K121.348/0007-DSK/2008 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. ZIMMER, Dr. STAUDIGL, Dr. ROSENMAYR-KLEMENZ, Dr. SOUHRADA-KIRCHMAYER und Dr. BLAHA sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 25. April 2008 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Johannes J*** (Beschwerdeführer) in A***, vertreten durch die Vereinigung für Datenschutz D*** in **** A***, vom 29. Oktober 2007 gegen die X-MOBILFUNK Gesellschaft m.b.H. (Beschwerdegegnerin) in **** A*** wegen Verletzung im Recht auf Auskunft in Folge unrichtiger und unvollständiger Beantwortung des Auskunftsbegehrens vom 25. September 2007 betreffend Datenverwendung für Zwecke der Bonitätsprüfung wird gemäß den §§ 26 Abs. 1, 3 und 4 sowie 49 Abs. 3 iVm 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idgF, entschieden:

B e g r ü n d u n g:

A. Vorbringen der Parteien

Der Beschwerdeführer behauptet eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin sein Auskunftsbegehren vom 25. September am 17. Oktober 2007 dahingehend negativ beantwortet habe, dass zu seiner Person keine personenbezogenen Daten gespeichert seien. Der Beschwerdeführer verwies dazu auf das VwGH-Erkenntnis Zl. 2005/06/0111 und den Bescheid der Datenschutzkommission in der Sache Zl. K121.292 und führte aus, die Beschwerdegegnerin sei als datenschutzrechtlicher Auftraggeber auch zu Auskünften über Daten verpflichtet, die ein Dienstleister in ihrem Auftrag speichere.

Die Beschwerdegegnerin gab dazu am 5. Dezember 2007 (verspätet) eine Stellungnahme ab. Sie verwies auf die Bestimmungen des TKG 2003, die nach ihrer Ansicht die Verarbeitung personenbezogener Daten durch Telekommunikationsunternehmen vorrangig regelten (§ 92 Abs. 1 TKG 2003) und dabei den Bestimmungen des DSG 2000 als lex specialis vorgehen würden. Da der Beschwerdeführer kein Kunde und Teilnehmer im Netz der Beschwerdegegnerin sei, würden über ihn auch keine (Stamm )Daten iSd TKG 2003 verarbeitet. Vor einem Vertragsabschluss führe die Beschwerdegegnerin regelmäßig eine Bonitätsprüfung durch, für deren Zweck Daten des Vertragswerbers an die A***/O***-Auskunftei Ges.m.b.H. „übermittelt“ würden, die mit Hilfe der von ihr verarbeiteten Bonitätsdaten einen (Zahlen-, Scoring )Wert errechne, auf dessen Basis die Beschwerdegegnerin nach einem „Ampelsystem“ ihren Mitarbeitern die Ermächtigung zum Vertragsabschluss (grün), weitere manuelle Prüfungen (gelb) oder die Ablehnung des Kunden (rot) signalisiere. Nach einer Ablehnung eines Vertragsabschlusses würden sämtliche Daten betreffend diesen „Aktivierungsprozess“ gemäß § 97 Abs. 1 TKG 2003 umgehend gelöscht.

Die A***/O***-Auskunftei Ges.m.b.H. teilte auf Aufforderung der Datenschutzkommission mit, man habe am 21. Mai 2007 im Auftrag der Beschwerdegegnerin eine Bonitätsprüfung durchgeführt, dafür auch Daten der „Auskunftei B***“ (Inhaber Peter B***) herangezogen und betreffend den Beschwerdeführer einen Scoringwert von „36“ errechnet. Am 23. Mai 2007 habe die Beschwerdegegnerin nochmals die gespeicherten Daten des Beschwerdeführers abgerufen.

