K121.290/0015-DSK/2007 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. MAITZ-STRASSNIG, Dr. KOTSCHY, Mag. HEILEGGER, Dr. HEISSENBERGER und Dr. BLAHA sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 3. Oktober 2007 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Arno G*** (Beschwerdeführer) aus M***, vertreten durch den Verein U*** in H***, vom 3. April 2007 gegen Hugo B*** (Beschwerdegegner) aus H*** als Inhaber des nicht im Firmenbuch eingetragenen Unternehmens mit der Geschäftsbezeichnung „N***-Wirtschaftsauskunftei“, vertreten durch die E*** L*** Rechtsanwälte-Partnerschaft in H***, wegen Verletzung im Recht auf Auskunft über eigene Daten in Folge Erteilung einer behauptet mangelhaften (unvollständigen) Auskunft mit Schreiben vom 28. März 2007, wird gemäß den §§ 26 Abs. 1 und 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:
Der Beschwerde wird stattgegeben und dem Beschwerdegegner aufgetragen, binnen einer Frist von zwei Wochen bei sonstiger Exekution Auskunft über
1. den Inhalt folgender von ihm betreffend den Beschwerdeführer verarbeiteter Datenarten zu geben:
„Zuname“, „Vorname“, „Straße“, „Postleitzahl“, „Ort“, „Berufscode 1/2/3“, „Exekutionsart“, „Datum“, „Melder“, „Gericht“, „System“, „Memo“, „geb. am“;
2. die Herkunft der Daten , soweit sie nicht schon durch verständliche Erläuterung des Inhalts der Datenart „Melder“ offengelegt wird,
3. die vorhandenen Daten, zumindest durch Angabe des Namens, der Empfänger von Übermittlungen der Beschwerdeführerdaten zu geben ; und
4. den Zweck der Datenverwendung zu geben.
B e g r ü n d u n g:
A. Vorbringen der Parteien
Der Beschwerdeführer behauptet mit Eingabe (Beschwerde) vom 3. April 2007 eine Verletzung im Recht auf Auskunft dadurch, dass der Beschwerdegegner im Auskunftschreiben vom 28. März 2007 lediglich die Daten („Eintragungen“) „14.04.1998 Konkurseröffnung“ sowie „17.08.1998 Zahlungsplan“ mitgeteilt habe. Es fehlten Angaben über die Herkunft der Daten, den genauen Dateninhalt, den Zweck der Datenverwendung und die Übermittlung dieser Daten. Außerdem werde die Vollständigkeit der Daten schlechthin in Zweifel gezogen, da aus den offen gelegten Daten keinerlei kreditrelevanten Informationen abgeleitet werden könnten (der Beschwerdegegner betreibe eine Kreditauskunftei).
Der Beschwerdegegner, von der Datenschutzkommission zur Stellungnahme aufgefordert, brachte mit Schreiben vom 5. April 2007 in der Sache bloß vor, das Datum „Zahlungsplan“ sei sehr wohl eine bonitätsrelevante Information. Die Daten eines Konkursverfahrens seien im Übrigen öffentlich, ein Nachweis, woher diese stammten, daher nicht notwendig. Über den Beschwerdeführer sei am 14. August 1998 ein Konkursverfahren eröffnet worden.
Nach Durchführung einer Einschau unter Beiziehung von Sachverständigen durch Beauftragte der Datenschutzkommission in die Datenanwendungen der „N***-Wirtschaftsauskunftei“ am 25. April 2007 (Niederschrift GZ: K121.290/0007-DSK/2007) wurde den Parteien Gehör zu den vorliegenden Ergebnissen des Ermittlungsverfahrens gewährt.
Der Beschwerdeführer brachte aus diesem Anlass vor, die Beschwerde werde aufrecht erhalten, da nunmehr feststehe, dass der Beschwerdegegner ihn betreffend eine ganze Reihe von Datenarten speichere, die in der Auskunft nicht enthalten waren. Die Datenverwendung durch den Beschwerdegegner erfolge wider Treu und Glauben (§ 6 Abs. 1 Z 1 DSG 2000), dies unter anderem deshalb, weil der Beschwerdegegner behaupte, keine Auskunft über die rechtmäßige Herkunft der Daten geben zu können. Daten zum behaupteten Konkursverfahren des Beschwerdeführers seien nicht allgemein und aktuell öffentlich zugänglich, wie man durch Einsichtnahme in die Ediktsdatei des Bundesministeriums für Justiz jederzeit nachprüfen könne. Der in der Ediktsdatei aufscheinende „G*** Arno“ sei nicht der Beschwerdeführer. Der Beschwerdeführer regte daher – über das vorliegende Auskunftsbeschwerdeverfahren hinaus – die Durchführung eines Kontrollverfahrens nach § 30 DSG 2000 an.
