K120.981/0002-DSK/2005 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Mag. HUTTERER, Dr. KOTSCHY, Mag. PREISS und Dr. ROSENMAYR-KLEMENZ sowie der Schriftführer Mag. FLENDROVSKY und Fr. HAAS in ihrer Sitzung vom 15. Februar 2005 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des T in K (Beschwerdeführer), vertreten durch den Verein M, vom 21. Juli 2004 gegen den Verein J in K (Beschwerdegegner) wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 5 und 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 136/2001, entschieden:
Der Beschwerde wird Folge gegeben und festgestellt, dass der Beschwerdegegner den Beschwerdeführer dadurch im Recht auf Auskunft nach § 1 Abs. 3 Z 1 iVm § 26 Abs. 1, 3 und 4 DSG 2000 verletzt hat, dass er in der mit 6. Mai 2004 datierten Auskunft hinsichtlich der zur Person des Beschwerdeführers verarbeiteten Daten
Der Beschwerdegegner ist daher gemäß § 59 Abs. 2 des Allgemeinen Verwaltungsverfahrensgesetzes 1991, BGBl I Nr. 51/1991, bei sonstiger Exekution schuldig, dem Beschwerdeführer hinsichtlich der zu dessen Person verarbeiteten Daten innerhalb einer Frist von drei Wochen konkrete Angaben über deren Herkunft, soweit sie verfügbar sind, zu machen sowie die konkreten Empfänger zu benennen.
B e g r ü n d u n g:
Der Beschwerdeführer behauptete in seiner Beschwerde zunächst eine Verletzung im Recht auf Auskunft dadurch, dass ein von ihm, vertreten durch den Verein M, an den Beschwerdegegner gerichtetes Auskunftsbegehren vom 5. Mai 2004 innerhalb einer Frist von acht Wochen unbeantwortet geblieben sei.
Nachdem der Beschwerdegegner in seiner Stellungnahme dazu vom 2. August 2004 eine direkt an den Beschwerdeführer versendete Auskunft vom 6. Mai 2004 vorgelegt hatte, behauptete der Beschwerdeführer in seinem im Rahmen des Parteiengehörs erstatteten Schriftsatz vom 18. August 2004 eine Unvollständigkeit dieser Auskunft, weil sie hinsichtlich der Herkunft der Daten nur allgemeine Angaben enthalte und außerdem hinsichtlich der Datenübermittlung nur Empfängerkreise und nicht konkrete Empfänger benenne. Das ursprüngliche Beschwerdevorbringen, es sei überhaupt keine Auskunft erteilt worden, hat die Datenschutzkommission daher als entsprechend eingeschränkt angesehen.
Der Beschwerdegegner hält die erteilten Auskünfte für ausreichend.
Folgender Sachverhalt wird festgestellt:
Der Beschwerdeführer, ein Unternehmer, vertreten durch den Verein M, richtete am 5. Mai 2004 ein umfassendes Auskunftsbegehren an den Beschwerdegegner.
Beweiswürdigung: Diese Feststellung beruht auf dem unbestrittenen Beschwerdevorbringen.
Der Beschwerdegegner reagierte darauf mit einem Schreiben vom 6. Mai 2004, dem Auszüge aus den Datenanwendungen 'Wirtschaftsdatenbank' und 'Konsumentenkreditevidenz' mit den zur Person des Beschwerdeführers darin verarbeiteten Daten angeschlossen waren. Hinsichtlich der Rechtsgrundlagen wurde auf § 152 Gewerbeordnung sowie die Vereinsstatuten des Beschwerdegegners verwiesen.
Folgende Informationen finden sich darüber hinaus in dem Schreiben:
'Der Arbeitsablauf bei der Erstellung eines Unternehmensprofiles ist genau definiert, er beinhaltet
Da auch die Empfänger der Daten schutzwürdige Geheimhaltungsinteresse haben, interpretiert der Verein K diese Bestimmung dahingehend, dass primär Empfängerkreise bekanntzugeben sind. Allgemein gesprochen sind das Mitglieder und Kunden des Vereins K, die ein überwiegendes berechtigtes Interesse am Erhalt der Bonitätsauskunft bescheinigen können – typischerweise Kreditgeber wie Banken und Leasingunternehmen sowie Handelspartner, die auf offene Rechnung liefern oder Vorauszahlungen tätigen.
Sollte es jedoch von Seiten des Betroffenen begründete Sorge geben, dass durch die Übermittlung der Daten ein Schaden entstanden ist oder entstehen könnte, etwa weil die Daten grob unrichtig waren oder ein Empfänger die Daten missbräuchlich verwendet, wird der Verein K Ihnen auch die konkreten Empfänger nennen. Wenn Sie uns solche Umstände glaubhaft machen können, werden wir ebenso rasch wie unbürokratisch reagieren.'
