Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]
E M P F E H L U N G E N
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Mag. HEILEGGER und Dr. HEISSENBERGER sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 04. Mai 2007 folgenden Beschluss gefasst:
Auf Grund der Eingabe des S in A (Einschreiter) vom 3. Jänner 2007, gerichtet unter anderem gegen die Inkasso P GmbH in C (in der Folge kurz: Inkasso P), wegen verschiedener Verletzungen des DSG 2000 im Zusammenhang mit der Weitergabe von Inkassodaten durch Inkasso P an die W GmbH (in der Folge kurz: W), ergehen gemäß § 30 Abs. 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, die folgenden Empfehlungen an Inkasso P:Auf Grund der Eingabe des S in A (Einschreiter) vom 3. Jänner 2007, gerichtet unter anderem gegen die Inkasso P GmbH in C (in der Folge kurz: Inkasso P), wegen verschiedener Verletzungen des DSG 2000 im Zusammenhang mit der Weitergabe von Inkassodaten durch Inkasso P an die W GmbH (in der Folge kurz: W), ergehen gemäß Paragraph 30, Absatz 6, des Datenschutzgesetzes 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 13 aus 2005,, die folgenden Empfehlungen an Inkasso P:
1. Die Weitergabe von personenbezogenen Inkassodaten an Kreditauskunfteien möge unterlassen werden, wenn eine eingemahnte Forderung sogleich beglichen wird oder eine Zahlung in Raten angeboten und eingehalten wird, die einer sofortigen Zahlung nahe kommt.
2. Sofern eine Weitergabe von personenbezogenen Inkassodaten an eine Kreditauskunftei dem Grunde nach zulässig ist, möge nur der im Zeitpunkt der Weitergabe offene Betrag übermittelt werden.
3. Auf Schreiben an betroffene Schuldner möge die Aussage, die geltend gemachte Forderung sei Inkasso P vom Mandanten abgetreten worden, unterlassen werden.
4. Betroffene Schuldner mögen im ersten Mahnschreiben darüber informiert werden, ob und unter welchen Voraussetzungen ihre inkassorelevanten Daten an Kreditauskunfteien weitergegeben werden.
5. Die Datenanwendung, in welcher personenbezogene Daten von Inkassoschuldnern verarbeitet werden, möge beim Datenverarbeitungsregister (DVR) gemeldet werden. Weiters möge nicht die DVR-Nummer eines von Inkasso P verschiedenen Auftraggebers geführt werden.
Für die Umsetzung dieser Empfehlungen wird eine F r i s t von e i n e m M o n a t gesetzt.
B e g r ü n d u n g:
A. Vorbringen des Einschreiters bzw. Gegenäußerungen von Inkasso P und der W GmbH
Der Beschwerdeführer brachte in seiner Eingabe im Wesentlichen vor, obwohl er sofort nach Erhalt der - als Beilage zur Eingabe in Kopie angeschlossenen - 1. Mahnung von Inkasso P vom 7. Dezember 2006 betreffend eine Forderung in Höhe von EUR 41,80 (zuzüglich Inkassospesen) einer Buchhandlung in A seinen Zahlungswillen bekundet habe und am 13. Dezember 2006 eine Zahlung in Höhe von EUR 36,36 geleistet habe, seien Daten zu dieser Forderung an W weitergegeben worden, in deren Datenbank am 28. Dezember 2006 immer noch die Gesamtforderung als offen aufgeschienen sei. Seiner Ansicht nach hätte eine Einmeldung erst erfolgen dürfen, sobald er mit einer Ratenzahlung gegenüber dem Inkassobüro im Rückstand gelegen wäre. Der Beschwerdeführer legte außerdem einen Einzahlungsbeleg vom 28. Dezember 2006 über eine weitere Zahlung in Höhe von EUR 41,-- an Inkasso P vor.
Inkasso P bestreitet in seiner Stellungnahme vom 25. Jänner 2007 die Datenweitergabe an W nicht und bringt vor, die Daten ihrer Schuldner würden aus Gläubigerschutzgründen an diese Gesellschaft weitergeleitet. Die Einmeldung sei erfolgt, nachdem die Mahnungen des Mandanten sowie auch der gewährte Zahlungstermin 17. Dezember 2006 vom Einscheiter nicht eingehalten worden seien. Der Restbetrag sei Inkasso P am 2. Jänner 2007 gutgeschrieben worden, umgehend nach Eingang sei die entsprechende Mitteilung an W ergangen.
