2023-0.072.284 – Datenschutzbehörde Entscheidung

GZ: 2023-0.072.284 vom 26. April 2023 (Verfahrenszahl: DSB-D124.0543/22)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von 1.) Dr. Robert A*** (Erstbeschwerdeführer) und der 2.) Ediciones B*** (Zweitbeschwerdeführerin) vom 4. April 2022 gegen die N*** Elektronik Gesellschaft.m.b.H. (Beschwerdegegnerin) wegen behaupteter Verletzung im Recht auf Geheimhaltung wie folgt:

- Die Beschwerde wird als unbegründet abgewiesen .

Rechtsgrundlagen : Art. 3, Art. 4 Z 23 lit a und b, Art. 6 Abs. 1 lit f, Art. 51 Abs. 1, Art. 55, Art. 56, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs. 1 und Abs. 2, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit verfahrenseinleitender Eingabe vom 4. April 2022, verbessert durch Eingabe vom 6. Mai 2022 sowie vom 10. Mai 2022 monierten die Beschwerdeführer eine Verletzung im Recht auf Auskunft und Geheimhaltung. Begründend brachten diese im Wesentlichen vor, die Beschwerdegegnerin weigere sich, eine schriftliche Auskunft über die von ihnen verarbeiteten Daten zu erteilen und würden diese Daten zudem falsche und strafrechtlich relevante Unterstellungen enthalten. Zudem werde aufgrund dieser Angaben der Erwerb weiterer Produkte unionsrechtswidrig verweigert. Die Speicherung dieser falschen Angaben sei seitens der Beschwerdegegnerin telefonisch bestätigt worden.

2. Mit Teilbescheid vom 15. Juni 2022 wurde die Beschwerde des Erstbeschwerdeführers wegen behaupteter Verletzung im Recht auf Auskunft als unbegründet abgewiesen .

3. Mit Eingabe vom 28. Juni 2022 replizierte die Beschwerdegegnerin und führte aus, die Zweitbeschwerdeführerin habe im Jahre 2016 und 2021 je einen PC samt Zubehör bei der Beschwerdegegnerin gekauft. Die Rechnungen seien innergemeinschaftlich - also ohne österreichische Mehrwertsteuer - ausgestellt worden. Hiebei sei dem Finanzamt eine Gelangensbestätigung für die Verbringung ins Ausland vorzulegen. Bei der Abholung müsse der Kunde unterschreiben, dass das Produkt außer Landes gebracht werde und eine entsprechende Vollmacht vorlegen bzw. sich als Geschäftsführer ausweisen. Der Erstbeschwerdeführer habe sich bei der Abholung geweigert, eine Ausweiskopie zuzulassen und nach einigen Tagen begonnen, Reklamationsmails zu schreiben. Auf dessen Drängen sei das Gerät nach Rückgabe gutgeschrieben worden. Da die Beschwerdegegnerin davon ausgehe, dass das Gerät Österreich nie verlassen habe, habe man diesem mitgeteilt, keine innergemeinschaftlichen Rechnungen mehr auszustellen. Nachdem dieser mit dem Anwalt gedroht habe, habe man ihm mitgeteilt, kein Interesse mehr an einer weiteren Geschäftsbeziehung zu haben. Bei der Beschwerdegegnerin sei die Zweitbeschwerdeführerin registriert, diese sei jedoch als juristische Person von der DSGVO ausgenommen.

4. Mit Eingabe vom 21. Juli 2022 wiederholten die Beschwerdeführer im Wesentlichen ihr bisheriges Vorbringen.

5. Nach Aufforderung zur ergänzenden Stellungnahme teilte die Beschwerdegegnerin mit Schreiben vom 3. August 2022 mit, dass keine Daten natürlicher Personen in ihrer EDV gespeichert seien.

6. Nach Aufforderung zur ergänzenden Stellungnahme wiederholte die Beschwerdegegnerin mit Schreiben vom 21. November 2022 ihr bisheriges Vorbringen und brachte zudem einen Screenshot aus ihrer Datenbank (Warenwirtschaft) in Vorlage.

7. Mit Erledigung vom 12. Jänner 2023 teilte die Datenschutzbehörde den Beschwerdeführern mit, gemäß § 39 Abs. 2 AVG im gegenständlichen Verfahren ausschließlich die behauptete Verletzung im Recht auf Geheimhaltung zu prüfen und die behauptete Verletzung im Recht auf Auskunft betreffend die Zweitbeschwerdeführerin in einem gesonderten Verfahren zu behandeln .

