BVwG
10.12.2018
W211 2188383-1
W211 2188383-1/9E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht erkennt durch die Richterin Mag.a Barbara SIMMA LL.M. als Vorsitzende und die fachkundige Laienrichterin Mag.a Gerda HEILEGGER und den fachkundigen Laienrichter Dr. Ulrich E. ZELLENBERG als Beisitzerin und Beisitzer über die Beschwerde des römisch 40 gegen Spruchpunkt 3. des Bescheids der Datenschutzbehörde vom römisch 40 , in nichtöffentlicher Sitzung zu Recht:
A)
Der Beschwerde wird teilweise stattgegeben und der angefochtene Bescheid dahingehend abgeändert, dass er statt des Spruchpunkts 3. zu lauten hat wie folgt:
"3. Der Beschwerde wird teilweise stattgegeben und festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, dass sie keine Auskunft
a) im Sinne des Artikel 15, Absatz eins, Litera a,) DSGVO hinsichtlich der Verarbeitungszwecke der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Kapitalabflussmeldegesetz oder zur Umsetzung von FATCA sowie für Direktmarketing und allgemeine Marketing- und Werbezwecke durch die Werbe- und Marketingabteilung sowie
b) hinsichtlich seiner Kontobewegungen innerhalb der letzten sieben Jahre
erteilt hat.
Der Beschwerdegegnerin wird aufgetragen, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution Auskunft gemäß Artikel 15, DSGVO zu erteilen.
4. Im Übrigen wird die Beschwerde abgewiesen."
B)
Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.
ENTSCHEIDUNGSGRÜNDE:
römisch eins. Verfahrensgang:
1. Mit Schreiben vom römisch 40 .2017 ersuchte der Beschwerdeführer die Beschwerdegegnerin ( römisch 40 ) um Auskunft gemäß Paragraph 26, Absatz eins, Datenschutzgesetz 2000 (DSG 2000) bezüglich sämtlicher Daten, die die Beschwerdegegnerin entgegen seiner ausdrücklichen Weisung an eine näher bezeichnete Hausverwaltung weitergeleitet habe. Sein Auskunftsbegehren beziehe sich auf sämtliche verarbeitete Daten, die Information über ihre Herkunft, allfällige Empfänger oder Empfängerkreise, den Zweck der Datenverwendung sowie die Anführung der Rechtsgrundlagen. Weiter begehre er die Angabe von Namen und Adressen von mit der Verarbeitung seiner Daten beauftragten Dienstleistern.
2. Die Beschwerdegegnerin teilte dem Beschwerdeführer mit Schreiben vom römisch 40 .2017 mit, die Daten zur Person des Beschwerdeführers habe sie im Rahmen von Produkteröffnungen von diesem erhalten und gespeichert. Die persönlichen Daten würden aufgrund der "Sorgfaltspflicht für Geschäftsleiter von Kreditinstituten" gemäß Paragraph 39, Bankwesengesetz (BWG) gespeichert. Die Daten würden nur zur Durchführung der Bankgeschäfte und die damit verbundenen Serviceleistungen verwendet. Rechtliche Grundlage hierfür sei Paragraph eins, Absatz eins, BWG. Die Daten würden nicht im Rahmen des internationalen Datenverkehrs verwendet. Alle weiteren gespeicherten Personendaten würden keine persönlichen Informationen enthalten, sondern seien konto- und produktbezogene Daten und würden der EDV-technischen Abwicklung der Bankgeschäfte dienen. Aufgrund des Kontenregistergesetzes (KontRegG) habe das Bundeministerium für Finanzen über die Konten im Einlagengeschäft, im Girogeschäft und im Bauspargeschäft sowie über die Depots im Depotgeschäft ein Kontenregister zu führen. Auch sei die Beschwerdegegnerin aufgrund des Kapitalabflussmeldegesetzes verpflichtet, Kapitalabflüsse ab Beträgen von € 50.000,- von Konten oder Depots natürlicher Personen an den Bundesminister für Finanzen zu melden. Schließlich sei die Beschwerdegegnerin aufgrund des zwischenstaatlichen Abkommens zwischen der Republik Österreich und den Vereinigten Staaten (ADG) verpflichtet Personen-. Konto-, und Depotdaten von US-Steuerpflichtigen an die US-Steuerbehörde zu melden, sobald eine Zustimmung des Kunden zur Meldung vorliege. Im Schreiben enthalten war weiter eine Auflistung der über den Beschwerdeführer gespeicherten Daten und eine "Beauskunftung zu Dienstleistern".
3. Mit Schreiben vom römisch 40 .2017 teilte die Beschwerdegegnerin dem Beschwerdeführer mit, dass sie dem Beschwerdeführer betreffend die Geschäftsbeziehung mit einer Wohnungseigentümergesellschaft aufgrund des Bankgeheimnisses keine Auskunft erteilen könne. In der erteilten Auskunft vom römisch 40 .2017 würden darüber hinaus alle Produkte angeführt, die der Beschwerdeführer bei der Beschwerdegegnerin besitze.
4. Daraufhin brachte der Beschwerdeführer am römisch 40 2017 eine Beschwerde nach Paragraph 31, Absatz eins, DSG 2000 ein, worin zusammengefasst vorgebracht wurde, er habe zwar auf sein Auskunftsbegehren vom römisch 40 .2017 eine Auskunft erhalten, allerdings sei unklar, ob diese vorab vom Vorstand der Beschwerdegegnerin genehmigt worden sei und ob daher überhaupt eine der Beschwerdegegnerin zurechenbare Auskunft vorliege. Er stütze daher seine Beschwerde auf das Nicht-Vorliegen einer rechtswirksamen Auskunft nach Paragraph 26, DSG 2000 und in eventu (für den Fall der Abweisung seiner Beschwerde wegen Nicht-Beantwortung) auf die teilweise Unrichtigkeit bzw. Unvollständigkeit der Auskunft vom römisch 40 .2017.
Zur Frage des Vorliegens einer der Beschwerdegegnerin zurechenbaren Auskunft führte der Beschwerdeführer aus, dass die Antwort vom römisch 40 .2017 von Mitarbeitern der Abteilung " römisch 40 " gezeichnet worden sei. Jedoch könne die Beschwerdegegnerin als Aktiengesellschaft nur durch den Vorstand oder durch von diesem gemäß Paragraph 26, DSG 2000 Bevollmächtigte Auskunft erteilen. Eine bloß zivilrechtliche Vertretungsvollmacht reiche nicht aus.
