K121.363/0005-DSK/2008 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. BLAHA, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 29. Februar 2008 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde der Franziska R*** in *** E *** (Beschwerdeführerin) vom 23. Juli 2007 gegen die F*** GmbH (Beschwerdegegnerin), wegen Verletzung im Recht auf Auskunft gemäß den §§ 26 Abs 1, Abs. 4, Abs. 6 und 31 Abs. 1 des Datenschutzgesetzes 2000, BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005 (DSG 2000), wird wie folgt entschieden:
B e g r ü n d u n g:
A. Vorbringen der Parteien und Verfahrensgang
In ihrer Eingabe vom 6. Mai 2007 brachte die Beschwerdeführerin vor, die Beschwerdegegnerin habe ihr in ihrem Fax vom 14. Februar 2007 eine unvollständige Auskunft erteilt; ein näheres Vorbringen dazu wurde von der Beschwerdeführerin nicht erstattet. Die Beschwerdeführerin fühle sich daher in ihren gesetzlich gewährleisteten Rechten verletzt. Auch bemängelte die Beschwerdeführerin – wenn auch in diesem Verfahren nicht wesentlich – die Vollständigkeit von Auskunftsschreiben der V*** AG vom 6. Februar 2007 und vom 27. März 2007. Dieser Eingabe ist u.a. das an die Beschwerdegegnerin gerichtete Auskunftsbegehren der Beschwerdeführerin vom 3. Februar 2007 und das diesbezügliche Antwortschreiben der Beschwerdegegnerin vom 14. Februar 2007 angeschlossen.
Aufgrund dieser Eingabe wurde von der Datenschutzkommission zunächst ein Kontroll- und Ombudsmannverfahren sowohl gegen die Beschwerdegegnerin, als auch gegen die V*** AG nach § 30 DSG 2000 (K211.808) eingeleitet. Dies wurde der Beschwerdeführerin mit Schreiben vom 11. Mai 2007 mitgeteilt; weiters wurde ihr darin auch bekanntgegeben, dass sie jederzeit ein Verfahren nach § 31 DSG 2000 einleiten könne.
In ihrem Schreiben vom 30. Mai 2007 gab die Beschwerdegegnerin u. a. bekannt, sie habe neben den bereits in ihrer Auskunft vom 14. Februar 2007 der Beschwerdeführerin bekanntgegebenen Daten auch (näher dargestellte) Bestell- und Rechnungsdaten gespeichert. Als Herkunft der Adress- und Stammdaten der Beschwerdeführerin wurde diese selbst genannt.
Dagegen brachte die Beschwerdeführerin in ihrem Schreiben vom 14. Juni 2007 vor, diese Auskunft vom 30. Mai 2007 sei in Bezug auf die Herkunft ihrer Adressdaten nicht nachvollziehbar. Auch sei darin nicht vollständig Auskunft in Bezug auf Bestell- und Rechnungsdaten, „Kundeneinstufungsdaten“ sowie allfällige Übermittlungsempfänger erteilt worden.
Dazu brachte die Beschwerdegegnerin mit Schreiben vom 5. Juli 2007 vor, sie habe das Begehren der Beschwerdeführerin vom 3. Februar 2007 um „kostenlose Auskunftserteilung“ mit Schreiben vom 14. Februar 2007 und vom 30. Mai 2007 dem Gesetz entsprechend insofern vollständig und richtig beantwortet, als der Beschwerdeführerin sämtliche ihre Person betreffende im aktuellen Datenbestand der Beschwerdegegnerin gespeicherte Daten mitgeteilt worden seien. In Bezug auf die Herkunft der Adressdaten der Beschwerdeführerin führte die Beschwerdegegnerin aus, die Beschwerdeführerin habe im Rahmen einer Bestellung am 17. Juli 2000 ihre Adressdaten an die Beschwerdegegnerin übermittelt und seien aufgrund dieser Bestellung die Daten der Beschwerdeführerin gespeichert worden. Die Auskunft vom 14. Februar 2007, wonach als Herkunft der Adressdaten die V*** AG angegeben worden sei, habe mit dem „bestehenden und beauskunfteten aktuellen Datenbestand“ nichts zu tun. Richtig sei, dass – wie anhand archivierter Dokumente hausintern recherchiert werden konnte – die V*** AG im Jahr 2000 Kundennamen und Adressdaten für den Versand von Werbemitteln der Beschwerdegegnerin zur Verfügung gestellt habe. Die in diesem Zusammenhang von der V*** AG zur Verfügung gestellten Daten würden aber dem aktuell verarbeiteten und gespeicherten Datenbestand nicht zugrunde liegen und könnten mittels Direktzugriff ohne weiteren Rechercheaufwand nicht abgerufen werden. Die Daten aus dem aktuellen Datenbestand – welche der Beschwerdeführerin mit Schreiben vom 30. Mai 2007 beauskunftet worden seien – würden allein von der Beschwerdeführerin stammen.
