K211.489/008-DSK/2003 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER, sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 11. Juli 2003 folgenden Beschluss gefasst:

S p r u c h

Der Mandatsbescheid des geschäftsführenden Mitglieds der Datenschutzkommission vom 28 Februar 2003, GZ K211.489/001- DSK/2003, wird gemäß § 40 Abs 1 Datenschutzgesetz 2000, BGBl I Nr 165/1999 idF BGBl I Nr 136/2001 (DSG 2000) aufgehoben.

B e g r ü n d u n g

Mit Mandatsbescheid vom 28 Februar 2003, GZ K211.489/001- DSK/2003, zugestellt am 17. März 2003, untersagte das Geschäftsführende Mitglied der Datenschutzkommission der F-Telekom-Gesellschaft m.b.H. in T (geprüfte Partei)[Anmerkung:

Name und Rechtsform zwecks Anonymisierung geändert], gestützt auf § 20 Abs 3 DSG 2000, den Betrieb des Kreditinformationssystems 'F-Check' [Anmerkung: Bezeichnung aus Gründen der Anonymisierung geändert]. Dem Bescheid lag ohne vorangegangenes ordentliches Ermittlungsverfahren auf der Grundlage von Medienberichten, einer Überprüfung des Datenverarbeitungsregisters, einer Abfrage des Firmenbuchs sowie eines Besuchs auf der Website der geprüften Partei die Annahme zu Grunde, die geprüfte Partei betreibe unter der Bezeichnung 'F-Check' eine über das Internet zugängliche Datenanwendung (http://www.xxxxxxxxxxxxxxxxxxxxx.html), die die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck habe und daher gemäß §§ 17 Abs 1 und 18 Abs 2 Z 3 DSG 2000 sowohl der Meldepflicht wie der Vorabkontrolle durch die Datenschutzkommission unterliegen würden. Eine entsprechende Meldung sei aber nicht erfolgt, der Betrieb der Datenanwendung erfolge daher unrechtmäßig und sei zu untersagen.

Gleichzeitig wurde der geprüften Partei aufgetragen, eine entsprechende Meldung für das Datenverarbeitungsregister (DVR) zu erstatten.

Die geprüfte Partei erhob mit Schriftsatz vom 31. März 2003 fristgerecht Vorstellung gegen den Mandatsbescheid und brachte sinngemäß vor, nicht Auftraggeber der Datenanwendung zu sein, sondern als Vertriebspartner nur Datenanwendungen der E-Ges.m.b.H. in N, einer Wirtschaftsauskunftei, zu bewerben und der interessierten Öffentlichkeit zugänglich zu machen. Sie beantragte, den Mandatsbescheid aufzuheben. Eine Meldung an das DVR erfolgte nicht.

Mit Erledigung vom 11. April 2003, GZ K211.489/004-DSK/2003, wurde das Ermittlungsverfahren eingeleitet. Beweis wurde aufgenommen durch Einsichtnahme in den von der geprüften Partei vorgelegten Vertrag mit der E-Ges.m.b.H., durch mehrfachen Abruf der Websites der geprüften Partei sowie durch Einholung einer schriftliche Stellungnahme der geprüften Partei.

Es wird folgender, entscheidungsrelevanter Sachverhalt festgestellt:

Die geprüfte Partei, die F-Telekom-Gesellschaft mit beschränkter Haftung, hat am 19. Dezember 2002 mit der E-Gesellschaft mit beschränkter Haftung (im Folgenden kurz: E), einer im Firmenbuch des Handelsgerichts N unter FN 2XXXX0g eingetragenen Gesellschaft, einen als 'Vertriebspartnervertrag' bezeichneten Vertrag geschlossen. Gemäß dieser Vereinbarung ist die geprüfte Partei berechtigt, ihren Kunden Internet-Zugänge zur im Eigentum der E stehenden Datenbank (auch als 'Datenpool' bezeichnet) namens 'PS System' (im Folgenden kurz: PSS) [Anmerkung: Bezeichnung aus Gründen der Anonymisierung verändert] zu verkaufen und die technischen Voraussetzungen für eine Abfrage von PPS mit Login über die Website der geprüften Partei zu schaffen. Bei PPS handelt es sich um eine Datenbank zur Erteilung von Auskünften über die Kreditwürdigkeit der Betroffenen. Die E ist unter DVR XXXXX07 im Datenverarbeitungsregister der Datenschutzkommission als Auftraggeber von PPS registriert. Gemäß den Bedingungen des Vertrags vom 19. Dezember 2002 (Punkt 3) ist die geprüfte Partei verpflichtet, beim Verkauf des PPS-Zugangs im eigenen Namen und auf eigene Rechnung und Gefahr tätig zu werden. Die geprüfte Partei ist nicht berechtigt, als Vertreter oder Agent der E aufzutreten. Im Vertragspunkt 4 ('Rolle der E: Hersteller und Betreiber') ist unter anderem festgelegt: 'E stellt als Hersteller und Betreiber die Softwareplattform zur Abfrage der Daten (PPS) zur Verfügung. E koordiniert die rechtlichen, systemtechnischen, organisatorischen und finanziellen Aspekte des Datenaustausches.' [...] '4.2 (Überschrift 'Aufgaben') E ist Eigentümer des Datenpools. E entscheidet über dessen Weiterentwicklung.'

