K121.362/0006-DSK/2008 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. BLAHA, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 29. Februar 2008 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde der Roswitha R *** in *** E *** (Beschwerdeführerin) vom 23. Juli 2007 gegen die V *** AG (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung gemäß den §§1 Abs. 1 und 31 Abs. 2 des Datenschutzgesetzes 2000, BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005 (DSG 2000), und wegen Verletzung im Recht auf Auskunft gemäß den §§ 26 Abs. 1, Abs. 4, Abs. 6 und 31 Abs. 1 DSG 2000, wird wie folgt entschieden:

B e g r ü n d u n g:

A. Vorbringen der Parteien und Verfahrensgang

In ihrer Eingabe vom 6. Mai 2007 brachte die Beschwerdeführerin im Wesentlichen vor, die Beschwerdegegnerin habe ihr in ihren Schreiben vom 6. Februar 2007 und vom 27. März 2007 lediglich eine unvollständige Auskunft erteilt. Es würde eine komplette Auskunft der „gespeicherten Bestell- und Rechnungsdaten, sowie der Kundenkategorisierung“ fehlen. Auch sei die Auskunft, dass Daten an Dritte nicht übermittelt worden seien, nicht nachvollziehbar, weil sich einerseits aus dem Auskunftsschreiben vom 27. März 2007 ergebe, dass ihre Daten an die K*** GmbH zur Bonitätsprüfung übermittelt worden seien und andererseits auch aus einem Auskunftsschreiben der F*** GmbH ersichtlich sei, dass diese die Daten der Beschwerdeführerin von der Beschwerdegegnerin erhalten habe. Weiters liege – wie sich aus der Auskunft vom 27. März 2007 ergebe – eine „illegale Datenübermittlung“ durch die Beschwerdegegnerin an die K*** GmbH vor. Die Beschwerdeführerin fühle sich daher in ihren gesetzlich gewährleisteten Rechten verletzt. Gleichzeitig bemängelte die Beschwerdeführerin – wenn auch in diesem Verfahren nicht wesentlich – die Vollständigkeit eines Auskunftsschreibens der F*** GmbH vom 14. Februar 2007. Dieser Eingabe ist das an die Beschwerdegegnerin gerichtete Auskunftsbegehren der Beschwerdeführerin vom 3. Februar 2007, das Auskunftsschreiben der Beschwerdegegnerin vom 6. Februar 2007, das – die Vollständigkeit des Auskunftsschreibens bemängelnde – Schreiben der Beschwerdeführerin an die Beschwerdegegnerin vom 15. Februar 2007 und das daraufhin ergangene Auskunftsschreiben der Beschwerdegegnerin vom 27. März 2007, angeschlossen.

Aufgrund dieser Eingabe wurde von der Datenschutzkommission zunächst ein Kontroll- und Ombudsmannverfahren sowohl gegen die Beschwerdegegnerin, als auch gegen die F*** GmbH nach § 30 DSG 2000 (K211.808) eingeleitet. Dies wurde der Beschwerdeführerin mit Schreiben vom 11. Mai 2007 mitgeteilt. Darin wurde ihr auch bekanntgegeben, dass sie jederzeit ein Verfahren nach § 31 DSG 2000 einleiten könne.

