K121.217/0021-DSK/2006 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden

korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Mag. HUTTERER, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ und Mag. PREISS sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 13. Dezember 2006 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde der Sozialversicherungsanstalt der gewerblichen Wirtschaft in Wien (Beschwerdeführerin), vertreten durch den Generaldirektor, vom 11. Mai 2006 gegen die P GmbH in U (Beschwerdegegnerin), vertreten durch Dr. L, Rechtsanwalt in U, wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 5, 26 Abs 1 und 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:

Die Beschwerde wird abgewiesen.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Die Beschwerdeführerin behauptet eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin dem Auskunftsersuchen der Beschwerdeführerin vom 15. Februar 2006 mit E-Mail vom 16. März 2006 nur unvollständig nachgekommen sei. Sie habe mitgeteilt, dass sie selbst keine Daten über Exekutionsverfahren gespeichert habe, in welchen die Beschwerdeführerin als betreibender Gläubiger aufscheine. Diese Information sei unrichtig, da der Beschwerdeführerin von Versicherten (der Beschwerde beigelegte) Schreiben der Beschwerdegegnerin übermittelt worden seien, in denen die Beschwerdeführerin ausdrücklich als Gläubigerin in Exekutionsverfahren samt Gerichtszahl angeführt sei und auf die Datenspeicherung hingewiesen werde. Die Unvollständigkeit bzw. Unrichtigkeit der Auskunftserteilung liege somit darin, dass von der Beschwerdegegnerin keine Daten bekannt gegeben worden seien, welche die Beschwerdeführerin als betreibende Gläubigerin in Exekutionsverfahren enthalten. Die Argumentation der Beschwerdegegnerin im E-Mail vom 16. März 2006, wonach sie hinsichtlich jener Datenbank, in der solche Daten möglicherweise enthalten seien, nur Dienstleisterin und daher nicht auskunftspflichtig sei, sei unrichtig.

In ihrer Stellungnahme vom 12. Juni 2006 zu dem vor der DSK vorgebrachten Beschwerdebegehren bestreitet die Beschwerdegegnerin weder das Auskunftsbegehren vom 15. Februar 2006 noch den Inhalt ihres als Reaktion darauf am 16. März 2006 an die Beschwerdeführerin gesendeten E-mails. Die Beschwerdegegnerin begründet dies im Wesentlichen auch der Datenschutzkommission gegenüber zunächst damit, dass nicht sie, sondern die Fa. W (Inhaber Herr G) Auftraggeberin jener Datenanwendungen sei, in welchen die Beschwerdeführerin möglicherweise als betreibende Gläubigerin aufscheine. Die Beschwerdegegnerin vermittle Interessierten über ein Internetportal bloß Zutritt zu den Daten der W. Soweit die Beschwerdegegnerin Betroffenen (- gemeint sind die beiden Versicherten der Beschwerdeführerin, denen Auskünfte erteilt wurden, die der Beschwerde an die DSK beigelegt wurden -) auf Grund eines Auskunftsersuchens geantwortet habe, sei darauf zu verweisen, dass die Beschwerdegegnerin auch diese Tätigkeit im Auftrag von W durchführe. Außerdem habe die Beschwerdegegnerin der Beschwerdeführerin unmissverständlich mitgeteilt, dass die vom Auskunftsersuchen umfassten Informationen über Exekutionen der Beschwerdegegnerin nicht verfügbar seien. Auf Grund der gesetzlich angeordneten Öffentlichkeit von Exekutionsdaten (nach den §§ 71, 71a EO ua.) bestehe kein Recht der Beschwerdeführerin auf Geheimhaltung und daher auch kein rechtliches Interesse an einer Auskunft.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Vollständigkeit und Richtigkeit der am 16. März 2006 von der Beschwerdegegnerin erteilte Auskunft ist.