Der Vertrag zwischen der geprüften Partei und E trat frühestens mit 1. Jänner 2003 in Kraft (Punkt 6, erster Absatz).

Beweiswürdigung: Die vorangegangenen Feststellungen beruhen auf dem Inhalt des zitierten Vertrags, vorgelegt von der geprüften Partei in Kopie als Beilage zum Schriftsatz vom 6. Mai 2003 ('Aufgetragene Bekanntgabe'), GZ K211.489/006- DSK/2003.

Die geprüfte Partei eröffnete zu einem nicht näher bekannten Zeitpunkt zwischen dem 1. Jänner 2003 und dem 21. Februar 2003 unter der Produktbezeichnung 'F-Check' einen Internetzugang zu PPS über ihre Website (URL: http://www.xxxxxxxxxxxxxxxxxxx.html). Anfangs wurde unter dieser Webadresse (Login-Fenster) kein Hinweis auf den für die Daten verantwortlichen Auftraggeber gegeben. Lediglich in den dort abrufbaren Produktinformationen fand sich mit dem Satz 'Durch unsere Partnerschaft mit dem international agierenden Information-Broker E [Anmerkung: Unterstreichung im Original Hyperlink] ermöglichen wir ihnen jetzt den Zugriff auf die führende Unternehmensdatenbank im Internet und damit auf alle verfügbaren Firmen- und Privatadressen Österreichs' ein Hinweis auf die E ohne deren datenschutzrechtliche Rolle klar darzustellen.

Beweiswürdigung : Diese Feststellungen gründen sich auf den Inhalt der Website

http://www.xxxxxxxxxxxxxxxxxxx.html, wie er am 21. Februar 2003 im Screenshot, Beilage./C zu GZ K211.489/001-DSK/2003, gesichert wurde, sowie auf die als Beilage./D zur selben Geschäftszahl ausgedruckte 'Leistungsbeschreibung F-Check'.

Am 28. Februar 2003, erging unter der GZ K211.489/001-DSK/2003 der Mandatsbescheid des Geschäftsführenden Mitglieds der Datenschutzkommission, der der geprüften Partei am 17. März 2003 per Fax zugestellt wurde.

Beweiswürdigung : Diese Feststellungen beruhen auf den zitierten Verwaltungsakten.

Im Zuge des Ermittlungsverfahrens wurde die Website der geprüften Partei von der Datenschutzkommission am 11. April 2003 neuerlich besucht. Diese wurde zwischen dem 21. Februar und dem 11. April 2003 verändert. Am 11. April 2003 war das Login-Fenster für Kunden unter der URL http://www.xxxxxxxxxxxxxxxxxxxxxxxxx_login aufzurufen. Unter der Eingabeaufforderung (Benutzername und Passwort) fand sich folgender, deutlich lesbarer Hinweis: 'F-Check ermöglicht ihnen den Zugang zur PPS Online Datenbank von E (DVR Nr: XXXXX07). Die gesamte Datenbank wird von E gehostet und verwaltet.' Beim Versuch, ohne gültigen Benutzernamen oder Passwort in F-Check einzusteigen, wurde man an diesem Tag mit einer Fehlermeldung ('Benutzernamen oder Passwort ungültig') direkt auf eine Website der E

(http://www.xxxxx.at/user/appl.asp) umgeleitet.

