Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I DB E S C H E römisch eins D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. ZIMMER, Mag. HUTTERER, Mag. MAITZ-STRASSNIG, Dr. SOUHRADA-KIRCHMAYER und Dr. STAUDIGL sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 20. Oktober 2006 folgenden Beschluss gefasst:
S p r u c h
Über die Beschwerde des H in F (Beschwerdeführer) vom 7. Mai 2006 gegen die S GmbH in Wien (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wird gemäß den §§ 1 Abs. 5, 4 Z 4 und 5, 26 Abs. 1 sowie 31 Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, entschieden:Über die Beschwerde des H in F (Beschwerdeführer) vom 7. Mai 2006 gegen die S GmbH in Wien (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wird gemäß den Paragraphen eins, Absatz 5,, 4 Ziffer 4 und 5, 26 Absatz eins, sowie 31 Absatz eins, des Datenschutzgesetzes 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 13 aus 2005,, entschieden:
Der Beschwerde wird Folge gegeben und der Beschwerdegegnerin bei sonstiger Exekution aufgetragen, innerhalb einer Frist von zwei Wochen ab Zustellung dieser Entscheidung dem Beschwerdeführer Auskunft über die zu seiner Person verarbeiteten Daten im Umfang des § 26 Abs. 1 DSG 2000 zu geben.Der Beschwerde wird Folge gegeben und der Beschwerdegegnerin bei sonstiger Exekution aufgetragen, innerhalb einer Frist von zwei Wochen ab Zustellung dieser Entscheidung dem Beschwerdeführer Auskunft über die zu seiner Person verarbeiteten Daten im Umfang des Paragraph 26, Absatz eins, DSG 2000 zu geben.
B e g r ü n d u n g:
I. Vorbringen der Parteienrömisch eins. Vorbringen der Parteien
Der Beschwerdeführer behauptet eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin sein Auskunftsersuchen vom 1. Mai 2006 mit Schreiben vom 2. Mai 2006 mit der Begründung abgelehnt habe, sie sei lediglich Dienstleisterin im Sinne des DSG 2000, weshalb sie keine Auskunftspflicht treffe. Diese Begründung sei aber im Hinblick auf die Selbstdarstellung der Tätigkeit der Beschwerdegegnerin auf ihrer Homepage unzutreffend. Sie verwende Schuldnerdaten auch für eigene Zwecke, insbesondere führe sie selbst Recherchen über Daten der Schuldner durch, zudem übermittle sie diesen Fragebögen, auf welchen sie konkrete Angaben über ihre Daten machen könnten/sollten. Diese Daten würden dann von der Beschwerdegegnerin nicht nur im Rahmen der Betreibung der offenen Forderung des jeweiligen Gläubigers ermittelt und gespeichert, sondern auch für die Durchführung von Inkassoaufträgen anderer Gläubiger.
Die Beschwerdegegnerin bestreitet in ihrer Stellungnahme vom 22. Mai 2006 das Vorbringen des Beschwerdeführers hinsichtlich Auskunftsbegehren und Antwort nicht, auch die Wiedergabe des Inhalts der Internetseite sei richtig. Sie bleibe aber bei ihrem Standpunkt, nur Dienstleisterin zu sein. Die Legaldefinition des Diensteisters in § 4 DSG 2000 verbiete diesem nicht, auch Daten zu ermitteln und in der Folge zu verwenden, um das Auftragswerk fertig stellen zu können. Darüber hinaus würden in einem Inkassofall mittels Fragebogen eruierte Daten ausschließlich für den betroffenen Inkassoakt verwendet.Die Beschwerdegegnerin bestreitet in ihrer Stellungnahme vom 22. Mai 2006 das Vorbringen des Beschwerdeführers hinsichtlich Auskunftsbegehren und Antwort nicht, auch die Wiedergabe des Inhalts der Internetseite sei richtig. Sie bleibe aber bei ihrem Standpunkt, nur Dienstleisterin zu sein. Die Legaldefinition des Diensteisters in Paragraph 4, DSG 2000 verbiete diesem nicht, auch Daten zu ermitteln und in der Folge zu verwenden, um das Auftragswerk fertig stellen zu können. Darüber hinaus würden in einem Inkassofall mittels Fragebogen eruierte Daten ausschließlich für den betroffenen Inkassoakt verwendet.
II. Beschwerdegegenstandrömisch II. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Rechtmäßigkeit der Ablehnung des Auskunftsbegehrens des Beschwerdeführers vom 1. Mai 2006 durch das Schreiben der Beschwerdegegnerin vom 2. Mai 2006 ist.
