Datenschutzbehörde

Entscheidungstext DSB-D122.304/0012-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid Beschwerde

Geschäftszahl

DSB-D122.304/0012-DSB/2015

Entscheidungsdatum

08.02.2016

Anfechtung beim BVwG/VwGH/VfGH

Gegen diesen Bescheid (Spruchpunkt 1.) hat die Beschwerdegegnerin am 7.3.2016 Bescheidbeschwerde an das Bundesverwaltungsgericht (BVwG) erhoben (BVwG-Zl. W101 2124657-1). Das BVwG hat mit Verfügung vom 22.1.2019, GZ: W101 2124657-1/10Z, für den 27.2.2019 eine öffentlich-mündliche Verhandlung anberaumt. Nach daraufhin erfolgter Zurückziehung der Bescheidbeschwerde wurde das verwaltungsgerichtliche Verfahren mit Beschluss vom 31.1.2019, GZ: W101 2124657-1/15E, eingestellt. Der Bescheid ist damit rechtskräftig.

Norm

DSG 2000 §1 Abs3 Z1
DSG 2000 §4 Z4
DSG 2000 §4 Z5
DSG 2000 §26 Abs1
DSG 2000 §26 Abs2
DSG 2000 §31 Abs1
DSG 2000 §31 Abs7
DSG 2000 §31 Abs8
DSG 2000 §49 Abs1
DSG 2000 §49 Abs3
DSG 2000 §4 Z9
RL 95/46/EG Art15 Abs1
RL 95/46/EG Erwägungsgrund41
UrhG §40a Abs1
UrhG §40f Abs1

Text

GZ: DSB-D122.304/0012-DSB/2015 vom 8.2.2016

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Mag. Walter A*** (Beschwerdeführer) aus **** E***stadt vom 3. Februar 2015 gegen die N*** Gesellschaft m.b.H. (Beschwerdegegnerin) aus **** E***stadt, vertreten durch Dr. Heinrich B***, Rechtsanwalt in **** E***stadt, wegen Verletzung im Recht auf Auskunft in Folge inhaltlich mangelhafter datenschutzrechtlicher Auskunftserteilung im Schreiben vom 13. Jänner 2015 (samt späteren Ergänzungen vom 3. Februar und 8. September 2015) wie folgt:

1.   Der Beschwerde wird teilweise Folge gegeben und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Auskunft verletzt hat, indem sie sich geweigert hat, ihm den logischen Ablauf der automatisierten Einzelentscheidungen für Zwecke der Bewertung der Kreditwürdigkeit (Bonität) des Beschwerdeführers darzulegen.

2.   Im Übrigen wird die Beschwerde abgewiesen.

Rechtsgrundlagen: § 1 Abs. 3 Z 1, § 26 Abs. 2 und 4, § 31 Abs. 1 und 3 und § 49 Abs. 3 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

Der Beschwerdeführer behauptet in seiner vom 3. Februar 2015 datierenden und am selben Tag per E-Mail bei der Datenschutzbehörde eingelangten Beschwerde eine Verletzung im Recht auf Auskunft über eigene Daten dadurch, dass die Beschwerdegegnerin sein Auskunftsverlangen (gestützt auf § 26 und § 49 DSG 2000) vom 3. Jänner 2015 mit Schreiben vom 13. Jänner 2015 unvollständig und damit inhaltlich mangelhaft beantwortet habe. Anlass des Auskunftsverlangens sei eine Bonitätsprüfung durch die Beschwerdegegnerin im Auftrag des Dienstes „Pay***Secure“ gewesen. Die von der Beschwerdegegnerin verarbeiteten Adressdaten in E***stadt (eine Adresse) und L***stadt (zwei Adressen) seien in Bezug auf die L***stadter Adressen objektiv falsch. Die Angaben zur Datenherkunft, den Datenempfängern und zur Rechtsgrundlage seien mangelhaft weil nur „vage“. Am 14. Jänner 2015 habe der Beschwerdeführer versucht, eine telefonische Ergänzung der erteilten Auskunft zu erhalten. Dabei sei ihm von einem Mitarbeiter der Beschwerdegegnerin erklärt worden, die Adressdaten stammten aus dem Zentralen Melderegister (ZMR) oder von Adressverlagen. Die Beschwerdegegnerin betreibe weiters kein ScoringNächster Suchbegriff sondern übermittle nur „Rohdaten“ an ihre Kunden. Neben den Adressdaten bestünden diese aus Meldungen von Inkassobüros und Publikationen der Gerichte, wobei betreffend den Beschwerdeführer nur Adressdaten vorlägen. Am 23. Jänner 2015 habe die Beschwerdegegnerin ihre Auskunft per E-Mail dahingehend ergänzt, dass als Quelle der Adressdaten die O***-Address Ges.m.b.H. offengelegt und die Behauptung aufgestellt worden sei, die Adressdaten des Beschwerdeführers seien auch „im Internet veröffentlicht“. Die Beschwerdegegnerin habe als Rechtsgrundlage ihrer Datenverwendung nunmehr § 152 GewO angegeben, welche Bestimmung aber keine entsprechende Berechtigung verleihe. Er habe die Beschwerdegegnerin daraufhin nochmals um telefonische Kontaktaufnahme ersucht, und sei am 26. Jänner 2015 von einem Mitarbeiter der dortigen Rechtsabteilung zurückgerufen worden. Dieser habe sich „konfrontativ“ verhalten und habe etwa darauf bestanden, dass nur negative und für den Betroffenen relevante Bonitätsdaten zu beauskunften seien. Die von Adressverlagen stammenden Adressdaten (über 9 Millionen Datensätze, was allein nach Ansicht des Beschwerdeführers die Rechtmäßigkeit der Quellen in Frage stelle) würden mit Hilfe des ZMR bloß verifiziert. Nähere Informationen, zur Herkunft von Daten „aus dem Internet“ seien ihm verweigert worden. Die Beschwerdegegnerin habe sich weiters darauf berufen, dass nähere Auskünfte zu den – vorliegenden aber angeblich nicht abrufbaren – Protokolldaten der Pay***Secure-Bonitätsprüfung im Hinblick auf das Datenschutzgrundrecht der Datenempfänger nicht möglich seien. Im Gegensatz zum ersten Telefongespräch habe dieser Gesprächspartner angegeben, dass die Beschwerdegegnerin sehr wohl eine „Bonitätsbewertung“ vornehme, allerdings sei sie dabei nur Dienstleisterin der anfragenden Unternehmen und als solche nicht zur Auskunft verpflichtet. Aus einer dem Beschwerdeführer durch die Pay***Secure GmbH erteilten Auskunft gehe ein „H***-Score Score“ von „563“ und die Bewertung „approved“ hervor. Sein Geburtsdatum sei dort unrichtig mit *2. **** 1986 und sein Vorname mit „W.“ abgekürzt gespeichert worden. Rechtlich führte der Beschwerdeführer aus, die angegebenen Inhaltsdaten seien im Vergleich mit der Auskunft der Pay***Secure unklar und, insbesondere die Bonitätsdaten betreffend, widersprüchlich. Betreffend letztere fehle auch die gestützt auf § 49 DSG 2000 verlangte Auskunft über die Logik der automatisierten Entscheidungsfindung. Die Auskunft zur Herkunft der Daten sei unvollständig, weil weder die „O***-Address GmbH“ klar identifiziert worden sei (es gebe sowohl in Österreich als auch in Deutschland so firmierende Tochtergesellschaften des V***-Konzerns), noch Angaben zu den angeblich „60 Inkassopartnern“ und den verwendeten öffentlichen Quellen (im Internet) gemacht worden seien. Die Angaben zu den Empfängern der Daten seien „extrem vage“. Der Beschwerdeführer vertrete den Standpunkt, dass Datenübermittlungen gemäß § 14 Abs. 2 Z 7 DSG 2000 zu protokollieren seien, daher über die genauen Empfänger und nicht nur über allgemeine Empfängerkreise wie „die kreditgebende Wirtschaft“ Auskunft zu erteilen sei. Auch der Inhalt der ihm bekannten Übermittlung an die Pay***Secure GmbH sei durch die Beschwerdegegnerin nicht widerspruchsfrei offengelegt worden. Ebenso seien der Zweck und die Rechtsgrundlagen der Datenverwendung nicht so dargelegt worden, dass es ihm möglich werde, die Rechtmäßigkeit der Datenverwendung zu beurteilen. Und nicht zuletzt sei die Beschwerdegegnerin im Fall, dass ihr Handeln als datenschutzrechtliche Dienstleistungserbringung zu werten sei, ihrer Pflicht gemäß § 26 Abs. 10 DSG 2000 nicht nachgekommen, ihre Auftraggeber zu benennen. Jedenfalls habe die Beschwerdegegnerin sein Auskunftsverlangen nicht gesetzmäßig beantwortet. Der Beschwerdeführer stellte abschließend an die Datenschutzbehörde den Antrag, die von ihm behauptete Rechtsverletzung bescheidmäßig festzustellen.

