K121.599/0014-DSK/2010 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER und Dr. GUNDACKER sowie der Schriftführerin Mag. HAJICEK in ihrer Sitzung vom 27. August 2010 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde der Andrea V*** (Beschwerdeführerin) aus A***, vertreten durch Mag. Leonhard O***, Rechtsanwalt in **** A***, vom 15. Februar 2010 gegen 1. die Z***landesbank A***- B*** Aktiengesellschaft (Erstbeschwerdegegnerin) in A*** und

2. die W*** Gesellschaft m.b.H. (Zweitbeschwerdegegnerin) in A*** wegen Verletzung im Recht auf Auskunft in Folge unvollständiger und unrichtiger datenschutzrechtlicher Auskunftserteilung wird entschieden:

Rechtsgrundlagen : §§ 1 Abs. 3 Z 1, 26 Abs. 1, 4 und 7 und 49 Abs. 3 DSG 2000, BGBl. I Nr. 165/1999 idF BGBl I Nr. 2/2008 und § 31 Abs. 1 und 7 DSG 2000 idgF

B e g r ü n d u n g:

A. Vorbringen der Parteien

Die Beschwerdeführerin behauptet in ihrer am 15. Februar 2010 bei der Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerinnen sie über Inhalt, Umfang und Auftraggeberschaft der hinsichtlich ihrer Kreditwürdigkeit verarbeiteten Daten (Bonität) unvollständig und unrichtig informiert hätten. Sie habe im Frühjahr 2009 von ihrem Bankberater – sie sei Kundin der Erstbeschwerdegegnerin – erfahren, dass sie wegen einer unberichtigt aushaftenden Rechnung eines Mobilfunkunternehmens in eine „Warnliste“ bei der Zweitbeschwerdegegnerin eingetragen worden sei. Hinsichtlich näherer Informationen sei sie an die Zweitbeschwerdegegnerin verwiesen worden, die wiederum in einem Schreiben vom 7. Mai 2009 auf schriftliche Nachfrage hin das Bestehen einer solchen Eintragung schriftlich in Abrede gestellt und im Übrigen auf ihre Rolle als „datenschutzrechtliche Dienstleisterin“ verwiesen habe. Auf ein weiteres datenschutzrechtliches Auskunftsverlangen hin habe die Zweitbeschwerdegegnerin in ihrer Auskunft vom 22. Mai 2009 lediglich Daten betreffend ein Schuldenregulierungsverfahren der Beschwerdeführerin sowie allgemeine Adressdaten offengelegt. Die Erstbeschwerdegegnerin habe wiederum in einem Auskunftsschreiben vom 4. August 2009 auf die Zweitbeschwerdegegnerin verwiesen, deren Dienste sie in Anspruch nehme. Der Beschwerdeführerin, seien von der Erstbeschwerdegegnerin jeweils weder die Herkunft der Daten, der Verarbeitungszweck, die Rechtsgrundlage noch allfällige Datenempfänger mitgeteilt worden, dies sowohl für den Fall, dass die Erstbeschwerdegegnerin als alleinige Auftraggeberin verantwortlich sei, als auch für den Fall, dass die Zweitbeschwerdegegnerin für Daten einer Bonitätsprüfung als selbständige Auftraggeberin zu qualifizieren sei. Die Auskunft der Zweitbeschwerdegegnerin sei offenkundig inhaltlich unrichtig, da durch die anfängliche Auskunft des Bankberaters der Beschwerdeführerin feststehe, dass die Zweitbeschwerdegegnerin Daten zu ihrer Bonität (angeblich unberichtigt aushaftende Mobilfunkrechnung) verarbeite. Die Beschwerdeführerin beantragte die Feststellung der Verletzung im Auskunftsrecht sowie die Erlassung von Aufträgen zur Ergänzung der Auskunftserteilung, vorzugsweise gegenüber der Erstbeschwerdegegnerin, eventualiter gegenüber der Zweitbeschwerdegegnerin.

Die Erstbeschwerdegegnerin brachte in ihrer Stellungnahme vom 17. März 2010 vor, die Darstellung der Beschwerdeführerin, in einem Beratungsgespräch sei die Eintragung in einer „Warnliste“ wegen einer „aushaftenden Rechnung“ eines Mobilfunkbetreibers erwähnt worden, entspreche nicht den Tatsachen. Allerdings sei ein rechtskräftig aufgehobenes Schuldenregulierungsverfahren, das auch durch die Zweitbeschwerdegegnerin dokumentiert werde, in diesem Gespräch erwähnt worden. Die Erstbeschwerdegegnerin ziehe die Zweitbeschwerdegegnerin sowie den T***-Gläubigerschutzverband (T***) als Dienstleister heran. Eine Bonitätsabfrage beim T*** habe aber kein Ergebnis gebracht und sei daher im Auskunftsschreiben vom 4. August 2009 auch nicht angeführt worden. Die Ergebnisse einer internen Bonitätsbewertung seien ausschließlich zum bankinternen Gebrauch bestimmt und würden nicht an Dritte weitergegeben.

