Bundesverwaltungsgericht
19.04.2023
W287 2243166-1
W287 2243166-1/14E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin MMag. Dr. Julia KUSZNIER als Vorsitzende und die fachkundige Laienrichterin Margareta MAYER-HAINZ und den fachkundigen Laienrichter Dr. Ulrich E. ZELLENBERG als Beisitzerin und Beisitzer über die Beschwerde des römisch 40 , gegen den Bescheid der Datenschutzbehörde vom 22.04.2021, GZ: römisch 40 , römisch 40 , im Umlaufwege in einer datenschutzrechtlichen Angelegenheit zu Recht erkannt:
A)
Die Beschwerde wird als unbegründet abgewiesen.
B)
Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.
Begründung:
römisch eins. Verfahrensgang und Sachverhalt:
1. Am 13.07.2020 erhob der Beschwerdeführer eine Datenschutzbeschwerde gegen 1. den römisch 40 („erstmitbeteiligte Partei“), 2. die römisch 40 („zweitmitbeteiligte Partei“) und 3. die römisch 40 („drittmitbeteiligte Partei“ bzw gemeinsam „mitbeteiligte Parteien“) bei der Datenschutzbehörde („belangte Behörde“) , in der er einen Verstoß gegen das Grundrecht auf Geheimhaltung gemäß Paragraph eins, Absatz eins, DSG, einen Verstoß gegen das Recht auf Löschung gemäß Artikel 17, DSGVO und einen Verstoß gegen das Recht auf Widerspruch gemäß Artikel 21, DSGVO geltend machte (VWA ./1). Er führte im Wesentlichen aus, seine personenbezogenen Daten hinsichtlich der ihm gewährten Kredite und der Zahlungsstände seien ohne hinreichende Rechtfertigungsgründe gemäß Artikel 6, DSGVO verarbeitet worden. Aufgrund der Angaben der zweit- und drittmitbeteiligten Partei scheine der Beschwerdeführer in der Konsumentenkreditevidenz (im Folgenden „KKE“) und in der Warnliste der österreichischen Banken (im Folgenden „Warnliste“) mit negativen Einträgen auf. Aufgrund der darauf basierenden Beurteilung sei er in seiner Lebensführung erheblich eingeschränkt. Der Beschwerdeführer habe zu römisch 40 beim BG römisch 40 „ein Schuldenregulierungsverfahren durchführen müssen“, habe jedoch den „ausgehandelten“ Zahlungsplan von 25% zur Gänze erfüllt, sodass die letzte Quotenzahlung an die Gläubiger am römisch 40 2018 erfolgt sei. Ferner habe er gemäß Artikel 17, Absatz eins, Litera c, DSGVO Widerspruch gegen die Verarbeitung seiner personenbezogenen Daten eingelegt. Sowohl der Kreditvertrag mit der drittmitbeteiligten Partei als auch der Kreditvertrag mit der zweitmitbeteiligten Partei seien vor dem römisch 40 2010 abgeschlossen worden, sodass ein Widerspruch gemäß Paragraph 28, Absatz 2, DSG 2000 (alte Rechtslage) möglich sei. Es bedürfe nicht - wie nach neuer Rechtslage - Gründe, die sich aus der besonderen Situation der betroffenen Person ergäben, um Widerspruch zu erheben, sodass seine personenbezogenen Daten aus den aus dem Jahr 2009 stammenden Kreditverträgen mit der zweit- und drittmitbeteiligten Partei zu löschen seien.
2. Mit Schreiben vom 15.10.2019 forderte die Datenschutzbehörde die mitbeteiligten Parteien jeweils auf, binnen zwei Wochen Stellung zur Beschwerde wegen der behaupteten Verletzungen im Recht auf Geheimhaltung, im Recht auf Auskunft (sic!) sowie im Recht auf Widerspruch zu nehmen (VWA ./2.1, VWA ./3.1, VWA ./4.1).
3. In ihrer Stellungnahme vom 06.11.2019 führte die erstmitbeteiligte Partei (VWA ./2.2) Folgendes aus: Da der Beschwerdeführer Kredite in Anspruch nehme, ergebe sich für Finanzinstitute das Erfordernis und die Verpflichtung, sich die erforderlichen Grundlagen für eine Beurteilung der Kreditwürdigkeit zu verschaffen, weshalb Auskunftssysteme bestehen müssten, die kreditrelevante Auskünfte erhalten. Das unter der Geltung der DSGVO mit der Bezeichnung Kleinkreditevidenz („KKE“) unverändert fortgeführte Dateisystem sehe von der Datenschutzbehörde seinerzeit nach reiflicher Abwägung angeordnete Löschfristen vor. Es sei nicht von diesen Löschfristen abzugehen, es sei denn, besondere Umstände würden aus Anlass einer Einzelfallprüfung Anderes gebieten. Derartige Umstände seien vom Beschwerdeführer nicht dargelegt worden. Das den Beschwerdeführer betreffende Insolvenzverfahren sei erst durch die letzte Quotenzahlung am römisch 40 2018 erledigt worden. Seither sei erst etwas mehr als ein Jahr verstrichen, sodass derzeit auch keine Überlegungen hinsichtlich einer (vorzeitigen) Löschung von personenbezogenen Daten, die der Bonitätsbeurteilung dienen, anzustellen seien. Es liege weder ein Verstoß gegen das Recht auf Geheimhaltung, noch gegen das Recht auf Löschung oder das Recht auf Widerspruch vor.
4. Die zweit- und drittmitbeteiligte Partei führten in ihren Stellungnahmen vom 08.11.2019 (VWA ./3.2) sowie vom 11.11.2019 (VWA ./4.2) im Wesentlichen übereinstimmend aus, dass sie als konzessionierte Kreditinstitute aufsichts- und konsumentenschutzrechtlich verpflichtet seien, die Bonität und die Leistbarkeit von Finanzierungs- und Kreditwerbern zu prüfen. Sie haben daher die persönlichen Daten des Beschwerdeführers bei der Geschäftsanbahnung zur Bonitätsprüfung an die KKE übermittelt. Die Datenverarbeitung erfolge aufgrund der rechtlichen Verpflichtungen und sei daher gemäß Artikel 6, Absatz eins, Litera f, DSGVO rechtmäßig. Die Kreditinstitute seien insbesondere aufgrund von Paragraph 39, BWG verpflichtet, geeignete Kontrollverfahren zur Erfassung und Beurteilung bankgeschäftlicher Risiken einzurichten. Die Verarbeitung bonitätsrelevanter Daten durch die Kreditauskunftei finde auch in Paragraph 152, GewO 1994 Deckung. Die Rechtmäßigkeit der Verarbeitung dieser Daten sei folglich nicht von der vorherigen Einwilligung eines Betroffenen abhängig. Es sei jedenfalls davon auszugehen, dass angesichts der Höhe der Forderung im Verhältnis zum Ausfall nach Gegenüberstellung der Quote des Zahlungsplans und insbesondere aufgrund der relativ geringen Zeit seit Begleichung der Forderung, das berechtigte Interesse der mitbeteiligten Parteien an der Verwendung der Daten gegenüber dem Interesse des Beschwerdeführers an der Löschung der Daten überwiege.
5. Mit Schreiben vom 02.12.2019 erstattete der Beschwerdeführer eine Stellungnahme zum Vorbringen der mitbeteiligten Parteien (VWA ./5.). Er führte darin unter anderem aus, dass mehr als zwei Jahre seit der letzten Quotenzahlung verstrichen seien, sodass die Bonitätsprüfung des Beschwerdeführers „jedenfalls neu vorzunehmen gewesen wäre“. Der Beschwerdeführer habe sich seit dem Jahr 2010 wohlverhalten und alle seine Verbindlichkeiten fristgerecht erfüllt, sodass es nicht gerechtfertigt sei, ihn in der – außerhalb eines Insolvenzverfahrens – höchsten Ratingklasse mit „sehr hohem Risiko“ einzustufen. Er sei mit der überzogenen Risikoeinstufung im Geschäftsverkehr unverhältnismäßig eingeschränkt, da es ihm nicht möglich sei, einen Kredit aufzunehmen, einen Handyvertrag abzuschließen oder ein Auto zu leasen. Es sei nicht ausreichend berücksichtigt worden, dass die Forderungen, auf welchen die Negativeintragungen in der KKE und in der Warnliste beruhten, aus dem Jahr 2009 (bzw. Datum der Einmeldung: 2010) stammen würden, sohin bereits nahezu zehn Jahre alt seien. Die Einstufung in die höchste Ratingklasse sei daher auch angesichts des Alters der Forderungen nicht gerechtfertigt. Er sei aufgrund einer unglücklich gelaufenen Beziehung im Jahr 2010 in Zahlungsschwierigkeiten gelangt und habe sich seither redlich bemüht, seine Schulden gemäß dem vereinbarten Zahlungsplan abzubezahlen, obwohl er schwer erkrankt sei und ihm die Ausführung einer Vollzeitbeschäftigung ungleich mehr Anstrengung koste, als dies bei einem durchschnittlichen Arbeitnehmer der Fall sei. Er sei seit dem Jahr 2010 regelmäßig einer Beschäftigung nachgegangen, habe keine nennenswerten Schulden aufgenommen und verfüge daher über eine solide finanzielle Basis. Die Einstufung in die höchste Risikoklasse sei daher nicht gerechtfertigt.
