K121.339/0007-DSK/2008 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL, Dr. BLAHA, Mag. ZIMMER und Dr. SOUHRADA-KIRCHMAYER sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 25. April 2008 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Sebastian O*** in Wien (Beschwerdeführer), vertreten durch ***, vom 1. Oktober 2007 gegen die W*** Gesellschaft m.b.H. in Wien (Beschwerdegegnerin), wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 26 Abs. 1, 3 und 4 iVm 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idgF, entschieden:
B e g r ü n d u n g:
A. Vorbringen der Parteien
a. Der Beschwerdeführer behauptete mit Schreiben vom 1. Oktober 2007 an die Datenschutzkommission eine Verletzung im Recht auf Auskunft dadurch, dass seinem Auskunftsbegehren vom 30. Mai 2007 an die Beschwerdegegnerin nicht vollständig entsprochen worden sei. Er beantragte daher, die Beschwerdegegnerin möge eine vollständige Auskunft erteilen („(insbesondere im Sinne der VwGH-Entscheidung 2005/06/0111) und in Hinblick jener durch A*** errechneten Scoringwerte, für die – nach Ansicht der DSK (121.292) – die jeweiligen Telekomunternehmen bzw. A***-Kunden Auftraggeber sind.“)
b. Die mit den Vorwürfen konfrontierte Beschwerdegegnerin brachte vor, das Auskunftsbegehren wäre an ein abteilungsinternes Fax der Technikabteilung gerichtet worden, dessen Rufnummer nicht an externe Stellen kommuniziert werde. Auskünfte zu datenschutzrechtlichen Angelegenheiten würden ausschließlich von der Rechtsabteilung behandelt. Dem Schreiben der Beschwerdegegnerin war ein Auskunftsschreiben vom 10. Oktober 2007 an den Beschwerdeführer angeschlossen, wonach unter seinem Namen keine personenbezogenen Daten gespeichert seien.
c. Im dazu gewährten Parteiengehör brachte der Beschwerdeführer vor, wesentlicher Teil der Auskunft sei nicht nur die Bekanntgabe eigener Datenverarbeitung, sondern auch Datenverarbeitung durch Dienstleister. In diesem Sinn sei die Auskunft falsch, da das Bestimmen von Bonitätsdaten auf Grund von Vorgaben eines Unternehmens bei einem Wirtschaftsauskunftsdienst als Dienstleistung des Wirtschaftsauskunftsdienst gegenüber dem Unternehmen, das Auftraggeber ist, angesehen werde. Die Datenschutzkommission habe bereits festgestellt, dass die Firma A*** im Auftrag der Beschwerdegegnerin Daten ermittle (errechne), die zum Zeitpunkt des Auskunftsbegehrens jedenfalls verfügbar gewesen seien. Die Daten bei A*** seien jedenfalls noch vorhanden, da bis zum Ende des Verfahrens K121.292 ein Löschungsverbot bestehe, fristgerecht eine Beschwerde beim Verfassungsgerichtshof eingebracht worden sei und die Daten nach wie vor nicht gelöscht werden dürften. Die Beschwerde werde daher aufrecht erhalten und eine „Systemprüfung“ gemäß § 30 DSG bei der Beschwerdegegnerin zur Feststellung, welche weiteren Dienstleister Daten des Beschwerdeführers verwenden, angeregt.
d. Erneut zur Stellungnahme aufgefordert, bringt die Beschwerdegegnerin im Wesentlichen vor, sie ermittle und verarbeite die vom Kunden im Zuge der Anmeldung zur Verfügung gestellten Stammdaten im Sinne des § 92 TKG 2003 für Zwecke der Besorgung des jeweiligen Kommunikationsdienstes und der damit verbundenen Leistungen. Die Beschwerdegegnerin führe im Zuge des Aktivierungsprozesses eine Bonitätsprüfung bei behördlich befugten Kreditschutzverbänden, Kreditinstituten und Auskunfteien durch und übermittle an diese die zur Bestimmung der Person notwendigen Daten, welche dem Serviceantrag entnommen würden. Sollte ein Vertragsabschluss aufgrund negativer Bonitätsauskunft verweigert werden, würden entsprechend der Bestimmungen des § 97 Abs. 1 TKG 2003 die im Zuge der Anmeldung gespeicherten Daten gelöscht. Wäre ein Weiterführen der Bonitätsdaten wie in anderen Bereichen gesetzmäßig, wäre eine Anfrage bei der A*** GmbH nicht notwendig gewesen. Dementsprechend verfüge die Beschwerdegegnerin über keine Daten betreffend den Beschwerdeführer, weshalb die Auskunft vollständig sei.
