Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

31.07.2019

Geschäftszahl

DSB-D123.901/0002-DSB/2019

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Text

GZ: DSB-D123.901/0002-DSB/2019 vom 31.7.2019

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Dr. Peter A*** (Beschwerdeführer) vom 10. Dezember 2018 gegen die N*** Bausparkasse AG, vertreten durch B*** Rechtsanwalts GmbH & Co KG, Dr. Karl B***, Rechtsanwalt in **** (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wie folgt:

1.    Der Beschwerde wird Folge gegeben, und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie seinem Auskunftsbegehren vom 29. Oktober 2018 nicht entsprochen hat.

2.    Der Beschwerdegegnerin wird aufgetragen, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution dem Antrag des Beschwerdeführers auf Auskunft zu entsprechen oder diesen über das Nicht-Tätigwerden gemäß Art. 12 Abs. 4 DSGVO zu unterrichten.

Rechtsgrundlagen: Art. 15, Art. 57 Abs. 1 lit. f, Art. 58. Abs. 2 lit. c sowie Art. 77 Abs. 1 der Datenschutz-Grundverordnung (DSGVO), ABl. Nr. L 119 vom 04.05.2016, S. 1; § 24 Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit Eingabe vom 10. Dezember 2018 behauptet der Beschwerdeführer eine Verletzung im Recht auf Auskunft und bringt zusammengefasst vor, dass er ein Auskunftsersuchen an die Beschwerdegegnerin gerichtet habe, diese aber mittgeteilt habe, dem Antrag nicht zu folgen, da die Identität des Beschwerdeführers nicht mit ausreichender Sicherheit festgestellt werden könne. Der Beschwerdeführer habe in seinem Auskunftsersuchen inhaltliche Angaben zu seiner Identität gemacht und zwar insbesondere auf den letzten Vertrag mit der Verantwortlichen, den Auszahlungsbetrag sowie das Auszahlungsdatum und auch das Auszahlungskonto. Er habe auch eine Ausweiskopie dem Auskunftsersuchen beigelegt, seine Identität stehe dadurch eindeutig fest. Es sei der Verantwortlichen jederzeit möglich gewesen, die Auskunft durch postalische Zusendung der Informationen gemäß Art. 15 DSGVO zu eigenen Handen in einer Art zu erteilen, dass nur er persönlich die Informationen erhalte, sodass eine Verletzung des Datenschutzes oder der Bestimmungen des BWG durch die Art der Übermittlung ausgeschlossen gewesen wäre. Die Anforderungen, die die Verantwortliche an die Identitätsprüfung stelle, seien überschießend und entsprächen auch nicht den Vorgaben des Art. 12 DSGVO. Auch wenn die Verantwortliche den Bestimmungen des BWG unterliege, sei die Identität mit dem übermittelten Email vom 19.10.2018, den darin gemachten inhaltlichen Angaben und der Beilage einer Ausweiskopie ausreichend nachgewiesen. Die Verantwortliche hätte daher die Auskunft innerhalb der gesetzlichen Frist erteilen müssen.

2. Mit Stellungnahme vom 25. Jänner 2019 (ha. eingelangt am 28. Jänner 2019) führt die Beschwerdegegnerin zusammengefasst aus, dass sie bei Prüfung des Auskunftsbegehrens zum Ergebnis gekommen sei, dass die übermittelten Informationen für eine eindeutige Identitätsfeststellung nicht ausreichend gewesen seien. Zwar sei die E-Mail des Beschwerdeführers mit einem PGP-Schlüssel, nicht aber mit einer qualifizierten elektronischen Signatur iSd des § 4 Abs. 1 SVG versehen gewesen. Man könne damit nur überprüfen, dass die E-Mail tatsächlich von der genannten Absender-E-Mail-Adresse stamme. Man habe bei der Überprüfung auch festgestellt, dass es sich beim Beschwerdeführer um einen ehemaligen Kunden handle und es keine laufenden Produkte gebe. Im System der Beschwerdegegnerin sei weiters keine Zustimmung des Beschwerdeführers zur Kommunikation per E-Mail vermerkt. Man habe den Beschwerdeführer mit eingeschriebenem Brief informiert, dass seine Identität nicht mit ausreichender Sicherheit festgestellt werden könne, und habe ihm die Möglichkeiten zur Identifizierung aufgezeigt.