6. Mit Bescheid vom 22.04.2021 wies die Datenschutzbehörde die Beschwerde des Beschwerdeführers ab (VWA ./6) und begründete dies im Wesentlichen folgendermaßen:
Die Verarbeitung bonitätsrelevanter Daten durch eine Kreditauskunftei sei durch Paragraph 152, GewO 1994 gedeckt. Die Rechtmäßigkeit der Verarbeitung der Daten hänge folglich nicht von der vorherigen Einwilligung eines Betroffenen ab. Mangels Spezialregeln für Kreditauskunfteien seien die allgemeinen Grundsätze der DSGVO anzuwenden, wonach u.a. personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürften (Artikel 5, Absatz eins, Litera b, DSGVO). Der Zweck der Datenverarbeitung in der Datenbank der erstmitbeteiligten Partei bestehe darin, jenen Unternehmen einen Zugriff auf die Daten zu ermöglichen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko etwa bei der Lieferung ihrer Waren oder Dienstleistungen eingehen. Unter bestimmten Voraussetzungen sei damit die Rechtmäßigkeit der Verarbeitung gemäß Artikel 6, Absatz eins, Litera f, DSGVO zu bejahen.
Im Rahmen der Interessenabwägung nach Artikel 6, Absatz eins, Litera f, DSGVO sei zu berücksichtigen, dass die Verarbeitung zum einen zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich sein müsse, zum anderen Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern würden, nicht überwiegen dürften. Dem Interesse des Beschwerdeführers an der Geheimhaltung seiner personenbezogenen Daten stehe das Interesse der erstmitbeteiligten Partei, ihr Gewerbe nach Paragraph 152, GewO 1994 auszuüben, das Interesse der zweit- und drittmitbeteiligten Partei, eine Datenverwendung zu Zwecken des Gläubigerschutzes und der Risikominimierung zu betreiben und Eintragungen vorzunehmen bzw. abzufragen sowie insbesondere das Interesse der die Bonität abfragenden Unternehmen gegenüber. Sie könnten sich bei ihrer Tätigkeit somit auf Artikel 6, Absatz eins, Litera f, DSGVO stützen und es sei grundsätzlich von einem die Betroffeneninteressen überwiegenden berechtigten Interesse an der Verarbeitung auszugehen.
Wenn Kreditinstitute als potentielle Geschäftspartner rechtlich verpflichtet seien, ihre Forderungen anhand der Ausfallquoten zumindest der letzten fünf Jahre zu bewerten, könne es nicht als Verstoß gegen das Prinzip der Datenminimierung oder der Speicherbegrenzung erkannt werden, wenn die mitbeteiligten Parteien Zahlungserfahrungsdaten des Beschwerdeführers verarbeiteten, deren positive Erledigung weniger als fünf Jahre zurückliege.
Vor diesem Hintergrund sei die Datenschutzbehörde der Ansicht, dass zum Entscheidungszeitpunkt dem Gläubigerschutz und somit den berechtigten Interessen Dritter ein höherer Stellenwert einzuräumen sei, als den dargelegten berechtigten Interessen des Beschwerdeführers. Der Beschwerdeführer sei daher durch die Verarbeitung seiner Zahlungserfahrungsdaten durch die mitbeteiligten Parteien nicht in seinem Recht auf Geheimhaltung verletzt, weshalb die Beschwerde im Recht auf Geheimhaltung gemäß Paragraph 24, Absatz 5, DSG als unbegründet abzuweisen gewesen sei. Die Speicherung des verfahrensgegenständlichen Eintrags über die Zahlungserfahrungen des Beschwerdeführers sei zum gegenwärtigen Zeitpunkt aufgrund ihres bonitätsrelevanten Charakters weiterhin notwendig und auch rechtmäßig, weshalb dem Antrag des Beschwerdeführers auf Löschung zurecht nicht entsprochen worden sei.
Der Beschwerdeführer sei der Ansicht gewesen, dass es schon deshalb keiner Darlegung seiner besonderen Situation bedürfe, weil er vermeint habe, Paragraph 28, Absatz 2, DSG 2000, der einer betroffenen Person ein unbedingtes Widerspruchsrecht eingeräumt habe, sei gegenständlich anwendbar. Sofern der Beschwerdeführe Erschwernisse von Kreditgewährungen jeglicher Art, die Teilnahme am wirtschaftlichen Leben, die vollständige Erfüllung des Zahlungsplans und eine unzumutbare Einschränkung seines Lebens ins Treffen führe, so stellten diese Umstände mangels näherer Konkretisierung noch keine besondere Situation im Sinne des Artikel 21, DSGVO dar. Vom Beschwerdeführer wäre vielmehr darzulegen gewesen, weshalb und auf welche außerordentliche spezifische und individuelle Weise sich seine Situation von der Situation anderer Personen unterscheide bzw. seien jene Besonderheiten darzulegen gewesen, die die normative Grundentscheidung der Verarbeitungsgrundlage des Artikel 6, Absatz eins, Litera f, DSGVO nicht bereits vollständig berücksichtigt habe. Der Beschwerdeführer habe sich deshalb nicht auf Artikel 21, DSGVO berufen können und der Beschwerde komme diesbezüglich keine Berechtigung zu.
7. Mit bei der Datenschutzbehörde am 20.05.2021 eingelangten Schreiben erhob der Beschwerdeführer gegen den Bescheid der Datenschutzbehörde innerhalb offener Frist Beschwerde wegen Mangelhaftigkeit des Verfahrens und unrichtiger rechtlicher Beurteilung. Er sei zu seiner „besonderen Situation“ iSd Paragraph 21, DSGVO nicht einvernommen worden. Die belangte Behörde äußere sich in der Begründung ihres Bescheides nicht zu der vorgenommenen neuerlichen Bonitätsprüfung und Einzelfallbeurteilung sowie der unrichtigen Einstufung in die zweithöchste Ratingklasse durch die mitbeteiligten Parteien.
Es liege kein überwiegendes berechtigtes Interesse der Gläubiger an der unrichtigen Einstufung in die zweithöchste von acht Risikoklassen vor. Die gegenständliche von der erstmitbeteiligten Partei vorgenommene Einstufung des Beschwerdeführers in der Bonitätsdatenbank gebe die Bonität des Beschwerdeführers zu dessen Ungunsten sehr viel schlechter an als diese tatsächlich sei.
Die Anführung des Insolvenzverfahrens des Beschwerdeführers in der Bonitätsdatenbank der erstmitbeteiligten Partei nunmehr bald 4 Jahre nach Bezahlung der letzten Rate des abgeschlossenen Zahlungsplans stelle einen Verstoß gegen Paragraph 256, Absatz 2, IO dar bzw. konterkariere diese Vorschrift.
Die belangte Behörde habe in diesem Zusammenhang auch das Alter und die Höhe der ausgefallenen Forderungen nicht berücksichtigt.
Ferner seien die alten Anschriften des Beschwerdeführers nicht gelöscht worden. Diese seien jedoch zu löschen, da am Aufscheinen dieser historischen Anschriften kein berechtigtes und überwiegendes Interesse der Gläubiger bestehe.
Die belangte Behörde komme in ihrer rechtlichen Beurteilung zum Schluss, dass der Beschwerdeführer keine besondere Situation im Sinne des Artikel 21, DSGVO dargelegt habe. Er habe jedoch zu seiner „besonderen Situation“ Vorbringen in seiner Stellungnahme vom 02.12.2019 erstattet.
8. Die Datenschutzbehörde legte den Akt dem Bundesverwaltungsgericht mit Schreiben vom 31.05.2021 vor, bestritt das Beschwerdevorbringen zur Gänze und verwies vollinhaltlich auf den angefochtenen Bescheid.
9. Mit Verfügung des Geschäftsverteilungsausschusses vom 25.01.2022 wurde die gegenständliche Rechtssache der Gerichtsabteilung W256 abgenommen und der Gerichtsabteilung W287 neu zugewiesen.
10. Die mitbeteiligten Parteien wurden am 21.11.2022 aufgefordert, zur Bescheidbeschwerde des Beschwerdeführers Stellung zu nehmen. Die erstmitbeteiligte Partei führte mit Äußerung vom 02.12.2022 (OZ 5) aus, dass nach Ablauf der Löschfrist keine Insolvenzdaten mehr verarbeitet würden. In den Datenanwendungen „Warnliste der Banken“ und „KKE“ sei hingegen die Löschfrist noch nicht abgelaufen. Ferner legte sie eine aktuelle Auskunft nach Artikel 15, DSGVO vor und führte aus, dass eine angeblich unrichtige Bonitätseinstufung nicht Gegenstand eines Beschwerdeverfahrens vor der Datenschutzbehörde sein könne. Die zweitmitbeteiligte Partei gab mit Schreiben vom römisch 40 2022 (OZ 9) bekannt, dass sie unverändert Daten des Beschwerdeführers verarbeite, und wiederholte ihr bisheriges Vorbringen. Die drittmitbeteiligte Partei erstattete am römisch 40 2022 eine Stellungnahme (OZ 10) und führte darin zusammengefasst aus, dass der Beschwerdeführer im Wesentlichen eine andere Bonitätsbewertung erreichen wolle, das sei jedoch in Wahrheit ein Begehren auf Datenberichtigung. Ferner sei eine Verletzung im Auskunftsrecht weder Gegenstand des Verfahrens vor der belangten Behörde noch im nun anhängigen Rechtsmittelverfahren. Die drittmitbeteiligte Partei legte ferner eine aktuelle Auskunft nach Artikel 15, DSGVO vor.
11. Mit Schriftsatz vom 12.01.2023 (OZ 12) erstattete der Beschwerdeführer eine Stellungnahme zu den Äußerungen der mitbeteiligten Parteien, in der er im Wesentlichen sein bisheriges Vorbringen wiederholte und ausführte, dass die Speicherung der verfahrensgegenständlichen Einträge über Zahlungserfahrungen zum gegenwärtigen Zeitpunkt aufgrund des nicht mehr bonitätsrelevanten Charakters nicht mehr notwendig und somit auch nicht mehr rechtmäßig sei. Zum jetzigen Zeitpunkt überwiege klar das Interesse des Beschwerdeführers an der Geheimhaltung seiner personenbezogenen Daten.
römisch II. Das Bundesverwaltungsgericht hat erwogen:
1. Der folgende Sachverhalt steht fest:
Der Entscheidung wird der oben dargestellte Verfahrensgang zugrundegelegt.
