Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

10.08.2018

Geschäftszahl

DSB-D123.098/0003-DSB/2018

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Text

GZ: DSB-D123.098/0003-DSB/2018 vom 10.9.2018

 

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der Erna A*** (Beschwerdeführerin) vom 28. Juni 2018 gegen die N*** Versicherungs- Aktiengesellschaft (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung in Folge der Weitergabe von personenbezogenen Daten wie folgt:

-      Der Beschwerde wird stattgegeben und es wird festgestellt, dass die Beschwerdegegnerin die Beschwerdeführerin dadurch in ihrem Recht auf Geheimhaltung verletzte, indem sie

a)    Peter A*** die im Zuge eines Versicherungsfalles an die Beschwerdegegnerin geleistete Versicherungssumme mündlich offenlegte und

b)    daraufhin eine Zahlungsbestätigung über die Überweisung der Beschwerdegegnerin auf das Konto der Beschwerdeführerin an Peter A*** übermittelte.

Rechtsgrundlagen: § 1 Abs. 1 und 2, § 7 Abs. 2 sowie § 8 Abs. 1 Z 4 und 3 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013; § 18 und § 24 Abs. 5 des Datenschutzgesetzes, BGBl. I Nr. 165/1999 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

Die Beschwerdeführerin brachte in ihrer Eingabe vom 28. Juni 2018 und Stellungnahme vom 24. Juli 2018 an die Datenschutzbehörde im Wesentlichen vor, die Beschwerdegegnerin habe ohne ihre Zustimmung eine Zahlungsbestätigung bezüglich einer Überweisung der Beschwerdegegnerin auf das Konto der Beschwerdeführerin an die Peter A*** Installationen & Heizungs GmbH ausgehändigt.

Die Beschwerdegegnerin erwiderte mit Stellungnahme vom 19. Juli 2018 zusammengefasst, sie habe zwar die Zahlungsbestätigung an Peter A*** übermittelt, sei jedoch davon ausgegangen, dass Peter A*** mit der Beschwerdeführerin noch in aufrechter Ehe stehe. Peter A*** seien zudem als ehemaligen Ehegatten die personenbezogenen Daten der Beschwerdeführerin bekannt. Einzige Ausnahme sei hierbei die Information über die Höhe des ausbezahlten Betrages. Im Zuge einer isolierten Betrachtung dieser Information sei jedoch keine Identifizierung mit der Beschwerdeführerin möglich und stelle die Höhe des Betrages somit kein personenbezogenes Datum dar. Sollte dennoch ein Personenbezug bestehen, so habe das wirtschaftliche Interesse des Peter A*** jedenfalls das Interesse der Beschwerdeführerin auf Geheimhaltung überwogen, da Peter A*** die Höhe des überwiesenen Betrages als Beweismittel herangezogen habe, um unwahre Behauptungen der Beschwerdeführerin zu wiederlegen.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin durch Offenlegung der geleisteten Versicherungssumme und Übermittlung der Zahlungsbestätigung an Peter A*** bezüglich einer Überweisung der Beschwerdegegnerin auf das Konto der Beschwerdeführerin gegen das Recht der Beschwerdeführerin auf Geheimhaltung verstoßen hat.

C. Sachverhaltsfeststellungen

Die Beschwerdegegnerin ist eine Versicherungsgesellschaft. Zwischen der Beschwerdeführerin und der Beschwerdegegnerin bestand ein Vertragsverhältnis.

Im Zuge eines Schadensfalles nahm die Beschwerdeführerin die Beschwerdegegnerin in Anspruch. Die Leistung von € 926,40 wurde von der Beschwerdegegnerin am 20. März 2018 direkt an die Beschwerdeführerin überwiesen.

Daraufhin kontaktierte Peter A***, geschiedener Ehegatte der Beschwerdeführerin, die Beschwerdegegnerin im April 2018, konkret deren Mitarbeiter Herrn T***, und fragte an, weshalb an die Beschwerdeführerin anstatt der € 926,40 (lt. Rechnung) nur ein Betrag von € 650,-- überwiesen wurde.

