Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

08.06.2017

Geschäftszahl

DSB-D122.641/0006-DSB/2017

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Text

GZ: DSB-D122.641/0006-DSB/2017 vom 8.6.2017

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Josef H*** (Beschwerdeführer), vertreten durch die R*** Rechtsanwälte Gesellschaft m.b.H. (kurz R***-Rechtsanwälte) aus Ü***, vom 7. Dezember 2016 gegen die N***-Mobilfunk & Telekom Gesellschaft m.b.H. (Beschwerdegegnerin, DVR: 0*1*6*9) wegen Verletzung im Recht auf Auskunft in Folge inhaltlich mangelhafter Beantwortung des Auskunftsverlangens vom 23. September 2016 wie folgt:

1.    Der Beschwerde wird teilweise Folge gegeben, und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Grundrecht auf Datenschutz verletzt hat, dass sie in ihrem Auskunftsschreiben vom 28. September 2016 samt Ergänzungen vom 28. Dezember 2016 und 30. Jänner 2017

a.    dem Beschwerdeführer keine inhaltliche Auskunft über die zu seiner Kreditwürdigkeit (Bonität) verarbeiteten personenbezogenen Daten erteilt hat, und

b.    dem Beschwerdeführer einen unrichtige Auskunft betreffend den Namen (die Firma) des für die Bewertung seiner Kreditwürdigkeit (Bonität) herangezogenen Dienstleisters erteilt hat.

2.    Der Beschwerdegegnerin wird aufgetragen, binnen zweier Wochen bei sonstiger Zwangsvollstreckung eine die laut Spruchpunkte 1. a. und 1.b. festgestellten Mängel behebende datenschutzrechtliche Auskunft zu erteilen.

3.    Im Übrigen wird die Beschwerde abgewiesen.

Rechtsgrundlagen: Paragraph eins, Absatz 3, Ziffer eins,, Paragraph 26, Absatz eins und 4, Paragraph 31, Absatz eins und 7 und Paragraph 49, Absatz eins und 3 des Datenschutzgesetzes 2000, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien

1.    Der bei Einbringung der Beschwerde bereits rechtsfreundlich vertretene Beschwerdeführer behauptet in seiner vom 7. Dezember 2016 datierenden und am selben Tage per E-Mail bei der Datenschutzbehörde eingelangten Beschwerde eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin sein Auskunftsersuchen vom 23. September 2016 unvollständig beantwortet habe. Der Beschwerdeführer bezahle seit mehreren Jahren die Entgelte, die die Beschwerdegegnerin für einen mit Eva H*** bestehenden Mobilfunkvertrag in Rechnung stelle. Am 25. Juli 2016 habe er der Beschwerdegegnerin ein gültiges SEPA-Lastschriftmandat zur Einziehung der entsprechenden Rechnungsbeträge übermittelt. Die Auftraggeberin habe daraufhin zusätzliche Unterlagen, insbesondere einen Einkommensnachweis, verlangt. Schließlich habe sie das angebotene Verrechnungsverfahren unter Hinweis auf das Ergebnis einer Bonitätsprüfung abgelehnt. Dies habe der Beschwerdeführer zum Anlass für das Auskunftsverlangen genommen. Die am 28. September 2016 erteilte Auskunft habe jedoch keine Daten zu einer durchgeführten Bonitätsprüfung enthalten. Eine parallel bei der Q*** Austria Ges.m.b.H. (im Folgenden auch kurz: Q***) eingeholte Datenauskunft habe jedoch ergeben, dass die Beschwerdegegnerin am 6. und 7. September 2016 Datenabfragen zur Bonität des Beschwerdeführers vorgenommen habe. Die erteilte Auskunft sei demnach unvollständig, gebe keine Übermittlungsempfänger an – was bei Bonitätsdaten von besonderer Relevanz sei - und sei auch unvollständig hinsichtlich der Rechtsgrundlagen sowie der Namen und Adressen von Dienstleistern. Außerdem fehle die verlangte Auskunft betreffend die Logik der automatisierten Einzel-Entscheidungsfindung gemäß Paragraph 49, Absatz 3, DSG 2000. Der Beschwerdeführer beantragte die Feststellung dieser Rechtsverletzungen sowie einen Auftrag an die Beschwerdegegnerin, eine vollständige und den gesetzlichen Vorgaben des Paragraph 26, in Verbindung mit Paragraph 49, Absatz 3, DSG 2000 entsprechende Auskunft zu erteilen.