Die Beschwerdegegnerin hält dem nach Aufforderung durch die Datenschutzbehörde in ihrer Stellungnahme vom 19. Februar 2015 Folgendes entgegen: Aus ihrer Sicht sei das Auskunftsverlangen (mit den Ergänzungen) vollständig und damit dem Gesetz entsprechend beantwortet worden. Hinsichtlich der Quellen der Daten sei niemals behauptet worden, (Melde-) Daten aus dem ZMR ermittelt zu haben. Das ZMR werde nur in begründeten Fällen zwecks Überprüfung von Geburtsdatum oder Adresse eines Betroffenen abgefragt. Die Beschwerdegegnerin sei von einem Kunden der H***-Score GmbH (Deutschland), nämlich der Pay***Secure GmbH, als Dienstleisterin zur Berechnung eines Vorheriger SuchbegriffScoringNächster Suchbegriff-Wertes herangezogen worden. Dieser Wert sei bei der Beschwerdegegnerin nur im Bestand der gemäß § 14 Abs. 2 Z 7 und Abs. 4 DSG 2000 verwendeten Protokolldaten vorhanden, werde jedoch nicht als dem Beschwerdeführer zugeordnetes Datum verarbeitet und auch nicht an Datenempfänger (Kunden der Beschwerdegegnerin) übermittelt. Die Beschwerdegegnerin stütze ihre Tätigkeit auf die bestehende Gewerbeberechtigung und § 7 Abs. 1 iVm § 8 Abs. 1 Z 4 DSG 2000. Grundsätzlich seien nur die schriftlich erteilten Auskünfte maßgebend, für bei Telefongesprächen entstandene Missverständnisse ersuche man um Verständnis. Unter einem legte die Beschwerdegegnerin die Kopie einer dem Beschwerdeführer am 3. Februar 2015 übermittelten ergänzenden Auskunft vor, die die Übermittlungsempfänger der Daten des Beschwerdeführers einzeln aufliste.

Die Datenschutzbehörde erteilte daraufhin dem Beschwerdeführer mit Schreiben vom 20. Februar 2015, GZ: DSB-D122.304/0002-DSB/2015, Parteiengehör gemäß § 31 Abs. 8 DSG 2000 wegen zu vermutender Klaglosstellung.

Der Beschwerdeführer brachte daraufhin in seiner Stellungnahme vom 9. März 2015 in Bezug auf das Weiterbestehen einer Beschwer Folgendes vor: Die Stellungnahme der Beschwerdegegnerin decke nur einen Teilbereich seiner Beschwerdepunkte ab. „Ohne auf die Rechtmäßigkeit der Datenverarbeitung durch die N*** einzugehen“, führte er aus, die Beschwerde erkläre nicht, wie die Zuordnung der Daten der Pay***Secure zu seinen Daten möglich sein sollte. Dafür, dass die Pay***Secure datenschutzrechtlicher Auftraggeber wäre, würden keine Beweise vorgelegt. Auch die Rolle der H***-Score Deutschland sei „unklar“. Hierzu verwies er abermals auf die Pflicht des datenschutzrechtlichen Dienstleisters gemäß § 26 Abs. 10 DSG 2000, ein bei ihm eingegangenes Auskunftsverlangen weiterzuleiten. Die am 3. Februar 2015 von der Beschwerdegegnerin übermittelte Liste der Übermittlungsempfänger sei „offensichtlich unvollständig“, da ihm Mitarbeiter der Beschwerdegegnerin am Telefon sogar die genaue Uhrzeit der jeweiligen Übermittlungen genannt hätten. Diese Zeitpunkte seien im Schreiben wiederum nicht beauskunftet worden. Die Angaben der Beschwerdegegnerin zur Quelle der Adressdaten könnten nicht stimmen, da die als Quelle angegebene I***-Address Direktmarketing Ges.m.b.H. ihm gegenüber angegeben habe, seine ehemalige Adresse in L***stadt (Z****-Straße 2*, **** L***stadt) nie gespeichert gehabt zu haben. Umgekehrt habe die I***-Address Direktmarketing Ges.m.b.H. angegeben (Ausdrucke eines entsprechenden E-Mail-Wechsels waren der Stellungnahme angeschlossen), zwei Adressen an die Beschwerdegegnerin übermittelt zu haben, für die die Beschwerdegegnerin die O***-Address Ges.m.b.H. als Quelle genannt habe. Die Angaben der Beschwerdegegnerin seien daher widersprüchlich und damit generell unglaubwürdig. Er erwarte unter Hinweis auf die im Verwaltungsverfahren geltende „Offizialmaxime“ eine gründliche Überprüfung des für das Ermittlungsverfahren relevanten Sachverhalts.