Näherhin liegt die behauptete Unvollständigkeit bzw. Unrichtigkeit der Auskunft nach eigener Aussage der Beschwerdeführerin darin, dass „keine Daten bekannt gegeben wurden, welche die SVA als betreibende Gläubigerin im Exekutionsverfahren enthalten“. Nur diesbezüglich wird von der Beschwerdeführerin eine Unvollständigkeit bzw. Unrichtigkeit der Auskunft geltend gemacht.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Sowohl die Beschwerdegegnerin als auch das von Herrn G betriebene nicht protokollierte Einzelunternehmen „W“ verfügen (unter anderem) über eine Gewerbeberechtigung als Kreditauskunftei. Beide unterhalten zum Zweck der Ausübung dieses Gewerbes jeweils eine Datenbank (jene der Beschwerdegegnerin trägt die Bezeichnung „F-Datenbank“).

Beweiswürdigung : Diese Feststellungen beruhen hinsichtlich der Beschwerdegegnerin auf Ihren Angaben in der Besprechung vom 7. September 2006 in den Räumlichkeiten der Geschäftsstelle der Datenschutzkommission, hinsichtlich G auf den Ergebnissen des (auf Grund einer weiteren Beschwerde der Beschwerdeführerin anhängigen) Verfahrens der Datenschutzkommission mit der Grundzahl K121.220.

Am 22. November 2004 schlossen die Beschwerdegegnerin und Herr G einen „Vertrag über Dienstleistungen nach dem Datenschutzgesetz“ ab. Wesentlicher Inhalt dieses Vertrages ist die Weitergabe einer Datenbank der W über Exekutionen, Versteigerungen, Vermögensverzeichnisse und Insolvenzverfahren zu österreichischen Privatpersonen und Firmen an die Beschwerdegegnerin. Die Rechtsnatur der Weitergabe wird in diesem Vertrag durchgängig als „Überlassung“ bezeichnet. Die Beschwerdegegnerin wird insbesondere exklusiv (dh. alleine) beauftragt, über ein von ihr herzustellendes und zu verwaltendes Internetportal „als Dienstleister nach dem Datenschutzgesetz“ den entgeltlichen Zugang zu den Daten der W zu eröffnen. W werde sich in Hinkunft daher auf die Datenbeschaffung und Datenpflege konzentrieren.

Explizit genannte Vertragspflicht der Beschwerdegegnerin ist es unter anderem, Daten an berechtigte Dritte über das bereitzustellende Internetportal zu übermitteln sowie diese Daten mit anderen rechtmäßig ermittelten bonitäts- und kreditrelevanten Daten für andere Zwecke, einschließlich statistischer Auswertungen zu verknüpfen. W verpflichtet sich, der Beschwerdegegnerin die Daten, die W bis zum Zeitpunkt der Vertragsunterzeichnung erfasst hat, innerhalb von 21 Tagen nach der Unterzeichnung in geeigneter elektronischer Form „zu überlassen“.

Das aus dem Vertrag zustehende Entgelt ist in einer gesonderten Vereinbarung geregelt. Im Vertrag ist jedoch folgende Bestimmung enthalten:

„[...] Kündigung aus wichtigem Grund

Der Vertrag kann mit sofortiger Wirkung gekündigt werden, sollte eine der folgenden Voraussetzungen erfüllt sein:

[...]

Beweiswürdigung : Diese Feststellungen beruhen auf dem von der Beschwerdegegnerin in Kopie – ohne die Entgeltvereinbarung vorgelegten Vertrag vom 22. November 2004.

