K121.493/0007-DSK/2009 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. STAUDIGL, Mag. MAITZ-STRASSNIG, Mag. ZIMMER und Dr. SOUHRADA-KIRCHMAYER sowie der Schriftführerin Mag. FRITZ in ihrer Sitzung vom 20. März 2009 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Michael Ä*** (Beschwerdeführer) vom 8. Jänner 2009 gegen die K** Bank GmbH (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wird wie folgt entschieden:
Rechtsgrundlagen: § 1 Abs. 3 Z 1, § 26 Abs. 1 und 4 und § 31 Abs. 1 Datenschutzgesetz 2000 - DSG 2000
B e g r ü n d u n g
A. Vorbringen der Parteien
In seiner Beschwerde vom 8. Jänner 2009 behauptet der Beschwerdeführer eine Verletzung im Recht auf Auskunft. Er habe die Beschwerdegegnerin mit – der Beschwerde beigelegtem – Schreiben vom 23. September 2008 um Auskunft ersucht. Die Beschwerdegegnerin habe am 10. November 2008 das Auskunftsbegehren zwar beantwortet, die Auskunft sei jedoch unzureichend, weil darin nur beispielhaft Daten angeführt seien.
In ihrer Stellungnahme vom 26. Jänner 2009 legte die Beschwerdegegnerin ein an den Beschwerdeführer gerichtetes Schreiben vom 26. Jänner 2009 vor.
B. Beschwerdegegenstand
Aufgrund des Beschwerdevorbringens ergibt sich, dass Gegenstand der Beschwerde die Frage ist, ob die Beschwerdegegnerin dem Beschwerdeführer auf sein Auskunftsbegehren vom 23. September 2008 eine dem Gesetz entsprechende Auskunft erteilt hat.
C. Sachverhalt
Mit Schreiben vom 23. September 2008 richtete der Beschwerdeführer folgendes auszugsweise wiedergegebenes Auskunftsbegehren an die Beschwerdegegnerin:
„….
Sie führen personenbezogene Datenverarbeitung(en) und Datenanwendungen. Wir ersuchen Sie unter Hinweis auf § 1 DSG 2000, § 26 DSG 2000 und alle weiteren anwendbaren Bestimmungen des DSG 2000 um Beantwortung der folgenden Fragen:
….“
Daraufhin teilte die Beschwerdegegnerin dem Beschwerdeführer mit Schreiben vom 10. November 2008 folgendes mit:
„…
wir nehmen Bezug auf das oben erwähnte Schreiben, ……
1. Welche Daten speichern Sie über den Antragsteller?
Personenbezogene Daten, welche dem mit Herrn Ä*** abgeschlossenen Vertrag entnommen sind (z.B. die Ratenhöhe, Laufzeit des Kredites, Fälligkeit der Ratenzahlungen und Zahlweise des Kunden).
2. Woher stammen die Daten, die Sie im Zusammenhang mit dem Antragsteller verarbeiten? Angabe jener Stellen, von denen Daten stammen?
Die Daten die zur Bewilligung der gewünschten Finanzierung von Herrn Ä*** benötigt wurden sind direkt von ihm selbst zur Verfügung gestellt worden.
3. An wen wurden personenbezogene Daten des Antragstellers übermittelt?
Die Daten wurden intern zur Gestionierung des Kreditverhältnisses verwendet. Weiters wurde im Zuge des Vertragsabschlusses (2003) die Kleinkreditevidenz zur Überprüfung der Bonität herangezogen.
4. Zu welchem Zweck werden die Datenanwendungen betrieben?
Nachdem das gegenständliche Konto bereits 2003 zurückbezahlt wurde, werden außer der bestehenden internen Speicherung – zur Erfüllung der gesetzlich vorgeschriebenen Aufbewahrungsfrist – keine Datenanwendungen betrieben. Es erfolgt natürlich auch keine Bewerbung des Kunden. In der Vergangenheit wurden die Datenanwendungen zum Zwecke der Gewährung, Abwicklung und Betreuung des zugrunde liegenden Kreditvertrages verwendet.
5. Aufgrund welcher Vertrags- bzw. Rechtsgrundlage werden die Daten verwendet?
Aufgrund des mit Michael Ä*** abgeschlossenen Kreditvertrages, welcher in den AGBs eine dementsprechende Datenschutzklausel enthält. Weiters wird die Verwendung auf § 8 DSG gestützt.
6. Soweit die Daten im Rahmen eines Informationsverbundsystems verwendet werden ersuchen wir Sie um Bekanntgabe der Geschäftszahl des entsprechenden Bescheides der Datenschutzkommission und um Bekanntgabe, ob Sie Betreiber des Informationsverbundsystemes sind und falls nicht, wer der Betreiber ist.