Zur Unrichtigkeit bzw. Unvollständigkeit der Auskunft vom römisch 40 .2017 gab der Beschwerdeführer an, dass, wenn bezüglich der internen Datenspeicherung auf Paragraph 38, BWG bzw. Paragraph eins, Absatz eins, BWG verwiesen und als ausschließlicher Zweck die "Durchführung von Bankgeschäften und die damit verbundenen Serviceleistungen" genannt werde, darauf hingewiesen werde, dass die Beschwerdegegnerin seine Daten auch für andere Zwecke wie z.B. Werbe- und Marketingzwecke benutze. Die Beschwerdegegnerin verkenne überdies, dass sich sein Auskunftsbegehren bezüglich Datenübermittlung nicht nur an Dritte richte. Nach der Rechtsprechung des Verwaltungsgerichtshofes liege auch dann eine Datenübermittlung iSd Paragraph 4, Ziffer 12, DSG 2000 vor, wenn Daten innerhalb der Sphäre ein und desselben Auftraggebers für ein anderes Aufgabengebiet des Auftraggebers verwendet würden. Dies sei beispielsweise durch die interne Übermittlung an die Abteilung " römisch 40 Customer Experience Management" und an die Werbe- und Marketingabteilung geschehen und in der Antwort vom römisch 40 2017 gänzlich unerwähnt geblieben. Darüber hinaus würden die Ausführungen der Beschwerdegegnerin aus bloß allgemeinen und abstrakten Angaben, welche Datenverarbeitungen und Datenübermittlungen überhaupt in Betracht kommen würden, bestehen. Auch habe ihm die Beschwerdegegnerin mit E-Mail vom römisch 40 .2017 mitgeteilt, dass sie sieben Jahre lang alle Daten einer Überweisung in ihrem System speichere. Die gespeicherten Daten müssten ebenfalls beauskunftet werden. Schließlich führte der Beschwerdeführer aus, dass er eine allgemeine Anfrage zur Praxis bei Kreditangeboten der Beschwerdegegnerin gestellt habe. Obwohl der Beschwerdeführer ausdrücklich die Weiterleitung der Anfrage an Dritte, die überdies dem Bankgeheimnis unterliege, untersagt habe, habe die Beschwerdegegnerin diese auf elektronischem Weg an Dritte weitergeleitet. Die Antwort der Beschwerdegegnerin vom römisch 40 .2017 gehe auf diesen Punkt nicht ein. Die Auskunft der Beschwerdegegnerin sei daher unvollständig bzw. unrichtig.
5. Mit Schreiben von römisch 40 .2017 forderte die belangte Behörde die Beschwerdegegnerin auf, zur Beschwerde vom römisch 40 .2017 Stellung zu nehmen.
6. Mit Schreiben des Beschwerdeführers vom römisch 40 .2017 ergänzte dieser seine Beschwerde um den Hinweis auf ein E-Mail der Beschwerdegegnerin vom römisch 40 .2017, in dem diese die Datenspeicherung bei Überweisungen auf Girokonten erwähne. Die Beschwerdegegnerin habe jedoch in ihrer Antwort auf seine Auskunftsbegehren keine einzige diesbezügliche Datenspeicherung offengelegt.
Diese Ergänzung wurde der Beschwerdegegnerin mit Schreiben vom römisch 40 .2017 zur Stellungnahme zugeschickt.
7. Mit Schreiben vom römisch 40 .2017 teilte die Beschwerdegegnerin mit, dass hinsichtlich der Frage der Zurechenbarkeit der Auskunft im Sinne eines arbeitsteiligen Vorgehens Auskunftsersuchen nicht von den Vorstandsmitgliedern persönlich bearbeitet werden müssten. Stattdessen werde mit dieser Aufgabe das " römisch 40 " betraut. Dabei handle es sich um eine eigene Abteilung der Beschwerdegegnerin. Die Auskunftserteilung sei ihr daher zurechenbar.
Die Benutzung der Daten des Beschwerdeführers für Werbe- und Marketingzwecke sei von den "verbundenen Serviceleistungen" mitumfasst. Unbestritten sei überdies, dass eine Auskunft nach Paragraph 26, DSG 2000 auch "allfällige Empfänger oder Empfängerkreise von Übermittlungen" zu beinhalten habe, ebenso, dass die "Verwendung von Daten für ein anderes Aufgabengebiet des Auftragsgebers" als Übermitteln iSd Paragraph 4, Ziffer 12, DSG 2000 zu qualifizieren sei. Der vom Beschwerdeführer daraus gezogene Schluss, dass daher in der Auskunft auch die Abteilungen des Auftraggebers zu nennen wären, welche für die anderen Aufgabegebiete operativ zuständig seien, sei jedoch zu kurz gefasst. Der Beschwerdeführer übersehe nämlich, dass sich Paragraph 4, Ziffer 12, DSG 2000 einerseits aus der Weitergabe an andere Empfänger als den Betroffenen, den Auftraggeber oder den Dienstleister, insbesondere auch das Veröffentlichen von Daten und andererseits aus der Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers zusammensetze. Nur die Weitergabe stelle somit auf das Vorhandensein eines Empfängers ab. Dieses Tatbestandsmerkmal sei bei der Verwendung für ein anderes Aufgabengebiet jedoch nicht enthalten. Hier gebe es keinen Empfänger, der gemäß Paragraph 26, DSG 2000 zu beauskunften wäre. Da gegenständlich die Daten des Beschwerdeführers nicht an einen anderen Empfänger außerhalb der Beschwerdegegnerin übermittelt worden seien, sei das Auskunftsschreiben vollständig und richtig. Selbst wenn der Ansicht gefolgt werde, dass auch die anderen Aufgabengebiete bzw. die dafür zuständigen innerbetrieblichen Abteilungen als Übermittlungsempfänger beauskunftet werden müssten, so sei für den Beschwerdeführer damit nichts gewonnen, da sowohl die " römisch 40 Costumer Experience Management" als auch die Werbe- und Marketingabteilung seine Daten nämlich gar nicht für ein anderes Aufgabengebiet verwenden würden. Darunter sei nämlich ein Tätigkeitsfeld zu verstehen, das in seinem Umfang nach der Verkehrsauffassung geeignet sei, für sich alleine den gesamten Geschäftsbereich eines Auftraggebers zu bilden. Die " römisch 40 Costumer Experience Management" und die Werbe- und Marketingabteilung würden sich inhaltlich nur mit den Bankkunden, sowie mit Werbe- und Marketingmaßnahmen befassen. Weder die " römisch 40 Costumer Experience Management", noch die Werbe- und Marketingabteilung hätten somit ein eigenes Betätigungsfeld, sondern seien akzessorisch zu den Bankdienstleistungen zu zählen. Soweit der Verwaltungsgerichthof ausgeführt habe, dass im öffentlichen Bereich bereits jede gesetzlich übertragene Aufgabe als eigenes Aufgabengebiet zähle, könne diese Rechtsprechung nicht auf den privaten Bereich übertragen werden.
