K212.804/0006-DSK/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

E M P F E H L U N G

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. HUTTERER, Mag. HEILEGGER, Dr. ROSENMAYR-KLEMENZ und Dr. GUNDACKER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 20. März 2013 folgenden Beschluss gefasst:

Aus Anlass der Eingabe von Herrn Peter N*** in Wien, vertreten durch Dr. Ulrich A***, Rechtsanwalt in **** K***, vom 14. Oktober 2011, betreffend die Verarbeitung von personenbezogenen Daten in der zu DVR 0*3*42*, DAN 005, im Datenverarbeitungsregister registrierten Datenanwendung „Gläubigerschutz im In- und Ausland – Führung eines Inkassoinstituts – Inkassodatei“, ergeht gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustands die folgende Empfehlung an den M***-Gläubigerschutzverband:

1. Der M***-Gläubigerschutzverband möge hinsichtlich der Aufbewahrungsdauer der Daten in der „Inkassodatei“ bei Einlangen eines Löschungsbegehrens nach Löschung der Daten aus der Ediktsdatei die weitere Aufbewahrung im Einzelfall prüfen und entsprechend dem Ergebnis der Prüfung die Daten des Betroffenen löschen oder ihm gegenüber für den Einzelfall zu begründen, warum die Daten nicht gelöscht werden.

2. Der M***-Gläubigerschutzverband möge hinsichtlich des Einschreiters entsprechend Empfehlung 1 vorgehen.

3. Empfehlung 1 möge für die Zukunft in allen Fällen angewendet werden. Für die Umsetzung von Empfehlung 2 wird eine Frist von zwei Wochen gesetzt.

Rechtsgrundlagen : § 1 Abs. 1 und 2, § 4 Z 1, § 27, § 28 und § 30 Abs. 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, iVm § 253, § 256 Insolvenzordnung (IO), RGBl. Nr. 337/1914 idgF.

G r ü n d e f ü r d i e s e E m p f e h l u n

g:

A. Vorbringen der Beteiligten und Verfahrensgang

1. In seiner Eingabe vom 14. Oktober 2011 führte der Einschreiter, rechtsanwaltlich vertreten, aus, durch auch telefonische Weitergabe veralteter Daten durch den M***- Gläubigerschutzverband (in der Folge: M***) aus einer „Kommerz- Business-Datenbank“ auf telefonische Anfrage von Bankinstituten werde gegen die Grundsätze von Treu und Glauben des DSG 2000 und die Judikatur zu 6 Ob 41/10p verstoßen, weil im konkreten Fall sein Privatkonkurs erledigt und (nachgewiesen) aus der Ediktsdatei des Bundes gelöscht sei. Der M*** sei seinem diesbezüglichen Löschungsbegehren vom 12. September 2011 nicht gefolgt, weshalb Anträge des Einschreiters bei dessen Hausbank nicht entsprechend bearbeitet worden seien. Es werde begehrt, dem M*** die Löschung sämtlicher Daten des Einschreiters aus allen Datenbanken zu empfehlen (vorgeschlagene Umsetzungsfrist: ein Monat).

2. Da sich aus den der Eingabe beigelegten Unterlagen ergab, dass weder in der Warnliste ****, noch in der Warenkreditverzeichnis, noch in der Kommerz- Business-Datenbank des M*** Daten vorhanden gewesen seien, wurde der Einschreiter aufgefordert, die behaupteten Datenübermittlungen näher zu präzisieren. Er führte dazu aus, dass erwiesenermaßen zwischen M*** und D*** Bank AG als kontoführendem Institut des Einschreiters der Austausch historischer Daten gepflogen werde, indem der M*** offenbar auf telefonischen Zuruf des Kreditinstituts eine dem Einschreiter von seiner Bank inhaltlich nicht näher als „Hinweissperre“ dargestellte (und trotz entsprechenden Wunsches nicht ausdruckbare) Information weitergebe. Dies habe zur Folge, dass Anträge des Einschreiters an seine Bank auf Gewährung eines Rahmens zu seinem Girokonto unter Hinweis auf diese „M***-Hinweissperre“ abgelehnt würden, obwohl die Insolvenz des Einschreiters aus dem Jahr 2003 entsprechend den gesetzlichen Bestimmungen erledigt und aus der Ediktsdatei des Bundes gelöscht sei.

