K120.911/0014-DSK/2004 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
BESCHEID
Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in Anwesenheit der Mitglieder Mag. HUTTERER, Dr. ROSENMAYER-KLEMENZ, Dr. SOUHRADA-KIRCHMAYER, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 26. November 2004 folgenden Beschluss gefasst:
Spruch
Über die die Beschwerde des Ing. Fritz S*** aus R*** (Beschwerdeführer), vertreten a) durch den P***- Datenschutzverein, dieser vertreten durch Mag. A***, und b) durch die Rechtsanwälte Dr. L***, Dr.K***, Dr. I*** und Mag. C***, P***-straße *0/*2, **20 U***, vom 27. November 2003 wegen Verletzung des Rechts auf Auskunft über eigene Daten gegen die Z*** Direktmarketing Ges.m.b.H. in T*** (Beschwerdegegnerin), vertreten durch Dr. Gunther E***, Rechtsanwalt, H***straße **6, **21 T***, wird gemäß §§ 1 Abs 5 und 31 Abs 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 136/2001, wie folgt entschieden:
1. Der Beschwerde wird stattgegeben, und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer durch das Erteilen einer nachweislich falschen Auskunft (Schreiben vom 24. Oktober 2003), keine Daten über ihn zu verarbeiten, im Recht auf Auskunft nach den §§ 1 Abs. 3 Z 1 und 26 Abs. 1 DSG 2000 verletzt hat.
2. Der Beschwerdegegnerin wird gem. § 59 Abs. 2 AVG aufgetragen, innerhalb einer Frist von zwei Wochen die inhaltliche Auskunft nachzuholen und sämtliche Daten richtig und umfassend zu beauskunften.
Begründung
I. Verfahrensgang und Vorbringen der Parteien
Mit Eingabe (Beschwerde) vom 27. November 2003 brachte der Beschwerdeführer vor, am 7. Oktober 2003 an die Beschwerdegegnerin ein Auskunftsbegehren gemäß § 26 DSG 2000 gerichtet zu haben. Dieses sei schnell aber nur unzureichend erfüllt worden, da behauptet werden, keine Daten über ihn zu verarbeiten. Eine bei der A-D-P*** Data KEG parallel eingeholte Auskunft habe aber die Beschwerdegegnerin als Quelle der für Zwecke der Erstellung der 'A-D-P*** Marketing CD [Teil 1 – Haushalte Private]' verarbeiteten Daten angegeben. Daher sei die Negativauskunft offensichtlich nicht glaubwürdig und der Beschwerdeführer durch sie in seinem Recht auf Auskunft über eigene Daten verletzt. Er beantragte, der Beschwerdegegnerin die vollständige und richtige Erfüllung des Auskunftsbegehrens, insbesondere der tatsächlichen Eintragungen bei den einzelnen Datenarten, der Herkunft der Daten und der eventuellen Übermittlungsempfänger aufzutragen.
Nach Behebung von Formmängeln der Beschwerde (Nachweis einer Vollmacht durch den nicht zur berufsmäßigen Parteienvertretung befugten P***-Datenschutzverein), wurde die Beschwerdegegnerin zur Stellungnahme aufgefordert.
Die Beschwerdegegnerin brachte, anwaltlich vertreten, mit Schriftsatz vom 15. Jänner 2004 vor, die A-D-P*** Data KEG habe nur angegeben, dass Daten des Beschwerdeführers in der eigens für den 'geplanten, projektierten CD-Prototyp' angelegten 'CD'-Datenbank Daten des Beschwerdeführers verarbeitet würden, nicht aber gesonderten 'Gesamtdatenbank' der Beschwerdegegnerin. Nun sei nach nachträglicher, genauer Überprüfung auch der 'CD'-Datenbank festgestellt worden, dass die Daten des Beschwerdeführers auf Grund eines Widerspruchs im Juli 2003 gelöscht worden seien. Der Datenbestand der 'CD'- Datenbank, in dem Daten des Beschwerdeführers noch enthalten waren, sei letztmals im Juni 2003 an die A-D-P*** Data KEG übermittelt worden. Im Zeitpunkt des Auskunftsbegehrens seine die Daten aber bereits gelöscht gewesen.
