K121.935/0006-DSK/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Mag. ZIMMER, Mag. HUTTERER und Dr. GUNDACKER sowie des Schriftführers Dr. SCHMIDL in ihrer Sitzung vom 22. Mai 2013 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Mag. Ludwig W*** (Beschwerdeführer) aus **** K*** vom 18. November 2012 gegen die C****-Mobilfunk Gesellschaft m.b.H. (Beschwerdegegnerin) aus **** K*** wegen Verletzung im Recht auf Auskunft wegen mangelhafter Beantwortung des Auskunftsbegehrens vom 8. Februar 2012 durch das Auskunftsschreiben vom 6. November 2012 wird entschieden:

Rechtsgrundlagen : § 1 Abs. 3 Z 1, § 26 Abs. 1 und 4, § 31 Abs. 1 und 7 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Dieses Beschwerdeverfahren schließt an das mit Beschluss vom 14. Dezember 2012 gemäß § 31 Abs. 8 DSG 2000 durch Einstellung beendete Beschwerdeverfahren zwischen denselben Parteien an (Nachholung einer zunächst nicht erteilten Auskunft). Die Akten dieses Verfahrens, Zl. DSK-K121.915, wurden zur Sachverhaltsfeststellung mit herangezogen.

Der Beschwerdeführer behauptet in seinem Schreiben vom 18. November 2012 eine Verletzung im Recht auf Auskunft dadurch, dass die von der Beschwerdeführerin mit Schreiben vom 6. November 2012 erteilte datenschutzrechtliche Auskunft inhaltliche Mängel aufweise. Er führte dabei drei Punkte an:

zum einen seien bei der Bonitätsprüfung (Punkt 3. des Auskunftsschreibens) die „sonstigen Angaben“ nicht beauskunftet worden, die, neben den Stammdaten Name und Adresse, an die „Firma Ü***“ übermittelt worden seien. Weiters sei die Auskunft unvollständig, was die von der Ü*** übermittelten Daten angehe. Wenn er, wie von der Beschwerdegegnerin dazu angegeben, bei der Ü*** ein Löschungsbegehren eingebracht habe – weshalb die Ü*** im Zuge der Bonitätsprüfung keine Daten übermitteln habe können –, auf Grund welcher genau von der Ü*** übermittelten Daten sei diese Auskunft möglich? Schließlich bemängelte der Beschwerdeführer, dass die beauskunfteten Daten (Beiblatt „Customer Master Data“ ) auf Englisch beschriftet und „abgeschnitten“ seien, er erhebe jedoch Anspruch auf eine vollständige Auskunft auf Deutsch.

Die Beschwerdegegnerin bestritt dieses Vorbringen in ihrer Stellungnahme vom 22. April 2013 und brachte, unter gleichzeitiger Übermittlung der Stellungnahme an den Beschwerdeführer, ihrerseits vor, alle Daten, die beim Beschwerdeführer ermittelt und über ihn verarbeitet würden, seien in der Auskunft enthalten gewesen. Für Zwecke der Bonitätsprüfung verarbeitete Stammdaten seien Vorname, Familienname, Geburtsdatum und Adresse. Seitens der Ü*** sei eine Bonitätsprüfung nicht möglich gewesen, daraus habe man selbst den Schluss gezogen, dass der Beschwerdeführer dort einen Löschungsantrag gestellt habe. Dieser Schluss beruhe auf Erfahrungen. Es gebe keine gesetzliche Vorschrift, wonach die Auskunft eine „Legende“ in deutscher Sprache enthalten müsse. Das entsprechende System, aus dem der „report“ abgerufen worden sei, enthalte englische Begriffe für die Datenarten, in den Systemen werde sowohl die englische wie die deutsche Sprache verwendet. Man sei jederzeit bereit, dem Beschwerdeführer diese Begriffe in einem persönlichen Gespräch zu erläutern und zu übersetzen.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das Auskunftsbegehren des Beschwerdeführers vom 8. Februar 2012 dem Gesetz entsprechend beantwortet hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Der Beschwerdeführer ist Kunde der Beschwerdegegnerin und richtete am 8. Februar 2012 folgendes Auskunftsbegehren an diese:

„Sie haben am 22.12.2011 und am 27.12.2011 im Zuge einer Vertragsanmeldung eine Bonitätsprüfung von mir durchgeführt. Ich verlange Auskunft gemäß Datenschutzgesetz, welche meiner persönlichen Daten dafür herangezogen wurden, an welche Firmen sie übermittelt wurden, und welche Daten Sie von diesen Firmen über mich erhalten haben.