Der Einschreiter sei dadurch beschwert, dass offenbar ihn betreffende Daten seiner Insolvenz aus dem historischen Jahr 2003 vom M*** papier- und dokumentationsfrei auf Zuruf einer Bank weitergegeben würden, ohne dass dieser (rechtswidrige) Vorgang dokumentiert und ihm auf Ersuchen inhaltlich dargestellt werde. Dies sei auch am Tag der Eingabe festgestellt worden.

3. Dazu zur Stellungnahme aufgefordert, gab die D*** Bank AG an, in Folge des Antrages des Einschreiters auf einen Kontoüberziehungsrahmen einen Hinweis auf einen „M***-Eintrag“ erhalten zu haben. In der nachfolgenden telefonischen Anfrage dazu habe der M*** die Auskunft erteilt, dass grundsätzlich keine Eintragungen vorhanden gewesen seien, der Kunde jedoch in Privatinsolvenz gewesen wäre.

4. Der M*** verwies, rechtsanwaltlich vertreten, in seiner Stellungnahme zu der Angelegenheit auf die Ausführungen im Verfahren K212.717 und damit im Ergebnis auf einen Eintrag des Einschreiters in der zu DVR 0*3*42*, DAN 005, im Datenverarbeitungsregister registrierten Datenanwendung „Gläubigerschutz im In- und Ausland – Führung eines Inkassoinstituts – Inkassodatei“ (in der Folge kurz: „Inkassodatei“).

5. Auf den Vorhalt, dass nach Angaben im Verfahren K212.717 für die Inkassodatei mangels festgelegter Aufbewahrungsfristen für die Daten jene herangezogen werden, die in Bescheiden der Datenschutzkommission für die Verbraucherkreditliste festgelegt wurden, die dort geregelte fünfjährige Frist für die Aufbewahrung von Daten zu einer Privatinsolvenz (Spruchpunkt 6b. des Bescheides GZ K**1.035-0*2/004-DVR/2007) eine Maximalfrist sei und die Frage, aus welchen konkreten Erwägungen die Daten des Einschreiters noch weiter aufbewahrt werden, wurde angegeben, die Erwägung zur Ausschöpfung dieser Maximalfrist liege darin, dass gerade durch ein Insolvenzverfahren eine Mehrheit von Gläubigern teilweise oder gänzliche Forderungsverluste hinnehmen müsse. Allein dies rechtfertige „jedenfalls“ die gänzliche Ausschöpfung der Frist, sodass es darüber hinausgehenden Erwägungen, die in anderen Fällen durchaus durch den datenschutzrechtlichen Auftraggeber angestellt werden könnten, nicht bedürfe.

B. Sachverhaltsfeststellungen

Es wird der folgende Sachverhalt festgestellt:

Der Einschreiter war aufgrund einer Insolvenz zu GZ *5 S *35/03h mit einem Schuldenregulierungsverfahren in der Ediktsdatei des Bundes eingetragen. Mit Schreiben vom 31. August 2011 beantragte der Einschreiter die Löschung des Schuldenregulierungsverfahrens aus der Ediktsdatei mit der Begründung, dass der Zahlungsplan bereits vollständig erfüllt sei. Mit Beschluss des Bezirksgericht T***, GZ *5 S *35/03h- 28, vom 5. September 2011 wurde das Insolvenzverfahren gemäß § 256 Abs. 3 IO mit sofortiger Wirkung aus der Ediktsdatei gelöscht.

Daten zum Insolvenzverfahren des Einschreiters werden weiterhin in der zu DVR 0*3*42*, DAN 005, im Datenverarbeitungsregister registrierten Datenanwendung „Inkassodatei“ des M***-Gläubigerschutzverband gespeichert. Diese Tatsache wurde über die Kommerz- Business-Datenbank zumindest der D*** Bank AG mitgeteilt (zuletzt am 25. Oktober 2011).

