K121.276/0014-DSK/2007 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Mag. HUTTERER, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER und Dr. STAUDIGL sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 10. August 2007 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Hannes K**** in Wien (Beschwerdeführer), vertreten durch den Z-Verein, vom 12. Februar 2007 gegen den Verein J**** in K**** (Beschwerdegegner) wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 5, 26 Abs. 1, 31 Abs. 1 und 50 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:
1. Der Beschwerde wird teilweise Folge gegeben und festgestellt, dass der Beschwerdegegner dadurch, dass er in der Ergänzung der Auskunft vom 26. Februar 2007 dem Beschwerdeführer nur mitteilte, dass in den letzten sechs Monaten in der C***-Kreditevidenz keine Abfragen seitens Banken getätigt wurden, obwohl ihm die Bekanntgabe von allfälligen Übermittlungsempfängern auch über einen längeren Zeitraum hinaus möglich gewesen wäre, im Recht auf Auskunft verletzt hat.
2. Dem Beschwerdegegner wird aufgetragen, innerhalb einer Frist von vier Wochen nach Zustellung dieses Bescheides dem Beschwerdeführer Auskunft über alle Empfänger von Übermittlungen seiner in der C***-Kreditevidenz (C-KE) verarbeiteten Daten zu erteilen.
3. Im Übrigen wird die Beschwerde abgewiesen.
B e g r ü n d u n g:
A. Vorbringen der Parteien
Der Beschwerdeführer behauptet eine Verletzung im Recht auf Auskunft dadurch, dass der Beschwerdegegner das Auskunftsbegehren vom 15. Jänner 2007 nicht den gesetzlichen Anforderungen entsprechend beantwortet habe. So sei der Eintrag [Detail des Eintrags] und die Bewertungen "Zahlweise 0" und "Beurteilung 0" nicht erklärt worden. Weiters sei die Bekanntgabe der Übermittlungsempfänger abgelehnt worden. Ebenso fehle eine Auskunft der konkreten Stellen, von denen die Daten ermittelt worden seien.
Der zur Stellungnahme aufgeforderte Beschwerdegegner legte am 27. Februar 2007 ein Schreiben an den Beschwerdeführer vom 26. Februar 2007 vor. Damit wurden sämtliche vom Beschwerdeführer behauptete unverständliche Ausdrucksweisen - gegliedert nach Datenanwendungen - erklärt. Zu den Übermittlungsempfängern wurde bekannt gegeben, dass aus der C***-Businessdatenbank in den letzten drei Jahren keine Auskünfte an Dritte erteilt worden seien, aus der C-KE seien innerhalb der letzten 6 Monate keine Abfragen von Banken getätigt worden. Zur Herkunft der Daten in der C***-Businessdatenbank führte der Beschwerdegegner aus, dass die Quelle der Daten Mitglieder seien, die nach den Statuten verpflichtet seien, außergerichtliche Ausgleiche zu melden. Details dazu seien auf Grund des Zeitablaufes wohl nicht mehr verfügbar.
Im dazu gewährten Parteiengehör erklärte der Beschwerdeführer am 9. März 2007, die Ausführungen des Beschwerdegegners, wonach die Datenherkunft nicht mehr bekannt sei, sei nicht nachvollziehbar. Dies umso weniger als in anderen Verfahren sehr wohl bestätigt werde, dass generell länger zurückliegende Meldeinformationen mindestens drei Jahre lang in Evidenz gehalten würden.
Die unter "Übermittlungsempfänger" gewählte Formulierung sei völlig unklar und entspreche nicht einer Auskunft gem. § 26 DSG 2000. So werde zwar behauptet, dass in den letzten sechs Monaten keine Bankenabfragen in der C-KE erfolgt seien, unklar bleibe jedoch, ob nicht Abfragen bei der Warnliste erfolgt seien, ob nicht vor den sechs Monaten Abfragen getätigt worden und diese protokolliert seien und ob nicht andere Einrichtungen der kreditgebenden Wirtschaft (beispielsweise Leasingunternehmen) Abfragen durchführen würden.
Die Datenschutzkommission teilte dem Beschwerdeführer daraufhin am 10. April 2007 mit, dass sie in diesem Verfahren auch auf die Bescheide K095.014/016-DSK/2001 vom 21. September 2001 und K095.014/021-DSK/2001 vom 23. November 2001 zurückgreifen werde. Aus diesen ergibt sich, dass der Beschwerdegegner im Hinblick auf die "Warnliste" nicht Auftraggeber, sondern lediglich Betreiber (§ 50 Abs. 1 DSG 2000) ist. Beide Bescheide wurden dem Beschwerdeführer vorgelegt.