Moniere der Beschwerdeführer weiter, dass die Auskunft zu wenig detailliert sei, werde darauf hingewiesen, dass dem Kunden via FinanzOnline die Möglichkeit einer Abfrage nach Paragraph 4, Absatz 4, KontRegG zur Verfügung stehe. Hinsichtlich des ADG sei die Beschwerdegegnerin verpflichtet, Auskunftsbegehren geheim zu halten, weshalb eine Auskunft darüber einen Gesetzesverstoß bedeuten würde. Beim Kapitalabfluss-Meldegesetz handle es sich um ein Instrument zur Bekämpfung von Abgabenhinterziehung. Eine Auskunftserteilung könne dem Gesetzeszweck zuwiderlaufen. Bei den genannten Normen handle es sich um gesetzliche Verpflichtungen. Eine detaillierte Auskunftserteilung diesbezüglich sei unverhältnismäßig, da es eine sachlich nicht erforderliche Inanspruchnahme ihrerseits bedeuten würde. Es könne nicht Zweck des Paragraph 26, DSG 2000 sein, dass ein Privatrechtssubjekt quasi hoheitliche Tätigkeiten vornehmen müsse. Hinsichtlich der Nennung der Dienstleister werde darauf hingewiesen, dass der Adressat von Berichtigungs- und Löschungsbegehren ohnehin der Auftraggeber sei, womit es ausreiche, bloß den Dienstleister zu nennen. Zur Auskunft bezüglich der Kontoumsätze wurde ausgeführt, dass die Beschwerdegegnerin regelmäßig Kontoaufstellungen zur Verfügung stelle. Weiters gebe es die Möglichkeit des Kontoauszugsdruckers sowie die Einsicht über das Online-Banking. Es wäre daher eine nicht begründbare und nicht gerechtfertigte Belastung, wenn die Beschwerdegegnerin zusätzlich auch bei einer Auskunft nach Paragraph 26, DSG 2000 sämtliche Kontoumsätze offenlegen müsste. Schließlich sei die Art, wie eine Bank Immobilienkreditangebote bearbeite, nicht Gegenstand der Auskunftspflicht nach Paragraph 26, DSG 2000.
8. In Bezug auf dieses Schreiben wurde der Beschwerdeführer am römisch 40 .2017 zur Stellungnahme aufgefordert.
9. Dieser Aufforderung kam der Beschwerdeführer zuerst mit Email vom
römisch 40 .2017 dahingehend nach, dass er angab, die Stellungnahme der Beschwerdegegnerin vom römisch 40 2017 sei nur an die DSB, nicht aber an ihn übermittelt worden, weshalb Prüfungsmaßstab ausschließlich die von ihm mit der Beschwerde vorgelegte Auskunft von Mitarbeitern der Beschwerdegegnerin sein könne.
Mit ausführlicher Stellungnahme vom römisch 40 .2017 teilte der Beschwerdeführer der belangten Behörde in Bezug auf seinen primären Antrag betreffend die Nichterteilung der Auskunft [mangels Vertretungsbefugnis] weiter mit, dass die Beschwerdegegnerin nicht einmal behaupten würde, dass die Antwort auf sein Auskunftsbegehren von Personen gezeichnet sei, die vom Vorstand der Beschwerdegegnerin dazu bevollmächtigt seien. Es liege somit keine Auskunft iSd Paragraph 26, DSG 2000 vor.
Zum Eventualantrag betreffend Unrichtigkeit und Unvollständigkeit der Auskunft führte der Beschwerdeführer dann weiter aus, dass er die Meinung der Beschwerdegegnerin, der Hinweis auf "Durchführung der Bankgeschäfte und die damit verbundenen Serviceleistungen" decke alle internen Datenverwendungszwecke ab, nicht teile. Der Auftraggeber habe nämlich die einzelnen Zwecke der Datenverarbeitung einzeln anzugeben. Aus der Erläuterung zur Regierungsvorlage zu Paragraph 4, Ziffer 12, DSG 2000 ergebe sich, dass ein Aufgabengebiet als eines von mehreren Tätigkeitsfeldern eines Auftraggebers vorliege, sofern es in seinem Umfang nach der Verkehrsauffassung geeignet sei, für sich alleine den gesamten Geschäftsbereich eines Auftraggebers zu bilden. Dies treffe auf Werbe- und Marketingzwecke und die Abteilung " römisch 40 Costumer Experience Management" jedenfalls zu. Die Auskunft der Beschwerdegegnerin vom römisch 40 .2017 bestehe aus Textbausteinen, die allgemein und abstrakt Datenverarbeitungen aufzähle, ohne aber auf die ihn konkret betreffenden Datenverarbeitungen einzugehen. Dies treffe auch auf die Stellungnahme vom römisch 40 .2017 zu. So werde etwa das Abkommen mit den Vereinigten Staaten erwähnt, das ihn aber nicht betreffe, da er nicht US-steuerpflichtig sei. Im E-Mail vom römisch 40 .2017 habe die Beschwerdegegnerin zudem zugestanden, alle Daten über Überweisungen innerhalb der letzten sieben Jahre gespeichert zu haben. Da der SEPA-Zahlungsverkehr erst mit römisch 40 .2014 begonnen habe, seien auch die Überweisungen mit Kontonummer und Bankleitzahl gespeichert mit Angaben, wie etwa der Anschrift des Auftraggebers. Vermeine die Beschwerdegegnerin, eine Auskunft über alle Kontoumsätze stelle eine nicht begründbare und nicht gerechtfertigte Belastung dar, bestreite er dies und beantrage die Beiziehung eines Sachverständigen aus dem Fachgebiet IT und Bankwesen. Auf die Datenübermittlung an die Immobilientreuhand gehe die Beschwerdegegnerin schließlich nicht ein.
10. Mit dem angefochtenen Bescheid vom römisch 40 .2017 gab die belangte Behörde der Beschwerde vom römisch 40 .2017 teilweise Folge und stellte fest, dass die Beschwerdegegnerin den Beschwerdeführer dadurch, dass sie ihm im Auskunftsschreiben vom römisch 40 .2017 keinerlei Auskunft hinsichtlich Datenübermittlungen an eine Hausverwaltung erteilt hat, im Recht auf Erhalt einer datenschutzrechtlichen Auskunft verletzt habe (Spruchpunkt 1.). Der Beschwerdegegnerin wurde aufgetragen, dem Beschwerdeführer binnen zwei Wochen bei sonstiger Zwangsvollstreckung Auskunft hinsichtlich von Datenübermittlungen an die Hausverwaltung zu erteilen oder schriftlich zu begründen, warum die Auskunft nicht oder nicht vollständig erteilt werde (Spruchpunkt 2.). Im Übrigen wurde die Beschwerde abgewiesen (Spruchpunkt 3.).
Begründend führte die belangte Behörde zusammengefasst aus, dass, soweit der Beschwerdeführer die Unwirksamkeit der Auskunftserteilung geltend mache, er übersehe, dass es sich dabei einerseits um eine Wissens- und nicht um eine rechtsgeschäftliche Willenserklärung handle, und andererseits die Beschwerdegegnerin die Wirksamkeit selbst nie bestritten habe. Aus Paragraph 26, Absatz eins, DSG 2000 könne nicht abgeleitet werden, dass eine datenschutzrechtliche Auskunftserteilung einer Fertigung durch eine Person bedürfe, die eine gesetzlich definierte Vertretungsmacht besitze. Weiter seien Verwendungszweck und die Rechtsgrundlage der Datenverwendung angegeben worden, weshalb auch diesbezüglich keine Verletzung des Auskunftsrechts erfolgt sei. Das Auskunftsrecht erstrecke sich nur auf Fälle der Weitergabe von Daten an andere Empfänger und das Veröffentlichen von Daten der möglichen Datenübermittlungen im rechtlichen Sinne gemäß Paragraph 4, Ziffer 12, DSG 2000. Die Übermittlung von Daten durch Zweckänderung sei davon jedoch nicht erfasst, da es sich dabei um einen rein virtuellen Vorgang handle. Bemängle der Beschwerdeführer überdies, dass ihm keine konkrete und individuelle Auskunft erteilt worden sei, werde darauf aufmerksam gemacht, dass die allgemeinen Hinweise der Beschwerdegegnerin auf das ADG oder das KontRegG eine Auskunftserteilung nicht rechtswidrig machen würden. Bezüglich des Auskunftsrechts hinsichtlich der Kontobewegungen wurde der Beschwerdeführer auf einen bestehenden Datenzugriff per E-Banking verwiesen.