Am 12. September 2011 stellte der Einschreiter, rechtsanwaltlich vertreten, unter Hinweis auf § 28 Abs. 2 DSG 2000 und Beilage des Beschlusses des BG T*** im Wesentlichen folgendes Löschungsbegehren an den M***:

„... In obiger Angelegenheit wird unter Vorlage des B. des BG-

T*** vom 05.09.2011 zu dg. *5 S *35/03h gem. Par. 28 DSG der auszuführende Antrag auf vollständige Löschung sämtlicher Daten des Antragstellers aus allen von Ihnen geführten Datenbanken und nicht lediglich Unterdrückung im Sinne einer Datensperre gestellt, sodass anfragende Kunden nicht die Information „keine Daten vorhanden“ bzw. „ keine Treffer gefunden“ erhalten, ersuche um Benachrichtigung von der Erledigung des Antrags zu meinen Handen, halte diese Sache evident + verbleibe mfG. ...“

Mit Schreiben vom 22. September 2011 teilte der M***, rechtsanwaltlich vertreten, zum Löschungsbegehren im Wesentlichen folgendes mit:

„... Auf registrierte Datenanwendungen gem. § 50 DSG 2000, die

der Bonitätsprüfungen durch Kreditinstitute dienen ist § 28 Abs. 2 DSG nicht anzuwenden. Auf die diesbezügliche Klarstellung durch das Verbraucherkreditgesetz dürfen wir hinweisen.

Wie überdies den beigefügten Auskunftsinhalten entnommen werden kann, befinden sich sowohl in der Warnliste ****, wie auch im Warenkreditverzeichnis keine Eintragungen, Es sind dort schlichtweg keine Daten vorhanden.

Des Weiteren befindet sich in der Kommerz- Business-Datenbank als öffentlich zugänglicher Datei kein Datensatz, allfällige Anfragen werden daher mit der Information beantwortet „keine Daten vorhanden“ oder „kein Treffer gefunden“. Von der Löschung der Daten sind die nicht öffentlich zugänglichen Datenbanken naturgemäß nicht erfasst, da auf solche bezogen ein Begehren gemäß § 28 Abs. 2 DSG 2000 nicht gestützt werden kann. ...“

Darauf meinte der Einschreiter durch seinen Rechtsanwalt mit Schreiben vom 28. September 2011:

„... Ihr Schreiben vom 22.09.2011 wurde Herrn N***

übermittelt. Dieser berichtet mit Telefonat vom 28.09.2011, dass seine Bank von Ihrer Mandantin telefonisch Auskunft über einen Eintrag in der Kommerz- Business-Datenbank über eine „Sperre“ erhalten habe, die eine Bearbeitung eines Ansuchens meines Mandanten verunmögliche, ersuche daher diesbezüglich um Aufklärung, halte diese Sache evident und verbleibe mfG. ...“

Dies beantwortete der M*** mit Schreiben vom 30. September 2011 wie folgt:

„... Gleichzeitig hat unsere Mandantin uns informiert, dass

sich Ihr Klient meldete mit dem Ersuchen, dass eine Rücknahme des Widerspruches zur Kenntnis genommen und sämtliche Daten für berechtigte Anfragen und Auskünfte wieder verfügbar zu halten sind.

Ihr Mandant wurde sogar noch gesondert darauf hingewiesen, dass dies selbstredend nur die Daten in ihrer Gesamtheit betreffen kann.

Nebstbei sei erwähnt, dass in der Kommerz- Business-Datenbank keine Meldungen über „Sperren“ erfolgen, wurden die Daten gemäß § 28 Abs. 2 DSG physisch gelöscht, so ergeht die Mitteilung „keine Daten vorhanden“.

Wir ersuchen um Klarstellung, ob Ihr Mandant von der Möglichkeit nach § 28 Abs. 2 DSG Gebrauch macht oder nicht, bejahendenfalls betrifft dies natürlich nur die öffentlich zugänglichen Datenbanken und nicht die gemäß § 50 DSG 2000 registrierten Datenverbundsysteme, die der Kreditprüfung dienen. Auf das Verbraucherkreditgesetz dürfen wir verweisen. Derzeit sind dem direkt übermittelten Auftrag Ihres Klienten entsprechend die Daten wieder zugänglich. ...“

Darauf replizierte der Einschreiter mit Schreiben vom 4. Oktober 2011:

„... Nach heutiger telefonischer Anfrage von Herrn N*** wurde

Ihm der Inhalt Ihres Schreibens vom 30.9. zur Kenntnis gebracht und widerspricht der Mandant nach wie vor jeder Speicherung und jeder Weitergabe historischen und veralteter Daten in Zusammenhang mit dem erledigten Insolvenzverfahren in jeder Weise, da nach Mitteilung seiner Bank auf deren telefonische Anfrage bei Ihrer Mandantin dort von einer sachlich nicht näher begründeten, bestehenden "Sperre" gesprochen wird, obwohl die Überprüfung der Kreditwürdigkeit des Verbrauchers auf Grund dessen Angaben über seine nachgewiesene aktuelle Einkommenssituation und erfolgten Löschung aus der Ediktsdatei nach Erledigung positiv abgeschlossen wäre, ersuche um Veranlassung der vollständigen Löschung sämtlicher Daten des Antragstellers aus allen Datenbanken Ihrer Mandantin und nicht lediglich Unterdrückung sowie Unterlassung telefonischer Weitergabe veralteter Informationen, halte diese Sache evident und verbleibe mfG.

...“

Schließlich abschließend dazu der M*** wesentlich im Schreiben vom 12. Oktober 2011:

„ ... nehmen zur Kenntnis, dass Herr N*** weiterhin

widerspricht.

...

Die Datenverarbeitung sowie der Inhalt der Daten wurden geprüft, letzterer ist richtig, zumindest wurde auch gegen die Richtigkeit seitens Ihres Mandanten nichts vorgebracht.

Wir müssen daher ersuchen Ihrem Mandanten abschließend – die bedeutet, dass wir auf weitere Schreiben, die keine Neuigkeiten enthalten auch nicht mehr antworten werden – zur Kenntnis bringen, dass in der Warnliste **** sowie im Warenkreditverzeichnis überhaupt keine Eintragungen aufscheinen, die gemäß Mitteilung vom 14.9.2011 angeführten Eintragungen in der Verbraucherkreditliste haben zu verbleiben und können sich Löschungsanträge im Sinne eines Widerspruches nach der Klarstellung durch das Verbraucherkreditgesetz auf diese Datenanwendung nicht beziehen.

Ihr Mandant ist daher darauf hinzuweisen, dass eine gegenteilige Auffassung nur mittels Klage gegen den jeweiligen datenschutzrechtlichen Auftraggeber gerichtlich durchzusetzen wäre. ...“

Beweiswürdigung : Diese Feststellungen sind im Wesentlichen unbestritten, ergeben sich aus der Eingabe und der beigefügten Korrespondenz. Die Verarbeitung von Daten zum Einschreiter in der Inkassodatei wurde nicht bestritten.

C. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die relevanten Vorschriften des DSG 2000 lauten auszugsweise:

Die Verfassungsbestimmung § 1 Abs. 1 und 2 DSG 2000 lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“

§ 4 Z 1 DSG 2000 lautet:

„ § 4 . Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

Die §§ 27 und 28 DSG 2000 lauten samt Überschrift:

„ Recht auf Richtigstellung oder

Löschung

§ 27 . (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar

Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§ 46 und 47.

(2) Der Beweis der Richtigkeit der Daten obliegt - sofern gesetzlich nicht ausdrücklich anderes angeordnet ist - dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.

(3) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.

(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.

(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in § 26 Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen nach Auffassung des Auftraggebers berechtigt ist. Die gemäß Abs. 4 erforderliche Mitteilung an den Betroffenen hat in allen Fällen dahingehend zu lauten, daß die Überprüfung der Datenbestände des Auftraggebers im Hinblick auf das Richtigstellungs- oder Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.

(6) Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern aus Gründen der Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind bis dahin die zu löschenden Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer berichtigenden Anmerkung zu versehen.

(7) Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet, und läßt sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit Zustimmung des Betroffenen oder auf Grund einer Entscheidung des zuständigen Gerichtes oder der Datenschutzkommission gelöscht werden.

(8) Wurden im Sinne des Abs. 1 richtiggestellte oder gelöschte Daten vor der Richtigstellung oder Löschung übermittelt, so hat der Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung, bedeutet und die Empfänger noch feststellbar sind.

(9) Die Regelungen der Abs. 1 bis 8 gelten für das gemäß Strafregistergesetz 1968 geführte Strafregister sowie für öffentliche Bücher und Register, die von Auftraggebern des öffentlichen Bereichs geführt werden, nur insoweit als für

durch Bundesgesetz nicht anderes bestimmt ist.