Ihr Vorgehen rechtfertigte die Beschwerdegegnerin mit der erhöhten Sorgfaltspflicht eines konzessionierten Kreditinstituts und dem Bankgeheimnis nach § 38 BWG. Ohne ausreichende Überprüfung der Identität laufe man Gefahr, Daten unrechtmäßig an einen Dritten zu übermitteln. Ein Kreditinstitut habe die Feststellung der Identität nicht nur nach Maßgabe der DSGVO zu prüfen, sondern auch mit der Sorgfalt, die es auch im gewöhnlichen Geschäftsverkehr mit Kunden an den Tag lege, wenn Daten beauskunftet würden, die dem Bankgeheimnis unterliegen.

Die angebotenen Möglichkeiten der Identifizierung seien nicht überschießend. Mit der vom Beschwerdeführer gewählten Form der Identifizierung könne nicht ausgeschlossen werden, dass kritische Daten an Dritte weitergegeben würden, weil nicht abschließend überprüfbar sei, wer das Auskunftsbegehren gestellt habe.

Auch sei der Vorschlag des Beschwerdeführers, die Auskunft postalisch zu übermitteln, nicht geeignet um Zweifel der Identität auszuräumen, da kein aufrechtes Vertragsverhältnis mehr bestehe und sich die Beschwerdegegnerin nicht mehr auf die Korrektheit der Adresse verlassen könne.

Abschließend unterstellt die Beschwerdegegnerin dem Beschwerdeführer auch ein mangelndes Rechtsschutzinteresse, wobei sie im Wesentlichen ausführt, dem Beschwerdeführer gehe es nicht darum, sein Recht auf Auskunft durchzusetzen, sondern darum, Rechtsfortbildung zu betreiben und Inhalte für seinen Blog zu generieren. Das Auskunftsersuchen und die Beschwerde würden damit nur seinem eigenen geschäftlichen Interesse dienen. Der Beschwerdeführer habe selbst mitgeteilt, es sei seine Intention zu klären, ob die Anforderungen der Identitätsprüfung überschießend seien oder nicht.

3. Im Rahmen des Parteiengehörs brachte der Beschwerdeführer mit Eingabe vom 15. Februar 2019 zusammengefasst vor, dass auf Grundlage der im Auskunftsersuchen vorgebrachten Daten eine zweifelsfreie Identifizierung erfolgen hätte müssen. Es gebe auch keine begründeten Zweifel an seiner Identität. Die Beschwerdegegnerin erschwere durch ihr Vorgehen bloß die Ausübung seiner Betroffenenrechte und handle entgegen Art. 12 Abs. 2 DSGVO. Keine der eingeräumten Identifizierungsmöglichkeiten der Beschwerdegegnerin entspreche den Grundsätzen der DSGVO.

Eine Berufung auf das Bankgeheimnis des § 38 BWG stelle außerdem einen Rechtsmissbrauch dar. In Bezug auf das Bankgeheimnis sei auch der Anwendungsvorrang der DSGVO zu beachten.

Der Beschwerdegegnerin sei die Anschrift des Beschwerdeführers auch bekannt, das ergebe sich durch die postalische Zusendung der Aufforderung des Identitätsnachweises. Diese Postadresse sei im Auskunftsersuchen gar nicht genannt worden. Die Zusendung eines Briefes bedeute unweigerlich, dass die Beschwerdegegnerin den Beschwerdeführer identifizieren konnte. Die Beschwerdegegnerin hätte außerdem eine Meldeauskunft einholen können.

Es sei richtig, dass der PGP Schlüssel beweise, dass die E-Mail tatsächlich von der Absender-E-Mail-Adresse stamme. Mit dieser Information sei es der Beschwerdegegnerin jedoch möglich, die mit der Domain verknüpfte Information festzustellen.

Es sei richtig und gleichzeitig rechtlich unbedeutend, dass das Auskunftsbegehren nicht mit einer qualifizierten elektronischen Signatur versehen gewesen sei.

