K121.925/0007-DSK/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Mag. ZIMMER, Mag. HUTTERER und Dr. GUNDACKER sowie des Schriftführers Dr. SCHMIDL in ihrer Sitzung vom 22. Mai 2013 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Otto W*** (Beschwerdeführer) aus **** L*** vom 28. Oktober 2012 gegen die Ö*** Bank Gesellschaft m. b.H. (Beschwerdegegnerin) aus **** L***, vertreten durch die I***-Rechtsanwälte Ges.m.b.H. aus **** L***, wegen Verletzung im Recht auf Auskunft über eigene Daten in Folge mangelhafter (unvollständiger) Beantwortung des Auskunftsverlangens vom 22. August 2012 (in der Fassung des Beschwerdebegehrens laut Stellungnahme vom 5. Mai 2013) wird entschieden:

Rechtsgrundlagen : § 1 Abs. 3 Z 1, § 4 Z 1, § 26 Abs. 1, 2 und 4, § 31 Abs. 1 und 7 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Der Beschwerdeführer behauptet in seiner vom 28. Oktober 2012 datierenden und am 29. Oktober 2012 bei der Datenschutzkommission eingelangten Beschwerde eine Verletzung im Recht auf Auskunft über eigene Daten dadurch, dass die Beschwerdegegnerin sein Auskunftsverlangen zunächst gar nicht, dann jedoch verspätet aber unvollständig und unrichtig beantwortet habe. Dazu die Begründung der Beschwerde wörtlich:

„Ich hatte Ö*** um Nachbesserung der Datenauskunft nach dem DSG 2000 ersucht (17. Oktober 2012), und begehrte noch folgende Unterlagen: 1.) Header (Briefkopf) der E-Mail vom 04. November 2011 12:24 Uhr, 2.) Unterschriftsdokument, um die Richtigkeit der Abbuchung zu dokumentieren. 3.) Info der Ö*** Bank an die K*** Bank gerichtet, ob eine Änderung erfolgen kann. 4.) Anlagen in der E-Mail p*4*3*654**23

Auf meine begehrte Auskunftsnachbesserung v. 17. Oktober 2012 wurde seitens Ö*** Bank und dem Vertreter von Ö*** Bank NICHT reagiert.“

Die Beschwerdegegnerin brachte durch ihre rechtsfreundlichen Vertreter (die zuvor schon im Zuge der Auskunftserteilung an den Beschwerdeführer eingeschritten waren) mit Stellungnahme vom 16. November 2012 vor, mit dem Beschwerdeführer habe ein Kreditkartenvertrag bestanden, der mit 21. August 2012 geendet habe. Am 22. August 2012 habe der Beschwerdeführer das gegenständliche Auskunftsverlangen gestellt und seine Identität zunächst durch die Kopie einer 1993 ausgestellte Dienstlegitimation der L***er Verkehrsbetriebe nachgewiesen, in der er das Lichtbild unkenntlich gemacht habe. Auf das Ersuchen, einen anderen Identitätsnachweis zu erbringen, habe der Beschwerdeführer zunächst mit dem Vorwurf der „Schikane“ reagiert, bevor er am 9. September 2012 durch Übersendung mehrerer Urkundenkopien seine Identität nachgewiesen habe. Am 26. September 2012 sei ihm die gewünschte Auskunft über seine Daten übermittelt worden. Am 5. Oktober 2012 seien dem Beschwerdeführer darüber hinaus Kopien sämtlicher Monatsabrechnungen bis 10/2009 übersendet worden, nicht zuletzt um den inzwischen erhobenen Vorwurf „des Betruges u. a. nach dem StGB, DSG 2000, BWG usw.“ zu entkräften. Darauf habe der Beschwerdeführer in einer E-Mail an die Rechtsanwälte der Beschwerdegegnerin den Vorwurf „unrechtmäßiger Abbuchungen von seinem Konto“ erneuert. In Reaktion darauf habe man ihm jene E-Mail der Kundenberaterin des Beschwerdeführers bei der K*** Bank AG übermittelt, in der namens des Beschwerdeführers ersucht wurde, die offene Kreditkartenabrechnung von dessen neuem Konto abzubuchen. Rechtlich berief sich die Beschwerdegegnerin darauf, von Gesetzes wegen einen hohen Grad der Verlässlichkeit eines Identitätsnachweises verlangen zu müssen. Die Behauptung der Schikane entbehre jeder Grundlage. Die nach Erbringung des Identitätsnachweises erteilte Auskunft habe dem Gesetz entsprochen. Man habe sogar über § 26 Abs. 1 DSG 2000 hinaus dem Beschwerdeführer aus Servicegründen „Informationen und Dokumente“ (z.B. eine Auflistung der Monatsabrechnungen bis ins Jahr 2009 zurück) zur Verfügung gestellt. Nach der Rechtsprechung ergebe sich aus § 26 Abs. 1 DSG 2000 aber nur ein Recht auf eine schriftliche Information über den Inhalt eigener Daten jedoch kein Recht auf Einsicht. Die in der Beschwerde angeführten Forderungen des Beschwerdeführers würden sich jedoch auf den Inhalt von Urkunden beziehen. Im Übrigen werfe der Beschwerdeführer allgemeine zivilrechtliche Fragen auf (etwa nach dem Nachweis einer rechtswirksamen Erklärung gegenüber seiner Bankberaterin), die nicht im Rahmen einer Auskunft gemäß § 26 Abs. 1 DSG 2000 zu klären wären.