2.    Die Beschwerdegegnerin hielt diesem Vorbringen in ihrer Stellungnahme vom 22. Dezember 2016 Folgendes entgegen: Es sei richtig, dass anlässlich der von der rechtsfreundlichen Vertretung verlangten Änderung der Bankdaten am 6. September 2016 eine Bonitätsabfrage des Beschwerdeführers bei der Q*** durchgeführt wurde. Das – negative – Ergebnis habe nicht automatisch, wie für die Anwendung von Paragraph 49, DSG 2000 gefordert, zu einer Ablehnung des Antrags auf Änderung des Verrechnungsverfahrens geführt. Vielmehr habe man den Fall „manuell“ nochmals geprüft und um Übermittlung einer Ausweiskopie des Beschwerdeführers und eines Einkommensnachweises ersucht. Am 7. September 2016 habe man die Bonität nochmals abgefragt, um mögliche Änderungen des Bonitätsstatus des Beschwerdeführers berücksichtigen zu können. Erst nachdem dieser neuerlich negativ war, und der Beschwerdeführer sich geweigert hatte, einen Einkommensnachweis zu erbringen, habe man eine Änderung der Bankdaten (Annahme des SEPA-Lastschriftmandats) abgelehnt. Die Nichtbeauskunftung der Ermittlung von Bonitätsdaten in der Auskunft vom 28. September 2016 sei auf einen internen prozessualen Fehler (Nicht-Berücksichtigung von Bonitätsabfragen für Zwecke der Marke „****“) zurückzuführen. Dies sei inzwischen korrigiert worden. Im Übrigen entspreche die erteilte Auskunft dem Gesetz. So ziehe man etwa für die beauskunfteten Datenanwendungen keine Dienstleister heran.

3.    Am 28. Dezember 2016 legte die Beschwerdegegnerin der Datenschutzbehörde ein neuerliches (ergänztes und inhaltlich berichtigtes) Auskunftsschreiben an den Beschwerdeführer vom selben Tage vor.

4.    Die Datenschutzbehörde erachtete die Beschwer durch diese ergänzende Auskunftserteilung für beseitigt und gewährte dem Beschwerdeführer zur geänderten Sachlage am 28. Dezember 2016 Parteiengehör gemäß Paragraph 31, Absatz 8, DSG 2000.

5.    Der Beschwerdeführer bestritt in seiner Stellungnahme vom 12. Jänner 2017 die Beseitigung seiner Beschwer durch das Handeln der Beschwerdegegnerin. Er brachte vor, es sei nicht nachvollziehbar, warum ein Auftreten des Unternehmens der Beschwerdegegnerin unter verschiedenen Marken ein Grund für eine unvollständige Auskunftserteilung sein könne. Die Auskunft sei nunmehr bloß um Angaben zur Tatsache zweier durchgeführter Bonitätsabfragen am 6. und 7. September 2016 ergänzt worden. Es fehlten aber weiter Daten zu den von der Q*** erhaltenen Bonitätsinformationen. Das Vorbringen der Beschwerdegegnerin, es sei eine „manuelle“ Prüfung dieser Daten durchgeführt worden, indiziere jedenfalls, dass solche verarbeitet würden. Der Inhalt der Bonitätsdaten sei für den Beschwerdeführer von besonderer Bedeutung, weil ihm dadurch erst ermöglicht werde, sein Recht auf Richtigstellung gegenüber der Quelle dieser Daten auszuüben. Weiters fehlten immer noch Angaben zu Namen und Adressen der herangezogenen Dienstleister. Außerdem stütze die Beschwerdegegnerin ihre Datenverwendung laut erteilter Auskunft auf untaugliche Rechtsgrundlagen wie allgemeine Bestimmungen des TKG 2003 und des DSG 2000 sowie Punkt 3 ihrer AGB. Letztere seien gar nicht anwendbar, da der Beschwerdeführer nicht Vertragspartner der Beschwerdegegnerin sei. Der Beschwerdeführer stellte nunmehr den Antrag, die Datenschutzbehörde möge das Verfahren fortsetzen und 1. eine Verletzung des Beschwerdeführers in seinem verfassungsrechtlich gewährleisteten Grundrecht auf Datenschutz feststellen und 2. der Beschwerdegegnerin auftragen, „eine vollständige unter [gemeint wohl: „und den“] gesetzlichen Vorgaben des Paragraph 26, DSG entsprechende Auskunft zu erteilen.

6.    Das Ermittlungsverfahren war daher fortzusetzen. Die Datenschutzbehörde forderte die Beschwerdegegnerin am 13. Jänner 2017 auf, sich zur Frage der Verarbeitung von Bonitätsdaten näher zu äußern und eine informierte Person als möglichen Zeugen namhaft zu machen.