Es sei auch irrelevant, dass im System der Beschwerdegegnerin keine Zustimmung des Beschwerdeführers zur Kommunikation per E-Mail gegeben ist. Art. 15 DSGVO stelle eindeutig fest, dass auf einen elektronischen Antrag eine elektronische Antwort zu erfolgen habe. Im Antrag finde sich auch eine ausdrückliche Einwilligung, dass die Auskunftserteilung per E-Mail erfolgen solle.

Das von der Beschwerdegegnerin unterstellte mangelnde Rechtsschutzinteresse liege nicht vor, ein Rechtsschutzinteresse sei auf jeden Fall gegeben.

B. Beschwerdegegenstand

Ausgehend vom Vorbringen des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie seinem Auskunftsbegehren vom 29. Oktober 2018 nicht entsprochen hat.

C. Sachverhaltsfeststellungen

Der Beschwerdeführer stellte am 29. Oktober 2018 per E-Mail untenstehendes Auskunftsersuchen nach Art. 15 DSGVO an die Beschwerdegegnerin, wobei er eine Ausweiskopie sowie einen Screenshot der Webseite der Beschwerdegegnerin mitschickte. Das E-Mail selbst war mit einem PGP-Schlüssel versehen und wurde nachweislich von der Adresse p.a***@a**-h**-o**.at versandt. Der Domaininhaber von „a**-h**-o**.at“ ist mit Name „Peter A***“ und Unternehmen „A**H**O** - A*** H** & Partner Rechtsanwälte Kommandit-Partnerschaft“ registriert. Unter diesen Angaben findet sich auch ein Eintrag bei der Oberösterreichischen Rechtsanwaltskammer.

[Anmerkung Bearbeiter: Die im Original hier als Faksimile wiedergegebene E-Mail kann mit vertretbarem Aufwand nicht pseudonymisiert werden. Sie enthält den Hinweis, „als Kunde sowie gesetzlicher Vertreter von Kunden und als Zeichnungsberechtigter auf unterschiedlichen, bereits geschlossenen Konten (Bausparverträgen)“ in Beziehung zur Beschwerdegegnerin gestanden zu sein sowie ein Ersuchen um „vollständige Auskunft“ gemäß Art. 15 DSGVO sowie um eine „Kopie der Daten iSd Art 15 (3) DSGVO“. Es enthält weiters einen Hinweis auf die Zeit des letzten Besuchs der Website der Beschwerdegegnerin sowie die verwendete IP-Adresse. Weiters sind zwecks Identitätsprüfung Name, Geburtsdatum und Wohnadresse des Beschwerdeführers, eine Ausweiskopie sowie die ID-/Konto-Nummern, der ausgezahlte Betrag sowie die Empfängerkontonummer eines 2018 ausgezahlten Bausparvertrags angegeben. Der Beschwerdeführer erklärt sich ausdrücklich mit einer Auskunftserteilung per E-Mail einverstanden.]

In Folge übermittelte die Beschwerdegegnerin postalisch folgendes Schreiben vom 27. November 2019:

[Anmerkung Bearbeiter: Das im Original hier als Faksimile wiedergegebene Schreiben kann mit vertretbarem Aufwand nicht pseudonymisiert werden. Dem Beschwerdeführer wird mitgeteilt, dass seine Identität nicht mit ausreichender Sicherheit festgestellt werden konnte. Er wird unter Hinweis auf das Bankgeheimnis aufgefordert, seine Identität durch ein eigenhändig unterschriebenes Schreiben samt Ausweiskopie, durch persönliche Vorsprache bei einer Geschäftsstelle der Beschwerdegegnerin oder durch eine E-Mail mit qualifizierter elektronischer Signatur nachzuweisen.]

