K121.049/0023-DSK/2005 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
BESCHEID
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Mag. HUTTERER, Dr. KOTSCHY, Mag. PREISS und Dr. ROSENMAYR-KLEMENZ sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 16. Dezember 2005 folgenden Beschluss gefasst:
Spruch
Über die Beschwerde der T-Gesellschaft in S*** (Beschwerdeführerin), vertreten durch die E***-Vereinigung für Datenschutz in ***0 N***, ***gasse **2, gegen den F***- Gläubigerverband in **** L***, ***gasse ** (Beschwerdegegner), vom 15. Juni 2005, wird wegen Verletzung im Recht auf Auskunft personenbezogener Daten gemäß § 1 Abs. 3 Z. 1, § 26 Abs. 1 und § 31 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 13/2005, wie folgt entschieden:
I. Verfahrensgang und Vorbringen der Parteien:
a. Die Beschwerdeführerin wandte sich, vertreten durch die E***-Vereinigung für Datenschutz, mit Schreiben vom 15. Juni 2004 an die Datenschutzkommission und brachte im Wesentlichen vor, am 4. Mai 2005 ein Auskunftsbegehren an den Beschwerdegegner gestellt und mit Schreiben vom 10. und 12. Mai 2005 Auskünfte aus der Verbraucherkreditdatei, aus der Kommerzkreditdatei, der Liste unerwünschter Kunden und der F***-Wirtschaftsevidenz erhalten zu haben. [Anmerkung Bearbeiter: Produktbezeichnungen geändert]
In der Auskunft aus der F***-Wirtschaftsevidenz seien zwar, kurz erläutert, eine Gesamtbewertung und Detailbewertung zur Zahlweise und eine weitere Beurteilung angeführt, doch sei nicht ersichtlich, wie sich diese Ratingwerte ergeben. Bezüglich der Herkunft der Daten fänden sich in einem beigelegten Informationsblatt nur allgemeine Informationen, im Hinblick auf die Auskunft über allfällige Empfänger von Datenübermittlungen berufe sich der Beschwerdegegner auf schutzwürdige Geheimhaltungsinteressen der Empfänger und habe auf seine Mitglieder und Kunden verwiesen.
Dem Beschwerdegegner möge daher aufgetragen werden, entsprechend den Vorgaben des § 26 DSG 2000 alle Datenarten sowie die Herkunft der Daten und eventuelle Übermittlungsempfänger vollständig und in allgemein verständlicher Form zu beauskunften. Insbesondere sollten die verwendeten Codes in allgemein verständlicher Form erklärt werden.
b. Der Beschwerdegegner brachte der Datenschutzkommission mit Schreiben vom 14. Juli 2005 das Auskunftsschreiben an die Beschwerdeführerin vom 13. Juli 2005 zur Kenntnis. Dieses enthielt die Herkunft der Daten (allgemein) und deren Übermittlungsempfänger (genaue Angabe), bezüglich der Gesamtbeurteilung (Rating) wird hinsichtlich dessen Rechenalgorithmus auf das Geschäftsgeheimnis des Beschwerdegegners verwiesen.
c. In dem zu dieser Stellungnahme gewährten Parteiengehör sah sich die Beschwerdeführerin mit Schreiben vom 10. August 2005 im Wesentlichen nur mehr bezüglich der Zusammensetzung (Entstehung) des Ratingwertes weiterhin in ihrem Recht auf Auskunft verletzt und beantragte dessen Auskunft gemäß § 26 und § 49 Abs. 3 DSG 2000.
d. In einer weiteren Stellungnahme vom 5. September 2005 führte der Beschwerdegegner aus, das Rating stelle keine automatisierte Einzelentscheidung im Sinn des § 49 DSG 2000, sondern die rechnerische Zusammenfassung der Gesamtauskunft als eindimensionale Bonitätszahl dar. Das Rating werde in wesentlichen Punkten von Menschen beeinflusst. Angeschlossen ist eine Übersicht, welche Kriterien (inkl. Beschreibung) in das Rating einfließen und wie deren Wirkungsweise ist (Beiblatt). Die genauen Faktoren in der Berechnung und die in Algorithmen verankerten Interdependenzen würden nicht veröffentlicht.
e. In dem dazu gewährten Parteiengehör vom 12. September 2005 (offenbar irrtümlich mit 15. Juni 2005 datiert) erklärt die Beschwerdeführerin, ein Eingriff in das Rating nach Gutdünken durch nicht weiter definierte Experten stelle entweder ein unzumutbares Maß an Willkür und Zufälligkeit dar oder lägen noch weitere, bisher nicht beauskunftete Daten, die es den Experten erlauben würden, in objektivierbarer Weise zu den Bewertungen zu kommen, vor. In diesem Sinne sei die Zusammensetzung des Ratingwertes noch immer nicht ausreichend aufgeklärt.