Die Zweitbeschwerdegegnerin führte in ihrer Stellungnahme vom 5. März 2010 aus, sie habe die Beschwerdeführerin zunächst mit Schreiben vom 7. Mai 2009 informiert, dass sie keine „Warnliste“ führe (unter „Warnlisten“ würden branchenüblich überdies zwei vom T*** betriebene Informationsverbundsysteme verstanden, an denen die Zweitbeschwerdegegnerin nicht beteiligt sei) sondern als Auftraggeberin wie als Dienstleisterin Dritter personenbezogene Daten verwende. Hinsichtlich der angeblich gespeicherten, aushaftenden Mobilfunkrechnung habe man die Beschwerdeführerin informiert, dass keine entsprechenden Daten verwendet würden. Weiters habe man die Übermittlung einer vollständigen Auskunft gemäß § 26 DSG 2000 angeboten, woraus sich nach Treu und Glauben ergebe, dass dieses Schreiben noch keine Auskunft darstelle. Auf Ersuchen der Beschwerdeführerin sei daraufhin die Auskunft vom 22. Mai 2009 erteilt worden. Die Auskunft, dass die Zweitbeschwerdegegnerin keine Daten zur Bonitätsbeurteilung der Beschwerdeführerin verarbeite, stehe im Einklang mit der Rechtsprechung der Datenschutzkommission und des Verwaltungsgerichtshofs. Die Auskunft, die Zweitbeschwerdegegnerin verarbeite keine Daten zur Geschäftsbeziehung mit einem Mobilfunkunternehmen (K***- Mobil/P***), einschließlich angeblich unbezahlt aushaftender Rechnungen, sei schließlich richtig gewesen.

Beide Beschwerdegegnerinnen beantragten die Abweisung der Beschwerde.

Nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens brachte die Beschwerdeführerin vor, die Beschwerdegegnerinnen würden die Verantwortung wechselseitig hin- und herschieben. Die Unterscheidung der Zweitbeschwerdegegnerin in eine „informelle Mitteilung“ und die eigentliche Auskunftserteilung sei rechtswidrig. Hinsichtlich der Erstbeschwerdegegnerin wurde mitgeteilt, dass zwischen dieser und der „Einschreiterin“ (gemeint ist die Beschwerdeführerin, mit der Beschwerde war auch eine Eingabe nach § 30 DSG 2000 verbunden) eine Einigung erzielt werde konnte, im Übrigen werde auf die Ersteingabe verwiesen.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerinnen der Beschwerdeführerin gesetzmäßig Auskunft erteilt haben.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Die Beschwerdeführerin richtete durch ihren Rechtsanwalt (den nunmehrigen Beschwerdevertreter) am 28. April 2009 ein Schreiben an die zwei Beschwerdegegnerinnen. Darin verlangte sie unter Hinweis auf eine „Besprechung“ in ihrer Bankfiliale die Löschung von in einer „Warnliste“ gespeicherten Daten zu Forderungen (offenen Rechungen) des Mobilfunkunternehmens „K***-Mobil“ binnen 14 Tagen unter Hinweis auf die bereits erfolgte Bezahlung dieser Rechungen, die überdies wegen Fremdverschuldens keine Schlüsse auf vertragswidriges Verhalten der Beschwerdeführerin zuließen. Die Speicherung sei überdies rechtswidrig und ohne Vorwarnung und Anhörung der Beschwerdeführerin erfolgt, sodass nur „vorerst unpräjudiziell“ unter der Bedingung der Löschung der Eintragung auf Ersatzansprüche verzichtet werde.

Beweiswürdigung : Diese Feststellungen beruhen auf der mit der Beschwerde 15. Februar 2010 vorgelegten Kopie des zitierten Schreibens, dessen Echtheit und Zugang unbestritten ist.

Mit Schreiben vom 7. Mai 2009 antwortete die Zweitbeschwerdegegnerin, sie führe keine „Warnliste“, sondern verwende als Auftraggeberin und Dienstleisterin Daten. Daten betreffend eine Forderung der K***-Mobil Ges.m.b.H. bzw. der P*** Austria Telecommunication Ges.m.b.H. würden von der Zweitbeschwerdegegnerin nicht verarbeitet. Weiters ersuchte die Zweitbeschwerdegegnerin um Mitteilung, ob ein Auskunftsschreiben zu den gespeicherten Daten gewünscht werde.

