K121.263/0012-DSK/2007 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. HUTTERER, Dr. ROSENMAYR-KLEMENZ, Dr. KOTSCHY, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 29. Juni 2007 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Gieselbert K*** in M*** (Beschwerdeführer) vom 12. Dezember 2006 gegen die Q***-AG in Wien wegen Verletzung im Recht auf Auskunft personenbezogener Daten wird gemäß § 1 Abs. 3 Z 1, § 26 und § 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:

1. Der Beschwerde wird Folge gegeben und festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch, dass sie ihm die Auskunft über den Empfänger der Kreditmitteilung vom 21. November 2006, Versicherungsnummer ***, mit dem der Abschluss eines Kreditversicherungsvertrages für Geschäfte mit dem Beschwerdeführer abgelehnt wurde, verweigert hat, im Recht auf Auskunft verletzt hat.

2. Der Beschwerdegegnerin wird aufgetragen, dem Beschwerdeführer innerhalb einer Frist von zwei Wochen ab Zustellung des Bescheides bei sonstiger Exekution Auskunft über den Empfänger des unter Pkt. 1 genannten Schreibens zu erteilen.

B e g r ü n d u n g :

A. Vorbringen der Parteien

a. Der Beschwerdeführer behauptet in seiner Beschwerde – darin ist die Q*** KG als Beschwerdegegner bezeichnet – eine Verletzung im Recht auf Auskunft dadurch, dass diese Gesellschaft sein Auskunftsbegehren vom 1. Dezember 2006 nicht vollständig erfüllt hätte. Er beantragte daher

b. Die damit konfrontierte Q*** KG übersandte der Datenschutzkommission ein Schreiben vom 27. Dezember 2006, das in Kopie auch an den Beschwerdeführer ging und in welchem die über den Beschwerdeführer verarbeiteten Daten, deren Herkunft, der Zweck der Datenverarbeitung, die Rechtsgrundlagen für die Datenverarbeitung und der herangezogene Dienstleister, nämlich die KG selbst, genannt werden. Weiters wird in diesem Schreiben unter Pkt. 3 „Allfällige Empfänger von Übermittlungen“ ausgeführt, dass Daten des Beschwerdeführers an niemanden übermittelt wurden. Eine Nennung des Empfängers der Kreditmitteilung sei auf Grund einer zu beachtenden Verschwiegenheitspflicht gegenüber dem Versicherungsnehmer nicht gestattet. Weiters wird in diesem Schreiben darauf hingewiesen, dass die KG als Dienstleister für die Q***-AG fungiere.

c. Dem Beschwerdeführer wurde dazu Parteiengehör gewährt. In seiner Stellungnahme vom 30. Jänner 2007, welche sich nur auf den obg. Pkt 3 des Schreibens der Q*** KG vom 27. Dezember 2006 bezieht, führt der Beschwerdeführer aus, dass diese Auskunft nachweislich unrichtig sei, da eine Datenweitergabe an die Firma A*** GmbH, ***, erfolgt sei. Alle Anträge würden daher aufrechterhalten.

d. Die dazu erneut zur Stellungnahme aufgeforderte Q*** KG entgegnete am 22. Februar 2007, es handle sich im konkreten Fall um eine an den Versicherungsnehmer ergangene ablehnende „Kreditmitteilung“ (die dem Schreiben angeschlossen war). Der Versicherungsnehmer und die gewünschte Versicherungssumme seien (auch gegenüber der Datenschutzkommission) unkenntlich gemacht worden, da gegenüber diesem eine vertraglich vereinbarte Verschwiegenheitspflicht bestehe. Auch dieses Schreiben der Q*** KG ging in Kopie an den Beschwerdeführer.

e. Dem Beschwerdeführer wurde zu diesem Vorbringen wiederum Parteiengehör gewährt, er äußerte sich jedoch nicht.