Über den Beschwerdeführer wurde am römisch 40 2010 ein Schuldenregulierungsverfahren eröffnet. Das Bezirksgericht römisch 40 bestätigte mit Beschluss zu römisch 40 rechtskräftig einen Zahlungsplan mit einer Rückzahlungsquote von 25% (14 halbjährliche Quoten, Passiva laut Insolvenzantrag: EUR 41.000,00). Der Beschwerdeführer bezahlte die letzte Rate des Zahlungsplans im Juli 2017.
1.1. Zur erstmitbeteiligten Partei
Die erstmitbeteiligte Partei betreibt eine Wirtschaftsauskunftei, in deren Rahmen sie Bonitätsauskünfte erteilt.
Der Beschwerdeführer stellte mit Schreiben vom römisch 40 2019 einen Antrag auf Löschung an die erstmitbeteiligte Partei und widersprach ihr gegenüber der Verarbeitung seiner Daten gemäß Artikel 21, DSGVO. Ferner beantragte er die Zustellung einer Auskunft iSd Artikel 15, DSGVO.
Die erstmitbeteiligte Partei antwortete mit Schreiben vom 04.09.2019, lehnte die Bearbeitung des Widerspruchs des Beschwerdeführers ab, weil der Widerspruch nicht den Anforderungen nach Artikel 21, DSGVO entspreche, und fügte eine Auskunft nach Artikel 15, DSGVO bei, aus der unter anderem Daten zu einem Insolvenzverfahren des Beschwerdeführers sowie Einträge in der KKE und der Warnliste der Banken ersichtlich waren.
Mit Schreiben vom 25.11.2022 teilte die erstmitbeteiligte Partei nach Aufforderung durch das erkennende Gericht mit, dass nach Ablauf der Löschfrist keine Insolvenzdaten mehr verarbeitet würden. Hingegen sei für Daten, die in den Datenanwendungen „Warnliste der Banken“ und „Konsumerkreditevidenz/KKE“ verarbeitet werden, die Löschfrist noch nicht abgelaufen. Dem Schreiben war eine aktuelle Auskunft gemäß Artikel 15, DSGVO beigefügt, derzufolge zum Entscheidungszeitpunkt folgende Daten verarbeitet werden:
„Gespeicherte Daten der KSV1870 Information GmbH
Wirtschaftsdatenbank Person
Nachname: römisch 40
Vorname: römisch 40
Geburtsdatum: römisch 40
Anschrift: römisch 40
Telefon: (0043) 0 0
Letzte Überarbeitung: 2022-11-23
Anschriften
Art Adresse Datum Quelle
letzte Adressbestätigung
bekannt römisch 40 KSV1870
weiters römisch 40 2014-04-07 DPIT GmbH
bekannt
weiters römisch 40 2014-03-06 DPIT GmbH bekannt
ehemalig römisch 40 2010-12-30 DPIT GmbH
ehemalig römisch 40 KSV1870
ehemalig römisch 40 KSV1870
ehemalig römisch 40 KSV1870
ehemalig römisch 40 KSV1870
RiskIndicator: römisch 40
Wahrscheinlichkeit einer Zahlungsauffälligkeit: römisch 40 %
Der RiskIndicator zeigt die Wahrscheinlichkeit einer Zahlungsauffälligkeit in 12 Monaten auf Basis der in der Wirtschaftsdatenbank verfügbaren Informationen an.
RiskIndicator Financial: römisch 40
Wahrscheinlichkeit einer Zahlungsauffälligkeit: römisch 40 %
Der RiskIndicator Financial zeigt die Wahrscheinlichkeit einer Zahlungsauffälligkeit in 12 Monaten auf Basis der in der Wirtschaftsdatebank, WarenKreditEvidenz, KonsumentenKreditEvidenz und Warnliste verfügbaren Informationen.
[…]
Insolvenz/Offenkundige Zahlungsunfähigkeit/Restrukturierungsverfahren
Es liegen uns keine Einträge vor.
Bankverbindungen
Es liegen uns keine Einträge vor.
Inkassofälle
Es liegen uns keine Einträge vor.
WarenKreditEvidenz (WKE)
Zahlungserfahrungen aus dem Nicht-Bankenbereich.
Es liegen uns keine Einträge vor.
KSV1870 Bewertung
Zahlweise: 0
Zahlweise: Zahlungsverhalten laut letzter Überprüfung. Einflussfaktoren: Inkasso, Zahlungserfahrungen von Dritten u.m.
Beste Einstufung: 100, schlechteste Einstufung: 650, keine Einstufung möglich: 000.
Beurteilung:
Beurteilung: Finanzielle Situation laut letzter Überprüfung. Einflussfaktoren:
Einkommenssituation, kaufmännische Aktivitäten, Grundbuch u.m. Beste Einstufung: 100, schlechteste Einstufung: 650, keine Einstufung möglich: 000.
Letzte Überarbeitung: 2022-11-23
[…]
Gespeicherte Daten des Kreditschutzverband von 1870
Anschriften
[…]
KonsumentenKreditEvidenz (KKE)
Gespeicherte Personendaten
KKE-Nummer: römisch 40
Nachname: römisch 40
Vorname: römisch 40
Geburtsdatum: römisch 40
Adresse: römisch 40
Frühere Adresse: römisch 40
Kreditdaten
Erledigter Kredit
Kreditart/Kredithöhe: Abstattungskredit EUR 24.500,00
Kreditgeber: römisch 40
Kreditkontonummer: römisch 40
Lfd. Kreditnummer: 1
Laufzeit: 179 Monate
Rate: monatlich ab 2009- römisch 40
Datum der Endfälligkeit/Kreditende: 2024- römisch 40
Datum der Gewährung: 2009- römisch 40
Zahlungsanstände: Klage eingereicht 2010- römisch 40 Fälligstellung 2010- römisch 40
Erledigung mittels: Zahlungsplan erfüllt 2017- römisch 40
Gewährter Kredit
Kreditart/Kredithöhe: Rahmenkredit (auch Girokontoüberziehung) EUR 1.500,00
Kreditgeber: römisch 40
Kreditkontonummer: römisch 40
Lfd. Kreditnummer: 1
Laufzeit: 998 Monate
Rate: bis auf Weiteres ab 2014- römisch 40
Datum der Gewährung: 2014- römisch 40
Mitkreditnehmer: für römisch 40
Übermittlungsempfänger KonsumentenKreditEvidenz (KKE)
Auskunft Datum Bezieher
KKE römisch 40
römisch 40 KKE römisch 40
römisch 40 Warnliste
Gespeicherte Personendaten
Nachname: römisch 40
Vorname: römisch 40
Geburtsdatum: römisch 40
Adresse: römisch 40
Eintragung 1
Kreditdaten
Datum der Einmeldung: 2010-05
Identnummer: römisch 40
Kreditgeber: römisch 40
Kontonummer: römisch 40
Symbol: G06
Forderung aus: Girokontoverbindung
Betrag von EUR 5.001,00 bis EUR 6.000,00
Sonstiges Tilgungsvereinbarung Teilweise Tilgung - 2017- römisch 40
[…]“
Folgende Zahlungserfahrungsdaten des Beschwerdeführers hatte die erstmitbeteiligte Partei vormals in ihrer Datenbank gespeichert, zum Entscheidungszeitpunkt jedoch bereits gelöscht:
„[…]
Insolvenz
Insolvenzverfahrensnr.: römisch 40
Ediktswortlaut: römisch 40
Verfahrenseröffnung: 2010- römisch 40 Ende Anmeldefrist: 2010- römisch 40
Verfahrenscode: römisch 40
Aktueller Verfahrensstand seit: 2017-08-23
Verfahrensstand: Zahlungsplan wurde vom Schuldner direkt abgewickelt
Gericht: Bezirksgericht römisch 40
Geschäftszahl: römisch 40
Passiva laut Insolvenzantrag [EUR]: 41.000,00
[…]“
1.2. Zur zweitmitbeteiligten Partei
Die zweitmitbeteiligte Partei ist ein Kreditinstitut. Zwischen dem Beschwerdeführer und der zweitmitbeteiligten Partei bestand seit dem Jahr 2004 eine Girokontoverbindung.
Mit Schreiben vom römisch 40 2010 stellte die zweitmitbeteiligte Partei eine Forderung aus dieser Girokontoverbindung per römisch 40 2010 in Höhe von EUR 5.579,49 fällig und informierte den Beschwerdeführer, dass es zu einer Einmeldung in die Warnliste und in die KKE kommen werde, sollte der Beschwerdeführer die Forderung nicht binnen der gesetzten Frist begleichen. Da die Forderung nicht beglichen wurde, meldete die zweitmitbeteiligte Partei die entsprechenden Informationen wie angekündigt ein. Die Forderung der zweitmitbeteiligten Partei wurde im Rahmen des Insolvenzverfahrens des Beschwerdeführers per Juli 2017 teilweise getilgt.
Der Beschwerdeführer stellte mit Schreiben vom römisch 40 2019 an die zweitmitbeteiligte Partei einen Antrag auf Löschung und widersprach ihr gegenüber der Verarbeitung seiner Daten gemäß Artikel 21, DSGVO. Ferner beantragte er die Zustellung einer Auskunft iSd Artikel 15, DSGVO.