Widerspruchsrecht

§ 28 . (1) Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat jeder Betroffene das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen Situation ergeben, beim Auftraggeber der Datenanwendung Widerspruch zu erheben. Der Auftraggeber hat bei Vorliegen dieser Voraussetzungen die Daten des Betroffenen binnen acht Wochen aus seiner Datenanwendung zu löschen und allfällige Übermittlungen zu unterlassen.

(2) Gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datenanwendung kann der Betroffene jederzeit auch ohne Begründung seines Begehrens Widerspruch erheben. Die Daten sind binnen acht Wochen zu löschen.

(3) § 27 Abs. 4 bis 6 gelten auch in den Fällen der Abs. 1 und 2.“

§ 30 Abs. 1 und 6 DSG 2000 lauten:

„ Kontrollbefugnisse der Datenschutzkommission

§ 30 . (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.

[…]

(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission, sofern nicht Maßnahmen nach den §§ 22 und 22a oder nach Abs. 6a zu treffen sind, Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere

§ 152 Abs. 1 Gewerbeordnung lautet:

„ Auskunfteien über Kreditverhältnisse

§ 152 . (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.“

Die §§ 253, 255f, 266 der Insolvenzordnung (IO) idgF lauten:

„ Zuständigkeit und Vertretung

§ 253 . (1) Die Gerichtsbarkeit im Verfahren vor dem Insolvenzgericht übt in erster Instanz ein Mitglied des Gerichts als Einzelrichter aus.

(2) Vereinbarungen über die Zuständigkeit der Gerichte sind unwirksam.

(3) Gläubiger können sich auch durch einen bevorrechteten Gläubigerschutzverband vertreten lassen. Die Berufung auf die erteilte Bevollmächtigung ersetzt deren urkundlichen Nachweis. Zur Stellung eines Antrags auf Eröffnung des Insolvenzverfahrens und im Verfahren erster Instanz kann sich der Gläubigerschutzverband, wenn er nicht durch ein satzungsgemäß berufenes Organ vertreten ist, nur eines seiner Bediensteten oder eines gesetzlich befugten Parteienvertreters als Bevollmächtigten bedienen. Lässt sich ein Gläubiger zur Erhebung eines Rekurses durch einen Gläubigerschutzverband vertreten, so muss das Rechtsmittel mit der Unterschrift eines Rechtsanwalts versehen sein. Satzungsgemäß berufenen Organen der bevorrechteten Gläubigerschutzverbände sowie ihren Bevollmächtigten ist auch dann, wenn die Bevollmächtigung durch einen Gläubiger nicht ausgewiesen ist, die Einsichtnahme in die Insolvenzakten zu gestatten (§ 219 Abs. 2 ZPO), ohne dass ein rechtliches Interesse glaubhaft gemacht werden muss.

(4) Durch einen Bevollmächtigten seiner gesetzlichen Interessenvertretung oder seiner freiwilligen kollektivvertragsfähigen Berufsvereinigung kann sich ein Gläubiger im gleichen Umfang wie durch einen bevorrechteten Gläubigerschutzverband vertreten lassen, wenn ein Rechtsstreit über die Forderung eine Arbeitsrechtssache nach § 50 ASGG wäre.

...

Öffentliche Bekanntmachung

§ 255 . Die öffentliche Bekanntmachung von Schriftstücken und Beschlüssen erfolgt durch Aufnahme in die Insolvenzdatei.

Insolvenzdatei

§ 256 . (1) In die Ediktsdatei sind die Daten aufzunehmen, die nach diesem Bundesgesetz öffentlich bekanntzumachen sind (Insolvenzdatei).

(2) Die Einsicht in die Insolvenzdatei ist nicht mehr zu gewähren, wenn ein Jahr vergangen ist seit

(3) Auf Antrag des Schuldners ist die Einsicht in die Insolvenzdatei bereits dann nicht mehr zu gewähren, wenn der rechtskräftig bestätigte Sanierungsplan oder Zahlungsplan erfüllt worden ist. Der Schuldner hat die Erfüllung urkundlich nachzuweisen. Mit der Prüfung der Erfüllung kann das Gericht einen Sachverständigen beauftragen, dessen Kosten vom Schuldner zu tragen sind. Über die Einsicht entscheidet das Gericht mit unanfechtbarem Beschluss.

(4) Die Einsicht in die Eintragung der mangels kostendeckenden Vermögens nicht eröffneten Insolvenzverfahren ist nach drei Jahren nach der Eintragung nicht mehr zu gewähren.