Der Beschwerdeführer replizierte darauf mit Schriftsatz vom 25. Februar 2004 folgendermaßen: Das Vorbringen der Beschwerdegegnerin sei widersprüchlich. Wenn es neben der 'Gesamtdatenbank' noch eine eigene 'CD-Datenbank' gebe, und Daten zwischen diesen hin und her übermittelt und abgeglichen würden, bestehe der Verdacht, dass ein Informationsverbundsystem gemäß § 4 Z 13 DSG 2000 vorliege, das entsprechend zu melden gewesen wäre. Dies sollte von der Datenschutzkommission überprüft werden. Unabhängig von der EDV-Organisation hätte die Beschwerdegegnerin aber über Daten aus allen in Frage kommenden Datenbanken und Datenanwendungen Auskunft geben müssen, einschließlich der stattgefundenen Übermittlungen.
Die Datenschutzkommission ordnete durch das geschäftsführende Mitglied für den 30. Juni 2004 eine Einschau gemäß § 30 Abs 4 DSG 2000 in die Datenanwendungen der Beschwerdegegnerin an. Über das Ergebnis dieser Einschau (Niederschrift vom 30. Juni 2004, GZ: K120.896/0009-DSK/2004, Kopie einliegend in diesem Akt zu GZ: K120.911/0008-DSK/2004) wurde aus technischer Sicht durch Prof. Dr. August D*** und Stephan G*** vom Zentrum für sichere Informationstechnologie – Austria (A-SIT) ein Amtssachverständigengutachten abgegeben (Projektnummer A-SIT 4.***-5, GZ K120.896/0010-DSK/2004 vom 26. Juli 2004, Kopie einliegend zu GZ K120.911/0010-DSK/2004 in diesem Akt)
Der Beschwerdeführer brachte im Rahmen des ihm gewährten Parteiengehörs dazu nichts vor. Allerdings soll die durch den P***-Datenschutzverein in einem anderen Verfahren (K120.896) namens des dortigen Beschwerdeführers abgegebene Stellungnahme vom 23. August 2004 (Eingangsdatum, irrtümlich datiert mit '7. April 2004') erkennbar für alle von diesem Verein vertretenen Personen gelten. Man bringt vor, die durch Einschau und Gutachten hervorgekommene Nicht-Protokollierung tatsächlicher Verarbeitungsvorgänge wie der Übermittlung von Daten durch die Beschwerdegegnerin entspreche nicht dem Gesetz, im Speziellen § 14 DSG 2000. Das eingesetzte Datenbankprogramm sei veraltet und entspreche nicht dem Stand der Technik. Eine bessere Protokollierung der Verarbeitungsvorgänge sei auch durchaus wirtschaftlich vertretbar (Preisverfall bei Speichermedien, Erhöhung der Rechnerleistung durch technischen Fortschritt etc.). Dazu werden Kontrollverfahren betreffend alle Branchenführer unter den Adressverlagen und Restriktionen der Datenschutzkommission betreffend die Datenanwendungen der Beschwerdegegnerin angeregt. Des Weiteren äußert man den Verdacht, die auf den Beschwerdeführer und andere bezogenen Daten, deren Herkunft nicht feststehe, seien unrechtmäßig ermittelt worden, etwa aus Datenanwendungen der N*** Mail AG, deren Konzern ebenfalls auf dem Gebiet des Adressenhandels aktiv sei. Es stehe weiters fest, dass das Geburtsdatum beim Beschwerdeführer wie bei der Mehrzahl der geprüften Fälle nicht statistisch errechnet sondern auf andere Weise ermittelt worden sei, die Rechtmäßigkeit dieser Datenermittlung werde ausdrücklich bestritten. Im Hinblick auf (beim Beschwerdeführer nicht benützte) Datenfelder mit Bezeichnungen wie 'Assimilierungsgrad' äußerte man Zweifel an der Vollständigkeit des der Datenschutzkommission bei der Einschau zugänglich gemachten Datenbestandes. Bezüglich der so genannten 'SVD-Sperrdatei', eine unternehmensinternen Datei zur Erfassung jener Personen, deren Daten auf Dauer nicht von der Beschwerdegegnerin verwendet (also auch nicht neuerlich ermittelt und verarbeitet) werden sollen, bestritt der Beschwerdeführer die Legalität dieser Maßnahme, die einer Verweigerung der Löschung gleichkomme. Zur Ausscheidung der Daten solcher Betroffener genüge die von der Wirtschaftskammer Österreich geführte Sperrdatei ('Robinson-Liste'). Jedenfalls habe es die Beschwerdegegnerin verabsäumt, aus der SVD-Sperrdatei Auskunft zu geben. Überhaupt müsse die Beschwerdegegnerin über alle 107 Datenfelder, bei denen nach Meinung des Beschwerdeführers Daten über ihn vorlägen, Auskunft erteilen. Weitere der sehr umfangreichen Ausführungen sind für die zu entscheidende Auskunftsbeschwerde weniger relevant und umfassen Vorbringen zu Fragen der Daten- und Betriebssicherheit in den EDV-Anlagen der Beschwerdegegnerin und bei der technischen Datenübertragung.