Der Beschwerdegegner wiederum, nunmehr anwaltlich vertreten, brachte vor, die Einschau habe ergeben, dass die dem Beschwerdeführer erteilte Auskunft vollständig und ordnungsgemäß gewesen sei. Die dem Beschwerdeführer offen gelegten Daten gäben die Information, dass über das Vermögen des Beschwerdeführers ein Konkurs eröffnet worden sei, welcher durch einen Zahlungsplan abgeschlossen wurde. Diese Daten dürften auch, unabhängig von der Frage, ob der Zahlungsplan erfüllt worden sei, weiter gespeichert bleiben, da es „unmöglich und undenkbar“ sei, hinsichtlich jeglicher Eintragung von Daten eine „Weiterverfolgung konkret vorzunehmen“. Der Beschwerdegegner verwies weiters auf seine, auf der Website der „N***-Wirtschaftsauskunftei“ öffentlich abrufbaren Allgemeinen Geschäftsbedingungen, die Hinweise auf die Quellen der Daten enthielten, einschließlich der Angabe, dass keine Überprüfungen auf erfolgte Einstellungen von gespeicherten Exekutions- oder Insolvenzverfahren stattfänden. Der Beschwerdegegner beantragte, die Beschwerde abzuweisen.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner dem Beschwerdeführer mit dem Auskunftsschreiben vom 28. März 2007 gesetzmäßig Auskunft über dessen Daten erteilt hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdegegner, der eine nicht im Firmenbuch eingetragene Auskunftei über Kreditverhältnisse (Gewerbe nach § 152 GewO 1994) unter der Geschäftsbezeichnung „N***Wirtschaftsauskunftei“ betreibt, ist als datenschutzrechtlicher Auftraggeber unter DVR: 0****35 im bei der Datenschutzkommission eingerichteten Datenverarbeitungsregister eingetragen.
Der Beschwerdegegner verwendet (speichert und übermittelt) den Beschwerdegegner betreffend Daten zu folgenden Datenarten:
Die kursiv dargestellten Felder waren bei der Einschaunahme durch Beauftragte der Datenschutzkommission am 25. April 2007 leer bzw. ohne erkennbaren Wert (Inhalt). Die unterstrichenen Felder hatten einen Inhalt, der - zumindest teilweise - in so genannten Codes bzw. Zahlen und Zeichen ausgedrückt, somit nicht ohne Erläuterung oder Schlüssel verständlich war.
Beweiswürdigung : Diese Feststellungen beruhen auf dem offenen Datenverarbeitungsregister, amtsbekannten Tatsachen (zum Unternehmen des Beschwerdegegners) sowie auf dem Ergebnis der Einschaunahme (Augenschein gemäß § 54 AVG und § 30 Abs. 4 DSG 2000) vom 25. April 2007, Niederschrift samt Beilage./A zu GZ: K121.290/0007-DSK/2007. Einige der Codes wurden vom Beschwerdegegner, der während der Einschaunahme persönlich anwesend war, erläutert, andere auch gegenüber der Datenschutzkommission nicht offen gelegt bzw. angegeben, man wisse nicht (mehr), was damit gemeint sei (vgl. etwa Niederschrift, Seite 3f, betreffend Code „98“ für „Melder“ und Bedeutung der Datenart „Memo“).
Der Beschwerdegegner erteilte dem Beschwerdeführer auf dessen Begehren auf Auskunft über eigene Daten hin am 28. März 2007 folgende schriftliche Auskunft:
„ Betrifft : Selbstauskunft
Sehr geehrter Herr G***
Folgende Eintragungen liegen vor:
14.04.1998 Konkurseröffnung
17.08.1998 Zahlungsplan“
Beweiswürdigung : Diese Feststellungen beruhen auf der zitierten Urkunde, deren Kopie (Echtheit des Inhalts unbestritten) vom Beschwerdeführer vorgelegt worden ist.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
§ 26 Abs.1 bis 4 DSG 2000 lautet unter der Überschrift „Auskunftsrecht“:
„ § 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“
2. rechtliche Schlussfolgerungen
Die Beschwerde, die inhaltliche Mängel der erteilten Auskunft (insbesondere Unvollständigkeit) rügt, ist berechtigt.
Vorauszuschicken ist, dass im gegenständlichen Beschwerdeverfahren nach § 31 Abs. 1 DSG 2000 die Datenschutzkommission nur über die Frage des Auskunftsrechts absprechen darf. Die rechtskraftfähige Entscheidung über andere Sachverhalte, die einen Eingriff in die subjektiven Datenschutzrechte eines Betroffenen auf Geheimhaltung, Löschung oder Richtigstellung bedeuten könnten, ist hinsichtlich aller Auftraggeber des privaten Bereichs, zu denen der Beschwerdegegner zählt, gesetzlich gemäß § 32 Abs.1 DSG 2000 den Zivilgerichten vorbehalten. Alle Ausführungen etwa hinsichtlich der Frage, ob der Beschwerdegegner bestimmte Daten rechtmäßig verarbeiten darf, gehen daher hier ins Leere.