Die Beschwerdegegnerin hielt dem in ihrer Stellungnahme vom 20. März 2015 Folgendes entgegen: Die Beschwerdegegnerin weise jeden Vorwurf rechtswidrigen Verhaltens oder einer Verletzung subjektiver Rechte des Beschwerdeführers zurück. Es sei gesetzmäßig Auskunft erteilt worden. Das Vorgehen des Beschwerdeführers sei hinsichtlich der „Lauterbarkeit“ seiner Motive in Frage zu stellen und wäre möglicherweise unter „Schikane“ zu subsumieren. Es werde daher mangels bestehender Beschwer die Einstellung des Verfahrens beantragt. Es sei betreffend den Beschwerdeführer und den Auftrag der Firma Pay***Secure keine automatisierte Entscheidungsfindung erfolgt, da es im Ermessen der Pay***Secure gelegen sei, über einen Geschäftsabschluss zu entscheiden. Aber selbst wenn eine automatisierte Entscheidungsfindung vorliege, müsste diese nur soweit offengelegt werden, als damit nicht in eigene Rechte oder Rechte Dritter unverhältnismäßig eingegriffen würde. Die Entscheidungslogik werde hier als schützenswertes Geschäftsgeheimnis der Beschwerdegegnerin bzw. der Pay***Secure geltend gemacht. Die Datenbank der Beschwerdegegnerin umfasse nur Adressdaten und Zahlungserfahrungsdaten der Betroffenen. Scorewerte oder ähnliche Berechnungen, die nach Vorgaben der Kunden erfolgten, würden nicht gespeichert. Hinsichtlich der Quelle der Adressdaten bleibe die Beschwerdegegnerin bei ihren Angaben.

Die Datenschutzbehörde führte am 9. April 2015 in den Geschäftsräumen der Beschwerdegegnerin eine datenschutzrechtliche Einschau durch (Niederschrift zu GZ: DSB-D122.304/0007-DSB/2015), in der die Beschwerdegegnerin zusätzlich durch Rechtsanwalt Dr. Heinrich B*** vertreten worden ist.

Nach Parteiengehör zu den Ergebnissen der Einschau brachte der Beschwerdeführer in seiner Stellungnahme vom 2. August 2015 vor, die Beschwerdegegnerin habe sich wiederum in Widersprüche betreffend die Auftraggeberschaft für Vorheriger SuchbegriffScoringNächster Suchbegriff-Werte verwickelt. Die Angaben, die auf eine Dienstleisterrolle schließen lassen würden, seien als reine Schutzbehauptungen zu qualifizieren, durch die sich die Beschwerdegegnerin „ihrer Pflichten als Auftraggeber zu entledigen“ suche. Die Pay***Secure bzw. H***-Score Deutschland hätten die Beschwerdegegnerin ihm gegenüber (entsprechende Schreiben seien bereits vorgelegt worden) nicht als Dienstleister sondern als „Datenquelle“ bzw. „verantwortliche Stelle“ (= Auftraggeber im Sinne des deutschen BDSG) ausgewiesen. Es sei auch unwahrscheinlich, dass die Beschwerdegegnerin Vorheriger SuchbegriffScoringNächster Suchbegriff-Werte nur errechne und sie nach Weitergabe an den Auftraggeber selbst lösche. Eine entsprechende Tätigkeit („Auskunft über kredit- und bonitätsrelevante Verhältnisse“) lasse sich auch aus dem Stand des DVR (DVR: *4*1*46) ableiten, da ansonsten die DVR-Meldung fehlerhaft wäre. Selbst wenn man Kunden wie Pay***Secure bzw. H***-Score Deutschland als Auftraggeber werte, so sei die Beschwerdegegnerin zumindest „gemeinsame Auftraggeberin“ gemäß § 4 Z 4 DSG 2000 mit diesen. Im Übrigen sei durch die Einschau über das „Kunden-Interface“ der Beschwerdegegnerin der Datenbestand zwar klarer geworden, es bestehe aber noch immer keine Sicherheit über den „tatsächlichen Datenbestand im System“. Insbesondere seien bestimmte ihm bekannte Abfragen nicht ausgewiesen, und lasse sich aus den ermittelten Daten kein System für den Ablauf automatisierter Entscheidungsfindung erschließen, über das die Beschwerdegegnerin gemäß § 49 Abs. 3 DSG 2000 Auskunft erteilen müsse. Die Beschwerdegegnerin habe weiters laut Ergebnis der Einschau nachweislich fünf bestimmte Datenquellen bisher nicht offengelegt und dadurch sein Auskunftsrecht verletzt. Weiters scheine die Beschwerdegegnerin dadurch, dass zwei Datenempfänger, über die am 3. Februar 2015 noch Auskunft erteilt worden sei, bei der Einschau nicht gefunden wurden, gegen § 26 Abs. 7 DSG 2000 verstoßen zu haben. Der Beschwerdeführer machte weiters ein umfassendes (mehrseitiges) Vorbringen zur Rechtmäßigkeit der Verarbeitung von „Positivdaten“ und „Negativdaten“ durch die Beschwerdegegnerin als Wirtschaftsauskunftei.

Am 6. August 2015 legte der Beschwerdeführer der Datenschutzbehörde ergänzend eine E-Mail der B***-Mobilfunk Austria Ges.m.b.H. vom selben Tage vor, in der jeder Auftrag und jede Ermächtigung an die Beschwerdegegnerin zur Speicherung von Stammdaten der Kunden der B***-Mobilfunk Austria Ges.m.b.H. in Abrede bestellt wird.

Nach Parteiengehör zu den Ergebnissen der Einschau und der ergänzenden Urkundenvorlage des Beschwerdeführers brachte die Beschwerdegegnerin in ihrer Stellungnahme vom 8. September 2015 vor: Selbst wenn die Beschwerdegegnerin manche Datensätze erst im Verfahren vor der Datenschutzbehörde offengelegt habe, sei der Beschwerdeführer jedenfalls nach Kenntnisnahme von den Verfahrensergebnissen diesbezüglich klaglos gestellt. Inhalt einer datenschutzrechtlichen Auskunft müssten die verarbeiteten Daten, deren Herkunft und deren Empfänger sein. Die Beschwerdegegnerin könne mit den Beweismitteln gemäß § 46 AVG nicht unter Beweis stellen, dass sie etwa keine Einkommensdaten des Beschwerdeführers speichere, daher müssten entsprechende „Mutmaßungen eines Branchenfremden“ bei der Beweiswürdigung außer Betracht bleiben. Alle Abfragemöglichkeiten im System der Beschwerdegegnerin, wie es bei der Einschau offengelegt worden sei, würden auf denselben Datenbestand (der DAN: *4*1*46/001) zugreifen. Bei einer Bonitätsprüfung entsprechend einer vom Kunden erstellten „Scorekarte“ würde ein Ergebnis errechnet und an den Kunden gesendet. Das Ergebnis selbst würde aber nicht bei der Beschwerdegegnerin gespeichert sondern nur als Abfrage entsprechend § 14 Abs. 2 Z 7 DSG 2000 und § 132 BAO protokolliert. Die Diskrepanzen zwischen beauskunfteten und bei der Einschau angeführten Übermittlungen seien auf den unvollständigen Inhalt der Niederschrift über die Einschau zurückzuführen. Die Beschwerdeführerin machte weiters geltend, dass die „Scorekarte“ (als Programm) wie auch die Datenbank der Beschwerdegegnerin urheberrechtlich geschützte geistige Schöpfungen (Datenbankwerke) seien. Ihre Offenlegung würde Geschäftsgeheimnisse verletzen und könne daher gemäß § 26 Abs. 1 und 4 DSG 2000 nicht verlangt werden. Zur Frage der automatisierten Entscheidungsfindung machte die Beschwerdegegnerin geltend, dass sie laut ihren Allgemeinen Geschäftsbedingungen ihren Kunden mit dem Ergebnis einer Bonitätsprüfung nur eine Entscheidungshilfe zur Verfügung stelle. Dies folge dem Grundgedanken des Datenschutzrechts, dass Menschen nicht durch Computerprogramme bewertet werden sollten. Es liege daher keine automatisierte Entscheidungsfindung vor. Die Beschwerdegegnerin ging weiters auch auf die Ausführungen des Beschwerdeführers zur Rechtmäßigkeit der Verarbeitung von „Positivdaten“ und „Negativdaten“ ein und brachte dazu u.a. vor, dass die Rechtmäßigkeit der Datenverwendung nicht im Verfahren nach § 31 Abs. 1 DSG 2000 zur prüfen sei, und die Frage der Rechtmäßigkeit der Gewerbeausübung überhaupt nicht in die Zuständigkeit der Datenschutzbehörde falle. Unter einem legte die Beschwerdegegnerin der Datenschutzbehörde die Kopie einer weiteren ergänzenden Auskunftserteilung vom selben Tage vor.