Der Zugang zu den von der W stammenden Daten erfolgt bei der Beschwerdegegnerin ausschließlich durch Anmeldung mit Benutzername und Passwort zur Online-Abfrage ihrer F-Datenbank. Dort sind in eine Suchmaske Suchkriterien (zB Name, Adresse, Geburtsdatum, Firmenbuchnummer) einzutragen, sodann kann durch Anklicken eines Buttons die Suche zunächst nach den die Kriterien erfüllenden Personen gestartet werden. Klickt man aus der als Suchergebnis aufscheinenden Liste eine Person an, kann man in der Folge unter anderem in einer Rubrik Bonitätsdaten zu ihr (genau genommen: einer ihr zugeordneten Adresse) einsehen. Das dabei angezeigte Ergebnis hängt vom Vertrag ab, den der Benutzer mit der Beschwerdegegnerin abgeschlossen hat: Insbesondere ist es möglich für entsprechendes zusätzliches Entgelt, zusätzlich zur Abfrage der von der Beschwerdegegnerin selbst aufbereiteten Daten die von der W weitergegebenen Bonitätsdaten angezeigt zu erhalten. Diesfalls erfolgt die Anzeige des verfügbaren Bonitätsdatenbestandes nach folgendem Schema:

[Anmerkung Bearbeiter: Wiedergabe der folgenden tabellarischen Darstellung im RIS nur annäherungsweise und sinngemäß möglich]

„Bonitätsinformationen P

Martin Mustermann

Beispielstraße 45B

1140 Wien

Inkasso Status

Anz. Forderung Offen

außergericht. Betreibung 7 5.142,63 Euro 4.824,79 Euro

gericht. Betreibung 5 3.868,50 Euro 3.651,62 Euro

-------------------------------------------------------------

Total 129.011,13 Euro 8.476,41 Euro

Bonitätsrelevante Daten gemäß W

letzte Branche des

Änderung Text Betrag Gläubigers

28.07.2005 Exekution bewilligt n.b.

27.01.2005 Exekution bewilligt n.b. Sozialversicherung

P ermöglicht den Zugang zum Datenbestand der nicht protokollierten Firma W, Inhaber G. Als datenschutzrechtlicher Auftraggeber entscheidet alleine W über die Verarbeitung von Daten bzw. kontrolliert und verwaltet diese. Soweit Betroffene subjektive Rechte gemäß DSG 2000 (Recht auf Geheimhaltung, Recht auf Auskunft, Recht auf Richtigstellung und Löschung) gegenüber P geltend machen, handelt P in Bezug auf diese Daten lediglich im Auftrag von W.

Inkassomeldungen

Eröffnet |Geschlossen|Kapital- | Offen |Maßnahme|Inkasso

| |forderung| | |Status

07.07.2005| | 103,82| 103,82|gericht.|In Bearb.

| | | |Betreib.|

22.05.2002|17.09.2003 | 3.834,21|3.834,21|außerger|ausge-

| | | |Betreib.|bucht

Diese Angaben sind streng vertraulich und nur zu internen Zwecken zu verwenden. Diese Angaben dürfen weder an Dritte noch an den Betroffenen weitergegeben werden. Wünscht der Betroffene Auskunft über bei P gespeicherte Daten, so ist er an P zu verweisen.“

Im Feld „Branche des Gläubigers“ der W-Datenbank können Sozialversicherungsträger als betreibende Gläubiger mit unterschiedlicher Bezeichnung eingetragen sein: z.T. – so wie im vorliegenden Abfragebeispiel – als „Sozialversicherung“, z. T. auch nur durch das Kürzel „SVA“, das aber für alle Sozialversicherungsträger gleichermaßen verwendet wird. In vielen Fällen fehlt auch die Eintragung in diesem Feld gänzlich. Nach Aussage des Auftraggebers kann jedoch auch nicht völlig ausgeschlossen werden, dass in Einzelfällen der volle Name des Sozialversicherungsträgers eingetragen ist.

Eine Abfrage der W-Daten ohne gleichzeitige Abfrage der von der Beschwerdegegnerin selbst gesammelten Daten (also der „Bonitätsinformationen P“ und „Inkassomeldungen“) ist nicht möglich. Ist dies vom „Leistungspaket“ des abfragenden Kunden umfasst, so kann er über einen Link auch auf Daten des international tätigen Auskunfteiunternehmens Z zugreifen (nur wenn die abgefragte Person Unternehmer ist). Das Vertragsverhältnis zwischen der Beschwerdegegnerin und den Nutzern der F-Datenbank beruht auf den Allgemeinen Geschäftsbedingungen der Beschwerdegegnerin. Darin ist keine Rede davon, dass die Nutzer auch mit anderen Personen als der P GmbH (zB der W) in Vertragsbeziehung treten.