W bestätigte in ihrer Stellungnahme vom 29. Jänner 2007 die Einmeldung durch Inkasso P und führte dazu aus, bereits die Übergabe an ein Inkassounternehmen setzte den Zahlungsverzug voraus. Einer Übergabe an ein Inkassoinstitut gingen in der Regel drei, manchmal vier schriftliche Mahnungen des Gläubigers voraus. Dieses Faktum stelle für sich alleine bereits eine bonitätsrelevante Tatsache dar, an deren Kenntnis Unternehmen, welche eine Geschäftsbeziehung mit der entsprechenden Person einzugehen gedenken, interessiert sind. Immerhin bestehe bei Personen, bei denen es in der Vergangenheit Zahlungsstörungen gegeben habe ein statistisch belegbares stark erhöhtes Risiko, dass die betreffende Person auch zukünftig vertraglich eingegangene Verpflichtungen nicht oder nur schlecht erfüllen werde. Dennoch habe sich W nach Betrachtung des Einzelfalls entschlossen, den auf die Einmeldung von Inkasso P zurückgehenden Datensatz des Einschreiters zu löschen. Dies wurde in einer ergänzenden Äußerung vom 31. Jänner 2007 auch belegt.
B. Sachverhaltsannahmen
Der folgende Sachverhalt wird als Grundlage der Empfehlung angenommen:
Inkasso P, die über eine Gewerbeberechtigung als Inkassoinstitut verfügt, wurde im November/Dezember 2006 von einer Buchhandlung in A mit dem Inkasso einer Forderung in Höhe von EUR 41,80 beim Einschreiter beauftragt. Die Daten des Einschreiters wurden zunächst bei Inkasso P automationsunterstützt verarbeitet.
Daraufhin richtete Inkasso P am 7. Dezember 2006 ein Schreiben mit dem folgenden auszugsweise wiedergegebenen Inhalt an den Einschreiter:
„Sehr geehrter Herr S!
Unser Mandant, Buchhandlung X, A [...], hat unserem Institut nachstehende Forderung abgetreten und ist ab sofort ausschließlich unser Institut mit dem Inkasso dieser Forderung beauftragt [...]Unser Mandant, Buchhandlung römisch zehn, A [...], hat unserem Institut nachstehende Forderung abgetreten und ist ab sofort ausschließlich unser Institut mit dem Inkasso dieser Forderung beauftragt [...]
Für den Eingang des aushaftenden Gesamtschuldbetrages merken wir uns den 17.12.2006 vor und legen einen Erlagschein bei.
Für den Fall, dass Ihnen bis zu diesem Termin die vollständige Bezahlung nicht möglich ist, erwarten wir eine entsprechende Teilzahlung und Ihren schriftlichen Ratenzahlungsvorschlag.
[...]“
Der Einschreiter retournierte am 11. Dezember 2006 ein dem Schreiben beigeschlossenes Formular an Inkasso P, in dem er mitteilte, er erkenne die Forderung an und werde beginnend mit 25. Dezember 2006 die Gesamtschuld in monatlichen Raten in Höhe von EUR 36,36 bezahlen. Tatsächlich zahlte er bereits am 13. Dezember 2006 die erste Rate ein.
Am 28. Dezember 2006 erhielt der Einschreiter eine Auskunft von W, in der die Forderung in voller Höhe als offen vermerkt war. Die Inkassodaten waren zuvor von Inkasso P an W weitergegeben worden. Ebenfalls am 28. Dezember 2006 bezahlte der Einscheiter weitere EUR 41,-- auf das Konto von Inkasso P ein.
Beweiswürdigung: Diese Feststellungen beruhen auf dem durch Urkundenkopien belegten Vorbringen des Einschreiters, welches weder Inkasso P noch W bestritten haben.
Nachdem der Betrag dort am 2. Jänner 2007 eingelangt war, informierte Inkasso P W über die vollständige Bezahlung.
Beweiswürdigung: Diese Feststellung beruht auf dem Vorbringen von Inkasso P, welches durch den von W mit der Stellungnahme vom 29. Jänner 2007 vorgelegten Datenbankauszug bestätigt wird.
W hat den Datensatz zu dieser Forderung mittlerweile vollständig gelöscht.
Beweiswürdigung: Diese Feststellungen beruhen auf der ebenfalls durch einen Datenbankauszug belegten ergänzenden Stellungnahme der W GmbH vom 31. Jänner 2007.
Inkasso P führt die DVR-Nummer YYY. Zu dieser Nummer ist die Auftraggeberin Anna P, F-Gasse 27, C, registriert, und zwar lediglich mit einer Meldung „Rechnungswesen (Buchführung, Bilanz)“ vom 30. Dezember 1980. Anna P steht in keinem gesellschaftsrechtlichen Verhältnis zu Inkasso P.
Beweiswürdigung: Diese Feststellungen beruhen auf der Stellungnahme von Inkasso P vom 25. Jänner 2007, auf welcher die DVR-Nummer angeführt wird, sowie dem aktuellen Stand des Datenverarbeitungsregisters und des Firmenbuches.
C. In rechtlicher Hinsicht folgt daraus:
1. anzuwendende Rechtsvorschriften
Die relevanten Vorschriften des DSG 2000 lauten auszugsweise:
„Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.Paragraph eins, (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2)Absatz 2Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
[...]