Der Beschwerdeführer replizierte darauf in seiner Stellungnahme vom 24. November 2012, es sei „unbestritten, dass die Daten....nachgebessert übergeben wurden.“ Die Header der E-Mail vom 4. November 2011, das Dokument mit Unterschriftsleistung an die Ö***Bank für Berechtigung von seinem Girokonto Abbuchungen vornehmen zu dürfen, sowie die Bestätigung der Beschwerdegegnerin, „ob besagte Änderung erfolgen kann“ , wären noch zu beauskunften. Nach dem DSG 2000 seien „alle personenbezogenen, gespeicherten Daten zu beauskunften..., die bei dem Beschwerdegegner manuell erfasst oder auf einem elektronischen Datenträger gespeichert sind.“ Dies gelte auch für Kontobewegungen. Er verweise dazu auf die Beilagen 11 und 12 der Stellungnahme der Beschwerdegegnerin. Des weiteren führte er aus, es gebe Unstimmigkeiten betreffend seine Unterschriftsleistung auf einer Zustimmungserklärung zum Einzug von Forderungen bei seiner Hausbank (anlässlich eines Wechsels der Bankverbindung) und zum damit im Zusammenhang stehenden E-Mail-Wechsel zwischen der Beschwerdegegnerin und der K*** Bank (neue Hausbank). Bisher seien diese Daten nicht beauskunftet worden. Der Beschwerdeführer stellte aus diesem Anlass folgenden Antrag:

„Die DSK möge erkennen,

Ö*** Bank hat nach den Vorgaben des DSG 2000 § 26 Abs. 1, in der Auskunftserteilung NICHT entsprochen. Der Beschwerde des Beschwerdeführers Otto W***, wird stattgegeben.

Dem Beschwerdegegner wird aufgetragen innerhalb 14 Tagen, bei sonstiger Exekution, die Daten, insbesondere

nachzureichen.“

Auf Ersuchen der Datenschutzkommission legte die Beschwerdegegnerin mit Stellungnahme vom 26. April 2013 eine Urkundenkopie (Scan, Beilage/E-Mail-Attachment zur E-Mail der K*** Bank an die Ö*** Bank vom 4. November 2011) vor und brachte dazu vor, dass dieses Dokument nicht mit der Kreditkartenabrechnung und dem Einzug vom Girokonto des Beschwerdeführers in Verbindung stehe. Es handle sich um ein Ersuchen um Überweisung von Gehaltszahlungen. Die Ermächtigung, Lastschriften auf das Konto des Beschwerdeführers zu ziehen, ergebe sich aus dem Kreditkartenvertrag. Mit besagter E-Mail sei lediglich durch die Kundenbetreuerin des Beschwerdeführers eine Änderung der Bankverbindung mitgeteilt worden. Die in der E-Mail und im Attachment enthaltenen Daten seien identisch und dem Beschwerdeführer bekannt und würden daher, das Attachment betreffend, keinem gesonderten Auskunftsrecht unterliegen.