Im vorliegenden Fall hat die mündliche Befragung der Vertreter der Beschwerdegegnerin durch die DSK ergeben, dass die P der eindeutigen Auffassung ist, aufgrund ihrer Vertragsbeziehung zur W kein Verfügungsrecht über die mit „Bonitätsrelevante Daten gemäß W“ bezeichnete Datenbank zu besitzen, die ihr eine Veränderung des Inhalts der unter dieser Bezeichnung dargebotenen Informationen gestatte. Insbesondere habe sie keine Berechtigung, Entscheidungen z.B. hinsichtlich der Richtigkeit oder der Löschung von Daten in dieser Datenbank zu treffen. Sie habe den Umstand, dass es sich hier um eine gesonderte Datenbank handle, sowohl durch die Bezeichnung „Bonitätsrelevante Daten gemäß W“, als auch durch die gesonderte, von den Bonitätsinformationen der P deutlich abgesetzte Darbietung auf ihrer Internet-Webseite, sowie durch den ausdrücklichen Hinweis unter der Darbietung der W-Daten, dass es sich hiebei um einen Datenbestand handle, dessen datenschutzrechtlicher Auftraggeber die W sei, für jeden Benutzer erkennbar zum Ausdruck gebracht. Hiedurch sei auch gewährleistet, dass kein Rechtsschutzdefizit für Betroffene eintreten könne, da ja deutlich sichtbar gemacht werde, an wen sich der Betroffene zur Wahrung seiner Rechte zu wenden habe.

Auf die Frage, wieso P dann einzelnen Schuldnern aus dem Datenbestand „Bonitätsrelevante Daten gemäß W“ Auskunft gemäß § 26 nachweisbar erteilt habe, haben die Vertreter von P dargelegt, dass sie sich dessen sehr wohl bewusst waren, dass sie zur Auskunftserteilung mangels Auftraggebereigenschaft nicht verpflichtet waren, dies jedoch aus dem Grund besonders betroffenenfreundlicher Vorgangsweise getan hätten, um den Betroffenen auf möglichst einfache Weise die verlangte Information zukommen zu lassen. Die Unzweckmäßigkeit dieser Vorgangsweise habe sich jedoch in der Zwischenzeit herausgestellt, da in den erteilten Auskünften das – in der Datenbank enthaltene - Kürzel „SVA“ von P mangels genauer Kenntnis der nicht ihrer Verfügungsgewalt unterstehenden Datenbank falsch interpretiert wurde und deshalb unrichtigerweise mit „Sozialversicherungsanstalt der gewerblichen Wirtschaft“ in den erteilten Auskünften wiedergegeben wurde.

Beweiswürdigung : Diese Feststellungen beruhen zunächst auf von der Datenschutzkommission über einen Testzugang (mit Berechtigung, auch die von der W stammenden Daten abzufragen) am 27. Juli 2006 durchgeführten Abfrage der F-Datenbank der Beschwerdegegnerin sowie auf den Äußerungen der Beschwerdegegnerin im Zuge der mündlichen Besprechung vom 7. September 2006. Die Abfrageergebnisse sowie die AGB wurden der Beschwerdegegnerin im Zuge der Besprechung vom 7. September 2006 vorgehalten und nicht bestritten. Die Existenz verschiedener Benutzerberechtigungen (insb. mit/ohne W-Daten) wurde von der Beschwerdegegnerin in dieser Besprechung dargelegt. Die Beschwerdeführerin ist all dem im Rahmen des ihr gewährten Parteiengehörs nicht entgegengetreten.

