K121.524/0006-DSK/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. HEILEGGER, Dr. ROSENMAYR-KLEMENZ, Mag. HUTTERER, Dr. KÖNIG und Dr. GUNDACKER sowie des Schriftführers Dr. SCHMIDL in ihrer Sitzung vom 9. August 2013 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde des Mag. Egon B*** (Beschwerdeführer) in M***, vom 17. April 2009 (ha. eingelangt am 21. April 2009), gegen 1. die Ä GmbH*** (als Rechtsnachfolgerin der P*** GmbH) (Erstbeschwerdegegnerin) in Wien und 2. Ägidius Qu*** als (ehemaligen) Inhaber der Firma Y*** (Zweitbeschwerdegegner) in Wien, jeweils wegen Verletzung im Recht auf Auskunft, wird – im Umfang des aufhebenden Erkenntnisses des Verwaltungsgerichtshofs vom 28. Mai 2013, Zl 2009/17/0233, – entschieden:

Rechtsgrundlagen: § 1 Abs. 3, §§ 6 Abs. 1 Z 1, 26 und 31 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr. 165/1999 idgF.

B e g r ü n d u n g

A. Vorbringen der Parteien

1. Mit der Beschwerde vom 17. April 2009 macht der Beschwerdeführer eine Verletzung im Recht auf Auskunft geltend. Nachdem von der Firma A*** GmbH ein Servicevertrag abgelehnt und als Grund eine Bonitätsauskunft durch die Erstbeschwerdegegnerin genannt worden sei, habe der Beschwerdeführer am 10. Dezember 2008 diese um Bekanntgabe von Informationen ersucht. In ihrer Antwort vom 16. Dezember 2008 habe die Erstbeschwerdegegnerin Auskünfte an die Vorlage einer Ausweiskopie geknüpft. Nach Vorlage einer solchen Ausweiskopie habe die Erstbeschwerdegegnerin in einem Schreiben vom 8. Jänner eine „Auskunft nach § 26 Datenschutzgesetz 2000“ über die bei ihr über den Beschwerdeführer vorhandenen Daten erteilt und außerdem den Zweitbeschwerdegegner als mögliche Quelle der – offenbar negativen – Zahlungserfahrungsdaten genannt, die an A*** im Wege von P*** weitergegebenen worden waren. Welche Auskünfte an die Firma A*** erteilt worden waren, die zu einem Ausschluss der wirtschaftlichen Bonität geführt hätten, habe dieses Schreiben jedoch nicht enthalten. Insbesondere seien auch die im Begehren vom 10. Dezember 2008 eigens gestellten Fragen nicht beantwortet worden.

Mit Schreiben vom 10. Februar 2009 habe sich der Beschwerdeführer sodann auch an den Zweitbeschwerdegegner gewandt. Mit Schreiben vom 18. Februar 2009 habe dieser die gewünschten Auskünfte ausdrücklich verweigert. Da sich aus den Allgemeinen Geschäftsbedingungen von P*** (nunmehr Ä GmbH*** - Erstbeschwerdegegnerin) eine Zusammenarbeit mit dem Zweitbeschwerdegegner ergebe, seien beide zur Auskunft verpflichtet.

Der Beschwerdeführer stellt daher den Antrag, auf Verletzung seines Rechtes auf Auskunft gemäß § 26 DSG 2000 zu erkennen und das gespeicherte und angeblich gelöschte Datum bekanntzugeben.

2. Mit diesen Vorwürfen konfrontiert, ging die Erstbeschwerdegegnerin im Schreiben vom 6. Mai 2009 auf die einzelnen Fragen des Beschwerdeführers in seinem Begehren vom 10. Dezember 2008 ein. Generell sei von der Erstbeschwerdegegnerin die Auskunft, „die zu seiner Person verarbeiteten Daten“ mitzuteilen, ohne Aufschub erteilt worden. Neben den Übermittlungsempfängern ist aber nicht auch der genaue Inhalt der Übermittlung offenzulegen. Dies begehre der Beschwerdeführer jedoch, wenn er im Schreiben vom 29. Dezember 2009 (und im Schreiben vom 10. Februar 2009 an den Zweitbeschwerdegegner) meine, dass sich sein Begehren „in erster Linie … auf die Ihrerseits erteilten Auskünfte“ richte.