Beim Beschwerdegegner wurden konkrete Informationen sowohl über die Herkunft der zur Person des Beschwerdeführers verarbeiteten Daten als auch über die Empfänger dieser Daten protokolliert und sodann zumindest drei Jahre lang aufbewahrt. Dabei handelt es sich um historische Firmenbuchauszüge, Insolvenzdaten in elektronischer und Papierform, erhaltene Bankauskünfte, Notizen über mit Dritten geführte Gespräche, Notizen über Gespräche mit dem Betroffenen selbst, historische Grundbuchsauszüge, Geschäftsberichte, Bilanzen etc.
Der Beschwerdegegner erstellt im Rahmen der 'Wirtschaftsdatenbank' ein sogenanntes 'Rating', also eine Bewertung der Bonität, die nach einem von ihm entwickelten System aus verschiedenen Daten der Betroffenen erstellt wird.
Beweiswürdigung: Diese Feststellungen beruhen auf dem Vorbringen des Beschwerdegegners in seinen Stellungnahmen vom 2. August und vom 18. November 2004. Aus den dazu seitens des Beschwerdeführers ergangenen Äußerungen ist eindeutig zu schließen, dass der Beschwerdeführer sein ursprüngliches Vorbringen, es sei überhaupt keine Auskunft erteilt worden, nicht aufrecht hält. Vielmehr widerspricht er dem Beschwerdegegner in sachverhaltsmäßiger Hinsicht nicht.
In rechtlicher Hinsicht folgt daraus:
Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden. Gemäß § 1 Abs. 4 DSG 2000 sind Beschränkungen der Rechte nach Abs. 3 nur unter den in Abs. 2 genannten Voraussetzungen zulässig.
§ 1 Abs. 2 DSG 2000 bestimmt, dass Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig sind.
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 ('nach Maßgabe gesetzlicher Bestimmungen') Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß § 26 Abs. 1 DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
Gemäß Abs. 3 leg. cit. hat der Betroffene am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
Gemäß Abs. 4 leg. cit. ist die Auskunft innerhalb von acht Wochen nach Einlangen des Begehrens zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.
Wie bereits dargelegt ist Gegenstand der Beschwerde nunmehr lediglich die Vollständigkeit der Auskunft vom 6. Mai 2004 hinsichtlich Herkunft und Übermittlungsempfängern. Als Grundsatz ist dazu zunächst auf die Rechtsprechung der Datenschutzkommission hinzuweisen, wonach Übermittlungen jeweils so konkret zu beauskunften sind, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann (vgl. u.a. den Bescheid vom 2. September 2003, GZ K120.743/004-DSK/2003). Die Datenschutzkommission hat allerdings bereits wiederholt, gestützt auf § 1 Abs. 3 und 4 iVm Abs. 2 DSG 2000, die Auffassung vertreten, dass das Auskunftsrecht kein absolutes Recht ist: Das Auskunftsrecht steht danach vielmehr unter einem doppelten Gesetzesvorbehalt. Wie in § 26 Abs. 3 DSG 2000 nochmals auf einfachgesetzlicher Stufe ausdrücklich ausgeführt, hat das Auskunftsrecht seine Grenze auch in den berechtigten Interessen (z.B. Datenschutzinteressen) des Auftraggebers oder Dritter, sofern diese Interessen in einer konkreten Situation als 'überwiegend' zu werten sind (vgl. etwa den Bescheid der Datenschutzkommission vom 12. November 2004, GZ K120.902/0017- DSK/2004).
Davon kann jedoch zunächst hinsichtlich der Datenherkunft bei den vom Beschwerdegegner in seiner Stellungnahme vom 18. November 2004 – über entsprechende Aufforderung der Datenschutzkommission – ins Treffen geführten Argumenten keine Rede sein. Der Beschwerdegegner führt darin aus, die Art der Verarbeitung, die Zeitintervalle der Aktualisierung, die Gesprächspartner bei Banken und Lieferanten würden insgesamt das betriebliche 'know-how' einer Kreditauskunftei darstellen. Daher hätte aus Sicht des Beschwerdegegners der Beschwerdeführer einen 'besonderen Grund' angeben müssen, um konkrete Informationen über die Herkunft seiner Daten zu erhalten.