Auf Letzteres hin erteilte die Datenschutzbehörde dem Beschwerdeführer zu diesem weiteren Verfahrensergebnis nochmals Parteiengehör (Schreiben vom 25. September 2015, GZ: DSB-D122.304/0011-DSB/2015).

Daraufhin gab der Beschwerdeführer am 12. Oktober 2015 folgende abschließende Stellungnahme ab:

Die Beschwerdegegnerin vermische Fragen der Zulässigkeit der Datenverwendung mit Fragen der Auskunftserteilung. Es sei nicht der Zweck des § 31 Abs. 8 DSG 2000, der Beschwerdegegnerin die „Immunisierung“ einer mangelhaften Auskunftserteilung dadurch zu ermöglichen, dass jeweils nach Feststellung nicht beauskunfteter Informationen durch die Behörde die entsprechende Auskunft nachzuholen. Zum Vorbringen der Beschwerdegegnerin, dass gewisse Daten nur als Protokolldaten vorlägen, brachte der Beschwerdeführer vor, solche Protokolldaten seien ebenfalls personenbezogene Daten und als solche zu beauskunften. Das Gesetz (DSG 2000) enthalte weiters keine Bestimmung, die urheberrechtlich geschützte Werke und Geschäftsgeheimnisse explizit von der Auskunftserteilung ausnehmen würden. Er würde sich im Übrigen auf Wunsch der Beschwerdegegnerin auch verpflichten, solche Auskünfte geheim zu halten. Zu § 49 DSG 2000 brachte der Beschwerdeführer vor, die Bonitätsbeurteilung durch die Beschwerdegegnerin sei inhaltlich mit der Entscheidung über den Geschäftsabschluss beim Kunden gleichzusetzen. Die AGBs der Beschwerdegegnerin, die die Entscheidung formal dem Kunden zuschreiben würden, könnten an dieser Tatsache nichts ändern. Daher sei die Berechnung der Beschwerdegegnerin eine Entscheidung mit rechtlichen Folgen für den Betroffenen. Daher müsse die Beschwerdegegnerin auch gemäß § 49 Abs. 3 DSG 2000 Auskunft erteilen.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin dem Beschwerdeführer gemäß § 26 Abs. 1 und 4 DSG 2000 über dessen eigene Daten und gemäß § 49 Abs. 3 DSG 2000 über den logischen Ablauf automatisierter Entscheidungsfindungen gesetzmäßig Auskunft erteilt hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Die als Gesellschaft mit beschränkter Haftung organisierte Beschwerdegegnerin betreibt als Unternehmen die freien Gewerbe der Auskunftei über Kreditverhältnisse (§ 152 GewO 1994) und des Adressverlags und Direktmarketingunternehmens (§ 151 GewO 1994). Sie ist als datenschutzrechtliche Auftraggeberin zu DVR: *4*1*46 im von der Datenschutzbehörde geführten Datenverarbeitungsregister (DVR) eingetragen.

Beweiswürdigung: Diese Feststellungen beruhen auf bei der Datenschutzbehörde amtsbekannten und beiderseits unbestrittenen Tatsachen.

Der Beschwerdeführer richtete am 3. Jänner 2015 das folgende Auskunftsverlangen an die Beschwerdegegnerin (Layout nur annähernd wiedergegeben):

Datenauskunft nach RL 95/46/EG bzw dem national anwendbaren Gesetz

Guten Tag!

Ich hätte gerne umgehend volle Auskunft (Datenbestand, Quellen, Übermittlungsempfänger, Zweckbeschreibung, Entscheidungen, Logik der Entscheidungen, etc) über die von mir gespeicherten Daten. Der Identitätsnachweis erfolgt über digitale Signatur (siehe unten).

Weiter Informationen:

Namen:   Mag. Walter A***

(weiter: „Walter A***“ und „W. A***“)

Geburtsdatum:  *3. **** 1986

Anschrift:  M***straße *5/3/**, **** E***stadt, Österreich

(zuvor: C***-gasse *6, **** L***stadt, Österreich)

Weitere Kontaktdaten / Identifier:

w.a***@aon.at, *5*4*3@unet.univie.ac.at sowie E-Mail-Adressen mit der Endung *@ma***.com und *@a***.org. Weiter die Telefonnummern +43 6** *6*3*0*1, 06** *6*3*0*1, +43 *** 7*4*22 und/oder 0*** 7*4*22“

Dieses Auskunftsverlangen ist der Beschwerdegegnerin am selben Tag zugekommen. Die Beschwerdegegnerin verlangte vom Beschwerdeführer (Schreiben vom 6. Jänner 2015) zunächst die Kopie eines amtlichen Lichtbildausweises als Identitätsnachweis und erteilte in weiterer Folge mit Schreiben vom 13. Jänner 2015 folgende datenschutzrechtliche Auskunft (Wiedergabe als Faksimile/farbige Bilddatei des vorgelegten PDF):

[Anmerkung Bearbeiter: Das hier im Original als Faksimile wiedergegebene Schreiben kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst erteilte die Beschwerdegegnerin Auskunft zum Namen, zum Geburtsdatum und zu drei gespeicherten Adressdatensätzen des Beschwerdeführers in E***stadt und L***stadt.]

Nachdem der Beschwerdeführer telefonisch und per E-Mail die Vollständigkeit der Auskunftserteilung gerügt und Ergänzungen verlangt hatte, erhielt er am 23. Jänner 2015 folgendes E-Mail (Wiedergabe als Faksimile/farbige Bilddatei des vorgelegten PDF):

[Anmerkung Bearbeiter: Das hier im Original als Faksimile wiedergegebene Schreiben kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst erteilte die Beschwerdegegnerin Auskunft, dass sie zur Ausübung der Gewerbe der Kreditauskunftei und des Adressverlags berechtigt sei, aber keine „Bewertung der Kreditwürdigkeit ihrer Person“ vorgenommen worden sei. Die N*** Ges.m.b.H. übermittle ihren Kunden, etwa der Pay***Secure, lediglich Daten und Informationen zu deren Verwendung im Rahmen von geschäftlichen Entscheidungen. Auf die „Dateneingabe“ durch diese Kunden habe man keinen Einfluss. Als Quellen der Adressdaten wurden die Adressverlage O***-Address Ges.m.b.H. und I***-Address Direktmarketing Ges.m.b.H. angegeben.]