Die Beschwerdegegnerin erstattete zu den Ergebnissen des Ermittlungsverfahrens ebenfalls eine Stellungnahme, datierend vom 13. August 2004. Diese beziehen sich allerdings mehrheitlich auf parallele Beschwerdeverfahren. Darin brachte sie vor, nur wenige der in den verknüpfbaren Datenbanktabellen vorgesehenen 107 Datenarten würden tatsächlich mit personenbezogenen Daten 'befüllt', wie sich auch aus dem Amtssachverständigengutachten ergebe. Die Datenbankstruktur sei von der Schweizer Muttergesellschaft der Beschwerdegegnerin vorgegeben worden, gesetzlich gebe es keine Verpflichtung, leere Felder für nicht ermittelte Datenarten zu entfernen. In verschiedenen Datenbanktabellen doppelt erfasste Daten seien nur einmal zu beauskunften. Die im Gutachten (Punkt 3.2.2.5.) angesprochenen Daten, die nicht in der Auskunft aufscheinen würden (etwa die firmeninterne Personennummer Z***-Direkt, die Anzahl der Umzüge, die Gemeindenummer, die Postleitzahl, Gemeinde- und Zellennummern) seien auch nicht personenbezogene Daten des Beschwerdeführers und anderer Betroffener sondern 'interne Einteilungs- bzw. Suchkriterien'. Die Personen-Nr Z***-Direkt sei allerdings so genannter 'primary key' bei einer Suche nach Daten einer Person und gegen eine Auskunftserteilung darüber bestünden, falls notwendig, keine Bedenken. Im Gegensatz zur Schweizer Muttergesellschaft würde die Beschwerdegegnerin allen Betroffenen ihrer Datenanwendungen den Sprachcode für Deutsch zuordnen, da andere Sprachen in Österreich nicht relevant seien. Betreffend das Geburtsdatum einer Person sei eine Umstellung im Gange, wonach zukünftig, unabhängig von der Ermittlungsmethode (statistisch berechnet oder recherchiert), nur mehr Angaben zur Altersgruppe verarbeitet werden sollen. Das Programm zur automatischen Erstellung eines Auskunftsblattes gehe bereits von einer solchen Datenerfassung aus, und eine andere Bearbeitung von Auskunftsbegehren sei aus administrativen Gründen nicht möglich, das Vorhandensein weiterer Daten könne bei dieser Methode aber nicht ausgeschlossen werden. Die ebenfalls in Punkt 3.2.2.5 des Gutachtens erwähnten Kennzeichnungen ' A-D-P*** Sperrflag' und 'x***mail Status' seien rein interne Arbeitsbehelfe. Bestritten wurden Schlussfolgerungen der Sachverständigen, dass die Datenbank Informationen zum Grund einer Änderung enthalte sowie dass Daten regelmäßig an die Schweizer Muttergesellschaft übermittelt würden. Nicht bestritten wurden hingegen vierteljährlich stattfindende 'Übergaben' des Datenbestandes an die Firma A-D-P*** Data KEG zwecks Erstellung der bekannten 'A-D-P*** Marketing CD [Teil 1 – Haushalte Private]' sowie an die Muttergesellschaft zwecks Backups. Dies stelle allerdings keine Datenübermittlung oder Datenüberlassung im rechtlichen Sinne dar. Im Übrigen wiederholte die Beschwerdegegnerin ihr Vorbringen, die Führung detaillierter Aufzeichnungen über Herkunft und Übermittlung der Daten sei nur mit unverhältnismäßig hohem Aufwand möglich, und verwies auf ihr bisheriges Vorbringen samt Anträgen.