Der Beschwerdeführer brachte (nach nochmaligem Parteiengehör zum ergänzten Ermittlungsverfahren) mit Stellungnahme vom 5. Mai 2013 dazu vor, die Mitarbeiterin der K*** Bank habe der Beschwerdegegnerin telefonisch mitgeteilt, dass er zwei offene Beträge an die Ö*** Bank bezahlen wolle, was (Betrag von Euro 384,59) auch durch „händische“ Überweisung geschehen sei. Warum auch eine E-Mail gesendet worden sei, entziehe sich seiner Kenntnis. Die vertragliche Ermächtigung der Ö*** Bank zum Einzug von Rechnungen beziehe sich auf ein früheres, am 3. November 2011 aufgelöstes Konto des Beschwerdeführers. Das Aufliegen des „Datenblatts“ bei der Beschwerdegegnerin sei von „der Beklagten“ verschwiegen worden. Weitere Ausführungen beschäftigen sich mit der Zulässigkeit des Einzugs von Rechnungsbeträgen von seinem Konto bei der K*** Bank ohne seine Zustimmung.

Der Beschwerdeführer stellte abschließend folgende Anträge an die Datenschutzkommission:

„1. Die Kommission möge feststellen, dass die Beklagte nicht nach dem DSG 2000 die Auskunft erteilt hat (Vorenthalt sämtlicher Daten zur Auskunftserteilung, z.B.: Antrag auf bargeldlose Zahlung: Gehalt Beilage./13 der Beklagten).

2. Die Beklagte hat binnen 14 Tage, bei sonstiger Exekution, die Daten, welche ein Berechtigtes Abbuchen, also den Vertrag mit Ö*** Bank Ges.m.b.H. über das Konto der K*** Bank Nummer *21 8*1 7*234 BLZ **943, vorzulegen, oder zu begründen, warum sie diese Daten nicht beauskunften kann oder will.

3. Der Antrag der Beklagten wird abgewiesen.“

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das datenschutzrechtliche Auskunftsverlangen des Beschwerdeführers vom 22. August 2012 gesetzmäßig erfüllt hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende

Sachverhalt festgestellt:

Der Beschwerdeführer richtete am 22. August 2012 folgendes

Schreiben an die Beschwerdegegnerin:

„Sehr geehrte Damen und Herren,

gemäß DSG 2000 begehre ich Auskunft über alle über mich gespeicherten personenbezogenen Daten. Insbesondere betrifft dies auch alle sog. Bankinternen Informationslisten, die als "Liste der unerwünschten Kontoverbindungen", als "Kleinkreditevidenz", als "Warn- und Mahnlisten", als "schwarze Listen" oder in anderer Form bezeichnet werden.

Sofern diese oben umschriebenen bankinternen Informationslisten gem. den Bestimmungen des DSG als Informationsverbundsysteme geführt werden und dazu nach Auskunft der Datenschutzkommission noch kein rechtmäßiger Betreiber ernannt wurde, trifft diese Auskunftspflicht jedes Kreditinstitut, unabhängig davon, ob es selbst die Einträge dazu veranlaßt haben oder nur die Möglichkeit einer Abfrage hat.

Sollten Sie nicht meldepflichtige Standardanwendungen gemäß § 17 Abs 2 Z 6 DSG 2000 betreiben, teilen Sie mir gemäß § 23 DSG 2000 mit welche Standardanwendungen Sie vornehmen.

Gleichzeitig weise ich Sie darauf hin, dass sich dieses Auskunftsbegehren auch auf sämtliche betriebene Standardanwendungen bezieht.

Als gesetzlich vorgeschriebenen Beitrag zur Mitarbeit teile ich lhnen mit, dass ich

X Kunde bei Ö*** Bank war, Kundennummer: 1**54*274*1

X ein Konto bei Ihnen hatte, Kontonummer:

AT9*2*45***54*274*1

X auf Grund vertraulicher Informationen den begründeten Verdacht habe, auf den oben beschriebenen Informationslisten enthalten zu sein.