Beweiswürdigung: Diese Feststellungen beruhen auf den oben wiedergegebenen bzw. zitierten Urkunden, deren Kopien der Beschwerdeführer als Beilagen der Beschwerde vom 3. Februar 2015 angeschlossen hat (ESt in GZ: DSB-D122.304/0001-DSB/2015). Die Echtheit und inhaltliche Richtigkeit dieser Schreiben ist beidseitig unbestritten, auch der nicht exakt inhaltlich wiedergegebene telefonische und E-Mail-Verkehr zwischen den Parteien hat unbestritten stattgefunden.

Annähernd parallel erhielt der Beschwerdeführer von der Pay***Secure GmbH, Berlin, und der H***-Score GmbH, München, datenschutzrechtliche Auskünfte, von denen die H***-Score GmbH vom 23. Jänner 2015 angibt, dass die von der Beschwerdegegnerin als „Datenquelle“ stammenden Daten Name, Adresse sowie ein „Score“ von „563“ in eine den Beschwerdeführer betreffende Bonitätsauskunft für die Pay***Secure GmbH einbezogen wurden. Die Pay***Secure GmbH speichert diesbezüglich laut ihrer Auskunft das Datum: „H***-Score Score: APPROVED“

Beweiswürdigung: Diese Feststellungen beruhen auf den zitierten Urkunden, deren Kopien der Beschwerdeführer ebenfalls als Beilagen der Beschwerde vom 3. Februar 2015 angeschlossen hat (ESt in GZ: DSB-D122.304/0001-DSB/2015). Die Beschwerdegegnerin hat sich zur inhaltlichen Richtigkeit der Auskünfte der Pay***Secure GmbH und der H***-Score GmbH nicht geäußert, da jedoch weder eine Bestreitung dieser Richtigkeit noch anders lautende Verfahrensergebnisse vorliegen, konnte der Urkundeninhalt der Sachverhaltsfeststellung zu Grunde gelegt werden.

Nachdem, trotz Aufforderung per E-Mail durch den Beschwerdeführer, keine weitere Auskunft von der Beschwerdegegnerin einlangte, brachte dieser am 3. Februar 2015, 19:02 Uhr, per E-Mail die gegenständliche Beschwerde wegen Verletzung des Auskunftsrechts bei der Datenschutzbehörde ein.

Beweiswürdigung: Diese Feststellungen beruhen auf bei der Datenschutzbehörde aktenkundigen und beiderseits unbestrittenen Tatsachen.

Kurz darauf erreichte den Beschwerdeführer folgendes Schreiben der Beschwerdegegnerin:

[Anmerkung Bearbeiter: Das hier im Original als Faksimile wiedergegebene Schreiben kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst erteilte die Beschwerdegegnerin Auskunft, dass neun aufgezählte Unternehmen, darunter die Pay***Secure GmbH und die B***-Mobilfunk Austria Ges.m.b.H., Übermittlungsempfänger von Daten des Beschwerdeführers waren. Die Beschwerdegegnerin bekräftigte weiters, dass „zu keiner Zeit Zahlungserfahrungen zu ihrer Person“ gespeichert waren oder übermittelt wurden.]

Während des laufenden Beschwerdeverfahrens ist die an den Beschwerdeführer erteilte Auskunft schließlich ein drittes Mal durch folgendes Schreiben vom 8. September 2015 ergänzt worden:

[Anmerkung Bearbeiter: Das hier im Original als Faksimile wiedergegebene Schreiben kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst erteilte die Beschwerdegegnerin Auskunft über 18 Fälle von den Beschwerdeführer betreffenden „Credit Checks“ seit März 2004 im Auftrag ihrer Kunden und deren Ergebnisse („Scores“) sowie über alle Fälle der Bestätigung (des Abgleichs) der betreffend den Beschwerdeführer gespeicherten Adressdaten.]

Die Beschwerdegegnerin führt im Auftrag ihrer Kunden Bonitätsprüfungen von Verbrauchern durch, deren Ergebnis in einem errechneten Scorewert ausgedrückt wird. Die entsprechende Datenanwendung wird bei der Beschwerdegegnerin intern als „Onlinekreditsystem (auch: Online-Referencing & Score-System)“ (kurz: **ORSS) bezeichnet. Am 1. Jänner 2015 führte die Beschwerdegegnerin über Vermittlung der deutschen H***-Score GmbH unter der Produktbezeichnung „CreditCheck Consumer“ im **ORSS eine Bonitätsprüfung des Beschwerdeführers für die Pay***Secure GmbH, Berlin, durch. Dabei wurden von der Pay***Secure GmbH festgelegte Spezifikationen (sogenannte Scorekarte mit der Bezeichnung „B2C CreditCheck – Pay***Secure V3“) zur Anwendung gebracht. Das Ergebnis der automationsunterstützten Bonitätsberechnung in Form eines „Personen Scores“ von 100 und eines „Total Scores“ von 563 wurde an die H***-Score GmbH und die Pay***Secure GmbH übermittelt und bei der Beschwerdegegnerin mit den Namens- und Adressdaten des Beschwerdeführers verknüpft gespeichert. Die H***-Score GmbH führte auf dieser Basis eine weitere Bonitätsbeurteilung durch, die darauf lautete, dass der Finanzierungswunsch des Beschwerdeführers (Lastschriftzahlung für eine Onlinebestellung) durch die Pay***Secure GmbH genehmigt werden könnte („H***-Score Score: APPROVED“).

Beweiswürdigung: Diese Feststellungen beruhen einerseits auf dem Ergebnis der Einschau der Datenschutzbehörde in die Datenanwendungen der Beschwerdegegnerin (Niederschrift vom 9. April 2015, GZ: DSB-D122.304/0007-DSB/2015), insbesondere die Beilage./I, sowie auf den bereits zitierten Kopien der Auskunftsschreiben der Pay***Secure GmbH und der H***-Score GmbH, die der Beschwerdeführer als Beilagen der Beschwerde vom 3. Februar 2015 angeschlossen hat (ESt in GZ: DSB-D122.304/0001-DSB/2015). Aus der Beilage./I geht als Ergebnis der Einschau klar hervor, dass die Beschwerdegegnerin eine den Beschwerdeführer betreffende Bonitätsprüfung vorgenommen hat (anders die Behauptungen des Rechtsbeistandes der Beschwerdegegnerin noch in der Niederschrift über die Einschau) und das Ergebnis der durchgeführten Bonitätsprüfung sehr wohl und entgegen ihren Behauptungen (Stellungnahme vom 19. Februar 2015) personenbezogen und nicht bloß als „Protokolldaten“ speichert. Die Daten waren in einer augenscheinlich für einen Benutzer mit durchschnittlichen EDV-Kenntnissen bestimmten Darstellung bei einer Suche mit dem Namen des Beschwerdeführers als Suchparameter abrufbar und verfügbar und mussten nicht erst als Rohdaten aus einer typischerweise nicht-personenbezogen sondern sequenziell dargestellten Auflistung von Verarbeitungsvorgängen gefiltert und interpretiert werden. Die Behauptungen der Beschwerdegegnerin, keine Bonitätsbewertung des Beschwerdeführers vorgenommen zu haben, was wohl bereits als rechtliche Interpretation des tatsächlichen Geschehens zu verstehen ist, und die Ergebnisse von Bonitätsprüfungen nicht personenbezogen zu verarbeiten, mussten daher sachverhaltsmäßig als widerlegt angesehen werden.