II. Von der Datenschutzkommission verwendete Beweismittel
Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einsichtnahme in die von den Parteien vorgelegten Urkunden(kopien) und sonstigen Dokumente, Durchführung einer Einschau in die Datenanwendungen der Beschwerdegegnerin im Rahmen eines Augenscheins (samt Sicherstellung von Datenkopien und Ausdrucken) und Einholung eines Amtssachverständigengutachtens zur Frage der verarbeiteten Daten sowie der technischen Nachvollziehbarkeit ihrer Herkunft und durchgeführter Übermittlungen.
Den Parteien wurde zu den Ergebnissen des Ermittlungsverfahrens Parteiengehör eingeräumt.
III. Festgestellter Sachverhalt und Beweiswürdigung
Die Datenschutzkommission stellt folgenden entscheidungsrelevanten Sachverhalt fest:
Die Beschwerdegegnerin betreibt das Gewerbe des Adressverlags und Direktmarketingunternehmens gemäß § 151 Gewerbeordnung 1994 (GewO 1994), BGBl Nr 194 idF BGBl I Nr 111/2002. Sie verarbeitet für diesen Zweck personenbezogene Daten in den zu DVR 243***4 im Datenverarbeitungsregister der Datenschutzkommission registrierten Datenanwendungen.
Beweiswürdigung: Diese Feststellungen beruhen auf bei der Datenschutzkommission amtsbekannten Tatsachen so wie auf eigenen Angaben und Publikationen der Beschwerdegegnerin.
Am 7. Oktober 2003 richtete der P***-Datenschutzverein namens des Beschwerdeführers und unter Berufung auf eine erteilte Vollmacht ein Auskunftsbegehren gemäß § 26 DSG 2000 an die Beschwerdegegnerin. Verlangt wurde Auskunft zu den betreffend den Beschwerdeführer gespeicherten Daten, zur Herkunft der Daten, zu Übermittlungsempfängern, zum Zweck der Datenanwendungen und zu den Vertrags- bzw. Rechtsgrundlagen der Datenverwendung. Für den Fall einer Datenüberlassung wurde Auskunft über Name und Anschrift von Dienstleistern verlangt. Unter einem erhob der Beschwerdeführer gemäß § 28 Widerspruch gegen die weitere Verwendung seiner Daten und verlangte die Abgabe einer entsprechenden Unterlassungserklärung.
Der Beschwerdeführer erhob am 27. November 2003 Beschwerde an die Datenschutzkommission wegen Verletzung seines Rechts auf Auskunft.
Beweiswürdigung: Diese Feststellungen beruhen auf den zitierten Urkunden, Beilagen zu GZ: K120.911/0001-DSK/2003 und GZ K120.911/002-DSK/2004.
Mit Schreiben vom 24. Oktober 2003 erteilte die Beschwerdegegnerin dem Beschwerdeführer Auskunft. Diese besagte, es würden über den Beschwerdeführer keine Daten verarbeitet.
Beweiswürdigung: Diese Feststellungen gründen sich auf den Inhalt der zitierten Urkunde, Beilagen zur Beschwerde vom 27. November 2003, GZ K120.911/001-DSK/2003.