X Als weiteren Beitrag zur Mitarbeit gebe ich mein Geburtsdatum bekannt: **.**.19**

Soweit Sie Daten in automatisierter Form ermitteln (berechnen), die rechtliche Folgen haben können oder die Ihre Entscheidung zur Erbringung oder Nicht-Erbringung von Leistungen gegen meine Person beeinflussen können, wird gemäß § 49 Abs. 3 DSG 2000 beantragt das Zustandekommen der automatisierten Ermittlung (Berechnungsmethode) und des logischen Ablaufs der automatisierten Entscheidungsfindung zu beauskunften. Dies bezieht sich insbesondere auf Bewertungen, Einschätzungen und Ratings, die geeignet sind meine berufliche Leistungsfähigkeit, meine Kreditwürdigkeit, meine Zuverlässigkeit oder mein Verhaltens zu bewerten.

Gemäß DSG besteht binnen 8 Wochen eine Verpflichtung zur Auskunft. Die Auskunft ist vollständig, allgemein verständlich und kostenlos zu erteilen. Dies betrifft insbesondere die Aufschlüsselung, Erklärung und Begründung verwendeter Codes, Ratingzahlen oder ähnlichem. Die Frist beginnt am 22. August 2012 und endet am 10. Okt. 2012

Weiters weise ich ausdrücklich auf die Verpflichtung hin, die Datenherkunft, die Datenweitergaben und allfällig herangezogene Dienstleister bekannt zu geben. Im Zusammenhang mit den oben umschriebenen bankinternen Informationslisten widerrufe ich die Weitergabe personenbezogener Daten an diese Listen. Der Widerruf ist gem. DSG sofort wirksam und bewirkt auch die Ungültigkeit der Verwendung der bisher weitergegebenen Daten durch Dritte. Sie sind verpflichtet sicher zu stellen, dass diese Daten gelöscht werden und durch keinen anderen Auftraggeber verwendet werden.“

Dem Auskunftsverlangen war als Identitätsnachweis eine Kopie der Amtlichen Dienstlegitimation Nr. *35 V*, ausgestellt am 22. April 1993 vom Bürgermeister der Stadt L*** für Otto W*** als Bediensteter „i.R.“ der L***er Verkehrsbetriebe, angeschlossen. Auf dieser Ausweiskopie war das Lichtbild durch Schwärzung unkenntlich gemacht.

Dieses Auskunftsbegehren ist der Beschwerdegegnerin zugestellt worden.

Mit Schreiben vom 28. August 2012 ersuchte die Beschwerdegegnerin den Beschwerdeführer um Übermittlung einer Kopie eines amtlichen Lichtbildausweises mit erkennbarem Lichtbild.

Am 30. August 2012 antwortete der Beschwerdeführer darauf mit dem Vorwurf der Schikane und dem Einwand, die Beschwerdegegnerin könne sich „bei den L***er Verkehrsbetrieben“ nach seiner Identität erkundigen oder bei Zweifeln eine eigenhändige Zustellung der Auskunft an ihn durch die Post veranlassen.

Die Beschwerdegegnerin übergab die Angelegenheit daraufhin ihren entsprechend bevollmächtigten Rechtsanwälten (Kanzlei I***-Rechtsanwälte Ges.m.b.H.).

Diese forderten den Beschwerdeführer mit Schreiben vom 5. September 2012 nochmals auf, eine Ausweiskopie „in nicht geschwärzter Form“ zu übersenden.

In einem weiteren Schreiben (E-Mail vom 9. September 2012) bestritt der Beschwerdeführer eine entsprechende Obliegenheit, übermittelte aber gleichzeitig „unter Bedachtnahme der Kulanz“ Kopien (Scans als PDF-Dateien) seines Meldezettels, seiner Geburtsurkunde und seines Staatsbürgerschaftsnachweises an die Rechtsanwälte der Beschwerdegegnerin.