Herr T*** teilte Peter A*** mit, dass am 20. März 2018 an die Beschwerdeführerin ein Betrag in Höhe von € 926,40 überwiesen wurde. Da Peter A*** dies aufgrund von Aussagen der Beschwerdeführerin nicht glaubte, druckte Herr T*** eine Bestätigung der gegenüber der Beschwerdeführerin geleisteten Zahlung aus und übergab sie an Peter A***.

Dies erfolgte ohne Kenntnis und Zustimmung der Beschwerdeführerin.

Peter A*** übermittelte an die Beschwerdeführerin am 23. April 2018 ein Schreiben, in dem er sie in Kenntnis setzte, dass er weiß, dass die Beschwerdegegnerin der Beschwerdeführerin am 20. März 2018 einen Betrag in Höhe von € 926,40 überwiesen hatte.

Der Vorfall wurde bei der Beschwerdegegnerin am 26. April 2018 als Verletzung des Schutzes personenbezogener Daten protokolliert.

Beweiswürdigung: Die getroffenen Feststellungen stützen sich auf das insofern übereinstimmende Vorbringen der Parteien.

D. In rechtlicher Hinsicht folgt daraus:

Über diese Beschwerde ist verfahrensrechtlich nach neuer Rechtslage (DSG idF BGBl. I Nr. 24/2018) gemäß § 24 Abs. 5 DSG zu entscheiden. Materiellrechtlich ist die Sache jedoch nach den im April 2018, dem Zeitpunkt der behaupteten Verletzung des Rechts auf Geheimhaltung, geltenden Bestimmungen der §§ 1 bis 9 DSG 2000, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013, zu beurteilen.

Die Verfassungsbestimmung des § 1 Abs. 1 und 2 DSG 2000 idF BGBl. I Nr. 83/2013 lautete samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“

Durch die Nennung der ausgezahlten Versicherungssumme und die Übermittlung der Zahlungsbestätigung an Peter A*** gab die Beschwerdegegnerin personenbezogene Daten der Beschwerdeführerin gegenüber Dritten, nämlich Peter A***, preis.

Entgegen den Behauptungen der Beschwerdegegnerin handelt es sich bei der Nennung des übermittelten Zahlungsbetrags um Daten über das Vermögen der Beschwerdeführerin und somit ebenfalls um ein personenbezogenes Datum. Kein genügendes Argument ist es daher, dass der Zahlungsbetrag gesondert betrachtet keinen Personenbezug aufweist, da durch eine solch kontextlose Betrachtungsweise in den meisten Fällen ein Personenbezug entfallen würde und es somit zur Umgehung datenschutzrechtlicher Bestimmungen käme. Wie der EuGH ausführte, liegt ein personenbezogenes Datum auch dann vor, wenn zwar einzelne Anhaltspunkte isoliert betrachtet noch keine Identifizierung einer Person ermöglichen, die Identifizierung einer Person aber mit legalen Zusatzmitteln und vertretbarem Aufwand möglich ist (vgl. dazu das Urteil vom 19. Oktober 2016, C-582/14, Rz. 43 ff). In der gegenständlichen Rechtssache wurde nicht nur die Versicherungssumme allein Peter A*** kontextlos zur Kenntnis gebracht, sondern auch das Datum der Überweisung, welches im Zusammenhang mit dem überwiesenen Betrag ebenfalls einen Personenbezug ermöglicht.

Da es sich auch bei den Vermögensverhältnissen um ein schutzwürdiges Interesse handelt, hat die Beschwerdegegnerin somit in das Grundrecht der Beschwerdeführerin auf Geheimhaltung gemäß § 1 Abs. 1 DSG 2000 eingegriffen.

Wie festgestellt, lag für die Übermittlung der personenbezogenen Daten an Peter A*** zudem keine Zustimmung der Beschwerdeführerin im Sinne des § 1 Abs. 2 DSG 2000 vor und sind jedenfalls keine lebenswichtigen Interessen tangiert, weshalb eine Beschränkung des Rechts auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig ist.

Im Hinblick auf solch überwiegende berechtigte Interessen stützt sich die Beschwerdegegnerin auf § 8 Abs. 1 Z 4 DSG 2000.

§ 8 Abs. 1 und 3 DSG 2000, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013, lautete samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten

§ 8. (1) Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn

1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder

2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder

3. lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder

4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.

