[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. HEILEGGER, Dr. KOTSCHY, Mag. HUTTERER, Dr. ROSEMAYR-KLEMENZ und Dr. HEISSENBERGER sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 12. Dezember 2007 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Quentin N*** in J*** (Beschwerdeführer), vertreten durch den Z-Verein, vom 21. Juni 2007, gegen die U*** GmbH in Wien (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 3 Z 1, 26 Abs. 1 und 31 Abs. 1 sowie § 49 Abs. 3 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:
B e g r ü n d u n g:
A. Vorbringen der Parteien
a. Der Beschwerdeführer behauptet eine Verletzung im Recht auf Auskunft dadurch, dass seinem Auskunftsbegehren an die Beschwerdegegnerin vom 30. Mai 2007 nur unzureichend nachgekommen worden sei. Unter anderem würden keine konkreten Daten beauskunftet, sondern nur Datenarten, die Datenübermittlungen würden ebenso fehlen wie Herkunft der Daten, Zweck der Verarbeitung und allenfalls herangezogene Dienstleister. Es werde daher beantragt, „dass die Datenschutzkommission das Auskunftsrecht durchsetzt und eine vollständige Auskunft im Sinne des § 26 DSG 2000 und dem Antrag des Betroffenen bei sonstiger Exekution zu erteilen ist“.
b. Die damit konfrontierte Beschwerdegegnerin verwies in ihrer Stellungnahme vom 16. Juli 2007 zunächst auf die Punkte 14.1 und 1.2 ihrer Allgemeinen Geschäftbedingungen (AGB), wonach sich ein Kunde bei Vertragsanmeldung diesen unterwerfe (Punkt 14.1) und die Annahme des Anbotes (gemeint des Kunden) durch die Beschwerdegegnerin durch eine positive Bonitätsprüfung auflösend bedingt sei (Punkt 1.2). Dazu dürfe die Beschwerdegegnerin bestimmte personenbezogene Daten zur Überprüfung der Kreditwürdigkeit erheben und Auskünfte von Wirtschaftsauskunfteien einholen (Punkt 4.1 AGB). Darüber werde der Kunde am Anmeldeformular unterrichtet und erteile mit Unterfertigung seine Zustimmung zu dieser Vorgehensweise.
Im Zuge der Bonitätsprüfung seien Vorname, Nachname, Adresse und Geburtsdatum an die Firma E*** GmbH übermittelt worden. Diese habe wiederum bonitätsrelevante Einträge über den Beschwerdeführer an die Beschwerdegegnerin übermittelt. Der Inhalt dieser Information werde bei der Beschwerdegegnerin nicht gespeichert, es werde nur entsprechend dem übermittelten Ergebnis der Bonitätsabfrage der Vertrag entweder abgeschlossen oder nicht. Detailinformationen, insbesondere etwa zu offenen Forderungen, seien der Beschwerdegegnerin nicht bekannt. Die Beschwerdegegnerin habe vom Abschluss eines Vertrages mit dem Beschwerdeführer Abstand genommen und dies dem Beschwerdeführer mehrmals mitgeteilt.
Der Stellungnahme der Beschwerdegegnerin war die Kopie eines Auskunftsschreibens an den Beschwerdeführer vom 17. Juli 2007 angeschlossen. Dieses enthielt unter „1. Stammdaten“ ua. den Vermerk „Bonität“.
c. Im dazu gewährten Parteiengehör bemerkte der Beschwerdeführer, der Hinweis „Bonität“ bei den Stammdaten sei nicht als Auskunft zu werten. Es werde daher weiterhin Auskunft über die Bonität, allfällige Kennzahlen, deren Herkunft und auch deren Zusammensetzung begehrt. Weiters würden Angaben zu den Übermittlungsempfängern fehlen. Da kein Vertragsverhältnis zustande gekommen sei, können die AGBs nicht als Rechtsgrundlage von Datenübermittlungen herangezogen werden. Die Beschwerde werde vollinhaltlich aufrecht erhalten.