Nach beidseitigem Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens mit Schreiben der Datenschutzkommission vom 21. Februar 2008 brachte der Beschwerdeführer mit Stellungnahme vom 4. März 2008 vor, die Ausführungen aller Beteiligter (einschließlich der Datenschutzkommission) seien in sich widersprüchlich und hätten offenbar das Ziel, ihn in seinem „Betroffenenrecht“ auf Auskunft nach der Richtlinie 95/46/EG zu schmälern. Die Beschwerdegegnerin habe in ihrer Stellungnahme zugestanden, dass der Scoringwert von der A***/O***-Auskunftei Ges.m.b.H. errechnet und übermittelt werde, daher diese Gesellschaft diesbezüglich Auftraggeber sei. Im Verfahren Zl. K121.328 habe die Datenschutzkommission jedoch entschieden, dass die A***/O***-Auskunftei Ges.m.b.H. diesbezüglich nicht Auftraggeber sondern Dienstleister sei – und als solcher daher nicht zur Auskunft verpflichtet. Ein Ergebnis, wonach der Scoringwert nur im Zeitpunkt des Vertragsantrags vorhanden war, wäre „eine völlig willkürliche und tiefgreifende Beschneidung der Betroffenenrechte.“ Die Negativauskunft der Beschwerdegegnerin sei auch im Licht der Gesetzesauslegung durch die Datenschutzkommission deswegen unrichtig gewesen, als die Beschwerdegegnerin auch über die Daten, die betreffend die durchgeführte Bonitätsprüfung bei der A***/O***-Auskunftei Ges.m.b.H. als Dienstleisterin gespeichert sind, Auskunft hätte geben müssen. Und solche Daten waren gemäß den Angaben der A***/O***-Auskunftei Ges.m.b.H. noch gespeichert, u.a. eben der Scoringwert.

Die Beschwerdegegnerin hat keine weitere Stellungnahme abgegeben.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin auf das Auskunftsbegehren des Beschwerdeführers vom 25. September 2007 hinsichtlich im Jahr 2007 durchgeführter Bonitätsprüfungen gesetzmäßig Auskunft erteilt hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer wollte am 21. Mai 2007 mit der Beschwerdegegnerin einen Vertrag über Telekommunikationsdienstleistungen schließen. Die Beschwerdegegnerin gab bei der A***/O***-Auskunftei Ges.m.b.H. (im Folgenden auch kurz: A***/O***-Auskunftei) eine Bonitätsprüfung des Beschwerdeführers in Auftrag und überließ dieser für diesen Zweck die Identitätsdaten des Beschwerdeführers (insbesondere Namen, Wohnadresse und Geburtsdatum). Die A***/O***-Auskunftei führte als Dienstleisterin der Beschwerdegegnerin eine Identitätsprüfung durch und errechnete auf Grundlage der von ihr gespeicherten oder von ihr aus Datenwendungen Dritter ermittelten bonitätsrelevanten Daten des Beschwerdeführers nach einem von der Beschwerdegegnerin festgelegten Verfahren einen Scoring-Wert von „36“. Die Beschwerdegegnerin traf auf der Grundlage dieses Scoring-Werts die Entscheidung, den Beschwerdeführer als Kunden abzulehnen. Daten betreffend diese Bonitätsprüfung, darunter der Scoring-Wert, waren Anfang Jänner 2008 noch bei A***/O***-Auskunftei gespeichert.

Beweiswürdigung : Diese Feststellungen beruhen auf dem hinsichtlich des Sachverhalts übereinstimmenden Vorbringen der Parteien und der A***/O***-Auskunftei (insbesondere Stellungnahme der Beschwerdegegnerin vom 5. Dezember 2007 und der A***/O***-Auskunftei vom 15. Jänner 2008). Die Feststellung, dass der für den Beschwerdeführer anlässlich der Bonitätsprüfung errechnete Scoring-Wert Anfang Jänner 2008 noch abrufbar war, ergibt sich zwingend daraus, dass ihn die A***/O***-Auskunftei in ihrem Schreiben an die Datenschutzkommission vom 15. Jänner 2008 angibt.

Der Beschwerdeführer richtete am 25. September 2007 ein Auskunftsbegehren (welche Daten, woher sie ermittelt, an wen übermittelt, zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet und mit welchen Daten sie verknüpft werden, einschließlich der Frage nach herangezogenen Dienstleistern sowie nach automatisierten Einzelentscheidungen gemäß § 49 DSG 2000) unter ausdrücklicher Bezugnahme auf die möglichen Datenermittlungen („Datenabfragen“) bei Wirtschaftsauskunftsdiensten sowie auf die Errechnung von Scoring-Werten durch „A***/O***-Auskunftei“ an die Beschwerdegegnerin. Dieses wurde am 17. Oktober 2007 dahingehend beantwortet, dass „keine personenbezogenen Daten unter dem Namen Johannes J***, geb. 12. **.19**, T***-Ring ***/* in **** A*** in unserem System gespeichert sind.“ Diese Auskunft wurde später nicht mehr ergänzt.