Beweiswürdigung: Diese Feststellungen stützen sich auf die Screenshots, Beilagen./A und./B, eingebettet in den Aktenvermerk GZ K211.489/004-DSK vom 11. April 2003, angelegt vom Sachbearbeiter der Datenschutzkommission, Mag. Michael Suda.

In rechtlicher Hinsicht folgt daraus:

Gemäß § 18 Abs 2 Z 3 DSG 2000 dürfen Datenanwendungen, die weder einer Musteranwendung entsprechen noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften betreffen, erst nach Vorabkontrolle durch die Datenschutzkommission aufgenommen werden, wenn sie die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben.

Gemäß § 20 Abs 2 DSG 2000 hat die Datenschutzkommission bei Gefahr im Verzug im Prüfungs- und Verbesserungsverfahren die Weiterführung einer Datenanwendung mit Mandatsbescheid (§ 57 Abs 1 Allgemeines Verwaltungsverfahrensgesetz 1991, BGBl Nr 51/1991 idF BGBl I Nr 117/2002 (AVG)), zu untersagen, wenn eine wesentliche Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen vorliegt.

Unbestrittenermaßen handelt es sich bei PPS um ein Kreditinformationssystem im Sinne von § 18 Abs 2 Z 3 DSG 2000. Die geprüfte Partei bestreitet allerdings, für diese Datenanwendung als Auftraggeberin verantwortlich zu sein.

Auf der Grundlage des im Ermittlungsverfahren erhobenen Sachverhalts ist dieser Einwand berechtigt.

Selbst wenn man in Rechnung stellt, dass die geprüfte Partei möglicherweise bei der Herstellung der Datenverbindung zwischen ihren Kunden und der E Daten des PPS zwischenspeichert, was nach dem Wortlaut von § 4 Z 9 DSG 2000 Datenverarbeitung sein kann, so lässt der vorgelegte Vertrag zwischen der geprüften Partei und E doch den eindeutigen Schluss zu, dass die E alle Entscheidungen dahingehend trifft, ob Daten eines Betroffenen im PPS verarbeitet werden. Diese Entscheidungsbefugnis über das Ob und Wie einer Datenverarbeitung ist nach der Definition in § 4 Z 4 DSG 2000 die charakteristische Eigenschaft des datenschutzrechtlichen Auftraggebers. Daher ist die E Ges.m.b.H. als Auftraggeberin für die Datenanwendung PPS verantwortlich. Für die Funktion der geprüften Partei als kommunikationstechnische Vermittlerin zwischen der E und ihren Kunden und 'Verkäuferin' des PPS (im eigenen Namen und auf eigene Rechnung) findet sich im DSG 2000 dagegen keine vordefinierte Rolle.

Hinsichtlich der Datenanwendungen der Auftraggeberin E Ges.m.b.H. führt die Datenschutzkommission zu Zl. K211.XXX bereits ein noch offenes Kontrollverfahren.

Die geprüfte Partei hat auch, vermutlich nach Kenntnisnahme des Problemkreises durch den Mandatsbescheid der Datenschutzkommission und in Übereinstimmung mit der E, in richtiger Würdigung des Umstandes, dass die im DSG 2000 festgelegten Pflichten des Auftraggebers zwingend sind und nicht durch Vertrag zu Lasten der Betroffenen abgeändert werden können, die Auftraggebereigenschaft der E auf ihrer Website offen gelegt. Dazu muss angemerkt werden, dass die geprüfte Partei damit Pflichten erfüllt, die eigentlich die Auftraggeberin E treffen. Dabei handelt es sich insbesondere um die besondere Pflicht zur Offenlegung der Identität des Auftraggebers gemäß § 25 Abs 1 DSG 2000 sowie allgemein um die Informationspflicht des Auftraggebers im Rahmen der Datenverarbeitung nach Treu und Glauben gemäß § 24 Abs 2 DSG 2000. Die Datenschutzkommission beabsichtigt in diesem Zusammenhang, eine Empfehlung gemäß § 30 Abs 6 DSG 2000 an die Beteiligten auszusprechen.

Da das Ermittlungsverfahren aber ergeben hat, dass die geprüfte Partei selbst mangels Auftraggebereigenschaft keine Auftraggeberpflichten, insbesondere keine Pflicht zur Erfüllung der Meldepflicht trifft, war der Vorstellung stattzugeben und der Mandatsbescheid aufzuheben.