K121.646/0011-DSK/2010 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. HUTTERER, Mag. MAITZ-STRASSNIG, Mag. HEILEGGER und Dr. GUNDACKER sowie des Schriftführers Mag. HILD in ihrer Sitzung vom 24. November 2010 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des Emilio D*** (Beschwerdeführer) in Wien vom 21. April 2010 gegen die H***-Bank Aktiengesellschaft (Beschwerdegegnerin) in 1020 Wien wegen Verletzung im Recht auf Auskunft in Folge mangelhafter Auskunfterteilung mit Schreiben vom 8. April 2010 sowie weitere Antragspunkte wird entschieden:
Rechtsgrundlagen : §§ 1 Abs. 3 Z 1 und Abs. 5, 26 Abs. 1, 4 und 6, 31 Abs. 1 und 7, 32 Abs. 1 und 4, 33 Abs. 1 und 4 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.
B e g r ü n d u n g:
A. Vorbringen der Parteien
Der Beschwerdeführer behauptet in seiner (an das – gemäß § 31 Abs. 8 DSG 2000 eingestellte – Verfahren Zl. K121.610 der Datenschutzkommission anschließenden) Beschwerde vom 20. April 2010, bei der Datenschutzkommission am Folgetag eingelangt, eine Verletzung im Recht auf Auskunft zunächst dadurch, dass die Beschwerdegegnerin sein Auskunftsbegehren verspätet beantwortet habe. Weiters habe er die Löschung von Daten der „Warnliste“ verlangt, die von einer anderen Bank dort eingetragen und von der Beschwerdegegnerin ebenfalls gespeichert worden seien. Diese Daten hätten ebenfalls beauskunftet werden müssen. Des Weiteren sei er mit der „Deaktivierung“ seiner Daten nicht einverstanden, und es werde auf seine „Forderung“ nach Bekanntgabe der Dienstleister, Datenherkunft und Übermittlungsempfängern „sowie Codes, Ratingzahlen oder ähnlichem“ nicht eingegangen. Er beantragte, die Verletzung im Löschungsrecht in Folge verspäteter und inhaltlich mangelhafter Auskunft festzustellen, eine vollständige Auskunft aufzutragen, die Löschung seiner Daten anzuordnen sowie eine an ihn abzuführende „Entschädigung“ festzusetzen.
Die Beschwerdegegnerin bestritt dieses Vorbringen in der Stellungnahme vom 28. September 2010 und führte aus, eine archivierte Speicherung von sogenannten „deaktivierten“ Daten aus einer nicht mehr aktiv bestehenden Geschäftsbeziehung sei aus bankrechtlichen Sorgfaltspflichten (insbesondere §§ 40 ff BWG) geboten. Dies stehe auch im Einklang mit dem Dokumentationszweck gemäß § 27 Abs. 3 DSG 2000.
Mit Stellungnahme vom 11. Oktober 2010 replizierte der Beschwerdeführer hierauf und wiederholte und präzisierte seine Anbringen, wobei er vorrangig auf das von ihm behauptete Recht auf vollständige Löschung seiner Daten einging.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin dem Beschwerdegegner auf seine Auskunftsbegehren hin (beginnend am 13. Februar 2009) gesetzmäßig Auskunft erteilt hat. Weiters hat der Beschwerdeführer eine Zuständigkeit der Datenschutzkommission für eine Entscheidung über seinen Löschungsanspruch und ein Entschädigungsbegehren behauptet, auf die einzugehen sein wird.
C. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Am 12. Februar 2009 lehnte die Filiale L*** Straße der Beschwerdegegnerin die Eröffnung eines neuen Kontos für den Beschwerdeführer ab. Am 13. Februar 2009 richtete der Beschwerdeführer ein schriftliches Auskunftsbegehren gemäß § 26 DSG 2000 an diese Filiale. Als Begründung gab er an, er vermute eine Einsichtnahme in die „Warnliste“ beim Kreditschutzverband von 1870 (in der im Auftrag der Ü***-BANK AG Daten betreffend den Beschwerdeführer verarbeitet werden).
