Gericht

Bundesverwaltungsgericht

Entscheidungsdatum

06.10.2023

Geschäftszahl

W176 2265088-1

Spruch

W176 2265088-1/10E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. NEWALD als Vorsitzenden sowie die fachkundigen Laienrichter Mag. BOGENDORFER und RAUB über die Beschwerde der XXXX , vertreten durch BAKER McKENZIE Rechtsanwälte LLP & Co KG, gegen den Bescheid der Datenschutzbehörde vom 08.11.2022, Zl. D124.1070/22, 2022-0.664.422 (Mitbeteiligte Partei: XXXX ), betreffend Verletzung im Recht auf Löschung, in nichtöffentlicher Sitzung zu Recht erkannt:Das Bundesverwaltungsgericht hat durch den Richter Mag. NEWALD als Vorsitzenden sowie die fachkundigen Laienrichter Mag. BOGENDORFER und RAUB über die Beschwerde der römisch 40 , vertreten durch BAKER McKENZIE Rechtsanwälte LLP & Co KG, gegen den Bescheid der Datenschutzbehörde vom 08.11.2022, Zl. D124.1070/22, 2022-0.664.422 (Mitbeteiligte Partei: römisch 40 ), betreffend Verletzung im Recht auf Löschung, in nichtöffentlicher Sitzung zu Recht erkannt:

A)

Der Beschwerde wird Folge gegeben und der Spruch des angefochtenen Bescheids dahingehend abgeändert, dass die Datenschutzbeschwerde der mitbeteiligten Partei als unbegründet abgewiesen wird.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.

Text

Entscheidungsgründe :

I. Verfahrensgang römisch eins. Verfahrensgang

1.           Mit Eingabe vom 05.08.2022 erhob die mitbeteiligte Partei (MP) bei der Datenschutzbehörde (belangte Behörde vor dem Bundesverwaltungsgericht) eine Datenschutzbeschwerde gegen die nunmehrige Beschwerdeführerin (BF) wegen Verletzung im Recht auf Löschung und brachte begründend zusammengefasst vor, die BF speichere vier Datensätze zu ihr, wobei einer davon ihr ehemaliges Einzelunternehmen betreffe und die anderen drei Datensätze positiv erledigt worden seien. Die BF habe der MP mitgeteilt, dass sie ihrem Antrag auf Löschung nicht nachkommen werde.

2.           Mit Erledigung vom 11.08.2022 übermittelte die belangte Behörde der BF die Datenschutzbeschwerde und forderte sie zur Beantwortung folgender Fragen auf:

„1. Wer ist aus Ihrer Sicht als datenschutzrechtlicher Verantwortlicher gemäß Art. 4 Z 7 DSGVO für die beschwerdegegenständliche Bonitätsdatenbank / Warnliste zu qualifizieren? Bitte begründen Sie ihre Ausführungen. „1. Wer ist aus Ihrer Sicht als datenschutzrechtlicher Verantwortlicher gemäß Artikel 4, Ziffer 7, DSGVO für die beschwerdegegenständliche Bonitätsdatenbank / Warnliste zu qualifizieren? Bitte begründen Sie ihre Ausführungen.

2. Wann erfolgte die Eintragung der Bonitätsdaten / des Insolvenzvermerks der beschwerdeführenden Partei in die beschwerdegegenständliche Bonitätsdatenbank / Warnliste (Angabe des Datums)?

3. Wurde die beschwerdeführende Partei als betroffene Person gemäß Art. 13 DSGVO (direkte Datenerhebung) oder gemäß Art. 14 DSGVO (indirekte Datenerhebung) über den beschwerdegegenständlichen Eintrag in die Bonitätsdatenbank / Warnliste informiert und falls ja, zu welchem konkreten Zeitpunkt (Angabe des Datums) und von wem (Angabe jener Stelle, die die Informationspflicht erfüllt hat)?3. Wurde die beschwerdeführende Partei als betroffene Person gemäß Artikel 13, DSGVO (direkte Datenerhebung) oder gemäß Artikel 14, DSGVO (indirekte Datenerhebung) über den beschwerdegegenständlichen Eintrag in die Bonitätsdatenbank / Warnliste informiert und falls ja, zu welchem konkreten Zeitpunkt (Angabe des Datums) und von wem (Angabe jener Stelle, die die Informationspflicht erfüllt hat)?

4. Falls Frage 3 bejaht wird, werden Sie im Rahmen Ihrer Rechenschaftspflicht gemäß Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO zusätzlich aufgefordert, der Datenschutzbehörde einen Nachweis für die Erfüllung Ihrer Informationspflicht zu übermitteln.“4. Falls Frage 3 bejaht wird, werden Sie im Rahmen Ihrer Rechenschaftspflicht gemäß Artikel 5, Absatz 2 und Artikel 24, Absatz eins, DSGVO zusätzlich aufgefordert, der Datenschutzbehörde einen Nachweis für die Erfüllung Ihrer Informationspflicht zu übermitteln.“

3.           In ihrer Stellungnahme vom 23.08.2022 führte die BF im Wesentlichen aus, es treffe zu, dass sie drei Zahlungserfahrungsdaten zur MP verarbeite. Eine weitere Zahlungserfahrung betreffend das Unternehmen der MP sei kulanzhalber gelöscht und die MP darüber am 08.08.2022 informiert worden.

Zum Recht auf Löschung wurde ausgeführt, dass datenschutzrechtliche Rechtsgrundlage der Verarbeitung bonitätsrelevanter personenbezogener Daten in der Datenbank der BF berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO seien. Die berechtigten Interessen lägen auch auf Seiten Dritter vor, da der Zweck der Datenverarbeitung durch die BF darin bestehe, jenen Unternehmen einen Zugriff auf die Daten zu ermöglichen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko – etwa bei der Lieferung ihrer Waren oder Dienstleistungen – eingehen (z.B. Lieferung auf offene Rechnung). Insbesondere für diese Unternehmen, die gegenüber ihren Vertragspartnern in Vorleistung treten, sei es essentiell die Zahlungsmoral ihrer potentiellen Vertragspartner einschätzen zu können. Abfragen in der Datenbank der BF seien dabei ein wesentliches Mittel zur Erlangung dieser Informationen. Die Rechtmäßigkeit der Verarbeitung dieser Daten hänge folglich nicht von der Einwilligung eines Betroffenen ab. Die MP habe die grundsätzliche Richtigkeit der drei weiterhin vorliegenden Zahlungserfahrungen nicht bestritten. Die MP stütze ihr Löschbegehren lediglich darauf, dass die weiterhin gespeicherten Zahlungserfahrungen bereits positiv geklärt worden seien. Die „Eröffnung“ einer Forderung und die Meldung derselben an die BF durch ein Inkassobüro erfolge erst, nachdem die betroffene Person dreimal erfolglos gemahnt worden und daher ein fortgesetzter, qualifizierter Zahlungsverzug eingetreten sei. Das Datum der Eröffnung der Forderung liege daher für gewöhnlich Monate nach dem Datum des Eintritts der Fälligkeit der Forderung. Wenn die MP die Zahlungserfahrungsdaten sohin von Inkassounternehmen erhalte, befinde sie sich bereits in fortbestehendem, qualifizierten Zahlungsverzug. Um ein sachlich richtiges und vollständiges Bild der zu einer Person gespeicherten, bonitätsrelevanten Daten zu ermitteln und damit dem Grundsatz der Datenrichtigkeit nach Art. 5 Abs. 1 lit. d DSGVO Genüge zu tun, sei es daher wichtig, dass auch bereits bezahlte Forderungen in der Datenbank der BF verblieben. Die Wahrscheinlichkeit künftiger Zahlungsausfälle sei statistisch signifikant erhöht, sobald es in der Vergangenheit zu einem oder mehreren Zahlungsausfällen gekommen sei. Art. 5 Abs. 1 lit. d DSGVO erkenne die Datenrichtigkeit als einen elementaren Grundsatz des Datenschutzes an. Datenrichtigkeit könne jedoch nur dann vorliegen, wenn sämtliche richtige verfügbare Daten, die für die Bonitätsbeurteilung relevant seien, verarbeitet werden. Würde die BF dem Ansuchen der MP vollumfänglich nachkommen und sämtliche verfahrensgegenständliche Forderungen löschen, hätte dies ein verzerrtes und unrichtiges Bild über die Bonität der MP zur Folge: Kunden der BF würden im Rahmen von Datenabfragen aus der Datenbank der BF die Information erhalten, dass zur MP keine Zahlungserfahrungsdaten gespeichert seien. Die MP würde daher dieselbe Bonitätsbeurteilung erhalten wie eine Person, die ihre Schulden stets fristgerecht beglichen habe. Die BF würde ihren Kunden daher jene Zahlungserfahrungen, auf die es schließlich in der Bonitätsbeurteilung ankommen, verschweigen. Dadurch würde im wirtschaftlichen Verkehr mit Unternehmen, die gegenüber der BF in Vorleistung träten, der Eindruck einer besseren Bonität entstehen, was nicht den Tatsachen entspreche. Wie bereits aus der Datenschutzbeschwerde hervorgehe, seien mehrere Forderungen der MP erst nach mehrmaliger Mahnung und Betreibung durch Inkassoinstitute beglichen worden. In einem Fall seien Betreibungsmaßnahmen durch einen Rechtsanwalt notwendig gewesen. Den hinter diesen Forderungen stehenden Gläubigern sei dadurch – zumindest temporär – ein enormer finanzieller Schaden entstanden. Durch dieses säumige Zahlungsverhalten seien die Gläubiger der MP weiters gezwungen gewesen, aufwendige Betreibungsmaßnahmen zu setzen. Würde die BF die verfahrensgegenständlichen Zahlungserfahrungen löschen und diesen Umstand somit bei der Darstellung der Bonität der MP verschweigen, bestehe in letzter Konsequenz die Gefahr, dass den in Vorleistung tretenden Unternehmen, die mit der MP kontrahieren und denen das Vorliegen der verfahrensgegenständlichen Zahlungserfahrungen vorenthalten werde, ebenfalls ein enormer Schaden aus potenziell eintretenden Zahlungsausfällen zugefügt werde oder sie zumindest einem aufwendigen Betreibungsprozess ausgesetzt werden würden. Deren Interessen würden dadurch unzumutbar beeinträchtigt werden. Die drei weiterhin gespeicherten Zahlungserfahrungen hätten aufgrund ihrer Relevanz für die gegenständlichen Zwecke in der Datenbank der BF zu verbleiben. Die Forderungen seien erst 2019 bzw. 2020 positiv erledigt (d.h. bezahlt) worden, nachdem dies mehrere Monate bis zu über drei Jahren unberechtigt ausgehaftet hätten. Im Hinblick auf die Speicherdauer stützt sich die BF auf bestätigte Rechtsprechung des Bundesverwaltungsgerichts, wonach unter Berücksichtigung der EU-Kapitaladäquanzverordnung eine Speicherdauer von mindestens fünf Jahren zulässig sei. Die drei zur MP weiterhin vorliegenden Zahlungserfahrungen hätten erst am 29.04.2019, am 27.11.2019 und am 31.07.2020 positiv erledigt werden können, nachdem diese über mehrere Monate bis zu über drei Jahren unberichtigt ausgehaftet hätten. Der Oberste Gerichtshof (OGH) habe weiters ausgesprochen, dass sogar eine zehnjährige Speicherung von Zahlungserfahrungsdateien zulässig sei. Im Ergebnis sei damit nach nunmehr ständiger Rechtsprechung von einer zulässigen Speicherdauer von mindestens fünf Jahren ab Erledigung der Forderung auszugehen. Auch sei die Zusammenschau mehrerer Forderungseinträge bedeutsam, als sie Rückschlüsse auf das vergangene Zahlungsverhalten der MP zulasse. Zudem handle es sich um Forderungen, die über eine enorme Dauer – (betreffend eine Forderung) bis zu über drei Jahren bis zur Begleichung – ausgehaftet hätten. Da die Speicherung und Verarbeitung der Daten zur MP zweckkonform auf einer Rechtsgrundlage erfolgt sei und die Verarbeitung der verbleibenden Zahlungserfahrungen innerhalb eines als für die Verarbeitungstätigkeit als erforderlich und sinnvoll zu erachtenden fünfjährigen Mindest-Speicherzeitraums ab Erledigung der Forderung liege, sei eine Löschung der verbleibenden Zahlungserfahrungsdaten bis dato nicht erfolgt. Ferner hätte selbst eine – hier jedenfalls nicht vorliegende und nicht vorgebrachte – Verletzung der Informationspflicht keine Rechtswidrigkeit der Verarbeitung bzw. Pflicht zur Löschung zur Folge.Zum Recht auf Löschung wurde ausgeführt, dass datenschutzrechtliche Rechtsgrundlage der Verarbeitung bonitätsrelevanter personenbezogener Daten in der Datenbank der BF berechtigte Interessen nach Artikel 6, Absatz eins, Litera f, DSGVO seien. Die berechtigten Interessen lägen auch auf Seiten Dritter vor, da der Zweck der Datenverarbeitung durch die BF darin bestehe, jenen Unternehmen einen Zugriff auf die Daten zu ermöglichen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko – etwa bei der Lieferung ihrer Waren oder Dienstleistungen – eingehen (z.B. Lieferung auf offene Rechnung). Insbesondere für diese Unternehmen, die gegenüber ihren Vertragspartnern in Vorleistung treten, sei es essentiell die Zahlungsmoral ihrer potentiellen Vertragspartner einschätzen zu können. Abfragen in der Datenbank der BF seien dabei ein wesentliches Mittel zur Erlangung dieser Informationen. Die Rechtmäßigkeit der Verarbeitung dieser Daten hänge folglich nicht von der Einwilligung eines Betroffenen ab. Die MP habe die grundsätzliche Richtigkeit der drei weiterhin vorliegenden Zahlungserfahrungen nicht bestritten. Die MP stütze ihr Löschbegehren lediglich darauf, dass die weiterhin gespeicherten Zahlungserfahrungen bereits positiv geklärt worden seien. Die „Eröffnung“ einer Forderung und die Meldung derselben an die BF durch ein Inkassobüro erfolge erst, nachdem die betroffene Person dreimal erfolglos gemahnt worden und daher ein fortgesetzter, qualifizierter Zahlungsverzug eingetreten sei. Das Datum der Eröffnung der Forderung liege daher für gewöhnlich Monate nach dem Datum des Eintritts der Fälligkeit der Forderung. Wenn die MP die Zahlungserfahrungsdaten sohin von Inkassounternehmen erhalte, befinde sie sich bereits in fortbestehendem, qualifizierten Zahlungsverzug. Um ein sachlich richtiges und vollständiges Bild der zu einer Person gespeicherten, bonitätsrelevanten Daten zu ermitteln und damit dem Grundsatz der Datenrichtigkeit nach Artikel 5, Absatz eins, Litera d, DSGVO Genüge zu tun, sei es daher wichtig, dass auch bereits bezahlte Forderungen in der Datenbank der BF verblieben. Die Wahrscheinlichkeit künftiger Zahlungsausfälle sei statistisch signifikant erhöht, sobald es in der Vergangenheit zu einem oder mehreren Zahlungsausfällen gekommen sei. Artikel 5, Absatz eins, Litera d, DSGVO erkenne die Datenrichtigkeit als einen elementaren Grundsatz des Datenschutzes an. Datenrichtigkeit könne jedoch nur dann vorliegen, wenn sämtliche richtige verfügbare Daten, die für die Bonitätsbeurteilung relevant seien, verarbeitet werden. Würde die BF dem Ansuchen der MP vollumfänglich nachkommen und sämtliche verfahrensgegenständliche Forderungen löschen, hätte dies ein verzerrtes und unrichtiges Bild über die Bonität der MP zur Folge: Kunden der BF würden im Rahmen von Datenabfragen aus der Datenbank der BF die Information erhalten, dass zur MP keine Zahlungserfahrungsdaten gespeichert seien. Die MP würde daher dieselbe Bonitätsbeurteilung erhalten wie eine Person, die ihre Schulden stets fristgerecht beglichen habe. Die BF würde ihren Kunden daher jene Zahlungserfahrungen, auf die es schließlich in der Bonitätsbeurteilung ankommen, verschweigen. Dadurch würde im wirtschaftlichen Verkehr mit Unternehmen, die gegenüber der BF in Vorleistung träten, der Eindruck einer besseren Bonität entstehen, was nicht den Tatsachen entspreche. Wie bereits aus der Datenschutzbeschwerde hervorgehe, seien mehrere Forderungen der MP erst nach mehrmaliger Mahnung und Betreibung durch Inkassoinstitute beglichen worden. In einem Fall seien Betreibungsmaßnahmen durch einen Rechtsanwalt notwendig gewesen. Den hinter diesen Forderungen stehenden Gläubigern sei dadurch – zumindest temporär – ein enormer finanzieller Schaden entstanden. Durch dieses säumige Zahlungsverhalten seien die Gläubiger der MP weiters gezwungen gewesen, aufwendige Betreibungsmaßnahmen zu setzen. Würde die BF die verfahrensgegenständlichen Zahlungserfahrungen löschen und diesen Umstand somit bei der Darstellung der Bonität der MP verschweigen, bestehe in letzter Konsequenz die Gefahr, dass den in Vorleistung tretenden Unternehmen, die mit der MP kontrahieren und denen das Vorliegen der verfahrensgegenständlichen Zahlungserfahrungen vorenthalten werde, ebenfalls ein enormer Schaden aus potenziell eintretenden Zahlungsausfällen zugefügt werde oder sie zumindest einem aufwendigen Betreibungsprozess ausgesetzt werden würden. Deren Interessen würden dadurch unzumutbar beeinträchtigt werden. Die drei weiterhin gespeicherten Zahlungserfahrungen hätten aufgrund ihrer Relevanz für die gegenständlichen Zwecke in der Datenbank der BF zu verbleiben. Die Forderungen seien erst 2019 bzw. 2020 positiv erledigt (d.h. bezahlt) worden, nachdem dies mehrere Monate bis zu über drei Jahren unberechtigt ausgehaftet hätten. Im Hinblick auf die Speicherdauer stützt sich die BF auf bestätigte Rechtsprechung des Bundesverwaltungsgerichts, wonach unter Berücksichtigung der EU-Kapitaladäquanzverordnung eine Speicherdauer von mindestens fünf Jahren zulässig sei. Die drei zur MP weiterhin vorliegenden Zahlungserfahrungen hätten erst am 29.04.2019, am 27.11.2019 und am 31.07.2020 positiv erledigt werden können, nachdem diese über mehrere Monate bis zu über drei Jahren unberichtigt ausgehaftet hätten. Der Oberste Gerichtshof (OGH) habe weiters ausgesprochen, dass sogar eine zehnjährige Speicherung von Zahlungserfahrungsdateien zulässig sei. Im Ergebnis sei damit nach nunmehr ständiger Rechtsprechung von einer zulässigen Speicherdauer von mindestens fünf Jahren ab Erledigung der Forderung auszugehen. Auch sei die Zusammenschau mehrerer Forderungseinträge bedeutsam, als sie Rückschlüsse auf das vergangene Zahlungsverhalten der MP zulasse. Zudem handle es sich um Forderungen, die über eine enorme Dauer – (betreffend eine Forderung) bis zu über drei Jahren bis zur Begleichung – ausgehaftet hätten. Da die Speicherung und Verarbeitung der Daten zur MP zweckkonform auf einer Rechtsgrundlage erfolgt sei und die Verarbeitung der verbleibenden Zahlungserfahrungen innerhalb eines als für die Verarbeitungstätigkeit als erforderlich und sinnvoll zu erachtenden fünfjährigen Mindest-Speicherzeitraums ab Erledigung der Forderung liege, sei eine Löschung der verbleibenden Zahlungserfahrungsdaten bis dato nicht erfolgt. Ferner hätte selbst eine – hier jedenfalls nicht vorliegende und nicht vorgebrachte – Verletzung der Informationspflicht keine Rechtswidrigkeit der Verarbeitung bzw. Pflicht zur Löschung zur Folge.

