[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Mag. ZIMMER, Dr. STAUDIGL, Dr. BLAHA und Mag. MAITZ-STRASSNIG sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 14. September 2007 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Friedrich L**** in B*** (Beschwerdeführer), vertreten durch den Z-Verein, vom 3. April 2007 gegen die H**** GmbH in M*** (Beschwerdegegnerin), vertreten durch Dr. Georg F****, Rechtsanwalt in Wien, wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 5 und 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:
Die Beschwerde wird abgewiesen.
B e g r ü n d u n g:
A. Vorbringen der Parteien und Verfahrensgang
Der Beschwerdeführer behauptet in seiner Beschwerde vom 3. April 2007 eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin auf sein Auskunftsbegehren vom 30. März 2007 unvollständig Auskunft erteilt habe. Die Beschwerdegegnerin habe zwar am 30. März 2007 Auskunft erteilt, diese sei jedoch im Hinblick auf Übermittlungsempfänger unvollständig. Weiters habe die Beschwerdegegnerin keine Auskunft über den "Scoring-Wert" des Betroffenen erstattet, eine Bewertung, die nach Ansicht des Beschwerdeführers ebenfalls erstellt und verarbeitet würde.
Die Beschwerdegegnerin lieferte in ihrer Stellungnahme vom 24. April 2007 eine Auskunft zu den Übermittlungsempfängern nach und brachte vor, dass der Scoring-Wert für die Kunden der Beschwerdegegnerin erstellt werde. Die Beschwerdegegnerin sei nur Dienstleister ihrer Kunden, für die sie den Scoring-Wert erstelle.
In dem dazu gewährten Parteiengehör erhob der Beschwerdeführer am 3. Mai 2007 keine Einwände gegen die Auskunft zu den Übermittlungsempfängern, beanstandete aber das Vorbringen der Beschwerdegegnerin bezüglich der Scoring-Werte. Dabei wurde insbesondere die Dienstleistereigenschaft der Beschwerdegegnerin in Zweifel gezogen.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass der Beschwerdegegenstand aus zwei Elementen besteht:
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer richtete am 30. März 2007 (schon damals vertreten durch den Z-Verein) ein Auskunftsbegehren an die Beschwerdegegnerin. Er erhielt ein Auskunftsschreiben vom 30. März 2007. Darin fand sich die Aussage, die Daten würden zum Zweck der Ausübung des Auskunfteigewerbes nach § 152 GewO zur Weitergabe an den Empfängerkreis der kreditgebenden Wirtschaft gespeichert. Die Auskunft enthielt keine Aussage über die konkreten Empfänger allfälliger Datenübermittlungen und über Scoring-Werte.
Daraufhin wurde am 3. April 2007 Beschwerde an die DSK erhoben. Die Datenschutzkommission forderte die Beschwerdegegnerin mit Schreiben vom 6. April 2007 zur Stellungnahme auf. Mit Schreiben vom 24. April 2007 wurde dem Beschwerdeführer Auskunft über die Empfänger von Datenübermittlungen erteilt, sowie zu jeder Kreditprüfung (als "CreditCheck" bezeichnet) zwei Scoring-Werte bekanntgegeben. Diese Werte wurden als "PersonenScore" und "TotalScore" bezeichnet. Sie bestanden aus Zahlenwerten, deren Bedeutung von der Beschwerdegegnerin nicht erläutert wurde, dies mit der Begründung, dass die H**** GmbH diesbezüglich nicht Auftraggeber, sondern nur Dienstleister sei.
Die Richtigkeit und Vollständigkeit der nachträglich erteilten Auskunft über die Empfänger von Datenübermittlungen wurde im Parteiengehör vom Beschwerdeführer nicht bestritten, wohl aber das Vorbringen der Beschwerdegegnerin, nur Dienstleister im Hinblick auf die Scoring-Werte zu sein und daher von einer Verpflichtung zur inhaltlichen Erläuterung der Bedeutung dieser Werte nicht betroffen zu sein.
Beweiswürdigung : Diese Feststellungen beruhen auf dem unbestrittenen Beschwerdevorbringen sowie dem Vorbringen in der Stellungnahme der Beschwerdegegnerin vom 24. April 2007 und in der Stellungnahme des Beschwerdeführers im Parteiengehör vom 3. Mai 2007.