Grundsätze
§ 6. (1) Daten dürfen nurParagraph 6, (1) Daten dürfen nur
1. nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;
2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der §§ 46 und 47 zulässig; soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen; 2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der Paragraphen 46 und 47 zulässig; soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen;
3. so verwendet werden, daß sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind;
4. solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben.
[...]
Zulässigkeit der Verwendung von Daten
§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.Paragraph 7, (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
(2)Absatz 2Daten dürfen nur übermittelt werden, wenn
1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und 1. sie aus einer gemäß Absatz eins, zulässigen Datenanwendung stammen und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis - soweit diese nicht außer Zweifel steht - im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und
3.durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
(3)Absatz 3Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des Paragraph 6, eingehalten werden.
Schutzwürdige Geheimhaltungsinteressen bei
Verwendung nichtsensibler Daten
§ 8. (1) Gemäß § 1 Abs. 1 bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wennParagraph 8, (1) Gemäß Paragraph eins, Absatz eins, bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
[...]
4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.
[...]
Meldepflicht des Auftraggebers
§ 17. (1) Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken.Paragraph 17, (1) Jeder Auftraggeber hat, soweit in den Absatz 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in Paragraph 19, festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken.
[...]
Aufnahme der Verarbeitung
§ 18. [...] Paragraph 18, [...]
(2)Absatz 2Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sieMeldepflichtige Datenanwendungen, die weder einer Musteranwendung nach Paragraph 19, Absatz 2, entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in Paragraph 48 a, Absatz eins, genannten Zwecke betreffen, dürfen, wenn sie
[...]
3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben
[...]
erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission nach den näheren Bestimmungen des § 20 aufgenommen werden.erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission nach den näheren Bestimmungen des Paragraph 20, aufgenommen werden.
Registrierung
§ 21. [...] Paragraph 21, [...]
(4)Absatz 4Jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer zuzuteilen.
[...]
Pflicht zur Offenlegung der Identität des Auftraggebers
§ 25. (1) Bei Übermittlungen und bei Mitteilungen an Betroffene hat der Auftraggeber seine Identität in geeigneter Weise offenzulegen, sodaß den Betroffenen die Verfolgung ihrer Rechte möglich ist. Bei meldepflichtigen Datenanwendungen ist in Mitteilungen an Betroffene die Registernummer des Auftraggebers anzuführen.Paragraph 25, (1) Bei Übermittlungen und bei Mitteilungen an Betroffene hat der Auftraggeber seine Identität in geeigneter Weise offenzulegen, sodaß den Betroffenen die Verfolgung ihrer Rechte möglich ist. Bei meldepflichtigen Datenanwendungen ist in Mitteilungen an Betroffene die Registernummer des Auftraggebers anzuführen.
[...]
Informationspflicht des Auftraggebers
§ 24. (1) Der Auftraggeber einer Datenanwendung hat aus Anlaß der Ermittlung von Daten die Betroffenen in geeigneter WeiseParagraph 24, (1) Der Auftraggeber einer Datenanwendung hat aus Anlaß der Ermittlung von Daten die Betroffenen in geeigneter Weise
1. über den Zweck der Datenanwendung, für die die Daten ermittelt werden, und
2. über Namen und Adresse des Auftraggebers,
zu informieren, sofern diese Informationen dem Betroffenen nach den Umständen des Falles nicht bereits vorliegen.
(2)Absatz 2Über Abs. 1 hinausgehende Informationen sind in geeigneter Weise zu geben, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist; dies gilt insbesondere dann, wennÜber Absatz eins, hinausgehende Informationen sind in geeigneter Weise zu geben, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist; dies gilt insbesondere dann, wenn
1. gegen eine beabsichtigte Verarbeitung oder Übermittlung von Daten ein Widerspruchsrecht des Betroffenen gemäß § 28 besteht oder 1. gegen eine beabsichtigte Verarbeitung oder Übermittlung von Daten ein Widerspruchsrecht des Betroffenen gemäß Paragraph 28, besteht oder
2. es für den Betroffenen nach den Umständen des Falles nicht klar erkennbar ist, ob er zur Beantwortung der an ihn gestellten Fragen rechtlich verpflichtet ist, oder