7.    Die Beschwerdegegnerin brachte in ihrer weiteren Stellungnahme vom 30. Jänner 2017 vor, dass keine weiteren Daten zur Auskunftserteilung betreffend den Beschwerdeführer vorliegen würden. Der Prozess der Abfrage von Bonitätsdaten sei dem Beschwerdeführer bereits erläutert worden. Dies erfolge über ein externes, von der Q*** bereitgestelltes System mit spezieller Zugangsberechtigung. Sämtliche Informationen würden auf Servern der Q*** gespeichert. Dem abfragenden Mitarbeitern würde nur die Beurteilung der Q*** in Form eines Ampelsystems Grün-Rot-Gelb. Grün stehe für positive Bonität, Gelb und Rot wären jeweils Auslöser für zusätzliche Prozesse, im Speziellen einer Überprüfung des Ampel- bzw. „Farbstatus“ durch den Teamleiter mit erweiterter Rollenberechtigung bei der Q***, in eventu die Anforderung weiterer Nachweise wie eines Einkommensnachweises. Der konkrete Inhalt der Bonitätsinformation werde bei der Beschwerdegegnerin nicht gespeichert. Im konkreten Fall des Beschwerdeführers sei die Bonitätsabfrage als negativ dokumentiert und, nachdem der Beschwerdeführer einen Einkommensnachweis nicht erbracht habe, der Überprüfungsprozess nicht weiter fortgesetzt worden. Ein Löschung bzw. Richtigstellung der bonitätsrelevanten Daten könne ausschließlich bei der Q*** verlangt werden. Vorgelegt wurde überdies ein weiteres ergänzendes Auskunftsschreiben an den Beschwerdeführer vom 30. Jänner 2017.

8.    Am 14. Februar 2017 hat die Datenschutzbehörde Karin J*** als Zeugin einvernommen (Niederschrift zu GZ: DSB-D122.641/0004-DSB/2017). Den Parteien wurde dazu Gehör gewährt.

9.    Der Beschwerdeführer brachte dazu in seiner Stellungnahme vom 28. Februar 2017 vor, die Zahlungen für den Mobilfunkvertrag der Kundin Eva H*** würden schon seit Vertragsabschluss durch Einzug von einem Konto des Beschwerdeführers abgewickelt. Anlass der Bonitätsprüfung sei hier wohl eine wegen eines Fehlers der Bank beim Wechsel der Kontoverbindung erfolgte Nicht-Abwicklung einer fälligen Zahlung. Die Befragung der Zeugin habe ergeben, dass jedenfalls das Ergebnis der „Ampel“ bei der Beschwerdegegnerin gespeichert würde. Dazu sei aber bisher keine Auskunft erteilt worden. Weiters habe die Befragung ergeben, dass die Beschwerdegegnerin automatisierte Einzelentscheidungen im Sinne des Paragraph 49, DSG 2000 treffe. Dies treffe jedenfalls auf Bonitätsprüfungen mit Ergebnis „Ampel rot“ zu. Daran ändere auch das Ergebnis nichts, dass die Berechnungen von der Q*** vorgenommen würden. Daher wäre die Beschwerdegegnerin auch zu einer Auskunft gemäß Paragraph 49, Absatz 3, DSG 2000 verpflichtet gewesen. Die gegenständliche Datenanwendung sei offenbar im Zusammenspiel mit der Q*** so gestaltet, um das verfassungsmäßige Auskunftsrecht des Beschwerdeführers zu beschränken. Er rege daher ein Vorgehen nach Paragraph 30, Absatz 6,, allenfalls nach Absatz 6 a, DSG 2000 an. Zuletzt sei dem Beschwerdeführer bis heute keine Auskunft über die Namen und Adressen der herangezogenen Dienstleister erteilt worden. Der Beschwerdeführer beantragte neuerlich, 1. Der Beschwerde Folge zu geben und eine Verletzung seines „Grundrechts auf Datenschutz“ festzustellen, und 2. der Beschwerdegegnerin aufzutragen, „eine vollständige unter gesetzlichen Vorgaben des Paragraph 26, DSG entsprechende Auskunft zu erteilen.“

10.  Die Beschwerdegegnerin hat keine weitere Stellungnahme abgegeben.

B. Beschwerdegegenstand

11.  Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das datenschutzrechtliche Auskunftsverlangen des Beschwerdeführers vom 23. September 2016 gesetzmäßig beantwortet hat.

C. Sachverhaltsfeststellungen

12.  Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

13.  Die Beschwerdegegnerin erbringt als Unternehmerin unter anderem unter der Marke „****“ Kommunikationsdienstleistungen in Form eines Mobilfunkdienstes. Zwischen ihr und Eva H*** besteht ein Vertrag über die Erbringung entsprechender Dienstleistungen (kurz: Mobilfunkvertrag, Rufnummer +436**9*1*3*), wobei die fälligen Entgelte von Beginn an von einem Bankkonto des Beschwerdeführers geleistet wurden. Mit eigenhändig unterschriebenem und der Beschwerdegegnerin übersendetem SEPA-Lastschriftmandat vom 25. Juli 2016 ermächtige der Beschwerdeführer die Beschwerdegegnerin, Zahlungen nunmehr von seinem Bankkonto *** durch Lastschrift einzuziehen.