Mit Schreiben vom römisch 40 2019 antwortete die zweitmitbeteiligte Partei. Dem Schreiben war eine aktuelle Auskunft gemäß Artikel 15, DSGVO beigefügt, derzufolge folgende Daten verarbeitet werden:
„Kundendaten
Kundennummer: […]
Nachname: römisch 40
Vorname: römisch 40
[…]
Handlungsfähigkeit: GESCHÄFTSFÄHIG – INL. INSOLVENZVERFAHREN AUFEGHOBE
[…]
Kundenrating: römisch 40 (1 [sehr gut] – 10)
Vom: 19.10.2018
Familienstand: […]
Geschlecht: […]
[…]
Beruf/Branche: römisch 40
Arbeitgeber: …
Beschäftigt seit: römisch 40
[…]
Kontaktdaten
Adresse inkl. Hausnr.: römisch 40 Stiege/Tür: römisch 40
Postleitzahl: römisch 40
Ort: römisch 40
[…]
Werbung
[…]
Geschäfte
[…]
Kundenbeziehungen
[…]
Zeichnungsrechte
[…]
Warnlisten
Identnummer: […]
Entstehungsdatum: römisch 40 2010
Änderungsdatum: römisch 40 2010
Geschäftsnummer: […]
Bankleitzahl: […]
Rückzahlungsvereinbarung: ja
Widerruf: nein
[…]
Art der Rückzahlung: T – TEILWEISE TILGUNG
Tag der Rückzahlung: römisch 40 2017
Warnmeldung: […]
Warnung Menge: […]“
Ferner übermittelte die zweitmitbeteiligte Partei dem Beschwerdeführer einen Auszug aus der KKE.
Der Beschwerdeführer wurde von der zweitmitbeteiligten Partei sowohl bei Abschluss des Girokontovertrages als auch bei dessen Fälligstellung darüber informiert, dass die offene Forderung in die Warnliste sowie die KKE eingemeldet wird.
Mit Schreiben vom römisch 40 .2022 teilte die zweitmitbeteiligte Partei nach Aufforderung durch das erkennende Gericht mit, dass weiterhin unverändert Daten des Beschwerdeführers verarbeitet werden. Der Eintrag in die Warnliste ist aufrecht.
1.3. Zur drittmitbeteiligten Partei
Die drittmitbeteiligte Partei ist ein Kreditinstitut.
Der Beschwerdeführer schloss mit der drittmitbeteiligten Partei am römisch 40 2009 einen Abstattungskreditvertrag in Höhe von EUR 24.500,00 (Laufzeit: 179 Monate) ab. Am römisch 40 2010 stellte die drittmitbeteiligte Partei die aushaftende Forderung fällig. Die Forderung der zweitmitbeteiligten Partei wurde im Rahmen des Insolvenzverfahrens des Beschwerdeführers per Juli 2017 teilweise getilgt (EUR 8.769,21, Entrichtung in 14 halbjährlichen Quoten zu jeweils EUR 626,37).
Der Beschwerdeführer stellte mit Schreiben vom römisch 40 2019 einen Antrag auf Löschung an die drittmitbeteiligte Partei und widersprach ihr gegenüber der Verarbeitung seiner Daten gemäß Artikel 21, DSGVO. Ferner beantragte er die Zustellung einer Auskunft iSd Artikel 15, DSGVO. Dieses Schreiben wurde von der drittmitbeteiligten Partei nicht beantwortet. Es konnte nicht festgestellt werden, dass die drittmitbeteiligte Partei dieses Schreiben tatsächlich erhalten hat.
Der Beschwerdeführer wurde von der drittmitbeteiligten Partei bei Abschluss des Kreditvertrages darüber informiert, dass die drittmitbeteiligte Partei berechtigt ist, Daten in die Warnliste sowie die KKE einzumelden.
Mit Schreiben vom römisch 40 2022 teilte die drittmitbeteiligte Partei nach Aufforderung durch das erkennende Gericht mit, dass aktuell ua folgende Informationen verarbeitet werden:
„1. Daten zur Person
a) Persönliche Daten
- Vorname und Nachname: römisch 40
[…]
- Anschrift: römisch 40
- Zusätzliche Adresse: römisch 40
- Zusätzliche Adresse: römisch 40
[…]
- Beschäftigungsart: arbeitslos
2. Daten zum Geschäftsfall
Geschäftsfallnummer | römisch 40 |
Vertragsnummer | römisch 40 |
Status | römisch 40 |
Zahlweise | römisch 40 |
Mitschuldner | römisch 40 |
Kreditbetrag | EUR 24.500,00 |
Kreditrestschuldversicherung (KRSV) | JA |
Status KRSV | beendet |
Erstellt am | römisch 40 .05.2009 |
Filiale | römisch 40 |
Kreditgewährung | römisch 40 2009 |
Laufzeit (in Monaten) | 179 |
Daten zum gerichtlichen Verfahren | Titel zu GZ römisch 40 ( römisch 40 .04.2010), Exekution zu GZ römisch 40 |
2. Beweiswürdigung
Die Feststellungen gründen auf dem unbedenklichen Verwaltungsakt, dem Gerichtsakt und dem übereinstimmenden Vorbringen der Parteien.
3. Rechtliche Beurteilung
3.1. Zur Zuständigkeit:
Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.
Dem angefochtenen Bescheid liegt eine Entscheidung der belangten Behörde gemäß Paragraph 24, DSG zugrunde. Diese Angelegenheit ist gemäß Paragraph 27, DSG von Senatsentscheidungen erfasst. Somit liegt gegenständlich Senatszuständigkeit vor.
3.2. Zum Spruchpunkt A)
Die zulässige Beschwerde ist nicht berechtigt.
3.2.1. Zum Recht auf Löschung:
Der Beschwerdeführer sieht sich durch die Entscheidung der belangten Behörde in seinen Rechten verletzt, weil die mitbeteiligten Parteien – entgegen den Bescheidausführungen – Informationen zu seinem abgeschlossenen Insolvenzverfahren bzw. zu historischen Zahlungserfahrungsdaten zu löschen haben.
Personenbezogene Daten sind über Antrag des Betroffenen ua dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sie unrechtmäßig verarbeitet wurden oder die betroffene Person Widerspruch gemäß Artikel 21, Absatz eins, DSGVO gegen ihre Verarbeitung erhoben hat (Artikel 17, Absatz eins, Litera a,, c 1. Fall und d DSGVO). Einem Löschungsbegehren stünde daher eine Datenverwendung entgegen, die notwendig und rechtmäßig ist und gegen die kein wirksamer Widerspruch erhoben worden ist.
Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie – unter Einhaltung der in Artikel 5, DSGVO genannten Verarbeitungsgrundsätze – auf Grund einer der in Artikel 6, DSGVO genannten Erlaubnistatbestände erfolgt.
3.2.1.1. Zur Einhaltung der Verarbeitungsgrundsätze nach Artikel 5, DSGVO:
Gemäß den Verarbeitungsgrundsätzen nach Artikel 5, DSGVO müssen personenbezogene Daten – soweit verfahrensrelevant – für festgelegte, eindeutige und legitime Zwecke erhoben werden („Zweckbindung“), dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“) und in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“).
Zur erstmitbeteiligten Partei:
Die erstmitbeteiligte Partei betreibt das Gewerbe der Kreditauskunftei gemäß Paragraph 152, GewO 1994.
Zu den Aufgaben der Gewerbetreibenden iSd Paragraph 152, GewO 1994 gehört die Erteilung von Auskünften über die Kreditwürdigkeit von Unternehmen und Privatpersonen an Dritte. Kreditgeber sollen dadurch aussagefähige Informationen über vorhandene oder auch potenzielle Kreditnehmer, und zwar insbesondere über die Art und Weise ihrer bisherigen Schuldenbegleichung, zur Verfügung stehen (Riesz in Ennöckl/Raschauer/Wessely, GewO Paragraph 152, Rz 2). Dadurch soll es Kreditgebern ermöglicht werden, die Wahrscheinlichkeit, mit der der Kreditgeber am Ende wegen seiner Forderung befriedigt wird, und allenfalls die Prognose, mit wie vielen Schwierigkeiten das verbunden ist, zu bestimmen (Wendehorst, Was ist Bonität? Zum Begriff der „Kreditwürdigkeit“ in Paragraph 7, VKrG, in Blaschek/Habersberger (Hrsg), Eines Kredites würdig? (2011) 22). Eine Neigung zu vertragswidrigem Verhalten – etwa mangelnde finanzielle Selbstkontrolle oder habituelles Hinauszögern von Zahlungen bis zum Exekutionsdruck – lässt sich vor allem aus dem Finanzgebaren in der Vergangenheit heraus prognostizieren. Relevant ist dabei vergangenes vertragswidriges Verhalten, dass sich in schlichtem Zahlungsverzug, aber auch in gerichtlichen Verfahren bis hin zu Exekutionshandlungen oder gar in einer Insolvenzeröffnung manifestiert haben mag (aaO 23; vergleiche auch Heinrich, Bonitätsprüfung im Verbraucherkreditrecht (Wien 2014) 89 f).
Die erstmitbeteiligte Partei verarbeitet im Zuge des Betriebs des Gewerbes der Kreditauskunftei historische Zahlungserfahrungsdaten des Beschwerdeführers, um sie (potentiellen) Gläubigern bereitzustellen, damit diese das Risiko etwaiger Zahlungsausfälle bestimmen können. Diese Zahlungserfahrungsdaten wurden im konkreten Fall von der zweit- und drittmitbeteiligten Partei in die KKE und die Warnliste eingemeldet, wobei gerade die Warnliste primär der kreditgebenden Wirtschaft zu Informationszwecken dient.