Dem ist zu erwidern, dass eine Auskunft über die Datenherkunft die vom Beschwerdegegner im Ergebnis ins Treffen geführten Angaben, die er als unter sein Betriebs- und Geschäftsgeheimnis fallend erachtet, gar nicht zu umfassen braucht. Es ist, um den zuvor dargestellten Anforderungen an eine Auskunft zu genügen, lediglich hinsichtlich jeder Datenart - soweit noch verfügbar, also zumindest die letzten drei Jahre umfassend - deren konkrete Quelle anzugeben. Dazu sind Angaben wie zB 'Selbstauskunft', 'Telefonbuch', 'Firmenbuch', 'X-Bank', die der Beschwerdegegner zum Teil ohnehin in allgemeiner Form (dh ohne Zuordnung zu einer Datenart) schon gemacht hat, völlig ausreichend. Hinsichtlich des Ratings muss nicht die Methode der Erstellung offen gelegt werden, es genügt vielmehr, den Beschwerdegegner selbst als Schöpfer(Quelle) dieses Datums zu benennen. Dass dies wie im Fall des vorzitierten Bescheides vom 12. November 2004 einen übermäßigen Aufwand darstellen würde, hat der Beschwerdegegner nicht dargelegt; es ist dies auch angesichts der geringen Anzahl der zur Person des Beschwerdeführers vom Beschwerdegegner verarbeiteten Datenarten nicht wahrscheinlich.
Doch auch hinsichtlich der Übermittlungsempfänger erweist sich die Argumentation des Beschwerdegegners als nicht überzeugend. Auch dazu ist von der vorzitierten Rechtsprechung auszugehen, die grundsätzlich das Rechtsverfolgungsbedürfnis des Betroffenen berücksichtigt und Ausnahmen nur im Falle eines dieses Bedürfnis überwiegenden Interesses des Auftraggebers oder eines Dritten zulässt. Darum ist hinsichtlich der Frage, ob der Auftraggeber dem Betroffenen 'Empfänger' oder 'Empfängerkreise' mitzuteilen hat, eine an den Rechtsschutzinteressen des Betroffenen orientierte Interessensabwägung durchzuführen. Daraus ergibt sich, dass die Rechtsauffassung des Beschwerdegegners, wonach grundsätzlich bloß Empfängerkreise und nur ausnahmsweise (im Fall 'begründeter Sorge') die konkreten Empfänger zu benennen seien, in dieser Allgemeinheit nicht zutrifft: Zur Rechtsverfolgung in einer für den Betroffenen so entscheidenden Frage wie seiner Bonität, kann es notwendig sein, übermittelte Bonitätsinformationen zu berichtigen, weshalb der Auftraggeber dem Betroffenen grundsätzlich immer die einzelnen Empfänger zu benennen hat, um ihm eine solche Berichtigung zu ermöglichen. Gerade Bonitätsinformationen über einen Unternehmer sind typischerweise für das Zustandekommen von Geschäftsabschlüssen entscheidend. Daher ist ein Interesse, die Empfänger dieser Auskünfte konkret benannt zu erhalten, um einerseits die Rechtmäßigkeit der Übermittlung an diese nachprüfen zu können, insbesondere aber ein entsprechendes Verhalten der Empfänger im Geschäftsverkehr vorhersehen zu können, evident. Worin die vom Beschwerdegegner behaupteten Geheimhaltungsinteressen der Übermittlungsempfänger bestehen, hat er nicht dargelegt. Die Datenschutzkommission vermag solche in überwiegendem Ausmaß nicht zu erkennen. Die Interessensabwägung zwischen dem Auskunftsanspruch des Betroffenen und den berechtigten Geheimhaltungsansprüchen der Empfänger muss daher anders ausfallen als im Fall von Direktmarketingunternehmen, wo ein Nutzen für den Betroffenen zur Durchsetzung von Löschungsrechten mangels physischer Datenübermittlung häufig nicht erkennbar ist (vgl. dazu den Bescheid vom 14. Jänner 2005, GZ K120.970/0002-DSK/2005).
Einen übermäßigen Aufwand, der durch die Bekanntgabe der konkreten Übermittlungsempfänger verursacht würde, hat der Beschwerdegegner, wie schon hinsichtlich der Auskunft über die Herkunft der Daten, nicht behauptet.
Daher hat der Beschwerdegegner dadurch, dass er dem Beschwerdeführer eine konkrete Auskunft über die Herkunft der Daten sowie die konkreten Empfänger von Übermittlungen nicht erteilt hat, diesen im Recht auf Auskunft verletzt und war die Nachholung dieser Auskunft aufzutragen. Dafür ist in Ansehung des Ausmaßes der verarbeiteten Daten eine Frist von drei Wochen im Sinn des § 59 Abs. 2 AVG angemessen.
Die vom Beschwerdegegner gegen diesen Bescheid erhobene Beschwerde wurde vom VwGH mit Erkenntnis vom 19. Dezember 2006, Zl. 2005/06/0111-13, als unbegründet abgewiesen .