3. Daten in einem Informationsverbundsystem verarbeitet werden sollen, ohne daß dies gesetzlich vorgesehen ist.
(3)Absatz 3Werden Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Auftraggebers oder aus Anwendungen anderer Auftraggeber ermittelt, darf die Information gemäß Abs. 1 entfallen, wennWerden Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Auftraggebers oder aus Anwendungen anderer Auftraggeber ermittelt, darf die Information gemäß Absatz eins, entfallen, wenn
1. die Datenverwendung durch Gesetz oder Verordnung vorgesehen ist oder
2. die Information im Hinblick auf die mangelnde Erreichbarkeit von Betroffenen unmöglich ist oder
3. wenn sie angesichts der Unwahrscheinlichkeit einer Beeinträchtigung der Betroffenenrechte einerseits und der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. Dies liegt insbesondere dann vor, wenn Daten für Zwecke der wissenschaftlichen Forschung oder Statistik gemäß § 46 oder Adreßdaten im Rahmen des § 47 ermittelt werden und die Information des Betroffenen in diesen Bestimmungen nicht ausdrücklich vorgeschrieben ist. Der Bundeskanzler kann durch Verordnung weitere Fälle festlegen, in welchen die Pflicht zur Information entfällt. 3. wenn sie angesichts der Unwahrscheinlichkeit einer Beeinträchtigung der Betroffenenrechte einerseits und der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. Dies liegt insbesondere dann vor, wenn Daten für Zwecke der wissenschaftlichen Forschung oder Statistik gemäß Paragraph 46, oder Adreßdaten im Rahmen des Paragraph 47, ermittelt werden und die Information des Betroffenen in diesen Bestimmungen nicht ausdrücklich vorgeschrieben ist. Der Bundeskanzler kann durch Verordnung weitere Fälle festlegen, in welchen die Pflicht zur Information entfällt.
(4)Absatz 4Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind.Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß Paragraph 17, Absatz 2 und 3 nicht meldepflichtig sind.
[...]
Kontrollbefugnisse der Datenschutzkommission
§ 30. (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.Paragraph 30, (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.
(2)Absatz 2Die Datenschutzkommission kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.Die Datenschutzkommission kann im Fall eines begründeten Verdachtes auf Verletzung der im Absatz eins, genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.
(3)Absatz 3Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§ 26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.Datenanwendungen, die der Vorabkontrolle gemäß Paragraph 18, Absatz 2, unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der Paragraphen 26, Absatz 5 und 27 Absatz 5, in Anspruch nimmt.
[...]
(6)Absatz 6Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere
1. ein Verfahren zur Überprüfung der Registrierung gemäß § 22 Abs. 4 einleiten, oder 1. ein Verfahren zur Überprüfung der Registrierung gemäß Paragraph 22, Absatz 4, einleiten, oder
Strafanzeige nach §§ 51 oder 52 erstatten, oderStrafanzeige nach Paragraphen 51, oder 52 erstatten, oder
bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben, oderbei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß Paragraph 32, Absatz 5, erheben, oder
4. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, daß der Empfehlung der Datenschutzkommission entsprochen wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzkommission der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.
(7)Absatz 7Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde.“
§ 13 der Datenverarbeitungsregister-Verordnung 2002 (DVRV), BGBl II Nr. 24/2002, lautet:Paragraph 13, der Datenverarbeitungsregister-Verordnung 2002 (DVRV), Bundesgesetzblatt Teil 2, Nr. 24 aus 2002,, lautet:
Übernahme der Registernummer in Rechtsnachfolge
§ 13. Dem Rechtsnachfolger eines registrierten Auftraggebers kann auf Antrag die Registernummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat und die Rechtsnachfolge glaubhaft gemacht wird. Der Rechtsnachfolger hat in diesem Fall eine neue Meldung als Auftraggeber für die von ihm durchgeführten Datenanwendungen unter Verwendung der Formblätter gemäß den Anlagen 1 bis 4 DVRV 2002 zu erstatten. Paragraph 13, Dem Rechtsnachfolger eines registrierten Auftraggebers kann auf Antrag die Registernummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat und die Rechtsnachfolge glaubhaft gemacht wird. Der Rechtsnachfolger hat in diesem Fall eine neue Meldung als Auftraggeber für die von ihm durchgeführten Datenanwendungen unter Verwendung der Formblätter gemäß den Anlagen 1 bis 4 DVRV 2002 zu erstatten.
Die Anlage 1 zur Standard- und Musterverordnung 2004, BGBl II Nr. 312/2004 enthält die Standardanwendung „SA 001 Rechnungswesen und Logistik“, deren Zweck lautet „Verarbeitung und Übermittlung von Daten im Rahmen einer Geschäftsbeziehung mit Kunden und Lieferanten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten“.Die Anlage 1 zur Standard- und Musterverordnung 2004, Bundesgesetzblatt Teil 2, Nr. 312 aus 2004, enthält die Standardanwendung „SA 001 Rechnungswesen und Logistik“, deren Zweck lautet „Verarbeitung und Übermittlung von Daten im Rahmen einer Geschäftsbeziehung mit Kunden und Lieferanten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten“.
Die maßgeblichen Vorschriften der Gewerbeordnung 1994 (GewO), BGBl I Nr. 314 idF BGBl I Nr. 161/2006 lauten:Die maßgeblichen Vorschriften der Gewerbeordnung 1994 (GewO), BGBl römisch eins Nr. 314 in der Fassung Bundesgesetzblatt Teil eins, Nr. 161 aus 2006, lauten:
“Inkassoinstitute
§ 118. (1) Einer Gewerbeberechtigung für das Gewerbe der Inkassoinstitute (§ 94 Z 36) bedarf es für die Einziehung fremder Forderungen.Paragraph 118, (1) Einer Gewerbeberechtigung für das Gewerbe der Inkassoinstitute (Paragraph 94, Ziffer 36,) bedarf es für die Einziehung fremder Forderungen.