Am 26. September 2012 übermittelte daraufhin die Beschwerdegegnerin folgendes Auskunftsschreiben an den Beschwerdeführer:

„Wir nehmen Bezug auf ihr Telefax vom 22.08.2012 und teilen Ihnen in Erfüllung unserer Auskunftspflicht gemäß § 26 DSG 2000 folgendes mit:

1. Der Betroffene (konkret: Sie) kann vom Auftraggeber (konkret: Ö*** Bank GmbH) und gemäß § 26 Abs 1 DSG 2000 folgende Auskünfte verlangen.

2. Bei den von Ihnen bei uns gespeicherten Daten handelt es sich um Personen- und Kartendaten. Die persönlichen Daten enthalten die im Kartenantrag angegebenen Daten sowie die von der Ö*** Bank GmbH (in der Folge: Ö*** Bank) eingeholte Bankauskunft. Die Kartendaten umfassen Angaben über die Karte, deren Laufzeit sowie die von Ihnen getätigten Umsatze.

Otto W***

J***straße 1*/*7/09

**** L***

Tel: 06**/*34*61*

E-MaiI: ***ljh@***provider.at

Geburtsdatum: **.**.19**

Karten-Nummer: **2*6*0*3452*1

Kartenantrag erfasst: 25.03.2009

gültig bis: Karte storniert per 21.08.2012

Umsatzdaten

3. Sie haben mit Ihrem Kartenantrag Ö*** Bank Ihre Personaldaten zur Verfügung gestellt und Ö*** Bank ausdrücklich ermächtigt, Auskünfte, zu denen wir gesetzlich verpflichtet sind, einzuholen.

In dem zwischen Ihnen und Ö*** Bank abgeschlossenen Kreditkartenvertrag haben sie Ihre ausdrückliche Zustimmung zur Datenermittlung, Datenverarbeitung und Datenübermittlung in dem vom berechtigten Zweck erfassten Umfang erteilt.

4. Die gespeicherten Daten werden ausschließlich zur Abwicklung der Geschäftsbeziehung, insbesondere für den Geld- und Zahlungsverkehr und den damit verbundenen gesetzlichen Verpflichtungen, verwendet. Die entsprechende Rechtsgrundlage stellt der zwischen Ihnen und Ö*** Bank abgeschlossene Kreditkartenvertrag dar.

Die Daten werden auf Grundlage der von Ihnen bei Abschluss des Kreditkartenvertrages abgegebenen Ermächtigungen im Sinne des BWG und DSG zu Zwecken des Geld- und Zahlungsverkehrs mit Ihrer Karte an am Zahlungsverkehr teilnehmende Unternehmen übermittelt.

5. Ö*** Bank beauftragt T***sys NV/SA, Via Q*** 36, 20147 Milan, ltaly als Dienstleister.

6. Ö*** Bank gibt keine Daten an „bankinterne Informationslisten“ (etwa „Kleinkreditevidenz" oder „Liste der unerwünschten Kontoverbindungen" ) weiter.

Gerne stellen wir Ihnen die angefragten Monatsabrechnungen zur Verfügung. Wir weisen jedoch darauf hin, dass gemäß Punkt 18.9 unser Allgemeinen Geschäftsbedingungen pro Kopie ein Entgelt in Höhe von EUR 1,50 zu bezahlen ist. Bitte teilen Sie uns mit ob Sie die Zusendung der Abrechnungskopien weiterhin wünschen.“

In einem Schreiben (Telefax) vom 28. September 2012 an die Beschwerdegegnerin brachte der Beschwerdeführer vor, es fehlten insbesondere noch Auskunftsdaten dazu, wer der Beschwerdegegnerin das Recht gegeben habe, Euro 59,20 von seinem Konto bei der K*** Bank abzubuchen. Er habe Anspruch auf unentgeltliche Auskunft darüber, welche Kontobewegungen auf dem Ö*** Konto AT9*2*45**54*274*1 durchgeführt worden seien. Weiters seien ihm folgende „Daten“ zu übermitteln: „ Die Kopie des Einziehungsauftrags, Lastschriftauftrags (Urkunde) mit meiner Unterschrift ist mit zu übergeben. “ (Unterstreichung und Fettdruck im Original). Weiters verlangte der Beschwerdeführer: „ Alle Umsatzdaten, bis zur Aufkündigung (Kontoschließung) 4. Nov. 2011 (durch die M*** Bank) sind mir kostenlos zu beauskunften “ (Unterstreichung und Fettdruck im Original).