Darüber hinaus verlange ich Auskunft über sämtliche Daten, die Sie über mich gespeichert haben.

Soweit Sie Daten in automatisierter Form ermitteln (berechnen), die rechtliche Folgen haben können oder die Ihre Entscheidung zur Erbringung oder Nicht-Erbringung von Leistungen gegen meine Person beeinflussen können, wird gemäß § 49 Abs 3 DSG 2000 beantragt, das Zustandekommen der automatisierten Ermittlung (Berechnungsmethode) und des logischen Ablaufs der automatisierten Entscheidungsfindung zu beauskunften. Dies bezieht sich insbesondere auf Bewertungen, Einschätzungen und Ratings, die geeignet sind meine beruflichen Leistungsfähigkeit, meine Kreditwürdigkeit, meine Zuverlässigkeit oder mein Verhaltens zu bewerten.“

Dieses Auskunftsbegehren wurde zunächst (trotz mehrfacher Urgenz) nicht beantwortet, worauf vom Beschwerdeführer das Beschwerdeverfahren Zl. DSK-K121.915 eingeleitet wurde.

Nach dieser Beschwerdeerhebung erteilte die Beschwerdegegnerin dem Beschwerdeführer folgende Auskunft:

„Wir nehmen Bezug auf Ihre Anfrage, in der Sie die C****- Mobilfunk GmbH um Auskunft gemäß Datenschutzgesetz 2000 ersucht haben und teilen diesbezüglich gerne mit wie folgt:

1. Zunächst möchte ich die verzögerte Beantwortung entschuldigen. Ihre Anfrage dürfte unternehmensintern zunächst in der falschen Abteilung gelandet und untergegangen sein und ist erst Ende Oktober zu mir gelangt. Ich war letzte Woche auf Urlaub, daher erfolgt meine Antwort erst jetzt.

2. Jegliche Datenverwendung erfolgt bei uns ausschließlich aufgrund der relevanten anwendbaren Gesetzesbestimmungen, dies sind insbesondere das Telekommunikationsgesetz 2003, das Datenschutzgesetz 2000, das e-commerce Gesetz sowie das Konsumentenschutzgesetz. Die DVR Nummer von C****-MOBILFUNK lautet 9*4*8*0.

3. Im Zuge Ihres Vertragsabschlusses mit unserem Unternehmen wurden in unserer EDV Stammdaten im Sinne von § 92 Abs. 3 Z 3 TKG 2003 erfasst, also Name und Adresse, sowie die sonstigen von Ihnen gemachten Angaben. Ferner wurden im Zuge des Anmeldevorganges die Stammdaten entsprechend unseren AGB an die Ü*** GmbH, G***-Straße 2*, **** K***, zur Bonitätsprüfung übermittelt. Die Bonitätsprüfung erfolgt anhand der bei Ü*** gespeicherten Daten, wobei die von Ü*** übermittelten Daten in sogenannte Scorewerte einfließen, die dann unserer Entscheidung für einen Vertragsabschluss zugrundegelegt werden. Fragen über bei der Ü*** zu Ihrer Person gespeicherten Daten richten Sie bitte direkt an Ü***. ln Ihrem konkreten Fall waren keinerlei Daten bei der Ü*** zur Abfrage vorhanden, weil offenbar von Ihrer Seite ein Löschungsbegehren gestellt wurde. Aus diesem Grund haben wir Sie um die Übermittlung von für unsere Bonitätsprüfung relevanten Unterlagen gebeten, welche schließlich zu einem positiven Vertragsabschluss geführt haben.