Schließlich wurde bezüglich des Auskunftsverlangens betreffend Datenübermittlungen an die Hausverwaltung festgehalten, dass der Beschwerdeführer ein Recht auf Auskunft über den Datenempfänger und nicht nur über die Empfängerkreise habe. Die Beschwerdegegnerin habe aber weder eine inhaltliche Auskunft noch eine Negativauskunft erteilt oder begründet, warum eine Auskunft unterbleiben kann. Dadurch habe sie den Beschwerdeführer in seinem Recht auf Auskunft verletzt.
11. In seiner Beschwerde an das Bundesverwaltungsgericht vom römisch 40 2018 brachte der Beschwerdeführer vor, dass er primär Beschwerde wegen Nichterteilung einer Auskunft und lediglich in eventu wegen inhaltlicher Mangelhaftigkeit der Auskunft erhoben habe. Jedoch gehe die belangte Behörde von einer einheitlichen Beschwerde wegen Verletzung des Rechts auf Auskunft aus und habe dementsprechend bloß über eine Beschwerde entschieden, wie sich aus dem Spruch des angefochtenen Bescheides ergebe. Es lägen zwei unterschiedliche Beschwerden vor, wobei die belangte Behörde bloß über eine entschieden habe. Der Beschwerdeführer sei somit in seinem Recht auf den gesetzlichen Richter verletzt worden. Auch liege keine rechtswirksame Auskunftserteilung vor, da keine Bevollmächtigung zum Zeitpunkt der Vertretungshandlung (analog zu Paragraph 10, AVG) bestanden habe.
Darüber hinaus decke der Hinweis auf die "Durchführung der Bankgeschäfte und die damit verbundenen Serviceleistungen" nicht die Datenverarbeitung zu Werbe- und Marketingzwecken ab. Die belangte Behörde habe sich mit diesem Punkt nicht auseinandergesetzt [Beschwerdepunkt B) a)]. Die Werbe- und Marketingabteilung und die Abteilung " römisch 40 Costumer Experience Management" seien gemäß der Regierungsvorlage zu Paragraph 4, Ziffer 12, DSG 2000 geeignet, für sich alleine den gesamten Geschäftsbereich eines Auftraggebers zu bilden, weshalb auch diesbezüglich eine Auskunftspflicht bestehe [Beschwerdepunkt B) b)]. Außerdem bestehe die Auskunft vom römisch 40 .2017 aus allgemeinen und abstrakten Textbausteinen, sei irreführend und zudem unvollständig [Beschwerdepunkt B) c)]. Schließlich werde betreffend die Auskunftserteilung zu Überweisungen darauf hingewiesen, dass der Beschwerdeführer über keinen E-Banking-Zugang verfüge, dieser biete zudem nur Zugriff auf seine eigenen Kontodaten, nicht jedoch auf Daten, die bei den Konten Dritter gespeichert seien. Im Übrigen bestreite er die Unverhältnismäßigkeit der Auskunftserteilung und verweise auf seinen Beweisantrag auf Beiziehung eines Sachverständigen aus dem Fachgebiet IT und Bankwesen [Beschwerdepunkt B) c)].
12. Mit Beschwerdeergänzung vom römisch 40 2018 stellte der Beschwerdeführer klar, dass er nur den abweisenden Teil des Bescheides vom römisch 40 .2017 bekämpfe.
13. Mit Stellungnahme vom römisch 40 .2018 legte die belangte Behörde den Akt vor und beantragte die Abweisung der Beschwerde.
römisch II. Das Bundesverwaltungsgericht hat über die zulässige Beschwerde erwogen:
1. Feststellungen:
1.1. Mit Auskunftsersuchen vom römisch 40 .2017 begehrte der Beschwerdeführer die Auskunft gemäß Paragraph 26, Absatz eins, DSG 2000 bezüglich sämtlicher Daten, die die Beschwerdegegnerin entgegen seiner ausdrücklichen Weisung an eine Hausverwaltung weitergeleitet haben soll. Sein Auskunftsbegehren bezog sich auf sämtliche verarbeitete Daten, die Information über ihre Herkunft, allfällige Empfänger oder Empfängerkreise, den Zweck der Datenverwendung sowie die Anführung der Rechtsgrundlagen. Weiter begehrte er die Angabe von Namen und Adressen von mit der Verarbeitung seiner Daten beauftragten Dienstleistern.
Mit Auskunftserteilung vom römisch 40 .2017, ergänzt um das Schreiben vom römisch 40 .2017, teilte die Beschwerdegegnerin dem Beschwerdeführer nach einer Auflistung der gespeicherten personenbezogenen Daten die angewandten Rechtsgrundlagen mit. Dem Schreiben angeschlossen war eine "Beauskunftung zu Dienstleistern".
1.2.
a) Es wird festgestellt, dass die belangte Behörde die Beschwerde des Beschwerdeführers, so in Bezug auf eine Beschwerde wegen Nichterteilung der Auskunft sowie in Bezug auf eine Eventualbeschwerde wegen Unrichtigkeit bzw. Unvollständigkeit der Auskunft, im Grundsatz vollständig erledigte.
b) Zu den Beschwerdepunkten B) a) und c) wird festgestellt, dass die Beschwerdegegnerin in der Auskunftserteilung vom römisch 40 2017 betreffend den Verarbeitungszweck ausführte: "Die Daten werden nur zur Durchführung der Bankgeschäfte und für die damit verbundenen Serviceleistungen verwendet".
Weiter wurde folgendes beauskunftet: "Aufgrund des Kapitalablussmeldegesetzes sind wir verpflichtet, hohe Kapitalabflüsse an den Bundesminister für Finanzen zu melden. Meldepflichtig sind Kapitalabflüsse von Beträgen von mindestens 50.000 € von Konten und Depots natürlicher Personen. [...]".
Außerdem wurde beauskunftet wie folgt: "Aufgrund des zwischenstaatlichen Abkommens der Republik Österreich mit den USA (Intergovernmental Agreement) zur Umsetzung von FATCA (Foreign Account Tax Compliance Act) sind wir verpflichtet, Personen -, Konto und Depotdaten von US-Steuerpflichtigen an die US-Steuerbehörde IRS (Internal Revenue Service) zu melden, sobald eine Zustimmung des Kunden zur Meldung vorliegt. Verweigert ein Kunde die Klärung durch Nicht-Beantwortung von Fragen oder indem er die Formulare nicht unterzeichnet, gilt er nach FATCA als ,nicht offengelegt¿ und wir, als österreichisches Finanzinstitut müssen eine anonymisierte Meldung vornehmen. Die USA kann über den Weg eines Rechtshilfeersuchens an die Republik Österreich eine Offenlegung dieser Kunden beantragen.".
c) Zum Beschwerdepunkt B) b) wird festgestellt, dass die Beschwerdegegnerin zu Empfängern im Bereich "Werbe- und Marketingzwecke" und " römisch 40 Custromer Experience Management" keine Auskunft erteilte. Diese Bereiche erbringen Unterstützungsleistungen für das Kerngeschäft der Beschwerdegegnerin und sind damit zu diesem akzessorisch.
d) Zum Beschwerdepunkt B) d) wird festgestellt, dass die Beschwerdegegnerin zu angefragten Überweisungen keine konkreten Auskünfte erteilte.