...

Bevorrechtung eines Gläubigerschutzverbands

§ 266 . (1) Der Bundesminister für Justiz hat bei Bedarf, insbesondere unter Berücksichtigung der Erfordernisse eines umfassenden, wirksamen Schutzes der Gläubigerinteressen, deren zweckmäßigen Wahrnehmung in den Verfahren nach den Insolvenzgesetzen und einer damit verbundenen Unterstützung der Gerichte, Vereinen auf deren Antrag mit Verordnung die Stellung eines bevorrechteten Gläubigerschutzverbandes zuzuerkennen.

(2) Ein Gläubigerschutzverband muss verlässlich, in seinem Wirken auf ganz Österreich ausgerichtet und imstande sein, die Aufgaben nach Abs. 1 zu erfüllen; er darf nicht auf Gewinn gerichtet sein. Er muss zahlreiche Mitglieder haben, oder es müssen ihm Mitglieder angehören, die, ohne selbst auf Gewinn gerichtet zu sein, die Interessen einer großen Anzahl von Gläubigern vertreten.

(3) Wird ein neuer Gläubigerschutzverband zugelassen, so ist in der Verordnung ein sechsmonatiger Zeitraum bis zum Inkrafttreten der Verordnung zu bestimmen.

(4) Das Vorrecht erlischt mit der Auflösung des Gläubigerschutzverbands. Der Bundesminister für Justiz hat das Erlöschen mit Verordnung festzustellen.

(5) Der Bundesminister für Justiz hat das Vorrecht mit Verordnung zu entziehen, wenn die Voraussetzungen wegfallen, unter denen es erteilt worden ist.“

2. rechtliche Schlussfolgerungen

Verfahrensgegenständlich ist die zulässige Dauer der Speicherung von Daten in der zu DVR 0*3*42*, DAN 005, im Datenverarbeitungsregister registrierten Datenanwendung „Inkassodatei“ des M***-Gläubigerschutzverband.

A. zur Zulässigkeit der „Inkassodatei“

Die Datenanwendung „Gläubigerschutz im In- und Ausland – Führung eines Inkassoinstituts – Inkassodatei“ ist eine zu DVR 0*3*42*, DAN 005 im Datenverarbeitungsregister am 19. Mai 1995 gemeldete und am 25. Februar 1997 registrierte Datenanwendung.

Der M*** ist bevorrechteter Gläubigerschutzverband iSd § 266 IO. Zu den Aufgaben eines „bevorrechteten Gläubigerschutzverbandes“ zählt die Vertretung von Gläubigern im Insolvenzverfahren, weswegen dieser gewisse Informationen aus diesen Verfahren gemäß IO erhält (vgl. zB § 253 Abs. 3 IO). Da diese Informationen für den jeweiligen Gläubiger bestimmt sind, ist eine Weitergabe dieser Informationen an Gläubiger wohl gesetzlich intendiert.

Der M*** ist zur Führung einer Datenanwendung zum Gläubigerschutz daher grundsätzlich berechtigt, darüberhinaus besitzt der M*** auch eine Gewerbeberechtigung nach § 152 GewO 1994.

Zur konkreten Form der Weitergabe brachte der M*** (im Verfahren K212.717, mit Hinweis darauf aber auch hier) vor:

Insolvenzverfahren zu Personen seien nicht online abzufragen, es erfolge ein Hinweis „Abfrage über M*** erforderlich“. Diese Personen seien für Auskünfte gesperrt und werde telefonisch allgemein formuliert, dass es zu der abgefragten Person (zur entsprechenden M***-Nummer) eine Insolvenzinformation gebe. Bei Unternehmen werde auf eine Unternehmensauskunft verwiesen, bei Privatpersonen an den Kunden selbst.

Es werden daher keine Daten im Rahmen einer öffentlich zugänglichen Datei zur Verfügung gestellt, sondern vielmehr an Gläubiger im Einzelfall lediglich das Faktum einer Insolvenz, jedoch keine Details zur Insolvenz bekannt gegeben.

Dies stellt eine Auskunft über Kreditverhältnisse iSd § 152 Abs. 1 GewO dar, zu der der M*** im Rahmen seiner Gewerbeberechtigung als Kreditauskunftei auch berechtigt ist. Verfahrensgegenständlich ist nun, wie lange die Daten in der „Inkassodatei“ aufbewahrt werden dürfen.

