K121.278/0018-DSK/2007 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Dr. KOTSCHY, Mag. HEILEGGER, Dr. BLAHA und Mag. MAITZ-STRASSNIG sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 3. Oktober 2007 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Friedrich T*** (Beschwerdeführer) aus Wien, vertreten durch die U*** Rechtsanwälte OG in **** E***, S***gasse **, vom 13. Februar 2007 gegen die B*** Versicherung AG Österreich (Beschwerdegegnerin) in N*** wegen Verletzung im Recht auf Auskunft über eigene Daten (Unvollständigkeit der datenschutzrechtlichen Auskunft vom 21. November 2006) wird gemäß den §§ 26 Abs.1 und 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:
B e g r ü n d u n g:
A. Vorbringen der Parteien
Der Beschwerdeführer behauptet (neben einer Beschwerde wegen Verletzung des Auskunftsrechts gemäß § 31 Abs. 1 DSG 2000 umfasst das Anbringen des Beschwerdeführers auch eine Eingabe gemäß § 30 Abs. 1 DSG 2000, die von der Datenschutzkommission zu Zl. K211.783 bearbeitet wird), anwaltlich vertreten, in der Beschwerde vom 13. Februar 2007 eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin sein Auskunftsbegehren vom 23. Oktober 2006 mit Schreiben vom 21. November 2006 unvollständig beantwortet habe. Er habe im Zuge der Ablehnung eines Versicherungsantrags durch die AVY*** Personenversicherung AG (AVY***) Kenntnis davon erlangt, dass die Beschwerdegegnerin ihn betreffende Daten in das „Zentrale Informationssystem – ZIS“ der österreichischen Versicherungsunternehmen, das ein Informationsverbundsystem sei, eingegeben habe. Weiters habe die Beschwerdegegnerin eine telefonische Anfrage der AVY*** beantwortet, wobei auch eine ihn betreffende Diagnose mitgeteilt worden sei. Diese Datenübermittlung sei der Grund für die Ablehnung seines Vertragsanbots (betreffend eine Krankenversicherung) durch die AVY*** gewesen. Die Beschwerdegegnerin habe jedoch in ihren Auskunftsschreiben in Abrede gestellt, „Aufzeichnungen“ zu Diagnosen zu führen oder solche Informationen weiter zu geben. Durch diese, nach Ansicht des Beschwerdeführers unvollständige Auskunft, sehe er sich in seinem Recht gemäß § 26 Abs.1 DSG 2000 verletzt.
Die Beschwerdegegnerin brachte in ihrer Stellungnahme vom 12. März 2007 vor, es lägen keine Aufzeichnungen betreffend eine Weitergabe von Diagnosen an die AVY*** vor. Die Richtigkeit des Beschwerdevorbringens könnte daher nicht verifiziert werden. Es könne aber auch nicht ausgeschlossen werden, dass ein Mitarbeiter im Einzelfall ohne Wissen und Anordnung der Unternehmensleitung sensible Daten weitergegeben habe.
Der Beschwerdeführer brachte in zwei Stellungnahmen nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens vom 26. April und 2. Juli 2007 hinsichtlich dieser Beschwerdesache vor, der genaue Inhalt der Datenübermittlung von der Beschwerdegegnerin zur AVY*** sei weiterhin ungeklärt. Vermutlich habe es sich um eine (unrichtige) Krankheitsdiagnose gehandelt. Die Behauptung der Beschwerdegegnerin, keine Aufzeichnungen zu dieser Datenübermittlung zu haben, sei eine Schutzbehauptung, unterläge doch eine solche Übermittlung der Protokollierungspflicht nach § 14 Abs. 2 Z. 7 DSG 2000. Sein Interesse an dieser Sache sei vor allem darin begründet, weitere Übermittlungen unrichtiger sensibler Daten zu seiner Person zu unterbinden, weshalb er auch auf der – hier nicht verfahrensgegenständlichen – Löschung seiner Daten aus dem ZIS bestanden habe. Dazu sei aber das Wissen über die verwendeten Daten, das ihm gestützt auf das datenschutzrechtliche Auskunftsrecht zukommen müsse, unabdingbare Voraussetzung.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch, dass sie in ihrem Auskunftsschreiben vom 21. November 2006 (samt Ergänzung vom 17. Jänner 2007) keine Auskunft über die Übermittlung von Gesundheitsdaten erteilte, den Beschwerdeführer in seinem Recht auf Auskunft über eigene Daten verletzt hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer richtete am 23. Oktober 2006, damals noch nicht anwaltlich vertreten, ein spezifisch formuliertes Auskunftsbegehren an die Beschwerdegegnerin. Dieses hatte folgenden Wortlaut:
„Ich bitte sie höflich darum, mir alle personenbezogenen Daten, die in ihren EDV-Systemen über mich gespeichert und verwaltet werden, in schriftlicher Form mitzuteilen.