Beweiswürdigung : Diese Feststellungen beruhen auf Kopien der entsprechenden Schreiben, die der Datenschutzkommission vorliegen (Beilagen zur Beschwerde vom 29. Oktober 2007).

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

§ 26 Abs. 1 bis 4 DSG 2000 lautet unter der Überschrift „Auskunftsrecht“:

„ § 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“

§ 49 DSG 2000 lautet unter der Überschrift „Automatisierte Einzelentscheidungen“

„ § 49 . (1) Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.

(2) Abweichend von Abs. 1 darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn

(3) Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen.“

§ 152 der Gewerbeordnung 1994 (GewO 1994), BGBl. Nr. 194/1994 idgF, lautet samt Überschrift:

"Auskunfteien über Kreditverhältnisse

§ 152 . (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.

(2) Die im Abs. 1 genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren. Die Frist von sieben Jahren läuft vom Schluss des Kalenderjahres, in dem der Schriftwechsel erfolgte oder die letzte Eintragung in das Geschäftsbuch vorgenommen wurde. Im Falle der Endigung der Gewerbeberechtigung sind der Schriftwechsel und die Geschäftsbücher zu vernichten, auch wenn der Zeitraum von sieben Jahren noch nicht verstrichen ist."

§ 92 Abs. 1 bis 3 Z 3 Telekommunikationsgesetz 20003 (TKG 2003), BGBl I 70/2003 idgF, lautet unter den Überschriften „Kommunikationsgeheimnis, Datenschutz“ und „Allgemeines“:

„ § 92 . (1) Soweit dieses Bundesgesetz nicht anderes bestimmt, sind auf die in diesem Bundesgesetz geregelten Sachverhalte die Bestimmungen des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, anzuwenden.

(2) Die Bestimmungen der Strafprozessordnung (StPO), BGBl. Nr. 631/1975, bleiben durch die Bestimmungen dieses Abschnittes unberührt.

(3) In diesem Abschnitt bezeichnet unbeschadet des § 3 der Begriff

§ 97 TKG 2003 lautet:

„ § 97 . (1) Stammdaten dürfen unbeschadet der §§ 90 Abs. 6 und 96 Abs. 2 von Betreibern nur für folgende Zwecke ermittelt und verarbeitet werden:

(2) Stammdaten sind spätestens nach Beendigung der vertraglichen Beziehungen mit dem Teilnehmer vom Betreiber zu löschen. Ausnahmen sind nur soweit zulässig, als diese Daten noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflichtungen zu erfüllen.“

2. rechtliche Schlussfolgerungen

Die Beschwerde ist berechtigt.

Die A***/O***-Auskunftei Ges.m.b.H. betreibt ein Zugangsportal zu Bonitätsdatenbanken, für die sie zum Teil selbst Auftraggeber ist, zum Teil jedoch nur Dienstleister in Form der Bereitstellung des Zugangsportals. Die Einsichtnahme von Kunden der A***/O***-Auskunftei Ges.m.b.H. (wie der Beschwerdegegnerin) in Bonitätsdaten über das Zugangsportal führt zu einer Übermittlung der Daten an diese Kunden, die damit verantwortliche Auftraggeber einer allfälligen Weiterverwendung dieser Daten werden.

Da die Entscheidung, ob und wie Bonitätsdaten für ein Scoring-System verwendet werden, von den Kunden der A***/O***- Auskunftei (wie die Beschwerdegegnerin) getroffen wird, trifft diese Kunden die Verantwortung für die Art und Weise der Verarbeitung und die Angemessenheit des Systems. Der logische Ablauf muss deshalb so gesehen werden, dass von der A***/O***- Auskunftei Ges.m.b.H. alle erforderlichen Daten an das Scoring-System (und damit an seinen Eigentümer - die Beschwerdegegnerin) übermittelt werden. Die Unternehmen, die Eigentümer eines Scoring-Systems sind, werden ab dem Augenblick, in dem die Rohdaten in das Scoring-System eingespeist werden, zu Auftraggebern im Sinne des Datenschutzgesetzes. Damit ist auch die Beschwerdegegnerin ab diesem Zeitpunkt der Einspeisung Auftraggeber. Die Errechnung des Scoring-Wertes kann nun von der Beschwerdegegnerin selbst durchgeführt werden oder als Dienstleistung in Auftrag gegeben werden. Im vorliegenden Fall wurde die A***/O***-Auskunftei Ges.m.b.H. mit der Errechnung von Scoring-Werten beauftragt. Solange die Beschwerdegegnerin das System vorgibt, nach dem die Errechnung vorzunehmen ist, ist sie Auftraggeber dieser Datenverarbeitung, wobei ihr freilich - logisch vorgelagert - die A***/O***-Auskunftei Ges.m.b.H. die notwendigen Bonitätsdaten übermittelt hat.