Mit am 23. Juli 2007 bei der Datenschutzkommission eingelangtem Schreiben vom 22. Juli 2007 bemängelte die Beschwerdeführerin nochmals die Vollständigkeit der bisher erteilten Auskunft in Bezug auf „Bestell-, Finanz-, Kundeneinstufungsdaten und nicht zuletzt Daten über jene Personen welche in meine Daten Einblick genommen“ hätten. Gleichzeitig ersuchte sie die Datenschutzkommission das – aufgrund ihrer Eingabe vom 6. Mai 2007 bisher als Kontroll- und Ombudsmannverfahren nach § 30 DSG 2000 geführte – Verfahren mittels Bescheid zu erledigen.
Die Datenschutzkommission hat daraufhin das bisher zur Zl. K211.808 eingeleitete Verfahren nach § 30 DSG 2000 als Beschwerdeverfahren gegen die Beschwerdegegnerin zur Zl. K121.363 und als Beschwerdeverfahren gegen die V*** AG zur Zl. K121.362 protokolliert.
Dazu wurde der Beschwerdegegnerin Parteiengehör gewährt.
B. Beschwerdegegenstand
Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin der Beschwerdeführerin auf ihr Begehren vom 3. Februar 2007 vollständig und richtig Auskunft erteilt hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Die Beschwerdeführerin richtete am 3. Februar 2007 im Wesentlichen folgendes Auskunftsbegehren an die Beschwerdegegnerin:
„.....
Gegenstand: Auskunft gemäß DSG 2000 (§§ 1, 26 u.a.)
....
Ich ersuche Sie unter Hinweis auf § 1 § 26 DSG 2000 und alle weiteren anwendbaren Bestimmungen des DSG 2000 um Beantwortung der folgenden Fragen:
Die Beschwerdegegnerin beantwortete dieses Auskunftsbegehren mit Schreiben vom 14. Februar 2007. Darin wurde der Beschwerdeführerin u.a. Auskunft darüber erteilt, dass bei der Beschwerdegegnerin (näher konkretisierte) Adress- und Stammkundendaten der Beschwerdeführerin gespeichert seien. Auch wurde der Beschwerdeführerin darin bekannt gegeben, dass die Adressdaten der Beschwerdeführerin von der V*** AG übermittelt worden seien. Eine Mitteilung oder ein Hinweis darauf, dass die Beschwerdegegnerin infolge einer Kostenpflicht nicht oder nicht vollständig Auskunft erteilt, findet sich darin nicht.
Aufgrund der Eingabe der Beschwerdeführerin vor der Datenschutzkommission erteilte die Beschwerdegegnerin mit Schreiben vom 30. Mai 2007 – zusätzlich zur bereits erteilten – eine ergänzende Auskunft. Darin führte sie aus, dass auch Bestell- und Rechnungsdaten der Beschwerdeführerin „mit Angabe des Datums der letzten Rechnung (24.01.07 Euro 9,95), der letzten Retoure (13.02.07 Euro 9,95), der letzten Zahlung (04.08.06 Euro 30,00) sowie der letzten Bestellung (27.03.07)“ gespeichert seien. Zur Minimierung des Kreditrisikos bei Lieferwunsch auf offene Rechnung sei der Name, das Geburtsdatum und die Adresse der Beschwerdeführerin zwecks Einholung von Bonitätsinformationen an die K*** GmbH übermittelt worden. „Im Übrigen“ seien Daten der Beschwerdeführerin in den letzten drei Jahren nicht an Dritte übermittelt worden. Die Adress- und Stammkundendaten seien der Beschwerdegegnerin von Seiten der Beschwerdeführerin im Rahmen einer Bestellung selbst übermittelt worden. Eine Mitteilung oder ein Hinweis darauf, dass die Beschwerdegegnerin infolge einer Kostenpflicht nicht oder nicht vollständig Auskunft erteilt, findet sich auch in diesem Auskunftsbegehren nicht.
Sowohl in der Auskunft vom 14. Februar 2007, als auch in jener vom 30. Mai 2007 wurde keine Auskunft über den zusätzlich vorhandenen Datenbestand erteilt.
Beweiswürdigung : Diese Feststellungen beruhen im Wesentlichen auf dem Vorbringen der Parteien, insbesondere den zitierten Urkunden (Auskunftsschreiben).
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
§ 26 Abs.1 bis 6 des Datenschutzgesetzes 2000, BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005 (DSG 2000) lautet unter der Überschrift „Auskunftsrecht“:
„ § 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen: Es ist in allen Fällen, in welchen keine Auskunft erteilt wird - also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Betroffenen verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.