Abschließend weist die Erstbeschwerdegegnerin darauf hin, dass Gegenstand des Begehrens offenbar ein mittlerweile gelöschter Datensatz gewesen sei, der offenbar beim Zweitbeschwerdegegner gespeichert war, schließlich sei auch nur der Zweitbeschwerdegegner ausschließlicher Auftraggeber gewesen. Die Erstbeschwerdegegnerin sei hier bloß Dienstleister, den keine Auskunftspflicht treffe.

Der Zweitbeschwerdegegner verwies in seiner Stellungnahme vom 11. Mai 2009 zunächst auf einen Bildschirmausdruck, aus welchem hervorgehe, dass er zum Beschwerdeführer aktuell keine Daten mehr speichere (dieser Bildschirmausdruck lag nach Urgenz schließlich einem weiteren Schreiben des Zweitbeschwerdegegners vom selben Tag bei). Der Datenschutzkommission sei bekannt, dass auf den Systemen des Zweitbeschwerdegegners nur eine endgültige Löschung von Daten möglich sei.

Es sei ihm aber erinnerlich, dass er auf Ersuchen der Erstbeschwerdegegnerin im Dezember 2008 einen zum Beschwerdeführer gespeicherten Datensatz überprüft und gelöscht habe. Möglich sei allerdings auch, dass der Datensatz schon zum damaligen Zeitpunkt nicht mehr vorhanden gewesen sei. Erst am 10. Februar 2009 sei ein Auskunftsbegehren des Beschwerdeführers eingelangt – Auskünfte über physisch gelöschte Inhalte können aber nicht erteilt werden. Dies sei dem Beschwerdeführer am 18. Februar 2009 schriftlich mitgeteilt worden.

3. Im dazu gewährten Parteiengehör hielt der Beschwerdeführer seine Beschwerde aufrecht und tat die behauptete Löschung als bloße Schutzbehauptung ab, die von ihm nicht kontrollierbar sei. Er begehre genau über den Inhalt der Mitteilung vom Zweitbeschwerdegegner an die Erstbeschwerdegegnerin weiterhin Auskunft, der trotz Löschung beim Zweitbeschwerdegegner noch vorhanden sein müsse. Dies treffe auch auf den Inhalt der Mitteilung der Erstbeschwerdegegnerin an die A*** GmbH zu. Die Darstellung der Erstbeschwerdegegnerin als bloßer Dienstleister stehe im Widerspruch zu ihren AGB, Punkt 4, letzter Absatz, wonach sich unter dem Zwischentitel „Auskunftserteilung an Betroffene“ die Erstbeschwerdegegnerin „als Auftraggeber im Sinne des DSG 2000“ sehe.

4. Die Datenschutzkommission wies die Beschwerde mit Bescheid vom 16. Oktober 2009, GZ K121.524/0011-DSK/2009, hinsichtlich der Erstbeschwerdegegnerin ab, gab ihr hinsichtlich des Zweitbeschwerdegegners allerdings statt.

5. Mit Erkenntnis vom 28. Mai 2013, Zl 2009/17/0233, hob der Verwaltungsgerichtshof nach Beschwerde des Zweitbeschwerdegegners den Bescheid vom 16. Oktober 2009, GZ K121.524/0011-DSK/2009, wegen Rechtswidrigkeit infolge Unzuständigkeit der belangten Behörde auf. Dabei nahm der Verwaltungsgerichtshof Bezug auf das Urteil des Gerichtshofs der Europäischen Union vom 16. Oktober 2012 in der Rechtssache C-614/10, wonach die Republik Österreich dadurch gegen ihre Verpflichtungen aus Art 28 Abs. 1 Unterabsatz 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Warenverkehr verstoßen habe, dass sie nicht alle Vorschriften erlassen habe, die erforderlich seien, damit die in Österreich bestehende Rechtslage in Bezug auf die Datenschutzkommission dem Kriterium der Unabhängigkeit genüge, und zwar im Einzelnen dadurch, dass sie eine Regelung eingeführt habe, wonach

