K121.540/0002-DSK/2010 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Mag. HUTTERER, Dr. HEISSENBERGER und Mag. HEILEGGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 20. Jänner 2010 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Karlheinz A*** (Beschwerdeführer) aus M*** vom 16. Juni 2009 gegen die Z***bank M*** Aktiengesellschaft (Beschwerdegegnerin) in **** M*** wegen Verletzung im Recht auf Auskunft in Folge mangelhafter Beantwortung des am 27. Jänner 2009 gestellten Auskunftsbegehrens wird entschieden:

Rechtsgrundlagen : §§ 1 Abs. 3 Z 1 und 2 und Abs. 5, 26 Abs. 1 - 4 und 6 sowie 31 Abs. 1 und 2 des Datenschutzgesetzes 2000, BGBl I Nr. 165/1999 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Der Beschwerdeführer behauptet in seiner mit 16. Juni 2009 datierten und am 18. Juni 2009 bei der Datenschutzkommission eingelangten Beschwerde, der mehrere Urkundenkopien angeschlossen waren, eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin auf sein Auskunftsbegehren vom 27. Jänner 2009 hin ihrer Auskunftspflicht nur unvollständig und nicht wahrheitsgemäß nachgekommen sei. Er beantragte, die Datenschutzkommission möge dafür Sorge tragen, dass „die geforderten Daten (Punkte 1 bis 4) von der Z***bank M*** AG an den Antragsteller nachgereicht werden müssen“; die Beschwerdepunkte 1 – 4 betreffen Folgendes:

Die Beschwerdegegnerin brachte dagegen in ihrer Stellungnahme vom 8. Juli 2009, ebenfalls unter Vorlage mehrerer Urkundenkopien, vor, sie gehe davon aus, mit der Auskunft vom 20. Februar 2009 dem Auskunftsanspruch des Beschwerdeführers entsprochen zu haben. Automatisierte Einzelentscheidungen hätte es in der Geschäftsbeziehung zwischen den Parteien keine gegeben, daher könne auch keine „Darlegung“ gemäß § 49 Abs. 3 DSG 2000 erfolgen. Die eingeschränkte Nutzungsmöglichkeit der ausgegebenen Maestro-Karte entspreche dem Kartenantrag des Beschwerdeführers, die Zurverfügungsstellung der Kontoauszüge dem Girovertrag. Mit Schreiben vom 16. Juli 2009 teilte die Beschwerdegegnerin unter Urkundenvorlage weiters mit, dass sie dem Beschwerdeführer ergänzend eine Negativauskunft betreffend automatisierte Einzelentscheidungen übermittelt habe.

Der Beschwerdeführer replizierte darauf mit Schreiben vom 19. Juli 2009, der Filialleiter der Filiale K***straße der Beschwerdegegnerin habe auf Grund einer „Einsichtnahme in den Datenspeicher der Z***bank M*** AG und der Einsichtnahme in den Datenspeicher des E***-GLÄUBIGERVERBAND“ am 28. Jänner 2009 mündlich die Kontoverbindung aufgekündigt, was auch schriftlich bestätigt worden sei. Daher sei die ergänzende Auskunft betr. § 49 Abs. 3 DSG 2000 „nicht wahrheitsgemäß abgefasst worden“ (Beschwerdepunkt 5). Aus dem Vorbringen der Beschwerdegegnerin in den erwähnten Zivilprozessen gehe hervor, dass diese sehr wohl Entscheidungen auf Grund automationsunterstützter Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person, insbesondere seiner Kreditwürdigkeit getroffen und ihn überdies negativ bewertet habe. Der Beschwerdeführer wiederholte weiters sein Vorbringen betreffend die oben angeführten fehlenden „Unterlagen“.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das Auskunftsbegehren vom 27. Jänner 2009 gesetzmäßig (insbesondere vollständig) beantwortet hat, und zwar näherhin hinsichtlich folgender noch offener Punkte:

C. Sachverhaltsfeststellungen

Mit Bezug auf den Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

1) Der Beschwerdeführer richtete am 27. Jänner 2009 unter Berufung auf die §§ 1 und 26 und ausdrücklich auch auf § 49 Abs. 3 DSG 2000 ein Auskunftsbegehren (per Telefax mit Wiedergabe der eigenhändigen Unterschrift des Beschwerdeführers) an die Beschwerdegegnerin, bei der er – bis zur einseitigen Kündigung durch die Beschwerdegegnerin - ein Bank-Girokonto unterhalten hatte.