In ihrer Stellungnahme vom 29. Mai 2007 führte die Beschwerdegegnerin aus, sie habe das Auskunftsbegehren der Beschwerdeführerin mit Schreiben vom 6. Februar 2007 und vom 27. März 2007 in Bezug auf den aktuellen Datenbestand vollständig und richtig beantwortet. So sei der Beschwerdeführerin mit Schreiben vom 27. März 2007 jeweils das Datum der letzten Rechnung, der letzten Zahlung, der letzten „Retoure“ sowie der letzten Bestellung mitgeteilt worden. Eine darüber hinausgehende Auskunft sonstiger Daten über vorangegangene Bestellungen/Rechnungen sei von der seitens der Beschwerdeführerin verlangten kostenlosen Auskunft im Sinne des § 26 Abs. 6 DSG 2000 nicht gedeckt. In Bezug auf diese Daten sei nämlich aufgrund erfolgter Auslagerung und Archivierung von historischen Daten der Beschwerdegegnerin ein einfacher Direktzugriff nicht möglich, sondern bedürfte es dazu eines zeitintensiven Recherchier- und Erhebungsaufwandes. Gleiches gelte auch für die Information über die Übermittlung der Daten der Beschwerdeführerin an die F*** GmbH. Auch diese sei erst über Nachfrage bei der F*** GmbH zugänglich gewesen und habe sich dabei herausgestellt, dass diese Übermittlung bereits im Jahr 2000 erfolgt sei. In Bezug auf die von der Beschwerdeführerin genannte „Kundenkategorisierung“ könne nur die Frage der Kundenart gemeint sein. Der Beschwerdeführerin sei aber aus der laufenden Korrespondenz im Rahmen ihrer langen Geschäftsbeziehung seit 1988 aufgrund der darin verwendeten Abkürzung „VT“ bekannt, dass sie ein „Vertrauenskunde“ sei. Dementsprechend sei die Beschwerdeführerin in der Auskunft auch darauf hingewiesen worden, dass die mitgeteilten Daten bei der Beschwerdegegnerin als Stammkundendaten gespeichert seien.

Dazu brachte die Beschwerdeführerin in ihrem Schreiben vom 6. Juni 2007 vor, dass die Auslagerung der Daten im Verantwortungs- und Entscheidungsbereich der Beschwerdegegnerin liege und diese daher auch die daraus resultierenden Kosten einer Auskunft nach dem Datenschutzgesetz berücksichtigen müsse. Aus diesem Umstand jedoch einen Rechtsgrund für eine mangelhafte Auskunft abzuleiten, würde jedes Auskunftsersuchen in Hinkunft in Frage stellen. Im Übrigen weitete die Beschwerdeführerin ihr Ersuchen an die Datenschutzkommission vom 6. Mai 2007 auf die K*** GmbH aus, weil diese ohne ihr Wissen Daten über sie speichere und offensichtlich Auskünfte an andere Firmen über sie erteile. Dieses Vorbringen wurde von der Datenschutzkommission als eigenständiges Verfahren nach § 30 DSG 2000 zur Zl. K211.836 protokolliert.

Mit am 23. Juli 2007 bei der Datenschutzkommission eingelangtem Schreiben ersuchte die Beschwerdeführerin die Datenschutzkommission um getrennte Behandlung der beiden Unternehmen (Beschwerdegegnerin und F*** GmbH) und um Erledigung mittels Bescheid. Die Datenschutzkommission hat daraufhin das bisher zur Zl. K211.808 eingeleitete Verfahren nach § 30 DSG 2000 als Beschwerdeverfahren gegen die Beschwerdegegnerin zur Zl. K121.362 und als Beschwerdeverfahren gegen die F*** GmbH zur Zl. K121.363 protokolliert.

Dazu wurde der Beschwerdegegnerin Parteiengehör gewährt.

Mit Schreiben vom 19. Dezember 2007 urgierte die Beschwerdeführerin, „insbesondere im Hinblick auf die unrechtsmäßige Datenweitergabe“ eine Entscheidung der Datenschutzkommission. Dabei hielt sie „nochmals fest, dass es sich um eine förmliche Beschwerde nach § 31 Abs. 2 DSG 2000“ handle.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand einerseits die Frage ist, ob die Beschwerdegegnerin der Beschwerdeführerin mit den Auskunftsschreiben vom 6. Februar 2007 und vom 27. März 2007 gesetzmäßig Auskunft über Bestell- und Rechnungsdaten, ihre Bewertung als Kunde („Kundenkategorisierung“) und allfällige Empfänger oder Empfängerkreise erteilt hat sowie andererseits, ob die Beschwerdeführerin durch die Übermittlung von sie betreffende schutzwürdige Daten durch die Beschwerdegegnerin an die K*** GmbH in ihrem Recht auf Geheimhaltung verletzt wurde.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Die Beschwerdeführerin richtete am 3. Februar 2007 im Wesentlichen folgendes Auskunftsbegehren an die Beschwerdegegnerin:

„.....

Gegenstand: Auskunft gemäß DSG 2000 (§§ 1, 26 u.a.)

....