Die Datenbank der W ist nur nach den etwa 2,200.000 Datensätzen jener Personen gegliedert, über deren Bonität darin eine Aussage getroffen wird (in der Folge vereinfacht als „Schuldner“ bezeichnet). Sie ist neben dem Zugang über die Beschwerdegegnerin auch direkt über die Internetseite der W (in der Vollversion ebenfalls nur mit Benutzername und Passwort) abfragbar, darüber hinaus können Auskünfte daraus auch auf konventionelle Art und Weise (zB per Post) bestellt werden. Ein Suchen in dieser Datenbank ist für die W nur nach persönlichen Merkmalen der Schuldner (Name, Berufsbezeichnung, Branche usw.) möglich, nicht jedoch nach den betreibenden Gläubigern. Dennoch ist in jedem Datensatz ein Feld für die betreibende Partei vorgesehen, wo in einigen Fällen tatsächlich der Name des betreibenden Gläubigers aufscheint, in anderen Fällen nur ein Kürzel, welches den Typ des Gläubigers charakterisiert (zB BA für Bankinstitut, TEL für Telekommunikationsunternehmen oder auch SVA für einen beliebigen Sozialversicherungsträger), in wieder anderen Fällen enthält dieses Feld überhaupt keine Eintragung.

Beweiswürdigung : Diese Feststellungen beruhen auf dem Vorbringen der W in ihren Stellungnahmen im Verfahren K121.220. Der Beschwerdegegnerin sind sie bekannt, da sie sie sinngemäß in der Besprechung vom 7. September 2006 wiederholt hat. Die Beschwerdeführerin ist ihnen wiederum im Rahmen des Parteingehörs nicht entgegengetreten.

Bei der Beschwerdegegnerin scheinen die aus der Datenbank der W stammenden Daten nach dem Schema im obigen Abfragebeispiel („Bonitätsinformationen P“ getrennt von „Bonitätsrelevante Daten gemäß W“) auf. Auch für die Beschwerdegegnerin ist eine Suche nach betreibenden Gläubigern nicht möglich. Es ist unklar, ob im Feld „Branche des Gläubigers“ auch ein konkreter Name aufscheinen kann.

Beweiswürdigung: Diese Feststellungen beruhen auf den Ergebnissen der Testabfrage vom 27. Juli 2006 sowie dem insoweit unbestrittenen Vorbringen der Beschwerdegegnerin in der Besprechung vom 7. September 2006.

Die Beschwerdeführerin richtete am 15. Februar 2006 ein Auskunftsbegehren an die Beschwerdegegnerin. Darin begehrte die Beschwerdeführerin unter Berufung auf § 26 DSG 2000 Auskunft über die zu ihrer Person verarbeiteten Daten, deren Herkunft, die Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür, weiters die Namen und Adresse allfälliger Dienstleister. Es wurde angeführt, dass die Beschwerdeführerin von einem Versicherten informiert worden sei, dass der Beschwerdegegner Daten über die Beschwerdeführerin, insbesondere als Gläubigerin in Exekutionsverfahren, verwende. Weiters wurde auf die Verschwiegenheitspflicht der Beschwerdeführerin und das daraus sich ergebende große Interesse daran, dass Daten nur unter den strengen gesetzlichen Voraussetzung an berechtigte Empfänger übermittelt werden, hingewiesen.

Darauf reagierte die Beschwerdegegnerin mit einem E-mail vom 16. März 2006 in dem sie der Beschwerdeführerin Auskunft über zahlreiche zu ihrer Person gespeicherte Daten (Name, Adressen, vertretungsbefugte Personen, Beteiligungen) deren Herkunft und Rechtsgrundlagen erteilte.