f. In einem Telefonat mit dem zuständigen Sachbearbeiter am 31. Mai 2007 gab die Q*** KG an, dass die „Kreditmitteilung“ automatisch aus der Datenanwendung AS *** generiert werde und nach Übermittlung an den jeweiligen Werber in einem elektronischen Ablagesystem gespeichert und archiviert werde.

g. Nach entsprechender Aufforderung durch die Datenschutzkommission an die Q***-AG erklärte die Q*** KG mit Schreiben vom 8. Juni 2007, dass es sich bei der verfahrensgegenständlichen Kreditmitteilung um ein Schreiben der Q***-AG gehandelt habe, da diese die Entscheidung über die Übernahme einer Versicherungssumme oder die Ablehnung derselben treffe. Im Übrigen seien die bisher von der KG abgegebenen Stellungnahmen auch als jene der Q***-AG anzusehen.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Vollständigkeit des Auskunftsschreibens vom 5. Dezember 2006 iVm jenen Schreiben vom 27. Dezember 2006 und vom 19. Februar 2007, die dem Beschwerdeführer im Lauf des ha. Verfahrens zugekommen sind, im Hinblick auf allfällige Übermittlungsempfänger ist.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Die Q***-AG (Beschwerdegegnerin) vergibt als Kreditversicherung Versicherungen an Warenlieferanten zur Absicherung des Zahlungsrisikos beim Zielkauf (Lieferung von Waren mit einem späteren Zahlungsziel). Dazu holt die Q*** KG Bonitätsdaten über den Warenempfänger, im Fall des Beschwerdeführers vom L***verband (L***), ein.

Beweiswürdigung : Diese Feststellungen ergeben sich aus der Website der Q***-AG http://*** sowie dem Schreiben der Q*** KG vom 27. Dezember 2006. Sie wurden außerdem in einem Telefonat des zuständigen Sachbearbeiters mit der Beschwerdegegnerin vom 14. Mai 2007 bestätigt. Der Beschwerdeführer hat sich im Parteingehör nicht dazu geäußert.

Der Beschwerdeführer richtete per Mail am 1. Dezember 2006 ein Auskunftsbegehren folgenden Inhalts an die Adresse office@q***.com:

„Sehr geehrte Damen und Herren!

Gemäß DSG 2000 begehre ich Auskunft über alle über mich gespeicherten personenbezogenen Daten. Insbesondere betrifft dies alle sog. bankinternen Informationslisten, die als „Liste der unerwünschten Kontoverbindungen“, als „Kleinkreditevidenz“, als „Warn- und Mahnlisten“, als „schwarze Listen“ oder in anderer Form bezeichnet werden.

Weiteres umfasst das Auskunftsbegehren, ohne abschließende Nennung der Dateien, alle sonstigen Wirtschafts-, Bonitäts-, Konsumenten-, Warenevidenz- und Warenkreditdateien.

Sie werden ersucht, auch alle anfallenden Daten zu beauskunften, die sich in anderen Dateien befinden, jedoch über Schlüssel-, Such- und Referenzbegriffe mit meinen personenbezogenen Daten direkt oder indirekt verknüpft werden können (§ 4 DSG 2000).

Wenn Sie Daten im internationalen Datenverkehr verarbeiten, ersuche ich Sie unter Hinweis auf die §§ 12-13 DSG 2000 die Geschäftszahl der Genehmigung durch die Datenschutzkommission anzugeben.

Soweit Sie Daten in automatisierter Form ermitteln (berechnen), die rechtliche Folgen haben können oder die Ihre Entscheidung zur Erbringung oder Nicht-Erbringung von Leistungen gegen meine Person beeinflussen können, wird gemäß § 49 Abs 3 DSG 2000 beantragt, das Zustandekommen der automatisierten Ermittlung (Berechnungsmethode) und des logischen Ablaufs der automatisierten Entscheidungsfindung zu beauskunften. Dies bezieht sich insbesondere auf Bewertungen, Einschätzungen und Ratings, die geeignet sind meine berufliche Leistungsfähigkeit, meine Kreditwürdigkeit, meine Zuverlässigkeit oder mein Verhaltens zu bewerten.