Im Besonderen bitte ich um Auskunft lt. § 26 DSG 2000 für folgende Daten:
Dieses Auskunftsbegehren wurde von der Beschwerdegegnerin am 21. November 2006 mit Auskunftsschreiben zu Zl. 34-45/***12/01 beantwortet. Neben der Angabe der Polizzen-Nummern zu aktiven und historischen Versicherungsverträgen mit dem Beschwerdeführer enthält dieses Schreiben Angaben zu sechs allgemeinen Datenarten (ohne Angabe des Dateninhalts) sowie die Angabe, medizinische Daten des Beschwerdeführers nämlich die „gesundheitliche Historie (Quellen: Dr Michael Ü***, Dr. Hartmut Ö***, Dr. Günther Ä***)“, zu speichern. Angaben zu Empfängern oder Empfängerkreisen von Datenübermittlungen enthält das Schreiben nicht.
Beweiswürdigung : Diese Feststellungen beruhen auf vom Beschwerdeführer mit der Beschwerde vorgelegten Kopien der zitierten Schreiben. Deren Echtheit ist von Seiten der Beschwerdegegnerin unbestritten.
Am 18. Mai 2006 verarbeitete die Beschwerdegegnerin (inhaltlich dargestellt, im Original teilweise in Codes ausgedrückt) als Neumeldung folgende Daten im vom Verband der Versicherungsunternehmen Österreichs (VVO) betriebenen Informationsverbundsystem mit der Bezeichnung „Zentrales Informationssystem – ZIS“: Name und Geburtsdatum des Beschwerdeführers, Bezeichnung der Beschwerdegegnerin (Versicherungsunternehmen mit der System ID-Nr. **), sowie die Angabe, dass die Beschwerdegegnerin einen mit dem Beschwerdeführer in der Sparte „Leben“ abgeschlossenen Versicherungsvertrag durch Rücktritt (Feldinhalt „6“) beendet hat.
Diese Daten wurden in Folge eines Löschungsbegehrens des Beschwerdeführers am 4. Jänner 2007 auf Grund eines Auftrags der Beschwerdegegnerin vom 14. Dezember 2006 vom Systembetreiber aus dem ZIS gelöscht.
Beweiswürdigung : Diese Feststellungen stützen sich auf die Angaben der Beschwerdegegnerin in der ergänzenden Stellungnahme vom 24. April 2007 (ohne Zl.) samt Beilagen (Schreiben von RA Dr. M** vom 14. Dezember 2006, 9/**/**, enthaltend das erwähnte Löschungsbegehren). Die Daten konnten dabei von der Beschwerdegegnerin aus der eigenen EDV rekonstruiert werden, während eine Anfrage beim VVO (Schreiben des VVO an die Datenschutzkommission vom 17. April 2007) nach den im ZIS aktuell verarbeiteten Daten ein negatives Ergebnis brachte. Der Inhalt des zeitweilig im ZIS verarbeiteten Datensatzes mit Daten des Beschwerdeführers stimmt inhaltlich (nicht der Form nach) mit der Ergänzung des Auskunftsschreibens der Beschwerdegegnerin vom 17. Jänner 2007 (Anlage E) überein (siehe sogleich Sachverhaltsfeststellung weiter unten).