Daraus zog der Verwaltungsgerichtshof den Schluss, dass die Republik Österreich die in Art 28 Abs. 1 Unterabsatz 2 der Richtlinie 95/46/EG angeordnete Einführung einer Stelle, die die zugewiesenen Aufgaben „in völliger Unabhängigkeit“ wahrzunehmen hat, auch nach Ablauf der dreijährigen Umsetzungsfrist (der Richtlinie in innerstaatliches Recht) nicht (ausreichend) nachgekommen ist und sich daher die belangte Behörde, die im Entscheidungszeitpunkt jedenfalls den Vorgaben der Richtlinie nicht entsprochen hat, als unzuständig erweist.

6. Damit war die Verwaltungssache, soweit diese den Zweitbeschwerdegegner betrifft, erneut zu entscheiden. Da der Sachverhalt unstrittig ist, hat ein fortgesetztes Ermittlungsverfahren nicht stattgefunden.

B. Beschwerdegegenstand

Aufgrund des Vorbringens des Beschwerdeführers ergibt sich, dass Gegenstand der Beschwerde die Verweigerung der „Auskunft über den konkreten Inhalt der gespeicherten Daten“ durch den Zweitbeschwerdegegner ist bzw. „selbst wenn die mich betreffenden personenbezogenen Daten beim Zweitbeschwerdegegner gelöscht wurden“, die Verweigerung der Auskunft über den Inhalt der Mitteilung über die Bonität des Beschwerdeführers vom Zweitbeschwerdegegner an die Erstbeschwerdegegnerin.

C. Sachverhalt

Aufgrund des Vorbringens der Parteien ist von folgendem Sachverhalt auszugehen:

Da dem Beschwerdeführer im November 2008 der Abschluss eines Servicevertrages mit der Firma A*** GmbH verweigert wurde, begehrte er mit Schreiben vom 24. November 2008 Information über den Grund dieser Ablehnung. A*** GmbH teilte ihm mit Schreiben vom 27. November 2008 mit, dass sie Daten zu seiner Bonität von der Erstbeschwerdegegnerin erhalten habe, sodass er sich an diese mit einer Selbstauskunft wenden könne.

Am 10. Dezember 2008 richtete der Beschwerdeführer daher folgendes Schreiben unter dem Betreff „Bonitätsauskunft“ an die Erstbeschwerdegegnerin (wesentlicher Inhalt):

„Wie Sie aus dem beiliegenden Schriftverkehr in Kopie ersehen, wurde mir von der Firma A*** GmbH der Abschluss eines Service-Vertrages unter Hinweis auf eine Bonitätsauskunft über mich, die angeblich von Ihnen stammt, verweigert.

Mein Ersuchen um Bekanntgabe der Gründe wurde mit dem ebenfalls beiliegenden Schreiben vom 27.11.2008 und dem darin enthaltenen Hinweis auf Sie beantwortet.

Nunmehr ersuche ich Sie mit Nachdruck um Bekanntgabe folgender Informationen:

1.) Stammt die genannte Bonitätsauskunft tatsächlich von Ihnen bzw. Ihrem Unternehmen oder verbundenen Organisationen?

2.) Worauf stützt sich Ihre Einschätzung, dass ich angeblich nicht die Bonität zum Abschluss eines Handy-Servicevertrages hätte?

3.) Wer hat Ihnen diesbezügliche allfällige Falschinformationen zukommen lassen?

4.) Wann und wie werden Sie für umgehende Berichtigung dieser Falschinformationen sorgen?

5.) Wem haben Sie noch ähnliche oder gleichlautende Falschinformationen über meine angeblich fehlende Bonität zukommen lassen?

6.) Werden Sie diesen Adressaten gegenüber von sich aus für eine Richtigstellung sorgen? Wenn ja, wann?