Betreffend die Adressdaten des Beschwerdeführers, die die Beschwerdegegnerin verarbeitet, und deren tatsächliche oder potenzielle Quellen – die Beschwerdegegnerin unterscheidet in den Prozessen ihrer Datenanwendungen nicht zwischen Übermittlung von Datensätzen und dem Abgleich mit den Datensätzen anderer datenschutzrechtlicher Auftraggeber – hat die Einschau folgendes ergeben:

[Anmerkung Bearbeiter: Das hier im Original als Faksimile wiedergegebene Schreiben kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst wird tabellarisch die Verarbeitung der entsprechenden Daten dargestellt.]

Betreffend den Beschwerdeführer werden von der Beschwerdegegnerin keine sogenannten Zahlungserfahrungsdaten (etwa von dritter Seite gemeldete Inkassofälle) verarbeitet.

Beweiswürdigung: Diese Feststellungen beruhen einerseits auf dem Ergebnis der Einschau der Datenschutzbehörde in die Datenanwendungen der Beschwerdegegnerin (Niederschrift vom 9. April 2015, GZ: DSB-D122.304/0007-DSB/2015), insbesondere der Beilage./III, andererseits auf der Kopie des ergänzenden Auskunftsschreibens vom 8. September 2015 samt Beilagen, das die Beschwerdegegnerin der Datenschutzbehörde als Beilage zu ihrer Stellungnahme vom 8. September 2015 vorgelegt hat. Der Beschwerdeführer hat zwar die im Verlauf des Verfahrens erfolgte ergänzende Auskunftserteilung durch die Beschwerdegegnerin als „Salamitaktik“ gerügt, gegen die inhaltliche Vollständigkeit der betreffend die Datenherkunft erteilten Auskunft jedoch nichts mehr vorgebracht, sodass die Datenschutzbehörde davon ausgehen kann, dass die Auskunft in diesem Punkt vollständig war. Betreffend Zahlungserfahrungsdaten konnten bei der Einschau keine solchen gefunden werden und hat der Beschwerdeführer kein gegenteiliges Vorbringen gemacht, sodass der Darstellung der Beschwerdegegnerin gefolgt werden konnte.

D. In rechtlicher Hinsicht folgt daraus:

Allgemeines, Gegenstand des Verfahrens

1.   Zunächst ist daran zu erinnern, dass Gegenstand dieses Verfahrens ausschließlich die Frage der gesetzmäßigen datenschutzrechtlichen Auskunftserteilung durch die Beschwerdegegnerin ist. Dies allein schon aufgrund der durch § 31 Abs. 1 und § 32 Abs. 1 DSG 2000 beschränkten Zuständigkeit der Datenschutzbehörde, in diesem Verwaltungsverfahren einen Bescheid zu erlassen. Durch diese Grenze war auch der Gegenstand des Ermittlungsverfahrens (samt Beweisthemen) beschränkt.

2.   Das Auskunftsrecht ist ein anlassunabhängiges, subjektives Kontrollrecht (Bescheid der früheren DSK vom 14.9.2012, K121.830/0008-DSK/2012, RIS), das auf Feststellung eines sachverhaltsmäßigen Ist-Zustandes gerichtet ist. Der datenschutzrechtlich Verantwortliche (Auftraggeber) hat dabei dem Betroffenen auch unrichtige oder rechtswidrig verwendete Daten offenzulegen (vgl. § 26 Abs. 7 und § 52 Abs 1 Z 4 DSG 2000). Umgekehrt ist das Beschwerdeverfahren gemäß § 31 Abs. 1 DSG 2000 jedoch (siehe oben, Rz 1) nicht der prozessuale Weg, um das Recht auf Richtigstellung bzw. Löschung oder eine Verletzung im Recht auf Geheimhaltung geltend zu machen oder Pflichtenverletzungen eines datenschutzrechtlich Verantwortlichen zu rügen. Ausführungen zur allgemeinen Rechtmäßigkeit der Datenverwendung durch die Beschwerdegegnerin, zur Rechtmäßigkeit bestimmter Verwendungsvorgänge, zu fälligen Löschungen oder Richtigstellungen, Protokollierungspflichten, etc., gehen daher ins Leere. Der Beschwerdeführer ist hierzu auf das von ihm initiierte Kontroll- und Ombudsmannverfahren gemäß § 30 Abs. 1 DSG zu verweisen (Zl. DSB-D215.752). Auf die damit im Zusammenhang stehenden Fragen wird daher in weiterer Folge nicht näher eingegangen.

3.   Gegenstand einer zu erteilenden datenschutzrechtlichen Auskunft sind die im Zeitpunkt des Einlangens des Auskunftsverlangens tatsächlich verarbeiteten Daten. Maßstab ist dabei die formelle Wahrheit. Es besteht bei Durchsetzung des Auskunftsrechts kein Anspruch darauf, dass die gespeicherten Daten im Sinne eines vom Betroffenen erwarteten Soll-Zustandes vollständig und in dem Sinne materiell richtig sind, dass sie etwa in der Vergangenheit liegende Ereignisse (z.B. die Herkunft der Daten aus einer bestimmten Quelle oder die Dauer des Bestehens eines Wohnsitzes) wahrheitsgetreu abbilden. Der Soll-Zustand kann gegebenenfalls in weiterer Folge vom Betroffenen durch Ausübung des Rechts auf Richtigstellung (§§ 1 Abs. 3 Z 2, 27 Abs. 1 Z 2 DSG 2000) hergestellt werden.

Auskunft zu Bonitätsdaten, Auftraggeberschaft der Beschwerdegegnerin

4.   Eine in diesem Verfahren aufgeworfene und für den Umfang des Auskunftsrechts des Beschwerdeführers bedeutsame Frage ist die Behauptung der Beschwerdegegnerin, für die Ergebnisse durchgeführter Bonitätsprüfungen nicht als Auftraggeberin die datenschutzrechtliche Verantwortung zu tragen, da sie dabei nur als Dienstleisterin ihrer Kunden tätig werde. Diese Frage ist nicht nur für die Frage der Auskunft über die Inhaltsdaten (Ergebnisse, Scores) der Bonitätsprüfung von Bedeutung, sondern erfasst auch das Auskunftsrecht gemäß § 49 Abs. 3 DSG 2000 (siehe unten).