14.  Beweiswürdigung: Diese Feststellungen beruhen hinsichtlich der unternehmerischen Tätigkeit auf allgemein bekannten Tatsachen, hinsichtlich des Vertrags mit Eva H*** auf den glaubwürdigen und unbestrittenen Angaben des Beschwerdeführers und auf der als Beilage./1 zur Beschwerde vom 7. Dezember 2017 vorgelegten Kopie des Lastschriftmandats.

15.  Im Fall des Beschwerdeführers kam es im Zuge der Kontenumstellung in zumindest einem Fall zu einem fehlgeschlagenen Lastschrifteinzug. Der entsprechende Reklamationsprozess wird von der Beschwerdegegnerin unter „TICKET ++***+++ im RT-System, das zur Dokumentation von Kundenanbringen dient, gespeichert.

16.  Bei der Beschwerdegegnerin wurde daraufhin eine Prüfung der Bonität (Kreditwürdigkeit) des Beschwerdeführers durch die Q***(DVR: 0*4*2**) veranlasst. Zunächst wurden durch einen Kundenbetreuer auf Callcenter-Ebene die Identifikationsdaten des Beschwerdeführers an die Q*** übermittelt. Das zurückübermittelte Ergebnis der Bonitätsprüfung lautete auf „gelb“, was im Sinne eines Ampelsystems für den verantwortlichen Kundenbetreuer bedeutete, dass er den Fall zur näheren Prüfung dem hierarchisch übergeordneten Teamleiter vorzulegen hatte, bei „rot“ wäre das Kundenanbringen jedenfalls abzulehnen gewesen. Der Teamleiter kann eine nähere Prüfung der Bonität im System der Q***, auch „manuelle Prüfung“ genannt, veranlassen, die den Zugang zu Details der Bewertung durch die Q*** (Hintergrunddaten) umfasst, und vom Betroffenen weitere Nachweise seiner Zahlungsfähigkeit wie einen Einkommensnachweis verlangen. Die erweiterte Befugnis zur Durchführung der „manuellen Prüfung“ kam im relevanten Zeitraum (Sommer 2016) nur der Leitung des Callcenters sowie der Leiterin „Customer Care ****“, Frau Karin J***, und deren Assistentin zu.

17.  Insgesamt wurden zwei Abfragen der Bonitätsdaten des Beschwerdeführers bei der Q*** am 6. und 7. September 2016 durchgeführt. Nach der ersten Abfrage wurde der Beschwerdeführer am 7. September 2016 in einer E-Mail an die ihn zu diesem Zeitpunkt bereits vertretende R***-Rechtsanwälte ersucht, einen Einkommensnachweis zu übermitteln. Noch am selben Tag, nach der Weigerung des Beschwerdeführers, einen Einkommensnachweis vorzulegen, und nochmaliger Bonitätsprüfung durch die Q***, einschließlich „manueller Prüfung“ mit Abfrage der Hintergrunddaten, lehnte die Beschwerdegegnerin die Änderung der Bankdaten „aus Bonitätsgründen“ ab. In der elektronischen Kundenverwaltung (CRM-System) der Beschwerdegegnerin wurde betreffend den Beschwerdeführer ein Vermerk mit dem sinngemäßen Inhalt: „Bonitätsprüfung gelb, Einkommensnachweis nachfordern“ angebracht. Weitere Daten zum Ergebnis der Bonitätsprüfung durch die Q*** werden nicht verarbeitet.

18.  Beweiswürdigung: Diese Feststellungen beruhen hinsichtlich der Vorgehensweise bei und des jeweiligen Umfangs der Bonitätsprüfung beruhen auf der Aussage der Zeugin Karin J*** vom 14. Februar 2017 (GZ: DSB-D122.641/0004-DSB/2017). Die Zeugin hat zwar, jedenfalls im relevanten Zeitabschnitt, keine Abfrage der Bonitätsdaten des Beschwerdeführers veranlasst, ihre Angaben ergeben aber ein klares Bild vom Prozess der Bonitätsprüfung bei der Beschwerdegegnerin u.a. dahingehend, dass der Zugang zu den von Q*** als Grundlage der Bonitätsbewertung verarbeiteten inhaltlichen Daten auf einen kleinen Personenkreis beschränkt war, und eine solche „manuelle Prüfung“ der Q***-Daten nur in Ausnahmefällen durchgeführt wurde. Dass und wann Bonitätsprüfungen durch die Q*** in Auftrag gegeben wurden, geht auch aus der entsprechenden datenschutzrechtlichen Auskunft der Q***an den Beschwerdeführer vom 2. November 2016 (Beilage./7 zur Beschwerde vom 7. Dezember 2016) hervor. Im Übrigen stützt sich die Datenschutzbehörde auf die als Beilagen zur Beschwerde vom 7. Dezember 2017 vorgelegten weiteren Urkundenkopien (E-Mail-Wechsel, Beilagen./2 und ./3). Die Tatsache einer „manuellen Prüfung“ wurde von der Beschwerdegegnerin im ergänzenden Auskunftsschreiben an den Beschwerdeführer am 30. Jänner 2017 selbst zugestanden (Verlangen eines Einkommensnachweis „basierend“ auf „von der Q*** zusätzlich freigegebenen Bonitätsinformationen“).

