K121.470/0007-DSK/2009 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. STAUDIGL, Mag. ZIMMER, Dr. BLAHA, Dr. KOTSCHY und Dr. ROSENMAYR-KLEMENZ sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 08. Mai 2009 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Walter G*** (Beschwerdeführer) aus I***, vertreten durch den Verein H*** - Gesellschaft zum Schutz der Privatsphäre in **** N***, vom 1. Dezember 2008 gegen die K*** und H*** Information Services Gesellschaft m. b.H. (Beschwerdegegnerin) in **** N***, vertreten durch die M*** Rechtsanwälte Ges.m.b.H. in **** N*** wegen Verletzung im Recht auf Auskunft in Folge unzureichender Auskunftserteilung mit Schreiben vom 28. Mai 2008 wird entschieden:

Rechtsgrundlagen : §§ 1 Abs. 3 Z 1, 26 Abs. 1, 3 und 4 sowie 49 Abs. 3 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Der Beschwerdeführer behauptet in seiner Beschwerde vom 1. Dezember 2008 (Posteingang bei der Datenschutzkommission per Telefax am selben Tage) eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin sein Auskunftsbegehren vom 19. Mai 2008 mit Schreiben vom 28. Mai 2008 unrichtig, nämlich negativ beantwortet habe. Aus einer datenschutzrechtlichen Auskunft der Z*** Ges.m.b.H., in der die Beschwerdegegnerin als Informationsquelle benannt sei, gehe das Gegenteil hervor. Der Beschwerdeführer beantragte, der Beschwerdegegnerin eine vollständige und richtige Auskunftserteilung durch Bescheid aufzutragen.

Die anwaltlich vertretene Beschwerdegegnerin brachte mit Stellungnahme vom 19. Dezember 2008 vor, die Auskunft vom 28. Mai 2008 sei irrtümlich auf Grund eines Abfragefehlers erteilt worden. Nach Kenntnisnahme des anhängigen Beschwerdeverfahrens habe man daher nochmals nach Daten des Beschwerdeführers gesucht und am 19. Dezember 2008 ein neues Auskunftsschreiben erstellt und dem Beschwerdeführer übermittelt (Kopie der Datenschutzkommission vorgelegt). Hinsichtlich der von der Z*** Ges.m.b.H. erteilten Auskunft führte die Beschwerdegegnerin aus, sie habe der Z*** Ges.m.b.H. ausschließlich von ihr so bezeichnete „Firmeninformationen“ übermittelt, die Auskunft der Z*** Ges.m.b.H., in der diese Daten als „Personeninformationen“ angegeben würden, sei daher unrichtig. Die Beschwerdegegnerin beantragte, das Beschwerdeverfahren einzustellen, in eventu festzustellen, dass der Beschwerdeführer nicht in seinem Recht auf Auskunft verletzt worden ist.

Der Beschwerdeführer brachte nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens vor, die Auskunft enthalte insbesondere keine genauen Informationen zu den Empfängern von Daten, die auch eine Beurteilung der finanziellen Situation des Beschwerdeführers enthalten und dadurch Schaden verursacht hätten. Er halte die Beschwerde daher in vollem Umfang aufrecht.

Die Beschwerdegegnerin legte im Parteiengehör neuerlich die Stellungnahme vom Dezember vor.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin dem Beschwerdeführer auf dessen datenschutzrechtliches Auskunftsbegehren vom 19. Mai 2008 hin gesetzmäßig Auskunft erteilt hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer richtete am 19. Mai 2008 ein datenschutzrechtliches Auskunftsbegehren mit folgendem, für dieses Beschwerdeverfahren relevantem Inhalt an die Beschwerdegegnerin (Unterstreichungen durch die Datenschutzkommission):

„Ich ersuche Sie unter Hinweis auf § 1, 26 DSG 2000 und alle weiteren anwendbaren datenschutzrechtlichen Bestimmungen um Beantwortung der folgenden Fragen:

Mit Schreiben vom 28. Mai 2008 erteilte die Beschwerdegegnerin zunächst eine so genannte Negativauskunft, das heißt, sie teilte dem Beschwerdeführer mit, dass zu seiner Person keinerlei Daten „im Rahmen unserer Datenbank gespeichert sind.“

Der Beschwerdeführer erhob dagegen am 1. Dezember 2008 Beschwerde an die Datenschutzkommission.