Beweiswürdigung : Diese Feststellungen beruhen auf den zu Zlen. K121.610 und K121.646 vom Beschwerdeführer vorgelegten Urkundenkopien, insbesondere der E-Mail der Monika R*** an den Beschwerdeführer vom 12. Februar 2009 und der Kopie des zitierten Auskunftsbegehrens, beide vorgelegt als Beilagen zur Stellungnahme des Beschwerdeführers vom 11. Oktober 2010.
Am 5. März 2009 richtete die Beschwerdegegnerin ein Auskunftsschreiben an den Beschwerdeführer.
Beweiswürdigung : wie bisher (weitere Beilage zur Stellungnahme des Beschwerdeführers vom 11. Oktober 2010).
Am 2. Mai 2009 richtete der Beschwerdeführer ein Löschungsbegehren an die Beschwerdegegnerin, worauf diese ihm mit Schreiben vom 19. Juni 2009 mitteilte, dass seine Daten deaktiviert worden seien und nach Ablauf eines Jahres (diese Frist sei technisch bedingt) gelöscht würden.
Am 5. Jänner 2010 richtete der Beschwerdeführer ein weiteres Auskunftsbegehren an die Beschwerdegegnerin. Darin verlangte er insbesondere Auskunft aus „sog. bankinternen Informationslisten“ (wie Warnliste, UKV-Liste, „schwarze Listen“, Warn- und Mahnlisten u.dgl.).
Am 8. April 2010 (nach Einbringung der zu Zl. K121.610 anhängig gewesenen Beschwerde wegen Nichterteilung einer Auskunft) erteilte die Beschwerdegegnerin dem Beschwerdeführer die Auskunft, dass seine Daten bereits EDV-mäßig „deaktiviert“ worden seien und daher nicht mehr routinemäßig abgefragt oder bearbeitet werden könnten.
Beweiswürdigung : wie bisher.
Da der Beschwerdeführer daraufhin sein Vorbringen auf „Mangelhaftigkeit der erteilten Auskunft“ geändert hat, wurde das Verfahren Zl. K121.610 gemäß § 31 Abs. 8 DSG 2000 eingestellt und das gegenständliche Verfahren neu eröffnet. Eine weitere Auskunft an den Beschwerdeführer erfolgte im Verfahren nicht mehr.
D. In rechtlicher Hinsicht folgt daraus :
1. anzuwendende Rechtsvorschriften
Die Verfassungsbestimmung § 1 Abs. 3 Z 1 und Abs. 5 DSG 2000 lautet samt Überschrift:
„ Grundrecht auf Datenschutz
§ 1 . (1) …(2)
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
(4) […]
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, daß Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.“
§ 26 Abs. 1 und 4 und 6 DSG 2000 lautet samt Überschrift:
„ Auskunftsrecht
§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
(2) …(3)
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
(5) […]
(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.“
Die §§ 31 Abs. 1 und 7, 32 Abs. 1 und 4 und 33 Abs. 1 und 4 lauten samt Überschriften:
„ Beschwerde an die Datenschutzkommission
§ 31 . (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) …(6)
(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
Anrufung der Gerichte
§ 32 . (1) Ansprüche wegen Verletzung der Rechte einer Person oder Personengemeinschaft auf Geheimhaltung, auf Richtigstellung oder auf Löschung gegen natürliche Personen, Personengemeinschaften oder Rechtsträger, die in Formen des Privatrechts eingerichtet sind, sind, soweit diese Rechtsträger bei der behaupteten Verletzung nicht in Vollziehung der Gesetze tätig geworden sind, auf dem Zivilrechtsweg geltend zu machen.
(2) … (3)
(4) Für Klagen und Anträge auf Erlassung einer einstweiligen Verfügung nach diesem Bundesgesetz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat.
Schadenersatz
§ 33 . (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.
(2) … (3)
(4) Die Zuständigkeit für Klagen nach Abs. 1 richtet sich nach § 32 Abs. 4.“
2. rechtliche Schlussfolgerungen
Beschwerde wegen Verletzung im Auskunftsrecht
Diese Beschwerde ist berechtigt.