Die Daten von Herrn Michael Ä*** werden nicht im Rahmen eines Informationsverbundsystems verwendet. Es gibt auch keinen durch uns veranlassten Eintrag in der Kleinkreditevidenz.
…“
Beweiswürdigung: Diese Feststellungen beruhen auf den vom Beschwerdeführer vorgelegten Schreiben vom 23. September 2008 und vom 10. November 2008.
Über Aufforderung der Datenschutzkommission teilte die Beschwerdegegnerin dem Beschwerdeführer mit Schreiben vom 26. Jänner 2009 folgendes mit:
„….
Betrifft: Michael Ä***, ….
….
Hinsichtlich des Kunden sind außer den bereits explizit genannten Daten folgende Informationen im System hinterlegt:
Das dem Kreditvertrag zugrundeliegende Kaufobjekt, dessen Kaufpreis, der Lieferant, die Bonitätsdaten des Kunden (…), der Kreditbetrag, Name, Adresse, Telefonnummer, Geburtsdatum, Nationalität, Familienstand des Kreditnehmers sowie die Zensurbedingungen.
Weiters ist der seinerzeitige Arbeitgeber, dessen Firmenadresse, die Firmentelefonnummer, die Höhe des Gehaltes und das Datum, ab wann der Kunde bei dem Dienstgeber beschäftigt war, gespeichert.
In unserem System findet sich noch die Bankverbindung des Kunden, dessen Zahlweise inklusive der Anzahl der ergangenen Mahnungen und das Ergebnis der damaligen *** Abfrage.
…“
Beweiswürdigung: Diese Feststellungen beruhen auf dem von der Beschwerdegegnerin vorgelegten Schreiben vom 26. Jänner 2009.
D. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die hier wesentlichen Bestimmungen des Datenschutzgesetzes 2000, BGBl I Nr. 165/1999 idgF (DSG 2000), lauten auszugsweise:
㤠1.
…..
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
…..
§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
…
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
…….
(8) Soweit Datenanwendungen von Gesetzes wegen öffentlich einsehbar sind, hat der Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht. Für das Verfahren der Einsichtnahme gelten die näheren Regelungen der das öffentliche Buch oder Register einrichtenden Gesetze.
§ 31. (1) Die Datenschutzkommission erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26 durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.“
2. rechtliche Schlussfolgerungen
Im vorliegenden Fall hat der Beschwerdeführer mit Schreiben vom 23. September 2008 von der Beschwerdegegnerin Auskunft über die zu seiner Person verarbeiteten Daten, über die Herkunft und die Empfänger dieser Daten sowie den Zweck und die Rechtsgrundlage ihrer Verarbeitung begehrt. Die Beschwerdegegnerin hat dem Beschwerdeführer mit Schreiben vom 10. November 2008 eine Auskunft erteilt.
Gemäß § 26 Abs. 1 DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben. Diese Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen.
Der Anspruch auf Auskunft enthält also das Recht, Auskunft über 'die verarbeiteten Daten in allgemein verständlicher Form' zu erhalten, dies bedeutet, dass der Betroffene nicht nur über die Art (Kategorien) der über ihn verarbeiteten Daten aufzuklären ist, sondern dass ihm der Inhalt dieser Daten bekannt zugeben ist. Es genügt daher nicht festzustellen, dass etwa der 'Name und das Geburtsdatum' gespeichert seien, sondern es muss offengelegt werden, wie die tatsächlichen Eintragungen bei diesen Datenarten 'Name' und 'Geburtsdatum' lauten (siehe dazu u.a. den Bescheid der Datenschutzkommission vom 23. November 2001, K120.748/022-DSK/2001).
Die allgemeine Auskunft der Beschwerdegegnerin in ihrem Schreiben vom 10. November 2008, sie speichere z.B. die Ratenhöhe, Laufzeit des Kredites etc. des Beschwerdeführers genügt diesen Anforderungen daher nicht. Insofern kann auch die auf den personenbezogenen Daten aufbauende Auskunft der Beschwerdegegnerin über die Herkunft und die Empfänger dieser Daten sowie über den Zweck und die Rechtsgrundlage ihrer Verarbeitung als nicht ausreichend angesehen werden, weil die Überprüfung der Richtigkeit dieser Angaben mangels Kenntnis der tatsächlich verarbeiteten Daten nicht möglich ist. Die Beschwerdegegnerin hat diese fehlende allgemein verständliche Auskunft in ihrem Schreiben vom 26. Jänner 2009 auch nicht nachgeholt.
Somit hat die Beschwerdegegnerin den Beschwerdeführer dadurch, dass sie ihm keine allgemein verständliche Auskunft im Sinne des § 26 Abs. 1 DSG 2000 erteilt hat, in seinem Recht auf Auskunft verletzt. Es war daher spruchgemäß ein vollstreckbarer Leistungsauftrag unter Setzung einer angemessenen Frist (§ 59 Abs. 2 AVG) zu erlassen.