19.  Am 23. September 2016 erging folgendes Schreiben an die Beschwerdegegnerin (samt angeschlossener Vollmacht und einer Kopie des Reisepasses des Beschwerdeführers):

[Anmerkung Bearbeiter: Faksimile des Originals im RIS nicht wiedergegeben, da nicht mit vertretbarem Aufwand pseudonymisierbar. Das Schreiben entspricht inhaltlich einem üblichen datenschutzrechtlichen Auskunftsverlangen.]

20.  Darauf erging am 28. September 2016 folgendes Antwortschreiben:

[Anmerkung Bearbeiter: Faksimile des Originals im RIS nicht wiedergegeben, da nicht mit vertretbarem Aufwand pseudonymisierbar. Die Auskunft enthält u.a. die Angabe, das „für Gläubigerschutzzwecke“ Bonitätsabfragen bei der Q*** Austria Holding GmbH möglich seien, darauf folgend jedoch den Satz: „Eine Bonitätsabfrage zum Gläubigerschutzzwecke zu ihrer Person haben wir nicht gemacht.“]

21.  Diese Auskunft wurde im laufenden datenschutzrechtlichen Beschwerdeverfahren wie folgt durch zwei Schreiben ergänzt:

[Anmerkung Bearbeiter: Faksimile des Originals im RIS nicht wiedergegeben, da nicht mit vertretbarem Aufwand pseudonymisierbar. Die ergänzende Auskunft enthält u.a. folgende Angaben: „Eine Bonitätsabfrage zum Gläubigerschutzzwecke zu Ihrer Person wurde am 6.9.2016 und am 7.9.2016 bei der Q*** Austria Holding GmbH - aufgrund einer beantragten Bankdatenänderung für den Vertrag von Frau Eva H*** - durchgeführt. Das Ergebnis beider Abfragen war negativ. Es wurde vermerkt, dass die Bonitätsauskünfte negativ waren und die Beibringung einer Ausweiskopie und eines Einkommensnachweises aufgetragen wurde. Der Einkommensnachweis wurde nicht erbracht, weswegen eine Ablehnung der Bankdatenänderung erfolgte.“]

22.  Beweiswürdigung: Die Feststellungen ab Rz. 19 beruhen auf den zitierten Urkundenkopien (Echtheit bzw. Übereinstimmung mit dem Original und Empfang jeweils unbestritten), Beilagen./4 und ./6 zur Beschwerde vom 7. Dezember 2016, Beilage zur Stellungnahme der Beschwerdegegnerin vom 28. Dezember 2016, ESt in GZ: DSB-D122.614/0005-DSB/2016, und Beilage zur Stellungnahme der Beschwerdegegnerin vom 30. Jänner 2017, ESt in GZ: DSB D122.641/0003-DSB/2017.

D. In rechtlicher Hinsicht folgt daraus:

23.  Die Beschwerde hat sich teilweise als berechtigt erwiesen.

24.  Strittig waren bei Schluss des Ermittlungsverfahren auf Grund des Vorbringens des Beschwerdeführers (nach Parteiengehör gemäß Paragraph 31, Absatz 8, DSG 2000) drei Punkte:

a)    Die inhaltliche Auskunftserteilung hinsichtlich gespeicherter Daten zur Kreditwürdigkeit (Bonität) des Beschwerdeführers;

b)    die Erfüllung des besonderen Auskunftsrechts gemäß Paragraph 49, Absatz 3, DSG 2000 (logischer Ablauf der automatisierten Entscheidungsfindung);

c)    Auskunftserteilung zu Namen und Adressen von Dienstleistern.

Auskunft zu gespeicherten Bonitätsdaten

25.  In diesem Punkt hat sich die Beschwerde als berechtigt erwiesen. Die Beschwerdegegnerin hat ihre ursprünglich erteilte Auskunft, dass keinerlei Bonitätsprüfungen vorgenommen und entsprechende Daten empfangen wurden, zwar mit Schreiben vom 28. und 30. Jänner 2017 dahingehend korrigiert, dass das Verfahren der Bonitätsprüfung durch die Q*** näher beschrieben und bekanntgegeben wurde, das Ergebnis sei „als negativ dokumentiert“ worden. Das Ermittlungsverfahren hat jedoch ergeben, dass nicht nur Bonitätsdaten empfangen wurden, sondern auch Daten zum Ergebnis der Bonitätsprüfung durch die Q*** bei der Beschwerdegegnerin gespeichert werden (im CRM-System).