Die Beschwerdegegnerin stellt den Unternehmen, die ihre Kunden sind, Daten über die Bonität von potentiellen Kunden zur Verfügung. Falls der Kunde dies zusätzlich wünscht, können nach einem von dem Unternehmen vorgegebenen Algorithmus auch so genannte "Scoring-Werte" mit diesen Daten errechnet werden. Die Unternehmen bestimmen selbst, welches Berechnungsverfahren verwendet wird, wobei insbesondere die Frage, welche bonitätsrelevanten Daten herangezogen werden und mit welcher Wertigkeit sie berücksichtigt werden, eines ihrer Geschäfts- und Betriebsgeheimnisse darstellt. Die Beschwerdegegnerin errechnet die "Scoring-Werte" für die Unternehmen mit den von ihnen vorgegebenen Algorithmen, und hat daher keinen bestimmenden Einfluss auf das Zustandekommen der Scoring-Werte und kann auch keine Aussagen über ihre Bedeutung machen – das kann nur das Unternehmen, das das Scoring-Verfahren vorgegeben hat.
Beweiswürdigung: Diese Feststellungen beruhen auf dem glaubwürdigen schriftlichen und mündlichen Vorbringen der Beschwerdegegnerin. Der Beschwerdeführer hat das Tatsachenvorbringen nicht in Frage gestellt, nur die rechtlichen Konsequenzen.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.
Gemäß § 4 Z 4 DSG 2000 sind Auftraggeber natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten, und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen (einen Dienstleister) heranziehen.
Gemäß § 4 Z 5 DSG 2000 sind Dienstleister natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden.
Gemäß § 10 Abs. 1 DSG 2000 dürfen Auftraggeber bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 ("nach Maßgabe gesetzlicher Bestimmungen") Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß § 26 Abs. 1 DSG 2000 hat der Auftraggeber - und nur dieser - dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen.
Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
§ 152 der Gewerbeordnung 1994 (GewO 1994), BGBl. Nr. 194/1994, lautet samt Überschrift:
"Auskunfteien über Kreditverhältnisse
§ 152. (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.
(2) Die im Abs. 1 genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren. Die Frist von sieben Jahren läuft vom Schluss des Kalenderjahres, in dem der Schriftwechsel erfolgte oder die letzte Eintragung in das Geschäftsbuch vorgenommen wurde. Im Falle der Endigung der Gewerbeberechtigung sind der Schriftwechsel und die Geschäftsbücher zu vernichten, auch wenn der Zeitraum von sieben Jahren noch nicht verstrichen ist."
2. rechtliche Schlussfolgerungen
2.1 Zur Bekanntgabe der Übermittlungsempfänger
Nach ständiger Rechtsprechung der Datenschutzkommission wird der Auskunftsanspruch eines Betroffenen auch dann erfüllt, wenn die Auskunft nach Ablauf der achtwöchigen Frist des § 26 Abs. 4 DSG 2000 erteilt wird. Die bloße Nichteinhaltung der Frist stellt zwar eine Rechtsverletzung dar, die aber durch Nachholung der Auskunft sanierbar ist und daher für sich alleine nicht nach § 31 Abs. 1 DSG 2000 vor der Datenschutzkommission geltend gemacht werden kann (zB Bescheid vom 7. Juni 2005, GZ K120.912/0008-DSK/2005). Die Richtigkeit und Vollständigkeit der mittlerweile erteilten Auskunft zu den Übermittlungsempfängern wurde vom Beschwerdeführer nicht bestritten. Eine Unvollständigkeit ist auch für die Datenschutzkommission nicht ersichtlich. Der beschwerdegegenständliche Anspruch auf Erhalt einer Auskunft über die Empfänger von Übermittlungen ist nach dem von der Datenschutzkommission festgestellten Sachverhalt somit mittlerweile erfüllt, weshalb die Beschwerde in diesem Punkt spruchgemäß abzuweisen ist.
2.2 Zu den Scoring-Werten
In der Beschwerde wurde bemängelt, dass die Beschwerdegegnerin keine Auskunft über die von ihr erstellten Scoring-Werte erteilt habe. Die Beschwerdegegnerin teilte die Scoring-Werte mit, vertrat aber den Rechtsstandpunkt, dass sie bezüglich dieser Scoring-Werte nur Dienstleister der Unternehmen sei, die mit Hilfe der Scoring-Werte die Bonität der Kunden und potentiellen Kunden bewerten, und daher nicht auskunftspflichtig sei.