(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Betroffene im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.“
2. rechtliche Schlussfolgerungen
Zunächst ist festzuhalten, dass die Datenschutzkommission eine – von der Beschwerdeführerin behauptete – Unrichtigkeit der erteilten Auskunft in Bezug auf die Herkunft ihrer Daten nicht erkennen kann. Die Beschwerdeführerin bestreitet aber auch gar nicht, dass sie ihre Daten (im Rahmen einer Bestellung) der Beschwerdegegnerin bekannt gegeben hat. Auch zieht sie eine Übermittlung ihrer Daten von der V*** AG nicht in Zweifel. Vielmehr bringt die Beschwerdeführerin dazu vor, die Auskunft vom 14. Februar 2007 stünde in Bezug auf die Herkunft ihrer Daten mit jener vom 30. Mai 2007 in Widerspruch. Mit diesem Vorbringen übersieht sie aber, dass die Auskunft vom 30. Mai 2007 eine Ergänzung zu jener vom 14. Februar 2007 darstellt und daraus vielmehr hervorgeht, dass ihre Daten sowohl von der V*** AG, als auch von ihr selbst an die Beschwerdegegnerin übermittelt wurden. Eine Übermittlung von ein und denselben Daten an eine Person durch mehrere Personen kann aber keinesfalls als ungewöhnlich angesehen werden, weshalb die Beschwerde in diesem Punkt als unbegründet abzuweisen war.
Soweit die Beschwerdeführerin eine Unvollständigkeit der Auskunft darin erblickt, dass in der Auskunft keine Kundenbewertung durch die Beschwerdegegnerin („Kundenkategorisierung bzw. Kundeneinstufung“) enthalten sei, ist ihr entgegen zu halten, dass ihr bereits in der Auskunft vom 14. Februar 2007 mitgeteilt wurde, dass die Beschwerdegegnerin (näher konkretisierte) Stammkundendaten der Beschwerdeführerin gespeichert habe. Eine diesbezügliche Verletzung in ihrem Recht auf Auskunft ist, da ihr somit zweifellos vollständig und auch in verständlicher Form Auskunft über ihre Kundenbewertung erteilt worden ist, nicht erkennbar. Die Beschwerde war daher in diesem Punkt abzuweisen.
Die Beschwerdeführerin bringt aber auch vor, die Auskunft der Beschwerdegegnerin vom 14. Februar 2007 und vom 30. Mai 2007 sei im Hinblick auf Bestell- und Rechnungsdaten („Finanzdaten“) sowie allfällige Übermittlungsempfänger („Personen, welche in meine Daten Einblick genommen haben“) unvollständig.
Dagegen wendet die Beschwerdegegnerin im Wesentlichen ein, sie habe der Beschwerdeführerin aufgrund ihres Ersuchens um kostenlose Auskunftserteilung sämtliche ihre Person betreffende Daten laut aktuellem Datenbestand mitgeteilt und somit vollständig Auskunft erteilt.
Dazu ist anzumerken, dass entgegen der Ansicht der Beschwerdegegnerin dem Auskunftsbegehren der Beschwerdeführerin vom 3. Februar 2007 eine Einschränkung auf den „kostenlosen“ Datenbestand der Beschwerdegegnerin nicht entnommen werden kann. Die Beschwerdeführerin hat vielmehr bereits zu Beginn ihres Auskunftsbegehrens den Gegenstand ihres Begehrens auf (uneingeschränkte) Auskunft nach § 26 DSG 2000 festgelegt. Aus der anschließend von ihr getätigten (unrichtigen) Wiedergabe des Gesetzestextes („Gemäß § 26 DSG 2000 hat die Auskunft binnen acht Wochen schriftlich, kostenlos und in allgemein verständlicher Form zu erfolgen“) kann demgegenüber nicht geschlossen werden, dass die Beschwerdeführerin lediglich Auskunft über den „kostenlosen“ Datenbestand der Beschwerdegegnerin haben wollte.
Damit war die Beschwerdegegnerin aber aufgrund des Auskunftsbegehrens verpflichtet, der Beschwerdeführerin umfassend (also auch in Bezug auf einen allfälligen „unaktuellen bzw. kostenpflichtigen“ Datenbestand) Auskunft über die von ihr begehrten Daten zu erteilen bzw. ihr gemäß § 26 Abs. 4 DSG 2000 mitzuteilen, dass sie infolge einer Kostenpflicht nicht oder nicht vollständig Auskunft erteilt . Erst diese Mitteilung hätte die Beschwerdegegnerin bei Vorliegen eines gerechtfertigten Kostenersatzbegehrens bis zur Leistung dieses Kostenersatzes von ihrer diesbezüglichen Auskunftspflicht befreit (siehe dazu § 26 Abs. 4 letzter Satz DSG 2000). Eine solche Mitteilung durch die Beschwerdegegnerin findet sich aber weder in ihrer Auskunft vom 6. Februar 2007 und vom 27. März 2007, noch wurde eine solche im Laufe des Verfahrens gegenüber der Beschwerdeführerin nachgeholt. Es kann daher im vorliegenden Fall dahingestellt bleiben, ob die Auskunft der Beschwerdegegnerin den gesamten aktuellen (kostenlosen) Datenbestand der Beschwerdeführerin umfasst hat oder nicht, weil sie bereits dadurch, dass sie der Beschwerdeführerin nach § 26 Abs. 4 DSG 2000 nicht mitgeteilt hat, dass sie infolge einer angenommenen Kostenpflicht nicht oder nicht vollständig Auskunft erteilt, die Beschwerdeführerin in ihrem Recht auf Auskunft verletzt hat.
Es war daher spruchgemäß ein vollstreckbarer Leistungsauftrag unter Setzung einer angemessenen Frist (§ 59 Abs. 2 AVG) zu erlassen.