In seiner Stellungnahme vom 7. Mai 2007 vertrat der Beschwerdeführer die Auffassung, der Beschwerdegegner sei ungeachtet dessen auch hinsichtlich der Warnliste auskunftspflichtig.
Der Beschwerdegegner gab über Aufforderung der Datenschutzkommission am 3. Juli 2007 bekannt, dass die C-KE Protokolldaten zu einem eingemeldeten Kreditverhältnis bis zur vollständigen Löschung des Kreditverhältnisses in Evidenz behalte. So lange also ein Darlehen nicht vollständig abbezahlt oder erledigt wurde, könne jeder Eintrag, jede Änderung und jede Eskalation nachvollzogen werden. Dies habe sich als außerordentlich sinnvoll herausgestellt und in der Praxis viele Zweifelsfragen ausräumen können. Eine weitere Äußerung des Beschwerdegegners erfolgte am 9. Juli 2007 in Kenntnis der Stellungnahme des Beschwerdeführers vom 9. März 2007. Darin wurde zur Warnliste ausgeführt, dass diese ein Informationsverbundsystem sei, dessen Bestand regelmäßig allen Teilnehmern zur Verfügung gestellt werde. 11 Jahre nach der Aufnahme der Daten des Beschwerdeführers in die Datenanwendung C***-Businessdatenbank stünden Informationen über die Herkunft dieser Daten nicht mehr verlässlich zur Verfügung. Mit der Formulierung "seitens Banken" im Schreiben vom 26. Februar 2007 seien natürlich alle Teilnehmer der C-KE gemeint gewesen.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass aktueller Beschwerdegegenstand die Vollständigkeit der vom Beschwerdegegner auf Grund des Auskunftsbegehrens vom 15. Jänner 2007 erteilten Auskunft samt Ergänzung vom 26. Februar 2007 im Hinblick auf die Datenherkunft von Daten in der Datenanwendung "C***-Businessdatenbank" sowie die Bekanntgabe von Übermittlungsempfängern in den Datenanwendungen "C***- Kreditevidenz" und "Warnliste" ist.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer richtete am 15. Jänner 2007 ein umfassendes Auskunftsbegehren an den Beschwerdegegner. Die daraufhin von diesem erteilte Auskunft bezog sich unter anderem auf die Datenanwendungen "Warnliste", "C***- Businessdatenbank" und "C***-Kreditevidenz" (C-KE).
Beweiswürdigung : Diese Feststellungen beruhen auf dem unbestrittenen Beschwerdevorbringen.
Die Datenanwendung "Warnliste" ist vom Beschwerdegegner nicht beim Datenverarbeitungsregister (DVR) gemeldet. Für dieses Informationsverbundsystem (§ 4 Z 13 DSG 2000) stellt er vielmehr nur die technische und organisatorische Infrastruktur zur Verfügung, die Daten werden jedoch von den Teilnehmern (vor allem Banken) verwendet und allen anderen Teilnehmern zur Verfügung gestellt. Dementsprechend haben auch nur diese Teilnehmer Meldungen beim DVR erstattet und wurden ihnen aus Anlass ihrer Registrierung Auflagen gemäß § 21 Abs. 2 DSG 2000 erteilt. Hinsichtlich der im vorliegenden Fall für die einzige Eintragung des Beschwerdeführers verantwortlichen G**** Bank AG erfolgte dies durch einen Bescheid vom 21. September 2001, GZ K095.014/016-DSK/2001, abgeändert durch den Bescheid vom 23. November 2001, GZ K095.014/021-DSK/2001. Die Auflage 3. des letztgenannten Bescheides lautet:
"3. Weiters ist der Betroffene im Fälligstellungsschreiben (Kontoaufkündigungsschreiben) vom Auftraggeber darüber zu informieren, dass er sich - abgesehen von der Möglichkeit der Inanspruchnahme der Rechtsbehelfe nach §§ 30 - 32 DSG 2000 - in allen Zweifelsfragen an den Auftraggeber oder ab dem Zeitpunkt der Eintragung seiner Daten in die "Warnliste" auch an den Verein J wenden kann, insbesondere auch, wenn er sein Auskunfts-, Richtigstellungs-, Löschungs- oder Widerspruchsrecht gemäß §§ 26, 27 und 28 DSG 2000 hinsichtlich der "Warnliste" geltend machen will."
Beweiswürdigung : Diese Feststellungen beruhen auf bei der Datenschutzkommission amtsbekannten Tatsachen, denen der Beschwerdeführer im Rahmen des Parteiengehörs in sachverhaltsmäßiger Hinsicht nicht entgegengetreten ist.