Beweiswürdigung : Diese Feststellungen beruhen auf der vom Beschwerdeführer als Beilage zur Beschwerde vom 16. Juni 2009 vorgelegten Kopie des Auskunftsbegehrens. Echtheit, Inhalt und Zugang dieses Schreibens per Telefax sind seitens der Beschwerdegegnerin unbestritten.

2) Am 20. Februar 2009 richtete die Beschwerdegegnerin darauf folgendes Auskunftsschreiben an den Beschwerdeführer:

„Sehr geehrter Herr A***!

Wir nehmen Bezug auf ihr Auskunftsbegehren vom 27.01.2009 und teilen innerhalb offener Frist wir folgt mit:

Folgende personenbezogenen Daten sind über Sie bei unserem

Institut gespeichert:

Rechtsform: Physische Person

Geschlecht: männlich

Anrede: Herrn

Vorname: Karlheinz

Familienname: A***

Geburtsdatum: 31.01.19**

Adresse: P***straße 45/*/*, **** M***

Staatsangehörigkeit: AT

Nation: AT

Devisendomizil: AT

Steuerdomizil: AT

Branche: Unselbständige und Private

Sprache: deutsch

Kundensegment Basel: Privatkunde/Einzelunternehmer

als Privatkunde

Mobil-Telefon: 06**/87*76*1

Legitimation: RP A **34*43 2

Diese Daten basieren auf den Angaben des Kontovertrages vom 12.07.2006, des vorgelegten Ausweisdokumentes sowie Eigenangaben und sind in unserer Kundendatenbank gespeichert. Zur Verarbeitung der Daten bedienen wir uns des E**F Rechenzentrums Datenverarbeitungs GmbH, FN 7**39t, Ä***gasse 2, **** B***stadt.

Die Daten wurden weitergegeben, soweit dies zur ordnungsgemäßen Abwicklung des Zahlungs- und Geldverkehrs erforderlich ist. Darüber hinaus wurden die Kontodaten an den E***-GLÄUBIGERVERBAND weitergegeben, jedoch zwischenzeitig wieder gelöscht.

Gemäß § 40 Abs. 1 Z 1 BWG haben Kredit- und Finanzinstitute die Identität eines Kunden bei Anknüpfung einer dauernden Geschäftsbeziehung festzuhalten.

In unserem Institut kommt eine Standardanwendung gemäß SA001 Rechnungswesen und Logistik (Kunden oder Lieferanten des Auftraggebers) gemäß VO des Bundeskanzlers über Standard- und Musteranwendungen nach dem DSG 2000 BGBl 2004 II/312 zur Anwendung.“

Beweiswürdigung : Diese Feststellungen beruhen auf der vom Beschwerdeführer als Beilage zur Beschwerde vom 16. Juni 2009 vorgelegten Kopie des Auskunftsschreibens. Echtheit, Inhalt und Zugang dieses Schreibens sind seitens des Beschwerdeführers, dem dazu Parteiengehör gewährt worden ist, unbestritten.

3) Der Beschwerdeführer rügte diese Auskunft mit Schreiben vom 24. Februar 2009 (ergänzt und berichtigt mit Schreiben vom 5. März 2009) als unzureichend. Es seien nicht alle Fragen beantwortet worden. Insbesondere wisse er aus einer datenschutzrechtlichen Auskunft des E***-GLÄUBIGERVERBANDES (kurz: E***-GLÄUBIGERVERBAND), dass die Beschwerdegegnerin am 27. Jänner 2009 eine ihn betreffende Obligoabfrage durchgeführt habe. Im Schreiben vom 5. März 2009 wird auch eine „ vollständige Auflistung der Umsatzdaten vom Konto Nr. **2376**001 (vom 12.07.2007 bis einschließlich 25.02.2009)“ erstmals ausdrücklich verlangt.