Daraus ergibt sich, dass die Bedeutung eines von der A***/O***-Auskunftei Ges.m.b.H. als Dienstleister errechneten Scoring-Wertes nicht von ihr, sondern von der Beschwerdegegnerin als Auftraggeber dem Auskunftswerber gemäß § 26 DSG 2000 zu beauskunften ist. Dabei ist jedermann berechtigt, die Bonität eines möglichen Vertragspartners für sich zu beurteilen und dafür allgemein zugängliche Quellen heranzuziehen. Die Datenbanken der Gewerbetreibenden nach § 152 GewO 1994 stellen solche allgemein zugänglichen Quellen für Bonitätsinformationen dar.

Es steht auch jedem Auftraggeber das Recht zu, einen Dienstleister heranzuziehen (§ 10 Abs. 1 DSG 2000), sofern die Bestimmungen der §§ 10 und 11 DSG 2000 beachtet werden (vgl. dazu bei sehr ähnlichem Sachverhalt den auch vom Beschwerdeführer sinngemäß zitierten Bescheid der Datenschutzkommission vom 14. September 2007, GZ K121.292/0011-DSK/2007, RIS).

Aus dieser Gesetzesauslegung ergibt sich jedoch ebenso zwingend , dass die Beschwerdegegnerin für die Datenverwendung für Zwecke der von ihr in Auftrag gegebenen Bonitätsprüfung durch A***/O***-Auskunftei verantwortlich ist. Zu den entsprechenden Pflichten gehört es insbesondere, die rechtzeitige Löschung von Daten (§ 27 Abs. 1 Z 1 DSG 2000) zu veranlassen und die Erfüllung des Auskunftsrechts eines Betroffenen (§ 26 Abs. 1 und 4 DSG 2000) sicherzustellen. Der Beschwerdeführer hat dabei seine in Frage kommende Mitwirkungsobliegenheit nach § 26 Abs. 3 DSG 2000 erfüllt und sein Auskunftsbegehren präzise auf die Frage der Heranziehung der A***/O***-Auskunftei als Dienstleisterin eingegrenzt, sodass der Beschwerdegegnerin durch die Beantwortung des Auskunftsbegehrens auch kein ungerechtfertigter oder unverhältnismäßiger Aufwand entstehen könnte.

Da es sich bei einer Bonitätsprüfung der hier festgestellten Art um ein System handelt, das den Betroffenen einer Automatisierten Einzelentscheidung gemäß § 49 Abs. 2 Z 2 DSG 2000 unterwirft (Entscheidung im Rahmen eines Vertragsabschlusses, vgl. den Bescheid der Datenschutzkommission vom 12. Dezember 2007, GZ.:

K121.313/0016-DSK/2007, RIS), trifft die Beschwerdegegnerin überdies die besondere Auskunftspflicht gemäß § 49 Abs. 3 DSG 2000, nämlich die Pflicht, dem Betroffenen den logischen Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen. Wie im Sachverhalt festgestellt, wurde die entsprechende Auskunft vom Beschwerdeführer auch ausdrücklich eingefordert.

Die Beschwerdegegnerin hat nun eingewendet, sie speichere keine Daten über den Beschwerdeführer in ihrem System und dürfe dies gemäß der in § 97 Abs. 2 TKG 2003 ausdrücklich angeordneten Löschungspflicht auch gar nicht tun, da es sich bei der Bonitätsbewertung eines möglichen Kunden um ein Stammdatum gemäß § 92 Abs. 3 Z 3 lit f TKG 2003 handle.