In Reaktion auf dieses Schreiben erhielt der Beschwerdeführer mit einem Schreiben der Rechtsanwälte der Beschwerdegegnerin vom 5. Oktober 2012 Kopien sämtlicher Monatsabrechnungen über sein Ö*** Kundenkonto 1**54*274*1 bei der Beschwerdegegnerin seit dem 29. Oktober 2009. Mit einem weiteren Schreiben der Rechtsanwälte der Beschwerdegegnerin vom 10. Oktober 2012 erhielt er weiters eine Kopie einer E-Mail einer Mitarbeiterin der K*** Bank AG (Zara.E***@k***bank.at) an die der Beschwerdegegnerin zuzurechnende E-Mailbox mit der Bezeichnung „Z***Card“ vom 4. November 2011, in der diese den Empfänger verständigte, dass der Beschwerdeführer ein Konto bei der K*** Bank eröffnet habe und darum ersuche, „offene Kreditkartenabbuchungen von seinem neuen Konto abzubuchen“ .

Diesem Schreiben war auch eine gescannte Urkunde (Urkundenkopie) angeschlossen. Bei dieser handelt es sich um ein vom Beschwerdeführer unterschriebenes Ersuchen vom 4. November 2011 (im Kopf eingefügt die Kurz-Adressierung „Herr/Frau/Firma Ö***“) mit dem Betreff „Antrag auf bargeldlose Zahlung: Gehalt“ um Überweisung regelmäßiger Gehaltszahlungen auf das bei der K*** Bank AG (K*** Bank) bestehende Konto Nr. *23-*8*-991-** samt Bestätigung der K*** Bank betreffend die Übereinstimmung der Unterschrift mit dem bei der Bank aufliegenden Vergleichsmuster.

Diese Urkundenkopie ist dem Beschwerdeführer im Zuge der datenschutzrechtlichen Auskunftserteilung von der Beschwerdegegnerin nicht übermittelt worden.

Beweiswürdigung : Diese Feststellungen beruhen auf den von der Beschwerdegegnerin (Beilagen 1 bis 8 zur Stellungnahme vom 16. November 2012 sowie Beilage zur Stellungnahme vom 26. April 2013) vorgelegten Urkundenkopien. Die Datenschutzkommission weist allerdings darauf hin, dass der Umfang der tatsächlich von der Beschwerdegegnerin erteilten Auskünfte unbestritten ist, und lediglich Widersprüche hinsichtlich deren rechtlichen Bewertung sowie hinsichtlich des rechtlichen Umfangs des dem Beschwerdeführer zukommenden Auskunftsrechts bestehen.

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 3 Z 1 DSG 2000 lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1) [...] (2) [...]

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

§ 4 Z 1 DSG 2000 lautet samt Überschrift:

„ Definitionen

§ 4 . Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

§ 26 Abs. 1 und 4 DSG 2000 lautet samt Überschrift:

„ Auskunftsrecht

§ 26 . (1) Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) [...] (3) [...]

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“

2. rechtliche Schlussfolgerungen

a) Behandlung zivilrechtlicher Streitfragen nicht Gegenstand der Beschwerde

Vorausgeschickt wird, dass Gegenstand dieses Beschwerdeverfahrens, wie oben unter C ausgeführt, die Erfüllung des datenschutzrechtlichen Auskunftsanspruchs des Beschwerdeführers war. Sämtliches Vorbringen, insbesondere des Beschwerdeführers, das sich auf den Kreditkartenvertrag zwischen den Parteien und behauptet rechtswidriges Handeln der Beschwerdegegnerin bei der Einziehung von Geldforderungen daraus bezieht, geht daher ins Leere.

b) kein Recht auf Urkundenherausgabe, aber Recht auf Auskunft über Inhaltsdaten

Gemäß dem zuletzt (Stellungnahme vom 5. Mai 2013) gestellten Beschwerdebegehren konzentriert sich das Verfahren auf die Frage des Auskunftsrechts betreffend ein E-Mail-Attachment.