2. Beweiswürdigung:
Die Feststellungen zum maßgeblichen Sachverhalt ergeben sich aus dem Verwaltungsakt. Der Sachverhalt ist aktenkundig und gilt deshalb als erwiesen.
3. Rechtliche Beurteilung:
Zu A)
Rechtsgrundlagen:
3.1. Die maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), lauten:
Artikel 4 Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. - 8. [...]
9. "Empfänger" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten 4.5.2016 L 119/33 Amtsblatt der Europäischen Union DE möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. "Dritter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
11. - 26 [...]
Rechte der betroffenen Person
Transparenz und Modalitäten
Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
(4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
(5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
b) sich weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
(6) -- (8) [...]
Artikel 15 Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Entsprechend der ab 25.05.2018 geltenden Rechtslage war das bisher nach Paragraph 31, DSG 2000 geführte Verfahren als Beschwerdeverfahren nach Paragraph 24, DSG fortzuführen vergleiche dazu Paragraph 69, Absatz 4, DSG). Paragraph 69, DSG enthält keine Übergangsbestimmungen bezüglich des Verfahrens in Datenschutzangelegenheiten vor dem Bundesverwaltungsgericht. Damit ist die zum Zeitpunkt der Entscheidung geltende Rechtslage anzuwenden (VwGH 2015/07/0074, 19.02.2018; VwGH 2017/22/0125, 22.02.2018 uva). Somit ist das seinerzeitige Begehren des Beschwerdeführers, welches sich auf die damals geltende Rechtslage des Paragraph 26, DSG 2000 stützte, nach dem nunmehr anwendbaren Recht auf Auskunft nach Artikel 15, DSGVO zu beurteilen.
3.2. Anwendung der Rechtsgrundlagen auf den gegenständlichen Sachverhalt:
Gegenstand des angefochtenen Bescheids war die Frage, ob die Beschwerdegegnerin das datenschutzrechtliche Auskunftsverlangen des Beschwerdeführers von römisch 40 .2017 gesetzmäßig beantwortet hat.
3.2.1. Zunächst ist darauf hinzuweisen, dass, wenn der Beschwerdeführer sich in seiner Beschwerde vom römisch 40 .2018 dadurch in seinem Recht auf den gesetzlichen Richter verletzt erachtet, dass er primär Beschwerde wegen Nichterteilung einer Auskunft und lediglich in eventu wegen inhaltlicher Mangelhaftigkeit der Auskunft erhoben habe, die belangte Behörde jedoch von einer einheitlichen Beschwerde wegen Verletzung des Rechts auf Auskunft ausgegangen sei und dementsprechend bloß über eine der beiden Beschwerden entschieden habe, auf die Rechtsprechung des Verwaltungsgerichtshofes verwiesen werden kann, wonach ein sogenannter Eventualantrag im Verwaltungsverfahren durchaus zulässig ist. Das Wesen eines solchen Antrages liegt darin, dass er unter der aufschiebenden Bedingung gestellt wird, dass der Hauptantrag erfolglos bleibt. Wird bereits dem Hauptantrag stattgegeben, so wird der Eventualantrag gegenstandslos. Der Eventualantrag stellt keine bloße "Ergänzung" des Hauptantrages oder eine "Antragsänderung" dar; es handelt sich dabei um einen eigenständig zu beurteilenden (weiteren Antrag) unter der obgenannten aufschiebenden Bedingung. Eine Entscheidung über den Eventualantrag ist somit überhaupt erst zulässig, wenn über den Hauptantrag (abschlägig) entschieden worden ist. Das bedeutet aber, dass eine Entscheidungspflicht über einen Eventualantrag so lange nicht bestehen kann, als der Hauptantrag nicht rechtskräftig abgewiesen worden ist. Vielmehr belastet die Erledigung eines Eventualantrags vor dem Eintritt des Eventualfalles diese mit Rechtswidrigkeit infolge Unzuständigkeit vergleiche VwGH 26.03.2015, 2013/11/0103).
Im vorliegenden Fall hat die belangte Behörde den Primärantrag, mit dem eingewandt wurde, die Beschwerdegegnerin sei dem Auskunftsverlangen überhaupt nicht nachgekommen, im Spruchpunkt 3. des angefochtenen Bescheids als unbegründet abgewiesen und dem "Eventualbegehren" teilweise stattgegeben. Die belangte Behörde hat damit die Sache vollständig erledigt. Eine Verletzung des Rechts auf den gesetzlichen Richter liegt somit nicht vor.
Die Abweisung des Primärantrags erfolgte außerdem zu Recht: Der Beschwerdeführer brachte in seinem Primärantrag vor, dass keine Bevollmächtigung der fertigenden Mitarbeiter zum Zeitpunkt der Vertretungshandlung bestanden habe. Es obliege ausschließlich nur dem Vorstand der Beschwerdegegnerin oder einem von diesem gemäß Paragraph 26, DSG 2000 Bevollmächtigten, eine Auskunft zu erteilen.
Der belangten Behörde ist dahingehend zu folgen, dass eine Auskunftserteilung in erster Linie eine Wissenserklärung darstellt. Wie die belangte Behörde jedoch zutreffend weiter anmerkte, ist die Gültigkeit und Wirksamkeit auch einer allfälligen Willenserklärung - wenn hier von einer solchen ausgegangen werden soll - gemäß Paragraph 10, Absatz 2, AVG selbst im Zweifel nur nach den Bestimmungen des bürgerlichen Rechts zu beurteilen. Anhaltspunkte für solche Zweifel ergaben sich aber weder für die belangte Behörde, noch für das Bundesverwaltungsgericht, insbesondere unter dem hier wesentlichen Gesichtspunkt, dass die Beschwerdegegnerin selbst im Laufe des Verfahrens die Wirksamkeit der Auskunftserteilung nicht bestritten hat. Damit wies die belangte Behörde den Primärantrag des Beschwerdeführers zu Recht ab.
3.2.2.
3.2.2.1. Wenn der Beschwerdeführer weiter und als Eventualantrag bemängelt, die erteilte Auskunft vom römisch 40 .2017, ergänzt um das Schreiben vom römisch 40 .2017, sei deshalb unvollständig, da der Hinweis auf die "Durchführung von Bankgeschäften und die damit verbundenen Serviceleistungen" keinesfalls alle Datenverarbeitungszwecke der Beschwerdegegnerin, insbesondere nicht Werbe- und Marketingzwecke, abdecke, und eine Auflistung der einzelnen Datenverarbeitungszwecke verlangt, so ist diesbezüglich Folgendes auszuführen:
Artikel 15, Absatz eins, Litera a, DSGVO bestimmt, dass der betroffenen Person ein Recht auf Auskunft über die Verarbeitungszwecke der verarbeiteten personenbezogenen Daten zukommt. Artikel 12, DSGVO, der unter anderem die Modalitäten der Ausübung des Auskunftsrechts nach Artikel 15, DSGVO umschreibt, sieht in Absatz eins, vor, dass alle Mitteilungen gemäß Artikel 15, DSGVO, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind.