Dabei handelt es sich um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten (Paragraph 152, GewO 1994) Zweck. Die historischen Zahlungserfahrungsdaten sind auch richtig und vollständig, zumal auf die teilweise Erfüllung der Forderungen im Jahr 2017 hingewiesen wird. Sie sind entgegen der Meinung des Beschwerdeführers auch grundsätzlich erforderlich und geeignet, um eine Prognose über sein zukünftiges Zahlungsverhalten abgeben zu können (siehe dazu auch EuGH 23.11.2006, Rs C-238/05 Rz 47, wonach Systeme zum Informationsaustausch zwischen Finanzinstituten bezüglich der Zahlungsfähigkeit von Kunden die Vorhersehbarkeit der Rückzahlungswahrscheinlichkeit verbessern, weshalb sie grundsätzlich geeignet sind, die Ausfallquote von Kreditnehmern zu verringern und dadurch den Wirkungsgrad des Kreditangebots zu erhöhen).
Zur zweit- und drittmitbeteiligten Partei:
Die zweit- und drittmitbeteiligte Partei sind Kreditinstitute.
Paragraph 39, Bankwesengesetz, Bundesgesetzblatt Nr. 532 aus 1993, i.d.F. Bundesgesetzblatt Teil eins, Nr. 98 aus 2021, (BWG), erlegt Kreditinstituten in Einklang mit der Verordnung (EU) Nr. 575/2013 des europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 ("Kapitaladäquanzverordnung") Sorgfaltsmaßnahmen in Zusammenhang mit der Erfassung, Beurteilung, Steuerung und Überwachung von bankgeschäftlichen Risiken u.a. in Zusammenhang mit der Vergabe von Krediten auch an natürliche Personen auf. Konkret ordnet Paragraph 39, Absatz 2, BWG an, dass Kreditinstitute – wie die zweit- und drittmitbeteiligte Partei – für die Erfassung, Beurteilung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und -praktiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen haben, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind.
Nach Absatz 2 b, Ziffer eins, dieser Bestimmung haben solche Verfahren gemäß Absatz 2, u.a. insbesondere das Kreditrisiko zu berücksichtigen.
Die auf der Verordnungsermächtigung des Paragraph 39, Absatz 4, BWG basierende Verordnung der Finanzmarktaufsichtsbehörde (FMA) über die ordnungsgemäße Erfassung, Steuerung, Überwachung und Begrenzung der Risikoarten gemäß Paragraph 39, Absatz 2 b, BWG (Kreditinstitute-Risikomanagementverordnung – KI-RMV) sieht zur Bestimmung des Kreditrisikos in ihrem Paragraph 5, Absatz 3, Ziffer 2, vor, dass Kreditinstitute wirksame Systeme für die Erkennung und Verwaltung von Problemkrediten einzurichten haben (siehe dazu auch Kammel in Laurer/M. Schütz/Kammel/Ratka, BWG4 Paragraph 39, Rz 29 (Stand 1.10.2021, rdb.at), wonach als Verwaltungsverfahren im Sinne des Paragraph 39, Absatz 2, BWG sämtliche Einrichtungen, Verfahren sowie ablauforganisatorische Maßnahmen zu verstehen sind, die die reibungslose Durchführung des bankgeschäftlichen Betriebs sicherstellen, wie etwa auch Informations-, Kommunikations- und Sicherheitssysteme, sowie Erwägungsgrund 42 der Kapitaladäquanzverordnung, wonach zur Datenverarbeitung im Zusammenhang mit der Vergabe und der Verwaltung von Krediten an Kunden auch die Entwicklung und Validierung von Systemen für das Kreditrisikomanagement und die Kreditrisikomessung gehören. Dies dient nicht nur den legitimen Interessen von Instituten, sondern auch dem Ziel dieser Verordnung, bessere Methoden für Risikomessung und -management anzuwenden und diese Methoden auch im Hinblick auf die vorgeschriebenen Eigenmittel zu nutzen.).
Dabei können Kreditinstitute – wie aus Artikel 179, Absatz 2 und Artikel 180, Absatz 2, Litera e, der die Aufsichtsanforderungen konkret festlegenden Kapitaladäquanzverordnung hervorgeht – sowohl auf externe, interne und zusammengefasste Datenquellen oder auch unter bestimmten Voraussetzungen auf institutsübergreifend in einem Pool zusammengefasste Daten zurückgreifen (siehe dazu auch das Urteil des Europäischen Gerichtshofs, EuGH 23.11.2006, Rs C-238/05 Rz 4, wonach Systeme zum Informationsaustausch zwischen Finanzinstituten über Kreditinformationen die Kenntnisse der Kreditinstitute über potenzielle Kreditnehmer und damit die Vorhersehbarkeit der Rückzahlungswahrscheinlichkeit verbessern, weshalb solche Register grundsätzlich geeignet sind, die Ausfallquote von Kreditnehmern zu verringern und dadurch den Wirkungsgrad des Kreditangebots zu erhöhen).
Insgesamt handelt es sich um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten Zweck (Paragraph 39, BWG). Die historischen Zahlungserfahrungsdaten sind auch richtig und vollständig, zumal auf die teilweise Erfüllung der Forderungen im Jahr 2017 hingewiesen wird. Sie sind entgegen der Meinung des Beschwerdeführers auch grundsätzlich erforderlich und geeignet, um eine Prognose über sein zukünftiges Zahlungsverhalten abgeben zu können.
Strittig ist, wie lange derartige Daten verarbeitet werden dürfen.
3.2.1.2. Zur zulässigen Speicherdauer von Daten über historische Insolvenzen und Zahlungsausfälle:
Weder die DSGVO noch die gewerberechtlichen Regelungen zum Gewerbe der Kreditauskunftei (Paragraph 152, GewO 1994) oder die oben dargestellten Regelungen für Kreditinstitute enthalten konkrete Fristen zur zulässigen Speicherdauer von historischen Insolvenzverfahren und Zahlungsausfällen. Wie lange diese Daten jeweils verarbeitet werden dürfen, hängt daher grundsätzlich vom Einzelfall ab.
Auch wenn historische Zahlungsinformationen wesentlich sind, um das zukünftige Zahlungsverhalten eines (potentiellen) Schuldners vorhersagen zu können, haben sie umso weniger Aussagekraft, je länger sie zurückliegen und je länger es zu keinen weiteren Zahlungsstockungen und Zahlungsausfällen gekommen ist. Dem Alter der Forderung bzw dem Zeitpunkt des Feststehens des endgültigen Ausfalls der Forderung, dem Zeitpunkt etwaiger Tilgungen und dem seitherigen „Wohlverhalten“ des Schuldners kommen bei der Abwägung damit entscheidende Bedeutung zu.
Als Richtlinie, wie lange Bonitätsdaten zur Beurteilung der Bonität eines (potentiellen) Schuldners geeignet sind, können Beobachtungs- oder Löschungsfristen in rechtlichen Bestimmungen herangezogen werden, die dem Gläubigerschutz dienen oder die Erfordernisse an eine geeignete Bonitätsbeurteilung näher festlegen.
In diesem Zusammenhang ist auf die inzwischen vorliegende Rechtsprechung des Bundesverwaltungsgerichts (W258 2216873-1/7E vom 30.10.2019, W211 2225136-1/5E vom 28.07.2020, W274 2232028-1/3E vom 21.10.2020, W214 2228164-1/13E vom 21.04.2021, W258 2246020-1/8E vom 18.01.2023) zu verweisen, wonach als Richtschnur die Bestimmungen der Kapitaladäquanzverordnung herangezogen werden können. In diesen Bestimmungen werden Kreditinstitute ua verpflichtet, ihre Kunden zu bewerten und diverse Risiken ihrer Forderungen abzuschätzen. Für Kredit- bzw Retailforderungen gegenüber natürlichen Personen haben Kreditinstitute, die ihre risikogewichteten Positionsbeträge anhand eines auf internen Beurteilungen basierenden Ansatzes berechnen dürfen (Artikel 143, Absatz eins, leg cit), gemäß Artikel 151, Absatz 6, in Verbindung mit 180 Absatz 2, Litera a und e leg cit die Ausfallswahrscheinlichkeit der Forderung (Probability of Default – PD) ua anhand der langfristigen Durchschnitte der jährlichen Ausfallsquote zu schätzen; dabei ist ein historischer Beobachtungszeitraum für zumindest eine Datenquelle, die auch extern sein kann, von mindestens fünf Jahren zugrunde zu legen. Auch die durchzuführende Schätzung der Verlustquote bei einem Ausfall (Loss Given Default – LGD), hat sich gemäß Artikel 151, Absatz 7, in Verbindung mit 181 Absatz 2, Litera c, leg cit grundsätzlich auf einen mindestens fünfjährigen Zeitraum zu beziehen.
Der (EU-)Verordnungsgeber geht daher davon aus, dass für die Beurteilung der Bonität eines (potentiellen) Schuldners bzw des Risikos einer Forderung, Daten über etwaige Zahlungsausfälle über einen Zeitraum von zumindest fünf Jahren relevant sind.
Der Zeitraum von fünf Jahren ist dabei nicht als eine starre Grenze zu sehen. Auch der Oberste Gerichtshof nahm die bisher dazu ergangene, oben angeführte Judikatur des Bundesverwaltungsgerichts in seine Darstellung jener Kriterien, nach denen sich der Zeitpunkt der Löschung bestimmt, auf (6 Ob 87/21v vom 23.06.2021 ab Rz 18). Dabei nahm der OGH, bezogen auf ein Verfahren, in dem Zahlungserfahrungsdaten betreffend einzelne Forderungen (somit Zahlungsstockungen) gegenständlich waren, eine wesentlich strengere Linie ein: Argumente gegen eine absolute Speicherdauer von zehn Jahren könnten die Argumente für eine derartige Speicherdauer nicht überwiegen. Es sei gerade notwendig, Zahlungserfahrungsdaten über einen langen Zeitraum zu erfassen, um auch Tendenzen festzustellen und Momentaufnahmen vermeiden zu können.