Ich ersuche Sie unter Hinweis auf § 1 § 26 DSG 2000 und alle weiteren anwendbaren Bestimmungen des DSG 2000 um Beantwortung der folgenden Fragen:

Die Beschwerdegegnerin beantwortete dieses Auskunftsbegehren mit Schreiben vom 6. Februar 2007, worin der Beschwerdeführerin u.a. Auskunft darüber erteilt wurde, dass bei der Beschwerdegegnerin (näher konkretisierte) Adress- und Stammkundendaten der Beschwerdeführerin gespeichert seien. Eine Mitteilung oder ein Hinweis darauf, dass die Beschwerdegegnerin infolge einer Kostenpflicht nicht oder nicht vollständig Auskunft erteilt, findet sich darin nicht.

Mit Schreiben vom 15. Februar 2007 teilte die Beschwerdeführerin der Beschwerdegegnerin mit, dass sie bereits mit Schreiben vom 3. Februar 2007 eine „vollständige Beauskunftung nach dem Datenschutzgesetz“ begehrt habe. Da die Auskunft vom 6. Februar 2007 diese Kriterien allerdings nicht erfülle, ersuche sie nochmals um vollständige Auskunft.

Mit Schreiben vom 27. März 2007 gab die Beschwerdegegnerin der Beschwerdeführerin im Wesentlichen bekannt, dass – zusätzlich zur bereits erteilten Auskunft – auch Bestell- und Rechnungsdaten der Beschwerdeführerin „mit Angabe des Datums ihrer letzten Rechnung (29.12.2005; Euro 110,24), ihrer letzten Retoure (15.4.2004; Euro 159,99), ihrer letzten Zahlung (19.1.2006; Euro 110,24), ihres letzten Kontoauszugs (18.2.2004) sowie ihrer letzten Bestellung (28.12.2005)“ gespeichert seien. Zur Minimierung des Kreditrisikos bei Lieferwunsch auf offene Rechnung sei der Name, das Geburtsdatum und die Adresse der Beschwerdeführerin zwecks Einholung von Bonitätsinformationen an die K*** GmbH übermittelt worden. „Im Übrigen“ seien Daten der Beschwerdeführerin nicht an Dritte übermittelt worden. Eine Mitteilung oder ein Hinweis darauf, dass die Beschwerdegegnerin infolge einer Kostenpflicht nicht oder nicht vollständig Auskunft erteilt, findet sich aber auch in diesem Auskunftsschreiben nicht.

Sowohl die Auskunft vom 6. Februar 2007, als auch jene vom 27. März 2007 beinhalteten ausschließlich aktuellen Datenbestand der Beschwerdegegnerin; eine Auskunft über den laut Angaben der Beschwerdegegnerin zusätzlich vorhandenen Datenbestand wurde darin nicht erteilt.

Beweiswürdigung : Diese Feststellungen beruhen im Wesentlichen auf dem Vorbringen der Parteien, insbesondere den zitierten Urkunden (Auskunftsschreiben).

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

§ 26 Abs.1 bis 6 Datenschutzgesetz 2000, BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005 (DSG 2000) lautet unter der Überschrift „Auskunftsrecht“:

„ § 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen: Es ist in allen Fällen, in welchen keine Auskunft erteilt wird - also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Betroffenen verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.

(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Betroffene im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.“

2. rechtliche Schlussfolgerungen

Gemäß § 31 Abs. 2 DSG 2000 ist die Datenschutzkommission zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz nur dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet. Sofern sich die Beschwerdeführerin daher in ihrer Eingabe vom 6. Mai 2007 bzw. in ihrer Beschwerde vom 23. Juli 2007 (ausdrücklich nochmals in ihrem Schreiben vom 19. Dezember 2007) gegen die Zulässigkeit der Übermittlung ihrer Daten von der Beschwerdegegnerin an die K*** GmbH ausspricht und damit eine Verletzung in ihrem Recht auf Geheimhaltung durch einen Auftraggeber des privaten Bereichs geltend macht, war die Beschwerde wegen Unzuständigkeit der Datenschutzkommission im Spruchpunkt 1 zurückzuweisen.