Das Auskunftsrecht nach §§ 1 Abs. 3 Z 1 und 26 Abs. 1 DSG 2000 ist nach ständiger Rechtsprechung der Datenschutzkommission ein Recht auf schriftliche Auskunft über automationsunterstützt oder manuell-strukturiert verarbeitete Daten .

Aus § 26 Abs. 1 DSG 2000 ergibt sich kein Recht auf Einsicht in Daten, sondern immer nur ein Recht auf schriftliche Auskunft über eine Person betreffende Daten (VwGH, E 23.05.2005, 2003/06/0021 RS1).

Das Auskunftsrecht gemäß § 26 Abs 1 DSG 2000 kann nicht nur hinsichtlich solcher Daten geltend gemacht werden, die Gegenstand einer automationsunterstützten Datenanwendung sind, sondern – wie sich aus dem Hinweis auf § 4 Z 7 DSG 2000 in § 58 DSG 2000 ergibt – auch hinsichtlich der in manuellen Dateien gemäß § 4 Z 6 DSG 2000 enthaltenen Daten. Wenn aber von einer Person Auskunft über den Inhalt von Urkunden (hier: Briefen) oder über andere, nicht auf eine Datenanwendung oder manuelle Datei bezogene Informationsweitergaben verlangt wird, ist eine Berufung auf das Auskunftsrecht nach § 26 Abs 1 DSG 2000 ausgeschlossen und kann diese Person auch nicht als zur Auskunft verpflichteter Auftraggeber im Sinn der zuletzt genannten Gesetzesbestimmung angesehen werden (Bescheid der Datenschutzkommission vom 24. April 2001, K120.737/002-DSK/2001, RS1, RIS).

Wie sich aus gefestigter Rechtsprechung der Datenschutzkommission ergibt (vgl. u.a die Bescheide vom 24. Oktober 2007, K121.273/0016-DSK/2007, vom 26. September 2008, K121.381/0008-DSK/2008, und vom 05. Juni 2009, K121.488/0007- DSK/2009, alle im RIS), unterliegt der Inhalt von E-Mails, ausgenommen solche, die für rein private und familiäre Zwecke (§ 45 DSG 2000) geschrieben worden sind, dem datenschutzrechtlichen Auskunftsrecht, da es sich bei E-Mails klar um die Ergebnisse einer automationsunterstützten Datenverarbeitung handelt.

Es gibt keinen überzeugenden Grund, den Inhalt eigentlicher E-Mails anders als den Inhalt angeschlossener technischer Dateien (Attachments) zu behandeln.

Das aus § 26 Abs. 1 DSG 2000 hervorgehende Recht bezieht sich auf den Dateninhalt, die „Angaben über Betroffene“ (vgl. § 4 Z 1 DSG 2000), nicht auf die Form der Verarbeitung (etwa die Speicherung als Text oder Grafikdatei). Gegenstand des Auskunftsrechts sind daher unkörperliche, immaterielle Informationen und nicht körperliche Sachen wie eine Urkunde (siehe dazu auch den oben zitierten Bescheid GZ: K120.737/002- DSK/2001).

Auch wenn von einem datenschutzrechtlichen Auftraggeber Urkundeninhalte (etwa in Form von Scans, PDF-Dateien u.ä.) gespeichert werden, die auf einen Betroffenen Bezug nehmen, liegen automationsunterstützt verarbeitete Daten des Betroffenen vor. Diesem kommen hinsichtlich grafisch gespeicherter Textdokumente dieselben Rechte zu wie hinsichtlich in anderer Form (etwa in einer strukturierten Datenbank oder als Textdokument) verarbeiteter Daten. Allerdings umfasst das datenschutzrechtliche Auskunftsrecht, wie schon oben ausgeführt und mit Zitaten aus der einschlägigen Rechtsprechung belegt, weder einen Anspruch auf Vorlage oder Herausgabe von eigenhändig unterschriebenen Originalen einer Urkunde, noch einen solchen auf die Übermittlung von das Original vollständig wiedergebenden Foto-Kopien oder technisch in Form einer Datei (Urkundendatei) abgespeicherten Scans der Urkunde. Die Auskunft ist also auf den Dateninhalt beschränkt. Die im letzten Satz des § 26 Abs. 1 DSG 2000 eingeräumte Option auf „eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung“ ist eine im Belieben des datenschutzrechtlichen Auftraggebers stehende Variante der Auskunftserteilung, wobei der Gesetzgeber hier erkennbar insbesondere an eine Einsichtgewährung in automationsunterstützte Datenanwendungen auf einem Bildschirm (mit der Möglichkeit des Ausdrucks von Daten) gedacht hat.