Auf Grund vertraulicher Informationen habe ich den begründeten Verdacht, auf den oben beschriebenen Informationslisten enthalten zu sein.

Weiters weise ich ausdrücklich auf die Verpflichtung hin, die Datenweitergabe und allfällig herangezogene Dienstleister bekannt zu geben. Dies betrifft insbesondere die Aufschlüsselung, Erklärung und Begründung verwendeter Codes, Ratingzahlen.

Im Sinne einer weitestgehenden Mitarbeit gebe ich Ihnen folgende zusätzliche Identifikationsdaten bekannt:

Geburtsdatum: ***

Weitere Anschrift: ***

Ich möchte Sie darauf hinweisen, dass Daten zu meiner Person unter der angegebenen Adresse auch ohne Titel vorhanden sein können.

Falls Sie Zweifel an meiner Identität haben, möchte ich Sie darauf hinweisen, dass Sie Ihre Auskunft mit „Rsa“ oder „eingeschrieben, eigenhändig mit Rückschein“ zustellen lassen können. Durch diese Maßnahme ist der in § 26 Abs 1 DSG geforderte Identitätsnachweis jedenfalls erfüllt.

In Erwartung Ihrer schriftlichen, vollständigen und kostenlosen Auskunft in allgemein verständlicher Form verbleibe ich

Mit freundlichen Grüßen“

Daraufhin erhielt der Beschwerdeführer ein Schreiben der Q*** KG vom 5. Dezember 2006. Darin gab diese lediglich an, Daten des Beschwerdeführers aus einer Auskunft des L*** vom 21. November 2006 gespeichert zu haben. Konkrete Daten wurden nicht angegeben.

Beweiswürdigung : Diese Feststellungen ergeben sich aus dem Beschwerdevorbringen samt Beilagen (Auskunftsbegehren, Auskunftsschreiben), welchen die Q*** KG nicht entgegengetreten ist.

Mit Schreiben vom 27. Dezember 2006 ergänzte die Q*** KG die Auskunft dergestalt, dass sie die konkret bei ihr gespeicherten Daten, insbesondere genauen Daten aus der beim L*** zum Beschwerdeführer eingeholten Bonitätsinformation, anführte (strukturierte Form der Datenbank AS ***, 4 Bildschirmauszüge). Weiters gab sie an, darüber hinaus keine weiteren personenbezogenen Daten des Beschwerdeführers zu verarbeiten oder zu speichern.

Zu den Übermittlungsempfängern wird angegeben:

„Wir haben an niemanden Daten übermittelt. Unser Versicherungsnehmer erhält lediglich eine Kreditmitteilung über eine Übernahme der Versicherungssumme oder eine Ablehnung. Eine Nennung des Empfängers der Kreditmitteilung ist uns aufgrund unserer Verschwiegenheitspflicht gegenüber dem Versicherungsnehmer nicht gestattet.“

Die „Kreditmitteilung“ (eigentlich Versicherungsmitteilung) lautet im Wesentlichen wie folgt:

„Versicherungsvertrag Nr. ...

Ablehnung – gewünschte Versicherungssumme EUR …

Leider können wir auf diese Firma keinen Versicherungsschutz

übernehmen.

Gieselbert K***

***

M***

Q*** Nummer: ...

Ihre Nummer: ...

Beachten Sie bitte Folgendes:

Gilt ab Zugang auch für die Selbstprüfung, soweit eine vereinbart ist.“

Als Rechtsgrundlagen wurden das Versicherungsvertragsgesetz, die Versicherungspolizze mit dem Versicherungsnehmer und die Gewerbeberechtigungen zur Ausübung der Kreditversicherung (Q***-AG) und der Auskunftei (Q*** KG) angegeben. Schließlich wurde mitgeteilt, dass die Q*** KG als Dienstleister für die Q***-AG agiert. Weitere Dienstleister wurden nicht herangezogen.