Überdies ging die BF auf die Frage einer Verletzung im Recht auf Information ein.
4. Mit Eingabe vom 15.09.2022 replizierte die MP im Wesentlichen, sie finde es dubios, dass Daten fünf Jahre lang gespeichert würden. Bis zum Zeitpunkt einer Kreditanfrage bei ihrer Bank habe die MP von der BF nicht gewusst. Es könne nicht sein, dass Daten so lange gespeichert werden; bei Personen, die in Privatkonkurs gingen, werde nach sieben Jahren alles gelöscht. Nach der DSGVO sei die Speicherung von allgemeinen Daten von Personen ohne deren Wissen rechtswidrig. Die MP wolle, dass ihre Daten gelöscht werden. Sie kenne kein Unternehmen, das nicht in Zahlungsverzug sei; Derartiges passiere leider. Außerdem sei sie in den letzten Jahren öfters umgezogen und habe ihre Post somit oft nicht erhalten. Sie habe aber alles beglichen und wolle, dass die BF ihre Daten lösche, damit sie ihre Firma weiter aufbauen könne. Dies sei nur mit einem Kredit möglich, den die MP als Jungunternehmerin brauche. Die Daten seien ohne ihr Wissen und Wollen gespeichert worden.

5. Mit dem bekämpften Bescheid vom 08.11.2022 gab die belangte Behörde der Datenschutzbeschwerde der MP statt und stellte fest, dass die BF die MP in ihrem Recht auf Löschung verletzt habe, indem sie dem Antrag der MP auf Löschung ihrer negativen Zahlungserfahrungen über EUR 23,98, EUR 1.036,73 sowie EUR 35,95 nicht entsprochen habe (Spruchpunkt 1.). Ferner wurde der BF aufgetragen, binnen zwei Wochen bei sonstiger Exekution die genannten Einträge der MP über negative Zahlungserfahrungen von EUR 23,98, EUR 1.036,73 sowie EUR 35,95 zu löschen (Spruchpunkt 2.).

Begründend wurde im Wesentlichen ausgeführt, dass die BF den Nachweis für die Einhaltung der Grundsätze und damit der Rechtmäßigkeit der Verarbeitung nicht erbracht habe. Denn es könne nicht festgestellt werden, ob betreffend der verbleibenden beschwerdegegenständlichen Zahlungserfahrungen (die Daten bezüglich der Forderung iHv EUR 1.865,99, eröffnet am 31.10.2018, beglichen am 02.10.2019, sei inzwischen gelöscht worden) hinreichende Informationsschreiben ergangen seien. Die BF habe nämlich trotz Aufforderung weder die konkreten an die MP ergangenen Informationsschreiben betreffend der Einmeldung der gegenständlichen Zahlungserfahrungen noch sonstige Unterlagen vorgelegt, aus denen die tatsächliche Zustellung der Schreiben an die MP hervorgehe, obwohl die BF gemäß Art. 5 Abs. 2 DSGVO dazu verpflichtet wäre. In Ermangelung einer nachweislichen tatsächlichen Vorab-Information der MP über die gegenständliche Verarbeitung der Zahlungserfahrungen könne der informationelle Gehalt der Mahnschreiben somit dahingestellt bleiben und erübrige sich in dieser Konstellation eine nähere Prüfung, ob die Informationsschreiben den vom OGH aufgestellten Anforderungen genügten. Soweit die BF vorbringe, dass sie zum bzw. vor dem Zeitpunkt der Eintragung eine entsprechende (allgemeine) Information in der Datenschutzerklärung auf ihre Website gestellt gehabe habe, sei daraus mit Blick auf Art. 12 DSGVO nichts für die MP zu gewinnen. Begründend wurde im Wesentlichen ausgeführt, dass die BF den Nachweis für die Einhaltung der Grundsätze und damit der Rechtmäßigkeit der Verarbeitung nicht erbracht habe. Denn es könne nicht festgestellt werden, ob betreffend der verbleibenden beschwerdegegenständlichen Zahlungserfahrungen (die Daten bezüglich der Forderung iHv EUR 1.865,99, eröffnet am 31.10.2018, beglichen am 02.10.2019, sei inzwischen gelöscht worden) hinreichende Informationsschreiben ergangen seien. Die BF habe nämlich trotz Aufforderung weder die konkreten an die MP ergangenen Informationsschreiben betreffend der Einmeldung der gegenständlichen Zahlungserfahrungen noch sonstige Unterlagen vorgelegt, aus denen die tatsächliche Zustellung der Schreiben an die MP hervorgehe, obwohl die BF gemäß Artikel 5, Absatz 2, DSGVO dazu verpflichtet wäre. In Ermangelung einer nachweislichen tatsächlichen Vorab-Information der MP über die gegenständliche Verarbeitung der Zahlungserfahrungen könne der informationelle Gehalt der Mahnschreiben somit dahingestellt bleiben und erübrige sich in dieser Konstellation eine nähere Prüfung, ob die Informationsschreiben den vom OGH aufgestellten Anforderungen genügten. Soweit die BF vorbringe, dass sie zum bzw. vor dem Zeitpunkt der Eintragung eine entsprechende (allgemeine) Information in der Datenschutzerklärung auf ihre Website gestellt gehabe habe, sei daraus mit Blick auf Artikel 12, DSGVO nichts für die MP zu gewinnen.

6. Gegen diesen Bescheid erhob die BF die gegenständlich vorliegende Beschwerde, in der sie im Wesentlichen Folgendes vorbringt:

§ 24 Abs. 4 DSG normiere eine absolute Präklusionsfrist von drei Jahren „nachdem das Ereignis behaupteter Maßen stattgefunden hat“. Das behauptete Ereignis bestehe darin, dass die MP vor den Übermittlungen der streitgegenständlichen Zahlungserfahrungsdaten an die BF am 15.03.2016, 20.07.2018 und am 03.02.2020 (die sog. „Einmeldungen“) nicht hinreichend informiert bzw. gar „gewarnt“ worden wäre. Die dreijährige Präklusionsfrist des § 24 Abs. 4 DSG sei daher hinsichtlich der Übermittlung vom 15.03.2016 spätestens am 15.03.2019 und hinsichtlich der Übermittlung vom 20.07.2018 spätestens am 20.07.2021 abgelaufen. Die datenschutzrechtliche Beschwerde der MP sei daher gemäß § 24 Abs. 4 Satz 2 DSG in diesem Umfang als verfristet zurückzuweisen. Paragraph 24, Absatz 4, DSG normiere eine absolute Präklusionsfrist von drei Jahren „nachdem das Ereignis behaupteter Maßen stattgefunden hat“. Das behauptete Ereignis bestehe darin, dass die MP vor den Übermittlungen der streitgegenständlichen Zahlungserfahrungsdaten an die BF am 15.03.2016, 20.07.2018 und am 03.02.2020 (die sog. „Einmeldungen“) nicht hinreichend informiert bzw. gar „gewarnt“ worden wäre. Die dreijährige Präklusionsfrist des Paragraph 24, Absatz 4, DSG sei daher hinsichtlich der Übermittlung vom 15.03.2016 spätestens am 15.03.2019 und hinsichtlich der Übermittlung vom 20.07.2018 spätestens am 20.07.2021 abgelaufen. Die datenschutzrechtliche Beschwerde der MP sei daher gemäß Paragraph 24, Absatz 4, Satz 2 DSG in diesem Umfang als verfristet zurückzuweisen.