Am 27. März 2009 richtete der Beschwerdeführer ein weiteres Urgenzschreiben an die Beschwerdegegnerin. Darin rügte er, auf seinen „Widerspruch nach dem DSG 2000 § 28 u.a.“ keine Bestätigung erhalten zu haben (laut seinen eigenen Angaben wurde der Widerspruch mit Schreiben vom 28. Jänner 2009 erhoben). Weitere Rügen beziehen sich auf Sachverhalte, die für das datenschutzrechtliche Auskunftsbegehren nicht relevant sind.

Beweiswürdigung : Diese Feststellungen beruhen auf der vom Beschwerdeführer als Beilage zur Beschwerde vom 16. Juni 2009 vorgelegten Kopie der zitierten Schreiben.

4) Mit ergänzendem Auskunftsschreiben vom 14. Juli 2009, nach Anhängigwerden des gegenständlichen Beschwerdeverfahrens, teilte die Beschwerdegegnerin dem Beschwerdeführer mit, dass bei ihr keine automatisierten Einzelentscheidungen stattgefunden haben, eine nähere Darlegung derselben gemäß § 49 Abs. 3 DSG 2000 daher nicht möglich sei.

Beweiswürdigung : Diese Feststellungen beruhen auf der von der Beschwerdegegnerin als Beilage zur ergänzenden Stellungnahme vom 16. Juli 2009 vorgelegten Kopie des zitierten Schreibens.

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung des § 1 DSG 2000 lautet:

„ Grundrecht auf Datenschutz

§ 1 . (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.

…“

§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Er lautet hier wesentlich wie folgt:

„ Auskunftsrecht

§ 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.

Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4.

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) […]

(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Betroffene im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.

(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten.“

2. rechtliche Schlussfolgerungen

Allgemeines:

A. Der Beschwerdeführer rügt generell, dass seine individuell formulierten Fragen nicht von der Beschwerdegegnerin genau in seinem Sinne beantwortet wurden. Damit verkennt er jedoch den Inhalt des Auskunftsrechts, das kein individuell ausgestaltbares Fragerecht darstellt, sondern inhaltlich in § 26 Abs. 1 DSG 2000 genau determiniert ist.

B. Der schon beim Vergleich des Wortlauts des Auskunftsbegehrens mit der am 20. Februar 2009 gegebenen Antwort erkennbare Mangel einer fehlenden Auskunftserteilung nach § 49 Abs. 3 DSG 2000 wurde durch Ergänzung der Auskunft durch den Beschwerdegegner am 14. 7. 2009 behoben. Die nachträgliche, jedoch vor Ergehen der Entscheidung in erster Instanz erfolgende Behebung eines Auskunftsmangels bewirkt die Sanierung des Versäumnisses rechtzeitiger und vollständiger Auskunftserteilung (§ 31 Abs. 8 DSG 2000 idgF).

C. Der Beschwerdeführer hat darüber hinaus vier weitere Punkte vorgebracht, in welchen die Auskunft unvollständig bzw. unrichtig sei (vgl. Darstellung im Punkt „Beschwerdegegenstand“). Damit diese erst nachträglich konkret formulierten Fragestellungen für die Richtigkeit bzw. Vollständigkeit der am 20. Jänner 2009 erteilten Auskunft von Bedeutung sein können, müssen sie in dem ursprünglichen Auskunftsbegehren inkludiert gewesen sein.

a) Dass die vom Beschwerdeführer als unbeantwortet bezeichneten Fragen (Beschwerdepunkte 1 – 4) von seinem ursprünglichen Auskunftsbegehren mitumfasst waren, kann für die Beschwerdepunkte 2 und 4 aus folgenden Gründen jedenfalls ausgeschlossen werden:

Die vom Beschwerdeführer geforderte Begründung für die eingeschränkte Benutzbarkeit seiner Maestro-Karte (Beschwerdepunkt 2.) kann nicht mit Hilfe des datenschutzrechtlichen Auskunftsrechts erzwungen werden, da das Auskunftsrecht im Kern auf die Aufzählung der tatsächlich verarbeiteten Daten abzielt. Welche akzessorischen Auskunftsansprüche bestehen (wie: Auskunft über Dienstleister, Verwendung automatischer Entscheidungsprozesse) wird in § 26 Abs. 1 bzw. § 49 Abs. 3 abschließend dargestellt. Eine Auskunft über die Motive der Gestaltung geschäftlicher Beziehungen gehört nicht zu diesen akzessorischen Auskunftsansprüchen, soweit diese Motive nicht als Inhalt von Daten einer Datenanwendung gespeichert sind.