7.) Unter Hinweis auf das Datenschutzgesetz: Welche automationsunterstützten Daten sind bei Ihnen, Ihrem Unternehmen oder verbundenen Organisationen über mich gespeichert?“

Mit Schreiben vom 16. Dezember 2008 entgegnete die Erstbeschwerdegegnerin im Wesentlichen (Hervorhebungen durch die Datenschutzkommission):

„Bezugnehmend auf Ihr o.a. Schreiben vom 10.12.2008 erlauben wir uns zunächst darauf hinzuweisen, dass P*** keine Bewertung der Kreditwürdigkeit zu Ihrer Person vorgenommen hat. P*** übermittelt auf Anfrage von Kunden die in der eigenen Datenbank allenfalls gespeicherten Daten bzw. übermittelt als IT-Dienstleister gegebenenfalls Daten Dritter.

Die Entscheidung über das Zustandekommen einer Geschäftsbeziehung bzw. deren Rahmenbedingungen trifft ausschließlich der Kunde der P*** im Rahmen der Privatautonomie, P*** nimmt keine Bewertung der übermittelten Information vor. Sollte Ihnen daher der Abschluss eines Mobiltelefonievertrages nicht möglich sein, beruht dies allein auf einer Entscheidung des Kunden und nicht auf einer Bewertung der Daten seitens P*** .

Gerne lassen wir Ihnen eine aktuelle Auskunft über die allenfalls zu Ihrer Person gespeicherten Daten bzw. deren Herkunft zukommen, weisen jedoch höflich darauf hin, dass dies die Übermittlung einer Ausweiskopie (…) als Nachweis Ihrer Identität voraussetzt.“

Nach Übersendung der Ausweiskopie erteilte die Erstbeschwerdegegnerin dem Beschwerdeführer mit Schreiben vom 8. Jänner 2009 eine weitere (inhaltliche) Auskunft, deren Anlage Adressen sowie unternehmerische Funktionen und Vertretungsbefugnisse des Beschwerdeführers sowie die Herkunft der jeweiligen Daten enthielt und die wesentlich wie folgt lautet (Hervorhebungen durch die Datenschutzkommission):

„In der Anlage dürfen wir Ihnen ein Auskunftsschreiben übermitteln, dem die in der Datenbank der P*** zu Ihrer Person gespeicherten Informationen zu entnehmen sind. Es handelt sich hierbei um jene Informationen, welche der A*** GmbH aus Anlass deren Anfrage übermittelt wurden.

Ergänzend erlauben wir uns den Hinweis, dass P*** der A*** GmbH als IT-Dienstleister gegebenenfalls auch Daten der nicht protokollierten Firma Y***, *** 00, 10** Wien, DVR 00***+++ übermittelt. Der Datenbank der Y*** war zum Zeitpunkt der Anfrage durch die A*** GmbH zu Ihrer Person ein Datum zu entnehmen. Bereits aus Anlass Ihres Schreibens vom 15.12.2008 haben wir uns daher erlaubt, mit der Y*** in Kontakt zu treten und den vorliegenden Sachverhalt zu schildern. Die Y*** hat daraufhin die Löschung des Datums ohne Präjudiz für die Sach- und Rechtslage veranlasst. …“

Mit Schreiben vom 10. Februar 2009 begehrte der Beschwerdeführer nunmehr Auskunft vom Zweitbeschwerdegegner:

„In der Beilage übermittle ich Ihnen die Kopie einer Auskunft der P*** GmbH/Rechtsabteilung vom 08.01.2009, in welcher mir mitgeteilt wird, dass Sie über mich ein Datum gespeichert hatten, dieses offensichtlich an P*** weitergaben und später gelöscht hätten.

Ich ersuche Sie um Bekanntgabe des genauen Inhaltes dieses von Ihnen gespeicherten und weitergegebenen Datums, die Angabe der Quelle, worauf sich Ihre Speicherungsdaten in Bezug auf meine Person stützten, und die Bekanntgabe aller weiteren bei Ihnen über mich gespeicherten Daten, sowie die Bekanntgabe aller anderen Personen und Institutionen, an welche Sie meine Person betreffende Daten ebenfalls – neben der P*** GmbH – weitergegeben haben. …“

Mit Schreiben vom 18. Februar 2009 erteilte der Zweitbeschwerdegegner folgende Auskunft:

„Naturgemäß kann über Daten die bereits gelöscht wurden keine Auskunft mehr gegeben werden.“

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen des Beschwerdeführers und den jeweiligen Schreiben selbst, die der Beschwerdeführer mit seiner Beschwerde vorgelegt hat. Der Sachverhalt wurde von den Beschwerdegegnern auch nicht bestritten.