Die BF bringt ferner vor, es sei ständige Rechtsprechung des Bundesverwaltungsgerichts, dass die Einhaltung der Art. 12 ff DSGVO die Frage der Rechtmäßigkeit der Datenverarbeitung nicht berühre. Art. 5 DSGVO regle das „Wie“, die Art und Weise der Verarbeitung, während Art. 6 DSGVO das „Ob“, die Rechtmäßigkeit der Verarbeitung, betreffe. Diese beiden Fragen seien strikt voneinander zu trennen. Die Rechtsansicht der belangten Behörde hätte konsequenterweise zur Folge, dass jeder Verstoß gegen die Art und Weise der Verarbeitung (das „Wie“) auch eine unrechtmäßige Datenverarbeitung bedeuten würde. Dann müsste es aber in jedem Fall der berechtigten oder allenfalls sogar verpflichtenden Datenverarbeitung ausnahmslos zu einer Löschung kommen. Eine solche ausnahmslose Löschverpflichtung wäre aber systemwidrig, da Art. 17 Abs. 1 lit. d DSGVO explizit vorsehe, dass selbst bei Widerruf einer Einwilligung Daten nur dann zu löschen seien, wenn es an einer anderweitigen Rechtsgrundlage fehle (Hinweis auf BVwG 11.10.2022, W292 2257585-1; 31.05.2021, W256 2227693-1). Eine Verletzung von Informationspflichten führe nicht per se zu einer Unrechtmäßigkeit einer Datenverarbeitung. Das gelte jedenfalls auch für Informationspflichten, die die belangte Behörde offenbar aus dem Grundsatz der Verarbeitung nach Treu und Glauben ableite. Wenn aber die Verletzung ausdrücklich normierter Informationspflichten nach Art. 12 ff DSGVO schon nicht zu einer Unrechtmäßigkeit der Verarbeitung führe, so müsse dies umso mehr für Informationspflichten gelten, die nicht ausdrücklich in der DSGVO normiert seien, sondern aus dem Grundsatz der Verarbeitung nach Treu und Glauben abgeleitet werden. Eine wie von der belangten Behörde insinuierte Warn- bzw. Vorabinformationspflicht habe das Bundesverwaltungsgericht (Hinweis auf BVwG 11.10.2022, W292 2257585) explizit ausgeschlossen. Etwas Anderes ergebe sich auch nicht aus der von der belangten Behörde angeführten Entscheidung des EuGH in der Rs C-439/19, da – wie die belangte Behörde selbst festhalte – sich aus dieser Entscheidung lediglich ergebe, dass eine Verarbeitung nicht nur eine Rechtsgrundlage erfordere, sondern auch den Grundsätzen der Datenverarbeitung nach Art. 5 DSGVO entsprechen müsse. Aus dieser vom EuGH vorgenommenen Aufzählung der Erfordernisse der (i) Rechtsgrundlage und (ii) Einhaltung der Grundsätze der Datenverarbeitung folge, dass eine Missachtung eines Grundsatzes nach Art. 5 DSGVO gerade nicht die Rechtsgrundlage beseitige, widrigenfalls die vom EuGH vorgenommene Aufzählung beider Erfordernisse gar nicht erforderlich gewesen wäre. Dass eine Verletzung eines Grundsatzes der Datenverarbeitung nach Art. 5 DSGVO zum Entfall der Rechtsgrundlage nach Art. 6 DSGVO führe, sage der EuGH dort gerade nicht. Ganz unabhängig davon, ob die BF daher ihren Informations- oder Warnpflichten nachgekommen sei, sei die gegenständliche Datenverarbeitung daher rechtmäßig gewesen. Für den Fall, dass die personenbezogenen Daten nicht bei der betroffenen Person erhoben worden seien, seien die gegenüber der betroffenen Person zu erfüllenden Informationspflichten in Art. 14 DSGVO abschließend geregelt. Dies gelte ausschließlich vorbehaltlich darüber hinausgehender ausdrücklich in der DSGVO normierter Informationspflichten. Eine Warnpflicht sei ihrem Wesen nach ein Recht eines Betroffenen auf Information. Allerdings regle die DSGVO die Betroffenenrechte in Kapitel III (Art. 12ff) abschließend, sodass es systemwidrig wäre, aus einem Grundsatz der Datenverarbeitung (Kapitel II) ein neues Betroffenenrecht abzuleiten. Ferner ergebe sich aus einem Umkehrschluss aus Art. 14 Abs. 2 DSGVO, dass es die von der belangten Behörde offenbar angenommene Warnpflicht nicht gebe. Nach der Rechtsprechung bestünden die Informationspflichten nach Abs. 2 leg.cit. „nur dann […], wenn dies notwendig ist, um eine faire oder transparente Verarbeitung zu gewährleisten“. Dies bedeute, dass die sich allenfalls aus den Grundsätzen der Fairness und Transparenz ergebenden Informationspflichten in Abs. 2 leg.cit. geregelt seien. Die von der belangten Behörde noch zum DSG 2000 ergangene Rechtsprechung sei bereits deshalb nicht einschlägig, weil das DSG 2000 eine Regelung, welche mit Art. 14 Abs. 2 DSGVO vergleichbar wäre, nicht enthalten habe. Entgegen der unzutreffenden Rechtsansicht der belangten Behörde ergebe sich aus dem Grundsatz der Verarbeitung nach Treu und Glauben auch keine Warnpflicht bei Einmeldung von Zahlungserfahrungsdaten durch ein Inkassobüro an eine Kreditauskunftei. Auch sei aus der Entscheidung des OGH vom 15.12.2005, Zl. 6 Ob 275/05t, keine Warnpflicht bei Einmeldung von Zahlungserfahrungsdaten durch ein Inkassobüro an eine Kreditauskunftei abzuleiten; der dieser Entscheidung zugrundeliegende Sachverhalt habe die Warnliste der Banken betroffen und unterscheide sich grundlegend vom verfahrensgegenständlichen Sachverhalt, weshalb die zitierte Entscheidung nicht einschlägig sei. Dies entspreche auch der Auffassung des Bundesverwaltungsgerichts in seiner Entscheidung vom 11.10.2022, Zl. W292 2257585-1.Die BF bringt ferner vor, es sei ständige Rechtsprechung des Bundesverwaltungsgerichts, dass die Einhaltung der Artikel 12, ff DSGVO die Frage der Rechtmäßigkeit der Datenverarbeitung nicht berühre. Artikel 5, DSGVO regle das „Wie“, die Art und Weise der Verarbeitung, während Artikel 6, DSGVO das „Ob“, die Rechtmäßigkeit der Verarbeitung, betreffe. Diese beiden Fragen seien strikt voneinander zu trennen. Die Rechtsansicht der belangten Behörde hätte konsequenterweise zur Folge, dass jeder Verstoß gegen die Art und Weise der Verarbeitung (das „Wie“) auch eine unrechtmäßige Datenverarbeitung bedeuten würde. Dann müsste es aber in jedem Fall der berechtigten oder allenfalls sogar verpflichtenden Datenverarbeitung ausnahmslos zu einer Löschung kommen. Eine solche ausnahmslose Löschverpflichtung wäre aber systemwidrig, da Artikel 17, Absatz eins, Litera d, DSGVO explizit vorsehe, dass selbst bei Widerruf einer Einwilligung Daten nur dann zu löschen seien, wenn es an einer anderweitigen Rechtsgrundlage fehle (Hinweis auf BVwG 11.10.2022, W292 2257585-1; 31.05.2021, W256 2227693-1). Eine Verletzung von Informationspflichten führe nicht per se zu einer Unrechtmäßigkeit einer Datenverarbeitung. Das gelte jedenfalls auch für Informationspflichten, die die belangte Behörde offenbar aus dem Grundsatz der Verarbeitung nach Treu und Glauben ableite. Wenn aber die Verletzung ausdrücklich normierter Informationspflichten nach Artikel 12, ff DSGVO schon nicht zu einer Unrechtmäßigkeit der Verarbeitung führe, so müsse dies umso mehr für Informationspflichten gelten, die nicht ausdrücklich in der DSGVO normiert seien, sondern aus dem Grundsatz der Verarbeitung nach Treu und Glauben abgeleitet werden. Eine wie von der belangten Behörde insinuierte Warn- bzw. Vorabinformationspflicht habe das Bundesverwaltungsgericht (Hinweis auf BVwG 11.10.2022, W292 2257585) explizit ausgeschlossen. Etwas Anderes ergebe sich auch nicht aus der von der belangten Behörde angeführten Entscheidung des EuGH in der Rs C-439/19, da – wie die belangte Behörde selbst festhalte – sich aus dieser Entscheidung lediglich ergebe, dass eine Verarbeitung nicht nur eine Rechtsgrundlage erfordere, sondern auch den Grundsätzen der Datenverarbeitung nach Artikel 5, DSGVO entsprechen müsse. Aus dieser vom EuGH vorgenommenen Aufzählung der Erfordernisse der (i) Rechtsgrundlage und (ii) Einhaltung der Grundsätze der Datenverarbeitung folge, dass eine Missachtung eines Grundsatzes nach Artikel 5, DSGVO gerade nicht die Rechtsgrundlage beseitige, widrigenfalls die vom EuGH vorgenommene Aufzählung beider Erfordernisse gar nicht erforderlich gewesen wäre. Dass eine Verletzung eines Grundsatzes der Datenverarbeitung nach Artikel 5, DSGVO zum Entfall der Rechtsgrundlage nach Artikel 6, DSGVO führe, sage der EuGH dort gerade nicht. Ganz unabhängig davon, ob die BF daher ihren Informations- oder Warnpflichten nachgekommen sei, sei die gegenständliche Datenverarbeitung daher rechtmäßig gewesen. Für den Fall, dass die personenbezogenen Daten nicht bei der betroffenen Person erhoben worden seien, seien die gegenüber der betroffenen Person zu erfüllenden Informationspflichten in Artikel 14, DSGVO abschließend geregelt. Dies gelte ausschließlich vorbehaltlich darüber hinausgehender ausdrücklich in der DSGVO normierter Informationspflichten. Eine Warnpflicht sei ihrem Wesen nach ein Recht eines Betroffenen auf Information. Allerdings regle die DSGVO die Betroffenenrechte in Kapitel römisch III (Artikel 12 f, f,) abschließend, sodass es systemwidrig wäre, aus einem Grundsatz der Datenverarbeitung (Kapitel römisch II) ein neues Betroffenenrecht abzuleiten. Ferner ergebe sich aus einem Umkehrschluss aus Artikel 14, Absatz 2, DSGVO, dass es die von der belangten Behörde offenbar angenommene Warnpflicht nicht gebe. Nach der Rechtsprechung bestünden die Informationspflichten nach Absatz 2, leg.cit. „nur dann […], wenn dies notwendig ist, um eine faire oder transparente Verarbeitung zu gewährleisten“. Dies bedeute, dass die sich allenfalls aus den Grundsätzen der Fairness und Transparenz ergebenden Informationspflichten in Absatz 2, leg.cit. geregelt seien. Die von der belangten Behörde noch zum DSG 2000 ergangene Rechtsprechung sei bereits deshalb nicht einschlägig, weil das DSG 2000 eine Regelung, welche mit Artikel 14, Absatz 2, DSGVO vergleichbar wäre, nicht enthalten habe. Entgegen der unzutreffenden Rechtsansicht der belangten Behörde ergebe sich aus dem Grundsatz der Verarbeitung nach Treu und Glauben auch keine Warnpflicht bei Einmeldung von Zahlungserfahrungsdaten durch ein Inkassobüro an eine Kreditauskunftei. Auch sei aus der Entscheidung des OGH vom 15.12.2005, Zl. 6 Ob 275/05t, keine Warnpflicht bei Einmeldung von Zahlungserfahrungsdaten durch ein Inkassobüro an eine Kreditauskunftei abzuleiten; der dieser Entscheidung zugrundeliegende Sachverhalt habe die Warnliste der Banken betroffen und unterscheide sich grundlegend vom verfahrensgegenständlichen Sachverhalt, weshalb die zitierte Entscheidung nicht einschlägig sei. Dies entspreche auch der Auffassung des Bundesverwaltungsgerichts in seiner Entscheidung vom 11.10.2022, Zl. W292 2257585-1.

7. Die belangte Behörde legte die Beschwerde samt den bezughabenden Verwaltungsunterlagen dem Bundesverwaltungsgericht vor, stellte den Antrag, die Beschwerde abzuweisen und erstattete zum Beschwerdevorbringen der BF folgende Stellungnahme:

Der maßgebliche Zeitpunkt für den Beginn der Präklusionsfrist sei die Ablehnung des Löschantrages durch die BF und somit der 27.07.2022. Die Beschwerde wegen Verletzung im Recht auf Löschung vom 05.08.2022 sei somit innerhalb der Frist des § 24 Abs. 4 DSG eingebracht worden. Seit wann die Datenverarbeitung über die MP bestehe bzw. die – nach Ansicht der Behörde unzureichende – Information des Inkassobüros erfolgt sei, sei für die Präklusionsfrist hingegen nicht ausschlaggebend.Der maßgebliche Zeitpunkt für den Beginn der Präklusionsfrist sei die Ablehnung des Löschantrages durch die BF und somit der 27.07.2022. Die Beschwerde wegen Verletzung im Recht auf Löschung vom 05.08.2022 sei somit innerhalb der Frist des Paragraph 24, Absatz 4, DSG eingebracht worden. Seit wann die Datenverarbeitung über die MP bestehe bzw. die – nach Ansicht der Behörde unzureichende – Information des Inkassobüros erfolgt sei, sei für die Präklusionsfrist hingegen nicht ausschlaggebend.