Beweiswürdigung : wie bisher.

Mit Schreiben vom 18. Mai 2009 ersuchte die Beschwerdeführerin die Zweitbeschwerdegegnerin um Auskunft.

Beweiswürdigung : wie bisher.

Am 22. Mai 2009 übermittelte die Zweitbeschwerdegegnerin der Beschwerdeführerin ein datenschutzrechtliches Auskunftsschreiben („Auskunft nach § 26 Datenschutzgesetz 2000“). Dieses führt Daten aus der amtlichen Ediktsdatei (Insolvenzdatei) betreffend ein gerichtliches Schuldenregulierungsverfahren (12/2005 bis 5/2006, BG G***, nach rechtskräftiger Bestätigung eines Zahlungsplanes aufgehoben) sowie verschiedene Adressdaten (unter den Familiennamen „V***“ und „M***“) an. Als Zweck der Datenverwendung wurde die Ausübung des Auskunfteigewerbes angegeben.

Beweiswürdigung : wie bisher.

Am 3. Juli 2009 ersuchte die Beschwerdeführerin die Erstbeschwerdegegnerin um eine datenschutzrechtliche Auskunft unter Hinweis auf den Verdacht in „bankinternen Informationslisten “geführt zu werden„ , die als ‚Liste der unerwünschten Kontoverbindungen, als Kleinkreditevidenz, als Warn- und Mahnlisten, als schwarze Listen’ oder in anderer Form bezeichnet werden“. Weiters ersuchte sie gemäß § 49 Abs. 3 DSG 2000 um Auskunft über automatisierte Einzelentscheidungen, insbesondere hinsichtlich der Bewertung ihrer Zuverlässigkeit und Kreditwürdigkeit. Zuletzt deponierte die Beschwerdeführerin ihren „Widerruf“ hinsichtlich der Übermittlung von Daten in den bezeichneten „Listen“.

Beweiswürdigung : wie bisher.

Mit Auskunftsschreiben vom 4. August 2009 erteilte die Erstbeschwerdegegnerin der Beschwerdeführerin Auskunft über die zu ihrer Person im Rahmen der Geschäftsverbindung gespeicherten Daten (Kunden[Stamm-]daten, Legitimationsdaten [Mittel der Identitätsprüfung], Kundenprofil, Einschätzung in Risikogruppe [„Bonitätsbewertung“ eingestuft als „Normalgeschäft Privatkunde (29. 05. 2009)“], Betreuer und Filiale, Geschäftsanteile, Konten und Produkte).

Weiters enthält das Auskunftsschreiben folgende Information unter „4. Bonitätsbewertung“: „Für Bonitätsinformationen nehmen wir den Service von W*** in Anspruch. Auskünfte über gespeicherte Daten erhalten sie direkt bei W*** (e-mail:

auskunft@W***.at, Fax: 0***/7*2 34 *1-2*1).“

Beweiswürdigung : wie bisher.

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

§ 26 Abs.1, 3, 4 und 7 DSG 2000 idF vor BGBl. I Nr. 133/2009 lautete samt Überschrift:

„ Auskunftsrecht

§ 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) [...]

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) [...] (6)

(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten.“

§ 49 DSG 2000 idF vor BGBl. I Nr. 133/2009 lautete samt Überschrift:

„ Automatisierte Einzelentscheidungen

§ 49 . (1) Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.

(2) Abweichend von Abs. 1 darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn

(3) Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen.“

2. rechtliche Schlussfolgerungen

2.1. Erfüllung des Auskunftsrechts durch die Zweitbeschwerdegegnerin

Die Beschwerde erweist sich betreffend die Zweitbeschwerdegegnerin als unbegründet.

Die Zweitbeschwerdegegnerin verteidigt sich zu Recht damit, erst das zweite Ersuchen der Beschwerdeführerin (jenes vom 18. Mai 2009) sei als datenschutzrechtliches Auskunftsbegehren zu deuten. Die Beschwerdeführerin übersieht, dass ihr Schreiben vom 28. April 2009, von einem Rechtsanwalt formuliert, unmissverständlich nur und ausschließlich als Löschungsbegehren gedeutet werden kann und daher keinerlei Auskunftspflichten ausgelöst hat. Das Antwortschreiben der Zweitbeschwerdegegnerin vom 7. Mai 2009 kann daher nicht am Maßstab des § 26 DSG 2000 gemessen werden (und wäre überdies durch spätere Verbesserungen wohl überholt und saniert). Durch das Fehlen eines Auskunftsbegehrens (vgl. § 26 Abs. 7 DSG 2000 in der im relevanten Zeitpunkt anzuwendenden Fassung vor BGBl. I Nr. 133/2009, sogenannte „Löschungssperre“) war die Zweitbeschwerdegegnerin auch nicht daran gehindert, vor Eintreffen des eigentlichen Auskunftsbegehrens Datenlöschungen vorzunehmen. Damit ließe sich auch das Fehlen von Daten zu ausständigen Mobilfunkrechnungen erklären, hat doch die Beschwerdeführerin selbst die Richtigkeit und Rechtmäßigkeit dieser Datenverwendung nachhaltig bestritten (bei der Datenschutzkommission ist amtsbekannt, dass die Zweitbeschwerdegegnerin etwa von Inkassobüros übermittelte Daten zu offenen Forderungen verschiedenster Unternehmen verwendet).