Der mit dieser Bestimmung korrespondierende Erwägungsgrund 58 lautet: "Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet [...]"
Im vorliegenden Fall vertrat die Beschwerdegegnerin, und in weiterer Folge auch die belangte Behörde, die Ansicht, dass die Angabe des Verarbeitungszwecks "Durchführung von Bankgeschäften und die damit verbundenen Serviceleistungen" als ausreichend iSd Paragraph 26, DSG 2000 anzusehen sei und auch Marketing- und Werbungszwecke mitumfasse.
In Paragraph 26, DSG 2000 war vorgesehen, dass die Auskunft "in allgemein verständlicher Form" zu erfolgen hat. In dieselbe Richtung, doch ausführlicher, geht Artikel 12, Absatz eins, DSGVO, der auf eine "präzise, transparente, verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache" abstellt vergleiche auch Souhrada-Kirchmayer in Jahnel, Datenschutzrecht (2017), Das Auskunftsrecht nach der Datenschutz-Grundverordnung, S 86). Vor diesem Hintergrund erweist sich der bloße Verweis auf die "Durchführung von Bankgeschäften und die damit verbundenen Serviceleistungen", die auch gegenständlich Marketing- und Werbezwecke umfassen soll, als zu unpräzise und wird den Anforderungen des Artikel 15, DSGVO nicht gerecht.
Insbesondere führt der Erwägungsgrund 63 aus, dass das Auskunftsrecht nach der DSGVO der betroffenen Person ermöglichen soll, sich der Verarbeitung [personenbezogener Daten] bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Daraus kann nach Ansicht des erkennenden Senats in Verbindung mit den Anforderungen an die Art und Weise der Auskunftserteilung herausgelesen werden, dass das Auskunftsrecht betreffend die Verarbeitungszwecke auf Informationen abzielt, die konkret darstellen, wofür die personenbezogenen Daten nun verarbeitet werden.
Aus der aktuellen Datenschutzerklärung der Beschwerdegegnerin, die auf ihrer Website abrufbar ist (siehe dazu römisch 40 ), gehen die folgenden möglichen Verarbeitungsarten hervor:
a) Verarbeitung für die Vertragserfüllung: Je nach der Art des Vertrags werden seitens der Bank bestimmte Leistungen erbracht (Kreditvertrag, Leasingvertrag, Kontovertrag, Internet-Banking). In Bezug auf die dortige Datenverwendung wird seitens der Bank auf die jeweiligen Geschäftsbedingungen verwiesen.
b) Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung: so betreffend Kreditrisikomanagement (Bankwesengesetz, Kapitaladäquanz-VO EU 575/2013); Monitoring von Insiderhandel, Interessenkonflikten und Marktmanipulation (Wertpapieraufsichtsgesetz 2018, Börsegesetz, Marktmissbrauchs-VO EU 596/2014); Identitätsfeststellung, Transaktionsüberwachung, Verdachtsmeldungen (Finanzmarkt-Geldwäschegesetz und Geldtransfer Verordnung EU 847/2015); Meldungen in das Kontoregister und Meldungen von Kapitalabflüssen (Kontoregister- und Kontoeinschaugesetz, Kapitalabfluss- Meldegesetz); Aufzeichnung von Telefongesprächen und elektronischer Kommunikation von Wertpapiergeschäften, wie zB die Annahme, Übermittlung und Ausführung von Kundenaufträgen nach dem Wertpapieraufsichtsgesetz 2018 oder auch beim Wertpapierhandel auf eigene Rechnung; Auskünfte in einem Strafverfahren gegenüber den Staatsanwaltschaften und Gerichten sowie gegenüber Finanzstrafbehörden wegen vorsätzlicher Finanzvergehen (Bankwesengesetz, Strafprozessordnung, Finanzstrafregister)
c) Verarbeitung aufgrund eines berechtigten Interesses: Anfragen und Datenaustausch zum Ermitteln von Bonitäts- und Ausfallsrisiken gegenüber Auskunfteien, wie zB dem KSV 1870; Videoüberwachungen zum Sammeln von Beweisen bei Straftaten oder zum Nachweis von Verfügungen und Einzahlungen zB an Geldautomaten; Maßnahmen zur Betrugsprävention und -bekämpfung, Fraud Transaction Monitoring;
Datenverarbeitung im Rahmen der Rechtsverfolgung; Aufzeichnung von Telefongesprächen zB für Beschwerdefälle oder für die Dokumentation rechtsgeschäftlich relevanter Erklärungen, wie etwa Kartensperren;
Berechnung des Finanzierungspotentials, um es für innovative Online-Kreditangebote zu verwenden; zu Zwecken der Direktwerbung
d) Verarbeitung aufgrund von Einwilligung
Vor dem Hintergrund dieser von der Beschwerdegegnerin selbst angeführten Darstellung kann nun die Auskunftserteilung betreffend den Verwendungszweck gemäß Litera a,) der oben wiedergegebenen Datenschutzerklärung (Verarbeitung für die Vertragserfüllung) als erfüllt angesehen werden, wenn die Beschwerdegegnerin in ihrer Beauskunftung vom römisch 40 .2017 darauf hinweist, dass sie die gespeicherten persönlichen Daten für die Durchführung von Bankgeschäften verwendet und in diesem Zusammenhang auch die Produkte des Beschwerdeführers bei der Beschwerdegegnerin zusammenstellt. Dass die Beschwerdegegnerin die Daten des Beschwerdeführers zur Vertragserfüllung der angegebenen Produkte verwendet, scheint ausreichend informativ.
Zu oben b), also zu einer Verarbeitung zur Erfüllung rechtlicher Verpflichtungen, gab die Beschwerdegegnerin bekannt, bestimmte - näher aufgezählte - Daten in das Kontoregister gemeldet zu haben; diese Auskunft erscheint ebenso ausreichend bestimmt.
In Bezug auf die Anführung der Verpflichtungen der Beschwerdegegnerin nach dem Kapitalabflussmeldegesetz in der Auskunft vom römisch 40 .2017 bleibt jedoch unklar, ob betreffend den Beschwerdeführer solche Meldungen ergangen sind, oder nicht; ob also dieser Zweck der Verarbeitung gegenständlich schlagend wurde, oder nicht. Diese Auskunft ist daher nicht ausreichend klar und verständlich und wird zu ergänzen sein.
Das gleiche gilt betreffend die Meldungen zur Umsetzung von FATCA:
auch hier bleibt in der Auskunftserteilung unklar, ob in Bezug auf den Beschwerdeführer eine entsprechende Meldung vorgenommen, also dieser Verwendungszweck schlagend wurde. Diese Information wird ebenfalls zu ergänzen sein.
Oben c) umfasst die berechtigten Interessen des Datenverarbeiters, hier also der Beschwerdegegnerin: Auskünfte zu diesen möglichen Verarbeitungszwecken erteilte die Beschwerdegegnerin nicht, sondern fasst diese unter "Serviceleistungen" zusammen. Darin enthalten sind auch - ausdrücklich nach der aktuellen Datenschutzerklärung der Beschwerdegegnerin - Verarbeitungen zum Zwecke der Direktwerbung:
Eine Beauskunftung dieser Verwendung erfolgte jedoch nicht.