Die Grundsätze der Datenverarbeitung fänden sich in Art. 5 DSGVO, der Nachfolgeregelung von Art. 6 der RL 95/46, wobei der europäische Gesetzgeber in Art. 5 Abs. 1 lit. a DSGVO durch den Zusatz „Personenbezogene Daten müssen auf rechtmäßige Weise nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘)“, die Notwendigkeit der Transparenz als eigenständigen Grundsatz noch einmal eigens hervorgehoben habe. Jedenfalls könne, da Art. 5 DSGVO nur unwesentlich von Art. 6 der RL 95/46/EG abweiche, auf die dazu ergangene Rechtsprechung des EuGH – aber auch auf jene des Verwaltungsgerichtshofs und des OGH zu § 6 DSG 2000 – verwiesen werden. Nach der gefestigten Rechtsprechung des EuGH sei es erforderlich, dass sich eine Datenverarbeitung nicht nur auf einen der Gründen nach Art. 7 der RL 95/46/EG (umgesetzt durch § 8 DSG 2000) – nunmehr Art. 6 DSGVO – stützen können müsse; es müssten vielmehr grundsätzlich alle Grundsätze nach Art. 6 der RL 95/46/EG – nunmehr Art. 5 DSGVO eingehalten werden. Dabei führt die belangte Behörde als Beispiel das Urteil des EuGH vom 11.12.2019, Zl. C-708/18, Rz 36 an. Ferner stünden Art. 5 Abs. 1 lit. a und die Art. 13 und 14 DSGVO in einem trennbaren Zusammenhang zueinander. Der EuGH messe in seiner noch zur RL 95/46/EG ergangenen Rechtsprechung den Informationspflichten große Bedeutung bei, indem er ausführe, dass „dieses Erfordernis einer Unterrichtung der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen umso wichtiger ist, als es die Voraussetzung dafür schafft, dass sie ihr in Art. 12 der Richtlinie 95/46 festgelegtes Auskunftsrecht und Berichtigungsrecht in Bezug auf die verarbeiteten Daten und ihr in Art. 14 der Richtlinie geregeltes Recht, der Verarbeitung der Daten zu widersprechen, ausüben können“ (Hinweis auf EuGH 01.10.2015, C-201/14, Rz 33). Demzufolge sei es, um dem Grundsatz der Datenverarbeitung nach Treu und Glauben zu entsprechen, erforderlich, eine betroffenen Person über Übermittlungen an andere zu unterrichten (Rz 34). Das bedeute, dass auch der EuGH einen untrennbaren Zusammenhang zwischen (nunmehr) Art. 5 Abs. 1 lit. a und Art. 13 und Art. 14 DSGVO sehe. Dies gehe auch eindeutig aus den Leitlinien des Europäischen Datenschutzes für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01, hervor. Es sei gemäß Art. 5 Abs. 2 DSGVO Sache des Verantwortlichen, nachzuweisen, die betroffenen Person ausreichend informiert zu haben. Diesen Nachweis der ausreichenden Information habe die BF nicht erbringen können. Im vorliegenden Fall stelle sich die Frage, ob die MP von der BF ausreichend darüber informiert worden sei, dass ihre personenbezogenen Daten für Zwecke der Bonitätsbewertung in eine von der BF betriebenen Datenverarbeitung aufgenommen werden, was nach Ansicht der belangten Behörde aufgrund folgender Erwägungen zu verneinen sei: Soweit die BF auf die Entscheidung des Bundesverwaltungsgerichts vom 11.10.2022, W292 2257585-1 (wonach die Rechtsprechung des OGH im Anwendungsbereich der DSGVO nicht heranzuziehen sei, weil die Begriffe der DSGVO „autonom“ auszulegen sei) verweise, übersehe das Bundesverwaltungsgericht, dass die zitierte Rechtsprechung des OGH im Grunde auf Bestimmungen der RL 95/46/EG fuße, nämlich deren Art. 6 und 7, welche sich nur unwesentlich von Art. 5 und Art. 6 DSGVO unterschieden. In diesem Erkenntnis werde nicht schlüssig dargelegt, weshalb die Rechtsprechung des OGH zu RL 95/46/EG im Anwendungsbereich der DSGVO nicht herangezogen werden könne. Die zitierte Rechtsprechung des OGH könne sehr wohl nach wie vor als Richtschnur für eine Beurteilung der Frage, ob die Aufnahme personenbezogener Daten in eine Datenbank, welche dazu diene, die Bonität einer betroffenen Person zu beurteilen, herangezogen werden.Die Grundsätze der Datenverarbeitung fänden sich in Artikel 5, DSGVO, der Nachfolgeregelung von Artikel 6, der RL 95/46, wobei der europäische Gesetzgeber in Artikel 5, Absatz eins, Litera a, DSGVO durch den Zusatz „Personenbezogene Daten müssen auf rechtmäßige Weise nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘)“, die Notwendigkeit der Transparenz als eigenständigen Grundsatz noch einmal eigens hervorgehoben habe. Jedenfalls könne, da Artikel 5, DSGVO nur unwesentlich von Artikel 6, der RL 95/46/EG abweiche, auf die dazu ergangene Rechtsprechung des EuGH – aber auch auf jene des Verwaltungsgerichtshofs und des OGH zu Paragraph 6, DSG 2000 – verwiesen werden. Nach der gefestigten Rechtsprechung des EuGH sei es erforderlich, dass sich eine Datenverarbeitung nicht nur auf einen der Gründen nach Artikel 7, der RL 95/46/EG (umgesetzt durch Paragraph 8, DSG 2000) – nunmehr Artikel 6, DSGVO – stützen können müsse; es müssten vielmehr grundsätzlich alle Grundsätze nach Artikel 6, der RL 95/46/EG – nunmehr Artikel 5, DSGVO eingehalten werden. Dabei führt die belangte Behörde als Beispiel das Urteil des EuGH vom 11.12.2019, Zl. C-708/18, Rz 36 an. Ferner stünden Artikel 5, Absatz eins, Litera a und die Artikel 13 und 14 DSGVO in einem trennbaren Zusammenhang zueinander. Der EuGH messe in seiner noch zur RL 95/46/EG ergangenen Rechtsprechung den Informationspflichten große Bedeutung bei, indem er ausführe, dass „dieses Erfordernis einer Unterrichtung der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen umso wichtiger ist, als es die Voraussetzung dafür schafft, dass sie ihr in Artikel 12, der Richtlinie 95/46 festgelegtes Auskunftsrecht und Berichtigungsrecht in Bezug auf die verarbeiteten Daten und ihr in Artikel 14, der Richtlinie geregeltes Recht, der Verarbeitung der Daten zu widersprechen, ausüben können“ (Hinweis auf EuGH 01.10.2015, C-201/14, Rz 33). Demzufolge sei es, um dem Grundsatz der Datenverarbeitung nach Treu und Glauben zu entsprechen, erforderlich, eine betroffenen Person über Übermittlungen an andere zu unterrichten (Rz 34). Das bedeute, dass auch der EuGH einen untrennbaren Zusammenhang zwischen (nunmehr) Artikel 5, Absatz eins, Litera a und Artikel 13 und Artikel 14, DSGVO sehe. Dies gehe auch eindeutig aus den Leitlinien des Europäischen Datenschutzes für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01, hervor. Es sei gemäß Artikel 5, Absatz 2, DSGVO Sache des Verantwortlichen, nachzuweisen, die betroffenen Person ausreichend informiert zu haben. Diesen Nachweis der ausreichenden Information habe die BF nicht erbringen können. Im vorliegenden Fall stelle sich die Frage, ob die MP von der BF ausreichend darüber informiert worden sei, dass ihre personenbezogenen Daten für Zwecke der Bonitätsbewertung in eine von der BF betriebenen Datenverarbeitung aufgenommen werden, was nach Ansicht der belangten Behörde aufgrund folgender Erwägungen zu verneinen sei: Soweit die BF auf die Entscheidung des Bundesverwaltungsgerichts vom 11.10.2022, W292 2257585-1 (wonach die Rechtsprechung des OGH im Anwendungsbereich der DSGVO nicht heranzuziehen sei, weil die Begriffe der DSGVO „autonom“ auszulegen sei) verweise, übersehe das Bundesverwaltungsgericht, dass die zitierte Rechtsprechung des OGH im Grunde auf Bestimmungen der RL 95/46/EG fuße, nämlich deren Artikel 6 und 7, welche sich nur unwesentlich von Artikel 5 und Artikel 6, DSGVO unterschieden. In diesem Erkenntnis werde nicht schlüssig dargelegt, weshalb die Rechtsprechung des OGH zu RL 95/46/EG im Anwendungsbereich der DSGVO nicht herangezogen werden könne. Die zitierte Rechtsprechung des OGH könne sehr wohl nach wie vor als Richtschnur für eine Beurteilung der Frage, ob die Aufnahme personenbezogener Daten in eine Datenbank, welche dazu diene, die Bonität einer betroffenen Person zu beurteilen, herangezogen werden.

8. In der Folge übermittelte das Bundesverwaltungsgericht die Beschwerde sowie die Stellungnahme der belangten Behörde den Verfahrensparteien und gab Gelegenheit zur Stellungnahme.

9. Mit Schriftsatz von 14.07.2023 replizierte die BF, wobei sie zusammengefasst Folgendes ausführte: Die MP habe nie behauptet, die Schreiben der Inkassoinstitute nicht erhalten zu haben, und habe auch nicht vorgebracht, dass sie nicht ausreichend informiert worden sei. Sie stehe lediglich auf den Standpunkt, dass die BF keine Zahlungserfahrungsdaten mehr verarbeiten dürfe, weil sie die durch die Inkassoinstitute betriebenen Forderungen bereits beglichen habe. Überdies legte die MP vom 31.03.2016, vom 20.07.2018 und vom 26.02.2020 datierende Informationsschreiben vor, die seitens der Inkassounternehmen an die MP ergangen seien. Schließlich wiederholte die BF ihr Vorbringen, dass die Eintragungen in die Datenbank das beschwerende Ereignis iSd § 24 Abs. 4 DSG sei, weshalb die Präklusionsfrist bereits abgelaufen sei.9. Mit Schriftsatz von 14.07.2023 replizierte die BF, wobei sie zusammengefasst Folgendes ausführte: Die MP habe nie behauptet, die Schreiben der Inkassoinstitute nicht erhalten zu haben, und habe auch nicht vorgebracht, dass sie nicht ausreichend informiert worden sei. Sie stehe lediglich auf den Standpunkt, dass die BF keine Zahlungserfahrungsdaten mehr verarbeiten dürfe, weil sie die durch die Inkassoinstitute betriebenen Forderungen bereits beglichen habe. Überdies legte die MP vom 31.03.2016, vom 20.07.2018 und vom 26.02.2020 datierende Informationsschreiben vor, die seitens der Inkassounternehmen an die MP ergangen seien. Schließlich wiederholte die BF ihr Vorbringen, dass die Eintragungen in die Datenbank das beschwerende Ereignis iSd Paragraph 24, Absatz 4, DSG sei, weshalb die Präklusionsfrist bereits abgelaufen sei.

10. Diese Replik übermittelte das Bundesverwaltungsgericht in der Folge der belangten Behörde sowie der MP und gab zugleich Gelegenheit zur Stellungnahme.

11. Mit Schriftsatz vom 20.09.2023 nahm die belangte Behörde zur Replik dahingehend Stellung, dass sie auf das Urteil des EuGH vom 04.01.2023, Zl. C‑252/21, verwies wonach gemäß Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten u. a. für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Zum Vorbringen der Verfristung hielt sie fest, dass das beschwerende Ereignis iSd § 24 Abs. 4 DSG nicht auf das Datum der Eintragung begrenzt zu sehen sei, sondern durch die fortdauernde Verarbeitung in Folge verweigerter Löschung der gegenständlichen Einträge durch die BF konstituiert werde.11. Mit Schriftsatz vom 20.09.2023 nahm die belangte Behörde zur Replik dahingehend Stellung, dass sie auf das Urteil des EuGH vom 04.01.2023, Zl. C‑252/21, verwies wonach gemäß Artikel 5, DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten u. a. für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Zum Vorbringen der Verfristung hielt sie fest, dass das beschwerende Ereignis iSd Paragraph 24, Absatz 4, DSG nicht auf das Datum der Eintragung begrenzt zu sehen sei, sondern durch die fortdauernde Verarbeitung in Folge verweigerter Löschung der gegenständlichen Einträge durch die BF konstituiert werde.

12. Die BF machte von der Möglichkeit zur Stellungnahme jeweils keinen Gebrauch.

II. Das Bundesverwaltungsgericht hat erwogen:römisch II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen

1.1. Die BF ist ein seit 26.10.2000 im Firmenbuch firmierendes Unternehmen und betreibt unter anderem das Gewerbe der „Auskunftei über Kreditverhältnisse“.