(2) […]

(3) Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten

1. für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist oder

2. durch Auftraggeber des öffentlichen Bereichs in Erfüllung der Verpflichtung zur Amtshilfe geschieht oder

3. zur Wahrung lebenswichtiger Interessen eines Dritten erforderlich ist oder

4. zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem erforderlich ist oder

5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden oder

6. ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat oder

7. im Katastrophenfall, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist; im letztgenannten Fall gilt § 48a Abs. 3.“

In diesem Zusammenhang ist jedoch auch § 7 DSG 2000 zu beachten, welcher die Zulässigkeit einer Übermittlung regelt.

§ 7 Abs. 2 DSG 2000, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013, lautete samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Zulässigkeit der Verwendung von Daten

§ 7. (1) […]

(2) Daten dürfen nur übermittelt werden, wenn

1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und

2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis – soweit diese nicht außer Zweifel steht – im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und

3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.“

Dass die übermittelten Daten aus einer zulässigen Datenanwendung, nämlich dem Vertragsverhältnis zwischen der Beschwerdeführerin und Beschwerdegegnerin entstammen, ist unstrittig.

Hinsichtlich § 7 Abs. 2 Z 2 DSG 2000 ist auszuführen, dass die bloße Tatsache, dass Peter A*** bei der Beschwerdegegnerin als Ehemann bzw. geschiedener Ehemann über die geleistete Zahlung an die Beschwerdegegnerin nachfragte, keine gesetzliche Zuständigkeit oder rechtliche Befugnis darstellt, welche zur Übermittlung iSd § 7 Abs. 2 Z 2 DSG 2000 berechtigt.

An dieser Stelle sei auch angemerkt, dass es keinen Unterschied bildet, ob Peter A*** mit der Beschwerdeführerin noch in aufrechter Ehe stand oder bereits geschieden war. Da es sich um die Ausübung von höchstpersönlichen Rechten handelt, hat Peter A*** – mangels entsprechender Vertretungsbefugnis – jedenfalls keinen Anspruch auf Bekanntgabe von personenbezogenen Daten der Beschwerdeführerin.

Sofern die Beschwerdegegnerin im Hinblick auf § 7 Abs. 2 Z 3 iVm § 8 Abs. 1 Z 4 DSG 2000 vorbringt, dass das wirtschaftliche Interesse des Peter A*** überwiegt und er die erhaltene Zahlungsbestätigung als Beweismittel zur Wiederlegung von unwahren Behauptungen der Beschwerdeführerin herangezogen habe, so ist auch dies aus Sicht der Datenschutzbehörde jedenfalls kein legitimer Grund personenbezogene Daten, welche die Beschwerdegegnerin in einem bilateralen Vertragsverhältnis verarbeitet, an Dritte zu übermitteln. Vielmehr würde die Ansicht der Beschwerdegegnerin dazu führen, dass jede Person „zur Beweismittelbeschaffung“ personenbezogene Daten von Dritten anfragen könnte.

Überdies bildet die Tatsache, dass dieser Vorfall von der Beschwerdegegnerin selbst intern als Verletzung des Schutzes personenbezogener Daten protokolliert wurde, Beweis dafür, dass auch für die Beschwerdegegnerin kein glaubhaftes wirtschaftliches Interesse des Peter A*** ersichtlich war.

Es liegen im Ergebnis keine überwiegenden berechtigten Interessen des Peter A*** vor und war die Übermittlung der Daten durch die Beschwerdegegnerin gemäß § 7 Abs. 2 DSG 2000 nicht rechtmäßig.

Die Beschwerdegegnerin hat somit durch Offenlegung der ausbezahlten Versicherungssumme und Übermittlung der Zahlungsbestätigung an Peter A*** gegen das Recht der Beschwerdeführerin auf Geheimhaltung gemäß § 1 DSG 2000 verstoßen.

Die vorliegende Beschwerde erwies sich daher als berechtigt und war ihr daher gemäß § 24 Abs. 5 DSG Folge zu geben und die Verletzung spruchgemäß festzustellen.

European Case Law Identifier

ECLI:AT:DSB:2018:DSB.D123.098.0003.DSB.2018