(2)Absatz 2Die Gewerbetreibenden, die zur Ausübung des Gewerbes der Inkassoinstitute berechtigt sind, sind nicht berechtigt, Forderungen gerichtlich einzutreiben oder sich Forderungen abtreten zu lassen, auch wenn die Abtretung nur zu Zwecken der Einziehung erfolgen sollte.
Auskunfteien über Kreditverhältnisse
§ 152. (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.Paragraph 152, (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.
[...]“
§ 1052 des Allgemeinen Bürgerlichen Gesetzbuches (ABGB) lautet:Paragraph 1052, des Allgemeinen Bürgerlichen Gesetzbuches (ABGB) lautet:
„§ 1052. Wer auf die Übergabe dringen will, muß seine Verbindlichkeit erfüllt haben oder sie zu erfüllen bereit sein. Auch der zur Vorausleistung Verpflichtete kann seine Leistung bis zur Erwirkung oder Sicherstellung der Gegenleistung verweigern, wenn diese durch schlechte Vermögensverhältnisse des anderen Teiles gefährdet ist, die ihm zur Zeit des Vertragsabschlusses nicht bekannt sein mußten.“
2. rechtliche Schlussfolgerungen
2.1. Datenschutzrechtliche Stellung des Kreditauskunfteigewerbes sowie seiner Datenlieferanten und - abnehmer
Der Gesetzgeber hat in § 152 GewO Regeln für Auskunfteien über Kreditverhältnisse aufgestellt, wobei Angaben über Kreditverhältnisse mit Daten über die Vermögensverhältnisse einschließlich Zahlungsfähigkeit bzw. -willigkeit eines Betroffenen („Bonitätsdaten“) gleichzusetzen sind. Daraus ist zu schließen, dass der Gesetzgeber von der grundsätzlichen Zulässigkeit dieser gewerblichen Tätigkeit ausgeht, sodass es zur Verarbeitung dieser Daten eine rechtliche Befugnis im Sinne des § 7 Abs. 1 DSG 2000 geben kann. Da die Ausübung dieser gewerblichen Tätigkeit ohne Sammlung, Aufbewahrung und Weitergabe von entsprechenden Daten nicht sinnvoll vorstellbar ist, muss auch angenommen werden, dass der Gesetzgeber in bestimmten Fallkategorien ein die Betroffeneninteressen überwiegendes berechtigtes Interesse dieser Gewerbetreibenden an einer Verwendung von Daten über „Kreditverhältnisse“ im Sinn des § 1 Abs. 2 bzw. § 8 Abs. 1 Z 4 DSG 2000 als gegeben erachtete. Ein derartiges Interesse bzw. eine derartige Befugnis muss auch für die Kunden der Auskunfteien aber auch für die Datenlieferanten bestehen, da ansonsten die Gewerbeausübung unmöglich wäre (vgl auch den 2. Satz des § 1052 ABGB, der ebenfalls erkennen lässt, dass von einem berechtigten Interesse der Gläubiger an der Verwendung von Bonitätsdaten auszugehen ist).Der Gesetzgeber hat in Paragraph 152, GewO Regeln für Auskunfteien über Kreditverhältnisse aufgestellt, wobei Angaben über Kreditverhältnisse mit Daten über die Vermögensverhältnisse einschließlich Zahlungsfähigkeit bzw. -willigkeit eines Betroffenen („Bonitätsdaten“) gleichzusetzen sind. Daraus ist zu schließen, dass der Gesetzgeber von der grundsätzlichen Zulässigkeit dieser gewerblichen Tätigkeit ausgeht, sodass es zur Verarbeitung dieser Daten eine rechtliche Befugnis im Sinne des Paragraph 7, Absatz eins, DSG 2000 geben kann. Da die Ausübung dieser gewerblichen Tätigkeit ohne Sammlung, Aufbewahrung und Weitergabe von entsprechenden Daten nicht sinnvoll vorstellbar ist, muss auch angenommen werden, dass der Gesetzgeber in bestimmten Fallkategorien ein die Betroffeneninteressen überwiegendes berechtigtes Interesse dieser Gewerbetreibenden an einer Verwendung von Daten über „Kreditverhältnisse“ im Sinn des Paragraph eins, Absatz 2, bzw. Paragraph 8, Absatz eins, Ziffer 4, DSG 2000 als gegeben erachtete. Ein derartiges Interesse bzw. eine derartige Befugnis muss auch für die Kunden der Auskunfteien aber auch für die Datenlieferanten bestehen, da ansonsten die Gewerbeausübung unmöglich wäre vergleiche auch den 2. Satz des Paragraph 1052, ABGB, der ebenfalls erkennen lässt, dass von einem berechtigten Interesse der Gläubiger an der Verwendung von Bonitätsdaten auszugehen ist).