8. Mit Eingabe vom 18. Jänner 2023 wiederholten die Beschwerdeführer im Wesentlichen ihr bisheriges Vorbringen. Zudem seien alle Datensätze der Beschwerdeführer bei der Beschwerdegegnerin zu löschen. Die Weigerung der Materiallieferung sei ein Rechtsverstoß, doch habe man ohnehin kein Interesse mehr an einer Geschäftsbeziehung. Das Anfertigen einer Ausweiskopie, sei eine in der EU umstrittene Rechtsmaterie und sei extra eine Datenbank eingeführt worden, damit solche Probleme vermieden werden können. Gemäß DSGVO stellen auch die beruflichen, geschäftlichen und Firmendaten personenbezogene Daten dar.

B. Beschwerdegegenstand

Ausgehend vom Vorbringen der Beschwerdeführer ist Beschwerdegegenstand die Frage, ob die Beschwerdegegnerin die Beschwerdeführer dadurch in deren Recht auf Geheimhaltung verletzt hat, indem diese in ihrer Datenbank (Kundendatenbank/Warenwirtschaftssystem) falsche Informationen sowie strafrechtliche Unterstellungen über die Beschwerdeführer gespeichert hat.

Wie bereits ausgeführt, wird die Beschwerde, soweit diese eine behauptete Verletzung im Recht auf Auskunft zum Gegenstand hatte, in einem eigenständigen Verfahren behandelt.

C. Sachverhaltsfeststellungen

Die Datenschutzbehörde hat folgenden verfahrenswesentlichen Sachverhalt festgestellt:

1. Bei der Beschwerdegegnerin handelt es sich um eine in Österreich, beim LG Z*** zur FN: *3*8*7v registrierte Gesellschaft mit beschränkter Haftung. Der Unternehmensgegenstand der Beschwerdegegnerin umfasst den EDV-Handel sowie Dienstleistungen. Die Beschwerdegegnerin verfügt über mehrere Filialen in Österreich.

2. Bei der Zweitbeschwerdeführerin handelt es sich um ein in Spanien, Barcelona ansässiges Unternehmen, das in den Bereichen Kunst, Architektur und Design tätig ist.

3. Der Erstbeschwerdeführer, Dr. Robert A***, fungiert als Geschäftsführer der Zweitbeschwerdeführerin.

Beweiswürdigung : Die hierzu getroffenen Feststellungen gründen auf dem Vorbringen der Verfahrensparteien sowie einer amtswegigen Abfrage des Firmenbuchs zur FN: *3*8*7v und einer Abfrage der Homepages der Verfahrensparteien.

4. Die Zweitbeschwerdeführerin erwarb in den Jahren 2016 und 2021 je einen PC samt Zubehör bei der Beschwerdegegnerin, wobei die Rechnungen innergemeinschaftlich - also ohne österreichische Mehrwertsteuer - ausgestellt wurden. Der Erstbeschwerdeführer hat sich bei Abholung der im Jahr 2021 gekauften Ware geweigert, eine Ausweiskopie zuzulassen und sodann Reklamationen gegenüber der Beschwerdegegnerin erhoben. Der Erstbeschwerdeführer erhob diese unter anderem im Rahmen eines Telefonats.

5. Die Beschwerdegegnerin speichert unter anderem folgende Angaben über die Zweitbeschwerdeführerin in ihrer internen Kundendatenbank ( Formatierung nicht 1:1 wiedergegeben ):

[Anmerkung Bearbeiter/in: Der an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Auszug aus den IT-Systemen der Beschwerdegegnerin kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Er enthält die (Kurz-) Bezeichnung, die interne Nummer und die Adresse der Zweitbeschwerdeführerin sowie folgenden als „Sonderinformationen“ bezeichneten Text:

„Kunde stresst massiv am Telefon und droht mit Anwalt. Kunde lässt keine Ausweiskopie zu. Wir werden keine Innergemeinschaftlichen Rechnungen mehr ausstellen.

Update: Habe dem Kunden Info gegeben, dass ein Kaufvertrag beidseitig bestehen muss, und wir das nicht wollen!“]

6. Es konnte nicht festgestellt werden, dass die Beschwerdegegnerin im Rahmen von Telefonaten strafrechtliche Anschuldigungen gegen die Beschwerdeführer erhoben hat.