III. Sachverhaltsfeststellungenrömisch III. Sachverhaltsfeststellungen
Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:
Die Beschwerdegegnerin betreibt ein Inkassounternehmen. Der Beschwerdeführer richtete am 1. Mai 2006 per E-mail ein umfassendes datenschutzrechtliches Auskunftsbegehren an die Beschwerdegegnerin, dem auch eine Kopie seines Reisepasses angeschlossen war.
Mit Schreiben vom 2. Mai 2006 lehnte die Beschwerdegegnerin die Erteilung einer Auskunft mit der Begründung ab, sie sei im Sinne des DSG 2000 lediglich Dienstleisterin und nicht Auftraggeberin. Eine Pflicht zur Auskunftserteilung nach § 26 DSG 2000 treffe aber nur Auftraggeber. Die Beschwerdegegnerin bearbeite als Dienstleisterin eine Forderung der D Bank, mit dieser müsse sich der Beschwerdeführer bezüglich der gewünschten Auskunft in Verbindung setzen.Mit Schreiben vom 2. Mai 2006 lehnte die Beschwerdegegnerin die Erteilung einer Auskunft mit der Begründung ab, sie sei im Sinne des DSG 2000 lediglich Dienstleisterin und nicht Auftraggeberin. Eine Pflicht zur Auskunftserteilung nach Paragraph 26, DSG 2000 treffe aber nur Auftraggeber. Die Beschwerdegegnerin bearbeite als Dienstleisterin eine Forderung der D Bank, mit dieser müsse sich der Beschwerdeführer bezüglich der gewünschten Auskunft in Verbindung setzen.
Beweiswürdigung: Diese Feststellungen beruhen auf dem insoweit unbestrittenen und durch Urkundenkopien bescheinigten Beschwerdevorbringen.
Die Beschwerdegegnerin übernimmt von verschiedensten Kunden (= Gläubigern) laufend Aufträge zum Inkasso offener Forderungen. Die Aufträge beginnen mit der Übermittlung eines Formulars mit den beim Gläubiger vorhandenen Daten des Schuldners und können bis zur vollständigen Bezahlung der Schuld (samt Überwachung einer getroffenen Ratenvereinbarung) reichen.
Zur Verwaltung der Inkassoaufträge hat die Beschwerdegegnerin selbst eine Datenbank entwickelt, in der jeder Inkassofall samt einer schlagwortartigen chronologischen Dokumentation der zugehörigen Ereignisse zu einer Inkassonummer erfasst wird. Aus dieser Datenbank können auch routinemäßige Tätigkeiten, insbesondere Verfassung von Mahnschreiben verschiedener Stufe, automatisch erstellt werden.
Neben der inkassofallbezogenen Gliederung der Datenbank ist diese auch nach Schuldnern abfragbar. Es wird zur Person jedes Schuldners eine Schuldnernummer vergeben und seine Stammdaten (Name, Geburtsdatum, Adresse) erfasst.
All das ist auch beim Beschwerdeführer geschehen: Auf Grund eines Inkassoauftrages der D Bank AG vom 16. Februar 2006 wurde der Beschwerdeführer mit einer Schuldnernummer in der Datenbank der Beschwerdegegnerin erfasst, wird sein Name abgefragt, erscheinen seine Stammdaten (Schuldnernummer, Name, Geburtsdatum, Adresse) sowie alle der Beschwerdegegnerin erteilten Inkassoaufträge (das waren im Zeitpunkt des Lokalaugenscheins drei), einschließlich jener der D Bank AG, der ab dem Datum seiner Erfassung (10. März 2006) chronologisch dokumentiert ist.
Inkassofälle werden aus dieser Datenbank sieben Jahre nach positiver Erledigung gelöscht. Dementsprechend erfolgt die gänzliche Löschung der Daten eines Schuldners (also seiner Schuldnernummer samt Stammdaten) erst sieben Jahre nach positiver Erledigung des letzten Inkassofalles.