In der Datenanwendung des Zweitbeschwerdegegners war zum Zeitpunkt des Einlangens des Auskunftsbegehrens kein personenbezogenes Datum des Beschwerdeführers gespeichert.

Beweiswürdigung: Diese Feststellungen ergeben sich aus einem vom Zweitbeschwerdegegner mit Schreiben vom 11. Mai 2009 übermittelten Faksimile des Bildschirms der von ihm betriebenen und zu DVR 00***+++ gemeldeten Datenanwendung „Datei über Personen mit schlechter Bonität“, die der Datenschutzkommission aus Vorverfahren bereits bekannt ist. Der Bildschirmausdruck zeigt die Suchmaske der Datenanwendung sowie das Suchergebnis unter Eingabe des Vor- und Nachnamens sowie des Geburtsdatums des Beschwerdeführers. Ergebnis „Suche ohne Ergebnis (bzw. keine Daten vorhanden)“. Dieser Ausdruck wurde dem Beschwerdeführer auch im Parteiengehör vorgelegt. Im Übrigen ergeben sich diese Feststellungen auch aus dem glaubwürdigen Schreiben der Erstbeschwerdegegnerin vom 8. Jänner 2009, wonach der Zweitbeschwerdegegner nach Kenntnis des Auskunftsbegehrens die Löschung der Daten vorgenommen hat .

D. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung des § 1 Abs. 3 DSG 2000 lautet:

„(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

…“

§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Er lautet hier (in der zum Zeitpunkt der behaupteten Rechtsverletzung bestehenden Rechtslage vor der DSG-Novelle 2010) wesentlich wie folgt:

„Auskunftsrecht

§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

…

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

…

(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten.

…“

Die §§ 37f und 60 Abs. 6a DSG 2000 idF der DSG-Novelle 2013, BGBl. I Nr. 57/2013, lauten, soweit wesentlich, wie folgt:

„Weisungsfreiheit der Datenschutzkommission

§ 37. (1) Die Mitglieder der Datenschutzkommission sind in Ausübung ihres Amtes unabhängig und an keine Weisungen gebunden.

(2) Die Datenschutzkommission ist eine Dienstbehörde und Personalstelle. Zur Unterstützung der Datenschutzkommission ist eine Geschäftsstelle eingerichtet. Im Bundesfinanzgesetz ist die notwendige Sach- und Personalausstattung sicherzustellen. Die Bediensteten der Geschäftsstelle unterstehen nur den Weisungen des Vorsitzenden der Datenschutzkommission. Der Vorsitzende der Datenschutzkommission übt die Diensthoheit über die Bediensteten in der Geschäftsstelle aus.

Organisation und Geschäftsführung der Datenschutzkommission

§ 38. (1) (Verfassungsbestimmung) Die Datenschutzkommission hat sich eine Geschäftsordnung zu geben, in der eines ihrer Mitglieder mit der Führung der laufenden Geschäfte zu betrauen ist (geschäftsführendes Mitglied). Diese Betrauung umfaßt auch die Erlassung von verfahrensrechtlichen Bescheiden und von Mandatsbescheiden im Registrierungsverfahren gemäß § 20 Abs. 2 oder § 22 Abs. 3. Inwieweit einzelne fachlich geeignete Bedienstete der Geschäftsstelle der Datenschutzkommission zum Handeln für die Datenschutzkommission oder das geschäftsführende Mitglied ermächtigt werden, bestimmt die Geschäftsordnung.

(2) Der Bundeskanzler kann sich beim Vorsitzenden der Datenschutzkommission über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Vorsitzenden der Datenschutzkommission nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, widerspricht.

...

§ 60. ...