Das Auskunftsbegehren werde auf die im Begleitschreiben des Beschwerdegegners angeführten Einflusskriterien (in der Folge beispielhaft aufgezählt) ausgedehnt, da das Auskunftsrecht des § 26 DSG 2000 nicht nur die Beauskunftung in allgemeiner Form durch Formulierungen wie „je geringer, desto besser“ oder „je höher, desto besser“ vorsehe, sondern die Angabe der konkreten Daten des Beschwerdeführers.
f. Dies nahm die Datenschutzkommission zum Anlass, den Beschwerdegegner aufzufordern, anzugeben, welche bisher schon beauskunfteten Daten den im Beiblatt der Stellungnahme vom 5. September 2005 angeführten Einflusskriterien jeweils zugrunde liegen. Mit einem Schreiben des Beschwerdegegners vom 21. Oktober 2005 an die Beschwerdeführerin (und in Kopie an die Datenschutzkommission) wurde die Auskunft vom 10. und 12. Mai 2005 sowie vom 13. Juli 2005 ergänzt und eine tabellarische Übersicht über die Ratingfaktoren (inkl. Beschreibung) sowie deren Wirkungsweise, Einfluss und Quelle angeschlossen.
g. In dem zu diesem Auskunftsschreiben gewährten Parteiengehör brachte die Beschwerdeführerin mit Schreiben vom 31. Oktober 2005 (offenbar irrtümlich neuerlich mit 15. Juni 2005 datiert) im Wesentlichen vor, es erscheine unrealistisch und lebensfremd, dass wirtschaftlich derartig bedeutsame Aussagen wie „erhöhtes Risiko“ und „langsame Zahlweise“ ausschließlich aus der Selbstauskunft des Betroffenen abgeleitet worden wären. Die Auskunft über die Herkunft der Daten sei hinsichtlich der Identität der Banken, Lieferanten und Gläubiger sowie deren in die Bonitätsbeurteilung einfließenden Auskünfte unvollständig. Es werde daher um Auskunft dieser Daten ersucht und in diesem Sinne die Beschwerde weiter aufrechterhalten.
h. Dazu wiederum zur Stellungnahme aufgefordert beantragte der Beschwerdegegner mit Schreiben vom 18. November 2005, die Beschwerde wegen sachlicher Unzuständigkeit der Datenschutzkommission zurückzuweisen, und brachte im Wesentlichen vor, er habe alle Datenarten, die in das gegenständliche Rating eingeflossen seien, dargestellt. Der Beschwerdegegner habe nur bei jenen Banken anfragen können, die tatsächlich in Geschäftsbeziehung zur Beschwerdeführerin stünden. Dies sei der Beschwerdeführerin ohnedies bekannt und gelte so auch für die Lieferanten. Weiters wurde betont, dass es aus dem Kreis der Gläubiger keine als „Negativerfahrung“ zu bezeichnenden Einträge gebe und daher auch keine Quelle genannt werden könne.
Hinsichtlich der Interessenabwägung in § 26 Abs. 2 DSG 2000 wird ausgeführt, dass das „wer“ der Banken und Lieferanten der Beschwerdeführerin bestens bekannt sei und das „was“ nicht beauskunftet werde, da die Beschwerdeführerin sonst durch selektives Zahlungsverhalten an Lieferanten ein manipuliertes Bonitätsbild schaffen könne und die tatsächlich durchgeführte Form der Erhebung im Übrigen europaweit Standard sei. Eine andere Beurteilung würde einen eminenten Wettbewerbsnachteil gegenüber ausländischen Mitbewerbern darstellen. Der Interessenausgleich sei daher am Besten im Einzelfall vorzunehmen: Nur wenn sich der Betroffene durch ein Krediturteil in seinem Fortkommen unbillig behindert erachte, hätte der Beschwerdegegner in einem Verfahren die Behauptungs- und Beweislast, dass die Kreditauskunft im Ergebnis richtig sei.