Beweiswürdigung: Diese Feststellungen beruhen auf den niederschriftlich (§§ 14 f AVG) dokumentierten Ergebnissen des von Mitarbeitern der Geschäftsstelle der Datenschutzkommission am 10. August 2006 durchgeführten Lokalaugenscheins in den Räumlichkeiten der Beschwerdegegnerin, welcher mit einer Einschau in deren Datenbank verbunden war sowie den im Rahmen der Einschau angefertigten Ausdrucken von Datenbankinhalten (insb. Ergebnis der Inkassofallabfrage und Schuldnerabfrage).Beweiswürdigung: Diese Feststellungen beruhen auf den niederschriftlich (Paragraphen 14, f AVG) dokumentierten Ergebnissen des von Mitarbeitern der Geschäftsstelle der Datenschutzkommission am 10. August 2006 durchgeführten Lokalaugenscheins in den Räumlichkeiten der Beschwerdegegnerin, welcher mit einer Einschau in deren Datenbank verbunden war sowie den im Rahmen der Einschau angefertigten Ausdrucken von Datenbankinhalten (insb. Ergebnis der Inkassofallabfrage und Schuldnerabfrage).
IV. In rechtlicher Hinsicht folgt daraus:römisch IV. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.Nach der Verfassungsbestimmung des Paragraph eins, Absatz 3, Ziffer eins, DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.
§ 26 DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu § 1 Abs. 3 Z 1 DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß § 26 Abs. 1. DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.Paragraph 26, DSG 2000 ist als einfachgesetzliche Ausführungsbestimmung zu Paragraph eins, Absatz 3, Ziffer eins, DSG 2000 („nach Maßgabe gesetzlicher Bestimmungen“) Anspruchsgrundlage für das individuelle Recht auf Auskunft über eigene Daten. Gemäß Paragraph 26, Absatz eins, DSG 2000 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
Nach § 4 DSG 2000 bedeutet im Sinne des DSG 2000Nach Paragraph 4, DSG 2000 bedeutet im Sinne des DSG 2000
(Z 4) „Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;(Ziffer 4,) „Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Ziffer 9,), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß Paragraph 6, Absatz 4, eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;
(Z 5) "Dienstleister": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Z 8);(Ziffer 5,) "Dienstleister": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Ziffer 8,);
In den Erläuternden Bemerkungen zur Regierungsvorlage zum DSG 2000 (1613 BlgNR XX. GP) ist zu den Z 4 und 5 des § 4 Folgendes ausgeführt:In den Erläuternden Bemerkungen zur Regierungsvorlage zum DSG 2000 (1613 BlgNR römisch XX. Gesetzgebungsperiode ist zu den Ziffer 4 und 5 des Paragraph 4, Folgendes ausgeführt:
„[...]
Ein seit langem diskutiertes Problem ist jenes der Abgrenzung von „Auftraggeber“ und „Dienstleister“ im Hinblick darauf, wer die Entscheidung über den Einsatz von EDV treffen muß, um als „Auftraggeber“ im Sinne des DSG zu gelten. Der vorliegende Entwurf löst diese Frage nunmehr dahingehend, daß der Einsatz von EDV durch einen mit einem Werk Beauftragten grundsätzlich dem Werk-Auftragserteiler datenschutzrechtlich zugerechnet wird, da der Einsatz von EDV heute grundsätzlich zu vermuten ist, wenn ein Werk unter Benützung von Daten zu erbringen ist. Es bedarf also für diese Zurechnung keiner ausdrücklichen Vereinbarung zwischen Werk-Auftragserteiler und dem mit dem Werk Beauftragten.
Wenn hingegen der Auftragserteiler dem Auftragnehmer den Einsatz von EDV ausdrücklich verboten haben sollte – was freilich keine sehr häufige Situation darstellen wird –, dann ist der Auftragnehmer datenschutzrechtlicher Auftraggeber, wenn er dennoch EDV einsetzt. Da es ihm für die Auftraggebereigenschaft allerdings an einer entsprechenden Rechtsgrundlage mangeln wird, wird eine automationsunterstützte Verarbeitung auf Grund seiner autonomen Entscheidung unzulässig sein – eine Registrierung käme etwa nicht in Frage.