Am 19. Dezember 2008 erteilten die rechtsfreundlichen Vertreter der Beschwerdegegnerin in deren Namen dem Beschwerdeführer eine neuerliche, diesmal inhaltliche Auskunft. Die Auskunft führt den Zweck der Datenverwendung („Unternehmensauskunft“), die verarbeiteten Datenarten, deren Inhalt, die Herkunft der Daten (Website www.g***.at, Gewerberegister, Ediktsdatei) sowie als Empfänger oder Empfängerkreise von Übermittlungen dieser Daten „Kunden mit berechtigtem Interesse gem § 8 Abs. 1 Z 4 DSG 2000“ an. Rechtsgrundlage seien die §§ 7 und 8 Abs. 2 DSG 2000, Dienstleister würden keine herangezogen.

Die Beschwerdegegnerin betreibt (als eine von drei aktuellen Gewerbeberechtigungen) das Gewerbe der „Auskunftei über Kreditverhältnisse“ gemäß § 152 der Gewerbeordnung 1994.

Der Beschwerdeführer betreibt als ***meister einen Gewerbebetrieb in I***.

Beweiswürdigung : Diese Feststellungen beruhen neben dem Akteninhalt dieses Beschwerdeverfahrens im Speziellen auf dem Inhalt der zitierten Urkunden (Auskunftsbegehren vom 19. Mai 2008, erstes Auskunftsschreiben vom 28. Mai 2008, beide vorgelegt in Kopie als Beilagen zur Beschwerde vom 1. Dezember 2008; zweites Auskunftsschreiben vom 19. Dezember 2008, vorgelegt von der Beschwerdegegnerin als Beilage zur Stellungnahme vom selben Tag. Die Feststellungen zur Gewerbeberechtigung der Beschwerdegegnerin gründen sich auf das offene Firmenbuch und das zentrale Gewerberegister (Auszug vom 23. April 2009, einliegend in GZ: K121.470/0003-DSK/2009). Die Feststellung zum Gewerbebetrieb des Beschwerdeführers gründet sich auf die Angaben im Impressum auf dessen Website (http://www.g***.at).

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 3 Z 1 DSG 2000 lautet unter der Überschrift „Grundrecht auf Datenschutz“:

„ § 1 . (1) [...]

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;“

§ 26 Abs. 1, 3 und 4 DSG 2000 lautet unter der Überschrift „Auskunftsrecht“:

„ § 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) [...]

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“

§ 49 Abs. 3 DSG 2000 lautet unter der Überschrift „Automatisierte Einzelentscheidungen“:

„ § 49 . (1) [...]

(3) Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen.“

2. rechtliche Schlussfolgerungen

Die Beschwerde erweist sich, trotz der Nachbesserungen der Beschwerdegegnerin, immer noch als berechtigt, da die Auskunft unvollständig und damit inhaltlich mangelhaft ist.

a) Auskunft über Übermittlungsempfänger

Der Beschwerdeführer hat in seinem Auskunftsbegehren ausdrücklich Auskunft über die Empfänger von Daten verlangt, die Beschwerdegegnerin hat jedoch nur die Empfängerkreise bezeichnet.