Diese Auskunft war, ebenso wie das spätere Vorbringen der Beschwerdegegnerin, die Daten wären im Juni 2003 aus der 'CD'- Datenbank gelöscht worden, unrichtig
Mit Stand 30. Juni 2004 konnten aus insgesamt 3 Datentabellen (Personenstammtabelle, Haushaltsstammtabelle, Sourcepool) der Datenanwendungen der Beschwerdegegnerin 107 Datenarten mit Bezug zum Beschwerdeführer ausgewählt werden, wobei 27 Datenarten leer waren, also keinen erkennbaren Inhalt (Feldwert = leer) aufwiesen und bei anderen die Bedeutung der jeweiligen Datenart auch von den Sachverständigen nicht eindeutig ermittelt werden konnte.
Wie bereits ausgeführt konnte der Zweck und die Aussage aller Datenarten/Felder auch von den Sachverständigen nicht festgestellt werden. Nach den Angaben in der Haushaltsstammtabelle (Datenart/Feld 'dchdgte' wurden die Daten zwischen Stellung des Auskunftsbegehrens und der Einschau der Datenschutzkommission zumindest einmal, nämlich am 12. März 2004, geändert.
Die Herkunft der Daten sowie die Empfänger von Übermittlungen können an Hand der in den geprüften Datenanwendungen enthaltenen Daten nicht festgestellt werden.
Beweiswürdigung: Diese Feststellungen beruhen auf dem Ergebnis der Einschau in die Datenanwendungen der Beschwerdegegnerin durch Beauftragte der Datenschutzkommission, Niederschrift vom 30. Juni 2004, GZ K120.896/0009-DSK/2004 samt Beilagen ./A bis ./Q, Kopie einliegend zu GZ K120.911/0008-DSK/2004, sowie auf dem auf Grundlage dieser Ermittlungsergebnisse erstellten
Amtssachverständigengutachten vom 19. Juli 2004, GZ: K120.896/0010-DSK/2004, Kopie einliegend zu GZ: K120.911/0010- DSK/2004. Die Feststellungen zu den tatsächlich verarbeiteten oder zur Verarbeitung vorgesehenen Datenarten beruhen insbesondere auf den tabellarischen Aufstellungen der Sachverständigen zu den Beschwerdeführerdaten (Kapitel 5.3 des Gutachtens). Das Amtssachverständigengutachten wurde auch von der Beschwerdegegnerin, die in ihrer Stellungnahme vom 13. August 2004 einige kritische Anmerkungen gemacht hat, in den hier relevanten Punkten nicht in Zweifel gezogen.
IV. Rechtliche Beurteilung
Die Verfassungsbestimmung § 1 Abs 3 DSG 2000 hat folgenden Wortlaut:
'(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.'
§ 26 DSG 2000 hat samt Überschrift folgenden Wortlaut:
'Auskunftsrecht
§26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.
Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder
ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4.
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen: Es ist in allen Fällen, in welchen keine Auskunft erteilt wird - also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Betroffenen verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.
(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Betroffene im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.
(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten.
(8) Soweit Datenanwendungen von Gesetzes wegen öffentlich einsehbar sind, hat der Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht. Für das Verfahren der Einsichtnahme gelten die näheren Regelungen der das öffentliche Buch oder Register einrichtenden Gesetze.
(9) Für Auskünfte aus dem Strafregister gelten die besonderen Bestimmungen des Strafregistergesetzes 1968 über Strafregisterbescheinigungen.
(10) Im Falle der auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlichen Entscheidung über die Durchführung einer Datenanwendung durch einen Auftragnehmer gemäß § 4 Z 4, dritter Satz, kann der Betroffene sein Auskunftsbegehren zunächst auch an denjenigen richten, der die Herstellung des Werkes aufgetragen hat. Dieser hat dem Betroffenen, soweit dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse des eigenverantwortlichen Auftragnehmers mitzuteilen, damit der Betroffene sein Auskunftsrecht gemäß Abs. 1 gegen diesen geltend machen kann.'
Da die dem Beschwerdeführer erteilte Negativauskunft nachweislich unrichtig war, war spruchgemäß auf Verletzung im Recht auf Auskunft zu erkennen und der Beschwerdegegnerin die ordnungsgemäße Auskunftserteilung aufzutragen.