Aus den Entscheidungsgründen:
Nach Darstellung des Verfahrensgangs, des Bescheidinhalts und der Vorbringen der Parteien hat der VwGH erwogen:
„Im vorliegenden Fall kommt das Datenschutzgesetz 2000 - DSG 2000, BGBl. I Nr. 165/1999 in der Fassung der Novelle BGBl. I Nr. 136/2001, zur Anwendung.
Die im vorliegenden Fall maßgeblichen Bestimmungen lauten
wie folgt:
“Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, dass Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.“
“Zuständigkeit
§ 2. (1) Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr.“
“Auskunftsrecht
§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“
Der Beschwerdeführer macht zur Verletzung seiner Rechte geltend, dass er mit dem angefochtenen Bescheid verpflichtet worden sei, Daten preiszugeben, die einerseits betriebsinterne Tätigkeitsbereiche beträfen, andererseits Interessen der beauskunfteten Empfänger beeinträchtigten und somit deren Recht auf Datenschutz verletzten. Darüber hinaus werde durch diese Verpflichtung allgemein sein Recht auf Geheimhaltung betriebsinterner Daten beeinträchtigt. Es liege somit eine Verletzung subjektiver Rechte vor und es sei das Erfordernis der Beschwer jedenfalls gegeben. Der Beschwerdeführer habe in der von der belangten Behörde gesetzten Frist die erforderlichen Zusatzinformationen an die Vertreterin des Beschwerdeführers nunmehr übermittelt, dies sei jedoch ausdrücklich unter Vorbehalt erfolgt.
Dazu führte die belangte Behörde ins Treffen, dass die vom Beschwerdeführer begehrte Aufhebung des angefochtenen Bescheides im Hinblick auf die bereits nach seinem Vorbringen erteilten Zusatzinformationen nur mehr theoretische Bedeutung habe, die Aufhebung des angefochtenen Bescheides könne seine rechtliche Position nicht mehr verbessern. Es fehle dem Beschwerdeführer daher das für die Erhebung einer Beschwerde beim Verwaltungsgerichtshof erforderliche Rechtsschutzinteresse. Eine Rückgängigmachung einer einmal erteilten Auskunft sei nicht vorstellbar.
Auf Grund einer neuerlichen Anfrage zur Frage seiner Beschwer im Lichte der Stellungnahme der belangten Behörde gab der Beschwerdeführer - wie bereits dargelegt - anders als in der Beschwerde an, die geforderte Auskunft bisher nur teilweise erteilt zu haben. Der Mitbeteiligte hat sich dazu nicht geäußert. Der Verwaltungsgerichtshof geht auf Grund dieser Stellungnahme des Beschwerdeführers zur Frage der Beschwer von der nach wie vor gegebenen Beschwer für den Beschwerdeführer durch den angefochtenen Bescheid aus.
Der Beschwerdeführer macht geltend, bei dem Recht auf Auskunft handle es sich nicht um ein absolutes Recht, sondern es stehe auf Grund des § 1 Abs. 3 sowie Abs. 4 DSG 2000 unter einem doppelten Gesetzesvorbehalt. Wie dies im § 26 Abs. 3 DSG 2000 nochmals auf einfachgesetzlicher Ebene ausdrücklich ausgeführt werde, habe das Auskunftsrecht des Betroffenen seine Grenze auch in den berechtigten Interessen (z.B. Datenschutzinteressen) des Auftraggebers oder Dritter, sofern deren Interessen in einer konkreten Situation als überwiegend zu werten seien. Bei der vorzunehmenden Interessenabwägung sei somit dem Interesse des Betroffenen auf Auskunftserteilung hinsichtlich des Ursprunges der personenbezogenen Daten das Interesse des Beschwerdeführers auf Geheimhaltung gegenüberzustellen. Die belangte Behörde habe selbst ausgeführt, dass Übermittlungen jeweils so konkret zu beauskunften seien, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle als auch gegenüber Übermittlungsempfängern durchsetzen könne. Gemäß § 27 Abs. 1 Z. 2 DSG 2000 habe jeder Auftraggeber auf begründeten Antrag des Betroffenen unrichtige Daten richtig zu stellen oder zu löschen. Würden dem Betroffenen somit im Rahmen eines Auskunftsersuchens nach § 26 DSG 2000 unrichtige Daten bekannt gegeben, sei diesem ein berechtigtes Interesse an der Richtigstellung bzw. Löschung dieser Daten zuzuerkennen. Im Bereich des gesetzlich eingeräumten Richtigstellungs- bzw. Löschungsanspruches obliege es somit dem Betroffenen, jene Gründe darzulegen, mit welchen er die Unrichtigkeit der verarbeiteten Daten zu begründen vermöge. Abgesehen davon sei jeder Auftraggeber verpflichtet, eine Löschung bzw. Richtigstellung vorzunehmen, sobald ihm die Unrichtigkeit der Daten bekannt werde.