Entscheidungen des Verwaltungsgerichtshofs zur gegenständlichen Frage der höchstzulässigen Speicherdauer bonitätsrelevanter Daten aufgrund der Rechtslage nach Inkrafttreten der DSGVO sind bislang noch nicht ergangen.
Ausgehend vom Umstand, dass die sich aus der Kapitaladäquanzverordnung ableitbaren Überlegungen auf den Umgang mit Zahlungserfahrungsdaten auch im Bereich befugter Auskunfteien anwenden lassen, schließt sich das Verwaltungsgericht auch im Rahmen dieser Entscheidung den grundsätzlichen Überlegungen der oben dargestellten Referenzentscheidungen des BVwG an.
Wenn Kreditinstitute (und damit auch die zweit- und drittmitbeteiligte Partei) als potentielle Geschäftspartner der erstmitbeteiligten Partei zT rechtlich verpflichtet sind, ihre Forderungen anhand der Ausfallquoten zumindest der letzten fünf Jahre zu bewerten, und soll – wie hier – die Bonitätsdatenbank der erstmitbeteiligten Partei auch dazu dienen, Kreditinstituten Daten zu liefern, die sie für ihre zT verpflichtende Bewertung benötigen, kann es nicht als Verstoß gegen das Prinzip der Datenminimierung oder der Speicherbegrenzung erkannt werden, wenn die mitbeteiligten Parteien die gegenständlichen Zahlungserfahrungsdaten im Entscheidungszeitpunkt der belangten Behörde am 22.04.2021 verarbeiteten, wenn der Zahlungsplan zu diesem Zeitpunkt erst vor etwas mehr als dreieinhalb Jahren, nämlich im Juli 2017, erfüllt worden ist.
Bei historischen Zahlungserfahrungsdaten handelt es sich um jene Zahlungserfahrungsdaten, die grundsätzlich von größter Tragweite im Spektrum von möglichen Zahlungserfahrungsdaten sind. Einzelfallbezogen lag zwar ein Insolvenzverfahren von kurzer Dauer vor und offenbar konnte der Zahlungsplan erfüllt werden. Ganz generell wird man für den Fall der Einleitung von Insolvenzverfahren jedoch grundsätzlich eine längere Speicherfrist als gerechtfertigt ansehen können, zumal in einem derartigen Fall evident ein gravierender Fall einer Zahlungsunfähigkeit vorgelegen ist. Es kann daher auch zum gegenwärtigen Zeitpunkt kein Verstoß gegen den Grundsatz der Datenminimierung erblickt werden, zumal die Mindestspeicherdauer von 5 Jahren erst im vergangenen Jahr (vor ca 9 Monaten) abgelaufen ist.
3.2.1.3. Zum Erlaubnistatbestand des Artikel 6, Absatz eins, Litera f, DSGVO:
Die Verarbeitung personenbezogener Daten ist ua gemäß Artikel 6, Absatz eins, Litera f, DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es ist eine einzelfallbezogene Interessensabwägung durchzuführen, bei der die berechtigten Interessen des Verantwortlichen oder eines Dritten für die Verarbeitung den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, gegenüberzustellen sind. Dabei sind einerseits die Interessen des Verantwortlichen und von Dritten (mögliche Geschäftspartner der erstmitbeteiligten Partei) sowie andererseits die Interessen, Rechte und Erwartungen der betroffenen Person zu berücksichtigen (ErwG 47 DSGVO).
Die erstmitbeteiligte Partei und ihre Kunden sowie die zweit- und drittmitbeteiligte Partei haben, sobald Verträge ein kreditorisches Risiko enthalten, ein nachvollziehbares Interesse des kreditierenden Vertragspartners, dieses Risiko abzuschätzen. Die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle erfolgt zum Schutz potenzieller Vertragspartner der betroffenen Person, die Dritte iSv Artikel 6, Absatz eins, Litera f, DSGVO sind vergleiche auch Schantz in Simitis, Hornung, Spiecker, Datenschutzrecht, Artikel 6, Absatz eins, Rz 133 f, 137). Damit dient sie auch dazu, Kreditinstitute (und damit auch die zweit- und drittmitbeteiligte Partei) dabei zu unterstützen, die Vorschriften der Kapitaladäquanzverordnung, die hinsichtlich der Schätzung der Risikoparameter einen Beobachtungszeitraum von zumindest fünf Jahren vorsehen, zu erfüllen.
Dagegen haben betroffene Personen ein Interesse daran, auf Grund der Verarbeitung nicht von Nachteilen im Wirtschaftsleben betroffen zu sein.
Aufgrund des Interesses der Vertragspartner der erstmitbeteiligten Partei und des Interesses der zweit- und drittmitbeteiligten Partei Kreditrisiken abzuschätzen, ergibt sich insgesamt, dass hierfür die Beobachtung des historischen Zahlungsverhaltens des potentiellen Schuldners wesentlich ist. Vor dem Hintergrund, dass es der EU-Verordnungsgesetzgeber für erforderlich sieht, das Risiko von Forderungen anhand eines zumindest fünfjährigen Beobachtungszeitraums vergangener Zahlungsausfälle abzuschätzen, ergibt sich, dass die Verarbeitung von Informationen über das im Entscheidungszeitpunkt der belangten Behörde vor ca. 3 Jahren und 7 Monaten durch Erfüllung eines Zahlungsplans endgültig abgeschlossene Insolvenzverfahren und damit im Zusammenhang stehender historische Zahlungserfahrungsdaten durch die mitbeteiligten Parteien rechtmäßig war.
Da die erstmitbeteiligte Partei den hier in Rede stehenden Eintrag hinsichtlich des abgeschlossenen Insolvenzverfahrens zwischenzeitig gelöscht hat, war auf eine aktuelle Zulässigkeit der Verarbeitung und eine sich daraus ergebende allfällige Löschungsverpflichtung hinsichtlich dieses Eintrags nicht mehr einzugehen.
Ausgehend von der dargestellten Rechtslage bzw. der dazu ergangenen Rechtsprechung bedarf es zur Beurteilung, ob die festgestellten derzeit noch bestehenden Eintragungen betreffend den Beschwerdeführer zu Gläubigerschutzzwecken nach wie vor gerechtfertigt sind, einer Einzelfallabwägung. Diesbezüglich ist auf folgende Kriterien Bedacht zu nehmen (siehe dazu auch Haidinger in Knyrim, DatKomm Artikel 17, DSGVO, Rn 49/1 (Stand: 01.12.2021):
● die Höhe der einzelnen Forderungen,
● das Alter der Forderungen,
● die Anzahl der im Wege eines Inkassounternehmens eingetriebenen Forderungen,
● die Zeit, die seit Begleichung einer Forderung verstrichen ist,
● die Herkunft der Daten und allfällige dort geltende Speicherfristen,
● das seitherige Wohlverhalten des Schuldners,
● der Zeitraum zwischen Eröffnung und Schließung der Insolvenz sowie
● eine allfällige Berücksichtigung einer gestiegenen Bonität des Schuldners im Entscheidungszeitpunkt.
Die Interessen betroffener Personen, wie des Beschwerdeführers, an der Geheimhaltung ihrer historischen Insolvenz- und Zahlungsausfallsdaten, um Nachteile im Wirtschaftsleben zu vermeiden, überwiegen jedenfalls dann nicht, wenn die Forderungen wie im konkreten Fall keine Bagatellforderungen sind. Ferner wurden diese Forderungen (hier aus 2010) erst nach längerer Zeit positiv erledigt, wobei im konkreten Fall hervorzuheben ist, dass im Insolvenzverfahren die zur Verfügung stehende Dauer von 7 Jahren vollständig ausgenützt wurde und die Forderungen letztlich trotzdem nur mit einer 25%igen Quote befriedigt wurden, sodass der Forderungsausfall 75% betrug. Zu berücksichtigen ist ferner, dass der Abstattungskredit des Beschwerdeführers bei der drittmitbeteiligten Partei bereits weniger als ein Jahr nach Einräumung (bei einer Gesamtlaufzeit von 179 Monaten bis 28.05.2024) notleidend wurde.
Mangels gegenteiliger Anhaltspunkte aus dem Akt und anzunehmender Erfüllung des Zahlungsplans geht das Gericht weiters von einem seitherigen Wohlverhalten des Beschwerdeführers insofern aus, als er den Zahlungsplan erfüllte und keine neuerlichen Forderungsausfälle seither entstanden sind. Gerade vor dem Hintergrund der Rechtsprechung des Obersten Gerichtshofs (OGH 23.06.2021, 6 Ob 87/21v) ist ein langer Erfassungszeitraum zur Feststellung von Tendenzen und zur Vermeidung von Momentaufnahmen aus Sicht des Beschwerdeführers nicht zwingend nachteilig, zumal für einen verständigen Empfänger im konkreten Fall ersichtlich ist, dass der Beschwerdeführer sich wohlverhalten hat und zwar ein Eintrag in die KKE bezüglich eines Rahmenkreditvertrages (Girokontoüberziehung) als Mitkreditnehmer für römisch 40 im Jahr 2014 vorgenommen wurde, es hier aber offenbar zu keinen weiteren negativen bonitätsrelevanten Einträgen kam.
Der Zeitraum zwischen Eröffnung und Schließung der Insolvenz war zwar nicht lange, was aus Sicht des Verwaltungsgerichts allerdings im konkreten Fall einen formalen Aspekt darstellt, weil offenbar im Rahmen der Anmeldung der Forderungen keine Schwierigkeiten auftraten, und jener Teil der Gläubiger, der Forderungen angemeldet hatte, dem Zahlungsplan zustimmte.