(6a) § 37 Abs. 2, § 38 Abs. 2 und § 61 Abs. 9 in der Fassung des Bundesgesetzes BGBl. I Nr. 57/2013 treten mit 1. Mai 2013 in Kraft.“

2. Rechtliche Schlussfolgerungen:

a. zur Zuständigkeit der Datenschutzkommission

Der Verwaltungsgerichtshof hat mit Erkenntnis vom 28. Mai 2013, Zl 2009/17/0233, die Datenschutzkommission als im Zeitpunkt der Entscheidung über die vorliegende Beschwerde im ersten Rechtsgang, den 16. Oktober 2009, unzuständige Behörde eingestuft und demzufolge den Bescheid GZ K121.524/0011- DSK/2009, soweit angefochten, wegen Rechtswidrigkeit infolge Unzuständigkeit der belangten Behörde aufgehoben.

Mit der DSG-Novelle 2013, BGBl I Nr. 57/2013, hat die Republik Österreich in Reaktion auf das EuGH-Urteil vom 16. Oktober 2012, Rs C-614/10, im Datenschutzgesetz 2000 vorgesehen, dass die Datenschutzkommission selbst Dienstbehörde und Personalstelle ist, die Bediensteten der Geschäftsstelle nur den Weisungen des Vorsitzenden der Datenschutzkommission unterstehen und der Vorsitzende der Datenschutzkommission die Diensthoheit über die Bediensteten in der Geschäftsstelle ausübt (§ 37 Abs. 2 DSG 2000). Überdies wurde das Unterrichtungsrecht des Bundeskanzlers nach § 38 Abs. 2 DSG 2000 dahingehend eingeschränkt, dass der Vorsitzende der Datenschutzkommission dem Unterrichtungsrecht nur insoweit zu entsprechen hat, als dies nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Datenschutz-Richtlinie widerspricht.

Die DSG-Novelle 2013 trat mit 1. Mai 2013 in Kraft, sodass die Schlussfolgerung des Verwaltungsgerichtshofes, die Datenschutzkommission sei zur Entscheidung über die vorliegende Beschwerde unzuständig gewesen, weil sie nach den Vorgaben der Richtlinie 95/46/EG nicht „völlig unabhängig“ sei, jedenfalls mit jenem Datum nicht mehr zutreffend sind. Die Datenschutzkommission ist seit 1. Mai 2013 daher zur Entscheidung über die vorliegende Beschwerde (soweit neuerlich über sie zu entscheiden ist) zuständig.

b. in der Sache selbst

Der Beschwerdeführer hat aus Anlass einer nicht zustande gekommenen Vertragsbeziehung den präsumptiven Vertragspartner nach der Herkunft der über ihn bekannt gewordenen, offenbar negativen Bonitätsdaten befragt und die Erstbeschwerdegegnerin als Quelle der Daten benannt bekommen.

Diese verwendet, wie der Datenschutzkommission aus mehreren früheren Beschwerdeverfahren amtsbekannt ist, für Bonitätsauskünfte nicht nur Daten, die sie aus eigenem ermittelt hat, sondern ermöglicht über ihr Internet-Portal auch den Zugang zu Daten des Zweitbeschwerdegegners. Diese Tätigkeit ist datenschutzrechtlich als Erbringung einer Dienstleistung durch die Erstbeschwerdegegnerin für den Zweitbeschwerdegegner zu qualifizieren (vgl. hiezu im Übrigen auch den Bescheid der Datenschutzkommission vom 14. September 2007, GZ: K121.292/0011-DSK/2007). Dem stehen die vom Beschwerdeführer zitierten Ausführungen in den Allgemeinen Geschäftsbedingungen der Erstbeschwerdegegnerin nicht entgegen, da sie auch eine Auftraggeberrolle ausübt, allerdings nur im Hinblick auf die von ihr selbst ermittelten Daten.

Die Erstbeschwerdegegnerin hat in ihrer Auskunft vom 8. Jänner 2009 in ihrer Rolle als Dienstleisterin des Zweitbeschwerdegegners diesem Mitteilung davon gemacht, dass der Beschwerdeführer bei ihr auch Auskunft über Daten verlangt habe, für die der Zweitbeschwerdegegner Auftraggeber sei.