2.2. Bestehen besonderer Sorgfaltspflichten (§ 6 Abs 1 Z 4 DSG 2000)2.2. Bestehen besonderer Sorgfaltspflichten (Paragraph 6, Absatz eins, Ziffer 4, DSG 2000)
Das DSG 2000 misst dadurch, dass es in seinem § 18 Abs. 2 Z 3 Datenanwendungen, die die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben, für vorabkontrollpflichtig erklärt, Bonitätsdaten eine besondere Eingriffstiefe in das Recht auf Geheimhaltung (§ 1 Abs. 1 DSG 2000) zu. Diese Konstellation erfordert besondere Sorgfalt seitens der Kreditauskunfteien ebenso wie seitens ihrer Datenlieferanten. Daher muss geprüft werden, ob Daten, die auf den ersten Blick bonitätsrelevant scheinen, in Wahrheit keine oder nur sehr beschränkte/unzuverlässige Aussagekraft über die Bonität des Betroffenen zukommt. Ob solche Umstände vorliegen, muss geprüft werden, bevor Daten von einer Kreditauskunftei verarbeitet oder an eine solche übermittelt werden. In diesem Zusammenhang ist auch der sachlichen Datenrichtigkeit (§ 6 Abs. 1 Z 4 DSG 2000) besondere Bedeutung zuzumessen: Diese muss im Hinblick auf den Verwendungszweck einer Bonitätsauskunft gegeben sein. Liegt sie nicht (mehr) vor, ist ein überwiegendes berechtigtes Interesse an der Übermittlung dieser Daten an eine Kreditauskunftei nicht gegeben. Damit der Auftraggeber diesen Obliegenheiten genügen kann, kommt seinen Informationspflichten nach § 24 Abs. 2 DSG 2000 besondere Bedeutung zu (dazu unten 2.5.b.), insoweit muss er auch selbst aktiv werden.Das DSG 2000 misst dadurch, dass es in seinem Paragraph 18, Absatz 2, Ziffer 3, Datenanwendungen, die die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben, für vorabkontrollpflichtig erklärt, Bonitätsdaten eine besondere Eingriffstiefe in das Recht auf Geheimhaltung (Paragraph eins, Absatz eins, DSG 2000) zu. Diese Konstellation erfordert besondere Sorgfalt seitens der Kreditauskunfteien ebenso wie seitens ihrer Datenlieferanten. Daher muss geprüft werden, ob Daten, die auf den ersten Blick bonitätsrelevant scheinen, in Wahrheit keine oder nur sehr beschränkte/unzuverlässige Aussagekraft über die Bonität des Betroffenen zukommt. Ob solche Umstände vorliegen, muss geprüft werden, bevor Daten von einer Kreditauskunftei verarbeitet oder an eine solche übermittelt werden. In diesem Zusammenhang ist auch der sachlichen Datenrichtigkeit (Paragraph 6, Absatz eins, Ziffer 4, DSG 2000) besondere Bedeutung zuzumessen: Diese muss im Hinblick auf den Verwendungszweck einer Bonitätsauskunft gegeben sein. Liegt sie nicht (mehr) vor, ist ein überwiegendes berechtigtes Interesse an der Übermittlung dieser Daten an eine Kreditauskunftei nicht gegeben. Damit der Auftraggeber diesen Obliegenheiten genügen kann, kommt seinen Informationspflichten nach Paragraph 24, Absatz 2, DSG 2000 besondere Bedeutung zu (dazu unten 2.5.b.), insoweit muss er auch selbst aktiv werden.
2.3. „Routinemäßige“ Übermittlung von Inkassoaufträgen durch Inkasso P an W
Im vorliegenden Fall hat Inkasso P Daten über den Inkassofall des Einschreiters an W übermittelt, ohne die soeben erörterte Einzelfallprüfung ausreichend durchgeführt zu haben. Die Datenübermittlung erfolgte nach den Angaben von Inkasso P, nachdem der im Schreiben vom 7. Dezember 2006 gesetzte Zahlungstermin 17. Dezember 2006 nicht eingehalten wurde. Inkasso P bestreitet aber nicht, die Erklärung des Einschreiters vom 11. Dezember 2006, in der er eine Zahlung der Forderung samt Inkassokosten in lediglich zwei Raten beginnend mit 25. Dezember 2006 in Aussicht gestellt hat, erhalten zu haben. Ebensowenig hat Inkasso P den Eingang der ersten Rate in Höhe des halben Gesamtbetrages bestritten, die tatsächlich bereits am 13. Dezember 2006 eingezahlt bzw. überwiesen wurde. Damit hat Inkasso P Umstände, die die Aussagekraft der Forderungsübergabe ins Inkasso relativieren, weil der Einschreiter Bereitschaft gezeigt und auch bewiesen hat, die Forderung rasch zu erfüllen, nicht ausreichend berücksichtigt. Daran vermag auch das – im Übrigen nicht weiter substantiierte - Argument von Inkasso P nichts zu ändern, dass die Mahnungen, die der Mandant (Buchhandlung) vorgenommen habe, erfolglos geblieben seien: Aus diesem Umstand kann kein überwiegendes berechtigtes Interesse des Inkassounternehmens an der Datenweitergabe abgeleitet werden. Es gehört vielmehr gerade zu dessen Aufgaben zu überprüfen, ob nicht der Schuldner doch zahlungsfähig bzw. –willig ist oder dies vielleicht sogar immer war, weil die Übergabe ins Inkasso auf einem Fehler beim Mandanten beruht. Das Auftreten derartiger Fehler entspricht durchaus der allgemeinen Lebenserfahrung, sie resultieren häufig daraus, dass Mahnungen den Schuldner zB wegen eines Umzugs oder einer aus anderen Gründen falsch gespeicherten Adresse nicht erreicht haben.