Beweiswürdigung: Diese Feststellungen ergeben sich aus den übereinstimmenden Parteivorbringen, sowie dem vorliegenden Auskunftsersuchen vom 29. Oktober 2018 und dem Antwortschreiben der Beschwerdegegnerin vom 27. November 2019. Die Feststellungen zum Domaininhaber von „a**-h**-o**.at“ ergeben sich aus einer amtswegigen Recherche (Whois-Abfrage) der Datenschutzbehörde (Abgefragt am 31.07.2019). Die Feststellungen zur Eintragung bei der österreichischen Rechtsanwaltskammer ergeben sich aus einer amtlichen Recherche der Datenschutzbehörde auf der Webseite https://www.ooerak.at/rechtsanwalt/suche/ (Abgefragt am 31.07.2019).

Festgestellt wird auch, dass der Beschwerdeführer unter www.daten****.at/blog**/ einen öffentlichen Blog betreibt und am **. November 2018 einen Blogeintrag veröffentlichte, in welchem er sein Auskunftsbegehren und das Antwortschreiben der Beschwerdegegnerin anführte. Er stellte seinen Lesern auch die Frage, ob er wegen der, seiner Meinung nach überschießenden Anforderungen an die Identitätsfeststellung, Beschwerde bei der Datenschutzbehörde erheben solle, oder ob er der Beschwerdegegnerin noch eine Chance geben solle.

Die Beschwerdegegnerin forderte den Beschwerdeführer in Folge auf, diesen Blogeintrag zu löschen, woraufhin der Beschwerdeführer am **. Dezember 2018 den Blogeintrag vom **. November 2018 durch einen neuen Blogeintrag ersetzte. Im neuen Blogeintrag teilte der Beschwerdeführer seinen Lesern mit, er werde – der Mehrheit folgend – eine Beschwerde bei der Datenschutzbehörde einbringen.

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem Vorbringen der Beschwerdeführerin und den vorgelegten Bildschirmfotos des Blogeintrags vom **. November. Das Bestehen dieses Blogeintrags wurde vom Beschwerdeführer auch nie bestritten. Die Feststellungen zum Blogeintrag vom **. Dezember 2018 ergeben sich weiters aus der amtswegigen Recherche der Datenschutzbehörde auf der Website https://www.daten****.at/2018/12/**/auskunftsbegehren-whats-next/ (abgerufen am 31.07.2019).

Am 10. Dezember 2018 versendete der Beschwerdeführer folgende E-Mail an die Beschwerdegegnerin:

[Anmerkung Bearbeiter: Die im Original hier als Faksimile wiedergegebene E-Mail kann mit vertretbarem Aufwand nicht pseudonymisiert werden. Der Beschwerdeführer teilt der Beschwerdegegnerin vorab unter Anschluss einer Kopie der Beschwerdeschrift mit, dass er sich an die Datenschutzbehörde wenden werde. Intention des Verfahrens sei die Klärung der Frage, ob die von der Beschwerdegegnerin gestellten „Anforderungen…an die Identitätsprüfung“ überschießend sind.]

Beweiswürdigung: Diese Feststellung ergibt sich aus dem gegenständlichen E-Mail vom 10. Dezember 2018, das von der Beschwerdegegnerin zusammen mit ihrer Stellungnahme vorgelegt wurde.

D. In rechtlicher Hinsicht folgt daraus:

D.1. Zum Auskunftsrecht

Gemäß Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und soweit dies der Fall ist, Auskunft über diese personenbezogenen Daten zu erhalten sowie Anspruch auf die Informationen gemäß lit a bis h leg cit. Gemäß Art. 15 Abs. 3 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, dem Betroffenen zur Verfügung zu stellen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts Anderes angibt.

D.2. Zum Rechtsschutzinteresse

Die Beschwerdegegnerin hat im gegenständlichen Verfahren auch vorgebracht, dass es dem Beschwerdeführer an einem Rechtsschutzinteresse fehle, weil es ihm primär darum gehe, Inhalte für seinen Blog zu generieren und Rechtsfortbildung zu betreiben und er das Auskunftsbegehren nicht primär zum Schutz seiner Betroffenenrechte gestellt habe. Einem Antrag auf Auskunftserteilung, dem kein Rechtsschutzinteresse zugrunde liege, fehle es an der nötigen Begründetheit.