Beweiswürdigung : Die hierzu getroffenen Feststellungen gründen auf dem Vorbringen der Verfahrensparteien. Die Feststellungen, wonach der Erstbeschwerdeführer bei Abholung der Ware keine Ausweiskopie vorgelegt hat und dieser in weiterer Folge Reklamationen erhob, gründet auf dem glaubwürdigen Vorbringen der Beschwerdegegnerin. Die Negativfeststellung, dass keine Anhaltspunkte dafür vorliegen, dass die Beschwerdegegnerin telefonisch strafrechtliche Unterstellungen gegenüber den Beschwerdeführern erhoben hat, gründen darauf, dass die Beschwerdeführer jeglichen Beweis dafür schuldig geblieben sind. Vielmehr legt der Eintrag im Kundenverwaltungssystem der Beschwerdegegnerin (C.5.) den Schluss nahe, dass die Beschwerdeführer die fernmündliche Mitteilung, dass man von weiteren Geschäftsbeziehungen mit diesen absehen werde, als strafrechtliche Unterstellungen aufgefasst haben.

D. In rechtlicher Hinsicht folgt daraus:

D.1. Zur örtlichen Zuständigkeit der DSB:

Eingangs wird festgehalten, dass die Beschwerdeführer die gegenständliche Beschwerde unmittelbar bei der Österreichischen Datenschutzbehörde eingebracht haben.

Gemäß Art. 3 Abs. 1 DSGVO findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

Der Europäische Datenschutzausschuss führt in seinen „ Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) “ (abrufbar auf der Webseite des Europäischen Datenschutzausschusses unter https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_de ; S.5-6 ) aus, dass durch Art. 3 Abs. 1 DSGVO sichergestellt wird, dass die DSGVO für die Verarbeitung durch einen Verantwortlichen oder einen Auftragsverarbeiter gilt, die im Rahmen der Tätigkeiten einer Niederlassung dieses Verantwortlichen oder Auftragsverarbeiters in der Union vorgenommen wird, unabhängig vom tatsächlichen Ort der Verarbeitung.

Gegenständlich verfügt die Beschwerdegegnerin über mehrere Niederlassungen in Österreich und wurde seitens dieser auch nicht bestritten, die Verarbeitung innerhalb Österreichs durchgeführt zu haben. Zumal die gegenständliche Verarbeitung jedoch ausschließlich im Rahmen der Tätigkeiten von Niederlassungen der Beschwerdegegnerin in Österreich stattfand und diese auch keine erheblichen Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hatte , ist diese nicht als grenzüberschreitende Verarbeitung iSd Art. 4 Z 23 lit a oder b DSGVO zu qualifizieren.

D.2. Zur Aktivlegitimation der Zweitbeschwerdeführerin als juristische Person

Nach § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

Gemäß § 4 Abs. 1 DSG gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nach dem Willen des Gesetzgebers sind die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach § 24 DSG, daher auf den Schutz natürlicher Personen beschränkt.

Die Datenschutzbehörde hat jedoch bereits mehrfach ausgesprochen, dass § 1 DSG auch juristische Personen schützt. Eine Auslegung der einfachgesetzlichen Bestimmungen - insbesondere der §§ 4 und 24 DSG - dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen Personen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, dass dieser ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln wollte als natürliche Personen (siehe den Bescheid vom 25. Mai 2020, GZ: 2020-0.191.240, mwN).

Dass es dem nationalen Gesetzgeber möglich ist, ein rein nationales Konzept des Schutzes personenbezogener Daten juristischer Personen vorzusehen, wurde vom EuGH bejaht (vgl. in diesem Sinn das Urteil des EuGH vom 10. Dezember 2020, C-620/19, Rz 47), sodass die o.a. Rechtsprechung der Datenschutzbehörde damit nicht im Widerspruch steht. Durch die Einbeziehung des Schutzes juristischer Personen in das Grundrecht auf Datenschutz nach § 1 DSG wird weder das Schutzniveau der EU-GRC, noch der Vorrang, die Einheit und die Wirksamkeit des Unionsrechts beeinträchtigt (vgl. in diesem Sinn das Urteil des EuGH vom 26. Februar 2013, C-399/11, Rz 60).

Da es sich, wie oben bereits ausgeführt, bei der gegenständlichen um keine grenzüberschreitende Verarbeitung iSd Art. 4 Z 23 lit a oder lit b DSGVO handelt, war daher der Zweitbeschwerdeführerin die Geltendmachung einer Verletzung ihres Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG bei der DSB möglich.