B. zur Frage der Aufbewahrungsdauer der Daten in der „Inkassodatei“

Der M*** orientiert sich hier an den im Bescheid der Datenschutzkommission zur Verbraucherkreditliste (VKL) (vgl. den Bescheid vom 12. Dezember 2007, GZ K**1.035-0*2/004- DVR/2007) festgelegten Fristen, da die Meldung zur „Inkassodatei“ keine Aufbewahrungsfristen enthält.

Dieser Bescheid legt im Wesentlichen fest (hinsichtlich Quelle, Empfängerkreise und Löschungsverpflichtung):

a. Quelle der Daten

„Die teilnehmenden Kreditinstitute, Leasingunternehmen und kreditgebende Versicherungsunternehmen sowie der M*** melden Daten über die Kreditvergabe an Privatpersonen und KMUs bzw. weitere bonitätsrelevante Daten, die aus öffentlich zugänglichen Quellen entnommen werden können, an dieses Informationsverbundsystem.“

b. Empfängerkreise

„Die VKL steht nur den Banken, kreditgebenden Versicherungen und Leasingunternehmen im EWR – in dem ein gleichmäßig hohes Datenschutzniveau aufgrund der gemeinschaftsrechlichen Vorschriften gewährleistet ist – als Informationsmittel zur Verfügung.“

c. Löschungsverpflichtung:

„6. Abgesehen von den in Pkt. 1 a) und 5 bezeichneten Fällen hat die Löschung aller Eintragungen betreffend ein konkretes Kreditschuldverhältnis in der VKL zu erfolgen,

a) wenn eine Kredit- oder Leasingschuld ohne Zahlungsanstand vollständig abbezahlt und das Kredit- oder Leasingverhältnis somit beendet ist: spätestens 90 Tage nach Abbezahlung;

b) wenn eine Kredit- oder Leasingschuld nach Zahlungsanstand vollständig abbezahlt wurde: spätestens fünf Jahre nach vollständiger Abzahlung der Schuld;

c) falls jedoch das Nichtbestehen des behaupteten Zahlungsanstandes rechtskräftig festgestellt wird: spätestens 90 Tage nach vollständiger Abbezahlung der Schuld bzw. wenn die Feststellung erst nach dieser Frist erfolgte: unverzüglich nach rechtskräftiger Feststellung;

d) in allen anderen Fällen: sieben Jahre nach Tilgung der Schuld oder Eintritt eines sonstigen schuldbefreienden Ereignisses.“

Im konkreten Fall hat sich der M*** auf die fünfjährige Frist aus Spruchpunkt 6b. bezogen, die nach seinen Ausführungen im Schreiben vom 10. September 2012 im Falle von Insolvenzverfahren „jedenfalls“ „ohne darüber hinausgehender Erwägungen“ ausgeschöpft wird.

Zunächst ist anzumerken, dass mangels einer Spezialregelung für die Inkassodatei jedenfalls die allgemeine Regelung des § 6 Z 5 DSG 2000 anzuwenden ist, wonach Daten „solange in personenbezogener Form aufbewahrt werden [dürfen], als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist….“

Wie sich aus der Meldung der „Inkassodatei“ zu DVR 0*3*42* ergibt, entspricht ihr Inhalt betreffend Insolvenzverfahren weitgehend dem Inhalt der Ediktsdatei des Bundes. Als Übermittlungsempfänger der Daten in der „Inkassodatei“ sind angegeben:

„01 In- und ausländische Rechtsanwälte, freiberufliche

Inkassanten, Partnerinkassobüros (in- und ausländische)

02 Auftraggeber (im In- und Ausland)

03 Schuldner bzw. Schuldnervertreter (Anwalt, Steuerberater)

04 Mitschuldner bzw. Vertreter

05 Bürgen bzw. Vertreter

06 Meldeämter

07 M***-Kommerz- Business-Datenbank“

Die zu DVR 0*3*42*, DAN 007, registrierte Datenanwendung des M*** „Vorbeugender Gläubigerschutz im In- und Ausland - Erteilung von Wirtschaftsauskünften“ (M***-Kommerz- Business-Datenbank) wiederum ist eine öffentlich zugängliche Datei iSd § 28 Abs. 2 DSG 2000.