Am 14. Dezember 2006 verlangte der Beschwerdeführer, nunmehr anwaltlich vertreten, unter Fristsetzung bis zum 23. Dezember 2006 die Verbesserung der erteilten Auskunft zu seinen Daten. Zu verbessern sei die Auskunft dahingehend, dass die konkreten Daten, insbesondere die ins ZIS eingegebenen Daten, die gesamte vorliegende gesundheitliche Historie und die medizinischen Daten offen zu legen seien. Mit selbem Schreiben und bei gleicher Frist wurde auch die Löschung der ins ZIS eingegebenen Daten verlangt.
Mit Schreiben vom 17. Jänner 2007 legte die Beschwerdegegnerin dem Beschwerdeführer gegenüber offen, welche Verletzung der Anzeigepflicht (des Beschwerdeführers als Versicherungsnehmer) im Zusammenhang mit welchen medizinischen Befunden ausschlaggebend für den Rücktritt von der Kapitallebensversicherungs-Neupolizze 12**/321.*** war und welche Daten (siehe oben) aus diesem Anlass im ZIS verarbeitet wurden.
Über eine Übermittlung dieser Daten, insbesondere einer Diagnose, an die AVY***, wurde auch in diesem Schreiben keine Auskunft erteilt.
Beweiswürdigung : wie bisher, insbesondere wird auf den Inhalt der zitierten Urkunden, die der Datenschutzkommission in Kopie vorliegen, verwiesen.
Die Beschwerdegegnerin übermittelte zwischen dem 20. September und dem 12. Oktober 2006 telefonisch der AVY*** Personenversicherung AG, DVR 00***12, den Beschwerdeführer betreffende sensible Daten zu jener medizinischen Diagnose, die Anlass für den oben festgestellten Vertragsrücktritt waren, nachdem die AVY*** im Zuge der Prüfung eines Antrags des Beschwerdeführers auf Abschluss einer Krankenversicherung die den Beschwerdeführer betreffenden ZIS-Daten eingesehen hatte.
Beweiswürdigung : Diese Feststellung – bei einem gegenteiligen Vorbringen der Beschwerdegegnerin – stützt sich auf die vom Beschwerdeführer als Beilage./3 zu seiner Beschwerde vom 13. Februar 2007 in Kopie vorgelegten Beweisurkunde Schreiben der AVY*** vom 2. Jänner 2007. Das Anfangsdatum für die zeitliche Abgrenzung stützt sich auf das vom Beschwerdeführer angegebene Datum seines Krankenversicherungsantrags bei der AVY***, das Enddatum auf das in Kopie vorliegende Schreiben, mit dem die AVY*** dieses Anbot abgelehnt hat (Beilage./2 zur Beschwerde). Es erscheint plausibel, dass eine Versicherung, die in einem eigens für diesen Zweck geschaffenen Informationsverbundsystem (die Rechtmäßigkeit der Datenverwendung im ZIS war nicht Gegenstand dieses Auskunftsbeschwerdeverfahrens) anlässlich einer offenbar routinemäßig vorgesehenen Prüfung auf Daten stößt, die geeignet erscheinen, die Vertrauenswürdigkeit eines bestimmten (potenziellen) Kunden in Zweifel zu ziehen, nähere Ermittlungen veranlasst. Diese bestanden hier offenkundig in einer telefonischen Rückfrage bei der ablehnenden Versicherung nach dem Grund für den Rücktritt. Dabei liegt es auf der Hand, dass bei einem Antrag auf Krankenversicherung vorzugsweise nach Gesundheitsdaten gefragt wird. Da die Beschwerdegegnerin schon in ihrem ersten Auskunftschreiben vom 21. November 2006 ausdrücklich angegeben hat, Daten zur „gesundheitlichen Historie“ des Beschwerdeführers zu „speichern“ (einschließlich der Erwähnung des Namens jenes Arztes, dessen Diagnose für den Vertragsrücktritt entscheidend gewesen sein soll), erscheinen die Behauptungen, eine telefonische Auskunftserteilung sei nicht nachvollziehbar bzw. Diagnosen würden nicht an Dritte übermittelt, als Schutzbehauptungen. Eine Datenverwendung im ZIS, die, äußerst knapp gefasst, als ein bloßer Hinweis auf vertragswidriges Verhalten wirkt, wäre ohne die Bereitschaft zu bedarfsweiser näherer Auskunftserteilung an eine am Informationsverbundsystem teilnehmende