Nicht angeführt waren die im Auskunftsbegehren ausdrücklich begehrten Daten über die Beschwerdeführerin als Gläubigerin in Exekutionsverfahren. Diesbezüglich wurde vielmehr mitgeteilt, die Beschwerdegegnerin speichere derartige Daten nicht. Sie übermittle zwar im Rahmen ihrer Geschäftstätigkeit Exekutionsdaten, diese Daten würden jedoch von W erhoben, gespeichert und auch beauskunftet, da dies nach § 26 DSG 2000 ihr als Auftraggeberin obliege. Aus technischer Sicht sei es der Beschwerdegegnerin zwar möglich, auf die Daten der W zuzugreifen, es sei eine Suche im Kundenauftrag jedoch nur nach dem Verpflichteten/Schuldner möglich, nicht aber nach der betreibenden Partei.

Beweiswürdigung: Diese Feststellungen beruhen auf dem insoweit unbestrittenen Beschwerdevorbringen.

Bei den beiden von der Beschwerdeführerin ins Treffen geführten Personen, die von der Beschwerdegegnerin die Auskunft erhalten hatten, die Beschwerdeführerin scheine in ihren Datensätzen als betreibender Gläubiger auf, konnte eine tatsächliche Verarbeitung von Daten der Beschwerdeführerin nicht festgestellt werden. Vielmehr findet sich in einem dieser Datensätze in Wahrheit nur die Eintragung „Sozialversicherung“, der andere Datensatz dürfte von der W mittlerweile gelöscht worden sein, jedenfalls konnten im Zeitpunkt der Feststellungen der DSK über das Internetportal der Beschwerdegegnerin – auch bei Nutzung der von der Beschwerdeführerin zur Verfügung gestellten Angaben - keine von der W stammenden Daten gefunden werden, die sich eindeutig auf die Beschwerdeführerin bezogen hätten.

Beweiswürdigung : Diese Feststellungen beruhen wiederum auf der Testabfrage der Datenschutzkommission vom 27. Juli 2006 durchgeführten im Internetportal der Beschwerdegegnerin. Es wurde nur (mehr) bei einer der beiden Personen eine Eintragung in der Datenbank der Beschwerdegegnerin gefunden, dort scheint in der Spalte „betreibender Gläubiger“ lediglich die Eintragung „Sozialversicherung“ ohne weiteren Zusatz auf. Daher scheint das Vorbringen der Vertreter der Beschwerdegegnerin in der Besprechung vom 7. September 2006, man habe den beiden Auskunftswerbern mehr sagen wollen, als tatsächlich in der Datenbank stand, schlüssig. Die Beschwerdeführerin hat diese Ermittlungsergebnisse im Rahmen des Parteiengehörs auch in sachverhaltsmäßiger Hinsicht nicht bestritten.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden. Die einfachgesetzliche Ausführungsbestimmung des § 26 DSG 2000 lautet:

„Auskunftsrecht

§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. [...]

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

[...]“

Nach § 4 DSG 2000 bedeutet im Sinne des DSG 2000:

§ 10 Abs. 1 DSG 2000 lautet unter der Überschrift

„Zulässigkeit der Überlassung von Daten zur Erbringung

von Dienstleistungen

§ 10. (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.“

Nach Artikel 2 der Richtlinie 95/46/EG (DS-RL) sind im Sinne dieser Richtlinie

2. rechtliche Schlussfolgerungen

Zunächst ist festzuhalten, dass sich die behauptete Unvollständigkeit der Auskunft nach den unbestrittenen Ergebnissen des Ermittlungsverfahrens nicht auf die unter der Bezeichnung „Bonitätsinformationen P“ oder „Inkassomeldungen“ bezieht, sondern nur auf die mit „Bonitätsrelevante Daten gemäß W“ bezeichnete (Teil)Datenbank, da nur diese überhaupt Informationen über Exekutionen und daher möglicherweise auch über betreibende Gläubiger enthält.

Die von der Beschwerdeführerin behauptete Unvollständigkeit der Auskunft vom 16. März 2006 im Hinblick auf den über das Internetportal der Beschwerdegegnerin abrufbaren, jedoch von der W stammenden Datenbestand bestreitet die Beschwerdegegnerin dem Grunde nach mit dem Argument, sie sei für diese Daten gar nicht Auftraggeberin und daher gemäß § 26 Abs. 1 DSG 2000 auch nicht zur Auskunftserteilung verpflichtet.