Im vorliegenden Fall seien dem Mitbeteiligten hinsichtlich der Quelle der verarbeiteten Daten allgemein gehaltene Informationen, wie Firmenbuch, erhaltene Bankauskünfte, Geschäftsberichte, Bilanzdaten oder Gespräche mit Dritten, erteilt worden. Es sei dem Mitbeteiligten auch mitgeteilt worden, dass ihm, wenn begründete Sorge an der Richtigkeit der Daten bestehe, weiterführende Informationen betreffend die Datenquelle bzw. die Datenempfänger erteilt würden.
Da die Richtigkeit der Daten nicht beeinsprucht worden sei, stünden dem Betroffenen die in § 27 DSG 2000 normierten Möglichkeiten somit nicht zu. Ein Richtigstellungs- bzw. Löschungsinteresse müsse dem Betroffenen bei korrekten Daten jedenfalls abgesprochen werden. Dem Recht auf Auskunft bezüglich der Herkunft der Daten werde somit bei einer allgemein gehaltenen Quellenangabe vollkommen nachgekommen, sodass die vom Beschwerdeführer übermittelten Informationen jedenfalls als ausreichend zu bezeichnen seien.
Im Rahmen der Interessenabwägung müssten dem Interesse des Betroffenen auf Auskunft jene Interessen des Auftraggebers auf Geheimhaltung der Daten, dazu gehörten auch jene über die Herkunft und jene über die konkreten Empfänger, gegenüber gestellt werden. Die Einholung von Informationen und die darauf folgende Würdigung der selben, wie auch die Weitergabe an den Kreis der Kunden, die ein berechtigtes Interesse an der Übermittlung solcher Daten hätten - in der Regel stelle dies im weitesten Sinn die Übermittlung einer Bonitätsauskunft dar -‚ sei die Quintessenz der Tätigkeit einer jeden mit Gewerberecht ausgestatteten Auskunftei und sei damit das auf dem Markt von Bonitätsauskünften vom Kundenkreis als wesentliches Leistungsmerkmal empfundenes Qualitätsmerkmal.
Die Verarbeitung der Daten sowie deren Herkunft, die Zeitintervalle der Aktualisierung, die Gesprächspartner bei Banken und Lieferanten stelle sohin insgesamt das betriebliche "Know-how" einer Kreditauskunftei dar. Da seitens der Betroffenen die Einholung von Selbstauskünften hinsichtlich der Quantität nicht beschränkt sei und zwischen den einzelnen Auskunftsbegehren auch kein bestimmtes Zeitintervall verstreichen müsse, könnte - bei wiederholten Anfragen - ohne weiteres auf die Organisation sowie Arbeitsweise der Auskunftei geschlossen werden. An der Geheimhaltung derartiger geschäftsinterner Arbeitsabläufe bestehe allerdings ein erhebliches Interesse und werde durch die Bekanntgabe der konkreten Datenquellen das Recht auf Datenschutz beschnitten, jedenfalls überwiege das Interesse an der Geheimhaltung dann, wenn mangels Richtigstellungs- bzw. Löschungsinteresses des Betroffenen kein Grund ersichtlich sei, weshalb auch die Datenquellen und die konkreten Auskunftsempfänger bekannt gegeben werden müssten. Nach den Erwägungen zur Richtlinie 95/46/EG (Punkt 41) dürfe das Auskunftsrecht keinesfalls das Recht auf Wahrung des Geschäftsgeheimnisses berühren.
Ausdrücklich sei weiters anzumerken, dass die Auskunftserteilung über die konkrete Herkunft der Daten in aller Regel die Geschäftsbeziehungen der verarbeitenden Stelle offen lege. Die nach Auffassung der belangten Behörde jedenfalls schon im Lichte des bloßen Auskunftsrechtes nach § 26 DSG zwingende Offenlegung eines Informanten würde nach und nach zur "Austrocknung" einer wesentlichen Informationsquelle führen. Bei einer entsprechend vorgenommenen Interessenabwägung hätte die belangte Behörde zu dem Ergebnis kommen müssen, dass eine allgemein gehaltene Auskunft bezüglich der Herkunft der Daten jedenfalls als ausreichend zu beurteilen sei.
Dazu ist Folgendes auszuführen:
Die Ansicht des Beschwerdeführers, dass eine nähere Auskunft über die Herkunft der verwendeten Daten immer nur dann gegeben werden müsse, wenn der Betroffene begründete Zweifel an der Richtigkeit dieser Daten geltend macht, kann der Verwaltungsgerichtshof nicht teilen.