26.  Das subjektive Recht auf Auskunft über eigene Daten gemäß Paragraph 26, Absatz eins, DSG 2000 umfasst den Anspruch, eine vollständige und richtige Auskunft im vom Gesetz umschriebenen Umfang über eigene Daten, die der Auftraggeber verarbeitet, vom Auftraggeber zu erhalten (ständige Spruchpraxis der Datenschutzkommission seit dem Bescheid vom 23. August 2002, GZ: K120.819/003-DSK/2002, RIS). Der datenschutzrechtliche Auftraggeber genügt dem Kriterium der Vollständigkeit nicht, wenn er aus dem Inhalt seiner Datenanwendungen eine Auswahl trifft (etwa nur jene Daten zu beauskunften, von denen er annimmt, dass sie den Betroffenen vorrangig interessieren, oder solche Daten wegzulassen, von denen er annimmt, dass der Betroffene sie ohnehin kennt). Ebenso wenig reicht es aus, den Betroffenen auf den Inhalt einer Website oder auf „Allgemeine Geschäftsbedingungen“ zu verweisen. Grundsätzlich ist dem Betroffenen stets eine vollständige und authentische Wiedergabe des Dateninhalts vorzulegen oder – mit dessen Zustimmung gemäß Paragraph 26, Absatz eins, Satz 5 DSG 2000 – durch Einsichtnahme zugänglich zu machen. Nach dem Gesetz muss die Auskunft „in allgemein verständlicher Form“ erteilt werden. Codes (hier gemeint: Dateninhalt, der nicht im Volltext, sondern durch Schlüsselbegriffe ausgedrückt wird), Abkürzungen und dergleichen, die nur dem organisationsinternen Gebrauch des Auftraggebers dienen, sind dem Betroffenen daher offen zu legen und zu erläutern. Auch verarbeitete Codes, deren Bedeutung dem Auftraggeber nicht mehr geläufig sein sollte, sind unter Offenlegung dieser Tatsache zu beauskunften (Bescheid der früheren DSK vom 3.10.2007, K121.290/0015-DSK/2007, RIS, Unterstreichung nicht im Original).

27.  Die Beschwerdegegnerin hätte daher dem Beschwerdeführer eine genaue Auskunft über den Inhalt der zu seiner Person verarbeiteten Daten zum Ergebnis der Bonitätsprüfung durch die Q*** erteilen müssen. Bei einer Auskunft zu empfangenen und verarbeiteten Bonitätsdaten besteht ein berechtigtes Interesse des Betroffenen, im Hinblick auf eine mögliche Ausübung des Rechts auf Richtigstellung den genauen Inhalt der verarbeiteten Daten zu erfahren. Das Ermittlungsverfahren hat ergeben, dass das Ergebnis der Bonitätsprüfungen von 6. und 7. September 2016 (laut Ampelsystem) „gelb“ war, u.a. da ein „rotes“ Ergebnis zur Ablehnung des Anbringens (Änderung der Kontoverbindungsdaten) ohne weitere Ermittlungen führen hätte müssen. Die Auskunftsergänzung vom 30. Jänner 2017 legt zwar den Empfang von Bonitätsdaten (u.a. nach dem Ampelsystem) von der Q*** offen, spricht aber nur von einem „als negativ dokumentiert“(en) Ergebnis der beiden Bonitätsprüfungen. Es wäre an dieser Stelle offenzulegen gewesen, wie die Eintragung im CRM-System tatsächlich inhaltlich lautet, etwa ob die Beurteilung durch die Q*** nach dem Ampelsystem gespeichert oder nur ganz allgemein ein – aus Sicht der Beschwerdegegnerin – negatives Ergebnis vermerkt wurde, und in welcher genauen Form die Ergebnisse der Bonitätsprüfungen dokumentiert wurden (z.B. ob durch Speicherung eines Screenshots eines oder beider Abfrageergebnisse, Eintrag in einem Textfeld, etc., vergleiche „vollständige und authentische Wiedergabe des Dateninhalts“ im oben zitierten Bescheid).

28.  Dadurch, dass die Beschwerdegegnerin diese Auskunftserteilung, auch nach Ergänzung der Auskunft durch Schreiben vom 28. Dezember 2016 und 30. Jänner 2017, unterlassen hat, hat sie den Beschwerdeführer in seinem (Grund-) Recht auf Erhalt einer datenschutzrechtlichen Auskunft verletzt.