Der Vorteil dieser Lösung liegt vor allem auch darin, daß die Betroffenenrechte gegenüber jenen Personen zum Tragen kommen, die dieser Rolle auch wirklich gerecht werden können; dies wird besonders deutlich, wenn es etwa um die Frage geht, an wen ein Auskunftsbegehren zu stellen ist: An den Auftragnehmer kann der Betroffene sich deshalb nicht wenden, weil ihm seine Identität in aller Regel unbekannt sein wird. Ähnliches gilt für Löschungs- und Richtigstellungsansprüche: Die Erledigung eines solchen Anspruchs setzt die Verfügungsgewalt über die davon betroffenen Daten voraus, also eine Befugnis, die einem Auftragnehmer aus eigenem nicht zusteht. Auch im Interesse der Ausübbarkeit der Betroffenenrechte muß daher der vorgeschlagene Lösungsansatz als zweckmäßig erscheinen. Nun gibt es jedoch einzelne Fälle von Beauftragungsverhältnissen, in welchen traditionellerweise der Beauftragte selbständig („eigenverantwortlich“) über die Verwendung der ihm übergebenen Informationen entscheidet und hiezu auch nach den für ihn geltenden Standesregeln verpflichtet und hiefür verantwortlich ist – dies gilt etwa für bestimmte freie Berufe, wie Rechtsanwälte, Wirtschaftstreuhänder, Ziviltechniker usw. Die Zuordnung der datenschutzrechtlichen Verantwortlichkeit eines Auftraggebers muß auf diese Besonderheiten Rücksicht nehmen. Um diesbezüglich die notwendige Rechtssicherheit herzustellen, wird es sich empfehlen, in Verhaltensregeln gemäß § 6 Abs. 4 klarzustellen, wem in gewissen Konstellationen die Auftraggebereigenschaft zukommt. Um für einen entsprechenden Schutz der Betroffenenrechte auch in diesen Fällen vorzusorgen, wurde die besondere Auskunftsverpflichtung nach § 26 Abs. 9 geschaffen.“Der Vorteil dieser Lösung liegt vor allem auch darin, daß die Betroffenenrechte gegenüber jenen Personen zum Tragen kommen, die dieser Rolle auch wirklich gerecht werden können; dies wird besonders deutlich, wenn es etwa um die Frage geht, an wen ein Auskunftsbegehren zu stellen ist: An den Auftragnehmer kann der Betroffene sich deshalb nicht wenden, weil ihm seine Identität in aller Regel unbekannt sein wird. Ähnliches gilt für Löschungs- und Richtigstellungsansprüche: Die Erledigung eines solchen Anspruchs setzt die Verfügungsgewalt über die davon betroffenen Daten voraus, also eine Befugnis, die einem Auftragnehmer aus eigenem nicht zusteht. Auch im Interesse der Ausübbarkeit der Betroffenenrechte muß daher der vorgeschlagene Lösungsansatz als zweckmäßig erscheinen. Nun gibt es jedoch einzelne Fälle von Beauftragungsverhältnissen, in welchen traditionellerweise der Beauftragte selbständig („eigenverantwortlich“) über die Verwendung der ihm übergebenen Informationen entscheidet und hiezu auch nach den für ihn geltenden Standesregeln verpflichtet und hiefür verantwortlich ist – dies gilt etwa für bestimmte freie Berufe, wie Rechtsanwälte, Wirtschaftstreuhänder, Ziviltechniker usw. Die Zuordnung der datenschutzrechtlichen Verantwortlichkeit eines Auftraggebers muß auf diese Besonderheiten Rücksicht nehmen. Um diesbezüglich die notwendige Rechtssicherheit herzustellen, wird es sich empfehlen, in Verhaltensregeln gemäß Paragraph 6, Absatz 4, klarzustellen, wem in gewissen Konstellationen die Auftraggebereigenschaft zukommt. Um für einen entsprechenden Schutz der Betroffenenrechte auch in diesen Fällen vorzusorgen, wurde die besondere Auskunftsverpflichtung nach Paragraph 26, Absatz 9, geschaffen.“
2. rechtliche Schlussfolgerungen
Auf Grund des festgestellten Sachverhalts ergibt sich zunächst unzweifelhaft, dass die Beschwerdegegnerin personenbezogene Daten des Beschwerdeführers unter anderem zur Erfüllung des ihr von der D Bank AG erteilten Inkassoauftrages verwendet hat.