Der Beschwerdegegner stehe auf dem Standpunkt, dass Details seiner Arbeitspraxis, also v.a. die Intervalle der Einholung von Bankauskünften, die Auswahl der befragten Vertragspartner und die im Einzelfall mit diesen besprochenen Themen das Betriebsgeheimnis einer Auskunftei darstellen. Die gegenständlichen Quellen würden in einem freien Textformat einer Textverarbeitung, welche keine Volltextsuche erlaube, vorliegen und ausschließlich für den Bearbeiter und seine Vorgesetzten einsehbar sein.
Hinsichtlich mehrerer Beweisthemen wird die Einvernahme von I*** Z***, Leiter der Wirtschaftsinformation, p.A. des Beschwerdegegners beantragt.
i. In dem dazu gewährten Parteiengehör entgegnete die Beschwerdeführerin mit Schreiben vom 28. November 2005 im Wesentlichen, eine Überprüfung auf Richtigkeit durch unabhängige Dritte stehe ihr mit den bisher bekannten Informationen nicht offen. Es sei für die Beschwerdeführerin von besonderer Bedeutung zu wissen, von welchen Banken und Lieferanten der Beschwerdegegner glaube, dass sie mit ihr in Geschäftsbeziehungen stünden. Ein selektives Zahlungsverhalten würde eher Zahlungsunwilligkeit als Zahlungsunfähigkeit (wie die Bonitätsauskunft nahe lege) bedeuten. Alle „Betriebssysteme“ der Firma Microsoft besäßen eine Volltextsuchfunktion, die es erlaube, beliebige Datenformate, auch alle derzeit am Markt befindlichen Textverarbeitungen, nach Stichworten, insbesondere den Namen des Antragstellers, zu durchsuchen und die Ergebnisse aufzulisten.
Ein besonderes Betriebsgeheimnis sei zu verneinen, da es sich bei den begehrten Auskünften um Informationen handle, die die Beschwerdeführerin selbst kennen müsse. Da die Aussage „479, erhöhtes Risiko“ für die Beschwerdeführerin erheblich nachteilig sein könne, sei ein Auskunftsinteresse über allfällige Interessen Dritter oder des Auftraggebers zu stellen.
II. Von der Datenschutzkommission verwendete Beweismittel:
Die Datenschutzkommission hat ein Ermittlungsverfahren durchgeführt und Beweis aufgenommen durch Einsichtnahme in die von den Parteien vorgelegten Urkunden(kopien) und sonstigen Dokumente. Den Parteien wurde zu den Ergebnissen des Ermittlungsverfahrens Parteiengehör eingeräumt.
III. Festgestellter Sachverhalt und Beweiswürdigung
Die Beschwerdeführerin begehrte, vertreten durch die E***- Vereinigung für Datenschutz, mit Schreiben vom 4. Mai 2005 folgenden relevanten Inhaltes Auskunft vom Beschwerdegegner:
„Sie führen personenbezogene Datenverarbeitung(en) und Datenanwendungen. Wir ersuchen Sie unter Hinweis auf § 1 DSG 2000, § 26 DSG 2000 und alle weiteren anwendbaren Bestimmungen des DSG 2000 um Beantwortung der folgenden Fragen:
Dieses Auskunftsbegehren wurde vom Beschwerdegegner am 10. Mai 2005 dahingehend beantwortet, als Schreiben der ‚Vebraucherkreditdatei’, der Liste unerwünschter Kunden, der ‚Kommerzkreditdatei’ und der ‚F***-Wirtschaftsevidenz’ übermittelt wurden.
Der Beschwerdegegner erstellt im Rahmen der ‚F***- Wirtschaftsevidenz’ ein so genanntes ‚Rating’, also eine Bewertung der Bonität, die nach einem von ihm entwickelten System aus verschiedenen Daten der Betroffenen erstellt wird.
Beweiswürdigung : Diese Feststellungen ergeben sich aus den Beilagen zur Beschwerde vom 15. Juni 2005 und wurden vom Beschwerdegegner in seiner Stellungnahme auch nicht bestritten.