Werden daher gegenüber dem Inkassobüro keine nennenswerten Zahlungsschwierigkeiten offenbar – das ist bei einer Zahlung in lediglich zwei Monatsraten anzunehmen – ist die bloße Übergabe ins Inkasso im Hinblick auf die soeben dargelegte beschränkte Aussagekraft kein Datum, für dessen Weitergabe an eine Kreditauskunftei ein überwiegendes berechtigtes Interesse angenommen werden kann. Diese war somit im vorliegenden Fall unzulässig und hat den Einschreiter in seinem Recht auf Geheimhaltung nach § 1 Abs. 1 DSG 2000 verletzt.Werden daher gegenüber dem Inkassobüro keine nennenswerten Zahlungsschwierigkeiten offenbar – das ist bei einer Zahlung in lediglich zwei Monatsraten anzunehmen – ist die bloße Übergabe ins Inkasso im Hinblick auf die soeben dargelegte beschränkte Aussagekraft kein Datum, für dessen Weitergabe an eine Kreditauskunftei ein überwiegendes berechtigtes Interesse angenommen werden kann. Diese war somit im vorliegenden Fall unzulässig und hat den Einschreiter in seinem Recht auf Geheimhaltung nach Paragraph eins, Absatz eins, DSG 2000 verletzt.
Um insoweit einen rechtmäßigen Zustand herzustellen, war die Empfehlung 1. auszusprechen.
2.4. Höhe der offenen Forderung
Auch wenn - anders als im vorliegenden Fall – eine Weitergabe von Inkassodaten an eine Kreditauskunftei dem Grunde nach zulässig ist, muss die Richtigkeit der übermittelten Daten gewährleistet sein. Im vorliegenden Fall hat demgegenüber Inkasso P die Forderung in voller Höhe (mit einem Betrag von EUR 41,80) an W gemeldet, obwohl im Übermittlungszeitpunkt der Einschreiter bereits eine unmittelbar bevorstehende Zahlung in Höhe von EUR 36,36 angekündigt und auch geleistet hatte. Diese hätte schon bei der Datenweitergabe in Abzug gebracht werden müssen.
Um dies in Zukunft zu gewährleisten, war die Empfehlung 2. auszusprechen.
An dieser Stelle ist anzumerken, dass es ab der Ermittlung der Inkassodaten durch die Kreditauskunftei in deren Verantwortungsbereich fällt, die Richtigkeit der von ihr verarbeiteten Daten zu gewährleisten. Sie hat daher dafür Sorge zu tragen, dass geleistete Zahlungen laufend berücksichtigt werden. Dies ist durch entsprechende Vereinbarungen mit den Datenlieferanten sicherzustellen.
2.5. Informationspflichten
a. § 24 DSG 2000 normiert Informationspflichten des Auftraggebers anlässlich der Ermittlung von Daten.a. Paragraph 24, DSG 2000 normiert Informationspflichten des Auftraggebers anlässlich der Ermittlung von Daten.
Informationen über den Zweck der Datenverwendung, Name und Adresse des Auftraggebers sowie darüber hinausgehende Informationen wurden von Inkasso P im (ersten) Mahnschreiben an den Einschreiter vom 7. Dezember 2006 bekannt gegeben. Wie sich aus dem in § 24 Abs. 2 ausdrücklich erwähnten Grundsatz von Treu und Glauben ergibt, müssen sämtliche Informationen nach § 24 DSG 2000 richtig sein und in verständlicher Form gegeben werden. Das gilt auch für Informationen über die Rechtsgrundlage des Inkassos und damit der Datenverarbeitung durch das Inkassoinstitut.Informationen über den Zweck der Datenverwendung, Name und Adresse des Auftraggebers sowie darüber hinausgehende Informationen wurden von Inkasso P im (ersten) Mahnschreiben an den Einschreiter vom 7. Dezember 2006 bekannt gegeben. Wie sich aus dem in Paragraph 24, Absatz 2, ausdrücklich erwähnten Grundsatz von Treu und Glauben ergibt, müssen sämtliche Informationen nach Paragraph 24, DSG 2000 richtig sein und in verständlicher Form gegeben werden. Das gilt auch für Informationen über die Rechtsgrundlage des Inkassos und damit der Datenverarbeitung durch das Inkassoinstitut.