1.2. Die BF verpflichtet ihre Vertragspartner (bspw. Inkassobüros) vertraglich zur Information der betreffenden Person über die Datenübermittlung an die BF. Diese Information befindet sich auf den Mahnschreiben, welche der jeweiligen Person im Zuge der Forderungsbetreibung zugestellt werden. Die BF überprüft im Rahmen eines Kontrollverfahrens, ob ihre Vertragspartner die vertragliche Verpflichtung zur Informationserteilung einhalten, indem sie bei ihren Vertragspartnern Muster-Mahnschreiben abfragt.

1.3.1. Mit – die Aufforderung „Vermeiden Sie weitere rechtliche Schritte!“ enthaltendem –Schreiben vom 31.03.2016 forderte die XXXX (nunmehr XXXX ) die MP – „nochmals“ – auf, einen von ihr geschuldeten dass sie einen Betrag von EUR 83,51, darunter die Position „Offene Forderung laut letztem Schreiben iHv € 35,98“ (= Forderung iHv € 23,98 zzgl. Mahnspesen iHv € 12,00), bis spätestens 08.04.2016 auf ein angeführtes Konto einzuzahlen. Mit rechtzeitiger Zahlung bis zu diesem Termin stelle sie sicher, dass keine Meldung an Dritte erfolge. Weiters enthält das Schreiben folgenden Hinweis: 1.3.1. Mit – die Aufforderung „Vermeiden Sie weitere rechtliche Schritte!“ enthaltendem –Schreiben vom 31.03.2016 forderte die römisch 40 (nunmehr römisch 40 ) die MP – „nochmals“ – auf, einen von ihr geschuldeten dass sie einen Betrag von EUR 83,51, darunter die Position „Offene Forderung laut letztem Schreiben iHv € 35,98“ (= Forderung iHv € 23,98 zzgl. Mahnspesen iHv € 12,00), bis spätestens 08.04.2016 auf ein angeführtes Konto einzuzahlen. Mit rechtzeitiger Zahlung bis zu diesem Termin stelle sie sicher, dass keine Meldung an Dritte erfolge. Weiters enthält das Schreiben folgenden Hinweis:

„Zahlungserfahrungsdaten über unbestrittene und nach Eintritt der Fälligkeit unbezahlte Forderungen sowie Adressdaten werden der XXXX , [Adresse in Wien], zur rechtmäßigen Verwendung im Rahmen ihrer Gewerbeberechtigung gemäß §§ 151 (Adressverlag), 152 (Auskunftei über Kreditverhältnisse) und 153 (Dienstleistungen in der automatischen Datenverarbeitung und EDV Technik) der Gewerbeordnung 1994 übermittelt."„Zahlungserfahrungsdaten über unbestrittene und nach Eintritt der Fälligkeit unbezahlte Forderungen sowie Adressdaten werden der römisch 40 , [Adresse in Wien], zur rechtmäßigen Verwendung im Rahmen ihrer Gewerbeberechtigung gemäß Paragraphen 151, (Adressverlag), 152 (Auskunftei über Kreditverhältnisse) und 153 (Dienstleistungen in der automatischen Datenverarbeitung und EDV Technik) der Gewerbeordnung 1994 übermittelt."

1.3.2. Mit Schreiben vom 20.07.2018 teilte die XXXX der MP mit, dass sie von der XXXX beauftragt sei, bei der MP eine seit 19.06.2018 fällige Forderung iHv € 1.036,73 zuzüglich Zinsen iHv € 8,92 sowie Kosten iHv 203,89, insgesamt daher den Betrag von € 1.249,54 („fällig bis 30.07.2018“) einzufordern. Überdies enthält das Schreiben folgenden Hinweis: 1.3.2. Mit Schreiben vom 20.07.2018 teilte die römisch 40 der MP mit, dass sie von der römisch 40 beauftragt sei, bei der MP eine seit 19.06.2018 fällige Forderung iHv € 1.036,73 zuzüglich Zinsen iHv € 8,92 sowie Kosten iHv 203,89, insgesamt daher den Betrag von € 1.249,54 („fällig bis 30.07.2018“) einzufordern. Überdies enthält das Schreiben folgenden Hinweis:

„Wir weisen Sie darauf hin, dass Zahlungserfahrungsdaten insbesondere über unbestrittene und nach Eintritt der Fälligkeit unbezahlte Forderungen sowie Adressdaten an XXXX , [Adresse in Wien], zur rechtmäßigen Verwendung im Rahmen ihrer Gewerbeberechtigungen gemäß § 151 (Adressverlage), § 152 (Auskunfteien über Kreditverhältnisse) und § 153(Dienstleistungen in der autom Datenerhebung und Informationstechnik) der Gewerbeordnung 1994 übermittelt werden. Darüber hinaus werden von der XXXX erhaltene Informationen zur Prüfung Ihrer Identität und Bonität herangezogen Nähere Informationen finden Sie unter htttp://www. XXXX .at/datenschutz, www. XXXX .at.datenschutz.“„Wir weisen Sie darauf hin, dass Zahlungserfahrungsdaten insbesondere über unbestrittene und nach Eintritt der Fälligkeit unbezahlte Forderungen sowie Adressdaten an römisch 40 , [Adresse in Wien], zur rechtmäßigen Verwendung im Rahmen ihrer Gewerbeberechtigungen gemäß Paragraph 151, (Adressverlage), Paragraph 152, (Auskunfteien über Kreditverhältnisse) und Paragraph 153 (, D, i, e, n, s, t, l, e, i, s, t, u, n, g, e, n, in der autom Datenerhebung und Informationstechnik) der Gewerbeordnung 1994 übermittelt werden. Darüber hinaus werden von der römisch 40 erhaltene Informationen zur Prüfung Ihrer Identität und Bonität herangezogen Nähere Informationen finden Sie unter htttp://www. römisch 40 .at/datenschutz, www. römisch 40 .at.datenschutz.“

Auf den gegenständlich vorgelegten, von der X GmbH verwendeten Mahnschreiben finden sich auszugsweise folgende Informationen: Auf den gegenständlich vorgelegten, von der römisch zehn GmbH verwendeten Mahnschreiben finden sich auszugsweise folgende Informationen:

1.3.3. Mit Schreiben vom 26.02.2020 teilte die XXXX der MP mit, dass sie von ihrer Auftraggeberin beauftragt sei, eine – den seit 17.12.2019 fälligen Rechnungsbetrag iHv € 35,95 enthaltende – Forderung zu betreiben. Weiters enthält das Schreiben folgenden Hinweis:1.3.3. Mit Schreiben vom 26.02.2020 teilte die römisch 40 der MP mit, dass sie von ihrer Auftraggeberin beauftragt sei, eine – den seit 17.12.2019 fälligen Rechnungsbetrag iHv € 35,95 enthaltende – Forderung zu betreiben. Weiters enthält das Schreiben folgenden Hinweis:

„Zahlungserfahrungsdaten über unbestrittene und nach Eintritt der Fälligkeit unbezahlte Forderungen sowie Adressdaten werden der XXXX , [Adresse in Wien], zur rechtmäßigen Verwendung im Rahmen ihrer Gewerbeberechtigung gemäß §§ 151 (Adressverlag), 152 (Auskunftei über Kreditverhältnisse) und 153 (Dienstleistungen in der automatischen Datenverarbeitung und EDV Technik) der Gewerbeordnung 1994 übermittelt. Detaillierte Informationen zur Datenverarbeitung durch angegebene Auskunftei i.S.d. Art 14 DSGVO finden Sie auf deren Webseite unter www. XXXX .at/konsumenten_informationen-zur-dsgvo“„Zahlungserfahrungsdaten über unbestrittene und nach Eintritt der Fälligkeit unbezahlte Forderungen sowie Adressdaten werden der römisch 40 , [Adresse in Wien], zur rechtmäßigen Verwendung im Rahmen ihrer Gewerbeberechtigung gemäß Paragraphen 151, (Adressverlag), 152 (Auskunftei über Kreditverhältnisse) und 153 (Dienstleistungen in der automatischen Datenverarbeitung und EDV Technik) der Gewerbeordnung 1994 übermittelt. Detaillierte Informationen zur Datenverarbeitung durch angegebene Auskunftei i.S.d. Artikel 14, DSGVO finden Sie auf deren Webseite unter www. römisch 40 .at/konsumenten_informationen-zur-dsgvo“

1.4. Mit 29.07.2022 waren folgende Zahlungserfahrungsdaten der MP in der Datenbank der MP erfasst:

1.5. Die BF löschte die Zahlungserfahrungsdaten über die Forderung iHv EUR 1.865,99, eröffnet am 31.10.2018, beglichen am 02.10.2019, worüber sie die MP mit Schreiben vom 08.08.2022 informierte.

1.6. Folgende Zahlungserfahrungen sind bis dato in der Datenbank der BF zur MP erfasst:

2. Beweiswürdigung

Die Feststellungen ergeben sich aus den von der belangten Behörde vorgelegten Verwaltungsunterlagen und dem Gerichtsakt.

Die zu Punkt 3. getroffenen Feststellungen getroffenen Feststellungen stützen sich auf das unwidersprochen gebliebene Vorbringen der BF in dem unter Punkt I.9. dargestellten Schriftsatz in Verbindung mit den zugleich vorlegten Schreiben der XXXX , der XXXX sowie der XXXX .Die zu Punkt 3. getroffenen Feststellungen getroffenen Feststellungen stützen sich auf das unwidersprochen gebliebene Vorbringen der BF in dem unter Punkt römisch eins.9. dargestellten Schriftsatz in Verbindung mit den zugleich vorlegten Schreiben der römisch 40 , der römisch 40 sowie der römisch 40 .

3. Rechtliche Beurteilung

Zu Spruchpunkt A):

3.1. Anzuwendendes Recht:

3.1.1.   Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) idF BGBl. I Nr. 24/2018, lauten auszugsweise wie folgt:3.1.1.   Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) in der Fassung Bundesgesetzblatt Teil eins, Nr. 24 aus 2018,, lauten auszugsweise wie folgt:

„Beschwerde an die Datenschutzbehörde

§ 24 (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.Paragraph 24, (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen Paragraph eins, oder Artikel 2 1. Hauptstück verstößt.

(2) – (3) …

(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.“

3.1.2. Die hier relevanten Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ABl. L 119 vom 04.05.2016, im Folgenden: DSGVO, lauten:

„Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

(1) „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

(2) „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

(3) „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

(4) „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

(5) „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

(6) „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

(7) „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

(8) „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

(9) „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

(10) „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten

(11) „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

(12) - (17) …

(18) „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

(19) „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;

(20) …

(21) „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;

(22) – (26) …

Artikel 5

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 6

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel römisch IX.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel römisch IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4) …

Artikel 12

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

(4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

(5) – (8) …

Artikel 14

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) die Kategorien personenbezogener Daten, die verarbeitet werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;

g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2

a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,

b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,

c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit

a) die betroffene Person bereits über die Informationen verfügt,

b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,

c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder

d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

Artikel 17

Recht auf Löschung („Recht auf Vergessenwerden“)

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

3.1.3.   Die Bestimmung des § 152 der Gewerbeordnung 1994, BGBl. Nr. 194/1994, in der geltenden Fassung lautet:3.1.3.   Die Bestimmung des Paragraph 152, der Gewerbeordnung 1994, Bundesgesetzblatt Nr. 194 aus 1994,, in der geltenden Fassung lautet:

„§ 152. (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.

(2) Die im Abs. 1 genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren. Die Frist von sieben Jahren läuft vom Schluss des Kalenderjahres, in dem der Schriftwechsel erfolgte oder die letzte Eintragung in das Geschäftsbuch vorgenommen wurde. Im Falle der Endigung der Gewerbeberechtigung sind der Schriftwechsel und die Geschäftsbücher zu vernichten, auch wenn der Zeitraum von sieben Jahren noch nicht verstrichen ist.“(2) Die im Absatz eins, genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren. Die Frist von sieben Jahren läuft vom Schluss des Kalenderjahres, in dem der Schriftwechsel erfolgte oder die letzte Eintragung in das Geschäftsbuch vorgenommen wurde. Im Falle der Endigung der Gewerbeberechtigung sind der Schriftwechsel und die Geschäftsbücher zu vernichten, auch wenn der Zeitraum von sieben Jahren noch nicht verstrichen ist.“

3.2. Zur datenschutzrechtlichen Rollenverteilung:

Festzuhalten ist, dass die MP als juristische Person in der Rechtsform einer Gesellschaft mit beschränkter Haftung und Inhaberin einer Gewerbeberechtigung nach § 152 GewO 1994 („Kreditauskunfteien“) in datenschutzrechtlicher Hinsicht als (alleinige) Verantwortliche im Sinne von Art. 4 Z 7 DSGVO für sämtliche Verarbeitungsvorgänge im Zusammenhang mit dem Betrieb des Gewerbes, insbesondere für sämtliche Verarbeitungsvorgänge personenbezogener Daten im Rahmen ihrer Datenbank zur Verarbeitung von Bonitätsdaten datenschutzrechtlich Betroffener, zu qualifizieren ist. Dies deshalb, da die MP allein über die Mittel und Zwecke der Datenverarbeitung in Bezug auf ihre Gewerbeausübung bestimmt. Dass die MP Verträge mit anderen Unternehmen schließt, wie insbesondere mit Inkassounternehmen, die ihrerseits Zahlungserfahrungsdaten an die MP übermitteln, vermag daran nichts zu ändern. Fallgegenständlich war sohin ausschließlich zu prüfen, ob die MP bei der Verarbeitung der Zahlungserfahrungsdaten der BF Partei die datenschutzrechtlichen Vorgaben der DSGVO – insbesondere der in Art. 5 Abs. 1 leg. cit. normierten Grundsätze – eingehalten hat.Festzuhalten ist, dass die MP als juristische Person in der Rechtsform einer Gesellschaft mit beschränkter Haftung und Inhaberin einer Gewerbeberechtigung nach Paragraph 152, GewO 1994 („Kreditauskunfteien“) in datenschutzrechtlicher Hinsicht als (alleinige) Verantwortliche im Sinne von Artikel 4, Ziffer 7, DSGVO für sämtliche Verarbeitungsvorgänge im Zusammenhang mit dem Betrieb des Gewerbes, insbesondere für sämtliche Verarbeitungsvorgänge personenbezogener Daten im Rahmen ihrer Datenbank zur Verarbeitung von Bonitätsdaten datenschutzrechtlich Betroffener, zu qualifizieren ist. Dies deshalb, da die MP allein über die Mittel und Zwecke der Datenverarbeitung in Bezug auf ihre Gewerbeausübung bestimmt. Dass die MP Verträge mit anderen Unternehmen schließt, wie insbesondere mit Inkassounternehmen, die ihrerseits Zahlungserfahrungsdaten an die MP übermitteln, vermag daran nichts zu ändern. Fallgegenständlich war sohin ausschließlich zu prüfen, ob die MP bei der Verarbeitung der Zahlungserfahrungsdaten der BF Partei die datenschutzrechtlichen Vorgaben der DSGVO – insbesondere der in Artikel 5, Absatz eins, leg. cit. normierten Grundsätze – eingehalten hat.