Mit Beschwerde vom 15. Juni 2005 bemängelte die Beschwerdeführerin die Vollständigkeit hinsichtlich der Herkunft der Daten, der Übermittlungsempfänger und der Verständlichkeit der „verwendeten Codes“. Im Zuge des Verfahrens vor der Datenschutzkommission erteilte der Beschwerdegegner der Beschwerdeführerin mit Schreiben vom 13. Juli 2005 daher erneut Auskunft. Darin wurde die Herkunft der Daten folgendermaßen beauskunftet:
„1.) Herkunft der Daten:
Firmenbuch/Gewerberegister Firma, Rechtsform,
Organwalter, Branche
Befragung des Betroffenen Art u. Umfang,
Bankverbindung,
Funktionsträger, Kontakt
Grundbuch Liegenschaftsbesitz
und Belastungen
Bilanzauswertung/Bankauskunft Eckdaten, Bonität,
Geschäftsentwicklung,
Beurteilung
Inkassodaten/Lieferantenbefragung Zahlungsverhalten
Ediktsdatei d. BMJ, Gläubigerkreis Konkursanträge,
Konkursbeschlüsse“
Weiters wurden die Übermittlungsempfänger genau angeführt, hinsichtlich des Ratings enthält das Schreiben folgenden Passus:
„Die Gesamtbeurteilung (Rating) bezieht nahezu alle bekannten Umstände in die Berechnung mit ein. Das Rating erfolgt auf Basis eines Rechenalgorithmus, dessen genaue Faktoranalyse ein Geschäftsgeheimnis des F*** darstellt.“
Beweiswürdigung : Diese Feststellungen ergeben sich aus der Beschwerde und dem neuerlichen Auskunftsschreiben des Beschwerdegegners an die Beschwerdeführerin vom 13. Juli 2005, welches der Datenschutzkommission vom Beschwerdegegner am 14. Juli 2005 übermittelt wurde.
Am 21. Oktober 2005 erging ein weiteres Auskunftsschreiben des Beschwerdegegners an die Beschwerdeführerin. Darin wurden die in das Rating eingeflossenen Daten der Beschwerdeführerin dergestalt dargestellt, dass eine Tabelle mit den Ratingfaktoren, deren Beschreibung, deren Wirkung und Einflussstärke sowie deren Quelle angeschlossen wurde. Weiters wurde betont, dass nur bisher schon beauskunftete Daten der Beschwerdeführerin in das Rating eingeflossen sind.
Beweiswürdigung : Diese Feststellungen ergeben sich aus dem weiteren Auskunftsschreiben des Beschwerdegegners an die Beschwerdeführerin vom 21. Oktober 2005, welches der Datenschutzkommission vom Beschwerdegegner am selben Tag übermittelt wurde.
Der Beschwerdegegner verarbeitet auch folgende Daten bezogen auf die Beschwerdeführerin, die bisher noch nicht beauskunftet wurden: Banken und deren Anschrift; Lieferanten und deren Anschrift; Protokolle über mit den Banken und Lieferanten geführte Gespräche; allesamt elektronisch.
Beweiswürdigung : Diese Feststellungen ergeben sich aus der Stellungnahme des Beschwerdegegners vom 18. November 2005. Daraus ergibt sich auch, dass es keine als „Negativerfahrung“ zu bezeichnenden Einträge aus dem Kreis der Gläubiger gibt, was von der Datenschutzkommission so verstanden wird, dass es im Fall der Beschwerdeführerin gar keine Gläubiger und Gläubigerangaben gibt.
IV. Rechtliche Schlussfolgerungen
1. Anzuwendende Rechtsvorschriften
Gemäß der Verfassungsbestimmung des § 1 Abs. 3 Z. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr 165/1999 idF BGBl I Nr 13/2005, hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.
Gemäß § 26 Abs. 1 DSG 2000, der einfachgesetzlichen Ausformulierung des § 1 Abs. 3 Z. 1 DSG 2000, hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
Gemäß Abs. 2 ist die Auskunft u.a. nicht zu erteilen, soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.
2. Anwendung auf den Beschwerdefall
a. Zuständigkeit der Datenschutzkommission
Der Beschwerdegegner moniert, dass sich die Beschwerdeführerin durch die Einstufung der Bewertung „479, erhöhtes Risiko“ als „lebensfremd“ und „unrealistisch“ nicht gegen die Vollständigkeit, sondern gegen die Richtigkeit der Auskunft wende, was gemäß § 32 DSG 2000 auf dem Zivilrechtsweg geltend zu machen wäre.