5.   Diese Rechtsansicht der Beschwerdegegnerin stützt sich auf eine von der früheren Datenschutzkommission (DSK) vertretene Auslegung des Gesetzes:

„Da die Entscheidung, ob und wie Bonitätsdaten für ein Vorheriger SuchbegriffScoringNächster Suchbegriff-System verwendet werden, von den Kunden der Beschwerdegegnerin getroffen wird, trifft diese die Verantwortung für die Art und Weise der Verarbeitung und die Angemessenheit des Systems. Der logische Ablauf muss deshalb so gesehen werden, dass von der Beschwerdegegnerin alle erforderlichen Daten an das Vorheriger SuchbegriffScoringNächster Suchbegriff-System (und damit an seinen Eigentümer) übermittelt werden. Die Unternehmen, die Eigentümer eines Vorheriger SuchbegriffScoringNächster Suchbegriff-Systems sind, werden ab dem Augenblick, in dem die Rohdaten in das Vorheriger SuchbegriffScoringNächster Suchbegriff-System eingespeist werden, zu Auftraggebern im Sinne des Datenschutzgesetzes. Die Errechnung des Vorheriger SuchbegriffScoringNächster Suchbegriff-Wertes kann nun vom Eigentümer des Systems selbst durchgeführt werden oder als Dienstleistung in Auftrag gegeben werden. Im vorliegenden Fall wurde die Beschwerdegegnerin mit der Errechnung von Vorheriger SuchbegriffScoring–Werten beauftragt. Solange der Kunde der Beschwerdegegnerin das System vorgibt, nach dem die Errechnung vorzunehmen ist, ist der Kunde Auftraggeber dieser Datenverarbeitung, wobei ihm freilich – logisch vorgelagert – die Beschwerdegegnerin die notwendigen Bonitätsdaten übermittelt hat“ (DSK, Bescheid vom 14.9.2007, K121.292/0011-DSK/2007, RIS; die inhaltliche Behandlung einer gegen diesen Bescheid erhobenen Beschwerde ist, ergänzend zu den Angaben im RIS, vom VfGH mit Beschluss vom 22.9.2009, B 1994/07, abgelehnt worden, der VwGH hat die an ihn abgetretene Beschwerde mit Erkenntnis vom 11.12.2009, 2009/17/0223, abgewiesen).

6.   Die Datenschutzbehörde geht von dieser Rechtsansicht im vorliegenden Fall ab und begründet dies wie folgt:

7.   Wie der Beschwerdeführer in seiner Stellungnahme vom 2. August 2015 im Hinblick auf die Ergebnisse des Ermittlungsverfahrens zutreffend ausgeführt hat, führt die Beschwerdegegnerin die Rechenoperationen, die einen seine Bonität wiederspiegelnden Zahlenwert ergeben, in ihrem EDV-System durch, stellt die Datenbasis (Daten des Beschwerdeführers im Bestand der Adressdaten und sogenannten Zahlungserfahrungsdaten) für die Berechnung zur Verfügung und speichert das errechnete Ergebnis der Bonitätsbeurteilung. Damit hat die Beschwerdeführerin personenbezogene Daten des Beschwerdeführers gemäß § 4 Z 4 und 9 DSG 2000 als Auftraggeberin für eigene Zwecke – und sei es nur jener der Dokumentation der für Kunden erbrachten Leistungen – verarbeitet. Dass Kunden der Beschwerdegegnerin die Parameter der Bonitätsbeurteilung, etwa die Gewichtung der Adress- und sogenannten Zahlungserfahrungsdaten, individuell festlegen können, reduziert die Rolle der Beschwerdegegnerin nach Überzeugung der Datenschutzbehörde nicht auf die einer Dienstleisterin. Zwar kann die Berechnung eines Bonitätswertes („Score“) als „aufgetragenes Werk“ im Sinne einer datenschutzrechtlichen Dienstleistung gelten; § 4 Z 5 DSG 2000 setzt aber voraus, dass der Dienstleister die Daten nur und ausschließlich für die Herstellung dieses Werkes verwendet (und nach Abschluss vollständig löscht oder wieder an den Auftraggeber zurückstellt bzw. zurücküberlässt). Im hier vorliegenden Fall, da der Datenverarbeiter das Werk nach Vorgaben seines Kunden aber auf Grundlage von ihm selbst auftraggeberisch verarbeiteter Daten und unter Speicherung des Ergebnisses erstellt, ist dieser gesetzliche Tatbestand jedoch überschritten worden.

8.   Daraus folgt, dass die Beschwerdegegnerin verpflichtet war, dem Beschwerdeführer über die bei ihr verarbeiteten Daten erfolgter Bonitätsauskünfte Auskunft zu erteilen.

9.   Durch die ergänzende Auskunftserteilung vom 8. September 2015 ist letztlich auch eine Auskunftserteilung über die Daten der Bonitätsbewertung erfolgt, wobei unklar bleibt, ob die Beschwerdegegnerin damit (angesichts der Kenntnisse, die der Beschwerdeführer durch die Ermittlungen der Datenschutzbehörde als Partei bereits erlangt hatte) nur unpräjudiziell handeln oder ihre eigene Auslegung des Gesetzes nicht weiter vertreten wollte. Dieses Schreiben enthält die errechneten Bonitätswerte (Scores) und die Empfänger der Daten. Maßstab für die Gesetzmäßigkeit der Auskunftserteilung war dabei der Stand der vor Beendigung dieses Verfahrens von der Beschwerdegegnerin erteilten Auskünfte, einschließlich aller Ergänzungen. Wie aus § 31 Abs. 8 DSG 2000 zu folgern ist, ist das Beschwerdeverfahren gemäß § 31 Abs. 1 DSG 2000 auf das Verfahrensziel der Auskunftserteilung gerichtet. Es besteht daher kein Recht auf die Feststellung, dass eine ursprünglich erfolgte Auskunftserteilung noch nicht dem Gesetz entsprochen hat (vgl. BVwG, Erkenntnis vom 17.11.2015, W214 2107281-1).

10.  Damit hat die Beschwerdegegnerin letztlich in diesem Punkt die Beschwerde gegenstandslos gemacht.

Auskunft zur Datenherkunft und zu Übermittlungen

11.  Der Beschwerdeführer hat die Auskunftserteilung der Beschwerdegegnerin betreffend die Herkunft der Adressdaten in mehrfacher Hinsicht in Zweifel gezogen. Das Ermittlungsverfahren hat nichts ergeben, was als Beweis, dass unrichtig oder unvollständig Auskunft über die verarbeiteten Daten erteilt worden ist, zu werten ist. Außer im Zuge von Bonitätsprüfungen haben keine den Beschwerdeführer betreffenden Datenübermittlungen stattgefunden. An dieser Stelle ist auf die allgemeinen Erwägungen oben unter 3. zu verweisen. Bei der Auskunft über die Quellen und Übermittlungsempfänger ist dem Gesetz genüge getan, wenn die bei der Beschwerdegegnerin gespeicherten Namen (Firmen) dieser Empfänger angegeben werden. Eine materiell richtige Bezeichnung (etwa der exakte Firmenwortlaut) oder eine Adressangabe ist nicht zwingend geboten. In diesem Sinne ist es denkbar, dass die Beschwerdegegnerin die im zweiten Ausdruck (Beilage) beim ergänzenden Auskunftsschreiben vom 8. September 2015 aufgelisteten Datenquellen nicht korrekt gespeichert hat. Durch eine unrichtige Datenspeicherung kann zwar der Grundsatz der sachlich richtigen und aktuellen Datenverwendung (§ 6 Abs. 1 Z 4 DSG 2000) – und damit eventuell das subjektive Recht gemäß § 27 DSG 2000 -, nicht jedoch das subjektive Recht auf Erhalt einer datenschutzrechtlichen Auskunft gemäß § 26 DSG 2000 verletzt worden sein.