Mit der Frage, ob gegenüber einem gewerblichen Auskunfteiunternehmen ein berechtigtes Interesse an einer Auskunft über die Empfänger von Übermittlungen besteht, hat sich die Datenschutzkommission unter anderem bereits in ihrem Bescheid vom 3. Oktober 2007, GZ: K121.290/0015-DSK/2007, befasst und dazu ausgeführt (RIS, Rechtssatz 2):

“Gerade Bonitätsinformationen über einen Unternehmer sind typischerweise für das Zustandekommen von Geschäftsabschlüssen entscheidend. Daher ist ein Interesse, die Empfänger dieser Auskünfte konkret benannt zu erhalten, um einerseits die Rechtmäßigkeit der Übermittlung an diese nachprüfen zu können, insbesondere aber ein entsprechendes Verhalten der Empfänger im Geschäftsverkehr vorhersehen zu können, evident (Bescheid der Datenschutzkommission vom 15. Februar 2005, GZ: K120.981/0002-DSK/2005, RIS; siehe auch Erkenntnis des VwGH vom 19. Dezember 2006, Zl. 2005/06/0111). Auch im Fall einer Privatperson ergibt die Interessenabwägung nichts grundlegend Anderes. Stellt der Betroffene nämlich bei Prüfung der ihm erteilten Auskunft fest, dass unrichtige Daten betreffend seine Bonität übermittelt worden sind, so muss er sich nicht drauf verlassen, dass der Auftraggeber seiner Pflicht gemäß § 27 Abs. 8 DSG 2000 (Verständigung der Übermittlungsempfänger von einer durchgeführten Richtigstellung) nachkommen wird. Der Betroffene hat vielmehr ein überwiegendes berechtigtes Interesse daran, alle beim Auftraggeber vorhandenen Daten der Übermittlungsempfänger zu erhalten, die er benötigt, um diese nötigenfalls selber ansprechen zu können.”

Durch die Weigerung, die genauen Empfänger von Übermittlungen zu beauskunften (bzw. Angaben darüber zu machen, ob diese Daten im Rahmen einer „Unternehmensauskunft“ verwendet worden sind), hat die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Erhalt einer inhaltlich vollständigen Auskunft gemäß § 26 Abs. 1 DSG 2000 verletzt.

b) Auskunft über automatisierte Einzelentscheidungen

Mit der Frage, ob ein Auskunftsbegehren gemäß § 49 Abs. 3 DSG 2000 beantwortet werden muss, hat sich die Datenschutzkommission bereits im Bescheid vom 25. April 2008, GZ: K121.348/0007-DSK/2008, näher befasst und dazu ausgeführt (RIS, Rechtssatz 2, gekürzt):

“Die Beschwerdegegnerin ist verpflichtet, jeder Person, die eine entsprechende Betroffenenrolle bescheinigt (etwa, eventuell nach Geltendmachung ihrer Mitwirkungsobliegenheit gemäß § 26 Abs. 3 DSG 2000, ihre Identität sowie Zeit und Ort des [versuchten] Vertragsabschlusses samt Bonitätsprüfung angeben kann), den logischen Ablauf der automatisierten Entscheidungsfindung im von ihr eingerichteten System zur Bonitätsprüfung in allgemein verständlicher Form darzulegen. Dies gilt selbst dann, wenn [...] keine Daten zur vorgenommenen Bonitätsprüfung dieser Person mehr verarbeitet werden.”

Auf den vorliegenden Beschwerdefall übertragen bedeutet dies, dass die Beschwerdegegnerin zumindest auf die gestellte Frage nach einem automatisierten System zur Entscheidungsfindung hätte eingehen müssen und den Beschwerdeführer eventuell zur Mitwirkung auffordern hätte müssen (Bescheinigung der Betroffenenrolle). Dadurch, dass sie dies nicht getan und das entsprechende Auskunftsbegehren übergangen hat, hat sie den Beschwerdeführer in seinem Recht auf Auskunft verletzt.

Da § 40 Abs. 4 DSG 2000 nur für Auftraggeber des öffentlichen Bereichs gilt, war gegenüber der Beschwerdegegnerin, die als Gesellschaft mit beschränkter Haftung zum privaten Bereich zu zählen ist, ein Leistungsbescheid zu erlassen, der im Fall der Nichterfüllung auch durch die zuständige Vollstreckungsbehörde zwangsweise durchgesetzt werden kann (vgl. Bescheid der Datenschutzkommission vom 27. September 2005, GZ: K073.025/0007-DSK/2005; RIS).