Diese Ansicht wird von der Datenschutzkommission nicht geteilt. Die Beschwerdeführerin sieht es in ihrem Vorbringen (Schreiben vom 31. Oktober 2005) als unrealistisch und lebensfremd an, dass Aussagen wie „erhöhtes Risiko“ und „langsame Zahlweise“ ausschließlich aus der Selbstauskunft der Beschwerdeführerin abgeleitet worden wären und betrachtet daher die Auskunft über die Herkunft der Daten als unvollständig. Sie zieht damit eindeutig die Vollständigkeit der Auskunft in Zweifel, weshalb im Rahmen des Verfahrens gemäß § 31 Abs. 1 DSG 2000 die Datenschutzkommission jedenfalls für die Behandlung der gegenständlichen Beschwerde zuständig ist.
b. Vollständigkeit der Auskunft
Die Beschwerdeführerin hat in ihrem Schreiben vom 31. Oktober 2005 (Datum des Faxeinganges; offenbar irrtümlich mit 15. Juni 2005 datiert) bekannt gegeben, die Beschwerde nur insoweit („...in diesem Sinne...“) aufrecht zu erhalten, als sie die (auch schon in der Beschwerde vom 15. Juni 2005 bemängelte) fehlende Auskunft der Herkunft der Daten betrifft. Gegen die fehlende Beauskunftung der Details des Zustandekommens der Ratingwerte für Gesamtbewertung und Einzelbewertungen (Zahlweise, Beurteilung), wie beantragt mit Schreiben der Beschwerdeführerin vom 10. August 2005, richtet sich die Beschwerde damit ebenso nicht mehr wie gegen die seinerzeit monierte fehlende Auskunft der Übermittlungsempfänger (siehe Auskunftsschreiben vom 13. Juli 2005).
Gegenstand der Beschwerde ist daher nur mehr die Herkunft der Daten betreffend Einflusskriterien auf das Rating in einer Gesamtschau der am 10. Mai 2005, am 13. Juli 2005 und am 21. Oktober 2005 erteilten Auskunftsschreiben. Dazu wurde in diesen Schreiben folgendes gesagt:
In einem Informationsblatt als Beilage zum Auskunftsschreiben vom 10. Mai 2005 finden sich zunächst lediglich allgemeine Angaben zur Herkunft der Daten:
„Herkunft der Daten:
Die vom [Beschwerdegegner] verwendeten Daten stammen aus folgenden Quellen: . Firmenbuch . Grundbuch . Gewerberegister . Befragung der Unternehmensleitung . Bilanzauswertung . Bankauskünfte . Befragung von Lieferanten und Vertragspartnern . Inkassodaten . Insolvenzdatenbank.
Die Gesamtbeurteilung (Rating) bezieht auch andere Umstände in die Berechnung mit ein, z.B.: . Branchenzugehörigkeit . Region . Unternehmensalter . Exportanteil . Trendentwicklung.“
Im Auskunftsschreiben vom 13. Juli 2005 wurde die Herkunft der Daten im Hinblick auf die gespeicherten Daten bezogen auf die Beschwerdeführerin präzisiert:
„1.) Herkunft der Daten:
Firmenbuch/Gewerberegister Firma, Rechtsform,
Organwalter, Branche
Befragung des Betroffenen Art u. Umfang,
Bankverbindung,
Funktionsträger, Kontakt
Grundbuch Liegenschaftsbesitz
und Belastungen
Bilanzauswertung/Bankauskunft Eckdaten, Bonität,
Geschäftsentwicklung,
Beurteilung
Inkassodaten/Lieferantenbefragung Zahlungsverhalten
Ediktsdatei d. BMJ, Gläubigerkreis Konkursanträge,
Konkursbeschlüsse“
Die Gesamtbeurteilung (Rating) bezieht nahezu alle
bekannten Umständen in die Berechnung mit ein. Das Rating
erfolgt auf Basis eines Rechenalgorithmus, dessen genaue
Faktoranalyse ein Geschäftsgeheimnis des F*** darstellt.“
Im Auskunftsschreiben vom 21. Oktober 2005 ist zur Herkunft der Daten nichts angeführt.
Demgegenüber moniert die Beschwerdeführerin in ihrer Stellungnahme vom 31. Oktober 2005
Wie schon oben festgestellt, verarbeitet der Beschwerdegegner in Bezug auf die Beschwerdeführerin Daten betreffend ihre Bankverbindung, ihre Lieferanten (Name und Anschrift) sowie Protokolle über mit den Banken und Lieferanten geführte Gespräche elektronisch.