Anhaltspunkte dafür, dass die Bonität des Beschwerdeführers seit Erfüllung des Zahlungsplans relevant gestiegen wäre, bestehen nicht, zumal der Beschwerdeführer selbst lediglich ausführte, dass er seit 2010 regelmäßig einer Beschäftigung nachging, ohne in seiner Stellungnahme vom 13.01.2023 (OZ 12) Vorbringen zur aktuellen finanziellen Lage zu erstatten. In diesem Zusammenhang ist auch zu berücksichtigen, dass die aktuelle Auskunft der drittmitbeteiligten Partei den Beschwerdeführer aktuell als arbeitslos ausweist und der Beschwerdeführer diesem Eintrag nicht entgegengetreten ist. Selbst im Falle der Ausübung einer Vollzeitbeschäftigung wäre jedoch damit per se noch keine relevante Steigerung der Bonität seit Erfüllung des Zahlungsplans verbunden.
Unter Zugrundlegung der dargelegten Kriterien geht der erkennende Senat davon aus, dass ausgehend vom Tilgungszeitpunkt (Erfüllung des Zahlungsplans) vom Juli 2017, somit von einem Zeitraum von ca 5 Jahren und 9 Monaten, im Einzelfall eine Löschung nicht geboten ist, weil die Dokumentation des zugrundeliegenden Forderungsausfalls von beträchtlicher Höhe (75%) für Sicherungszwecke nach wie vor relevant ist. Dabei ist auch darauf Bedacht zu nehmen, dass die vereinbarte Laufzeit der in Rede stehenden Verbindlichkeiten bis 28.05.2024 vereinbart war und es lediglich wegen einer aufgrund einer Zahlungseinstellung erfolgten Fälligstellung bereits 2010 zum Insolvenzverfahren kam. Nach Ansicht des Bundesverwaltungsgerichts kann der dem Beschwerdeführer zugutekommende Umstand einer Restschuldbefreiung nach Erfüllung des Zahlungsplans 2017 nicht dazu führen, dass zu diesem Zeitpunkt bzw. aktuell der Warnzweck im Wirtschaftsverkehr wegfällt, zumal insbesondere – wie dargestellt – keine Anhaltspunkte dafür bestehen, dass sich die Bonitätsverhältnisse des Beschwerdeführers für Kreditzwecke maßgeblich verändert haben, wobei gerade die KKE und die Warnliste primär der kreditgebenden Wirtschaft zu Informationszwecken dienen.
Der Beschwerdeführer war auch darüber in Kenntnis, dass die zweit- und die drittmitbeteiligte Partei im Falle der Nichtbezahlung von Forderungen einen Eintrag in der Warnliste zum Zweck und für die Dauer der Beurteilung der Bonität veranlassen werden. Bei objektiver („vernünftiger“) Betrachtung musste der Beschwerdeführer daher auch im gegenständlichen Fall davon ausgehen, dass es aufgrund der Nichtbezahlung seiner Forderungen zu einem Eintrag in der Warnliste zum Zweck und für die Dauer der Beurteilung seiner Bonität kommen werde. Da der Beschwerdeführer somit aber mit den Folgen einer Nichtbezahlung auch in dieser Hinsicht – zumindest objektiv betrachtet – rechnen hätte müssen und er diese Folgen insofern für sich vorab auch abwägen hätte können, kann ein gegenüber dem oben dargelegten Interesse der mitbeteiligten Parteien überwiegendes Interesse des Beschwerdeführers nicht erkannt werden, sodass gegen die gegenständlich erfolgten Eintragungen an sich auch keine Bedenken bestehen.
Aus diesen Gründen war und ist die Speicherung der Daten berechtigt.
Die vom Beschwerdeführer ins Treffen geführten Einschränkungen, weil er auf Grund der Einträge in den Datenbanken der mitbeteiligten Parteien keinen Handyvertrag abschließen, kein Konto mit Überziehungsrahmen oder einen Leasingvertrag erlangen könnte, können nicht überzeugen. Der Beschwerdeführer macht damit geltend, auf Grund der Verarbeitung ihn betreffender Bonitätsdaten durch die mitbeteiligten Parteien keine Verträge abzuschließen zu können, die ein kreditorisches Risiko für seine potentiellen Vertragspartner beinhalten. Dabei handelt es sich jedoch um einen Nachteil, der typischerweise bei Eintragungen in Bonitätsdateien besteht und daher bereits in der allgemeinen Interessensabwägung nach Artikel 6, Absatz eins, Litera f, DSGVO zu berücksichtigen war. Eine besondere, ihn treffende Situation konnte der Beschwerdeführer damit nicht darlegen.
3.2.1.4. Zur Relevanz von Löschungsfristen aus der Insolvenzdatei:
Auch der Hinweis des Beschwerdeführers, dass die Löschung der Informationen über seine Insolvenz aus der Insolvenzdatei bereits bewilligt sei, kann ihm nicht helfen:
Zum Einen sind die Informationen über das Insolvenzverfahren des Beschwerdeführers zwischenzeitig von der erstmitbeteiligten Partei gelöscht worden, sodass dieses Argument nur mehr hinsichtlich der von der drittmitbeteiligten Partei verarbeiteten Daten über das Insolvenzverfahren herangezogen werden kann.
Zum Anderen gründet die datenschutzrechtliche Zulässigkeit der Führung der Insolvenzdatei auf Paragraph 256, Insolvenzordnung, einer rechtlichen Verpflichtung im Sinne des Artikel 6, Absatz eins, Litera c, DSGVO, die einer Bonitätsdatenbank hingegen auf überwiegenden berechtigten Interessen des Verantwortlichen gemäß Artikel 6, Absatz eins, Litera f, DSGVO vergleiche OGH 30.01.2017, 6 Ob 178/16v, jusIT 2017/52, 117 (Bergauer), wonach eine Löschung nach Paragraph 256, Insolvenzordnung nicht auf eine Datenverwendung durchschlägt, die auf Grund einer anderen Rechtsgrundlage erfolgt; die noch zum Datenschutzgesetz 2000 ergangene Entscheidung ist auf Grund der Vergleichbarkeit der Erlaubnistatbestände auch auf die Rechtslage nach DSGVO übertragbar). Aus Paragraph 256, Insolvenzordnung lässt sich nicht ableiten, dass Daten über Insolvenzen (überhaupt) nicht mehr, dh auf Grund anderer Erlaubnistatbestände nach Artikel 6, DSGVO, verarbeitet werden dürfen, wenn sie aus der Insolvenzdatei gelöscht worden sind. Eine derartige Einschränkung würde – jedenfalls in Bezug auf den hier einschlägigen Erlaubnistatbestand des Artikel 6, Absatz eins, Litera f, DSGVO – EU-Sekundärrecht widersprechen vergleiche EuGH 24.11.2011, C-468/10 und C-469/10, ASNEF/FECEMD, Rz 48 f, wonach nationale Bestimmungen, die für die Verarbeitung personenbezogener Daten zusätzlich zu der vorgesehenen Interessenabwägung verlangen, dass diese Daten in öffentlich zugänglichen Quellen enthalten sind, Artikel 7, Litera f, Datenschutzrichtlinie 95/46/EG – der im Wesentlichen Artikel 6, Absatz eins, Litera f, DSGVO entspricht – entgegenstehen).
3.2.2. Zum Recht auf Geheimhaltung:
Paragraph eins, Absatz eins, DSG begründet einen Anspruch auf Geheimhaltung der eigenen personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Paragraph eins, Absatz 2, DSG sieht jedoch vor, dass Beschränkungen des Anspruchs auf Geheimhaltung zur Wahrung überwiegender berechtigter Interessen anderer Personen zulässig sind. Es ist folglich eine Interessenabwägung vorzunehmen, wobei zu berücksichtigen ist, dass die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder Dritter erforderlich sein muss und die Grundrechte und -freiheiten der betroffenen Person nicht überwiegen dürfen, um zulässig zu sein.
Aus den Ausführungen zum Recht auf Löschung ergibt sich, dass der Gläubigerschutz und somit die berechtigten Interessen Dritter sowie der mitbeteiligten Parteien die berechtigten Interessen des Beschwerdeführers überwiegen. Folglich ist sein Recht auf Geheimhaltung iSd Paragraph eins, Absatz 2, DSG eingeschränkt. Die mitbeteiligten Parteien haben den Beschwerdeführer durch die Speicherung der historischen Zahlungserfahrungsdaten nicht in seinem Recht auf Geheimhaltung verletzt, sodass die Beschwerde diesbezüglich als unbegründet abzuweisen war.
3.2.3. Zum Widerspruch des Beschwerdeführers gegen die Verwendung seiner Daten:
Auch der vom Beschwerdeführer gegen die Verwendung seiner Daten an die mitbeteiligte Partei erhobene Widerspruch nach Artikel 21, DSGVO kann eine Löschung der ihn betreffenden personenbezogenen Daten nicht rechtfertigen: Zunächst ist der belangten Behörde beizupflichten, dass ein Widerspruch im konkreten nicht nach der alten Rechtslage (Paragraph 28, Absatz 2, DSG 2000), sondern nach der neuen Rechtslage (Artikel 21, DSGVO) zu beurteilen ist.
Der/die Betroffene hat daher im Widerspruch ein Vorbringen zu seiner/ihrer besonderen Situation zu erstatten; es ist anzugeben, inwiefern eine Verarbeitung der Daten, die sich an sich, wie hier, auf den Erlaubnistatbestand der „Wahrung der berechtigten Interessen des/der Verantwortlichen oder eines/einer Dritten“ gemäß Artikel 6, Absatz eins, Litera f, DSGVO stützt, aufgrund einer besonderen Situation dennoch nicht zulässig sein soll (siehe auch Haidinger in Knyrim, DatKomm Artikel 21, DSGVO Rz 19). Wie die belangte Behörde zutreffend ausführt, ist dabei vom Betroffenen konkret darzulegen, worin im grundrechtlichen Schutzzweck des Datenschutzes seine besondere Situation liegt, die über die im Rahmen des Artikel 6, Absatz eins, Litera e und Litera f, DSGVO bereits erfolgte allgemeine Güterabwägung hinaus eine Ausnahme von der rechtmäßigen Verarbeitung gegeben sein soll, wobei bei der Annahme der besonderen Situation Zurückhaltung geboten ist (Helfrich in Sydow/Marsch DS-GVO/BDSG, Artikel 21, Rz 61 mwN).