Die von der Beschwerdegegnerin angeführte Entscheidung der ehemaligen Datenschutzkommission (K121.415/0002-DSK/2009), in welcher auf die Bedeutung eines erkennbaren Rechtsschutzinteresses von Betroffen für den Umfang seines Auskunftsrechts hingewiesen wurde, kann nicht ohne weiteres auf den vorliegenden Fall übertragen werden. Nach dieser Entscheidung sei die Inanspruchnahme eines Auskunftsrechts über einen Datenbestand, der dem Betroffenen jederzeit einsehbar ist, soweit die Kenntnis vom Inhalt durch die Einsicht gewonnen werden kann, als unverhältnismäßige, weil sachlich nicht erforderliche Inanspruchnahme des Auftraggebers nach § 26 Abs. 2 DSG 2000 (idF BGBl I 136/2001) zu werten. Der Umfang des Auskunftsrechts müsse daher in Relation zum jeweiligen Rechtsschutzinteresse gesehen werden. Diese Entscheidung stützte sich auf den ehemaligen § 26 DSG 2000, der unter anderem noch eine explizite Mitwirkungspflicht des Auskunftswerbers vorsah, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

Festzuhalten ist darüber hinaus, dass schon nach gefestigter Rsp zur alten Rechtslage nach der Richtlinie 95/46/EG, § 26 DSG 2000 idF BGBl. I Nr. 83/2013 (welcher Art. 12 der genannten Richtlinie umsetzte) einer betroffenen Person ein nicht weiter begründungsbedürftiges Interesse an der Auskunft in dem in dieser Bestimmung vorgesehenen Ausmaß gewährte (vgl. VwSlg 17.090 A/2006).

Art. 15 DSGVO weitet das Auskunftsrecht im Vergleich zur alten Rechtslage im DSG 2000 idF BGBl. I Nr. 83/2013 noch aus und eine Mitwirkungspflicht ist nur noch in ErwGr 63 DSGVO angedeutet, jedoch nicht mehr ausdrücklich normiert. So ist ein Verantwortlicher berechtigt, von der betroffenen Person eine Präzisierung zu verlangen, er hat aber keinen Anspruch darauf. Generell sieht Art. 15 DSGVO keine Voraussetzungen für das Recht auf Auskunft vor. So ist auch die Verarbeitung von personenbezogenen Daten Gegenstand der Auskunft und keine Voraussetzung. Es ist auch nicht davon auszugehen und auch nicht aus Art. 15 DSGVO ersichtlich, dass der europäische Gesetzgeber, entgegen der mehrmals erklärten Absicht, die Betroffenenrechte stärken zu wollen, nunmehr ein spezielles „Auskunftsinteresse“ vorgesehen hat (vgl. das Erkenntnis des BVwG vom 27. September 2017, GZ W214 2127449-1). Lediglich offenkundig unbegründete oder exzessive Anträge können vom Verantwortlichen abgelehnt werden. Im gegenständlichen Fall ist der Antrag aber weder offenkundig unbegründet (der Auskunftswerber ist nämlich ehemaliger Kunde) noch exzessiv (eine häufige Wiederholung ist nicht erkennbar und wurde auch nie behauptet).

Im Ergebnis ergibt sich, dass ein explizites Rechtsschutzinteresse keine Voraussetzung für ein Auskunftsersuchen nach Art. 15 DSGVO ist, da das Recht auf Auskunft jeder natürlichen Person voraussetzungslos zu steht. Der Antrag auf Auskunft muss daher auch nicht besonders begründet sein. Das Vorbringen der Beschwerdegegnerin zum mangelnden Rechtsschutzinteresse überzeugt daher nicht.

D.3. Zum Identitätsnachweis

Die gemeinsamen Modalitäten zur Ausübung der Betroffenenrechte (darunter auch das Auskunftsrecht) sind in Art. 12 DSGVO geregelt. Demnach erleichtert der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte. Die Entstehung eines datenschutzrechtlichen Auskunftsanspruchs setzt u.a. voraus, dass die Identität des Auskunftswerbers feststeht. Wenn ein Verantwortlicher glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, kann er sich weigern tätig zu werden.