d. Erneut zur Stellungnahme aufgefordert, brachte die Beschwerdegegnerin mit Schreiben vom 22. August 2007 vor, sämtliche zur Person des Beschwerdeführers gespeicherten Daten sowie deren Herkunft beauskunftet zu haben. Zum Thema Bonität könne man nicht mehr Informationen geben als die Beschwerdegegnerin selbst vorliegen habe. Die Information der E*** GmbH an die Beschwerdegegnerin beschränke sich bloß auf die Bejahung oder Verneinung der Bonität und werde von der Beschwerdegegnerin nicht gespeichert. Über allfällige Kennzahlen und deren Zusammensetzung sowie über andere, inhaltliche Angaben bezüglich der Bonität des Beschwerdeführers seien keine Informationen gespeichert.
e. Im dazu gewährten Parteiengehör meint der Beschwerdeführer, aus dem Schreiben der Beschwerdegegnerin sei erkennbar, dass die Bonitätsbewertung im Sinne des § 49 DSG 2000 als „automatisierte Einzelentscheidung“ erfolge. Es stehe daher dem Beschwerdeführer auch Auskunft über den logischen Ablauf der automatisierten Einzelentscheidung zu.
Die E*** GmbH wurde nunmehr erstmals als „Zweitantragsgegnerin“ (gemeint: Zweitbeschwerdegegnerin) bezeichnet. Es sei ersichtlich, dass die Zweitbeschwerdegegnerin Bonitätswerte, die offensichtlich automatisiert errechnet würden, an die Beschwerdegegnerin übermittelt habe. Strittig sei bloß, wer zu diesen Bonitätswerten Auftraggeber und somit Auskunftspflichtiger nach DSG 2000 sei. Die Beschwerde werde somit vollinhaltlich aufrecht erhalten.
f. Mit Schreiben vom 4. Oktober 2007 erteilte die Beschwerdegegnerin dem Beschwerdeführer erneut Auskunft. Im Wesentlichen wurde bekannt gegeben, dass die Bonitätsprüfung auf Basis von Daten erfolge, die der E*** GmbH vorlägen. Die E*** GmbH führe auf Basis dieser Daten im Auftrag der Beschwerdegegnerin eine Überprüfung durch, bei der die bei der E*** GmbH gespeicherten Einträge den Kriterien der Beschwerdegegnerin für den Abschluss eines Vertrages mit ihr gegenüber gestellt würden. Die Kriterien beträfen Einträge bei E*** zu offenen oder ausgebuchten Mahnungen, Einträge zu offenen oder geschlossenen Insolvenzverfahren (Konkurs, Ausgleich, Exekution) sowie zu zivilrechtlichen Klagen gegen den Betroffenen. Weiteres Kriterium sei ein definierter Zeitraum; Einträge, die vor diesem Zeitraum lägen, würden sich nicht negativ auf die Bonität auswirken. Detaillierte Auskünfte zu den Bonitätskriterien seien auf Grund des Vorliegens von Betriebs- und Geschäftsgeheimnissen nicht möglich.
g. Im Parteiengehör dazu brachte der Beschwerdeführer vor, diese allgemeinen Ausführungen würden nicht einer Auskunft nach DSG 2000 entsprechen. Insbesondere fehle eine Angabe zum konkreten Rating-Wert, weiters sei nicht nachvollziehbar, was die Angaben „Mahnungen, Einträge zu offenen oder geschlossenen Insolvenzverfahren (Konkurs, Ausgleich, Exekution) sowie zu zivilrechtlichen Klagen gegen den Betroffenen“ bedeuteten, existiere doch zum Beschwerdeführer laut (beiliegender) Auskunft der E*** GmbH nur ein mehrere Jahre zurückliegender Eintrag zu einer eingestellten Exekution. Weiters sei die behauptete Gleichsetzung von Exekutionen und Insolvenzverfahren, insbesondere im Hinblick auf eingestellte Verfahren nicht nachvollziehbar. Zusätzlich fehle die Angabe, welcher zurückliegende Zeitraum im Fall des Beschwerdeführers bonitätsrelevant sein solle. Da es sich um ein System der automatisierten Einzelentscheidungen handle, gebühre überdies ein Anspruch auf Auskunft über den logischen Ablauf des Prozesses.