Das im § 26 Abs. 1 DSG 2000 verankerte Recht auf Auskunft eines Betroffenen über die zu seiner Person verarbeiteten Daten enthält auch ein Recht auf Auskunft über ihre Herkunft (vgl. zu den Daten, auf die sich diese Bestimmung - wie auch § 27 DSG - bezieht, das hg. Erkenntnis vom 23. Mai 2005, Zl. 2003/06/0021). Allein aus dieser Bestimmung ist abzuleiten, dass der Gesetzgeber dem von Datenverarbeitungen Betroffenen ein nicht weiter begründungsbedürftiges Interesse an der Auskunft darüber in dem in dieser Bestimmung vorgesehenen Ausmaß zuerkennt. Der Verwaltungsgerichtshof teilt die Ansicht der belangten Behörde, dass Auskünfte grundsätzlich so konkret erfolgen müssen, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann. § 27 Abs. 1 DSG 2000 regelt das Recht auf Richtigstellung oder Löschung von verarbeiteten Daten. Danach hat jeder Auftraggeber unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtig zu stellen oder zu löschen, und zwar
1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
2. auf begründeten Antrag des Betroffenen.
Danach kommt die Löschung von verarbeiteten Daten insbesondere auch dann in Betracht, wenn sich die vorgenommene Verarbeitung als unzulässig erweist, mag das davon betroffene Datum auch richtig sein. Schon im Hinblick darauf kann der Ansicht des Beschwerdeführers nicht gefolgt werden, dass einem Betroffenen nur im Falle von unrichtigen Daten, was er entsprechend zu begründen hätte, ein Recht auf eine Auskunft über die Herkunft der Daten zusteht. Nur die Kenntnis der Herkunft von verarbeiteten Daten ermöglicht es dem Betroffenen, die Frage der Zulässigkeit ihrer Verarbeitung zu prüfen und allenfalls die Unzulässigkeit der Verarbeitung in Verbindung mit dem Recht auf Löschung der Daten geltend zu machen. Allein dieses allgemeine Überprüfungsinteresse des Betroffenen von verarbeiteten Daten spricht gegen die vom Beschwerdeführer vertretene generelle Einschränkung der Erteilung der Auskunft über die Herkunft der verarbeiteten Daten, nämlich nur soweit als berechtigte Zweifel an der Richtigkeit der verarbeiteten Daten geltend gemacht werden. Auch der Wortlaut des § 26 Abs. 1 DSG 2000, in dem das Recht auf Auskunft einfachgesetzlich verankert ist, - wie auch die Verfassungsbestimmung in § 1 Abs. 3 DSG 2000 - bieten keinen Anhaltspunkt für eine derartige generelle Einschränkung des Rechtes auf Auskunft des Betroffenen.
Wie sich aus den Regelungen des § 26 Abs. 1 bis 3 DSG 2000 - wie auch des § 1 Abs. 3 und Abs. 4 i.V.m. Abs. 2 DSG 2000 - ergibt, ist das Recht auf Auskunft von über eine Person verarbeitete Daten gemäß dieser Bestimmung aber kein absolutes Recht, es ist vielmehr verfassungsgesetzlich (in § 1 Abs. 3 und 4 DSG 2000) und in dessen Ausführung einfachgesetzlich durch die in § 26 Abs. 2 und 3 verankerten Beschränkungen begrenzt. Eine solche Grenze stellen berechtigte Interessen des Auftraggebers oder Dritter an der Geheimhaltung dieser Daten dar, sofern diese Interessen in einer konkreten Situation als "überwiegend" zu werten sind. Bei dieser dann geforderten Interessenabwägung sind das Interesse des Betroffenen an der Auskunft über von ihm verwendete Daten und die Geheimhaltungsinteressen des Auftraggebers oder Dritter gegeneinander abzuwägen. Dem Betroffenen kommt von der Regelung des Auskunftsrechtes in § 26 Abs. 1 DSG 2000 her ein gewichtiges Interesse an der Auskunft im Sinne dieser Bestimmung zu, das in dem Falle, dass an dem in Frage stehenden Datum vom Betroffenen auch berechtigte Zweifel an seiner Richtigkeit des in Frage stehenden Datums erhoben werden, von noch größerem Gewicht ist. Insoweit kann im vorliegenden Zusammenhang das Argument des Vorliegens berechtigter Zweifel an der Richtigkeit bei dieser Interessenabwägung eine Rolle spielen.