Versicherung ohne jene Aussagekraft, die für geschäftliche Entscheidungen unabdingbar erscheint. Und es wäre unverständlich, warum ein Versicherungsunternehmen bereit sein sollte, den Aufwand für eine Teilnahme am ZIS für diese Art von Daten auf sich zu nehmen. Die Beschwerdegegnerin selbst hat ihre negative Auskunft zu jeglicher Form des Flusses von Gesundheitsdaten insoweit abgeschwächt, als sie nicht ausschließen wollte, dass „Mitarbeiter in einem Einzelfall ohne unser Wissen“ solche Daten übermittelt haben könnten (Stellungnahme vom 12. März 2007). Die Angaben des Beschwerdeführers, die durch den Inhalt einer Urkunde gestützt werden, die ein außerhalb dieses Rechtsstreits stehender Dritter angefertigt hat, waren daher für wahr zu erachten; der obige Sachverhalt war festzustellen.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten.
§ 26 Abs. 1 bis 7 DSG 2000 lautet unter der Überschrift „Auskunftsrecht“:
„ § 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen: Es ist in allen Fällen, in welchen keine Auskunft erteilt wird - also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Betroffenen verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.
(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Betroffene im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.
(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten.
...“
2. Rechtliche Schlussfolgerungen:
Die Beschwerde ist in ihrem ganzen Umfang berechtigt.
Dass die Beschwerdegegnerin Gesundheitsdaten des Beschwerdeführers verwendet und in zumindest einem Fall übermittelt hat, steht für die Datenschutzkommission fest (siehe Sachverhaltsfeststellung).
Zur Frage, welche genauen bescheidmäßigen Feststellungen in einem Beschwerdeverfahren wegen Verletzung im Recht auf Auskunft erforderlich sind, hält die Datenschutzkommission fest, dass bei Ausübung und Durchsetzung des Auskunftsrechts im Allgemeinen weder dem Auskunftswerber noch der Datenschutzkommission die allenfalls zu beauskunftenden Daten im Einzelnen bekannt sind, ansonsten wäre das Recht sinnlos bzw. würde die Datenschutzkommission an die Stelle des zur Auskunft verpflichteten Auftraggebers treten. In einem Verfahren nach § 31 Abs. 1 DSG 2000 kann es daher zunächst nicht Aufgabe der Datenschutzkommission sein, durch Feststellung sämtlicher in Verbindung mit dem Auskunftsersuchen stehender Daten im Bescheid die Auskunftserteilung durch den Auftraggeber vorwegzunehmen (Bescheid der Datenschutzkommission vom 28. Juni 2006, GZ: K121.075/0013-DSK/2006, RIS).
Eine Verwendung von automationsunterstützt gespeicherten Gesundheitsdaten liegt unabhängig von der Form der Speicherung vor. Es macht in Bezug auf das Bestehen des subjektiven Auskunftsrechts daher keinen Unterschied, ob die Daten in einer genau strukturierten und entsprechend aufbereiteten Datenbank verarbeitet oder in einem grafisch gespeicherten Textdokument (etwa einem als Scan gespeicherten ärztlichen Befund) enthalten sind. Das entscheidende Abgrenzungskriterium ist jeweils die Auffindbarkeit der Daten, also die Frage, ob sie mit den beim Auftraggeber üblichen Suchroutinen gefunden und mit der Person des Betroffenen in Zusammenhang gebracht werden können. Aus dem festgestellten Sachverhalt, nämlich dass diese Daten auf telefonische Anfrage hin telefonisch übermittelt werden konnten, lässt sich der Schluss ziehen, dass die eigentlichen Gesundheitsdaten an Hand der im ZIS gespeicherten Daten (Name, Geburtsdatum des Betroffenen, meldendes Versicherungsunternehmen) in den automationsunterstützten Datenanwendungen der Beschwerdegegnerin ohne besonderen Aufwand gefunden und ausgegeben (angezeigt, ausgedruckt etc.) werden konnten.