Die Behauptung, eine detaillierte Auskunft sei aufgrund von Betriebs- und Geschäftsgeheimnissen nicht möglich, müsse angesichts der geringfügigen Vormerkungen des Beschwerdeführers und der „gravierenden wirtschaftlichen Nachteile“, die diese Eintragungen nach sich zögen, zurückgewiesen werden. Das Auskunftsinteresse sei höher zu bewerten als allfällige Geheimhaltungsinteressen der Beschwerdegegnerin.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin der Pflicht zur vollständigen und richtigen Auskunftserteilung gemäß § 1 Abs. 3 Z 1 iVm § 26 DSG 2000 nachgekommen ist und inwieweit das Bestehen von Geschäfts- und Betriebsgeheimnissen als Grund für die Verweigerung einer detaillierteren Auskunftserteilung anerkannt werden muss.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Der Beschwerdeführer richtete durch den mit Vollmacht ausgestatteten Z-Verein am 30. Mai 2005 an die Beschwerdegegnerin ein Auskunftsbegehren folgenden wesentlichen Inhalts:
„Wir ersuchen Sie unter Hinweis auf § 1 DSG 2000, § 26 DSG 2000 und alle weiteren anwendbaren Bestimmungen des DSG 2000 um Beantwortung der folgenden Fragen:
In ihrem Auskunftsschreiben vom 31. Mai 2007 gab die Beschwerdegegnerin zunächst nur Datenarten (Stamm- sowie Vermittlungsdaten iSd TKG 2003) an.
Beweiswürdigung : Diese Feststellungen ergeben sich aus dem Vorbringen des Beschwerdeführers in seiner Beschwerde und den Beilagen dazu.
Im Verfahren vor der Datenschutzkommission ergänzte die Beschwerdegegnerin mit Schreiben vom 17. Juli 2007 ihre Auskunft wie folgt:
„Entsprechend den einschlägigen Bestimmungen des Datenschutzgesetzes (DSG) 2000, BGBl. I Nr. 165/1999, des Telekommunikationsgesetzes (TKG) 2003, BGBl. I Nr. 70/2003, und unserer Allgemeinen Geschäftsbedingungen (AGB) für Telekommunikationsdienstleistungen ermitteln und verarbeiten wir personenbezogene Daten unserer Kunden nur in jenem Umfang, als dies erforderlich ist, um
Telekommunikationsdienstleistungen erbringen und abrechnen zu können.
Betreffend Ihren Service-Antrag wurden folgende Daten verarbeitet:
1. Stammdaten:
Diese Daten wurden uns von Ihnen im Zuge Ihrer Anmeldung bekannt gegeben. Infolge der von Ihnen erhobenen Beschwerde gemäß § 31 Abs. 1 DSG 2000 bei der Datenschutzkommission haben wir nunmehr auch Ihre derzeitige Adresse, ***, unter den Stammdaten gespeichert.
2. Verkehrsdaten:
Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden.
Da zwischen Ihnen und *** kein Vertrag über die Erbringung einer Telekommunikationsdienstleistung zustande gekommen ist, liegen uns keine Verkehrsdaten über Ihre Person vor.
3. Inhaltsdaten , also der Inhalt dessen, was im Wege der Telekommunikation übermittelt wird, werden von *** grundsätzlich nicht gespeichert.