4. Für die Rechnungslegung über die von uns erbrachten Leistungen werden die Verkehrsdaten entsprechend Telekommunikationsgesetz 2003 und unserer AGBs gespeichert, soweit und solange sie für die Verrechnung erforderlich sind. Danach werden diese umgehend anonymisiert oder gelöscht.

5. Inhaltsdaten werden von uns nicht gespeichert.

6. Eine Übersicht über die bei uns aktuell gespeicherten Daten finden Sie in der Beilage.

7. Seit 1.4. 2012 muss Drei entsprechend der Regelungen zur Vorratsdatenspeicherung die in § 102a TKG genannten Verkehrsdaten für 6 Monate auf Vorrat speichern. Die Vorratsdaten unterliegen höchsten Sicherheitsanforderungen und dürfen ausschließlich für Zwecke der Beauskunftung an Strafverfolgungsbehörden und Sicherheitsbehörden gespeichert werden. Die Daten werden gesichert und verschlüsselt ausschließlich an die Behörden im Rahmen der Ermittlungsverfahren übermittelt.“

Der weitere Inhalt des Auskunftsschreibens befasst sich mit der näheren Erläuterung der Vorratsdatenspeicherung. Der Auskunft waren zwei Seiten Ausdruck aus einer Datei mit der Bezeichnung „Customer Master Data“ (übersetzt etwa: Kunden-Stammdaten) angeschlossen. In diesem Ausdruck werden die Bezeichnungen der ausgedruckten Datenarten in englischer Sprache angegeben. Die Dateninhalte sind teils auf Deutsch, teils auf Englisch eingetragen. So ist bei der Datenart „Customer Relation Type“ (etwa: Art der Kundenbeziehung) der Inhalt „Hauptkontakt -- Verbraucher“ angegeben, während bei der Datenart „Customer Contact Marital Status“ (etwa: „Ehestand der Kontaktperson beim Kunden“) der Inhalt „No Marital Status Assigned“ (etwa: „kein Ehestand erfasst“) ausgewiesen wird.

Diese Auskunft wurde im weiteren Verlauf des Verfahrens dahingehend (Stellungnahme vom 22. April 2013) ergänzt, dass unter Stammdaten, die für Zwecke einer Bonitätsprüfung verwendet wurden, Vorname, Familienname, Geburtsdatum und Adresse zu verstehen seien.

Beweiswürdigung : Diese Feststellungen beruhen auf dem Inhalt der Verwaltungsakten der Datenschutzkommission (diese Zahl und Vorzahl DSK-K121.915), insbesondere auf dem Inhalt der in Kopie vorliegenden, zitierten Schreiben.

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 3 Z 1 DSG 2000 lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1) [...] (2) [...]

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;“

§ 26 Abs. 1 bis 4 DSG 2000 lautet samt Überschrift:

„ Auskunftsrecht

§ 26 . (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.

Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4.

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.“

§ 31 Abs. 1 und 7 DSG 2000 lautet samt Überschrift:

„ Beschwerde an die Datenschutzkommission

§ 31 . (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) [...] (6) [...]

(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“

2. rechtliche Schlussfolgerungen

Die Beschwerde hat sich teilweise als berechtigt erwiesen.

a) Bonitätsprüfung durch die Beschwerdegegnerin (Dienstleister: Ü***)