Der Beschwerdeführer legte in seinen Aufforderungsschreiben vom römisch 40 2019 bzw. vom römisch 40 2019 nicht einmal ansatzweise dar, weshalb in seinem Fall eine besondere Situation im zuvor dargelegten Sinne vorliegen sollte. Die mitbeteiligten Parteien haben daher ein Widerspruchsrecht des Beschwerdeführers zurecht verneint.
In seiner Stellungnahme vom 02.12.2019 (VWA ./5) brachte der Beschwerdeführer erstmals vor, dass die drittmitbeteiligte Partei verpflichtet gewesen wäre, eine Einzelfallprüfung vorzunehmen und auf die besondere Situation des Beschwerdeführers einzugehen. Er sei im Jahr 2010 in Zahlungsschwierigkeiten aufgrund einer unglücklich gelaufenen Beziehung geraten und habe sich seither redlich bemüht, seine Schulden zu bezahlen, dies obwohl er schwer erkrankt sei und ihn die Ausübung einer Vollzeitbeschäftigung ungleich mehr Anstrengung koste, als dies bei einem durchschnittlichen Arbeitnehmer der Fall sei. Er sei daher seit dem Jahr 2010 einer regelmäßigen Beschäftigung nachgegangen, habe „keine nennenswerten“ neuen Schulden aufgenommen und verfüge daher über eine solide finanzielle Basis. Der Beschwerdeführer übersieht dabei zum Einen, dass er dieses Vorbringen erstmals in dieser Stellungnahme (und auch hier nur in Bezug auf die drittmitbeteiligte Partei) erstattete, es der drittbeteiligten Partei daher nicht möglich war, eine Einzelfallprüfung unter Berücksichtigung dieses Vorbringens zu erstatten. Zum Anderen macht er damit zwar pauschal Unannehmlichkeiten geltend, dies jedoch weder substanziiert, noch legt er dar, inwiefern diese Unannehmlichkeiten über allgemeine Situationen, die typischerweise zu einer finanziellen Schieflage führen, im konkreten Fall hinausgehen. Die Behauptungs- und Beweislast für das Vorliegen der Voraussetzungen liegt allerdings beim Antragsteller. Dementsprechend hat sein Antrag eine qualifizierte Darlegung zu enthalten, die es dem Verantwortlichen ermöglicht, die Voraussetzungen zu prüfen. Zwar gilt auch hier der Erleichterungsgrundsatz, der jedoch nicht dazu führt, dass den Verantwortlichen eine Nachforschungspflicht über noch nicht dargelegte Sondersituationen der betroffenen Person trifft (Haidinger in Knyrim, DatKomm Artikel 21, DSGVO (Stand 1.12.2022, rdb.at) Rz 19).
Wenn der Beschwerdeführer nunmehr in seiner Beschwerde geltend macht, die belangte Behörde hätte den Beschwerdeführer zu seiner besonderen Situation einvernehmen müssen, so übersieht er, dass er im gesamten erstinstanzlichen Verfahren kein substantiiertes Vorbringen zu der nunmehr behaupteten besonderen Situation erstattet hat. In der Datenschutzbeschwerde führte der Beschwerdeführer zunächst nur aus, dass ein Widerspruch nach Paragraph 28, Absatz 2, DSG 2000 (alte Rechtslage) möglich sei. Es bedürfe dazu nicht – wie nach neuer Rechtslage – Gründe, die sich aus der besonderen Situation der betroffenen Person ergeben (VWA ./01 Sitzung 4). Als Beweis dazu beantragte er unter anderem eine Einvernahme des Beschwerdeführers. Wird aber ein Beweisthema, welche konkreten Tatsachenbehauptungen im Einzelnen durch die angebotene Einvernahme erwiesen werden sollen, nicht genannt, so ist die Behörde zu einer solcherart als Erkundungsbeweis anzusehenden Einvernahme nicht verpflichtet (VwGH 07.07.2011 2008/15/0010; ). Ein "Erkundungsbeweis" ist im verwaltungsgerichtlichen Verfahren unzulässig (VwGH 11.05.2017, Ro 2016/21/0012; VwGH 29.03.2017, Ra 2016/15/0023). In der Stellungnahme vom 02.12.2019 erstattete er sodann ein unsubstanziiertes Vorbringen, das sich einerseits lediglich auf eine mangelhafte Berücksichtigung durch die drittmitbeteiligte Partei bezieht und aus dem sich andererseits keine Situation ableiten lässt, die sich erheblich von jenen Situationen unterscheidet, die typischerweise zu Zahlungsschwierigkeiten führen.
Die belangte Behörde hat die Beschwerde daher in dieser Hinsicht zu Recht abgewiesen.
3.2.6. Zum Begehren auf Löschung der alten Meldeadressen des Beschwerdeführers:
Soweit der Beschwerdeführer vorbringt, die belangte Behörde hätte dem Löschungsbegehren zumindest hinsichtlich der in der Bonitätsdatenbank aufgeführten zahlreichen falschen und nicht mehr aktuellen Adressen stattgeben müssen, ist dem entgegenzuhalten, dass er ein entsprechendes substantiiertes Vorbringen weder in seinen Aufforderungsschreiben an die mitbeteiligten Parteien noch im gesamten erstinstanzlichen Verfahren erstattet hat, sondern dies vielmehr erstmals in der Beschwerde erwähnte. Es handelt sich somit um ein neues Vorbringen, dem Feststellungen nicht zugrunde liegen. Die belangte Behörde hat sich daher auch – zu Recht – im angefochtenen Bescheid nicht damit auseinandergesetzt.
Die „Sache“ des bekämpften Bescheides bildet allerdings den äußersten Rahmen für die „Prüfungsbefugnis“ des VwG (VwGH 26. 3. 2015, Ra 2014/07/0077; 9. 9. 2015, Ro 2015/03/0032; 27. 1. 2016, 2014/10/0003; 16. 3. 2016, Ra 2015/04/0042; 29. 6. 2016, Ra 2016/05/0052). Eine meritorische Entscheidung durch das Bundesverwaltungsgericht in Hinblick auf die Verarbeitung von alten Adressdaten des Beschwerdeführers würde die Entscheidung des Bundesverwaltungsgerichts mit Rechtswidrigkeit belasten.
3.2.7. Zum Eventualbegehren auf Richtigstellung und Vervollständigung der Daten des Beschwerdeführers:
Der Beschwerdeführer beantragt in der Beschwerde eventualiter die Richtigstellung und Vervollständigung seiner Daten insbesondere in Hinblick auf Adresse, Ratingklasse, vollständige Erfüllung des Zahlungsplans, teilweise Tilgung der Forderungen. Diesem Eventualbegehren ist schon deshalb nicht Folge zu geben, da ein Antrag auf Berichtigung weder im Vorfeld der Datenschutzbeschwerde an die mitbeteiligten Parteien gerichtet wurde, noch Gegenstand des erstinstanzlichen Verfahrens war. Dem Bundesverwaltungsgericht ist daher eine Entscheidung über eine Richtigstellung von Daten des Beschwerdeführers verwehrt vergleiche dazu Punkt 3.2.6. oben).
3.2.8. Ergebnis:
Die Verarbeitung von historischen Zahlungserfahrungsdaten des Beschwerdeführers durch die mitbeteiligten Parteien entspricht damit den Verarbeitungsgrundsätzen des Artikel 5, DSGVO und ist gemäß Artikel 6, Absatz eins, Litera f, DSGVO rechtmäßig; ein Widerspruch gegen die Verarbeitung wurde nicht erfolgreich erhoben. Das Löschungsbegehren des Beschwerdeführers geht daher diesbezüglich ins Leere, weshalb die belangte Behörde die (Datenschutz-)Beschwerde des Beschwerdeführers im Ergebnis zu Recht abgewiesen hat.
Es war daher spruchgemäß zu entscheiden.
3.3. Zum Entfall der mündlichen Verhandlung:
Da im Verfahren lediglich Rechtsfragen zu klären waren und der Sachverhalt aus der Aktenlage geklärt war, konnte gemäß Paragraph 24, Absatz 4, VwGVG auf die Durchführung einer mündlichen Verhandlung verzichtet werden (VwGH 19.09.2017, Ra 2017/01/0276).
Zu B) Zulässigkeit der Revision
Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.
Die Revision ist zulässig, weil Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Artikel 133, Absatz 4, B-VG zukommen. Zwar handelt es sich bei der Frage, wie lange Daten unter Beachtung der Verarbeitungsgrundsätze des Artikel 5, DSGVO und unter Vornahme einer Interessensabwägung nach Artikel 6, Absatz eins, Litera f, DSGVO verwendet werden dürfen, um eine grundsätzlich nicht revisible Einzelfallentscheidung. Es fehlt aber an Rechtsprechung des Verwaltungsgerichtshofs zur Frage, welchen Grundsätzen eine solche Interessensabwägung genügen muss; insbesondere, ob und unter welchen Voraussetzungen die Vorschriften der Kapitaladäquanzverordnung als Richtschnur für die Bestimmung der zulässigen Speicherdauer von Bonitätsdaten herangezogen werden können.
ECLI:AT:BVWG:2023:W287.2243166.1.00