4. Weitergabe der Daten:
Nach den AGB ist *** [Anmerkung Bearbeiter: Bezeichnung einer Marke bzw. eines Unternehmens der U*** GmbH] berechtigt den Vorname(Quentin), den Nachname (N***), die Adresse (***) und das Geburtsdatum (***) des Kunden nach erfolgter Vertragsanmeldung zum Zwecke einer Bonitätsprüfung an eine Wirtschaftsauskunftei zu übermitteln. Diesbezüglich weisen wir auf unsere, an Sie gerichtete Ablehnungsschreiben vom 14. Dezember 2005, vom 16. Mai 2006 und vom 06. Juni 2006 an die von Ihnen angegebene Adresse (***) hin. In den genannten Schreiben wurde Ihnen mitgeteilt, dass *** – in Übereinstimmung mit Pkt. 4.2 der AGB (in der Fassung vom 01.11.2004) – Bonitätsauskünfte bei der Firma E*** GmbH eingeholt hatte, die zur Ablehnung der Geschäftsverbindung führten.
Weiters wurden Sie aufgefordert, bei Zweifel über die Richtigkeit der Informationen über Ihre Bonität, sich schriftlich direkt an das angeführte Unternehmen, nämlich an E*** GmbH, ***, zu wenden. Ein eventueller Anspruch auf Richtigstellung wäre bei der genannten Auskunftei geltend zu machen.
5. Betreiber eines Informationsverbundsystemes:
*** [Anmerkung Bearbeiter: Bezeichnung einer Marke bzw. eines Unternehmens der U*** GmbH] ist weder Betreiber eines Informationsverbundsystemes noch beziehen wir Daten im Rahmen eines solchen.“
Beweiswürdigung: Diese Feststellungen ergeben sich aus dem auch der Datenschutzkommission übermittelten Schreiben der Beschwerdegegnerin an den Beschwerdeführer vom 17. Juli 2007 selbst.
Erneut mit Schreiben vom 4. Oktober 2007 ergänzte die Beschwerdegegnerin ihre Auskunft an den Beschwerdeführer im Wesentlichen wie folgt:
„Die Überprüfung, ob Sie über eine ausreichende Bonität verfügen, um kreditierte Dienstleistungen von U*** in Anspruch nehmen zu können, erfolgte auf Basis von Daten, die der E*** GmbH vorliegen. Auf diesen Umstand wurden Sie bereits im Rahmen des bisherigen Schriftverkehrs hingewiesen.
E*** GmbH führt auf Basis dieser Daten im Auftrag von U*** eine Überprüfung durch, bei der die bei E*** GmbH gespeicherten Einträge den Kriterien von U*** für den Abschluss eines Vertrages gegenüber gestellt werden.
Die Kriterien betreffen Einträge bei E*** zu offenen oder ausgebuchten Mahnungen, Einträge zu offenen oder geschlossenen Insolvenzverfahren (Konkurs, Ausgleich, Exekution) sowie zu zivilrechtlichen Klagen gegen den Betroffenen. Weiteres Kriterium ist ein definierter Zeitraum, Einträge, die vor diesem Zeitraum liegen, wirken sich nicht negativ auf die Bonität aus.
Detaillierte Auskünfte zu den Bonitätskriterien sind auf Grund des Vorliegens von Betriebs- und Geschäftsgeheimnissen nicht möglich.
In Zusammenhang mit einer Auskunft über die Einträge bei E*** GmbH ist für Sie nunmehr jedenfalls nachvollziehbar, was Grund für die Ablehnung eines Dauerschuldverhältnisses zwischen Ihnen und U*** war. Festgehalten wird, dass – wie bereits bekannt gegeben – bei U*** keine Bonitätsdaten gespeichert werden.“
Beweiswürdigung: Diese Feststellungen ergeben sich aus dem auch der Datenschutzkommission übermittelten Schreiben der Beschwerdegegnerin an den Beschwerdeführer vom 4. Oktober 2007 selbst.