Inwieweit allgemeine Werbe- und Marketingmaßnahmen bzw. die Verarbeitung von Daten des Beschwerdeführers durch die Werbe- und Marketingabteilung als berechtigte Interessen unter c) oder durch Einwilligung unter d) (zB auf Basis von Leistungsverträgen oder AGBs zu einzelnen Produkten) zu qualifizieren sind, kann an dieser Stelle offen bleiben: die Beschwerdegegnerin ist jedenfalls durch die Verpflichtung des Artikel 15, Absatz eins, Litera a, DSGVO verpflichtet, auch solche allfälligen Verwendungszwecke zu beauskunften.
Hötzendorfer/Tschohl/Kastelitz geben zum Verarbeitungszweck in Knyrim, DatKomm Artikel 5, DSGVO (Stand 1.10.2018, rdb.at) an: "Die Zwecke müssen eindeutig sein, woraus abgeleitet wird, dass sie hinreichend bestimmt sein müssen42 Vgl Herbst in Kühling/Buchner, DS-GVO Artikel 5, Rz 35; Artikel-29-Datenschutzgruppe, Purpose Limitation (WP203) 17. und inhaltlich eine gewisse Begrenzungsfunktion erfüllen müssen. Dieses Verständnis iSv "konkret" wird auch durch einen Blick auf die engl und die franz Sprachfassung gestützt ("explicit" bzw "explicites"). Es ist auch anzuraten, die Zwecke ausdrücklich als solche zu bezeichnen, um dem Gebot der Eindeutigkeit nachzukommen. 45 Vgl Wolff in Schantz/Wolff, Datenschutzrecht Rz 404.
Von der Auslegung der hinreichenden Bestimmtheit hängt es ab, wie streng der Zweckbindungsgrundsatz wirkt und wie sehr dieser durch die sog kompatible Weiterverarbeitung verwässert wird. Ohne hinreichende Bestimmtheit der Zweckfestlegung würde der Grundsatz der Zweckbindung ins Leere laufen, und damit auch die Grundsätze der Datenminimierung und der Speicherbegrenzung. Eine zu vage oder zu weite Umschreibung der Zwecke würde auch dem Transparenzgebot des Artikel 5, Absatz eins, Litera a, widersprechen. 46 Vgl Heberlein in Ehmann/Selmayr, DS-GVO Artikel 5, Rz 14.
Zweckangaben wie "Verbesserung der Benutzerfreundlichkeit", "Marketingzwecke", "Zwecke der IT-Sicherheit", "künftige Forschung" sind zu allgemein und erfüllen nicht das Kriterium der hinreichenden Bestimmtheit. Als Faustregel ist anzuraten, einen Zweck idR in mehr als drei Worten anzugeben, ohne allerdings in ausufernde, unübersichtliche und komplizierte Formulierungen zu verfallen. Praktische Beispiele zur Festlegung der Verarbeitungszwecke finden sich in Anhang 3 des WP203 der Artikel-29-Datenschutzgruppe."
Daraus geht hervor, dass nicht nur die Subsumption von - gegenständlich - Datenverwendungen für Marketing- und Werbezwecke unter "damit verbundene Serviceleistungen" nicht ausreichend konkret und transparent ist, sondern auch eine Auskunft nur betreffend "Marketing- und Werbezwecke" nicht genügen wird. Vor dem Hintergrund der Datenschutzerklärung der Beschwerdegegnerin wäre zumindest der Zweck der Direktwerbung zu beauskunften gewesen.
Die Auskunft der Beschwerdegegnerin ist daher aus diesen Gründen in Bezug auf die Beschwerdepunkte B) a) und c) als unvollständig iSd Artikel 15, Absatz eins, Litera a, DSGVO anzusehen.
3.2.2.2. Das weitere Beschwerdevorbringen, die Werbe- und Marketingabteilung und die Abteilung " römisch 40 Costumer Experience Management" seien auch als Empfänger anzusehen und in einer Auskunft als solche anzuführen, ist im Lichte des Artikel 15, Absatz eins, Litera c, DSGVO zu beurteilen, wonach ein Recht auf Auskunft über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, besteht.
Gemäß Artikel 4, Ziffer 9, DSGVO ist unter einem Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle zu verstehen, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen. Nach der Definition des Artikel 4, Ziffer 10, DSVGO ist ein Dritter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Bereits Paragraph 26, Absatz eins, DSG 2000 verwendete den Begriff des Empfängers, wenn dort "allfällige Empfänger" oder Empfängerkreise von Übermittlungen zu beauskunften waren. Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, deren Umsetzung das DSG 2000 vor Augen hatte, definierte "Empfänger" und "Dritter" in Artikel 2, Litera f,) und g) wie folgt:
" [..] f) "Dritter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;
g) "Empfänger" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, gleichgültig, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nicht als Empfänger; [...]"
Wie ein Vergleich der Vorschriften zeigt, ist durch die Erlassung der DSGVO weder der Begriff des Empfängers, noch der des Dritten inhaltlich in seinem Kern verändert worden. Für die Beurteilung, ob durch die Beschwerdegegnerin die Empfänger oder Kategorien von Empfängern ausreichend beauskunftet wurden, kann daher das bisherige Verständnis der beiden Begriffe zugrunde gelegt werden.
In diesem Sinne geht auch Haidinger in Knyrim, DatKomm Artikel 15, DSGVO (Stand 1.10.2018, rdb.at), davon aus, dass unter Empfängern auch Auftragsverarbeiter zu verstehen sind, nicht aber Mitarbeiter (RZ 39) vergleiche auch zB dazu VwGH, 28.04.2009, Zl 2005/06/0194).
Im Lichte der bisherigen Judikatur vergleiche VwGH 28.04.2009, 2005/06/0194) liegt auch innerhalb eines Unternehmens dann eine Übermittlung vor, wenn die Daten für ein anderes Aufgabengebiet verwendet werden.
Gegenständlich geht es um die Frage, ob die Werbe- und Marketingabteilung und die Abteilung " römisch 40 Costumer Experience Management" als "andere Aufgabengebiete" der Beschwerdegegnerin angesehen werden müssen und damit unter den Empfängerbegriff fallen würden, der eine Pflicht zur Beauskunftung nach Artikel 15, Absatz eins, Litera c, DSGVO nach sich ziehen würde. Dies wird vom erkennenden Senat verneint: den Erläuterungen der Beschwerdegegnerin vom römisch 40 .2017 und den Schlussfolgerungen der belangten Behörde ist dahingehend zu folgen, dass diese beiden Tätigkeitsgebiete der Beschwerdegegnerin nicht als ausreichend eigenständig und "anders" wahrzunehmen sind, sondern Unterstützungsleistungen oder "akzessorische" Leistungen zum Kerngeschäft - Bankwesen - darstellen.
Damit ist die erteilte Auskunft in Bezug auf den Beschwerdepunkt B)
b) - interne Datenübermittlungen/Beauskunftung "interner" Empfänger - nach Artikel 15, Absatz eins, Litera c, DSGVO als vollständig anzusehen.