3.3. Zur fragliche Präklusion des Rechts zur Erhebung einer Datenschutzbeschwerde:

3.3.1. Nach § 1 Abs. 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich ist.3.3.1. Nach Paragraph eins, Absatz eins, DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich ist.

Gemäß § 24 Abs. 1 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen die § 1 oder Artikel 2 1. Hauptstück verstößt.Gemäß Paragraph 24, Absatz eins, DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen die Paragraph eins, oder Artikel 2 1. Hauptstück verstößt.

Eine Verletzung der Informationspflicht nach Art. 14 DSGVO muss nicht unter § 1 Abs. 1 subsumiert werden, sondern kann unmittelbar auf Basis der DSGVO als subjektives Recht iSv § 24 geltend gemacht werden. Die betroffene Person kann sich daher antragsunabhängig auf Art. 14 DSGVO stützen (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 24 [Stand 01.02.2022, rdb.at], Rz 117)Eine Verletzung der Informationspflicht nach Artikel 14, DSGVO muss nicht unter Paragraph eins, Absatz eins, subsumiert werden, sondern kann unmittelbar auf Basis der DSGVO als subjektives Recht iSv Paragraph 24, geltend gemacht werden. Die betroffene Person kann sich daher antragsunabhängig auf Artikel 14, DSGVO stützen (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 Paragraph 24, [Stand 01.02.2022, rdb.at], Rz 117)

Gemäß § 24 Abs. 4 DSG erlischt der Anspruch auf Behandlung einer Beschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen. § 24 Abs. 4 DSG normiert eine relative Präklusionsfrist für die Geltendmachung des Beschwerderechts von einem Jahr ab Kenntnis des beschwerenden Ereignisses sowie eine absolute Präklusionsfrist von drei Jahren nach Stattfinden des Ereignisses (Schweiger in Knyrim, DatKomm Art. 77 DSGVO [Stand 1.12.2021, rdb.at] Rz 14). Die absolute Präklusionsfrist beginnt schon mit dem Stattfinden des Ereignisses zu laufen, unabhängig davon, ob und wann die betroffene Person davon Kenntnis erlangt. Bei „fortgesetzter Schädigung“ bei rechtswidrigen Dauerzuständen beginnt die subjektive einjährige als auch die objektive dreijährige Präklusivfrist nicht vor Beendigung dieses Dauerzustandes (vgl. dazu BVwG vom 15.04.2020, W211 2219095-1/5E; OGH vom 25.09.2017, 6 Ob 217 /16d).Gemäß Paragraph 24, Absatz 4, DSG erlischt der Anspruch auf Behandlung einer Beschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen. Paragraph 24, Absatz 4, DSG normiert eine relative Präklusionsfrist für die Geltendmachung des Beschwerderechts von einem Jahr ab Kenntnis des beschwerenden Ereignisses sowie eine absolute Präklusionsfrist von drei Jahren nach Stattfinden des Ereignisses (Schweiger in Knyrim, DatKomm Artikel 77, DSGVO [Stand 1.12.2021, rdb.at] Rz 14). Die absolute Präklusionsfrist beginnt schon mit dem Stattfinden des Ereignisses zu laufen, unabhängig davon, ob und wann die betroffene Person davon Kenntnis erlangt. Bei „fortgesetzter Schädigung“ bei rechtswidrigen Dauerzuständen beginnt die subjektive einjährige als auch die objektive dreijährige Präklusivfrist nicht vor Beendigung dieses Dauerzustandes vergleiche dazu BVwG vom 15.04.2020, W211 2219095-1/5E; OGH vom 25.09.2017, 6 Ob 217 /16d).

3.3.2. Sofern die MP nunmehr vorbringt, die Datenschutzbeschwerde der BF sei verfristet gewesen, ist entgegenzuhalten, dass eine Verfristung des Beschwerderechts – wie die belangte Behörde zutreffend vorgebracht hat – gegenständlich schon deshalb nicht in Betracht kommt, da bei „fortgesetzter Schädigung“ bei (behauptetermaßen) rechtswidrigen Dauerzuständen sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist nicht vor Beendigung dieses Dauerzustands beginnt (vgl. BVwG 15.04.2020, W211 2219095-1/5E). Da die beschwerdegegenständlichen Daten in Folge verweigerter Löschung von der BF auch weiterhin bearbeitet werden, wurde der Lauf die genannten Fristen noch nicht ausgelöst. 3.3.2. Sofern die MP nunmehr vorbringt, die Datenschutzbeschwerde der BF sei verfristet gewesen, ist entgegenzuhalten, dass eine Verfristung des Beschwerderechts – wie die belangte Behörde zutreffend vorgebracht hat – gegenständlich schon deshalb nicht in Betracht kommt, da bei „fortgesetzter Schädigung“ bei (behauptetermaßen) rechtswidrigen Dauerzuständen sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist nicht vor Beendigung dieses Dauerzustands beginnt vergleiche BVwG 15.04.2020, W211 2219095-1/5E). Da die beschwerdegegenständlichen Daten in Folge verweigerter Löschung von der BF auch weiterhin bearbeitet werden, wurde der Lauf die genannten Fristen noch nicht ausgelöst.

3.4. Zur Rechtmäßigkeit der verfahrensgegenständlichen Verarbeitung der Zahlungserfahrungsdaten der MP durch die BF als Kreditauskunftei:

3.4.1. Wie sich aus den Feststellungen ergibt, speichert die BF seit fortlaufend (negative) Zahlungserfahrungsdaten der MP, (nach Löschung der Kapitalforderung in Höhe von EUR 1.865,99) konkret noch die Forderungen in der Höhe von EUR 35,95, EUR 1.036,73 und von EUR 23,98), die der BF von Inkassounternehmen, zu denen ein entsprechendes Vertragsverhältnis besteht, übermittelt wurden. Wie ebenfalls festgestellt, verpflichtet die MP ihre Vertragspartner (Gläubiger und Inkassounternehmen) vertraglich dazu, vor der Übermittlung von Zahlungserfahrungsdaten an sie die betroffene Person darüber zu informieren, dass die jeweiligen Informationen an die MP als Kreditauskunftei übermittelt werden, sofern keine Zahlung erfolgt oder kein Einwand gegen die Forderung erhoben wird. Soweit die belangte Behörde davon ausging, die BF habe im Zusammenhang mit der Speicherung (und weiteren Verarbeitung) der in Rede stehenden Zahlungserfahrungsdaten gegen den von Art. 5 Abs. 1 lit. a DSGVO normierten Grundsatz („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) verstoßen, war dem aufgrund der nachstehenden Erwägungen nicht zu folgen:3.4.1. Wie sich aus den Feststellungen ergibt, speichert die BF seit fortlaufend (negative) Zahlungserfahrungsdaten der MP, (nach Löschung der Kapitalforderung in Höhe von EUR 1.865,99) konkret noch die Forderungen in der Höhe von EUR 35,95, EUR 1.036,73 und von EUR 23,98), die der BF von Inkassounternehmen, zu denen ein entsprechendes Vertragsverhältnis besteht, übermittelt wurden. Wie ebenfalls festgestellt, verpflichtet die MP ihre Vertragspartner (Gläubiger und Inkassounternehmen) vertraglich dazu, vor der Übermittlung von Zahlungserfahrungsdaten an sie die betroffene Person darüber zu informieren, dass die jeweiligen Informationen an die MP als Kreditauskunftei übermittelt werden, sofern keine Zahlung erfolgt oder kein Einwand gegen die Forderung erhoben wird. Soweit die belangte Behörde davon ausging, die BF habe im Zusammenhang mit der Speicherung (und weiteren Verarbeitung) der in Rede stehenden Zahlungserfahrungsdaten gegen den von Artikel 5, Absatz eins, Litera a, DSGVO normierten Grundsatz („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) verstoßen, war dem aufgrund der nachstehenden Erwägungen nicht zu folgen:

3.4.2. Der in der DSGVO nicht näher bestimmte Begriff „Treu und Glauben“ findet sich bereits in der Datenschutzkonvention des Europarats und ist auch unmittelbar in Art 8 Abs. 2 GRC normiert. Er stammt ursprünglich aus dem anglo-amerikanischen Rechtskreis und ist im deutschen Recht ein einigermaßen gefestigter Rechtsbegriff, der z.B. auch im (deutschen) § 242 BGB vorkommt. Im vorliegenden Zusammenhang ist jedoch eine autonome unionsrechtliche Auslegung des Begriffs „Treu und Glauben“ geboten. Aus dem 47. Erwägungsgrund zur DSGVO erhellt, dass die Bedeutung des Begriffs „Treu und Glauben“ in der DSGVO nicht nur autonom, sondern auch DSGVO-spezifisch auszulegen ist, wie auch ein Blick auf die englische Sprachfassung („fairly“) zeigt. Treu und Glauben ist demnach im Sinne von Fairness zu interpretieren. Erwägungsgrund 47 erster Satz zur DSGVO befasst sich mit dem Umstand, dass die „vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen“, als Maßstab heranzuziehen sind. Eine Verarbeitung nach Treu und Glauben muss somit innerhalb dessen liegen, womit der Betroffene im Lichte der gesamten Rechtsordnung rechnen muss, und so gestaltet sein, wie es der Verantwortliche nach außen hin darstellt.3.4.2. Der in der DSGVO nicht näher bestimmte Begriff „Treu und Glauben“ findet sich bereits in der Datenschutzkonvention des Europarats und ist auch unmittelbar in Artikel 8, Absatz 2, GRC normiert. Er stammt ursprünglich aus dem anglo-amerikanischen Rechtskreis und ist im deutschen Recht ein einigermaßen gefestigter Rechtsbegriff, der z.B. auch im (deutschen) Paragraph 242, BGB vorkommt. Im vorliegenden Zusammenhang ist jedoch eine autonome unionsrechtliche Auslegung des Begriffs „Treu und Glauben“ geboten. Aus dem 47. Erwägungsgrund zur DSGVO erhellt, dass die Bedeutung des Begriffs „Treu und Glauben“ in der DSGVO nicht nur autonom, sondern auch DSGVO-spezifisch auszulegen ist, wie auch ein Blick auf die englische Sprachfassung („fairly“) zeigt. Treu und Glauben ist demnach im Sinne von Fairness zu interpretieren. Erwägungsgrund 47 erster Satz zur DSGVO befasst sich mit dem Umstand, dass die „vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen“, als Maßstab heranzuziehen sind. Eine Verarbeitung nach Treu und Glauben muss somit innerhalb dessen liegen, womit der Betroffene im Lichte der gesamten Rechtsordnung rechnen muss, und so gestaltet sein, wie es der Verantwortliche nach außen hin darstellt.

In der DSGVO wird der Grundsatz der Transparenz durch die Art. 13 und 14 zur Informationspflicht sowie Art 12 zu den diesbezüglichen Modalitäten konkretisiert. Diesen Bestimmungen sowie den Erwägungsgründen 39 und 58 kann somit auch der Gehalt des Grundsatzes der Transparenz entnommen werden. Für die Betroffenen muss erkennbar sein, dass personenbezogene Daten verarbeitet werden, welche Daten verarbeitet werden, für welche Zwecke sie verarbeitet werden und durch wen sie verarbeitet werden und an wen sie ggf. übermittelt werden. Darüber hinaus sollten die Betroffenen über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung informiert werden sowie über die Geltendmachung dieser Rechte. Die Bedeutung der Transparenz der Verarbeitung und somit der Informationspflicht bildet damit notwendige Voraussetzung für die Ausübung der Betroffenenrechte. Ist dem Betroffenen nicht bewusst, dass eine Verarbeitung seiner Daten erfolgt bzw. ist ihm nicht bekannt, wer seine Daten verarbeitet, kann er seine diesbezüglichen Rechte nach Art 15 - 21 DSGVO nicht geltend machen (vgl. zu alldem: Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Art 5 DSGVO, Rz 13ff).In der DSGVO wird der Grundsatz der Transparenz durch die Artikel 13 und 14 zur Informationspflicht sowie Artikel 12, zu den diesbezüglichen Modalitäten konkretisiert. Diesen Bestimmungen sowie den Erwägungsgründen 39 und 58 kann somit auch der Gehalt des Grundsatzes der Transparenz entnommen werden. Für die Betroffenen muss erkennbar sein, dass personenbezogene Daten verarbeitet werden, welche Daten verarbeitet werden, für welche Zwecke sie verarbeitet werden und durch wen sie verarbeitet werden und an wen sie ggf. übermittelt werden. Darüber hinaus sollten die Betroffenen über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung informiert werden sowie über die Geltendmachung dieser Rechte. Die Bedeutung der Transparenz der Verarbeitung und somit der Informationspflicht bildet damit notwendige Voraussetzung für die Ausübung der Betroffenenrechte. Ist dem Betroffenen nicht bewusst, dass eine Verarbeitung seiner Daten erfolgt bzw. ist ihm nicht bekannt, wer seine Daten verarbeitet, kann er seine diesbezüglichen Rechte nach Artikel 15, - 21 DSGVO nicht geltend machen vergleiche zu alldem: Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Artikel 5, DSGVO, Rz 13ff).