Unter Zugrundelegung dieser Überlegungen ist davon auszugehen, dass die Voraussetzungen des Art. 3 Abs. 1 DSGVO erfüllt sind, mithin der Erstbeschwerdeführer als natürliche Person wie auch die Zweitbeschwerdeführerin als juristische Person von ihrem Beschwerderecht nach Art. 77 DSGVO bzw. § 24 Abs. 1 DSG bei der österreichischen Datenschutzbehörde als gemäß Art. 55 DSGVO zuständige Aufsichtsbehörde zur Beschwerdeerhebung legitimiert sind.

D.3. Zur Beschränkung des Geheimhaltungsanspruchs:

Im gegenständlichen Fall sind die Beschwerdeführer sohin zur Beschwerdeerhebung gemäß § 1 DSG vor der Datenschutzbehörde als zuständige Aufsichtsbehörde aktiv legitimiert.

Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung zu berücksichtigen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).

Im gegenständlichen Fall ist der Anwendungsbereich von § 1 Abs. 1 DSG eröffnet, da sich die Informationen gemäß Art. 4 Z 1 DSGVO auf die Beschwerdeführer beziehen.

Beschränkungen des Anspruchs auf Geheimhaltung sind gemäß § 1 Abs. 2 DSG dann zulässig, wenn personenbezogene Daten im lebenswichtigen Interesse des Betroffenen verwendet werden, der Betroffene seine Zustimmung (bzw. in der Terminologie der DSGVO: Einwilligung) erteilt hat, wenn eine qualifizierte gesetzliche Grundlage für die Verwendung besteht, oder wenn die Verwendung durch überwiegende berechtigte Interessen eines Dritten gerechtfertigt ist.

Wie aus den Feststellungen erhellt, hat die Beschwerdegegnerin in ihrer Datenbank den unter C.5. ersichtlichen Vermerk erfasst, aus dem hervorgeht, dass aufgrund des Verhaltens des Erstbeschwerdeführers künftig keine Verträge mehr mit den Beschwerdeführern abgeschlossen werden.

Als Ausdruck des allgemeinen Gedankens der Privatautonomie gilt im Schuldrecht das Prinzip der Vertragsfreiheit, also auch der Entscheidungsfreiheit, ob und mit wem ein Vertrag geschlossen wird (RIS - RS0013940). Gegenständlich liegen auch keine Anhaltspunkte für eine Monopolstellung der Beschwerdegegnerin vor, die diese einschränken würde.

Entgegen dem Vorbringen der Beschwerdeführer stellt der Vermerk im internen Warenwirtschaftssystem der Beschwerdegegnerin keine strafrechtlichen Unterstellungen dar, noch ist bemessen am Zweck des Eintrages, sohin der Verarbeitung der Daten, eine Unrichtigkeit zu erkennen. Sofern dieser lediglich in der Dokumentation von Meinungen bzw. Beurteilungen liegt, sind die Daten aus datenschutzrechtlicher Sicht richtig, wenn diese Meinung oder Beurteilung korrekt wiedergegeben wird (vgl. den Bescheid der Datenschutzkommission vom 21. März 2007, K121.246/0008-DSK/2007). Gegenständlich handelt es sich um einen internen Vermerk in der Kundendatenbank/Warenwirtschaftssystem der Beschwerdegegnerin, durch die den Mitarbeitern der Beschwerdegegnerin ersichtlich ist, dass von weiteren Vertragsabschlüssen mit den Beschwerdeführern Abstand genommen wird.

Im Lichte der der Beschwerdegegnerin zukommenden Privatautonomie, kann in diesem Vermerk keine rechtswidrige Datenverarbeitung erblickt werden, sondern stellt es nach Auffassung der Datenschutzbehörde ein berechtigtes Interesse gemäß § 1 Abs. 2 DSG bzw. Art. 6 Abs. 1 lit f DSGVO der Beschwerdegegnerin dar, in ihrem internen Warenwirtschaftssystem festzuhalten, dass sie mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen will.

Die Beschwerde erweist sich sohin im Ergebnis als unbegründet .

Abschließend wird neuerlich festgehalten, dass die behauptete Verletzung im Recht auf Auskunft der Zweitbeschwerdeführerin in einem eigenständigen Verfahren behandelt wird.

Es war somit spruchgemäß zu entscheiden .