Dazu der M*** auf seiner Website:

„Die Kommerz- Business-Datenbank des M*** ist Österreichs bedeutendste Datenbank mit Bonitätsinformationen über Unternehmen. Mit ihrem enormen Umfang liefert sie flächendeckend Informationen zu jedem aktiven Unternehmen in Österreich, sofern nicht Betroffene von ihrem Widerspruchsrecht gemäß § 28 DSG (Datenschutzgesetz) Gebrauch gemacht haben.

Laufend und automatisiert fließen tagaktuell Daten aus unterschiedlichen Quellen ein. 100 Info-Experten recherchieren täglich zusätzliche Daten und garantieren so nicht nur die entscheidende Aktualität, sondern auch die besondere Qualität.“

Als eine dieser Quellen werden auch „Inkasso-Daten“ genannt. Daraus ergibt sich, dass die Inkassodatei einerseits anders als die VKL ausschließlich aus öffentlich verfügbaren Informationen gespeist wird (Quelle ist dabei die Ediktsdatei, während im Fall der VKL Informationen aus öffentlich zugänglichen Quelle sowie von an diesem Informationsverbundsystem teilnehmenden Auftraggebern stammen können), andererseits aber insbesondere über die M***-Kommerz- Business-Datenbank einem sehr weitem Personenkreis zugänglich ist (die VKL steht nur teilnehmenden Auftraggebern offen, die Inkassodatei praktisch jedem interessierten Gläubiger). Das erste Faktum spricht für eine längere Aufbewahrungsdauer der Daten in der Inkassodatei als in der VKL, das zweite Faktum für eine kürzere Aufbewahrungsdauer.

Die Datenschutzkommission sieht es daher nach sorgfältiger Abwägung als nicht unverhältnismäßig, dass die in der VKL festgelegten Aufbewahrungsfristen analog auch für die Inkassodatei herangezogen werden können.

Es kann in der Praxis durchaus zutreffen, dass die im Bescheid zur VKL ausdrücklich so ausgestalteten Maximalfristen regelmäßig ausgeschöpft werden, weil von Insolvenzen in der überwiegenden Mehrheit eine Mehrzahl von Gläubigern betroffen ist. Der Gesetzgeber trifft ja eine ähnliche Wertung mit den Fristen für die Dauer der Veröffentlichung in der öffentlich zugänglichen Ediktsdatei, die ja Quelle der Inkassodatei ist.

Für die Ediktsdatei besteht aber ein Löschungsanspruch nach § 256 Abs. 3 IO, dem nach Meinung der Datenschutzkommission insofern Rechnung zu tragen ist, als der M*** bei Erhalt eines Löschungsbegehrens im Einzelfall zu überprüfen hat, ob die Daten des Betroffenen weiter in der Inkassodatei aufzubewahren sind, wenn sie in der Ediktsdatei nicht mehr öffentlich verfügbar sind. Der M*** hat also in diesem Fall den Löschungsanspruch des Betroffenen im Einzelnen zu prüfen und die Löschung zu verfügen bzw. dem Betroffenen begründet mitzuteilen, warum die Löschung zu diesem Zeitpunkt nicht vorgenommen wird.

Da im konkreten Verfahren die Daten des Einschreiters in der Ediktsdatei des Bundes folgend einem entsprechenden Antrag gemäß § 256 Abs. 3 IO gelöscht wurden, auch gegenüber dem M*** ein solcher Antrag vom 12. September 2011 vorgelegen hat (der zwar auf das Widerspruchsrecht nach § 28 Abs. 2 DSG 2000 Bezug nahm, im Übrigen aber inhaltlich durch die Begründung für die Löschung aber durchaus auch als Antrag nach § 27 DSG 2000 zu verstehen war), und der M*** die Weigerung der Löschung im Einzelnen nicht begründet hat, wäre der M*** gehalten gewesen, diese Prüfung vorzunehmen bzw. zu wiederholen, entsprechend dem Ergebnis den Einschreiter von der Löschung zu informieren bzw. ihm auf den Einzelfall bezogen begründet darzulegen, warum seine Daten in der Inkassodatei nicht gelöscht wurden. Es war daher gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustands die obige Empfehlung zu erteilen. Eine Frist von zwei Wochen scheint, insbesondere in Bezug auf den Umfang der Prüfung des Löschungsbegehrens, angemessen.