Voraussetzung für die Qualifikation als bloßer Dienstleister nach § 4 Z 5 DSG 2000 ist jedoch, dass die vom (zivilrechtlichen) Werkbesteller weitergegebenen (oder auch für seine Zwecke vom Werkunternehmer ermittelten) Daten ausschließlich zu diesem Zweck verwendet werden. Werden diese Daten hingegen darüber hinaus auch für andere Zwecke – insbesondere Inkassoaufträge anderer Gläubiger (Werkbesteller) - verwendet, so ist der Verwender Auftraggeber (§ 4 Z 4 leg. cit.). Dies zeigen auch die in den Erläuternden Bemerkungen zum Ausdruck kommenden Rechtsschutzaspekte: Wenn beim Inkassounternehmen (zivilrechtlich Werkunternehmer) die Daten nicht nur für Zwecke der Herstellung eines Werks verwendet werden, kann nicht von entscheidungswesentlichen Verfügungsrechten der Werkbesteller an den Daten ausgegangen werden, dh sie könnten jedenfalls keine vollständige Löschung der Daten beim Inkassounternehmen erreichen.Voraussetzung für die Qualifikation als bloßer Dienstleister nach Paragraph 4, Ziffer 5, DSG 2000 ist jedoch, dass die vom (zivilrechtlichen) Werkbesteller weitergegebenen (oder auch für seine Zwecke vom Werkunternehmer ermittelten) Daten ausschließlich zu diesem Zweck verwendet werden. Werden diese Daten hingegen darüber hinaus auch für andere Zwecke – insbesondere Inkassoaufträge anderer Gläubiger (Werkbesteller) - verwendet, so ist der Verwender Auftraggeber (Paragraph 4, Ziffer 4, leg. cit.). Dies zeigen auch die in den Erläuternden Bemerkungen zum Ausdruck kommenden Rechtsschutzaspekte: Wenn beim Inkassounternehmen (zivilrechtlich Werkunternehmer) die Daten nicht nur für Zwecke der Herstellung eines Werks verwendet werden, kann nicht von entscheidungswesentlichen Verfügungsrechten der Werkbesteller an den Daten ausgegangen werden, dh sie könnten jedenfalls keine vollständige Löschung der Daten beim Inkassounternehmen erreichen.
Für eine Verwendung ausschließlich für Zwecke des erteilten Auftrages würde sprechen, wenn Daten der Betroffenen unmittelbar nach Erledigung des ihn betreffenden Inkassoauftrages gelöscht bzw. dem auftragserteilenden Gläubiger rücküberlassen würden. Im vorliegenden Fall bewahrt die Beschwerdegegnerin Daten eines Inkassofalles aber jedenfalls sieben Jahre lang gerechnet ab der positiven Erledigung des Falles auf. Schon daraus folgt, dass die Schuldnerdaten nicht ausschließlich für Zwecke der Bearbeitung des einzelnen Inkassoauftrags verwendet werden, sind sie doch sogleich nach positiver Erledigung (jedenfalls wenn feststeht, dass der Auftrag unbestritten erfüllt wurde) dafür nicht mehr erforderlich.
Darüber hinaus ergibt sich auch aus der Möglichkeit einer Namensabfrage, die Stammdaten des Schuldners – die entgegen dem Vorbringen der Beschwerdegegnerin nicht für jeden Inkassofall extra erhoben, sondern vielmehr nur einmal zur gemeinsamen Verwendung für alle Aufträge in der Datenbank gespeichert sind – sowie alle vorhandenen Inkassofälle auflistet, dass personenbezogene Daten in der Datenbank nicht nur für Zwecke eines Inkassofalles verwendet werden. Dementsprechend könnte im konkreten Fall die D Bank AG eine komplette Datenlöschung (insbesondere der Stammdaten, aber auf Grund der Siebenjahresfrist auch der Inkassodaten) nicht erreichen.
Daher ist die Beschwerdegegnerin hinsichtlich der in ihrer Datenbank enthaltenen personenbezogenen Schuldnerdaten Auftraggeberin im Sinn des § 4 Z 4 DSG 2000 und hätte dem Beschwerdeführer Auskunft im Umfang des § 26 Abs. 1 DSG 2000 zu erteilen gehabt. Die am 2. Mai 2006 erfolgte Verweigerung der Auskunft erfolgte zu Unrecht.Daher ist die Beschwerdegegnerin hinsichtlich der in ihrer Datenbank enthaltenen personenbezogenen Schuldnerdaten Auftraggeberin im Sinn des Paragraph 4, Ziffer 4, DSG 2000 und hätte dem Beschwerdeführer Auskunft im Umfang des Paragraph 26, Absatz eins, DSG 2000 zu erteilen gehabt. Die am 2. Mai 2006 erfolgte Verweigerung der Auskunft erfolgte zu Unrecht.
Der Beschwerdegegnerin war somit spruchgemäß Auskunftserteilung aufzutragen. Eine Frist von zwei Wochen dafür erscheint, da keine besonderen mit der Auskunftserteilung verbundenen Schwierigkeiten erkennbar sind, im Sinne des § 59 Abs. 2 AVG angemessen.Der Beschwerdegegnerin war somit spruchgemäß Auskunftserteilung aufzutragen. Eine Frist von zwei Wochen dafür erscheint, da keine besonderen mit der Auskunftserteilung verbundenen Schwierigkeiten erkennbar sind, im Sinne des Paragraph 59, Absatz 2, AVG angemessen.