Der Beschwerdeführer hat sein Interesse an der Geheimhaltung der Herkunft der verwendeten Daten im vorliegenden Fall damit begründet, dass die Verarbeitung der Daten sowie deren Herkunft, die Zeitintervalle der Aktualisierung, die Gesprächspartner bei Banken und Lieferanten insgesamt das betriebliche Know-how einer Kreditauskunftei darstellten. Da seitens der Betroffenen die Einholung von Selbstauskünften hinsichtlich der Quantität nicht beschränkt sei und zwischen den einzelnen Auskunftsbegehren auch kein bestimmtes Zeitintervall verstrichen sein müsse, könnte bei wiederholten Anfragen ohne weiteres auf die Organisation sowie Arbeitsweise der Auskunftei geschlossen werden. An der Geheimhaltung derartiger geschäftsinterner Arbeitsabläufe bestehe allerdings ein erhebliches Interesse. Die belangte Behörde hat dem zutreffend entgegengehalten, dass es sich bei den in Frage stehenden Angaben über die Herkunft der verwendeten Daten nur um Angaben wie z.B. „Selbstauskunft“, „Telefonbuch“ „Firmenbuch“, „X-Bank“ handeln würde. Hinsichtlich des Ratings - auch darauf hat die belangte Behörde zutreffend verwiesen - müsste nicht die Methode der Erstellung offen gelegt werden, es würde vielmehr genügen, wenn sich der Beschwerdeführer als Schöpfer dieses Datums deklariert. Nur wenn das Auskunftsbegehren die Preisgabe personenbezogener Angaben über Dritte mit einschließen sollte, also die namentliche Bekanntgabe einer Bank oder der Name eines (nicht mit dem Beschwerdeführer identen) Schöpfers des Ratings gefordert wird, kommen berechtigte Interessen Dritter an der Geheimhaltung dieser Daten in Betracht, die mit den Interessen des Betroffenen abzuwägen sind. Ein diesbezüglich konkretes Vorbringen ist vom Beschwerdeführer im Verwaltungsverfahren nicht vorgetragen worden. Warum auf Grund dieser Angaben auf die Organisation und die internen Arbeitsabläufe des Beschwerdeführers geschlossen werden könnte, ist für den Verwaltungsgerichtshof im Lichte des Vorbringens des Beschwerdeführers nicht nachvollziehbar. Im Falle weiterer Auskunftsersuchen desselben betroffenen Unternehmers wären die allenfalls dann berechtigten Interessen des Beschwerdeführers auf Geheimhaltung der Herkunft von Daten neuerlich, auch im Lichte möglicher Schlussfolgerungen auf die Geschäftstätigkeit des Beschwerdeführers im Hinblick auf die bereits erfolgte Auskunft, zu prüfen. Eine solche weitere Auskunft eines Betroffenen ist aber im vorliegenden Fall nicht Gegenstand des angefochtenen Bescheides.
Klarzustellen ist im Zusammenhang mit der angesprochenen Interessenabwägung auch, dass die gegen das Recht auf Auskunft angeführten Geheimhaltungsinteressen jeweils konkret, d.h. insbesondere bezogen auf das jeweils bekannt zu gebende Datum, geltend zu machen sind und ihre Berechtigung auch jeweils darauf bezogen geprüft werden muss. Der Beschwerdeführer hat im Gegensatz dazu weder im Verwaltungsverfahren noch in der Beschwerde derart konkrete Geheimhaltungsinteressen bezogen auf die konkret in Frage stehenden preiszugebenden Daten betreffend die Herkunft von verwendeten Daten ins Treffen geführt.
Der Beschwerdeführer wendet sich auch gegen die Ansicht der belangten Behörde, dass er im vorliegenden Fall dem Recht auf Auskunft gemäß § 26 Abs. 1 DSG 2000 nur entsprochen hätte, wenn er dem Mitbeteiligten konkrete Empfänger der in Frage stehenden Daten genannt hätte. Nach dem diesbezüglichen Wortlaut dieser Bestimmung ("allfällige Empfänger oder Empfängerkreise") könne sie nicht so verstanden werden, dass der Auftraggeber dem Betroffenen grundsätzlich immer die einzelnen Empfänger zu benennen habe. Bei einer vernünftigen Auslegung könne es nicht in das Belieben des Auskunftsersuchenden gestellt werden, ob er sich mit den Empfängerkreisen oder mit den konkreten Empfängern begnügen wolle, vielmehr stelle diese gesetzliche Anordnung auf die Umstände im Einzelfall ab, was nur bedeuten könne, dass konkrete "Auskunftsempfänger" (offensichtlich gemeint: Datenempfänger) nur dann zu nennen seien, wenn es begründeten Anlass gebe, diesen gegenüber - etwa im Falle von berechtigten Richtigstellungs- bzw. Löschungsinteressen - tätig zu werden.