Soweit die Beschwerdeführerin eine Unvollständigkeit der Auskunft darin erblickt, dass in der Auskunft keine Kundenbewertung durch die Beschwerdegegnerin („Kundenkategorisierung“) enthalten sei, ist ihr entgegen zu halten, dass ihr bereits in der Auskunft vom 6. Februar 2007 mitgeteilt wurde, dass die Beschwerdegegnerin (näher konkretisierte) Stammkundendaten der Beschwerdeführerin gespeichert habe. Eine diesbezügliche Verletzung in ihrem Recht auf Auskunft ist nicht erkennbar, da ihr somit zweifellos vollständig und auch in verständlicher Form Auskunft über ihre Kundenbewertung erteilt worden ist. Die Beschwerde war daher im Spruchpunkt 3 abzuweisen.

Die Beschwerdeführerin bringt aber auch vor, die Auskunft der Beschwerdegegnerin vom 6. Februar 2007 und vom 27. März 2007 sei im Hinblick auf Bestell- und Rechnungsdaten sowie Übermittlungsempfänger unvollständig. Dagegen wendet die Beschwerdegegnerin im Wesentlichen ein, eine über den aktuellen Datenbestand hinausgehende Auskunft sonstiger Daten sei von der seitens der Beschwerdeführerin verlangten kostenlosen Auskunft im Sinne des § 26 Abs. 6 DSG nicht gedeckt.

Dazu ist anzumerken, dass entgegen der Ansicht der Beschwerdegegnerin dem Auskunftsbegehren der Beschwerdeführerin vom 3. Februar 2007 eine Einschränkung auf den „kostenlosen“ Datenbestand der Beschwerdegegnerin nicht entnommen werden kann. Die Beschwerdeführerin hat vielmehr bereits zu Beginn ihres Auskunftsbegehrens den Gegenstand ihres Begehrens auf (uneingeschränkte) Auskunft nach § 26 DSG 2000 festgelegt. Aus der anschließend von ihr getätigten (unrichtigen) Wiedergabe des Gesetzestextes („Gemäß § 26 DSG 2000 hat die Auskunft binnen acht Wochen schriftlich, kostenlos und in allgemein verständlicher Form zu erfolgen“) kann demgegenüber nicht geschlossen werden, dass die Beschwerdeführerin lediglich Auskunft über den „kostenlosen“ Datenbestand der Beschwerdegegnerin haben wollte. Eine solche Ansichtsweise wäre im Übrigen auch mit dem (eindeutig klarstellenden) zweiten Auskunftsbegehren der Beschwerdeführerin, worin diese die Beschwerdegegnerin auf die mit Schreiben vom 3. Februar 2007 ersuchte „vollständige Beauskunftung nach dem Datenschutzgesetz“ aufmerksam gemacht hat, nicht in Einklang zu bringen.

Damit war die Beschwerdegegnerin aber aufgrund des Auskunftsbegehrens verpflichtet, der Beschwerdeführerin umfassend (also auch in Bezug auf einen allfällig vorhandenen „unaktuellen bzw. kostenpflichtigen“ Datenbestand) Auskunft über die von ihr begehrten Daten zu erteilen bzw. ihr gemäß § 26 Abs. 4 DSG 2000 mitzuteilen, dass sie infolge einer Kostenpflicht zunächst nicht oder nicht vollständig Auskunft erteilt . Erst diese Mitteilung hätte die Beschwerdegegnerin bei Vorliegen eines gerechtfertigten Kostenersatzbegehrens bis zur Leistung dieses Kostenersatzes von ihrer diesbezüglichen Auskunftspflicht befreit (siehe dazu § 26 Abs. 4 letzter Satz DSG 2000). Eine solche Mitteilung durch die Beschwerdegegnerin findet sich aber weder in ihrer Auskunft vom 6. Februar 2007 und vom 27. März 2007, noch wurde eine solche im Laufe des Verfahrens gegenüber der Beschwerdeführerin nachgeholt. Die Beschwerdeführerin hat somit dadurch, dass sie der Beschwerdeführerin nach § 26 Abs. 4 DSG 2000 nicht mitgeteilt hat, dass sie infolge einer angenommenen Kostenpflicht nicht oder nicht vollständig Auskunft erteilt, die Beschwerdeführerin in ihrem Recht auf Auskunft verletzt.

Es war daher spruchgemäß ein vollstreckbarer Leistungsauftrag unter Setzung einer angemessenen Frist (§ 59 Abs. 2 AVG) zu erlassen.