e. Im dazu gewährten Parteiengehör äußerte sich der Beschwerdeführer nicht.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin auf das Auskunftsbegehren des Beschwerdeführers vom 30. Mai 2007 hinsichtlich durchgeführter Bonitätsprüfungen gesetzmäßig Auskunft erteilt hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer richtete am 30. Mai 2007 ein Auskunftsbegehren (welche Daten, woher sie ermittelt, an wen übermittelt, zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet und mit welchen Daten sie verknüpft werden, einschließlich der Frage nach herangezogenen Dienstleistern) unter ausdrücklicher Bezugnahme auf die möglichen Datenermittlungen („Datenabfragen“) bei Wirtschaftsauskunftsdiensten. Das Auskunftsbegehren war unter Anschluss der Vollmacht an die Faxnummer *** gerichtet worden.
Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen des Beschwerdeführers in seiner Beschwerde und den Beilagen dazu und wurden von der Beschwerdegegnerin auch nicht bestritten.
Die Beschwerdegegnerin hat auf dieses Auskunftsbegehren zunächst nicht reagiert, da die Faxnummer *** einem abteilungsinternen Faxgerät einer Technikabteilung zugehört. Diese Rufnummer wird nach außen nicht kommuniziert; Auskunftsbegehren nach § 26 DSG 2000 werden ausschließlich durch die Rechtsabteilung beantwortet. Mit Schreiben vom 10. Oktober 2007 erteilte die Beschwerdegegnerin folgende Auskunft an den Beschwerdeführer:
„Wir nehmen Bezug auf Ihr Schreiben vom 30. Mai 2007, welches uns auf Grund der verwendeten Fax Nummer leider nicht zugegangen ist und erst durch die Übermittlung der Datenschutzkommission zur Kenntnis gebracht wurde.
Wir teilen mit, dass keine personenbezogenen Daten unter dem Namen Sebastian O***, geb. ***, *** in K***, in unserem System gespeichert sind.“
Diese Auskunft wurde später nicht mehr ergänzt.
Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen der Beschwerdegegnerin in ihrer Stellungnahme vom 16. Oktober 2007. Insbesondere die Zugehörigkeit der Faxnummer wurde vom Beschwerdeführer auch im dazu gewährten Parteiengehör nicht bestritten.
Die A*** GmbH (im Folgenden kurz: A***) stellt den Unternehmen, die ihre Kunden sind (wie die Beschwerdegegnerin), Daten über die Bonität von potentiellen Kunden zur Verfügung. Falls der Kunde dies zusätzlich wünscht, können nach einem von dem Unternehmen vorgegebenen Algorithmus auch so genannte „Scoring-Werte“ mit diesen Daten errechnet werden. Die A*** errechnet die „Scoring-Werte“ für die Unternehmen mit den von ihnen vorgegebenen Algorithmen, und hat daher keinen bestimmenden Einfluss auf das Zustandekommen der Scoring-Werte und kann auch keine Aussagen über ihre Bedeutung machen – das kann nur das Unternehmen, das das Scoring-Verfahren vorgegeben hat.
Beweiswürdigung: Diese Feststellungen beruhen auf dem Bescheid der Datenschutzkommission GZ K121.292/0011- DSK/2007 zwischen dem Beschwerdeführer und der A*** betreffend der Scoring-Werte ua. der Beschwerdegegnerin. Sie wurden von der Beschwerdegegnerin in ihrer Stellungnahme, einliegend zu GZ K121.339/0007-DSK/2007 – trotz ausdrücklichem Hinweis auf den Bescheid GZ K121.292/0011-DSK/2007 in der entsprechenden Aufforderung zur Stellungnahme – nicht bestritten.