Die E*** GmbH stellt Unternehmen (wie der Beschwerdegegnerin), die ihre Kunden sind, Daten über die Bonität von potentiellen Kunden (für die Beschwerdegegnerin) zur Verfügung. Falls der Kunde der E*** GmbH dies zusätzlich wünscht, bietet E*** eine zusätzliche Service-Leistung an: Es können nach besonderen Kriterien, die vom jeweiligen Unternehmen (Kunden von E***) vorgegebenen werden, auch so genannte "Scoring-Werte" unter Verwendung der über das Portal von E*** zugänglichen Bonitätsdatenbanken errechnet werden. Die Unternehmen bestimmen selbst, welches Berechnungsverfahren verwendet wird, insbesondere welche Arten von Bonitätsdaten herangezogen werden und welche Wertigkeit den einzelnen Bonitätsinformationen in der Gesamtbeurteilung zukommen soll. Die E*** GmbH errechnet die "Scoring-Werte" für die Unternehmen mit den von ihnen vorgegebenen Algorithmen und hat daher keinen bestimmenden Einfluss auf das Zustandekommen der Scoring-Werte. Sie kann auch keine verlässlichen Aussagen über die Bedeutung von Scoringwerten ihrer Kunden machen - das kann nur das Unternehmen, das das jeweilige Scoring-Verfahren vorgegeben hat.
Bei Scoring-Verfahren der beschwerdegegenständlichen Art handelt es sich um automatisierte Einzelentscheidungen im Sinne des § 49 DSG 2000.
Beweiswürdigung: Diese Feststellungen beruhen auf dem glaubwürdigen schriftlichen und mündlichen Vorbringen der E*** GmbH im Verfahren K121.292 vor der Datenschutzkommission (mit demselben Beschwerdeführer). Der Beschwerdeführer hat in jenem Verfahren das Tatsachenvorbringen auch nicht in Frage gestellt, sondern nur die rechtlichen Konsequenzen. Die Feststellung, dass es sich bei der Bonitätsberechnung um eine automatisierte Einzelentscheidung handelt, ist Konsequenz des zitierten Vorbringens der E*** GmbH. Auch das Vorbringen der Beschwerdegegnerin lässt Gegenteiliges nicht erkennen.
Im gegenständlichen Fall hat die Beschwerdegegnerin die E*** GmbH beauftragt, mit den von der E*** GmbH zur Verfügung gestellten Daten (- die der Beschwerdegegnerin zuvor logisch übermittelt wurden, indem ihr die Verwendung dieser Daten vertraglich gegen entsprechendes Entgelt gestattet wurde -) eine Bonitätsprüfung nach dem von der Beschwerdegegnerin vorgegebenen Algorithmus durchzuführen. In diese Bonitätsprüfung fließen die von der Beschwerdegegnerin der E*** GmbH vorgegebenen und in ihrem Auskunftsschreiben vom 4. Oktober 2007 dem Beschwerdeführer bekannt gegebenen Kriterien ein. Diese Kriterien werden nach einem Berechnungsverfahren, das die Beschwerdegegnerin gewählt hat, den Einträgen im Datenbestand der E*** GmbH gegenüber gestellt. Ergebnis ist eine Bejahung oder Verneinung (wie hier für den Beschwerdeführer) der Bonität, welche Information von der E*** GmbH der Beschwerdegegnerin mitgeteilt wird.
Beweiswürdigung: Diese Feststellungen beruhen auf dem Vorbringen der E*** GmbH im Verfahren K121.292 (siehe vorheriger Absatz) im Zusammenhang mit dem Inhalt des Auskunftsschreibens der Beschwerdegegnerin an den Beschwerdeführer vom 4. Oktober 2007.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.
Gemäß § 4 Z 4 DSG 2000 sind Auftraggeber natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten, und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen (einen Dienstleister) heranziehen.
Gemäß § 4 Z 5 DSG 2000 sind Dienstleister natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden.
Gemäß § 10 Abs. 1 DSG 2000 dürfen Auftraggeber bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß § 26 Abs. 1. DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
Gemäß Abs. 4 leg. cit. ist die Auskunft innerhalb von acht Wochen nach Einlangen des Begehrens zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird.
§ 49 DSG 2000 lautet unter der Überschrift „Automatisierte Einzelentscheidungen“:
„§ 49. (1) Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.