29.  Auf Grund vorliegenden Antrags des Beschwerdeführers war diese Rechtsverletzung nicht bloß festzustellen sondern war gemäß Paragraph 31, Absatz 7, 2. Satz DSG 2000 spruchgemäß ein entsprechender Leistungsauftrag zu erteilen.

Erfüllung des besonderen Auskunftsrechts gemäß Paragraph 49, Absatz 3, DSG 2000

30.  Die Datenschutzbehörde hat in einem (nicht rechtskräftigen, dzt. Streitgegenstand des Verfahrens Zl. W101 2124657-1 des Bundesverwaltungsgerichts, Datenschutzbericht 2016, Seite 15) Bescheid vom 8. Februar 2016, GZ: DSB-D122.304/0012-DSB/2015, folgende neue Gesetzesauslegung zur auftraggeberischen Verantwortung bei Bonitätsprüfungen durch Wirtschaftsauskunftsdienste (ein solcher wird von der damaligen Beschwerdegegnerin betrieben) im Zusammenhang mit automatisierten Einzelentscheidungen gefunden:

„Wie der Beschwerdeführer in seiner Stellungnahme vom 2. August 2015 im Hinblick auf die Ergebnisse des Ermittlungsverfahrens zutreffend ausgeführt hat, führt die Beschwerdegegnerin die Rechenoperationen, die einen seine Bonität wiederspiegelnden Zahlenwert ergeben, in ihrem EDV-System durch, stellt die Datenbasis (Daten des Beschwerdeführers im Bestand der Adressdaten und sogenannten Zahlungserfahrungsdaten) für die Berechnung zur Verfügung und speichert das errechnete Ergebnis der Bonitätsbeurteilung. Damit hat die Beschwerdeführerin personenbezogene Daten des Beschwerdeführers gemäß Paragraph 4, Ziffer 4 und 9 DSG 2000 als Auftraggeberin für eigene Zwecke – und sei es nur jener der Dokumentation der für Kunden erbrachten Leistungen – verarbeitet. Dass Kunden der Beschwerdegegnerin die Parameter der Bonitätsbeurteilung, etwa die Gewichtung der Adress- und sogenannten Zahlungserfahrungsdaten, individuell festlegen können, reduziert die Rolle der Beschwerdegegnerin nach Überzeugung der Datenschutzbehörde nicht auf die einer Dienstleisterin. Zwar kann die Berechnung eines Bonitätswertes („Score“) als „aufgetragenes Werk“ im Sinne einer datenschutzrechtlichen Dienstleistung gelten; Paragraph 4, Ziffer 5, DSG 2000 setzt aber voraus, dass der Dienstleister die Daten nur und ausschließlich für die Herstellung dieses Werkes verwendet (und nach Abschluss vollständig löscht oder wieder an den Auftraggeber zurückstellt bzw. zurücküberlässt). Im hier vorliegenden Fall, da der Datenverarbeiter das Werk nach Vorgaben seines Kunden aber auf Grundlage von ihm selbst auftraggeberisch verarbeiteter Daten und unter Speicherung des Ergebnisses erstellt, ist dieser gesetzliche Tatbestand jedoch überschritten worden.

Daraus folgt, dass die Beschwerdegegnerin verpflichtet war, dem Beschwerdeführer über die bei ihr verarbeiteten Daten erfolgter Bonitätsauskünfte Auskunft zu erteilen. [...]

Paragraph 49, Absatz eins, DSG 2000 nennt die Bewertung der Kreditwürdigkeit, auch als Bonität bekannt, ausdrücklich als einen Fall einer automatisierten Einzelentscheidung. Es kommt dabei im Fall des gemäß Paragraph 49, Absatz 3, DSG 2000 geltenden besonderen Auskunftsrechts nicht darauf an, ob eine anschließend zu treffende wirtschaftliche Entscheidung von jenem Rechtssubjekt getroffen wird, dem die automationsunterstützte Bewertung zuzuschreiben ist.

In diesem Beschwerdefall ist festgestellt worden, dass die Beschwerdegegnerin nach den Vorgaben ihrer Kunden sogenannte „Scorekarten“ erstellt und auf deren Grundlage einen in einer Zahl ausgedrückten Bonitätswert, den „Total Score“ bzw. „Personen Score“ errechnet und speichert.

