K121.386/0009-DSK/2008 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Dr. SOUHRADA-KIRCHMAYER, Mag. ZIMMER, Mag. HUTTERER und Dr. ROSENMAYR-KLEMENZ sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 22. Oktober 2008 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Wolfram R*** (Beschwerdeführer) aus B*** vom 25. April 2008 gegen die S*** Bank AG (Beschwerdegegnerin), vertreten durch Dr. Michael W*** und Dr. Philipp K***, Rechtsanwälte in **** A***, wegen Verletzung im Recht auf Auskunft in Folge mangelhafter Beantwortung des Auskunftsbegehrens vom 17. März 2008, wird gemäß den §§ 26 Abs. 1 und 4 und 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idgF, entschieden:
- Die Beschwerde wird abgewiesen.
B e g r ü n d u n g:
A. Vorbringen der Parteien
Der Beschwerdeführer behauptet, zu diesem Zeitpunkt noch anwaltlich vertreten, in seiner Eingabe vom 25. April 2008 (neben einer ausdrücklichen Beschwerde gemäß § 31 Abs. 1 DSG 2000 umfasst dieser Schriftsatz auch eine Eingabe, in der Verletzungen des Rechts auf Geheimhaltung durch die Beschwerdegegnerin sowie durch Dr. Dieter N*** behauptet werden, siehe Kontroll- und Ombudsmannverfahren Zl. K211.952 der Datenschutzkommission) eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin (sowie der anfangs als der Zweitbeschwerdegegner geführte Dr. N***, bezeichnet als verantwortlicher Geschäfts- und Filialleiter der (Erst )Beschwerdegegnerin) ein von den Rechtsanwälten des Beschwerdeführers am 17. März 2008 gestelltes datenschutzrechtliches Auskunftsbegehren nicht hinreichend beantwortet habe.
Die Beschwerdegegnerin wandte dagegen, ebenfalls (während des gesamten Beschwerdeverfahrens) anwaltlich vertreten, mit Stellungnahme vom 19. Mai 2007 ein, das betreffende Schreiben der Rechtsanwälte des Beschwerdeführers, das im Übrigen nur an die (Erst ) Beschwerdegegnerin gerichtet gewesen sein und nur dieser gegenüber Wirkungen entfalten konnte, sei weder der Form – die Rechtsanwälte des Beschwerdeführers hätten keine Vollmacht nachgewiesen – noch dem Inhalt nach ein taugliches Auskunftsbegehren gemäß § 26 DSG 2000 gewesen. Es nehme keinerlei Bezug auf das datenschutzrechtliche Auskunftsrecht, überdies fänden die gestellten Fragen in diesem Auskunftsrecht inhaltlich keine Deckung.
Der Beschwerdeführer replizierte darauf in einer weiteren Äußerung vom 21. Juli 2007 und legte dar, warum seiner Meinung nach kein urkundlicher Nachweis einer Anwaltsvollmacht für ein datenschutzrechtliches Auskunftsbegehren erforderlich und warum das Schreiben vom 17. März 2008 als solches zu erkennen gewesen sei. Unter einem schränkte der Beschwerdeführer das Beschwerdebegehren auf die (Erst )Beschwerdegegnerin ein.
Am 4. September 2008 gaben die Rechtsanwälte des Beschwerdeführers das Ende des Vollmachtsverhältnisses bekannt.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin auf das Schreiben der Rechtsanwälte des Beschwerdeführers vom 17. März 2008 im Lichte des datenschutzrechtlichen Auskunftsrechts gesetzmäßig reagiert hat.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Rechtsanwalt Dr. Ferdinand Ä*** richtete am 17. März 2008 auf Briefpapier der Kanzlei M*** Ä***, Rechtsanwälte in **** B***, unter dem Zeichen 2008-0***/**/IN/2, folgendes Schreiben (Einschreibbrief Nr. RR*11*84**4AT des Postamts **** B***) an die Beschwerdegegnerin (Unterstreichungen durch die Datenschutzkommission):
„Betrifft: Meine Mandantschaft: Wolfram R***
Verletzung des Datenschutzes
Sehr geehrte Damen und Herren!