(2) Abweichend von Abs. 1 darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn
(3) Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen.“
Art 15 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: RL 95/46/RL), jene Bestimmung, deren Umsetzung § 49 DSG 2000 ist, lautet unter der Überschrift „Automatisierte Einzelentscheidungen“:
„(1) Die Mitgliedstaaten räumen jeder Person das Recht ein, keiner für sie rechtliche Folgen nach sich ziehenden und keiner sie erheblich beeinträchtigenden Entscheidung unterworfen zu werden, die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens.
(2) Die Mitgliedstaaten sehen unbeschadet der sonstigen Bestimmungen dieser Richtlinie vor, daß eine Person einer Entscheidung nach Absatz 1 unterworfen werden kann, sofern diese
a. im Rahmen des Abschlusses oder der Erfüllung eines Vertrags ergeht und dem Ersuchen der betroffenen Person auf Abschluß oder Erfüllung des Vertrags stattgegeben wurde oder die Wahrung ihrer berechtigten Interessen durch geeignete Maßnahmen - beispielsweise die Möglichkeit, ihren Standpunkt geltend zu machen - garantiert wird oder
b. durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.“
Gemäß Art 12 RL 95/47/EG garantieren die Mitgliedstaaten jeder betroffenen Person ua. das Recht, vom für die Verarbeitung Verantwortlichen frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Art 15 Abs 1, zu erhalten.
2. rechtliche Schlussfolgerungen
Soweit der Beschwerdeführer ein Vorbringen erstattet hat, das inhaltlich keine Verletzung im Recht auf Auskunft zum Gegenstand hat, kann mangels Zuständigkeit der Datenschutzkommission für Beschwerdeverfahren wegen behaupteter Verletzungen im Grundrecht auf Datenschutz (mit Ausnahme des Rechts auf Auskunft) durch Auftraggeber des privaten Bereichs, wie dies die Beschwerdegegnerin zweifelsfrei ist, inhaltlich nicht eingegangen werden.
Soweit der Beschwerdeführer erstmalig in seinem Schreiben vom 24. August 2007 (2. Parteiengehör) als „Antragsgegner 2“ die E*** GmbH nennt, ist auszuführen, dass in dem zu dieser Zahl protokollierten Verfahren kein Auskunftsbegehren an die E*** GmbH behauptet bzw. bescheinigt wurde. Wenn der Beschwerdeführer aber in der zur Zahl K121.292 protokollierten Beschwerde eine behauptete Verletzung im Recht auf Auskunft geltend machen wollte, so ist auf den in jenem Verfahren ergangenen Bescheid der Datenschutzkommission vom 14. September 2007, GZ K121.292/0011-DSK/2007 (abrufbar im Rechtsinformationssystem des Bundes – RIS unter http://www.ris.bka.gv.at/dsk/), zu verweisen. Ein Antrag auf Durchsetzung des Auskunftsrechts gegen die E*** GmbH ist daher schon mit diesem Bescheid erledigt.
Der Beschwerdeführer richtete sein Auskunftsbegehren wie auch die verfahrenseinleitende Beschwerde an die „U*** (***)“. Nach dem Vorbringen der Beschwerdegegnerin sowie aus dem Firmenbuch (ehemalige FN *** – mittlerweile gelöscht) ergibt sich, dass die Beschwerdegegnerin Rechtsnachfolgerin der *** ist und daher als auskunftspflichtiger Auftraggeber iSd § 26 DSG 2000 anzusehen ist.
Dem Beschwerdeführer wurde nach dem festgestellten Sachverhalt mit Schreiben vom 31. Mai, 17. Juli und 4. Oktober 2007 Auskunft erteilt. Nach ständiger Rechtsprechung der Datenschutzkommission wird der Auskunftsanspruch eines Betroffenen auch dann erfüllt, wenn die Auskunft nach Ablauf der achtwöchigen Frist des § 26 Abs. 4 DSG 2000 erteilt wird. Die Nichteinhaltung der achtwöchigen Frist stellt zwar eine Verletzung im Recht auf Auskunft dar, die aber durch Nachholung der Auskunftserteilung bis zum Zeitpunkt der Entscheidung der Datenschutzkommission sanierbar ist (zB Bescheid vom 7. Juni 2005, GZ K120.912/0008-DSK/2005; zur äquivalenten Frist beim Recht auf Löschung nach § 27 Abs. 4 DSG 2000 hat dies auch der Verwaltungsgerichtshof in seinem Erkenntnis vom 28. März 2006, Zl. 2004/06/0125, RIS unter http://www.ris.bka.gv.at/vwgh/, allerdings unter dem falschen Datum 27. März 2006 bereits bestätigt).