Der Zweitbeschwerdegegner hat daraufhin die bei ihm über den Beschwerdeführer gespeicherten Daten umgehend gelöscht.

Nun ist zwar einzuräumen, dass im Zeitpunkt der Löschung ein ausdrücklich an den Zweitbeschwerdegegner adressiertes Auskunftsbegehren noch nicht vorlag, doch muss in der vorliegenden Löschung aus folgenden Gründen dennoch ein Verstoß gegen das Löschungsverbot des § 26 Abs. 7 DSG 2000 gesehen werden, welches dazu führt, dass der Beschwerdeführer in seinem Recht auf Auskunft verletzt worden ist. Zum einen spricht § 26 Abs. 7 leg.cit. lediglich von „der Kenntnis von einem Auskunftsverlangen“. Zwar wird der häufigste Fall der sein, dass ein Auskunftsverlangen beim Auftraggeber einlangt, aber auch Fälle wie der vorliegende, dass nämlich der Auftraggeber von einem bei seinem Dienstleister eingelangten Auskunftsverlangen verständigt wird, erfüllt den Tatbestand der „Kenntnis von einem Auskunftsverlangen“. Andernfalls hätte der Gesetzgeber wohl (nur) angeordnet, dass ab Einlangen eines Auskunftsverlangens beim Auftraggeber dieser einem Löschungsverbot unterliegt. Zum anderen ist gerade Sinn des § 26 Abs. 7 DSG 2000, sicher zu stellen, dass die begehrte Auskunft erfolgen kann und gerade nicht durch Vornahme einer Löschung vereitelt wird. Dies umso mehr, als aufgrund der Sachlage klar war, dass nicht (nur) die von P*** als Auftraggeber verarbeiteten allgemein verfügbaren Daten im Zentrum des Interesses des Beschwerdeführers standen, sondern (auch) die vom Zweitbeschwerdegegner stammenden negativen Zahlungserfahrungsdaten. Aus diesem Grunde erfolgte ja auch die Verständigung des Zweitbeschwerdegegners durch die Erstbeschwerdegegnerin.

Die Datenschutzkommission ist dabei nicht der Auffassung, dass ein „bei wem auch immer“ einlangendes Auskunftsverlangen für einen Auftraggeber das Löschungsverbot gemäß § 26 Abs. 7 DSG 2000 auszulösen vermag. Hier entscheidet aber das besondere Verhältnis zwischen Dienstleister und Auftraggeber. Dienstleistern werden regelmäßig Daten vom Auftraggeber zur Herstellung eines aufgetragenen Werkes überlassen (vgl. § 4 Z 5 DSG 2000). Schon aus dieser Konstellation heraus ist es nicht verwunderlich, dass vielfach Auskunftsbegehren statt direkt an den Auftraggeber an deren Dienstleister gerichtet werden. § 11 Abs. 1 Z 4 DSG 2000 bestimmt, dass es u.a. – sofern dies nach der Art der Dienstleistung in Frage kommt, was im gegenständlichen Fall wohl nicht verneint werden kann – auch zu den Pflichten des Dienstleisters zählt, im Einvernehmen mit dem Auftraggeber die notwendigen technischen und organisatorischen Voraussetzungen für die Erfüllung der Auskunftspflicht zu schaffen (vgl. die mit der DSG-Novelle 2010 in § 26 Abs. 10 DSG 2000 dazu geschaffene explizite Regelung). Es würde diese Pflicht geradezu ad absurdum führen, die auf Grund einer Meldung des Dienstleisters an den Auftraggeber über ein bei ihm statt beim Auftraggeber eingelangtes Auskunftsbegehren betroffenen Daten sofort zu löschen. In einem solchen Fall muss wohl berechtigterweise davon ausgegangen werden, dass dem Auftraggeber das ihn betreffende Auskunftsbegehren zur Kenntnis gelangt ist. Der Zweitbeschwerdegegner hat daher dadurch, dass er das Löschungsverbot des § 26 Abs. 7 DSG 2000 missachtet hat, den Beschwerdeführer in seinem Recht auf Auskunft verletzt (§ 1 Abs. 3 DSG 2000).