Die Beschwerdegegnerin betreibt ein Zugangsportal zu Bonitätsdatenbanken, für die sie zum Teil selbst Auftraggeber ist, zum Teil jedoch nur Dienstleister in Form der Bereitstellung des Zugangsportals. Die Einsichtnahme von Kunden der Beschwerdegegnerin in Bonitätsdaten über das Zugangsportal führt zu einer Übermittlung der Daten an diese Kunden, die damit verantwortliche Auftraggeber einer allfälligen Weiterverwendung dieser Daten werden.
Da die Entscheidung, ob und wie Bonitätsdaten für ein Scoring-System verwendet werden, von den Kunden der Beschwerdegegnerin getroffen wird, trifft diese die Verantwortung für die Art und Weise der Verarbeitung und die Angemessenheit des Systems. Der logische Ablauf muss deshalb so gesehen werden, dass von der Beschwerdegegnerin alle erforderlichen Daten an das Scoring-System (und damit an seinen Eigentümer) übermittelt werden. Die Unternehmen, die Eigentümer eines Scoring-Systems sind, werden ab dem Augenblick, in dem die Rohdaten in das Scoring-System eingespeist werden, zu Auftraggebern im Sinne des Datenschutzgesetzes. Die Errechnung des Scoring-Wertes kann nun vom Eigentümer des Systems selbst durchgeführt werden oder als Dienstleistung in Auftrag gegeben werden. Im vorliegenden Fall wurde die Beschwerdegegnerin mit der Errechnung von Scoring–Werten beauftragt. Solange der Kunde der Beschwerdegegnerin das System vorgibt, nach dem die Errechnung vorzunehmen ist, ist der Kunde Auftraggeber dieser Datenverarbeitung, wobei ihm freilich – logisch vorgelagert – die Beschwerdegegnerin die notwendigen Bonitätsdaten übermittelt hat.
Daraus ergibt sich, dass die Beschwerdegegnerin zwar auskunftspflichtig ist hinsichtlich der von ihr vorgenommenen Datenübermittlungen, dass aber die Bedeutung eines von ihr als Dienstleister errechneten Scoring-Wertes nicht von ihr, sondern von ihrem auftraggebenden Kunden dem Auskunftswerber gemäß § 26 DSG 2000 zu beauskunften ist.
Der Beschwerdeführer hat angemerkt, dass die Unternehmen keine Gewerbeberechtigung als Auskunfteien über Kreditverhältnisse gemäß § 152 GewO 1994 besitzen und daher gar nicht berechtigt seien, Kreditbewertungen durchzuführen. Dazu ist schon darauf hinzuweisen, dass die Unternehmen in der vorliegenden Konstellation faktisch Auftraggeber sind. Dieses Argument verkennt, dass jedermann berechtigt ist, die Bonität eines möglichen Vertragspartners für sich zu beurteilen und dafür allgemein zugängliche Quellen heranzuziehen. Die Datenbanken der Gewerbetreibenden nach § 152 GewO 1994 stellen solche allgemein zugänglichen Quellen für Bonitätsinformationen dar. Es steht auch jedem Auftraggeber das Recht zu, einen Dienstleister heranzuziehen (§ 10 Abs. 1 DSG 2000), sofern die Bestimmungen der §§ 10 und 11 DSG 2000 beachtet werden.
Dazu hat der Beschwerdeführer argumentiert, dass keine praktische Möglichkeit bestünde, sich einen Überblick über die ihn betreffenden Daten zu verschaffen.
Diesbezüglich wurde festgestellt, dass die Beschwerdegegnerin dem Beschwerdeführer den Auftraggeber, für den der Scoring-Wert errechnet wurde, eigens benannt hat, damit er dort weitere Auskünfte einholen kann.
Der Grundsatz des § 6 Abs. 1 Z 1 DSG 2000, wonach alle Datenverwendung nach Treu und Glauben zu erfolgen hat, erfordert es, dass der Dienstleister in dieser Konstellation, in der er in anderer Hinsicht gleichzeitig auch auskunftspflichtiger Auftraggeber ist, dem Auskunftswerber nicht nur den Übermittlungsempfänger der Bonitätsdaten bekannt gibt, sondern auch den Hinweis, dass mit den übermittelten Daten für den Auskunftswerber im Auftrag des Übermittlungsempfängers ein Scoring-Wert errechnet wurde, über dessen Bedeutung der Übermittlungsempfänger Auskunft geben könne.
Da dies im vorliegenden Fall geschehen ist, war die gesetzliche Auskunftspflicht der Beschwerdegegnerin erfüllt, weshalb wie im Spruch zu entscheiden war.
Rückverweise