Die Scorekarte, im Fall der **** GmbH war es etwa jene mit der Bezeichnung „B2C CreditCheck – **** V3“, ist dabei als wesentlicher Teil des logischen Ablaufs der automatisierten Entscheidungsfindung zu verstehen. Nach dem Gesetz soll es dem Betroffenen ermöglicht werden, diesen Ablauf im Hinblick auf dessen Aussagekraft und die Stichhaltigkeit der automationsunterstützen Beurteilung zu prüfen oder überprüfen zu lassen. Um diesem gesetzlichen Zweck nachzukommen, ist es nach Ansicht der Datenschutzbehörde erforderlich, dem Betroffenen sowohl die in die Berechnung einbezogenen Faktoren als auch die vom System auszuführenden Rechenanweisungen (den Algorithmus) in allgemein verständlicher Form offenzulegen.“

31.  Was in jenem Bescheid zu einem in Zahlen ausgedrückten Bonitätswert („Score“) gesagt wurde, gilt, mutatis mutandis, hier auch für eine in einem „Ampelsignal“ Ausdruck findende Bonitätsbeurteilung.

32.  Daraus folgt, dass die Bonitätsbeurteilung als automatisierte Einzelentscheidung der Q*** als Auftraggeberin zuzurechnen ist, während die Beschwerdegegnerin als Empfängerin der Daten für die „anschließend zu treffende wirtschaftliche Entscheidung“ (hier: Nichtvornahme der Änderung der Kontodaten, Nicht-Annahme des neuen Lastschriftmandats) sowie, aus datenschutzrechtlicher Sicht, für die Verarbeitung (Speicherung) der von der Q*** empfangenen Daten zur Bonität des Beschwerdeführers verantwortlich zeichnet.

33.  Damit war die Beschwerdegegnerin, mangels Durchführung einer solchen, jedoch nicht verpflichtet, gemäß Paragraph 49, Absatz 3, DSG 2000 dem Beschwerdeführer Auskunft zum logischen Ablauf der automatisierten Entscheidungsfindung zu erteilen. Die Beschwerdegegnerin hat den Beschwerdeführer diesbezüglich zu Recht an die Q*** verwiesen.

Auskunftserteilung zu Namen und Adressen von Dienstleistern

34.  Die Beschwerdegegnerin hat dem Beschwerdeführer hier, anders als von letzterem behauptet, die Auskunft erteilt, es würde für die Überprüfung der Bonität unter anderem die „Q*** Austria Holding GmbH“ an einer näher angegeben Adresse in Wien als Dienstleisterin herangezogen.

35.  Nach dem festgestellten Sachverhalt war diese Auskunft aber unrichtig.

36.  Nach dem Stand des DVR betreibt die Q*** (DVR: 0*4*2**) einen Wirtschaftsauskunftsdienst (übt das Gewerbe der Auskunftei über Kreditverhältnisse gemäß Paragraph 152, GewO 1994 aus) und verarbeitet für diesen Zweck personenbezogene Daten (DAN: DVR: 0*4*2**/004). Die Q*** Austria Holding GmbH (DVR: 08*2*6*) beschränkt ihre Tätigkeit als datenschutzrechtliche Auftraggeberin dagegen, soweit Meldepflicht gemäß Paragraph 17, DSG 2000 besteht, auf die „Verwaltung der österreichischen Gruppen-Website, Marketingmaßnahmen für die österreichischen Gruppenunternehmen“ (DAN: 08*2*6*/002). Die auftraggeberische Verantwortung konnte im Übrigen auch der dem Beschwerdeführer von der Q*** erteilten datenschutzrechtlichen Auskunft vom 2. November 2016 (Beilage./7 zur Beschwerde vom 7. Dezember 2016) entnommen werden, da die Q*** und nicht die „Holding“ eine entsprechende Auskunft erteilt hat.

37.  Damit hat die Beschwerdegegnerin den Beschwerdeführer, auch wenn es sich offenkundig um zwei Gesellschaften einer Unternehmensgruppe bzw. um eine Holding und eine (operative) Tochtergesellschaft handelt, an die falsche Auftraggeberin verwiesen. Dadurch hat sie den Beschwerdeführer in seinem (Grund-) Recht auf Erhalt einer datenschutzrechtlichen Auskunft verletzt.

38.  Auf Grund vorliegenden Antrags des Beschwerdeführers war diese Rechtsverletzung nicht bloß festzustellen sondern war gemäß Paragraph 31, Absatz 7, 2. Satz DSG 2000 spruchgemäß ein entsprechender Leistungsauftrag zu erteilen.

Zusammenfassung

39.  Hinsichtlich der von der Beschwerdegegnerin verarbeiteten Daten betreffend die Bonität des Beschwerdeführers sowie hinsichtlich der Identität eines Dienstleisters war eine Verletzung des Auskunftsrechts festzustellen und der Beschwerdegegnerin spruchgemäß eine Ergänzung bzw. Richtigstellung der Auskunftserteilung aufzutragen. Im Übrigen war die Beschwerde als unbegründet abzuweisen.

European Case Law Identifier

ECLI:AT:DSB:2017:DSB.D122.641.0006.DSB.2017