Wie festgestellt, hat die MP die unter Punkt I.3. dargestellten Schreiben der Inkassounternehmen erhalten. Zum informationellen Gehalt dieser Schreiben ist festzuhalten, dass aus jedem dieser Schreiben hinreichend deutlich hervorgeht, dass bei Zahlungsverzug die Daten an die BF weitergeleitet und diese für Bonitätsauskünfte verwendet werden. Schließlich wäre es der MP aufgrund dieser Informationen auch möglich gewesen, sich auf der Website der BF weitere Informationen im Hinblick auf das Gewerbe der MP einzuholen und insbesondere deren Datenschutzerklärung „Auskunftei und Adressverlag“ abzurufen, in der u.a. über die Zwecke der Datenverarbeitung, die Quellen personenbezogener Daten (insbesondere auch Inkassoinstitute), die verarbeiteten Datenkategorien (insbesondere auch Zahlungserfahrungsdaten), die Rechtsgrundlage der Datenverarbeitung nach der DSGVO, die Kategorien von Empfängern, an die die personenbezogene Daten übermittelt werden (insbesondere auch Kunden/Partner der BF mit berechtigtem Interesse an den jeweils bereitgestellten Informationen, insbesondere Unternehmen der Kreditwirtschaft und des (Internet-)Handels, die gegenüber betroffenen Personen in Vorleistung treten [z. B. Kauf auf offene Rechnung, Kreditvergabe, Kreditkartengeschäft etc.]) sowie die Speicherdauer informiert wird. Wie festgestellt, hat die MP die unter Punkt römisch eins.3. dargestellten Schreiben der Inkassounternehmen erhalten. Zum informationellen Gehalt dieser Schreiben ist festzuhalten, dass aus jedem dieser Schreiben hinreichend deutlich hervorgeht, dass bei Zahlungsverzug die Daten an die BF weitergeleitet und diese für Bonitätsauskünfte verwendet werden. Schließlich wäre es der MP aufgrund dieser Informationen auch möglich gewesen, sich auf der Website der BF weitere Informationen im Hinblick auf das Gewerbe der MP einzuholen und insbesondere deren Datenschutzerklärung „Auskunftei und Adressverlag“ abzurufen, in der u.a. über die Zwecke der Datenverarbeitung, die Quellen personenbezogener Daten (insbesondere auch Inkassoinstitute), die verarbeiteten Datenkategorien (insbesondere auch Zahlungserfahrungsdaten), die Rechtsgrundlage der Datenverarbeitung nach der DSGVO, die Kategorien von Empfängern, an die die personenbezogene Daten übermittelt werden (insbesondere auch Kunden/Partner der BF mit berechtigtem Interesse an den jeweils bereitgestellten Informationen, insbesondere Unternehmen der Kreditwirtschaft und des (Internet-)Handels, die gegenüber betroffenen Personen in Vorleistung treten [z. B. Kauf auf offene Rechnung, Kreditvergabe, Kreditkartengeschäft etc.]) sowie die Speicherdauer informiert wird.

3.4.3. Bei Berücksichtigung sämtlicher Umstände vermag das Bundesverwaltungsgericht im gegenständlichen Zusammenhang nicht zu erkennen, weshalb es für die MP nicht vorhersehbar gewesen sein soll, dass die in Rede stehenden Zahlungserfahrungsdaten für den Fall, dass sie keine Einwände gegen die Forderung erhebt oder diese nicht bis zum genannten Zeitpunkt begleicht, an die BF als Unternehmen im Bereich Kreditauskunfteien zur Bonitätsbewertung übermittelt würden. Das Bundesverwaltungsgericht übersieht dabei nicht, dass die in Rede stehenden Mahnschreiben in Bezug auf die genauen Umstände der Datenverarbeitung durch die BF eher rudimentär gehalten waren. Jedoch kann im Gesamtkontext aller Informationen, die der MP zur Verfügung standen, im vorliegenden Fall nicht gesagt werden, dass die BF bei der Verarbeitung (Einholung der Zahlungserfahrungsdaten durch einen Vertragspartner und fortlaufende Speicherung derselben ab März 2016) gegen den Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO (Rechtmäßigkeit, Treu und Glauben, Transparenz“) verstoßen hat. Nach Ansicht des erkennenden Senates entspricht es vielmehr der allgemeinen Lebenserfahrung, dass bei Ignorieren mehrfacher Zahlungsaufforderungen durch Gläubiger bzw. Inkassobüro eine Übermittlung an eine Kreditauskunftei erfolgt. Dies gilt insbesondere, wenn es sich wie im gegenständlichen Fall um unbestrittene Forderungen handelt.3.4.3. Bei Berücksichtigung sämtlicher Umstände vermag das Bundesverwaltungsgericht im gegenständlichen Zusammenhang nicht zu erkennen, weshalb es für die MP nicht vorhersehbar gewesen sein soll, dass die in Rede stehenden Zahlungserfahrungsdaten für den Fall, dass sie keine Einwände gegen die Forderung erhebt oder diese nicht bis zum genannten Zeitpunkt begleicht, an die BF als Unternehmen im Bereich Kreditauskunfteien zur Bonitätsbewertung übermittelt würden. Das Bundesverwaltungsgericht übersieht dabei nicht, dass die in Rede stehenden Mahnschreiben in Bezug auf die genauen Umstände der Datenverarbeitung durch die BF eher rudimentär gehalten waren. Jedoch kann im Gesamtkontext aller Informationen, die der MP zur Verfügung standen, im vorliegenden Fall nicht gesagt werden, dass die BF bei der Verarbeitung (Einholung der Zahlungserfahrungsdaten durch einen Vertragspartner und fortlaufende Speicherung derselben ab März 2016) gegen den Grundsatz nach Artikel 5, Absatz eins, Litera a, DSGVO (Rechtmäßigkeit, Treu und Glauben, Transparenz“) verstoßen hat. Nach Ansicht des erkennenden Senates entspricht es vielmehr der allgemeinen Lebenserfahrung, dass bei Ignorieren mehrfacher Zahlungsaufforderungen durch Gläubiger bzw. Inkassobüro eine Übermittlung an eine Kreditauskunftei erfolgt. Dies gilt insbesondere, wenn es sich wie im gegenständlichen Fall um unbestrittene Forderungen handelt.

Auch ist darauf hinzuweisen, dass die lückenlose Einhaltung der Informationspflicht nach Art. 14 Abs. 1 und 2 DSGVO nicht zu den in Art. 6 Abs. 1 DSGVO genannten Gründen für die Rechtmäßigkeit der Verarbeitung zählt (vgl. VwGH 09.05.2023, Ro 2020/04/0037-8).Auch ist darauf hinzuweisen, dass die lückenlose Einhaltung der Informationspflicht nach Artikel 14, Absatz eins und 2 DSGVO nicht zu den in Artikel 6, Absatz eins, DSGVO genannten Gründen für die Rechtmäßigkeit der Verarbeitung zählt vergleiche VwGH 09.05.2023, Ro 2020/04/0037-8).

3.5. Zur Interessenabwägung im Sinne von Art. 6 Abs. 1 lit. f DSGVO:3.5. Zur Interessenabwägung im Sinne von Artikel 6, Absatz eins, Litera f, DSGVO:

3.5.1. Personenbezogene Daten sind über Antrag des Betroffenen u.a. dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sie unrechtmäßig verarbeitet wurden oder die betroffene Person Widerspruch gemäß Artikel 21 Abs 1 DSGVO gegen ihre Verarbeitung erhoben hat (Art 17 Abs 1 lit a, c 1. Fall und d DSGVO). Einem Löschungsbegehren stünde daher eine Datenverwendung entgegen, die notwendig und rechtmäßig ist und gegen die kein wirksamer Widerspruch erhoben worden ist. Die Rechtmäßigkeit der Speicherung der (noch verfahrensgegenständlichen) Zahlungserfahrungsdaten der BF durch die MP ist anhand einer Interessenabwägung im Sinne von Art. 6 Abs. 1 lit. f DSGVO zu beurteilen.3.5.1. Personenbezogene Daten sind über Antrag des Betroffenen u.a. dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sie unrechtmäßig verarbeitet wurden oder die betroffene Person Widerspruch gemäß Artikel 21 Absatz eins, DSGVO gegen ihre Verarbeitung erhoben hat (Artikel 17, Absatz eins, Litera a,, c 1. Fall und d DSGVO). Einem Löschungsbegehren stünde daher eine Datenverwendung entgegen, die notwendig und rechtmäßig ist und gegen die kein wirksamer Widerspruch erhoben worden ist. Die Rechtmäßigkeit der Speicherung der (noch verfahrensgegenständlichen) Zahlungserfahrungsdaten der BF durch die MP ist anhand einer Interessenabwägung im Sinne von Artikel 6, Absatz eins, Litera f, DSGVO zu beurteilen.

In seinem Erkenntnis vom 30.10.2019, Zl. W258 2216873, setzte sich das Bundesverwaltungsgericht mit der Frage auseinander, wie lange eine Speicherung von Daten über getilgte Forderungen durch eine Kreditauskunftei rechtmäßig sein kann, dies auch unter Beachtung der Verarbeitungsgrundsätze nach Art. 5 DSGVO, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“ und „Speicherbegrenzung“. Dabei ging es zunächst davon aus, dass die zulässige Speicherdauer in Ermangelung konkreter Fristen nach der DSGVO oder der GewO vom Einzelfall abhänge, solche Zahlungsinformationen für das künftige Zahlungsverhalten aber umso weniger Aussagekraft enthielten, je länger sie zurücklägen und je länger es zu keinen weiteren Zahlungsstockungen oder Zahlungsausfällen gekommen sei („Alter der Forderung“ und „seitheriges Wohlverhalten“). Im Weiteren suchte das BVwG in rechtlichen Bestimmungen, die dem Gläubigerschutz dienten, nach Beobachtungs- und Löschfristen als Richtlinie für die zulässige Speicherdauer. Als solche Bestimmung zog das Bundesverwaltungsgericht die Verordnung (EU) 575/2013 („Kapitaladäquanzverordnung“) heran, die Kreditinstitute verpflichte, ihre Kunden zu bewerten und diverse Risiken ihrer Forderungen abzuschätzen. Dabei hätten Kreditinstitute gegenüber natürlichen Personen einen historischen Beobachtungszeitraum für zumindest eine Datenquelle von mindestens fünf Jahren für Kredit- und Retailforderungen heranzuziehen. Wenn aber Kreditinstitute als potentielle Geschäftspartner des Betroffenen rechtlich verpflichtet seien, ihre Forderungen anhand der Ausfallsquoten zumindest der letzten fünf Jahre zu bewerten, so sei es – so sinngemäß das Erkenntnis - kein Verstoß gegen das Prinzip der Datenminimierung und Speicherbegrenzung, wenn Daten über Forderungen, die innerhalb dieser Frist temporär oder gänzlich ausgefallen sind, durch eine Kreditauskunftei verarbeitet werden.In seinem Erkenntnis vom 30.10.2019, Zl. W258 2216873, setzte sich das Bundesverwaltungsgericht mit der Frage auseinander, wie lange eine Speicherung von Daten über getilgte Forderungen durch eine Kreditauskunftei rechtmäßig sein kann, dies auch unter Beachtung der Verarbeitungsgrundsätze nach Artikel 5, DSGVO, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“ und „Speicherbegrenzung“. Dabei ging es zunächst davon aus, dass die zulässige Speicherdauer in Ermangelung konkreter Fristen nach der DSGVO oder der GewO vom Einzelfall abhänge, solche Zahlungsinformationen für das künftige Zahlungsverhalten aber umso weniger Aussagekraft enthielten, je länger sie zurücklägen und je länger es zu keinen weiteren Zahlungsstockungen oder Zahlungsausfällen gekommen sei („Alter der Forderung“ und „seitheriges Wohlverhalten“). Im Weiteren suchte das BVwG in rechtlichen Bestimmungen, die dem Gläubigerschutz dienten, nach Beobachtungs- und Löschfristen als Richtlinie für die zulässige Speicherdauer. Als solche Bestimmung zog das Bundesverwaltungsgericht die Verordnung (EU) 575/2013 („Kapitaladäquanzverordnung“) heran, die Kreditinstitute verpflichte, ihre Kunden zu bewerten und diverse Risiken ihrer Forderungen abzuschätzen. Dabei hätten Kreditinstitute gegenüber natürlichen Personen einen historischen Beobachtungszeitraum für zumindest eine Datenquelle von mindestens fünf Jahren für Kredit- und Retailforderungen heranzuziehen. Wenn aber Kreditinstitute als potentielle Geschäftspartner des Betroffenen rechtlich verpflichtet seien, ihre Forderungen anhand der Ausfallsquoten zumindest der letzten fünf Jahre zu bewerten, so sei es – so sinngemäß das Erkenntnis - kein Verstoß gegen das Prinzip der Datenminimierung und Speicherbegrenzung, wenn Daten über Forderungen, die innerhalb dieser Frist temporär oder gänzlich ausgefallen sind, durch eine Kreditauskunftei verarbeitet werden.