Der Beschwerdeführer fühlte sich in seinem Recht auf vollständige Auskunft gemäß § 26 DSG 2000 verletzt und hielt seine Beschwerde vollinhaltlich aufrecht. Ab dem Auskunftsschreiben der Beschwerdegegnerin vom 17. Juli 2007 machte der Beschwerdeführer im ha. Verfahren lediglich Einwendungen hinsichtlich der Auskunft zur Bonität geltend. Hinsichtlich des übrigen Auskunftsinhaltes brachte er nichts vor – eine Unvollständigkeit ist auch für die Datenschutzkommission nicht erkennbar. Die Beschwerde war daher insoweit spruchgemäß abzuweisen.
Zur Beauskunftung im Zusammenhang mit der Bonitätsprüfung durch die Beschwerdegegnerin:
Die E*** GmbH betreibt ein Zugangsportal zu Bonitätsdatenbanken, für die sie zum Teil selbst Auftraggeber ist, zum Teil jedoch nur Dienstleister in Form der Bereitstellung des Zugangsportals. Die Einsichtnahme von Kunden der E*** GmbH (wie der Beschwerdegegnerin) in Bonitätsdaten über das Zugangsportal führt zu einer Übermittlung der Daten an diese Kunden, die damit verantwortliche Auftraggeber einer allfälligen Weiterverwendung dieser Daten werden.
Da die Entscheidung, ob und wie Bonitätsdaten für ein Scoring-System verwendet werden, von den Kunden der E*** GmbH (wie die Beschwerdegegnerin) getroffen wird, trifft diese Kunden die Verantwortung für die Art und Weise der Verarbeitung und die Angemessenheit des Systems. Der logische Ablauf muss deshalb so gesehen werden, dass von der E*** GmbH alle erforderlichen Daten an das Scoring-System (und damit an seinen Eigentümer – die Beschwerdegegnerin) übermittelt werden. Die Unternehmen, die Eigentümer eines Scoring-Systems sind, werden ab dem Augenblick, in dem die Rohdaten in das Scoring-System eingespeist werden, zu Auftraggebern im Sinne des Datenschutzgesetzes. Damit ist auch die Beschwerdegegnerin ab diesem Zeitpunkt der Einspeisung Auftraggeber. Die Errechnung des Scoring-Wertes kann nun von der Beschwerdegegnerin selbst durchgeführt werden oder als Dienstleistung in Auftrag gegeben werden. Im vorliegenden Fall wurde die E*** GmbH mit der Errechnung von Scoring–Werten beauftragt. Solange die Beschwerdegegnerin das System vorgibt, nach dem die Errechnung vorzunehmen ist, ist sie Auftraggeber dieser Datenverarbeitung, wobei ihr freilich – logisch vorgelagert – die E*** GmbH die notwendigen Bonitätsdaten übermittelt hat.
Daraus ergibt sich, dass die Bedeutung eines von der E*** GmbH als Dienstleister errechneten Scoring-Wertes nicht von ihr, sondern von der Beschwerdegegnerin als Auftraggeber dem Auskunftswerber gemäß § 26 DSG 2000 zu beauskunften ist. Dabei ist jedermann berechtigt, die Bonität eines möglichen Vertragspartners für sich zu beurteilen und dafür allgemein zugängliche Quellen heranzuziehen. Die Datenbanken der Gewerbetreibenden nach § 152 GewO 1994 stellen solche allgemein zugänglichen Quellen für Bonitätsinformationen dar. Es steht auch jedem Auftraggeber das Recht zu, einen Dienstleister heranzuziehen (§ 10 Abs. 1 DSG 2000), sofern die Bestimmungen der §§ 10 und 11 DSG 2000 beachtet werden (siehe zu diesen Ausführungen auch den Bescheid der Datenschutzkommission vom 14. September 2007, GZ K121.292/0011-DSK/2007, RIS unter http://www.ris.bka.gv.at/dsk/).