Was das Vorbringen der Beschwerdegegnerin betrifft, der Vorgang einer Datenübermittlung von ärztlichen Diagnosen an Dritte sei weder üblich noch nachvollziehbar, ist Folgendes zu sagen: Dass solche Übermittlungen in Ergänzung zu Auskünften aus dem ZIS „unüblich“ seien, ist nicht glaubwürdig. Wenn sie weiters „nicht nachvollziehbar“ sind, müsste angenommen werden, dass in der Organisation der Auftraggeberin schwerwiegende Mängel hinsichtlich der gesetzlich gebotenen Datensicherheit bestehen. Ein einer Datenanwendung zu Grunde liegendes technisch-organisatorisches System, in dem Mitarbeiter in der Lage wären, sensible Daten (hier: Gesundheitsdaten) - berechtigt oder nicht - abzufragen und telefonisch zu übermitteln, ohne dass dieser Vorgang nachvollzogen und beauskunftet werden kann, würde mit den nach § 14 DSG 2000 gebotenen Datensicherheitsmaßnahmen in Widerspruch stehen. Die Datenschutzkommission geht für das gegenständliche Verfahren bis zum Beweis des Gegenteils davon aus, dass die Beschwerdegegnerin über entsprechende Vorkehrungen verfügt, ihre Auftraggeberpflichten zu erfüllen und somit in der Lage ist, nach eingehenderen Ermittlungen Auskunft zu erteilen. Sich allein darauf zu berufen, dass keine Aufzeichnungen über diese Übermittlungen vorliegen, ist keine ausreichende Begründung dafür, dass glaublich tatsächliche Unmöglichkeit der Auskunftserteilung anzunehmen ist. Vielmehr werden von der Beschwerdegegnerin jedenfalls Nachforschungen, insbesondere bei den unmittelbar in Betracht kommenden Mitarbeitern, durchzuführen sein oder es wird im Sinne des § 26 Abs. 4 DSG 2000 eingehend zu begründen sein, wenn daran festgehalten wird, dass die Auskunft nicht erteilt werden kann. Diese Begründung wird auch aufzuzeigen haben, welche Anstrengungen die Beschwerdeführerin unternommen hat, um ihrer Verpflichtung zur Auskunftserteilung zu genügen.
Da auf Grundlage der Ergebnisse des Ermittlungsverfahrens feststeht, dass die Beschwerdegegnerin über Daten, die sie verwendet, nicht dem Gesetz entsprechend vollständig Auskunft erteilt hat, war spruchgemäß zu entscheiden.
In dieser Sache liegt ein vom Beschwerdeführer dargelegtes besonderes Auskunftsinteresse darin, von der Beschwerdegegnerin Auskunft über die Identität von Empfängern - und nicht bloß Empfängerkreisen - von Gesundheitsdaten zu erhalten, um gegen möglicherweise unrichtige oder missverständliche Daten seine Rechte auch bei Empfängern dieser Daten geltend machen zu können. Wie im Fall der besonderen Interessenlage in Bezug auf Bonitätsdaten (Bescheid der Datenschutzkommission vom 15. Februar 2005, GZ: K120.981/0002-DSK/2005, RIS, vgl. auch VwGH Erkenntnis vom 19. Dezember 2006, Zl. 2005/06/0111-13) war daher auch hier dem Auftraggeber die Auskunft über die Empfänger der Daten aufzutragen.