In obiger Angelegenheit gebe ich bekannt, daß Herr Wolfram R*** mit seiner Vertretung zu nachstehendem Sachverhalt beauftragt hat:
Ich vertrete meinen Mandanten, der ein Schuldenregulierungsverfahren zu *1 S 1**/07f des Bezirksgerichtes B*** durch Erfüllung eines Zahlungsplanes abgeschlossen hat, weil er aufgrund der Insolvenz auf die Warnliste der Österreichischen Kreditinstitute gesetzt wurde und es ihm daher ursprünglich nicht möglich war, ein Gehaltskonto zu eröffnen.
In diesem Zusammenhang bin ich an den KSV herangetreten und habe mich um Löschung der Eintragungen aus der Warnliste bemüht.
Aus der Rückäußerung des KSV habe ich nun nicht nur entnommen, welche Kreditinstitute den Eintrag auf der Warnliste veranlasst haben, sondern auch, daß es Obligoanfragen der U*** Bank und Sparkassen AG und Ihrer geschätzten Bank gegeben hat.
Während die Anfrage bei der U*** Bank und Sparkassen AG insofern wohl begründet ist, als sich mein Mandant bei dieser Bank um die Eröffnung eines Kontos bemüht hat, gibt es keine Erklärung dafür, daß die Obligoanfrage Ihres Instituts vom 30.11.2007 rechtfertigen könnte.
Die Erklärung dürfte jedoch im nachstehenden, persönlichen Hintergrund liegen:
Mein Mandant hat eine in B*** wohnhafte ältere Dame namens E*** gepflegt und fungierte für sie als Vertrauensperson. Die Tochter des Neffen dieser Dame ist dem Vernehmen nach mit einem Mitarbeiter Ihrer Bank verheiratet.
Es liegt sohin der Verdacht nahe, dass besagter Mitarbeiter private Motive mißbräuchlich herangezogen hat, um die gegenständliche Obligoanfrage im Namen Ihres Institutes an die Konsumentenkreditevidenz des KSV zu richten.
Hierin erblickt meine Mandantschaft eine Verletzung des Datenschutzgesetzes und behält sich weitere Schritte, unter anderem auch eine Beschwerde an die Datenschutzkommission, vor.
In diesem Zusammenhang betone ich im Namen meines Mandanten, daß er zu Ihrem Unternehmen niemals eine Geschäftsbeziehung angebahnt hat, geschweige denn mit ihm in Geschäftsbeziehungen gestanden ist.
Ich ersuche Sie daher um Mitteilung Ihrer Sichtweise und Darlegung von Argumenten, die eine solche Anfrage statthaft erscheinen lassen.
Weiters ersuche ich Sie um Bekanntgabe, wer in Ihrem geschätzten Institut für die Anfrage verantwortlich zeichnet.
Für eine Rückäußerung gestatte ich mir den 31.03.2008 in Evidenz zu nehmen.“
Dieses Schreiben wurde von Rechtsanwalt Dr. Michael W*** auf Briefpapier der Kanzlei Rechtsanwälte W*** K***, A***, unter dem Zeichen 03/VlDiv/**-*/** – 12**50.doc, mit Schreiben vom 27. März 2008 namens der Beschwerdegegnerin dahingehend beantwortet, eine interne Überprüfung habe ergeben, dass keine unzulässige Obligoanfrage erfolgt sei. Nähere Einzelheiten könnten aus Datenschutzgründen nicht bekannt gegeben werden.
Beweiswürdigung : Diese Feststellungen beruhen auf dem Inhalt der jeweils zitierten Urkunden, beide der Datenschutzkommission in Kopie vorgelegt vom Beschwerdeführer mit der Beschwerde vom 25. April 2008 (Beilagen./F und ./G). Die Echtheit und Richtigkeit der Urkundenkopien wurde von keinem der Streitteile bestritten.
D. In rechtlicher Hinsicht folgt daraus :
1. anzuwendende Rechtsvorschriften
§ 26 Abs. 1 bis 4 DSG 2000 lautet unter der Überschrift „Auskunftsrecht“:
„ § 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“
2. rechtliche Schlussfolgerungen
Die Beschwerde ist nicht berechtigt, die Einwände der Beschwerdegegnerin bestehen zu Recht.