Diesem Vorbringen des Beschwerdeführers kann gleichfalls nicht gefolgt werden. Soweit der Beschwerdeführer auch hier die Ansicht vertritt, dass nur im Falle, dass die Unrichtigkeit von verarbeiteten Daten vom Betroffenen entsprechend begründet wird, ein Recht auf Auskunft über den konkreten Empfänger von Daten bestehen soll, kann auf die Ausführungen zum Recht auf Auskunft über die Herkunft von Daten verwiesen werden. Wenn der Gesetzgeber in § 26 Abs. 1 DSG 2000 - in Übereinstimmung mit Art. 12 der EG-Richtlinie 95/46/EG (Datenschutzrichtlinie) - von allfälligen Empfängern oder Empfängerkreisen von Übermittlungen, die der Auskunft unterliegen, spricht, bedarf es der Auslegung, in welchen Fällen danach der konkrete Empfänger oder nur der Empfängerkreis anzugeben ist. Zunächst wird dafür maßgeblich sein, ob eine Übermittlung lediglich an einzelne Empfänger oder an eine Gruppe von Empfängern, also an einen Empfängerkreis, gegangen ist. Darüber hinaus kann sich aus der bei Vollziehung des Rechtes auf Auskunft gemäß § 26 Abs. 1 DSG 2000 gebotenen Interessenabwägung zwischen dem Interesse des Betroffenen an der Auskunft und allfälligen berechtigten Interessen des Auftraggebers an der Geheimhaltung von Empfängern von Daten ergeben, dass, obwohl Daten an einzelne Empfänger gegangen sind, zur Wahrung eines überwiegend berechtigten Geheimhaltungsinteresses des Auftraggebers oder Dritter, nur ein Empfängerkreis bekannt zu geben ist. Auch Art. 12 der EG-Richtlinie 95/46/EG, der u.a. vorschreibt, dass die Mitgliedstaaten jeder betroffenen Person das Recht garantieren, vom für die Verarbeitung Verantwortlichen u.a. "die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden" zu erhalten, bedarf in diesem Sinne der Interpretation und enthält dafür keine weiterführenden Kriterien.
Der Beschwerdeführer hat im Verfahren vor der belangten Behörde im Schreiben vom 18. November 2004 in diesem Zusammenhang geltend gemacht, dass die Übermittlungsempfänger ein berechtigtes Interesse auf Geheimhaltung hätten. Dies sei deshalb der Fall, da es bei einem Unternehmen vielfältige Gründe dafür geben könne, warum sich ein Geschäftspartner, eine kreditgewährende Bank, ein Leasingfinanzier, ein Lieferant oder ein Kunde über die Bonität eines Unternehmens ein aktuelles Bild machen wollten. Diese Personen hätten ebenfalls Betroffenenrechte, denn aus deren Nachfragefrequenz, Tiefe des Interesses etc. ließen sich vielfältige Schlüsse darüber ziehen, wie diese Unternehmen ihre Geschäftstätigkeit organisiert hätten und ihre Kredite vergäben.
Die belangte Behörde hat dazu nach Ansicht des Verwaltungsgerichtshofes zutreffend die Meinung vertreten, dass damit keine Interessen der Übermittlungsempfänger geltend gemacht wurden, die im Hinblick auf die Interessen des betroffenen Mitbeteiligten an der Kenntnis von an Dritte übermittelten Bonitätsinformationen über sein Unternehmen, von vorneherein als überwiegend einzustufen wären. Abgesehen davon handelt es sich dabei um keine entsprechend konkret dargelegten Geheimhaltungsinteressen des jeweils konkret betroffenen Empfängers von Daten des Mitbeteiligten. Dass der Mitbeteiligte aus der bloßen Bekanntgabe einer Bank oder eines sonstigen Unternehmens, dem Daten des Mitbeteiligten übermittelt wurden, auf die Geschäftstätigkeit der Bank oder des Unternehmens hätte schließen können, ist für den Verwaltungsgerichtshof gleichfalls nicht nachvollziehbar. Ausgehend davon, dass die Ausnahmebestimmung des § 26 Abs.2 DSG auf Art. 13 der EG-Richtlinie 95/46/EG beruht, kann auf den Erwägungsgrund Nr. 41 verwiesen werden, wonach zwar das Geschäftsgeheimnis vom Auskunftsrecht nicht berührt wird, dies aber nicht dazu führen kann, dass der betroffenen Person jegliche Auskunft verweigert wird. Darauf liefe es hinaus, würden die auch in der Richtlinie genannten Empfänger ohne einen die Interessenabwägung ermöglichenden konkreten Grund verschwiegen werden.
Die Beschwerde war daher gemäß § 42 Abs. 1 VwGG als unbegründet abzuweisen.“
[Begründung des Kostenpunkts hier nicht wiedergegeben]