In der Datenanwendung "C***-Businessdatenbank" sind laut der erteilten Auskunft lediglich Name, Adresse, Geburtsdatum und K***-Nummer gespeichert. In der Rubrik "Detailbewertung" finden sich die Einträge "Zahlweise: 0" und "Beurteilung: 0", deren Bedeutung in der ergänzenden Auskunft vom 26. Februar 2007 damit erklärt wurde, dass "0" lediglich ein Platzhalter sei, also bisher keine Überprüfung bzw. Bewertung stattgefunden habe. In der Ergänzung wurde zur C***- Businessdatenbank auch angegeben, dass in den letzten drei Jahren keine Übermittlungen stattgefunden hätten. Zur Herkunft wurde nur ausgeführt, dass die Anlage der Stammdaten aus einer Insolvenzeintragung (außergerichtlicher Ausgleich) aus dem Jahr 1996 resultiere. Die Quelle solcher Daten seien Mitglieder des Beschwerdegegners, die nach den Statuten dazu verpflichtet seien, außergerichtliche Ausgleich zu melden. Details seien auf Grund des Zeitablaufs nicht mehr verfügbar.
Beweiswürdigung : Diese Feststellungen beruhen auf der als Beilage der Beschwerde angeschlossenen ursprünglichen Auskunft des Beschwerdegegners sowie der vom Beschwerdegegner vorgelegten ergänzenden Auskunft vom 26. Februar 2007. Die Tatsache dieser nachträglichen Auskunftserteilung hat der Beschwerdeführer nicht bestritten.
Beim Beschwerdegegner wurden konkrete Informationen sowohl über die Herkunft der in der C***-Businessdatenbank verarbeiteten Daten (historische Firmenbuchauszüge, Insolvenzdaten in elektronischer und Papierform, erhaltene Bankauskünfte, Notizen über mit Dritten geführte Gespräche, Notizen über Gespräche mit dem Betroffenen selbst, historische Grundbuchsauszüge, Geschäftsberichte, Bilanzen etc) als auch über die Empfänger dieser Daten protokolliert und sodann zumindest drei Jahre lang aufbewahrt.
Beweiswürdigung : Diese Feststellung beruht auf dem im Verfahren K120.981 von der Datenschutzkommission festgestellten Sachverhalt. Der Beschwerdeführer hat sich darauf in seiner Stellungnahme vom 9. März 2007 selbst berufen.
Im vorliegenden Fall sind aber - 11 Jahre nach der Anlage der Stammdaten des Beschwerdeführers - keine Informationen mehr zur Herkunft der Daten des Beschwerdeführers in der C***- Businessdatenbank vorhanden.
Beweiswürdigung : Diese Feststellung beruht auf den schlüssigen Ausführungen des Beschwerdegegners sowohl in der ergänzenden Auskunft vom 26. Februar als auch in seiner Stellungnahme vom 9. Juli 2007. Sie werden vom Beschwerdeführer bestritten. Die Datenschutzkommission erachtet sie jedoch als glaubwürdig, weil es eine Erfahrungstatsache ist, dass Protokolldaten und andere Unterlagen, die die Herkunft von Daten nachvollziehbar machen, nicht über derart lange Zeiträume aufbewahrt werden.
Sehr wohl vorhanden sind jedoch Protokolldaten und sonstige Informationen über Abfragen (und damit Übermittlungen) der Daten des Beschwerdeführers in der C-KE, auch über den Zeitraum von sechs Monaten vor der Auskunftserteilung hinaus für die gesamte Dauer der Speicherung eines Personendatensatzes. Nach sechs Monaten werden Abfragen lediglich aus dem Echtdatenbestand der C-KE entfernt, wo sie für diese Dauer ebenfalls gespeichert werden.
Beweiswürdigung : Diese Feststellungen beruhen hinsichtlich des Vorhandenseins von Protokolldaten auf der Stellungnahme des Beschwerdegegners vom 3. Juli 2007. Die Speicherung von Abfragen im Echtdatenbestand für die Dauer von sechs Monaten ist bei der Datenschutzkommission amtsbekannt.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden. Gemäß § 21 Abs. 2 DSG 2000 können bei Datenanwendungen, die gemäß § 18 Abs. 2 der Vorabkontrolle unterliegen, auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen für die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur Wahrung der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig ist.