Die Datenschutzkommission hat allerdings bereits wiederholt, gestützt auf § 1 Abs. 3 und 4 iVm Abs. 2 DSG 2000, die Auffassung vertreten, dass das Auskunftsrecht kein absolutes Recht ist: Das Auskunftsrecht steht danach vielmehr unter einem doppelten Gesetzesvorbehalt. Wie in § 26 Abs. 3 DSG 2000 nochmals auf einfachgesetzlicher Stufe ausdrücklich ausgeführt, hat das Auskunftsrecht seine Grenze auch in den berechtigten Interessen (z.B. Datenschutzinteressen) des Auftraggebers oder Dritter, sofern diese Interessen in einer konkreten Situation als ‚überwiegend’ zu werten sind (vgl. etwa den Bescheid der Datenschutzkommission vom 12. November 2004, GZ K120.902/0017-DSK/2004).
Der Beschwerdegegner führt nun in seiner Stellungnahme vom 18. November 2005 dazu aus, Details aus seiner Arbeitspraxis, also die Intervalle der Einholung von Bankauskünften, die Auswahl der befragten Vertragspartner und die in Gesprächen angesprochenen Themen (Stellenwert des Lieferanten), Umsatzangabe des Unternehmens als Betroffener, Verlässlichkeit und Pünktlichkeit der Zahlungen würden das Betriebsgeheimnis einer Kreditauskunftei darstellen. Daher hätte aus Sicht des Beschwerdegegners der Beschwerdeführer einen ‚besonderen Grund’ (unbillige Behinderung im Fortkommen, Bonitätseinstufung deutlich unzutreffend) angeben müssen, um konkrete Informationen über die Herkunft seiner Daten zu erhalten.
Dem ist zu erwidern, dass eine Auskunft über die Herkunft der vom Beschwerdegegner im Ergebnis ins Treffen geführten Angaben, die er als unter sein Betriebs- und Geschäftsgeheimnis fallend erachtet, gar nicht zu umfassen braucht. Es ist, um den zuvor dargestellten Anforderungen an eine Auskunft zu genügen, lediglich notwendig, hinsichtlich jeder Datenart – soweit noch verfügbar, also zumindest die letzten drei Jahre umfassend – deren konkrete Quelle anzugeben. Dazu sind, wie in der Entscheidung der Datenschutzkommission vom 15. Februar 2005, GZ: K120.981/0002- DSK/2005, die auch der Beschwerdegegner zitiert, Angaben wie zB ‚Selbstauskunft’, ‚Telefonbuch’, ‚Firmenbuch’, ‚X-Bank’, zwar ausreichend, gemeint ist damit, dass für jedes gespeicherte Datum die Herkunft in Form ‚X-Bank’ oder etwa ‚Lieferant Y’ anzugeben ist. Nicht von Relevanz, wie der Beschwerdegegner vermeint, kann dabei der Umstand sein, dass der Beschwerdeführerin möglicherweise ihre Bankverbindung bzw. Lieferanten bekannt sind, da sonst einerseits etwa auch der abgespeicherte Name der Beschwerdeführerin nicht zu beauskunften wäre und andererseits das Auskunftsrecht dem Betroffenen ja auch die Richtigstellung seiner Daten ermöglichen soll.
Nun wurde im gegenständlichen Fall im Auskunftsschreiben vom 13. Juli 2005 bereits beauskunftet, welche gespeicherten Daten von der (oder den) Bank(en) und welche von Lieferanten stammen, lediglich die genaue Bezeichnung der Bank(en) und Lieferanten ist nicht vorgenommen worden. Damit aber die Beschwerdeführerin überhaupt die Möglichkeit einer etwaigen Richtigstellung ihrer Daten erhält, ist es unumgänglich, auch diese Daten zu beauskunften. Daran kann auch das Vorbringen des Beschwerdegegners nichts ändern, dass, „wenn es um die Frage geht, wer da jeweils was mitgeteilt hat“, darauf zu verweisen ist, dass „diese Form der Informationserhebung nur mit einem gewissen Geheimhaltungsschutz der Beteiligten funktioniert.“ Dem darauf gerichteten Beweisantrag in Form der Zeugeneinvernahme des Hrn. I*** Z*** war daher mangels Relevanz nicht zu entsprechen.
Der Beschwerdegegner hat dadurch, dass die konkrete Benennung der Bank(en) und Lieferanten gegenüber der Beschwerdeführerin unterblieben ist, diese in ihrem Recht auf Auskunft verletzt. Es war die Nachholung dieser Auskunft aufzutragen. Dafür ist in Ansehung des Ausmaßes der verarbeiteten Daten eine Frist von drei Wochen im Sinn des § 59 Abs. 2 AVG angemessen.