Beweiswürdigung : Diese Feststellungen zu Daten, Herkunft, Übermittlungsempfängern, Rechtsgrundlagen und Dienstleistern ergeben sich aus der auch dem Beschwerdeführer übermittelten Stellungnahme der Q*** KG vom 27. Dezember 2006; der Inhalt der Kreditmitteilung ergibt sich aus der Beilage zur Stellungnahme der Q*** KG vom 19. Februar 2007. Der Beschwerdeführer hat dieses Vorbringen nicht bestritten bzw. sich dazu gar nicht geäußert.

Die „Kreditmitteilung“ wird aus der Datenbank AS *** automatisch erzeugt und dann dem jeweiligen Versicherungswerber übermittelt. Nach der Übermittlung wird die „Kreditmitteilung“ in einem elektronischen Ablagesystem gespeichert und archiviert. Aus der „Kreditmitteilung“ selbst ergibt sich, dass Bonitätsdaten nicht übermittelt werden. Somit wurden die Bonitätsdaten des Beschwerdeführers an niemanden übermittelt.

Beweiswürdigung : Diese Feststellungen ergeben sich aus dem Telefonat mit der Q*** KG vom 31. Mai 2007. Dass keine Bonitätsdaten übermittelt wurden, ergibt sich aus der „Kreditmitteilung“ selbst. Der Beschwerdeführer hat sich in dem dazu gewährten Parteiengehör nicht mehr geäußert.

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.

§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß § 26 Abs. 1 DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

Gemäß Abs. 2 leg. cit. ist die Auskunft nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. …

Gemäß Abs. 4 leg. cit. ist die Auskunft innerhalb von acht Wochen nach Einlangen des Begehrens zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.

Gemäß § 4 Z 7 DSG 2000 bedeutet der Begriff „Datenanwendung“ die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung).

2. rechtliche Schlussfolgerungen

a. Beschwerdegegnerin

Der Beschwerdeführer richtete sein Auskunftsbegehren vom 1. Dezember 2006 per Mail an die Adresse office@q***.com, welche der Q***-AG zugeordnet ist. Auf Grund der Beantwortung dieses Begehrens am 5. Dezember 2006 durch die Q*** KG hat der Beschwerdeführer diese in seiner Beschwerde offenbar irrtümlich als Beschwerdegegnerin bezeichnet. Da die Auskunftserteilung durch die KG in deren Eigenschaft als Dienstleister der Q***-AG , an welche der Beschwerdeführer auch sein Auskunftsbegehren richtete, erfolgte, konnte die Datenschutzkommission – entsprechend ihrer in dieser Verfahrensfrage stets rechtsschutzfreundlichen Auslegungspraxis (vgl. zB den Bescheid vom 11. März 2005, GZ K120.991/0006-DSK/2005, welcher ebenso wie alle weiteren zitierten Entscheidungen im Rechtsinformationssystem des Bundes – RIS unter http:www.ris.bka.gv.at/dsk/ abrufbar ist) – davon ausgehen, dass sich die eingebrachte Beschwerde nicht gegen den Dienstleister, sondern vielmehr gegen den (tatsächlichen) Auftraggeber richtet.

b. Vollständigkeit der erteilten Auskunft

Die Beschwerdegegnerin hat dem Beschwerdeführer auf sein Auskunftsbegehren vom 1. Dezember 2006 durch den Dienstleister Q*** KG zunächst am 5. Dezember 2006 und dann – im Verfahren vor der Datenschutzkommission – am 27. Dezember 2006 und am 19. Februar 2007 Auskunft erteilt. Zur Vollständigkeit dieser Auskünfte in ihrer Gesamtheit wendete der Beschwerdeführer im Schreiben vom 30. Jänner 2007 ein, die Auskunft, wonach eine Datenübermittlung nicht erfolgt sei, sei unrichtig, da eine Datenweitergabe an die Firma A*** GmbH erfolgt sei. Damit hat der Beschwerdeführer nur die Beauskunftung der Übermittlungsempfänger in Beschwerde gezogen, sodass, wie oben bereits ausgeführt, lediglich die Vollständigkeit/Richtigkeit der Auskunft im Hinblick auf die Übermittlungsempfänger Beschwerdegegenstand ist.