Dies kann, neben dem Wortlaut des Gesetzes, der von „Auskunft über...Daten“ (§ 26 Abs. 1 DSG 2000) und nicht von „Vorlage einer Urkunde“ oder „Einsicht in eine Urkunde“ spricht, auch mit Ziel und Zweck des Auskunftsrechts begründet werden. Dieses soll den Betroffenen in die Lage versetzen, sein Grundrecht auf Datenschutz (insbesondere die Teilrechte auf Löschung und Richtigstellung von Daten) zum Zweck des Schutzes seines Privat- und Familienlebens wahrzunehmen und durchzusetzen. Urkunden und Urkundendateien dienen jedoch einem Dokumentationszweck (etwa dem Beweis der Abgabe einer rechtsgeschäftlichen Erklärung), unterliegen daher auch der Beschränkung des Löschungs- und Richtigstellungsrechts gemäß § 27 Abs. 3 DSG 2000. Die Beschaffung von Beweismitteln für einen möglichen Rechtsstreit mit ganz anderem Gegenstand ist ebenfalls kein gesetzmäßiger Zweck des Rechts auf Auskunft und des Rechtsschutzverfahrens nach § 31 Abs. 1 und 7 DSG 2000 (zwischen Beschwerdegegnerin und Beschwerdeführer im gegenständlichen Verfahren bestand offenkundig Uneinigkeit in der Frage, ob und seit wann die Beschwerdegegnerin berechtigt war, Forderungen von einem Girokonto des Beschwerdeführers einzuziehen).

Darüberhinaus muss das Auskunftsrecht, verstanden als ein Recht auf Auskunft über automationsunterstützt verarbeitete Urkundeninhalte, die sich auf den Betroffenen beziehen, mit dem Grundsatz vereinbar sein, dass dem Betroffenen und Auskunftswerber nur ein Recht auf Auskunft über eigene Daten zukommt. Urkundeninhalte sind oft nicht auf Bezüge zu einer Person beschränkt. Daraus folgt, dass der Inhalt solcher „Urkundendaten“ für Zwecke der schriftlichen Auskunft (z.B. durch Übersendung einer Kopie) dahingehend bearbeitet werden muss, dass jedenfalls alle schutzwürdigen Daten Dritter entfernt oder unleserlich gemacht werden (vgl. § 26 Abs. 2 DSG 2000).

Daraus folgt, dass dem Beschwerdeführer, entgegen dessen mehrfacher Behauptung, gestützt auf das datenschutzrechtliche Auskunftsrecht kein Recht auf Erhalt einer Kopie der Originalurkunde (E-Mail-Attachment) des Schreibens der K*** Bank an die Beschwerdegegnerin vom 4. November 2012 (wie Beilage./13 der Vertreter der Beschwerdeführerin, Beilage zur Äußerung vom 26. April 2013; GZ: DSK-K121.925/0002-DSK/2013) zukommt.

Dennoch hätte die Beschwerdegegnerin dem Beschwerdeführer deswegen nicht grundsätzlich Auskunft über die in diesem Schreiben enthaltenen personenbezogenen Daten verweigern dürfen. Denn nicht nur Angaben wie Name und Adresse sind in diesem Zusammenhang „Daten“ gemäß § 4 Z 1 DSG 2000, sondern auch der Inhalt von Erklärungen, die der Betroffene abgegeben hat.

Dadurch, dass die Beschwerdegegnerin dies verweigert hat, hat sie den Beschwerdeführer insoweit in seinem Recht auf Auskunft verletzt. Es waren daher die spruchgemäßen Feststellungen zu treffen und gemäß § 31 Abs. 7 DSG 2000 ein Auftrag zur Ergänzung der Auskunft zu erteilen.