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 ("nach Maßgabe gesetzlicher Bestimmungen") Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß § 26 Abs. 1. DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
Gemäß § 50 Abs. 1 DSG 2000 haben die Auftraggeber eines Informationsverbundsystems, soweit dies nicht bereits durch Gesetz geregelt ist, einen geeigneten Betreiber für das System zu bestellen. Name (Bezeichnung) und Anschrift des Betreibers sind in der Meldung zwecks Eintragung in das Datenverarbeitungsregister bekannt zu geben. Unbeschadet des Rechtes des Betroffenen auf Auskunft nach § 26 hat der Betreiber jedem Betroffenen auf Antrag binnen zwölf Wochen alle Auskünfte zu geben, die notwendig sind, um den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber festzustellen.
2. rechtliche Schlussfolgerungen
a. Warnliste
Aus dem festgestellten Sachverhalt, insbesondere den dort zitierten Auflagenbescheiden, ergibt sich, dass der Beschwerdegegner nicht Auftraggeber sondern vielmehr nur gemäß § 50 Abs. 1 DSG 2000 bestellter Betreiber des Informationsverbundsystems Warnliste ist. Für einen solchen Betreiber besteht eine Pflicht zur Auskunftserteilung nur insoweit, als er den für die Verarbeitung von Daten im Informationsverbundsystem verantwortlichen Auftraggeber zu benennen hat, was im vorliegenden Fall unbestritten erfolgt ist. Das Auskunftsrecht nach § 26 DSG 2000 besteht, wie auch der Wortlaut des § 50 Abs. 1 leg. cit. ("Unbeschadet des Rechtes des Betroffenen auf Auskunft nach § 26 ...") zum Ausdruck bringt, auch in Informationsverbundsystemen nur gegenüber dem für die Verarbeitung der konkreten Daten verantwortlichen Auftraggeber.
Auch aus dem gegenüber der G**** Bank AG erlassenen Bescheid kann ein darüber hinaus gehendes Auskunftsrecht gegenüber dem Beschwerdegegner nicht abgeleitet werden. Ein solcher kann nach § 21 Abs. 2 DSG 2000 nur gegenüber dem Auftraggeber ergehen und damit nur diesem Pflichten auferlegen, mit denen (mangels gesetzlicher Anordnung) generell keine subjektiven Rechte korrespondieren. Im Übrigen bestimmt die Auflage 3. des Bescheides in der Fassung vom 23. November 2001 nur, dass Auskunftsbegehren auch an den Beschwerdegegner gerichtet werden können, nicht jedoch, dass sie auch von diesem zu beantworten sind. Wie der Auftraggeber für die gesetzeskonforme Beantwortung sorgt, obliegt seiner Verantwortung, nur er kann diesbezüglich auch (zB nach den §§ 30 oder 52 DSG 2000) belangt werden.
Aus diesem Grund ist die Beschwerde hinsichtlich der Datenanwendung Warnliste unbegründet.
b. C***-Businessdatenbank
Wie im Sachverhalt festgestellt sind keine Informationen mehr über die Herkunft der in der C***-Businessdatenbank vor ca. 11 Jahren angelegten Daten (im Wesentlichen Stammdaten, keine Bonitätsdaten) vorhanden. Da nach § 26 Abs. 1 DSG 2000 nur die verfügbaren Informationen über die Herkunft von Daten bekannt zu geben sind, ist auch insoweit die Beschwerde unbegründet.
c. C***-Kreditevidenz (C-KE)
Für die C-KE hat der Beschwerdegegner dem Beschwerdeführer nur die (unbestrittene) Auskunft erteilt, dass innerhalb der letzten sechs Monate keine Abfragen von Banken stattgefunden hätten. Gegenüber der Datenschutzkommission hat der Beschwerdegegner jedoch eingeräumt, dass sämtliche Abfragen in der C-KE für die gesamte Dauer der Speicherung eines Personendatensatzes nachvollzogen werden können.
Damit unterliegen diese Informationen dem Auskunftsanspruch nach § 26 Abs. 1 DSG 2000, der keine zeitliche Einschränkung für die Bekanntgabe von Übermittlungsempfängern vorsieht. Dadurch, dass sie dem Beschwerdeführer vorenthalten wurden, hat ihn der Beschwerdegegner im Recht auf Auskunft verletzt, was spruchgemäß festzustellen war. Gleichzeitig war die Nachholung des fehlenden Teils der Auskunft aufzutragen. Dafür scheint in Anbetracht dessen, dass die Beischaffung von Protokolldaten und sonstigen Informationen nicht "auf Knopfdruck" erfolgen, sondern vielmehr einige Recherchearbeit (zB Suche in sequentiellem Datenbestand) erfordern kann, eine Frist von vier Wochen nach § 59 Abs. 2 AVG angemessen.