Damit übersieht die Beschwerdegegnerin jedoch zweierlei: zum einen ist sie gemäß dem oben Ausgeführten eben nicht nur für die Daten in ihrem System, das heißt ihren Datenverarbeitungsanlagen verantwortlich, sondern war bei einer Auskunftserteilung im gegebenen Zusammenhang verpflichtet, auch das System der A***/O***-Auskunftei als ihrer Dienstleisterin mit einzubeziehen. Zum anderen stellt das Auskunftsrecht des § 26 Abs. 1 DSG 2000 gerade nicht darauf ab, ob Daten rechtmäßig gespeichert sind. Da es einer der Zwecke des Auskunftsrechts ist, dem Betroffenen die Überprüfung der Rechtmäßigkeit der Datenverwendung zu ermöglichen (vgl. dazu die ausführlichen Erwägungen unter dem Gesichtspunkt der Übermittlung im Bescheid der Datenschutzkommission vom 3. Oktober 2007, GZ: K121.290/0015- DSK/2007, RIS), muss eine datenschutzrechtliche Auskunft auch rechtswidrig verarbeitete Daten umfassen. Dies ergibt sich besonders deutlich aus der gemäß § 26 Abs. 7 DSG 2000 ab Kenntnisnahme vom Auskunftsbegehren geltenden Löschungssperre, die den Auftraggeber bei Strafe (§ 52 Abs. 1 Z 4 DSG 2000) daran hindert, eine Datenanwendung vor Auskunftserteilung etwa durch Löschung unrichtiger oder keinem gesetzmäßigen Zweck (mehr) entsprechender Daten zu sanieren.

Da das Ermittlungsverfahren ergeben hat, dass A***/O***- Auskunftei weiterhin unter der auftraggeberischen Verantwortung der Beschwerdegegnerin (siehe oben) Daten betreffend die Bonitätsbewertung des Beschwerdeführers verarbeitet, nämlich jedenfalls den errechneten Scoring-Wert von „36“ speichert, entspricht die von der Beschwerdegegnerin erteilte Auskunft, keine Daten des Beschwerdeführers zu verarbeiten, als inhaltlich unrichtige Auskunft nicht dem Gesetz und hat somit den Beschwerdeführer in seinem Recht auf Auskunft über eigene Daten verletzt. Alles andere würde auch ein Rechtsschutzdefizit zu tage fördern, kann doch der Betroffene beim Dienstleister A***/O***-Auskunftei sein Auskunftsrecht nicht erfolgreich durchsetzen.

Hinzu kommt, dass die Beschwerdegegnerin auch verpflichtet ist, jeder Person, die eine entsprechende Betroffenenrolle bescheinigt (etwa, eventuell nach Geltendmachung ihrer Mitwirkungsobliegenheit gemäß § 26 Abs. 3 DSG 2000, ihre Identität sowie Zeit und Ort des [versuchten] Vertragsabschlusses samt Bonitätsprüfung angeben kann), den logischen Ablauf der automatisierten Entscheidungsfindung im von ihr eingerichteten System zur Bonitätsprüfung in allgemein verständlicher Form darzulegen. Dies gilt selbst dann, wenn gemäß § 92 Abs. 3 Z 3 lit f iVm § 97 Abs. 2 TKG 2003 keine Daten zur vorgenommenen Bonitätsprüfung dieser Person mehr verarbeitet werden. Denn es handelt sich, wie schon oben ausgeführt, um eine besondere Auskunftspflicht, die ausnahmsweise unabhängig vom Tatbestand der tatsächlichen dauerhaften Verarbeitung, insbesondere Speicherung personenbezogener Daten besteht.

Auch dieses Recht des Beschwerdeführers hat die Beschwerdegegnerin durch ihre diesbezüglich inhaltlich unvollständige Auskunft vom 17. Oktober 2007 verletzt.

Da § 40 Abs. 4 DSG 2000 nur für Auftraggeber des öffentlichen Bereichs gilt, war gegenüber der Beschwerdegegnerin, die als Gesellschaft mit beschränkter Haftung zum privaten Bereich zu zählen ist, ein Leistungsbescheid zu erlassen, der im Fall der Nichterfüllung auch durch die zuständige Vollstreckungsbehörde zwangsweise durchgesetzt werden kann (vgl. Bescheid der Datenschutzkommission vom 27. September 2005, GZ: K073.025/0007-DSK/2005; RIS).