Doch ergibt schon der einfache Vergleich zwischen dem festgestellten Umfang der Datenverwendung und dem Inhalt der erteilten Auskunft, dass diese niemals vollständig gewesen sein kann.
Dazu ist auszuführen:
Das subjektive Recht auf Auskunft über eigene Daten gemäß § 26 Abs. 1 DSG 2000 umfasst den Anspruch, eine vollständige und richtige Auskunft im vom Gesetz umschriebenen Umfang über eigene Daten, die der Auftraggeber verarbeitet, vom Auftraggeber zu erhalten (ständige Spruchpraxis der Datenschutzkommission seit dem Bescheid vom 23. August 2002, GZ: K120.819/003-DSK/2002, RIS). Der datenschutzrechtliche Auftraggeber genügt dem Kriterium der Vollständigkeit nicht, wenn er aus dem Inhalt seiner Datenanwendungen eine Auswahl trifft (etwa nur jene Daten zu beauskunften, von denen er annimmt, dass sie den Betroffenen vorrangig interessieren, oder solche Daten wegzulassen, von denen er annimmt, dass der Betroffene sie ohnehin kennt). Ebenso wenig reicht es aus, den Betroffenen auf den Inhalt einer Website oder auf „Allgemeine Geschäftsbedingungen“ zu verweisen. Grundsätzlich ist dem Betroffenen stets eine vollständige und authentische Wiedergabe des Dateninhalts vorzulegen oder – mit dessen Zustimmung gemäß § 26 Abs. 1 Satz 5 DSG 2000 – durch Einsichtnahme zugänglich zu machen. Nach dem Gesetz muss die Auskunft „in allgemein verständlicher Form“ erteilt werden. Codes (hier gemeint: Dateninhalt, der nicht im Volltext, sondern durch Schlüsselbegriffe ausgedrückt wird), Abkürzungen und dergleichen, die nur dem organisationsinternen Gebrauch des Auftraggebers dienen, sind dem Betroffenen daher offen zu legen und zu erläutern. Auch verarbeitete Codes, deren Bedeutung dem Auftraggeber nicht mehr geläufig sein sollte, sind unter Offenlegung dieser Tatsache zu beauskunften. Ob die weitere Verarbeitung eines solchen „inhaltslosen“ Datums nach Ende der Löschungssperre (§ 26 Abs. 7 DSG 2000) aufrecht bleiben darf, muss an dieser Stelle nicht entschieden werden.
Inhaltlich ist der Auftraggeber einer Datenanwendung für Zwecke des Auskunfteigewerbes nach neuerer Spruchpraxis der Datenschutzkommission (vgl. den Bescheid vom 16. Dezember 2005, GZ: K121.049/0023-DSK/2005, RIS) verpflichtet, vorhandene Informationen zur Herkunft von Daten betreffend die Bonität des Betroffenen offen zu legen, also etwa den Namen des „Melders“ anzugeben.
Gleiches gilt für die Empfänger von Datenübermittlungen.
Gerade Bonitätsinformationen über einen Unternehmer sind typischerweise für das Zustandekommen von Geschäftsabschlüssen entscheidend. Daher ist ein Interesse, die Empfänger dieser Auskünfte konkret benannt zu erhalten, um einerseits die Rechtmäßigkeit der Übermittlung an diese nachprüfen zu können, insbesondere aber ein entsprechendes Verhalten der Empfänger im Geschäftsverkehr vorhersehen zu können, evident (Bescheid der Datenschutzkommission vom 15. Februar 2005, GZ: K120.981/0002-DSK/2005, RIS; siehe auch Erkenntnis des VwGH vom 19. Dezember 2006, Zl. 2005/06/0111). Auch im Fall einer Privatperson ergibt die Interessenabwägung nichts grundlegend Anderes. Stellt der Betroffene nämlich bei Prüfung der ihm erteilten Auskunft fest, dass unrichtige Daten betreffend seine Bonität übermittelt worden sind, so muss er sich nicht drauf verlassen, dass der Auftraggeber seiner Pflicht gemäß § 27 Abs. 8 DSG 2000 (Verständigung der Übermittlungsempfänger von einer durchgeführten Richtigstellung) nachkommen wird. Der Betroffene hat vielmehr ein überwiegendes berechtigtes Interesse daran, alle beim Auftraggeber vorhandenen Daten der Übermittlungsempfänger zu erhalten, die er benötigt, um diese nötigenfalls selber ansprechen zu können.
Zusammengefasst ist zu sagen:
Der Beschwerdegegner hat den Beschwerdeführer dadurch, dass er
(vom Beschwerdeführer gerügte Mängel der Auskunft) den Beschwerdeführer in seinem Recht auf Auskunft über eigene Daten verletzt.
Es war daher spruchgemäß ein vollstreckbarer Leistungsauftrag unter Setzung einer angemessenen Frist (§ 59 Abs. 2 AVG) zu erlassen.