Die Beschwerdegegnerin nimmt vor Eingehen einer Geschäftsbeziehung von Antragstellern auf einen Vertrag über Telekommunikationsdienstleistungen die Daten Vor- und Familienname, akademischer Grad, Wohnadresse, Teilnehmernummer, sonstige Kontaktinformationen und Informationen über Art und Inhalt des Vertragsverhältnisses auf (Serviceantrag). Diese Daten werden zum Zweck einer Bonitätsprüfung an befugte Kreditauskunfteien weitergeleitet.
Im gegenständlichen Fall wurden die Daten des Beschwerdeführers zur Bonitätsprüfung am 4., 13., 14., 15. (zweimal), 30. März und am 5. April 2007 an die A*** weitergeleitet. Diese lieferte jeweils ein Ergebnis der Bonitätsprüfung zurück. Im Fall eines negativen Ergebnisses wird der Vertragsabschluss zwischen Beschwerdegegnerin und Antragsteller verweigert und die im Zuge der Anmeldung gespeicherten Daten bei der Beschwerdegegnerin unmittelbar gelöscht.
Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen der Beschwerdegegnerin in ihrer Stellungnahme vom 27. November 2007 und wurden im Parteiengehör vom Beschwerdeführer nicht kommentiert. Die Tage der Weiterleitung der Daten an die A*** ergeben sich aus einer Stellungnahme der A*** vom 24. April 2007 (einliegend zu GZ K121.292/0003-DSK/2007 – Verfahren zwischen dem Beschwerdeführer und der A***), die der Beschwerdeführer im Parteiengehör selbst vorgelegt hat. Mangels Speicherung dieser Daten konnte dieses Vorbringen von der Beschwerdegegnerin auch nicht bestritten werden.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
§ 26 Abs.1 bis 4 DSG 2000 lautet unter der Überschrift „Auskunftsrecht“:
„ § 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“
§ 152 der Gewerbeordnung 1994 (GewO 1994), BGBl. Nr. 194/1994 idgF, lautet samt Überschrift:
"Auskunfteien über Kreditverhältnisse
§ 152 . (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.
(2) Die im Abs. 1 genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren. Die Frist von sieben Jahren läuft vom Schluss des Kalenderjahres, in dem der Schriftwechsel erfolgte oder die letzte Eintragung in das Geschäftsbuch vorgenommen wurde. Im Falle der Endigung der Gewerbeberechtigung sind der Schriftwechsel und die Geschäftsbücher zu vernichten, auch wenn der Zeitraum von sieben Jahren noch nicht verstrichen ist."
§ 92 Abs.1 bis 3 Z 3 Telekommunikationsgesetz 2003 (TKG 2003), BGBl I 70/2003 idgF, lautet unter den Überschriften „Kommunikationsgeheimnis, Datenschutz“ und „Allgemeines“
„ § 92 . (1) Soweit dieses Bundesgesetz nicht anderes bestimmt, sind auf die in diesem Bundesgesetz geregelten Sachverhalte die Bestimmungen des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, anzuwenden.
(2) Die Bestimmungen der Strafprozessordnung (StPO), BGBl. Nr. 631/1975, bleiben durch die Bestimmungen dieses Abschnittes unberührt.
(3) In diesem Abschnitt bezeichnet unbeschadet des § 3 der Begriff
§ 97 TKG 2003 lautet:
„ § 97 . (1) Stammdaten dürfen unbeschadet der §§ 90 Abs. 6 und 96 Abs. 2 von Betreibern nur für folgende Zwecke ermittelt und verarbeitet werden:
(2) Stammdaten sind spätestens nach Beendigung der vertraglichen Beziehungen mit dem Teilnehmer vom Betreiber zu löschen. Ausnahmen sind nur soweit zulässig, als diese Daten noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflichtungen zu erfüllen.“
2. rechtliche Schlussfolgerungen
Die Beschwerde ist berechtigt.