Was die verlangte Bestätigung über den vom Beschwerdeführer getätigten „Widerruf der Zustimmung zur Übermittlung seiner Daten“ vom 28. Jänner 2009 - an anderem Ort in der Beschwerde auch fälschlich als „Widerruf nach § 28 DSG 2000“ bezeichnet - betrifft, (Beschwerdepunkt 4.), so ist eine solche Bestätigung als Gegenstand des verfassungsrechtlich garantierten Rechts auf Auskunft (§ 1 Abs. 3 Z 1 DSG 2000) nicht vorgesehen. Zum Eintritt der Rechtswirkungen des Widerrufs einer Zustimmung ist die Bestätigung durch den Empfänger auch nicht erforderlich. Die Unterlassung der Ausstellung einer Bestätigung kann daher nicht als Verstoß gegen das DSG 2000 geltend gemacht werden, weshalb die Beschwerde diesbezüglich als unbegründet abzuweisen war.

b) Betreffend die Behauptung, dass kreditrelevante Informationen vom Beschwerdegegner vom E***-GLÄUBIGERVERBAND am 27. Jänner 2009 erfragt worden seien, in der Auskunft aber nicht aufscheinen, ist festzuhalten, dass diese Fragestellung sehr wohl dem § 26 DSG 2000 unterliegt, geht es doch darum, ob der Beschwerdegegner Daten verarbeitet, die er in seiner Auskunftsbeantwortung nicht angegeben hat. Diese Fragestellung war daher in das ursprüngliche Auskunftsbegehren miteingeschlossen. Da der Beschwerdeführer auch urkundlich nachgewiesen hat, dass eine Abfrage beim E***-GLÄUBIGERVERBAND tatsächlich stattgefunden hat, handelt es sich um eine relevante Vollständigkeitsrüge, auf die der Beschwerdegegner im Beschwerdeverfahren jedoch in keiner Weise eingegangen ist. Diesbezüglich ist die bisher erfolgte Auskunftserteilung somit als unvollständig zu werten, weshalb dem Beschwerdegegner spruchgemäß aufzutragen war, diesbezüglich inhaltlich Auskunft zu erteilen – etwa auch in Form einer Negativauskunft, falls er die erhaltene Information nicht weiter verarbeitet (gespeichert) hat – oder mitzuteilen, warum diesbezüglich keine Auskunftsverpflichtung besteht.

c) Ähnlich ist das Ergebnis des bisherigen Auskunftsverfahrens hinsichtlich des Beschwerdepunktes 3 zu beurteilen: Die Forderung des Beschwerdeführers, Auskunft über die Kontobewegungsdaten (eines bestimmten Zeitraums) zu erhalten, betrifft Daten, die beim Beschwerdegegner – mit Sicherheit – gespeichert sind, die also Gegenstand des am 27. Jänner 2009 gestellten Auskunftsbegehrens waren. Dass sie in der Auskunft vom 20. Februar 2009 nicht erwähnt sind, hat der Beschwerdegegner bisher nur mit dem Hinweis darauf begründet, dass „die Zurverfügungstellung der Kontoauszüge dem Girokreditvertrag entsprach“. Dieser in Beilage vorgelegte Vertrag enthält keine Ausführungen darüber, wie nach der Beendigung der Kontovertragsbeziehung Information über Kontobewegungen für den ehemaligen Kontoinhaber verfügbar ist, obwohl angenommen werden muss, dass Daten über ihn nach wie vor gespeichert sind. Diesbezüglich fehlt somit eine nachvollziehbare Begründung, warum die Beauskunftung der Kontobewegungsdaten, insbesondere im Lichte des § 26 Abs. 2 und 6 DSG 2000, nicht vorgenommen wurde. Die erteilte Auskunft war daher diesbezüglich tatsächlich als unvollständig zu werten und es war spruchgemäß die Ergänzung aufzutragen.