Von beiden Seiten unbestritten wurde bei Vertragsabschluss mit dem Beschwerdeführer eine Bonitätsprüfung durchgeführt und für diesen Zweck (Stamm ) Daten des Beschwerdeführers an den Dienstleister Ü*** Ges.m.b.H. (Firma inzwischen geändert) überlassen (zur datenschutzrechtlichen Rollenverteilung bei derartigen Bonitätsprüfungen, vgl. u.a. den Bescheid der Datenschutzkommission vom 14.September 2007, K121.292/0011- DSK/2007, RIS). Diese Bonitätsprüfung blieb jedoch ohne Ergebnis. Die Erklärung, man habe daraus den Schluss gezogen, der Beschwerdeführer habe seine Daten aus den vom Dienstleister verwendeten Datenanwendungen löschen lassen, erscheint plausibel und glaubwürdig. Im Grunde wäre die Beschwerdegegnerin aber nicht verpflichtet gewesen, ihre Vermutungen und Schlussfolgerungen anzugeben, da sich datenschutzrechtliche Auskünfte nur auf die tatsächlich verarbeiteten Daten beziehen sollen und keine Erklärungen betreffend die Gründe des Vorhandenseins oder Nichtvorhandenseins von Daten umfassen müssen. Nicht gespeicherte Vermutungen und Schlussfolgerungen sind daher kein zwingender Gegenstand einer solchen Auskunft. Die Beschwerdegegnerin hat auch in der – auch direkt an den Beschwerdeführer übermittelten – Stellungnahme vom 22. April 2013 eine notwendige Klarstellung betreffend die für Zwecke der Bonitätsprüfung verwendeten (Stamm ) Daten vorgenommen. Diesbezüglich entspricht die Auskunft dem Gesetz.

b) Datenausdruck in englischer Sprache

In diesem Punkt hat sich die Beschwerde als berechtigt erwiesen.

Gemäß Artikel 8 Abs. 1 des Bundes-Verfassungsgesetzes ist die deutsche Sprache, unbeschadet der den sprachlichen Minderheiten bundesgesetzlich eingeräumten Rechte, die Staatssprache der Republik.

Diese Verfassungsbestimmung bindet direkt zwar nur Staatsorgane (u.a. sind Verfahren vor der Datenschutzkommission zwingend in deutscher Sprache zu führen, vgl. das Erkenntnis des VwGH vom 23. Februar 2000, Zl. 2000/12/0026, RIS) und hindert Privatpersonen nicht daran, sich auch im Rechtsverkehr (etwa bei der Abfassung von Verträgen) im Konsens anderer Sprachen zu bedienen.

§ 26 Abs. 1 DSG 2000 verpflichtet den datenschutzrechtlich verantwortlichen Auftraggeber aber dazu, Auskünfte „in allgemein verständlicher Form“ zu erteilen. Es handelt sich bei der Auskunftserteilung nicht um einen im Konsens erfolgenden Akt der Rechtsgestaltung sondern um die einseitige Erfüllung einer durch Gesetz auferlegten Pflicht. Das Gesetz betont dabei den Aspekt der Verständlichkeit . In den Datenanwendungen der Beschwerdegegnerin sind die Daten nun, wie festgestellt, zumindest zu einem Großteil unter englischsprachigen Bezeichnungen bzw. mit englischsprachigen Inhalten gespeichert, deren Bedeutung sich für den durchschnittlichen Empfänger nicht erschließt, sodass die Auskunftserteilung zwar nicht als falsch oder unrichtig bezeichnet werden kann, mangels allgemeiner Verständlichkeit aber nicht dem Gesetz entspricht. Da die deutsche Sprache die verfassungsmäßige Amts-, Unterrichts- und allgemeine Verkehrssprache auf dem Staatsgebiet der Republik Österreich ist, den Beschwerdeführer also niemand verpflichten kann, die englische Sprache zu sprechen oder sich ihrer im Rechtsverkehr zu bedienen, hätte die Beschwerdegegnerin englischsprachige Inhalte ihrer Datenanwendungen zumindest durch Beifügung einer entsprechenden Erklärung oder Übersetzung allgemein verständlich machen müssen.

Da sie dies nicht getan hat, hat sie den Beschwerdeführer in seinem Recht auf eine mangelfreie Auskunft verletzt.

Es waren daher laut Spruchpunkt 1. gemäß § 31 Abs. 7 DSG 2000 entsprechende Feststellungen zu treffen und laut Punkt 2. des Spruchs die zur Beseitigung dieser Rechtsverletzung erforderlichen Aufträge zu erteilen. Im Übrigen war die Beschwerde abzuweisen.