Das subjektive Recht auf Auskunft über eigene Daten gemäß § 26 Abs. 1 DSG 2000 umfasst den Anspruch, eine vollständige und richtige Auskunft im vom Gesetz umschriebenen Umfang über eigene Daten, die der Auftraggeber verarbeitet, vom Auftraggeber zu erhalten (ständige Spruchpraxis der Datenschutzkommission seit dem Bescheid vom 23. August 2002, GZ K120.819/003-DSK/2002, RIS).
Nach § 26 Abs. 4 1. Satz DSG 2000 ist ein angesprochener Auftraggeber (so eine Datenverwendung durch ihn nicht schlechthin denkunmöglich ist, vgl. dazu den Bescheid der Datenschutzkommission vom 11. Oktober 2005, GZ K121.036/0014- DSK/2005, RIS), jedoch zumindest verpflichtet, auf ein ihm zugegangenes Auskunftsbegehren zu reagieren, also eine Negativauskunft zu erteilen, dass eine inhaltliche Auskunftserteilung aus diesen oder jenen, rechtlichen wie faktischen Gründen (z.B. mangels Identitätsnachweis des Auskunftswerbers, mangels Entrichtung des Kostenersatzes gemäß § 26 Abs. 6 DSG 2000 oder mangels Verarbeitung von Daten, die den Auskunftswerber betreffen) nicht möglich ist.
Voraussetzung dafür ist jedoch stets, dass ein als „Begehren“ gemäß § 26 Abs. 1 DSG 2000 erkennbares Anbringen eines Betroffenen vorliegt.
Ein solches Anbringen liegt im Beschwerdefall nicht vor.
Zunächst ist das Auskunftsbegehren, so es, wie hier, spezifisch formuliert ist, auf seinen Inhalt zu prüfen, wobei jener Maßstab anzulegen ist, der auch für einseitige privatrechtliche Willenserklärungen gilt (Wortlaut und Verständnis der Erklärung aus objektiver Sicht; 'wie sie der Empfänger nach ihrem Wortlaut und dem Geschäftszweck bei objektiver Betrachtung verstehen konnte', OGH EvBl 1974/185 [Kündigung]) (Bescheid der Datenschutzkommission vom 20. Mai 2005, GZ K120.957/0003-DSK/2005, RIS).
Das Schreiben von Rechtsanwalt Dr. Ä*** vom 17. März 2008 nimmt auf Datenschutz nur insoweit Bezug, als es die Behauptung aufstellt, eine bestimmte Vorgehensweise der Beschwerdegegnerin (Obligoanfrage an die Konsumentenkreditevidenz des KSV) stelle eine „Verletzung des Datenschutzgesetzes“ dar, betreffend derer er eine Stellungnahme der Beschwerdegegnerin erwarte und deren Verfolgung sich der Beschwerdeführer vorbehalte. Dies und die folgenden Sätze „Ich ersuche Sie daher um Mitteilung Ihrer Sichtweise und Darlegung von Argumenten, die eine solche Anfrage statthaft erscheinen lassen. Weiters ersuche ich Sie um Bekanntgabe, wer in Ihrem geschätzten Institut für die Anfrage verantwortlich zeichnet“ können vom Empfängerhorizont aus betrachtet nicht als datenschutzrechtliches Auskunftsbegehren gedeutet werden; muss doch für den Empfänger erkennbar sein, dass mit einer Anfrage die in § 26 DSG 2000 angeführten Rechte ausgeübt werden. Dies umso mehr, als eine Nichtbeachtung des Begehrens – im Gegensatz zu sonstigen Anfragen – unmittelbare Rechtsfolgen für den Empfänger nach sich zieht.
Es kann bei dieser Schlussfolgerung daher dahingestellt bleiben, ob das behauptete Auskunftsbegehren nicht auch unter Formmängeln (mangelnder Nachweis einer Vollmacht, mangelnder Identitätsnachweis) leidet, da die vorliegende Erklärung ihrem Inhalt nach keinesfalls ein datenschutzrechtliches Auskunftsbegehren sein kann, das eine Reaktionspflicht des Auftraggebers nach dem Datenschutzgesetz 2000 zur Folge hätte.
Die Beschwerde war daher spruchgemäß als unbegründet abzuweisen.