Hat der Verantwortliche begründete Zweifel an der Identität, kann er gemäß Art. 12 Abs. 6 DSGVO zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Eine konkrete Form der Identifizierung sieht Art. 12 DSGVO nicht vor. ErwGr 64 DSGVO führt in diesem Zusammenhang aus, dass der Verantwortliche alle vertretbaren Mittel nutzen sollte, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.

Der VwGH hat sich bereits mit dem Erfordernis eines Identitätsnachweises iZm der Ausübung des Auskunftsrechts beschäftigt und in Bezug auf die Rechtslage nach dem DSG 2000 Folgendes festgehalten:

„Die Bestimmung des § 26 DSG 2000 hat den klar erkennbaren Zweck, einem Missbrauch des Auskunftsrechts zur Informationsbeschaffung durch Dritte einen Riegel vorzuschieben. Ein Auftraggeber darf ohne Vorliegen eines Identitätsnachweises keine Daten an den Auskunftswerber - von dem er in diesem Moment nur annehmen kann, dass er tatsächlich der Betroffene ist - übermitteln, weil er sonst das Datengeheimnis gemäß § 15 Abs. 1 DSG 2000 verletzen könnte.“

„Der Nachweis der Identität hat in der Form zu erfolgen, die es dem Auftraggeber ermöglicht, die Identität des Auskunftswerbers mit der Person zu überprüfen, deren Daten Gegenstand der Auskunft sein soll. Im Hinblick auf die Zielsetzung des Gesetzes und zur Verhinderung von Missbrauch ist - wie bereits gesagt - ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises zu fordern.“

(vgl VwSlg 19.411 A/2016, E vom 9. September 2008, 2004/06/0221)

Diese Überlegungen können auf die neue Rechtslage übertragen werden, da sich am Zweck der Pendantregelung zur Identitätsfeststellung nach nunmehr Art. 12 Abs. 6 DSGVO nichts geändert hat (vgl ErwGr 64 DSGVO und ErwGr 41 der Richtlinie (EU) 2016/680 vom 27. April 2016).

Nicht in die DSGVO übernommen wurde jedoch die Verpflichtung der betroffenen Person, die Identität bereits beim Ersuchen um Auskunft bekanntzugeben. Nur wenn der Verantwortliche begründete Zweifel hat, die einzelfallbezogen darzulegen sind, kann er weitere Informationen zur Identifizierung des Antragsstellers einfordern. Ein Verantwortlicher darf aber nicht generell die Vorlage eines Identitätsnachweises verlangen. Es handelt sich immer um eine Entscheidung im Einzelfall.

D.4. In der Sache

Im vorliegenden Fall stellt sich die Frage, ob die Beschwerdegegnerin bei Antragsstellung zurecht begründete Zweifel an der Identität des Auskunftswerbers hatte und deshalb auch zu Recht weitere Informationen zur Bestätigung der Identität anforderte. Anders formuliert, fehlten der Beschwerdegegnerin Informationen, die zur Bestätigung der Identität der betroffenen Person erforderlich waren oder hätte die Beschwerdegegnerin den Auskunftswerber bereits anhand der Angaben im Auskunftsersuchen vom 29. Oktober 2018 identifizieren können?

Nach den Feststellungen, hat der Beschwerdeführer bereits beim Einbringen des Auskunftsersuchens eine Ausweiskopie übermittelt, Angaben zu seinem Geburtsdatum und seiner Wohnadresse gemacht und Informationen zu seinem letzten Bausparvertrag bekannt gegeben. Weiters versande er sein Auskunftsersuchen elektronisch von der E-Mail-Adresse „p.a***@ a**-h**-o**.at“ zusammen mit seinem PGP-Schlüssel.

Ein PGP-Schlüssel dient in diesem Zusammenhang einerseits der Vertraulichkeit durch Verschlüsselung, andererseits der Authentifizierung mittels Signierung. Die Beschwerdegegnerin kann also davon ausgehen, dass die E-Mail tatsächlich von der Adresse „p.a***@a**-h**-o**.at“ versandt wurde. Dies wird im Vorbringen der Beschwerdegegnerin auch anerkannt. Richtig ist auch, dass ein PGP-Schlüssel keine qualifizierte elektronische Signatur iSd § 4 SVG ist.