Schon auf Grund der elektronischen Abrufbarkeit handelt es sich bei diesem Datenbestand um eine Datenanwendung (§ 4 Z 7 DSG 2000) bzw. einen Teil davon. Die darin enthaltenen Daten werden auch unbestritten von der Beschwerdegegnerin verwendet (verarbeitet und übermittelt; § 4 Z 8 iVm Z 1 DSG 2000). Zu prüfen ist nur, ob sie dies „zur Herstellung eines ihr aufgetragenen Werkes“ tut, also Dienstleisterin im Sinn des § 4 Z 5 DSG 2000 ist, oder ob sie - wovon ansonsten auszugehen ist - selbst die Entscheidung getroffen hat, die Daten zu verwenden, und damit Auftraggeberin (§ 4 Z 4 DSG 2000) ist.

Wie aus der Verwendung des Begriffes „Werk“ in § 4 Z 5 DSG 2000 abzuleiten ist, geht der Gesetzgeber davon aus, dass im Regelfall zwischen Auftraggeber und Dienstleister zivilrechtlich ein Werkvertrag vorliegen wird. Dieser kann, wie § 4 Z 4 DSG 2000 erkennen lässt, die Verarbeitung von Daten als Hauptleistung („einen anderen heranziehen“) zum Gegenstand haben, die Verarbeitung kann aber auch nur „Nebenprodukt“ eines auf eine beliebige andere Werkleistung gerichteten Vertrages sein. Der Gebrauch der Worte „Auftraggeber“ und „Dienstleister“, die nicht in die Werkvertragsterminologie des ABGB (§§ 1151, 1165f) passen, lässt allerdings darauf schließen, dass der Gesetzgeber nicht ausschließlich Werkverträge im Sinn des ABGB zur Begründung eines Dienstleistungsverhältnisses nach dem DSG 2000 zulassen wollte, sondern dass der Begriff des Werkes weiter zu verstehen ist. Darunter fallen, wie auch die erläuternden Bemerkungen zu § 4 Z 4 und 5 DSG 2000 (1613 BlgNR XX. GP) zeigen, ebenso die Besorgung von Aufträgen, Vollmachten, Ermächtigungen (zur zivilrechtlichen Definition und Abgrenzung vom Werkvertrag vgl. Koziol/Welser , Bürgerliches Recht

12. Aufl. II, 195f). Weiters kommt es nicht darauf an, ob das Werk entgeltlich oder unentgeltlich hergestellt wird. Dennoch kann bei weitem nicht jede beliebige Vertragsgestaltung, mit der eine Datenweitergabe verbunden ist, ein Dienstleistungsverhältnis begründen, es muss vielmehr die Verfügungsgewalt über die Daten vertraglich so geregelt sein, dass ein Vertragspartner (der Dienstleister) an die Verfügungen des anderen Vertragspartners (der Auftraggebers), insbesondere hinsichtlich von Richtigstellungen und Löschungen der betreffenden Daten, gebunden ist.

Aus der Formulierung des § 10 Abs. 1 DSG 2000 ergibt sich, dass „Dienstleistungen“ nicht auf bestimmte Arten von Arbeitsschritten bei der Handhabung von Daten beschränkt sind, sondern jede Form der „Datenverwendung“ betreffen können. Auch die Veröffentlichung von Daten (etwa im Internet) gilt als „Datenverwendung“ im Sinne des § 4 Z 8 DSG 2000, da sie gemäß § 4 Z 12 eine besondere Form der „Übermittlung“ ist, die ihrerseits eine der Formen der Datenverwendung darstellt (vgl. § 4 Z 8).