Die A*** betreibt ein Zugangsportal zu Bonitätsdatenbanken, für die sie zum Teil selbst Auftraggeber ist, zum Teil jedoch nur Dienstleister in Form der Bereitstellung des Zugangsportals. Die Einsichtnahme von Kunden der A*** (wie der Beschwerdegegnerin) in Bonitätsdaten über das Zugangsportal führt zu einer Übermittlung der Daten an diese Kunden, die damit verantwortliche Auftraggeber einer allfälligen Weiterverwendung dieser Daten werden.
Da die Entscheidung, ob und wie Bonitätsdaten für ein Scoring-System verwendet werden, von den Kunden der A*** (wie die Beschwerdegegnerin) getroffen wird, trifft diese Kunden die Verantwortung für die Art und Weise der Verarbeitung und die Angemessenheit des Systems. Der logische Ablauf muss deshalb so gesehen werden, dass von der A*** alle erforderlichen Daten an das Scoring-System (und damit an seinen Eigentümer – die Beschwerdegegnerin) übermittelt werden. Die Unternehmen, die Eigentümer eines Scoring-Systems sind, werden ab dem Augenblick, in dem die Rohdaten in das Scoring-System eingespeist werden, zu Auftraggebern im Sinne des Datenschutzgesetzes. Damit ist auch die Beschwerdegegnerin ab diesem Zeitpunkt der Einspeisung Auftraggeber. Die Errechnung des Scoring-Wertes kann nun von der Beschwerdegegnerin selbst durchgeführt werden oder als Dienstleistung in Auftrag gegeben werden. Im vorliegenden Fall wurde die A*** mit der Errechnung von Scoring-Werten beauftragt. Solange die Beschwerdegegnerin das System vorgibt, nach dem die Errechnung vorzunehmen ist, ist sie Auftraggeber dieser Datenverarbeitung, wobei ihr freilich – logisch vorgelagert – die A*** die notwendigen Bonitätsdaten übermittelt hat.
Daraus ergibt sich, dass die Bedeutung eines von der A*** als Dienstleister errechneten Scoring-Wertes nicht von ihr, sondern von der Beschwerdegegnerin als Auftraggeber dem Auskunftswerber gemäß § 26 DSG 2000 zu beauskunften ist. Dabei ist jedermann berechtigt, die Bonität eines möglichen Vertragspartners für sich zu beurteilen und dafür allgemein zugängliche Quellen heranzuziehen. Die Datenbanken der Gewerbetreibenden nach § 152 GewO 1994 stellen solche allgemein zugänglichen Quellen für Bonitätsinformationen dar.
Es steht auch jedem Auftraggeber das Recht zu, einen Dienstleister heranzuziehen (§ 10 Abs. 1 DSG 2000), sofern die Bestimmungen der §§ 10 und 11 DSG 2000 beachtet werden (vgl. dazu den auch vom Beschwerdeführer zitierten Bescheid der Datenschutzkommission vom 14. September 2007, GZ K121.292/0011-DSK/2007, RIS, mit dem Beschwerdeführer und der A*** als Verfahrensparteien).
Aus dieser Gesetzesauslegung ergibt sich jedoch ebenso zwingend , dass die Beschwerdegegnerin für die Datenverwendung für Zwecke der von ihr in Auftrag gegebenen Bonitätsprüfung durch A*** verantwortlich ist. Zu den entsprechenden Pflichten gehört es insbesondere, die rechtzeitige Löschung von Daten (§ 27 Abs. 1 Z 1 DSG 2000) zu veranlassen und die Erfüllung des Auskunftsrechts eines Betroffenen (§ 26 Abs. 1 und 4 DSG 2000) sicherzustellen. Der Beschwerdeführer hat dabei seine in Frage kommende Mitwirkungsobliegenheit nach § 26 Abs. 3 DSG 2000 erfüllt und sein Auskunftsbegehren auch auf die Frage der Heranziehung von Wirtschaftsauskunftsdiensten eingegrenzt, sodass der Beschwerdegegnerin durch die Beantwortung des Auskunftsbegehrens auch kein ungerechtfertigter oder unverhältnismäßiger Aufwand entstehen könnte.