12.   Betreffend die Beseitigung der Beschwer durch die ergänzende Auskunftserteilung wird auf die Erwägungen oben, Punkt 10., verwiesen.

Auskunft betreffend automatisierte Einzelentscheidungen

13.  In diesem Punkt stehen sich die Positionen der Parteien insoweit unverändert gegenüber, als die Beschwerdegegnerin keine ergänzende Auskunft erteilt hat, und eine sie treffende inhaltliche Auskunftspflicht gemäß § 49 Abs. 3 DSG 2000 konsequent verneint.

14.  Zunächst ist festzuhalten, dass § 49 DSG 2000 zwei unterschiedliche Tatbestände behandelt: § 49 Abs. 1 erster Satz DSG 2000 verbietet es, jemanden einer ihn erheblich beeinträchtigenden Entscheidung zu unterwerfen, die „ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.“ Der Wortlaut entspricht hier Art 15 Abs. 1 der Richtlinie 95/46/EG. Die Entscheidung ist daher getrennt von der Verarbeitung von Daten für Bewertungszwecke zu betrachten. Die Erstere ist grundsätzlich verboten, Ausnahmen sieht Abs. 2 leg.cit. vor, die Zweitere unterliegt neben den allgemeinen noch speziellen datenschutzrechtlichen Kautelen.

15.  § 49 Abs. 1 DSG 2000 nennt die Bewertung der Kreditwürdigkeit, auch als Bonität bekannt, ausdrücklich als einen Fall einer automatisierten Einzelentscheidung. Es kommt dabei im Fall des gemäß § 49 Abs. 3 DSG 2000 geltenden besonderen Auskunftsrechts nicht darauf an, ob eine anschließend zu treffende wirtschaftliche Entscheidung von jenem Rechtssubjekt getroffen wird, dem die automationsunterstützte Bewertung zuzuschreiben ist.

16.  In diesem Beschwerdefall ist festgestellt worden, dass die Beschwerdegegnerin nach den Vorgaben ihrer Kunden sogenannte „Scorekarten“ erstellt und auf deren Grundlage einen in einer Zahl ausgedrückten Bonitätswert, den „Total Score“ bzw. „Personen Score“ errechnet und speichert.

17.  Die Scorekarte, im Fall der Pay***Secure GmbH war es etwa jene mit der Bezeichnung „B2C CreditCheck – Pay***Secure V3“, ist dabei als wesentlicher Teil des logischen Ablaufs der automatisierten Entscheidungsfindung zu verstehen. Nach dem Gesetz soll es dem Betroffenen ermöglicht werden, diesen Ablauf im Hinblick auf dessen Aussagekraft und die Stichhaltigkeit der automationsunterstützen Beurteilung zu prüfen oder überprüfen zu lassen. Um diesem gesetzlichen Zweck nachzukommen, ist es nach Ansicht der Datenschutzbehörde erforderlich, dem Betroffenen sowohl die in die Berechnung einbezogenen Faktoren als auch die vom System auszuführenden Rechenanweisungen (den Algorithmus) in allgemein verständlicher Form offenzulegen.

18.  Der Einwand, es handle sich bei den Rechenanweisungen (Scorekarten) und den Datenbanken um urheberrechtlich geschützte Werke, vermag nicht zu überzeugen. Das Urheberrecht schützt nur ganze Datenbanken (§ 40f Abs. 1 UrhG „Sammlungen von Werken, Daten oder anderen unabhängigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit elektronischen Mitteln oder auf andere Weise zugänglich sind“) aber nicht einzelne Daten oder Datensätze. Wäre es anders, wäre jede datenschutzrechtliche Auskunftserteilung ein Eingriff in dieses Urheberrecht (vgl. auch den Erwägungsgrund 41 zur Richtlinie 95/46/EG, wonach der Schutz von Immaterialgüterrechten nicht dazu führen darf, dass der betroffenen Person jegliche Auskunft verweigert wird). Dass der wesentliche Inhalt einer Scorekarte ein funktionierendes, ausführbares Computerprogramm ist, dessen Schöpfer in diesem Fall wohl der Dritte wäre, wurde von der Beschwerdegegnerin nicht ernsthaft dargelegt und kann bei dieser Art vorzunehmender Systemeinstellungen mangels urheberrechtlicher Werkhöhe („Ergebnis der eigenen geistigen Schöpfung ihres Urhebers“, vgl. § 40a Abs. 1 UrhG) rechtlich ausgeschlossen werden.

19.  Die Beschwerdegegnerin hat den Beschwerdeführer mehrfach einer der Auskunftspflicht gemäß § 49 Abs. 3 DSG 2000 unterliegenden automatisierten Bonitätsbewertung unterzogen. Durch die Weigerung, Auskunft gemäß § 49 Abs. 3 DSG 2000 zu erteilen, hat sie den Beschwerdeführer daher in seinem Recht gemäß dieser Bestimmung verletzt.

Sonstige Auskunftserteilung

20.  Weitere in § 26 Abs. 1 DSG 2000 festgelegte Auskünfte (Zweck der Datenverwendung, Rechtsgrundlagen der Datenverwendung) hat die Beschwerdegegnerin in zweckentsprechender und damit gesetzmäßiger Weise erteilt.

Zusammenfassung

21.  Trotz bis zum Ende des Verfahrens fortbestehender Meinungsverschiedenheiten und einer verzögerten, in Etappen erfolgenden Auskunftserteilung, hat die Beschwerdegegnerin bei Schluss des Ermittlungsverfahrens den Beschwerdeführer, außer in der Frage der Auskunft über automatisierte Einzelentscheidungen, klaglos gestellt und die Beschwerde damit gegenstandslos gemacht.

22.  Daher war der Beschwerde nur im Punkt der automatisierten Entscheidungsfindung Folge zu geben. Der Spruch hatte sich dabei auf die Feststellung einer Rechtsverletzung zu beschränken, da der Beschwerdeführer ausdrücklich nur eine solche begehrt hat (arg „auf Antrag“ in § 31 Abs. 7 DSG 2000).

23.  Im Übrigen war die Beschwerde als unbegründet abzuweisen.

Schlagworte

Auskunft, Auftraggeber des privaten Bereichs, Umfang des Auskunftsrechts, Wirtschaftsauskunftei, Bonitätsprüfung, Auskunft über automatisierte Einzelentscheidung, Wirtschaftsauskunftei als Auftraggeber, Geschäftsgeheimnis, urheberrechtliche Einwände

European Case Law Identifier (ECLI)

ECLI:AT:DSB:2016:DSB.D122.304.0012.DSB.2015

Zuletzt aktualisiert am

20.02.2019

Dokumentnummer

DSBT_20160208_DSB_D122_304_0012_DSB_2015_00