Gemäß den Verarbeitungsgrundsätzen nach Art. 5 DSGVO müssen personenbezogene Daten - soweit verfahrensrelevant - für festgelegte, eindeutige und legitime Zwecke erhoben werden („Zweckbindung“), dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“) und in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“).Gemäß den Verarbeitungsgrundsätzen nach Artikel 5, DSGVO müssen personenbezogene Daten - soweit verfahrensrelevant - für festgelegte, eindeutige und legitime Zwecke erhoben werden („Zweckbindung“), dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“) und in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“).

Die BF betreibt das Gewerbe der Kreditauskunftei gemäß § 152 Gewerbeordnung 1994. Zu den Aufgaben der Gewerbetreibenden iSd § 152 GewO gehört die Erteilung von Auskünften über die Kreditwürdigkeit von Unternehmen und Privatpersonen an Dritte. Kreditgeber sollen dadurch aussagefähige Informationen über vorhandene oder auch potenzielle Kreditnehmer, und zwar insbesondere über die Art und Weise ihrer bisherigen Schuldenbegleichung, zur Verfügung stehen (Riesz in Ennöckl/Raschauer/Wessely, GewO § 152 Rz 2). Dadurch soll es Kreditgebern ermöglicht werden, die Wahrscheinlichkeit, mit der der Kreditgeber am Ende wegen seiner Forderung befriedigt wird, und allenfalls die Prognose, mit wie vielen Schwierigkeiten das verbunden ist, zu bestimmen (Wendehorst, Was ist Bonität? Zum Begriff der „Kreditwürdigkeit“ in § 7 VKrG, in Blaschek/Habersberger (Hrsg), Eines Kredites würdig? (2011) 22). Eine Neigung zu vertragswidrigem Verhalten - etwa mangelnde finanzielle Selbstkontrolle oder habituelles Hinauszögern von Zahlungen bis zum Exekutionsdruck - lässt sich vor allem aus dem Finanzgebaren in der Vergangenheit heraus prognostizieren. Relevant ist dabei vergangenes vertragswidriges Verhalten, dass sich in schlichtem Zahlungsverzug, aber auch in gerichtlichen Verfahren bis hin zu Exekutionshandlungen oder gar in einer Insolvenzeröffnung manifestiert haben mag (aaO 23; vgl auch Heinrich, Bonitätsprüfung im Verbraucherkreditrecht (Wien 2014) 89 f). Die BF betreibt das Gewerbe der Kreditauskunftei gemäß Paragraph 152, Gewerbeordnung 1994. Zu den Aufgaben der Gewerbetreibenden iSd Paragraph 152, GewO gehört die Erteilung von Auskünften über die Kreditwürdigkeit von Unternehmen und Privatpersonen an Dritte. Kreditgeber sollen dadurch aussagefähige Informationen über vorhandene oder auch potenzielle Kreditnehmer, und zwar insbesondere über die Art und Weise ihrer bisherigen Schuldenbegleichung, zur Verfügung stehen (Riesz in Ennöckl/Raschauer/Wessely, GewO Paragraph 152, Rz 2). Dadurch soll es Kreditgebern ermöglicht werden, die Wahrscheinlichkeit, mit der der Kreditgeber am Ende wegen seiner Forderung befriedigt wird, und allenfalls die Prognose, mit wie vielen Schwierigkeiten das verbunden ist, zu bestimmen (Wendehorst, Was ist Bonität? Zum Begriff der „Kreditwürdigkeit“ in Paragraph 7, VKrG, in Blaschek/Habersberger (Hrsg), Eines Kredites würdig? (2011) 22). Eine Neigung zu vertragswidrigem Verhalten - etwa mangelnde finanzielle Selbstkontrolle oder habituelles Hinauszögern von Zahlungen bis zum Exekutionsdruck - lässt sich vor allem aus dem Finanzgebaren in der Vergangenheit heraus prognostizieren. Relevant ist dabei vergangenes vertragswidriges Verhalten, dass sich in schlichtem Zahlungsverzug, aber auch in gerichtlichen Verfahren bis hin zu Exekutionshandlungen oder gar in einer Insolvenzeröffnung manifestiert haben mag (aaO 23; vergleiche auch Heinrich, Bonitätsprüfung im Verbraucherkreditrecht (Wien 2014) 89 f).

3.5.2. Die BF verarbeitet im Zuge des Betriebs des Gewerbes der Kreditauskunftei historische Informationen über Zahlungsausfälle der MP, um sie (potentiellen) Gläubigern bereitzustellen, damit diese das Risiko etwaiger Zahlungsausfälle bestimmen können. Dabei handelt es sich um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten (§ 152 GewO) Zweck. Die Daten sind auch richtig und vollständig, weil die Beschwerdeführerin im Rahmen ihrer Datenbank und Auskünfte an Dritte auf die Tilgung der Forderung hinweist. 3.5.2. Die BF verarbeitet im Zuge des Betriebs des Gewerbes der Kreditauskunftei historische Informationen über Zahlungsausfälle der MP, um sie (potentiellen) Gläubigern bereitzustellen, damit diese das Risiko etwaiger Zahlungsausfälle bestimmen können. Dabei handelt es sich um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten (Paragraph 152, GewO) Zweck. Die Daten sind auch richtig und vollständig, weil die Beschwerdeführerin im Rahmen ihrer Datenbank und Auskünfte an Dritte auf die Tilgung der Forderung hinweist.

Fraglich ist, wie lange derartige Daten verarbeitet werden dürfen. Die MP führte hierzu im Wesentlichen aus, dass eine Speicherung von fünf Jahren nicht gerechtfertigt sei. Sie sei von der Datenverarbeitung insofern nachteilig betroffen gewesen, als ihr ein Kredit nicht gewährt worden sei, den sie als Unternehmerin aber benötige.

Die Verarbeitung personenbezogener Daten ist u.a. gemäß Art. 6 Abs. 1 lit. f DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es ist eine einzelfallbezogene Interessenabwägung durchzuführen, bei der die berechtigten Interessen des Verantwortlichen oder eines Dritten für die Verarbeitung den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, gegenüberzustellen sind.Die Verarbeitung personenbezogener Daten ist u.a. gemäß Artikel 6, Absatz eins, Litera f, DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es ist eine einzelfallbezogene Interessenabwägung durchzuführen, bei der die berechtigten Interessen des Verantwortlichen oder eines Dritten für die Verarbeitung den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, gegenüberzustellen sind.

Die BF und ihre Kunden haben, sobald Verträge ein kreditorisches Risiko enthalten, ein nachvollziehbares Interesse des kreditierenden Vertragspartners, dieses Risiko abzuschätzen. Die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle erfolgt zum Schutz potenzieller Vertragspartner der betroffenen Person, die Dritte iSv Art. 6 Abs. 1 lit f DSGVO sind (vgl. auch Schantz in Simitis, Hornung, Spiecker, Datenschutzrecht, Art. 6 Abs. 1, Rz 133 f, 137). Damit dient sie auch dazu, Kreditinstitute dabei zu unterstützen, die Vorschriften der Kapitaladäquanzverordnung, die hinsichtlich der Schätzung der Risikoparameter einen Beobachtungszeitraum von zumindest fünf Jahren vorsehen, zu erfüllen. Dagegen haben betroffene Personen ein Interesse daran, auf Grund der Verarbeitung nicht von Nachteilen im Wirtschaftsleben betroffen zu sein.Die BF und ihre Kunden haben, sobald Verträge ein kreditorisches Risiko enthalten, ein nachvollziehbares Interesse des kreditierenden Vertragspartners, dieses Risiko abzuschätzen. Die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle erfolgt zum Schutz potenzieller Vertragspartner der betroffenen Person, die Dritte iSv Artikel 6, Absatz eins, Litera f, DSGVO sind vergleiche auch Schantz in Simitis, Hornung, Spiecker, Datenschutzrecht, Artikel 6, Absatz eins,, Rz 133 f, 137). Damit dient sie auch dazu, Kreditinstitute dabei zu unterstützen, die Vorschriften der Kapitaladäquanzverordnung, die hinsichtlich der Schätzung der Risikoparameter einen Beobachtungszeitraum von zumindest fünf Jahren vorsehen, zu erfüllen. Dagegen haben betroffene Personen ein Interesse daran, auf Grund der Verarbeitung nicht von Nachteilen im Wirtschaftsleben betroffen zu sein.

Das Bundesverwaltungsgericht verkennt nicht, dass die Höhe von zwei Forderungen, auf die sich die weiterhin gespeicherten Zahlungserfahrungsdaten beziehen, relativ gering ist (EUR 35,95 bzw. EUR 23,98). In einer Zusammenschau ergibt sich jedoch, dass aufgrund des Interesses der Vertragspartner der MP, Kreditrisiken abzuschätzen, wofür die Beobachtung des historischen Zahlungsverhaltens des potentiellen Schuldners wesentlich ist – wobei auch Forderungen von geringer Höhe relevant sind (vgl. BVwG 24.03.2021, W214 2216836-1/21E) –, und vor dem Hintergrund, dass es der EU-Verordnungsgesetzgeber für erforderlich sieht, das Risiko von Forderungen anhand eines zumindest fünfjährigen Beobachtungszeitraums vergangener Zahlungsausfälle abzuschätzen, die Verarbeitung der gegenständlichen Zahlungserfahrungsdaten, einschließlich am der 29.04.2019 – und somit vor ca. viereinhalb Jahren – beglichenen Forderung über EUR 23,98 weiterhin erforderlich ist, zumal diese Forderung trotz Mahnung erst nach etwa drei Jahren bezahlt wurde. Im gegenständlichen Fall überwiegt das Interesse der MP an der Geheimhaltung der verfahrensgegenständlichen historischen Zahlungsinformationen, um nicht im Wirtschaftsleben benachteiligt zu werden, zum Entscheidungszeitpunkt noch nicht. Das Bundesverwaltungsgericht verkennt nicht, dass die Höhe von zwei Forderungen, auf die sich die weiterhin gespeicherten Zahlungserfahrungsdaten beziehen, relativ gering ist (EUR 35,95 bzw. EUR 23,98). In einer Zusammenschau ergibt sich jedoch, dass aufgrund des Interesses der Vertragspartner der MP, Kreditrisiken abzuschätzen, wofür die Beobachtung des historischen Zahlungsverhaltens des potentiellen Schuldners wesentlich ist – wobei auch Forderungen von geringer Höhe relevant sind vergleiche BVwG 24.03.2021, W214 2216836-1/21E) –, und vor dem Hintergrund, dass es der EU-Verordnungsgesetzgeber für erforderlich sieht, das Risiko von Forderungen anhand eines zumindest fünfjährigen Beobachtungszeitraums vergangener Zahlungsausfälle abzuschätzen, die Verarbeitung der gegenständlichen Zahlungserfahrungsdaten, einschließlich am der 29.04.2019 – und somit vor ca. viereinhalb Jahren – beglichenen Forderung über EUR 23,98 weiterhin erforderlich ist, zumal diese Forderung trotz Mahnung erst nach etwa drei Jahren bezahlt wurde. Im gegenständlichen Fall überwiegt das Interesse der MP an der Geheimhaltung der verfahrensgegenständlichen historischen Zahlungsinformationen, um nicht im Wirtschaftsleben benachteiligt zu werden, zum Entscheidungszeitpunkt noch nicht.

3.5.3. Die Verarbeitung der Zahlungserfahrungsdaten der BF durch die MP erweist sich somit als rechtmäßig, weshalb der angefochtene Bescheid in Stattgabe der Beschwerde dahingehend abzuändern war, dass die Datenschutzbeschwerde der MP als unbegründet abgewiesen wird.

3.6 Die Durchführung einer mündlichen Verhandlung konnte gemäß § 24 VwGVG entfallen, da der maßgebliche Sachverhalt nach der Aktenlage feststeht. Die Heranziehung weiterer Beweismittel war zur Klärung des Sachverhaltes nicht notwendig.3.6 Die Durchführung einer mündlichen Verhandlung konnte gemäß Paragraph 24, VwGVG entfallen, da der maßgebliche Sachverhalt nach der Aktenlage feststeht. Die Heranziehung weiterer Beweismittel war zur Klärung des Sachverhaltes nicht notwendig.

Das Bundesverwaltungsgericht hat vorliegend ausschließlich über eine Rechtsfrage zu erkennen (vgl. EGMR 20.6.2013, Appl. Nr. 24510/06, Abdulgadirov/AZE, Rz 34 ff). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.6.2012, B 155/12).Das Bundesverwaltungsgericht hat vorliegend ausschließlich über eine Rechtsfrage zu erkennen vergleiche EGMR 20.6.2013, Appl. Nr. 24510/06, Abdulgadirov/AZE, Rz 34 ff). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.6.2012, B 155/12).

Zu Spruchpunkt B) (Unzulässigkeit der Revision):

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Es war daher auszusprechen, dass die Revision gemäß Art. 133 Abs. 4 B-VG nicht zulässig ist. Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Es war daher auszusprechen, dass die Revision gemäß Artikel 133, Absatz 4, B-VG nicht zulässig ist.

European Case Law Identifier

ECLI:AT:BVWG:2023:W176.2265088.1.00