Den Inhalt der erteilten Auskunft vom 22. Mai 2009 hat die Beschwerdeführerin nicht hinsichtlich der Richtigkeit, sondern nur hinsichtlich der Vollständigkeit im Hinblick auf die Bonitätsbewertung bestritten (dazu sogleich unten). Die Zweitbeschwerdegegnerin behauptet, dass die Entscheidung ob und wie Bonitätsprüfungen durchgeführt werden von ihren Kunden durchgeführt wird.

Dies entspricht der Rechtssprechung der Datenschutzkommission und des Verwaltungsgerichtshofs (Bescheid DSK 14.09.2007, K121.292/0011-DSK/2007; VwGH Erkenntnis 11.12.2009, 2009/17/0223; beide RIS) wonach die Entscheidung, ob und wie Bonitätsdaten für ein Scoring-System verwendet werden, von den Kunden des Auskunfteiunternehmens getroffen wird, und diese die Verantwortung für die Art und Weise der Verarbeitung und die Angemessenheit des Systems trifft. Sie sind als datenschutzrechtliche Auftraggeber auch zur Auskunftserteilung verpflichtet, wobei die Dienstleister ihnen zur Hilfestellung und zur Verfügungstellung sämtlicher relevanter Personendaten verpflichtet sind.

Kunde der Zweitbeschwerdegegnerin war in diesem Fall die Erstbeschwerdegegnerin.

Ein Vorbringen, das das Modell, von dem hier in der rechtlichen Beurteilung sachverhaltsmäßig ausgegangen wird, widerlegen hätte können, ist nicht erstattet worden. Daher erweist sich das Vorbringen der Beschwerdeführerin hinsichtlich der Zweitbeschwerdegegnerin als nicht stichhaltig; die Beschwerde war diesbezüglich abzuweisen.

2.2. Erfüllung des Auskunftsrechts durch die Erstbeschwerdegegnerin

Hinsichtlich der Erstbeschwerdegegnerin ist die Beschwerde jedoch berechtigt.

Die Erstbeschwerdegegnerin hat es in ihrem Auskunftsschreiben vom 4. August 2009 verabsäumt, der Beschwerdeführerin auf ihr präzises Auskunftsbegehren nach den Daten durchgeführter Bonitätsprüfungen oder automatisierter Einzelentscheidungen Auskunft zu geben. Statt dessen hat sie ausweichend geantwortet, insbesondere die Beschwerdeführerin an ihre Dienstleisterin, die Zweitbeschwerdegegnerin, verwiesen, die aber, wie schon oben ausgeführt, im gegebenen Zusammenhang keine Auskunftspflicht trifft. Auf die Frage der Beschwerdeführerin nach automatisierten Einzelentscheidungen ist die Erstbeschwerdegegnerin nicht einmal eingegangen.

Die Beschwerdegegnerin ist verpflichtet, jeder Person, die eine entsprechende Betroffenenrolle bescheinigt, den logischen Ablauf der automatisierten Entscheidungsfindung im von ihr eingerichteten System zur Bonitätsprüfung in allgemein verständlicher Form darzulegen. Denn es handelt sich bei § 49 Abs. 3 DSG 2000 um eine besondere Auskunftspflicht, die ausnahmsweise unabhängig vom Tatbestand der tatsächlichen dauerhaften Verarbeitung, insbesondere Speicherung personenbezogener Daten, besteht (DSK Bescheid 25.04.2008, K121.348/0007-DSK/2008, RS2, RIS).

Dadurch hat die Erstbeschwerdegegnerin die Beschwerdeführerin in ihren Rechten auf Auskunft gemäß §§ 26 Abs. 1 und 49 Abs. 3 DSG 2000 verletzt. Gemäß § 31 Abs. 7 DSG 2000 idF BGBl. I Nr. 133/2009 war der Beschwerde daher diesbezüglich Folge zu geben und waren entsprechende Leistungsaufträge zu erteilen.