Dieses Gebot hat Inkasso P durch die Aussage, ihr sei die Forderung des Mandanten abgetreten worden, verletzt, kann doch diese Angabe nicht zutreffen, weil § 118 Abs. 2 GewO Forderungsabtretungen zu Inkassozwecken generell verbietet.Dieses Gebot hat Inkasso P durch die Aussage, ihr sei die Forderung des Mandanten abgetreten worden, verletzt, kann doch diese Angabe nicht zutreffen, weil Paragraph 118, Absatz 2, GewO Forderungsabtretungen zu Inkassozwecken generell verbietet.
Dementsprechend war die Empfehlung 3. auszusprechen.
b. § 24 Abs. 2 DSG 2000 verlangt die Erteilung von Informationen, die über Abs. 1 hinausgehen, wenn diese für eine Verarbeitung nach Treu und Glauben erforderlich ist. Wie oben unter 2.3. dargelegt, kommt einerseits Bonitätsdaten besondere Eingriffstiefe im Hinblick auf das Recht auf Geheimhaltung zu und ist es für das Vorliegen eines überwiegenden berechtigten Interesses an der Weitergabe von Inkassodaten an eine Kreditauskunftei daher erforderlich, dass die Aussagekraft und Richtigkeit der Daten gewährleistet ist.b. Paragraph 24, Absatz 2, DSG 2000 verlangt die Erteilung von Informationen, die über Absatz eins, hinausgehen, wenn diese für eine Verarbeitung nach Treu und Glauben erforderlich ist. Wie oben unter 2.3. dargelegt, kommt einerseits Bonitätsdaten besondere Eingriffstiefe im Hinblick auf das Recht auf Geheimhaltung zu und ist es für das Vorliegen eines überwiegenden berechtigten Interesses an der Weitergabe von Inkassodaten an eine Kreditauskunftei daher erforderlich, dass die Aussagekraft und Richtigkeit der Daten gewährleistet ist.
Damit dem Betroffenen die Möglichkeit einer Weitergabe seiner Daten, die für ihn ja auch mit nicht zu unterschätzenden Konsequenzen verbunden sein kann, überhaupt bewusst wird und er in der Folge in die Lage versetzt wird, Umstände, die gegen die Zulässigkeit der Datenweitergabe sprechen, vorzubringen (insbesondere auch begründete Bestreitungen), muss er Informationen über die Voraussetzungen einer Weitergabe erhalten, was im vorliegenden Fall unterblieben ist.
Zur Herstellung eines diesbezüglich rechtmäßigen Zustandes war daher die Empfehlung 4. auszusprechen.
2.6. Meldepflicht und DVR-Nummer
Schließlich hat sich im vorliegenden Fall auch noch ergeben, dass Inkasso P seiner Meldepflicht nach § 17 Abs. 1 DSG 2000 nicht nachgekommen ist. Eine Verletzung ist in mehrfacher Hinsicht evident: Zunächst ist unter der von Inkasso P geführten DVR-Nummer eine Anna P registriert. Ein Antrag auf Zuteilung dieser DVR-Nummer auf Grund einer allfälligen Rechtsnachfolge gemäß § 13 DVRV wurde nicht gestellt. Die Führung dieser DVR-Nummer verletzt neben § 17 Abs. 1 auch § 25 Abs. 1 DSG 2000.Schließlich hat sich im vorliegenden Fall auch noch ergeben, dass Inkasso P seiner Meldepflicht nach Paragraph 17, Absatz eins, DSG 2000 nicht nachgekommen ist. Eine Verletzung ist in mehrfacher Hinsicht evident: Zunächst ist unter der von Inkasso P geführten DVR-Nummer eine Anna P registriert. Ein Antrag auf Zuteilung dieser DVR-Nummer auf Grund einer allfälligen Rechtsnachfolge gemäß Paragraph 13, DVRV wurde nicht gestellt. Die Führung dieser DVR-Nummer verletzt neben Paragraph 17, Absatz eins, auch Paragraph 25, Absatz eins, DSG 2000.
Darüber hinaus ist nur eine Datenanwendung „Rechnungswesen (Buchführung, Bilanz)“ registriert, die inhaltlich dem für Zwecke eines Inkassobüros erforderlichen Daten nicht entspricht. Der Auftraggeber hat somit seine Meldepflichten nach dem 4. Abschnitt des DSG 2000 verletzt.
Zur Herstellung des rechtmäßigen Zustandes im Hinblick auf die Registrierung war somit die Empfehlung 5. auszusprechen.