Ein elektronisches Auskunftsersuchen muss aber nicht zwingend mit einer qualifizierten elektronischen Signatur versehen sein. Eine qualifizierte elektronische Signatur ist zwar ein Mittel mit dem ein Identitätsnachweis erbracht werden kann, jedoch spricht nichts dagegen, einen Identitätsnachweis auch mit anderen Mitteln zu erbringen, da die DSGVO – wie bereits ausgeführt – keine konkrete Form der Identifizierung vorgibt.

Eine Ausweiskopie ist jedenfalls ein geeigneter Nachweis der Identität eines Auskunftswerbers. Auch Angaben zu einem ehemaligen Bausparvertrag sind nicht ohne weiteres öffentlich verfügbar und können bei der Identifizierung berücksichtigt werden. Auch die für das Versenden des Auskunftsersuchens verwendete Absender-E-Mail-Adresse (die nachweislich von der Domain „a**-h**-o**.at“ stammt) ist zur Identifizierung geeignet, da sich bei einer „Whois-Abfrage“ des Domaininhabers der Name „Peter A***“ und die „A**H**O** - A*** H** & Partner Rechtsanwälte Kommandit-Partnerschaft“ ergibt. Da ein Verantwortlicher alle vertretbaren Mittel zur Identifizierung nutzen sollte, ist eine solche einfache (und kostenlose) „Whois-Abfrage“ jedenfalls zumutbar. Weiters hätte die Beschwerdegegnerin, soweit sie immer noch begründete Zweifel an der Identität hatte, auch die Webseite der österreichischen Rechtsanwaltskammer überprüfen können, auf der sich ein öffentlicher Eintrag zum Beschwerdeführer findet, der diese Angaben bestätigt.

Es ist zwar grundsätzlich nicht zu widersprechen, wenn die Beschwerdegegnerin ausführt, sie habe als konzessioniertes Kreditinstitut eine besondere Sorgfaltspflicht. Eine solche Sorgfaltspflicht erlaubt es aber trotzdem nicht, konkrete Formen der Identifizierung vorzuschreiben. Soweit sich aus den Angaben eines Auskunftswerbers bereits ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises ergibt, ist von der Anforderung zusätzlicher Informationen Abstand zu nehmen.

Auch der Verweis auf das Bankgeheimnis nach § 38 BWG rechtfertigt nicht das Vorschreiben konkreter Möglichkeiten der Identitätsprüfung. Hätte es der Gesetzgeber für Erforderlich gehalten in Bezug auf das Auskunftsersuchen bei konzessionierten Kreditinstituten besondere Vorgaben festzulegen, so hätte er von der Öffnungsklausel des Art. 23 DSGVO Gebrauch gemacht und beispielsweise im BWG zum Schutz der betroffenen Person erhöhte Vorgaben zur Identifizierung getroffen. Da es aber keine besonderen Vorgaben hierzu gibt, ergibt sich im Umkehrschluss, dass die DSGVO unbeschränkt zur Anwendung kommt, also insbesondere die Identifizierung an keine konkreten Vorgaben gebunden ist.

Es ist zwar richtig, dass gemäß § 38 BWG auch Familienangehörige als Dritte gelten, aber im vorliegenden Fall gab es überhaupt keine konkreten Anhaltspunkte für die Annahme, dass das Auskunftsersuchen von einem unberechtigten Familienangehörigen gestellt wurde. Die Absender-E-Mail-Adresse ermöglichte – wie bereits ausgeführt – schon für sich die Identifizierung mit einem hohen Grad an Verlässlichkeit, die Kombination mit einer Ausweiskopie und mit Angaben zu ehemaligen Bausparverträgen bestärkt dies weiter.

In Anbetracht der obigen Ausführungen wäre es der Beschwerdegegnerin daher anhand der vom Beschwerdeführer übermittelten Angaben ohne Probleme möglich gewesen, den Auskunftswerber zu identifizieren. Die Weigerung, dem Auskunftsersuchen zu entsprechen, war somit nicht gerechtfertigt und es war spruchgemäß zu entscheiden.

European Case Law Identifier

ECLI:AT:DSB:2019:DSB.D123.901.0002.DSB.2019