Das Zugänglichmachen von Datenanwendungen über ein Portal, das von einem anderen Rechtsträger als dem Auftraggeber der Datenanwendung betrieben wird, ist ein häufig anzutreffendes Phänomen. Das „Werk“, das hier vom Portalbetreiber geschaffen wird, ist die Herstellung und Aufrechterhaltung des Zugangs zur Datenanwendung über das Internet, wobei die Benutzerverwaltung, falls der Zugang an eine eigene Berechtigung geknüpft ist, ein zusätzlicher Teil des vereinbarten „Werks“ sein kann. In dieser Konstellation wird das Portal als Dienstleister anzusehen sein, sofern es auf den Inhalt der Datenanwendung, zu der der Zugang eröffnet wird, keinen Einfluss hat. Die Vereinbarung eines Entgeltes an denjenigen, der die Datenanwendung im Portal zur Verfügung stellt, ist kein eindeutiges Indiz dafür, dass der Portalbetreiber die datenschutzrechtliche Rolle eines Auftraggebers, also die volle Verfügungsgewalt über die Datenanwendung, erworben hat, da es sich hiebei auch um die Weiterleitung von Zugangsentgelten handeln kann, die der Portalbetreiber von den Benutzern für den Auftraggeber der Datenanwendung als zusätzliche Dienstleistung einhebt.

Die Qualifikation eines Rechtsträgers als „Auftraggeber“ oder Dienstleister“ muss sich zunächst, d.h. bevor eine rechtliche Wertung der Zulässigkeit der Inanspruchnahme einer dieser Rollen vorgenommen werden kann, an den tatsächlichen Verfügungsverhältnissen orientieren. Die Beschwerdegegnerin hat mehrfach dargelegt, dass sie keine Verfügungsgewalt über den Inhalt des unter der Bezeichnung „Bonitätsrelevante Daten gemäß W“ über ihr Internetportal dargebotenen Datenbestandes besitzt, was aber entscheidend wäre für die Rechtsstellung als Auftraggeber einer Datenanwendung. Dass es sich hiebei nicht nur um eine Schutzbehauptung im Einzelfall handelt, erhellt auch aus der Art und Weise der Darbietung der in Rede stehenden Daten auf der Internetseite der Beschwerdegegnerin, aus der in einer für Betroffene klar erkennbaren Weise darauf hingewiesen wird, dass datenschutzrechtlicher Auftraggeber die „Firma W, Inhaber G“ sei. Wie der Datenschutzkommission aus dem gleichzeitig geführten Verfahren K121.220 bekannt ist, bestreitet auch die Firma W ihre Auftraggebereigenschaft im vorliegenden Zusammenhang nicht. Da somit sowohl nach Meinung der Beteiligten als auch nach dem nach außen hin auftretenden Erscheinungsbild die Verteilung der datenschutzrechtlichen Rollen tatsächlich so gestaltet ist, dass die W die Entscheidung über den Inhalt des in Rede stehenden Datenbestandes trifft und die P nur den Zugang zu diesem Datenbestand über das Internet samt Entgeltverrechnung für den Zugang vornimmt, ist die P im Hinblick auf diesen Datenbestand als datenschutzrechtlicher Dienstleister zu sehen. Auch der Inhalt des vorgelegten Vertrages ergibt kein anderes Bild hinsichtlich jenes Datenbestandes, der als „Bonitätsrelevante Daten gemäß W“ dargeboten wird – allfällige Weiterverwendungsrechte der P beziehen sich nicht auf die Darbietung der Daten unter dieser Bezeichnung auf der Webseite der Beschwerdegegnerin und wären als gesonderter Vertragsgegenstand zu qualifizieren.

Die Verpflichtung zur Erteilung von Auskünften aus Datenanwendungen aufgrund des § 26 DSG 2000 trifft den Auftraggeber der Datenanwendung. Da der Beschwerdegegnerin diese Eigenschaft im vorliegenden Fall mangelt, trifft sie keine Verpflichtung zur Auskunftserteilung, weshalb wie im Spruch zu entscheiden war.