Dem Beschwerdeführer wurde zwar schon im Zuge der von ihm 2009 verlangten datenschutzrechtlichen Auskünfte sowie des darauf folgenden Löschungsbegehrens mitgeteilt, dass seine Daten „deaktiviert“ wurden und in weiterer Folge wunschgemäß gelöscht würden. Ihm wurde aber weder ein genauer Zeitpunkt für die Löschung genannt, noch ist die „Deaktivierung“ von Daten ein gesetzlich festgelegter Begriff, der dem in § 26 Abs. 1 DSG 2000 festgelegten Recht auf Auskunft in „allgemein verständlicher Form“ entsprechen würde. Aus der Tatsache, dass die Beschwerdegegnerin der Beschwerde hinsichtlich der Löschung das denkmögliche berechtigte Interesse an der Dokumentation von Daten entgegengehalten hat, ergibt sich, dass eine Abfrage der „deaktivierten“ Daten jedenfalls in diesem Zeitpunkt (28. September 2010) noch möglich war (wenn auch vielleicht nicht von jedem Arbeitsplatz und ohne spezielle Zugangsprivilegien).
In Befolgung des Gesetzes hätte die Beschwerdegegnerin dem Beschwerdeführer daher eine inhaltliche Auskunft zu seinen „deaktivierten“ Daten (etwa in der Art, wie dies am 5. März 2009 erfolgt ist) oder – nach bereits erfolgter Löschung – dem Beschwerdeführer eine klare und unmissverständliche Negativauskunft (etwa: „Ihre Daten wurden am …. gelöscht; wir verarbeiten daher keine sie betreffenden Daten mehr“) erteilen müssen.
Das Auskunftsrecht gemäß § 26 Abs. 1 DSG 2000 kann nämlich, wie aus § 26 Abs. 6 DSG 2000 (arg: „im laufenden Jahr“) zu schließen ist, wiederkehrend ausgeübt werden (aber nur einmal pro Kalenderjahr kostenfrei) und ist jedes Mal inhaltlich, je nach Umfang des aktuellen Datenbestandes, in gleicher Weise zu erfüllen (ein Verweis auf eine im Jahr zuvor erteilte Auskunft wäre daher nicht zulässig).
Dadurch, dass sie dies nicht beachtet hat, hat die Beschwerdegegnerin den Beschwerdeführer in Bezug auf sein Auskunftsbegehren vom 5. Jänner 2010 in seinem Recht auf Auskunft verletzt, und es waren die spruchgemäßen Feststellungen laut Spruchpunkt 1. zu treffen und der Beschwerdegegnerin die vollständige Auskunftserteilung aufzutragen.
Zurückweisung weiterer Anträge (Spruchpunkte 2. und 3.)
Die übrigen Anträge des Beschwerdeführers gehören nicht vor die Datenschutzkommission.
Gemäß § 32 Abs. 1 DSG 2000 sind Ansprüche wegen Verletzung der Rechte einer Person auf Löschung gegen natürliche Personen, Personengemeinschaften oder Rechtsträger, die in Formen des Privatrechts eingerichtet sind, soweit nicht ein spezieller Akt des Gesetzesvollzugs (insbesondere durch mit hoheitlichen Aufgaben beliehene Privatrechtsträger wie etwas die GIS – Gebühren Info Service Ges.m.b.H. hinsichtlich der Rundfunkgebühren) vorliegt, auf dem Zivilrechtsweg geltend zu machen.
Gemäß § 33 Abs. 1 und 4 DSG 2000 sind Schadenersatzansprüche wegen Verletzung von Datenschutzrechten durch Klage vor dem gemäß § 32 Abs. 4 DSG 2000 zuständigen Zivilgericht geltend zu machen.
Die Beschwerdegegnerin ist eine Aktiengesellschaft, somit ein Rechtsträger der in Formen des Privatrechts eingerichtet ist.
Daraus folgt, dass die Datenschutzkommission weder zur Entscheidung über den vom Beschwerdeführer behaupteten Löschungsanspruch, noch für sein Begehren auf Zuerkennung einer Entschädigung zuständig ist. Da diese Ansprüche nicht auf den Verwaltungsrechtsweg gehören, war auch eine Weiterleitung oder Verweisung an die sachlich und örtlich zuständige Verwaltungsbehörde gemäß § 6 Abs. 1 AVG nicht möglich.
Die entsprechenden Anträge waren daher spruchgemäß förmlich zurückzuweisen.