Der Grundsatz des § 6 Abs. 1 Z 1 DSG 2000, wonach alle Datenverwendung nach Treu und Glauben zu erfolgen hat, erfordert es, dass der Dienstleister (im vorliegenden Fall: die E*** GmbH) in einer Konstellation wie der vorliegenden, in der er in anderer Hinsicht gleichzeitig auch auskunftspflichtiger Auftraggeber ist, dem Auskunftswerber nicht nur den Übermittlungsempfänger der Bonitätsdaten bekannt gibt, sondern auch den Hinweis, dass mit den übermittelten Daten für den Auskunftswerber im Auftrag des Übermittlungsempfängers ein Scoring-Wert errechnet wurde, über dessen Bedeutung der Übermittlungsempfänger (Beschwerdegegnerin) Auskunft geben könne (siehe dazu ebenfalls den soeben zitierten Bescheid).
Im vorliegenden Fall hat die Beschwerdegegnerin beauskunftet, dass die Bonität negativ ist und dass in die Berechnung Einträge bei der E*** GmbH zu offenen oder ausgebuchten Mahnungen, Einträge zu offenen oder geschlossenen Insolvenzverfahren (Konkurs, Ausgleich, Exekution) sowie zu zivilrechtlichen Klagen gegen den Betroffenen, die in einen bestimmten, von der Beschwerdegegnerin vorgegebenen Zeitraum fallen, einfließen. Bei der Bonitätsberechnung handelt es sich nach den Feststellungen um eine automatisierte Einzelentscheidung.
Gemäß § 49 Abs. 3 DSG 2000 ist dem Betroffenen bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen. Einen solchen Antrag hat der Beschwerdeführer an die Beschwerdegegnerin allerdings nicht gestellt (sein Auskunftsbegehren vom 30. Mai 2007 kann auch nicht in diese Richtung gedeutet werden; auch hat er nie behauptet, dass sein Antrag vom 30. Mai dieses Begehren mitumfasse).
Die Beschwerde war daher auch in diesem Punkt abzuweisen und es war spruchgemäß zu entscheiden.
Sollte der Beschwerdeführer allerdings künftig einen dem § 49 Abs. 3 DSG 2000 entsprechenden Antrag stellen, so wird ihm die Beschwerdegegnerin neben den (bereits beauskunfteten) Kriterien für die Bonitätsbeurteilung auch deren Wertigkeit mitteilen müssen (also etwa mit welchem Gewicht offene oder ausgebuchte Mahnungen bzw. Insolvenzen etc. für die Bonität maßgeblich sind und in welchem Zeitraum diese Mahnungen bzw. Insolvenzen etc. fallen müssen, um relevant zu sein). Nur so würde richtlinienkonform § 49 Abs. 3 DSG 2000 entsprochen werden können, da der logische Ablauf einer automatisierten Einzelentscheidung allein anhand der einfließenden Kriterien nicht verstehbar ist, sondern auch die Kenntnis von der Wertigkeit, mit der sie berücksichtigt werden, voraussetzt. Nur so kann sichergestellt werden, dass für den Betroffenen „jedenfalls nachvollziehbar“ ist, was Grund für die Ablehnung eines Dauerschuldverhältnisses zwischen Betroffenem und Beschwerdegegnerin war. Wie weit etwaige Betriebs- oder Geschäftsgeheimnisse die Pflicht zur Offenlegung der Logik einer automatisierten Einzelentscheidung zu beschränken vermögen, wird anlässlich der Behandlung eines Antrags nach § 49 Abs. 3 DSG 2000 im Einzelfall zu beurteilen sein.
Rückverweise
RIS