Die Beschwerdegegnerin hat dazu angegeben, dass ihr Versicherungsnehmer (Warenlieferant) eine „Kreditmitteilung“ (gemeint und im Folgenden: Versicherungsmitteilung) über eine Übernahme der Versicherungssumme oder eine Ablehnung erhält. Nach dem Inhalt der Versicherungsmitteilung (die der Datenschutzkommission wie auch dem Beschwerdeführer im Anhang zur Stellungnahme vom 19. Februar 2007 zur Kenntnis gebracht wurde) werden allerdings nur Name und Adresse des Warenempfängers (der gleichzeitig Schuldner des Warenlieferanten ist) angeführt. Die Beschwerdegegnerin hat aber nicht beauskunftet (und auch nicht gegenüber der Datenschutzkommission angegeben), wer der Versicherungsnehmer (genauer: Antragsteller auf eine Versicherung) ist.

Die Versicherungsmitteilung wird automatisch aus einer Datenanwendung (AS ***) generiert und nach Versendung in einem elektronischen Ablagesystem, also wiederum einer Datenanwendung iSd § 4 Z 7 DSG 2000, gespeichert.

Als Grundsatz ist zur Auskunftserteilung zunächst auf die Rechtsprechung der Datenschutzkommission hinzuweisen, wonach Übermittlungen jeweils so konkret zu beauskunften sind, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann und daher grundsätzlich von einem Anspruch auf die Bekanntgabe konkreter Empfänger auszugehen ist (vgl. u.a. den Bescheid vom 15. Februar 2005, GZ K120.981/0002-DSK/2005; bestätigt vom Verwaltungsgerichtshof in seinem Erkenntnis vom 19. Dezember 2006, Zl 2005/06/0111). Die Datenschutzkommission hat allerdings wiederholt, gestützt auf § 1 Abs. 3 und 4 iVm Abs. 2 DSG 2000, die Auffassung vertreten, dass das Auskunftsrecht kein absolutes Recht ist: Das Auskunftsrecht steht danach vielmehr unter einem doppelten Gesetzesvorbehalt. Wie in § 26 Abs. 2 DSG 2000 nochmals auf einfachgesetzlicher Stufe ausdrücklich ausgeführt, hat das Auskunftsrecht seine Grenze auch in den berechtigten Interessen (z.B. Datenschutzinteressen) des Auftraggebers oder Dritter, sofern diese Interessen in einer konkreten Situation als ‚überwiegend’ zu werten sind (vgl. etwa den Bescheid der Datenschutzkommission vom 12. November 2004, GZ K120.902/0017- DSK/2004, oder den Bescheid vom 16. Dezember 2005, GZ K121.049/0023-DSK/2005).

Dazu hat die Beschwerdegegnerin auf die – vertragliche vereinbarte – Verschwiegenheitspflicht gegenüber ihren Versicherungsnehmern (gemeint wohl auch: Versicherungswerber, also solche, mit denen eine Versicherung gar nicht zustande kommt) sowie auf „geschäftsschädigende Auswirkungen“ hingewiesen, die sich daraus ergeben würden, dass die (potentiellen) Versicherungsnehmer nicht nach außen zu erkennen geben wollen, dass sie versichert sind, weshalb ihre Bekanntgabe ohne Zustimmung als für die Beschwerdegegnerin geschäftsschädigender Vertrauensbruch angesehen würde.

Eine derartige unspezifische vertragliche Vereinbarung bzw. die geltend gemachten wirtschaftlichen Nachteile vermögen aber das als Teil des Grundrechts auf Datenschutz anzusehende Recht auf Auskunft nicht zu schmälern.

Weitere Argumente für eine Einschränkung des Auskunftsrechts hat die Beschwerdegegnerin nicht ins Treffen geführt, weshalb spruchgemäß die Auskunftsergänzung aufzutragen war.