Die Beschwerdegegnerin hat nun eingewendet, sie speichere keine Daten über den Beschwerdeführer in ihrem System und dürfe dies gemäß der in § 97 Abs. 2 TKG 2003 ausdrücklich angeordneten Löschungspflicht auch gar nicht tun, da es sich bei der Bonitätsbewertung eines möglichen Kunden um ein Stammdatum gemäß § 92 Abs. 3 Z 3 lit f TKG 2003 handle.
Damit übersieht die Beschwerdegegnerin jedoch zweierlei: zum einen ist sie gemäß dem oben Ausgeführten eben nicht nur für die Daten in ihrem System, das heißt ihren Datenverarbeitungsanlagen verantwortlich, sondern war bei einer Auskunftserteilung im gegebenen Zusammenhang verpflichtet, auch das System der A*** als ihrer Dienstleisterin mit einzubeziehen. Zum anderen stellt das Auskunftsrecht des § 26 Abs. 1 DSG 2000 gerade nicht darauf ab, ob Daten rechtmäßig gespeichert sind. Da es einer der Zwecke des Auskunftsrechts ist, dem Betroffenen die Überprüfung der Rechtmäßigkeit der Datenverwendung zu ermöglichen (vgl. dazu die ausführlichen Erwägungen unter dem Gesichtspunkt der Übermittlung im Bescheid der Datenschutzkommission vom 3. Oktober 2007, GZ. K121.290/0015- DSK/2007, RIS), muss eine datenschutzrechtliche Auskunft auch rechtswidrig verarbeitete Daten umfassen. Dies ergibt sich besonders deutlich aus der gemäß § 26 Abs. 7 DSG 2000 ab Kenntnisnahme vom Auskunftsbegehren geltenden Löschungssperre, die den Auftraggeber bei Strafe (§ 52 Abs. 1 Z 4 DSG 2000) daran hindert, eine Datenanwendung vor Auskunftserteilung etwa durch Löschung unrichtiger oder keinem gesetzmäßigen Zweck (mehr) entsprechender Daten zu sanieren.
Da das Ermittlungsverfahren ergeben hat, dass A*** am 4., 13., 14., 15. (zweimal), 30. März und am 5. April 2007 Daten überlassen worden sind, entspricht die von der Beschwerdegegnerin erteilte Auskunft, keine Daten des Beschwerdeführers zu verarbeiten, als inhaltlich unrichtige Auskunft nicht dem Gesetz. Hat doch die Beschwerdegegnerin keine Auskunft zu den Verarbeitungen durch die Dienstleisterin A*** erteilt. Sie hat somit den Beschwerdeführer in seinem Recht auf Auskunft über eigene Daten verletzt. Alles andere würde auch ein Rechtsschutzdefizit zu tage fördern, kann doch der Betroffene beim Dienstleister A*** sein Auskunftsrecht nicht erfolgreich durchsetzen (siehe dazu erneut den Bescheid der Datenschutzkommission vom 14. September 2007, GZ K121.292/0011-DSK/2007).
Es war daher spruchgemäß die Auskunftserteilung aufzutragen. Da § 40 Abs.4 DSG 2000 nur für Auftraggeber des öffentlichen Bereichs gilt, war gegenüber der Beschwerdegegnerin, die als Gesellschaft mit beschränkter Haftung zum privaten Bereich zu zählen ist, ein Leistungsbescheid zu erlassen, der im Fall der Nichterfüllung auch durch die zuständige Vollstreckungsbehörde zwangsweise durchgesetzt werden kann (vgl. Bescheid der Datenschutzkommission vom 27. September 2005, GZ: K073.025/0007-DSK/2005; RIS).