dass die BG 2 letztlich einen höheren Betrag wertberichtigen musste, als die BF zum Zwecke der teilweisen Tilgung überwiesen hat.
Die Beschwerde wegen einer behaupteten Verletzung im Recht auf Löschung war somit spruchgemäß abzuweisen .
Zur behaupteten Verletzung der Informationspflichten
Die BF argumentierte in ihrer Beschwerde sinngemäß, dass sie nicht korrekt über die Einmeldung der offenen Forderungen in die Warnliste informiert worden sei.
Abgesehen von der Tatsache, dass beide BG wie unter Punkt C festgestellt eine entsprechende Information vorab erteilt haben, ist auch auf die Judikatur des BVwG zu verweisen, wonach nicht jede Verletzung der Informationspflicht zur Folge hat, dass die Verarbeitung damit gleichzeitig auch gegen Art. 5 und Art. 6 DSGVO verstößt (vgl. BVwG vom 12. Juli 2024, W298 2287221-1/8E und die darin zitierte Judikatur des VwGH).
Selbst bei einer angenommenen Verletzung der Informationspflichten wäre also für die BF daraus nichts zu gewinnen, da eine solche Feststellung keinesfalls die von der BF bezweckte Verpflichtung zur Löschung ihrer personenbezogenen Daten zur Folge hätte.
Zum Eintrag der „teilweisen Tilgung“
Soweit die BF vorbringt, der Eintrag, wonach die Forderungen teilweise getilgt seien, wäre falsch, da sie mit der Abschlagszahlung eine endgültige Einigung betreffend ihre Schulden erzielt hätte, ist ihr wie folgt entgegen zu halten:
Laut Duden bedeutet „Tilgung“ „durch Zurückzahlen beseitigen, ausgleichen, aufheben“ (vgl. dazu https://www.duden.de/rechtschreibung/tilgen, Abruf des Links am 4. Dezember 2025), sodass auch im allgemeinen Sprachgebrauch unter „teilweise Tilgung“ eine „teilweise Zahlung“ zu verstehen ist. Nachdem die BF ja tatsächlich nur einen Teil der offenen Forderungen zurückgezahlt hat und ein anderer Teil wertberichtigt werden musste, stellt der Eintrag ein richtiges personenbezogenes Datum dar (v.a. im Vergleich mit dem falschen Eindruck, der entstünde, wenn man die Forderungen bloß als „getilgt“ klassifizieren würde). Der Eintrag war daher einer Berichtigung nicht zugänglich, zumal die BF ohnehin keinen entsprechenden Antrag gestellt hat.
3. Fazit
Insgesamt war daher spruchgemäß zu entscheiden.
Rückverweise