3.2.2.3. Soweit der Beschwerdeführer eine schriftliche Auskunft über seine Kontobewegungen innerhalb der letzten sieben Jahre begehrt und vorbringt, keinen E-Banking-Zugang zu besitzen, so ist darauf hinzuweisen, dass gemäß Artikel 15, Absatz 3, DSGVO der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen hat.
Der Erwägungsgrund 63 besagt hierzu: "Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. [...]"
Wenn die belangte Behörde im angefochtenen Bescheid auf Paragraph 26, Absatz 3, DSG 2000 und damit auf eine Mitwirkungspflicht des Beschwerdeführers und die Möglichkeit eines E-Banking Zugriffs verweist, so kennt Artikel 15, DSGVO eine vergleichbare Regelung nicht vergleiche auch Souhrada-Kirchmayer in Jahnel, Datenschutzrecht (2017), Das Auskunftsrecht nach der Datenschutz-Grundverordnung, S 81). Lediglich der Erwägungsgrund 63 führt zur Mitwirkung an, dass, wenn ein Verantwortlicher eine große Menge von Informationen über die betroffene Person verarbeitet, er verlangen können sollte, dass die betroffene Person präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
In einem vergleichbaren Fall bereits zur neuen Rechtslage führte die belangte Behörde aus, dass der Beschwerdeführer das Recht auf Auskunft geltend machen kann, um die ihn betreffende Datenverarbeitung zu überprüfen. Da Zahlungsbelege üblicherweise weit mehr als personenbezogene Daten der betroffenen Person, in diesem Fall des Beschwerdeführers, beinhalten, kann das datenschutzrechtliche Auskunftsrecht auch nur so weit gehen, als dass es dem Zweck der Überprüfung der Rechtmäßigkeit der Datenverarbeitung entspricht vergleiche das Urteil des EuGH vom 17. Juli 2014 in den verbundenen Rechtssachen C-141/12 und C-372/12) vergleiche DSB, 21.06.2018, DSB-D122.844/0006-DSB/2018).
Die Beschwerdegegnerin hat daher grundsätzlich den Beschwerdeführer betreffende personenbezogene Daten dem Auskunftsbegehren folgend, unter Berücksichtigung der Rechte und Freiheiten anderer Personen gemäß Artikel 15, Absatz 4, DSGVO, offenzulegen und auszufolgen. Eine Verweigerung der Auskunft mit Hinweis auf eine Mitwirkungspflicht und allfälliges E-Banking, über das der Beschwerdeführer nicht verfügt, findet in der neuen Rechtslage keine gesetzliche Grundlage.
Dass außerdem ein Fall des Erwägungsgrundes 63 dahingehend vorliegen würde, dass das Auskunftsbegehren nicht präzise genug ist, geht aus dem Verwaltungsakt nicht hervor. Diesfalls hätte jedoch die Beschwerdegegnerin unter Umständen die Möglichkeit, eine Präzisierung des Auskunftsbegehrens zu verlangen.
Weiter ist zu beachten, dass im Falle der offenkundig unbegründeten bzw. exzessiven Rechtsausübung dem Verantwortlichen ein Anspruch auf Vorschreibung von Kosten oder ein "Verweigerungsrecht" gemäß Paragraph 12, Absatz 5, Litera a und b DSGVO zustünde. Der Gesetzgeber geht dabei "insbesondere im Fall häufiger Wiederholung" davon aus, dass eine gewisse Intensität vorliegen muss, die es dem Verantwortlichen unzumutbar machen würde, das grundsätzlich anlasslose subjektive Kontrollrecht gegen sich gelten lassen zu müssen (Leiter in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz-Grundverordnung 2017, zu Artikel 12 ;, siehe auch den Bescheid der Datenschutzkommission vom 14.9.2012, GZ K121.830/0008-DSK/2012).
Der Beschwerdeführer, der nach seinem unwidersprochen gebliebenen Vorbringen über keinen E-Banking-Zugang verfügt, übt das Auskunftsrecht zum ersten Mal gegenüber der Beschwerdegegnerin aus und verlangt Auskunft über konkrete Daten. Er hat sohin bei der Ausübung seines Auskunftsrechts kein Verhalten gesetzt, welches es der Beschwerdegegnerin unzumutbar machen würde, ohne Vorschreibung von Kosten tätig zu werden oder sich zu weigern, die Auskunft zu erteilen.
Da somit dem Beschwerdebegehren hinsichtlich der schriftlichen Auskunft über seine Kontobewegungen innerhalb der letzten sieben Jahre (Beschwerdepunkt B) d)) - unter Berücksichtigung der Grenzen des Artikel 15, Absatz 4, DSGVO - stattzugeben war, konnte auf die vom Beschwerdeführer beantragte Beiziehung eines Sachverständigen aus dem Fachgebiet IT und Bankwesen verzichtet werden.
3.2.2.4. Der Beschwerdeführer bringt in seiner Beschwerde schließlich vor, ihm sei keine individuelle und konkrete Auskunft erteilt worden, da in der Auskunft der Beschwerdegegnerin Textbausteine verwendet und auch auf das ADG mit den Vereinigten Staaten von Amerika sowie auf das KontRegG verwiesen worden seien, diese aber auf ihn keine Anwendung finden (Beschwerdepunkt B) c)). Der erkennende Senat sieht in diesem Beschwerdepunkt bzw. bei Prüfung der erteilten Auskunft eine Verbindung mit der Frage nach der korrekten Auskunftserteilung zum Verarbeitungszweck, weshalb dieser Beschwerdepunkt bereits oben unter 2.2.1. mitbehandelt wurde.
3.2.2.5. Es war daher insgesamt spruchgemäß zu entscheiden.
3.3. Gemäß Paragraph 24, Absatz eins, VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.
Gemäß Paragraph 24, Absatz 4, VwGVG kann - soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist - das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Artikel 6, Absatz eins, EMRK noch Artikel 47, GRC entgegenstehen.
Im gegenständlichen Fall kann das Unterbleiben einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt zur Beurteilung der Beschwerde aus der Aktenlage in Verbindung mit der Beschwerde geklärt ist. Weder war der Sachverhalt in wesentlichen Punkten ergänzungsbedürftig noch erschien er in entscheidenden Punkten als unrichtig. Das Bundesverwaltungsgericht hat vorliegend daher ausschließlich über eine Rechtsfrage zu erkennen vergleiche EGMR 05.09.2002, Appl. Nr. 42057/98, Speil/Österreich). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.6.2012, B 155/12).
Von einer Mitteilung der Beschwerde nach Paragraph 10, VWGVG wurde Abstand genommen, da in der Beschwerde keine neuen Tatsachen oder Beweise vorgebracht wurden. Die Beschwerde wiederholt im Wesentlichen die Angaben aus der Stellungnahme des Beschwerdeführers vom 26.07.2017.
Zu B) Zulässigkeit der Revision:
Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig, weil es an höchstgerichtlicher Rechtsprechung zur Auslegung des Artikel 15, DSGVO fehlt, so insbesondere betreffend das Auskunftsrecht zum Verwendungszweck nach Artikel 15, Absatz eins, Litera a,) DSGVO, zum Empfängerbegriff und betreffend Artikel 15, Absatz 3, DSGVO zur Zurverfügungstellung von Kopien.
ECLI:AT:BVWG:2018:W211.2188383.1.00